O que é o Internet Key Exchange?
O IKE (Internet Key Exchange) é um conjunto de protocolos de suporte criados pela IETF (Internet Engineering Task Force) e usados com os padrões IPSec (Internet Protocol Security) para fornecer comunicações seguras entre dois dispositivos ou pares em uma rede. Como protocolo, o IKE pode ser usado em vários aplicativos de software. Um exemplo comum é a configuração de uma rede virtual privada segura (VPN). Embora seja padrão em praticamente todos os sistemas operacionais de computadores modernos e equipamentos de rede, muito do que o Internet Key Exchange faz está oculto à vista do usuário médio.
Os protocolos no IKE estabelecem o que é chamado de associação de segurança (SA) entre dois ou mais pares sobre o IPSec, necessário para qualquer comunicação segura via IPSec. A SA define o algoritmo criptográfico usado na comunicação, as chaves de criptografia e suas datas de validade; tudo isso entra no SAD (banco de dados de associação de segurança) de cada par. Embora o IPSec possa ter seu SA configurado manualmente, o Internet Key Exchange negocia e estabelece as associações de segurança entre os pares automaticamente, incluindo a capacidade de criar seus próprios.
O Internet Key Exchange é conhecido como um protocolo híbrido. O IKE utiliza uma estrutura de protocolo conhecida como ISAKMP (Internet Security Association e Key Management Protocol). O ISAKMP fornece ao IKE a capacidade de estabelecer a SA e executa o trabalho de definir o formato da carga útil dos dados e decidir sobre o protocolo de troca de chaves que será usado. O ISAKMP é capaz de usar vários métodos para troca de chaves, mas sua implementação no IKE usa aspectos de dois. A maior parte do processo de troca de chaves usa o método OAKLEY Key Determination Protocol (OAKLEY), que define os vários modos, mas o IKE também usa parte do método SKEME (mecanismo de troca de chaves de origem), que permite a criptografia de chave pública e tem a capacidade de atualize as chaves rapidamente.
Quando os colegas desejam se comunicar com segurança, eles enviam o que é chamado de "tráfego interessante" um para o outro. Tráfego interessante são mensagens que aderem a uma política IPSec que foi estabelecida nos pares. Um exemplo dessa política encontrada em firewalls e roteadores é chamado de lista de acesso. A lista de acesso recebe uma política de criptografia pela qual determinadas instruções da política determinam se dados específicos enviados pela conexão devem ser criptografados ou não. Depois que os pares interessados em comunicação segura combinam uma política de segurança IPSec, o processo do Internet Key Exchange é iniciado.
O processo IKE ocorre em fases. Muitas conexões seguras começam em um estado não seguro; portanto, a primeira fase negocia como os dois pares continuarão o processo de comunicação segura. O IKE primeiro autentica a identidade dos pares e depois protege suas identidades, determinando quais algoritmos de segurança os dois pares usarão. Usando o protocolo de criptografia de chave pública Diffie-Hellman, capaz de criar chaves correspondentes por meio de uma rede desprotegida, o Internet Key Exchange cria chaves de sessão. O IKE conclui a Fase 1 criando uma conexão segura, um túnel, entre os pares que serão usados na Fase 2.
Quando o IKE entra na Fase 2, os pares usam o novo IKE SA para configurar os protocolos IPSec que eles usarão durante o restante de sua conexão. Um cabeçalho de autenticação (AH) é estabelecido para verificar se as mensagens enviadas são recebidas intactas. Os pacotes também precisam ser criptografados, para que o IPSec use o protocolo de segurança de encapsulamento (ESP) para criptografar os pacotes, mantendo-os a salvo de olhares indiscretos. O AH é calculado com base no conteúdo do pacote, e o pacote é criptografado, para que os pacotes sejam protegidos contra qualquer pessoa que tente substituir pacotes por outros falsos ou lendo o conteúdo de um pacote.
O IKE também troca nonces criptográficos durante a Fase 2. Um nonce é um número ou sequência usada apenas uma vez. O nonce é então usado por um par se precisar criar uma nova chave secreta ou impedir que um invasor gere SAs falsas, impedindo o que é chamado de ataque de repetição.
Os benefícios de uma abordagem multifásica para o IKE é que, usando o SA da Fase 1, qualquer um dos pares pode iniciar um Fase 2 a qualquer momento para renegociar um novo SA para garantir que a comunicação permaneça segura. Após o Internet Key Exchange concluir suas fases, um túnel IPSec é criado para a troca de informações. Os pacotes enviados pelo túnel são criptografados e descriptografados de acordo com as SAs estabelecidas durante a Fase 2. Quando concluído, o túnel termina, expirando com base em um prazo pré-determinado ou após a transferência de uma certa quantidade de dados. Obviamente, negociações adicionais da Fase 2 do IKE podem manter o túnel aberto ou, alternativamente, iniciar uma nova negociação de Fase 1 e Fase 2 para estabelecer um novo túnel seguro.