Hva er internettnøkkelutvekslingen?
Internet Key Exchange (IKE) er et sett med støtteprotokoller opprettet av Internet Engineering Task Force (IETF) og brukt med Internet Protocol Security (IPSEC) standarder for å gi sikker kommunikasjon mellom to enheter, eller jevnaldrende, over et nettverk. Som en protokoll kan IKE brukes i en rekke programvareapplikasjoner. Et vanlig eksempel er å sette opp et sikkert virtuelt privat nettverk (VPN). Mens standard på praktisk talt alle moderne datamaskinoperativsystemer og nettverksutstyr, er mye av det Internet Key Exchange gjør skjult for synet på den gjennomsnittlige brukeren.
Protokollene i Ike etablerer det som kalles en sikkerhetsforening (SA) mellom to eller flere jevnaldrende over IPsec, som kreves for enhver sikker kommunikasjon via IPsec. SA definerer den kryptografiske algoritmen som brukes i kommunikasjonen, krypteringsnøklene og utløpsdatoene deres; Alt dette går deretter inn i hver Peer's Security Association -database (SAD). Mens IPsec kan ha sin SA konfigurert manuelt,Internett -nøkkelutvekslingen forhandler og etablerer sikkerhetsforeningene blant jevnaldrende automatisk, inkludert muligheten til å lage sine egne.
Internett -nøkkelutvekslingen er kjent som en hybridprotokoll. Ike benytter seg av et protokollramme kjent som Internet Security Association og Key Management Protocol (ISAKMP). ISAKMP gir Ike muligheten til å etablere SA, og gjør jobbene med å definere formatet på datalasten og bestemme nøkkelutvekslingsprotokollen som skal brukes. ISAKMP er i stand til å bruke flere metoder for utveksling av nøkler, men implementeringen av Ike bruker aspekter av to. Det meste av nøkkelutvekslingsprosessen bruker Oakley Key Bestemmelsesprotokoll (Oakley) -metoden, som definerer de forskjellige modusene, men IKE bruker også noen av Source Key Exchange Mechanism (SKEME) -metoden, som gir mulighet for offentlig nøkkelkryptering og har muligheten til å oppdatere tastene raskt./p>
Når jevnaldrende ønsker å kommunisere sikkert, sender de det som kalles "interessant trafikk" til hverandre. Interessant trafikk er meldinger som holder seg til en IPsec -policy som er etablert på jevnaldrende. Et eksempel på denne policyen som finnes i brannmurer og rutere kalles en tilgangsliste. Tilgangslisten får en kryptografipolitikk som visse uttalelser innenfor policyen bestemmer om spesifikke data som er sendt over tilkoblingen skal krypteres eller ikke. Når jevnaldrende som er interessert i sikker kommunikasjon har matchet en IPSEC -sikkerhetspolitikk med hverandre, begynner internettnøkkelutvekslingsprosessen.
Ike -prosessen finner sted i faser. Mange sikre forbindelser begynner i en usikret tilstand, så den første fasen forhandler om hvordan de to jevnaldrende skal fortsette prosessen med sikker kommunikasjon. Ike autentiserer først identiteten til jevnaldrende og sikrer deretter identiteten deres ved å bestemme hvilke sikkerhetsalgoritmer begge jevnaldrende vil bruke. Bruke diffie-hellman PUblic Key Cryptography Protocol, som er i stand til å lage matchende nøkler via et ubeskyttet nettverk, Internet Key Exchange oppretter øktnøkler. Ike avslutter fase 1 ved å lage en sikker forbindelse, en tunnel, mellom jevnaldrende som skal brukes i fase 2.
Når IKE kommer inn i fase 2, bruker jevnaldrende den nye Ike SA for å sette opp IPSEC -protokollene de vil bruke i løpet av resten av forbindelsen. Det er fastslått en autentiseringsoverskrift (AH) som vil bekrefte at sendte meldinger mottas intakte. Pakker må også krypteres, så IPsec bruker deretter innkapsling av sikkerhetsprotokoll (ESP) for å kryptere pakkene, og holde dem trygge mot nysgjerrige øyne. AH beregnes basert på innholdet i pakken, og pakken er kryptert, så pakkene er sikret fra alle som prøver å erstatte pakker med falske eller lese innholdet i en pakke.
Ike utveksler også kryptografiske nonces i løpet av fase 2. En nonce er et tall eller streng som bare brukes en gang.Nonce brukes deretter av en jevnaldrende hvis den trenger å opprette en ny hemmelig nøkkel eller for å forhindre at en angriper genererer falske SAS, og forhindrer det som kalles et replayangrep.
Fordelene med en flerfaset tilnærming for IKE er at ved å bruke fase 1 SA, kan enten jevnaldrende sette i gang en fase 2 når som helst for å forhandle om en ny SA for å sikre at kommunikasjonen holder seg sikker. Etter at internettnøkkelutvekslingen er fullført fasene, opprettes en IPSec -tunnel for utveksling av informasjon. Pakkene som er sendt via tunnelen er kryptert og dekryptert i henhold til SAS som ble opprettet i løpet av fase 2. Når tunnelen er ferdig, avsluttes tunnelen, ved å utløpe basert på en forhåndsbestemt tidsbegrensning, eller etter at en viss datamengde er overført. Selvfølgelig kan ytterligere Ike -fase 2 -forhandlinger holde tunnelen åpen, eller alternativt starte en ny fase 1 og fase 2 -forhandling for å etablere en ny, sikker tunnel.