Internet Anahtar Değişimi (IKE), Internet Engineering Task Force (IETF) tarafından oluşturulan ve bir ağ üzerinden iki cihaz veya eşler arasında güvenli iletişim sağlamak için Internet protokol güvenliği (IPSec) standartlarıyla birlikte kullanılan bir dizi destek protokolüdür. Bir protokol olarak, IKE bir dizi yazılım uygulamasında kullanılabilir. Yaygın bir örnek, güvenli bir sanal özel ağ (VPN) ayarlamaktır. Hemen hemen tüm modern bilgisayar işletim sistemleri ve ağ donanımları için standart olsa da, Internet Anahtar Değişimi'nin yaptığı işlemlerin çoğu, ortalama bir kullanıcının bakış açısından gizlenmiştir.
IKE'deki protokoller, IPSec üzerinden güvenli iletişim için gerekli olan iki veya daha fazla eş arasında IPSec üzerinden güvenlik ilişkisi (SA) olarak adlandırılanları belirler. SA, iletişimde kullanılan şifreleme algoritmasını, şifreleme anahtarlarını ve son kullanma tarihlerini tanımlar; Tüm bunlar daha sonra her bir birimin güvenlik birliği veritabanına (SAD) girmektedir. IPSec SA'nın manuel olarak yapılandırılmasını sağlasa da, Internet Anahtar Değişimi, kendi oluşturma becerisi de dahil olmak üzere, eşler arasındaki güvenlik ilişkilerini otomatik olarak pazarlık eder ve kurar.
İnternet Anahtar Değişimi hibrit protokol olarak bilinir. IKE, İnternet Güvenlik Birliği ve Anahtar Yönetimi Protokolü (ISAKMP) olarak bilinen protokol çerçevesini kullanır. ISAKMP, IKE'ye SA'yı kurma becerisi sağlar ve veri yükünün formatını tanımlama ve kullanılacak anahtar değişim protokolüne karar verme işlerini yapar. ISAKMP, anahtar değişimi için çeşitli yöntemler kullanabilir, ancak IKE'deki uygulaması iki yönden yararlanır. Anahtar değişim işlemlerinin çoğu, çeşitli modları tanımlayan OAKLEY Anahtar Tespit Protokolü (OAKLEY) yöntemini kullanır, ancak IKE, bazı anahtar şifreleme mekanizmalarına izin veren ve ortak anahtar şifrelemesine olanak sağlayan ve Kaynak Anahtar Değişimi Mekanizması (SKEME) yöntemini de kullanır. tuşları hızlıca yeniler.
Eşler güvenli bir şekilde iletişim kurmak istediklerinde, "ilginç trafik" denilen şeyi birbirlerine gönderirler. İlginç trafik, meslektaşları üzerinde oluşturulan bir IPSec politikasına uygun mesajlardır. Güvenlik duvarlarında ve yönlendiricilerde bulunan bu politikanın bir örneği, erişim listesi olarak adlandırılır. Erişim listesine, politikadaki belirli ifadelerin bağlantı üzerinden gönderilen belirli verilerin şifrelenip şifrelenmeyeceğini belirlediği bir şifreleme politikası verilir. Güvenli iletişim ile ilgilenen eşler bir IPSec güvenlik politikasını birbirleriyle eşleştikten sonra, Internet Anahtar Değişimi işlemi başlar.
IKE işlemi aşamalar halinde gerçekleşir. Birçok güvenli bağlantı güvenli olmayan bir durumda başlar, bu nedenle ilk aşama iki eşin güvenli iletişim sürecine nasıl devam edeceğini görüşür. IKE önce eşlerin kimliğini doğrular ve ardından her iki eşin kullanacağı güvenlik algoritmalarını belirleyerek kimliklerini korur. Korunmasız bir ağ üzerinden eşleşen anahtarlar oluşturabilen Diffie-Hellman açık anahtarlı şifreleme protokolünü kullanarak, İnternet Anahtar Değişimi oturum anahtarları oluşturur. IKE, Faz 2'de kullanılacak eşler arasında güvenli bir bağlantı, bir tünel oluşturarak Faz 1'i tamamlar.
IKE Aşama 2'ye girdiğinde, eşler yeni IKE SA'yı, kalan bağlantılarında kullanacakları IPSec protokollerini ayarlamak için kullanırlar. Gönderilen mesajların eksiksiz alındığını doğrulayacak bir kimlik doğrulama başlığı (AH) kuruldu. Paketlerin de şifrelenmeleri gerekir, bu yüzden IPSec daha sonra paketleri şifrelemek için meraklı gözlerden uzak tutmak için enkapsüle eden güvenlik protokolünü (ESP) kullanır. AH, paketin içeriğine göre hesaplanır ve paket şifrelenir, böylece paketler, sahte olanlarla paket değiştirmeye çalışan veya paketin içeriğini okuyan herhangi birinden korunur.
IKE, Aşama 2'de şifreleme bağlarını da değiştirir. Kayıtsızlık, yalnızca bir kez kullanılan bir sayı veya dizedir. Yeni bir gizli anahtar yaratması gerekiyorsa veya bir saldırganın sahte SA'lar oluşturmasını engelleyerek, bir tekrarlama saldırısı olarak adlandırılanı engellemek için, eş olmayan kişi tarafından kullanılır.
IKE için çok aşamalı bir yaklaşımın faydaları, Aşama 1 SA'yı kullanarak, akranlardan herhangi birinin, iletişimin güvende kalmasını sağlamak için yeni bir SA'yı yeniden müzakere etmek için herhangi bir zamanda Aşama 2'yi başlatabilmesidir. Internet Anahtar Değişimi aşamalarını tamamladıktan sonra bilgi alışverişi için bir IPSec tüneli oluşturulur. Tünel yoluyla gönderilen paketler Faz 2'de belirlenen SA'lara göre şifrelenir ve şifreleri çözülür. Tamamlandığında, tünel önceden belirlenmiş bir zaman sınırına dayanarak sona ererek veya belirli miktarda veri aktarıldıktan sonra sona erer. Elbette, ek IKE Aşama 2 müzakereleri tüneli açık tutabilir veya alternatif olarak yeni ve güvenli bir tünel oluşturmak için yeni bir Aşama 1 ve Aşama 2 müzakeresini başlatabilir.
