SV: LVT
IKE phase 1:
Mục tiêu của IKE là thành lập một kênh an toàn trên đó để trao đổi các thông số bảo mật,như là thông tin chứa trong IPSec SA. Quá trình đàm phán này gọi là giai đoạn 1 (Phase 1) của đàm phán IKE.
Đây là giai đoạn bắt buộc phải có. Pha này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm tạo một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA.
Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.
Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:
- Phương pháp chứng thực: Preshare-key, RSA
- Thuật toán hash: MD5, SHA
- Thuật toán mã hóa: DES, 3DES, AES
- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
- 2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật
- 2 message tiếp theo trao đổi khóa Diffire-Hellman
- 2 message cuối cùng thực hiện chứng thực giữa các thiết bị
Aggressive mode: sử dụng 3 message
- Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
- Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và chứng thực bên nhận
- Message cuối cùng sẽ chứng thực bên vửa gửi.
Theo mặc đinh, Cisco IOS sẽ cố gắng đàm phán Phase 1 sử dụng main mode. Nếu main mode fail, mặc định Cisco IOS tự động thương lượng SA sử dụng Aggressive mode . Có thể cấu hình tắt chế độ Aggressive mode.
R(config)#crypto isakmp aggressive-mode disable
Phase 1.5
Đây là phase không bắt buộc (optional). Phase 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo nên một kênh truyền bảo mật.
Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này thường sử dụng trong Remote Access VPN
IKE phase 2
Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Qua trình thỏa thuận các thông số ở phase 2 là để thiết lập IPSec SA dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2.
Các thông số mà Quick mode thỏa thuận trong phase 2:
- Giao thức IPSec: ESP hoặc AH
- IPSec mode: Tunnel hoặc transport
- IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc được chỉ định.
- Trao đổi khóa Diffie-Hellman
IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode
IKE phase 1:
Mục tiêu của IKE là thành lập một kênh an toàn trên đó để trao đổi các thông số bảo mật,như là thông tin chứa trong IPSec SA. Quá trình đàm phán này gọi là giai đoạn 1 (Phase 1) của đàm phán IKE.
Đây là giai đoạn bắt buộc phải có. Pha này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm tạo một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA.
Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.
Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:
- Phương pháp chứng thực: Preshare-key, RSA
- Thuật toán hash: MD5, SHA
- Thuật toán mã hóa: DES, 3DES, AES
- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
- 2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật
- 2 message tiếp theo trao đổi khóa Diffire-Hellman
- 2 message cuối cùng thực hiện chứng thực giữa các thiết bị
Aggressive mode: sử dụng 3 message
- Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
- Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và chứng thực bên nhận
- Message cuối cùng sẽ chứng thực bên vửa gửi.
Theo mặc đinh, Cisco IOS sẽ cố gắng đàm phán Phase 1 sử dụng main mode. Nếu main mode fail, mặc định Cisco IOS tự động thương lượng SA sử dụng Aggressive mode . Có thể cấu hình tắt chế độ Aggressive mode.
R(config)#crypto isakmp aggressive-mode disable
Phase 1.5
Đây là phase không bắt buộc (optional). Phase 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo nên một kênh truyền bảo mật.
Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này thường sử dụng trong Remote Access VPN
IKE phase 2
Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Qua trình thỏa thuận các thông số ở phase 2 là để thiết lập IPSec SA dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2.
Các thông số mà Quick mode thỏa thuận trong phase 2:
- Giao thức IPSec: ESP hoặc AH
- IPSec mode: Tunnel hoặc transport
- IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc được chỉ định.
- Trao đổi khóa Diffie-Hellman
IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode