Tweet
📘 Bài 4–6/8 trong loạt bài về IPSec: IKE – Từ cái bắt tay đầu tiên đến mã hóa dữ liệu
Trong thế giới bảo mật mạng, việc thiết lập một kết nối mã hóa không đơn thuần là bật IPSec và xong việc. Nó là cả một quy trình nghiêm ngặt gồm nhiều bước đàm phán, xác thực và thiết lập thông số. Giao thức IKE (Internet Key Exchange) chính là trung tâm điều phối quá trình này.
🔄 Tổng quan quy trình IPSec VPN – 6 bước cơ bản
Để hiểu tổng thể IPSec, ta bắt đầu với cái nhìn từ trên xuống:
1. Interesting Traffic – Xác định lưu lượng cần mã hóa
Khi thiết bị phát hiện gói tin khớp với crypto ACL, quá trình thiết lập IPSec được kích hoạt.
2. Phase 1 – Thiết lập kênh ISAKMP SA
Hai thiết bị thiết lập kênh điều khiển bảo mật ban đầu bằng IKE Phase 1 (ISAKMP SA).
3. Phase 1.5 – Xác thực người dùng (chỉ VPN từ xa)
Với remote access VPN, thiết bị yêu cầu thêm username/password, token, MFA...
4. Phase 2 – Thiết lập kênh dữ liệu IPSec SA
Thông qua ISAKMP SA, hai bên đàm phán thuật toán và thông số IPSec thực tế.
5. Data Transfer – Truyền dữ liệu được bảo vệ
Dữ liệu thực sự được mã hóa và xác thực bằng IPSec (ESP hoặc AH).
6. Tunnel Termination – Kết thúc hoặc làm mới phiên
Khi thời gian sống (lifetime) kết thúc hoặc không còn dữ liệu, phiên IPSec sẽ đóng lại hoặc tái đàm phán.
🔑 IKE là gì và vì sao nó quan trọng?
IKE (Internet Key Exchange) là giao thức giúp:
🧱 IKEv1 và IKEv2 – Chọn phiên bản nào?
🚀 IKEv1 Phase 1 – Thiết lập ISAKMP SA
Mục tiêu Phase 1 là thiết lập một ISAKMP Security Association (SA) – một đường hầm bảo mật hai chiều để đàm phán các thông số trong Phase 2. 🔍 Nội dung chi tiết của Phase 1 (Main Mode hoặc Aggressive Mode)
🔐 IKEv1 Phase 2 – Thiết lập IPSec SA (Quick Mode)
Khi đã có ISAKMP SA, hai thiết bị bước vào Phase 2 để tạo IPSec SA – đường hầm mã hóa dữ liệu. ✅ Nội dung Phase 2:
🔒 Perfect Forward Secrecy (PFS)
🧠 Kết luận
Toàn bộ quá trình từ “gói tin được phát hiện” đến “dữ liệu được mã hóa an toàn” là một chuỗi các bước đàm phán phức tạp nhưng chặt chẽ. Việc nắm vững các bước trong IKEv1 Phase 1 và 2, cũng như hiểu rõ cách ISAKMP SA và IPSec SA được tạo ra, sẽ giúp bạn:
Trong thế giới bảo mật mạng, việc thiết lập một kết nối mã hóa không đơn thuần là bật IPSec và xong việc. Nó là cả một quy trình nghiêm ngặt gồm nhiều bước đàm phán, xác thực và thiết lập thông số. Giao thức IKE (Internet Key Exchange) chính là trung tâm điều phối quá trình này.
🔄 Tổng quan quy trình IPSec VPN – 6 bước cơ bản
Để hiểu tổng thể IPSec, ta bắt đầu với cái nhìn từ trên xuống:
1. Interesting Traffic – Xác định lưu lượng cần mã hóa
Khi thiết bị phát hiện gói tin khớp với crypto ACL, quá trình thiết lập IPSec được kích hoạt.
2. Phase 1 – Thiết lập kênh ISAKMP SA
Hai thiết bị thiết lập kênh điều khiển bảo mật ban đầu bằng IKE Phase 1 (ISAKMP SA).
3. Phase 1.5 – Xác thực người dùng (chỉ VPN từ xa)
Với remote access VPN, thiết bị yêu cầu thêm username/password, token, MFA...
4. Phase 2 – Thiết lập kênh dữ liệu IPSec SA
Thông qua ISAKMP SA, hai bên đàm phán thuật toán và thông số IPSec thực tế.
5. Data Transfer – Truyền dữ liệu được bảo vệ
Dữ liệu thực sự được mã hóa và xác thực bằng IPSec (ESP hoặc AH).
6. Tunnel Termination – Kết thúc hoặc làm mới phiên
Khi thời gian sống (lifetime) kết thúc hoặc không còn dữ liệu, phiên IPSec sẽ đóng lại hoặc tái đàm phán.
🔑 IKE là gì và vì sao nó quan trọng?
IKE (Internet Key Exchange) là giao thức giúp:
- Xác thực danh tính hai bên.
- Trao đổi khóa mã hóa an toàn.
- Đàm phán thuật toán bảo mật.
- Tự động tạo Security Association (SA) cho IPSec.
🧱 IKEv1 và IKEv2 – Chọn phiên bản nào?
- IKEv1: Cổ điển, có 2 pha (Phase 1 và 2). Vẫn được dùng nhưng không còn lý tưởng cho môi trường hiện đại.
- IKEv2: Chuẩn RFC 7296. Hiệu quả, bảo mật hơn, hỗ trợ roaming, NAT-T, IPv6. Nên dùng trong mọi triển khai mới.
🚀 IKEv1 Phase 1 – Thiết lập ISAKMP SA
Mục tiêu Phase 1 là thiết lập một ISAKMP Security Association (SA) – một đường hầm bảo mật hai chiều để đàm phán các thông số trong Phase 2. 🔍 Nội dung chi tiết của Phase 1 (Main Mode hoặc Aggressive Mode)
- Chọn chế độ đàm phán:
- Main Mode: 6 bước, bảo mật cao, che danh tính.
- Aggressive Mode: 3 bước, nhanh hơn, ít bảo mật, không hỗ trợ NAT-T.
- So khớp chính sách ISAKMP:
- Các thiết bị so sánh và chọn chính sách phù hợp: thuật toán mã hóa, xác thực, nhóm Diffie-Hellman, kiểu xác thực, thời gian sống...
- Thực hiện trao đổi Diffie-Hellman:
- Mỗi bên gửi khóa công khai, dùng thuật toán DH để tính ra shared secret key.
- Trao đổi và xác thực danh tính:
- Dựa vào pre-shared key (PSK), RSA signature hoặc certificate để xác minh bên kia.
- Tạo ISAKMP SA:
- Nếu xác thực thành công, một kênh mã hóa điều khiển (ISAKMP SA) được tạo.
- Sẵn sàng cho Phase 2:
- Chuẩn bị đàm phán các tham số IPSec thực tế như ESP, AH...
🔐 IKEv1 Phase 2 – Thiết lập IPSec SA (Quick Mode)
Khi đã có ISAKMP SA, hai thiết bị bước vào Phase 2 để tạo IPSec SA – đường hầm mã hóa dữ liệu. ✅ Nội dung Phase 2:
- Đàm phán thuật toán mã hóa (AES, 3DES...) và xác thực (SHA...).
- Xác định traffic cần bảo vệ bằng crypto ACL.
- Thiết lập thời gian sống SA (lifetime).
- Tùy chọn kích hoạt Perfect Forward Secrecy (PFS) để tăng cường bảo mật.
🔒 Perfect Forward Secrecy (PFS)
- Khi bật PFS, hai thiết bị thực hiện lại Diffie-Hellman trong Phase 2.
- Đảm bảo mỗi phiên có khóa riêng biệt, không phụ thuộc khóa Phase 1.
- Ngăn chặn việc “mở khóa hàng loạt” nếu 1 phiên bị lộ.
🧠 Kết luận
Toàn bộ quá trình từ “gói tin được phát hiện” đến “dữ liệu được mã hóa an toàn” là một chuỗi các bước đàm phán phức tạp nhưng chặt chẽ. Việc nắm vững các bước trong IKEv1 Phase 1 và 2, cũng như hiểu rõ cách ISAKMP SA và IPSec SA được tạo ra, sẽ giúp bạn:
- Xây dựng hệ thống VPN ổn định, bảo mật.
- Xử lý sự cố nhanh chóng (ví dụ: “hỏng ở Phase 1 hay Phase 2?”).
- Thiết kế giải pháp tương thích tốt với NAT, roaming, thiết bị di động.