Tweet
Bài 7/8 TRONG LOẠT BÀI VỀ IPSEC: IKE Pha 2, NAT-T và PFS
I. Giới thiệu về IKEv1 Giai đoạn 2
Pha 1 giúp hai router/firewall tạo một đường hầm tunnel giữa hai thiết bị. Còn pha 2 thì sẽ tiếp tục bắt tay để thống nhất các phương án để bảo vệ dữ liệu.
IKEv1 Giai đoạn 2, còn được gọi là chế độ nhanh (Quick Mode), được sử dụng để thương lượng các IPsec SAs. (SecurityAssociations). SA có thể hiểu như bản thỏa thuận hợp đồng bảo mật giữa thiết bị hai đầu của kênh VPN.
Các IPsec SA này được bảo vệ bởi ISAKMP SA đã được thiết lập trong Giai đoạn 1, vì toàn bộ các payload trong Giai đoạn 2 đều được mã hóa (trừ phần đầu ISAKMP).
- Mỗi lần thương lượng IPsec SA sẽ tạo ra hai SA:
Một SA vào (inbound)
Một SA ra (outbound)
Giải thích thêm là sẽ có 1 hợp đồng SA cho traffic từ HeadQuater về Chi nhánh. Và một SA khác cho traffic theo chiều ngược lại.
- Mỗi SA có một chỉ số tham số bảo mật SPI (Security Parameter Index) riêng:
Một SPI do bên khởi tạo cung cấp
Một SPI do bên phản hồi cung cấp
1. Vấn đề với PAT (Port Address Translation)
- ESP và AH là giao thức lớp 3, không có thông tin cổng tầng 4 → gây khó khăn khi thiết bị nằm sau PAT, do PAT cần cổng tầng 4 để ánh xạ.
- IPsec Passthrough:
Thiết bị PAT kiểm tra giá trị SPI để xây dựng bảng dịch tầng 4.
- NAT Traversal (NAT-T):
Tự động phát hiện sự hiện diện của thiết bị NAT/PAT.
Nếu phát hiện NAT, IPsec sử dụng UDP port 4500 để gói các gói ESP → cho phép NAT chuyển tiếp thành công.
Lưu ý: IKEv2 tích hợp tốt hơn các công nghệ như DPD, NAT-T và Initial Contact để tăng tính tương thích IPsec giữa các nhà cung cấp. NAT-T dùng nhiều trong SDWAN, Voice...Nó giúp các thiết bị này có thể đi xuyên qua NAT và tìm về SDN Controller ở ngoài Internet.
III. Perfect Forward Secrecy (PFS)
- Nếu bộ định tuyến VPN cần kết nối nhiều mạng, nó cần thiết lập nhiều IPsec SA đơn hướng.
Ví dụ: 3 mạng con → cần 6 SA (vì mỗi SA là một chiều).
- Có thể giảm số lượng SA nếu các mạng được tóm tắt (summarized).
- PFS yêu cầu trao đổi Diffie-Hellman mới trong Giai đoạn 2, tạo ra vật liệu khóa không phụ thuộc vào Giai đoạn 1 → tăng bảo mật.
Xem hình nha các bạn.
V. Thương lượng Giai đoạn 2: Các bước cụ thể
Hình minh họa (không trích ở đây) mô tả thương lượng giữa FTD-1 (bên khởi tạo) và FTD-2 (bên phản hồi):
- FTD-1 gửi:
Thông tin định danh
Đề xuất IPsec SA
Payload nonce
(Tùy chọn) payload trao đổi khóa nếu có PFS
- FTD-2 phản hồi:
Đề xuất được chấp nhận
Thông tin định danh
Payload nonce
Payload trao đổi khóa (nếu cần)
- FTD-1 xác nhận:
Các IPsec SA được thiết lập thành công
Bắt đầu quá trình mã hóa dữ liệu
- IPsec có thể hoạt động theo chế độ Tunnel hoặc Transport, tùy vào yêu cầu.
- Thông tin định danh ở Giai đoạn 2 có thể áp dụng cho toàn mạng hoặc một địa chỉ IP duy nhất, với tùy chọn cổng và giao thức cụ thể.
- IKEv1 Giai đoạn 2 là trung tâm trong việc bảo vệ dữ liệu giữa các thiết bị VPN bằng cách thiết lập các chính sách mã hóa và xác thực.