📘 Bài 4–6/8: Giao thức IKE – Từ cái bắt tay đầu tiên đến mã hóa dữ liệu


Trong thế giới bảo mật mạng, IPsec là công nghệ cốt lõi để xây dựng các kết nối VPN an toàn. Nhưng điều làm nên sự linh hoạt, tự động và an toàn trong triển khai IPsec chính là giao thức IKE (Internet Key Exchange). Trong bài này, chúng ta sẽ đi sâu vào tổng quan hoạt động của IPsec, chi tiết IKEv1 Phase 1 và Phase 2, bao gồm cả các bước trao đổi, thuật toán sử dụng, và cách Cisco triển khai thực tế.

---

🔄 Tổng quan quy trình IPsec VPN – 6 bước cơ bản

1. Interesting Traffic – Gói tin được phát hiện khớp với Crypto ACL → kích hoạt IKE.
2. Phase 1 (ISAKMP) – Đàm phán kênh bảo mật ban đầu.
3. Phase 1.5 (nếu có) – Xác thực người dùng trong VPN truy cập từ xa.
4. Phase 2 (IPsec) – Đàm phán các thông số mã hóa dữ liệu thực.
5. Data Transfer – Truyền tải dữ liệu mã hóa.
6. Tunnel Termination – Kết thúc hoặc làm mới kết nối.

---

🔑 Giao thức IKE là gì?


IKE là giao thức quản lý khóa được định nghĩa trong RFC 2409 (IKEv1) và RFC 5996 (IKEv2), hoạt động dựa trên:

• ISAKMP (Internet Security Association and Key Management Protocol)
• Oakley – xác định cơ chế trao đổi khóa.
• SKEME – bảo vệ danh tính và hỗ trợ nhiều chế độ xác thực.

IKE có hai giai đoạn:

• Giai đoạn 1 (Phase 1): Thiết lập ISAKMP SA (đường hầm điều khiển).
• Giai đoạn 2 (Phase 2): Thiết lập IPsec SA (đường hầm dữ liệu thực).

---

🚀 IKEv1 Phase 1 – Thiết lập ISAKMP SA

🎯 Mục tiêu:

• Thiết lập một kênh bảo mật hai chiều giữa hai thiết bị.
• Bảo vệ các trao đổi Phase 2.
• Thỏa thuận các thông số bảo mật cơ bản: thuật toán, xác thực, khóa.

---

🔍 Các bước chi tiết trong đàm phán Main Mode – Giai đoạn 1

Bước 1 – Gửi đề xuất ISAKMP:


Thiết bị khởi tạo (ví dụ: FTD-1) gửi các ISAKMP proposal đến đối tác (FTD-2), gồm:

• Thuật toán mã hóa (AES, AES-192, AES-256)
• Thuật toán băm (SHA-1, MD5)
• Nhóm Diffie-Hellman (Group 1, 2, 5, 14, 19…)
• Phương thức xác thực (PSK, RSA, Certificate)
• Lifetime

Bước 2 – Đánh giá đề xuất:


FTD-2 chọn một proposal khớp và gửi phản hồi chấp thuận. Bước 3 – Trao đổi khóa Diffie-Hellman:


Hai bên bắt đầu tạo khóa chung bằng cách trao đổi public key và nonce. Đây là bước tạo SKEYID – chuỗi khóa gốc được dùng để sinh khóa thực. Bước 4 – Tính toán SKEYID:


Mỗi thiết bị dùng nonce, khóa chia sẻ và thông tin khác để tạo ra cùng một SKEYID. Bước 5 – Gửi danh tính (mã hóa):


FTD-1 gửi ID và xác thực (bằng PSK hoặc certificate), mã hóa bằng khóa từ SKEYID. Bước 6 – Xác thực đối tác và tạo ISAKMP SA:


FTD-2 kiểm tra thông tin, xác thực danh tính, gửi lại ID của mình (cũng mã hóa). Nếu khớp, ISAKMP SA được thiết lập.

---

🔒 Các chế độ Phase 1

• Main Mode (6 bước): Bảo mật cao, bảo vệ danh tính khi dùng PSK.
• Aggressive Mode (3 bước): Nhanh hơn, danh tính bị lộ, chỉ bảo vệ khi dùng certificate.

🔸 Cisco triển khai thực tế:

• Main Mode: dùng cho site-to-site VPN (mặc định nếu dùng PSK).
• Aggressive Mode: dùng cho VPN truy cập từ xa.

---

📐 Các nhóm Diffie-Hellman

---

🔐 IKEv1 Phase 2 – Đàm phán IPsec SA (Quick Mode)


Mục tiêu Phase 2: Đàm phán đường hầm IPsec SA thực tế dùng để mã hóa dữ liệu. Nội dung:

• Thuật toán mã hóa: AES, 3DES...
• Xác thực: SHA, MD5...
• Traffic selector (crypto ACL)
• Lifetime
• Tùy chọn: Perfect Forward Secrecy (PFS) → tạo khóa mới độc lập hoàn toàn với Phase 1

---

🔐 Perfect Forward Secrecy (PFS)

• Thực hiện lại trao đổi Diffie-Hellman trong Phase 2.
• Bảo đảm nếu khóa Phase 1 bị lộ, Phase 2 vẫn an toàn.
• Tăng độ bảo mật nhưng cần thêm tài nguyên.

---

🧠 Kết luận


IKE là nền tảng bảo mật của mọi phiên IPsec. Việc hiểu sâu các bước ISAKMP, các chế độ hoạt động, và cơ chế xác thực là kỹ năng thiết yếu để:

• Triển khai VPN chuyên nghiệp
• Giải quyết sự cố “tắc ở Phase 1 hay 2”
• Đánh giá độ mạnh yếu của chính sách bảo mật

---

👉 Trong Bài 7, chúng ta sẽ tiếp tục với hai thành phần quan trọng:
NAT Traversal (NAT-T) và Perfect Forward Secrecy (PFS) – lý do vì sao IPsec vẫn sống sót và mạnh mẽ khi đi qua NAT và kết nối từ xa động.

Bạn đã sẵn sàng cho phần hay nhất chưa?
​