تبادل مفتاح الإنترنت Internet Key Exchange

اقرأ في هذا المقال


يُعد “IKE” جزءاً من بروتوكول أمان الإنترنت “IPSec” المسؤول عن التفاوض بشأن اقترانات الأمان “SAs” وهي مجموعة من المفاتيح والخوارزميات المتفق عليها، وبشكل متبادل لاستخدامها من قبل الطرفين اللذين يحاولان إنشاء اتصال “VPN“.

ما هو تبادل مفتاح الإنترنت IKE؟

تبادل مفتاح الإنترنت “IKE”: هو البروتوكول المستخدم لإعداد قناة اتصالات آمنة ومصادق عليها بين طرفين، ويستخدم عادةً شهادات “X.509 PKI” للمصادقة وبروتوكول تبادل المفاتيح “Diffie-Hellman” لإعداد سر جلسة مشتركة.

كما يُعد “IKE” طريقة لتأسيس اقتران أمان “SA” في بروتوكول “IPsec”، وتم تقديمه في عام 1998م وهو يصادق على المستخدمين ويتفاوض بشأن طريقة التشفير ويتبادل المفتاح السري، ومشتق من “ISAKMP” وتقنيات تبادل المفاتيح الأخرى ويستخدم “IKE” تشفير المفتاح العام لإرسال المفتاح السري إلى المستلم.

  • “IKE” هي اختصار لـ “Internet-Key-Exchange”.
  • “SA” هي اختصار لـ “Slang/Internet”.
  • “IPSec” هي اختصار لـ “Internet-Protocol-Security”.
  • “VPN” هي اختصار لـ “virtual-private-network”.

أساسيات IKE:

يُعد “IKE” هو بروتوكول إدارة مفتاح آمن يستخدم لإعداد قناة اتصالات آمنة ومصادق عليها بين جهازين ويقوم “IKE” بما يلي:

  • يفاوض ويدير معلمات “IKE” و”IPsec”.
  • يصادق على تبادل آمن للمفاتيح.
  • يوفر مصادقة متبادلة بين الأقران عن طريق الأسرار المشتركة وليس كلمات المرور والمفاتيح العامة.
  • يوفر حماية الهوية في الوضع الرئيسي.
  • يستخدم أساليب “Diffie-Hellman” وهو اختياري في “IPsec” ويمكن إدخال المفاتيح المشتركة يدوياً في نقاط النهاية.

1- يدعم IKE طرق مصادقة متعددة كجزء من تبادل المرحلة 1 وتشمل الطرق:

  • مفاتيح مشتركة مسبقاً، ويتم إدخال قيمة مفتاح في كل نظير يدوياً خارج النطاق وتُستخدم لمصادقة النظير.
  • تواقيع “RSA”، ويستخدم شهادة رقمية مصادق عليها بواسطة توقيع “RSA”.
  • “RSA” الرموز غير المشفرة، ويستخدم تشفير “RSA” لتشفير قيمة “nonce”.
  • في “المرحلة 2” يتفاوض “IKE” مع اتصالات أمان “IPSec” ويقوم بإنشاء المواد الأساسية المطلوبة لـ “IPSec”.

ملاحظة:“RSA” هي اختصار لـ “Rivest–Shamir–Adleman”.

2- ما هو بروتوكول IKEV2؟

يُعد بروتوكول “IKEv2” هو تحسين على “IKEv1” الذي تم إصداره في 2005م، وتشمل التحسينات التي تم إدخالها فيه:

  • دعم مصادقة “EAP” المطلوبة للاتصال بأنظمة مصادقة المؤسسة الحالية.
  • دعم “MOBIKE” الذي يسمح باستخدام “IKE” في الأنظمة الأساسية للجوّال مثل الهواتف.
  • اجتياز “NAT” المدمج وهو ضروري لدعم المواقف التي يقوم فيها جهاز التوجيه على طول المسار بترجمات عنوان الشبكة.
  • اكتشاف ما إذا كانت قناة الاتصال تعمل، لتمكين “IKE” من إعادة إنشاء الاتصال تلقائياً عند الحاجة.

ملاحظة:“EAP” هي اختصار لـ “Extensible-Authentication-Protocol”.

3- مراحل IKE:

  • في المرحلة الأولى ينشئ “IKE” قناة آمنة وموثقة بين نظيرين “IKE”.
  • في المرحلة 2 يتفاوض “IKE” مع اتصالات أمان “IPSec” ويعمل على إنشاء المواد الأساسية المطلوبة لـ “IPSec”.

4- ما هو الفرق بين “IKEV2” و”IPSEC”؟

يُعد “IKE” بشكل عام و”IKEv2″ على وجه التحديد جزءاً من بروتوكول أمان الإنترنت “IPSec” المسؤول عن إجراء المصادقة المسبقة، وتبادل مفاتيح التشفير والتفاوض على الخوارزميات التي سيتم استعمالها.

5- ما هو “ISAKMP” في الشبكات؟

تحدد رابطة أمان الإنترنت وبروتوكول إدارة المفاتيح “ISAKMP” كيفية تكوين اقترانات الأمان التي تتضمن على المعلومات المطلوبة؛ لتنفيذ خدمات أمان الشبكة المختلفة والتفاوض عليها وتعديلها وحذفها، مثل خدمات طبقة “IP”.

يستعمل “ISAKMP” أحياناً “IKE” لتبادل المفاتيح على الرغم من تطبيق وسائل أخرى، ولا تحدد بروتوكولات تبادل المفاتيح من أجل الفصل بين تفاصيل إدارة ارتباط الأمان، وإدارة المفاتيح عن تفاصيل تبادل المفاتيح.

  • “ISAKMP” هي اختصار لـ “Internet-Security-Association-and-Key-Management-Protocol”.
  • “IP” هي اختصار لـ “Internet-Protocol”.

إصدارات IKE:

  • الإصدار 1 من “IKE”: هو بروتوكول “IKE” المحدد في “RFC 2409”.
  • الإصدار 2 من “IKE”: هو الإصدار 2 من “IKE” هو أحدث إصدار من بروتوكول “IKE” المحدد في “RFC 7296”.

ملاحظة:“RFC” هي اختصار لـ “Request-for-Comments”.

مزايا استخدام IKEv2 عبر IKEv1:

  • يستبدل ثمانية تبادلات أولية بتبادل واحد من أربع رسائل.
  • يقلل زمن الوصول لإعداد “IPsec SA” ويزيد من سرعة إنشاء الاتصال.
  • يزيد من المتانة ضد هجمات “DOS”.
  • يحسن الموثوقية من خلال استخدام أرقام التسلسل وإقرارات الاستلام وتصحيح الأخطاء.
  • يحسن الموثوقية، حيث أنّ جميع الرسائل عبارة عن طلبات أو ردود، والبادئ مسؤول عن إعادة الإرسال إذا لم يتلق رداً.

ملاحظة:“DOS” هي اختصار لـ “Denial-of-Service-Computing”.

خيارات تكوين IKE:

  • بالنسبة إلى اثنين من عناصر “IKE” للمصادقة على بعضهما البعض يجب أن يكون ملف التكوين لسياسة “IKE” الخيار “ike.config 4” صالحاً.
  • يجب أن تكون مادة القفل متاحة.
  • يحتوي ملف التكوين على إدخالات نهج “IKE”.
  • تحدد الإدخالات طريقة مصادقة تبادل المرحلة 1 والاختيارات هي مفاتيح مشتركة مسبقاً أو شهادات مفاتيح عامة.
  • يشير زوج المفاتيح “auth_method” الذي تمت مشاركته مسبقاً إلى استخدام المفاتيح المشتركة مسبقاً.
  • تُعتبر قيم طريقة المصادقة غير المشتركة مسبقاً مؤشراً واحداً على استخدام شهادات المفتاح العام.
  • يمكن أن تكون شهادات المفاتيح العامة موقعة ذاتياً أو يمكن تثبيت الشهادات من مؤسسة “PKI”.

ملاحظة:“PKI” هي اختصار لـ “Public-Key-Infrastructure”.

كيفية استخدام المفاتيح المشتركة مسبقا:

  • يتم إنشاء المفاتيح المشتركة مسبقاً بواسطة مسؤول على نظام واحد ويتم مشاركتها خارج النطاق الترددي مع مسؤولي أنظمة الاتصال.
  • يجب على المسؤول الحرص على إنشاء مفاتيح عشوائية كبيرة وحماية الملف والإرسال خارج النطاق.
  • يتم وضع المفاتيح في الملف “/etc/inet/secret/ike.preshared” على كل نظام.
  • ملف “ike.preshared (4)” مخصص لـ “IKE”، حيث أنّ ملف “ipseckeys” مخصص لـ “IPsec”.
  • تؤدي تسوية المفاتيح الموجودة في ملف “ike.preshared” إلى اختراق جميع المفاتيح المشتقة من المفاتيح الموجودة في الملف.
  • يجب أن يكون المفتاح المشترك مسبقًا لنظام واحد مطابقاً لمفتاح نظام الاتصال الخاص به وترتبط المفاتيح بعنوان “IP” معين، وتكون أكثر أماناً عندما يتحكم أحد المسؤولين في أنظمة الاتصال.
  • تقضي شهادات المفاتيح العامة على الحاجة إلى أنظمة الاتصال لمشاركة مواد المفاتيح السرية خارج النطاق.
  • تستخدم المفاتيح العامة طريقة “Diffie-Hellman” للمصادقة والتفاوض على المفاتيح، كما تأتي شهادات المفاتيح العامة في نوعين، زيمكن أن تكون الشهادات موقعة ذاتياً أو يمكن اعتماد الشهادات بواسطة مرجع مصدق “CA”.
  • يتم إنشاء شهادات المفاتيح العامة الموقعة ذاتياً بواسطة مسؤول.
  • ينشئ الأمر “ikecert certlocal -ks” الجزء الخاص من زوج المفاتيح العامة والخاصة للنظام.
  • ثم يحصل المسؤول على إخراج الشهادة الموقعة ذاتياً بتنسيق “X.509” من نظام الاتصال.
  • يتم إدخال شهادة نظام الاتصال إلى الأمر “ikecert certdb” للجزء العام من زوج المفاتيح والشهادات الموقعة ذاتياً موجودة في الدليل “/ etc / inet / ike / publickeys” على المضيفين المتصلين.
  • الشهادات الموقعة ذاتياً هي نقطة منتصف الطريق بين المفاتيح المشتركة مسبقاً و”CAs” وبخلاف المفاتيح المشتركة مسبقاً، يمكن استخدام الشهادة الموقعة ذاتيًا على جهاز محمول أو نظام يمكن إعادة ترقيمه، وللتوقيع الذاتي على شهادة يستخدم المسؤول اسم بديل لنظام أسماء النطاقات أو البريد الإلكتروني.
  • يمكن تسليم المفاتيح العامة بواسطة “PKI” أو مؤسسة “CA”، ويتم تثبيت المفاتيح العامة و”CAs” المصاحبة لها في الدليل “/ etc / inet / ike / publickeys” بواسطة المسؤول، ويقوم البائعون أيضاً بإصدار قوائم إبطال الشهادات “CRLs” إلى جانب تثبيت المفاتيح و”CAs”، ويكون المسؤول مسؤولاً عن تثبيت “CRLs” في الدليل “/ etc / inet / ike / crls”.
  • تتمتع المراجع المصدقة “CA” بميزة كونها معتمدة من قبل مؤسسة خارجية بدلاً من مسؤول الموقع، والمراجع المصدقة هي شهادات موثقة، مثل الشهادات الموقعة ذاتياً ويمكن استخدام المراجع المصدقة “CA” على جهاز محمول أو على نظام يمكن إعادة ترقيمه، وعلى عكس الشهادات الموقعة ذاتياً فإنّ المراجع المصدقة تتوسع بسهولة شديدة لحماية عدد كبير من أنظمة الاتصال.

ملاحظة: “CA” هي اختصار لـ “Certificate-Authenticity” و”CRL” هي اختصار لـ “Certificate-Revocation-List”.

المصدر: Chapter 3 Internet Key Exchange (Overview)Internet Key ExchangeINTERNET KEY EXCHANGE (IKE)IKE


شارك المقالة: