Internet Key Exchange
Főnév
Internet Key Exchange (tsz. Internet Key Exchanges)
- (informatika) Az Internet Key Exchange (IKE) egy kriptográfiai protokoll, amelyet arra terveztek, hogy két eszköz között (általában routerek, tűzfalak vagy VPN-kliens/szerver) biztonságos kommunikációs kapcsolatot hozzon létre. Az IKE a VPN-ek, különösen az IPsec-alapú VPN-ek kulcsfontosságú eleme.
Az IKE protokoll célja, hogy kriptográfiai kulcsokat biztonságosan generáljon, cseréljen és kezeljen két fél között, akik bizalmas adatokat szeretnének továbbítani egymásnak.
🧱 Az IKE alapjai
Mit csinál pontosan az IKE?
Az IKE: - Autentikálja a feleket (megerősíti, hogy kik ők) - Tárgyalja a titkosítási algoritmusokat - Létrehozza a biztonsági asszociációkat (SAs) – ezek határozzák meg, hogy milyen kulcsokkal és algoritmusokkal titkosítanak - Kezeli a kulcsokat és biztosítja, hogy időnként frissüljenek
🔁 IKE két fázisa
Az IKE működése két fázisban zajlik:
✅ IKE Phase 1 – Biztonságos csatorna létrehozása
Cél: kialakítani egy IKE SA-t (Security Association), amelyen keresztül a későbbi kulcscsere biztonságosan történhet.
- A felek azonosítják és autentikálják egymást
- A protokoll és algoritmusok (pl. titkosítás, hash, kulcscsere) megegyezésre kerülnek
- A kapcsolat lehet:
- Main Mode – teljes védelem, identitás titkosítva
- Aggressive Mode – gyorsabb, de kevésbé biztonságos, identitás nyílt
✅ IKE Phase 2 – IPsec SAs tárgyalása
Cél: kialakítani az IPsec SA-t, amely meghatározza, hogyan védjük az adatforgalmat.
- Ezen a ponton már titkosított kommunikáció történik
- A felek megállapodnak az IPsec protokoll (ESP vagy AH), algoritmusok, kulcsok stb. részleteiben
- Csak Quick Mode létezik
🔐 Milyen autentikációs módszereket használhat IKE?
- PSK (Pre-Shared Key) – előre megosztott jelszó
- Digitális tanúsítvány (X.509) – PKI-alapú azonosítás
- RSA-alapú aláírások
A választott módszer a biztonsági igényektől függ: PSK egyszerűbb, tanúsítványos megoldás biztonságosabb és skálázhatóbb.
🧪 Példa: IKE működése
Tegyük fel, hogy két eszköz (Router A és Router B) VPN-t szeretne létrehozni. Az IKE a következőket végzi:
- Router A elküldi az IKE SA ajánlatát, benne a támogatott algoritmusokat
- Router B kiválasztja a közös algoritmusokat és visszaválaszol
- A felek Diffie-Hellman kulcscserét hajtanak végre (közös titok létrehozása)
- A kiválasztott autentikációs módszerrel igazolják egymás kilétét
- IKE Phase 1 lezárul, biztonságos csatorna létrejön
- Ezután IKE Phase 2 tárgyalás során megállapodnak az IPsec részleteiben
- Létrejön az IPsec SA, és megindulhat a titkosított adatforgalom
🧩 Használt algoritmusok
Az IKE során különböző algoritmusokat tárgyalnak meg:
| Funkció | Példa algoritmusok |
|---|---|
| Titkosítás | AES, 3DES |
| Integritás | SHA-1, SHA-2, MD5 |
| Kulcscsere | Diffie-Hellman (DH1, DH2, DH14, stb.) |
| Autentikáció | PSK, RSA, Tanúsítvány |
🛡️ Miért fontos az IKE?
- Biztonság: A titkos kulcsokat nem nyíltan továbbítja, hanem közösen generálják.
- Automatizálás: Nem kell kézzel beállítani minden kulcsot.
- Rugalmas: Különböző hálózati eszközök és gyártók is kompatibilisek lehetnek.
- Megbízhatóság: Folyamatosan képes újrakonfigurálni az SA-kat és cserélni a kulcsokat.
🔄 Main Mode vs Aggressive Mode – összehasonlítás
| Tulajdonság | Main Mode | Aggressive Mode |
|---|---|---|
| Üzenetek száma | 6 | 3 |
| Identitás titkosítása | ✅ Igen | ❌ Nem |
| Biztonság | Magas | Közepes |
| Sebesség | Lassabb | Gyorsabb |
| Használati eset | Site-to-site VPN | Dinamikus IP, távoli hozzáférés |
🔧 IKE verziók
IKEv1:
- Elterjedt, de elavultabb
- Rugalmas, de bonyolult implementáció
- Main Mode és Aggressive Mode támogatása
IKEv2:
- Modern verzió, jobban támogatja a mobilitást, NAT-ot
- Egyszerűbb állapotkezelés
- Gyorsabb kapcsolatfelépítés
- Kisebb hibalehetőség, fejlettebb védelem DoS ellen
⚠️ Biztonsági megfontolások
- Gyenge PSK használata veszélyes lehet – könnyen visszafejthető
- Tanúsítványok lejárata és visszavonása kezelendő
- DH-csoportok kiválasztása fontos a kulcsok erőssége miatt
- Folyamatos kulcscsere (rekeying) ajánlott hosszabb VPN kapcsolatok esetén
🧠 Összefoglalás
| Jellemző | Leírás |
|---|---|
| Protokoll | IKE (Internet Key Exchange) |
| Cél | Biztonságos kulcscsere és SA kezelés IPsec VPN-hez |
| Fázisok | Phase 1: IKE SA, Phase 2: IPsec SA |
| Módok | Main Mode (biztonságosabb), Aggressive Mode (gyorsabb) |
| Autentikáció | PSK, RSA, tanúsítvány |
| Verziók | IKEv1, IKEv2 |
| Használati terület | Site-to-site VPN, Remote access VPN, IPsec-alapú biztonság |
- Internet Key Exchange - Szótár.net (en-hu)
- Internet Key Exchange - Sztaki (en-hu)
- Internet Key Exchange - Merriam–Webster
- Internet Key Exchange - Cambridge
- Internet Key Exchange - WordNet
- Internet Key Exchange - Яндекс (en-ru)
- Internet Key Exchange - Google (en-hu)
- Internet Key Exchange - Wikidata
- Internet Key Exchange - Wikipédia (angol)