1. Trang chủ
  2. » Mẫu Slide

ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG ooo BÁO CÁO đề TÀI IPSEC over TCP UDP GVHD

43 11 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 43
Dung lượng 2,74 MB

Nội dung

ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG oOo BÁO CÁO ĐỀ TÀI IPSEC over TCPUDP GVHD Trần Thị Thảo Nguyên Nhóm trình bày Nhóm phản biện Hoàng Đức Phú 0920090 Nguyễn Hoài Nhân 0920078 Nguyễn Hùng Cường 0920010 Đặng Ngàn Nhất Phương 0920092 Hồ Minh Tâm 0920219 Trần Thị Như Thắm 0920223 Nguyễn Thanh Hùng 0920181 Võ Quốc Anh 0920149 Phan Thị Xuân Lan 0920054 MỤC LỤC I GIỚI THIỆU 3 II KẾT NỐI IP SEC 8 III ISAKMPIKE GIAI ĐOẠN 1 TẠO KẾT NỐI QUẢN LÝ 9 A.

ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ - VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG oOo BÁO CÁO ĐỀ TÀI: IPSEC over TCP/UDP GVHD: Trần Thị Thảo Ngun Nhóm trình bày : Hồng Đức Phú Nhóm phản biện : 0920090 Nguyễn Hoài Nhân 0920078 Nguyễn Hùng Cường 0920010 Đặng Ngàn Nhất Phương 0920092 Hồ Minh Tâm Trần Thị Như Thắm 0920223 Võ Quốc Anh 0920149 0920219 Nguyễn Thanh Hùng 0920181 Phan Thị Xuân Lan 0920054 MỤC LỤC I GIỚI THIỆU : II KẾT NỐI IP SEC: III ISAKMP/IKE GIAI ĐOẠN 1: TẠO KẾT NỐI QUẢN LÝ: A Kết nối quản lý: 10 1.Main Mode: 10 2.Aggressive Mode: 11 3.ISAKMP/IKE Transforms: 11 B Giao thức trao đổi key: Diffie-Hellman (DH): 13 C Chứng thực thiết bị: 14 IV ISAKMP/IKE GIAI ĐOẠN 2: TẠO KẾT NỐI DỮ LIỆU: 15 A Những thành phần ISAKMP/IKE giai đoạn 2: 15 B Các giao thức bảo mật giai đoạn 2: 16 1.Giao thức Authentication Header (AH): 17 2.Giao thức Encapsulating Security Payload ( ESP): 26 C Phương thức kết nối Phase 2: 32 1.Transport mode : 32 2.Tunnel mode: 34 D Phase Transforms: 36 E Kết nối liệu: 36 V IPSEC OVER TCP/UDP : 37 A Vấn đề chuyển đổi địa IP Sec: 37 B Giải vấn đề chuyển đổi địa IP Sec: 40 VI TÀI LIỆU THAM KHẢO: Error! Bookmark not defined I GIỚI THIỆU : Nhu cầu sử dụng IP Sec nay: Giao thức TCP/IP đóng vai trị quan trọng hệ thống Về nguyên tắc, có nhiều tùy chọn khác giao thức để triển khai hệ thống mạng TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP lựa chọn gần bắt buộc giao thức sử dụng làm giao thức tảng mạng Internet Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật quan tâm, đó, giao thức TCP/IP không trang bị giao thức Cấu trúc gói liệu (IP, TCP, UDP giao thức ứng dụng) mơ tả cơng khai, bắt gói IP mạng, phân tích gói để đọc phần liệu chứa bên trong, chưa kể nay, cơng cụ bắt phân tích gói xây dựng với tính mạnh phát hành rộng rãi.Việc bổ sung chế bảo mật vào mơ hình TCP/IP, giao thức IP nhu cầu cấp bách.IP Security (IPSec) giao thức chuẩn hoá IETF từ năm 1998 nhằm mục đích nâng cấp chế mã hố xác thực thông tin cho chuỗi thông tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính tồn vẹn liệu chứng thực liệu thiết bị mạng IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc Khái niệm IP Sec : IPSec (Internet Protocol Security) giao thức IETF phát triển IPSec định nghĩa giao thức tầng mạng cung cấp dịch vụ bảo mật, nhận thực, toàn vẹn liệu điều khiển truy cập Nó tập hợp tiêu chuẩn mở làm việc phần thiết bị Một cách chung nhất, IPSec cho phép đường ngầm bảo mật thiết lập mạng riêng nhận thực hai đầu đường ngầm Các thiết bị hai đầu đường ngầm cặp host, cặp cổng bảo mật (có thể router, firewall, tập trung VPN) cặp thiết bị gồm host cổng bảo mật Đường ngầm đóng vai trị kênh truyền bảo mật hai đầu gói liệu yêu cầu an tồn truyền IPSec thực đóng gói liệu thơng tin để thiết lập, trì hủy bỏ kênh truyền khơng dùng đến Các gói tin truyền đường ngầm có khn dạng giống gói tin bình thường khác không làm thay đổi thiết bị, kiến trúc ứng dụng có mạng trung gian, qua cho phép giảm đáng kể chi phí để triển khai quản lý IPSec có chế để đảm bảo an tồn liệu AH (Authentication Header), ESP (Encapsulating Security Payload), IKE (Internet Key Exchange) ISAKMP (Internet Security Association and Key Management Protocol) IPSec phải hỗ trợ ESP hỗ trợ AH:  AH cho phép xác thực nguồn gốc liệu, kiểm tra tính tồn vẹn liệu dịch vụ tùy chọn chống phát lại gói IP truyền hai hệ thống AH khơng cung cấp tính bảo mật, điều có nghĩa gửi thơng tin dạng rõ  ESP giao thức cung cấp tính an tồn gói tin truyền bao gồm: Mật mã liệu, xác thực nguồn gốc liệu, kiểm tra tính tồn vẹn phi kết nối liệu ESP đảm bảo tính bí mật thơng tin thơng qua việc mật mã gói tin IP Tất lưu lương ESP mật mã hai hệ thống Với đặc điểm xu hướng sử dụng ESP nhiều AH để tăng tính an tồn cho liệu  Cả AH ESP phương tiện cho điều khiển truy nhập, dựa vào phân phối khóa mật mã quản lý luồng giao thơng có liên quan đến giao thức an toàn  IKE (Internet Key Exchange): IKE giao thức thực q trình trao đổi khóa thỏa thuận thông số bảo mật thiết bị với như: mã hóa nào, dùng thuật tốn nào, trao đổi khóa lần Sau trao đổi xong có thương lượng hai đầu cuối, IPsec SA (Security Association) tạo Một SA, liên kết bảo mật, xem nhóm thành phần, thông số bảo mật thống đầu cuối, nói cách khác, tất thơng số thương lượng khóa tạo ra, thiết bị có SA sử dụng SA để giao tiếp với thiết bị khác  ISAKMP (Internet Security Association and Key Management Protocol): giao thức thực việc thiết lập, thỏa thuận quản lý sách bảo mật SA Giao thức kèm với giao thức IKE nên ta viết ISAKMP/IKE Những giao thức áp dụng hay kết hợp với để cung cấp tập giao thức an toàn mong muốn IPv4 IPv6, cách chúng cung cấp dịch vụ khác Đối với hai giao thức AH ESP này, IPSec khơng định thuật tốn an tồn cụ thể sử dụng, mà thay vào khung chuẩn để sử dụng thuật tốn theo tiêu chuẩn cơng nghiệp IPSec sử dụng thuật toán: Mã nhận thực tin sở băm (HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA1 để thực chức tồn vẹn tin; Thuật tốn DES, 3DES để mật mã liệu; Thuật tốn khóa chia sẻ trước, RSA chữ ký số RSA mật mã giá trị ngẫu nhiên (Nonces) để nhận thực bên Ngoài chuẩn định nghĩa việc sử dụng thuật tốn khác IDEA, Blowfish RC4 IPSec sử dụng giao thức IKE (Internet Key Exchange) để xác thực hai phía làm giao thức thương lượng sách bảo mật nhận thực thơng qua việc xác định thuật toán dùng để thiết lập kênh truyền, trao đổi khóa cho phiên kết nối, dùng phiên truy cập Mạng dùng IPSec để bảo mật dịng liệu tự động kiểm tra tính xác thực thiết bị giấy chứng nhận số hai người dùng trao đổi thông tin qua lại Việc thương lượng cuối dẫn đến thiết lập kết hợp an ninh (SAS) cặp bảo mật, kết hợp an ninh có tính chất hai chiều trực tiếp Thông tin kết hợp an ninh lưu sử liệu liên kế an ninh, SA ấn định số tham số an ninh bảng mục lục cho kết hợp địa đích với giao thức an ninh (ESP AH) có Lịch sử phát triển IP Sec: Từ công nghệ ipsec đời, khơng cịn biết đến chuẩn interrnet đơn lẽ nữa, mà định nghĩa chuẩn RFC, kể đến bảng sau: RFC Tiêu đề Chủ đề Thời gian 1825 Security Architure for the Internet IPSec 8/1995 Protocol (kiến trúc bảo mật cho giao thức Internet) 1826 IP Authentication Header AH 8/1995 ESP 8/1995 MD5 8/1995 DES 8/1995 (Nhận thực tiêu đề IP) 1827 IP Encapsulating Security Payload (đóng gói an tồn tải IP) 1828 IP Authentication Using Keyed MD5 (Nhận thực IP sử dụng khoá MD5) 1829 The ESP DES-CBC Transform (sự biến đổi ESP nhờ DES-CBC) 2104 HMAC: Keyed-Hashing for Message HMAC Authentication (HMAC: Khoá băm cho nhận thực 1/1997 tin) 2202 Test Cases for HMAC-MD5 and HMAC- HMAC-MD5 SHA-1 9/1997 HMAC-SHA-1 (các trường hợp kiểm tra cho HMACMD5 HMAC-SHA-1) 2401 Security Architure for Internet Protocol IPSec 10/1998 2402 IP Authentication Header AH 10/1998 2403 The Use of HMAC-MD5-96 within ESP HMAC-MD5 10/1998 and AH (sử dụng HMAC-MD5-96 với ESP) 2404 The Use of HMAC-SHA-1-96 within ESP HMAC-SHA-1 10/1998 and AH (sử dụng HMAC-SHA-1-96 với ESP AH) 2405 The ESP DES-CBC Cipher Algorithm DES 10/1998 With Explicit IV (Thuật toán mã hoá ESP DES-CBC IV (vector khởi tạo)) 2406 IP Encapsulating Security Payload ESP 2407 The Internet IP Security Domain of ISAKMP 10/1998 10/1998 Interpretation for ISAKMP (bảo mật gói tin IP phạm vi làm sáng tỏ ISAKMP) 2408 Internet Security Association and Key ISAKMP Management Protocol (giao thức quản lý kết hợp an ninh 10/1998 Internet Khoá) 2409 The Internet Key Exchange IKE 10/1998 (phương thức trao đổi khoá internet) 2410 The NULL Encryption Algorithm and Its NULL 10/1998 Use With IPSec (vơ hiệu thuật tốn bảo mật sử dụng với IPSec) 2451 The ESP CBC-Mode Cipher Algorithms CBC 10/1998 (thuật toán mật mã kiểu CBC cho ESP) II KẾT NỐI IP SEC: Phần trình bày trình tạo kết nối để chia sẻ liệu cách bảo mật hai thiết bị IPsec Hai thiết bị phải qua bước sau đây: Kết nối IPsec bắt đầu có yêu cầu đó, thường yêu cầu cần có kết nối bảo mật từ thiết bị muốn kết nối với thiết bị đích Tất nhiên người quản trị người dùng bắt đầu trình từ thiết bị họ Nếu chưa có kết nối VPN tồn tại, IPsec sử dụng ISAKMP/IKE Phase để tạo kết nối quản lý bảo mật Kết nối quản lý cần thiết đảm bảo cho thiết bị liên lạc với cách an tồn, nữa, từ xây dựng kết nối liệu bảo mật Thông qua kết nối quản lý bảo mật này, hai thiết bị thương lượng, thống thông số bảo mật sử dụng để tạo nên kết nối liệu Các kết nối liệu dùng để truyền liệu files, Telnets, email, video, voice,… Khi kết nối liệu tạo, thiết bị IPsec sử dụng để truyền liệu cách an toàn Nếu hàm HMAC sử dụng thiết bị nguồn để tạo chữ ký số, thiết bị đích kiểm tra chữ ký để xác định tính tồn vẹn liệu chứng thực thơng tin hay sai Ngoài ra, liệu mã hóa nguồn đích giải mã Cả kết nối quản lý kết nối liệu có thời gian tồn (lifetime) xác định Điều để đảm bảo cho khóa bảo mật tạo lại khác với lúc trước, tránh trường hợp tìm cách phá khóa bảo mật bạn Khi hết thời hạn lifetime này, kết nối tự động đóng lại tạo lại ta tiếp tục cần gửi liệu Để có nhìn cụ thể giao thức IPsec Các phần sau trình bày giai đoạn (Phase) hoạt động ISAKMP/IKE III ISAKMP/IKE GIAI ĐOẠN 1: TẠO KẾT NỐI QUẢN LÝ: Trong phần làm rõ bước để thiết lập kết nối quản lý IPsec ISAKMP IKE hoạt động để thiết lập kết nối bảo mật, an toàn hai thiết bị ISAKMP định nghĩa thông số gói tin, với chế giao thức trao đổi khóa (Key), thực trình đàm phán Tuy nhiên giao thức ISAKMP khơng định nghĩa cách tạo, chia sẻ Key, quản lý kết nối bảo mật mà giao thức IKE thực việc Để hiểu rõ chi tiết ISAKMP/IKE thiết lập kết nối quản lý nào? Phần sau bao gồm ý sau: + Kết nối quản lý + Giao thức trao đổi Key: Diffie-Hellman + Chứng thực thiết bị A Kết nối quản lý: Kết nối thiết lập giai đoạn Kết nối sử dụng giao tiếp UDP port 500 Đây kết nối chiều, peers chia sẻ thơng điệp IPsec cho Lưu ý: Các kết nối ISAKMP/IKE sử dụng giao thức UDP Port nguồn đích 500; nhiên, vài nhà cung cấp sử dụng số port ngẫu nhiên lớn 1023 thay 500 Dù kết nối site-to-site kết nối từ xa, có điều sau xảy trình ISAKMP/IKE giai đoạn 1: Các peers đàm phán với việc kết nối quản lý bảo vệ Các peers dùng thuật tốn Diffie-Hellman để chia sẻ thơng tin Key để bảo vệ việc quản lý kết nối Các peers định danh, xác nhận với trước trình ISAKMP/IKE giai đoạn diễn ISAKMP/IKE giai đoạn chịu trách nhiệm cho việc thiết lập kết nối quản lý an tồn Tuy nhiên ta lại có chế độ để thực bước trên: + Main (chế độ chính) + Aggressive (chế độ linh hoạt) Main Mode: Main mode thực trao đổi chiều, tổng cộng packets Ba trao đổi bước liệt kê phần trên: đàm phán sách bảo mật sử dụng để quản lý kết nối, sử dụng Diffie-Hellman để mã hóa keys dùng cho thuật tốn mã hóa hàm HMAC đàm phán bước 1, thực xác thực thiết bị sử dụng ba cách sau: pre-shared keys, RSA encrypted nonces (khóa RSA sử dụng lần) RSA signatures (digital certificates – chứng thực số) Main mode có ưu điểm: bước xác thực thiết bị diễn thơng suốt q trình kết nối quản lý, kết nối xây dựng hai bước b Các thuật toán: Thuật toán sử dụng với ESP thường là:  DES, 3DES in CBC  HMAC with MD5  HMAC with SHA-1  NULL Authentication algorithm  NULL Encryption algorithm Đảm bảo hai dịch vụ bảo mật nhận thực phải thực hiện, nên hai thuật tốn xác thực mã hóa khơng đồng thời NULL  Các thuật tốn mã hóa: Thuật tốn mã hóa xác định bở SA ESP làm việc với thuật tốn mã hóa đối xứng Vì gói IP đến khơng thứ tự, nên gói phải mang thơng tin cần thiết để phía thu thiết lập đồng để giải mã Dữ liệu định trường Payload ( ví dụ dạng vector khởi tạo) thu từ header gói  Các thuật tốn xác thực: Thuật tốn xác thực sử dụng để tính ICV, xác định SA Đối với truyền thông point-topoint, thuật tốn xác thực thích hợp bao gồm hàm băm chiều MD5, SHA-1,… c Xử lý gói đầu ra: Đối với Transport mode, phía phát đóng gói thông tin giao thức lớp ESP header/trailer giữ nguyên IP header Đối với Tunnel mode, có thêm xuất outer IP header Quá trình xử lý cụ thể sau:  Tìm kiếm SA: ESP thực gói tin đầu q trình IPSec xác định gói tin liên kết với SA, SA yêu cầu ESP xử lý gói tin  Mã hóa gói tin: Đối với Transport mode đóng gói thơng tin giao thức lớp cao Với Tunnel mode, đóng gói tồn gói IP ban đầu, thêm trường Padding cần thiết, mã hóa trường sử dụng khóa; thuật tốn quy định SA đồng liệu mã hóa có  Tạo SN: Tương tự trường hợp giao thức AH  Tính tốn ICV: Nếu dịch vụ xác thực chọn phía phát tính tốn giá trị ICV liệu gói ESP trừ trường Authentication Data Các trường mã hóa thực trước xác thực Chi tiết tính tốn tương tự AH  Phân mảnh: Phân mảnh thực sau xử lý ESP Vì ESP Transport mode thực tồn gói IP, không thực mảnh Nếu thân gói IP qua xử lý ESP mà bị phân mảnh trình truyền qua router đường truyền mảnh phải ghép lại trước xử lý ESP phía thu Với Tunnel mode, ESP thực gói IP mà phần Payload gói IP phân mảnh d Xử lý gói đầu vào Q trình xử lý gói đầu vào ngược với q trình xử lý gói đầu ra:  Ghép mảnh: Được thực trước xử lý ESP  Tìm kiếm SA: Khi nhận gói ghép mảnh chứa ESP header, phía thu xác định SA phù hợp dựa trên: địa IP đích, giao thức an ninh ESP SPI Thông tin SA cho biết cần phải kiểm tra trường Sequence Number hay không, cần thêm trường Authentication Data không, thuật tốn khóa cần sử dụng để giải mã ICV có Nếu khơng tìm thấy SA phù hợp cho phiên truyền dẫn, phía thu loại bỏ gói  Kiểm tra SN: ESP ln hỗ trợ dịch vụ chống phát lại ( antireplay) Nếu dịch vụ xác thực không chọn, Sequence Number không bảo vệ tính tồn vẹn , dịch vụ anti-replay khơng thực Nếu phía thu khơng chọn dịch vụ chống phát lại, khơng cần kiểm tra Sequence Number Nếu phía thu chọn dịch vụ chống phát lại đếm gói thu khởi tạo thiết lập SA Với gói thu được, phía thu phải kiểm tra gói có chứa số Sequence Number khơng lặp gói thời gian tồn SA  Kiểm tra ICV: Nếu dịch vụ xác thực lựa chọn, phía thu tính ICV dựa liệu gói ESP, trừ trường AD, sử dụng thuật toán xác thực xác định SA so sánh với giá trị ICV trường Authentication gói Nếu giá trị ICV hồn tồn trùng khớp gói tin hợp lệ chấp nhận Ngược lại, phía thu loại bỏ gói tin Việc kiểm tra cụ thể sau: Giá trị ICV nằm trường Authentication Data tách khỏi gói ESP lưu trữ tạm Tiếp theo kiểm tra độ dài gói ESP( trừ trường AD vừa tách) Nếu Padding ngầm định yêu cầu thuật tốn xác thực byte thêm vào cuối gói ESP, sau trường Next Header Thực tính tốn ICV so sánh với giá trị lưu trữ tạm e Giải mã gói: Nếu ESP sử dụng mã hóa phải thực q trình giải mã Quá trình giải mã sau:  Giải mã ESP ( bao gồm trường Payload Data, Padding, Pad Length, Next header) sử dụng khóa Thuật tốn mã hóa xác định SA  Xử lý phần Padding theo đặc tả thuật tốn Phía thu cần tìm loại bỏ phần Padding trước chuyển liệu giải mã lên lớp  Xây dựng lại cấu trúc gói IP ban đầu từ IP header ban đầu thông tin giao thức lớp cao Payload ESP( Transport mode) outer IP header tồn gói IP ban đầu Payload ESP ( với Tunnel mode) Có lý dẫn đến q trình giải mã khơng thành cơng:  SA lựa chọn khơng SA sai thơng số SPI, IP đích  Độ dài phần Padding giá trị bị sai  Gói ESP mã hóa bị lỗi Chữ ký mã hóa Như phần nói, ESP mang lại bảo vệ cho giao thức lớp Hình sau cho ta thấy phần ESP giúp thực nhiệm vụ đảm bảo tính tồn vẹn liệu phần phần mã hóa thực nhiệm vụ bảo mật liệu “Chữ ký mã hóa” (Nguồn: http://technet.microsoft.com/enus/library/cc959510.aspx ) C Phương thức kết nối Phase 2: Như đề cập phần trên, có hai cách mà AH ESP sử dụng để truyền thơng tin bảo mật đến đích:  Transport mode  Tunnel mode Transport mode : Transport mode sử dụng hai thiết bị nguồn đích đầu cuối thực (để phân biệt với trường hợp Tunnel Mode), tức kết nối end-to-end, thiết bị thực dịch vụ bảo vệ cho liệu IPsec Transport Mode Transport mode bảo vệ cho IP Payload, tức bao gồm TCP/UDP Header liệu qua việc sử dụng AH ESP Trong mode này, IP Header ban đầu giữ ngun khơng đổi, có trường protocol thay đổi từ số 50 (ESP) hay 51 (AH) Mode thường sử dụng để bảo vệ cho giao thức đường hầm khác, chẳng hạn GRE, GRE đóng gói gói tin IP, sau IPsec bảo vệ cho gói tin GRE Gói tin với giao thức ESP hình sau: Gói tin ESP Transport Mode (Nguồn: http://www.firewall.cx/networking-topics/protocols/870-IPsecmodes.html ) Lưu ý IP Header phía trước gói IP ban đầu Việc đặt gói đầu cho ta thấy Transport Mode không mang lại bảo vệ mã hóa cho IP Header ban đầu Gói tin với giao thức AH hình sau: AH hoạt động độc lập kết hợp với ESP IPsec sử dụng Transport Mode Việc AH bảo vệ cho gói tin, nhiên, IPsec transport mode khơng tạo IP Header đầu gói tin mà lại chép nguyên IP Header gốc bên ngồi, có thay đổi thay đổi protocol ID sang 51 Tóm lại, IPsec transport mode, ESP AH, IP Header bị lộ Tunnel mode: Đây mode mặc định VPN Với mode này, gói tin IP ban đầu bảo vệ Nghĩa IPsec lấy gói tin ban đầu, mã hóa nó, thêm IP Header gửi tới đầu “tunnel” Mode sử dụng phổ biến gateway (Cisco routers, ASA firewalls), gateway lúc hoạt động giống proxy cho thiết bị đằng sau Do đó, Tunnel mode, thiết bị đích nguồn không thực dịch vụ bảo mật cho liệu người dùng mà thiết bị trung gian làm chuyện Cách sử dụng cho kết nối site-to-site kết nối truy cập từ xa Gói IP gốc ban đầu chứa thơng tin đầu cuối thực lúc bảo vệ đóng vào thơng tin AH/ESP, sau IP Header khác chứa địa thiết bị trung gian gắn thêm vào gói tin, thơng tin đầu cuối thực hồn tồn bảo mật không làm ảnh hưởng đến việc định tuyến gói tin Những thuận lợi Tunnel mode so với loại Transport mode dịch vụ bảo mật tập trung số lượng thiết bị nhỏ (chủ yếu thiết bị trung gian), tạo thuận lợi cho việc cấu hình quản lí ) Trong tunnel mode, IPsec Header (AH ESP Header) chèn phần IP Header phần giao thức lớp Giữa AH ESP, ESP sử dụng phổ biến cấu hình IPsec VPN Tunnel Cấu trúc gói tin dùng giao thức ESP IPsec tunnel mode hình sau: ) Cấu trúc gói tin dùng giao thức AH IPsec tunnel mode hình sau: ) Kết thúc phần này, ta rút điều sau đây: transport mode sử dụng kết nối cần liệu bảo vệ (chẳng hạn kết nối dùng giao thức TFTP để lấy file cấu hình, kết nối để máy nội upload file log hệ thống lên server, …) Do vậy, để bảo vệ phần IP Header chứa thông tin đầu cuối thiết bị, ta phải sử dụng tunnel mode, tunnel mode, giao thức ESP sử dụng phổ biến tính tương thích với dịch vụ NAT D Phase Transforms: Dạng biến đổi liệu (Data Transform) định nghĩa cách mà kết nối liệu bảo vệ Cũng giống kết nối quản lý trình bày phần Phase 1, kết nối liệu ISAKMP/IKE phase cần phải định nghĩa dạng để bảo vệ liệu người dùng cách tốt Dạng biến đổi liệu bao gồm thông tin sau:  Giao thức bảo mật: AH ESP  Loại kết nối cho giao thức bảo mật: Tunnel Transport Mode  Thông tin mã hóa (chỉ riêng với ESP): DES, 3DES, AES-128.AES-192, AES-256 khơng dùng thuật tốn mã hóa  Các hàm HMAC để chứng thực: MD5 SHA-1 (ESP dùng không) E Kết nối liệu: Để tạo kết nối liệu, hai thiết bị đầu cuối phải thương lượng phương thức bảo mật liệu cho thống với Khi ISAKMP/IKE Phase hồn tất, hai thiết bị có kết nối quản lý để liên lạc với thơng qua thơng điệp ISAKMP/IKE Do đó, thiết bị dùng kết nối để đàm phán với việc thiết lập Phase Mỗi thiết bị chia sẻ thông tin sau với thiết bị kia:  Đường kết nối cần bảo vệ  Danh sách thông tin Data Transform cần để bảo vệ đường đó, chẳng hạn giao thức bảo mật, hàm HMAC, thuật tốn mã hóa, …  Địa IP sử dụng IP Header ngồi gói tin  Thời gian sống tính theo giây hay KBs Ta xem ví dụ sau đây, có thiết bị IPsecA IPsecB, thiết bị lại có Transform khác IPsecA có thơng tin sau đây: Transform 1A: AH với MD5, ESP với AES-256, tunnel mode Transform 2A: ESP với MD5, ESP với AES-128, tunnel mode IPsecB có thông tin sau đây: Transform 1B: ESP với MD5, ESP với AES-128, tunnel mode Transform 2B: ESP với MD5, ESP với 3DES, tunnel mode Các Transform so sánh với chúng giống hoàn toàn Một kết nối liệu tạo Ta lưu ý số nhà cung cấp thiết bị, thời gian sống thiết bị khơng cần thiết phải giống nhau, chúng tự động chọn giá trị lifetime nhỏ V IPSEC OVER TCP/UDP : A Vấn đề chuyển đổi địa IP Sec: Phần nghiên cứu vấn đề chuyển đổi địa IPsec Vấn đề chuyển đổi địa hai vấn đề quan trọng cần phải giải đường truyền IPsec bên cạnh vấn đề Firewall Như ta biết có hai loại kết nối IPsec kết nối quản lý (management connection) kết nối liệu (data connection) Những thiết bị thực việc chuyển đổi địa khơng gây vấn đề cho kết nối quản lý, kết nối liệu ngược lại Trường hợp ngoại lệ trước số thiết bị sử dụng PAT buộc tất kết nối quản lý phải sử dụng giao thức UDP với port 500 cho nguồn đích, gây số vấn đề ta sử dụng nhiều kết nối song song lúc thông qua thiết bị PAT; nhờ việc cải tiến công nghệ nên thiết bị khắc phục vấn đề Sau ta xem ảnh hưởng việc chuyển đổi địa với việc kết nối liệu IPsec Như đề cập phần “ISAKMP/IKE giai đoạn 2”, AH hồn tồn khơng hoạt động việc chuyển đổi địa thực gói tin AH Cả PAT NAT khơng hỗ trợ truyền gói tin có chứa AH Đối với NAT, thực việc chuyển đổi địa IP nguồn đích, gói tin AH chứa giá trị hàm băm hầu hết trường gói tin IP ban đầu phục vụ cho việc bảo mật chứng thực Đối với PAT, AH giao thức lớp nên khơng thêm phần TCP/UCP Header mà PAT cần nên AH tương thích với PAT Sau ta chứng minh rõ phần dựa vào hình vẽ Ta sử dụng tunnel mode mode mặc định tương ứng với việc thiết bị trung gian thiết bị thực NAT PAT Đối với giao thức AH Gói tin có cấu trúc sau: ) Ta thấy tất phần bao gồm gói tin IP ban đầu (tức thiết bị đầu cuối thực sự) phần IP Header gắn vào “signed by AH” Tức AH Header chứa mã sinh từ hàm băm phục vụ cho việc chứng thực liệu thiết bị nhận Mã băm sinh từ thành phần gói IP ban đầu IP Header Ta quan sát hình sau để hiểu rõ chế Quá trình tạo AH Header (Input bao gồm gói IP ban đầu IP Header mới, secret key chia sẻ trước thơng qua kết nối quản lý) (Nguồn: Tại đầu thu, thiết bị đích tạo mã băm với input thông tin thông tin tạo mã băm đầu thu Sau đó, so sánh với mã băm nhận nằm AH Header (ICV) Nếu giống nhau, liệu chứng thực toàn vẹn, ngược lại, liệu coi khơng tồn vẹn Phần công đoạn mặc định giao thức AH Tuy nhiên, ta sử dụng dịch vụ NAT, chuyện khác Ta để ý IP Header bao gồm q trình tính tốn AH Header Bước tiếp theo, NAT thực gói tin này, thay đổi địa IP đầu cuối IP Header phần AH Header không bị thay đổi Đúng bước tiếp theo, gói tin thiết bị thu nhận được, tạo mã băm so sánh với mã băm nhận nằm AH Header Lúc này, hai mã băm khơng giống nhau, gói tin xem giả mạo bị drop Tiếp tục với PAT, PAT cần thay đổi số port TCP/UDP Header gói tin Tuy nhiên, AH giao thức lớp 3, phần TCP/UDP Header thực lớp AH coi liệu người dùng, gói tin coi khơng có TCP/UDP Header PAT khơng thể thực nhiệm vụ Đối với giao thức ESP, gói tin có cấu trúc sau: ) Các bước diễn việc chứng thực giống hệt giao thức AH Tuy nhiên, phần IP Header khơng “signed by ESP Auth Trailer”, khơng bao gồm tính tốn ICV, ESP Header (và ESP trailer có) liệu người dùng (gói IP ban đầu) bao gồm tính tốn ICV mà thơi, ESP hồn tồn tương thích với NAT Tuy nhiên, với lý giống AH, ESP khơng tương thích với PAT B Giải vấn đề chuyển đổi địa IP Sec: Có nhiều giải pháp đề xuất để giải vấn đề chuyển đổi địa IPsec Một phương pháp phổ biến ln sử dụng giao thức đóng gói ESP thay sử dụng AH Như phần ta biết ESP hoạt động với NAT, khơng hoạt động với PAT Do vấn đề để ESP hoạt động với thiết bị thực PAT Nhiều giải pháp đề xuất có NAT-T cách phổ biến (Nguồn: The Complete Cisco VPN Configuration Guide – Richard Deal) Để làm điều này, người ta chèn phần Header TCP UDP phần IP Header bên phần ESP giống hình sau đây: Giải vấn đề chuyển đổi địa IPsec (Nguồn: The Complete Cisco VPN Configuration Guide – Richard Deal) Do phần TCP/UDP Header thuộc phần Header bên ngồi nên khơng bao gồm q trình tính tốn mã băm để tạo chữ ký số Đối với IPsec over UDP, UDP Header chuẩn luôn chèn vào phần IP Header bên phần ESP Header Việc giúp ESP giải vấn đề với PAT Tuy nhiên mắc khuyết điểm, thiết bị ln thực việc chèn trường hợp khơng có thiết bị chuyển đổi địa hai đầu cuối, lúc phần UDP Header trở nên dư thừa (Nguồn: wikipedia) Đối với IPsec over TCP, Header TCP chèn vào phần IP Header bên phần ESP Header Tuy nhiên, nhược điểm loại so với IPsec over UDP phần TCP Header chứa nhiều bytes UDP Header Cũng nhược điểm nên TCP header thường sử dụng so với UDP header (Nguồn: wikipedia) Lưu ý: để biết tồn NAT hai hosts mạng đó, IPsec có chế sau: hai thiết bị gửi thông tin địa IP (nguồn đích) số port với mã băm thơng tin cho nhau, hai thiết bị tính tốn mã băm thu kết với mã băm nhận được, chúng biết khơng có NAT Ngược lại, mã băm không giống nhau, tức có thay đổi địa IP số port, hai thiết bị phải thực đóng gói gói tin UDP TCP Header để sử dụng IPsec Sau chèn phần TCP/UDP Header vào gói tin, số thơng tin gói tin bị thay đổi, bước đóng gói hồn chỉnh IPsec over UDP phải sau: 1) Thực q trình đóng gói ESP 2) Chèn UDP Header định chuẩn cách hợp lý vào gói tin 3) Điều chỉnh lại trường Total Length, Protocol Header Checksum (đối với Ipv4) phần IP Header cho với gói IP tạo Tương tự, trình giải gói thực theo bước sau đây: 1) Loại bỏ phần UDP Header khỏi gói tin 2) Thực q trình giải gói ESP (bao gồm việc chứng thực, …) 3) Thực trình NAT tunnel mode để trả gói tin IP gốc ban đầu ... phần UDP Header trở nên dư thừa (Nguồn: wikipedia) Đối với IPsec over TCP, Header TCP chèn vào phần IP Header bên phần ESP Header Tuy nhiên, nhược điểm loại so với IPsec over UDP phần TCP Header... phải thực đóng gói gói tin UDP TCP Header để sử dụng IPsec Sau chèn phần TCP/ UDP Header vào gói tin, số thơng tin gói tin bị thay đổi, bước đóng gói hoàn chỉnh IPsec over UDP phải sau: 1) Thực q... lifetime nhỏ V IPSEC OVER TCP/ UDP : A Vấn đề chuyển đổi địa IP Sec: Phần nghiên cứu vấn đề chuyển đổi địa IPsec Vấn đề chuyển đổi địa hai vấn đề quan trọng cần phải giải đường truyền IPsec bên cạnh

Ngày đăng: 27/04/2022, 08:43

HÌNH ẢNH LIÊN QUAN

Sau đây là các chính sách cần xác định để cấu hình các thiết bị nhằm xây dựng các kết nối ISAKMP/IKE giai đoạn 2 phù hợp với yêu cầu: - ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG ooo BÁO CÁO đề TÀI IPSEC over TCP UDP GVHD
au đây là các chính sách cần xác định để cấu hình các thiết bị nhằm xây dựng các kết nối ISAKMP/IKE giai đoạn 2 phù hợp với yêu cầu: (Trang 16)
Bảng dưới đây so sánh 2 giao thức này. - ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG ooo BÁO CÁO đề TÀI IPSEC over TCP UDP GVHD
Bảng d ưới đây so sánh 2 giao thức này (Trang 16)
Gói tin với giao thức ESP được chỉ ra trong hình sau: - ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG ooo BÁO CÁO đề TÀI IPSEC over TCP UDP GVHD
i tin với giao thức ESP được chỉ ra trong hình sau: (Trang 33)
Gói tin với giao thức AH được chỉ ra trong hình sau: - ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG ooo BÁO CÁO đề TÀI IPSEC over TCP UDP GVHD
i tin với giao thức AH được chỉ ra trong hình sau: (Trang 33)
Cấu trúc gói tin dùng giao thức ESP trong IPsec tunnel mode như hình sau: - ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG ooo BÁO CÁO đề TÀI IPSEC over TCP UDP GVHD
u trúc gói tin dùng giao thức ESP trong IPsec tunnel mode như hình sau: (Trang 35)
Cấu trúc gói tin dùng giao thức AH trong IPsec tunnel mode như hình sau: - ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP HỒ CHÍ MINH KHOA ĐIỆN TỬ VIỄN THÔNG BỘ MÔN VIỄN THÔNG VÀ MẠNG ooo BÁO CÁO đề TÀI IPSEC over TCP UDP GVHD
u trúc gói tin dùng giao thức AH trong IPsec tunnel mode như hình sau: (Trang 35)

TRÍCH ĐOẠN

Phương thức kết nối trong Phase 2:

Phase 2 Transforms: Vấn đề chuyển đổi địa chỉ trong IP Sec: Giải quyết vấn đề chuyển đổi địa chỉ trong IP Sec:

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w