ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA ĐIỆN-ĐIỆN TỬ BỘ MÔN VIỄN THÔNG LUẬN VĂN TỐT NGHIỆP XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC GVHD: Ths Tạ Trí Nghĩa SVTH : Tơn Thất Cao Ngun Hồ Sỹ Thơng -Hồ Chí Minh, Tháng 12-2013- Trang i TIEU LUAN MOI download : skknchat@gmail.com ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC BÁCH KHOA -✩ Số: /BKĐT Khoa: ĐIỆN-ĐIỆN TỬ Bộ Môn: ĐIỆN TỬ-VIỄN THÔNG Độc lập – Tự – Hạnh phúc -✩ - NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP HỌ VÀ TÊN NGÀNH: “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” Nhiệm vụ (Yêu cầu nội dung số liệu ban đầu): Ngày giao nhiệm vụ luận văn: Ngày hoàn thành nhiệm vụ: Họ tên người hướng dẫn: Phần hướng dẫn ThS TẠ TRÍ NGHĨA Nội dung yêu cầu LVTN thông qua Bộ Môn Tp.HCM, ngày… tháng… năm 20 CHỦ NHIỆM BỘ MÔN (Ký ghi rõ họ tên) NGƯỜI HƯỚNG DẪN CHÍNH (Ký ghi rõ họ tên) PHẦN DÀNH CHO KHOA, BỘ MÔN: Người duyệt (chấm sơ bộ): Đơn vị: Ngày bảo vệ : Điểm tổng kết: Nơi lưu trữ luận văn: Trang ii TIEU LUAN MOI download : skknchat@gmail.com TRƯỜNG ĐẠI HỌC BÁCH KHOA Khoa: ĐIỆN-ĐIỆN TỬ CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Mẫu TN.04 HỌ VÀ TÊN NGÀNH: Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 10 Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA Tổng quát thuyết minh: Số trang Số bảng số liệu Số tài liệu tham khảo Hiện vật (sản phẩm) 11 Tổng quát vẽ : - Số vẽ : A1 A2 Khổ khác - Số vẽ tay Số vẽ máy tính 12 Những ưu điểm LVTN : 13 Những thiếu sót LVTN : 14 Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không bảo vệ 15 Câu hỏi sinh viên phải trả lời trước hội đồng a) b) c) Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10 Ký tên (Ghi rõ họ tên) Trang iii TIEU LUAN MOI download : skknchat@gmail.com TRƯỜNG ĐẠI HỌC BÁCH KHOA Khoa: ĐIỆN-ĐIỆN TỬ Mẫu TN.04 16 HỌ VÀ TÊN NGÀNH: 17 Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 18 Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA 19 Tổng quát thuyết minh: Số trang Số bảng số liệu Số tài liệu tham khảo Hiện vật (sản phẩm) 20 Tổng quát vẽ : - Số vẽ : A1 A2 Khổ khác - Số vẽ tay Số vẽ máy tính 21 Những ưu điểm LVTN : 22 Những thiếu sót LVTN : 23 Đề nghị: 24 Được bảo vệ Bổ xung để bảo vệ Không bảo vệ Câu hỏi sinh viên phải trả lời trước hội đồng (CBPB 02 câu) a) b) c) Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10 Ký tên (Ghi rõ họ tên) Trang iv TIEU LUAN MOI download : skknchat@gmail.com LỜI CẢM ƠN Đầu tiên, nhóm Luận văn xin phép gửi lời cảm ơn sâu sắc đến tất thầy cô giáo trường dìu dắt nhóm suốt thời gian qua Đặc biệt nhóm xin gửi lời cảm ơn chân thành tới ThS.Tạ Trí Nghĩa, thầy hỗ trợ nhóm nhiều luận văn Với lòng nhiệt huyết thương yêu sinh viên, thầy ln hướng dẫn nhóm vượt qua khó khăn ln theo sát bước nhóm luận văn Một lần nữa, nhóm xin gửi lời cảm ơn sâu sắc đến thầy Nhóm xin cảm ơn gia đình bạn bè hết lịng hướng dẫn, bảo tạo điều kiện tốt cho em suốt thời gian qua Nhóm sinh viên Tôn Thất Cao Nguyên Hồ Sỹ Thông Trang v TIEU LUAN MOI download : skknchat@gmail.com LỜI CẢMƠN MỤC LỤC Chương DANH MỤC HÌNH ẢNH BẢNG SỐ LIỆU DANH MỤC TỪ VIẾT TẮT LỜI NÓI ĐẦU Chương GIỚI THIỆU ĐỀ TÀI 2.1Đặt vấn đề 2.2Mục tiêu đề tài 2.3Phạm vị đề tài 2.4Giới hạn đề tài Chương TỔNG QUAN VỀ VPN 3.1Giới thiệu VPN 1.1.1 Khái niệm 1.1.2 Chức VPN 1.1.3 Ưu điểm VPN 1.1.4 Các yêu cầu giải pháp VPN 1.1.5 Đường hầm mã hóa 3.2Các mơ hình VPN triển khai 1.1.6 IP-VPN truy nhập từ xa: 1.1.7 Site – To – Site VPN 3.3Các giao thức IP-VPN 1.1.8 PPTP (Point - to - Point Tunneling Protocol) 3.3.1.1 Duy trì đường ngầm kết nối điều khiển PP 3.3.1.2 Đóng gói liệu đường ngầm PPTP 3.3.1.3 Xử lí liệu đường ngầm PPTP 3.3.1.4 Sơ đồ đóng gói 1.1.9 L2TP (Layer Two Tunneling Protocol) 3.3.1.5 Duy trì đường ngầm tin điều khiển L2 3.3.1.6 Đường ngầm liệu L2TP 3.3.1.7 Xử lý liệu đường ngầm L2TP IPSec 3.3.1.8 Sơ đồ đóng gói L2TP IPSec 3.4Tổng kết Chương GIAO THỨC IPSEC 4.1Giới thiệu Trang vi TIEU LUAN MOI download : skknchat@gmail.com 1.1.10 Khái niệm IPSec 24 1.1.11 Khả chống lại công IPSes 25 4.1.1.1 Sniffer ( thiếu bảo mật) 25 4.1.1.2 Sửa đổi liệu (modification) 26 4.1.1.3 Các cơng giả mạo danh tính (Identity spoofing) , công dựa password công lớp ứng dụng 26 4.1.1.4 Tấn công Man-in -the-middle 26 4.1.1.5 Tấn công từ chối dịch vụ (Denial-of-service) 27 1.1.12 Các chuẩn tham chiếu có liên quan 27 4.2 Đóng gói thơng tin IPSec 29 1.1.13 Các loại giao thức IPSec 29 4.2.1.1 Kiểu Transport 29 4.2.1.2 Kiểu Tunnel 30 1.1.14 Giao thức xác thực tiêu đề AH 31 4.2.1.3 Giới thiệu 31 4.2.1.4 Cấu trúc gói tin AH 32 4.2.1.5 Quá trình xử lý AH 34 1.1.15 Giao thức đóng gói an tồn tải tin ESP 38 4.2.1.6 Giới thiệu 38 4.2.1.7 Cấu trúc gói tin ESP 38 4.2.1.8 Quá trình xử lý ESP 40 4.3 Kết hợp an ninh SA giao thức trao đổi khóa IKE 45 1.1.16 Kết hợp an ninh SA 45 4.3.1.1 Định nghĩa mục tiêu 45 4.3.1.2 Cơ sở liệu IPSec 46 1.1.17 Giao thức trao đổi khóa IKE 46 4.3.1.3 Bước thứ 47 4.3.1.4 Bước thứ hai 49 4.4 Những giao thức ứng dụng cho xử lý IPSec 51 1.1.18 Mật mã tin 51 4.4.1.1 Tiêu chuẩn mật mã liệu DES 51 4.4.1.2 Tiêu chuẩn mật mã hóa liệu gấp ba 3DES 52 1.1.19 Toàn vẹn tin 52 4.4.1.3 Mã xác thực tin băm HMAC 53 4.4.1.4 Thuật toán MD5 53 4.4.1.5 Thuật toán băm an toàn SHA 53 1.1.20 Xác thực bên 53 4.4.1.6 Khóa chia sẻ trước 54 4.4.1.7 Chữ ký số RSA 54 4.4.1.8 RSA mật mã nonces 54 Trang vii TIEU LUAN MOI download : skknchat@gmail.com Gói tin thứ 6: Sau nhận tin nhắn thứ từ Thiết bị-A, Thiết bị-B xác minh danh tính Thiết bị-A cách xác thực chữ ký số Nếu chữ ký hợp lệ, Thiết bị-B gửi gói tin thứ để Thiết bị-A xác minh danh tính Thiết bị-B Cấu trúc gói tin thứ giống gói tin thứ Trường Identity chứa tên Thiết bị-B Trường Signature tính tốn tương tự Signature gói tin thứ HASH_R = HMAC-MD5(SKEYID, gy, gx, CookieB, CookieA, ID_B) Khi Thiết bị-A nhận gói tin thứ xác minh chữ ký số, pha hoàn tất Cả hai bên thỏa thuận đặc tính kết hợp an ninh ISAKMP dùng để tạo khóa pha b )Pha – Chế độ nhanh Những trao đổi pha nhằm xác định kết hợp an ninh SA khóa sử dụng bảo vệ gói tin IP trao đổi hai bên thông qua đường hầm IPSec Pha thực thường xuyên (trong khoảng thời gian quy định đường hầm thường khởi tạo) cho việc làm khóa Pha gồm gói tin có cấu trúc sau: Hình 4-48:Quá trình thỏa thuân IKE pha 2-chế độ nhanh Trang 92 TIEU LUAN MOI download : skknchat@gmail.com Hình 4-49:Cấu trúc gói tin pha 2- chế độ nhanh Trang 93 TIEU LUAN MOI download : skknchat@gmail.com Trang 94 TIEU LUAN MOI download : skknchat@gmail.com Trang 95 TIEU LUAN MOI download : skknchat@gmail.com Hình 4-50:Lưu đồ giải thuật bên khởi tạo pha – chế độ nhanh Trang 96 TIEU LUAN MOI download : skknchat@gmail.com Hình 4-51:Lưu đồ giải thuật bên phản hồi pha – chế độ nhanh Trang 97 TIEU LUAN MOI download : skknchat@gmail.com Gói tin thứ 1: Tiêu đề ISAKMP: cho biết loại trao đổi pha – chế độ nhanh, bao gồm Message-ID khác không lựa chọn Thiết bị-A, bao gồm cookie khởi tạo cookie phản hồi (initiator cookie responder cookie) lựa chọn pha 1(Cookie-A Cookie-B ), cờ mã hóa bật lên biết trường gói tin ISAKMP mã hóa khóa thỏa thuận pha - chế độ HASH_1: Hàm băm cho vào trường mes_hash gói tin HASH_1 = HMAC-MD5(SKEYID_a, M-ID, Ni, Nr) Ni Nr giá trị nonces bên khởi tạo hồi đáp Trường Proposal Transform : có cấu trúc tương tự pha Trường Proposal xác định giao thức sử dụng cho bảo vệ gói tin IPSec (ESP, AH ESP AH) bao gồm giá trị SPI chọn ngẫu nhiên Thiết bị-A Trường Transform cho biêt thuật tốn ESP AH Gói tin thứ 2: Sau Thiết bị-B nhận gói tin từ Thiết bị-A xác nhận thành công cách so sánh HASH_1với hàm băm tính tốn , Thiết bị-B gửi gói tin thứ cho Thiết bị - A Message- ID gói tin thứ tương tự với gói tin thứ Hàm băm HASH_2 chứa trường mes_hash : HASH_2 = HMAC-MD5(SKEYID_a, M-ID, Nr, Ni) Tất thông số cần thiết cho việc xây dựng SA cho IPSec bao gồm trường Proposal Transform chấp nhận Thiết bị - B gửi gói tin thứ hai để xác nhận thỏa thuận Cả hai bên tính tốn khóa để sử dụng mã hóa xác thực gói tin IPSec Đối với liệu gửi Thiết bị-A nhận Thiết bị-B, khóa tính tốn dùng để tính khóa IPsec: KEYMAT(ab) = HMAC-MD5(SKEYID_d, DH_shared_key, protocol, SPI, Ni, Nr, 0) Đối với liệu gửi Thiết bị-B nhận Thiết bị-A, khóa tính tốn dùng để tính khóa IPsec: KEYMAT(ba) = HMAC-MD5(SKEYID_d, DH_shared_key, protocol, SPI, Nr, Ni, 0) DH_shared_key chìa khóa chia sẻ tính tốn pha 1- chế độ protocol SPI lấy từ trường Proposal Mỗi bên tính tốn khóa để mã hóa xác thực ( khóa bên tạo cách đối xứng) : Trang 98 TIEU LUAN MOI download : skknchat@gmail.com Khóa xác thực: KEY_AH(ab) = HMAC-MD5(KEYMAT(ab), SKEYID_d, DH_shared_key, Cookie_A, Cookie_B, 1) Khóa mã hóa : KEY_ESP(ab) = HMAC-MD5(KEYMAT(ab), KEY_A(ab), DH_shared_key, Cookie_A, Cookie_B, 2) Gói tin thứ 3: Tại thời điểm này, Thiết bị-A Thiết bị-B trao đổi tất thông tin cần thiết Gói tin thứ trao đổi pha - chế độ nhanh Thiết bị-A gửi kết thúc thảo thuận SA, bắt đầu cho việc truyền gói tin IP qua đường hầm IPsec Gói tin thứ có Message-ID nonces trao đổi gói tin thứ Ngồi ra, chưa hàm băm HASH_3: HASH_3 = HMAC-MD5(SKEYID_a, 0, M-ID, Ni, Nr) Khi Thiết bị-B nhận gói tin xác minh thành cơng, hai thiết bị bắt đầu sử dụng giao thức bảo mật SA thỏa thuận để bảo vệ gói tin IP đường hầm IPsec tương ứng Trang 99 TIEU LUAN MOI download : skknchat@gmail.com Chương ĐÁNH GIÁ KẾT QUẢ THỰC HIỆN 6.1 Tiêu chí đánh giá Throughput (băng thơng): Tốc độ nhanh mà số khung đo kiểm phát thiết bị đo kiểm (DUT) ngang với số khung gửi tới thiết bị đo kiểm 6.2 Phương pháp đánh giá Hình 5-52:Mơ hình sử dụng đánh giá thiết bị IPSec Kiểm tra throughput: Gửi gói tin có độ dài cụ thể với tốc độ bắt đầu 500bps từ laptop sau đếm số khung hình truyền qua đến laptop Nếu số lượng gói tin cung cấp từ laptop với số lượng gói tin nhận laptop 2, tăng tốc độ gửi laptop Throughput xác định tốc độ lớn mà số lượng gói truyền từ laptop số lượng gói nhận laptop 2 Tăng chiều dài gói tin tiến hành lại bước Quá trình lặp lại đến chiều dài gói tin chiều dài tối đa gói tin gửi MTU Theo RFC 2544, khung sử dụng để kiểm tra khung UDP Echo Request với cấu trúc khung định nghĩa mục RFC 2544 C.2.4.6 Chiều dài khung IP sử dụng để tiens hành kiểm tra 0x2E, 0x6E, 0xEE, 0x1EE, 0x2EE, 0x3EE, 0x4EE Trang 100 TIEU LUAN MOI download : skknchat@gmail.com 6.3 Kết đánh giá Chế độ IPSec Không mã hóa IPSec ESP 3DES HMACMD5 ESP 3DES HMACSHA1 ESP 3DES Hình 5-53:Biểu đồ thể tốc độ throughput chế độ IPSec khác Trang 101 TIEU LUAN MOI download : skknchat@gmail.com Từ biểu đồ hình 5-2 ta thấy việc lựa chọn thuật tốn mã hóa có ảnh hưởng đến tốc độ throughput chương trình Khi khơng mã hóa, tốc độ gửi gói tin qua thiết bị nhanh nhiều so với tiến hành mã hóa gói tin ESP Việc ứng dụng nhiều thuật tốn vào giao thức IPSec làm tăng tính bảo mật đường truyềnIPSec Tuy nhiên, làm giảm tốc độ throughput thiết bị (chế độ IPSec áp dụng thuật tốn ESP 3DES có throughput lớn áp dụng thuật toán ESP 3DES HMAC-MD5 ESP 3DES HMAC-SHA1) Trang 102 TIEU LUAN MOI download : skknchat@gmail.com Chương KẾT LUẬN VÀ HƯỚNG PHÁT TRIỀN 7.1 Kết luận Luận văn hồn thành cơng việc: Thực q trình mã hóa IPSec sử dụng giao thức ESP với: o Thuật tốn mã hóa 3DES, DES o Thuật tốn xác thực: MD5,SHA1 o Quá trình trao đổi key sử dụng IKEv1 Tiến hành thiết kế/ xây dựng thiết bị bảo mật VPN suốt mạng, có khả kết nối đa điểm Kết đạt được: Thiết bị IPSec có khả bảo vệ mạng nội chống lại số công : từ chối dịch vụ, Man-in-the-Middle, sniffer, cống sửa đổi gói tin Quá trình trao đổi thơng tin mạng đảm bảo thông suốt 7.2 Hướng phát triền 1.1.28.Thêm khả mã hóa gói tin Ngồi thuật tốn sử dụng phổ biến DES, 3DES, nhằm tăng tính bảo mật hệ thống, tương lai nhóm dự định bổ sung thêm giải thuật AES Giải thuật AES có khả làm tăng khả tương thích khả an ninh hệ thống IPSec 1.1.29.Thiết lập bảo mật IPSec IPv6 Ngày nay, IP v6 sử dụng rộng rãi dự báo hệ IPv4 Do đó, nhu cầu bảo mật IPv6 đòi hỏi phục vụ cho nhu cầu an ninh sử dụng tương lai gần 1.1.30.Sử dụng RSA cho trình xác thực Với cách xác thực khóa chia sẻ trước., khóa khơng bảo mật bị kẻ cơng lấy cồng theo phương pháp Man-in-the Midle Vì cần thiết lập xác thực ký số theo phương pháp RSA Trang 103 TIEU LUAN MOI download : skknchat@gmail.com 1.1.31 Truyền phát thêm gói tin báo lỗi bảo mật ICMP Gói tin lỗi bảo mật ICMP nhằm thông báo hệ thống bị lỗi cần cấu hình lại có cơng vào thiết bị bị phát hiện(ví dụ cơng từ chối dịch vụ, cơng sửa đổi liệu…) Gói tin lỗi bảo mật ICMP nhằm tiến hành thông báo lối bảo mật sau: SPI xấu: ám khung nhận có chứa số SPI khơng có giá trị hết thời gian sử dụng Xác thực lỗi: Gói tin nhận bị lỗi xác thực kiểm tra tính tồn vẹn Giải mã bị lỗi: Một khung nhận bị lỗi giải mã Yêu cầu xác thực Gói tin nhận khơng chấp nhận khơng có xác thực kèm gói tin Trong trường hợp này, khơng có SPI diện hệ thống mạng nội bên nhận SPI khơng thích hợp diện mạng Ví dụ như, gói SPI mã hóa khơng với tính tồn vẹn đến hệ thống bảo mật với tương tác người sử dụng khả nghi Thông tin chi tiết cấu trúc gói đề cập RFC2521 Trang 104 TIEU LUAN MOI download : skknchat@gmail.com Tài liệu tham khảo Poonam Arora, Prem R Vemuganti, Praveen Allani “Comparison of VPN Protocols – IPSec, PPTP, and L2TP”, Department of Electrical and Computer Engineering George Mason University Fairfax, VA 22202 Christian Scheurer, Niklaus Schild “ Embedded IPSec-a lightweight IPSec implementation”, HTI Biel/Bienne(12/2003) Charles M Kozierok “The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference” http://www.ietf.org/rfc/ http://technet.microsoft.com/en-us/library/ Trang 105 TIEU LUAN MOI download : skknchat@gmail.com ... TỬ-VIỄN THƠNG Độc lập – Tự – Hạnh phúc -✩ - NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP HỌ VÀ TÊN NGÀNH: “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC? ?? Nhiệm vụ (Yêu cầu nội dung số liệu ban đầu):... tài ? ?Xây dựng thiết bị bảo mật VPN dựa giao thức IPSec? ?? Chương 2: Tổng quan VPN Chương bắt đầu với việc phân tích khái niệm VPN, chưc năng, ưu điểm yêu cầu giải pháp VPN khiến giải pháp bảo mật. .. pháp bảo Trang xiii TIEU LUAN MOI download : skknchat@gmail.com mật an ninh nhằm giải vấn đề Giao thức IPSec phương pháp tối ưu để giải vấn đề Mục đích luận văn ? ?Xây dựng thiết bị bảo mật VPN dựa