IP security Information security, PTITHCM, 2012 Bảo mật trong mô hình TCP/IP Bảo mật lớp mạng với IPSec Bảo mật lớp vận chuyển với SSL Nhiều ứng dụng bảo mật ở lớp ứng dụng Information security, PTITHCM, 2012 IPSec  Cơ chế bảo mật dữ liệu khi truyền giữa các máy bằng giao thức IP.  Là phần mở rộng của IPv4, nhưng là thành phần bắt buộc trong IPv6.  Họat động trong suốt với các ứng dụng ở lớp trên. Information security, PTITHCM, 2012 Các ứng dụng của IPSec  Bảo vệ kết nối từ các mạng chi nhánh đến mạng trung tâm thông qua Internet.  Bảo vệ kết nối truy cập trừ xa (remote access).  Thiết lập các kết nối intranet và extranet.  Nâng cao tính bảo mật của các giao dịch thương mại điện tử. Information security, PTITHCM, 2012 Các ứng dụng của IPSec Information security, PTITHCM, 2012 IPSec trong mô hình TCP/IP Hệ thống A Hệ thống B IPSec Information security, PTITHCM, 2012 Các thành phần của IPSec  IPSec không phải là một ứng dụng hòan tòan mới mà là sự tổ hợp của các cơ chế bảo mật (security mechanisms) đã có sẵn vào trong giao thức IP.  Có nhiều cách tổ hợp các cơ chế khác nhau để cho ra nhiều cách thể hiện khác nhau gọi là DOI (Domain of Interpretation) Information security, PTITHCM, 2012 Kiến trúc của IPSec Information security, PTITHCM, 2012 AH và ESP  Hai giao thức cơ bản để thực thi IPSec là AH (Authentication Header) và ESP (Encapsulating Security payload)  AH chỉ cung cấp các dịch vụ xác thực (Integrity) còn ESP vừa cung cấp dịch vụ xác thực vừa cung cấp dịch vụ bảo mật (Integrity and Con\dentiality) Information security, PTITHCM, 2012 Liên kết bảo mật  SA (Security association) là quan hệ truyền thông một chiều giữa hai thực thể trên đó có triển khai các dịch vụ bảo mật.  Mỗi SA được nhận dạng qua 3 thông số:  SPI (Security Parameters Index)  Địa chỉ IP đích (Destination IP address)  Nhận dạng giao thức (Security protocol Identi\er)  Mỗi kết nối hai chiều (connection) phải bao gồm ít nhất hai SA ngược chiều nhau. [...]... cố định trong tiêu đề IP (hoặc đóan được), các trường khác reset về 0 khi tính Information security, PTITHCM, 2012 Transport mode và tunnel mode trong AH Information security, PTITHCM, 2012 Transport mode và tunnel mode trong AH Information security, PTITHCM, 2012 Encapsulating Security Payload  Giao thức ESP trong IPSec họat động ở 2 chế độ:  Chế độ thuần mã hóa: cung cấp các dịch vụ bảo mật (confidentiality)... 2012 Transport mode và tunnel mode trong ESP Information security, PTITHCM, 2012 Transport mode và tunnel mode trong ESP Information security, PTITHCM, 2012 Quản lý khóa trong IPSec  Mã hóa dùng trong IPSec là mã hóa đối xứng  Mỗi hệ thống đầu cuối IPSec có nhu cầu kết nối với nhiều hệ thống đầu cuối khác => cần quản lý khóa  Quản lý bằng tay: người sử dụng tự cấu hình  Quản lý tự động: dùng giao... Padding (độ dài bất kỳ) và pad length (8 bits): dữ liệu chèn và độ dài của nó  Next header (8 bits): lọai dữ liệu bên trong ESP Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu ESP  Authentication Data (bội số 32 bits): Thông tin xác thực, được tính trên tòan bộ gói ESP ngọai trừ phần Authentication Data Information security, PTITHCM, 2012 Mã hóa và xác thực trong ESP  Mã hóa:  DES (thuật tóan... Encapsulating Security Payload  Giao thức ESP trong IPSec họat động ở 2 chế độ:  Chế độ thuần mã hóa: cung cấp các dịch vụ bảo mật (confidentiality) và chống phát lại  Chế độ bảo mật và xác thực: cung cấp các dịch vụ bảo mật, tòan vẹn, xác thực và chống phát lại Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu ESP Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu ESP  SPI (32 bits):... khóa Oakley  Chức năng: chọn khóa bí mật cho từng SA  Họat động: dựa trên thuật tóan Diffie- Hellman, có bổ sung các cơ chế bảo mật:  Sử dụng cookie để chống tấn công từ chối dịch vụ (clogging)  Sử dụng các số ngẫu nhiên (nonce) để chống phát lại (replay) Information security, PTITHCM, 2012 Giao thức xác định khóa Oakley  Tạo nhóm và phân phối khóa công khai trong nhóm  Xác thực đầu cuối khi trao... (Anti-replay) Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu AH Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu AH  Next header (8 bits): xác định lọai dữ liệu chứa bên trong tiêu đề AH, sử dụng các giá trị quy ước của TCP/IP (*)  Payload length (8 bits): xác định chiều dài của tiêu đề AH, tính bằng đơn vị từ (32 bit), trừ đi 2 đơn vị (**)  Ví dụ: tòan bộ chiều dài tiêu đề AH là 6 từ... Information security, PTITHCM, 2012 Cấu trúc gói dữ liệu AH  Authentication data (số bit không xác định): giá trị kiểm tra tính xác thực của dữ liệu (Integrity Check Value_ICV), kết quả của các hàm băm bảo mật -Thành phần này phải có chiều dài là bội số của 32 bit, nếu không phải gắn bit đệm (padding) -Authentication data tính cho tòan bộ gói Information security, PTITHCM, 2012 Chống phát lại (Anti-replay)... Tunnel SA là các liên kết IPSec được thiết lập giữa hai thiết bị kết nối mạng (router hoặc gateway), trong suốt với họat động của thiết bị đầu cuối Việc thực thi transport và tunnel được xác định với từng giao thức (AH hoặc ESP) Information security, PTITHCM, 2012 Authentication Header  Giao thức AH trong IPSec cung cấp 3 dịch vụ cơ bản:  Tòan vẹn thông tin (Integrity)  Xác thực thông tin (Authentication)... tóan để xác định khóa riêng mà không làm được việc khác clogging  Giải pháp: Mỗi bên phải thực hiện thủ tục trao đổi cookie (số ngẫu nhiên) ngay ở bản tin khởi tạo Sau đó, cookie phải được xác nhận trong message trao đổi khóa  Cookie được tạo ra dùng một hàm băm nhanh (ví dụ MD5) áp dụng lên địa chỉ IP nguồn, IP đích, Port nguồn và Port đích cùng với một giá trị ngẫu nhiên Information security, . security, PTITHCM, 2012 Bảo mật trong mô hình TCP/IP Bảo mật lớp mạng với IPSec Bảo mật lớp vận chuyển với SSL Nhiều ứng dụng bảo mật ở lớp ứng dụng . chế bảo mật dữ liệu khi truyền giữa các máy bằng giao thức IP.  Là phần mở rộng của IPv4, nhưng là thành phần bắt buộc trong IPv6.  Họat động trong