HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG CƠ SỞ TPHCM KHOA CÔNG NGHỆ THÔNG TIN ***——— ——— Đồ án môn học Bảo mật thông tin IPSEC TRIỂN KHAI HỆ THỐNG IPSEC/VPN TRÊN WINDOWS SERVER 2003 Giáo viên hướng dẫn: Thầy LÊ PHÚC Nhóm sinh viên thực hiện: 1.Trương Thế Linh 2.Tơ Đình Nghị 3.Phùng Huy Khương 4.Nguyễn Thị Phúc TPHCM / 11 2009 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Mục lục I Lời mở đầu II Tìm hiểu IPSEC Giới thiệu IPSEC Kiến trúc giao thức IPSEC 2.1 Mơ hình chung……………………………………………………………… 2.2 Các giao thức bản……………………………………………………… 2.3 Liên kết bảo mật…………………………………………………………… 2.4 Transport mode Tunnel mode…………………………………………… Giao thức AH…………………………………………………………………… 3.1 Các chế bảo vệ cung cấp giao thức AH……………………… 3.2 Cấu trúc AH…………………………………………………………… 3.3 Vị trí AH……………………………………………………………… 3.4 Các mode làm việc AH……………………………………………… 3.5 Nested Adjacent header AH…………………………………… 10 3.6 Q trình xử lí tiêu đề IPSEC……………………………………………… 11 3.7 Q trình xử lí AH với gói tin Outbound ………………………… 12 3.8 Q trình xử lí AH gói tin Inbound……………………… 16 3.9 Một số điểm phức tạp giao thức AH………………………………… 18 3.9.1 Vấn đề phân mảnh việc quản lí gói ICMP giao thức AH 19 3.9.2 Mối quan hệ NAT IPSEC…………………………………… 20 3.9.3 Vấn đề auditing (giám sát ) AH………………………………….21 Giao thức ESP……………………………………………………………………22 4.1 Các chế bảo vệ cung cấp ESP………………………………… 22 4.2 Cấu trúc ESP…………………………………………………………… 23 4.3 Vị trí mode làm việc ESP……………………………………… 25 4.4 Nested Adjacent header ESP………………………………………26 4.5 Qúa trình xử lí ESP gói tin Ounbound…………………… 27 4.6 Qúa trình xử lí ESP gói tin Inbound…………………………30 4.7 Một số điểm phức tạp giao thức ESP………………………………… 30 4.8 Một số đánh giá ,phê bình chuyên gia ESP……………………… 31 4.9 Lý sử dụng hai tiêu đề bảo vệ…………………………………………… 32 Quản lý khóa với IKE ……………………………………………………………32 5.1 Tổng quan quản lí khóa 32 5.2 IKE phases ………………………………………………………………… 33 5.3 IKE modes ………………………………………………………………… 33 PF keys IPSEC………………………… ……………… 36 6.1 Giới thiệu…………………………………………………………………… 36 6.2 Cấu tạo……………………………………………………………………… 37 Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Mục đích ưu khuyết điểm IPSEC …………………………………… 38 Triển khai IPSEC .40 8.1 Các tác động bảo mật……………………………………………………… 40 8.2 Các phương pháp chứng thực Microsoft hỗ trợ 41 8.3 IPSEC policy .41 8.4 IPSEC làm việc 42 III Triển khai hệ thống IPSEC/VPN Windows Server 2003 43 Mơ hình triển khai 43 Các bước thực .43 IV Tài liệu tham khảo……………………………………………………………………… 58 Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com I.Lời nói đầu: Trong thời đại Internet phát triển rộng khắp ngày nay, dịch vụ đào tạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến trở thành thực Tuy nhiên, Internet có phạm vi tồn cầu, khơng tổ chức hay phủ quản lý nên có nhiều khó khăn việc bảo mật, đảm bảo an toàn liệu chất lượng dịch vụ trực tuyến thơng qua đường truyền mạng Từ đó, người ta đưa mơ hình nhằm thỏa mãn yêu cầu mà tận dụng sở hạ tầng mạng vốn có, mạng riêng ảo (Virtual Private Network-VPN) Để gửi nhận liệu thông qua mạng công cộng mà bảo đảm tính an tồn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi gửi nơi nhận (Tunnel) giống kết nối point-point mạng riêng.Và IPSEC (Internet Protocol Security) giao thức tạo nên chế “đường ống bảo mật” cho VPN Thông qua tài liệu giúp hiểu khái niệm gần IPSEC cách triển khai hệ thống IPSEC/VPN Windows Server 2003 Trong trình biên soạn khơng tránh khỏi sai sót, mong đóng góp thầy bạn.Xin chân thành cảm ơn Nhóm thực Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com II.Tìm hiểu IPSEC 1:Giới thiệu IPSEC IPSEC ( Internet Protocol Security) giao thức lớp Network (OSI) cho phép gửi nhận gói IP mã hóa Tùy theo mức độ cần thiết, IPSEC cung cấp tính bảo mật xác thực cho trình trao đổi liệu dựa hai kiểu dịch vụ mã hóa: AH, ESP Mục đích việc phát triển IPSEC cung cấp cấu bảo mật tầng mơ hình OSI IPSEC thành phần quan trọng hỗ trợ giao thức L2TP ( Layer two tunneling protocol ) công nghệ mạng riêng ảo VPN Kiến trúc giao thức IPSEC: 2.1 Mơ hình chung: Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 2.2 Các giao thức IPSEC: -Hai giao thức để thực thi IPSEC AH ESP -AH cung cấp dịch vụ xác thực,ESP vừa cung cấp dịch vụ bảo mật vừa cung cấp dịch vụ xác thực 2.3 Liên kết bảo mật: -SA (Security Associations) :Là khái niệm giao thức IPSEC SA kết nối luận lý theo phương hướng hai thực thể sử dụng dịch vụ IPSEC SA gồm có trường : Hình biểu diễn trường SA Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -SPI (Security Parameter Index) : trường 32 bits dùng nhận dạng giao thức bảo mật, định nghĩa trường Security protocol, IPSEC dùng SPI phần đầu giao thức bảo mật thường chọn hệ thống đích suốt trình thỏa thuận SA -Destination IP address : địa IP nút đích Cơ chế quản lý SA định nghĩa cho hệ thống unicast địa broadcast, unicast, hay multicast -Security protocol : mô tả giao thức bảo mật IPSEC, AH ESP.SA IPSEC triển khai chế độ Tunnel mode Transport mode 2.4 Transport mode Tunnel mode: Hiện tại, IPSEC có hai chế độ làm việc: Transport Mode Tunnel Mode Cả AH ESP làm việc với hai chế độ Hình minh họa hai chế độ làm việc IPSEC 3.Giao thức AH 3.1 Các chế bảo vệ cung cấp giao thức AH: -Tính tồn vẹn thơng tin( intergrity):Cơ chế đảm bảo gói tin nhận gói tin gửi -Xác thực nguồn gốc thơng tin :Cơ chế đảm bảo gói tin gửi người gửi ban đầu mà khơng phải người khác -Cơ chế chống phát lại(Replay protection)(đây chế tùy chọn(optional),không bắt buộc):Cơ chế đảm bảo gói tin khơng bị phát lại nhiều lần.Cơ chế thành phần bắt buộc bên gửi nhiên bên nhận tùy chọn sử dụng không sử dụng Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 3.2 Cấu trúc AH: Các trường AH: -Next header(8 bits):Xác định loại liệu chứa tiêu đề AH.Sử dụng quy ước TCP/IP -Payload len(8 bits):Xác định độ dài tiêu đề AH , tính đơn vị từ I( 32 bits) trừ đơn vị -Reserved(16 bits):Dành riêng chưa sử dụng,được gán chuỗi bit -SPI(security paramaters index)(32 bits):Nhận dạng liên kết SA.Giá trị từ đển 255 giành riêng.Giá trị dùng vào mục đích đặc biệt.Ví dụ chế quản lí khóa sử dụng SPI với giá trị để thể khơng có SA tồn trình IPSEC u cầu quản lí khóa tạo SA SA chưa khởi tạo -Sequence number(32 bits):Số thứ tự gói truyền SA.Thơng qua việc theo giỏi số gửi cho bên nhận,bên gửi giúp bên nhận thực việc chống phát lại (anti-replay) bên nhận muốn -Authentication data:Trường có kích thước khơng xác định,khơng xác định trước,đảm nhiệm vai trị AH.Nó bao gồm ICV(intergrity check value:kiểm tra tồn vẹn) Bên nhận sử dụng để kiểm tra tính tồn vẹn tính xác thực thơng điệp.Trường chèn thêm cần thiết để đảm bảo tổng chiều dài AH bội số 32 bits ( Ipv4) 64 bits (đối với Ipv6) 3.3:Vị trí AH gói tin IP: Đồ án bảo mật thơng tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình mơ tả vị trí tiêu đề AH gói tin Ipv4 Ipv6 -Trong Ipv4 ,AH theo sau tiêu đề gói tin Ip,tiếp đến tiêu đề giao thức ( TCP,UDP ,ICMP) tiêu đề ESP -Trong Ipv6,vị trí AH tương tự , nhiên Ipv6 có thêm tiêu đề tùy chọn.Vị trí tương quan tiêu đề AH sau: Các tiêu đề tùy chọn mở rộng Ipv6 đứng trước AH tiêu đề hop-by-hop,tiêu đề định tuyến (routing header),tiêu đề phân mảnh ( fragment header); Tiêu đề đích tùy chọn( dest options header) đứng trước theo sau AH.Vị trí tương quan tiêu đề với AH phụ thuộc vào việc trình xử lí xác định diễn trước hay sau trình xác thực diễn 3.4 Các chế độ làm việc AH: Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình trước minh họa vị trí AH chế độ Transport,chế độ thường sử dụng để xác thực đầu cuối hai host.Tuy nhiên trường hợp hai SG (security gateway) sử dụng để bảo vệ cho nhiều host mạng chế độ tunnel sử dụng.Hình mơ tả vị trí AH chế độ tunnel.Chế độ tunnel sử dụng truyền thơng hai host trường hợp địa tiêu đề ip ban đầu tiêu đề ip bổ sung 3.5:Nested header (tiêu đề lồng) AH: -Nhiều SA áp dụng cho thơng điệp.Nếu hai đầu cuối thông điệp giống AH SA gọi Adjacent AH.Nếu hai đầu cuối SA khác AH gọi AH lồng ( nested AH) -Adjacent AH không cung cấp thêm bảo vệ , việc áp dụng chúng không bắt buộc (not mandated) -Nested AH áp dụng số trường hợp định Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 10 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Hộp thoại New Domain Name - Các hộp thoại lại để mặc định * Join VPN server vào DC thực máy - Click phải chuột lên My Computer > Properties > Tab Computer Name > Change > Check vào Domain Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 45 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Server yêu cầu xác thực với tài khoản người dùng cấp miền có quyền quản trị - Sau Restart lại máy * Cấu hình VPN server: máy mở Routing and Remote Access - Start > Programs > Adminstrative Tool > Routing and Remote Access Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 46 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Kích hoạt VPN Server cách nhấp phải chuột lên tên server chọn Configure and Enable Routing and Remote Access - Đánh dấu chọn vào mục Custom configuration - Check vào ô VPN access > Next > Finish Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 47 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Cấu hình cấp IP cho VPN Client kết nối Click phải lên DC2 > Properties Qua tab IP > static address pool > add Qua tab Security > check vào Allow custom IPSec policy for L2TP connection Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 48 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com * Cấu hình VPN client - Click phải My Network Places > Properties > Create a new connection > Next - Hộp thoại Network Connection Type - Hộp thoại Network Connection - Hộp thoại Connection Name > VPN - Hộp thoại VPN Server Selection Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 49 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Sau Next > Finish - Hộp thoại Connect VPN : điền tài khoản mà máy DC cho phép truy cập VPN - Hộp thoại VPN Properties: Tab Security > click vào nút IPSec setting Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 50 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Tab Networking > Type of VPN > L2TP IPSec VPN * Cài Network Monitor Tool VPN server Start > Settings > Control panel > Add/Remove Program > Add/Remove Windows Component > check Management and Monitoring Tools > Details > check Network Monitor Tools > OK > Next Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 51 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com * Cấu hình IPSec DC VPN Client tương tự - Trên máy DC : Start > Programs > Administrative Tools > Domain Controller Security Settings - Click phải chuột IP Security Policies… > Create IP Security Policy > Next - Hộp thoại IP Security Policy Name Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 52 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Hộp thoại Request for Secure Communication > bỏ check mục Activate the default response rule - Hộp thoại Test Properties > add Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 53 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Cửa sổ Wellcome ấn Next > cửa sổ Tunnel Endpoint chọn This rule does not specify a tunnel > Next - Hộp thoại Network Type Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 54 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Hộp thoại IP Filter List - Hộp thoại Filter Action Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 55 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Hộp thoại Authentication Method -Trên máy Client: Start > run >mmc > cửa sổ Console1 > menu File > Add/Remove Stap-in > Add > chọn IP Security Policy Management > Add >Finish Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 56 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Sau thực lại bước tương tự máy DC *Máy DC VPN Client assign policy Test * Thực việc bắt gói - Máy VPN Server mở chương trình Network Monitor > Capture > start - Máy VPN Client dùng lệnh ping địa máy DC: start > run >cmd > ping 192.168.1.1 Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 57 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Máy VPN Server quay lại chương trình Network Monitor Captere > Stop and View > double click lên dịng có Protocol ESP > ESP Ta thấy liệu đường truyền mã hóa IV Tài liệu tham khảo: -Sách Demistifying the ipsec puzzle tác giả Sheila Frankel Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 58 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com -Slide giảng thầy Lê Phúc Đồ án bảo mật thông tin –IPSEC Triển khai hệ thống IPSEC/VPN Windows Server 2003 59 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... mạng riêng ảo VPN Đồ án bảo mật thông tin ? ?IPSEC Triển khai hệ thống IPSEC/ VPN Windows Server 2003 39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Khía cạnh IPSEC VPN IPSEC SSL Kiểu... 8 .Triển khai IPSEC: 8.1.Các tác động bảo mật: Đồ án bảo mật thông tin ? ?IPSEC Triển khai hệ thống IPSEC/ VPN Windows Server 2003 40 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com IPSEC. .. III -Triển khai hệ thống IPSec/ VPN windows server 2003 1.Mơ hình : Trong mơ hình ta sử dụng máy: máy làm DC(domain controler), máy làm VPN server, máy làm VPN client Ta cấu hình IPSec máy DC máy VPN