ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA ĐIỆN-ĐIỆN TỬ BỘ MÔN VIỄN THÔNG LUẬN VĂN TỐT NGHIỆP XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC GVHD: Ths Tạ Trí Nghĩa SVTH : Tơn Thất Cao Ngun Hồ Sỹ Thơng -Hồ Chí Minh, Tháng 12-2013- Trang i ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH CỘNG HỊA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC BÁCH KHOA -✩ Số: /BKĐT Khoa: ĐIỆN-ĐIỆN TỬ Bộ Mơn: ĐIỆN TỬ-VIỄN THƠNG Độc lập – Tự – Hạnh phúc -✩ - NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP HỌ VÀ TÊN NGÀNH: “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” Nhiệm vụ (Yêu cầu nội dung số liệu ban đầu): Ngày giao nhiệm vụ luận văn: Ngày hoàn thành nhiệm vụ: Họ tên người hướng dẫn: Phần hướng dẫn ThS TẠ TRÍ NGHĨA Nội dung yêu cầu LVTN thông qua Bộ Môn Tp.HCM, ngày… tháng… năm 20 CHỦ NHIỆM BỘ MÔN (Ký ghi rõ họ tên) PHẦN DÀNH CHO KHOA, BỘ MÔN: Người duyệt (chấm sơ bộ): Đơn vị: Ngày bảo vệ : Điểm tổng kết: Nơi lưu trữ luận văn: Trang ii NGƯỜI HƯỚNG DẪN CHÍNH (Ký ghi rõ họ tên) TRƯỜNG ĐẠI HỌC BÁCH KHOA Khoa: ĐIỆN-ĐIỆN TỬ CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Mẫu TN.04 HỌ VÀ TÊN NGÀNH: Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA 10 Tổng quát thuyết minh: Số trang Số bảng số liệu Số tài liệu tham khảo Hiện vật (sản phẩm) 11 Tổng quát vẽ : - Số vẽ : A1 A2 Khổ khác - Số vẽ tay Số vẽ máy tính 12 Những ưu điểm LVTN : 13 Những thiếu sót LVTN : 14 Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không bảo vệ 15 Câu hỏi sinh viên phải trả lời trước hội đồng a) b) c) Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10 Ký tên (Ghi rõ họ tên) Trang iii TRƯỜNG ĐẠI HỌC BÁCH KHOA Khoa: ĐIỆN-ĐIỆN TỬ Mẫu TN.04 16 HỌ VÀ TÊN NGÀNH: 17 Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 18 Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA 19 Tổng quát thuyết minh: Số trang Số bảng số liệu Số tài liệu tham khảo Hiện vật (sản phẩm) 20 Tổng quát vẽ : - Số vẽ : A1 A2 Khổ khác - Số vẽ tay Số vẽ máy tính 21 Những ưu điểm LVTN : 22 Những thiếu sót LVTN : 23 Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không bảo vệ 24 Câu hỏi sinh viên phải trả lời trước hội đồng (CBPB 02 câu) a) b) c) Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10 Ký tên (Ghi rõ họ tên) Trang iv LỜI CẢM ƠN Đầu tiên, nhóm Luận văn xin phép gửi lời cảm ơn sâu sắc đến tất thầy giáo trường dìu dắt nhóm suốt thời gian qua Đặc biệt nhóm xin gửi lời cảm ơn chân thành tới ThS.Tạ Trí Nghĩa, thầy hỗ trợ nhóm nhiều luận văn Với lòng nhiệt huyết thương yêu sinh viên, thầy ln hướng dẫn nhóm vượt qua khó khăn ln theo sát bước nhóm luận văn Một lần nữa, nhóm xin gửi lời cảm ơn sâu sắc đến thầy Nhóm xin cảm ơn gia đình bạn bè hết lịng hướng dẫn, bảo tạo điều kiện tốt cho em suốt thời gian qua Nhóm sinh viên Tơn Thất Cao Nguyên Hồ Sỹ Thông Trang v LỜI CẢMƠN MỤC LỤC Chương DANH MỤC HÌNH ẢNH BẢNG SỐ LIỆU DANH MỤC TỪ VIẾT TẮT LỜI NÓI ĐẦU Chương GIỚI THIỆU ĐỀ TÀI 2.1Đặt vấn đề 2.2Mục tiêu đề tài 2.3Phạm vị đề tài 2.4Giới hạn đề tài Chương TỔNG QUAN VỀ VPN 3.1Giới thiệu VPN 1.1.1 Khái niệm 1.1.2 Chức VPN 1.1.3 Ưu điểm VPN 1.1.4 Các yêu cầu giải pháp VPN 1.1.5 Đường hầm mã hóa 3.2Các mơ hình VPN triển khai 1.1.6 IP-VPN truy nhập từ xa: 1.1.7 Site – To – Site VPN 3.3Các giao thức IP-VPN 1.1.8 PPTP (Point - to - Point Tunneling Protocol) 3.3.1.1 Duy trì đường ngầm kết nối điều khiển PP 3.3.1.2 Đóng gói liệu đường ngầm PPTP 3.3.1.3 Xử lí liệu đường ngầm PPTP 3.3.1.4 Sơ đồ đóng gói 1.1.9 L2TP (Layer Two Tunneling Protocol) 3.3.1.5 Duy trì đường ngầm tin điều khiển L2 3.3.1.6 Đường ngầm liệu L2TP 3.3.1.7 Xử lý liệu đường ngầm L2TP IPSec 3.3.1.8 Sơ đồ đóng gói L2TP IPSec 3.4Tổng kết Chương GIAO THỨC IPSEC 4.1Giới thiệu Trang vi 1.1.10 Khái niệm IPSec 24 1.1.11 Khả chống lại công IPSes 25 4.1.1.1 Sniffer ( thiếu bảo mật) 25 4.1.1.2 Sửa đổi liệu (modification) 26 4.1.1.3 Các công giả mạo danh tính (Identity spoofing) , cơng dựa password công lớp ứng dụng 26 4.1.1.4 Tấn công Man-in -the-middle 26 4.1.1.5 Tấn công từ chối dịch vụ (Denial-of-service) 27 1.1.12 Các chuẩn tham chiếu có liên quan 27 4.2 Đóng gói thơng tin IPSec 29 1.1.13 Các loại giao thức IPSec 29 4.2.1.1 Kiểu Transport 29 4.2.1.2 Kiểu Tunnel 30 1.1.14 Giao thức xác thực tiêu đề AH 31 4.2.1.3 Giới thiệu 31 4.2.1.4 Cấu trúc gói tin AH 32 4.2.1.5 Quá trình xử lý AH 34 1.1.15 Giao thức đóng gói an tồn tải tin ESP 38 4.2.1.6 Giới thiệu 38 4.2.1.7 Cấu trúc gói tin ESP 38 4.2.1.8 Quá trình xử lý ESP 40 4.3 Kết hợp an ninh SA giao thức trao đổi khóa IKE 45 1.1.16 Kết hợp an ninh SA 45 4.3.1.1 Định nghĩa mục tiêu 45 4.3.1.2 Cơ sở liệu IPSec 46 1.1.17 Giao thức trao đổi khóa IKE 46 4.3.1.3 Bước thứ 47 4.3.1.4 Bước thứ hai 49 4.4 Những giao thức ứng dụng cho xử lý IPSec 51 1.1.18 Mật mã tin 51 4.4.1.1 Tiêu chuẩn mật mã liệu DES 51 4.4.1.2 Tiêu chuẩn mật mã hóa liệu gấp ba 3DES 52 1.1.19 Toàn vẹn tin 52 4.4.1.3 Mã xác thực tin băm HMAC 53 4.4.1.4 Thuật toán MD5 53 4.4.1.5 Thuật tốn băm an tồn SHA 53 1.1.20 Xác thực bên 53 4.4.1.6 Khóa chia sẻ trước 54 4.4.1.7 Chữ ký số RSA 54 4.4.1.8 RSA mật mã nonces 54 Trang vii 1.1.21 Quản lí khóa 54 4.4.1.9 Giao thức Diffie-Hellman 55 4.4.1.10 Quyền chứng nhận CA 56 4.5 Ví dụ hoạt động IP-VPN sử dụng IPSec 57 4.6 Tổng kết 58 Chương GIẢI PHÁP THỰC HIỆN THIẾT BỊ IPSEC VPN 60 5.1 Phân tích lựa chọn giải pháp thực 60 1.1.22 Kiến trúc tích hợp IPSec 60 5.1.1.1 Cấu trúc Bump in the Stack (BITS) 60 5.1.1.2 Cấu trúc Bump in the Wire (BITW) 61 1.1.23 Mơ hình tiến hành kiểm tra khả bảo mật thiết bị thực .62 5.2 Giải pháp thực 64 1.1.24 Mơ hình xư lý IPSec tổng quát 64 1.1.25 Chính sách bảo mật liên kết sở liệu IPSec 65 5.2.1.1 Thông tin bảng SPD 66 5.2.1.2 Thông tin bảng SAD 67 5.2.1.3 Sự liên kết thông tin sở liệu SPD SAD 67 5.2.1.4 Bảo vệ anti-replay 71 1.1.26 Quá trình thực chương trình 73 5.2.1.5 Tổng quát trình thực thiết bị IPSec 73 5.2.1.6 Q trình xử lý gói outbound 74 5.2.1.7 Q trình xử lý gói inbound 77 5.2.1.8 Xây dựng gói ESP 79 1.1.27 Quá trình trao đổi IKE 80 5.2.1.9 IKE module 80 5.2.1.10 Thực giao thức trao đổi khóa IKE 84 Chương ĐÁNH GIÁ KẾT QUẢ THỰC HIỆN .100 6.1 Tiêu chí đánh giá 100 6.2 Phương pháp đánh giá 100 6.3 Kết đánh giá .101 Chương KẾT LUẬN VÀ HƯỚNG PHÁT TRIỀN 103 7.1 Kết luận 103 7.2 Hướng phát triền 103 1.1.28 Thêm khả mã hóa gói tin 103 1.1.29 Thiết lập bảo mật IPSec IPv6 103 1.1.30 Sử dụng RSA cho trình xác thực 103 1.1.31 Truyền phát thêm gói tin báo lỗi bảo mật ICMP 104 Trang viii Chương DANH MỤC HÌNH ẢNH Hình 1-1:Tổng quan mơ hình mạng cơng ty sử dụng kết nối bảo mật VPN Hình 2-2:Tổng quan mạng VPN Hình 2-3:Ưu điểm VPN so với mạng truyền thông Hình 2-4:Đường hầm mã hóa VPN Hình 2-5:Thiêt lập VPN remote acces 10 Hình 2-6:Intranet IP-VPN 12 Hình 2-7 :Extranet IP-VPN 12 Hình 2-8: Gói liệu kết nối điều khiển PPTP 15 Hình 2-9: Dữ liệu đường ngầm PPTP 15 Hình 2-10: Sơ đồ đóng gói PPTP 17 Hình 2-11: Bản tin điều khiển L2TP 19 Hình 2-12: Đóng bao gói tin L2TP 19 Hình 2-13: Sơ đồ đóng gói L2TP 21 Hình 3-14:Lộ trình tài liệu xây dựng giao thức IPSec 29 Hình 3-15:Gói tin IP kiểu Transport 30 Hình 3-16:Gói tin IP kiểu Tunnel 30 Hình 3-17: Cấu trúc tiêu đề AH cho IPSec Datagram 32 Hình 3-18:Quy trình đóng gói gói tin AH 35 Hình 3-19: Xử lý đóng gói ESP 38 Hình 3-20: Khn dạng gói ESP 38 Hình 3-21:Khn dạng IPv4 trước sau xử lý ESP kiểu Transport 40 Hình 3-22:Khn dạng IPv6 trước sau xử lý ESP kiểu Transport 41 Hình 3-23: Khn dạng gói tin xử lý ESP kiểu Tunnel 41 Hình 3-24:Các chế độ chính, chế độ công, chế độ nhanh IKE 47 Hình 3-25:IKE pha thứ sử dụng chế độ (Main Mode) .48 Hình 3-26:Các tập chuyển đổi IPSec 50 Hình 3-27:Ví dụ hoạt động IP-VPN sử dụng IPSec 57 Hình 4-28:Cấu trúc IPsec bump in the stack (BITS) 60 Hình 4-29:Cấu trúc IPsec bump in the wire (BITW) 61 Hình 4-30:Mơ hình áp dụng hoạt động thiết bị 63 Hình 4-31:Quá trình xử lý IPSec tổng quát từ thiết bị IPSec tới thiết bị IPSec 64 Hình 4-32:Cấu trúc sở liệu chương trình 66 Hình 4-33:Ví dụ liên kết thông tin bảng SPD bảng SAD .68 Hình 4-34:Tổng quát trình thực IPSec 73 Hình 4-35:Quá trình xử lý gói tin outbound 76 Hình 4-36:Q trình xử lý gói tin inbound 78 Hình 4-37:Gói tin IP gốc gói IP mã hóa ESP 79 Hình 4-38:Tổng quan trình trao đổi IKE 81 Hình 4-39:Quá trình thực trao đổi pha 82 Hình 4-40:Quá trình trao đổi pha 82 Hình 4-41:Cấu trúc khung gói tin ISAKMP 83 Hình 4-42:Trao đổi thỏa thuận IKE chế độ 84 Hình 4-43:Gói tin pha 85 Hình 4-44:Lưu đồ giải thuật bên khới tạo pha – chế độ 86 Hình 4-45:Lưu đồ giải thuật bên phản hồi pha – chế độ 88 Hình 4-46:Gói tin thứ 3-4 chế độ – pha .89 Hình 4-47:Gói tin thứ 91 Hình 4-48:Quá trình thỏa thuân IKE pha 2-chế độ nhanh 92 Hình 4-49:Cấu trúc gói tin pha 2- chế độ nhanh 93 Hình 4-50:Lưu đồ giải thuật bên khởi tạo pha – chế độ nhanh 96 Hình 4-51:Lưu đồ giải thuật bên phản hồi pha – chế độ nhanh 97 Hình 5-52:Mơ hình sử dụng đánh giá thiết bị IPSec 100 Hình 5-53:Biểu đồ thể tốc độ throughput chế độ IPSec khác 101 Trang ix BẢNG SỐ LIỆU Bảng 3-1:Các RFC đưa có liên quan đến IPSec .27 Bảng 3-2: Tổng kết chương giao thức IPSec 58 Bảng 4-3:Ví dụ bảng SPD outbound với trỏ đến bảng SA outbound 69 Bảng 4-4:Ví dụ bảng SPD inbound với trỏ đến bảng SA inbound 69 Bảng 4-5:Ví dụ bảng SA outbound liên kết với SPD outbound 70 Bảng 4-6:Ví dụ bảng SA outbound liên kết với SPD outbound 71 Bảng 5-7:Bảng đánh giá tốc độ throughput IPSec 101 DANH MỤC TỪ VIẾT TẮT AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến AH Authentication Header Tiêu đề xác thực Trang x Gói tin thứ 5: Tại thời điểm pha 1, hai thiết bị trao đổi thông tin nhận dạng với nhau, cách sử dụng chữ ký để xác thực thân phương pháp khóa chia sẻ trước Như thể hình 13, gói tin ISAKMP mang nhận dạng chữ ký mã hóa khóa SKEYID_e Thiết bị-A sử gói tin thứ gửi thông tin đến Thiết bị- B để xác thực Thiết bịA Hình 4-47:Gói tin thứ Trường Identity: Chứa tên Thiết bị- A Trường Signature: Thiết bị-A (bên khởi tạo) tạo hàm băm cách sử dụng thuật toán chữ ký số (sử dụng thuật tốn băm chiều MD5 với khóa chia sẻ trước), sau đưa vào trường Signature: HASH_I = HMAC-MD5(SKEYID, gx, gy, CookieA, CookieB, ID_A) Giá trị ký với khóa chia sẻ trước Thiết bị - A ghi vào trường Signature ID_A thông tin nhận dạng Thiết bị-A truyền trường Identity gói tin Trang 91 Gói tin thứ 6: Sau nhận tin nhắn thứ từ Thiết bị-A, Thiết bị-B xác minh danh tính Thiết bị-A cách xác thực chữ ký số Nếu chữ ký hợp lệ, Thiết bị-B gửi gói tin thứ để Thiết bị-A xác minh danh tính Thiết bị-B Cấu trúc gói tin thứ giống gói tin thứ Trường Identity chứa tên Thiết bị-B Trường Signature tính tốn tương tự Signature gói tin thứ HASH_R = HMAC-MD5(SKEYID, gy, gx, CookieB, CookieA, ID_B) Khi Thiết bị-A nhận gói tin thứ xác minh chữ ký số, pha hoàn tất Cả hai bên thỏa thuận đặc tính kết hợp an ninh ISAKMP dùng để tạo khóa pha b )Pha – Chế độ nhanh Những trao đổi pha nhằm xác định kết hợp an ninh SA khóa sử dụng bảo vệ gói tin IP trao đổi hai bên thông qua đường hầm IPSec Pha thực thường xuyên (trong khoảng thời gian quy định đường hầm thường khởi tạo) cho việc làm khóa Pha gồm gói tin có cấu trúc sau: Hình 4-48:Quá trình thỏa thuân IKE pha 2-chế độ nhanh Trang 92 Hình 4-49:Cấu trúc gói tin pha 2- chế độ nhanh Trang 93 Trang 94 Trang 95 Hình 4-50:Lưu đồ giải thuật bên khởi tạo pha – chế độ nhanh Trang 96 Hình 4-51:Lưu đồ giải thuật bên phản hồi pha – chế độ nhanh Trang 97 Gói tin thứ 1: Tiêu đề ISAKMP: cho biết loại trao đổi pha – chế độ nhanh, bao gồm Message-ID khác không lựa chọn Thiết bị-A, bao gồm cookie khởi tạo cookie phản hồi (initiator cookie responder cookie) lựa chọn pha 1(Cookie-A Cookie-B ), cờ mã hóa bật lên biết trường gói tin ISAKMP mã hóa khóa thỏa thuận pha - chế độ HASH_1: Hàm băm cho vào trường mes_hash gói tin HASH_1 = HMAC-MD5(SKEYID_a, M-ID, Ni, Nr) Ni Nr giá trị nonces bên khởi tạo hồi đáp Trường Proposal Transform : có cấu trúc tương tự pha Trường Proposal xác định giao thức sử dụng cho bảo vệ gói tin IPSec (ESP, AH ESP AH) bao gồm giá trị SPI chọn ngẫu nhiên Thiết bị-A Trường Transform cho biêt thuật tốn ESP AH Gói tin thứ 2: Sau Thiết bị-B nhận gói tin từ Thiết bị-A xác nhận thành công cách so sánh HASH_1với hàm băm tính tốn , Thiết bị-B gửi gói tin thứ cho Thiết bị - A Message- ID gói tin thứ tương tự với gói tin thứ Hàm băm HASH_2 chứa trường mes_hash : HASH_2 = HMAC-MD5(SKEYID_a, M-ID, Nr, Ni) Tất thông số cần thiết cho việc xây dựng SA cho IPSec bao gồm trường Proposal Transform chấp nhận Thiết bị - B gửi gói tin thứ hai để xác nhận thỏa thuận Cả hai bên tính tốn khóa để sử dụng mã hóa xác thực gói tin IPSec Đối với liệu gửi Thiết bị-A nhận Thiết bị-B, khóa tính tốn dùng để tính khóa IPsec: KEYMAT(ab) = HMAC-MD5(SKEYID_d, DH_shared_key, protocol, SPI, Ni, Nr, 0) Đối với liệu gửi Thiết bị-B nhận Thiết bị-A, khóa tính tốn dùng để tính khóa IPsec: KEYMAT(ba) = HMAC-MD5(SKEYID_d, DH_shared_key, protocol, SPI, Nr, Ni, 0) DH_shared_key chìa khóa chia sẻ tính tốn pha 1- chế độ protocol SPI lấy từ trường Proposal Mỗi bên tính tốn khóa để mã hóa xác thực ( khóa bên tạo cách đối xứng) : Trang 98 Khóa xác thực: KEY_AH(ab) = HMAC-MD5(KEYMAT(ab), SKEYID_d, DH_shared_key, Cookie_A, Cookie_B, 1) Khóa mã hóa : KEY_ESP(ab) = HMAC-MD5(KEYMAT(ab), KEY_A(ab), DH_shared_key, Cookie_A, Cookie_B, 2) Gói tin thứ 3: Tại thời điểm này, Thiết bị-A Thiết bị-B trao đổi tất thơng tin cần thiết Gói tin thứ trao đổi pha - chế độ nhanh Thiết bị-A gửi kết thúc thảo thuận SA, bắt đầu cho việc truyền gói tin IP qua đường hầm IPsec Gói tin thứ có Message-ID nonces trao đổi gói tin thứ Ngồi ra, cịn chưa hàm băm HASH_3: HASH_3 = HMAC-MD5(SKEYID_a, 0, M-ID, Ni, Nr) Khi Thiết bị-B nhận gói tin xác minh thành cơng, hai thiết bị bắt đầu sử dụng giao thức bảo mật SA thỏa thuận để bảo vệ gói tin IP đường hầm IPsec tương ứng Trang 99 Chương ĐÁNH GIÁ KẾT QUẢ THỰC HIỆN 6.1 Tiêu chí đánh giá Throughput (băng thơng): Tốc độ nhanh mà số khung đo kiểm phát thiết bị đo kiểm (DUT) ngang với số khung gửi tới thiết bị đo kiểm 6.2 Phương pháp đánh giá Hình 5-52:Mơ hình sử dụng đánh giá thiết bị IPSec Kiểm tra throughput: Gửi gói tin có độ dài cụ thể với tốc độ bắt đầu 500bps từ laptop sau đếm số khung hình truyền qua đến laptop Nếu số lượng gói tin cung cấp từ laptop với số lượng gói tin nhận laptop 2, tăng tốc độ gửi laptop Throughput xác định tốc độ lớn mà số lượng gói truyền từ laptop số lượng gói nhận laptop 2 Tăng chiều dài gói tin tiến hành lại bước Quá trình lặp lại đến chiều dài gói tin chiều dài tối đa gói tin gửi MTU Theo RFC 2544, khung sử dụng để kiểm tra khung UDP Echo Request với cấu trúc khung định nghĩa mục RFC 2544 C.2.4.6 Chiều dài khung IP sử dụng để tiens hành kiểm tra 0x2E, 0x6E, 0xEE, 0x1EE, 0x2EE, 0x3EE, 0x4EE Trang 100 6.3 Kết đánh giá Chế độ IPSec Không mã hóa IPSec ESP 3DES HMACMD5 ESP 3DES HMACSHA1 ESP 3DES Hình 5-53:Biểu đồ thể tốc độ throughput chế độ IPSec khác Trang 101 Từ biểu đồ hình 5-2 ta thấy việc lựa chọn thuật tốn mã hóa có ảnh hưởng đến tốc độ throughput chương trình Khi khơng mã hóa, tốc độ gửi gói tin qua thiết bị nhanh nhiều so với tiến hành mã hóa gói tin ESP Việc ứng dụng nhiều thuật toán vào giao thức IPSec làm tăng tính bảo mật đường truyềnIPSec Tuy nhiên, làm giảm tốc độ throughput thiết bị (chế độ IPSec áp dụng thuật tốn ESP 3DES có throughput lớn áp dụng thuật toán ESP 3DES HMAC-MD5 ESP 3DES HMAC-SHA1) Trang 102 Chương KẾT LUẬN VÀ HƯỚNG PHÁT TRIỀN 7.1 Kết luận Luận văn hồn thành cơng việc: Thực q trình mã hóa IPSec sử dụng giao thức ESP với: o Thuật tốn mã hóa 3DES, DES o Thuật tốn xác thực: MD5,SHA1 o Quá trình trao đổi key sử dụng IKEv1 Tiến hành thiết kế/ xây dựng thiết bị bảo mật VPN suốt mạng, có khả kết nối đa điểm Kết đạt được: Thiết bị IPSec có khả bảo vệ mạng nội chống lại số công : từ chối dịch vụ, Man-in-the-Middle, sniffer, cống sửa đổi gói tin Q trình trao đổi thông tin mạng đảm bảo thông suốt 7.2 Hướng phát triền 1.1.28.Thêm khả mã hóa gói tin Ngồi thuật tốn sử dụng phổ biến DES, 3DES, nhằm tăng tính bảo mật hệ thống, tương lai nhóm dự định bổ sung thêm giải thuật AES Giải thuật AES có khả làm tăng khả tương thích khả an ninh hệ thống IPSec 1.1.29.Thiết lập bảo mật IPSec IPv6 Ngày nay, IP v6 sử dụng rộng rãi dự báo hệ IPv4 Do đó, nhu cầu bảo mật IPv6 đòi hỏi phục vụ cho nhu cầu an ninh sử dụng tương lai gần 1.1.30.Sử dụng RSA cho trình xác thực Với cách xác thực khóa chia sẻ trước., khóa khơng bảo mật bị kẻ cơng lấy cồng theo phương pháp Man-in-the Midle Vì cần thiết lập xác thực ký số theo phương pháp RSA Trang 103 1.1.31 Truyền phát thêm gói tin báo lỗi bảo mật ICMP Gói tin lỗi bảo mật ICMP nhằm thông báo hệ thống bị lỗi cần cấu hình lại có cơng vào thiết bị bị phát hiện(ví dụ cơng từ chối dịch vụ, công sửa đổi liệu…) Gói tin lỗi bảo mật ICMP nhằm tiến hành thơng báo lối bảo mật sau: SPI xấu: ám khung nhận có chứa số SPI khơng có giá trị hết thời gian sử dụng Xác thực lỗi: Gói tin nhận bị lỗi xác thực kiểm tra tính tồn vẹn Giải mã bị lỗi: Một khung nhận bị lỗi giải mã u cầu xác thực Gói tin nhận khơng chấp nhận khơng có xác thực kèm gói tin Trong trường hợp này, khơng có SPI diện hệ thống mạng nội bên nhận SPI khơng thích hợp diện mạng Ví dụ như, gói SPI mã hóa khơng với tính tồn vẹn đến hệ thống bảo mật với tương tác người sử dụng khả nghi Thơng tin chi tiết cấu trúc gói đề cập RFC2521 Trang 104 Tài liệu tham khảo Poonam Arora, Prem R Vemuganti, Praveen Allani “Comparison of VPN Protocols – IPSec, PPTP, and L2TP”, Department of Electrical and Computer Engineering George Mason University Fairfax, VA 22202 Christian Scheurer, Niklaus Schild “ Embedded IPSec-a lightweight IPSec implementation”, HTI Biel/Bienne(12/2003) Charles M Kozierok “The TCP/IP Guide: A Comprehensive, Illustrated Internet Protocols Reference” http://www.ietf.org/rfc/ http://technet.microsoft.com/en-us/library/ Trang 105 ... phải có phương pháp bảo Trang xiii mật an ninh nhằm giải vấn đề Giao thức IPSec phương pháp tối ưu để giải vấn đề Mục đích luận văn ? ?Xây dựng thiết bị bảo mật VPN dựa giao thức IPSec? ?? tìm hiểu vấn... TỬ-VIỄN THƠNG Độc lập – Tự – Hạnh phúc -✩ - NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP HỌ VÀ TÊN NGÀNH: “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC? ?? Nhiệm vụ (Yêu cầu nội dung số liệu ban đầu):... tài ? ?Xây dựng thiết bị bảo mật VPN dựa giao thức IPSec? ?? Chương 2: Tổng quan VPN Chương bắt đầu với việc phân tích khái niệm VPN, chưc năng, ưu điểm yêu cầu giải pháp VPN khiến giải pháp bảo mật