25.05.2021 IPSec MƠ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG IPSEC TRONG VPN Nội dung Trình bày VPN (Virtual Private Network) ● Tổng quan ● Khái niệm ● Các tính năng, ưu điểm hạn chế Giao thức IPSec ● Khái niệm ● Các chế độ đóng gói liệu IP ● Cơ chế làm việc VPN TỔNG QUAN KHÁI NIỆM02 IPSEC 01 04 KHÁI NIỆM 01 TỔNG QUAN VPN – VIRTUAL PRIVATE NETWORK 25.05.2021 SỰ PHÁT TRIỂN MẠNH MẼ CỦA NỀN CÔNG NGHIỆP, NHU CẦU TRAO ĐỔI THÔNG TIN, DỮ LIỆU GIỮA NHỮNG TỔ CHỨC, CÔNG TY… Internet bùng nổ MỌI NGƯỜI SỬ DỤNG MÁY TÍNH KẾT NỐI INTERNET THÔNG QUA NHÀ CUNG CẤP DỊCH VỤ (ISP – INTERNET SERVICE PROVIDE) TCP/IP VỚI INTERNET, NHỮNG DỊCH VỤ NHƯ MUA BÁN TRỰC TUYẾN, GIÁO DỤC TỪ XA, HAY TƯ VẤN TRỰC TUYẾN… ĐÃ TRỞ NÊN DỄ DÀNG Tuy nhiên VPN Đảm bảo an toàn, bảo mật liệu hay quản lý dịch vụ Từ nhà khoa học nghiêm cứu đưa mơ hình mạng mới, nhằm đáp ứng nhu cầu mà tận dụng sở hạ tầng có Internet, mơ hình mạng riêng ảo(VPN) 02 KHÁI NIỆM VPN – VIRTUAL PRIVATE NETWORK IPSec (Internet Protocol Security) giao thức IETF phát triển IPSec định nghĩa giao thức tầng mạng cung cấp dịch vụ bảo mật, nhận thực, toàn vẹn liệu điều khiển truy cập Nó tập hợp tiêu chuẩn mở làm việc phần thiết bị IPSEC HỖ TRỢ TÍNH NĂNG CHÍNH IPSec Tính xác nhận & Tính ngun vẹn liệu (Authentication & data integrity) 05 CHẾ ĐỘ ĐÓNG GÓI DỮ LIỆU IPSEC – INTERNET IP PROTOCOL SECURITY CHẾ ĐỘ GIAO VẬN(TRANSPORT) Chỉ có trọng tải (dữ liệu truyền) gói tin IP mã hóa chứng thực IP header không bị chỉnh sửa hay mã hóa, chế độ Authentication header IPSec sử dụng địa IP mã hóa cách chia nhỏ thành gói tin riêng rẽ & độc lập (Hash) Các tầng giao vận & ứng dụng thường bảo đảm bơi hàm Hash, chúng bị sửa đổi theo cách AH- kiểu Transport Original Header ESP- kiểu Transport Original Header CHẾ ĐỘ ĐƯỜNG HẦM(TUNNEL) Tồn gói tin IP mã hóa chứng thực Sau gói vào gói tin IP với tiêu đề IP Chế độ Tunnel sử dụng để tạo VPN phục vụ cho việc liên lạc mạng(vd định tuyến), máy chủ(vd chat cá nhân), máy chủ mạng(vd truy cập người sử dụng từ xa) 06 CƠ CHẾ LÀM VIỆC IPSEC – INTERNET PROTOCOL SECURITY BƯỚC 1: Kích hoạt lưu lượng cần bảo vệ Lưu lượng cần bảo vệ khởi tạo trình IPSec Ở đây, thiết bị IPSec nhận đâu lưu lượng cần bảo vệ chẳng hạn thông qua trường địa Apply IPSec Bypass IPSec Discard BƯỚC 2: Thoả thuận trao đổi IKE Phase Mục đích IKE Phase để thoả thuận tập sách IKE (IKE policy), xác thực đối tác ngang hàà̀ng, vàà̀ thiết lập kênh an toàà̀n đối tác IKE Phase có hai chế độ: Chế độ (main mode) vàà̀ chế độ nhanh (Aggressive mode) BƯỚC 3: Thoả thuận trao đổi IKE Phase Mục đích IKE Phase la để thoả thuận thông số bảo mật IPSec sử dụng để bảo mật đường hầm IPSec Negotiate IPSec security parameters BƯỚC 4: Đường hầm mật mã IPSec Sau hoan IKE Phase thiết lập kết hợp an ninh IPSec SA, lưu lượng trao đổi Host A Host B thông qua đường hầm an toan Q trình xử lý gói tin (mã hóa, mật mã, đóng gói) phụ thuộc vào thơng số thiết lập SA IPSec Session BƯỚC 5: Kết thức đường hầm Các kết hợp an ninh IPSec SA kết thúc bị xoá hết hạn IPSec Session SA HẾT HẠN Khi lượng thời gian dã hết số lượng Byte định truyền qua đường hầm Khi SA kết thúc, khoá bị huỷ Lúc IPSec SA cần thiết lập, IKE Phase thực hiện, cần thiết thoả thuận IKE Phase Một hoả thuận thành công tạo SA khoá Các SA thiết lập trước SA cũ hết hạn để đảm bảo tính liên tục luồng thơng tin THANK YOU ... sử dụng ứng dụng khác, ngồi việc kết nối tới văn phịng làm việc hacker lợi dụng yếu điểm từ máy tính cá nhân họ cơng vào hệ thống công ty 04 KHÁI NIỆM IPSEC – INTERNET PROTOCOL SECURITY IPSec. .. chứng thực Sau gói vào gói tin IP với tiêu đề IP Chế độ Tunnel sử dụng để tạo VPN phục vụ cho việc liên lạc mạng(vd định tuyến), máy chủ(vd chat cá nhân), máy chủ mạng(vd truy cập người sử dụng. .. mode) và? ?̀ chế độ nhanh (Aggressive mode) BƯỚC 3: Thoả thuận trao đổi IKE Phase Mục đích IKE Phase la để thoả thuận thông số bảo mật IPSec sử dụng để bảo mật đường hầm IPSec Negotiate IPSec