HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THƠNG I TIỂU LUẬN MƠN HỌC “An ninh mạng thơng tin” Đề tài: “Giao thức IPSec an toàn mạng Internet” Giao thức IPSec an toàn mạng Internet STT Họ tên sinh viên Nội dung phân công Tổng quan IPSec Giao thức xác thực AH Kết luận Các chức IPSec Giao thức an ninh bảo vệ ESP Công việc chung Làm word nội dung chọn tổng hợp hoàn thiện word cuối Làm word nội dung chọn sửa lỗi word Ứng dụng IPSec Mô hình kiến trúc cách thức hoạt động IPSec Giao thức trao đổi IKE Làm word nội dung chọn sửa lỗi word Giao thức IPSec an tồn mạng Internet MỤC LỤC DANH MỤC PHÂN CƠNG CÔNG VIỆC MỤC LỤC DANH MỤC THUẬT NGỮ VIẾT TẮT DANH MỤC HÌNH – BẢNG Lời nói đầu Tổng quan IPSec I Giới thiệu Vai trò giao thức IPSec Ưu điểm Nhược điểm Mơ hình kiến trúc cách thức hoạt động IPSec II Mơ hình kiến trúc IPSec Cách thức hoạt động 11 a) Chế độ truyền tải (Transport) 13 b) Chế độ đường hầm (Tunnel) 13 Các chứng IPSec 15 III Chứng thực liệu 15 Toàn vẹn liệu 15 Bảo mật liệu 15 Tránh trùng lặp liệu 15 Những giao thức IPSec phần tử hỗ trợ 16 IV Giao thức xác thực AH (Authentication Header) 16 a Khái niệm 16 b Quá trình xử lý AH 17 i Vị trí AH 17 ii Các bước xác thực 19 iii Xử lý gói đầu 19 iv Xử lý gói đầu vào 21 Giao thức IPSec an toàn mạng Internet Giao thức an ninh bảo vệ ESP (Encapsulating Security Payload) 23 a Khái niệm 23 b Các thuật toán 24 c So sánh giao thức AH ESP 24 d Chế độ Transport ESP 25 e Chế độ Tunnel ESP 25 Giao thức trao đổi IKE (Internet Key Exchange) 27 Giai đoạn IKE 27 a i Giai đoạn 27 ii Giai đoạn 27 Chế độ IKE 27 b V VI i Chế đợ 28 ii Chế đợ tích cực 30 iii Chế độ nhanh 31 iv Chế độ nhóm 32 Ứng dụng IPSec 32 Kết luận 33 TÀI LIỆU THAM KHẢO 34 Giao thức IPSec an toàn mạng Internet DANH MỤC THUẬT NGỮ VIẾT TẮT Tên viết tắt Tên đầy đủ Dịch nghĩa AH Authentication Header Giao thức xác nhận DOS Denial Of Service Từ chối dịch vụ ESP Encapsulating Security Payload Giao thức an ninh bảo vệ ICMP Internet Control Message Protocol Giao thức Thông điệp Điều khiển Internet ICV Integrity Check Value Giá trị kiểm tra tính tồn vẹn IETF Internet Engineering Task Force Lực lượng Chuyên trách Kỹ thuật Liên mạng IKE Internet Key Exchange Giao diện trao đổi ISAKMP Internet Security Association and Key Management Protocol Hiệp hội Bảo mật Internet Giao thức Quản lý Khóa MAC Media Access Control Kiểm soát truy cập phương tiện OSI Open Systems Interconnection Mơ hình tham chiếu kết nối hệ thống mở SA Security Association Hiệp hội bảo mật SN Sequence Number Số thứ tự SPI Serial Peripheral Interface Giao diện ngoại vi nối tiếp TCP Transmission Control Protocol Giao thức điều khiển truyền vận UDP User Datagram Protocol Giao thức liệu người dùng VPN Virtual Private Network Mạng riêng ảo Giao thức IPSec an toàn mạng Internet DANH MỤC HÌNH – BẢNG STT Hình Nợi dung Hình IPSec mơ hình OSI Hình Cấu trúc mơ hình IPSec Hình Gói giao thức AH Hình Gói giao thức ESP Hình Các gói IP IPSec bảo vệ chế độ truyền tải chế độ đường hầm Hình Mơ hình chế độ truyền tải Hình Mơ hình chế độ đường hầm Hình Cấu trúc giao thức AH Hình Khuôn dạng IPv4 trước sau xử lý AH kiểu Transport 10 Hình 10 Khn dạng IPv6 trước sau xử lý AH kiểu Transport 11 Hình 11 Khn dạng gói tin xử lý AH kiểu Tunnel 12 Hình 12 Phân mảnh xác thực: Máy chủ đến máy chủ chế độ Transport 13 Hình 13 Phân mảnh xác thực: Cổng đến cổng chế độ Tunnel 14 Hình 14 Gói IP bảo vệ ESP chế độ Transport 15 Hình 15 Gói IP bảo vệ ESP chế độ Tunnel 16 Hình 16 ESP chế độ Transport 17 Hình 17 Đóng gói ESP chế độ Transport 18 Hình 18 ESP Tunnel – Mode VPN 19 Hình 19 Đóng gói ESP Tunnel – Mode 20 Hình 20 Giao thức trao đổi chế độ 21 Hình 21 Giao thức trao đổi chế độ tích cực 22 Hình 22 Giao thức trao đổi chế độ nhanh 23 Hình 23 Giao thức trao đổi chế độ nhóm Giao thức IPSec an toàn mạng Internet Lời nói đầu Giao thức TCP/IP đóng vai trị quan trọng hệ thống Về nguyên tắc, có nhiều tùy chọn khác giao thức để triển khai hệ thống mạng TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP lựa chọn gần bắt buộc giao thức sử dụng làm giao thức tảng mạng Internet Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật quan tâm, đó, giao thức TCP/IP khơng trang bị giao thức Cấu trúc gói liệu (IP, TCP,UDP giao thức ứng dụng) mơ tả cơng khai, bắt gói IP mạng, phân tích gói để đọc phần liệu chứa bên trong, chưa kể nay, công cụ bắt phân tích gói xây dựng với tính mạnh phát hành rộng rãi.Việc bổ sung chế bảo mật vào mơ hình TCP/IP, giao thức IP nhu cầu cấp bách.IPSecurity (IPSec) giao thức chuẩn hoá IETF từ năm 1998 nhằm mục đích nâng cấp chế mã hố xác thực thông tin cho chuỗi thông tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính tồn vẹn liệu chứng thực liệu thiết bị mạngIPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc Giao thức IPSec an toàn mạng Internet I Tổng quan IPSec Giới thiệu IPSec (Internet Protocol Security) giao thức chuẩn hoá phát triển tổ chức IETF (Internet Engineering Task Force) từ năm 1998 IPSec bao gồm hệ thống giao thức chuẩn, cung cấp dịch vụ bảo mật q trình truyền thơng tin tảng Internet Protocol (IP), bao gồm xác thực mã hố cho gói IP q trình truyền thơng tin Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính tồn vẹn liệu chứng thực liệu thiết bị mạng IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI giao tiếp mạng sở IP dựa giao thức IP Do đó, chế bảo mật cao tích hợp với giao thức IP, toàn mạng bảo mật giao tiếp qua tầng (Network layer) mơ hình OSI Hình 1: IPSec mơ hình OSI IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc Giao thức IPSec an toàn mạng Internet Vai trò giao thức IPSec ➢ ➢ ➢ ➢ Cho phép xác thực hai chiều,trước q trình truyền tải liệu Mã hóa đường truyền máy gửi qua mạng Bảo vệ gói liệu IP phịng ngự công mạng không bào mật Bào vệ lưu lượng việc sử dụng mã hóa đánh dấu liệu Ưu điểm ➢ ➢ ➢ Khi IPSec triển khai tường lửa định tuyến mạng riêng, tính an tồn IPSec áp dụng cho tồn vào mạng riêng mà thành phần khác khơng cần phải xử lý thêm công việc liên quan đến bảo mật IPSec thực bên lớp TCP UDP, đồng thời hoạt động suốt lớp Do không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ IPSec triển khai IPSec cấu hình để hoạt động cách suốt ứng dụng đầu cuối, điều giúp che giấu chi tiết cấu hình phức tạp mà người dùng phải thực kết nối đến mạng nội từ xa thông qua mạng Internet Nhược điểm Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kĩ thuật cịn nghiên cứu chưa chuẩn hóa ➢ ➢ ➢ IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác Việc tính tốn nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu Việc phân phối phần cứng phầm mềm mật mã bị hạn chế phủ số quốc gia Giao thức IPSec an tồn mạng Internet II Mơ hình kiến trúc cách thức hoạt động IPSec Mô hình kiến trúc IPSec Mục đích việc phát triển IP Sec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI, hình : Hình 2:Cấu trúc mơ hình IPSec Mọi giao tiếp mạng sở IP dựa giao thức IP Do đó, chế bảo mật cao tích hợp với giao thức IP, tồn mạng bảo mật giao tiếp qua tầng (Đó lý tai IP Sec phát triển giao thức tầng thay tầng 2) Giao thức IPSec an toàn mạng Internet ➢ Phân mảnh (Fragmentation): cần thiết, phân mảnh thực sau xử lý AH Vì AH kiểu transport thực tồn gói IP, không thực mảnh Nếu thân gói IP qua xử lý AH bị phân mảnh đường truyền phía thu phải ghép lại trước xử lý AH Ở kiểu Tunnel, AH thực gói IP mà phần tải tin gói IP phân mảnh Hình 12: Phân mảnh xác thực: Máy chủ đến máy chủ chế độ Transport 20 Giao thức IPSec an toàn mạng Internet Hình 13: Phân mảnh xác thực: Cổng đến cổng chế độ Tunnel iv Xử lý gói đầu vào Khi nhận thơng điệp có chứa AH,q trình xử lí ip trước tiên tổng hợp phân mảnh thành thơng điệp hồn chỉnh.Sau thơng điệp chuyển tới q trình xử lí IPSec Quá trình gồm bước sau: ➢ Bước 1:Xác định inbound SA tương ứng SAD.Bước thực dựa thôngsố:SPI,địa nguồn,giao thức AH.SA tương ứng kiểm tra gói AH để xác định xem modenào áp dụng transport mode hay tunnel mode hay hai.Gói phải cung cấp số thông số để giới hạn tầm tác động SA (ví dụ:port hay protocol) Nếu tunnel header SA phải so sánh thông số packer inner thơng số khơng chép sangtunnel header Khi SA phù hợp tìm thấy,quá trình tiếp tục ,ngược lại gói tin bị hủy bỏ ➢ Bước 2: Nếu chức chống phát lại kích hoạt, phía xuất phát gói tin AH ln tăng số đếm chống phát lại.Bên nhận bỏ qua sử dụng số để chống phát lại.Tuy nhiên giao thức IP khơng đảm bảo trình tự gói đến bên nhận giống trình tự gói lúc chúng gửi đi.Do số dùng để xác định thứ tự gói tin.Tuy nhiên số sử dụng để xác định mối liên hệ thứ tự với cửa sổ có chiều dài bội số 32 bits Đối với inbound SA,SAD lưu trữ 21 Giao thức IPSec an toàn mạng Internet cửa sổ chống phát lại Kích thước cửa sổ bội số 32 bits với giá trị mặc định 64 bits Một cửa sổ chống phát lại có kích thước N kiểm sốt sequence number N thông điệp nhận gần nhất.Bất thơng điêp có sequence number nhỏ miền giá trị cửa sổ phát lại đểu bị hủy bỏ.Các thơng điệp có số sequence number tồn cửa sổ phát lại bị hủy bỏ Một bit mask ( cấu trúc tương tự ) sử dụng để kiểm sốt sequence number N thơng điệp nhận gần SA Ban đầu bit-mask 64 bít giám sát sequence number thơng điệp có sequence number nằm đoạn , 64 Một xuất thông điệp có số sequence number lớn 64 ( ví dụ 70), bit-mask dịch chuyển để giám sát số sequence number đoạn 70 Do hủy bỏ thơng điệp có sequence number nhỏ 7, thơng điệp có số sequence number xuất cửa sổ chống phát lại.hình minh họa hoạt động cửa sổ chống phát lại ➢ Bước 3: Kiểm tra tính xác thực liệu.Hàm băm tính tốn tương tự liệu đầu ra.Nếu kết tính khơng trùng với ICV thơng điệp hủy bỏ thơng điệp ,ngược lại chuyển sang giai đoạn ➢ Bước 4: Loại bỏ AH tiếp tục q trình xử lí IPSec cho phần lại tiêu đề IPSec Nếu có nested IPSec header xuất đích đến Mỗi header cần phải xử lí hai điều kiện thỏa mãn.Khi IPSec header cuối xử lí thành cơng q trình xử lí tiếp cận đến protocol lớp gói tin gửi đến chu trình xử lí gói ip tiếp tục di chuyển tầng ip Trong trường hợp khác, q trình xử lí tiếp cận với tunnel ip header mà đích đến khơng phải host thơng điệp chuyển đến host phù hợp giai đoạn q trình xử lí IPSec diễn ➢ Bước 5: Kiểm tra SAD để đảm bảo IPSec policy áp dụng với thông điệp thỏa mãn hệ thống policy yêu cầu.Giai đoạn quan trọng khó minh họa trường hợp trình xác thực sử dụng AH.Một ví dụ có sức thuyết phục cao tiếp tục tìm hiểu loại tiêu đề bảo mật khác, ESP 22 Giao thức IPSec an toàn mạng Internet Giao thức an ninh bảo vệ ESP (Encapsulating Security Payload) a Khái niệm Encapsulating Security Payload (ESP) định nghĩa RFC 1827 sau phát triển thành RFC 2408 Cũng AH, giao thức phát triển hoàn toàn cho IPSec Giao thức cung cấp tính bí mật liệu việc mật mã hóa gói tin Thêm vào đó, ESP cung cấp nhận thực nguồn gốc liệu, kiểm tra tính toàn vẹn liệu, dịch vụ chống phát lại số giới hạn luồng lưu lượng cần bảo mật Tập dịch vụ cung cấp ESP phụ thuộc vào lựa chọn thời điểm thiết lập SA, dịch vụ bảo mật cung cấp độc lập với dịch vụ khác Tuy nhiên không kết hợp sử dụng với dịch vụ nhận thực vào tồn vẹn liệu hiệu bí mật không đảm bảo Hai dịch vụ nhận thực tồn vẹn liệu ln kèm Hình 14: Gói IP bảo vệ ESP chế độ Transport Hình 15: Gói IP bảo vệ ESP chế độ Tunnel Dịch vụ chống phát lại có nhận thực lựa chọn Giao thức sử dụng yêu cầu bí mật lưu lượng IPSec cần truyền Giao thức ESP cung cấp xác thực, độ tồn vẹn, đảm bảo tính bảo mật gói tin giống với AH thêm chức bảo mật IPSec Trong chế độ tunnel mode, ESP cung cấp bảo vệ hạn chế từ việc phân tích lưu lượng 23 Giao thức IPSec an tồn mạng Internet Đặc tính kỹ thuật ESP có RFC 2406 [Kent and Atkinson 1998b] Ngoài xác thực liệu vị trí liệu xác thực gói tin, chức xác thực ESP giống với AH ESP có chức xác thực riêng công, ESP luôn xác thực, chức xác thực nên tích hợp sẵn ESP phụ thuộc vào SA giao thức header khác ESP không xác thực IP header Trong chế độ tunnel mode, việc kết hợp sử dụng AH vs ESP mơ hình bảo mật u cầu địa gói liệu cần xác thực Xác thực mã hóa tùy chọn ESP, thứ phải sử dụng Các thuật tốn mã hóa xác thực sử quy định SA Một hai chức bị vơ hiệu hóa cách xác định thuật tốn NULL b Các thuật tốn Có thuật tốn sau sử dụng với ESP: ➢ ➢ ➢ ➢ ➢ DES, 3DES in CBC HMAC with MD5 HMAC with SHA-1 NULL Authentication algorithm NULL Encryption algorithm c So sánh giao thức AH ESP Bảo mật AH ESP Chỉ có lớp giao thức IP 51 50 Toàn vẹn liệu Có Có Xác thực liệu Có Có Mã hóa liệu Khơng Có Chống cơng phát lại Có Có Tương thích với NAT Khơng Có Bảo vệ gói IP Có Khơng Bảo vệ liệu Khơng Có 24 Giao thức IPSec an tồn mạng Internet d Chế độ Transport ESP ESP chế độ Transport sử dụng để đảm bảo thông tin liên lạc hai host cố định Đường hầm ESP kết nối hai host cụ thể, vài host hai network Hình 16: ESP chế độ Transport Trong chế độ Transport, ESP sử dụng để bảo đảm bảo mật giao thức lớp gói tin IP Có thể phân đoạn TCP gói tin UDP, gói ICMP giao thức IP khác Hình 17: Đóng gói ESP chế độ Transport e Chế đợ Tunnel ESP Chế độ Tunnel ESP sử dụng cho VPN hai network host network Một cấu hình điển hình thể hình sau, kết nối mạng A B với chế độ tunnel mode ESP VPN: 25 Giao thức IPSec an tồn mạng Internet Hình 18: ESP Tunnel – Mode VPN Với VPN, host mạng A giao tiếp an toàn với host mạng B Hình 19: Đóng gói ESP Tunnel – Mode 26 Giao thức IPSec an tồn mạng Internet Qua hình cho thấy gói tin IP mang theo phân đoạn TCP trước sau đóng gói ESP Tồn gói tin mã hóa gói ESP Điều có nghĩa người nhận gói tin cuối gói tin chắn IP header ban đầu không bị giả mạo qua mạng WAN mã hóa xác thực Giao thức trao đổi IKE (Internet Key Exchange) Là giao thức thực q trình trao đổi khóa thỏa thuận thơng số bảo mật như: thuật tốn mã hóa áp dụng, khoảng thời gian khóa cần thay đổi Sau thỏa thuận xong thiết lập “hợp đồng” bên, IPSec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông số SA lưu sở liệu SA Ngồi IKE cịn dùng giao thức khác để chứng thực đầu cuối tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) Oakley : ➢ SAKMP: giao thức thực việc thiết lập, thỏa thuận quản lý sách bảo mật SA ➢ Oakley: giao thức làm nhiệm vụ chứng thực khóa, chất dùng thuật tốn Diffie-Hellman để trao đổi khóa bí mật thơng qua mơi trường chưa bảo mật a Giai đoạn IKE i Giai đoạn Mục đích giai đoạn thiết lập kênh mã hóa, xác thực hai nút để chúng thương lượng cách an tồn IPsec SA thích hợp, chẳng hạn ESP AH ii Giai đoạn Trong giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải việc thiết lập SAs cho IPSec Trong giai đoạn này, SAs dùng nhiều dịch vụ khác thỏa thuận Cơ chế xác nhận, hàm băm, thuật tốn mã hóa bảo vệ gói liệu IPSec (sử dụng AH ESP) hình thức phần giai đoạn SA b Chế độ IKE 27 Giao thức IPSec an toàn mạng Internet i Chế đợ Trao đổi chế độ IKE khởi tạo trao đổi ISAKMP Identity Protect Hình 20 cho thấy trao đổi chế độ Việc trao đổi diễn ba giai đoạn Đầu tiên, trình khởi tạo gửi thơng báo có chứa tiêu đề ISAKMP (HDR) tải trọng SA (SA) Như thấy phần trước, trọng tải SA chứa danh sách đề xuất chuyển đổi mà từ người phản hồi phải chọn Người trả lời trả lời với tiêu đề riêng tải trọng SA chứa đề xuất chuyển đổi chọn Hình 20: Giao thức trao đổi chế độ Người khởi tạo gửi cookie nó, CKY i , đặt trường cookie người phản hồi thành Người phản hồi đóng góp cookie riêng mình, CKY r , trả lại cookie người khởi tạo tiêu đề ISAKMP Hai cookie định danh cho SA Khi người trả lời nhận thông báo từ người khởi tạo, thông báo phải có cookie, khơng người phản hồi hủy bỏ thương lượng Khi người trả lời nhận tin nhắn thứ hai, nóbiết địa IP người khởi tạo hợp pháp; không, người khởi xướng không nhận cookie người phản hồi Đây biện pháp bảo vệ chống lại công DOS mà đề cập trước 28 Giao thức IPSec an tồn mạng Internet Trong giai đoạn tiếp theo, trình khởi tạo gửi tiêu đề, trọng tải trao đổi khóa (KE) nonce (NONCE i ) Trọng tải Key Exchange chứa khóa riêng Diffie-Hellman người khởi tạo, g x i ), mà người trả lời sử dụng để tính tốn bí mật chia sẻ Diffie-Hellman Nonce phục vụ hai mục đích: Nó sử dụng thuật tốn tạo khóa để đảm bảo bên đóng góp vào khóa cuối sử dụng phần thủ tục xác thực, cung cấp chứng xác thực Nghĩa là, nonce cho phép người ngang hàng phát liệu kẻ cơng có phát lại sàn giao dịch cũ hay khơng Chúng ta thấy khía cạnh hoạt động kiểm tra phương pháp xác thực khác Người trả lời trả lời với tiêu đề riêng, trọng tải Key Exchange nonce Tại thời điểm này, hai bên tính tốn bí mật chia sẻ Diffie-Hellman sử dụng để tạo vật liệu làm khóa Như thấy, phương tiện xác để tạo tài liệu khóa phụ thuộc vào phương pháp xác thực, chúng sử dụng bí mật chia sẻ Diffie-Hellman, nút, Trong giai đoạn thứ ba giai đoạn cuối cùng, trình khởi tạo gửi tiêu đề, tải trọng Nhận dạng ( ID i ) số thông tin xác thực ( AUTH ) Chúng hiển thị trọng tải Nhận dạng Xác thực dạng nghiêng biết chúng mã hóa, sử dụng khóa thu từ thơng tin hai giai đoạn Lưu ý cách điều bảo vệ thơng tin nhận dạng Điều khơng có ý nghĩa chúng tơi nhận hai nút sử dụng proxy để thương lượng SA họ cho chúng Trong trường hợp này, danh tính proxy biết từ địa IP họ, danh tính khách hàng họ bị ẩn Khi kết thúc trao đổi chế độ Chính, hai nút đồng ý thuật tốn mã hóa tồn vẹn liệu cho SA giai đoạn tạo khóa cho thuật tốn Hai nút sử dụng SA để đàm phán thêm IPsec SA đàm phán giai đoạn 29 Giao thức IPSec an tồn mạng Internet ii Chế đợ tích cực Chế độ yêu cầu trao đổi sáu tin nhắn Chế độ tích cực, thể yêu cầu ba Như tên cho thấy, chế độ IKE Aggression mơ tả chế độ ISAKMP Aggression Hình 21: Giao thức trao đổi chế độ tích cực Trong thơng báo đầu tiên, trình khởi tạo gửi tiêu đề trọng tải SA, Key Exchange, Nonce Identification Lưu ý điều kết hợp hai thông báo mà trình khởi tạo gửi chế độ Chính Người trả lời trả lời với tiêu đề riêng tải trọng SA, Key Exchange, Nonce Identification Nó gửi số thơng tin xác thực (AUTH) Tại thời điểm này, hai bên tạo tài liệu khóa họ người phản hồi tự xác thực với người khởi tạo Trong thông báo cuối cùng, trình khởi tạo xác thực cho phản hồi cách gửi thông tin xác thực cho Thơng số ISAKMP, RFC 2409, định thơng báo cuối phải mã hóa, chúng tơi hiển thị dạng nghiêng IKE làm cho việc mã hóa thơng điệp cuối tùy chọn, ý tưởng bên 30 Giao thức IPSec an tồn mạng Internet ngang hàng trì hỗn hoạt động tạo khóa đắt tiền bên tự xác thực với đồng đẳng iii Chế đợ nhanh Chế độ thứ ba IKE, Quick mode, chế độ giai đoạn II Nó dùng để thỏa thuận SA cho dịch vụ bảo mật IPSec Tên gọi xuất phát từ thực tế khơng u cầu bí mật chuyển tiếp hồn hảo, hai SA thương lượng nhanh với ba thông điệp không yêu cầu tính tốn Diffie-Hellman tốn Nếu bí mật phía trước hồn hảo u cầu, việc trao đổi địi hỏi có ba viết, đồng nghiệp bao gồm tùy chọn trọng tải Key Exchange in the messages Tương tự, danh tính đồng nghiệp giả định địa IP chúng xác định, trừ chúng bao gồm trọng tải Nhận dạng tùy chọn Hình 22 hiển thị luồng thông báo trao đổi Chế độ nhanh điển hình Chúng tơi hiển thị trọng tải Nhận dạng Trao đổi Khố tùy chọn Hình 22: Giao thức trao đổi chế độ nhanh Hai hàm băm HASH HASH xác thực tin nhắn HASH HASH cung cấp chứng xác thực HASH thực điều cách bao gồm phần thân 31 Giao thức IPSec an toàn mạng Internet nonce trình khởi tạo HASH thực điều cách bao gồm phần thân hai nonces iv Chế đợ nhóm New Group mode dùng để thỏa thuận private group nhằm tạo điều kiện trao đổi Diffie-Hellman key dễ dàng Mặc dù chế độ thực sau giai đoạn I, khơng thuộc giai đoạn II Hình 23: Giao thức trao đổi chế độ nhóm V Ứng dụng IPSec Như biết để giúp bảo mật mạng, cộng đồng Internet làm nhiều việc phát triển chế bảo mật dành riêng cho ứng dụng nhiều lĩnh vực ứng dụng, bao gồm thư điện tử ( Thư nâng cao quyền riêng tư, Quyền riêng tư tốt [PGP]), quản lý mạng ( Giao thức quản lý mạng đơn giản Phiên [SNMPv3]), Truy cập web (HTTP bảo mật , Lớp cổng bảo mật [SSL]) thứ khác Tuy nhiên, người dùng có số lo ngại bảo mật cắt ngang lớp giao thức Ví dụ: doanh nghiệp chạy mạng TCP / IP riêng, an tồn cách khơng cho phép liên kết đến trang web không đáng tin cậy, mã hóa gói rời khỏi sở xác thực gói vào sở Bằng cách triển khai bảo mật cấp độ IP, tổ chức đảm bảo mạng an tồn khơng cho ứng dụng có chế bảo mật mà cho nhiều ứng dụng thiếu hiểu biết bảo mật ➢ ➢ ➢ ➢ Bảo vệ kết nối từ mạng chi nhánh đến mạng trung tâm thông qua Internet Bảo vệ kết nối truy cập từ xa (Remote Access) Thiết lập kết nối Intranet Extranet Nâng cao tính bảo mật giao dịch thương mại điện tử 32 Giao thức IPSec an toàn mạng Internet VI Kết luận IPSec cung cấp chế mạnh để xác thực toàn vẹn liệu đảm bảo tính bí mật thơng qua mã hoá AH ESP Bằng việc sử dụng giao thức trao đổi khố IKEv1 IKEv2 xác thực người dùng thiết lập phiên liên lạc an toàn, tin cậy bảo mật Phiên IKEv1 hoạt động dựa ba thành phần ISAKMP, Oakley SKEME chia làm hai giai đoạn (sáu thông báo phase ba thông báo phase 2) Trong IKEv2 thiết kế từ đầu theo RFC4309 với sở mật mã trao đổi khố giao thức SIGMA Chính xác hơn, SIGMA sở cho việc trao đổi khóa có xác thực dựa chữ ký IKE nói chung – kiểu xác thực khóa cơng khai thường sử dụng IKE, sở cho kiểu xác thực khóa cơng khai IKEv2 Kết đạt : - Hiểu rõ giao thức TCP/IP Nắm vững công nghệ IPSec Hiểu tầm quan trọng IPSec thực tế 33 Giao thức IPSec an toàn mạng Internet TÀI LIỆU THAM KHẢO EMnify (2021, 04 22) What Is IPsec? Internet Protocol Security Explained Retrieved from emnify: https://www.emnify.com/en/resources/ipsec Finjan Team (2017, 03 06) Encapsulating Security Protocol (ESP) Retrieved from Finjan Blog: https://blog.finjan.com/encapsulating-security-protocol/ Nguyễn Thu Hà (2021, 06 22) IPSec gì? Retrieved from quantrimang: https://quantrimang.com/ipsec-la-gi-174155 Simplilearn (2021, Jun 24) Internet Protocol Security - Applications and Benefits Retrieved from Simplilearn: https://www.simplilearn.com/understanding-ipsec-rar37-article Tran The Anh Tuan (2017, 11 27) Giao thức IPSec lĩnh vực an tồn thơng tin Retrieved from VIBLO: https://viblo.asia/p/giao-thuc-ipsec-trong-linh-vuc-an-toan-thong-tinoOVlYdPQZ8W 34 .. .Giao thức IPSec an toàn mạng Internet STT Họ tên sinh viên Nội dung phân công Tổng quan IPSec Giao thức xác thực AH Kết luận Các chức IPSec Giao thức an ninh bảo vệ ESP Công... - Hiểu rõ giao thức TCP/IP Nắm vững công nghệ IPSec Hiểu tầm quan trọng IPSec thực tế 33 Giao thức IPSec an toàn mạng Internet TÀI LIỆU THAM KHẢO EMnify (2021, 04 22) What Is IPsec? Internet Protocol... nhanh 23 Hình 23 Giao thức trao đổi chế độ nhóm Giao thức IPSec an tồn mạng Internet Lời nói đầu Giao thức TCP/IP đóng vai trị quan trọng hệ thống Về nguyên tắc, có nhiều tùy chọn khác giao thức