Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 26 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
26
Dung lượng
1,36 MB
Nội dung
HỌHỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - - BÁO CÁO TIỂU LUẬN AN NINH MẠNG Đề tài :GIAO THỨC IPSEC VÀ ỨNG DỤNG TRONG MẠNG RIÊNG ẢO H GV: Phạm Anh Thư Bài tập tiểu luận mơn ANM BẢNG PHÂN CƠNG CƠNG VIỆC Họ tên Mã SV Phân công công việc Làm phần I, II Chỉnh sửa word Làm phần III, IV Làm bìa ,viết lời mở đầu ,chỉnh sửa word Làm phần V, VI, VII Tổng hợp word chỉnh sửa GV: Phạm Anh Thư Bài tập tiểu luận môn ANM LỜI MỞ ĐẦU Tên đề tài: “ Giao thức IPSec ứng dụng mạng riêng ảo” Lý chọn đề tài Ngày nay, mạng Internet phát triển mạnh mẽ , dịch vụ : mua bán trực tuyến, đào tạo từ xa, tư vấn y tế trực tuyến,… trở nên phổ biến Trước có nhiều dịch cung cấp để phục vụ nhu cầu IDSN, modem hay WAN thuê riêng nên đắt tiền Cho tới với phát triển Internet , số công ty kết nối với nhân viên , đối tác từ xa nơi đâu chí tồn giới mà khơng cần sử dụng dịch vụ đắt tiền Có vấn đề quan trọng xảy mạng nội chứa tài nguyên , liệu quan trọng mà cho phép người dùng có quyền hạn , cấp phép truy cập vào mạng nội mạng Internet mạng công cộng không bao mật Vì , Internet mối nguy hiểm lớn cho hệ thống mạng với sở liệu quan trọng Do , người ta đưa mơ hình nhằm thỏa mãn yêu cầu mà tận dụng sở hạ tầng mạng vốn có Mạng riêng ảo VPN ( Vitual Private Network ) , IPSec VPN cung cấp giải pháp thông tin liệu riêng tư , an tồn thơng qua mơi trường mạng Internet cơng cộng với chi phí thấp , hiệu qua mà bảo mật Chính nhóm em lựa chọn đề tài “Giao thức IPSec ứng dụng mạng riêng ảo” để nghiên cứu tìm hiểu thêm kiến thức an toàn mạng Đối tượng nghiên cứu - Tìm hiểu chung VPN,IPSec Các chế bảo mật VPN Các giao thức mã hóa xác thực Cách thức hoạt động Ipsec Mục đích tiểu luận - Tìm hiểu chung mạng VPN cách thức hoạt động Tìm hiểu IPSec cách hoạt động Tìm hiểu rõ kiến trúc IPSec VPN cách thức bảo mật thông tin GV: Phạm Anh Thư Bài tập tiểu luận môn ANM MỤC LỤC LỜI MỞ ĐẦU DANH MỤC THUẬT NGỮ I TỔNG QUAN 1.1 Giới thiệu VPN 1.1.1 Lịch sử phát triển 1.1.2 Định nghĩa 1.1.3 Chức 1.2 Tổng quan IPSec 1.2.1 Khái niệm 1.2.2 Nhu cầu sử dụng IPSec 1.2.3 Vai trò 10 1.2.4 Ưu nhược điểm 10 1.3 SA 10 II Mơ hình kiến trúc 11 2.1 Tổng quan 11 2.2 Các dịch vụ IPSec 12 III Đóng gói thơng tin IPSec 12 3.1 Transport mode: 12 3.2.Tunnel mode: 13 IV Giao thức bảo mật 14 4.1 Giao thức xác thực AH 14 4.1.1 Chế độ Transport AH 15 4.1.2 Chế độ Tunnel AH 16 4.2.Giao thức ESP 16 4.2.1.Chế độ transport ESP 17 4.2.2.Chế độ tunnel ESP 17 4.2.3.Khuôn dạng gói liệu ESP 18 V Quản lý khóa với IKE 19 Bài tập tiểu luận môn ANM GV: Phạm Anh Thư 5.1 Khái quát quản lý khóa IKE 19 5.2 IKE Phases 20 5.2.1 IKE Phase 20 5.2.2 IKE Phase 20 5.3 IKE Mode 20 5.3.1 Main mode 21 5.3.2 Aggressive mode 21 5.3.3 Quick mode 22 5.3.4 New group mode 22 VI ỨNG DỤNG CỦA IPSEC TRONG VPN 23 6.1 Cách IPSEC bảo vệ lưu lượng 23 6.2 IPSec Security Policy 23 6.3 Cách thức Policy làm việc 24 VII KẾT LUẬN 25 DANH MỤC THAM KHẢO 25 GV: Phạm Anh Thư Bài tập tiểu luận môn ANM DANH MỤC THUẬT NGỮ AH DOI ESP Authentication Header Domain of Interpretation Encapsulating Security Payload ICMP Internet Control Message Protocol IKE IP IPSec ISAKMP SA SPI TCP UDP Internet Key Exchange Internet Protocol Internet Protocol Security Internet Security Association and Key Management Protocol Security Associations Security Parameter Index Transmission Control Protocol User Datagram Protocol VPN Virtual Private Network Tiêu đề xác thực Đóng gói tải trọng bảo mật Giao thức thông báo điều khiển Internet Giao thức Thơng báo Kiểm sốt Internet Trao đổi khóa Internet Giao thức internet Bảo mật Giao thức Internet Hiệp hội Bảo mật Internet Giao thức Quản lý Khóa Hiệp hội bảo mật Chỉ mục thông số bảo mật Giao thức điều khiển truyền dẫn Giao thức Datagram Người dùng Mạng riêng ảo Bài tập tiểu luận mơn ANM GV: Phạm Anh Thư DANH MỤC HÌNH VÀ BẢNG BIỂU Hình 1.1 Ba trường Security Associations 11 Hình 2.1 Kiến trúc IPSec 11 Hình 3.1 Gói tin IP Transport mode 13 Hình 3.2 Gói tin IP Tunnel mode 14 Hình 4.1 Mơ tả AH xác thực đảm bảo tính tồn vẹn liệu 15 Hình 4.2 Cơ chế đóng gói chế độ Transport AH 15 Hình 4.3 Cơ chế đóng gói chế độ Tunnel 16 Hình 4.4 Gói ESP chế độ Transport 17 Hình 4.5 Gói ESP chế độ Tunnel 18 Hình 4.6 Khn dạng gói liệu ESP 18 Hình 5.1 Giai đoạn làm việc dựa IKE 20 Hình 5.2 Chế độ 21 Hình 5.3 Chế độ linh hoạt 21 Hình 5.4 Chế độ nhanh 22 Hình 5.5 Chế độ nhóm 22 Hình 6.1 Quá trình IPSEC bảo vệ lưu lượng 23 Bảng 6.1 Cách làm việc Policy mặc định 24 Bài tập tiểu luận môn ANM GV: Phạm Anh Thư I TỔNG QUAN 1.1 Giới thiệu VPN 1.1.1 Lịch sử phát triển Sự xuất mạng riêng ảo bắt nguồn từ mong muốn khách hàng có cách kết nối tốt tổng đài thuê bao với thông qua mạng diện rộng WAN Các mốc đánh dấu trình phát triển VPN: - Năm 1975: Dịch vụ Colisee Franch Telecom đưa ra, cung cấp dịch vụ dây chuyền dùng cho khách hàng lớn phương thức gọi số chuyên dùng cho client - Năm 1986: Sprint Telefonica Tây Ban Nha đưa Vnet, Ibercom - Năm 1988: Cuộc đại chiến phí dịch vụ VPN Mỹ nổ ra, kích thích phát triển VPN Mỹ - Năm 1989: Dịch vụ IVPN GSDN AT&T đưa - Năm 1990: Tại khu vục châu Á – Thái Bình Dương dich vụ VPN nước Telstra Ô-xtrây-li-a đưa - Năm 1992 Hà Lan Thuỵ Điển hợp tác đầu tư cung cấp dịch vụ VPN - Năm 1993: Thành lập Liên minh toàn cầu Worldpartners (gồm AT&T, KDD viễn thông Singapore )cung cấp dịch vụ VPN - Năm 1995: Khuyến nghị F-16 dịch vụ VPN toàn cầu (GVPNS) đưa ITU-T đưa - Năm 1996: Thành lập liên minh Global One( gồm Sprint viễn thông Đức, Viễn thông Pháp ) - Năm 1997: Công nghệ VPN xuất rộng hơn, thường xuyên nhắc tới nhiều tạp chí khoa học cơng nghệ, hội thảo… 1.1.2 Định nghĩa VPN (Virtual Private Network ) mạng riêng ảo phương pháp cho mạng công cộng hoạt động giống mạng cục Nó cho phép người dùng thiết lập mạng riêng ảo với người dùng xa kết nối máy tính csac cơng ty hay tổ chức với qua mạng internet công cộng.Đối với mạng WLAN cần phải trả chi phí nhiều đường dây,… Mạng VPN bỏ qua rào cản WLAN 1.1.3 Chức Ba chức VPN cung cấp là: tính xác thực (Authentication), tính bảo mật (Confidentiality),tính tồn vẹn (Integrity) - Authentication: Để thiết lập kết nối VPN hai phải xác thực lẫn để xác thực trao đổi thơng tin với người mong muốn - Integrity: Đảm bảo liệu không bị thay đổi trình truyền dẫn Bài tập tiểu luận mơn ANM GV: Phạm Anh Thư - Confidentiality: Trước truyễn liệu, phía người gửi mã hóa liệu phía thu nhận phải giãi mã.Như khơng có key để giải mã khơng thể đọc liệu đảm bảo tính bảo mật cho liệu 1.2 Tổng quan IPSec 1.2.1 Khái niệm IPSec viết tắt Internet Protocol Security, giao thức IETF phát triển IPSec gồm hệ thống giao thức để bảo mật truyền tin Internet Protocol Nó cung cấp dịch vụ bảo mật, xác thực, điều khiển truy cập toàn vẹn liệu Hiểu đơn giản IPSec cho phép đường ngầm bảo mật thiết lập hai mạng riêng nhận thực hai đầu đường ngầm Hai phía đầu đường ngầm cặp host, cặp cổng bảo mật cặp thiết bị gồm cổng bảo mật cổng host Đường ngầm kênh truyền hai đầu gói liệu truyền bảo mật Việc đóng gói liệu thơng tin để thiết lập, trì hay hủy bỏ kênh truyền IPSecthực Trong đường ngầm gói tin truyền có khn dạng giống gói tin bình thường khác thiết bị, kiến trúc ,ứng dụng có mạng trung gian sử dụng, qua giúp chi phí để triển khai , quản lý giảm đáng kể Hai chế IPSec để đảm bảo an toàn liệu là:Authentication Header Encapsulating Security Payload, IPSec ,ESP phải đc hỗ trợ AH giúp xác thực nguồn gốc, kiểm tra tính tồn vẹn liệu có dịch vụ chống việc phát lại gói IP truyền hai hệ thống AH cung cấp khả xác thực khơng có tính bảo mật, nên gói thơng tin khơng mã hóa gửi ESP giao thức cung cấp khả bảo mật gói tin truyền ESP đảm bảo tính bí mật thơng tin thơng qua việc mật mã gói tin IP với tùy chọn xác thực phát nghe trộm Các gói tin mật mã hóa trước truyền kẻ cơng khơng có key xem trộm liệu liệu 1.2.2 Nhu cầu sử dụng IPSec Trong hệ thống ,giao thức TCP/IP phần quan trọng.Có nhiều tùy chọn giao thức khác để triển khai hệ thống mạng như: NetBEUI, Apple talk TCP/IP, TPX/SPX,… giao thức TCP/IP sử dụng làm giao thức tảng mạng Internet sử dụng phổ biến Khi thiết kế giao thức TCP/IP, vấn đề bảo mật thông tin chưa quan tâm Cấu trúc gói liệu (gốm IP, TCP,UDP giao thức ứng dụng) công khai, bắt gói IP mạng phân tích gói tin để đọc phần liệu chứa bên trong, Ngày nay, công cụ hỗ trợ việc bắt phân tích gói ngày mạnh mẽ lan truyền rộng rãi Các vấn đề bảo mật vào mô Bài tập tiểu luận môn ANM GV: Phạm Anh Thư hình TCP/IP, đặc biệt giao thức IP điều cấp bách.IP Security giao thức chuẩn hoá IETF từ năm 1998 với mục đích cải thiện chế mã hố xác thực thơng tin truyền mạng giao thức IP.IPSec gồm chuẩn mở tạo để đảm bảo cho bảo mật liệu, đảm bảo tính tồn vẹn liệu chứng thực IPSec thực thống IPv4 IPv6 Trong IPv4, việc áp dụng IPSec tuỳ chọn, i với IPv6, giao thức bảo mật IPSec bắt buộc 1.2.3 Vai trò - Trước trình truyền tải liệu cho phép xác thực hai chiều, - Đường truyền hai máy mã hóa gửi qua mạng - Gói liệu IP bảo vệ ngăn chặn công mạng không bào mật - Sử dụng mã hóa đánh dấu liệu để bảo vệ lưu lượng 1.2.4 Ưu nhược điểm Ưu điểm: - Trên tường lửa định tuyến mạng riêng có triển khai IPSec, tính an tồn IPSec bao phủ cho tồn vào mạng riêng mà thành phần khác không cần xử lý vấn đề liên quan tới bảo mật - IPSec thực bên lớp TCP UDP hoạt động suốt lớp Do giữ nguyên phần mềm hay cấu hình lại dịch vụ IPSec triển khai - IPSec hoạt động cách suốt ứng dụng đầu cuối, giúp ẩn chi tiết phức tạp người dùng thực kết nối đến mạng nội từ xa thông qua mạng Internet Nhược điểm: - Các gói xử lý theo IPSec đề bị tăng kích thước phải thêm vào tiêu đề khác nhau, thơng lượng hiệu dụng mạng giảm xuống Để khắc phục vấn đề liệu trước mã hóa cần nén, kĩ thuật nghiên cứu chưa chuẩn hóa - IPSec bảo mật cho lưu lượng IP khơng hỗ trợ dạng lưu lượng khác - Với trạm , máy PC yếu khả tính tốn nhiều giải thuật IPSec cịn vấn đề khó - Với phủ số quốc gia, phần cứng phầm mềm mật mã bị hạn chế việc phân phối 1.3 SA SA(Security Associations): khái niệm giao thức IPSec.SA kết nối logic theo hướng thực thể sử dụng dịch vụ IPSec,SA gồm có trường: 10 Bài tập tiểu luận môn ANM GV: Phạm Anh Thư Giao thức ESP (RFC 2406): giao thức mật mã xác thực thông tin IPSec - Giao thức AH (RFC 2402): giao thức chức gần giống ESP khơng cung cấp khả bảo mật - Thuật tốn mật mã hóa: thuật toán mã hoá giải mã sử dụng IPSec Giao thức IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng - Thuật toán xác thực: định nghĩa thuật tốn xác thực thơng tin sử dụng AH ESP - Quản lý khố (RFC 2408): phần mơ tả chế quản lý trao đổi khoá IPSec - DOI(Domain of Interpretation ):miền thực thi môi trường thực thi IPSec Giao thức IPSec tổ hợp nhiều chế, giao thức khác , giao thức chế có nhiều chế độ hoạt động khác Trong trường hợp cụ thể miền thực thi xác định tập chế độ cần thiết để triển khai IPSec Về mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP ngun thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát chung xem IPSec tổ hợp gồm hai thành phần: - Giao thức đóng gói gồm có AH, ESP - Giao thức IKE (Internet Key Exchange) có nhiệm vụ trao đổi khoá 2.2 Các dịch vụ IPSec - - Access control: quản lý truy xuất - Connectionless integrity:tính tồn vẹn liệu chế độ khơng kết nối - Data origin authentication: xác thực nguồn gốc liệu - Anti-replay: chống phát lại - Encryption: mã hoá liệu - Traffic flow confidentiality: bảo mật dòng lưu lượng Với trường hợp cụ thể việc cung cấp dịch vụ phụ thuộc vào giao thức đóng gói Khi sử dụng giao thức đóng gói AH dịch vụ mã hố bảo mật liệu không cung cấp III Đóng gói thơng tin IPSec IPSec gửi liệu cách sử dụng chế độ Tunnel Transport Các chế độ có liên quan chặt chẽ đến loại giao thức sử dụng, AH ESP 3.1 Transport mode: Ở mode liệu giao tiếp với gói tin mã hóa/ xácthực cung cấp chế bảo vệ cho liệu lớp cao TCP,UDP ICMP 12 GV: Phạm Anh Thư Bài tập tiểu luận môn ANM Với mode transport, IPSec header chèn vào phần IP header phần header giao thức lớp trên, giao thức AH ESP đặt sau IP header nguyên thủy Và payload mã hóa IP header ban đầu giữ nguyên vẹn.Trong chế độ packets thêm vài bytes cho phép thiết bị mạng thấy địa đích cuối gói tin Transport Application layer thường bảo mật hàm Hash, chúng chỉnh sửa Mode Transport sử dụng giao tiếp host - to - host Hình 3.1.Gói tin IP Transport mode 3.2.Tunnel mode: So với Transport mode, mode Tunnel bảo vệ tồn gói liệu Tất gói liệu IP đóng gói gói liệu IP khác IPSec header hay (AH ESP) header chèn vào phần đầu IP header gốc IP header mới.Các gói IP ban đầu bị đóng gói Ipsec header IP header bọc xung quanh gói liệu Hầu hết gói IP mã hóa thành liệu gói IP Tại mode cho phép thiết bị mạng router,sw, hoạt động IPSec proxy thực chức mã hóa thay cho host Router source mã hóa gói packets di chuyển chúng dọc theo tunnel Route des giải mã gói IP ban đầu chuyển hệ thống cuối Header có gateway địa nguồn Một đầu kết nối Ipsec security gateway chế độ Tunnel mode hoạt động IP đích sau gateway không sử dụng Ipsec Chế độ Tunnel sử dụng giao tiếp network - to – network, host – to – network host – to – host internet Do IPSec hoạt động lớp Network nên không phụ thuộc vào lớp Data Link giao thức dùng VPN L2TP, PPTP 13 GV: Phạm Anh Thư Bài tập tiểu luận mơn ANM Hình 3.2.Gói tin IP Tunnel mode IV Giao thức bảo mật 4.1 Giao thức xác thực AH Giao thức AH (Authentication Header)cho phép xác thực trường IP header,nó cho phép xác thực kiểm tra tính tồn vẹn liệu gói tin IP truyền hệ thống Các liệu truyền dạng plaintext giao thức AH khơng cung cấp khả mã hóa liệu Nguyên tắc hoạt động giao thức AH bao gồm bước: B1: Gói liệu (bao gồm : Payload + IP Header + Key ) AH cho vào giải thuật Hash chiều cho chuỗi số Sau chuỗi số gán vào AH Header B2: AH Header chèn vào Payload IP Header chuyển sang phía bên B3: Sau router đích nhận gói tin (gồm : IP Header + AH Header + Payload ) đưa vào giải thuật Hash để tính tốn chuỗi số B4: So sánh chuỗi số vừa tạo chuỗi số giống chấp nhận gói tin 14 Bài tập tiểu luận môn ANM GV: Phạm Anh Thư Hình 4.1 Mơ tả AH xác thực đảm bảo tính tồn vẹn liệu Giao thức AH hoạt động chế độ: Chế độ transport AH Chế độ tunnel AH 4.1.1 Chế độ Transport AH Mode Transport sử dụng để đảm bảo kết nối hai host Trong chế độ tiêu đề AH chèn vào sau tiêu đề IP trước giao thức lớp TCP UDP Hình 4.2 Cơ chế đóng gói chế độ Transport AH 15 Bài tập tiểu luận môn ANM GV: Phạm Anh Thư 4.1.2 Chế độ Tunnel AH Mode Tunnel sử dụng để kết nối hai network thông qua tập hợp gateway bảo mật host network bảo vệ gateway bảo mật Một gói tin IP thiết lập dựa gói tin IP cũ Tạo IP Header mới: liệt kê đầu cuối AH Tunnel (như hai IPSec gateway) Tiêu đề IP cũ (bên trong) chứa địa nguồn đích, Tiêu đề IP (bên ngồi) mang địa để định tuyến Internet Hình 4.3.Cơ chế đóng gói chế độ Tunnel 4.2.Giao thức ESP ESP (Encapsulating Security Payload):Là giao thức đóng gói tải an tồn IPSec Giao thức ESP đảm bảo tính: Tồn vẹn Xác thực Bí mật (mã hóa) Chống replay gói tin cũ ESP version1 mã hóa cho phần Payload data ESP version 2: đảm bảo toàn vẹn xác thực ESP version 3: hỗ trợ thêm thuật toán AES Counter mode (AES-CTR) ESP Tunnel thường sử dụng phổ biến IPSec mã hóa IP Header gốc, che giấu địa source, dest thật gói tin Giao thức ESP hoạt động hai chế độ: Transport Tunnel 16 Bài tập tiểu luận môn ANM GV: Phạm Anh Thư 4.2.1.Chế độ transport ESP Chế độ dùng IP Header gốc,chỉ mã hóa và/hoặc đảm bảo tồn vẹn cho nội dung gói tin số thành phần ESP, khơng có IP Header.Cho phép bảo vệ giao thức lớp không bảo vệ tiêu đề IP Gói IP ban đầu chèn thêm tiêu đề ESP vào phần tiêu đề IP liệu tải (Payload = TCP|UDP Header + Data)) Hình 4.4 : Gói ESP chế độ Transport 4.2.2.Chế độ tunnel ESP Tạo IP Header mới: liệt kê đầu cuối ESP Tunnel (như IPSec Gateway) Mã hóa và/hoặc đảm bảo tồn vẹn cho nội dung gói tin, có IP Header số thành phần ESP Gói IP xây dựng với tiêu đề IP mới.ESP bảo vệ gói tin ban đầu, bao gồm tiêu đề IP Payload = TCP|UDP Header + Data 17 GV: Phạm Anh Thư Bài tập tiểu luận mơn ANM Hình 4.5: Gói ESP chế độ Tunnel 4.2.3.Khn dạng gói liệu ESP Hình 4.6: Khn dạng gói liệu ESP SPI(Security Parameter Index): - Mỗi bên liên lạc tùy chọn giá trị SPI Bên nhận dựa vào SPI với địa IP đích giao thức IPSec (ESP) để xác định SA để áp cho gói tin nhận Sequence Number: - Khởi tạo Tăng lên gói tin gửi Để chống trùng lặp gói tin 18 Bài tập tiểu luận môn ANM GV: Phạm Anh Thư Payload: - Là phần payload data mã hóa Padding (0-255 bytes): - Là phần liệu thêm vào gói tin (trước mã hóa) để đoạn liệu mã hoá số nguyên lần khối byte Nó dùng để che độ dài thực Payload Pad Length: - Trường xác định số byte padding thêm vào Next Header: - Trong Tunnel Mode, Payload gói tin IP, Next Header =4 (IP –in-IP) Mỗi ESP Trailer chứa giá trị Next Header Authentication data - Tại trường có chứa giá trị Integrity Check Value (ICV) cho gói tin ESP ICV bắt đầu 4-byte phải bội số 32-bit V Quản lý khóa với IKE 5.1 Khái quát quản lý khóa IKE Ba khả IPSEC là: tính tồn vẹn liệu, xác nhận an toàn cung cấp giao thức AH VÀ ESP IPSEC IKE giao thức thứ ba giao thức IPSEC thực chức quản lý khóa để thỏa thuận giao thức bảo mật thuật tốn mã hóa trước suốt phiên giao dịch IKE SA tạo kênh liên lạc đầu cuối, nhận cookie bên thiết lập, cookie bên đối tác theo sau Thiết lập trì SA chức IKE Các q trình: quản lí trao đổi khóa, dị tìm, xác thực IKE thực Một hợp đồng đầu cuối IKE tìm ra, sau tất phiên làm việc IPSEC SA theo dõi Cơ sở liệu SA lưu trữ thông số SA hợp lệ sau dị tìm thành cơng 19 GV: Phạm Anh Thư Bài tập tiểu luận môn ANM 5.2 IKE Phases Hình 5.1: Giai đoạn làm việc dựa IKE Hai giai đoạn làm việc IKE là: Phase Phase 2, Phase thiết lập kênh truyền an toàn đầu cuối 5.2.1 IKE Phase - IKE tạo kênh bảo mật cho thiết lập SA sau xác nhận điểm tin Sau thơng tin gồm thuật tốn mã hóa, phương pháp xác nhận bảo vệ mã hóa hàm băm thỏa thuận ISAKMP SA đồng ý lẫn Sau đó, private key tạo Những thông tin private key là: giá trị Diffie-Hellman, số ngẫu nhiên N SPI ISAKMP SA dạng cookies Chúng trao đổi IDs sau hai đồng ý khóa public key Hai bên tạo khóa riêng để chia sẻ liệu 5.2.2 IKE Phase - - Việc thiết lập SA cho IPSEC giải giai đoạn này, thỏa thuận nhiều dịch vụ khác Một phần giai đoạn SA sử dụng chế xác nhận, hàm băm thuật tốn mã hóa bảo vệ IPSEC ( AH ESP ) Ở đâu trình thỏa thuận thực nhiều Phase 1, q trình lặp lại 4-5 phút, thay đổi mã hóa thường xuyên ngăn kẻ cơng phá khóa nội dung liệu 5.3 IKE Mode Một số giao thức IKE Oakley, định nghĩa bốn chế dộ chính: Main mode, Aggressive mode, Quick mode New group mode Nhóm 15 20 GV: Phạm Anh Thư Bài tập tiểu luận mơn ANM 5.3.1 Main mode Hình 5.2: Chế độ Có chức bảo vệ xác nhận tính đồng bên qus trình giao dịch, gồm thơng điệp: - Hai thơng điệp thỏa thuận sách bảo mật cho thay đổi Hai thông điệp thực trao đổi khóa Diffie-Hellman N Hai thơng điệp cuối xác nhận bên giao dịch 5.3.2 Aggressive mode Hình 5.3 Chế độ linh hoạt Gồm có thơng điệp: - Nhóm 15 Thơng điệp đầu gồm khóa Diffie-Hellman thông số bảo mật Thống điệp hai phản hồi lại thơng số bảo mật, khóa chấp nhận xác thực bên nhận 21 GV: Phạm Anh Thư Bài tập tiểu luận môn ANM - Thông điệp cuối xác thực bên gửi 5.3.3 Quick mode Hình 5.4: Chế độ nhanh Chế độ sử dụng Phase 2, dùng thỏa thuận SA cho dịch vụ bảo mật IPSEC Nó cịn tự phát sinh khóa 5.3.4 New group mode Hình 5.5: Chế độ nhóm Nó khơng nằm Phase 2, dùng để thỏa thuận nhóm bí mật nhằm trao đổi khóa Diffie-Hellman dễ dàng Nhóm 15 22 GV: Phạm Anh Thư Bài tập tiểu luận môn ANM VI ỨNG DỤNG CỦA IPSEC TRONG VPN 6.1 Cách IPSEC bảo vệ lưu lượng Hình 6.1: Quá trình IPSEC bảo vệ lưu lượng [1] Từ thư viện, IPSEC Policy cung cấp cho máy tính định nghĩa Security Association Sau máy tính nhận IPSEC Policy báo cho IPSEC Driver cách vận hành xác định liên kết bảo mật máy [2] Security Association chi phối giao thức mã hóa phương thức xác thực thiết lập IKE kết hợp giao thức: Internet Security Association and Key Management Protocol ( ISAKMP) giao thức Oakley Key Determination IKE không thực kết hợp bảo mật máy client dùng certificate client khác dùng giao thức Kerberos [3] Gói IP mã hóa: IPSEC giám sát toàn lưu lượng IP sau security association thiết lập so sánh lưu lượng với lọc định nghĩa 6.2 IPSec Security Policy IPSec security policy bao gồm nhiều quy luật định cách hoạt động IPSec Quy tắc sách bảo mật IPSEC Tất quy luật phối hợp để yêu cầu thành sách đơn Mỗi quy luật bao gồm: - Nhóm 15 Bộ lọc: quy định loại lưu lượng áp dụng cho filter action 23 Bài tập tiểu luận môn ANM - GV: Phạm Anh Thư Filter action: định cho sách phải làm gì, rõ thuật tốn mã hóa hàm băm mà policy nên dùng Có phương pháp xác thực: Preshared key, giao thức Kerberos certificates; rule rõ nhiều phương pháp xác thực Policy mặc định: Window 2000 sau có policy cấu hình mặc định: - - - Máy khách: đáp ứng IPSEC máy tính yêu cầu client dùng IPSEC Policy Client khơng khởi tạo máy tính nó, có rule Default Response rule, rule cho phép máy chủ đáp ứng đòi hỏi ESP máy chủ Active Directory domains tin cậy Máy chủ (Yêu cầu bảo mật): máy chủ khách sử dụng sách này, trở lại q trình liên lạc khơng bảo mật máy khách khơng cấu hình với IPSEC policy Chính sách yêu cầu bảo mật gồm rule: Default Response, ICMP đòi hỏi ESP cho tất lưu lượng IP Secure Server (Yêu cầu bảo mật): Giống sử dụng máy khách máy chủ, sách sử dụng máy tính liên lạc IPSEC không trở lại chế độ liên lạc khơng bảo mật Policy có rule: Default Response, Permit ICMP 6.3 Cách thức Policy làm việc Bảng 6.1: Cách làm việc Policy mặc định Bảng tương tác Policy mặc định làm việc với Nếu hai máy chủ có thỏa thuận bảo mật phù hợp vs liên lạc dùng IPSEC, chúng Nhóm 15 24 GV: Phạm Anh Thư Bài tập tiểu luận môn ANM khơng tương tác với khơng liên lạc với trở lại dạng liên lạc không bảo mật VII KẾT LUẬN Qua tiểu luận trên, phần hiểu rõ mạng riêng ảo ( VPN ), giao thức IPSEC VPN Từ biết bảo mật thông tin internet vấn đề quan trọng cấp thiết hàng đầu thời đại công nghệ 4.0 Để đảm bảo điều đó, IPSEC VPN giải pháp hàng đầu lĩnh vực Chúng em cảm ơn cô Phạm Anh Thư cho chúng em có hội tiếp xúc với đề tài môn học An Ninh Mạng DANH MỤC THAM KHẢO [1] TS.Trần Công Hùng, Kỹ thuật mạng riêng ảo – VPN, Học viện công nghệ bưu viễn thơng, năm 2002 [2] https://tuhocnetwork.blogspot.com/2017/04/ipsec.html [3] https://vnpro.vn/thu-vien/giao-thuc-internet-key-exchange-ike-trong-vpn-2417.html [4] http://nixmicrosoft.blogspot.com/2011/12/mot-so-bai-viet-ve-vpn-dung-thiet-bi.html Nhóm 15 25 Bài tập tiểu luận mơn ANM Nhóm 15 GV: Phạm Anh Thư 26 ... mà bảo mật Chính nhóm em lựa chọn đề tài ? ?Giao thức IPSec ứng dụng mạng riêng ảo? ?? để nghiên cứu tìm hiểu thêm kiến thức an tồn mạng Đối tượng nghiên cứu - Tìm hiểu chung VPN ,IPSec Các chế bảo... trọng bảo mật Giao thức thông báo điều khiển Internet Giao thức Thông báo Kiểm sốt Internet Trao đổi khóa Internet Giao thức internet Bảo mật Giao thức Internet Hiệp hội Bảo mật Internet Giao thức. .. khóa IKE Ba khả IPSEC là: tính toàn vẹn liệu, xác nhận an toàn cung cấp giao thức AH VÀ ESP IPSEC IKE giao thức thứ ba giao thức IPSEC thực chức quản lý khóa để thỏa thuận giao thức bảo mật thuật