HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG BÀI TIỂU LUẬN ĐỀ TÀI: Giao thức IPSec ứng dụng MƠN: An ninh mạng thơng tin Giảng viên: Phạm Anh Thư LỜI CẢM ƠN Trước tiên nhóm em xin gửi lời cảm ơn chân thành sâu sắc tới thầy cô giáo Học viện Công nghệ Bưu Viễn thơng nói chung thầy giáo khoa viễn thơng, mơn Mạng nói riêng tận tình giảng dạy, truyền đạt cho chúng em kiến thức, kinh nghiệm quý báu suốt thời gian qua Đặc biệt nhóm em xin gửi lời cảm ơn đến Phạm Anh Thư, tận tình giúp đỡ, trực tiếp bảo, hướng dẫn nhóm suốt trình làm đề tài Trong thời gian làm việc với cơ, nhóm em khơng ngừng tiếp thu thêm nhiều kiến thức bổ ích mà cịn học tập tinh thần làm việc, thái độ nghiên cứu khoa học nghiêm túc, hiệu quả, điều cần thiết cho nhóm q trình học tập cơng tác sau Dù nỗ lực nhiều để hồn thành đề tài kiến thức cịn hạn chế nên đề tài nhóm em khơng tránh khỏi thiếu sót Em mong nhận đóng góp ý kiến thầy để đề tài nhóm em hồn thiện Chúng em xin chân thành cảm ơn! MỤC LỤC Lời cảm ơn Bảng phân chia công việc Danh mục thuật ngữ viết tắt Danh mục hình vẽ MỞ ĐẦU I.Tổng quan IPSec 1.Giới thiệu chung IPSec 1.1.Khái niệm 1.2.Sơ lược hình thành phát triển 2.Đánh giá IPSec 10 2.1Lợi ích sử dụng IPSec 10 2.2.Hạn chế IPSec 11 II.Kiến trúc IPSec 11 1.Kiến trúc tổng quan hoạt động IPSec 11 2.Giao thức IPSec cốt lõi 12 2.1.Giao thức AH (Authentication Header) 12 2.2Giao thức ESP (Encapsulating security Payload) 14 3.Các thành phần bổ trợ IPSec 15 4.Các chế độ hoạt động IPSec 15 4.1.Transport Mode (Chế độ vận chuyển ) 15 4.2.Tunnel Mode (Chế độ đường hầm) 16 III.Ứng dụng IPSEC 17 1.Các tính IPSec 17 1.1Truyền liệu an toàn (Data Confidentiality) 17 1.2.Nhận dạng xác thực nguồn liệu (Data Origin Authentication) 18 1.3.Sự toàn vẹn liệu 18 1.4.Tránh trùng lặp (Anti-replay) 18 Ứng dụng IPSec kiến trúc mạng VPN 19 2.1.Mơ hình khách hàng truy nhập từ xa 19 2.2.Cấu trúc Hub-and-Spoke 20 2.2.1.Sử dụng mơ hình IPSec 20 2.2.2.Kết nối Internet 21 2.2.3.Khả mở rộng Sử dụng kết nối mơ hình IPSec 22 2.3.Cấu trúc full-mesh 22 2.3.1.Các mẫu IPSec 22 2.3.2.Mô hình GRE 23 2.4.Sử dụng IPSec mạng 4G 24 KẾT LUẬN 26 Bảng phân chia công việc Đinh Đức Thiện Phần III , mục lục , lời cảm ơn , lời mở đầu , kết luận , tài liệu tham khảo , chỉnh sửa word Nguyễn Tiến Đức Phần I, Phần II, làm bìa , danh mục thuật ngữ viết tắt, danh mục hình vẽ, chỉnh sửa word Danh mục thuật ngữ viết tắt IPSec TCP/IP Internet Protocol Security Tranmission Control Protocol/ Internet Protocol TPX/SPX Internetwork Packet Exchange / Sequence Packet eXchange NetBEUI NetBIOS Extended User Interface IETF Internet Engineering Task Force OSI Open Systems Interconnection (Reference Model) IPv4 Internet Protocol version Ipv6 Internet Protocol version Giao thức bảo mật Internet Giao thức tuyền tải/giao thức Internet Bộ giao thức chủ yếu Novell mạng Novell Netware Giao thức nằm lớp Vận chuyển (Transport layer) mơ hình OSI Lực lượng chun trách kỹ thuật liên mạng Mơ hình tham chiếu kết nối hệ thống mở Giao thức Internet phiên thứ Giao thức Internet phiên thứ RFC Request for Comments Đề nghị duyệt thảo bình luận (một chuỗi ghi nhớ chứa đựng nghiên cứu mới, đổi mới, phương pháp luận ứng dụng cho công nghệ Internet) IKE Internet Key Exchange Giao thức trao đổi khóa Internet ESP AH Encapsulating Security Payload Authentication Header UDP User Datagram Protocol SPI VPN L2TP GRE DNS ATM Security Parameter Index Virtual Private Network Layer Tunneling Protocol Generic Routing Encapsulation Domain Name System Asynchronous Transfer Mode 4G Fourth-Generation PGW Packet Gateway Đóng gói bảo mật Xác thực tiêu đề Là giao thức cốt lõi TCP/IP (Giao thức liệu người dung) Chỉ mục thông số bảo mật Mạng riêng ảo Giao thức đường hầm lớp hai Đóng gói định tuyến chung Hệ thống phân giải tên miền Chế độ truyền không đồng Công nghệ truyền thông không dây (đời) thứ tư Cổng mạng số liệu gói Danh mục hình vẽ Hình IPSec mơ hình OSI Hình Kiến trúc IPSec Hình Cấu trúc gói tin AH Hình Cấu trúc gói tin ESP Hình IPSec Transport mode Hình IPSec Tunnel Mode Hình Cấu trúc Hub – and – spoke Isec VPN Hình Bản đồ bảo mật bảo vệ cho Hub – and – Spoke Hình Đường hầm IPSec cho cấu trúc liên kết Full – Mesh Hình 10 Lược đồ IPsec cấu trúc liên kết LTE MỞ ĐẦU Tên đề tài : Giao thức IPSec ứng dụng Lý chọn đề tài - Trong thời đại Internet phát triển rộng khắp ngày nay, dịch vụ đào tạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến trở nên phổ biến - Trước có nhiều dịch vụ cung cấp để phục vụ nhu cầu modem quay số, ISDN server hay WAN thuê riêng đắt tiền Nhưng tới với phát triền Internet, số cơng ty kết nối với nhân viên, đối tác từ xa nơi đâu, chí tồn giới mà không cần sử dụng dịch vụ đắt tiền - Song có vấn đề quan trọng mạng nội chứa tài nguyên, liệu quan trọng mà cho phép người dùng có quyền hạn, cấp phép truy cập vào mạng nội mạng Internet mạng công cộng khơng bảo mật Do đó, Internet mối nguy hiểm lớn cho hệ thống mạng, sở liệu quan trọng Từ đó, người ta đauw mơ nhằm thoả mãn yêu cầu mà tận dụng sở hạ tầng mạng vốn có Mạng riêng ảo (VPN-Vitual Private Network).Các cơng ty sử dụng IPSec/VPN để kết nối an toàn chi nhánh họ với trụ sở nhau, qua Internet Chính nhóm em lựa chọn đề tài “Nghiên cứu giao thức IPSec ứng dụng” làm nghiên cứu khoa học để hiểu biết thêm kiến thức, rèn luyện kỹ tiếp cận Đối tượng nghiên cứu Giao thức IPSec Các thuật tốn mã hóa Các phương pháp xác thực Cách thức hoạt động IPSec IPSec mơ hình mạng VPN Mục đích nghiên cứu - Tìm hiểu IPSec chế bảo mật - Tìm hiểu rõ kiến trúc IPSec cách thức hoạt động IPSec bảo mật thông tin - Các chế mã hóa liệu IPSec Nhiệm vụ nghiên cứu Tìm hiểu cách thức bảo mật IPSec Tìm hiểu cơng cụ để phát triển Phương pháp nghiên cứu - Tìm hiểu thơng qua mạng Internet qua diễn đàn Tìm hiểu tài liệu liên quan Ý nghĩa lý luận thực tiễn đề tài Giúp chúng em tìm hiểu vấn đề bảo mật truyền tin an tồn qua mạng Internet - Giúp nhóm em hiểu rõ cách thức bảo mật, đảm bảo toàn vẹn liệu truyền qua mạng Ứng dụng vào thực tiễn giúp bảo mật hệ thống mạng cho cá nhân doanh nghiệp I.Tổng quan IPSec 1.Giới thiệu chung IPSec Trong hệ thống nay, giao thức TCP/IP đóng vai trị quan trọng Về nguyên tắc, có nhiều tùy chọn khác giao thức để triển khai hệ thống mạng TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP lại lựa chọn gần bắt buộc giao thức sử dụng làm giao thức tảng mạng Internet Vào thời điểm thiết kế giao thức (đầu năm 1980), vấn đề bảo mật thông tin chưa thật quan tâm, đó, giao thức TCP/IP khơng trang bị giao thức bảo mật Cấu trúc gói liệu (IP, TCP,UDP giao thức ứng dụng) mô tả công khai điều khiến gói IP mạng dễ dàng bị bắt phân tích gói để đọc phần liệu chứa bên trong, chưa kể nay, công cụ bắt phân tích gói xây dựng với tính mạnh phát hành rộng rãi Vì việc bổ sung chế bảo mật vào mơ hình TCP/IP, giao thức IP nhu cầu cấp bách IPSec công nghệ bảo mật Nó sử dụng hầu hết tổ chức liên quan đến việc bảo vệ thông tin liên lạc Cũng giống vậy, người làm việc xa có khả truy cập an tồn vào liệu họ đặt sở nơi làm việc họ không không quan trọng họ đâu Một khía cạnh quan trọng cơng nghệ vai trị xác thực Bản thân, IPsec không cung cấp xác thực mạng Các vai trò xác thực chồng giao thức dành riêng cho thủ tục IKE Hiện phiên 2, IKE quản lý để đơn giản hóa trình xác thực ứng dụng ngang hàng đồng thời thời gian quản lý để tăng tính bảo mật q trình Một bổ sung cho thủ tục xác thực việc hỗ trợ xác thực thuê bao di động IPSec/VPN cung cấp giải pháp thông tin liệu riêng tư, an tồn thơng qua mơi trường mạng Internet cơng cộng với chi phí thấp, hiệu mà bảo mật 1.1.Khái niệm IP Security (IPSec – Internet Protocol Security) bao gồm hệ thống giao thức để đảm bảo bảo mật q trình truyền thơng tin tảng giao thức Internet Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho gói Internet Protocol q trình truyền thơng tin IPSec bao gồm giao thức cung cấp cho mã hoá xác thực, phát triển Internet Engineering Task Force (IETF) 8 Next Header 15 16 Payload length 23 24 31 RESERVED Security Parameter Index (SPI) Sequence Number Authentication data Hình 3: Cấu trúc gói tin AH Ý nghĩa trường: - Next header (8 Bits): Nhận dạng giao thức sử dụng truyền thông tin, xác định lại liệu chứa tiêu đề AH - Payload length (8 Bits): Độ lớn gói tin tính đơn vị (32 Bits) trừ đơn vị - RESERVED (16 Bits): Sử dụng tương lai (cho đến thời điểm biểu diễn số “0”) - Security Parameter Index (SPI-32 Bits): Nhận thông số bảo mật tích hợp với địa IP, nhận dạng thương lượn bảo mật kết hợp với gói tin Giá trị – 255 dành riêng, giá trị sử dụng cho mục đích đặc biệt, giá trị khác dùng gắn cho SPL - Sequence number (32bits): Được dùng để đánh số thứ tự gói tin (từ số thứ tự đượ đánh dấu tính số byte truyền) - Authentication data (chiều dài không xác định): trường chứa nhiều giá trị Integrity Check Value ( ICV ) cho gói tin Trường số nguyên bội số 32 chứa giá trị đệm (padding) để lấp đầy bit trống cho đủ 32bit Giá trị ICV dùng giải thuật Message Authentication Code (MACs) MACs dựa giải thuật mã hóa đối xứng DES 3DES hàm băm chiều MD5 SHA-1 13 2.2.Giao thức ESP (Encapsulating security Payload) Giao thức ESP cung cấp xác thực, độ tồn vẹn, đảm bảo tính bảo mật tránh trung lặp gói tin ESP hỗ trợ tính định cấu hình sử dụng tình cần mã hóa hay cần xác thực Ngoài ESP cung cấp gần toàn tính IPSec, , ESP sử dụng phổ biến IPSec VPN Cấu trúc gói tin ESP mơ tả hình đây: 15 16 23 24 31 Security Parameter Index (SPI) Sequence Number Payload data Padding Pad Length Next Header Authentication data Hình : Cấu trúc gói tin ESP Ý nghĩa trường: - Security Parameter Index (SPI – 32 Bits): Nhận thơng số tích hợp với địa IP, nhận dạng liên kết SA - Sequence number (32 Bits): Tự động điều chỉnh (tăng), có tác dụng phát lại - Payload data (có độ dài bất kì): Đây gói tin IP phần gói tin ban đầu tùy thuộc vào chế độ (mode) IPSec dùng Tunel mode trường chứa tồn gói tin IP ban đầu Trong Transport mode, bao gồm phần giao thức lớp bên gói tin ban đầu - Padding (độ dài bất kì) Pad Length (8 bits): Dữ liệu chèn vào độ dài - Next Header (8 bits): Nhận giao thực sử dụng q trình truyền thơng tin Nếu TCP giá trị 6, UDP giá trị 17 dùng Transport Mode, dùng Tunnel Mode (IP - in - IP) 14 - Authentication (Bội số 32): Bao gồm liệu xác thực cho gói tin, tính tồn gói tin trừ phần Authentication data Các thuật tốn mã hóa bao gồm DES, 3DES, AES Các thuật toán xác thực bao gồm MD5 SHA-1 3.Các thành phần bổ trợ IPSec Security Associations (SA) : Security Associations chủ trương thiết lập thỏa thuận bảo mật khác nhau, sử dụng trao đổi Các thỏa thuận cịn có thân xác định loại mã hóa thuật tốn hash có sử dụng Những chủ trương thường linh hoạt, cấp phép thiết bị định cách chúng muốn giải thứ Internet Key Exchange (IKE) : Để mã hóa hoạt động, máy tính liên quan đến việc trao đổi tin tức liên lạc riêng tư phải chia sẻ key mã hóa IKE cấp phép hai máy tính trao đổi chia sẻ key mật mã cách bảo mật thiết lập kết nối VPN Encryption and Hashing Algorithms : Key mật mã hoạt động phương pháp sử dụng giá trị hash, tạo thuật toán hash AH ESP chung chung, chúng khơng định loại mã hóa cụ thể Tuy nhiên, IPsec thường sử dụng Message Digest Secure Hash Algorithm để mã hóa Bảo vệ ngăn chặn tiến công Replay Attack : IPSec kết hợp tiêu để ngăn việc replay (phát lại) gói liệu nào, phần công đoạn đăng nhập thành công Tiêu chuẩn ngăn chặn tin tặc sử dụng tin tức replay để tự chép tin tức đăng nhập IPSec biện pháp giao thức VPN hoàn chỉnh có thể vào vai trị giao thức mã hóa L2TP IKEv2 4.Các chế độ hoạt động IPSec 4.1.Transport Mode (Chế độ vận chuyển ) Transport mode cung cấp chế bảo vệ cho liệu lớp cao (TCP, UDP ICMP) Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên, hình mơ tả bên dưới, AH ESP đặt sau IP header ban đầu Vì có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Thuận lợi chế độ transport cần thêm vào vài bytes cho gói cho phép thiết bị mạng thấy địa đích cuối gói Khả cho phép tác vụ xử 15 lý đặc biệt mạng trung gian dựa thông tin IP header Tuy nhiên thông tin Layer bị mã hóa, làm giới hạn khả kiểm tra gói Hình 5: IPSec Transport mode 4.2.Tunnel Mode (Chế độ đường hầm) Không giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP.Tồn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Tồn gói IP mã hóa trở thành liệu gói IP Chế độ cho phép thiết bị mạng, chẳng hạn router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa gói chuyển chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển hệ thống cuối Vì header có địa nguồn gateway Với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Tunnel mode dùng hai đầu kết nối IPSec security gateway địa đích thật phía sau gateway khơng có hỗ trợ IPSec 16 Hình : IPSec Tunnel Mode III.Ứng dụng IPSEC 1.Các tính IPSec 1.1Truyền liệu an tồn (Data Confidentiality) Sau thiết lập tham số an toàn sử dụng để bảo vệ truyền liệu, hai giao thức sử dụng để đạt bảo mật này, riêng biệt hai lúc Các giao thức AH (RFC 4302) ESP (RFC 4303) AH số giao thức 51 mục đích giao thức đảm bảo bảo vệ chống phát lại cơng, việc kiểm tra tính tồn vẹn xếp theo trình tự mà sử dụng Phương thức AH tạo hàm băm tồn gói IP (cả tiêu đề trọng tải liệu) thêm điều có giá trị vào gói gửi qua dây Các trường không xem xét tính tốn hàm băm giá trị dự kiến thay đổi trình định tuyến xảy mạng bình thường: TTL, TOS, CRC, v.v Số giao thức ESP 50 phương pháp mã hóa liệu cách sử dụng vật liệu thuật tốn thương lượng trước 17 1.2.Nhận dạng xác thực nguồn liệu (Data Origin Authentication) Xác thực đảm bảo kết nối thực đối tượng Người nhận xác thực nguồn gốc gói tin, bảo đảm, xác thực nguồn gốc thông tin - IPSec bảo vệ mạng cá nhân liệu cá nhân chứa khỏi công man in the middle, từ khả lừa công đến từ truy cập vào mạng, khỏi kẻ cơng thay đổi nội dung gói liệu - IPSec sử dụng chữ kí số để xác định nhân diện người gởi thông tin IPSec dùng kerberos, preshared key, hay chứng nhận số cho việc chứng nhận - -Trong phương thức xác thực mặc định Kerberos v5, nhiên máy tính có kết nối mạng khơng nên dùng Kerberos v5 suốt q trình dàn xếp chế độ , thành phần ngang cấp chế độ gởi phần nhận dạng máy tính dạng chưa mã hoá đến thành phần khác Phần nhận dạng máy tính khơng mã hố mã hố tồn tải trọng diễn giai đoạn xác thực dàn xếp với chế độ Mộ kẻ cơng gởi gói tin Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thông tin nhận dạng máy tính Để bảo vệ máy tính kết nối Internet nên sử dụng xác thực chứng nhận Đối với tính an tồn cải tiến, khơng nên sử dụng xác thực PreshareKey phương thức yếu Bên cạnh đó, PreshareKey lưu trử dạng văn Sự xác thực PresharedKey cung cấp cho mục đích liên vận hành phải tuân thủ quy tắc IPSec, nên dùng PreshareKey cho việc kiểm nghiệm 1.3.Sự toàn vẹn liệu Đảm bảo liệu không bị thay đổi suốt trình trao đổi Data Integrity thân khơng cung cấp an tồn liệu Nó sử dụng thuật toán băm (hash) để kiểm tra liệu bên gói tin có bị thay đổi hay khơng Những gói tin bị phát bị thay đổi bị loại bỏ Những thuật tốn băm: MD5 SHA-1 Người nhận xác minh liệu truyền qua mạng Internet mà khơng bị thay đổi IPSec đảm bảo tồn vẹn liệu cách sử dụng checksums (cũng biết đến giá trị băm) 1.4.Tránh trùng lặp (Anti-replay) Đảm bảo gói tin khơng bị trùng lặp việc đánh số thứ tự Gói tin trùng bị loại bỏ, tính tùy chọn 18 Ứng dụng IPSec kiến trúc mạng VPN 2.1.Mơ hình khách hàng truy nhập từ xa u cầu mã hóa lưu lượng phần mềm khách hàng (ví dụ PDs, PADs, kiot, thứ thế) cổng VPN trình bày tập hợp tồn thách thức khác Hệ thống khách hàng truy nhập từ xa đòi hỏi tập hợp khác khả để thích ứng động gán địa máy chủ, thiếu kiểm sốt cấu hình, kết nối thời Cả mơ hình IPSec mơ hình GRE làm việc tốt cho kết nối site – to – site tất địa IP tất thiết bị đầu cuối biết trước cấu hình sẵn site cổng VPN Tuy nhiên, mơ hình không cố gắng làm việc nhà với mạng kết nối xa để kết nối với VPN công ty, site công ty chấp nhận kết nối IPSec telecommuter địa IP trước Chúng ta cần giải pháp hiệu mở rộng phép khách hàng truy cập từ xa truy nhập vào VPN cơng ty Nó cho phép mạng lưới dự phòng nhân viên để xác định sách đưa cho khách hàng để đơn giản hóa việc quản lý hoạt động mạng lưới Khơng phải mơ hình IPSec khơng phải mơ hình GRE cung cấp khả Chúng ta cần giải pháp để trao đổi khả thuộc tính suốt q trình thiết lập kết nối IPSec Chúng ta thực trao đổi khả thuộc tính sử dụng phần mở rộng cho IKE Quá trình IKE chế độ cấu hình ấn định thuộc tính kết nối cho khách hàng, giả định máy chủ Các thuộc tính điển hình ấn định bao gồm: - Địa IP riêng - Máy chủ DNS riêng - Máy chủ WINS riêng - Tên miền riêng Địa IP riêng thường ấn định địa lưu trữ cấu hình trung tâm Sau đó, IPSec proxy tạo để bảo vệ lưu lượng từ địa riêng ấn định cho loạt địa bảo vệ trung tâm Trung tâm thông báo vùng địa cho thiết bị mạng khác, đường trở lại cung cấp cho khách hàng Khách hàng thường cho tất lưu lượng người dùng đến trung tâm việc chia đường hầm chưa phép Mơ hình khách hàng điều khiển từ xa rõ ràng đơn giản hóa trình trích lập dự phịng cách tự động phân phối sách cho khách hàng sử dụng chế độ cấu hình IKE Các sách bảo vệ trung tâm định nghĩa quản lý, nhà điều hành mạng không cần thiết để cấu hình đầu cuối từ xa Có nhược điểm với mơ hình Thứ nhất, kết nối IPSec thiết lập từ máy khách tới máy chủ Thứ 2, kết nối sử dụng đơn IPSec chủ proxy mà không hỗ trợ multicast 19 2.2.Cấu trúc Hub-and-Spoke Một mơ hình kiến trúc phổ biến IPSec mơ hình hub-andspoke thể hình sau: Hình 7: Cấu trúc Hub – and – spoke Isec VPN Trong mơ hình này, tất đơn mạch kết nối với trung tâm qua đường hầm IPSec, khơng có thơng tin liên lạc trực tiếp đơn mạch tất đơn mạch phải qua trung tâm Mơ hình chi phí-hiệu nhu cầu ứng dụng VPN không yêu cầu kết nối quan trọng spoke-to-spoke Mơ hình đơn giản để cung cấp hoạt động số point-to-point mối quan hệ IPSec quy mơ tuyến tính với số lượng đơn mạch Trong mơ hình này, trái tim trung tâm thời gian dừng trung tâm có tác động nghiêm trọng đến kết nối VPN 2.2.1.Sử dụng mơ hình IPSec Một mặt quan trọng trình thiết kế mạng IP việc phân mạng địa IP, điều IPSec VPN Khung truyền chuyển tiếp Asynchronous Transfer Mode (FR / ATM) mạng hub – and – spoke nơi tất Layer định tuyến phức tạp trung tâm, nơi có hàng trăm, hàng ngàn trang web kết nối từ xa Kiến trúc mạng thường định phạm vi địa IP trang web mà không gian địa giao cách hiệu đơn giản hóa quy trình định tuyến Kiến trúc hub – and – spoke điển hình địi hỏi lộ trình rõ ràng trang web trung tâm cho dải địa chấu từ xa Tương tự vậy, đơn mạch địi hỏi lộ trình để dải địa IP gán cho trang web trung tâm Một cặp đối xứng tuyến đường tĩnh tất yêu cầu kết nối Hub – and – spoke Định 20 tuyến tự động sử dụng trung tâm đơn mạch để đơn giản hóa cấu hình định tuyến, đặc biệt khu vực trung tâm 2.2.2.Kết nối Internet Truy cập internet yêu cầu điển hình cho hầu hết trang web VPN Trong Hub – and – Spoke cho trang web chấu từ xa để truy cập Internet cách sử dụng phân chia đường hầm Chia đường hầm phương pháp bảo vệ buộc IPSec cho lưu lượng truy cập định dòng để lại giao diện khơng bao gồm lưu lượng dịng khác từ bảo vệ IPSec Nhiều doanh nghiệp không chấp nhận mơ hình tăng tiếp xúc với lỗ hổng bảo mật Các tùy chọn quản lý an toàn để cung cấp truy cập Internet cho trang web VPN lựa chọn tường lửa tập trung tất lưu lượng truy cập vào Internet qua tường lửa trung tâm Chúng ta thấy trước any – to – any mơ hình trích lập dự phịng trung tâm cung cấp thông tin đầy đủ để liên 37 kết giao thông với chấu thích hợp Chúng ta thấy hồ sơ tổng hợp đơn giản hóa phức tạp cấu hình Trong mạng thiết kế, tuyến đường tổng hợp lớn có nghĩa là, nguồn điểm đến sử dụng để đơn giản hóa việc cấu hình Trong thực tế, cách để có lưu lượng truy cập Internet địa đích Internet ưu tiên Nếu xem xét yêu cầu spoke để gửi lưu lượng truy cập cho địa để trung tâm, tài sản nghịch đảo cho trung tâm để gửi lưu lượng với nguồn đến spoke với địa đích liên quan Chúng ta tìm thấy mơ hình tất yêu cầu vận chuyển đại diện tổng hợp IPSec hồ sơ mật Kết là, hồ sơ đồ mật đơn giản hóa đáng kể, thể bảng Hình : Bản đồ bảo mật bảo vệ cho Hub – and – Spoke 21 2.2.3.Khả mở rộng Sử dụng kết nối mơ hình IPSec Các IPSec VPN mơ hình hub – and – spoke giới thiệu hạn chế mà nhà thiết kế không gặp phải với VPN truyền thống Thực tế cấu hình IPSec hiệu hoạt động mục định tuyến đơn giản hóa giao thức định tuyến mà tuyến đường mặc định tồn tại, nhiên, phức tạp cấu hình IPSec giảm nhẹ lợi Một IPSec VPN lớn với không gian địa phân bổ yêu cầu O (N ^ 2) bảo vệ cấu hình IPSec trung tâm, N số đơn mạch Việc sử dụng tổng hợp dãy địa IP làm giảm số lượng mục cấu hình IPSec để O (N) nhà thiết kế không gian địa phù hợp với trang web từ xa Không phân biệt, khả mở rộng trung tâm quan trọng để hoạt động VPN Trung tâm phải đáp ứng yêu cầu nhớ cho cấu trúc liệu hỗ trợ IKE IPSec SA Trung tâm phải đáp ứng yêu cầu xử lý bổ sung cho quản lý nhà nước IKE IPSec chuyển tiếp lưu lượng truy cập liệu Những hạn chế, chế tạo hạn chế số đơn mạch hỗ trợ khối lượng liệu cảnh Trong hầu hết trường hợp, tăng tốc phần cứng IPSec chuyển tiếp liệu cần thiết yêu cầu xử lý kết hợp với mã hóa 2.3.Cấu trúc full-mesh Kiến trúc full – mesh thiết lập kết nối IPSec trực tiếp trang web mạng VPN Để hiệu quả, tất định tuyến IPSec VPN phải phục vụ trung tâm cho trang web mình, hạn chế khả mở rộng trung tâm mô tả phần trước áp dụng Động lực cho việc tạo full – mesh VPN phải dựa nhu cầu lưu lượng thực tế đòi hỏi Giả sử nhu cầu lưu lượng đảm bảo việc tạo full – mesh IPSec VPN, xem xét số mơ hình kết nối cho phép kết nối trực tiếp trang web 2.3.1.Các mẫu IPSec Mơ hình kết nối full – mesh đơn giản sử dụng kết nối IPSec trang web Mỗi kết nối IPSec yêu cầu đại diện, xác nhận bảo vệ lưu lượng tập hợp VPN giống Giả sử có N định tuyến chấm dứt kết nối IPSec VPN, sau trang web yêu cầu tối thiểu N-1 IPSec báo cáo đại diện Các kết nối IPSec có khơng kéo dài Tổng số lượng kết nối IPSec mơ hình hóa N*(N-1)/2 Hình sau cho thấy cấu trúc liên kết xây dựng với IPSec full – mesh 22 Hình : Đường hầm IPSec cho cấu trúc liên kết Full – Mesh Cấu hình full – mesh IPSec VPN định tuyến tương đương nút trung tâm hub – and – spoke Cấu hình cho VPN - GW1 - WEST thể hub – and – spoke Cùng với tăng kích thước VPN, phức tạp cấu hình tăng với O(N^2) VPN full – mesh thú vị nhiều trang web có dải địa IP khơng liên tiếp Một loạt dải địa IP không liên tiếp có hiệu tạo tạo trang web bổ sung lưới đầy đủ Điều thể qua mơ hình N(N-1)/2 +M(N-1) kết nối Hình sau thể đồ cấu trúc liên kết IPSec với việc bổ sung dải địa IP không liên tiếp trung tâm 2.3.2.Mơ hình GRE Như thể kiến trúc hub – and – spoke, đường hầm GRE bảo vệ mô tả IPSec cách tập hợp luồng lưu lượng thành căp luồng nguồn – đích đến địa IP Cùng ngun tắc áp dụng cho mơ hình full – mesh IPSec bảo vệ GRE Thậm chí multicast IP giao thức định tuyến IP tận dụng đường hầm GRE IPSec bảo vệ VPN full – mesh sử dụng tuyến đường tĩnh phức tạp IPSecprotected GRE mơ hình đường hầm IPSec địa tất kế cận phải cấu hình hai mặt phẳng định tuyến báo cáo peer IPSec Chúng ta đơn giản hóa việc cấu 54 hình định tuyến cách áp dụng giao thức định tuyến động đường hầm GRE 23 2.4.Sử dụng IPSec mạng 4G Trường hợp phổ biến việc sử dụng IPsec mạng 4G đầu cuối đơn giản triển khai giao thức thiết bị di động mạng dịch vụ ngang hàng (cổng bảo mật, máy chủ ứng dụng ngang hàng khác) Một đại diện kịch hình bên dưới: Hình 10 : Lược đồ IPsec cấu trúc liên kết LTE Vì phổ biến cơng nghệ có dây, ngành công nghiệp nhà nghiên cứu điều tra cách đểtriển khai IPsec phần cơng nghệ khơng dây, để xuất lợi ích cho giới viễn thông Các giao thức sử dụng IPsec triển khai công nghệ WiMAX UMTS: AKA, sử dụng phương pháp EAP IPsec - IKEv2 thủ tục xác thực Trong 4G, diễn đàn 3GPP xem xét quy trình EAP-AKA choxác thực thiết bị cầm tay di động kết nối với mạng 4G từ đài truy cập 3GPP mạng lưới 3GPP sử dụng IPsec bảo mật IMS: IPsec-3GPP, không thương lượngthông qua IKE, thông qua báo hiệu SIP Các lựa chọn thay IPsec khác xuất dạng IPsec-man IPsec-IKE trongthương lượng SIP, với thơng báo TLS Các ví dụ cung cấp cách sử dụng triển khai mã nguồn mở công cụ OpenIMSCore,Strongswan FreeRadius trình bày cách cấu hình giao thức IPsec.Mặc dù nhà sản xuất thiết bị an ninh khác cung cấp cấu hình thay thếcác phương pháp, khía cạnh đầu vào tổng thể tương tự, theo mục đích phục vụ Thích ứngIPsec thiết bị di động có nghĩa cơng việc quan trọng việc cải thiện khả tính tốn chi phí số khía cạnh bảo mật Một ý tưởng sử dụng đường 24 cong elliptic mật mã, sử dụng IPsec, không triển khai rộng rãi ngành Mơ hình đề xuất bên thực xâm nhập ngắn kịch mà PGW, thiết bị mạnh mạng lõi LTE, chiếm phần mật mãgánh nặng trình xác thực thiết bị di động với mạng IMS Khơng cónghi ngờ IPsec có vị mạnh mẽ giới NGN mong đợi nhiều cải tiến giải thiếu sót triển khai thiết bị di động giới 25 KẾT LUẬN IPsec coi giao thức an tồn Internet Nó thành cơng sử dụng để đảm bảo lưu lượng truy cập Internet, cơng nghệ có dây Cho dù việc sử dụng trường hợp liên quan đến công ty cố gắng đảm bảo lưu lượng truy cập chi nhánh họ cố gắng đảm bảo kết nối từ xa an toàn cho nhân viên di động nó, IPsec giao thức ưa thích IPsec tập hợp giao thức phức tạp khơng có giải pháp thị trường thực thực tất Tình trạng dẫn đến nhiều trường hợp khơng tương thích triển khai IPsec khác Tuy nhiên, IPsec triển khai rộng rãi khác biệt việc thực nhiều lần tạo thành yếu tố phân biệt thị trường 26 TÀI LIỆU THAM KHẢO http://ocw.uc3m.es/ingenieria-telematica/coding-techniques/lectures/chapter6-ocw https://www.intechopen.com/books/cryptography-and-security-in-computing/potentialapplications-of-ipsec-in-next-generation-networks https://tailieu.vn/doc/do-an-mon-hoc-bao-mat-thong-tin-ipsec-va-trien-khai-he-thongipsec-vpn-tren-windows-server-2003-1047809.html https://www.slideshare.net/diep6491/ti-liu-vpn-ipsec https://lagi.wiki/ipsec-internet-protocol-security- 27 ... buộc giao thức sử dụng làm giao thức tảng mạng Internet Vào thời điểm thiết kế giao thức (đầu năm 1980), vấn đề bảo mật thông tin chưa thật quan tâm, đó, giao thức TCP/IP không trang bị giao thức. .. cầu IPSec Giao thức ESP (Encapsulating Security Payload): Là giao thức mật mã xác thực thông tin IPSec Giao thức AH (Authentication Header) : Là giao thức có chức gần giống ESP Vì triển khai IPSec, ... khái qt nói IPSec môt tổ hợp gồm hai thành phần : + Giao thức đóng gói gồm AH ESP + Giao thức trao đổi khóa IKE 2 .Giao thức IPSec cốt lõi 2.1 .Giao thức AH (Authentication Header) AH sử dụng kết