BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THƠNG - - TIỂU LUẬN MÔN HỌC “ AN NINH MẠNG VIỄN THÔNG ” Đề tài: “ Giao thức IPSec an toàn mạng Internet ” Giảng viên: Nguyễn Thanh Trà Bài thi cuối kỳ mơn ANM LỜI MỞ ĐẦU Có chế bảo mật dành riêng cho ứng dụng cho số lĩnh vực ứng dụng, bao gồm thư điện tử (S / MIME, PGP), máy khách / máy chủ (Kerberos), truy cập web (Lớp cổng bảo mật) chế khác Tuy nhiên, người dùng có lo ngại bảo mật cắt ngang lớp giao thức Như doanh nghiệp chạy mạng IP riêng, an tồn cách khơng cho phép liên kết đến trang web không đáng tin cậy, mã hóa gói rời khỏi sở xác thực gói vào sở Bằng cách triển khai bảo mật cấp độ IP, tổ chức đảm bảo mạng an tồn khơng cho ứng dụng có chế bảo mật mà cịn cho nhiều ứng dụng thiếu chế bảo mật Bảo mật cấp IP bao gồm ba lĩnh vực chức năng: xác thực, bảo mật quản lý khóa Cơ chế xác thực đảm bảo gói nhận xác định nguồn tiêu đề gói, đảm bảo gói tin khơng bị thay đổi q trình truyền tải Cơ sở bảo mật cho phép nút giao tiếp mã hóa tin nhắn để ngăn chặn việc nghe trộm bên thứ ba Cơ sở quản lý khóa liên quan đến việc trao đổi khóa an tồn Sau thời gian tìm hiểu em hồn thành bải tiểu luận đề tài “Giao thức IPSec an toàn mạng Internet” Nội dung tiểu luận bao phần sau: • Chương 1: Trình bày tổng quan IPSec, gồm vai trị sách IPSec • Chương 2: Trình bày IPSec, xác thực tiêu đề (AH) mã hóa tiêu đề, mã hóa xác thực tải tin (ESP) mã hóa phần nội dung thơng tin thường sử dụng Nên chương trình bày đóng gói ESP, kết hợp liên kết bảo mật trao đổi khóa IKE • Chương 3: Đánh giá kết luận Trong tiểu luận em sử dụng phương pháp nghiên cứu tài liệu Tiến hành tham khảo, tổng hợp tài liệu, cơng trình nghiên cứu IPSec Tổng hợp phân tích nội dung tài liệu 1 Bài thi cuối kỳ môn ANM Mục lục LỜI MỞ ĐẦU DANH MỤC THUẬT NGỮ VIẾT TẮT DANH MỤC HÌNH ẢNH – BẢNG Chương 1: TỔNG QUAN VỀ BẢO MẬT IP 1.1 Vai trò IPSec 1.1.1 Ứng dụng IPSec 1.1.2 Lợi ích IPSec .6 1.1.3 Ứng dụng định tuyến .6 1.1.4 Dịch vụ IPSec 1.1.5 Chế độ truyền tải đường hầm .7 1.2 CHÍNH SÁCH BẢO MẬT IP 1.2.1 Liên kết bảo mật (SA) .9 1.2.2 Cơ sở liệu liên kết bảo mật (SAD) .9 1.2.3 Cơ sở liệu liên kết bảo mật (SPD) 10 1.2.4 Xử lí lưu lượng IP 11 Chương 2: NỘI DUNG TRÌNH BÀY VỀ IPSEC 14 2.1 Đóng gói bảo mật tải tin (ESP) 14 2.1.1 Định dạng ESP 14 2.1.2 Thuật toán mã hóa xác thực 16 2.1.3 Phần đệm 17 2.1.4 Dịch vụ chống phát lại 17 2.1.5 Chế độ truyền tải đường hầm 18 2.2 Kết hợp liên kết bảo mật 22 2.2.1 Xác thực cộng bảo mật 23 2.2.2 Kết hợp liên kết bảo mật .24 2.3 Trao đổi khóa internet ( IKE ) 25 2.3.1 Giao thức xác định khóa (KDP) 26 2.3.2 Định dạng tiêu đề tải trọng 29 Chương 3: ĐÁNH GIÁ VÀ KẾT LUẬN 34 TÀI LIỆU THAM KHẢO 35 2 Bài thi cuối kỳ môn ANM DANH MỤC THUẬT NGỮ VIẾT TẮT Từ viết tắt AH ESP VPN IKE IKEv1 IKEv2 SA SAD SPD IP IPv4 IPv6 IPSec TCP UDP TCMP LAN WAN IAB RFC ISAKMP OSPF DoS Nghĩa tiếng anh Nghĩa tiếng việt Xác thực tiêu đề Đóng gói tải tin bảo mật Mạng riêng ảo Trao đổi khóa Internet Trao đổi khóa internet phiên Trao đổi khóa internet phiên Liên kết bảo mật Cơ sở liệu liên kết bảo mật Cơ sở liệu sách bảo mật Giao thức internet Giao thức internet phiên Giao thức internet phiên Bảo mật Giao thức Internet Giao thức điều khiển truyền vận Giao thức liệu người dùng Giao thức thông điệp điều khiển internet Local Network Area Mạng cục Wide Area Network Mạng diện rộng Internet Architecture Board Ban kiến trúc internet Request for Comments Đề nghị duyệt thảo bình luận Internet Security Association and Hiệp hội Bảo mật Internet Giao Key Management Protocol thức Quản lý Khóa Open shortest path first Giao thức định tuyến OSPF Denial Of Service Tấn công từ chối dịch vụ Authentication Header Encapsulating Security Payload Virtual Private Network Internet Key Exchange Internet Key Exchange version Internet Key Exchange version Security Association Security Association Database Security Policy Database Internet Protocol Internet Protocol version Internet Protocol version Internet Protocol Security Transmission Control Protocol User Datagram Protocol Internet Control Message Protocol 3 Bài thi cuối kỳ mơn ANM DANH MỤC HÌNH ẢNH – BẢNG Hình bảng H 1.1 H 1.2 H 1.3 H 1.4 H 2.1 H 2.2 H 2.3 H 2.4 H 2.5 H 2.6 H 2.7 H 2.8 H 2.9 B 1.1 B 2.1 Tên hình-bảng Kịch IPSec Kiến trúc IPSec Mơ hình xử lí gói tin Mơ hình xử lí gói tin đến Khung IPSec Định dạng gói ESP Cơ chế chống phát lại Chế độ truyền tải so với mã hóa chế độ đường hầm Phạm vi mã hóa xác thực ESP Hoạt động giao thức ESP Kết hợp liên kết bảo mật Trao đổi khóa IKE v2 Định dang IKE Chức chế độ đường hầm truyền tải Các loại tải trọng IKE Trong phần 1.1.1 1.2 1.2.4.a 1.2.4.b 2.1.1 2.1.4 2.1.5.a 2.1.5.a 2.1.5.b 2.2.2 2.3.1.b 2.3.2.a 1.1.5.b 2.3.2.b 4 Bài thi cuối kỳ môn ANM Chương 1: TỔNG QUAN VỀ BẢO MẬT IP Năm 1994, Ban Kiến trúc Internet (IAB) đưa báo cáo có tiêu đề “Bảo mật kiến trúc Internet” (RFC 1636) Báo cáo xác định lĩnh vực cho chế bảo mật Gồm bảo mật sở hạ tầng mạng khỏi giám sát kiểm soát trái phép lưu lượng mạng bảo mật lưu lượng người dùng đến người dùng cách sử dụng chế xác thực mã hóa Để cung cấp bảo mật, IAB bao gồm xác thực mã hóa làm tính bảo mật cần thiết mạng IP hệ tiếp theo, cấp dạng IPv6 Nhưng sử dụng với IPv4 IPv6 tương lai Đặc tả IPsec tồn tập hợp tiêu chuẩn Internet 1.1 Vai trò IPSec 1.1.1 Ứng dụng IPSec IPsec cung cấp khả bảo mật thông tin liên lạc qua mạng LAN, qua mạng riêng cơng cộng WAN Internet Ví dụ như: • Kết nối văn phịng chi nhánh an tồn qua Internet: Một cơng ty xây dựng mạng riêng ảo an toàn qua Internet qua mạng WAN công cộng Giúp giảm nhu cầu mạng riêng thật, tiết kiệm chi phí quản lý mạng • Truy cập từ xa an toàn qua Internet: Người dùng cuối có hệ thống trang bị giao thức IPsec thực gọi nội hạt tới nhà cung cấp dịch vụ Internet (ISP) có quyền truy cập an tồn vào mạng cơng ty Giúp giảm chi phí nhân viên lại • Thiết lập mạng diện rộng khả kết nối mạng nội với đối tác: IPsec sử dụng để giao tiếp an toàn với tổ chức khác, đảm bảo xác thực, bảo mật cung cấp chế trao đổi khóa • Tăng cường bảo mật thương mại điện tử: IPsec tăng cường bảo mật IPsec đảm bảo tất lưu lượng quản trị viên mạng định mã hóa xác thực, thêm lớp bảo mật bổ sung cho thứ cung cấp lớp ứng dụng Các tính IPsec cho phép hỗ trợ ứng dụng đa dạng IPSec mã hóa / xác nhận tất lưu lượng mức IP Như vậy, tất ứng dụng phân tán (bao gồm đăng nhập từ xa, client/ server, e-mail, chuyển tập tin, truy cập Web, ) bảo đảm Hình 1.1 kịch việc sử dụng IPsec Một tổ chức trì mạng LAN địa điểm phân tán Lưu lượng IP không an toàn thực mạng LAN Đối với lưu lượng truy cập bên ngồi, thơng qua mạng riêng công cộng WAN, giao thức IPsec sử dụng Các giao thức hoạt động thiết bị mạng, định tuyến tường lửa, kết nối mạng LAN với giới bên Thiết bị mạng IPsec thường mã hóa nén tất lưu lượng truy cập vào mạng WAN, đồng thời giải mã giải nén lưu lượng truy cập đến từ mạng WAN; hoạt động minh bạch máy trạm máy chủ mạng LAN Cũng 5 Bài thi cuối kỳ mơn ANM truyền an tồn với người dùng cá nhân đến mạng WAN Các máy cá nhân phải triển khai giao thức IPsec để cung cấp bảo mật Hình 1.1: Kịch IPSec 1.1.2 Lợi ích IPSec Có số lợi ích là: • Khi IPsec triển khai sau tường lửa định tuyến, cung cấp khả bảo mật mạnh mẽ áp dụng cho tất lưu lượng truy cập bên ngồi Lưu lượng truy cập bên khơng phải xử lý liên quan đến bảo mật • IPsec sau tường lửa có khả chống đường vịng tất lưu lượng truy cập từ bên phải sử dụng IP tường lửa đường để truy cập từ Internet vào tổ chức • IPsec nằm bên lớp truyền tải (TCP, UDP) đó, suốt ứng dụng Khơng cần thay đổi phần mềm người dùng hệ thống máy chủ IPsec triển khai sau tường lửa định tuyến Ngay IPsec triển khai hệ thống đầu cuối, phần mềm lớp khơng bị ảnh hưởng • IPsec minh bạch người dùng cuối • IPsec cung cấp bảo mật cho người dùng cá nhân cần Giúp cho người làm việc bên để thiết lập mạng ảo an toàn đến tổ chức 1.1.3 Ứng dụng định tuyến Ngoài việc hỗ trợ người dùng cuối bảo vệ hệ thống mạng sở, IPsec đóng vai trị quan trọng kiến trúc định tuyến cần thiết cho kết nối internet IPsec đảm bảo 6 Bài thi cuối kỳ môn ANM • Quảng bá định tuyến (một định tuyến quảng cáo diện nó) xuất phát từ định tuyến có thẩm quyền • Quảng bá hàng xóm (bộ định tuyến tìm cách thiết lập trì mối quan hệ hàng xóm với định tuyến miền định tuyến) từ định tuyến có thẩm quyền • Một thơng điệp chuyển hướng xuất phát từ router mà gói tin IP ban đầu gửi • Bản cập nhật định tuyến khơng giả mạo Nếu khơng có biện pháp an ninh vậy, kẻ cơng làm gián đoạn liên lạc chuyển hướng số lưu lượng truy cập Các giao thức định tuyến Open Shortest Path First (OSPF) nên chạy liên kết bảo mật định tuyến xác định IPsec 1.1.4 Dịch vụ IPSec IPsec cung cấp dịch vụ bảo mật lớp IP cách cho phép hệ thống chọn giao thức bảo mật yêu cầu, xác định (các) thuật toán để sử dụng cho (các) dịch vụ đặt khóa mật mã cần thiết để cung cấp dịch vụ yêu cầu Hai giao thức sử dụng để cung cấp bảo mật: giao thức xác thực tiêu đề giao thức, Authentication Header (AH); giao thức mã hóa / xác thực kết hợp theo định dạng gói cho giao thức đó, đóng gói tải trọng bảo mật (ESP) RFC 4301 liệt kê dịch vụ sau: • • • • • • Điều khiển truy nhập Toàn vẹn liệu chế độ kết nối không định hướng Xác thực nguồn gốc liệu Từ chối gói phát lại Bảo mật( mã hóa) Bảo mật luồng lưu lượng 1.1.5 Chế độ truyền tải đường hầm Cả AH ESP hỗ trợ hai chế độ sử dụng: chế độ truyền tải chế độ đường hầm 1.1.5.a Chế độ truyền tải Chế độ truyền tải cung cấp bảo vệ chủ yếu cho giao thức lớp (mở rộng tải tin gói IP) Ví dụ bao gồm phân đoạn TCP UDP gói ICMP, tất hoạt động trực tiếp IP ngăn xếp giao thức máy chủ Thông thường, chế độ truyền tải sử dụng để giao tiếp đầu cuối hai máy chủ (ví dụ: máy khách máy chủ hai máy trạm) Khi máy chủ chạy AH ESP qua IPv4, tải tin liệu thường theo tiêu đề IP Đối với IPv6, tải tin liệu thường theo tiêu đề IP tiêu đề tiện ích mở rộng IPv6 có mặt, ngoại trừ tiêu đề tùy chọn đích bao gồm bảo vệ 7 Bài thi cuối kỳ môn ANM ESP chế độ truyền tải mã hóa xác thực tùy chọn tải tin IP không xác thực tiêu đề IP AH chế độ truyền tải xác thực tải tin IP phần chọn tiêu đề IP 1.1.5.b Chế độ đường hầm Chế độ đường hầm cung cấp bảo vệ cho tồn gói IP Để đạt điều này, sau trường AH ESP thêm vào gói IP, tồn gói cộng với trường bảo mật coi tải tin gói IP bên với tiêu đề IP bên toàn gói ban đầu, bên trong, qua đường hầm từ điểm mạng IP sang điểm khác; khơng có định tuyến đường kiểm tra tiêu đề IP bên Bởi gói ban đầu đóng gói, gói mới, lớn có địa nguồn đích hồn tồn khác nhau, làm tăng thêm tính bảo mật Chế độ đường hầm sử dụng hai đầu hiệp hội bảo mật (SA) cổng bảo mật, chẳng hạn tường lửa định tuyến triển khai IPsec Với chế độ đường hầm, số máy chủ mạng phía sau tường lửa tham gia vào liên lạc an toàn mà khơng cần triển khai IPsec Các gói tin khơng bảo vệ máy chủ tạo truyền qua mạng bên SA chế độ đường hầm phần mềm IPsec thiết lập tường lửa định tuyến an toàn ranh giới mạng cục ESP chế độ đường hầm mã hóa xác thực tùy chọn tồn gói IP bên trong, bao gồm tiêu đề IP bên AH chế độ đường hầm xác thực tồn gói IP bên phần chọn tiêu đề IP bên Bảng 1.1 tóm tắt chức chế độ truyền tải đường hầm Bảng 1.1: Chức chế độ đường hầm truyền tải Chế độ truyền tải SA Chế độ đường hầm SA AH Xác thực tải trọng IP phần Xác thực tồn gói IP bên (tiêu chọn tiêu đề IP tiêu đề đề bên cộng với tải tin IP) cộng mở rộng IPv6 với phần chọn tiêu đề IP bên tiêu đề mở rộng IPv6 bên ngồi ESP Mã hóa tải tin IP tiêu đề Mã hóa tồn gói IP bên mở rộng IPv6 theo sau tiêu đề ESP ESP Mã hóa tải tin IP tiêu đề Mã hóa tồn gói IP bên Xác với xác mở rộng IPv6 theo sau tiêu đề thực gói IP bên thực ESP Xác thực tải trọng IP không xác thực tiêu đề IP 1.2 CHÍNH SÁCH BẢO MẬT IP Cơ cho hoạt động IPsec khái niệm sách bảo mật áp dụng cho gói IP truyền từ nguồn đến đích Chính sách IPsec xác định chủ yếu tương tác hai sở liệu, liên kết bảo mật sở liệu (SAD) sách bảo mật sở liệu(SPD) Hình 1.2 minh họa mối quan hệ có liên quan 8 Bài thi cuối kỳ mơn ANM Hình 1.2: Kiến trúc IPSec 1.2.1 Liên kết bảo mật (SA) Một khái niệm xuất chế xác thực bảo mật cho IP liên kết bảo mật (SA) Liên kết kết nối logic chiều người gửi người nhận cung cấp dịch vụ bảo mật cho lưu lượng mang Nếu mối quan hệ ngang hàng cần thiết để trao đổi an tồn hai chiều, cần phải có hai hiệp hội bảo mật Một liên kết bảo mật xác định ba tham số: • Chỉ số Tham số Bảo mật (SPI): Một số nguyên không dấu 32 bit gán cho SA có ý nghĩa cục SPI mang tiêu đề AH ESP phép hệ thống nhận chọn SA mà theo gói tin nhận xử lý • Địa đích IP: Đây địa điểm cuối đích SA, hệ thống người dùng cuối hệ thống mạng tường lửa định tuyến • Định danh giao thức bảo mật: Trường từ tiêu đề IP bên ngồi cho biết liên kết có phải liên kết bảo mật AH hay ESP hay khơng Do đó, gói IP nào, liên kết bảo mật xác định Địa đích tiêu đề IPv4 IPv6 SPI tiêu đề mở rộng kèm theo (AH ESP) 1.2.2 Cơ sở liệu liên kết bảo mật (SAD) Trong lần triển khai IPsec, có Cơ sở liệu Hiệp hội Bảo mật danh nghĩa xác định tham số liên quan đến SA Một liên kết bảo mật thường xác định tham số sau mục SAD • Chỉ số tham số bảo mật: Giá trị 32 bit chọn đầu nhận SA để nhận dạng SA Trong mục nhập SAD cho SA gửi đi, SPI sử dụng để xây dựng tiêu đề AH ESP gói tin Trong mục nhập SAD cho SA gửi đến, SPI sử dụng để ánh xạ lưu lượng đến SA thích hợp • Bộ đếm số thứ tự: Một giá trị 32 bit sử dụng để tạo trường Số thứ tự tiêu đề AH ESP, mô tả Phần 20.3 (bắt buộc tất triển khai) 9 Bài thi cuối kỳ mơn ANM Vì tiêu đề IP chứa địa đích thị định tuyến nguồn thông tin tùy chọn điểm – điểm, nên khơng thể đơn giản truyền gói IP mã hóa tiêu đề ESP Các định tuyến trung gian khơng thể xử lý gói tin Do đó, cần phải đóng gói tồn khối (tiêu đề ESP cộng với mã cộng với liệu xác thực, có) tiêu đề IP chứa đầy đủ thông tin để định tuyến khơng phải để phân tích lưu lượng Trong chế độ truyền tải phù hợp để bảo vệ kết nối máy chủ hỗ trợ tính ESP, chế độ đường hầm hữu ích cấu hình bao gồm tường lửa loại cổng bảo mật khác để bảo vệ mạng đáng tin cậy khỏi mạng bên Trong trường hợp thứ hai này, mã hóa xảy máy chủ bên ngồi cổng bảo mật hai cổng bảo mật Điều làm giảm gánh nặng xử lý mã hóa máy chủ mạng nội đơn giản hóa tác vụ phân phối khóa cách giảm số lượng khóa cần thiết Hơn nữa, ngăn cản phân tích lưu lượng truy cập dựa điểm đến cuối Trường hợp máy chủ bên muốn giao tiếp với máy chủ lưu trữ mạng nội bảo vệ tường lửa ESP triển khai máy chủ bên tường lửa Các bước sau xảy để chuyển phân đoạn lớp truyền tải từ máy chủ bên sang máy chủ nội Nguồn chuẩn bị gói IP bên với địa đích máy chủ nội đích Gói bắt đầu tiêu đề ESP; gói đoạn giới thiệu ESP mã hóa liệu xác thực thêm vào Khối kết đóng gói tiêu đề IP (tiêu đề sở cộng với phần mở rộng tùy chọn tùy chọn định tuyến nút đến nút cho IPv6) có địa đích tường lửa; điều tạo thành gói IP bên ngồi Gói bên ngồi chuyển đến tường lửa đích Mỗi định tuyến trung gian cần kiểm tra xử lý tiêu đề IP bên với tiêu đề mở rộng IP bên ngồi khơng cần kiểm tra mã Tường lửa đích kiểm tra xử lý tiêu đề IP bên với tiêu đề mở rộng IP bên ngồi Sau đó, sở SPI tiêu đề ESP, nút đích giải mã phần cịn lại gói để khơi phục gói IP bên rõ Sau gói tin truyền mạng nội Gói bên định tuyến qua không nhiều định tuyến mạng nội đến máy chủ đích Hình 2.6: Hiển thị kiến trúc giao thức cho chế độ NHÓM 20 – PHÙNG MINH HIẾU 21 21 Bài thi cuối kỳ mơn ANM Hình 2.6: Hoạt động giao thức ESP 2.2 Kết hợp liên kết bảo mật Một SA riêng lẻ triển khai giao thức AH ESP hai Đôi luồng lưu lượng cụ thể yêu cầu dịch vụ cung cấp AH ESP Hơn nữa, luồng lưu lượng cụ thể yêu cầu dịch vụ IPsec máy chủ luồng đó, dịch vụ riêng biệt cổng bảo mật, chẳng hạn tường lửa Trong tất trường hợp này, nhiều SA phải sử dụng cho luồng lưu lượng để có dịch vụ IPsec mong muốn Thuật ngữ gói liên kết bảo mật đề cập đến chuỗi SA mà qua lưu lượng phải xử lý để cung cấp tập hợp dịch vụ IPsec mong muốn Các SA gói kết thúc điểm cuối khác điểm cuối Các liên kết bảo mật kết hợp thành gói theo hai cách: • Truyền tải liền kề: Đề cập đến việc áp dụng nhiều giao thức bảo mật cho gói IP mà khơng cần đến đường hầm Cách tiếp cận để kết hợp NHÓM 20 – PHÙNG MINH HIẾU 22 22 Bài thi cuối kỳ môn ANM AH ESP cho phép mức độ kết hợp; Việc lồng thêm vào khơng mang lại lợi ích bổ sung trình xử lý thực phiên IPsec: đích (cuối cùng) • Đường hầm lặp lại: Đề cập đến việc áp dụng nhiều lớp giao thức bảo mật thực thông qua đường hầm IP Cách tiếp cận cho phép nhiều cấp độ lồng nhau, đường hầm bắt đầu kết thúc điểm IPsec khác dọc theo đường dẫn Hai cách tiếp cận kết hợp, ví dụ, cách để SA vận chuyển máy chủ phần đường qua SA đường hầm cổng bảo mật Một vấn đề nảy sinh xem xét gói SA thứ tự mà xác thực mã hóa áp dụng cặp điểm cuối định cách làm Tiếp theo xem xét vấn đề Sau đó, đến tổ hợp SA liên quan đến đường hầm 2.2.1 Xác thực cộng bảo mật Mã hóa xác thực kết hợp để truyền gói IP có tính bảo mật xác thực máy chủ Có cách tiếp cận: 2.2.1.a ESP với tùy chọn xác thực Cách tiếp cận minh họa (Hình 2.5) Trong cách tiếp cận này, trước tiên người dùng áp dụng ESP cho liệu bảo vệ sau thêm trường liệu xác thực Thực tế có hai trường hợp con: • Chế độ truyền tải ESP: Xác thực mã hóa áp dụng cho tải trọng IP phân phối đến máy chủ, tiêu đề IP khơng bảo vệ • Chế độ đường hầm ESP: Xác thực áp dụng cho tồn gói IP phân phối đến địa đích IP bên ngồi (ví dụ: tường lửa) xác thực thực đích Tồn gói IP bên bảo vệ chế riêng tư để gửi đến đích IP bên Đối với hai trường hợp, xác thực áp dụng cho mã rõ 2.2.1.b Truyền tải liền kề Một cách khác để áp dụng xác thực sau mã hóa sử dụng hai SA truyền tải kèm, với bên ESP SA bên AH SA Trong trường hợp này, ESP sử dụng mà khơng có tùy chọn xác thực Vì SA bên SA truyền tải, mã hóa áp dụng cho tải tin IP Gói kết bao gồm tiêu đề IP (và phần mở rộng tiêu đề IPv6) theo sau ESP AH sau áp dụng chế độ truyền tải, để xác thực bao gồm ESP cộng với tiêu đề IP ban đầu (và phần mở rộng) ngoại trừ trường thay đổi Ưu điểm phương pháp so với việc sử dụng ESP SA với tùy chọn xác thực ESP xác thực bao gồm nhiều trường hơn, bao gồm địa IP nguồn đích Điểm bất lợi chi phí hai SA so với SA 2.2.1.c Gói truyền tải – đường hầm Việc sử dụng xác thực trước mã hóa thích hợp số lý Thứ nhất, liệu xác thực bảo vệ mã hóa, nên khơng chặn tin thay đổi liệu xác thực mà không bị phát Thứ hai, mong muốn lưu trữ NHĨM 20 – PHÙNG MINH HIẾU 23 23 Bài thi cuối kỳ môn ANM thơng tin xác thực với tin nhắn đích để tham khảo sau Thuận tiện để thực việc thông tin xác thực áp dụng cho tin khơng mã hóa; khơng, tin phải mã hóa lại để xác minh thông tin xác thực Một cách tiếp cận để áp dụng xác thực trước mã hóa hai máy chủ sử dụng gói bao gồm SA truyền tải AH bên SA đường hầm ESP bên Trong trường hợp này, xác thực áp dụng cho tải tin IP cộng với tiêu đề IP (và phần mở rộng) ngoại trừ trường thay đổi Gói IP kết sau xử lý chế độ đường hầm ESP; kết tồn gói bên xác thực mã hóa tiêu đề IP bên ngồi (và phần mở rộng) thêm vào 2.2.2 Kết hợp liên kết bảo mật Tài liệu kiến trúc IPsec liệt kê bốn ví dụ kết hợp SA phải hỗ trợ máy chủ IPsec phù hợp (máy trạm, máy chủ) cổng bảo mật (tường lửa, định tuyến) Được minh họa (Hình 2.7) Phần trường hợp hình đại diện cho kết nối vật lý phần tử; phần đại diện cho kết nối logic thông qua nhiều SA lồng Mỗi SA AH ESP Đối với SA từ máy chủ đến máy chủ, phương thức truyền tải đường hầm; khơng phải chế độ đường hầm Trường hợp Tất bảo mật cung cấp hệ thống đầu cuối triển khai IPsec Để hai hệ thống đầu cuối giao tiếp thông qua SA, chúng phải chia sẻ khóa bí mật thích hợp Trong số kết hợp có a AH phương thức truyền tải b ESP phương thức truyền tải c ESP theo sau AH chế độ truyền tải( ESP SA AH SA) d Bất kỳ số a, b c AH ESP chế độ đường hầm Trường hợp Bảo mật cung cấp cổng (bộ định tuyến, tường lửa, ) khơng có máy chủ triển khai IPsec Trường hợp minh họa hỗ trợ mạng riêng ảo đơn giản Tài liệu kiến trúc bảo mật định cần SA đường hầm cho trường hợp Đường hầm hỗ trợ AH, ESP ESP với tùy chọn xác thực Các đường hầm lồng không bắt buộc, dịch vụ IPsec áp dụng cho tồn gói bên Trường hợp Xây dựng trường hợp cách thêm bảo mật đầu cuối Các kết hợp tương tự thảo luận cho trường hợp cho phép Đường hầm cổng đến cổng cung cấp xác thực, bảo mật hai cho tất lưu lượng hệ thống đầu cuối Khi đường hầm cổng đến cổng ESP, cung cấp hình thức bảo mật lưu lượng hạn chế Các máy chủ riêng lẻ triển khai dịch vụ IPsec bổ sung yêu cầu cho ứng dụng định người dùng định SA kết thúc Trường hợp Cung cấp hỗ trợ cho máy chủ từ xa sử dụng Internet để truy cập tường lửa tổ chức sau để có quyền truy cập vào số máy chủ máy trạm phía sau tường lửa Chỉ cần chế độ đường hầm máy chủ từ xa tường lửa NHÓM 20 – PHÙNG MINH HIẾU 24 24 Bài thi cuối kỳ môn ANM Như trường hợp 1, hai SA sử dụng máy chủ từ xa máy chủ cục *= (triển khai ipsec) Hình 2.7: Kết hợp liên kết bảo mật 2.3 Trao đổi khóa internet ( IKE ) Phần quản lý khóa IPsec liên quan đến việc xác định phân phối khóa bí mật Một kiểu điển hình bốn khóa để giao tiếp hai ứng dụng: cặp truyền nhận cho tính tồn vẹn bảo mật Kiến trúc IPsec yêu cầu hỗ trợ hai loại quản lý khóa: • Thủ cơng: Người quản trị hệ thống định cấu hình thủ cơng hệ thống với khóa riêng với khóa hệ thống giao tiếp khác Điều thực tế cho môi trường nhỏ, tương đối tĩnh • Tự động: Hệ thống tự động cho phép tạo khóa theo yêu cầu cho SA tạo điều kiện sử dụng khóa hệ thống phân tán lớn với cấu hình phát triển Giao thức quản lý khóa tự động mặc định cho IPsec gọi ISAKMP / Oakley bao gồm yếu tố sau: • Giao thức xác định khóa Oakley: Oakley giao thức trao đổi khóa dựa thuật tốn Diffie-Hellman cung cấp thêm tính bảo mật Oakley khơng quy định định dạng cụ thể NHĨM 20 – PHÙNG MINH HIẾU 25 25 Bài thi cuối kỳ mơn ANM • Hiệp hội Bảo mật Internet Giao thức Quản lý Khóa (ISAKMP): ISAKMP cung cấp khn khổ để quản lý khóa Internet cung cấp hỗ trợ giao thức cụ thể, bao gồm định dạng, để thương lượng thuộc tính bảo mật ISAKMP tự khơng lệnh cho thuật tốn trao đổi khóa cụ thể; ISAKMP bao gồm tập hợp loại thơng báo cho phép sử dụng nhiều thuật tốn trao đổi khóa Oakley thuật tốn trao đổi khóa cụ thể yêu cầu sử dụng với phiên ban đầu ISAKMP Trong IKEv2, thuật ngữ Oakley ISAKMP khơng cịn sử dụng nữa, có khác biệt đáng kể so với việc sử dụng Oakley ISAKMP IKEv1 Tuy nhiên, chức giống Trong phần này, mô tả đặc tả IKEv2 2.3.1 Giao thức xác định khóa (KDP) Xác định khóa IKE cải tiến thuật tốn trao đổi khóa Diffie-Hellman Diffie-Hellman liên quan đến tương tác người dùng A B Có thỏa thuận trước hai tham số toàn cục: q, a số nguyên tố lớn; 𝛼, a gốc nguyên thủy q A chọn số nguyên ngẫu nhiên 𝑋𝐴 làm khóa riêng truyền cho B khóa công khai 𝑌𝐴 = 𝛼 𝑋𝐴 mod q Tương tự, B chọn số nguyên ngẫu nhiên 𝑋𝐵 làm khóa riêng truyền cho A khóa cơng khai 𝑌𝐵 = 𝛼 𝑋𝐵 mod q Giờ đây, bên tính khóa phiên bí mật: K = (𝑌𝐵 )𝑋𝐴 mod q = (𝑌𝐴 )𝑋𝐵 mod q = 𝛼 𝑋𝐴 𝑋𝐵 mod q Thuật tốn Diffie-Hellman có hai tính tốt: • Khóa bí mật tạo cần thiết Khơng cần thiết phải lưu trữ khóa bí mật thời gian dài, làm cho chúng dễ bị tổn thương • Sàn giao dịch khơng u cầu sở hạ tầng sẵn có khác ngồi thỏa thuận tham số tồn cục Tuy nhiên, có số điểm yếu Diffie-Hellman như: • Khơng cung cấp thơng tin danh tính bên • Phải chịu cơng kẻ trung gian, bên thứ ba C mạo danh B giao tiếp với A mạo danh A giao tiếp với B Cả A B phải thương lượng khóa với C, sau lắng nghe chuyển lưu lượng • Chun sâu mặt tính tốn Nên dễ bị cơng tắc nghẽn, kẻ cơng u cầu số lượng khóa cao IKE thiết kế để cải thiện Diffie-Hellman 2.3.1.a Xác định tính IKE Thuật tốn xác định khóa IKE đặc trưng năm tính quan trọng: Sử dụng chế cookie để ngăn chặn công làm tắc nghẽn Cho phép hai bên đàm phán nhóm; chất, điều định tham số tồn cục trao đổi khóa Diffie-Hellman Sử dụng nonces để đảm bảo chống lại công phát lại Cho phép trao đổi giá trị khóa cơng khai Diffie-Hellman NHĨM 20 – PHÙNG MINH HIẾU 26 26 Bài thi cuối kỳ môn ANM Xác thực trao đổi Diffie-Hellman để ngăn chặn công kẻ trung gian Ở trình bày Diffie-Hellman Bây xem xét phần lại yếu tố Đầu tiên, xem xét vấn đề công tắc nghẽn Trong công này, kẻ công giả mạo địa nguồn người dùng hợp pháp gửi khóa Diffie-Hellman cơng khai cho nạn nhân Sau nạn nhân thực phép tính lũy thừa mơ-đun để tính khóa bí mật Các thơng báo lặp lại kiểu làm cho hệ thống nạn nhân bị tắc nghẽn Việc trao đổi cookie yêu cầu bên gửi số giả, cookie, tin ban đầu mà bên thừa nhận Sự xác nhận phải lặp lại thông điệp trao đổi khóa Diffie-Hellman Nếu địa nguồn bị giả mạo, kẻ cơng khơng có câu trả lời Do đó, kẻ cơng buộc người dùng tạo xác nhận thực phép tính Diffie-Hellman IKE yêu cầu việc tạo cookie phải đáp ứng ba yêu cầu bản: Cookie phải phụ thuộc vào bên cụ thể Điều ngăn kẻ công lấy cookie địa IP thực cổng UDP, sau sử dụng để đưa nạn nhân vào yêu cầu từ địa IP cổng chọn ngẫu nhiên Nó khơng phép cho khác tổ chức phát hành tạo cookie chấp nhận tổ chức Điều ngụ ý tổ chức phát hành sử dụng thông tin bí mật cục q trình tạo xác minh cookie sau Khơng thể suy thơng tin bí mật từ cookie cụ thể Mục đích yêu cầu cần tổ chức phát hành không cần lưu tập tin cookie nó, sau dễ bị phát hơn, xác minh xác nhận cookie cần Phương pháp xác minh tạo cookie phải nhanh chóng để ngăn chặn cơng nhằm phá hoại tài nguyên xử lý Phương pháp đề xuất để tạo cookie thực hàm băm nhanh (MD5) địa IP nguồn đích, cổng nguồn đích UDP giá trị bí mật tạo cục Xác định khóa IKE hỗ trợ việc sử dụng nhóm khác để trao đổi khóa DiffieHellman Mỗi nhóm bao gồm định nghĩa hai tham số toàn cục đặc điểm thuật toán Đặc điểm kỹ thuật bao gồm nhóm sau • Tính lũy thừa modun với modun 768 bit q = 2768 - 2704 - + 264 * ([2637 * 𝜋]+ 149686) a = • Tính lũy thừa modun với modun 1024 bit q = 21024 - 2960 - + 264 * (:2894 * p;+ 129093) a = • Tính lũy thừa modun với modun 1536 bit • Các thơng số xác định • Nhóm đường cong Elliptic qua 2155 • • Generator (hexadecimal): X = 7B, Y = 1C8 Elliptic curve parameters (hexadecimal): A = 0, Y = 7338F • Nhóm đường cong Elliptic qua 2185 NHÓM 20 – PHÙNG MINH HIẾU 27 27 Bài thi cuối kỳ mơn ANM • Generator (hexadecimal): X = 18, Y = D • Elliptic curve parameters (hexadecimal): A = 0, Y = 1EE9 Ba nhóm thuật tốn Diffie-Hellman cổ điển sử dụng lũy thừa mơ-đun Hai nhóm cuối sử dụng tương tự đường cong elliptic cho Diffie-Hellman Xác định IKE sử dụng nonces để đảm bảo chống công phát lại Mỗi nonce số giả ngẫu nhiên tạo cục Các nonce xuất câu trả lời mã hóa số phần định trao đổi để đảm bảo việc sử dụng chúng Ba phương pháp xác thực khác sử dụng với xác định khóa IKE: • Chữ ký điện tử: Việc trao đổi xác thực cách ký hàm băm lẫn nhau; bên mã hóa băm khóa riêng Hàm băm tạo thông số quan trọng, chẳng hạn ID người dùng nonces • Mã hóa khóa cơng khai: Việc trao đổi xác thực cách mã hóa tham số ID số nonces khóa riêng người gửi • Mã hóa khóa đối xứng: Một khóa có nguồn gốc từ số chế ngồi dải sử dụng để xác thực trao đổi cách mã hóa đối xứng tham số trao đổi 2.3.1.b Trao đổi IKE v2 Giao thức IKEv2 liên quan đến việc trao đổi thông điệp theo cặp Hai cặp trao đổi gọi trao đổi ban đầu (Hình 2.8a) Trong lần trao đổi đầu tiên, hai peer trao đổi thông tin liên quan đến thuật toán mật mã tham số bảo mật khác mà họ sẵn sàng sử dụng với giá trị khác Diffie-Hellman (DH) Kết việc trao đổi thiết lập SA đặc biệt gọi IKE SA SA xác định tham số cho kênh an toàn peer mà qua trao đổi thơng điệp diễn Do đó, tất trao đổi tin IKE bảo vệ mã hóa xác thực tin Trong lần trao đổi thứ hai, hai bên xác thực lẫn thiết lập IPsec SA đặt SADB sử dụng để bảo vệ thông tin liên lạc thông thường (tức IKE) peer Do đó, cần bốn thơng báo để thiết lập SA cho mục đích sử dụng chung Trao đổi CREATE_CHILD_SA sử dụng để thiết lập SA khác nhằm bảo vệ lưu lượng truy cập Trao đổi thông tin sử dụng để trao đổi thông tin quản lý, thông báo lỗi IKEv2 thơng báo khác NHĨM 20 – PHÙNG MINH HIẾU 28 28 Bài thi cuối kỳ môn ANM HDR = IKE header SAx1 = offered and chosen algorithms, DH group KEx = Diffie-Hellman public key Nx= nonces SK { } = MAC and encrypt AUTH = Authentication SAx2 = algorithms, parameters for IPsec SA TSx = traffic selectors for IPsec SA CERTREQ = Certificate request N = Notify IDx = identity D = Delete CERT = certificate CP = Configuration Hình 2.8: Trao đổi khóa IKE v2 2.3.2 Định dạng tiêu đề tải trọng IKE định nghĩa thủ tục định dạng gói để thiết lập, thương lượng, sửa đổi xóa liên kết bảo mật Là phần việc thành lập SA, IKE định nghĩa trọng tải để trao đổi liệu xác thực tạo khóa Các định dạng tải trọng cung cấp khuôn khổ quán độc lập với giao thức trao đổi khóa cụ thể, thuật tốn mã hóa chế xác thực NHĨM 20 – PHÙNG MINH HIẾU 29 29 Bài thi cuối kỳ môn ANM 2.3.2.a Định dạng tiêu đề Thông báo IKE bao gồm tiêu đề IKE theo sau nhiều tải tin Tất điều thực giao thức vận tải Đặc tả việc triển khai phải hỗ trợ việc sử dụng UDP cho giao thức truyền tải Hình 2.9: Định dạng IKE Hình 2.9a: Hiển thị định dạng tiêu đề cho thơng báo IKE Nó bao gồm trường sau: • Initiator SPI (64 bit): Một giá trị khởi tạo chọn để xác định liên kết bảo mật IKE (SA) • Resonder SPI (64 bit): Một giá trị trình phản hồi chọn để xác định IKE SA • Next payload (8 bit): Cho biết loại tải tin tin • Mj ver (4 bit): Cho biết phiên IKE sử dụng • Mn ver (4 bit): Cho biết phiên phụ sử dụng • Exchange type (8 bit): Cho biết loại trao đổi • Flags (8 bit): Cho biết tùy chọn cụ thể thiết lập cho trao đổi IKE Ba bit xác định Bit khởi tạo cho biết liệu gói tin có gửi trình khởi tạo SA hay khơng Bit phiên cho biết liệu máy phát có khả sử dụng số phiên cao số phiên định hay không Bit phản hồi cho biết liệu có phải phản hồi cho tin có chứa ID tin hay khơng • Message ID (32 bit): Được sử dụng để điều khiển việc truyền lại gói bị khớp yêu cầu phản hồi • Length (32 bit): Độ dài tổng tin tin (tiêu đề cộng với tất trọng tải) tính octet NHĨM 20 – PHÙNG MINH HIẾU 30 30 Bài thi cuối kỳ môn ANM 2.3.2.b Các kiểu tải trọng IKE Tất tải tin IKE bắt đầu với tiêu đề trọng tải chung thể Hình 2.9b Trường tải tin Tiếp theo có giá trị tải tin cuối thông báo; khơng giá trị loại tải tin Trường Độ dài tải tin cho biết độ dài tính octet tải tin này, bao gồm tiêu đề tải tin chung Bit quan trọng người gửi muốn người nhận bỏ qua tải tin người khơng hiểu mã loại tải tin trường Tải tin tải tin trước Nó đặt thành người gửi muốn người nhận từ chối toàn thư người khơng hiểu loại tải tin Bảng 2.1 tóm tắt loại tải tin xác định cho IKE liệt kê trường tham số phần tải tin Tải tin SA sử dụng để bắt đầu thành lập SA Tải tin có cấu trúc phức tạp, phân cấp Tải tin chứa nhiều đề xuất Mỗi đề xuất chứa nhiều giao thức Mỗi giao thức chứa nhiều biến đổi Và biến đổi chứa nhiều thuộc tính Các phần tử định dạng dạng cấu trúc với tải tin sau: • Đề xuất: Cấu trúc bao gồm số đề xuất, ID giao thức (AH, ESP IKE), báo số lần chuyển đổi sau cấu trúc chuyển đổi Nếu có nhiều giao thức đưa vào đề xuất, có cấu trúc đề xuất với số đề xuất • Biến đổi: Các giao thức khác hỗ trợ kiểu biến đổi khác Các phép biến đổi sử dụng chủ yếu để xác định thuật toán mật mã sử dụng với giao thức cụ thể • Thuộc tính: Mỗi biến đổi bao gồm thuộc tính sửa đổi hoàn thành đặc điểm kỹ thuật biến đổi (ví dụ độ dài khóa) NHĨM 20 – PHÙNG MINH HIẾU 31 31 Bài thi cuối kỳ môn ANM Bảng2 1: Các loại tải trọng IKE Tải tin Key Exchange sử dụng cho nhiều kỹ thuật trao đổi khóa khác nhau, bao gồm Oakley, Diffie-Hellman trao đổi khóa dựa RSA PGP sử dụng Trường liệu Trao đổi khóa chứa liệu cần thiết để tạo khóa phiên phụ thuộc vào thuật tốn trao đổi khóa sử dụng Tải tin Identification sử dụng để xác định danh tính đồng nghiệp giao tiếp sử dụng để xác định tính xác thực thông tin Thông thường, trường Dữ liệu ID chứa địa IPv4 IPv6 Tải tin certificate chuyển chứng khóa cơng khai Trường Mã hóa chứng cho biết loại chứng thông tin liên quan đến chứng chỉ, bao gồm thơng tin sau: • PKCS #7 wrapped X.509 certificate • PGP certificate • • • • • • DNS signed key X.509 certificate—signature X.509 certificate—key exchange Kerberos tokens Certificate Revocation List (CRL) Authority Revocation List (ARL) • SPKI certificate Tại thời điểm trao đổi IKE, người gửi bao gồm tải tin Yêu cầu chứng để yêu cầu chứng thực thể giao tiếp khác Tải tin liệt NHĨM 20 – PHÙNG MINH HIẾU 32 32 Bài thi cuối kỳ môn ANM kê nhiều loại chứng chấp nhận nhiều tổ chức phát hành chứng chấp nhận Tải tin Authentication chứa liệu sử dụng cho mục đích xác thực tin nhắn Các loại phương pháp xác thực xác định chữ ký số RSA, mã tồn vẹn thơng điệp khóa chia sẻ chữ ký số DSS Tải tin Nonce chứa liệu ngẫu nhiên sử dụng để đảm bảo tính trực tiếp trình trao đổi để bảo vệ khỏi công phát lại Tải tin Notify chứa thông tin lỗi trạng thái liên kết với SA thương lượng SA Bảng sau liệt kê thông báo IKE thông báo Tải tin Delete cho biết nhiều SA mà người gửi xóa khỏi sở liệu khơng cịn hợp lệ Tai tin Vendor ID chứa số nhà cung cấp xác định Hằng số sử dụng nhà cung cấp để xác định nhận trường hợp triển khai từ xa họ Cơ chế cho phép nhà cung cấp thử nghiệm tính trì khả tương thích ngược Tải tin Traffic selector cho phép đồng nghiệp xác định luồng gói để dịch vụ IPsec xử lý Trọng tải mã hóa chứa trọng tải khác dạng mã hóa Tải tin Encrypted chứa tải tin khác dạng mã hóa Định dạng tải trọng mã hóa tương tự định dạng ESP Tải tin Configuration sử dụng để trao đổi thơng tin cấu hình đồng nghiệp IKE Tải tin Extensible authentication (EAP) cho phép IKE SA xác thực EAP Error Messages Unsupported Critical Payload Invalid IKE SPI Invalid Major Version Invalid Syntax Invalid Payload Type Invalid Message ID Invalid SPI No Proposal Chosen Invalid KE Payload Authentication Failed Single Pair Required No Additional SAS Internal Address Failure Failed CP Required TS Uncceptable Invalid Selectors NHÓM 20 – PHÙNG MINH HIẾU Status Messages Initial Contact Set Window Size Additional TS Possible IPCOMP Supported NAT Detection Source IP NAT Detection Destinetion IP Cookie Use Transport Mode HTTP Cert Lookup Supported Rekey SA ESP TFC Padding Not Supported Non First Fragments Also 33 33 Bài thi cuối kỳ môn ANM Chương 3: ĐÁNH GIÁ VÀ KẾT LUẬN Bài tiểu luận em đã: • • • • Trình bày tổng quan bảo mật IP (IPsec) Giải thích khác phương thức truyền tải phương thức đường hầm Trình bày khái niệm liên kết bảo mật Giải thích khác sở liệu liên kết bảo mật sở liệu sách bảo mật • Tóm tắt chức xử lý lưu lượng thực IPsec gói gói đến • Trình bày tổng quan đóng gói gói tin bảo mật ESP • Trình bày tổng quan trao đổi khóa IKE Như chuẩn, IPSec nhanh chóng trở thành phương pháp đánh giá cao để bảo mật thông tin mạng TCP/IP Được thiết kế để hỗ trợ nhiều lược đồ mã hóa xác thực, IPSec thay đổi để thích hợp với yêu cầu bảo mật tổ chức lớn hay nhỏ Kiến trúc IPSec thiết kế với dự kiến tương lai, nhận ủng hộ xứng đáng từ cộng đồng bảo mật Những đánh giá gần nhà sản xuất lớn Cisco Systems, việc thiết lập chương trình chứng thực hợp tác thơng qua Hiệp hội an tồn máy tính giới (International Computer Security Association) dấu hiệu rõ ràng IPSec phát triển đường trở thành chuẩn cho truyền thơng kỷ 21 Do khả tìm hiểu em hạn chế chưa đầy đủ xác thực, tiểu luận cịn nhiều thiếu sót mong đóng góp ý kiến để hoàn thiện Qua em xin gửi lời cảm ơn đến cô Nguyễn Thanh Trà, cô giúp đỡ em nhiều trình học tập Sinh viên thực Hiếu Phùng Minh Hiếu NHÓM 20 – PHÙNG MINH HIẾU 34 34 Bài thi cuối kỳ môn ANM TÀI LIỆU THAM KHẢO Cryptography and Network Security: Principles and Practice, Sixth Edition Xuất bản: 2014 Mỹ Tác giả: William Stallings Slide môn học: An Ninh Mạng Xuất bản: 2020 Tác giả: Nguyễn Thanh Trà Và nhiều tài liệu có liên quan mạng khác http://doit.uet.vnu.edu.vn/documents/hieu-13/report/reporthieu.docx.pdf phần em kiểm tra độ trùng lặp em trang Doit NHÓM 20 – PHÙNG MINH HIẾU 35 35 ... thức internet phiên Giao thức internet phiên Bảo mật Giao thức Internet Giao thức điều khiển truyền vận Giao thức liệu người dùng Giao thức thông điệp điều khiển internet Local Network Area Mạng. .. lạc qua mạng LAN, qua mạng riêng cơng cộng WAN Internet Ví dụ như: • Kết nối văn phịng chi nhánh an tồn qua Internet: Một cơng ty xây dựng mạng riêng ảo an toàn qua Internet qua mạng WAN công... IPsec Một tổ chức trì mạng LAN địa điểm phân tán Lưu lượng IP khơng an tồn thực mạng LAN Đối với lưu lượng truy cập bên ngồi, thơng qua mạng riêng công cộng WAN, giao thức IPsec sử dụng Các giao