BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG  - BÁO CÁO TIỂU LUẬN ĐỀ TÀI: “GIAO THỨC IPSEC” Giảng Viên : Nguyễn Thanh Trà Bài thi cuối kỳ môn ANM Bảng phân công công việc Thành viên Công việc chung Công việc riêng - Viết phần mở đầu - Làm nội dung từ phần đến 1.2.1 Tìm kiếm tài liệu Sửa Word - Chọn đề tài, - Làm đề cương - Làm nội dung từ 1.2.2 đến hết Bài thi cuối kỳ mơn ANM MỤC LỤC Lời nói đầu IKE (TRAO ĐỔI KHÓA INTERNET) IKE giai đoạn 1.1 1.1.1 Chế độ .8 1.1.1.1 Bản tin .8 1.1.1.2 Bản tin .9 1.1.1.3 Bản tin 10 1.1.1.4 Bản tin 11 1.1.1.5 Bản tin 11 1.1.1.6 Bản tin 11 Chế độ linh hoạt .12 1.1.2 1.1.2.1 Bản tin 12 1.1.2.2 Bản tin 13 1.1.2.3 Bản tin 14 1.2 IKE giai đoạn 15 1.2.1 Bản tin .15 1.2.2 Bản tin .16 1.2.3 Bản tin .16 GIAO THỨC IPSEC 16 2.1 Giao thức tiêu đề xác thực 16 2.1.1 Phương tiện giao thông 17 2.1.2 2.2 Giao thức ESP (Đóng gói khối lượng bảo mật) 19 2.2.1 Phương tiện giao thông 19 2.2.2 Chế độ đường hầm 20 2.3 Chế độ đường hầm 18 AH ESP 20 2.3.1 Phương tiện giao thông 20 2.3.2 Chế độ đường hầm 21 PHẦN KẾT LUẬN 22 Tài liệu tham khảo 22 Bài thi cuối kỳ mơn ANM Lời nói đầu Hiện giao thức TCP/IP giữ vai trò quan trọng hệ thống Có nhiều tùy chọn khác giao thức để triển khai hệ thống mạng TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP lựa chọn gần bắt buộc giao thức Internet Vào thời điểm này, vấn đề bảo mật thông tin chưa thật quan tâm, đó, giao thức TCP/IP không trang bị giao thức nào.Việc bổ sung chế bảo mật vào mơ hình TCP/IP, giao thức IP nhu cầu cấp bách.IP Security (IPSec) giao thức chuẩn hố IETF từ năm 1998 nhằm mục đích nâng cấp chế mã hố xác thực thơng tin cho chuỗi thông tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính toàn vẹn liệu chứng thực liệu thiết bị mạngIPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc Mục đích: đưa số tìm hiểu giao thức IPsec Đối tương: giao thức IPSec Phạm vi tiểu luận: nghiên cứu cấu trúc, cách thức hoạt động IPSec Phương pháp nghiên cứu: Qua đọc sách, tra cứu tài liệu mạng đồng thời kế thừa kết nghiên cứu từ trước Kết thu được: Từ mục đích, yêu cầu, nhiệm vụ đề tiểu luận đạt kết sau: Hiểu cách để triển khai IPSec Bài thi cuối kỳ môn ANM IPSEC( Internet protocol security): thể thống giúp bảo vệ lưu lượng IP lớp mạng IPSec bảo vệ lưu lượng truy cập tính sau: - Tính tin cậy: cách mã hóa liệu Ipsec, không ngoại trừ người nhận người người gửi nhận liệu - Tính tồn vẹn: Đảm bảo không thấy liệu gọi cách tính tốn theo hàm băm, người gửi người nhận kiểm tra xem thay đổi thực với gói tin chưa - Tính xác thực: người gửi người nhận xác thực lẫn để đảm bảo chắn nói chuyện với thiết bị mà tin tưởng - Tính chống phát lại: gay gói mã hóa xác thực, kẻ cơng cố gắng nắm bắt gói gửi lại Bằng cách sử dụng số thứ tự, IPsec khơng truyền gói tin trùng lặp - Là cấu trúc thống nhất, IPsec sử dụng nhiều giao thức khác để triển khai tính mà tơi mơ tả Đây sơ đồ: IPsec sử dụng nhiều thiết bị khác nhau, sử dụng định tuyến, tường lửa, máy chủ server Dưới số ví dụ cách sử dụng nó: Bài thi cuối kỳ mơn ANM      Giữa hai định tuyến để tạo VPN site-to-site "cầu nối" hai mạng LAN với Giữa tường lửa máy chủ cửa sổ cho VPN truy cập từ xa Giữa hai máy chủ linux để bảo vệ giao thức khơng an tồn telnet IPsec phức tạp có nhiều cách khác để triển khai Trong học này, bắt đầu với nhìn tổng quan sau xem xét kỹ thành phần Trước bảo vệ gói IP nào, cần hai IPsec ngang hàng để xây dựng đường hầm Ipsec Để thiết lập đường hầm IPsec, sử dụng giao thức gọi IKE (Internet Key Exchange) Có hai giai đoạn để xây dựng đường hầm IPsec: IKE giai đoạn IKE giai đoạn hai mạng ngang hàng thương lượng mã hóa, xác thực, băm giao thức khác mà chúng muốn sử dụng số tham số khác yêu cầu Trong giai đoạn này, phiên ISAKMP (Internet Security Association and Key Management Protocol) thiết lập Đây gọi đường hầm ISAKMP đường hầm giai đoạn IKE Tập hợp tham số mà hai thiết bị sử dụng gọi SA (Security Association) Dưới ví dụ hai định tuyến thiết lập đường hầm IKE giai đoạn 1: Đường hầm giai đoạn IKE sử dụng cho hệ thống quản lý dung lượng Chúng sử dụng đường hầm phương pháp an toàn để thiết lập đường hầm thứ hai gọi đường hầm IKE giai đoạn đường hầm IPsec để quản lý lưu lượng truy cập keepalives Đây hình ảnh hai định tuyến IKE giai đoạn 2: Bài thi cuối kỳ môn ANM IKE xây dựng đường hầm khơng xác thực mã hóa liệu người dùng IPsec sử dụng hai giao thức khác cho việc này:  AH (Authentication Header)  ESP (Encapsulating Security Payload) Sự khác biệt hai chế độ với chế độ truyền tải, sử dụng tiêu đề IP gốc chế độ đường hầm, sử dụng tiêu đề IP Dưới ví dụ để hình dung điều này: Chế độ truyền tải thường nằm hai thiết bị để bảo vệ số lưu lượng khơng an tồn (ví dụ: lưu lượng telnet) Chế độ đường hầm thường sử dụng cho VPN site-to-site nơi cần đóng gói gói IP gốc chủ yếu địa IP riêng định tuyến Internet Tồn quy trình IPsec bao gồm năm bước:  Khởi tạo : tác động phải kích hoạt việc tạo đường hầm Ví dụ: định cấu hình IPsec định tuyến, sử dụng danh sách truy cập định tuyến biết liệu cần bảo vệ Khi định tuyến nhận thứ phù hợp với danh sách truy cập, bắt đầu q trình IKE Cũng bắt đầu đường hầm theo cách thủ công  IKE giai đoạn : đường hầm IKE giai đoạn 1, đường hầm IKE giai đoạn (đường hầm IPsec) xây dựng Bài thi cuối kỳ môn ANM Truyền liệu : IPsec bảo vệ liệu người dùng cách gửi liệu qua đường hầm giai đoạn IKE  Chấm dứt : khơng có liệu người dùng để bảo vệ đường hầm IPsec bị chấm dứt sau thời gian Bây có nhìn sơ lược Ipsec, xem xét kỹ thành phần khác IKE (TRAO ĐỔI KHÓA INTERNET) IKE (Internet Key Exchange) giao thức cho IPsec thiết lập mối liên kết bảo mật hai đồng nghiệp Có hai phiên IKE:  IKEv1 IKEv2 IKEv1 giới thiệu vào khoảng năm 1998 thay IKEv2 vào năm 2005 Có số khác biệt hai phiên bản: IKEv2 yêu cầu băng thông IKEv1 IKEv2 hỗ trợ xác thực EAP (bên cạnh khóa chia sẻ trước chứng kỹ thuật số) IKEv2 có hỗ trợ tích hợp cho truyền qua NAT (bắt buộc ứng dụng ngang hàng IPsec bạn đứng sau định tuyến NAT) IKEv2 có chế lưu giữ tích hợp cho đường hầm Như giải thích phần trước IKE có giai đoạn: IKE Giai đoạn IKE Giai đoạn Mọi thứ giải thích áp dụng cho IKEv1 1.1 IKE giai đoạn Mục đích IKE giai đoạn thiết lập đường hầm an tồn để sử dụng cho giai đoạn IKE Giai đoạn gồm ba bước đơn giản: Mạng ngang hàng có lưu lượng cần bảo vệ bắt đầu trao đổi giai đoạn IKE mạng ngang hàng trao đổi hạng mục sau: Hashing : sử dụng thuật tốn băm để xác minh tính tồn vẹn, sử dụng MD5 SHA cho việc Xác thực : mạng ngang hàng phải chứng minh Hai tùy chọn thường sử dụng khóa chia sẻ trước chứng kỹ thuật số Bài thi cuối kỳ mơn ANM Nhóm DH (Diffie Hellman) : nhóm DH xác định độ mạnh khóa sử dụng q trình trao đổi khóa Các số nhóm cao an tồn nhiều thời gian để tính tốn Thời gian tồn tại: Đường hầm giai đoạn IKE tồn bao lâu? Tuổi thọ ngắn an tồn việc xây dựng lại có nghĩa sử dụng vật liệu làm khóa Mỗi nhà cung cấp sử dụng khoảng thời gian tồn khác nhau, giá trị mặc định chung 86400 giây (1 ngày) Mã hóa : sử dụng thuật tốn để mã hóa.Ví dụ: DES, 3DES AES Bước 2: Trao đổi khóa DH Một thương lượng thành công, hai bên biết nên sử dụng sách Bây chúng sử dụng nhóm DH mà chúng thương lượng để trao đổi tài liệu làm khóa Kết cuối hai mạng có khóa dùng chung Bước 3: Xác thực Bước cuối hai mạng xác thực lẫn phương pháp xác thực mà chúng đồng ý thương lượng Khi xác thực thành cơng, IKE giai đoạn hồn thành Kết cuối đường hầm IKE giai đoạn (hay gọi đường hầm ISAKMP), đường hầm hai chiều Điều có nghĩa hai mạng gửi nhận đường hầm Ba bước hồn thành hai chế độ khác nhau: Chế độ Chế độ tích cực Chế độ sử dụng sáu thơng báo chế độ tích cực sử dụng ba thơng báo Chế độ coi an toàn Chúng ta xem xét kỹ hai chế độ 1.1.1 Chế độ Chế độ IKEv1 sử dụng thơng báo Tơi cho bạn thấy điều Wireshark giải thích trường khác 1.1.1.1 Bản tin Bài thi cuối kỳ môn ANM Người khởi tạo (ngang hàng muốn xây dựng đường hầm) gửi thông điệp Đây đề xuất cho hệ thống bảo mật Ở trên, bạn thấy trình khởi tạo sử dụng địa IP 192.168.12.1 gửi đề xuất tới trình phản hồi (ngang hàng mà muốn kết nối) 192.168.12.2 IKE sử dụng cổng UDP 500 cho việc Trong kết đầu trên, bạn thấy SPI khởi tạo (Chỉ số tham số bảo mật), giá trị xác định liên kết bảo mật Chúng ta thấy phiên IKE (1.0) sử dụng chế độ Miền diễn giải IPsec đề xuất Trong tải trọng chuyển đổi, bạn tìm thấy thuộc tính mà chúng tơi muốn sử dụng cho liên kết bảo mật 1.1.1.2 Bản tin Bài thi cuối kỳ môn ANM Khi người trả lời nhận tin nhắn từ mồi, trả lời Thông báo sử dụng để thơng báo cho người khởi tạo chế độ đồng ý với thuộc tính tải trọng chuyển đổi Bạn thấy người trả lời đặt giá trị SPI 1.1.1.3 Bản tin 10 Bài thi cuối kỳ mơn ANM Vì mạng ngang hàng đồng ý tổ chức bảo bảo mật sử dụng, mồi bắt đầu trao đổi khóa Diffie Hellman Trong đầu trên, bạn thấy tải trọng cho việc trao đổi khóa nonce 1.1.1.4 Bản tin Máy đáp gửi mã số Diffie Hellman đến mồi, sau hai mạng ngang hàng tính tốn khóa chia sẻ Diffie Hellman 1.1.1.5 Bản tin Hai tin nhắn cuối mã hóa nên khơng thể nhìn thấy nội dung Hai thứ sử dụng để nhận dạng xác thực đồng đẳng Bộ mồi bắt đầu 1.1.1.6 Bản tin 11 Bài thi cuối kỳ môn ANM Và có tin nhắn thứ từ máy đáp với thông tin nhận dạng xác thực Chế độ IKEv1 hồn thành tiếp tục với giai đoạn IKE Trước tiếp tục với giai đoạn 2, để cho bạn thấy chế độ linh hoạt trước 1.1.2 Chế độ linh hoạt Chế độ linh hoạt IKEv1 yêu cầu ba thơng báo để thiết lập liên kết bảo mật Nó nhanh chế độ thêm tất thông tin cần thiết cho DH trao đổi hai thơng báo Chế độ coi an tồn nhận dạng mã hóa, chế độ linh hoạt thực điều văn rõ ràng Chúng ta xem xét thông điệp khác 1.1.2.1 Bản tin 12 Bài thi cuối kỳ môn ANM Thông báo từ mồi (192.168.12.1) đến máy đáp (192.168.12.2) Bạn thấy tải trọng chuyển đổi với thuộc tính liên kết bảo mật, dấu ngoặc nhọn DH nhận dạng (trong văn rõ ràng) thông báo đơn 1.1.2.2 Bản tin 13 Bài thi cuối kỳ môn ANM Máy đáp có thứ cần thiết để tạo khóa chia sẻ DH gửi số nonces tới trình khởi tạo để tính tốn khóa chia sẻ DH Nó tính tốn hàm băm sử dụng để xác thực 1.1.2.3 Bản tin 14 Bài thi cuối kỳ môn ANM Cả hai mạng có thứ chúng cần, thơng điệp cuối từ mồi tạo hàm băm sử dụng để xác thực Đường hầm IKE giai đoạn vào hoạt động IPSec sẵn sàng tiếp tục với giai đoạn IKE 1.2 IKE giai đoạn Đường hầm giai đoạn IKE (đường hầm IPsec) thực sử dụng để bảo vệ liệu người dùng Chỉ có chế độ để xây dựng đường hầm giai đoạn IKE gọi chế độ nhanh Cũng giống giai đoạn IKE, mạng thương lượng số hạng mục: - Giao thức IPsec : sử dụng AH hay ESP? - Chế độ đóng gói : chế độ vận chuyển hay đường hầm? - Mã hóa : sử dụng thuật tốn mã hóa nào? DES, 3DES hay AES? - Xác thực : sử dụng thuật toán xác thực nào? MD5 SHA? - Thời gian tồn : Đường hầm IKE giai đoạn có giá trị bao lâu? Khi hết hạn hầm, IKE làm vật liệu làm khóa - (Tùy chọn) Trao đổi DH : sử dụng cho PFS (Perfect Forward Secrecy) Các thỏa thuận diễn phạm vi bảo vệ đường hầm IKE giai đoạn nên khơng thể nhìn thấy điều Chỉ mục đích hồn chỉnh, nhìn thấy trong wirehark 1.2.1 Bản tin 15 Bài thi cuối kỳ môn ANM 1.2.2 Bản tin 1.2.3 Bản tin GIAO THỨC IPSEC AH ESP hai giao thức sử dụng để thực bảo vệ liệu người dùng Cả hai sử dụng chế độ giao thơng đường hầm 2.1 Giao thức tiêu đề xác thực AH cung cấp xác thực tính tồn vẹn khơng cung cấp mã hóa Nó bảo vệ gói IP cách tính tốn giá trị băm hầu 16 Bài thi cuối kỳ môn ANM hết trường tiêu đề IP Các trường mà loại trừ trường thay đổi chuyển tiếp (TTL tổng kiểm tra tiêu đề) 2.1.1 Phương tiện giao thông Chế độ truyền tải đơn giản, thêm tiêu đề AH sau tiêu đề IP Dưới ví dụ gói IP mang số lưu lượng TCP: Bảng tin Wireshark bắt Ở trên, ta thấy tiêu đề AH tiêu đề IP tiêu đề ICMP Hình chụp ping hai định tuyến Ta thấy AH sử dụng trường:  Next Header: điều xác định giao thức tiếp theo, ICMP ví dụ  Length: chiều dài tiêu đề AH 17 Bài thi cuối kỳ môn ANM  SPI (Security Parameters Index): mã định danh 32 bit để bên nhận biết gói tin thuộc luồng  Sequence: số thứ tự giúp chống lại công phát lại  ICV (Integrity Check Value): giá trị băm tính tốn cho tồn gói tin Người nhận tính tốn hàm băm, khơng giống nhau, ta biết có điều khơng ổn 2.1.2 Chế độ đường hầm Với chế độ đường hầm, ta thêm tiêu đề IP đầu gói IP ban đầu Điều hữu ích bạn sử dụng địa IP riêng bạn cần chuyển lưu lượng truy cập qua Internet Có thể với AH khơng cung cấp mã hóa: Tồn gói IP xác thực Đây bạn tin Wirehark bắt Ở trên, ta thấy tiêu đề IP mới, sau tiêu đề AH cuối gói IP gốc mang số lưu lượng ICMP 18 Nhóm 17 Bài thi cuối kỳ môn ANM  Chú ý: Một vấn đề với AH khơng hoạt động tốt với NAT / PAT Các trường tiêu đề IP TTL tổng kiểm tra AH loại trừ biết điều thay đổi Tuy nhiên, địa IP số cổng bao gồm Nếu ta thay đổi điều NAT, ICV AH không thành công 2.2 Giao thức ESP (Đóng gói khối lượng bảo mật) ESP lựa chọn phổ biến số hai cho phép bạn mã hóa lưu lượng IP Chúng ta sử dụng chế độ vận tải đường hầm, xem xét hai 2.2.1 Phương tiện giao thông Khi ta sử dụng chế độ truyền tải, ta sử dụng tiêu đề IP gốc chèn tiêu đề ESP Ở trên, ta thấy tiêu đề ESP đoạn giới thiệu Lớp truyền tải (TCP chẳng hạn) trọng tải mã hóa Nó cung cấp xác thực khơng giống AH, khơng dành cho tồn gói IP Đây tin Wirehark bắt được: Ở trên, ta thấy gói IP gốc sử dụng ESP Tiêu đề IP dạng văn rõ ràng thứ khác mã hóa 19 Nhóm 17 Bài thi cuối kỳ mơn ANM 2.2.2 Chế độ đường hầm Làm ESP chế độ đường hầm? Đây nơi sử dụng tiêu đề IP hữu ích cho VPN site-to-site: Tương tự phương thức truyền tải ta thêm tiêu đề Tiêu đề IP ban đầu mã hóa Đây tin Wirehark bắt Đầu tương tự thấy chế độ vận chuyển Sự khác biệt là tiêu đề IP mới, ta khơng thể nhìn thấy tiêu đề IP ban đầu 2.3 AH ESP AH ESP sử dụng lúc Điều khiến nhiều người nhầm lẫn 2.3.1 Phương tiện giao thông 20 Nhóm 17 Bài thi cuối kỳ mơn ANM Với chế độ truyền tải, sử dụng tiêu đề IP ban đầu, tiêu đề AH ESP Lớp truyền tải, trọng tải đoạn giới thiệu ESP mã hóa Đây tin Wirehark bắt Ở trên, ta thấy gói IP gốc, tiêu đề AH tiêu đề ESP 2.3.2 Chế độ đường hầm Còn chế độ đường hầm? Chúng ta thêm tiêu đề IP mới: Đầu tiên, có tiêu đề IP mới, tiêu đề AH ESP Gói IP gốc mã hóa hồn tồn thứ xác thực nhờ AH Đây tin Wirehark bắt 21 Nhóm 17 Bài thi cuối kỳ mơn ANM Ở trên, ta thấy tiêu đề IP mới, theo sau tiêu đề AH ESP PHẦN KẾT LUẬN IPsec phức tạp… ta thấy cách IKE sử dụng để xây dựng đường hầm IPsec cách sử dụng AH ESP để bảo vệ lưu lượng truy cập IPSec tính ưu việt bật IPv6 Nó giúp phần làm tăng cường tính an tồn an ninh thông tin trao đổi, giao dịch mạng Internet IPsec lựa chọn giao thức bảo mật sử dụng mạng riêng ảo thích hợp việc đảm bảo kết nối bảo mật từ đầu cuối tới đầu cuối  Tài liệu tham khảo Giáo trình an ninh mạng thơng tin Học viện Cơng nghệ Bưu Viễn thơng https://www.quangninh.gov.vn/so/sothongtinTT/Trang/Ch iTietTinTuc.aspx?nid=5914 http://imgs.khuyenmai.zing.vn/files/tailieu/luan-van-baocao/cong-nghe-thongtin/ipsec_trong_ip_v6_dangtuanlinh 0127.pdf https://kcntt.duytan.edu.vn/Home/ArticleDetail/vn/128/52 67/bao-mat-ipv6-ipsec-va-an-toan-mang 22 Nhóm 17 ... Bản tin .16 GIAO THỨC IPSEC 16 2.1 Giao thức tiêu đề xác thực 16 2.1.1 Phương tiện giao thông 17 2.1.2 2.2 Giao thức ESP (Đóng gói khối lượng... buộc giao thức Internet Vào thời điểm này, vấn đề bảo mật thông tin chưa thật quan tâm, đó, giao thức TCP/IP không trang bị giao thức nào.Việc bổ sung chế bảo mật vào mơ hình TCP/IP, giao thức. .. đích: đưa số tìm hiểu giao thức IPsec Đối tương: giao thức IPSec Phạm vi tiểu luận: nghiên cứu cấu trúc, cách thức hoạt động IPSec Phương pháp nghiên cứu: Qua đọc sách, tra cứu tài liệu mạng đồng