Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC có thể sử dụng một hoặc cả hai giao thức bảo mật sau: - AH Authentication Header: header của gói tin được mã hóa và bảo vệ phòng chốn
Trang 1IPSEC (IP SECURITY PROTOCOL)
Như chúng ta biết, để các máy tính trên hệ thống mạng LAN/WAN hay Internet truyền thông vớinhau, chúng phải sử dụng cùng một giao thức (giống như ngôn ngữ giao tiếp trong thế giới con người) và giao thức phổ biến hiện nay là TCP/IP
Khi truyền các gói tin, chúng ta cần phải áp dụng các cơ chế mã hóa và chứng thực để bảo mật Có nhiều giải pháp để thực hiện việc này, trong đó cơ chế mã hóa IPSEC hoạt động trên giao thức TCP/IP tỏ ra hiệu quả
và tiết kiệm chi phí trong quá trình triển khai
Trong quá trình chứng thực hay mã hóa dữ liệu, IPSEC
có thể sử dụng một hoặc cả hai giao thức bảo mật sau:
- AH (Authentication Header): header của gói tin được
mã hóa và bảo vệ phòng chống các trường hợp "ip spoofing" hay "man in the midle attack", tuy nhiên trong trường hợp này phần nội dung thông tin chính không được bảo vệ
- ESP (Encapsulating Security Payload): Nội dung thông tin được mã hóa, ngăn chặn các trường hợp hacker đặt chương trình nghe lén và chặn bắt dữ liệu trong quá trình truyền Phương thức này rất hay được áp dụng, nhưng nếu muốn bảo vệ luôn cả phần header của gói tin thì phải kết hợp cả 2 giao thức AH và ESP
Mục đích của IPSEC:
Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin qua Mạng Admin có thể xác lập một hoặc nhiều chuỗi các Rules, gọilà IPSEC Policy, những rules này chứa các Filters, có trách nhiệm xác định những loại thông tin lưu chuyển nào yêu cầu được mã hóa (Encryption), xác nhận (digital signing), hoặc cả hai Sau đó, mỗi Packet, được Computer gửi đi, sẽ được xem xét
có hay không gặp các điều kiện của chính sách Nếu gặp những điều kiện này, thì các Packet có thể được mã hóa, được xác nhận số, theo những quy định từ Policy Quy trình này hòa toàn vô hình với User và Application kích hoạt truyền thông tin trên Mạng
Do IPSEC được chứa bên trong mỗi gói IP chuẩn, cho nên có thể dùng IPSEC qua Network, mà không yêu cầu những cấu hình đặc biệt trên thiết bị hoặc giữa 2 Computer
Tuy nhiên, IPSEC không tiến hành mã hóa một vài loại giao tiếp Mạng như: Broadcast,
MultiCast, các packet dùng giao thức xác thực Kerberos
Những thuận lợi khi sử dụng IPSEC:
Thuận lợi chính khi dùng IPSEC, là cung cấp được giải pháp mã hóa cho tất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model), và kể cả các giao thức lớp cao hơn
IPSEC có khả năng cung cấp:
Trang 2- Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp IPSEC quy định cho cả 2 bên tham gia giao tiếp phải xác định chính mình trong suốt quy trình giao tiếp.
- Tạo sự tin cậy qua việc mã hóa, và xác nhận số các Packet IPSEC có 2 chẽ độ Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóa dùng nhiều thuật toán khác nhau, và
Authentication Header (AH) xác nhận các thông tin chuyển giao, nhưng không mã hóa
- Tich hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào bị chỉnh sửa Cả hai loạiESP và AH đều kiểm tra tính tích hợp của các thông tin chuyển giao Nếu một gói tin đã chỉnh sửa, thì các xác nhận số sẽ không trùng khớp, kết quả gói tin sẽ bị loại ESP cũng mã hóa địa chỉ nguồn và địa chỉ đích như một phần của việc mã hóa thông tin chuyển giao
- Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ bị attacker chặn, chỉnhsữa, và được gửi đi sau đó đến đúng địa chỉ người nhận, người nhận không hề hay biết và vẫn tinrằng đấy là thông tin hợp pháp IPSEC dùng kĩ thuật đánh số liên tiếp cho các Packet Data của mình (Sequence numbers), nhằm làm cho attacker không thể sử dụng lại các dữ liệu đã chặn được, với ý đồ bất hợp pháp Dùng Sequence numbers còn giúp bảo vệ chống việc chặn và đánh cắp dữ liệu, sau đó dùng những thông tin lấy được để truy cập hợp pháp vào một ngày nào đó
Ví dụ sử dụng IPSEC:
Việc mất mát các thông tin khi cuyển giao qua mạng, có thể gây thiệt hại cho hoạt động của tổ chức, điều này cảnh báo các tổ chức cần trang bị và xây dựng những hệ thống mạng bảo mật chặtchẽ những thông tin quan trọng như dữ iệu về Product, báo có tài chính, kế hoạch Marketing Trong trường hợp này các tổ chức có thể sử dụng IPSEC đảm bảo tính chất riêng tư và an toàn của truyền thông Mạng (Intranet, Extranet) bao gốm giao tiếp giữa Workstation với Server, Server với server
Ví dụ: Có thể tạo các IPSEC policies cho các Computer kết nối với Server (nắm giữ những dữ liệu quan trọng của tổ chức: tình hình tài chính, danh sách nhân sự, chiến lược phát triển) IPSECpolicy sẽ bảo vệ dữ liệu của tổ chức chống lại các cuộc tấn công từ bên ngoài, và đảm bảo tính tích hợp thông tin, cũng như an toàn cho Client
IPSEC làm việc thế nào ?
Có thể cấu hình IPSEC thông qua Local policy, hoặc triển khai trên diện rộng thì dùng Active Directory Group Policy (GPO.)
1 Giả sử chúng ta có 2 Computer : Computer A và Computer B, IPSEC policy đã được cấu hình trên 2 computer này Sau khi được cấu hình IPSEC policy sẽ báo cho IPSEC driver cách làm thế nào để vận hành và xác định các liên kết bảo mật giữa 2 computer khi nối kết được thiết lập.Các liên kết bảo mật ảnh hưởng đến những giao thức mã hóa sẽ được sử dụng cho những loại thông tin giao tiếp nào và những phương thức xác thực nào sẽ được đem ra thương lượng
2 Liên kết bảo mật mang tính chất thương lượng Internet Key Exchange – IKE, sẽ có trách nhiệm thương lượng để tạo liên kết bảo mật IKE kết hợp từ 2 giao thức: Internet Security Association and Key Management Protocol (ISAKMP) và Oakley Key Determination Protocol Nếu Computer A yêu cầu xác thực thông qua Certificate và Computer B yêu cầu dùng giao thức
Trang 3Kerberos, thì IKE sẽ không thể thiết lập liên kết bảo mật giữa 2 Computer Nếu dùng Network Monitor để theo dõi IPSEC hoạt động, sẽ không thấy được bất cứ AH hoặc ESP packet nào, vì giao tiếp IPSEC chưa được thiết lập, có lẽ chúng ta chỉ quan sát được các ISAKMP packets.
3 Nếu như liên kết ảo mật được thiết lập giửa 2 computer IPSEC driver sẽ quan sát tất cả IP traffic, so sánh các traffic đã được định nghĩa trong các Filter, nếu có hướng đi tiếp các traffic này sẽ được mã hóa hoặc xác nhận số
CHÍNH SÁCH BẢO MẬT IPSEC:
IPSEC security policy bao gồm một hoặc nhiều Rule xác định cách thức hoạt động IPSEC Các Administrator có thể có thể cài đặt IPSEC thông qua một policy Mỗi Policy có thể chứa một hoặc nhiều Rule, nhưng chỉ có thể xác định một Policy hoạt động tại Computer tại một thời điểmbất kì Các Administrator phải kết hợp tất cả những Rule mong muốn vào một single policy MỗiRule bao gồm:
- Filter: Filter báo cho Policy những thông tin lưu chuyển nào sẽ áp dụng với Filter action
Ví dụ: Administrator có thể tạo một filter chỉ xác định các lưu thông dạng HTTP hoặc FTP
- Filter Action: Báo cho Policy phải đưa ra hành động gì nếu thông tin lưu chuyển trùng với định dang đã xác định tại Filter Ví dụ: thông báo cho IPSEC chặn tất cả những giao tiếp FTP, nhưng với những giao tiếp HTTP thì dữ liệu sẽ được mã hóa Filter action cũng có thể xác định những thuật toán mã hóa và hashing (băm) mà Policy nên sử dụng
- Authentication method: IPSEC cung cấp 3 phương thức xác thực:
Certificates (thông thường các Computer triển khai dùng IPSEC nhận
Certificates từ một Certificate Authority – CA server), Kerberos (Giao thức chứng thực phổ biến trong Active directory Domain), Preshared Key (khóa ngầm hiểu, một phương thức xác thực đơngiản) Mỗi một Rule của IPSEC policy có thể bao gồm nhiều phưong thức xác thực vừa nêu
Rule này cho phép Computer phản hồi đến các yêu cầu IPSEC ESP từ các Computer được tin cậy trong Active directory domain ESP là một chế độ IPSEC cung cấp độ tin cậy cho việc xác thực, tích hợp, và chống Replay attack
- Server (Request Security): Computer hoạt động với chính sách này luôn chủ động dùng IPSEC trong giao tiếp, tuy nhiên nếu đối tác không dùng IPSEC, vẫn có thể cho phép giao tiếp không bảo mật Chính sách này được dùng cho cả Server hoặc Workstation Chính sách có 3 Rules:Default respond rule (như đã trình bày ở trên), Permit ICMP (internet ControlMessage Protocol) rule cho phép các giao tiếp dùng giao thức ICMP, ví dụ như Ping (mặc dù ICMP là một giao thức kiểm tra và thông
Trang 4báo tình trạng kết nối Mạng, phục vụ cho xử lý các sự cố, nhưng cũng có thể disable để tăng tínhbảo mật cho Mạng, vì có một số cách thức tấn công phổ biến nhắm vào những điểm yếu của ICMP.), Yêu cầu ESP cho tất cả IP traffic.
- Secure Server (require security): Bắt buộc dùng IPSEC cho giao tiếp
Mạng Có thể dùng chính sách này cho cả Server, Workstation Nếu chính sách được xác lập, không cho phép giao tiếp không bảo mật chính sách có 3 Rules: 2 chính sách đầu tươn tự như trên là Default Respond rule và Permit ICMP, và chính sách thứ 3 quy định: Tất cả các giao tiếp (trừ ICMP) phải được mã hóa với ESP, ngược lại Server sẽ không giao tiếp
1 Giao thức Ipsec
Ipsec có 3 tầng giao thức chính
- Internet Key Exchange ( IKE ) : Giúp cho các thiết bị tham gia VPN trao đổi với nhau
về thông tin an ninh như mã hóa thế nào ? Mã hóa bằng thuật toán gì ? Bao lâu mã hóa 1 lần IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham giaVPN Do đó IKE giúp cho Ipsec có thể áp dụng cho các hệ thống mạng mô hình lớn Trong quá trình trao đổi key IKE dùng thuật toán mã hóa đối xứng (symmetrical
encrytion) để bảo vệ việc trao đổi key giữa các thiết bị tham gia VPN
- Encapsulation Security Payload (ESP) : Có tác dụng xác thực ( authentication ) , mã hóa( encrytion ) và đảm bảo tính trọn vẹn dữ liệu ( securing of data ) Đây là giao thức được dùng phổ biến trong việc thiết lập IPSec
- Authentication Header ( AH ) : Có tác dụng xác thực , AH thì thường ít được sử dụng vì
nó đã có trong giao thức ESP
IPSec có những phương pháp xác thực như HMAC , MD5 , SHA-1
3 Trước khi trao đổi key để thiết lập 1 kênh truyền ảo (VPN-Ipsec) IPSEC sẽ làm nhiệm
vụ là xác thực xem mình đang trao đổi với ai ?
Các phương pháp Peer Authentication :
- Username password
- OTP (One time password)
- Biometric (Xác thực bằng sinh học)
- Preshared keys
Trang 5- Digital certificate (chữ ký số) phương pháp này thường được dùng trong chính phủ điện
tử
4 Cơ chế hoật động của Internet Key Exchange ( IKE )
Như đã nói ở trên giao thức IKE sẽ có chức năng trao đổi key giữa các thiết bị tham gia VPN và trao đổi chính sách an ninh giữa các thiết bị Và nếu không có giao thức này thì người quản trị phải cấu hình thủ công
Và những chính sách an ninh trên những thiết bị này được gọi là SA (Security Associate)
Do đó các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà nó có Vàgiữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp với đối tác nhất
Những key được trao đổi trong quá trình IKE cũng được mã hóa và những key này sẽ thay đổi theo thơi gian (generate key) để tránh tình trạng bruteforce của Attacker
Và dứoi đây là các giao thức xác thực cũng như mã hóa key trong quá trình IKE
Oakley (Tham khao thêm trên RFC 2412) , ISAKMP (RFC 2408) , Skeme
Giao thức IKE sử dụng UDP port 500
5 Các giai đoạn hoạt động của IKE (IKE Phases)
- IKE Phases 1 (Bắt buộc xảy ra trong quá trình IKE)
Bước 1 : Xác thực giữa các thiết bị tham gia VPN (Authentication the peers)
Bước 2 : Trao đổi các SA
Và Phases 1 này có 2 chế độ hoạt động là Main mode (Cần 6 mess để hoàn thành các bước 1&2) và Aggressive mode (Cần 3 mess đển hoàn thành các bước 1&2)
- IKE Phases 1.5 (Không bắt buộc)
Giao đoạn này có tác dụng cấp phát địa chỉ IP LAN , DNS thông qua DHCP và xác thực User (Authentication User ) Giao thức được gọi trong quá trình này là Xauth (Extended Authentication)
- IKE Phases 2 (Bắt buộc phải xảy ra )
Sau khi trải qua Phase 1& 1.5 lúc này giữa các thiết bị đã có đầy đủ các thông tin về nhaunhư chính sách mã hóa , xác thực ( SA ) và key
Và nhờ IKE thì giữa các thiết bị đã xây dựng được 1 kênh truyền ảo an ninh
Đến đây giữa các thiết bị lại tiếp tục trao đổi cho nhau 1 SA khác ( mọi người chú ý khúc này )
Cái SA được trao đổi lúc này là chính sách của giao thức Ipsec (chính sách an ninh đóng gói dự liệu ) nó khác với SA của giao thức IKE ( làm thế nào để xây dựng 1 kênh an toàn )
Cái SA của Ipsec này nó sẽ trao đổi với nhau việc mã hóa đóng gói dự liệu theo ESP hay
AH , nó hoạt động theo dạng tunel mode hay transports mode , thời gian mã hóa là bao lâu ?
Đây là mã hóa dự liệu chứ không còn là mã hóa trao đổi khóa (key) như diễn ra trong quátrình IKE
Trang 6Đến lúc này nếu muốn trao đổi với ai thì nó sẽ trao đổi SA IPSec với người đó và dữ liệu được gửi trên đường truyền được mã hóa dựa vào SA Ipsec này
6 Các chức năng khác của IKE giúp cho IKE hoạt động tối ưu hơn bao gồm :
- Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ đếm thời gian Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác Mục đích chính để phát hiện hỏng hóc của các thiết bị Thông thường các gói keepalives sẽ gửi mỗi 10s
- Hỗ trợ chức năng NAT-Traversal : Chức năng này có ý nghĩa là nếu trên đường truyền
từ A tới B nếu có những thiết bị NAT or PAT đứng giữa thì lúc này IPSec nếu hoạt động
ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường
Tại sao IPSec chỉ hoạt động ở tunel mode mà không hoạt động ở tranports mode thì tôi sẽgiải thích kỹ trong những đoạn sau
Lưu ý : Chức năng NAT-T bắt đầu được Cisco hỗ trợ tự phiên bản IOS Release
122.2(13)T
Tại sao phải hỗ trợ chức năng NAT-T thì các packet mới tiếp tục đi được ?
Các bạn chú ý phần trên tôi đã trình bày Khi thực hiện quá trình mã hóa bằng ESP thì lúc này các source IP , port và destination IP, port đều đã được mã hóa và nằm gọn tron ESP Header Như vậy khi tất cả các thông tin IP và Port bị mã hóa thì kênh truyền IPSec không thể diễn ra quá trình NAT
Do đó NAT Traversal ra đời trong quá trình hoạt động của IKE nhằm phát hiện và hỗ trợ NAT cho Ipsec
Các dự liệu sẽ không bị đóng gói trực tiếp bỏi giao thức IP mà nó sẽ đóng gói thông qua giao thức UDP Và lúc này các thông tin về IP và Port sẽ nằm trong gói UDP này
- Chức năng Mode Configuration :
Chức năng này có tác dụng pushing các chính sách bảo mật cũng như thông tin về IP , DNS , Gateway cho người dùng di động khi họ quay VPN vào hệ thống
Ngoài ra Cisco có cung cấp giải pháp cho việc này đó là Easy VPN Nhưng trong phạm
vi bài này tôi sẽ không đi sâu về vấn đề này
Xauth sẽ cho phép phương thức AAA (Authentication , Authorization , Accounting) hoạt động đối với việc xác thực user Các bạn cũng nên lưu ý phần này Xauth không đè lên IKE mà việc xác thực của giao thức Xauth này là xác thực người dùng chứ không phải quá trình xác thực diễn ra trong Phares 1
Như vậy trong phần I tôi đã giới thiệu cơ chế hoạt động của VPN Ipsec và đi sâu vào bộ giao thức đầu tiên là IKE Trong các phần kế tiếp mình sẽ trình bày kỹ hơn về cơ chế hoạt động của ESP và AH Sau đó là cấu hình Router trong 1 sơ đồ cụ thể
Trang 7Hy vọng bài viết này sẽ giúp các bạn hiểu hơn phần nào về giao thức IP Sec và cách thiết lập VPN Ipsec sẽ được trình bày ở các phần kế tiếp
Phần 2 Cơ chế hoạt động của 2 protocol ESP và AH
Bộ giao thức Ipsec thì ngoài IKE còn có ESP và AH là 2 giao thức chính trong việc mã hóa&xác thực dữ liệu
Tất cả gói tin được mã hóa bởi Ipsec đều là khóa đối xứng (symetric key)
2 Tổng quan ESP và AH Header
Đây là hình minh họa việc đóng gói dự liệu bằng 2 protocol Esp và AH
Trên cùng là gói dữ liệu nguyên thủy bao gồm Data và Ip Header
- Nếu sử dụng giao thức ESP :
Thì giao thức ESP sẽ làm công việc là mã hóa ( encryption ) , xác thực ( authentication ) ,bảo đảm tính trọn vẹn của dữ liệu ( Securing of data ) Sau khi đóng gói xong bằng ESP mọi thông tin về mã hóa và giải mã sẽ nằm trong ESP Header
Các thuật toán mã hóa bao gồm DES , 3DES , AES
Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1
ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó
- Nếu sử dụng giao thức AH
Thì giao thức AH chỉ làm công việc xác thực ( authentication ) và bảo đảm tính trọn vẹn
dự liệu Giao thức AH không có chức năng mã hóa dự liệu Do đó AH ít được dùng trong IPSec vì nó không đãm bảo tính an ninh
3 AH xác thực và đảm bảo tính trọn vẹn dự liệu
Trang 8Dưới đây là hình minh họa về cơ chế xác thực của giao thứ AH
Bước thứ 1 : Giao thức AH sẽ đem gói dữ liệu ( packet ) bao gồm payload + Ip header + Key
Cho chạy qua 1 giải thuật gọi là giải thuật Hash và cho ra 1 chuỗi số Các bạn nhớ đây làgiải thuật 1 chiều , nghĩa là từ gói dữ liệu + key = chuỗi số Nhưng từ chuỗi số không thểhash ra = dữ liệu + key
Và chuỗi số này sẽ đuợc gán vào AH header
Bước thứ 2 : AH Header này sẽ được chèn vào giữa Payload và Ip Header và chuyển sang phía bên kia
Đương nhiên các bạn cũng nhớ cho rằng việc truyền tải gói dự liệu này đang chạy trên 1 tunel mà trước đó quá trình IKE sau khi trao đổi khóa đã tạo ra
Bước thứ 3 : Router đích sau khi nhận được gói tin này bao gồm IP header + AH header + Payload sẽ được chạy qua giải thuật Hash 1 lần nữa để cho ra 1 chuỗi số
Bước thứ 4 : So sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó sẽ chấp nhận gói tin
Nếu trong quá trình truyền gói dữ liệu 1 attacker sniff nói tin và chỉnh sửa nó dẫn đến việc gói tin bị thay đổi về kích cỡ , nội dung thì khi đi qua quá trình hash sẽ cho ra 1 chuỗi số khác chuỗi số ban đầu mà router đích đang có Do đó gói tin sẽ bị drop
Thuật toán hash bao gồm MD5 và SHA-1
Và trong trừong hợp này IPSec đang chạy ở chế độ trasports mode
4 Giao thức ESP
Phía dưới đây là cơ chế mã hóa gói dữ liệu bằng giao thức ESP
Esp là giao thức hỗ trợ cả xác thực và mã hóa
Phía trên là gói dự liệu ban đầu và ESP sẽ dùng 1 cái key để mã hóa toàn bộ dữ liệu ban đầu Và trường hợp trên là Ipsec đang chạy ở chế độ Tunel mode nên ngoài ESP header
ra nó sẽ sinh ra 1 Ip Header mới không bị mã hóa để có thể truyền đi trong mạng
Ở phần này mình không muốn đi sâu vào phân tích các thuật toán mã hóa
Cấu hình cho mã hóa dữ liệu:
- Sau đây bạn sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các các chính sách bảo mật IPSec (transform set)
- Chính sách bảo mật IPSec (transform set) là sự kết hợp các cấu hình IPSec transform riêng rẽ được định nghĩa và thiết kế cho các chính sách bảo mật lưu thông trên mạng Trong suốt quá trình trao đổi ISAKMP IPSec SA nếu xảy ra lỗi trong quá trình IKE Phase 2 quick mode, thì hai bên sẽ sử dụng transform set riêng cho việc bảo vệ dữ liệu riêng của mình trên đường truyền Transform set là sự kết hợp của các nhân tố sau:
Trang 9• Cơ chế cho việc chứng thực: chính sách AH
• Cơ chế cho việc mã hóa: chính sách ESP
• Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo mật)
- Transform set bằng với việc kết hợp các AH transform, ESP transform và chế độ IPSec (hoặc
cơ chế đường hầm bảo mật hoặc chế độ phương tiện truyền thông) Transform set giới hạn từ một cho tới hai ESP transform và một AH transform Định nghĩa Transform set bằng câu lệnh cryto ipsec transform-set ở chế độ gobal mode Và để xoá các cài đặt transform set dùng lệnh dạng no
- Cú pháp của lệnh và các tham số truyền vào như sau:
crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]]
- Các tham số của lệnh crypto ipsec transform-set:
- Bạn có thể cấu hình nhiều transform set và chỉ rõ một hay nhiều transform set trong mục cryptomap Định nghĩa các transform set trong mục crypto map được sử dụng trong trao đổi IPSec SA
để bảo vệ dữ liệu được đinh nghĩa bởi ACL của mục crypto map Trong suốt quá trình trao đổi,
cả hai bên sẽ tìm kiếm các transform set giống nhau ở cả hai phiá Khi mà các transform set đượctìm thấy, nó sẽ được sử dụng để bảo vệ dữ liệu trên đường truyền như là một phần của các IPSec
Sa ở cả 2 phía
- Khi mà ISAKMP không được sử dụng để thiết lập các Sa, một transform set riêng rẽ sẽ được sửdụng Transform set đó sẽ không được trao đổi
- Thay đổi cấu hình Transform set:
B1: Xóa các tranform set từ crypto map
B2: Xóa các transform set trong chế độ cấu hình gobal mode
B3: Cấu hình lại transform set với những thay đổi
B4: Gán transform set với crypto map
B5: Xóa cơ sở dữ liệu SA (SA database)
B6: Theo dõi các trao đổi SA và chắc chắn nó họat động tốt
- Cấu hình cho việc trao đổi transform:
- Tranform set được trao đổi trong suốt chế độ quick mode trong IKE Phase 2 là những các transform set mà bạn cấu hình ưu tiên sử dụng Bạn có thể cấu hình nhiều transform set và có thểchỉ ra một hay nhiều transform set trong mục crypto map Cấu hình transform set từ những bảo mật thông thường nhỏ nhất giống như trong chính sách bảo mật của bạn Những transform set được định nghĩa trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi ACL của mục crypto map
- Trong suốt quá trình trao đổi mỗi bên sẽ tìm kiếm các transform set giống nhau ở cả hai bên như minh họa ở hình trên Các transform set của Router A được so sánh với một transform set của Router B và cứ tiếp tục như thế Router A transform set 10, 20, 30 được so sánh với
transform set 40 của Router B Nếu mà không trả vể kết quả đúng thì tất cả các transform set của Router A sau đó sẽ được so sánh với transform set tiếp theo của Router B Cuối cùng transform set 30 của Router A giống với transform set 60 của Router B Khi mà transform set được tìm
Trang 10thấy, nó sẽ được chọn và áp dụng cho việc bảo vệ đường truyền như là một phần của IPSec SA của cả hai phía IPSec ở mỗi bên sẽ chấp nhận một transform duy nhất được chọn cho mỗi SA.PGP viết tắt cho Pretty Good Privacy là 1 chương trình mã hóa tài liệu với chìa khóa công cộng (public key) Chương trình này rất nổi tiếng và được sử dụng rộng rãi trên thế giới.
PGP được dùng trong các lãnh vực sau :
- Mã hóa tài liệu: PGP dùng thuật toán mã hóa rất hữu hiệu IDEA Một tài liệu được mã hóa với PGP thì chỉ được cải mã bởi người có chìa khóa mật (secret key)
- Tạo 1 cặp khóa RSA (khóa công cộng và khóa mật): RSA cũng là 1 thuật toán mã hóa rất tác dụng Cặp khóa công cộng/mật được dùng để mã hóa/cải mã những tài liệu
- Quản lý khóa: PGP dùng để tạo khóa và quản lý 1 CSDL chứa đựng chìa khóa công cộng của những người khác
Mục đích khi sử dụng PGP
- Bí mật cá nhân : Bảo đảm rằng những tài liệu cá nhân được bảo mật
- Tính nguyên thủy của tài liệu : Bảo đảm rằng tài liệu sau khi được gởi đi không bị biến đổi bởi người thứ ba
- PGP là miển phí và hầu như được xử dụng trên mọi hệ điều hành, mọi nơi, mọi lúc và mọi người
Cách gắn PGP.DESKTOP.SECURiTY.v7.0
1 Cài đặt
Chạy Setup.exe Sau khi extract, nó chạy Installer Click Next, Yes, Next
Nếu bạn chưa gắn PGP lần nào thì bạn phải click vào No, I'm a New User
Sau đó bạn chọn nơi nào trong ổ cứng để gắn chương trình này
Chương trình sẽ tự xét xem bạn có gắn những chương trình nào mà ủng hộ PGP không và sẽ cho bạn tự chọn những Components Nếu không rành thì bạn cứ để như PGP đã chọn cho bạn và bấmNext PGP sẽ bắt đầu copy vào nơi bạn đã chọn
Sau đó Chương trình PGP sẽ hỏi bạn có muốn mã hóa những card mạng không ! Bạn click vào
ô !!! (tôi cũng không hiểu ô !!! là ô nào, nhưng theo đề nghị của tôi thì cứ chọn No cho chắc ăn)
Như vậy là sự cài đặt PGP.DESKTOP.SECURiTY.v7.0 cũng chưa xong hoàn toàn Buớc cuối làbạn phải cho khởi động lại máy Bạn phải làm "restart"! Sau khi khởi động lại thì bạn sẽ thấy 1 cái hình nhỏ ở cuối, bên phải Đến đây thì sự cài đặt PGP đã hoàn tất
2 Tạo chìa khoá
Trang 11Trước khi dùng PGP để mã hóa tài liệu thì bạn phải tạo 1 cặp chìa khóa công cộng/mật!
Bạn click chuột bên phải vào cái ổ khóa này, sau đó click vào "PGPkeys" như hình sau:
Sau đó bạn đánh Ctrl+N (hoặc click vào Keys/New Key) để tạo 1 cặp khóa
Sau đó nó sẽ hiện ra 1 bảng quảng cáo, bạn cứ click Next để tới trang khác Nơi này bạn phải điền tên và địa chỉ email để liên lạc của bạn
Sau đó bạn phải cho mật mã vào ! Nên nhớ mật mã càng khó nhớ thì sự bảo mật càng cao Bạn
có thể đánh giá qua "Passphrase Quality"! Khi bạn click “Next>” thì PGP sẽ tạo ra cặp chìa khóacông cộng/mật
Sau khi hoàn tất việc tạo cặp chìa khóa thì bạn có thể kiểm soát như trong hình trên
Việc kế tiếp là bạn phải kêu chương trình xuất (export) cái chìa khóa công cộng của bạn và bạn phải thông báo cho những người bạn giao tiếp, trao đổi tài liệu về chìa khóa này Điều này có nghĩa là bạn phải có chứa chìa khóa này vào nơi nào đó và những người muốn liên lạc với bạn phải đọc được cái chìa khóa công cộng này
Để xuất cái chìa công cộng thì bạn xử dụng chức năng “Export ” và chọn chỗ để chương trình tạo ra cái chìa công cộng
Sau đó bạn sẽ tìm thấy chìa khóa này trong file thí dụ như “Haiphong's Serialkiller.asc” Khi bạn dùng 1 editor để đọc cái file này thì bạn sẽ thấy đại khái như hình sau :
Giờ bạn chỉ copy toàn bộ nội dung cái file này và gắn vào một nơi công cộng nào đó (Chính vì thế người ta mới gọi chìa khóa này là chìa khóa công cộng !!!)
3.Cách gửi/nhận email mã hóa bằng PGP
Điều kiện để làm việc này là bạn phải có chìa khóa công cộng của người quen và bạn nhập (import) chìa này vào chương trình PGP của bạn
Sau đó bạn dùng chức năng “Encrypt” để mã hoá và gởi đi
Khi 1 người quen gởi cho bạn 1 email đã được mã hóa bằng PGP thì có nghĩa là người đó đã dùng chìa khóa công cộng của bạn để mã hóa tài liệu Bạn muốn đọc được thì bạn phải dùng chức năng “Decrypt & Verify” :
Tìm Hiểu Về các giap thức SMTP,MIME,POP và IMAP
Chuẩn Internet cho e-mail là Simple Mail Transport Protocol (SMTP) SMTP là nghi thức cấp ứng dụng (application-level) dùng để điều khiển các dịch vụ thông điệp thông qua các mạng TCP/IP SMTP được nói rõ trong RFC 321 và 822 SMTP sử dụng cổng TCP 25