Đang tải... (xem toàn văn)
Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Ơ đây chúng ta muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừnglại ở mức công cụ, và đôi khi ta còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những tổ chức sử dụng nó. Và những ai “chộn rộn” nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì nhỉ ? Nó không sản xuất ra được sản phẩm, và nó cũng chẳng giúp công việc giấy tờ giảm bớt là bao, liệu chúng ta đã tổn hao một số tiền vô ích?..”” . Không đâu xa những nước láng giềng khu vực như Thailand, Singapore, những nền kinh tế mạnh trong khu vực và đang trên đà phát triển mạnh mẽ. Nhận thức được sự ưu việt của ứng dụng CNTT, và từ rất sớm họ đã đem CNNT áp dụng vào mọi hoạt động, không chỉ sản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người. Và họ cũng học thành thục những kĩ năng để giải quyết và điều khiển công việc rất sáng tạo từ các “vũ khí” tân thời này. Đâu đó trong trích đoạn “Con đường Phía trước” của Bill Gates có nói đến giá trị to lớn của thông tin trong thế kỉ 21, một kỉ nguyên thông tin đích thực. Thực thể quý giá “phi vật chất” này, đang dần trở thành một đối tượng được săn lùng, được kiểm soát gắt gao, và cũng là bệ phóng cho tất cả những quốc gia muốn phát triển một cách mạnh mẽ, nhanh chóng và “bền vững”. Cần có những hệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin và đem những thông tin này vào ứng dụng một cách có hiệu quả. Thế giới bước trong thế kỉ 21 dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đường cho các hoạt
Bảo mật An Tồn Thơng Tin mạng với IPSec LỜI NÓI ĐẦU Trong thực tế bảo mật thơng tin đóng vai trị thiết yếu khơng cịn “thứ yếu” hoạt động liên quan đến việc ứng dụng công nghệ thông tin Ơ muốn nói đến vai trị to lớn việc ứng dụng CNTT diễn sôi động, không túy công cụ (Hardware, software), mà thực xem giải pháp cho nhiều vấn đề Khởi động từ năm đầu thập niên 90, với số chuyên gia CNTT, hiểu biết hạn chế đưa CNTT ứng dụng hoạt động sản xuất, giao dịch, quản lý khiêm tốn dừnglại mức cơng cụ, đơi ta cịn nhận thấy cơng cụ “đắt tiền” cịn gây số cản trở, không đem lại hiệu thiết thực cho tổ chức sử dụng Và “chộn rộn” lại tự hỏi “mua thiết bị để làm ?! Nó khơng sản xuất sản phẩm, chẳng giúp công việc giấy tờ giảm bớt bao, liệu tổn hao số tiền vô ích?! ”” Không đâu xa nước láng giềng khu vực Thailand, Singapore, kinh tế mạnh khu vực đà phát triển mạnh mẽ Nhận thức ưu việt ứng dụng CNTT, từ sớm họ đem CNNT áp dụng vào hoạt động, không sản xuất, giao dịch, quản lý mà CNTT mang đến nhà, người Và họ học thành thục kĩ để giải điều khiển công việc sáng tạo từ “vũ khí” tân thời Đâu trích đoạn “Con đường Phía trước” Bill Gates có nói đến giá trị to lớn thơng tin kỉ 21, kỉ nguyên thông tin đích thực Thực thể quý giá “phi vật chất” này, dần trở thành đối tượng săn lùng, kiểm sốt gắt gao, bệ phóng cho tất quốc gia muốn phát triển cách mạnh mẽ, nhanh chóng “bền vững” Cần có hệ thống mạnh mẽ để kiểm sốt thơng tin, sáng tạo thông tin đem thông tin vào ứng dụng cách có hiệu Thế giới bước kỉ 21 dùng bàn đạp CNTT để tạo lực bẩy để dẫn đường cho hoạt - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec động, cho người xích lại gần hơn, khiến cho cách biệt Địa Lý khơng cịn tồn tại, dễ dàng hiểu trao đổi với có giá trị nhất, đặc biệt Ứng dụng công nghệ thơng tin cách có hiệu “bền vững”, tiêu chí hàng đầu nhiều quốc gia nay, Việt Nam khơng ngoại lệ Xét bình diện doanh nghiệp ứng dụng CNTT vào sản xuất, kinh doanh ln mong muốn có điều Tính hiệu điều bắt buộc, “bền vững” tất yếu Dưới góc nhìn chuyên gia bảo mật hệ thống, triển khai hệ thống thông tin xây dựng chế bảo vệ chặt chẽ, an toàn, góp phần trì tính “bền vững” cho hệ thống thơng tin doanh nghiệp Và tất hiểu giá trị thông tin doanh nghiệp tài sản vô giá Không túy vật chất, giá trị khác đo đếm uy tín họ với khách hàng sao, thông tin giao dịch với khách hàng bị đánh cắp, sau bị lợi dụng với mục đích khác Hacker, attacker, virus, worm, phishing, khái niệm không xa lạ, thực mối lo ngại hàng đầu tất hệ thống thông tin (PCs, Enterprise Networks, Internet, etc ) Và vậy, tất hệ thống cần trang bị công cụ đủ mạnh, am hiểu cách xử lý để đối phó với lực đen đáng sợ Ai tạo tường lửa đủ mạnh để “thiêu cháy” ý đồ xâm nhập?! Xin thưa trước hết ý thức sử dụng máy tính an tồn tất nhân viên tổ chức, am hiểu tinh tường Security Admin tổ chức đó, cuối công cụ đắc lực phục vụ cho “cuộc chiến” - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec NHẬN XÉT CỦA GIÁO VIÊN …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… ……………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… …………………………………………………………………………………………… ……… - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec BẢO MẬT AN TỒN THƠNG TIN TRÊN MẠNG VỚI IPSec Như ta biết vấn đề bảo mật kết nối trình truyền tải liệu khác vấn đề quan trọng đặc biệt quan trọng liệu truyền qua mạng chia sẻ giống mạng internet Bài toán đặt làm để bảo mật an toàn cho liệu trình truyền qua mạng? Làm bảo vệ chống lại cơng q trình truyền tải liệu đó? Sau tìm hiểu bảo mật liệu qua mạng việc sử dụng IPSec IPSec gì? IP Sercurity hay gọi IPSec dựa tảng chuẩn cung cấp khoá cho phép bảo mật hai thiết bị mạng ngang hàng Hay nói cách khác tập hợp chuẩn, nguyên tắc định nghĩa để kiểm tra, xác thực mã hóa gói liệu IP để cung cấp cho kênh truyền dẫn mạng bảo mật Thuật ngữ Internet Protocol Security (IPSec) Nó có quan hệ tới số giao thức (AH, ESP, FIP-140-1, số chuẩn khác) phát triển Internet Engineering Task Force (IETF) Mục đích việc phát triển IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI, hình vẽ: - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec Mọi giao tiếp mạng sở IP dựa giao thức IP Do đó, chế bảo mật cao tích hợp với giao thức IP, toàn mạng bảo mật giao tiếp qua tầng (Đó lý IPSec phát triển giao thức tầng thay tầng 2) Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng tới tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPSec, giao thức hoạt động từ tầng với TCP, UDP, hầu hết giao thức sử dụng tầng IPsec có tính cao cấp SSL phương thức khác hoạt động tầng mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mô hình OSI đoạn mã ứng dụng bị thay đổi lớn Ngoài ra, với IPSec tất ứng dụng chạy tầng ứng dụng mô hình OSI độc lập tầng định tuyến liệu từ nguồn đến đích Bởi IPSec tích hợp chặt chẽ với IP, nên ứng dụng dùng - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec dịch vụ kế thừa tính bảo mật mà khơng cần phải có thay đổi lớn lao Cũng giống IP, IPSec suốt với người dùng cuối, người mà không cần quan tâm đến chế bảo mật mở rộng liên tục đằng sau chuỗi hoạt động Vai trò IPSec + Cho phép xác thực hai chiều, trước trình truyền tải liệu + Mã hóa đường truyền máy tính gửi qua mạng + Bảo vệ gói liệu IP phịng ngự công mạng không bảo mật + IPSec bảo vệ lưu lượng mạng việc sử dụng mã hóa đánh dấu liệu + Một sách IPSec cho phép định nghĩa loại lưu lượng mà IPSec kiểm tra cách lưu lượng bảo mật mã hóa Những Tính Năng IPSec (IPSec Security Protocol) - Tính xác nhận Tính nguyên vẹn liệu (Authentication and data integrity) IPSec cung cấp chế mạnh mẽ để xác nhận tính chất xác thực người gửi kiểm chứng sửa đổi không bảo vệ trước nội dung gói liệu người nhận Các giao thức IPSec đưa khả bảo vệ mạnh để chống lại dạng công giả mạo, đánh từ chối dịch vụ - Sự cẩn mật (Confidentiality) Các giao thức IPSec mã hóa liệu cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập liệu đường IPSec dùng chế tạo hầm để ẩn địa IP nút nguồn (người gửi) nút đích (người nhận) từ kẻ nghe - Quản lý khóa (Key management) IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bảo mật thuật - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec tốn mã hóa trước suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối kiểm tra khóa mã cập nhật khóa yêu cầu - Hai tính IPSec, authentication and data integrity, confidentiality, cung cấp hai giao thức giao thức IPSec Những giao thức bao gồm Authentication Header (AH) Encapsulating Security Payload (ESP) - Tính thứ ba, key management, nằm giao thức khác, IPSec chấp nhận dịch vụ quản lý khóa mạnh Giao thức IKE - SAs IPSec triển khai chế độ chế độ Transport chế độ Tunnel mơ tả hình 6-7 Cả AH ESP làm việc với hai chế độ Cấu trúc bảo mật IPsec triển khai (1) sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trình truyền, (2) phương thức xác thực (3) thiết lập thơng số mã hố Xây dựng IPSec sử dụng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kết hợp thuật tốn thơng số (ví khoá – keys) tảng việc mã hoá xác thực chiều Tuy nhiên giao tiếp hai chiều, giao thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật tốn mã hoá xác thực lại phụ thuộc vào người quản trị IPsec IPsec bao gồm nhóm giao thức bảo mật đáp ứng mã hoá xác thực cho gói tin IP Trong bước thực phải định cần bảo vệ cung cấp cho gói tin outgoing (đi ngồi), IPsec sử dụng thông số Security Parameter - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec Index (SPI), trình Index (đánh thứ tự lưu liệu – Index ví danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài địa đích header gói tin, với nhận dạng thoả hiệp bảo mật (tạm dịch từ - security association) cho gói tin Một trình tương tự làm với gói tin vào (incoming packet), nơi IPsec thực trình giải mã kiểm tra khoá từ SADB Cho gói multicast, thoả hiệp bảo mật cung cấp cho group, thực cho toàn receiver group Có thể có thoả hiệp bảo mật cho group, cách sử dụng SPI khác nhau, nhiên cho phép thực nhiều mức độ bảo mật cho group Mỗi người gửi có nhiều thoả hiệp bảo mật, cho phép xác thực, người nhận biết keys gửi liệu Chú ý chuẩn không miêu tả làm để thoả hiệp lựa chọn việc nhân từ group tới cá nhân IPSec làm việc nào: 4.1 IPSec Định nghĩa loại lưu lượng cần bảo vệ định nghĩa loại tùy chọn IPSec Các sách cấu hình sách bảo mật cục thơng qua sách nhóm ID 4.2 Quá trình thỏa thuận liên kết bảo mật modul khóa trao đổi với internet: IKE thỏa thuận với liên kết bảo mật Mơdul khóa internet kết hợp giao thức: Giao thức kết hợp bảo mật internet giao thức quản lí khóa IPSec sử dụng giao thức để thỏa thuận cách tích cực yêu cầu bảo mật cho phía máy tính với Các máy tính khơng địi hỏi phải có sách giống hệt mà - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec chúng cần sách cấu hình tùy chọn thỏa thuận để cấu hình yêu cầu chung 4.3 Q trình mã hóa gói IP: Sau liên kết bảo mật thiết lập, IPSec giám sát tất lượng IP, so sánh lưu lượng với điều kiện định nghĩa lọc 4.4 Mã hóa kí lưu lượng đó: Giao Thức sử dụng IPSec (IPSec Protocol) IPSec Bảo mật kết nối mạng viêc sử dụng giao thức cung cấp bảo mật cho gói tin hai phiên IPv4 IPv6: IP Authentication Header giúp đảm bảo tính tồn vẹn cung cấp xác - Trang - Bảo mật An Tồn Thơng Tin mạng với IPSec thực IP Encapsulating Security Payload cung cấp bảo mật, option bạn lựa chọn tính authentication Integrity đảm bảo tính tồn vẹn liệu Thuật tốn mã hố sử dụng IPsec bao gồm HMAC-SHA1 cho tính tồn vẹn liệu (integrity protection), thuật toán TripleDES-CBC AES-CBC cho mã mã hoá đảm bảo độ an tồn gói tin Tồn thuật tốn thể RFC 4305 5.1 Authentication Header (AH) AH sử dụng kết nối khơng có tính đảm bảo liệu Hơn lựa chọn nhằm chống lại công replay attack cách sử dụng công nghệ công sliding windows discarding older packets AH bảo vệ trình truyền liệu sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, Header Checksum AH thực trực tiếp phần gói tin IP mơ hình AH header - bit Next header - 15 bit Payload length 16 - 23 bit 24 – 31 bit RESERVED Security parameters index (SPI) Sequence number Authentication data (variable) - Trang 10 - Bảo mật An Tồn Thơng Tin mạng với IPSec Các chế độ IPSec SAs IPSec triển khai chế độ Được mơ tải hình chế độ Transport chế độ Tunnel Cả AH ESP làm việc với hai chế độ này: - Trang 16 - Bảo mật An Tồn Thơng Tin mạng với IPSec 6.1 Transport Mode Transport mode bảo vệ giao thức tầng ứng dụng Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng trên, hình mơ tả bên AH Transport mode - Trang 17 - Bảo mật An Tồn Thơng Tin mạng với IPSec ESP Transport mode Transport mode thiếu q trình xử lý phần đầu, nhanh Tuy nhiên, khơng hiệu trường hợp ESP có khả khơng xác nhận mà khơng mã hóa phần đầu IP 6.2 Tunnel Mode Khơng giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP Trong AH Tunnel mode, phần đầu (AH) chèn vào phần header phần header nguyên bản, hình bên - Trang 18 - Bảo mật An Tồn Thơng Tin mạng với IPSec ESP Tunnel mode Internet Key Exchange ( IKE ) Về biết ISAKMP/Oakley, ISAKMP chữ viết tắt Internet Security Association and Key Management Protocol, IKE giúp bên giao tiếp hịa hợp tham số bảo mật khóa xác nhận trước phiên bảo mật IPSec triển khai Ngồi việc hịa hợp thiết lập tham số bảo mật khóa mã hóa, IKE sữa đổi tham số cần thiết suốt phiên làm việc IKE đảm nhiệm việc xoá bỏ SAs khóa sau phiên giao dịch hồn thành Thuận lợi IKE include bao gồm: · IKE công nghệ độc lập, dùng với chế bảo mật - Trang 19 - Bảo mật An Tồn Thơng Tin mạng với IPSec · Cơ chế IKE, không nhanh, hiệu cao lượng lớn hiệp hội bảo mật thỏa thuận với với vài thông điệp Như khơng có giao thức người quản trị phải cấu hình thủ cơng Và sách an ninh thiết bị gọi SA (Security Associate) Do thiết bị trình IKE trao đổi với tất SA mà có Và thiết bị tự tìm cho SA phù hợp với đối tác Những key trao đổi q trình IKE mã hóa key thay đổi theo thời gian (generate key) để tránh tình trạng bruteforce Attacker 7.1 IKE Phases Giai đoạn I II hai giai đoạn tạo nên phiên làm việc dựa IKE, hình 6-14 trình bày số đặc điểm chung hai giai đoạn Trong phiên làm việc IKE, giả sử có kênh bảo mật thiết lập sẵn Kênh bảo mật phải thiết lập trước có thỏa thuận xảy 7.1.1 Giai đoạn I IKE Giai đoạn I IKE xác nhận điểm thơng tin, sau thiết lập - Trang 20 - Bảo mật An Tồn Thơng Tin mạng với IPSec kênh bảo mật cho thiết lập SA Tiếp đó, bên thơng tin thỏa thuận ISAKMP SA đồng ý lẫn nhau, bao gồm thuật tốn mã hóa, hàm băm, phương pháp xác nhận bảo vệ mã khóa Sau chế mã hóa hàm băm đồng ý trên, khóa chi bí mật phát sinh Theo sau thông tin dùng để phát sinh khóa bí mật : · Giá trị Diffie-Hellman · SPI ISAKMP SA dạng cookies · Số ngẫu nhiên known as nonces (used for signing purposes) Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa public key, chúng cần trao đổi IDs Sau trao đổi thông tin cần thiết, hai bên phát sinh key riêng sử dụng chúng để chia bí mật Theo cách này, khóa mã hóa phát sinh mà khơng cần thực trao đổi khóa thông qua mạng 7.1.2 Giai đoạn II IKE Trong giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải việc thiết lập SAs cho IPSec Trong giai đoạn này, SAs dùng nhiều dịch vụ khác thỏa thuận Cơ chế xác nhận, hàm băm, thuật tốn mã hóa bảo vệ gói liệu IPSec (sử dụng AH ESP) hình thức phần giai đoạn SA Sự thỏa thuận giai đoạn xảy thường xuyên giai đoạn I Điển hình, thỏa thuận lặp lại sau 4-5 phút Sự thay đổi thường xuyên mã khóa ngăn - Trang 21 - Bảo mật An Tồn Thơng Tin mạng với IPSec cản hacker bẻ gãy khóa sau nội dung gói liệu Tổng quát, phiên làm việc giai đoạn II tương đương với phiên làm việc đơn giai đoạn I Tuy nhiên, nhiều thay đổi giai đoạn II hỗ trợ trường hợp đơn giai đoạn I Điều làm trình giao dịch chậm chạp IKE tỏ tương đối nhanh Oakley số giao thức IKE Oakley is one of the protocols on which IKE is based Oakley định nghĩa chế độ phổ biến IKE 7.2 IKE Modes chế độ IKE phổ biến thường triển khai : · Chế độ (Main mode) · Chế độ linh hoạt (Aggressive mode) · Chế độ nhanh (Quick mode) · Chế độ nhóm (New Group mode) 7.2.1 Main Mode Main mode xác nhận bảo vệ tính đồng bên có liên quan qua trình giao dịch Trong chế độ này, thông điệp trao đổi điểm: · thông điệp dùng để thỏa thuận sách bảo mật cho thay đổi - Trang 22 - Bảo mật An Tồn Thơng Tin mạng với IPSec · thông điệp phục vụ để thay đổi khóa Diffie-Hellman nonces Những khóa sau thực vai trị quan trọng chế mã hóa · Hai thơng điệp cuối chế độ dùng để xác nhận bên giao dịch với giúp đỡ chữ ký, hàm băm, tuỳ chọn với chứng nhận 7.2.2 Aggressive Mode Aggressive mode chất giống Main mode Chỉ khác thay main mode có thơng điệp chế độ có thơng điệp trao đổi Do đó, Aggressive mode nhanh mai mode Các thơng điệp bao gồm : · Thơng điệp dùng để đưa sách bảo mật, pass data cho khóa chính, trao đổi nonces cho việc ký xác minh · Thông điệp hồi đáp lại cho thông tin Nó xác thực người nhận hồn thành sách bảo mật khóa - Trang 23 - Bảo mật An Tồn Thơng Tin mạng với IPSec · Thông điệp cuối dùng để xác nhận người gửi (hoặc khởi tạo phiên làm việc) Cả Main mode Aggressive mode thuộc giai đoạn I 7.2.3 Quick Mode Chế độ thứ ba IKE, Quick mode, chế độ giai đoạn II Nó dùng để thỏa thuận SA cho dịch vụ bảo mật IPSec Ngồi ra, Quick mode phát sinh khóa Nếu sách Perfect Forward Secrecy (PFS) thỏa thuận giai đoạn I, thay đổi hoàn toàn Diffie-Hellman key khởi tạo Mặt khác, khóa phát sinh giá trị băm - Trang 24 - Bảo mật An Tồn Thơng Tin mạng với IPSec 7.2.4 New Group Mode New Group mode dùng để thỏa thuận private group nhằm tạo điều kiện trao đổi Diffie-Hellman key dễ dàng Hình 6-18 mơ tả New Group mode Mặc dù chế độ thực sau giai đoạn I, khơng thuộc giai đoạn II Ngồi chế độ IKE phổ biến trên, cịn có thêm Informational mode Chế độ kết hợp với trình thay đổi giai đoạn II SAs Chế độ cung cấp cho bên có liên quan số thông tin thêm, xuất phát từ thất bại q trình thỏa thuận Ví dụ, việc giải mã thất bại người nhận - Trang 25 - Bảo mật An Tồn Thơng Tin mạng với IPSec chữ ký không xác minh thành công, Informational mode dùng để thông báo cho bên khác biết Chính Sách bảo mật IPSec (IPSec Security Policy) Mỗi sách bao gồm vài nguyên tắc hay danh sách lọc Ta gán sách tới máy tính 8.1 Một nguyên tắc bao gồm thành phần sau (Rules are composed of:): * Bộ lọc filter (A filter) * A Filter action * An Authentication Method (Phương pháp xác thực): Mỗi nguyên tắc nhiều phương pháp xác thực khác 8.2 Chính sách mặc định IPSec (Default policies): * Client (Respond Only) * Server (Request Security) * Secure server (Require Security) Mối Quan Hệ Giữa chứng IPSec Chứng X.509 gọi chứng số, dạng giấy hình dạng điện tử trao đổi rộng dãi việc xác thực trao đổi thông tin - Trang 26 - Bảo mật An Tồn Thơng Tin mạng với IPSec mạng mở internet, Extranet (Mạng liên nghành), Intranet (Mạng cục bộ) Các chứng sử dụng phương pháp xác thực IPSec Lợi ích việc sử dụng chứng với IPSec là: + Như phương pháp xác thực host sử dụng IPSec cho phép kết nối tin cậy đến doanh nghiệp với tổ chức khác với CA + Sử dụng chứng cho phép dịch vụ Routing Remote Access truyền Dữ liệu qua mạng bảo mật giống mạng Internet với Router có hỗ trợ IPSec + Sử dụng chứng sử dụng mô hình VPN Client Mơ hình VPN Site – to - site Sử dụng giao thức đường hầm L2TP/IPSec Để sử dụng chứng trình xác thực IPSec máy tính phải cung cấp chứng hợp lệ dùng cho mục đích truyền thơng IPSec.Khi máy tính cấu hình chứng ta phải sử dung sách IPSec dể hỗ trợ chứng sử dụng phương pháp xác thực hợp lệ Các mơ hình triển khai sử dụng IPSec IPSec thực với nhu cầu thay đổi khác bên số cá tổ chức IPSec sử dụng để bảo mật Traffic cho ứng dụng cụ thể, bảo mật Subnet IP khác mạng Đặc biệt mơ hình kết nối VPN 9.1 Các khuyến cáo sử dụng IPSec - Trang 27 - Bảo mật An Tồn Thơng Tin mạng với IPSec Để sử dụng IPSec mạng làm việc ta cần xác định máy tính liệu cần bảo mật Quá trình lọc gói liệu (Packet filteing): định nghĩa loại liệu cho phép bảo mật không cho phép bảo mật với IPSec Quá trình bảo mật traffic host với (Securinghost – to - host traffic on specific paths): sử dụng IPSec để bảo vệ traffic server địa IP tĩnh Subnet với Quá trình bảo mật đến Server (Securing traffic to server):Cấu hình IPSec để bảo vệ cho client kết nối đến server, cấu hình để hạn chế đến server Sử dụng L2TP/IPSec cho kết nối VPN Bảo mật kết nối Site – to – site tunneling (gateway – to – to getway) 9.2 Q trình lọc gói liệu với IPSec Cho phép máy tính xác định xem lưu lượng cho phép với mức độ bảo mật yêu cầu - Trang 28 - Bảo mật An Tồn Thơng Tin mạng với IPSec 9.3 Các vấn đề cần quan tâm sử dụng IPSec để bảo mật kết nối mạng bên Mặt hạn chế IPSec là: Giảm yêu cầu hiệu suất vấn đề liên quan đến khả tương thích Do sử dụng IPSec mơ hình kết nối internal ta cần quan tâm tới vấn đề sau: + Chỉ sử dụng IPSec để tăng khả bảo mật cho dịch vụ bảo mật không bảo mật + Không phải tất hệ điều hành hỗ trợ IPSec + IPSec làm tăng thời gian thực kết nối + Làm tăng tải sử dụng cho CPU làm giảm hiệu suất tính tốn hiệu suất sử dụng máy tính Tăng kích thước gói liệu chiếm băng thơng mạng: làm giảm hiệu suất sử dụng mạng Khả tương thích với trình dịch địa chỉ: giao thức xác thực Header khơng hỗ trợ chế NAT Cấu hình IPSec cho kết nối VPN Ta bảo mật kết nối VPN băng việc sử dụng L2TP/IPSec Thường L2TP khơng mã hóa liệu mà phụ thuộc vào IPSec để bảo mật kết nối VPN Một chứng hợp lệ phải cài đặt VPN Server để hỗ trợ giao thức L2TP/IPSec - Trang 29 - Bảo mật An Tồn Thơng Tin mạng với IPSec Trong mơ hình kết nối VPN ta khơng phải tạo sách bảo mật IPSec giống mạng kết nối Internal - Trang 30 -