1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu giao thức bảo mật ipsec trong ipv6 và ứng dụng

118 3 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Nội dung

TRẦN VŨ VIỆT HÀ BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI CÔNG NGHỆ THÔNG TIN LUẬN VĂN THẠC SỸ CHUYÊN NGÀNH CÔNG NGHỆ THÔNG TIN TÌM HIỂU GIAO THỨC BẢO MẬT IPSec TRONG IPv6 VÀ ỨNG DỤNG TRẦN VŨ VIỆT HÀ 2013 – 2015 HÀ NỘI – 2015 i BỘ GIÁO DỤC VÀ ĐÀO TẠO VIỆN ĐẠI HỌC MỞ HÀ NỘI LUẬN VĂN THẠC SỸ TÌM HIỂU GIAO THỨC BẢO MẬT IPSec TRONG IPv6 VÀ ỨNG DỤNG TRẦN VŨ VIỆT HÀ CHUYÊN NGÀNH: CÔNG NGHỆ THÔNG TIN MÃ SỐ: 60480201 NGƯỜI HƯỚNG DẪN KHOA HỌC PGS.TS NGUYỄN VĂN TAM HÀ NỘI – 2015 ii LỜI CAM ĐOAN Tôi xin cam đoan luận văn tốt nghiệp cơng trình nghiên cứu thực cá nhân tôi, thực dựa sở nghiên cứu lí thuyết khảo sát tình hình thực tiễn hướng dẫn khoa học PGS.TS Nguyễn Văn Tam Các số liệu, kết nêu luận văn hoàn toàn trung thực chưa cơng bố cơng trình khác Hà Nội, tháng 10 năm 2015 Tác giả luận văn Trần Vũ Việt Hà iii LỜI CẢM ƠN Đầu tiên, xin bày tỏ biết ơn sâu sắc tới PGS.TS Nguyễn Văn Tam – Viện Công nghệ thông tin tận tình hướng dẫn, bảo tạo cho tơi điều kiện tốt từ bắt đầu hồn thành luận văn Bên cạnh đó, tơi muốn gửi lời cảm ơn trân trọng tới thầy cô Khoa Đào tạo Sau Đại học, Khoa Công nghệ thông tin – Viện Đại học Mở Hà Nội tận tình dạy, truyền đạt kiến thức, kinh nghiệm khóa học vừa qua tận tình giúp đỡ tơi việc hồn thành luận văn tốt nghiệp Cuối xin chân thành cảm ơn tất người thân yêu gia đình tơi, cảm ơn em Anh Tuấn, Hồng Xn – người giúp đỡ, động viên công việc sống iv MỤC LỤC LỜI CAM ĐOAN I LỜI CẢM ƠN IV MỤC LỤC V DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT I DANH SÁCH BẢNG BIỂU III DANH MỤC HÌNH VẼ IV MỞ ĐẦU CHƯƠNG – TỔNG QUAN VỀ IPV6 1.1 Những hạn chế giao thức IPv4 đời IPv6 1.2 Các đặc điểm IPv6 1.3 Cấu trúc gói tin IPv6 11 1.4 Cấu trúc địa IPv6 15 CHƯƠNG 2: TÌM HIỂU GIAO THỨC BẢO MẬT IPSEC TRONG IPV6 25 2.1 Một số vấn đề an ninh mạng 25 2.1.1 Những vấn đề an ninh chung giao thức IPv4 giao thức IPv6 25 2.1.2 Những vấn đề an ninh IPv6 26 2.2 Kiến trúc IPSec giao thức IPv6 29 2.2.1 Tổng quan giao thức IPSec 30 2.2.2 Các giao thức an toàn IPSec 31 2.2.3 Các liên kết an toàn 35 2.2.4 Xử lí lưu lượng IP 39 2.2.5 Ưu, nhược điểm IPSec 44 2.3 Một số thuật toán mã mật sử dụng IPSec 45 2.3.1 Thuật tốn mã hóa khóa đối xứng 46 2.3.2 Thuật tốn mã hóa khóa cơng khai 50 CHƯƠNG ỨNG DỤNG IPSEC TRONG MẠNG RIÊNG ẢO (VPN) 55 3.1 Kiến trúc IPSec VPN 55 3.1.1 Khái niệm mạng riêng ảo VPN (Virtual Private Network) 55 3.1.2 Kiến trúc IPSec VPN 58 3.2 Mạng IPSec VPN thử nghiệm 62 3.2.1 Xây dựng mơ hình thử nghiệm 64 3.2.2 Thực thi kịch thử nghiệm IPSec 66 3.2.3 Đánh giá hiệu an toàn bảo mật IPSec IPv6 84 KẾT LUẬN 86 DANH MỤC TÀI LIỆU THAM KHẢO 87 PHỤ LỤC 88 v DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt VPN Virtual Private Network Mạng riêng ảo 3DES Triple DES Thuật toán mã DES bội AC Access Control Điều khiển truy nhập ACL Access Control List Danh sách quản lí truy cập AH Authentication Header Giao thức tiêu đề xác thực DES Data Encryption Standard Thuật toán mã DES DH Diffie-Hellman Giao thức trao đổi khóa DiffieHellman ESP Encapsulating Security Payload Giao thức đóng gói tải tin an tồn IKE Internet Key Exchange Trao đổi khóa qua Internet IP Internet Protocol Giao thức Internet IPv4 Internet Protocol Version Giao thức Internet phiên IPv6 Internet Protocol Version Giao thức Internet phiên IPSec IP Security Hệ thống giao thức để bảo mật trình truyền thơng tin tảng IP ISAKMP Internet Security Association and Giao thức liên kết an ninh Key Management Protocol quản lí khóa qua Internet ISP Internet Service Provider Nhà cung cấp dịch vụ Internet MD5 Message Digest Thuật toán giản lược tin MD5 RSA Rivest-Shamir-Adleman Một loại giải thuật mật mã khóa cơng cộng SA Security Association Liên kết an ninh SAD Security Association Database Cơ sở liệu liên kết an toàn SPD Security Policy Databases Cơ sở liệu sách an toàn i DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1 SPI Security Parameter Index Chỉ số thông số an ninh TCP Transmission Control Protocol Giao thức điều khiển truyền tải UDP User Data Protocol Giao thức liệu người sử dụng VPN Virtual Private Network Mạng riêng ảo WAN Wide Area Network Mạng diện rộng ii DANH SÁCH BẢNG BIỂU Tên bảng Trang Bảng 1.1 So sánh IPv6 IPv4 Bảng 1.2 Cơ chế phân bổ địa 16 Bảng 1.3 Ý nghĩa bit trường Scope 23 Bảng 2.1 Các giao thức IPSec 44 Bảng 2.2 Tóm tắt giải thuật RSA độ phức tạp 52 Bảng 2.3 Các bước thực để trao đổi khóa Diffie Hellman 53 iii DANH MỤC HÌNH VẼ Tên hình vẽ Hình 1.1 Hình 1.2 Trang Mơ hình thực NAT địa IPv4 Lượng IPv4 APNIC phân bổ khu vực Châu Á – Thái Bình Dương Hình 1.3 Lượng địa IPv4 cấp phát tồn cầu Hình 1.4 Cấu trúc gói tin IPv6 12 Hình 1.5 Cấu trúc trường IPv6 Header 13 Hình 1.6 Địa Unicast 21 Hình 1.7 Phân cấp địa IPv6 22 Hình 1.8 Địa Anycast 22 Hình 1.9 Địa multicast 23 Hình 2.1 Giao thức IPSec 30 Hình 2.2 IP Packet bảo vệ AH 32 Hình 2.3 IP Packet bảo vệ AH Transport Mode 32 Hình 2.4 IP Packet bảo vệ AH Tunnel Mode 33 Hình 2.5 IP Packet bảo vệ ESP Transport Mode 33 Hình 2.6 IP Packet bảo vệ ESP Tunnel Mode 33 Hình 2.7 Kiến trúc giao thức IPSec 34 Hình 2.8 Cơ chế truyền tải liên tiếp 37 Hình 2.9 Cơ chế lặp lại đường hầm trường hợp 37 Hình 2.10 Cơ chế lặp lại đường hầm trường hợp 38 Hình 2.11 Cơ chế lặp lại đường hầm trường hợp 38 Hình 2.12 Lưu lượng “Outbound” 42 Hình 2.13 Lưu lượng vào “Inbound” 43 Hình 2.14 Sơ đồ thuật tốn DES 47 Hình 2.15 Mạng Fiestel 47 iv DANH MỤC HÌNH VẼ Tên hình vẽ Trang Hình 2.16 Phân phối khóa hệ thống mật mã khóa đối xứng 49 Hình 3.1 Mơ hình VPN truy nhập từ xa 56 Hình 3.2 Mơ hình VPN mở rộng 56 Hình 3.3 Kiến trúc Gateway-to-gateway 58 Hình 3.4 Kiến trúc Host-to-Gateway 60 Hình 3.5 Kiến trúc Host-to-host 60 Hình 3.6 Lưu đồ bước cấu hình IPSec VPN 66 Hình 3.7 Mơ hình IPSec VPN sử dụng Preshared Key 88 Hình 3.8 Kiểm tra cấu hình interface Router ISP 89 Hình 3.9 Kiểm tra cấu hình interface Router CAUGIAY 90 Hình 3.10 Kiểm tra cấu hình interface Router DONGDA 91 Hình 3.11 Kiểm tra cấu hình Isakmp Policy Router CAUGIAY 92 Hình 3.12 Kiểm tra cấu hình Isakmp Policy Router DONGDA 93 Hình 3.13 Cấu hình Router CAUGIAY 94 Hình 3.14 Cấu hình Router DONGDA 95 Hình 3.15 Kiểm tra kết nối LAN ping từ nguồn 192.168.1.1 95 Hình 3.16 Kiểm tra kết nối LAN ping từ nguồn 192.168.2.1 96 Hình 3.17 Kiểm tra cấu hình Crypto map Router CAUGIAY 96 Hình 3.18 Kiểm tra cấu hình Crypto map Router DONGDA 97 Hình 3.19 Kiểm tra cấu hình Crypto Isakmp SA Router CAUGIAY 97 Hình 3.20 Kiểm tra cấu hình Crypto Isakmp SA Router DONGDA 98 Hình 3.21 Kiểm tra cấu hình Crypto IPSec SA Router CAUGIAY 1/2 98 Hình 3.22 Kiểm tra cấu hình Crypto IPSec SA Router CAUGIAY 2/2 99 Hình 3.23 Kiểm tra cấu hình Crypto IPSec SA Router DONGDA 1/2 99 Hình 3.24 Kiểm tra cấu hình Crypto IPSec SA Router DONGDA 2/2 100 Hình 3.25 Phần mềm Wireshark bắt gói tin ping từ địa Router 100 v Hình 3.11: Kiểm tra cấu hình Isakmp Policy Router CAUGIAY Cấu hình router DONGDA DONGDA(config)#crypto isakmp policy 10 DONGDA(config-isakmp)#hash md5 DONGDA(config-isakmp)#encryption des DONGDA(config-isakmp)#group DONGDA(config-isakmp)#authentication pre-share DONGDA(config)#crypto isakmp key HA1234 address 150.1.1.1 Kiểm tra thông số cấu hình Isakmp Policy Router DONGDA DONGDA#show crypto isakmp policy 92 Hình 3.12: Kiểm tra cấu hình Isakmp Policy Router DONGDA Bước 3: Cấu hình sách IPSec (IKE phase 2) Thiết lập IPSec SA dựa thông số phase Router CAUGIAY CAUGIAY(config)#crypto IPSec transform-set HASET esp-md5-hmac espdes //chọn giao thức ESP để đóng gói liệu CAUGIAY(config)#crypto IPSec security-association lifetime seconds 1800 // thời gian tồn IPSec SA Router DONGDA DONGDA(config)#crypto IPSec transform-set HASET esp-md5-hmac espdes DONGDA(config)#crypto IPSec security-association lifetime seconds 1800 Bước 4: Tạo Access control list ACL Xác định luồng liệu mã hoá bảo vệ Router CAUGIAY CAUGIAY(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 100 permit ip 192.168.2.0 0.0.0.255 192.168.2.0 0.0.0.255 Router DONGDA DONGDA(config)#access-list 192.168.1.0 0.0.0.255 93 Bước 5: Cấu hình Crypto map cho Router Router CAUGIAY CAUGIAY(config)#crypto map HAMAP 10 IPSec-isakmp CAUGIAY(config-crypto-map)#set peer 151.1.1.1 CAUGIAY(config-crypto-map)#set transform-set HASET CAUGIAY(config-crypto-map)#match address 100 Router DONGDA DONGDA(config)#crypto map HAMAP 10 IPSec-isakmp DONGDA(config-crypto-map)#set peer 150.1.1.1 DONGDA(config-crypto-map)#set transform-set HASET DONGDA(config-crypto-map)#match address 100 Bước 6: Đưa Crypto map vào interface CAUGIAY(config)#interface s0/0 CAUGIAY(config-if)#crypto map HAMAP DONGDA(config)#interface s0/0 DONGDA(config-if)#crypto map HAMAP Hình 3.13: Cấu hình Router CAUGIAY 94 Hình 3.14: Cấu hình Router DONGDA Kiểm tra cấu hình Kiểm tra kết nối mạng LAN 192.168.1.0/24 192.168.2.0/24 Sử dụng lệnh Ping địa 192.168.2.1 từ địa nguồn 192.168.1.1 (CAUGIAY) CAUGIAY#ping 192.168.2.1 source 192.168.1.1 Hình 3.15: Kiểm tra kết nối LAN ping từ nguồn 192.168.1.1 DONGDA#ping 192.168.1.1 source 192.168.2.1 95 Hình 3.16: Kiểm tra kết nối LAN ping từ nguồn 192.168.2.1 Như mạng LAN 192.168.1.0/24 192.168.2.0/24 giao tiếp với Kiểm tra cấu hình Crypto map CAUGIAY#show crypto map Hình 3.17: Kiểm tra cấu hình Crypto map Router CAUGIAY DONGDA#show crypto map 96 Hình 3.18: Kiểm tra cấu hình Crypto map Router DONGDA Kiểm tra cấu hình ISAKMP SA CAUGIAY#show crypto isakmp sa Hình 3.19: Kiểm tra cấu hình Crypto Isakmp SA Router CAUGIAY DONGDA#show crypto isakmp sa 97 Hình 3.20: Kiểm tra cấu hình Crypto Isakmp SA Router DONGDA Kiểm tra cấu hình IPSec SA CAUGIAY#show crypto ipsec sa Hình 3.21: Kiểm tra cấu hình Crypto IPSec SA Router CAUGIAY 1/2 98 Hình 3.22: Kiểm tra cấu hình Crypto IPSec SA Router CAUGIAY 2/2 Hình 3.23: Kiểm tra cấu hình Crypto IPSec SA Router DONGDA 1/2 99 Hình 3.24: Kiểm tra cấu hình Crypto IPSec SA Router DONGDA 2/2 Đồng thời, mơ hình thực nghiệm IPSec VPN trên, sử dụng phần mềm Wireshark để phân tích liệu hệ thống mạng, giám sát gói tin theo thời gian thực Khi ping địa 192.168.2.1 từ địa nguồn 192.168.1.1, sử dụng phần mềm Wireshark để bắt gói tin Hình 3.25: Phần mềm Wireshark bắt gói tin ping từ địa Router CAUGIAY 100 Hình 3.26: Phần mềm Wireshark bắt gói tin ping từ địa Router DONGDA Cấu hình đầy đủ Router CAUGIAY DONGDA Router CAUGIAY CAUGIAY#show running-config Hình 3.52: Cấu hình đầy đủ Router CAUGIAY 1/5 101 Hình 3.53: Cấu hình đầy đủ Router CAUGIAY 2/5 Hình 3.54: Cấu hình đầy đủ Router CAUGIAY 3/5 102 Hình 3.55: Cấu hình đầy đủ Router CAUGIAY 4/5 Hình 3.56: Cấu hình đầy đủ Router CAUGIAY 5/5 Router DONGDA DONGDA#show running-config 103 Hình 3.57: Cấu hình đầy đủ Router DONGDA 1/5 Hình 3.58: Cấu hình đầy đủ Router DONGDA 2/5 104 Hình 3.59: Cấu hình đầy đủ Router DONGDA 3/5 Hình 3.60: Cấu hình đầy đủ Router DONGDA 4/5 105 Hình 3.61: Cấu hình đầy đủ Router DONGDA 5/5 106

Ngày đăng: 29/08/2023, 15:30

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w