Bảo mật IP (IP –Security)

Khái quát về bảo mật IP• IPSec là một bộ giao thức: –Một cặp thực thể có thể lựa chọn sử dụng bất cứ thuật toán bảo mật nào trong bộ giao thức đó cho mục đích bảo mật thông tin giữa chú

An toµn m¹ng th«ng tin

B¶o mËt IP (IP Security) –

VÝ dô vÒ TCP/IP

Các phương thức bảo mật trong bộ giao thức

TCP/IP

Khái quát về bảo mật IP

• IPSec là một bộ giao thức:

–Một cặp thực thể có thể lựa chọn sử dụng bất cứ thuật toán bảo mật nào trong bộ giao thức đó cho mục đích bảo mật thông tin giữa chúng

• Các phiên bản của IPSec:

• Phiên bản IPv4

• Phiên bản IPv6–Khác nhau ở cấu trúc các trường trong phần mào đầu (IP header)

IPv4 Header

Cấu trúc trường mào đầu của bộ giao thức IP phiên bản số 4

IPv6 Header

Cấu trúc trường mào đầu của bộ giao thức IP phiên bản số 6

C¸c øng dông cña IPSec

–Gi÷a c¸c chi nh¸nh cña mét c«ng ty hoÆc mét tæ chøc

–Truy cËp tõ xa qua Internet

–KÕt nèi Intranet (c¸c bé phËn néi bé cña mét tæ chøc) vµ kÕt nèi Extranet (gi÷a c¸c tæ chøc víi

nhau)

Toµn c¶nh b¶o mËt IP

Các dịch vụ của IPSec

(*) Cuộc tấn công kiểu phát lại (replay): kẻ tấn công sao chép một gói đã

nhận thực rồi phát lại tới đích dự kiến Việc thu được hai gói đã nhận thực

có thể phá hoại dịch vụ hoặc gây ra những hậu quả không mong muốn khác.

Liên kết bảo mật

hết phải thiết lập một liên kết bảo mật (Security

Association - SA) để nhận thực lẫn nhau

–SA là một tập các tham số (VD: các thuật toán bảo mật, các khoá v.v )

một khoá phiên, rồi dùng giao thức trao đổi khoá Internet (IKE) để mã hoá mọi dữ liệu đi và đến

–IKE được thiết kế đặc biệt để có thể chống lại các cuộc tấn công kiểu từ chối dịch vụ (DoS)

Liên kết bảo mật

một trường mào đầu nhận thực AH (Authentication Header) hay một trường ESP (Encapsulated Security Payload) vào gói dữ liệu:

–AH (tạo ra từ các tham số chẳng hạn như địa chỉ IP) bảo

đảm nhận thực và toàn vẹn cho dữ liệu (tương tự vai trò

của MAC)

–ESP (là toàn bộ gói được mã hoá) chủ yếu đảm bảo bí mật

cho dữ liệu và cũng đóng vai trò nhận thực –Dùng AH khi chỉ yêu cầu nhận thực và toàn vẹn dữ liệu, dùng ESP khi cần cả bí mật dữ liệu

Hai chế độ của IPSec

mạng bên trong là đáng tin cậy

mạng bên trong là không đáng tin cậy

Chế độ vận chuyển (Transport Mode)

• IPSec được thực hiện ở các hệ thống đầu cuối

• Chỉ mã hoá phần tải (payload) của gói

ờng truyền biết địa chỉ thực của nguồn và đích

Chế độ đường hầm (Tunnel Mode)

• IPSec được thực hiện ở các gateway (router) bên ngoài

• Mã hoá toàn bộ gói (mào đầu + tải)

• Địa chỉ thực của nguồn và đích được giấu đi, thay vào đó là

địa chỉ nguồn và đích của các router trên đường truyền

Chế độ vận chuyển (Transport Mode)

liệu được bảo vệ và trường IP Header gốc

Chế độ đường hầm (Tunnel Mode)

AH (Authentication Header)

• Bảo đảm nhận thực dữ liệu gốc và chống tấn công kiểu phát lại

• Một AH Header được chèn vào giữa IP header và dữ liệu được bảo vệ

ESP (Encapsulating Security Payload)

• Bảo đảm nhận thực dữ liệu gốc, bí mật dữ liệu và chống tấn công kiểu phát lại

• Một ESP Header và một ESP Trailer bao dữ liệu được bảo vệ

bên trong

NhËn thùc ®Çu cuèi - ®Çu cuèi

vµ NhËn thùc ®Çu cuèi - trung gian

C¸c thuËt to¸n m· ho¸ vµ nhËn thùc

Kết hợp các liên kết bảo mật - Trường hợp 1

Bảo mật được thực hiện giữa các hệ thống đầu cuối có cài

Kết hợp các liên kết bảo mật - Trường hợp 2

Bảo mật được thực hiện giữa các gateway (router,

firewall,v.v ) Các hệ thống đầu cuối không thực hiện IPSec

Kết hợp các liên kết bảo mật - Trường hợp 3

Bảo mật được thực hiện giữa các gateway, các hệ thống

Kết hợp các liên kết bảo mật - Trường hợp 4

Máy truy cập từ xa có thể dùng Internet để truy cập qua Firewall vào một số máy chủ hoặc máy trạm trong mạng nội bộ phía sau Firewall Chế độ đường hầm chỉ dùng giữa máy xa và Firewall

Quản lý khoá trong IPSec

 Quản lý thủ công

 Trao đổi khoá qua điện thoại, hoặc gặp gỡ trực tiếp

 Trao đổi khoá bằng cách chia sẻ từ trước các khoá đối xứng

 Các khoá phiên mới được tạo ra từ khoá cũ

 Dùng qui tắc thiết lập khoá đối xứng tiêu chuẩn

 Thiết lập khoá trực tuyến

 Giao thức trao đổi khoá qua Internet (Internet Key

Exchange - IKE)

 Dùng thuật toán trao đổi khoá Diffie-Hellman để tạo ra khoá đối xứng chia sẻ

H t ế