1. Trang chủ
  2. Luận Văn - Báo Cáo

(TIỂU LUẬN) đồ án môn học bảo mật THÔNG TIN đề tài IPSEC (TUNNEL)

42 3 0
(TIỂU LUẬN) đồ án môn học bảo mật THÔNG TIN đề tài IPSEC (TUNNEL)

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

Thông tin tài liệu

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM KHOA CNTT - NGÀNH ATTT ———***——— ĐỒ ÁN MÔN HỌC : BẢO MẬT THÔNG TIN ĐỀ TÀI: IPSEC (TUNNEL) GSVGD: ThS Nguyễn Văn Vịnh LỚP: 18DATA1 NHÓM THỰC HIỆN: Đỗ Chiến Anh Tú – MSSV:1811770070 Vũ Quang Long – MSSV: 1811770020 Trần Thành Long – MSSV: 1811770157 Tieu luan TP Hồ Chí Minh, ngày 25 tháng năm 2021 Mục Lục LỜI MỞ ĐẦU LỜI CẢM ƠN Chương TỔNG QUAN VỀ IPSEC 1.1 Giới thiệu IPSEC 1.2 Liên kết bảo mật 10 1.3 Các chế độ hoạt động IPSec 11 1.3.1 IPSec (Tunnel) 11 1.3.2 Sự khác biệt IPSEC (Tunnel Mode Transport Mode) 12 1.4 Giao thức AH (Authentication Header) 12 1.4.1 Giới thiệu 12 1.4.2 Các chế bảo vệ cung cấp giao thức AH 13 1.4.3 Cấu trúc AH 14 1.4.4 Vị trí AH 15 1.4.5 Các mode làm việc AH 16 1.4.6 Q trình xử lí AH với gói tin Outbound 17 1.4.7 Quá trình xử lí AH gói tin Inbound 20 1.4.8 Một số điểm phức tạp giao thức AH 23 Giao thức ESP (Encapsulating Security Payload) 23 1.5 1.5.1 Giới thiệu 23 Tieu luan 1.5.2 Các chế bảo vệ cung cấp ESP 23 1.5.3 Cấu trúc ESP 24 1.5.4 Vị trí mode làm việc ESP 25 1.5.5 Qúa trình xử lí ESP thơng điệp Outbound 26 1.5.6 Qúa trình xử lí ESP thông điệp Inbound 27 1.5.7 Một số điểm phức tạp giao thức ESP 28 1.6 Quản lý khóa với IKE (Internet Key Exchange) 29 1.6.1 Tổng quan quản lí khóa 29 1.6.2 IKE phases 30 1.6.3 IKE modes 33 1.7 Mục đích ưu khuyết điểm IPSEC 35 1.7.1 Mục đích sử dụng 35 1.7.2 Ưu điểm 35 1.7.3 Khuyết điểm 36 Chương TRIỂN KHAI IPSEC (TUNNEL) 38 2.1 Mơ hình triển khai 38 2.2 Các bước thực 38 Chương KẾT LUẬN 39 Chương TÀI LIỆU THAM KHẢO 40 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) DANH MỤC HÌNH Hình 1: Sơ đồ kiến trúc IPSec 10 Hình 2: Mơ hình hoạt động IPSec (Tunnel) 12 Hình 3: IP Packet bảo vệ AH 14 Hình 4: Vị trí AH IPv4 IPv6 15 Hình 5: Mode AH Tunnel 16 Hình 6: Cơ chế đóng gói AH Tunnel 16 Hình 7: Các lớp IP Header Fields 19 Hình 8:Tunnel Mode gateway-to-gateway SA 20 Hình 9: Minh họa hoạt động cửa sổ chống phát lại 22 Hình 10: cấu trúc ESP 24 Hình 11: Vị trí ESP Header Tunnel 25 Hình 12: Main Mode IKE 31 Hình 13: Aggressive mode IKE 32 Hình 14:Quick mode IKE 34 Hình 15: New group mode IKE 35 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) LỜI MỞ ĐẦU Trong thời đại Internet phát triển rộng khắp ngày nay, dịch vụ đào tạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến trở thành thực Tuy nhiên, Internet có phạm vi tồn cầu, khơng tổ chức hay phủ quản lý nên có nhiều khó khăn việc bảo mật, đảm bảo an toàn liệu chất lượng dịch vụ trực tuyến thông qua đường truyền mạng Từ đó, người ta đưa mơ hình nhằm thỏa mãn u cầu mà tận dụng sở hạ tầng mạng vốn có, mạng riêng ảo (Virtual Private Network-VPN) Để gửi nhận liệu thơng qua mạng cơng cộng mà bảo đảm tính an toàn bảo mật, VPN cung cấp chế mã hóa liệu đường truyền tạo đường ống bảo mật nơi gửi nơi nhận (Tunnel) giống kết nối point-point mạng riêng.Và IPSEC (Internet Protocol Security) giao thức tạo nên chế “đường ống bảo mật” cho VPN Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) LỜI CẢM ƠN Đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến Trường Đại học Cơng Nghệ TP Hồ Chí Minh đưa mơn học bảo mật thơng tin vào chương trình giảng dạy Đặc biệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên môn – thầy Nguyễn Văn Vịnh dạy dỗ, truyền đạt kiến thức quý báu cho em suốt thời gian học tập vừa qua Trong thời gian học lớp thầy, em có thêm cho nhiều kiến thức bổ ích, tinh thần học tập hiệu quả, nghiêm túc Đây chắn kiến thức quý báu, hành trang để em vững bước sau Bộ môn bảo mật thông tin môn học thú vị, vơ bổ ích có tính học thuật cao Đảm bảo cung cấp đủ kiến thức sinh viên Tuy nhiên, vốn kiến thức nhiều hạn chế khả tiếp thu thực tế nhiều bỡ ngỡ Mặc dù chúng em cố gắng chắn đề tài khó tránh khỏi thiếu sót nhiều chỗ cịn chưa xác, kính mong thầy xem xét góp ý để tiểu luận em hoàn thiện Chúng em xin chân thành cảm ơn! Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Chương TỔNG QUAN VỀ IPSEC 1.1 Giới thiệu IPSEC IPSEC ( Internet Protocol Security) giao thức lớp Network (OSI) chuẩn hoá IETF từ năm 1998, cho phép gửi nhận gói IP mã hóa Tùy theo mức độ cần thiết, IPSEC cung cấp giải pháp an toàn liệu từ đầu cuối thân cấu trúc mạng dựa hai kiểu dịch vụ mã hóa: AH, ESP Vì vấn đề an tồn thực mà khơng cần thay đổi ứng dụng hệ thống cuối Các gói mã hóa có khn dạng giống gói tin IP thơng thường, nên chúng dễ dàng định tuyến qua mạng Internet mà thay đổi thiết bị mạng trung gian, qua cho phép giảm đáng kể chi phí cho việc triển khai quản trị IPSec cung cấp dịch vụ bảo mật như: + Bảo mật(mã hóa) - Confidentiality: Người gửi mã hóa liệu trước truyền chúng qua mạng Bằng cách đó, khơng nghe trộm đường truyền Nếu giao tiếp bị ngăn chặn, liệu khơng thể đọc + Tồn vẹn liệu - Data integrity: Người nhận xác minh liệu truyền qua mạng Internet mà khơng bị thay đổi IPSec đảm bảo tồn vẹn liệu cách sử dụng checksums (cũng biết đến giá trị băm) + Xác thực - Authentication: Xác thực đảm bảo kết nối thực đối tượng Người nhận xác thực nguồn gốc gói tin, bảo đảm, xác thực nguồn gốc thông tin + Antireplay protection: xác nhận gói tin khơng trùng lặp IPSec nền(Frame work) kết hợp giao thức bảo mật cung cấp mạng riêng ảo với liệu bảo mật, toàn vẹn xác thực Làm việc với tập hợp chuẩn mở thiết lập để đảm bảo bảo mật liệu, đảm bảo tính tồn vẹn liệu, chứng thực liệu thiết bị tham gia vào mạng VPN Các thiết bị Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) host security gateway (routers, firewalls, VPN concentrator, ) host gateway trường hợp remote access VPNs Application Layer Presentation Layer Session Layer Transport Layer Network Layer IPSEC Data Link Layer Physical Layer IPSEC phát triển với mục đích cung cấp cấu bảo mật Layer OSI Và Nó phần quan trọng hỗ trợ giao thức L2TP( Layer tunneling protocol) công nghệ mạng riêng ảo VPN IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc Các giao thức sử dụng IPSec: - IP Security Protocol (IPSec): + Authentication Header (AH): cung cấp tính tồn vẹn phi kết nối chứng thực nguồn gốc liệu cho các  gói liệu IP bảo vệ chống lại công replay + Encapsulation Security Protocol (ESP): cung cấp tính bảo mật, chứng thực nguồn gốc liệu, tính tồn vẹn phi kết nối dịch vụ chống replay - Message Encryption: + Data Encryption Standard (DES): Được phát triển IBM DES sử dụng khóa 56-bít, đảm bảo hiệu mã hóa cao DES hệ thống mã hóa khóa đối xứng Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) + Triple DES (3DES): biến thể DES 56-bít Hoạt động tương tự DES, liệu chia thành khối 64 bít 3DES thực thi khối ba lần, lần với khóa 56 bít độc lập 3DES cung cấp sức mạnh khóa đáng kể so với DES - Message Integrity (Hash) Functions + Hash-based Message Authentication Code (HMAC) : thuật tốn tồn vẹn liệu đảm bảo tính tồn vẹn tin Tại đầu cuối, tin khóa chia sẻ bí mật gửi thơng qua thuật tốn băm, tạo giá trị băm Bản tin giá trị băm gửi qua mạng Hai dạng phổ biến thuật toán HMAC sau: Message Digest (MD5) Secure Hash Algorithm-1,2 (SHA-1,2) - Peer Authentication: + Rivest, Shamir, and Adelman (RSA) Digital Signutures: hệ thống mật mã khóa bất đối xứng Nó sử dụng chiều dài khóa 512 bít, 768 bít, 1024 bít lớn IPsec khơng sử dụng RSA để mã hóa liệu Chỉ sử dụng RSA để mã hóa giai đoạn xác thực ngang hàng + RSA Encrypted Nonces - Key Management + Diffie-Hellman (D-H) + Certificate Authority (CA) - Security Association + Internet Exchange Key (IKE): IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bảo mật thuật toán mã hóa trước suốt phiên giao dịch + Internet Security Association and Key Management Protocol (ISAKMP) Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Hình 1: Sơ đồ kiến trúc IPSec 1.2 Liên kết bảo mật SA (Security Associations) Là khái niệm giao thức IPSEC SA kết nối luận lý theo phương hướng hai thực thể sử dụng dịch vụ IPSEC SA gồm có trường : SPI (Security Parameter Index) trường 32 bits dùng nhận dạng giao thức bảo mật, định nghĩa trường Security protocol, IPSEC dùng SPI phần đầu giao thức bảo mật thường chọn hệ thống đích suốt q trình thỏa thuận SA 10 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) thuật toán mã hóa chuỗi số tự nhiên liên tiếp sử dụng làm phần padding - 8: Thêm trường next header - 9: Mã hóa thơng điệp SA yêu cầu mã hóa liệu Các trường packet data, padding, pad length next header mã hóa với tunnel header tunnel mode SA Các thuật tốn mã hóa xác định cho q trình xử lí IPSEC ESP DES-CBC null encycrypt algorithm Thuật tốn sau khơng cup cấp mã hóa liệu Bởi ESP header cần phải cung cấp tính riêng tư, tính xác thực hai, null encycrypt algortithm sử dụng cho việc mã hóa, null authentication algorithm không sử dụng để xác thực - 10: Tính tốn liệu xác thực việc xác thực yêu cầu SA Các liệu xác thực gồm có initial ESP header liệu mã hóa Thuật tốn xác thực dùng q trình xử lí IPSEC ESP HMAC-MD5 ,HMACSHA1 null authentication algorithm Thuật tốn cuối khơng cung cấp xác thực Bởi ESP header cần phải cung cấp tính tồn vẹn , tính xác thực hai , nên null authentication algorithm sử dụng để xác thực null encycript algorithm khơng sử dụng để mã hóa - 11: Phân mảnh cần thiết 1.5.6 Qúa trình xử lí ESP thơng điệp Inbound Khi nhận thơng điệp có chứa ESP header Q trình xử lí gói tin IP đảm bảo tổng hợp tất phân mảnh thành thông điệp hồn thiện Thơng điệp sau chuyển sang q trình xử lí IPSEC, gồm bước sau: - 1: Tìm kiếm SAD để xác định inbound SA phù hợp để quản lí thơng điệp - 2: Nếu bên nhận có sử dụng chức chống phát lại, thực viêc kiểm tra chống phát lại 28 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) - 3: Kiểm tra tính xác thực Nếu việc kiểm tra xác định gói tin khơng xác thực loại bỏ gói tin này, ngược lại tiếp tục chuyển sang bước Việc thực xác thực trước trình giải mã giúp bớt chi phí tính tốn mã hóa thơng điệp bị xáo trộn ( xác thực đúng) - 4: Mã hóa phần cịn lại gói tin Nếu q trình giải mã khơng thành cơng kết giải mã bị xáo trộn so vị trí trường thơng điệp bị hủy bỏ - 5: Loại bỏ phần padding chúng thêm vào - 6: Loại bỏ trường ESP header tiếp tục q trình xử lí IPSEC tiêu đề IPSEC cịn lại - 7: Kiểm tra số SPI để đảm bảo sách IPSEC áp dụng cho thông điệp phù hợp với sách IPSEC u cầu cho thơng điệp Việc xác thực mã hóa thành cơng thông điệp inbound SA SAD chưa đảm bảo SA nên sử dụng để bảo vệ loại truyền thông tương tự 1.5.7 Một số điểm phức tạp giao thức ESP Mặc dù việc mã hóa tiêu đề lớp nhằm mục đích bảo mật, mã hóa ln số trường transport header bao gồm transport protocol port Nó mã hóa ln số trường mà trường thường sử dụng để phân tích truyền thơng internet Một số trường transport header sử dụng cho số mục đich khác network traffic analyst ( phân tích truyền thơng mạng): quản lí , cách cải tiến hiệu suất, kiểm tra xâm nhập bất hợp pháp cách xử lí cho số loại truyền thông định (được phân loại thành số loại chất lượng dịch vụ (QOS) khác Một giao thức với tên gọi transport-friendly ESP (TF-ESP) đề xuất ( nhiên chi tiết giao thức chưa đưa ra) Có hai giải pháp đưa ra: 29 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) + Xác định TF-ESP header nhân đôi trường liệu cần thiết lưu trữ chúng dạng khơng mã hóa + Thực việc mã hóa trường gói tin để lại trường cần thiết dạng không mã hóa Giải pháp thứ có hai nhược điểm : + Việc nhân đôi số trường cần thiết làm tăng kích thước gói tin + Việc chấp nhận tồn dạng mã hóa khơng mã hóa số trường số vị trí xác định gói tin lỗ hổng bảo mật Thơng qua việc phân tích liệu hacker xác định cách giải mã gói tin Giải pháp thứ hai làm phức tạp hóa giao thức vốn phức tạp, địi hỏi phải thêm vào số q trình xử lí định 1.6 Quản lý khóa với IKE (Internet Key Exchange) 1.6.1 Tổng quan quản lí khóa IKE Là giao thức thực q trình trao đổi khóa thỏa thuận thơng số bảo mật với như: mã hóa nào, mã hóa thuật tốn gì, trao đổi khóa lần Sau trao đổi xong có “thỏa thuận” đầu cuối, IPSec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông số SA lưu sở liệu SA Trong trình trao đổi khóa IKE dùng thuật tốn mã hóa đối xứng, khóa thay đổi theo thời gian Đây đặc tính hay IKE, giúp hạn chế trình trạng bẻ khóa attacker IKE dùng giao thức khác để chứng thực đầu cuối tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) Oakley + ISAKMP: giao thức thực việc thiết lập, thỏa thuận quản lý sách bảo mật SA 30 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) + Oakley: giao thức làm nhiệm vụ chứng thực khóa, chất dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thơng qua mơi trường chưa bảo mật Giao thức IKE dùng UDP port 500 IKE thực q trình dị tìm , q trình xác thực, quản lý trao đổi khóa IKE dị tìm hợp đồng hai đầu cuối IPSec sau SA theo dõi tất thành phần phiên làm việc IPSec Sau dò tìm thành cơng, thơng số SA hợp lệ lưu trữ sở liệu SA Các thuộc tính sau mức tối thiểu phải thống hai bên phần ISAKMP SA: + Thuật tốn mã hóa + Thuật giải băm sử dụng + Phương thức xác thực dùng + Thơng tin nhóm giải thuật DH 1.6.2 IKE phases Giai đoạn hoạt động IKE xem tương tự trình bắt tay TCP/IP Quá trình hoạt động IKE chia làm hai phase chính: Phase Phase 2, hai phase nhằm thiết lập kênh truyền an toàn hai điểm Ngoài phase phase cịn có phase 1,5 tùy chọn 1.6.2.1 Giai đoạn (Phase 1): 31 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Đây giai đoạn bắt buộc phải có Phase thực việc xác thực thỏa thuận thông số bảo mật, nhằm cung cấp kênh truyền bảo mật hai đầu cuối Các thông số sau đồng ý hai bên gọi SA, SA pha gọi SA ISAKMP hay SA IKE Pha sử dụng hai mode để thiết lập SA: chế độ thức (main mode) chế độ tích cực (aggressive mode) Các thông số bảo mật bắt buộc phải thỏa thuận phase là: + Thuật toán mã hóa: DES, 3DES, AES + Thuật tốn hash: MD5, SHA + Phương pháp xác thực: Preshare-key, RSA + Nhóm khóa Diffie-Hellman (version Diffie-Hellman) *Main mode: sử dụng message để trao đổi thỏa thuận thông số với + Hai message đầu dùng để thỏa thuận thơng số sách bảo mật + Hai message trao đổi khóa Diffie-Hellman + Hai message cuối thực xác thực thiết bị 32 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Hình 12: Main Mode IKE *Aggressive mode: sử dụng message + Message gồm thơng số sách bảo mật, khóa Diffie-Hellman + Message thứ hai phản hồi lại thông số sách bảo mật chấp nhận, khóa chấp nhận xác thực bên nhận + Message cuối xác thực bên vừa gửi 33 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Hình 13: Aggressive mode IKE 1.6.2.2 Giai đoạn (Phase 2): IKE phase phase bắt buộc, đến phase thiết bị đầu cuối có đầy đủ thơng số cần thiết cho kênh truyền an tồn Q trình thỏa thuận thông số phase để thiết lập SA IPSec dựa thông số phase Quick mode phương thức sử dụng phase Các thông số mà Quick mode thỏa thuận phase 2: + Giao thức IPSec: ESP AH + IPSec mode: Tunnel transport + IPSec SA lifetime: dùng để thỏa thuận lại SA IPSec sau khoảng thời gian mặc định định + Trao đổi khóa Diffie-Hellman 34 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) SA IPSec phase hoàn toàn khác với SA IKE phase 1, SA IKE chứa thông số để tạo nên kênh truyền bảo mật, cịn SA IPSec chứa thơng số để đóng gói liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode 1.6.2.3 Giai đoạn 1.5(Phase 1.5): Là giai đoạn IKE không bắt buộc Giai đoạn 1.5 cung cấp thêm lớp xác thực, gọi Xauth xác thực Extended Xác thực IPsec cung cấp phase xác thực thiết bị thiết bị đầu cuối sử dụng để thiết lập kết nối IPsec Xauth bắt người sử dụng phải xác thực trước sử dụng kết nối IPsec 1.6.3 IKE modes Oakley số giao thức IKE Oakley định nghĩa chế độ IKE phổ biến : chế độ (Main mode), chế độ linh hoạt ( Aggressive mode), chế độ nhanh (Quick mode), chế độ nhóm (Neu Group mode) * Main mode: - Main mode xác nhận bảo vệ tính đồng bên có liên quan q trình giao dịch Trong chế độ có thông điệp trao đổi điểm: + Hai thơng điệp dùng để thỏa thuận sách bảo mật cho thay đổi + Hai thông điệp phục vụ để thay đổi khóa Diffie-Hellman nonces Những khóa sau thực vai trị quan trọng chế mã hóa + Hai thông điệp cuối chế độ dùng để xác nhận bên giao dịch với giúp đỡ chữ ký, hàm băm, tùy chọn với chứng nhận * Aggressive mode : - Về chất giống Main mode Chỉ khác thay main mode có thơng điệp chế độ có thơng điệp trao đổi Do đó, Aggressive mode nhanh Main mode Các thông điệp bao gồm: 35 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) + Thông điệp dùng để đưa sách bảo mật , pass data cho khóa trao đổi nonces cho việc ký xác minh + Thông điệp hồi đáp lại cho thơng điệp Nó xác thực người nhận hồn thành sách bảo mật khóa + Thơng điệp cuối dùng để xác nhận người gửi ( khởi tạo phiên làm việc) Cả Main mode Aggressive mode thuộc giai đoạn * Quick mode:: Chế độ nằm giai đoạn Nó dùng để thỏa thuận SA cho dịch vụ bảo mật IPSec Ngoài ra, Quick mode phát sinh khóa Nếu sách Perfect Forward Secrecy (PFS) thỏa thuận giai đoạn 1, thay đổi hoàn toàn Diffie Hellman key khởi tạo Mặt khác, khóa phát sinh giá trị băm Hình 14:Quick mode IKE 36 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) * New group mode : Được dùng để thỏa thuận private group nhằm tạo điều kiện trao đổi Diffie-Hellman key dễ dàng Mặc dù chế độ thực sau giai đoạn khơng thuộc giai đoạn Hình 15: New group mode IKE * Ngồi chế độ phổ biến cịn có thêm Information mode Chế độ kết hợp với trình thay đổi giai đoạn SAs Chế độ cung cấp cho bên có liên quan số thông tin thêm, xuất phát từ thất bại q trình thỏa thuận Ví dụ, việc giải mã thất bại người nhận chữ ký không xác minh thành công, Informational mode dùng để thông báo cho bên khác biết 1.7 Mục đích ưu khuyết điểm IPSEC 1.7.1 Mục đích sử dụng Được dùng để bảo mật liệu cho chuyển giao thông tin qua mạng Người quản trị sách bao gồm lọc rõ loại lưu lượng địi hỏi phải mã hóa ( encryption ), xác nhận (digital signing) hai Sau gói máy tính gửi ấn định để tự nhận thấy liệu có phù hợp với điều kiện sách Tiến trình suốt với người dùng 1.7.2 Ưu điểm 37 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Thuận lợi dùng IPSEC cung cấp giải pháp mã hóa cho tất giao thức hoạt động lớp – Network Layer (OSI model), giao thức lớp cao Nó có khả cung cấp : + Chứng thực hai chiều trước suốt trình giao tiếp + Sự tin cậy qua việc mã hóa xác nhận số gói IPSEC có hai chế độ (ESP) cung cấp chế mã hóa dùng nhiều thuật tốn khác nhau, AH xác nhận thông tin chuyển giao mà khơng mã hóa + Tồn vẹn lưu lượng IP cách loại bỏ lưu lượng thay đổi Cả ESP AH dùng để xác nhận tính tồn vẹn tất lưu lượng IP Nếu gói đựơc thay đổi chữ kí số khơng đính kèm gói bị hủy + Ngăn chặn công replay IPSEC dùng kỹ thuật đánh số liên tiếp (sequence numbers ) cho gói liệu nhằm làm cho attacker khơng thể sử dụng liệu chặn với ý đồ bất hợp pháp Việc dùng Sequencer numbers giúp bảo vệ dùng thông tin lấy cách chặn đánh cắp liệu để truy cập bất hợp pháp vào lúc khác 1.7.3 Khuyết điểm Khi ứng dụng IPSEC vào VPN ta có IPSEC VPN dùng SSL (cũng giao thức bảo mật hướng đến số tính dễ chịu mà mang lại) VPN ta có SSL/VPN Sự so sánh IPSEC VPN SSL VPN cho thấy khuyết điểm IPSEC ứng dụng vào trường hợp cụ thể mạng riêng ảo VPN Khía cạnh IPSEC VPN IPSEC SSL 38 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Kiểu kết nối, kiểu truy cập Site to site, kiểu kết nối yêu Di động, tạm thời Truy cập tài cầu băng thông rộng, hiệu nguyên tập trung từ vị trí suất cao, liệu lớn, kết nối phân bố rải rác khắp nơi liên tục, cố định Phần mềm yêu cầu Yêu cầu phải có phần mềm Chỉ cần hệ điều hành có tích client cài đặt máy tính hợp trình duyệt (browser) để bàn máy tính xách tay hỗ trợ SSL => làm hạn chế tính linh động thực kết nối người dùng khơng kết nối VPN khơng có phần mềm IPSEC client nạp =>làm tăng chi phí quản trị, cấu hình Tương thích firewall, NAT Khơng tương thích Tương thích Mã hóa RC5,DES,3DES RC4,DES,3DES Xác thực RADIUS, Active Directory, RSA RADIUS, Active Directory, RSA SecureID SecureID Tất ứng dụng IP Các ứng dụng Ứng dụng Web Một số ứng dụng email, Terminal services, CIFS Độ bảo mật Như Như Kiểm sốt truy cập Khơng chi tiết Chi tiết ( granular access control) (Access Control) 39 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Chương TRIỂN KHAI IPSEC (TUNNEL) 2.1 Mơ hình triển khai 2.2 Các bước thực 40 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) Chương KẾT LUẬN 41 Tieu luan (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL) (TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)(TIEU.LUAN).do.an.mon.hoc.bao.mat.THONG.TIN.de.tai.IPSEC.(TUNNEL)

Ngày đăng: 24/12/2023, 11:26

Xem thêm:

Tài liệu cùng người dùng

Tài liệu liên quan