Hình 3.25 IPSec – Xử lý đầu ra với các hệ thống cổng kết nối 3.4.4. Xử lý đầu vào với các hệ thống cổng kết nối Trên một hệ thống cổng kết nối có IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng tùy thuộc vào SPD để quyết định xem quá trình xử lý IPSec được yêu cầu hay các xử lý khác được thực hiện với gói đó. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SPI đã tồn tại phù hợp với giá trị SPI chứa trong gói dữ liệu. Nếu không có trường hợp nào tìm thấy, có 2 tùy chọn: 1. Hủy bỏ gói dữ liệu mà không báo cho người gửi biết, nhưng ghi vào nhật ký sự kiện nếu được cấu hình. 2. Nếu IKE cũng như yêu cầu các SA đầu vào được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập SA với người gửi gói dữ liệu gốc. Trong trường hợp này, gói dữ liêu gốc được bảo vệ bởi IPSec hoặc ở dạng rõ đều không quan trọng, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu là người gửi phải đáp ứng thỏa thuận IKE, và nó dự tính các gói dữ liệu được hủy bỏ cho đến khi một SA được thiết lập. Một gói dữ liệu được xử lý thành công bởi IPSec, nó có thể là một quá trình lặp với các bó SA, một quyết định chọn đường phải được thực hiện để làm gì với gói kế tiếp. Nếu gói dữ liệu được dự định chuyển đến Host khác, nó được phân phối qua giao diện thích hợp theo bảng định tuyến. Nếu gói dữ liệu dự định chuyển đến cổng kết nối của nó, dữ liệu tải được phân phối tới tiến trình xử lý cục bộ. Quá trình này được minh họa như trong hình 3.26 Hình 3.26 IPSec – Xử lý đầu vào với các cổng kết nối Tổng kết chương III Trong chương III đã trình bày chi tiết về giao thức mạng riêng ảo thông dụng nhất – IPSec, chương này cũng xem xét các cơ sở của IPSec và các liên kết bảo mật - một dạng cơ sở của giao thức IPSec. Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP) là các giao thức IPSec chủ chốt. Trong khi AH bảo vệ toàn bộ gói dữ liệu gốc thì, ESP chỉ bảo vệ phân dữ liệu tải của thông điệp gốc. Tiếp đó ta cũng nghiên cứu các chế độ IPSec – Chế độ Tunnel và chế độ Transport – và các quy tắc thực hiện chúng trong việc bảo vệ gói dữ liệu IP gốc khỏi các truy cập trái phép, sự giả mạo, sự phân tích gói tin và đánh cắp gói tin. Cuối cùng là trình bài về trao đổi khóa Internet(IKE), nó giữ một vài trò quan trọng trong việc quản lý các khóa mật mã. Hai pha IKE được thảo luận. Bốn chế độ thực thi IKE thông dụng cũng được thảo luận một cách ngắn gọn. Câu hỏi ôn tập 1. Which of the following fields make up an IPSec SA? a. SPI b. Payload c. Destination IP Address d. Security Protocol 2. Which of the following databases contain entries that might resemble a firewall rule? a. SPD b. SPI c. SAP d. SAD 3. ________ offers confidentiality and data integrity, but not the capability for key management. a. IKE b. AH c. ESP d. None of the above 4. Which of the modes listed below is NOT a valid IPSec mode? a. Informational mode b. Tunnel mode c. Aggressive mode d. Quick mode 5. Which of the following statements is true? a. Main mode is slower than Quick mode. b. ESP in Transport mode offers higher security than ESP in Tunnel mode. c. Aggressive mode belongs to IKE Phase II. d. All of the above statements are correct. Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo Trong các chương trước chúng ta đã thảo luận về các công nghệ an toàn có thể được dùng để xây dựng mạng riêng ảo. Trong khi các công nghệ đó thường đủ và hiệu quả với các tác vụ đơn lẻ, nhưng có những trường hợp mà một mình các công nghệ đó không đáp ứng được yêu cầu cho một giải pháp VPN đầy đủ. Một trong những trường hợp như vậy là sử dụng chứng chỉ số, xác thực và mã hóa. Chương này sẽ mô tả ngắn gọn một số công nghệ an toàn có thể bổ sung thêm vào một giải pháp mạng riêng ảo hoặc đồng thời tồn tại trong một môi trường mạng riêng ảo dưới hoàn cảnh nào đó. 4.1. Xác thực với người dùng quay số truy cập từ xa Quay số từ xa tới Intranet của công ty, cũng như tới Internet đã tạo ra Server truy cập từ xa(RAS), một phần rất quan trọng của các dịch vụ liên mạng ngày nay. Như chúng ta biết, càng ngày càng nhiều người dùng di động yêu cầu truy cập không chỉ tới tài nguyên mạng trung tâm mà cả với nguồn thông tin trên Internet. Sự phổ biến của Internet và Intranet trong các tổ chức đã thúc đẩy sự phát triển của các dịch vụ và thiết bị truy cập từ xa. Nhu cầu kết nối một cách đơn giản tới các tài nguyên của tổ chức từ các thiết bị máy tính di động như máy xách tay chẳng hạn ngày càng tăng. Sự xuất hiện của truy cập từ xa cũng là một trong các nguyên nhân của sự phát triển trong lĩnh vực bảo mật. Mô hình bảo mật xác thức – cấp quyền và kiểm toán(AAA) đã được phát triển để nhằm vào vấn đề bảo mật truy cập từ xa. AAA là một bộ khung được dùng để cấu hình ba chức năng an toàn cơ bản: xác thực, cấp quyền và kiểm toán. Ngày nay, mô hình an toàn AAA được sử dụng trong tất cả các kịch bản truy cập từ xa trong thực tế vì nó cho phép người quản trị mạng nhận dạng và trả lời ba câu hỏi quan trọng sau: - Ai đang truy cập mạng? - Người dùng được phép làm những gì? Và những hoạt động nào được hạn chế khi người dùng truy cập mạng thành công? - Người dùng đang làm gì và lúc nào? AAA được mô tả ngắn gọn như sau: - Xác thực(Authentication): Xác thực là bước đầu tiên đối với bảo mật. Đây là hoạt động xác định một người dùng(hoặc thực thể) là ai trước khi anh ta có thể truy cập các tài nguyên trong mạng. Xác thực có thể dưới nhiều dạng, dạng truyền thống sử dụng một tên đăng nhập và một mật khẩu cố định. Hầu hết các máy tính làm việc theo cách này. Tuy nhiên, phần lớn mật khẩu cố định có những giới hạn nhất định trong lĩnh vực bảo mật. Nhiều cơ chế xác thực hiện đại sử dụng mật khẩu một lần hay một truy vấn dạng yêu cầu – đáp ứng (Ví dụ các giao thức xác thực: PAP, CHAP, EAP…). Thông thường, xác thực xẩy ra lúc người dùng đăng nhập lần đầu tiên vào máy hoặc yêu cầu một dịch vụ từ nó - Cấp quyền(Authorization): Đây là hoạt động xác định một người dùng được phép làm những gì. Nghĩa là muốn nói đến việc kiểm soát các hoạt động mà người dùng được phép thực hiện trong mạng và tài nguyên mà người dùng được phép truy cập. Kết quả là, cấp quyền cung cấp các cơ chế cho việc kiểm soát truy cập từ xa bằng các phương tiện như: cấp quyền một lần, cấp quyề cho mỗi dịch vụ, trên từng danh sách tài khoản người dùng hoặc chính sách nhóm. Thông thường các thuộc tính, đặc quyền và quyền truy cập được biên dịch và lưu trữ tại một cơ sở dữ liệu trung tâm cho mục đích cấp quyền. Các thuộc tính và các quyền này quyết định những hoạt động mà một người dùng được phép thực hiện. Khi một người dùng cần được cấp quyền sau khi đã được xác thực thành công, các thuộc tính và quyền này được xác minh dựa vào cơ sở dữ liệu với người dùng và chuyển tiếp tới Server liên quan(ví dụ: Server truy cập từ xa). Thông thường, xác thực được thực hiện trước cấp quyền, nhưng điều đó là không nhất thiết phải yêu cầu như vậy. Nếu một tài nguyên mạng, như Server, nhận một yêu cầu cấp quyền mà không qua xác thực, Agent cấp quyền trên thiết bị mạng phải quyết định người dùng có thể truy cập thiết bị mạng và được phép thực hiện các dịch vụ đã xác định trong yêu cầu cấp quyền hay không . câu hỏi quan trọng sau: - Ai đang truy cập mạng? - Người dùng được phép làm những gì? Và những hoạt động nào được hạn chế khi người dùng truy cập mạng thành công? - Người dùng đang làm gì. nối Tổng kết chương III Trong chương III đã trình bày chi tiết về giao thức mạng riêng ảo thông dụng nhất – IPSec, chương này cũng xem xét các cơ sở của IPSec và các liên kết bảo mật - một. d. Security Protocol 2. Which of the following databases contain entries that might resemble a firewall rule? a. SPD b. SPI c. SAP d. SAD 3. ________ offers confidentiality and