đây là báo cáo về chuyên đề mạng viễn thông
Chương I: Giới thiệu chung về IPSEC 1. Giới thiệu chung về mạng riêng ảo(VPN). • VPN (Virtual Private Network) được định nghĩa như là một mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và bảo mật như một mạng riêng. • Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có các tính chất riêng của mạng cục bộ như khi sử dụng các đường kênh thuê riêng, đó là dữ liệu truyền luôn được dữ bí mật và chỉ có thể truy nhập bởi những người sử dụng được trao quyền. • Mạng riêng ảo sử dụng các phương pháp mật mã để bảo mật dữ liệu. Dữ liệu đàu ra được mật mã rồi chuyển vào mạng công cộng như các dữ liệu khác để truyền tới đích sau đó được giải mã tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm( tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì nó đã được mật mã. • Chức năng của VPN: VPN cung cấp 3 chức năng chính là tính xác thực, tính toàn vẹn và tính bí mật. Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khách hàng khảng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải một người khác. Tính toàn vẹn đảm bảo dữ liệu không bị thay đổi hay có bất kì sự xáo trộn nào trong quá trình truyền dẫn. Để đảm bảo tính bí mật của thông tin, người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. • Các mô hình VPN: có 2 mô hình: - Mô hình dựa trên khách hàng: mô hình chồng lấn: Mô hình chồng lấn còn được triển khai dưới dạng đường hầm. Hai công nghệ VPN đường hầm phổ biến là : IPSec( IP sercurity) GRE ( Generic Routing Encapsulation - đóng gói định tuyến chung). - Mô hình dựa trên mạng: mô hình ngang hàng. 2. Giới thiệu chung về IPsec • Giao thức IPSec được IETF(tổ chức tiêu chuẩn kĩ thuật internet) phát triển để thiết lập tính bảo mật trong mạng IP ở cấp độ gói. IPSec được định nghĩa là một họ giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển truy nhập giữa các thiết bị tham gia. Các thiết bị này c ó thể là các host hoặc là các security gateway (routers, firewalls, VPN concentrator, .) hoặc là g iữa 1 host và gateway như trong trường hợp remote access VPNs. • IPSec cho phép một đường hầm bảo mật thiết lập giữa hai mạng riêng và xác thực hai đầu của đường hầm này. Đường hầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu cầu an ninh được truyền trên đó. • Các giao thức chính sử dụng trong IPS ec: - IP Security Protocol (IPS ec ) o Authentication Header (AH) o Encapsulation Security Protocol ( E SP) - Message E n c ryp ti on o Data Encryption Standard (D E S) o Triple DES (3D E S) - Message Integrity (Hash) Fun cti ons o Hash-based Message Authentication Code (HMA C ) o Message Digest 5 (MD5) 1 o Secure Hash Algorithm-1 (SHA-1) - Peer Au t h e n ticati on o Rivest, Shamir, and Adelman (RSA) Digital S i gnu t ur e s o RSA Encrypted Non ce s - Key M a n a g e m e n t o Diffie-Hellman (D-H) o Certificate Authority ( C A) - Security Asso ciati on o Internet Exchange Key (IK E ) o Internet Security Association and Key Management Pro t o c o l (ISAKMP) 2 Chương II: Đóng gói thông tin IPSec 2.1 Các chế độ hoạt động: IPSec cung cấp 2 chế độ xác thực và mã hóa mức cao để thực hiện đóng gói thông tin, đó là chế độ truyền tải( Transport mode) và chế độ đường hầm(tunnel mode) 2.1.1 Chế độ truyền tải Trong chế độ truyền tải, vấn đề an ninh được cung cấp bởi các giao thức lớp cao trong mô hình OSI (từ 4 lớp trở lên). Chế độ này bảo vệ phần tải tin của gói nhưng vẫn để phần tiêu đề IP ban đầu ở dạng gốc như trong nguyên bản (hình 2.1). Địa chỉ IP ban đầu này được sử dụng để định tuyến gói qua internet. Hình 2.1 Xử lý gói tin IP ở chế độ truyền tải Chế độ truyền tải có ưu điểm: chỉ thêm vào gói tin ban đầu một số ít byte. Nhược điểm: cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý( vd phân tích lưu lượng) dựa trên các thông tin của tiêu đề IP. 2.1.2 Chế độ đường hầm: Trong chế độ đường hầm, toàn bộ gói IP ban đầu gồm cả tiêu đề được xác thực hoặc mật mã, sau đó được đóng gói với một tiêu đề IP mới (hình 2.2). Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP qua internet. Chế độ này cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý IPSec thay cho các trạm cuối (host). 3 Hình 2.2 Xử lý gói tin IP ở chế độ đường hầm. Ví dụ: Hình 2.3. Bộ định tuyến A xử lý các gói từ trạm A, gửi chúng vào đường hầm. Bộ định tuyến B xử lý các gói nhận được trong đường hầm, đưa về dạng ban đầu và chuyển chúng tới trạm B. Như vậy các trạm cuối không cần thay đổi mà vẫn có được tính an ninh dữ liệu của IPSec. Sử dụng chế độ đường hầm, các thiết bị trung gian trong mạng sẽ chỉ nhìn thấy được các địa chỉ 2 điểm cuối của đường hầm (A,B). Hình 2.3 Thiết bị mạng thực hiện IPSec trong chế độ đường hầm 2.2. Giao thức tiêu đề xác thực AH & giao thức đóng gói tải tin an toàn ESP 2.2.1. Giới thiệu: a) Giới thiệu giao thức AH Giao thức tiêu đề xác thực AH cung cấp khả năng xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ chống phát lại. Toàn vẹn dữ liệu là kiểm tra những thay đổi của từng gói tin IP không quan tâm đến vị trí các gói trong luồng lưu lượng. Dịch vụ chống phát lại là kiểm tra sự phát lặp lại một gói tin tới địa chỉ đích nhiều hơn một lần. AH cho phép xác thực các trường của tiêu đề IP cũng như dữ liệu của các giao thức lớp trên. Tuy nhiên, do một số trường của tiêu đề IP thay đổitrong khi truyền và phía phát không dự đoán trước được giá trị của chúng khi tới phía thu, giá trị của trường này không bảo vệ được bằng AH. Có thể nói AH chỉ bảo vệ một phần tiêu đề của IP, Giao thức tiêu đề xác thực AH nhanh hơn giao thức đóng gói tải tin an toàn ESP vì vậy có thể chọn AH trong trường hợp cần yêu cầu chắc chắn về nguồn gốc và tính toàn vẹn của dữ liệu, còn tính bảo mật dữ liệu thì không yêu cầu cao. Giao thức tiêu đề xác thực AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm một chiều đối với dữ liệu của gói để tạo ra một đoạn mã xác thực. Đoạn mã này được chèn vào thông tin của gói truyền đi. Khi đó bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng một hàm băm một chiều đối với gói dữ liệu nhận được và đối chiếu với giá trị mã xác thực truyền cùng với gói dữ liệu. b) Giới thiệu giao thức ESP ESP được sử dụng khi có yêu cầu cao về bảo mật của lưu lượng IPSec cần truyền. Nó cung cấp tính bảo mật dữ liệu bằng việc mật mã hóa các gói tin. ESP cũng cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật. 4 Hoạt động của ESP khác so với AH. ESP đóng gói tất cả hoặc một phần dữ liệu gốc. Do hỗ trợ khả năng bảo mật nên ESP có xu hướng được sử dụng rộng rãi hơn AH. Hình 2.5 Cơ chế đóng gói ESP 2.2.2 Cấu trúc gói tin AH: Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của gói IP, ở giữa phần tiêu đề IP và tiêu đề 4 lớp. Quá trình xử lý chèn tiêu đề AH được minh họa trên hình 2.4 Hình 2.4 Cấu trúc tiêu đề AH cho gói tin IPSec 5 +Tiêu đề kế tiếp ( Next header ) (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau AH. Giá trị của trường này được lựa chọn từ tập các giá trị số giao thức IP được định nghĩa bởi IANA (TCP_6; UDP_ 17). +Độ dài tải tin (Payload length) (8bit): Xác định độ dài của AH theo đơn vị 32bit (4 Byte). +Dự phòng (Reserved) (16 bit): trường này dùng để dự trữ sử dụng trong tương lai. Giá trị của trường này có thể đặt bằng 0 và có tham gia trong việc tính Authentication Data. +Chỉ số thông minh ( Security Parameter Index) (SPI): - SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1÷255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc. - Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA nào tồn tại. + Số thứ tự (Sequence number) (SN): - Trường 32 bit không dấu chứa một giá trị đếm tăng dần. SN là trưòng bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn phía thu có thể không cần phải xử lý nó. - Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do đó là một khoá mới) trước khi truyền gói thứ 2 32 của một SA. + Dữ liệu xác thực (Authentication Data): Trường này có độ dài biến đổi chứa một một giá trị kiểm tra tính toàn vẹn ICV (integrity Check Value) cho gói tin. Độ dài của trường này bằng số nguyên lần 32 bit (hay 4 Byte). Trường này có thể chứa một phần dữ liệu đệm kiểu tường minh (Explicit padding) để đảm bảo độ dài của AH header là số nguyên lần 32 bit (đối với IPv4) hoặc 64 bit (đối với IPv6). 2.2.3 Cấu trúc gói tin ESP: Khuôn dạng ESP 6 Hình 2.6 Khuôn dạng gói tin ESP Trong đó: + Security Parameter Index (SPI): - SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1÷255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc. - Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có SA nào tồn tại. + Sequence number (SN): - Trường 32 bit không dấu chứa một giá trị đếm tăng dần (SN). SN là trưòng bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn phía thu có thể không cần phải xử lý nó. - Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới, và do đó là một khoá mới) trước khi truyền gói thứ 2 32 của một SA. + Payload Data Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next header. Payload Data là trường bắt buộc và có độ dài bằng số nguyên lần Byte. + Padding Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay plaintext) phải là số nguyên lần khối các Byte (trong mật mã khối) thì Padding field được sử dụng để thêm vào Plaintext để có kích thước yêu cầu. 7 Padding cần thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4 Byte để phân biệt rõ ràng với trường Authentication Data. Ngoài ra padding còn có thể được sử dụng để che dấu độ dài thực của Payload, tuy nhiên mục dích này phải được cân nhắc vì nó ảnh hưởng tói băng tần truyền dẫn. Bên gửi có thể thêm 0÷255 Padding Byte. + Pad length Trường này xácđịnh số padding Byte đã thêm vào. Các giá trị hợp lệ là 0÷255. Pad length là trường bắt buộc. + Next header (8bit) Là một trường bắt buộc. Next header xác định kiểu dữ liệu chứa trong Payload Data. Giá trị của trường này được lựa chọn từ tập cácgiá trị IP Protocol Numbers định nghĩa bởi IANA + Authentication Data Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn ven ICV (integrity Check Value) tính trên dữ liệu của toàn bộ gói ESP trừ trường Authentication Data. Độ dài của trường phụ thuộc vào hàm xác thực được lựa chọn. trường này là tuỳ chọn, và chỉ được thêm vào nếu dịch vụ authentication được lựa chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ dài của ICV và các bước xử lý cũng như các luật so sánh cần thực hiện để kiểm tra tính toàn vẹn của gói tin. 2.2.4 Hoạt động của AH và ESP trong các chế độ (mode) AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác nhau tương ứng với hai mode: Transport mode và Tunnel mode. + Transport mode: Được sử dụng phổ biến cho những kết nối giữa các host hay giữa các thiết bị có chức năng như những host. Ví dụ, một cổng nối IPSec (đó có thể là bộ định tuyến phần mềm IOS, FIX Firewall, hay bộ tập trung VPN 3000 của Cisco) có thể xem như là một host khi được truy nhập bởi một nhà quản lý cấu hình hay những hoạt động điều khiển khác. Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ chế bảo mật cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần IP header luôn ở dạng “clear”. Trong Transport mode, AH được chèn vào sau tiêu đề IP và trước các giao thức lớp trên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn vào trước đó. + Tunnel mode: Được sử dụng giữa các cổng nối như các bộ định tuyến, những FIX Firewwall, những bộ tập trung. Tunnel mode cũng được sử dụng phổ biến khi một host kết nối tới 8 một trong những cổng nối đó để gia tăng truy nhập tới các mạng được điều khiển bởi cổng nối đó, như trong trường hợp những người dùng từ xa quay số truy cập tới một bộ định tuyến hay bộ tập trung. Hình 2.7: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH Hình 2.8: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH 9 Hình 2.9: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP Hình 2.10: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP Để có thể áp dụng AH và ESP trong chế độ Transport mode và Tunnel mode, IPSec yêu cầu phải hỗ trợ được cho tổ hợp của transport mode và Tunnel mode. Điều này được thực hiện bằng các sử dụng Tunnel mode để mã hoá và xác thực các gói và tiêu đề của nó rồi gắn AH hoặc ESP, hoặc dùng cả hai trong chế độ transport mode để bảo mật cho tiêu đề mới được tạo ra. AH và ESP không thể sử dụng chung trong Tunnel 10 [...]... thuật mật mã mạnh thời điểm đó Sau này máy tính tốc độ cao hơn đã bẻ gãy des trong khoảng thời gian ngắn nên des không được sử dụng cho những ứng dụng bảo mật cao Kỹ thuật DES_ CBC là một trong rất nhiều phương pháp của DES CBC (cipher block chaining ) chế độ chuỗi khối mật mã , yêu cầu một vecter khởi tạo IV để bắt đầu mật mã ipsec đảm bảo cả hai phái VPN có một IV hay một khóa bí mật chia sẻ khóa 123doc.vn