Đồ án Bảo mật thông tin IPSEC và TRIỂN KHAI HỆ THỐNG IPSECVPN TRÊN WINDOWS SERVER
Tìm hiểu về IPSEC
Giới thiệu về IPSEC
IPSEC ( Internet Protocol Security) là giao thức ở lớp Network (OSI) cho phép gửi nhận các gói
IPSEC cung cấp tính bảo mật và xác thực cho quá trình trao đổi dữ liệu thông qua việc mã hóa IP Tùy thuộc vào nhu cầu, IPSEC có thể sử dụng hai kiểu dịch vụ mã hóa là AH và ESP.
Mục đích chính của việc phát triển IPSEC là cung cấp một cơ cấu bảo mật ở tầng 3 trong mô hình OSI
IPSEC cũng là một thành phần quan trọng hỗ trợ giao thức L2TP ( Layer two tunneling protocol ) trong công nghệ mạng riêng ảo VPN.
Kiến trúc giao thức IPSEC
2.1 Mô hình chung: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 6
2.2 Các giao thức cơ bản trong IPSEC:
-Hai giao thức cơ bản để thực thi IPSEC là AH và ESP
-AH chỉ cung cấp các dịch vụ xác thực,ESP vừa cung cấp các dịch vụ bảo mật vừa cung cấp các dịch vụ xác thực
SA (Security Associations) là khái niệm cơ bản trong bộ giao thức IPSEC, đại diện cho một kết nối logic theo một hướng duy nhất giữa hai thực thể sử dụng dịch vụ IPSEC.
Hình biểu diễn 3 trường của SA Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 7
SPI (Security Parameter Index) là một trường 32 bit dùng để nhận diện giao thức bảo mật, được xác định bởi trường Security protocol trong bộ IPSEC SPI đóng vai trò quan trọng như phần đầu của giao thức bảo mật và thường được lựa chọn bởi hệ thống đích trong quá trình thỏa thuận.
Địa chỉ IP đích là địa chỉ của nút mà dữ liệu được gửi đến Hiện tại, cơ chế quản lý của SA chỉ được xác định cho hệ thống unicast, mặc dù nó có thể áp dụng cho các loại địa chỉ khác như broadcast và multicast.
Giao thức bảo mật IPSEC bao gồm hai thành phần chính là AH (Authentication Header) và ESP (Encapsulating Security Payload) Trong IPSEC, Security Association (SA) có thể được triển khai thông qua hai chế độ: Tunnel mode và Transport mode, mỗi chế độ mang lại các lợi ích và ứng dụng khác nhau trong việc bảo vệ dữ liệu truyền tải.
2.4 Transport mode và Tunnel mode:
IPSEC hiện đang hoạt động với hai chế độ chính: Chế độ Vận chuyển (Transport Mode) và Chế độ Tunneling (Tunnel Mode) Cả hai giao thức AH và ESP đều có khả năng hoạt động trong một trong hai chế độ này.
Hình minh họa hai chế độ làm việc của IPSEC
Giao thức AH
3.1 Các cơ chế bảo vệ được cung cấp bởi giao thức AH:
-Tính toàn vẹn thông tin( intergrity):Cơ chế này đảm bảo gói tin nhận được chính là gói tin đã gửi
-Xác thực nguồn gốc thông tin :Cơ chế này đảm bảo gói tin được gửi bởi chính người gửi ban đầu mà không phải là người khác.
Cơ chế chống phát lại (Replay protection) là một tính năng tùy chọn không bắt buộc, nhằm đảm bảo rằng một gói tin không bị phát lại nhiều lần Mặc dù đây là một thành phần bắt buộc đối với bên gửi, bên nhận có thể chọn sử dụng hoặc không sử dụng cơ chế này.
-Next header(8 bits):Xác định loại dữ liệu chứa trong tiêu đề AH.Sử dụng các quy ước của TCP/IP
Độ dài tiêu đề AH được xác định bởi trường Payload với độ dài 8 bits, tính bằng đơn vị từ I (32 bits) trừ đi 2 đơn vị Trường Reserved với 16 bits được dành riêng cho các mục đích chưa sử dụng và được gán chuỗi bit 0.
Chỉ số tham số bảo mật (SPI) là một giá trị 32 bit dùng để nhận dạng liên kết bảo mật (SA) Các giá trị từ 1 đến 255 được dành riêng cho các kết nối cụ thể, trong khi giá trị 0 được sử dụng cho mục đích đặc biệt Ví dụ, một cơ chế quản lý khóa có thể sử dụng SPI với giá trị 0 để chỉ ra rằng không có SA nào tồn tại, mặc dù quá trình IPSEC đã yêu cầu bộ quản lý khóa tạo một SA mới, nhưng SA này vẫn chưa được khởi tạo.
Số thứ tự gói truyền (32 bits) trên SA giúp bên gửi theo dõi và gửi chỉ số này cho bên nhận, từ đó hỗ trợ bên nhận trong việc thực hiện các biện pháp chống phát lại (anti-replay) nếu cần thiết.
Dữ liệu xác thực là một trường có kích thước không xác định, đóng vai trò quan trọng trong AH (Authentication Header) Trường này bao gồm giá trị kiểm tra toàn vẹn (ICV), được bên nhận sử dụng để xác minh tính toàn vẹn và tính xác thực của thông điệp Nếu cần thiết, trường này có thể được thêm vào để đảm bảo tổng chiều dài của AH là bội số của 32 bits cho IPv4 và 64 bits cho IPv6.
3.3:Vị trí của AH trong gói tin IP: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 9
Hình trên mô tả vị trí của tiêu đề AH trong các gói tin Ipv4 và Ipv6
-Trong Ipv4 ,AH theo sau tiêu đề của gói tin Ip,tiếp đến là các tiêu đề của các giao thức ở trên ( TCP,UDP ,ICMP) hoặc tiêu đề ESP
Trong IPv6, vị trí của AH tương tự như trong IPv4, nhưng có thêm các tiêu đề tùy chọn Các tiêu đề mở rộng trong IPv6 như tiêu đề hop-by-hop, tiêu đề định tuyến và tiêu đề phân mảnh đứng trước AH Trong khi đó, tiêu đề đích tùy chọn có thể đứng trước hoặc theo sau AH, tùy thuộc vào thứ tự xử lý xác thực Vị trí tương quan giữa tiêu đề này và AH phụ thuộc vào quá trình xác thực diễn ra trước hay sau khi xử lý tiêu đề đích.
3.4 Các chế độ làm việc trong AH: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 10
Chế độ Transport với AH thường được sử dụng để xác thực đầu cuối giữa hai host, trong khi chế độ tunnel được áp dụng khi hai SG bảo vệ nhiều host trong một mạng Hình ảnh minh họa vị trí của AH trong chế độ tunnel, cho thấy rằng chế độ này cũng có thể được sử dụng trong truyền thông giữa hai host, với địa chỉ trong tiêu đề IP ban đầu và tiêu đề IP bổ sung là giống nhau Tiêu đề lồng (nested header) trong AH là một khái niệm quan trọng trong cấu trúc này.
Nhiều SA có thể truyền tải cùng một thông điệp Nếu hai đầu cuối của các thông điệp này giống nhau, các AH được gọi là Adjacent AH Ngược lại, nếu một hoặc hai đầu cuối của các SA khác nhau, các AH sẽ được gọi là AH lồng (nested AH).
-Adjacent AH không cung cấp thêm bất cứ sự bảo vệ nào cả , việc áp dụng chúng là không bắt buộc (not mandated)
Nested AH có thể được áp dụng trong một số tình huống cụ thể Đồ án bảo mật thông tin liên quan đến IPSEC và việc triển khai hệ thống IPSEC/VPN trên Windows Server 2003 là một ví dụ điển hình.
Hình ảnh minh họa một trường hợp sử dụng AH lồng nhau (nested AHs), trong đó Host 1 và Host 2 yêu cầu xác thực đầu cuối Tuy nhiên, các gateway của mỗi host yêu cầu xác thực tất cả các gói tin qua gateway Trong tình huống này, AH lồng nhau được áp dụng để đáp ứng các yêu cầu xác thực.
3.6:Việc xử lí tiêu đề IPSEC:
Cơ chế xử lý thông điệp trong mạng diễn ra như sau: Đối với thông điệp đi ra (Outbound messages), tiêu đề IP được thêm vào, sau đó có thể được phân mảnh nếu cần thiết Tiếp theo, chúng được chuyển xuống các tầng dưới và ra ngoài Đối với thông điệp đi vào, chúng sẽ được giải phân mảnh nếu cần, sau đó loại bỏ tiêu đề IP và chuyển lên các lớp trên để xử lý.
Khi áp dụng IPSEC, cần phải điều chỉnh các cơ chế xử lý để đảm bảo hiệu quả Có ba phương pháp chính để giải quyết vấn đề này: Đồ án bảo mật thông tin – IPSEC và triển khai hệ thống IPSEC/VPN trên Windows Server 2003.
Thay đổi cấu trúc mạng (mã ngăn xếp IP) là một phương pháp tiếp cận trực tiếp, nhưng yêu cầu thay đổi trong lớp nhân (mã kernel) Do đó, phương pháp này thường được áp dụng bởi các nhà phát triển hệ thống và có thể được sử dụng cho cả máy chủ và cổng.
Tách cấu trúc IP ra khỏi cấu mạng, một phương pháp không yêu cầu thay đổi cấu trúc của nhân, nhưng cần điều chỉnh các cơ chế phân mảnh và giải phân mảnh Phương pháp này thường được gọi là “Bump in the stack” (BITS) vì gói IPsec nằm giữa tầng Internet và tầng Network trong mô hình mạng Nó thường được áp dụng cho cả host và gateway, nhưng chủ yếu cho các host trong hệ điều hành cũ (legacy operating systems).
IPSEC can be deployed externally from the system using a method known as "Bump in the Wire" (BITW) In this approach, IPSEC can be integrated into routers or firewalls, where it can either be embedded within these devices or operate independently in a dedicated IPSEC box Additionally, it can be assigned to a specific host for enhanced security.
,gateway hoặc một máy đa năng
3.7:Quá trình xử lí của AH đối với các gói tin Outbound:
Giao thức ESP
4.1:Các cơ chế bảo vệ được cung cấp bởi cơ chế ESP
ESP cung cấp hai cơ chế bảo vệ: một là cơ chế riêng của ESP và một là cơ chế lặp lại từ AH Các cơ chế bảo vệ mà ESP cung cấp, nhưng AH không có, bao gồm những tính năng bổ sung giúp tăng cường an ninh cho dữ liệu.
Tính riêng tư trong giao tiếp đảm bảo rằng thông điệp chỉ có bên gửi và bên nhận mới hiểu được, ngay cả khi nó bị chặn trên đường truyền, bên trung gian cũng không thể giải mã nội dung.
Bảo vệ việc phân tích truyền thông trong chế độ tunnel là rất quan trọng, vì nó ngăn chặn các bên trung gian xác định các đối tượng đang liên lạc, cũng như tần số và lượng thông tin được trao đổi giữa họ.
ESP có thể cung cấp một số cơ chế bảo vệ đã được cung cấp trong AH:Tính toàn vẹn dữ liệu ,xác thực nguồn gốc ,chống phát lại
Có sự khác biệt giữa tính toàn vẹn dữ liệu và xác thực nguồn gốc do AH và ESP cung cấp AH hoạt động ở chế độ transport, bảo vệ cả tiêu đề IP và dữ liệu trong gói, trong khi ESP chỉ bảo vệ dữ liệu Ở chế độ tunnel, cả hai cơ chế đều bảo vệ tiêu đề ban đầu, nhưng chỉ AH bảo vệ tiêu đề bên ngoài Tuy nhiên, việc tạo SA có thể gián tiếp xác thực địa chỉ IP, từ đó giúp xóa bỏ sự khác biệt này.
4.2 Cấu trúc của ESP: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 23
ESP gồm có các trường sau:
-SPI giá trị được cất vào SAD
-Sequence number:Tương tự như đối với AH
-Pay load data là gói dữ liệu ip đã được mã hóa
-Padding(độ dài bất kì ) và pad length ( 8 bits) dữ liệu chèn và kích thước của nó
-Next header :Loại dữ liệu bên trong ESP
-Authentiaction data (bội số của 32 bits):Thông tin xác thực được tình trên toàn bộ gói ESP ngoại trừ phần authentiaction data
ESP header thường được chia làm bốn phần như sau:
-Initial ESP header chứa SPI và sequence number
Dữ liệu chứa các thông tin đặc biệt không được mã hóa (nếu có), bao gồm phần mở rộng tiêu đề của địa chỉ đích theo sau tiêu đề ESP (chỉ áp dụng trong IPv6), tiêu đề TCP hoặc UDP, cùng với dữ liệu của thông điệp.
-ESP trailer chứa padding ( nếu có ),trường pad length, và trường next header
-ESP authentication data chứa các dữ liệu xác thực nếu có
4.3:Vị trí và các mode làm việc của ESP:
ESP header có thể hoạt động trong cả chế độ transport và tunnel Trong IPv4, ESP transport header có thể theo sau IP header hoặc AH, tiếp theo là trường next header (TCP, UDP, ICMP) Trong khi đó, ở IPv6, ESP header có thể đứng sau hoặc trước nhiều tiêu đề mở rộng như hop by hop, routing, fragment, hoặc destination header option Vị trí của destination header option có thể nằm sau ESP header, tùy thuộc vào quy trình xử lý riêng Nếu gói tin đã được mã hóa, destination option header sau ESP header sẽ không thể được đọc bởi bất kỳ đích đến trung gian nào và chỉ trở lại hiển thị khi quá trình xử lý ESP header mã hóa hoàn tất tại đích đến cuối cùng.
Hình ảnh dưới đây minh họa vị trí của header ESP trong chế độ tunnel Đối với IPv4, header ESP nằm sau header IP mới và trước header IP gốc Còn trong IPv6, header ESP theo sau các trường mở rộng (nếu có) như trong chế độ transport và đứng trước header IP gốc.
4.4: Nested và Adjacent header trong ESP
Việc áp dụng nhiều hơn một Security Association (SA) cho một thông điệp trở nên phức tạp khi sử dụng hai loại security header Nếu sử dụng adjacent header, như khi các điểm đầu cuối của cả hai SA giống nhau, AH header sẽ đứng trước ESP header Điều này có nghĩa là gói tin sẽ được mã hóa trước khi xác thực, giúp bảo vệ gói tin đã mã hóa khỏi vấn đề xáo trộn Tuy nhiên, kết quả này có thể đạt được tốt hơn bằng cách sử dụng ESP header, cung cấp cả xác thực và mã hóa.
Nested header thường được sử dụng để bảo vệ truyền thông giữa các gateway, đặc biệt là khi hai gateway SG1 và SG2 yêu cầu xác thực và mã hóa cho tất cả các giao tiếp Việc này có thể thực hiện qua ESP SA cung cấp cả xác thực và mã hóa, hoặc qua một AH và ESP SA lân cận Để bảo vệ truyền thông giữa các host H1 và H2, SA nên sử dụng tunnel mode, tuy nhiên, điều này có thể khiến truyền thông giữa H1 và SG1 không được bảo vệ Nếu H1 không tin tưởng vào security gateway của nó hoặc có người dùng không đáng tin cậy trong mạng cục bộ, H1 cần xác thực truyền thông trong mạng cục bộ Giải pháp lý tưởng cho vấn đề này là sử dụng một nested SA, bao gồm một cặp ESP tunnel mode SA giữa SG1 và SG2 cùng với một cặp AH transport mode SA giữa H1 và H2.
Khi một thông điệp được truyền từ H1 đến H2, nó sử dụng chế độ vận chuyển AH từ H1 đến SG1 Tiếp theo, khi thông điệp di chuyển từ SG1 đến SG2, nó kết hợp giữa AH và ESP thông qua một tiêu đề chế độ vận chuyển AH bên trong và một tiêu đề chế độ đường hầm ESP bên ngoài Cuối cùng, khi thông điệp được truyền từ SG2 đến H2, chỉ còn lại tiêu đề chế độ vận chuyển AH.
4.5 Quá trình xử lí ESP đối với các thông điệp Outbond
Các bước xử lý tương tự như đối với AH sẽ không được trình bày chi tiết ở đây Khi thông điệp Outbound được bảo vệ bởi ESP header và Outbound SA đã được xác định để quản lý thông điệp, nó sẽ được chuyển sang các quá trình xử lý trong IPSEC, bao gồm các bước liên quan đến đồ án bảo mật thông tin và triển khai hệ thống IPSEC/VPN trên Windows Server 2003.
-1:Thêm một khuôn dạng ESP header vào vị trí thích hợp
-2:Thêm vào trường SPI bằng giá trị SPI của SA đuợc chọn
-3:Tính toán trường sequence number
Nếu quá trình mã hóa diễn ra, thuật toán mã hóa sẽ cần một số dữ liệu không được mã hóa để thực hiện Những dữ liệu này sẽ được thêm vào gói tin.
-5:Thêm tunnel header nếu cần thiết
-6:Thêm các dữ liệu còn lại của gói tin
Khi cần thiết, hãy tính toán chiều dài của phần padding Các giá trị padding nên được xác định bởi một thuật toán mã hóa cụ thể, hoặc nếu không có thuật toán nào được xác định trước, có thể sử dụng một chuỗi các số tự nhiên liên tiếp làm phần padding.
Khi SA yêu cầu mã hóa dữ liệu, các trường packet data, padding, pad length và next header sẽ được mã hóa cùng với tunnel header trong chế độ tunnel Các thuật toán mã hóa được sử dụng trong quá trình xử lý IPSEC với ESP bao gồm DES-CBC hoặc null encrypt algorithm Thuật toán null không cung cấp mã hóa dữ liệu, do đó, để đảm bảo tính riêng tư và xác thực, khi sử dụng null encrypt algorithm, không được sử dụng null authentication algorithm để xác thực.
When authentication is required by the Security Association (SA), it is essential to calculate the authentication data, which includes the initial ESP header and the encrypted data The authentication algorithms utilized in the IPsec processing for ESP are HMAC-MD5, HMAC-SHA1, and the null authentication algorithm The null authentication algorithm does not provide any authentication Since the ESP header must ensure integrity, authenticity, or both, if the null authentication algorithm is employed, the null encryption algorithm cannot be used for encryption.
-11:Phân mảnh nếu cần thiết
4.6:Quá trình xử lí ESP đối với các thông điệp Inbound:
Quản lý khóa với IKE
5.1 Tổng quan về quản lý khóa:
Bộ IPSec cung cấp ba khả năng chính: xác nhận và tính toàn vẹn dữ liệu thông qua hai giao thức AH và ESP, cùng với tính cẩn mật Để thực hiện quản lý khóa, IPSec sử dụng giao thức Internet Exchange Key (IKE), giúp thỏa thuận các giao thức bảo mật và thuật toán mã hóa trong suốt quá trình giao dịch.
IKE SA là một quá trình hai chiều, cung cấp kênh giao tiếp bảo mật giữa hai bên thông qua cookies từ bên khởi tạo và cookies phản hồi từ đối tác Thứ tự cookies được thiết lập trong phase 1 sẽ xác định IKE SA, bất kể chiều hướng Chức năng chính của IKE là thiết lập và duy trì các SA, với các thuộc tính tối thiểu cần thống nhất giữa hai bên như một phần của ISAKMP SA.
- Thuật giải băm được sử dụng
- Phương thức xác thực sẽ dùng
- Thông tin về nhóm và giải thuật DH
IKE thực hiện việc dò tìm, xác thực, quản lý và trao đổi khóa trong giao thức IPSec Nó tìm kiếm một hợp đồng giữa hai đầu cuối IPSec và sau đó thiết lập SA để theo dõi tất cả các thành phần của phiên làm việc IPSec Sau khi quá trình dò tìm thành công, các thông số SA hợp lệ sẽ được lưu trữ trong cơ sở dữ liệu của SA.
5.2 IKE Phases : Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 33
IKE có giai đoạn làm việc đó là : giai đoạn 1 và giai đoạn 2 có một số đặc điểm chung như hình minh họa bên dưới
Trong một phiên làm việc của IKE, cần thiết phải có một kênh bảo mật được thiết lập trước đó Kênh bảo mật này phải được hoàn tất trước khi bất kỳ thỏa thuận nào được thực hiện.
Để thiết lập SA, trước tiên cần xác nhận các điểm thông tin và thiết lập một kênh bảo mật Sau đó, thông tin thỏa thuận về SA ISAKMP sẽ được đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm và các phương pháp xác nhận bảo vệ mã khóa.
Sau khi cơ chế mã hóa và hàm băm được thống nhất, một khóa bí mật sẽ được tạo ra Thông tin cần thiết để phát sinh khóa bí mật bao gồm giá trị Diffie-Hellman và SPI.
ISAKMP SA ở dạng cookies, số ngẫu nhiên known as nonces (dùng ký xác nhận)
Nếu hai bên thống nhất sử dụng phương pháp xác thực dựa trên public key, họ cần phải trao đổi ID Sau khi hoàn tất việc chia sẻ thông tin cần thiết, mỗi bên sẽ tạo ra khóa riêng của mình để chia sẻ bí mật Nhờ đó, các khóa mã hóa được tạo ra mà không cần phải trao đổi trực tiếp bất kỳ khóa nào qua mạng.
Trong giai đoạn 1 của thỏa thuận, việc thiết lập SA cho ISAKMP được thực hiện, trong khi giai đoạn 2 tập trung vào việc thiết lập SAs cho IPSec Giai đoạn này liên quan đến nhiều dịch vụ khác nhau trong quá trình thỏa thuận Cơ chế xác nhận, hàm băm và thuật toán mã hóa được sử dụng để bảo vệ gói dữ liệu IPSec tiếp theo, thông qua AH và ESP, là những yếu tố quan trọng trong giai đoạn thiết lập SA.
Sự thỏa thuận trong giai đoạn này diễn ra thường xuyên hơn so với giai đoạn 1, với khả năng lặp lại sau mỗi 4-5 phút Việc thay đổi mã khóa liên tục giúp ngăn chặn các hacker bẻ gãy khóa và truy cập vào nội dung của gói dữ liệu.
Phiên làm việc ở giai đoạn 2 tương đương với một phiên làm việc đơn ở giai đoạn 1, nhưng nhiều thay đổi trong giai đoạn 2 có thể được hỗ trợ bởi một trường hợp đơn ở giai đoạn 1 Điều này giúp quá trình giao dịch trở nên nhanh chóng hơn mặc dù thực tế có thể chậm chạp.
5.3 IKE Modes Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 34
Oakley là một giao thức quan trọng trong IKE, định nghĩa bốn chế độ IKE phổ biến: chế độ chính (Main mode), chế độ linh hoạt (Aggressive mode), chế độ nhanh (Quick mode) và chế độ nhóm mới (Neu Group mode).
Chế độ xác nhận và bảo vệ tính đồng nhất giữa các bên liên quan trong quá trình giao dịch bao gồm việc trao đổi 6 thông điệp quan trọng.
+ Hai thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi
Hai thông điệp tiếp theo được sử dụng để thay đổi các khóa Diffie-Hellman và nonces, đóng vai trò quan trọng trong cơ chế mã hóa.
Chế độ này gửi hai thông điệp cuối cùng nhằm xác nhận các bên giao dịch thông qua chữ ký, hàm băm và chứng nhận tùy chọn.
Chế độ Aggressive tương tự như chế độ Main, nhưng chỉ khác ở chỗ chế độ này trao đổi 3 thông điệp thay vì 6 như chế độ Main Nhờ đó, Aggressive mode hoạt động nhanh hơn Main mode.
+ Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật , pass data cho khóa chính và trao đổi nonces cho việc ký và xác minh tiếp theo
+ Thông điệp kế tiếp hồi đáp lại cho thông điệp đầu tiên Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa
PF keys trong IPSEC
Mặc dù chế độ này được thực hiện sau giai đoạn 1 nhưng nó không thuộc giai đoạn 2
Ngoài bốn chế độ phổ biến, chế độ Information mode cũng rất quan trọng Chế độ này hoạt động song song với quá trình thay đổi trong giai đoạn 2 và SAs, cung cấp thông tin bổ sung cho các bên liên quan dựa trên những thất bại trong quá trình thỏa thuận Ví dụ, nếu việc giải mã không thành công tại người nhận hoặc chữ ký không được xác minh, chế độ Informational mode sẽ thông báo cho các bên khác về tình huống này.
Khả năng tương tác giữa IPSec và IKE là yếu tố quan trọng cho việc triển khai IPSec rộng rãi Việc thực thi IPSec và IKE trên hai máy khác nhau trong cùng một host có thể thực hiện được, nhưng phụ thuộc vào định dạng, nội dung và trình tự các tin nhắn trao đổi giữa chúng Để giải quyết vấn đề này, PF_Key đã được phát triển nhằm tiêu chuẩn hóa giao tiếp cục bộ và nâng cao khả năng tương tác giữa IPSec và IKE.
Trong hình thức chung nhất, PF_Key là một giao diện trình ứng dụng (API: Application
Giao diện lập trình (Programming Interface) giữa ứng dụng trao đổi SA, như IKE, và mức hệ thống thường tạo ra và truy cập vào cơ sở dữ liệu SA.
Trong thực tế, 1 quy trình IPSec thông thường thể hiện 2 chức năng khác nhau:
_Tạo ra và duy trì SAD
_Ứng dụng 1 SA cụ thể trên đường truyền vào-ra
Việc tạo ra và duy trì SAD bao gồm: thêm IPSec SAs vào SAD, nhận SAs từ SAD và xóa các SAs hết hạn ra khỏi SAD
PF_Key RFC sử dụng thuật ngữ “key engine” để mô tả cách các IPSec tạo ra và duy trì Security Association Database (SAD) Mặc dù IKE thực chất là một ứng dụng trao đổi Security Association (SA), nhưng do tính phổ biến, nó thường được gọi là ứng dụng trao đổi khóa Bài viết này sẽ tập trung vào bảo mật thông tin qua IPSEC và cách triển khai hệ thống IPSEC/VPN trên Windows Server 2003.
6.2 Cấu tạo: a.PF_Key API bao gồm 10 tin nhắn:
IKE gửi hai tin nhắn SADB_Register đến IPSec để thông báo rằng IKE hiện có khả năng thương lượng và trao đổi cả hai loại IPSec SAs: AH và ESP.
2.SADB_Acquire: Khi 1 trình ứng dụng truyền ra ngoài với sự đòi hỏi bảo vệ của IPSec, nhưng
SA thì không có SA thích hợp, lúc đó IPSec gởi 1 SADB_Acquire tới tất cả trình ứng dụng đã đăng ký, bao gồm luôn cả IKE
SADB_GetSPI là một chức năng quan trọng trong việc trao đổi IPSec SA, nơi IKE tạo ra một SPI duy nhất để nhận diện SA SPI được gửi trong tin Quick Mode đầu tiên hoặc thứ hai cùng với IPSec SA dự kiến Để đảm bảo tính duy nhất và phù hợp với các ràng buộc cục bộ, IPSec nên tự tạo ra tất cả các SPI Một yêu cầu quan trọng là giá trị của SPI phải lớn hơn 255.
4.SADB_Update: Mỗi một IKE thỏa mãn, việc trao đổi IPSec SA hoàn thành, “larval” (1 phần
IPSec SA) bên trong IPSec SA sẽ truyền đến SAD IKE gởi 1 SADB_Update tới IPSec , bao gồm tất cả các thông số IPSec SA đã được đàm phán
SADB_Add là một PF_Key được sử dụng khi thêm một SA vào SAD với đầy đủ hình thức Tin nhắn SADB_Add, sau khi loại bỏ khóa bí mật, sẽ được gửi trở lại từ IPSec tới tất cả các ứng dụng đã đăng ký.
6.SADB_Get: Ta có 1 ví dụ như sau, một nhà quản trị mạng muốn kiểm tra định kỳ toàn bộ
Trong trường hợp có một SA đặc biệt trong SAD, một yêu cầu SADB_Get có thể được gửi từ một ứng dụng có quyền đến IPSec để lấy thông tin về một SA cụ thể.
SADB_Dumb là một công cụ tương tự như SADB_Get, được sử dụng để hiển thị tất cả các SA trong SAD hoặc các SA cụ thể Khi một ứng dụng đặc quyền gửi yêu cầu SADB_Dump đến IPSec, IPSec sẽ trả về số thứ tự của SADB_Dump, kèm theo thông tin chi tiết của từng SA cho các ứng dụng đã phát ra yêu cầu này.
Khi thời gian sử dụng của SA gần hết, IPSec sẽ gửi thông điệp SADB_Expire đến IKE để gợi ý bắt đầu đàm phán SA mới Thông điệp này cũng bao gồm thông tin về thời gian sử dụng hiện tại của SA, thời gian đã sử dụng và số gói đã gửi.
Khi một IPSec SA hết hạn hoặc cần bị xóa do lỗi hệ thống hoặc vấn đề bảo mật, IKE sẽ gửi một yêu cầu SADB_Delete tới IPSec Yêu cầu này sẽ xác định SA tương ứng trong SAD dựa trên địa chỉ nguồn, địa chỉ đích và SPI Sau đó, IPSec sẽ tiến hành xóa SA và gửi thông báo xác nhận.
SADB_Delete tới các trình ứng dụng đã đăng ký
SADB_Flush là một lệnh mở rộng của SADB_Delete, cho phép xóa tất cả các SA cụ thể, IPSec SA hoặc tất cả các SA trong SAD Việc này thường cần thiết khi khởi động lại SAD trong các dự án bảo mật thông tin như IPSEC và triển khai hệ thống IPSEC/VPN trên Windows Server 2003 Chương trình ứng dụng có quyền hoặc chương trình trao đổi khóa có thể sử dụng SADB_Flush để thực hiện chức năng này Khi IPSec xóa tất cả các SA liên quan, nó sẽ thông báo SADB_Flush đến tất cả các ứng dụng đã đăng ký.
Mỗi PF_Key chứa các thành phần bất biến, tiêu đề tin nhắn nền tảng, bao gồm các thông tin dưới đây:
.PF_Key message type: loại PF_Key message, chẳng hạn như SADB_Register, SADB_Flush…
Số thứ tự PF_Key là giá trị được tạo ra bởi IPSec trong SADB_Acquire, nhằm khởi đầu một chuỗi số đặc biệt của PF_Key, và nó sẽ được bao gồm trong các bước tiếp theo của quá trình tạo.
Quy trình ID chương trình quản lý khóa: Giá trị PID sẽ bằng không nếu việc trao đổi tin nhắn được khởi tạo bởi IPSec Ngược lại, nếu thông điệp trao đổi, như SADB_GetSPI, được khởi tạo bởi chương trình quản lý khóa và được thông báo lại bởi IPSec, nó sẽ bao gồm PID của chương trình trao đổi khóa đã được khởi tạo.
Để nâng cao tính năng của các tiêu đề tin nhắn cơ bản, hầu hết các PF_Key đều bao gồm một hoặc nhiều tiêu đề mở rộng Mỗi loại PF_Key này yêu cầu và tùy chọn các tiêu đề mở rộng, bao gồm nhiều thành phần khác nhau.
_Security Association: sự kết hợp an toàn
_Algorithms Supported: thuật toán hỗ trợ
Triển khai IPSEC
8.1.Các tác động bảo mật: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 41
IPSEC của Microsoft cung cấp bốn tác động bảo mật quan trọng, giúp thiết lập các cuộc trao đổi thông tin an toàn giữa các máy Những tác động này đảm bảo rằng dữ liệu được truyền tải một cách bảo mật, bảo vệ hệ thống khỏi các mối đe dọa và nâng cao tính toàn vẹn của thông tin.
- Block: Có chức năng ngăn chặn những gói dữ liệu được truyền
-Encrypt: Có chức năng mã hóa những gói dữ liệu được truyền IPSEC sử dụng giao thức ESP để mã hóa dữ liệu
-Sign: Có chức năng ký tên vào các gói dữ liệu truyền IPSEC cho phép làm điều này bằng một giao thức AH
-Permit: Có chức năng cho phép dữ liệu được truyền qua, chúng dùng để tạo ra các qui tắc hạn chế một số điều
8.2.Các phương pháp chứng thực được Microsoft hỗ trợ:
- Kerberos: Chỉ áp dụng được giữa các máy trong cùng một miền Active Directory
-Certificate: Cho phép sử dụng các chứng chỉ PKI ( public key infrastructure ) để nhận diện một máy
-Agreed-upon key: Dùng chìa khóa chia sẻ trước khi cho phép dùng một chuỗi kí tự thông thường làm chìa khóa
Triển khai IPSEC yêu cầu thiết lập chính sách, trong đó mỗi chính sách bao gồm một số quy tắc và phương pháp chứng thực Mỗi quy tắc được cấu thành từ nhiều bộ lọc và tác động bảo mật khác nhau Lưu ý rằng chỉ có một chính sách IPSEC được áp dụng tại một thời điểm.
Chính sách quy định máy tính của bạn không sử dụng IPSEC trừ khi có yêu cầu từ máy đối tác Chính sách này bao gồm một quy tắc gọi là Default Response, cho phép host đáp ứng yêu cầu ESP và các host trong các miền Active Directory tin cậy.
Chính sách Request Security trên máy chủ quy định rằng server sẽ tự động cố gắng khởi tạo IPSEC khi thiết lập kết nối với các máy tính khác Tuy nhiên, nếu client không hỗ trợ IPSEC, server vẫn sẽ chấp nhận kết nối bình thường.
Chính sách này có 3 rule :
ICMP Traffic là giao thức quan trọng trong TCP/IP, có chức năng thông báo lỗi và hỗ trợ kết nối đơn giản Bài viết này tập trung vào bảo mật thông tin thông qua IPSEC và cách triển khai hệ thống IPSEC/VPN trên Windows Server 2003.
▪ All IP Traffic: đòi hỏi ESP cho tất cả lưu lượng IP
+ Secure Server ( Require Security ): chính sách này qui định không cho phép bất cứ cuộc trao đôi dữ liệu với server hiện tại mà không dùng IPSEC
8.4.IPSEC làm việc như thế nào :
Có thể cấu hình IPSEC thông qua Local policy hoặc triển khai trên diện rộng dùng Active
Giả sử có hai máy tính A và B đã được cấu hình chính sách IPSEC Sau khi hoàn tất cấu hình, chính sách IPSEC sẽ hướng dẫn Driver IPSEC cách thức hoạt động và thiết lập các kết nối bảo mật giữa hai máy khi chúng kết nối với nhau.
Các liên kết bảo mật đóng vai trò quan trọng trong việc xác định các giao thức mã hóa phù hợp cho từng loại thông tin giao tiếp và các phương thức xác thực sẽ được thương lượng.
Liên kết bảo mật thông qua giao thức IKE có vai trò quan trọng trong việc thương lượng và thiết lập kết nối an toàn IKE kết hợp hai giao thức chính là ISAKMP (Internet Security Association and Key Management Protocol) và Oakley Key Determination Protocol Tuy nhiên, nếu máy A yêu cầu xác thực bằng Certificate trong khi máy B sử dụng giao thức Kerberos, IKE sẽ không thể thiết lập liên kết bảo mật giữa hai máy Khi sử dụng Network Monitor để theo dõi, chúng ta sẽ không thấy các gói AH hoặc ESP, vì giao tiếp IPSEC chưa được thiết lập, mà chỉ quan sát được các gói ISAKMP.
Khi một liên kết bảo mật được thiết lập giữa hai máy, IPSEC Driver sẽ theo dõi toàn bộ lưu lượng IP Nó sẽ so sánh lưu lượng này với các quy tắc đã được định nghĩa trong các bộ lọc Nếu lưu lượng đáp ứng các tiêu chí, nó sẽ được mã hóa hoặc xác nhận.
