Đồ án tốt nghiệp Nghiên cứu công nghệ bảo mật gói IP (IPSec) và ứng dụng bảo mật thông tin trên mạng

Ứng dụng của công nghệ thông tin ngày càng đóng vai trò quan trọng trong mọi lĩnh vực. Đó chính là sự trao đổi, chia sẻ, truyền và lưu trữ thông tin trên hệ thống mạng. Tuy nhiên vấn đề bảo vệ thông tin đã và đang trở thành một vấn đề nóng, và ngày càng cần thiết với các cá nhân, tổ chức, doanh nghiệp. Việc đảm bảo an toàn thông tin trên mạng là công việc hết sức cần thiết và có giá trị thực tiễn đối với các công ty, các tổ chức đã đưa công nghệ thông tin vào sử dụng.Cho dù chúng ta đang làm việc ở đâu, trên mạng Internet công cộng hay đang duy trì một mạng riêng, việc bảo mật các dữ liệu luôn là các yêu cầu cốt lõi và thiết yếu.

MỤC LỤC

MỤC LỤC i

DANH MỤC CÁC HÌNH VẼ iv

DANH MỤC CÁC TỪ VIẾT TẮT vi

LỜI NÓI ĐẦU 1

CHƯƠNG 1: GIỚI THIỆU TỔNG QUAN VỀ TNH HÌNH AN NINH MẠNG 3

1.1.Tổng quan tình hình an ninh mạng những năm gần đây 3

1.1.1.Thực trạng về vấn đề bảo mật và an ninh mạng 3

1.1.2.Các vụ tấn công qua mạng Internet 3

1.1.3.Những nguy hiểm đối với người truy cập mạng và cách phòng tránh 5

1.2.Các kiểu tấn công trên mạng và các giải pháp phòng chống 8

1.2.1.Kĩ thuật bắt gói tin dùng Sniff 8

1.2.1.1.Các loại Sniff và cơ chế hoạt động 9

1.2.1.2.Cách phòng chống Sniff 10

1.2.2.Phishing 11

1.2.2.1.Cơ chế hoạt động 11

1.2.2.2.Cách phòng phòng chống 11

1.2.3.SQL injection 11

1.2.3.1.Dạng tấn công vượt qua kiểm tra đăng nhập 12

1.2.3.2.Dạng tấn công sử dụng câu lệnh SELECT 12

1.2.3.3.Dạng tấn công sử dụng câu lệnh INSERT 13

1.2.3.4.Dạng tấn công sử dụng stored-procedures 14

1.2.3.5.Cách phòng chống sql injection 14

1.2.4.Tấn công từ chối dịch vụ 14

1.2.4.1.SYN Attack 14

1.2.4.2.Tấn công Ping of Death 15

1.2.4.3.Tấn công Teardrop 16

1.2.4.4.Tấn công từ chối dịch vụ kiểu phân tán-DDos 16

1.2.4.5.Cách phòng chống tấn công từ chối dịch vụ 17

1.2.5.Tấn công theo kiểu đứng giữa(Man-in-the-middle Attack) 18

1.2.5.1.Cơ chế hoạt động 18

1.2.5.2.Cách thức phòng chống 18

CHƯƠNG 2: NGHIÊN CỨU VỀ BỘ GIAO THỨC BẢO VỆ GÓI IP-IPSEC 19

2.1.Tổng quan về IPSec 19

2.1.1.Khái niệm IPSec 19

2.1.2.Mục đích của IPSec 19

2.2.Kiến trúc và nguyên lý hoạt động của bộ giao thức IPSec 21

2.2.1.Kiến trúc bộ giao thức IPSec 21

2.2.2.Các giao thức của IPSec 22

2.2.2.1 Giao thức xác thực tiêu đề (AH) 23

2.2.2.2 Giao thức đóng gói tải bảo mật(ESP) 28

2.2.3 Các chế độ IPSec 33

2.2.3.1 Chế độ Transport 34

2.2.3.2 Chế độ Tunnel 34

2.2.4 Sự kết hợp giữa các SA 36

2.2.4.1 Kết hợp giữa AH và ESP trong chế độ Transport 36

2.2.4.2 Kết hợp AH và ESP ở chế độ Tunnel 37

2.2.5 Giao thức trao đổi khoá Internet(IKE-Internet Key Exchange) 37

2.2.5.1 Giới thiệu chung về giao thức trao đổi khóa 37

2.2.5.2 Các yêu cầu quản lý khoá đối với IPSec 38

2.2.5.3 Pha thứ nhất của IKE 39

2.2.5.4 Pha IKE thứ II 42

2.2.5.5 Các chế độ IKE 43

2.2.6.Quá trình hoạt động của IPSec 46

2.2.6.1 Xử lý hệ thống IPSec/IKE 47

2.2.6.2 Xử lý IPSec cho đầu ra với các hệ thống máy chủ 47

2.2.6.3 Xử lý đầu vào với các hệ thống máy chủ Host 48

2.2.6.4 Xử lý đầu ra với các hệ thống cổng kết nối 48

2.2.6.5 Xử lý đầu vào với các hệ thống cổng kết nối 49

CHƯƠNG 3 : ỨNG DỤNG IPSEC VÀO VIỆC XÂY DỰNG CÁC MẠNG AN TOÀN 51 3.1.Giới thiệu phần mềm OpenSwan và ứng dụng 51

3.1.1 Các đặc điểm chính 51

3.1.2 Các thành phần của OpenSwan 51

3.1.3 Các ứng dụng của OpenSwan 52

3.1.4 Mô hình ứng dụng 53

3.2 Cài đặt, khai thác, sử dụng phần mềm OpenSwan 54

3.2.1.Mô hình cài đặt 54

3.2.2.Cài đặt và cấu hình hệ thống 55

3.2.2.1.Cấu hình hệ thống 55

3.2.2.2.Cài đặt Openswan 56

3.2.2.4 Vận hành hệ thống 64

3.2.3.Kiểm tra hoạt động và tính an toàn 65

3.2.3.1 Ping tới máy Client 66

3.2.3.2.Sử dụng lệnh Tcpdump để phân tích lưu lượng 67

3.2.3.3.Kiểm tra bằng phần mềm bắt gói tin Wireshark 67

KẾT LUẬN 70

TÀI LIỆU THAM KHẢO 71

DANH MỤC CÁC HÌNH VẼ

Hình 1.1:Tấn công SYN 15

Hình 1.2: Tấn công Ping of Death 16

Hình 1.3: Mô hình kiểu tấn công phân tán DDOS 17

Hình 2.1: Kiến trúc bộ giao thức IPSec 21

Hình 2.2 : Tiêu đề AH 24

Hình 2.3 Gói tin IP trước và sau khi xử lý AH trong chế độ Transport 25

Hình 2.4: Khuôn dạng gói tin AH trong chế độ Tunnel 26

Hình 2.5 Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào 28

Hình 2.6 Khuôn dạng ESP 29

Hình 2.7: Gói ESP trong chế độ Transport 30

Hình 2.8: Gói ESP trong chế độ Tunnel 31

Hình 2.9: Hai chế độ IPSec 33

Hình 2.10: IPSec – chế độ Transport 34

Hình 2.11: IPSec – chế độ Tunnel 35

Hình 2.12: Kết hợp AH và ESP trong chế độ Transport 36

Hình 2.13: Kết hợp AH và ESP trong chế độ Tunnel 37

Hình 2.14 : Message 1 40

Hình 2.15: Message 2 41

Hình 2.16: Message 3 42

Hình 2.17: Message 1 của phase2 43

Hình 2.18: Trao đổi thông điệp trong chế độ Main IKE 44

Hình 2.19: Mô tả một phiên giao dịch trong chế độ IKE Aggressive 44

Hình 2.20: Trao đổi thông điệp trong chế độ Quick IKE, thuộc pha thứ II 45

Hình 2.21: Trao đổi thông điệp trong chế độ Newgroup IKE 46

Hình 2.22: IPSec – Xử lý đầu ra với hệ thống các Host 47

Hình 2.23: IPSec – Xử lý hướng nội với các hệ thống máy chủ Host 48

Hình 2.24: IPSec – Xử lý đầu ra với các hệ thống cổng kết nối 49

Hình 2.25: IPSec – Xử lý đầu vào với các cổng kết nối 50

Hình 3.1: Mô hình ứng dụng của phần mềm OpenSwan 53

Hình 3.2: Mô hình cài đặt hệ thống dùng Openswan 54

Hình 3.3: thực hiện ipsec verify 65

Hình 3.4:Thực hiện lệnh service ipsec status 65

Hình 3.5 :Máy client không kết nối được với nhau khi IPSec chưa hoạt động .66

Hình 3.6 :Máy client kết nối được với nhau khi IPSec hoạt động 66

Hình 3.7 : Gói tin thu được tại eth0 khi IPSec chưa hoạt động 68

Hình 3.8 :Gói tin ở dạng ICMP ở dạng rõ có thể dễ dàng đọc được 68

Hình 3.9 : Gói tin thu được tại eth0 khi IPSec hoạt động 68

Hình 3.10 :Gói tin ở dạng ESP đã được mã hóa 69

DANH MỤC CÁC TỪ VIẾT TẮT

IEEE Institute of Electrical and Electronic

EngineersOFMD Orthogonal Frequency Multiplexing Division

SAKMP Internet Security Association and Key

Management Protocol

HMAC Hash Based Message Authentication Code

LỜI NÓI ĐẦU

Ứng dụng của công nghệ thông tin ngày càng đóng vai trò quan trọngtrong mọi lĩnh vực Đó chính là sự trao đổi, chia sẻ, truyền và lưu trữ thôngtin trên hệ thống mạng Tuy nhiên vấn đề bảo vệ thông tin đã và đang trởthành một vấn đề nóng, và ngày càng cần thiết với các cá nhân, tổ chức,doanh nghiệp

Việc đảm bảo an toàn thông tin trên mạng là công việc hết sức cầnthiết và có giá trị thực tiễn đối với các công ty, các tổ chức đã đưa côngnghệ thông tin vào sử dụng.Cho dù chúng ta đang làm việc ở đâu, trênmạng Internet công cộng hay đang duy trì một mạng riêng, việc bảo mậtcác dữ liệu luôn là các yêu cầu cốt lõi và thiết yếu

Chúng ta thường để ý quá nhiều đến việc bảo mật trên đường biên vàchống lại những cuộc tấn công từ bên ngoài vào mà ít để ý đến các cuộc tấncông nội mạng, đây là nơi mà dường như các cuộc tân công thường xẩy ranhiều hơn.Để có thể bảo vệ tốt nguồn dữ liệu mạng, chúng ta cần có mộtchiến lược bảo mật chắc chắn gồm nhiều lớp bảo mật được kết hợp vớinhau Các tổ chức cũng thường triển khai các giới hạn để bảo mật đườngbiên mạng và bảo mật các truy nhập đến các tài nguyên bằng cách thiết lậpcác kiểm soát truy nhập và xác thực Nhưng việc bảo mật các gói IP thực

sự và nội dung của nó vẫn thường bị bỏ qua

Trong đồ án chuyên nghành an toàn thông tin, dưới sự hướng dẫn của

thầy giáo Th.s Nguyễn Thanh Sơn, em đã tiếp cận nghiên cứu đề tài

“Nghiên cứu công nghệ bảo mật gói IP (IPSec) và ứng dụng bảo mật thôngtin trên mạng” Em đã tìm hiểu về giao thức bảo mật gói IP (IPSec) với cácmục đích, tính năng, cách xác định, triển khai cũng như việc thực thi vàquản lý IPSec trên hệ thống mã nguồn mở Linux, được xem là một công cụtrong chiến lược xây dựng hệ thống bảo mật một cách vững chắc

Đề tài gồm 3 chương :

Chương I : Giới thiệu tổng quan về tính hình an ninh mạng

Nội dung chương này sẽ trình bày về các nguy cơ,các mối đe dọa vềviệc mất an toàn thông tin và thực trạng về vấn đề bảo mật an ninhmạng từ đó đưa ra giải pháp phòng chống các kiểu tấn công trên mạng

Chương II: Nghiên cứu về bộ giao thức bảo vệ gói IP-IPSEC

Nội dung chương này sẽ trình bày về tổng quan về IPSec,kiến trúc vànguyên lý hoạt động của bộ giao thức IPSec

Chương III: Khai thác sử dụng bộ phần mềm bảo mật gói IP theo công nghệ IPSEC

Giới thiệu về phần mềm OpenSwan và ứng dụng của nó sau đó sẽ triểnkhai cài đặt và khai thác sử dụng phần mềm trên hệ điều hành mã nguồn mởubuntu

Trong quá trình nghiên cứu và phát triển ứng dụng chắc cũng khôngtránh khỏi thiếu sót Rất mong nhận được sự đóng góp ý kiến của các thầy cô

và các bạn

Em xin chân thành cảm ơn các thầy, các cô khoa An toàn thông tin –Học viện mật mã đã tận tình dạy dỗ, truyền đạt cho em nhiều kiến thức quýbáu

Đặc biệt em xin tỏ lòng biết ơn sâu sắc đến thầy Th.s Nguyễn Thanh Sơn người đã tận tình giúp đỡ, định hướng và truyền đạt nhiều kinh nghiệm

để đề tài có thể được thực hiện và hoàn thành

Xin chân thành cảm ơn các bạn trong khoa An toàn thông tin – Học Viện

Kỹ Thuật Mật Mã

Hà Nội, tháng 05 năm 2011

Sinh viên

Vũ Thị Mai

Chương 1 GIỚI THIỆU TỔNG QUAN VỀ TÌNH HÌNH AN NINH

MẠNG1.1.Tổng quan tình hình an ninh mạng những năm gần đây

1.1.1.Thực trạng về vấn đề bảo mật và an ninh mạng

Theo CERT, năm qua có hơn 52.000 vụ tấn công, tăng gần gấp đôi sovới con số 21.756 vụ của năm trước, trong đó bao gồm cả các vụ do virus vànhững vụ tấn công trên mạng

- Số lượng các Trojan truy cập từ xa và mở cửa sau (backdoor) tăng lên

- Các cuộc tấn công vào những hệ thống Unix nhiều hơn

- Các loại worm Windows 32 lây lan mạnh mẽ qua e-mail giống nhưNimda và SirCam trở nên phổ biến

- Các virus macro và script xuất hiện nhiều hơn Chúng được viết ra mộtcách dễ dàng nhờ các công cụ tạo virus sẵn có trên Internet

- Nhiều loại worm Internet có dạng giống như Code Red tấn công trựctiếp vào các máy chủ Web

- Số lượng các cuộc tấn công từ chối dịch vụ tăng lên

- Những mã độc hại và virus được truyền qua hệ thống nhắn tin của điệnthoại di động và các thiết bị không dây cũng sẽ tăng nhanh

- Những kẻ viết virus chủ yếu sẽ vẫn sử dụng thủ thuật cũ như ảnh sex,các nhân vật nổi tiếng (trường hợp virus Kournikova) hoặc nhiều mưumẹo khác để lừa người nhận e-mail mở file đính kèm chứa mã độc hại

để đánh cắp các thông tin của người dùng như mật khẩu,tài khoản củangười dùng

1.1.2.Các vụ tấn công qua mạng Internet

Ở đây chỉ liệt kê các vụ tấn công nổi tiếng và gây hậu quả nghiêm trọng

1 Cuộc tấn công đầu tiên liên quan đến máy chủ DNS xảy ra vào tháng

01/2001 và mục tiêu đầu tiên là trang Register.com

2 Vào tháng 02/2001, máy chủ của Cục Tài chính Ireland bị tấn công , thủ

phạm là những sinh viên đến từ trường Maynooth, một trường Đại học tạiIreland

4 Kể từ khi các máy tính dự định cung cấp dịch vụ cho tất cả người dùng

Internet, đã có 2 vụ tấn công nhằm làm sập mạng Internet Vụ đầu tiên xảy ravào tháng 10/2002, làm gián đoạn 9/13 máy chủ Vụ thứ hai xảy ra vài năm

2007 làm gián đoạn 2 trong số các máy chủ

5 Trong những tuần đầu của cuộc chiến Nam Ossetia 2008, một tấn công

hướng vào các trang web của chính phủ Georgia có chứa tin nhắn:

“win+love+in+Russia”, gây tình trạng quá tải và đóng cửa nhiều máy chủ ởGeorgia tấn công vào các trang web bao gồm các trang web của tổng thốngGeorgia, Mikhail Saakashvili làm các trang web này không thể hoạt độngtrong 24 giờ và cả ngân hàng quốc gia của Georgia

6 Trong năm 2009, xảy ra cuộc phản đối bầu cử tại Iran, các nhà hoạt động

nước ngoài đang tìm cách giúp đỡ phe đối lập tham gia vào các cuộc tấn côngchống lại chính phủ của Iran Trang web chính thức của chính phủ Iran(ahmedinejad.ir) không thể truy cập được

7 Tháng 06/2009, một số trang mạng xã hội, bao gồm Twitter, Facebook,

Livejournal và các trang blog, Google bị tấn công Người dùng không truycập vào Twitter, cập nhật trên Facebook cũng khó khăn hơn

8 Vào tháng 7 – 8/2010, máy chủ của trung tâm ứng dụng văn phòng Ireland

bị tấn công DDoS vào bốn kỳ khác nhau Gây khó khăn cho hàng ngàn họcsinh Các cuộc tấn công hiện đang bị điều tra

9 Vào ngày 28/11/2010, Wikileaks.org bị tấn công Cuộc tấn công này xảy ra

ngay khi WikiLeaks chuẩn bị tung ra những tài liệu mật của chính phủ Mỹ

Bộ Ngoại giao Mỹ sau khi biết thông tin này đã quyết định thông báo trướcđến các chính phủ khác về những gì mà tổ chức WikiLeaks sẽ phát tán

WikiLeaks tuyên bố trên Twitter rằng, ngay cả khi trang web có bị sập,các tờ báo trên toàn thế giới vẫn sẽ đăng tải những đoạn trích dẫn trong nhữngtài liệu được tung ra

10 Vào 8/12/2010, Một nhóm những kẻ tấn công tấn công đồng loạt trang

web của hãng MasterCard, Visa để trả đũa cho việc chủ Wikileaks bị tạmgiam ở Anh Cuộc tấn công đã đánh sập thành công website của Mastercard, PostFinance và Visa PostFinance, ngân hàng đã đóng băng tài khoản củaJulian Assange, bị ngưng hoạt động hơn 16 giờ đồng hồ

1.1.3.Những nguy hiểm đối với người truy cập mạng và cách phòng tránh

 Nguy cơ mất thông tin cá nhân

 Gần đây, không thiếu những trường hợp dở khóc dở cười do ngườidùng vô tình để lọt thông tin cá nhân của mình vào tay kẻ xấu Trongthời đại kết nối, rất có thể lúc nào đó bạn đã chia sẻ thông tin riêng tưcủa mình trên các mạng xã hội, về ngôi trường đã học, quê quán, ngàysinh… Theo thống kê, các thông tin này thường được người dùng chọn

để trả lời câu hỏi bảo mật mỗi khi họ muốn lấy lại mật khẩu

 Cách phòng tránh

- Trước hết, bạn nên kiểm tra chế độ cài đặt riêng tư trên Facebook

Sau khi đăng nhập, vào Setting > Privacy Setting Tại đây bạn có

thể giấu thông tin cá nhân không muốn cho người khác xem, ngoạitrừ bạn bè

- Một lời khuyên hữu ích là không nên chấp nhận thư mời kết bạncủa người lạ vì kẻ tấn công có thể lợi dụng để lấy thông tin củabạn

- Mỗi khi tham gia các trò chơi, hoạt động trên mạng, bạn luôn cầnphải cân nhắc có nên chia sẻ thông tin cá nhân của mình với nhàcung cấp dịch vụ hay không

- Chỉ giao dịch với các công ty mà chúng ta tin tưởng: hãy tìm hiểu

rõ chính sách thông tin riêng tư của các trang web, dịch vụ chúng

ta sử dụng Chỉ nên giao dịch, mua bán với những trang webchúng ta thật sự tin tưởng, có chính sách bảo vệ thông tin nhạycảm Nên sử dụng tính năng duyệt web riêng tư để làm chủ mọitình huống

- Sử dụng tính năng duyệt web riêng tư: Các phiên bản trình duyệthiện nay từ IE, Firefox, Safari và Chrome đều kèm theo tính năng

duyệt web riêng tư private browsing Tên gọi có thể khác nhau

như InPrivate Browsing (IE), Private Browsing (Firefox), nhưngchúng đều có tính năng tương tự là xóa sạch tất cả thông tin cánhân từ lịch sử duyệt, mật khẩu, bộ nhớ đệm… của phiên duyệthiện tại miễn là bạn khởi động lại trình duyệt

 Nguy hiểm từ những kẻ xấu trên mạng xã hội

Khi liên kết bạn bè trên mạng xã hội như Facebook, LinkedIn, Twitter…bạn không biết ai là người đáng tin cậy chính vì vậy phải cảnh giác nhữngngười này bởi họ có thể chiếm quyền kiểm soát tài khoản từ bạn bè của bạnthông qua phần mềm hiểm độc, phishing… Một trong số những phương ánthường thấy là kẻ tấn công gửi đi các thông điệp chứa liên kết dẫn tới trangweb chứa mã độc để dụ người dùng.

 Nguy hiểm từ phần mềm diệt virus giả mạo - Scareware

 Scareware là phần mềm diệt virus giả mạo, thường đi kèm thông điệp

“cảnh báo” giả, yêu cầu bạn phải cài chúng để ngăn virus

 Cách phòng tránh

- Bình tĩnh trước các thông báo giả mạo: chúng ta cần bình tĩnh để

xử lý, cần làm quen với thông báo an ninh của các phần mềmdiệt virus hay tham khảo thông tin từ bạn bè lẫn các nguồn đángtin cậy như báo chí về CNTT, bạn sẽ dễ dàng nhận ra đâu là cảnhbáo giả mạo

- Cài đặt phần mềm bảo vệ cho máy: Trường hợp máy tính chưa

có phần mềm an ninh, chúng ta lo lắng liệu thông báo từscareware có phải là thật hay không, hãy tự kiểm tra bằng công

cụ quét trực tuyến có tên HouseCall của Trend Micro, hoặc thửtiện ích Malicious Software Removal Tool của Microsoft

- Cập nhật trình duyệt: Trang web lừa đảo là nơi hay có nhữngthông báo an ninh giả mạo nhất Hầu hết các trình duyệt web vàphần mềm an ninh mới nhất hiện nay tích hợp công cụ tự độngkiểm tra nội dung trang web Do đó, tốt nhất để tự phòng vệ, bạnnên cập nhật trình duyệt web lên phiên bản mới nhất

 Nguy hiểm từ trojan gửi qua tin nhắn

 Lợi dụng sơ hở của chúng ta, kẻ tấn công có thể gửi tin nhắn tới điệnthoại di động dưới hình thức một thông điệp từ nhà cung cấp dịch vụ.Loại trojan có trong tin nhắn sẽ dẫn chúng ta tới các trang web chứa mãđộc hoặc chúng có thể thay đổi cấu hình cài đặt của thiết bị để đánh cắpthông tin đăng nhập, mật khẩu…

 Cách phòng tránh

Kiểm tra nguồn thông tin: Nếu nhận được tin nhắn từ nguồn đángtin cậy nhưng lại dẫn bạn tới trang yêu cầu cài đặt hoặc cập nhậtphần mềm, hãy lập tức thoát ứng dụng gửi - nhận tin nhắn và liênlạc với nhà cung cấp dịch vụ để xác thực.Các công ty danh tiếng

sẽ không bao giờ gửi tin nhắn tới điện thoại và yêu cầu cài đặthoặc cập nhật phần mềm mới

 Nguy cơ mất thiết bị, lộ dữ liệu

 Các thiết bị xách tay như laptop hay điện thoại di động rất tiện dụngnhưng đôi khi có thể làm chúng ta khốn khổ nếu lỡ bị mất hoặc có kẻđánh cắp, vì như vậy sẽ coi như mất sạch toàn bộ dữ liệu đã nhọc côngtìm kiếm Nguy hiểm hơn, những thông tin nhạy cảm có thể bị lọt vàotay người xấu

 Cách phòng tránh

- Mã hóa dữ liệu: Để tự bảo vệ mình,hãy sử dụng công cụ mã hóa

dữ liệu mang tên BitLocker của Microsoft (chỉ hỗ trợ Vista vàWindows 7) hoặc TrueCrypt (miễn phí, mã mở) để bảo vệ dữ liệucủa mình trước nguy cơ bị truy cập trái phép

- Sử dụng mật khẩu đủ mạnh: Kèm với phương án mã hóa dữliệu,hãy sử dụng mật khẩu đủ mạnh để tăng cường an ninh Mậtkhẩu càng dài càng tốt, kèm theo ký tự lạ càng an toàn Ngay cảkhi trên máy có một tài khoản người dùng,vẫn nên tạo mật khẩuđăng nhập

- Khóa BIOS: Khi khóa BIOS hay ổ đĩa cứng bằng mật khẩu (hoặc

cả hai), bạn có thể đảm bảo rằng không ai có thể khởi động máytính của mình Có nhiều cách truy cập vào BIOS khác nhau, tùyvào từng nhà sản xuất, có thể phải nhấn một trong số các nút Del,Esc, F10…Đặt mật khẩu ổ đĩa cứng để tránh người lạ truy xuất

- Trong trường hợp bạn lo lắng dữ liệu cá nhân trên trình duyệt, bạn

có thể nhờ vào tiện ích FireFound, một phụ kiện của Firefox.Công cụ này có thể tự động xóa mật khẩu, lịch sử duyệt web,cookies trình duyệt

 Nguy hiểm trước các điểm truy cập Wi-Fi miễn phí

 Mạng Wi-Fi dường như có mặt ở khắp nơi Tuy nhiên, lợi dụng sơ hởcủa người dùng, tin tặc có thể thiết lập một mạng Wi-Fi mở, chứa mãđộc để tấn công khi người dùng truy cập

 Cách phòng tránh

- Xác thực tên của mạng Wi-Fi: Nếu muốn kết nối tới mạng khôngdây tại quán cà phê hay ở nơi công cộng, điều đầu tiên hãy tìmSSID của mạng SSID là tên mạng không dây, sẽ giúp chúng tađoán định liệu tín hiệu không dây kết nối có đúng hay không

- Khi nghi ngờ, hãy dừng kết nối Hạn chế truy cập mạng từ cácđiểm phát tín hiệu không dây lạ

 Nguy hiểm từ phần mềm dính lỗi chưa được vá

 Các sản phẩm của Microsoft luôn là đích ngắm của tin tặc nhưng khôngphải lúc nào nhà sản xuất cũng có thể ngay lập tức vá được lỗi mới pháthiện Ngày nay, các phần mềm thứ ba như Adobe Flash, Firefox…cũng trở thành mục tiêu của những kẻ tấn công, khi thông qua các công

cụ này kẻ tấn công có thể xâm nhập vào hệ thống của người dùng

1.2.Các kiểu tấn công trên mạng và các giải pháp phòng chống

1.2.1.Kĩ thuật bắt gói tin dùng Sniff

Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc

điểm của cơ chế TCP/IP

Những điều kiện để Sniff xảy ra:

- Sniff có thể hoạt động trong mạng Lan, mạng WAN, mạng WLAN

- Điều kiện cần chỉ là dùng cùng Subnet Mark khi Sniffer

- Ngoài ra ta còn cần một công cụ để bắt và phân tích gói tin như:Cain&Abel, Ettercap, HTTP sniffer

1.2.1.1.Các loại Sniff và cơ chế hoạt động

- Đặc điểm: do phải gởi gói tin đi nên có thể chiếm băng thôngmạng.Nếu sniff quá nhiều máy trong mạng thì lượng gói gởi đi sẽ rấtlớn (do liên tục gởi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạnghay gây quá tải trên chính NIC của máy đang dùng sniff

Ngoài ra các sniffer còn dùng một số kỹ thuật để ép dòng dữ liệu đi qua NICcủa mình như:

- MAC fooding: làm tràn bộ nhớ switch từ đó switch sẽ chạy chế độforwarding mà không chuyển mạch gói

- Giả MAC: các sniffer sẽ thay đổi MAC của mình thành MAC củamột máy hợp lệ và qua được chức năng lọc MAC của thiết bị

- Đầu độc DHCP để thay đổi gateway của client

 Passive sniff

- Môi trường: chủ yếu hoạt động trong môi trường không có các thiết bịchuyển mạch gói.Phổ biến hiện nay là các dạng mạng sử dụng hub, haycác mạng không dây

- Cơ chế hoạt động: do không có các thiết bị chuyển mạch gói nên cáchost phải bị broadcast các gói tin đi trong mạng từ đó có thể bắt gói tinlại xem Đặc điểm: do các máy tự broadcast các gói nên hình thức sniffnày rất khó phát hiện

1.2.1.2.Cách phòng chống Sniff.

 Active Sniff:

- Công cụ kiểm tra băng thông: Như đã nêu trên các sniffer có thể gâynghẽn mạng do đó có thể dùng các công cụ kiểm tra băng thông Tuynhiên, cách làm này không hiệu quả

- Công cụ bắt gói tin: Các sniffer phải đầu độc arp nên sẽ gởi arp đi liêntục, nếu dùng các công cụ này ta có thể thấy được ai đang sniff trongmạng.Cách này tương đối hiệu quả hơn, nhưng có một vài công cụ sniff

có thể giả IP và MAC để đánh lừa

- Thiết bị: Đối với thiết bị ta có thể dùng các loại có chức năng lọc MAC

để phòng chống.Riêng với switch có thể dùng thêm chức năng VLANtrunking, có thể kết hợp thêm chức năng port security (tương đối hiệuquả do dùng VLAN và kết hợp thêm các chức năng bảo mật)

- Cách khác: Ngoài ra ta có thể cấu hình SSL, tuy hiệu quả, nhưng chưacao vẫn có khả năng bị lấy thông tin

Đối với người dùng:

- Dùng các công cụ phát hiện Sniff (đã kể trên): Khi có thay đổi về thôngtin arp thì các công cụ này sẽ cảnh báo cho người sử dụng

- Cẩn trọng với các thông báo từ hệ thống hay trình duyệt web: Do một

số công cụ sniff có thể giả CA (Cain & Abel) nên khi bị sniff hệ thốnghay trình duyệt có thể thông báo là CA không hợp lệ

- Tắt chức năng Netbios (người dùng cấp cao) để quá trình quét host củacác sniffer không thực hiện được Tuy nhiên cách này khó có thể ápdụng thực tế nguyên nhân là do switch có thể đã lưu MAC trong bảngthông tin của nó thông qua quá trình hoạt động

 Passive sniff

 Dạng sniff này rất khó phát hiện cũng như phòng chống

 Thay thế các hub bằng các switch, lúc này các gói tin sẽ không cònbroadcast đi nữa , nhưng lúc này ta lại đứng trước nguy cơ bị sniff dạngactive

1.2.2.Phishing

- Nguyên tắc của phishing là bằng cách nào đó “lừa” người dùng gửithông tin nhạy cảm như tên, địa chỉ, mật khẩu, số thẻ tín dụng, mã thẻATM… đến kẻ lừa đảo (scammer) Các thực hiện chủ yếu là mô phỏnglại giao diện trang web đăng nhập (login page) của các website có thật,

kẻ lừa đảo sẽ dẫn dụ nạn nhân (victim) điền các thông tin vào trang đórồi truyền tải đến anh ta (thay vì đến server hợp pháp) để thực hiệnhành vi đánh cắp thông tin bất hợp pháp mà người sử dụng không haybiết

- Theo thời gian, những cuộc tấn công phishing nhằm vào các ngân hàngtrực tuyến, các dịch vụ thương mại điện tử, thanh toán trên mạng,… vàhầu hết các ngân hàng lớn ở Mỹ, Anh, Úc hiện đều bị tấn công bởiphishing nhằm vào mục tiêu đánh cắp credit card

1.2.2.1.Cơ chế hoạt động.

Để thực hiện phishing cần hai bước chính:

- Tìm cách dụ nạn nhân mở địa chỉ trang web đăng nhập giả Cách làmchính là thông qua đường liên kết của email

- Tạo một web lấy thông tin giả

1.2.3.SQL injection

SQL injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗhổng trong việc kiểm tra dữ liệu nhập trên các ứng dụng web và các thôngbáo lỗi của hệ quản trị cơ sở dữ liệu để thi hành các câu lệnh SQL bất hợppháp Nếu tấn công thành công những kẻ tấn công có thể thực hiện các thaotác xóa, hiệu chỉnh, … do có toàn quyền trên cơ sở dữ liệu của ứng dụng,thậm chí là server mà ứng dụng đó đang chạy Lỗi này thường xảy ra trên các

ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu nhưSQL Server, MySQL, Oracle, DB2, Sysbase

Nhìn chung có bốn kiểu tấn công phổ biến sau:

- Vượt qua kiểm tra lúc đăng nhập (authorization by pass)

- Sử dụng câu lệnh SELECT

- Sử dụng câu lệnh INSERT

- Sử dụng các stored-procedures

1.2.3.1.Dạng tấn công vượt qua kiểm tra đăng nhập.

Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăngnhập nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu củaứng dụng web Xét một ví dụ điển hình, thông thường để cho phép ngườidùng truy cập vào các trang web được bảo mật, hệ thống thường xây dựngtrang đăng nhập để yêu cầu người dùng nhập thông tin về tên đăng nhập vàmật khẩu Sau khi người dùng nhập thông tin vào, hệ thống sẽ kiểm tra tênđăng nhập và mật khẩu có hợp lệ hay không để quyết định cho phép hay từchối thực hiện tiếp

Ví dụ, nếu người dùng nhập chuỗi sau vào trong cả 2 ô nhập liệuusername/password của trang login.htm là: ' OR ' ' = ' ' Lúc này, câu truyvấn sẽ được gọi thực hiện là

SELECT * FROM T_USERS WHERE USR_NAME ='' OR ''='' and USR_PASSWORD= '' OR ''=''.

Câu truy vấn này là hợp lệ và sẽ trả về tất cả các bản ghi của T_USERS

và đoạn mã tiếp theo xử lí người dùng đăng nhập bất hợp pháp này như làngười dùng đăng nhập hợp lệ

1.2.3.2.Dạng tấn công sử dụng câu lệnh SELECT.

Dạng tấn công này phức tạp hơn Để thực hiện được kiểu tấn công này,

kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báolỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công

Trong các tình huống thông thường, đoạn mã này hiển thị nội dung củatin có ID trùng với ID đã chỉ định và hầu như không thấy có lỗi Tuy nhiên,giống như ví dụ đăng nhập ở trước, đoạn mã này để lộ sơ hở cho một lỗi SQLinjection khác Kẻ tấn công có thể thay thế một ID hợp lệ bằng cách gán ID

cho một giá trị khác, và từ đó, khởi đầu cho một cuộc tấn công bất hợp pháp,

ví dụ như: 0 OR 1=1

Câu truy vấn SQL lúc này sẽ trả về tất cả các article từ bảng dữ liệu vì nó

sẽ thực hiện câu lệnh: SELECT * FROM T_NEWS WHERE NEWS_ID=0 or 1=1.

1.2.3.3.Dạng tấn công sử dụng câu lệnh INSERT.

Thông thường các ứng dụng web cho phép người dùng đăng kí một tàikhoản để tham gia Chức năng không thể thiếu là sau khi đăng kí thành công,người dùng có thể xem và hiệu chỉnh thông tin của mình SQL injection cóthể được dùng khi hệ thống không kiểm tra tính hợp lệ của thông tin nhậpvào

Ví dụ, một câu lệnh INSERT có thể có cú pháp dạng: INSERT INTOTableName VALUES ('Value One', 'Value Two', 'Value Three') Nếu đoạn

mã xây dựng câu lệnh SQL có dạng:

Thì chắc chắn sẽ bị lỗi SQL injection, bởi vì nếu ta nhập vào trường thứ

nhất ví dụ như: ' + (SELECT TOP 1 FieldName FROM TableName) + ' Lúc

này câu truy vấn sẽ là: INSERT INTO TableName VALUES(' ' + (SELECT

TOP 1 FieldName FROM TableName) + ' ', 'abc', 'def') Khi đó, lúc thực hiện

lệnh xem thông tin, xem như bạn đã yêu cầu thực hiện thêm một lệnh nữa đó

là: SELECT TOP 1 FieldName FROM TableName.

1.2.3.4.Dạng tấn công sử dụng stored-procedures

Việc tấn công bằng stored-procedures sẽ gây tác hại rất lớn nếu ứngdụng được thực thi với quyền quản trị hệ thống 'sa' Ví dụ, nếu ta thay đoạn

mã tiêm vào dạng: ' ;EXEC xp_cmdshell ‘cmd.exe dir C: ' Lúc này hệ thống

sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server Việc phá hoạikiểu nào tuỳ thuộc vào câu lệnh đằng sau cmd.exe

1.2.3.5.Cách phòng chống sql injection.

Để phòng chống ta có hai mức sau:

 Kiểm soát chặt chẽ dữ liệu nhập vào: Để phòng tránh các nguy cơ có

thể xảy ra, hãy bảo vệ các câu lệnh SQL là bằng cách kiểm soát chặtchẽ tất cả các dữ liệu nhập nhận được từ đối tượng Request (Request,Request.QueryString,Request.Form,Request.Cookies,Request.ServerVariables)

 Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu: Cần có cơ chếkiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản ngườidùng mà ứng dụng web đang sử dụng Các ứng dụng thông thường nêntránh dùng đến các quyền như dbo hay sa Quyền càng bị hạn chế, thiệthại càng ít Ngoài ra để tránh các nguy cơ từ SQL Injection attack, nênchú ý loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông điệp chuyểnxuống cho người dùng khi ứng dụng có lỗi Các thông báo lỗi thôngthường tiết lộ các chi tiết kĩ thuật có thể cho phép kẻ tấn công biết đượcđiểm yếu của hệ thống

1.2.4.Tấn công từ chối dịch vụ.

Về cơ bản, tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấncông làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ,hoặc phải ngưng hoạt động Tấn công kiểu này chỉ làm gián đoạn hoạt độngcủa hệ thống chứ rất ít có khả năng thâm nhập hay chiếm được thông tin dữliệu của nó

1.2.4.1.SYN Attack.

Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình bắt tay 3 bước của TCP Ban đầu Kẻ tấn công gửi các yêu cầu kết nối TCP SYN tới máy

chủ bị tấn công để xử lý lượng gói tin SYN này,máy chủ cần tốn một lượng

bộ nhớ cho kết nối khi có rất nhiều gói SYN ảo tới máy chủ và chiếm hết các yêu cầu xử lý của máy chủ Những người dùng khác kết nối tới máy chủ và

cũng thực hiện kết nối TCP SYN và lúc này máy chủ không còn khả năng đáplại do đó kết nối không được thực hiện.

Hình 1.1:Tấn công SYN

1.2.4.2.Tấn công Ping of Death

Kiểu tấn công ping of death dùng giao thức ICMP Bình thường, ping được dùng để kiểm tra xem một host có sống hay không Một lệnh ping thôngthường có hai thông điệp echo request và echo reply Tiến trình ping bình

thường diễn ra như sau: C:\>ping 192.168.10.10

Pinging 192.168.10.10 with 32 bytes of data:

Reply from 192.168.10.10: bytes=32 time=1ms TTL=150 Reply from 192.168.10.10: bytes=32 time=1ms TTL=150 Reply from 192.168.10.10: bytes=32 time=1ms TTL=150 Reply from 192.168.10.10: bytes=32 time=1ms TTL=150 Ping statistics for 192.168.10.10:

Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds:

Minimum = 1ms, Maximum = 1ms, Average = 1ms

Khi tấn công bằng Ping of Death, một gói tin echo đựoc gửi có kíchthước lớn hơn kích thước cho phép là 65,536 bytes Gói tin sẽ bị chia nhỏ rathành các segment nhỏ hơn, nhưng khi máy đích kết hợp, host đích nhận thấyrằng là gói tin quá lớn đối với buffer bên nhận Kết quả là, hệ thống không thểquản lý nổi tình trạng bất thường này và sẽ reboot hoặc bị treo

Hình 1.2: Tấn công Ping of Death

1.2.4.3.Tấn công Teardrop

Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thốngđích đều phải trải qua 2 quá trình sau: dữ liệu sẽ được chia ra thành các mảnhnhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định đểxác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi Khi các mảnhnày đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp cácmảnh lại với nhau theo thứ tự đúng như ban đầu

Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của cácgói packets để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất đếnpacket thứ hai đến packet thứ ba

Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồngchéo lên nhau được gởi đến hệ thống đích Hệ thống đích sẽ không thể nàosắp xếp lại các packets này, nó không điều khiển được và có thể bị crash,reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồngchéo lên nhau quá lớn

1.2.4.4.Tấn công từ chối dịch vụ kiểu phân tán-DDos.

Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông(bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động Đểthực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tínhmạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi

ào ạt các gói tin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên vàlàm tràn ngập đường truyền của một mục tiêu xác định nào đó

Hình 1.3: Mô hình kiểu tấn công phân tán DDOS

Hiện nay, đã xuất hiện dạng virus worm có khả năng thực hiện cáccuộc tấn công DDoS Khi bị lây nhiễm vào các máy khác, chúng sẽ tự độnggửi các yêu cầu phục vụ đến một mục tiêu xác định nào đó vào thời điểm xácđịnh để chiếm dụng băng thông hoặc tài nguyên hệ thống máy chủ

1.2.4.5.Cách phòng chống tấn công từ chối dịch vụ

- Nhìn chung, tấn công từ chối dịch vụ không quá khó thực hiện, nhưngrất khó phòng chống do tính bất ngờ và thường là phòng chống trongthế bị động khi sự việc đã rồi

- Việc đối phó bằng cách tăng cường “phần cứng” cũng là giải pháp tốt,nhưng thường xuyên theo dõi để phát hiện và ngăn chặn kịp thời cái góitin IP từ các nguồn không tin cậy là hữu hiệu nhất

- Khi phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địachỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ

- Dùng tính năng lọc dữ liệu của router/firewall để loại bỏ các packetkhông mong muốn, giảm lượng lưu thông trên mạng và tải của máychủ

- Sử dụng các tính năng trên router/firewall để hạn chế số lượng packetvào hệ thống

- Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cậpnhật các bản sửa lỗi cho hệ thống đó hoặc thay thế

- Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYNFlooding

- Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứngtốt hơn

- Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năngđáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năngkhác để phân chia tải.Tạm thời chuyển máy chủ sang một địa chỉ khác.

1.2.5.Tấn công theo kiểu đứng giữa(Man-in-the-middle Attack)

1.2.5.1.Cơ chế hoạt động

Trong kiểu tấn công này, khi hai máy tính đang truyền tin với nhau mộtcách bình thường, hacker sẽ chặn các gói dữ liệu gửi đi từ hai máy đó, thaythế bằng những gói dữ liệu khác và gửi chúng đi Khi đó, hai máy tính bị giảmạo đều không hay biết gì về việc dữ liệu của chúng bị thay đổi Kiểu tấncông này thường được dùng để lấy những thông tin bảo mật của máy tính

Chương 2 NGHIÊN CỨU VỀ BỘ GIAO THỨC BẢO VỆ GÓI IP-IPSEC2.1.Tổng quan về IPSec

2.1.1.Khái niệm IPSec

IPSec là từ viết tắt của Internet Protocol SECurity Đây là công nghệ sửdụng mật mã để cung cấp đồng thời hai dịch vụ xác thực (authentication) và

mã hóa (encryption) Việc xác thực đảm bảo rằng các gói tin được gửi đi từngười gửi đích thực và không bị thay đổi trên đường truyền Công nghệ mãhóa nhằm chống lại ý định đọc trộm nội dung của các gói tin IPSec có thểbảo vệ cho việc truyền dữ liệu bởi bất kỳ một giao thức nào dựa trên IP và bất

kỳ một môi trường nào được sử dụng dưới tầng IP IPSec còn cung cấp mộtcác dịch vụ bảo mật ở mức “nền”, không ảnh hưởng gì đối với người sử dụngbởi việc mã hóa và xác thực được thực hiện ở tầng IP

Các dịch vụ IPSec cho phép xây dựng các đường hầm (tunnel) an toànthông qua các mạng không tin cậy Dòng dữ liệu đi qua mạng không tin cậy

sẽ được mã hóa bởi máy chạy IPSec (IPSec gateway) ở đầu bên này và đượcgiải mã bởi IPSec gateway đầu bên kia của đường truyền Như vậy, chúng tathu được một mạng riêng ảo (Virtual Private Network - VPN) Đó là mộtmạng được bảo mật hoàn toàn mặc dù nó bao gồm nhiều máy tại nhiều điểmđược nối với nhau dựa trên cơ sở hạ tầng của các mạng không tin cậy (chẳnghạn như Internet)

2.1.2.Mục đích của IPSec

Với các Administrator, việc hiểu Internet Protocol Security-IPSEC, sẽgiúp chúng ta bảo vệ thông tin lưu chuyển trên Network an toàn hơn, và cấuhình IPSEC dùng X.509 certificates có thể tạo ra quy trình xác thực an toàntrong giao tiếp Network ở mức tối đa IPSEC là một chuẩn an toàn trong giaotiếp thông tin giữa các hệ thống, giữa các mạng Với IPSEC việc kiểm tra, xácthực, và mã hóa dữ liệu là những chức năng chính Tất cả những việc nàyđược tiến hành tại cấp độ IP Packet

Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin qua mạng.Admin có thể xác lập một hoặc nhiều chuỗi các Rules, gọilà IPSEC Policy,những rules này chứa các Filters, có trách nhiệm xác định những loại thông

tin lưu chuyển nào yêu cầu được mã hóa (Encryption), xác nhận (digitalsigning), hoặc cả hai Sau đó, mỗi Packet được Computer gửi đi sẽ được xemxét có hay không gặp các điều kiện của chính sách Nếu gặp những điều kiệnnày thì các Packet có thể được mã hóa, được xác nhận số theo những quy định

từ Policy Quy trình này hòa toàn vô hình với User và Application kích hoạttruyền thông tin trên mạng

Do IPSEC được chứa bên trong mỗi gói IP chuẩn, cho nên có thể dùngIPSEC qua Network, mà không yêu cầu những cấu hình đặc biệt trên thiết bịhoặc giữa 2 Computer Tuy nhiên, IPSEC không tiến hành mã hóa một vàiloại giao tiếp mạng như: Broadcast, MultiCast, các packet dùng giao thức xácthực Kerberos

Thuận lợi chính khi dùng IPSEC, là cung cấp được giải pháp mã hóa chotất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model), và kể

cả các giao thức lớp cao hơn

IPSEC có khả năng cung cấp

 Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp IPSEC quyđịnh cho cả 2 bên tham gia giao tiếp phải xác định chính mình trongsuốt quy trình giao tiếp

 Tạo sự tin cậy qua việc mã hóa, và xác nhận số các Packet IPSEC có 2chẽ độ Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóadùng nhiều thuật toán khác nhau và Authentication Header (AH) xácnhận các thông tin chuyển giao, nhưng không mã hóa

 Tích hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào

bị chỉnh sửa Cả hai loại ESP và AH đều kiểm tra tính tích hợp của cácthông tin chuyển giao Nếu một gói tin đã chỉnh sửa, thì các xác nhận

số sẽ không trùng khớp, kết quả gói tin sẽ bị loại ESP cũng mã hóa địachỉ nguồn và địa chỉ đích như một phần của việc mã hóa thông tinchuyển giao

Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ

bị attacker chặn, chỉnh sửa và được gửi đi sau đó đến đúng địa chỉ ngườinhận, người nhận không hề hay biết và vẫn tin rằng đấy là thông tin hợp pháp.IPSEC dùng kĩ thuật đánh số liên tiếp cho các Packet Data của mình(Sequence numbers), nhằm làm cho attacker không thể sử dụng lại các dữ liệu

đã chặn được với ý đồ bất hợp pháp Dùng Sequence numbers còn giúp bảo

vệ chống việc chặn và đánh cắp dữ liệu, sau đó dùng những thông tin lấyđược để truy cập hợp pháp vào một ngày nào đó

2.2.Kiến trúc và nguyên lý hoạt động của bộ giao thức IPSec

2.2.1.Kiến trúc bộ giao thức IPSec

Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xácthực tiêu đề(AH) và đóng gói tải bảo mật(ESP) AH được sử dụng để đảm bảotính toàn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế

độ xác thực đối với máy chủ ESP cũng thực hiện các chức năng tương tự như

AH nhưng nhưng kèm thêm khả năng bảo mật dữ liệu Cũng cần nhấn mạnhrằng cả hai giao thức này đều không chỉ ra bất kỳ một thuật toán mã hoá vàxác thực cụ thể nào mà chỉ tạo ra khả năng ứng dụng tốt nhất một trong cácthuật toán đang hiện hành

Hình 2.1: Kiến trúc bộ giao thức IPSec

Bộ giao thức IPSec mang lại ba khả năng chính, đó là:

Encapsulating Security

Payload (ESP) protocol

IP Securityarchitecture

Key managementProtoccol

Domain of Interpretation

AuthenticationHeader(AH) Protocol

Encryption

Algorithms

Authentication

- Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế

mạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sựthay đổi nào không bị phát giác trước đó về nội dung của gói dữ liệubởi người nhận không mong muốn Giao thức IPSec mang lại sự bảo vệtốt chống lại sự giả mạo, do thám hoặc tấn công dịch vụ

- Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ

thuật mật mã cao cấp, nó ngăn chặn những người dùng trái phép truycập dữ liệu trong khi nó đang được truyền đi IPSec cũng sử dụng các

cơ chế đường hầm để dấu địa chỉ IP của Node nguồn và đích đối với kẻnghe trộm

- Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá

Internet (IKE) để thương lượng giao thức bảo mật và thuật toán mã hóatrước và trong một phiên làm việc Quan trọng hơn, IPSec phân phối,kiểm soát khoá và cập nhật các khoá này khi được yêu cầu

2.2.2.Các giao thức của IPSec

Đó là các giao thức xác thực tiêu đề (AH) và giao thức đóng gói tải bảomật (ESP) Các giao thức này có thể được cấu hình để bảo vệ toàn bộ phầnthân của gói tin IP hoặc chỉ riêng phần thông tin liên quan đến các giao thức ởtầng trên

AH đảm bảo tính toàn vẹn dữ liệu trên đường truyền bằng khoá H (Hàmbăm – Hashing function) AH thực hiện phần thuật toán băm cả phần đầu vàphần thân của gói tin IP nhưng không áp dụng cho các thông tin sẽ thay đổitrên đường truyền như số đếm của mỗi nút mạng, vì thế AH cho phép thay đổithông tin địa chỉ và đảm bảo dữ liệu của gói tin IP sẽ không bị nghe trộm.Điều này dẫn đến một chức năng nữa của AH là khả năng chống lại việc giảmạo (đột nhập vào giữa đường truyền của các gói tin và tạo ra các gói tin giả)khi sử dụng các số thứ tự tăng dần gắn vào mỗi gói tin Tuy nhiên, AH khôngcung cấp khả năng mã hoá dữ liệu

Khi được sử dụng riêng rẽ hoặc kết hợp với giao thức AH, ESP đảm bảotính toàn vẹn và chức năng mã hoá dữ liệu Các thuật toán mã hoá do ESP hỗtrợ bao gồm DES-CBC, DES 56 bit và 3DES Ngoài ra ESP còn cho phépkiểm tra tính toàn vẹn của gói tin thông qua HMAC MD5 và HMAC SHA

2.2.2.1 Giao thức xác thực tiêu đề (AH)

Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP Như tên gọi của

nó, tiêu đề này phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhậncuối cùng, tiêu đề này giúp nhận biết bất kỳ sự thay đổi nào về nội dung củagói dữ liệu bởi người dùng không mong muốn trong khi đang truyền, tuynhiên AH không đảm bảo tính tin cậy

Để tạo một AH, một giá trị mã thông điệp cần xác thực qua hàm bămHMAC được tạo tại người gửi Giá trị băm này được tạo trên cơ sở của liênkết an toàn, cái xác định trình tự giao dịch sẽ được áp dụng cho gói dữ liệu

Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu đề IP gốc Tại người nhậncuối, HMAC được giải mã và được dùng để thiết lập việc xác thực người gửicũng như tính toàn vẹn của thông điệp

AH không mang lại sự tin cậy trong một giao dịch Nó chỉ thêm một tiêu

đề vào gói IP, phần còn lại của nội dung gói dữ liệu được để mặc định Hơnnữa, AH không bảo vệ bất kỳ trường nào trong tiêu đề IP vì một trong số đó

có thể thay đổi trong quá trình truyền, chỉ các trường nào không thay đổitrong quá trình truyền là được bảo vệ bởi AH Địa chỉ IP nguồn và địa chỉ IPđích là những trường như vậy và vì thế được bảo vệ bởi AH Tóm lại, giaothức AH có các đặc trưng cơ bản như sau:

 Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại

 Sử dụng mã xác thực thông điệp được băm(HMAC), dựa trên chia sẻ bímật

 Nội dung các gói tin không được mã hoá

 Không sử dụng các trường có thể thay đổi trong IP header để tính toángiá trị kiểm tra tính toàn vẹn(IVC)

a Khuôn dạng gói tin

Khuông dạng của gói tin theo giao thức AH được minh hoạ như tronghình2.2 Các trường trong AH header đều là bắt buộc

 Next Header: Trường này nhận biết giao thức bảo mật, có độ dài 8 bít

để xác định kiểu dữ liệu của phần Payload phía sau AH Giá trị củatrường này được chọn từ các giá trị của IP Protocol number được địnhnghĩa bởi IANA (Internet Assigned Numbers Authority)

 Payload Length: Trường này chỉ định độ dài của thông điệp gắn sau

tiêu đề AH

Hình 2.2 : Tiêu đề AH

 Reserved: Trường 16 bit dự trữ để sử dụng cho tương lai, giá trị của

trường này bằng 0

 SPI: Là một số 32 bit bất kì, cùng với địa chỉ IP đích và giao thức an

ninh mạng cho phép nhận dạng một thiết lập an toàn duy nhất cho gói

dữ liệu SPI thường được lựa chọn bởi phía thu

 Sequence Number(SN): Trường gồm 32 bit không dấu đếm tăng dần để

sử dụng cho việc chống trùng lặp Chống trùng lặp là một lựa chọnnhưng trường này là bắt buộc đối với phía phát Bộ đếm của phía phát

và thu khởi tạo 0 khi một liên kết an toàn (SA) được thiết lập, giá trị

SN mỗi gói trong một liên kết an toàn (SA) phải hoàn toàn khác nhau

để tránh trùng lặp Nếu số gói vượt quá con số 232 thì một SA khác phảiđược thiết lập

 Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm

tra tính toàn vẹn (ICV) cho gói tin, ICV được tính bằng thuật toán đãđược chọn khi thiết lập SA Độ dài của trường này là số nguyên lần của

32 bit, chứa một phần dữ liệu đệm để đảm bảo độ dài của AH là n*32bit Giao thức AH sử dụng một hàm băm và băm toàn bộ gói tin trừtrường Authentication Data để tính ICV

b Chế độ hoạt động

AH có thể sử dụng ở hai chế độ: Chế độ truyền tải (Transport) và chế độđường hầm(Tunnel)

 Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớp

trên cùng với một số trường trong IP Header Trong chế độ này, AH

Authentication Data(Integrity Check Value)

Next HeaderPayloadLength ReservedSecurity Parameter Index(SPI)

Sequence Number

IP Header AH Header Payload

được chèn vào sau IP Header và trước một giao thức lớp trên như TCPhoặc UDP Chế độ Transport thường được sử dụng bởi các Host chứkhông được sử dụng bởi Gateway Ưu điểm của chế độ này là đỡ tốnkém chi phí xử lý nhưng nó có khuyết điểm là các trường có thể thayđổi không được xác thực.

Hình 2.3 Gói tin IP trước và sau khi xử lý AH trong chế độ Transport

 Chế độ Tunnel: Trong chế độ Tunnel, một gói tin IP khác được thiết

lập dựa trên các gói tin IP cũ Header của gói IP cũ (bên trong) mangđịa chỉ nguồn và đích cuối cùng, còn Header của gói IP mới (bênngoài) mang địa chỉ để định tuyến trên Internet Trong chế độ này, AHbảo vệ toàn bộ gói tin bên trong bao gồm cả Header Đối với gói tin IPbên ngoài thì vị trí của AH như là trong chế độ transport

Hình 2.4: Khuôn dạng gói tin AH trong chế độ Tunnel.

Ưu điểm của chế độ Tunnel là bảo vệ toàn bộ gói IP và các địa chỉ cánhân trong IP Header, tuy nhiên có nhược điểm là tốn chi phí hơn nhiều để xử

lý các gói tin

IP Hdr Payload

HdrGói tin IP ban đầu

Gói tin với tiêu đề AH trong chế độ transport

IP Hdr Payload

OuterIP Hdr

AH

Inner IPHdrGói tin IP ban đầu

Gói tin AH trong chế độ Tunnel

c Các thuật toán xác thực

Các thuật toán xác thực để tính ICV được xác định bởi các liên kết bảomật (SA) Các thuật toán xác thực thích hợp là các thuật toán hàm băm mộtchiều MD5 và SHA1 (Các thuật toán này bắt buộc một ứng dụng AH phải hỗtrợ) MD5 là chữ viết tắt của Message Digest #5 do Ron Rivest thuộc RSASecurity Inc phát minh, tính giá trị Hash 128 bit từ một bản tin nhị phân có độdài tuỳ ý SHA được phát triển bởi NIST và NSA, SHA-1 tính giá trị Hash

160 bit từ một bản tin nhị phân có độ dài tuỳ ý SHA-1 tương tự như MD5nhưng an toàn hơn do kích thước băm lớn hơn

d Xử lý gói đầu vào

Quá trình xử lý gói đầu vào được thực hiện ngược với quá trình xử lý góiđầu ra

 Ghép mảnh: Nếu cần thiết, sẽ tiến hành ghép mảnh trước khi xử lý AH.

 Tìm kiếm SA: Khi đã nhận được một gói tin chứa AH Header, phía thu

sẽ xác định một SA phù hợp với địa chỉ IP đích, AH và SPI Thông tintrong SA sẽ cho biết có cần kiểm tra trường Sequence Number(SN) haykhông, có cần thêm trường Authentication Data hay không, các thuậttoán và khoá để giải mã ICV Nếu không có SA nào phù hợp thì phíathu sẽ loại bỏ gói tin

 Kiểm tra SN: Nếu bên thu không chọn dịch vụ chống lặp thì không cần

kiểm tra trường SN Nếu phía thu có sử dụng dịch vụ chống lặp chomột SA thì bộ đếm gói thu phải được khởi tạo = 0 khi thiết lập SA Vớimỗi gói tin vào khi phía thu tiếp nhận, sẽ kiểm tra có chứa số SN khônglặp lại của bất kỳ gói nào trong thời gian tồn tại của SA đó Nếu bị lặp,gói tin đó sẽ bị loại bỏ

e Xử lý gói đầu ra

 Tìm SA: AH được thực hiện trên một gói tin khi đã xác định gói tin đó

được liên kết với một SA, SA đó sẽ yêu cầu xử lý gói tin

 Tạo SN: Bộ đếm phía phát khởi tạo giá trị 0 khi một SA được thiết lập.

Khi truyền một gói tin, bộ đếm sẽ tăng lên 1 và chèn giá trị này vàotrường SN Nếu phía phát lựa chọn dịch vụ AntiReplay sẽ kiểm tra đểđảm bảo không bị lặp trước khi chèn một giá trị mới vào trường SN

 Tính ICV: AH ICV được tính dựa trên các dữ liệu sau:

o Các trường trong IP Header có giá trị không đổi hoặc có giá trịkhông dự đoán được trong quá trình truyền tới điểm cuối.

o Bản thân AH Header: Next Header, Payload, Length, Reserved,SPI, SN, Authentication Data (được đặt bằng 0), và explicitpadding (nếu có)

o Dữ liệu của các giao thức lớp trên

o Các trường có giá trị thay đổi sẽ được coi bằng 0 trong phép tínhICV các trường có giá trị thay đổi nhưng có thể dự đoán được thì

sẽ giữ nguyên giá trị

 Padding: Có hai loại chèn padding là Authenticaiton Data và Implicit

Packet Padding (chèn dữ liệu ngầm định)

o Authenticaiton Data Padding: Nếu đầu ra của thuật toán xác thực

là 96 bit thì không cần chèn thêm dữ liệu Nhưng nếu ICV cókích thước khác thì phải chèn thêm, nội dung của phần chènthêm là tuỳ chọn và được đặt sau Authentication Data

o Implicit Packet Padding: Đối với một số thuật toán xác thực,chuỗi byte để tính ICV phải là một số nguyên lần của khối nbyte Nếu độ dài gói IP không thoả mãn điều kiện đó thì ImplicitPacket Padding sẽ được thêm vào phía cuối của gói Các bytenày bằng 0 và không được truyền đi cùng gói

 Phân mảnh: Khi cần thiết, phân mảnh sẽ được thực hiện

2.2.2.2 Giao thức đóng gói tải bảo mật(ESP)

Mục đích chính của ESP là cung cấp sự tin cậy thêm vào xác thực ngườigửi và xác minh tính toàn vẹn của dữ liệu trong khi truyền ESP mã hoá nộidung của gói dữ liệu bằng cách dùng các thuật toán mã hoá, như đã xác địnhbởi SA Một số thuật toán được sử dụng bởi ESP bao gồm: DES-CBG,NULL, CAST-128, IDEA và 3DES Các thuật toán xác thực thường đượcdùng tương tự như trong AH là HMAC-MD5 và HMAC-SHA

Như đã so sánh với AH, AH mang lại tính xác thực và toàn vẹn dữ liệuđối với gói dữ liệu IP ESP không bảo vệ toàn bộ gói dữ liệu Chỉ có payloadđược bảo vệ, như trong hình 2.6 Tuy nhiên, ESP rất mạnh trong nhóm mãhoá Nó cũng không chiếm dụng nhiều CPU Kết quả là nó nhanh hơn AH

Nhưng 24 byte mà nó thêm vào gói dữ liệu có thể làm chậm xuống việc phânđoạn và tính toán thông lượng.

IP Header ESP Header PayLoad ESPTrailer ESPAuthentication

Hình 2.5 Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào

a Khuông dạng gói dữ liệu dựa trên ESP

Khuôn dạng của gói ESP phức tạp hơn so với khuôn dạng của AH, nókhông chỉ gồm ESP header mà còn ESP trailer và ESP Authentication data

Dữ liệu tải(Payload) được định vị giữa header và trailer

Hình 2.6 Khuôn dạng ESP

Các trường trong ESP đều là bắt buộc:

 SPI: Là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an

ninh, ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này Cácgiá trị SPI từ 1 đến 255 được dành riêng để sử dụng trong tương lai.Giá trị SPI = 0 để chỉ ra chưa có SA nào tồn tại

 SN: Giống như AH, trường SN chứa một giá trị đếm tăng dần để chống

lặp lại Mỗi SA được lựa chọn thì giá trị của trường này bắt đầu là 0

 Payload Data: Trường có độ dài biến đổi chứa dữ liệu mô tả trong Next

Header Payload Data là trường bắt buộc, được mã hoá bởi các thuậttoán mã hoá, các thuật toán mã hoá này được lựa chọn ngay khi thiếtlập SA Trường này có độ dài bằng một số nguyên lần 1 byte

IP Hdr ESP Payload

Hdr

ESP Trl

ESPAuth

SecurityParameters

Index (SPI)

SequenceNumber Padding

PadLength

NextHeader

s

IP Hdr EessadafsdE Payload

SP ESP Hdr

ESP Trl ESP

Auth

Mã hoá Định danh

Gói tin IP ban đầu

IP Hdr Payload

 Padding: Trường này được thêm vào để đoạn được mã hoá là một số nguyên

lần của một khối các byte Ngoài ra trường còn dùng để che dấu độ dài thựccủa Payload

 Pad Length: Trường này xác định số byte padding đã thêm vào (0 đến

225)

 Next Header: Là trường 8 bit bắt buộc, nó chỉ ra kiểu dữ liệu trong

Payload Data Ví dụ một giao thức bậc cao hơn như TCP Giá trị củatrường được chọn trong chuẩn IP Protocol Number được đưa ra bởiIANA

 Authentication Data: Trường có độ dài biến đổi chứa giá trị ICV được

tính cho gói ESP từ SPI đến Next Header Authentication là trườngkhông bắt buộc, được thêm vào nếu dịch vụ Authentication được lựachọn cho SA đang xét Các thuật toán để tính ICV là các thuật toánhàm băm một chiều MD5 hoặc SHA giống với AH

b Chế độ hoạt động

Hình 2.7: Gói ESP trong chế độ Transport

ESP cũng được sử dụng ở hai chế độ: Transport và Tunnel

 Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớp

trên nhưng không bảo vệ IP Header Các gói tin IP cũ được cắt phầntiêu đề ra, sau đó tiêu đề ESP được đưa vào giữa ESP trailer sẽ đượcđưa vào cuối gói tin, cuối cùng là Authentication Data được đưa thêm

vào Chế độ Transport không mã hoá cũng không xác thực IP Header,tuy nhiên nó có chi phí xử lý thấp, chỉ được dùng cho các Host.

Hình 2.8: Gói ESP trong chế độ Tunnel

 Chế độ Tunnel: Trong chế độ này, gói IP mới được xây dựng cùng với

một IP Header mới Các IP Header bên trong mang địa chỉ nguồn vàđích cuối cùng, còn IP Header bên ngoài mang địa chỉ định tuyến quaInternet Ở chế độ này, ESP sẽ bảo vệ cả gói tin IP ban đầu bao gồm:Payload và IP header Đối với gói IP bên ngoài thì vị trí của ESP giốngnhư trong chế độ Transport

c Các thuật toán sử dụng trong ESP

Các thuật toán bao gồm:

 Các thuật toán mật mã: DES, IDEA ,AES… Thuật toán mã hoá được xác

định bởi SA ESP làm việc với các thuật toán mã hoá đối xứng Với sự cómặt của trường Padding, các thuật toán mã hoá có thể có đặc tính khối hoặcluồng

 Các thuật toán xác thực: MD5,SHA1…

d Xử lý gói tin đầu ra

Quá trình xử lý gói đầu ra bao gồm các bước sau:

ESP Trl ESP

Auth

Mã hoá Định danh

Gói tin được tạo đường hầm

 Tìm kiếm SA: Giống như AH, ESP được thực hiện trên một gói tin chỉ

khi nào bộ điều khiển IPSec đã xác định gói tin đó được liên kết vớimột SA

 Mã hoá gói tin: Tuỳ thuộc vào chế độ Tunnel hay Transport mà ESP

thực hiện đóng gói toàn bộ gói tin hay chỉ đóng gói phần Payload.Thêm Padding nếu cần thiết, mã hoá các trường Payload Data, Padding,PadLength, Next Header theo các thuật toán đã được chỉ ra bởi SA.Nếu dịch vụ xác thực được lựa chọn thì việc mã hoá được thực hiệntrước, quá trình mã hoá không bao gồm trường Authentication Data Vàquá trình xác thực được thực hiện sau Thứ tự xử lý này cho phépnhanh chóng xác định và loại bỏ các gói lỗi hoặc lặp lại mà không cầnphải giải mã gói tin, đồng thời cho phép phía thu xử lý song song cả haiviệc: giải mã và xác thực

 Tạo SN: Quá trình này được thực hiện giống với AH.

 Tính ICV: Nếu dịch vụ xác thực được lựa chọn thì phía phát sẽ tính các

giá trị ICV trên gói dữ liệu ESP gồm các trường sau: SPI,SequenceNumber, Payload Data, Padding, PadLength và Next Header.Trong đó 4 trường cuối ở dạng đã mã hoá ICV được tính dựa vào cácthuật toán xác thực dùng hàm băm một chiều như MD5 và SHA-1

 Phân mảnh: Nếu cần thiết thì phân mảnh sẽ được thực hiện sau khi đã xử

lý ESP

e Xử lý gói tin đầu vào

Quá trình xử lý gói đầu vào gồm các bước ngược với quá trình xử lý gói tinđầu ra

 Ghép mảnh: Ghép mảnh được thực hiện trước khi xử lý ESP Nếu một

gói tin cần xử lý ESP ở dạng phân mảnh thì phía thu phải loại bỏ gói tinđó

 Tìm kiếm SA: Khi nhận được một gói tin chứa ESP Header, phía thu sẽ

xác định một SA phù hợp dựa trên địa chỉ đích, giao thức bảo mật vàSPI Nếu không thể tìm thấy một SA nào phù hợp cho phiên truyền dẫnnày thì phía thu sẽ loại bỏ gói tin

 Kiểm tra SN: Giống với kiểm tra SN trong AH.

 Kiểm tra ICV: Nếu dịch vụ xác thực được lựa chọn phía thu sẽ tínhICV của gói ESP ngoại trừ trường Authentication Data rồi so sánh vớiICV của gói tin nhận được Nếu hai giá trị ICV này trùng nhau thì góitin là hợp lệ, nếu không gói tin sẽ bị loại bỏ Việc kiểm tra được tiếnhành như sau: Trước tiên trường Authentication Data được tách ra khỏiESP và lưu lại, sau đó kiểm tra độ dài gói ESP còn lại, nếu Padding đãđược ngầm định thì các byte 0 được thêm vào sau trường Next Headersau đó sẽ tính ICV và so sánh với giá trị ICV được lưu trong trườngAuthentication Data

 Giải mã gói tin: Đầu tiên là giải mã ESP bao gồm các trường Payload

Data, Padding, Padlength, NextHeader sử dụng khoá, thuật toán mật

mã đã xác định bởi SA Sau đó xử lý phần Padding theo đặc điểm củathuật toán, loại bỏ nó trước khi đưa lên các lớp trên Cuối cùng là xâydựng lại gói tin IP ban đầu tuỳ thuộc vào chế độ Transport hay Tunnel.Nếu là Transport, xây dựng lại gói tin ban đầu từ IP Header và thôngtin giao thức lớp trên trong Payload của ESP Nếu là Tunnel, xây dựnglại gói tin ban đầu từ IP Header của gói bên ngoài và toàn bộ gói IP bêntrong

2.2.3 Các chế độ IPSec

Các giao thức của IPSec có thể thực hiện các liên kết an toàn trong haichế độ: Transport và Tunnel Như được mô tả trong hình 2.10, cả AH và ESPđều có thể hoạt động cả trong hai chế độ

Hình 2.9: Hai chế độ IPSec