MỤC LỤC CHƯƠNG I: GIỚI THIỆU GIAO THỨC IPSEC 3 I.1/ NHU CẦU SỬ DỤNG IPSEC HIỆN NAY: 3 I.2/ KHÁI NIỆM: 3 I.3/ VAI TRÒ CỦA IPSEC: 5 I.4/ ƯU ĐIỂM VÀ KHUYẾT ĐIỂM CỦA IPSEC : 5 I.4.1.Ưu điểm: 5 I.4.2.Khuyết điểm: 6 I.5/ CÁC GIAO THỨC TƯƠNG ĐƯƠNG: 6 I.5.1.Điểm giống nhau giữa IPSec và SSL: 6 I.5.2.Điểm khác nhau giữa IPSec và SSL: 7 I.6/ LIÊN KẾT BẢO MẬT: 8 CHƯƠNG II: CHI TIẾT CẤU TRÚC GIAO THỨC IPSEC 9 II.1/ MÔ HÌNH KIẾN TRÚC: 9 II.1.1.Tổng quan: 9 II.1.2.Các dịch vụ của IPSec: 11 II.2/ ĐÓNG GÓI THÔNG TIN CỦA IPSEC: 12 II.3/ GIAO THỨC XÁC THỰC AH (Authentication Header): 13 II.3.1.Giới thiệu: 13 II.3.2.Cấu trúc gói AH: 14 II.3.3.Quá trình xử lý AH: 15 II.3.3.1.Vị trí của AH: 16 II.3.3.2.Các thuật toán xác thực: 17 II.3.3.3.Xử lý gói đầu ra: 17 II.3.3.4.Xử lý gói đầu vào: 20 II.4/ GIAO THỨC ENCAPSULATING SECURITY PAYLOAD (ESP): 21 II.4.1.Giới thiệu: 21 II.4.2.Cấu trúc gói tin ESP: 22 II.4.3.Quá trình xử lý ESP: 24 II.4.3.1.Vị trí của ESP header: 24 II.4.3.2.Các thuật toán: 26 II.4.3.3.Xử lý gói đầu ra: 27 II.4.3.4.Xử lý gói đầu vào: 28 II.4.3.5.Giải mã gói: 29 II.5/ Quản lý khóa với IKE: 30 II.5.1.Tổng quan về quản lý khóa: 30 II.5.2.IKE Phases : 31 II.5.2.1.Giai đoạn 1 : 31 II.5.2.2.Giai đoạn 2: 31 II.5.3.IKE Modes: 32 II.6/ HOẠT ĐỘNG CỦA IPSEC: 35 II.6.1.Cách thức hoạt động của IPSec : 35 II.6.2.Ví dụ về hoạt động của IPSec: 36 CHƯƠNG III: MÔ HÌNH THỰC NGHIỆM TÌM HIỂU GIAO THỨC IPSEC 37 III.1/ Phase 1:……………………………………………………………………..….. 39 III.2/ Phase 2: 43 CHƯƠNG 4: KẾT LUẬN 46 CHƯƠNG I: GIỚI THIỆU GIAO THỨC IPSEC I.1/ NHU CẦU SỬ DỤNG IPSEC HIỆN NAY: Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet. Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật sự được quan tâm, do đó, các giao thức trong bộ TCP/IP hầu như không được trang bị bất cứ giao thức nào. Cấu trúc gói dữ liệu (IP, TCP,UDP và cả các giao thức ứng dụng) được mô tả công khai, bắt được gói IP trên mạng, ai cũng có thể phân tích gói để đọc phần dữ liệu chứa bên trong, đó là chưa kể hiện nay, các công cụ bắt và phân tích gói được xây dựng với tính năng mạnh và phát hành rộng rãi.Việc bổ sung các cơ chế bảo mật vào mô hình TCP/IP, bắt đầu từ giao thức IP là một nhu cầu cấp bách.IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạngIPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI. IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc. I.2/ KHÁI NIỆM: IPSec (Internet Protocol Security) là một giao thức được IETF phát triển. IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị. Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng
IPSEC 2012 !"#$ ! %&'())% *+,#$ '!/0 !12#$34 551 '(6&789:;<=:>?@:>A=<@B<CD %E9F=GHI;J@KL>#M *'NO !"# $%&$' IPSEC 2012 ()*+,- >@A:;P?QJ=RST:K@>:CUCV:W9@=:CX=R:CA=R?Y?;Z:;[=R;>Z==@\] =R9\^=:_?`?J=;>]9:a\?;X=I;Y?=;@9K]R>@A:;P?Qb:C>b=I;@>?Y?;Z:;[=RSc=R =;d`66`<:-`eeG<:@GI`f9\=;>^=GghiGi@?;X=Rj= =;d k_:k9T?BAR>@A :;P? =g\Qdl? hm Bn=R GgSR>@A:;P? =]= :F=R ?o@Sc=R =:<C=<: gA:;p>Q>bS:;>q:IqR>@A:;P?=g\`KV=Q]kFASr::;s=R:>=?;d@:;r:hiQdl? W9@=:tS`BAQJ`?Y?R>@A:;P?:CA=RkT;j9=;dI;s=RQdl?:C@=RkukV:?PR>@A :;P?=gAV9:Cv?RJ>BwG>Z98``Kg?F?Y?R>@A:;P?P=RBn=RDQdl?Ss:F ?s=RI;@>`k_:Qdl?RJ>:C^=Sc=R`@>?x=R?J:;be;t=:y?;RJ>QbQX?e;j=BwG>Z9 ?;P@k^=:CA=R`QJGg?;d@Ib;>Z==@\`?Y??s=R?nk_:Kge;t=:y?;RJ>Qdl?zt\Bi=R KL>:y=;={=RSc=;Kge;Y:;g=;CT=RC|>>Z?k}h9=R?Y??~?;qkFASr:KgASs;•=; `k_:Qj9:€R>@A:;P?GgST:=;9?j9?VekY?;<?9C>:\8<?DGgST:R>@A :;P?Qdl??;9•=;AYk‚>ƒ:€={SMM4=;„SSn?Qy?;=t=R?Ve?Y??~?;qS|;AY KgzY?:;i?:;s=R:>=?;A?;9…>:;s=R:>=:C9\]=Q>:C^=Sc=Rk„=RR>@A:;P?@\=J> ?Y?;I;Y?`<?Gghi:re;le?o@?Y??;9•=S‚Qdl?:;>q:GreQbQFSkFAhi?•=Sr: BwG>Z9`QFSkFA:y=;:Ag=K†=BwG>Z9Kg?;P=R:;i?BwG>Z9R>w@?Y?:;>q:kuSc=R<? ?9=R?VeST:?~?V9kFASr:‚:j=R8<:‡ACIG@\<CD?o@Ss;•=; ' <?Qdl?:;>q:Iq=;de;j=S‚CT=R?o@R>@A:;P?`Qdl?:;i?;>Z=:;[=R=;V: :CA=R?F;@>e;>^=kF=KKgK*[>KL>K`K>Z?YeBn=R<?GgST::9ˆ?;X=` =;d=RQ[>KL>K*`R>@A:;P?kFASr:=g\Qdl?:C>b=I;@>k_:k9T? )%. <?8=:<C=<:CA:A?AG<?9C>:\DGgST:R>@A:;P?Qdl?ƒe;Y::C>b= <?Qdl?Qu=;=R;‰@GgST:R>@A:;P?:CA=R:j=RSc=R?9=R?Ve?Y?Bu?;KnkFA Sr:`=;r=:;i?`:Ag=K†=BwG>Z9KgQ>]9I;>b=:C9\?reJGgST::re;le?Y?:>^9 ?;9•=S‚GgSK>Z??a=R=;@9R>w@?Y?e;j=:;>q:ku !T: ?Y?; ?;9=R =;V:` <? ?;A e;Še ST: Qdp=R =RjS kFA Sr: :;>q: Gre IPSEC 2012 R>w@Sc=RC>^=RKg=;r=:;i?;@>Qj9?o@Qdp=R=RjS=g\Y?:;>q:kuR>w@;@> Qj9 Qdp=R=RjS ?J :;b Gg ST: ?‹e ;Ah:` ;A‹? ST: ?‹e ?}=R kFA Sr: 8?J :;b Gg CA9:<C`Œ>C<‡@GG`kT:re:C9=RD;A‹?ST:?‹e:;>q:kuR•SST:;Ah:KgST:?}=R kFASr:dp=R=RjSQJ=RK@>:CUGgST:I^=;:C9\]=kFASr:R>w@;@>Qj9Kg?Y? RJ>BwG>Z9\^9?j9@=:Ag=Qdl?:C9\]=:C^= QJ<??x=R:;i?;>Z=QJ=RRJ>Bw G>Z9 ?Y? :;s=R :>= Qb :;>q: Gre`B9\ :C• Kg ;o\kŽI^=;:C9\]= I;>I;s=R Ba=R Qq= =w@Y?RJ>:>=:C9\]=:CA=RQdp=R=RjS?JI;9s=Bc=RR>[=R=;d?Y?RJ>:>=k•=; :;dp=RI;Y?KgI;s=RGgS:;@\Q}>?Y?:;>q:ku`I>q=:Cv??x=R=;d=;w=RP=RBn=R ;>Z=?J:C^=Sc=R:C9=RR>@=`W9@QJ?;Ae;ŠeR>FSQY=RIb?;>e;yQb:C>b=I;@>Kg W9F=GH <? ?J ;@> ?~ ?;q ?~ kF= Qb QFS kFA @= :Ag= Bw G>Z9 QJ Gg 89:;<=:>?@:>A=<@B<CD Kg 8=?@eh9G@:>=R <?9C>:\ @\GA@BD` :CA=R QJ <? e;F>;…:ClKg?J:;b;…:Cl •?;Ae;ŠezY?:;i?=R9•=R[?BwG>Z9`I>bS:C@:y=;:Ag=K†=BwG>Z9Kg Bu?;Kn:a\?;X=?;[=Re;Y:Gc>?o@?Y?RJ>:C9\]=R>w@;@>;Z:;[=RI;s=R ?9=R?Ve :y=;kFASr:`Q>]9=g\?J=R;‰@Gg=JRm>Q>:;s=R:>=BdL>Bc=RkF=C• • Gg ST: R>@A :;P? ?9=R ?Ve :y=; @= :Ag= ?o@ ?Y? RJ> :>= Qdl? :C9\]= k@AR•S!r:S|BwG>Z9`zY?:;i?=R9•=R[?BwG>Z9`I>bS:C@:y=;:Ag=K†=e;>Iq: =[>?o@BwG>Z9QFSkFA:y=;kySr:?o@:;s=R:>=:;s=RW9@K>Z?Sr:S|RJ> :>=V:?FGd9Gd~=RQ]9Qdl?Sr:S|R>w@;@>;Z:;[=RL>Q‹?Q>bS=g\ :;•z9;dL=Rh‘hmBn=R=;>]9;~=Qb:{=R:y=;@=:Ag=?;ABwG>Z9 •F Kg Gg ?Y? e;d~=R :>Z= ?;A Q>]9I;>b= :C9\ =;re` Bi@ KgA hi e;t=e;[>?o@?Y?I;J@Sr:S|KgW9F=GH ?Y?G9•=RR>@A:;s=R?JG>^= W9@=Qq= =;w=RR>@A:;P?@=:Ag==g\ ;w=R R>@A:;P?=g\?J:;b Qdl? YeBn=RST: S•=; ;@\Iq:;leKL>=;@9 Qb?9=R?Ve:re?Y?R>@A:;P?@=:Ag=SA=RS9[=:CA=RKKgK*`=;d=R?Y?; ?;v=R?9=R ?Ve ?Y? Bu?; Kn Gg I;Y? =;@9 [> KL> ?F;@> R>@A :;P? Kg =g\`<?I;s=RQu=;?Y?:;9r::AY=@=:Ag=?n:;bQdl?hmBn=R`Sg:;@\KgAQJ Gg ST: I;9=R?;9•= QbhmBn=R ?Y? :;9r::AY= :;<A:>^9 ?;9•= ?s=R=R;>Ze<? hm Bn=R ?Y? :;9r::AY= !|=;r=:;i?kF=:>=:C^=?~ h‚k{S8!D` :;9r::AY= !%8!<hh@R<>R<h:%D`:;9r: :AY= ’ Qb :;i? ;>Z= ?;P? ={=R :Ag= K†= kF= :>=“;9r::AY=`QbSr:S|BwG>Z9“;9r::AY=I;J@?;>@h”:CdL?` IPSEC 2012 ?;wIHh[KgSr:S|R>Y:Cu=R•9=;>^=8A=?<hDQb=;r=:;i??Y?k^=RAg> C@ ?Y? ?;9•= ?U= Qu=; =R;‰@ K>Z? hmBn=R?Y?:;9r::AY=I;Y?=;d`-GA‡Œ>h; Kg<??J:;bhmBn=RR>@A:;P?#8=:<C=<:#<\z?;@=R<DQbzY?:;i?;@> e;y@KgGgSR>@A:;P?:;d~=RGdl=R?Y??;y=;hY?;kFASr:Kg=;r=:;i?:;s=RW9@ K>Z?zY?Qu=;:;9r::AY=Qdl?Ba=RQb:;>q:GreI^=;:C9\]=`:C@AQ}>I;J@?;AS…> e;>^=Iq:=[>`Ba=R:CA=RS…>e;>^=:C9\?re!c=RBa=R<?QbkFASr:?Y?BU=R BwG>Z9?J:;b:iQT=RI>bS :C@:y=;zY?:;i??o@:;>q:kuk„=RR>V\ ?;P=R=;r=h[ ?o@ ;@> =Rdp> Ba=R:C@AQ}>:;s=R:>=W9@Gc>>Z?:;d~=RGdl=R=g\?9[>?a=RB•= Qq=:;>q:GreIq:;le@==>=; 8hD R>w@ ?Y? ?‹e kFA Sr:` Iq: ;le @= =>=; =g\ ?J :y=;?;V:;@>?;>]9:Ci? :>qe;s=R:>=Iq:;le@==>=;Qdl?Gd9:CA=R?~hmBwG>Z9 G>^=Iq@==>=;`KgS…>Qdl?V=Qu=;ST:h[:;@Sh[@==>=;:CA=RkF=RSn?Gn? h@A?;AI;>Iq:;leST:Qu@?;–Qy?;KL>R>@A:;P?@==>=;8;A‹?D:;•?JB9\ =;V:ST: ")/01 ’;Ae;ŠezY?:;i?;@>?;>]9`:CdL?Kg:CA=RW9Y:C•=;:C9\]=:F>BwG>Z9 ’!|;J@Qdp=R:C9\]=R>w@SY\I;>Qdl?Rm>W9@Sc=R ’-FAKZRJ>BwG>Z9Kge;U=R=Ri?Y??9T?:V=?s=RSc=RI;s=RkFASr: ’-gAKZ?Y?Gd9Gdl=Rk„=RK>Z?hmBn=RS|;J@KgQY=;BV9BwG>Z9 ’;y=;hY?;?;Ae;ŠeQu=;=R;‰@C@?Y?GAc>Gd9Gdl=RSg<?I>bS:C@Kg?Y? Gd9Gdl=RQJh‘Qdl?kFASr:KgS|;J@=;d:;q=gA— $)2!/3%-2!1 $(45678 ’#;><?Qdl?:C>b=I;@>:C^=kP?:dp=RGm@;A‹?kTQu=;:9\q=?o@ST:Sc=R C>^=R:;•:y=;={=R@=:Ag=?o@<??J:;bYeBn=R?;A:Ag=kTKgAC@Sc=RC>^=RQJSg ?Y?:;g=;e;j=I;Y?I;s=R?j=e;F>zmGH:;<S?Y??s=RK>Z?G>^=W9@=:L>kFASr: ’<?Qdl?:;i?;>Z=k^=BdL>GLeKg`Q•=R:;p>=J;Ac:QT=R:CA=Rh9[: Q[>KL>?Y?GLe=g\AKr\I;s=R?j=e;F>:;@\Q}>e;j=S]S;@\?V9;•=;Gc>?Y?Bu?; KnI;><?Qdl?:C>b=I;@> IPSEC 2012 ’<??J:;bQdl??V9;•=;Qb;Ac:QT=RST:?Y?;:CA=Rh9[:Q[>KL>?Y?P=RBn=R Qj9?9[>`Q>]9=g\R>ve?;<BV9=;w=R?;>:>q:?V9;•=;e;P?:ceSg=RdL>B9=Re;F>:;i? ;>Z=I;>Iq:=[>Qq=Sc=R=T>kT:€z@:;s=RW9@>=:<C=<: $%94:;<5678 ’V:?F?Y?RJ>Qdl?zmGH:;<A<?h‘ku:{=RIy?;:;dL?BAe;F>:;^SKgA?Y? :>^9Q]I;Y?=;@9`KgQ>]9=g\GgS?;A:;s=RGdl=R;>Z9Bn=R?o@Sc=RR>FSz9[=R V=Q]=g\?J:;bQdl?I;_?e;n?k„=R?Y?;=Š=BwG>Z9:CdL?I;>S|;J@`hA=R?Y?I‰ :;9r:=;dKr\K•=?U=Q@=R=R;>^=?P9Kg?;d@Qdl??;9•=;J@ ’<?Qdl?:;>q:Iq?;–Qb;…:ClkFASr:?;AGd9Gdl=R`I;s=R;…:Cl?Y?Bc=R Gd9 Gdl=R I;Y? ’>Z?:y=;:AY==;>]9R>F>:;9r:e;P?:ce:CA=R<?K•=?U=GgST:KV=Q]I;JQ[> KL>?Y?:CcSGgSK>Z?KgSY\={=RGi?\q9 ’>Z?e;t=e;[>?Y?e;j=?P=RKge;jSS]SSr:S|K•=?U=ku;c=?;qQ[>KL> ?;y=;e;oST:h[W9[?R>@ ').2 <??9=R?Ve:y=;={=RS|;AYKgzY?:;i?Sc=;?;AGd9Gdl=RKg?x=R ?9=R?Ve:y=;={=R:C@AQ}>KgGgS:d~>I;AYBi@:C^=?;P=R?;–=;phmBn=R#bQ> Qq=Iq:G9r=ST:?Y?;:;r=:CX=R`:@e;F>Q]z9V:C„=R=;w=R:y=;={=R=g\Gg?j=:;>q: R>[=R=;d?Y?:y=;={=RSg+Kg+?9=R?VeCA=Re;j==g\?;v=R:@Gd9HQq=hi R>[=R=;@9KgI;Y?=;@9?~kF=R>w@<?Kg+KgR>F>:;y?;=;w=Re;cSK>=gAhm Bn=R?F;@>R>@A:;P? '(2678=6>?=?9@4=6A@BCDE ’<?Kg+?9=R?VezY?:;i?G><=:Kg<CK<C ’<?Kg+?9=R?Ve:y=;={=RQFSkFA@=:Ag=KgzY?:;i?Q[>KL>BwG>Z9`:;rS?;y :C^=?Y?SP?I;Y?=;@9?o@?;•=RR>@A:;P? ’<?Kg+?J:;bBa=R?Y?:;9r::AY=Sr:S|Sc=;?;AK>Z?S|;AYKg?Y?;gS k{S`?J:;bhmBn=RzY?:;i?Bi@:C^=?;P=R?;– ’<?Kg+?9=R?Ve:y=;={=Rh>=;I;AYKgGgS:d~>I;AYSgI;s=Re;F>:C9\]=kV: IˆI;AY=gABdL>Bc=RC•;@\=RAc>:9\q= % IPSEC 2012 '2678F9GC?9@4=6A@BCDE ’+Qdl?:;i?:;>=;dST:R>w@:j=RP=RBn=RKg:j=RKr=:F>“<?Qdl?:;i?:;> =;dST:I;9=RGgSK>Z?:c>:j=RG>^=Sc=R ’+?9=R?Ve:y=;={=RkFASr::€P=RBn=R’:L>’P=RBn=R8KyBnR>w@˜<k-CA‡h<C Kg˜<k<CK<CD“<??9=R?Ve:y=;={=RkFASr::€:;>q:ku’:L>’:;>q:ku ’+I;s=RkFAKZGd9Gdl=R“<?:;•?J ’+;Ac:QT=R:€Q>bS?9[>’:L>’Q>bS?9[>KgI;s=R?JI;Y>=>ZSQdp=R;jS>]9 =g\?J:;bGgST:KV=Q]Gv?Gd9Gdl=R?j=Qdl?z<SzŠ:k„=R?Y?;I>bS:C@=T>B9=RKg W9Š:K>C9h:CdL?I;>=JQdl?e;t=e;[>:;g=;?s=RQq=Qy?;“<??J:;b;Ac:QT=R:;<A ;@>?Y?;`Q>bS?9[>’:L>’Q>bS?9[>Kg=;dST:Qdp=R;jS ’+?J:;bKdl:W9@;A‹?'#`?;v=RBa=RQb?;<BV9?V9:Cv?Qu@?;–k^= :CA=R;A‹?:CY=;hiz9=RQT:Qu@?;–C>^=R“<?:CA=R?;qQTKr=:F>8<=B™:A’<=BD I;s=R:;bhmBn=R=;d=R=J?J:;bBa=RST:Qdp=R;jS<?QbQc:Qdl?Sn? :>^9:d~=R:iKg:;rS?;ykFASr:;~=K•Qdp=R;jS?x=R?J:;bQdl?S|;AY ’Y?P=RBn=R?j=e;F>hm@Q}>QbhmBn=R+>]9=g\?J:;bGgST:KV=Q]Gv?:@ I;s=R:C9\?reQdl?S|=R9•=?o@P=RBn=R;A‹?I;s=R?J:;p>R>@=;@\I>=;=R;>ZS Qb:;@\Q}>S|=R9•=?o@P=RBn=R“<?;Ag=:Ag=:CA=Rh9[:KL>?Y?P=RBn=R ;s=R:;dp=R+Gg:[:Gv?:@?;–?JST:P=RBn=RQdl?kFAKZKg=JQ|hš=?J:CA=R ST:e;>^=kF=+’@‡@C<t\Gg:Cdp=R;le?JST:P=RBn=R?;9•=Q@Bc=R`I;s=R?;– KL>˜<k-CA‡h<CKg˜<k<CK<CRAg>C@`=q9?J:9ˆ?;X=?o@K>Z?:;i?:;>I;Y>=>ZS’ :><Ck„=R?Y?;:r=Bn=R?Y??}=RP=RBn=R˜<k:c>Kg=;Q@>?o@Sc=R`+GgST:hiGi@ ?;X=:[:q9?JST:h[Gdl=RGL=?Y?P=RBn=RQbkFAQFS@=:Ag=?J:;be;F>?;X=R>F> e;Ye:[:;~=?;ASc=RCA=R:Cdp=R;le=g\`<?GghiGi@?;X=:[:;~=C€I;>:i:@ e;Y::C>b=?Y?P=RBn=R`<?S]SB”A;~=+Qb:;i?:;>ST:?;y=;hY?;kFASr:\^9 ?j9=;>]9SP?I;Y?=;@9KghiIq:;le?o@zY?:;i?`S|;AYKgQdp=R;jS * IPSEC 2012 #)H%IJ& ’8<?9C>:\hhA?>@:>A=hDGgST:I;Y>=>ZS?~kF=:CA=RkTR>@A:;P?<?Gg ST:Iq:=[>G9r=GH:;<Ae;d~=R;dL=RB9\=;V:R>w@;@>:;i?:;bhmBn=R?Y?Bu?;Kn <?R•S?J:Cdp=R •8<?9C>:\@C@S<:<C=B<zDGgST::Cdp=Rk>:hBa=R=;r=Bc=R?Y?R>@A :;P?kFASr:`Qd~?Qu=;=R;‰@k‚>?Y?:Cdp=R<?9C>:\eCA:A?AG:CA=RkT<?Q@=R B9=R=;dGge;j=Qj9?o@R>@A:;P?kFASr:Kg:;dp=R?;X=k‚>;Z:;[=RQy?;:CA=R h9[:W9Y:C•=;:;Ž@:;9r=?o@ •<h:>=@:>A=@BBC<hhQu@?;–?o@=v:Qy?;~?;qW9F=GH?a@?;–Qdl? Qu=;=R;‰@?;A;Z:;[=R9=>?@h:S‹?Ba=J?J:;bGg;Z:;[=RkCA@B?@h:`9=>?@h:;@\ S9G:>?@h: •<?9C>:\eCA:A?AG“Ss:FR>@A:;P?kFASr:<?`Gg;A‹?:CA=R <?Qdl?:C>b=I;@>:;<A?;qQT:C@=heAC:SAB<Kg:9==<GSAB< 0 IPSEC 2012 ()% ((K?=L4@? Hình:#>q=:Cv?R>@A:;P? €I;>?s=R=R;Z>eh<?C@Qp>`=JI;s=R?;–?U=Qdl?k>q:Qq==;dST:?;9•=>=:<CC=<: Q~=G‘=w@`Sg;~=:;q=w@?U=Qdl?Qu=;=R;‰@:CA=R?;9•=ƒ`Qdl?IbQq=:CA=R kF=Rh@9 4 IPSEC 2012 ’#>q=:Cv?<?E9\Qu=;?Y??V9:Cv?`?Y?I;Y>=>ZSKg\^9?j9?o@<? ’>@A:;P?GgST:R>@A:;P?Sr:S|KgzY?:;i?:;s=R:>=:CA=R<? ’>@A:;P?GgR>@A:;P??;P?={=RRj=R>[=R;dKr\I;>:C>b=I;@><?` =Rdp>hmBn=R?J:;b?;X=Ba=R;A‹?`S…>R>@A:;P??Jd9Kg=;dl?Q>bSC>^=R ’;9r::AY=Sr:S|u=;=R;‰@?Y?:;9r::AY=S|;AYKgR>F>S|hmBn=R:CA=R<? <??;o\q9Bi@KgA?Y?:;9r::AY=S|;AYQ[>zP=R ’;9r::AY=zY?:;i?u=;=R;‰@?Y?:;9r::AY=zY?:;i?:;s=R:>=hmBn=R:CA=RKg ’E9F=GHI;AY!s:F?Y??~?;qW9F=GHKg:C@AQ}>I;AY:CA=R<? ’!>]=:;i?:;>8AS@>=AŒ=:<CeC<:@:>A=™'Du=;=R;‰@Ss>:Cdp=R:;i?:;><? <?I;s=Re;F>GgST:?s=R=R;ZC>^=Rk>Z:SgGghi:};le?o@=;>]9?~?;q`R>@A :;P?KgI›:;9r:I;Y?=;@9`:CA=RQJS…>R>@A:;P?`?~?;qQ]9?J=;>]9?;qQT;Ac: QT=RI;Y?=;@9>Z?zY?Qu=;ST::re?Y??;qQT?j=:;>q:Qb:C>b=I;@><?:CA=RST: M IPSEC 2012 :•=;;9[=R?n:;bGg?;P?={=R?o@S>]=:;i?:;>6Š:K]S‹:P=RBn=R`<?:;i??;V:Gg ST:R>@A:;P?;Ac:QT=RhA=RhA=RKL>=;„S?9=R?Ve?;P?={=R?~kF=Sg =R9\^=:;9œ?;d@?J`QJGgS|;AYKgzY?:;i?RJ>BwG>Z9!T:?Y?;I;Y>W9Y:?J:;b z<S<?GgST::};leR•S;@>:;g=;e;j= ’>@A:;P?QJ=RRJ>`R•SKg ’>@A:;P?:C@AQ}>I;AY#8=:<C=<:#<\z?;@=R<D (GCMNC9DOCP@BC • E9F=GH:C9\z9V:8@??<hh?A=:CAGD • Ag=K†=BwG>Z9‚?;qQTI;s=RIq:=[>8?A==<?:>A=G<hh>=:<RC>:\D • 6Y?:;i?=R9•=R[?BwG>Z98B@:@AC>R>=@9:;<=:>?@:>A=D • ;[=Re;Y:Gc>8@=:>’C<eG@\D • !|;AYBwG>Z98<=?C\e:>A=D • -FASr:BU=RGd9Gdl=R8:C@ŒŒ>?ŒGA‡?A=Œ>B<=:>@G>:\D >Z??9=R?Ve?Y?Bu?;Kn=g\:CA=R:€=R:•=;;9[=R?n:;be;n:;9T?KgAR>@A:;P? QJ=RRJ>Qdl?Ba=RGg;@\;<AQJ=q9R>@A:;P?Qdl??;X=Gg:;•?Y?Bu?; KnS|;AYKgkFASr:BU=RBwG>Z9h‘I;s=RQdl??9=R?Ve • [...]... Gói ESP mật mã bị lỗi (có thể được lựa chọn nếu dịch vụ xác thực được lựa chọn cho SA) 28 IPSEC 2012 II.5/ Quản lý khóa với IKE: II.5.1.Tổng quan về quản lý khóa: Bộ IPSec đưa ra 3 khả năng chính đó là : tính xác nhận và tính toàn vẹn dữ liệu( data authentication and integrity) cùng sự cẩn mật được cung cấp bởi hai giao thức chính trong bộ giao thức IPSec là AH và ESP IPSec dùng một giao thức thứ... như AH, giao thức này được phát triển hoàn toàn cho IPSec Giao thức này cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin Thêm vào đó, ESP cũng cung cấp nhận thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại thời điểm thiết lập SA, dịch vụ bảo mật được... bí mật sẽ không được đảm bảo Hai dịch vụ nhận thực và toàn vẹn dữ liệu luôn đi kèm nhau Dịch vụ chống phát lại chỉ có thể có nếu nhận thực được lựa chọn Giao thức này được sử dụng khi yêu cầu về bí mật của lưu lượng IPSec cần truyền 20 IPSEC 2012 II.4.2.Cấu trúc gói tin ESP: Hoạt động của ESP khác hơn so với AH Như ngụ ý trong tên gọi, ESP đóng gói tất cả hoặc một phần dữ liệu gốc Do khả năng bảo mật. .. công, Informational mode được dùng để thông báo cho các bên khác biết 33 IPSEC 2012 II.6/ HOẠT ĐỘNG CỦA IPSEC: II.6.1.Cách thức hoạt động của IPSec : Ta biết rằng mục đích của IPSec là bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiết và hoạt động của IPSec được chia thành 5 bước chính sau: Bước 1: A gửi lưu lượng cần bảo vệ cho B Bước 2: Router A và B thỏa thuận 1 phiên trao đổi IKE Phase... đổi IKE phase 2 IPSec SA < - IKE phase >IPSec SA Bước 4: Thông tin được truyền dẫn qua đường hầm IPSec Bước 5: Kết thúc đường hầm Phân tích : Bước 1: Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec. Ở đây các thiết bị IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường đị chỉ Bước 2:IKE phase 1 -IKE xác thực các đối tác IPSec và một tập các dịch vụ bảo mật được thỏa... động, đó là kiểu Transport và kiểu Tunnel Kiểu Transport cho phép bảo vệ các giao thức lớp trên, nhưng không bảo vệ IP header Trong kiểu này, ESP được chèn vào sau một IP header và trước một giao thức lớp trên (chẳng hạn TCP, UDP hay ICMP…) và trước IPSec header đã được chèn vào Đối với IPv4, ESP header đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây là TCP) ESP trailer bao gồm các trường... theo của quá trình xử lí IPSEC được diễn ra Bước 5: Kiểm tra trong SAD để đảm bảo rằng các ipsec policy áp dụng với thông điệp trên thỏa mãn hệ thống các policy yêu cầu.Giai đoạn quan trọng này rất khó minh họa trong trường hợp quá trình xác thực chỉ sử dụng mình AH.Một ví dụ có sức thuyết phục cao hơn khi chúng ta tiếp tục tìm hiểu một loại tiêu đề bảo mật khác,ESP II.4/ GIAO THỨC ENCAPSULATING SECURITY... và ESP IPSec dùng một giao thức thứ ba Internet Exchange Key (IKE) thực hiện tính năng thứ ba là quản lý khóa để thỏa thuận các giao thức bảo mật và các thuật toánmã hóa trước và tron suốt quá trình giao dịch IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật giữa hai bên IKE SA được nhận ra bởi các cookies của bên khởi tạo, được theo sau bởi các cookies của trả lời phía đối tác Thứ... được sử dụng cho các ứng dụng còn lại Ở kiểu Transport cho phép bảo vệ các giao thức lớp trên, cùng với một số trường trong IP header Trong kiểu này, AH được chèn vào sau IP header và trước một giao thức lớp trên (chẳng hạn như TCP, UDP, ICMP…) và trước các IPSec header đã được chen vào Đối với IPv4, AH đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây là TCP) Đối với IPv6, AH được xem như... header cũng như dữ liệu của các giao thức lớp trên, tuy nhiên do 12 IPSEC 2012 một số trường của IP header thay đổi trong khi truyền và phía phát có thể không dự đoán trước được giá trị của chúng khi tới phía thu, do đó giá trị của các trường này không bảo vệ được bằng AH Có thể nói AH chỉ bảo vệ một phần của IP header mà thôi AH không cung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất