NGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAYNGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAY
Trang 1ĐỀ TÀI :NGHIÊN CỨU NHU CẦU SỪ DỤNG IPSEC HIỆN NAY
Trang 2CHƯƠNG 1: GIỚI THIỆU
I NHU CẦU SỪ DỤNG IPSEC HIỆN NAY:
Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thốnghiện nay Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triểnkhai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,…Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sửdụng làm giao thức nền tảng của mạng Internet Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật
sự được quan tâm, do đó, các giao thức trong bộ TCP/IP hầu như khôngđược trang bị bất cứ giao thức nào Cấu trúc gói dữ liệu (IP, TCP,UDP và cảcác giao thức ứng dụng) được mô tả công khai, bắt được gói IP trên mạng, aicũng có thể phân tích gói để đọc phần dữ liệu chứa bên trong, đó là chưa kểhiện nay, các công cụ bắt và phân tích gói được xây dựng với tính năngmạnh và phát hành rộng rãi.Việc bổ sung các cơ chế bảo mật vào mô hìnhTCP/IP, bắt đầu từ giao thức IP là một nhu cầu cấp bách.IP Security (IPSec)
là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nângcấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đitrên mạng bằng giao thức IP Hay nói cách khác, IPSec là sự tập hợp của cácchuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toànvẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạngIPSec cung cấp một
cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiệnthống nhất trong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụngIPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triểnkhai bắt buộc
Trang 3II KHÁI NIỆM:
IPSec (Internet Protocol Security) là một giao thức được IETFphát triển IPSec được định nghĩa là một giao thức trong tầng mạngcung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiểntruy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữacác phần thiết bị
Một cách chung nhất, IPSec cho phép một đường ngầm bảo mậtthiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này.Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc mộtcặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc mộtcặp thiết bị gồm một host và một cổng bảo mật Đường ngầm đóng vaitrò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu cầu antoàn được truyền trên đó IPSec cũng thực hiện đóng gói dữ liệu cácthông tin để thiết lập, duy trì và hủy bỏ kênh truyền khi không dùng đếnnữa Các gói tin truyền trong đường ngầm có khuôn dạng giống như cácgói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúccũng như những ứng dụng hiện có trên mạng trung gian, qua đó chophép giảm đáng kể chi phí để triển khai và quản lý
IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH(Authentication Header) và ESP (Encapsulating Security Payload), trong
đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH:
+ AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn
dữ liệu và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai
hệ thống AH không cung cấp
tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ
Trang 4+ ESP là một giao thức cung cấp tính an toàn của các gói tinđược truyền bao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểmtra tính toàn vẹn phi kết nối của dữ liệu ESP đảm bảo tính bí mật củathông tin thông qua việc mật mã gói tin IP Tất cả lưu lương ESP đềuđược mật mã giữa hai hệ thống Với đặc điểm này thì xu hướng sẽ sửdụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu.
+ Cả AH và ESP là các phương tiện cho điều khiển truy nhập,dựa vào sự phân phối của các khóa mật mã và quản lý các luồng giaothông có liên quan đến những giao thức an toàn này
Những giao thức này có thể được áp dụng một mình hay kết hợpvới nhau để cung cấp tập các giao thức an toàn mong muốn trong IPv4
và IPv6, nhưng cách chúng cung cấp các dịch vụ là khác nhau Đối với
cả hai giao thức AH và ESP này, IPSec không định các thuật toán antoàn cụ thể được sử dụng, mà thay vào đó là một khung chuẩn để sửdụng các thuật toán theo tiêu chuẩn công nghiệp IPSec sử dụng cácthuật toán: Mã nhận thực bản tin trên cơ sở băm (HMAC), thuật toánMD5 (Message Digest 5), thuật toán SHA-1 để thực hiện chức năngtoàn vẹn bản tin; Thuật toán DES, 3DES để mật mã dữ liệu; Thuật toánkhóa chia sẻ trước, RSA chữ ký số và RSA mật mã giá trị ngẫu nhiên(Nonces) để nhận thực các bên Ngoài ra các chuẩn còn định nghĩa việc
sử dụng các thuật toán khác như IDEA, Blowfish và RC4.IPSec có thể sửdụng giao thức IKE (Internet Key Exchange) để xác thực hai phía và làmgiao thức thương lượng các chính sách bảo mật và nhận thực thông quaviệc xác định thuật toán được dùng để thiết lập kênh truyền, trao đổikhóa cho mỗi phiên kết nối, dùng trong mỗi phiên truy cập Mạng dùngIPSec để bảo mật các dòng dữ liệu có thể tự động kiểm tra tính xác thực
Trang 5của thiết bị bằng giấy chứng nhận số của hai người dùng trao đổi thôngtin qua lại Việc thương lượng này cuối cùng dẫn đến thiết lập kết hợp anninh (SAs) giữa các cặp bảo mật, kết hợp an ninh này có tính chất haichiều trực tiếp Thông tin kết hợp an ninh được lưu trong cơ sử dữ liệuliên kế an ninh, và mỗi SA được ấn định một số tham số an ninh trongbảng mục lục sao cho khi kết hợp một địa chỉ đích với giao thức an ninh(ESP hoặc AH) thì có duy nhất một.
III VAI TRÒ CỦA IPSEC:
-Cho phép xác thực hai chiều,trước và trong quá trình truyền tải dữ liệu-Mã hóa đường truyền giữa 2 máy khi được gửi qua 1 mạng
-Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bào mật-Bào vệ các lưu lượng bằng việc sử dụng mã hóa và đánh dấu dữ liệu
-Chính sách IPSEC cho phép định nghĩa ra các loại lưu lượng mà IPSeckiểm tra và các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào?
IV ƯU ĐIỂM VÀ KHUYẾT ĐIỂM CỦA IPSEC :
1 Ưu điểm:
-Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến củamột mạng riêng thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộvào ra mạng riêng đó mà các thành phần khác không cần phải xử lý them cáccông việc liên quan tới bảo mật
Trang 6-IPSec được thực hiện bên dưới lớp TCP và UDP ,đồng thời nó hoạtđộng trong suốt đối với các lớp này.Do vậy không cần phải thay đổi phầnmềm hay cấu hình lại các dịch vụ khi IPSec được triển khai.
-IPSec có thể được cấu hình để hoạt động một cách trong suốt đối vớicác ứng dụng đầu cuối,điều này giúp che dấu những chi tiết cấu hình phứctạp mà ngưới dung phải thực hiện khi kết nối đến mạng nội bộ từ xa thôngqua internet
2 Khuyết điểm:
- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêmvào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng củamạng giảm xuống Vấn đề này có thể được khắc phục bằng cách nén dữ liệutrước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn
đề khó đối với các trạm làm việc và máy PC năng lực yếu
- Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạnchế đối với chính phủ một số quốc gia
V CÁC GIAO THỨC TƯƠNG ĐƯƠNG:
IPSec cung cấp tính năng mã hoá và xác thực mạnh cho lưu lượng IP
và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ nhờ
Trang 7sử dụng IKE Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằngnhững tính năng này là cần thiết giống như các tính năng mà SSL và TLScung cấp Trong phần này chúng ta lưu ý đến sự giống nhau và khác nhau cơbản giữa IPSec và SSL và giải thích những phạm vi nào sử dụng cả hai giaothức
1 Điểm giống nhau giữa IPSec và SSL:
- IPSec và SSL cung cấp xác thực Client và Server
- IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữliệu, thậm chí trên các mức khác nhau của chồng giao thức
- IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá vàcác hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ
- IPSec và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà khôngphải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến
2 Điểm khác nhau giữa IPSec và SSL:
- SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSecđược thực thi như một khung làm việc tại tầng liên mạng
- SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữaWebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị -
- SSL không bảo vệ lưu lượng UDP; IPSec thì có
- SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đườnghầm Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằngcách kiểm tra nội dung và quét virus trước khi nó được phân phối thành côngđến đích; IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối
- SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúcđịa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ
Trang 8vận tải (end –to- end) không thể sử dụng NAT nhưng nó có thể dùng mộtđường hầm IPSec để đạt được mục tiêu tương tự và thậm chí bảo mật hơnNAT vì đường hầm cũng có thể được mã hoá.
- Các ứng dụng cần phải sửa đổi để sử dụng SSL Điều này có thể là một vấn
đề lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thờigian hay kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn
Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đãsẵn có trong một phiên bản SSL-aware Đây là trường hợp có một ứng dụngchuẩn đa dạng, không chỉ với WebBrowser và WebServer Ngoài ra, nếu cótuỳ chọn của việc thực thi khái niệm 3-tier bằng cách tận dụng các cổng ứngdụng Web tại vành đai của mạng, SSL là một sự lựa chọn tốt Nếu có một sốlượng lớn các ứng dụng để bảo đảm an toàn có thể phải chọn giải pháp tốthơn cho mạng Trong trường hợp này, IPSec là sự lựa chọn tốt hơn Trừ khi
tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chínhsách bảo mật yêu cầu nhiều mức khác nhau và sự kết hợp của xác thực, mãhoá và đường hầm
VI LIÊN KẾT BẢO MẬT:
-SA(Security Associations): là một khái niệm cơ bản trong bộ giao thứcIPSec.SA là một kết nối luận lý theo phương hướng duy nhất giữa hai thựcthể sử dụng các dịch vụ IPSec.SA gồm có 3 trường:
Trang 9+ SPI(Security Parameter Index):là một trường 32 bits dùng nhậndạng các giao thức bảo mật,đươc định nghĩa bởi các trường Securityprotocol trong bộ IPSec đang dung.SPI như là phần đầu của giao thức bảomật và thường chọn bởi hệ thống đích trong suốt quá trình thỏa thuận củaSA.
+Destination IP address:địa chỉ IP của nút đích.Cơ chế quản lý cùa SAchỉ được định nghĩa cho hệ thống unicast mặc dù nó có thể là hệ thốngbroadcast,unicast hay multicast
+Security protocol;mô tả giao thức bảo mật IPSec,là AH hoặc ESP.SAtrong IPSec được triển khai theo 2 chế độ :transport mode và tunnel mode
Trang 10CHƯƠNG 2: CHI TIẾT
I. MÔ HÌNH KIẾN TRÚC:
1 Tồng quan:
Hình kiến trúc IPSec
Trang 11Từ khi công nghệ ipsec ra đời, nó không chỉ còn được biết đến như mộtchuẩn interrnet đơn lẽ nữa, mà hơn thế nữa còn được định nghĩa trong chuẩnRFC, được kể đến trong bảng sau:
- Kiến trúc IPSec : Quy định các cấu trúc, các khái niệm và yêu cầu củaIPSec
- Giao thức ESP : là một giao thức mật mã và xác thực thông tin trong
Trang 12- Giao thức AH : là giao thức chức năng gần giống ESP Như vậy khi triểnkhai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức có
- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụngtrong IPSec IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng
- Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng
- Quản lý khoá : Mô tả các cơ chế quản lý và trao đổi khoá trong IPSec
- Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trườngthực thi IPSec IPSec không phải là một công nghệ riêng biệt mà là sự tổhợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giaothức, cơ chế đều có nhiều chế độ hoạt động khác nhau Việc xác định mộttập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể làchức năng của miền thực thi.Xét về mặt ứng dụng, IPSec thực chất là mộtgiao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản mà
IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu Một cách kháiquát có thể xem IPSec là một tổ hợp gồm hai thành phần:-Giao thức đóng gói, gồm AH và ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange)
2 Các dịch vụ của IPSec:
• Quản lý truy xuất (access control)
• Toàn vẹn dữ liệu ở chế độ không kết nối (connectionless integrity)
• Xác thực nguồn gốc dữ liệu (data origin authentication )
• Chống phát lại (anti-replay)
• Mã hoá dữ liệu (encryption)
• Bảo mật dòng lưu lượng (traffic flow confidentiality)
Trang 13Việc cung cấp các dịch vụ này trong từng tình huống cụ thể phụ thuộc vàogiao thức đóng gói được dùng là AH hay ESP Theo đó nếu giao thức đượcchọn là AH thì các dịch vụ mã hoá và bảo mật dòng dữ liệu sẽ không đượccung cấp.
II ĐÓNG GÓI THÔNG TIN CỦA IPSEC
Trang 14có tải (IP payload) là được mã hóa và IP header ban đầu là được giữnguyên vẹn Transport mode có thể được dùng khi cả hai host hỗ trợIPSec Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes chomỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉđích cuối cùng của gói Khả năng này cho phép các tác vụ xử lý đặc biệttrên các mạng trung gian dựa trên các thông tin trong IP header Tuynhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tracủa gói.
Hình Ip ở kiểu transport
b Kiểu Tunnel:
Kiểu này bảo vệ toàn bộ gói IP Gói IP ban đầu (bao gồm cả IPheader) được xác thực hoặc mật mã Sau đó, gói IP đã mã hóa được đónggói vào một IP header mới Địa chỉ IP bên ngoài được sử dụng cho địnhtuyến gói IP truyền qua Internet
Trong kiểu Tunnel, toàn bộ gói IP ban đầu được đóng gói và trởthành Payload của gói IP mới Kiểu này cho phép các thiết bị mạng nhưrouter thực hiện xử lý IPSec thay cho các trạm cuối (host)
Trang 15III GIAO THỨC XÁC THỰC AH (Authentication Header)
và phía phát có thể không dự đoán trước được giá trị của chúng khi tớiphía thu, do đó giá trị của các trường này không bảo vệ được bằng AH
Có thể nói AH chỉ bảo vệ một phần của IP header mà thôi AH khôngcung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cảđều được truyền dưới dạng văn bản rõ AH nhanh hơn ESP, nên có thểchọn AH trong trường hợp chắc chắn về nguồn gốc và tính toàn vẹn của
dữ liệu nhưng tính bảo mật dữ liệu không cần được chắc chắn
Giao thức AH cung cấp chức năng xác thực bằng cách thực hiệnmột hàm băm một chiều (one-way hash function) đối với dữ liệu củagói để tạo ra một đoạn mã xác thực (hash hay message digest) Đoạn mã
đó được chèn vào thông tin của gói truyền đi Khi đó, bất cứ thay đổinào đối với nội dung của gói trong quá trình truyền đi đều được phía thuphát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói
dữ liệu thu được và đối chiếu nó với giá trị hash đã truyền đi Hàm bămđược thực hiện trên toàn bộ gói dữ liệu, trừ một số trường trong IPheader có giá trị bị thay đổi trong quá trình truyền mà phía thu không
Trang 16thể dự đoán trước được (ví dụ trường thời gian sống của gói tin bị cácrouter thay đổi trên đường truyền dẫn).
2 Cấu trúc gói AH:
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Next header Payload length RESERVED
Security parameters index (SPI)
* Payload length (độ dài tải tin): Có độ dài 8 bit và chứa độ dàicủa tiêu đề AH được diễn tả trong các từ 32 bit, trừ 2 Ví dụ trong
Trang 17trường hợp của thuật toán toàn vẹn mà mang lại một giá trị xác minh
96 bit (3x32 bit), cộng với 3 từ 32 bit đã cố định, trường độ dài này cógiá trị là 4 Với IPv6, tổng độ dài của tiêu đề phải là bội của các khối 8
* Reserved (dự trữ): Trường 16 bit này dự trữ cho ứng dụng trongtương lai * Security Parameters Index (SPI: chỉ dẫn thông số
an ninh): Trường này có độ dài 32 bit, mang tính chất bắt buộc
* Sequence Number (số thứ tự): Đây là trường 32 bit không đánhdấu chứa một giá trị mà khi mỗi gói được gửi đi thì tăng một lần.Trường này có tính bắt buộc Bên gửi luôn luôn bao gồm trường nàyngay cả khi bên nhận không sử dụng dịch vụ chống phát lại Bộ đếm bêngửi và nhận được khởi tạo ban đầu là 0, gói đầu tiên có số thứ tự là
1 Nếu dịch vụ chống phát lại được sử dụng, chỉ số này không thể lặp lại,
sẽ có một yêu cầu kết thúc phiên truyền thông và SA sẽ được thiết lậpmới trở lại trước khi truyền 232 gói mới
* Authentication Data (dữ liệu nhận thực): Còn được gọi là ICV(Integrity Check Value: giá trị kiểm tra tính toàn vẹn) có độ dài thayđổi, bằng số nguyên lần của 32 bit đối với IPv4 và 64 bit đối với IPv6,
và có thể chứa đệm để lấp đầy cho đủ là bội số các bit như trên ICVđược tính toán sử dụng thuật toán nhận thực, bao gồm mã nhận thựcbản tin (Message Authentication Code MACs) MACs đơn giản có thể làthuật toán mã hóa MD5 hoặc SHA-1 Các khóa dùng cho mã hóa AH làcác khóa xác thực bí mật được chia sẻ giữa các phần truyền thông có thể
là một số ngẫu nhiên, không phải là một chuỗi có thể đoán trước của bất
cứ loại nào Tính toán ICV được thực hiện sử dụng gói tin mới đưa vào.Bất kì trường có thể biến đổi của IP header nào đều được cài đặt bằng
0, dữ liệu lớp trên được giả sử là không thể biến đổi Mỗi bên tại đầucuối IP-VPN tính toán ICV này độc lập Nếu ICV tính toán được ở phíathu và ICV được phía phát truyền đến khi so sánh với nhau mà không
Trang 18phù hợp thì gói tin bị loại bỏ, bằng cách như vậy sẽ đảm bảo rằng gói tinkhông bị giả mão.
1 Quá trình xử lý AH:
Hoạt động của AH được thực hiện qua các bước như sau:
Bước 1: Toàn bộ gói IP (bao gồm IP header và tải tin) được thựchiện qua một hàm băm một chiều
Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưaheader này vào gói dữ liệu ban đầu
Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối tácIPSec
Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kếtquả thu được một mã hash
Bước 5: Bên thu tách mã hash trong AH header
Bước 6: Bên thu so sánh mã hash mà nó tính được mà mã hashtách ra từ AH header Hai mã hash này phải hoàn toàn giống nhau.Nếu khác nhau chỉ một bit trong quá trình truyền thì 2 mã hash sẽkhông giống nhau, bên thu lập tức phát hiện tính không toàn vẹn của
dữ liệu
a Vị trí của AH:
AH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel.Kiểu Transport là kiểu đầu tiên được sử dụng cho kết nối đầu cuối giữacác host hoặc các thiết bị hoạt động như host và kiểu Tunnel được sửdụng cho các ứng dụng còn lại
Trang 19Ở kiểu Transport cho phép bảo vệ các giao thức lớp trên, cùng vớimột số trường trong IP header Trong kiểu này, AH được chèn vào sau
IP header và trước một giao thức lớp trên (chẳng hạn như TCP, UDP,ICMP…) và trước các IPSec header đã được chen vào Đối với IPv4,
AH đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây là TCP).Đối với IPv6, AH được xem như phần tải đầu cuối-tới - đầu cuối, nên sẽxuất hiện sau các phần header mở rộng hop-to-hop, routing vàfragmentation Các lựa chọn đích(dest options extension headers) có thểtrước hoặc sau AH
Hinh: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
Hình : Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport
Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuốicùng, còn outer IP header mang địa chỉ để định tuyến qua Internet
Trang 20Trong kiểu này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cảinner IP header (trong khi AH Transport chỉ bảo vệ một số trường của IPheader) So với outer IP header thì vị trí của AH giống như trong kiểuTrasport.
Hình: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel
b.Các thuật toán xác thực:
Thuật toán xác thực sử dụng để tính ICV được xác định bởi kếthợp an ninh SA (Security Association) Đối với truyền thông điểm tớiđiểm, các thuật toán xác thực thích hợp bao gồm các hàm băm một chiều(MD5, SHA-1) Đây chính là những thuật toán bắt buộc mà một ứng dụng
AH phải hỗ trợ
c.Xử lý gói đầu ra:
Trong kiểu Transport, phía phát chèn AH header vào sau IPheader và trước một header của giao thức lớp trên Trong kiểu Tunnel,
có thêm sự xuất hiện của outer IP header Quá trình xử lý gói tin đầu ra
Trang 21+ Tính toán ICV: bằng cách sử dụng các thuật toán,phía thu sẽ tính toán lại ICV ở phía thu và so sánh nó với giá trị có trong
AH để quyết định tới khả năng tồn tại của gói tin đó
+ Chèn dữ liệu: có hai dạng chèn dữ liệu trong AH, đó
là chèn dữ liệu xác thực (Authentication Data Padding) và chèn góingầm định (Implicit Packet Padding) Đối với chèn dữ liệu xác thực,nếu đầu ra của thuật toán xác thực là bội số của 96 bit thì không đượcchèn Tuy nhiên nếu ICV có kích thước khác thì việc chèn thêm dữliệu là cần thiết Nội dung của phần dữ liệu chèn là tùy ý, cũng có mặttrong phép tính ICV và được truyền đi Chèn gói ngầm định được sửdụng khi thuật toán xác thực yêu cầu tính ICV là số nguyên của mộtkhối b byte nào đó và nếu độ dài gói IP không thỏa mãn điều kiện đó thìchèn gói ngầm định được thực hiện ở phía cuối của gói trước khi tínhICV Các byte chèn này có giá trị là 0 và không được truyền đi cùng vớigói
+ Phân mảnh: khi cần thiết, phân mảnh sẽ được thực
Trang 22hiện sau khi đã xử lý AH Vì vậy AH trong kiểu transport chỉ được thựchiện trên toàn bộ gói IP, không thực hiện trên từng mảnh Nếu bản thângói IP đã qua xử lý AH bị phân mảnh trên đường truyền thì ở phía thuphải được ghép lại trước khi xử lý AH Ở kiểu Tunnel, AH có thể thựchiện trên gói IP mà phần tải tin là một gói IP phân mảnh.
Trang 23d.Xử lý gói đầu vào:
Khi nhận được một thông điệp có chứa AH,quá trình xử lí ip trướctiên sẽ tống hợp các phân mảnh thành thông điệp hoàn chỉnh.Sau đóthông điệp này sẽ được chuyển tới quá trình xử lí IPSEC.Quá trình nàygồm các bước như sau:
Bước 1:Xác định inbound SA tương ứng trong SAD.Bước này đượcthực hiện dựa trên các thôngsố:SPI,địa chỉ nguồn,giao thức AH.SA tươngứng kiểm tra trong gói AH để xác định xem modenào được áp dụng transportmode hay tunnel mode hay cả hai.Gói cũng phải cung cấp một số
thông số để giới hạn tầm tác động của SA(ví dụ:port hay protocol).Nếu đây
là tunnel header SA phải so sánh các thông số này trong packer inner vì cácthông số này không được sao chép sangtunnel header.Khi SA phù hợp được
Trang 24tìm thấy,quá trình được tiếp tục ,ngược lại gói tin sẽ bị hủy bỏ.
Bước 2:Nếu chức năng chống phát lại được kích hoạt,phía xuất phátcủa gói tin AH luôn tăng số đếm chống phát lại.Bên nhận có thể bỏ qua hoặc
sử dụng chỉ số này để chống phát lại.Tuy nhiên giao thức IP không đảm bảorằng trình tự của các gói khi đến bên nhận giống như trình tự các gói lúcchúng được gửi đi.Do đó chỉ số này không thể dùng để xác định thứ tự củacác gói tin.Tuy nhiên chỉ số này vẫn có thể sử dụng để xác định mối liên hệ
về thứ tự với một cửa sổ có chiều dài là
bội số của 32 bits Đối với mỗi inbound SA,SAD lưu trữ một cửa sổ chốngphát lại.Kích thước của cửa sổ là bội số của 32 bits với giá trị mặc định là 64bits.Một cửa sổ chống phát lại có kích thước N kiểm soát sequence numbercủa N thông điệp được nhận gần nhất.Bất cứ thông điêp nào có sequencenumber nhỏ hơn miền giá trị của cửa sổ phát lại đểu bị hủy bỏ.Các thôngđiệp có số sequence number đã tồn tại trong cửa sổ phát lại cũng bị hủy bỏ.Một bit mask ( hoặc một cấu trúc tương tự ) được sứ dụng để kiểm soátsequence number của N thông điệp được nhận gần nhất đối với SA này Banđầu một bit-mask 64 bít có thể giám sát sequence number của các thông điệp
có sequence number nằm trong đoạn 1 , 64.Một khi xuất hiện một thông điệp
có số sequence number lớn hơn 64 ( ví dụ 70),bit-mask sẽ dịch chuyển đểgiám sát các số sequence number trong đoạn 7 70 Do đó nó sẽ hủy bỏ cácthông điệp có sequence number nhỏ hơn 7,hoặc các thông điệp có sốsequence number đã xuất hiện trong cứa sổ chống phát lại.hình dưới đâyminh họa hoạt động của cửa sổ chống phát lại
Bước 3: Kiểm tra tính xác thực của dữ liệu.Hàm băm được tính toántương tự như dữ liệu đầu ra.Nếu kết quả tính không trùng với ICV trongthông điệp thì hủy bỏ thông điệp ,ngược lại sẽ chuyển sang giai đoạn tiếptheo
Bước 4: Loại bỏ AH và tiếp tục quá trình xử lí IPSEC cho các phầncòn lại của tiêu đề IPSEC.Nếu có một nested IPSEC header xuất hiện tại
Trang 25đích đến này.Mỗi header cần phải được xử lí cho đến khi một trong hai điềukiện được thỏa mãn.Khi ipsec header cuối cùng đã được xử lí thành công vàquá trình xử lí tiếp cận đến các protocol của lớp trên gói tin được gửi đếnchu trình xử lí gói ip tiếp tục di chuyển trong tầng ip.Trong trường hợpkhác,nếu quá trình xử lí tiếp cận với một tunnel ip header mà đích đến khôngphải là host này thì thông điệp được chuyển đến host phù hợp tại đó các giaiđoạn tiếp theo của quá trình xử lí IPSEC được diễn ra.
Bước 5: Kiểm tra trong SAD để đảm bảo rằng các ipsec policy ápdụng với thông điệp trên thỏa mãn hệ thống các policy yêu cầu.Giai đoạnquan trọng này rất khó minh họa trong trường hợp quá trình xác thực chỉ sửdụng mình AH.Một ví dụ có sức thuyết phục cao hơn khi chúng ta tiếp tụctìm hiểu một loại tiêu đề bảo mật khác,ESP
IV GIAO THỨC ENCAPSULATING SECURITY PAYLOAD (ESP)
1 Giới thiệu:
Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec.Giao thức này cung cấp tính bí mật dữ liệu bằng việc mật mã hóa cácgói tin Thêm vào đó, ESP cũng cung cấp nhận thực nguồn gốc dữ liệu,kiểm tra tính toàn vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn
về luồng lưu lượng cần bảo mật Tập các dịch vụ cung cấp bởi ESP phụthuộc vào các lựa chọn tại thời điểm thiết lập SA, dịch vụ bảo mật đượccung cấp độc lập với các dịch vụ khác Tuy nhiên nếu không kết hợp
sử dụng với các dịch vụ nhận thực vào toàn vẹn dữ liệu thì hiệu quả bímật sẽ không được đảm bảo Hai dịch vụ nhận thực và toàn vẹn dữ liệuluôn đi kèm nhau Dịch vụ chống phát lại chỉ có thể có nếu nhận thựcđược lựa chọn Giao thức này được sử dụng khi yêu cầu về bí mật của lưulượng IPSec cần truyền
Trang 262 Cấu trúc gói tin ESP:
Hoạt động của ESP khác hơn so với AH Như ngụ ý trong tên gọi,ESP đóng gói tất cả hoặc một phần dữ liệu gốc Do khả năng bảo mật dữliệu nên xu hướng ESP được sử dụng rộng rãi hơn AH Phần header củagiao thức nằm ngay trước ESP header có giá trị 51 trong trường protocolcủa nó Hình sau diễn tả quá trình xử lý đóng gói:
Hình: Xử lý đóng gói ESP
Chi tiết Cấu trúc gói ESP:
0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Security parameters index (SPI)