1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CƠ SỞ TPHCM KHOA CÔNG NGHỆ THÔNG TIN ———***——— Đồ án môn học Bảo mật thông tin IPSEC và TRIỂN KHAI HỆ THỐNG IPSEC/VPN TRÊN WINDOWS SERVER 2003 Giáo viên hướng dẫn: Thầy LÊ PHÚC Nhóm sinh viên thực hiện: 1.Trương Thế Linh 2.Tô Đình Nghị 3.Phùng Huy Khương 4.Nguyễn Thị Phúc TPHCM / 11. 2009 Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 2 Mục lục I. Lời mở đầu 4 II. Tìm hiểu về IPSEC 5 1. Giới thiệu về IPSEC 5 2. Kiến trúc giao thức IPSEC 5 2.1 Mô hình chung……………………………………………………………… 5 2.2 Các giao thức cơ bản……………………………………………………… 6 2.3 Liên kết bảo mật……………………………………………………………. 6 2.4 Transport mode và Tunnel mode…………………………………………… 7 3. Giao thức AH…………………………………………………………………… 7 3.1 Các cơ chế bảo vệ được cung cấp bởi giao thức AH……………………… 7 3.2 Cấu trúc của AH……………………………………………………………. 8 3.3 Vị trí của AH……………………………………………………………… 8 3.4 Các mode làm việc trong AH……………………………………………… 9 3.5 Nested và Adjacent header trong AH…………………………………… 10 3.6 Quá trình xử lí tiêu đề IPSEC……………………………………………… 11 3.7 Quá trình xử lí của AH với các gói tin Outbound …………………………. 12 3.8 Quá trình xử lí của AH đối với các gói tin Inbound……………………… 16 3.9 Một số điểm phức tạp trong giao thức AH………………………………… 18 3.9.1 Vấn đề phân mảnh và việc quản lí các gói ICMP trong giao thức AH 19 3.9.2 Mối quan hệ giữa NAT và IPSEC……………………………………. 20 3.9.3 Vấn đề auditing (giám sát ) trong AH………………………………….21 4. Giao thức ESP……………………………………………………………………22 4.1 Các cơ chế bảo vệ được cung cấp bởi ESP…………………………………. 22 4.2 Cấu trúc của ESP……………………………………………………………. 23 4.3 Vị trí và các mode làm việc của ESP………………………………………. 25 4.4 Nested và Adjacent header trong ESP………………………………………26 4.5 Qúa trình xử lí của ESP đối với các gói tin Ounbound……………………. 27 4.6 Qúa trình xử lí của ESP đối với các gói tin Inbound…………………………30 4.7 Một số điểm phức tạp trong giao thức ESP………………………………… 30 4.8 Một số đánh giá ,phê bình của các chuyên gia về ESP……………………… 31 4.9 Lý do sử dụng hai tiêu đề bảo vệ……………………………………………. 32 5. Quản lý khóa với IKE ……………………………………………………………32 5.1 Tổng quan về quản lí khóa 32 5.2 IKE phases ………………………………………………………………… 33 5.3 IKE modes ………………………………………………………………… 33 6. PF keys trong IPSEC………………………… ……………… 36 6.1 Giới thiệu…………………………………………………………………… 36 6.2 Cấu tạo……………………………………………………………………… 37 Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 3 7. Mục đích và ưu khuyết điểm của IPSEC …………………………………… 38 8. Triển khai IPSEC 40 8.1 .Các tác động bảo mật……………………………………………………… 40 8.2 Các phương pháp chứng thực được Microsoft hỗ trợ 41 8.3 IPSEC policy 41 8.4 IPSEC làm việc như thế nào 42 III. Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 43 1. Mô hình triển khai 43 2. Các bước thực hiện 43 IV Tài liệu tham khảo……………………………………………………………………… 58 Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 4 I.Lời nói đầu: Trong thời đại Internet phát triển rộng khắp như ngày nay, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến đã trở thành hiện thực. Tuy nhiên, do Internet có phạm vi toàn cầu, không một tổ chức hay chính phủ nào quản lý nên sẽ có rất nhiều khó khăn trong việc bảo mật, đảm bảo an toàn dữ liệu cũng như chất lượng của các dịch vụ trực tuyến thông qua đường truyền mạng. Từ đó, người ta đã đưa ra mô hình mới nhằm thỏa mãn những yêu cầu trên mà vẫn tận dụng được cơ sở hạ tầng mạng vốn có, đó chính là mạng riêng ảo (Virtual Private Network-VPN). Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi gửi và nơi nhận (Tunnel) giống như một kết nối point-point trên mạng riêng.Và IPSEC (Internet Protocol Security) chính là một trong những giao thức tạo nên cơ chế “đường ống bảo mật” cho VPN. Thông qua tài liệu này sẽ giúp chúng ta hiểu những khái niệm gần như cơ bản nhất về IPSEC cũng như cách triển khai một hệ thống IPSEC/VPN trên Windows Server 2003. Trong quá trình biên soạn chắc không tránh khỏi những sai sót, mong được sự đóng góp của thầy và các bạn.Xin chân thành cảm ơn. Nhóm thực hiện. Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 5 II.Tìm hiểu về IPSEC 1:Giới thiệu về IPSEC IPSEC ( Internet Protocol Security) là giao thức ở lớp Network (OSI) cho phép gửi nhận các gói IP được mã hóa. Tùy theo mức độ cần thiết, IPSEC có thể cung cấp cả tính bảo mật và xác thực cho quá trình trao đổi dữ liệu dựa trên hai kiểu dịch vụ mã hóa: AH, ESP. Mục đích chính của việc phát triển IPSEC là cung cấp một cơ cấu bảo mật ở tầng 3 trong mô hình OSI. IPSEC cũng là một thành phần quan trọng hỗ trợ giao thức L2TP ( Layer two tunneling protocol ) trong công nghệ mạng riêng ảo VPN. 2 Kiến trúc giao thức IPSEC: 2.1 Mô hình chung: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 6 2.2 Các giao thức cơ bản trong IPSEC: -Hai giao thức cơ bản để thực thi IPSEC là AH và ESP. -AH chỉ cung cấp các dịch vụ xác thực,ESP vừa cung cấp các dịch vụ bảo mật vừa cung cấp các dịch vụ xác thực 2.3 Liên kết bảo mật: -SA (Security Associations) :Là một khái niệm cơ bản của bộ giao thức IPSEC. SA là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSEC. SA gồm có 3 trường : Hình biểu diễn 3 trường của SA Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 7 -SPI (Security Parameter Index) : là một trường 32 bits dùng nhận dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSEC đang dùng. SPI như là phần đầu của giao thức bảo mật và thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA. -Destination IP address : địa chỉ IP của nút đích. Cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast. -Security protocol : mô tả giao thức bảo mật IPSEC, là AH hoặc là ESP.SA trong IPSEC được triển khai bằng 2 chế độ đó là Tunnel mode và Transport mode. 2.4 Transport mode và Tunnel mode: Hiện tại, IPSEC có hai chế độ làm việc: Transport Mode và Tunnel Mode. Cả AH và ESP đều có thể làm việc với một trong hai chế độ này. Hình minh họa hai chế độ làm việc của IPSEC 3.Giao thức AH 3.1 Các cơ chế bảo vệ được cung cấp bởi giao thức AH: -Tính toàn vẹn thông tin( intergrity):Cơ chế này đảm bảo gói tin nhận được chính là gói tin đã gửi. -Xác thực nguồn gốc thông tin :Cơ chế này đảm bảo gói tin được gửi bởi chính người gửi ban đầu mà không phải là người khác. -Cơ chế chống phát lại(Replay protection)(đây là cơ chế tùy chọn(optional),không bắt buộc):Cơ chế này đảm bảo rằng một gói tin không bị phát lại nhiều lần.Cơ chế này là một thành phần bắt buộc đối với bên gửi tuy nhiên bên nhận có thể tùy chọn sử dụng hoặc không sử dụng . Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 8 3.2 Cấu trúc của AH: Các trường trong AH: -Next header(8 bits):Xác định loại dữ liệu chứa trong tiêu đề AH.Sử dụng các quy ước của TCP/IP. -Payload len(8 bits):Xác định độ dài tiêu đề AH , tính bằng đơn vị từ I( 32 bits) trừ đi 2 đơn vị. -Reserved(16 bits):Dành riêng chưa sử dụng,được gán chuỗi bit 0. -SPI(security paramaters index)(32 bits):Nhận dạng liên kết SA.Giá trị từ 1 đển 255 được giành riêng.Giá trị 0 được dùng vào mục đích đặc biệt.Ví dụ một cơ chế quản lí khóa có thể sử dụng SPI với giá trị 0 để thể hiện rằng không có một SA nào tồn tại trong quá trình IPSEC đã yêu cầu bộ quản lí khóa tạo một SA mới nhưng SA này vẫn chưa được khởi tạo. -Sequence number(32 bits):Số thứ tự gói truyền trên SA.Thông qua việc theo giỏi chỉ số này và gửi nó cho bên nhận,bên gửi có thể giúp bên nhận thực hiện việc chống phát lại (anti-replay) nếu bên nhận muốn. -Authentication data:Trường này có kích thước không xác định,không xác định trước,đảm nhiệm vai trò chính của AH.Nó bao gồm ICV(intergrity check value:kiểm tra sự toàn vẹn) . Bên nhận sử dụng nó để kiểm tra tính toàn vẹn và tính xác thực của thông điệp.Trường này có thể được chèn thêm nếu cần thiết để đảm bảo tổng chiều dài của AH là bội số của 32 bits ( đối với Ipv4) và 64 bits (đối với Ipv6). 3.3:Vị trí của AH trong gói tin IP: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 9 Hình trên mô tả vị trí của tiêu đề AH trong các gói tin Ipv4 và Ipv6. -Trong Ipv4 ,AH theo sau tiêu đề của gói tin Ip,tiếp đến là các tiêu đề của các giao thức ở trên ( TCP,UDP ,ICMP) hoặc tiêu đề ESP. -Trong Ipv6,vị trí của AH cũng tương tự như trên , tuy nhiên trong Ipv6 có thêm các tiêu đề tùy chọn.Vị trí tương quan của các tiêu đề này và AH như sau: Các tiêu đề của các tùy chọn mở rộng trong Ipv6 đứng trước AH là các tiêu đề hop-by-hop,tiêu đề định tuyến (routing header),tiêu đề phân mảnh ( fragment header); Tiêu đề đích tùy chọn( dest options header) có thể đứng trước hoặc theo sau AH.Vị trí tương quan của tiêu đề này với AH phụ thuộc vào việc quá trình xử lí xác định đối với nó diễn ra trước hay sau khi quá trình xác thực diễn ra. 3.4 Các chế độ làm việc trong AH: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 10 Hình trước minh họa vị trí của AH trong chế độ Transport,chế độ này thường được sử dụng để xác thực đầu cuối giữa hai host.Tuy nhiên trong trường hợp hai SG (security gateway) được sử dụng để bảo vệ cho nhiều host trong một mạng thì chế độ tunnel được sử dụng.Hình trên mô tả vị trí của AH trong chế độ tunnel.Chế độ tunnel cũng có thể sử dụng trong truyền thông giữa hai host trong trường hợp này địa chỉ trong tiêu đề ip ban đầu và tiêu đề ip bổ sung là như nhau. 3.5:Nested header (tiêu đề lồng) trong AH: -Nhiều SA có thể áp dụng cho một thông điệp.Nếu một trong hai đầu cuối của các thông điệp này là giống nhau thì các AH của các SA này được gọi là Adjacent AH.Nếu một hoặc hai đầu cuối của các SA khác nhau thì các AH này được gọi là các AH lồng ( nested AH). -Adjacent AH không cung cấp thêm bất cứ sự bảo vệ nào cả , việc áp dụng chúng là không bắt buộc (not mandated). -Nested AH có thể được áp dụng trong một số trường hợp nhất định. [...]... có 6 thông điệp thì chế độ này chỉ có 3 thông điệp được trao đổi Do đó, Aggressive mode nhanh hơn Main mode Các thông điệp bao gồm: + Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật , pass data cho khóa chính và trao đổi nonces cho việc ký và xác minh tiếp theo + Thông điệp kế tiếp hồi đáp lại cho thông điệp đầu tiên Nó xác thực người nhận và hoàn thành chính sách bảo mật bằng các khóa + Thông. .. nó giả sử đã có một kênh bảo mật được thiết lập sẵn Kênh bảo mật này phải được thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra 5.2.1 Giai đoạn 1 : - Đầu tiên, xác nhận các điểm thông tin , sau đó thiết lập một kênh bảo mật cho sự thiết lập SA Tiếp đó các thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm , các phương pháp xác nhận bảo vệ mã khóa - Sau khi... các thông điệp đã được mã hóa và ip header của chúng.Điều gì xảy ra nếu H1 chỉ sừ dụng SA1 để gửi các FTP request đến H2.Các thông số của gói tin inboud như SPI,protocol,địa chỉ đích đều chỉ đến SA1.Gói tin sẽ được mã hóa thành công vì nó chỉ đến một SA hợp lệ trong SAD.Tuy nhiên khi chuyển sang quá trình kiểm tra các policy áp dụng cho gói tin trên có phù hợp không thì gói tin Đồ án bảo mật thông tin. .. cuối của chúng.SA1 và SA2 bảo vệ các gói tin HTTP không bị xáo trộn là các AH SA SA3 và SA4 bảo vệ các gói tin FTP là các ESP SA Khi một thông điệp đến H2 và các thông số như SPI,protocol(ESP) và địa chỉ đích gắn gói tin với SA3,SA này sẽ được sử dụng để mã hóa thông điệp.Tuy nhiên điều gì sẽ xảy ra nếu H1 sử dụng nhầm SA3 cho các gói tin HTTP để gửi đến H2.Các chỉ số của thông điệp inbound như địa... không thể hiểu được nội dung của thông điệp mà điều này chỉ có bên gửi và bên nhận mới hiểu được -Bảo vệ việc phân tích truyền thông( chỉ trong mode tunnel):Điều này đảm bảo rằng các bên trung gian không thể xác định được các đối tượng đang liên lạc với nhau,tần số và lượng thông tin trao đổi giữa các bên ESP có thể cung cấp một số cơ chế bảo vệ đã được cung cấp trong AH:Tính toàn vẹn dữ liệu ,xác thực nguồn... AH.Những bước này sẽ không được trình bày lại chi tiết ở đây.Một khi đã xác định thông điệp Outbound được bảo vệ bởi ESP header và Outbound SA đảm nhận việc quản lí thông điệp này đã được tìm thấy hoặc được thỏa thuận ,thông điệp này được chuyển sang các quá trình xử lí trong IPSEC,bao gồm các bước sau: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 26 -1:Thêm... để đảm bảo các chính sách IPSEC đã áp dụng cho thông điệp trên phù hợp với các chính sách IPSEC được yêu cầu cho thông điệp Việc xác thực và mã hóa thành công một thông điệp inbound bằng một SA trong SAD chưa chắc đảm bảo SA này nên được sử dụng để bảo vệ các loại truyền thông tương tự Trong trường hợp 1 (Đã được trình bày ở chương trước),giả sử H1 và H2 đã thiết lập một số SA để bảo vệ truyền thông. .. gói tin ICMP trên cùng với số PMTU mới đến host nguồn ban đầu( trong inner header).Nếu gateway không chuyển tiếp gói tin ICMP trên về host nguồn thì một lỗ hổng lớn sẽ xuất hiện:Host nguồn tiếp tục gửi các gói tin với cờ DF được bật lên vì nó không bao giờ nhận được gói tin thông báo về số PMTU mới, do đó nó không giảm kích thước của gói tin. Do đó các gói tin cứ tiếp tục được gửi đi làm tăng truyền thông. .. dùng để xác Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 28 định gói tin này không phải là gói FTP(lưu ý rằng theo giả định của ta SA3 chỉ dùng để bảo vệ các gói FTP)) không thể đọc được trước khi gói tin được mã hóa.Gói tin này sẽ tiếp tục được mã hóa vì nó xác định được một SA phù hợp trong SAD.Quá trình kiểm tra các policy đã áp dụng cho gói tin xác định rằng... của SA và đều đặn thông báo SG1 giá trị PMTU mới nhất.Nếu H1 cố gắng gửi một gói tin có kích thước quá lớn,SG1 sẽ thông báo giá trị PMTU hiện tại với H1.Cho đến thời điểm này chưa có thêm giải pháp nào cho vấn đề này được đưa ra 3.9.2:Mối quan hệ giữa NAT và IPSEC: Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 20 - Một NAT(network address translation) box có . -Tính toàn vẹn thông tin( intergrity):Cơ chế này đảm bảo gói tin nhận được chính là gói tin đã gửi. -Xác thực nguồn gốc thông tin :Cơ chế này đảm bảo gói tin được gửi bởi chính người gửi ban đầu. thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi gửi và nơi. 1 HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG CƠ SỞ TPHCM KHOA CÔNG NGHỆ THÔNG TIN ———***——— Đồ án môn học Bảo mật thông tin IPSEC và TRIỂN KHAI HỆ THỐNG IPSEC/VPN TRÊN