1 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP. HỒ CHÍ MINH KHOA CÔNG NGHỆ THÔNG TIN  BÁO CÁO ĐỀ TÀI IP SEC GVHD: ThS Văn Thiên Hoàng SVTH: Nguyễn Trần Duy Bảo(1091021011) Lê Thị Thu Thủy(1091021183) Huỳnh Thị Ngọc Khanh(1091021071) Nguyễn Hùng Triệu(1091021206) Trần Minh Tấn(1091021160) Nguyễn Tuấn Huy(1091021066) GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 2 Mục lục Mục lục 2 CHƯƠNG 1: GIỚI THIỆU 3 I.NHU CẦU SỪ DỤNG IPSEC HIỆN NAY: 3 II.KHÁI NIỆM: 4 III VAI TRÒ CỦA IPSEC: 5 1. Ưu điểm: 6 2. Khuyết điểm: 6 V CÁC GIAO THỨC TƯƠNG ĐƯƠNG: 7 1. Điểm giống nhau giữa IPSec và SSL: 7 2 Điểm khác nhau giữa IPSec và SSL: 7 VI . LIÊN KẾT BẢO MẬT: 8 CHƯƠNG 2: CHI TIẾT 10 I.MÔ HÌNH KIẾN TRÚC: 10 1. Tồng quan: 10 2 Các dịch vụ của IPSec: 12 1. Các kiểu sử dụng: 12 III GIAO THỨC XÁC THỰC AH (Authentication Header) 14 1. Giới thiệu: 14 2. Cấu trúc gói AH: 15 IV GIAO THỨC ENCAPSULATING SECURITY PAYLOAD (ESP) 23 1. Giới thiệu: 23 2. Cấu trúc gói tin ESP: 23 Mô hình Demo: 40 GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 3 CHƯƠNG 1: GIỚI THIỆU I. NHU CẦU SỪ DỤNG IPSEC HIỆN NAY: Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet. Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật sự được quan tâm, do đó, các giao thức trong bộ TCP/IP hầu như không được trang bị bất cứ giao thức nào. Cấu trúc gói dữ liệu (IP, TCP,UDP và cả các giao thức ứng dụng) được mô tả công khai, bắt được gói IP trên mạng, ai cũng có thể phân tích gói để đọc phần dữ liệu chứa bên trong, đó là chưa kể hiện nay, các công cụ bắt và phân tích gói được xây dựng với tính năng mạnh và phát hành rộng rãi.Việc bổ sung các cơ chế bảo mật vào mô hình TCP/IP, bắt đầu từ giao thức IP là một nhu cầu cấp bách.IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạngIPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI. IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc. GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 4 II. KHAÍ NIỆM: IPSec (Internet Protocol Security) là một giao thức được IETF phát triển. IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị. Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu cầu an toàn được truyền trên đó. IPSec cũng thực hiện đóng gói dữ liệu các thông tin để thiết lập, duy trì và hủy bỏ kênh truyền khi không dùng đến nữa. Các gói tin truyền trong đường ngầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý. IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH: + AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai hệ thống. AH không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ. + ESP là một giao thức cung cấp tính an toàn của các gói tin được truyền bao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống. Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu. + Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào sự phân phối của các khóa mật mã và quản lý các luồng giao thông có liên quan đến những giao thức an toàn này. GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 5 Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau để cung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao thức AH và ESP này, IPSec không định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó là một khung chuẩn để sử dụng các thuật toán theo tiêu chuẩn công nghiệp. IPSec sử dụng các thuật toán: Mã nhận thực bản tin trên cơ sở băm (HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản tin; Thuật toán DES, 3DES để mật mã dữ liệu; Thuật toán khóa chia sẻ trước, RSA chữ ký số và RSA mật mã giá trị ngẫu nhiên (Nonces) để nhận thực các bên. Ngoài ra các chuẩn còn định nghĩa việc sử dụng các thuật toán khác như IDEA, Blowfish và RC4.IPSec có thể sử dụng giao thức IKE (Internet Key Exchange) để xác thực hai phía và làm giao thức thương lượng các chính sách bảo mật và nhận thực thông qua việc xác định thuật toán được dùng để thiết lập kênh truyền, trao đổi khóa cho mỗi phiên kết nối, dùng trong mỗi phiên truy cập. Mạng dùng IPSec để bảo mật các dòng dữ liệu có thể tự động kiểm tra tính xác thực của thiết bị bằng giấy chứng nhận số của hai người dùng trao đổi thông tin qua lại. Việc thương lượng này cuối cùng dẫn đến thiết lập kết hợp an ninh (SAs) giữa các cặp bảo mật, kết hợp an ninh này có tính chất hai chiều trực tiếp. Thông tin kết hợp an ninh được lưu trong cơ sử dữ liệu liên kế an ninh, và mỗi SA được ấn định một số tham số an ninh trong bảng mục lục sao cho khi kết hợp một địa chỉ đích với giao thức an ninh (ESP hoặc AH) thì có duy nhất một. III VAI TRÒ CỦA IPSEC: -Cho phép xác thực hai chiều,trước và trong quá trình truyền tải dữ liệu -Mã hóa đường truyền giữa 2 máy khi được gửi qua 1 mạng -Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bào mật -Bào vệ các lưu lượng bằng việc sử dụng mã hóa và đánh dấu dữ liệu -Chính sách IPSEC cho phép định nghĩa ra các loại lưu lượng mà IPSec kiểm tra và các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào? GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 6 IV ƯU ĐIỂM VÀ KHUYẾT ĐIỂM CỦA IPSEC : 1. Ưu điểm: -Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải xử lý them các công việc liên quan tới bảo mật -IPSec được thực hiện bên dưới lớp TCP và UDP ,đồng thời nó hoạt động trong suốt đối với các lớp này.Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai. -IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối,điều này giúp che dấu những chi tiết cấu hình phức tạp mà ngưới dung phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua internet. 2. Khuyêt́ điểm: - Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa. - IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác. - Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu. - Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia. GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 7 V CÁC GIAO THỨC TƯƠNG ĐƯƠNG: IPSec cung cấp tính năng mã hoá và xác thực mạnh cho lưu lượng IP và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ nhờ sử dụng IKE. Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính năng này là cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong phần này chúng ta lưu ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và SSL và giải thích những phạm vi nào sử dụng cả hai giao thức 1. Điểm giống nhau giữa IPSec và SSL: - IPSec và SSL cung cấp xác thực Client và Server - IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ liệu, thậm chí trên các mức khác nhau của chồng giao thức - IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và các hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ - IPSec và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà không phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến 2 Điểm khác nhau giữa IPSec và SSL: - SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được thực thi như một khung làm việc tại tầng liên mạng. - SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữa WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới - thiết bị. - SSL không bảo vệ lưu lượng UDP; IPSec thì có - SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường hầm. Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách kiểm tra nội dung và quét virus trước khi nó được phân phối thành công đến đích; IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một đường hầm GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 8 - SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải (end – to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm IPSec để đạt được mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường hầm cũng có thể được mã hoá. - Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn đề lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian hay kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong suốt với các ứng dụng. Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn có trong một phiên bản SSL-aware. Đây là trường hợp có một ứng dụng chuẩn đa dạng, không chỉ với WebBrowser và WebServer. Ngoài ra, nếu có tuỳ chọn của việc thực thi khái niệm 3-tier bằng cách tận dụng các cổng ứng dụng Web tại vành đai của mạng, SSL là một sự lựa chọn tốt. Nếu có một số lượng lớn các ứng dụng để bảo đảm an toàn có thể phải chọn giải pháp tốt hơn cho mạng. Trong trường hợp này, IPSec là sự lựa chọn tốt hơn. Trừ khi tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách bảo mật yêu cầu nhiều mức khác nhau và sự kết hợp của xác thực, mã hoá và đường hầm. VI . LIÊN KẾT BẢO MẬT: -SA(Security Associations): là một khái niệm cơ bản trong bộ giao thức IPSec.SA là một kết nối luận lý theo phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec.SA gồm có 3 trường: GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 9 + SPI(Security Parameter Index):là một trường 32 bits dùng nhận dạng các giao thức bảo mật,đươc định nghĩa bởi các trường Security protocol trong bộ IPSec đang dung.SPI như là phần đầu của giao thức bảo mật và thường chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA. +Destination IP address:địa chỉ IP của nút đích.Cơ chế quản lý cùa SA chỉ được định nghĩa cho hệ thống unicast mặc dù nó có thể là hệ thống broadcast,unicast hay multicast. +Security protocol;mô tả giao thức bảo mật IPSec,là AH hoặc ESP.SA trong IPSec được triển khai theo 2 chế độ :transport mode và tunnel mode. GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 10 CHƯƠNG 2: CHI TIẾT I. MÔ HÌNH KIẾN TRÚC: 1. Tồng quan: Hình kiến trúc IPSec Từ khi công nghệ ipsec ra đời, nó không chỉ còn được biết đến như một chuẩn interrnet đơn lẽ nữa, mà hơn thế nữa còn được định nghĩa trong chuẩn RFC, được kể đến trong bảng sau: GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC [...]... trúc IPSec : Quy định các cấu trúc, các khái niệm và yêu cầu của IPSec - Giao thức ESP : là một giao thức mật mã và xác thực thông tin trong IPSec - Giao thức AH : là giao thức chức năng gần giống ESP Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng - Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trong IPSec IPSec... khoá trong IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 12 IPSec IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt động khác nhau Việc xác định một tập các chế độ cần thiết để triển khai IPSec trong... trong IP header Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 14 Hình Ip ở kiểu transport b Kiểu Tunnel: Kiểu này bảo vệ toàn bộ gói IP Gói IP ban đầu (bao gồm cả IP header) được xác thực hoặc mật mã Sau đó, gói IP đã mã hóa được đóng gói vào một IP header mới Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP truyền... quá trình xử lí IPSEC cho các phần còn lại của tiêu đề IPSEC.Nếu có một nested IPSEC header xuất hiện tại đích đến này.Mỗi header cần phải được xử lí cho đến khi một trong hai điều kiện được thỏa mãn.Khi ipsec header cuối cùng đã được xử lí thành công và quá trình xử lí tiếp cận đến các protocol của lớp trên gói tin được gửi đến chu trình xử lí gói ip tiếp tục di chuyển trong tầng ip. Trong trường hợp... THÔNG TIN CỦA IPSEC 1      Các kiểu sử dụng: Hiện tại IPSec có hai chế độ làm việc:Transport Mode và Tunel Mode.Cả AH và ESP đều có thể làm việc với một trong hai chế độ này GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 13 a Kiểu Transport: Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP, UDP hoặc ICMP) Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và... Hoàng Đề tài IP SEC 27 Hình: Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport Hình: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuối cùng, còn outer IP header mạng địa chỉ để định tuyến qua Internet Trong kiểu này, ESP sẽ bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IP header So với outer IP header thì... thực thi.Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần: -Giao thức đóng gói, gồm AH và ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) 2       Các dịch vụ của IPSec: • • • • • • Quản lý truy... Ths Văn Thiên Hoàng Đề tài IP SEC 18 Hinh: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport Hình : Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuối cùng, còn outer IP header mang địa chỉ để định tuyến qua Internet Trong kiểu này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IP header (trong khi AH Transport... trailer và giữ nguyên IP header (và tất cả IP extension headers đối với IPv6) Trong kiểu Tunnel, có thêm sự xuất hiện của outer IP header Quá trình xử lý gói tin đầu ra như sau: - Tìm kiếm SA: ESP được thực hiện trên một gói tin đầu ra chỉ khi quá trình IPSec đã xác định được gói tin đó được liên kết với một SA, SA đó sẽ yêu cầu ESP xử lý gói tin Việc xác định quá trình xử lý IPSec nào cần thực hiện... giao thức lớp trên, nhưng không bảo vệ IP header Trong kiểu này, ESP được chèn vào sau một IP header và trước một giao thức lớp trên (chẳng hạn TCP, UDP hay ICMP…) và trước IPSec header đã được chèn vào Đối với IPv4, ESP header đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây là TCP) ESP trailer bao gồm các trường Paddinh, Pad length, và Next Header Đối với IPv6, ESP được xem như phần tải đầu . OSI. IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6,. Hoàng Đề tài IP SEC 11 - Kiến trúc IPSec : Quy định các cấu trúc, các khái niệm và yêu cầu của IPSec. - Giao thức ESP : là một giao thức mật mã và xác thực thông tin trong IPSec. - Giao thức. và trao đổi khoá trong IPSec. - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi GVHD: Ths Văn Thiên Hoàng Đề tài IP SEC 12 IPSec. IPSec không phải là một công