Ip Sec là gì ?• IP Security IPSec là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên m
Trang 1An toàn an ninh mạng
Nhóm 1
IPSEC
Trang 2Ip Sec là gì ?
• IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc
Trang 3Chức năng cơ bản
preshared key, hay các chứng nhận số cho việc chứng nhận
là một mã chứng nhận tin nhắn hash (HMAC) được tính toán cho dữ liệu của gói Khi một gói được thay đổi trong khi đang di chuyển thì HMAC đã được thay đổi sẽ được lưu lại Thay đổi này sẽ bị xoá bởi máy tính nhận
Trang 4Giao thức Ipsec
bằng thuật toán gì ? Bao lâu mã hóa 1 lần IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia VPN
• Encapsulating Security Payload (ESP): Có tác dụng xác thực ( authentication ) , mã hóa ( encrytion ) và đảm bảo tính trọn vẹn dữ liệu
( securing of data )
Trang 5Ipsec Header
Trang 6Xác thực ngang hàng
• Digital certificates ( chữ ký số)
Trang 7Internet Key Exchange (IKE)
• Giải quyết vấn đề cài đặt thủ công,
khả năng mở rộng của Ipsec bằng việc
tự động hóa quá trình trao đổi khóa:
• Negotiation of SA characteristics
ISAKMP Cung cấp 1 nền tảng cho việc trao đổi khóa và bảo mật thông tin.
SKEME
Cơ chế sử dụng mã hõa khóa công khai
để xác thực
OAKLEY quản lý trao đổi khoá thông qua các
SA IPsec
Trang 8Các giai đoạn hoạt động của IKE (IKE Phases)
• IKE Phases 1 (Bắt buộc xảy ra trong quá trình IKE)
• Xác thực giữa các thiết bị tham gia VPN (Authentication the peers)
• IKE Phases 1.5 (Không bắt buộc phải xảy ra)
• IKE Phases2 ( Bắt buộc xảy ra)
• Thiết lập IPsec SAs/SPIs
Trang 9IKE Modes
Trang 10Các chức năng khác của IKE
• Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ đếm thời gian Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác Mục đích chính để phát hiện hỏng hóc của các thiết bị Thông thường các gói keepalives sẽ gửi mỗi 10s
• Hỗ trợ chức năng NAT-Traversal : Chức năng này có ý nghĩa là nếu trên đường truyền từ A tới B nếu có những thiết bị NAT or PAT đứng giữa thì lúc này IPSec nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường
Trang 11Vấn đề IPsec và NAT ?
Trang 12Giải pháp IPsec NAT Traversal
• NAT traversal detection (phát hiện)
• NAT traversal decision (quyết định)
• UDP encapsulation of IPsec packets (đóng gói )
• UDP encapsulated process for software engines ( quá trình đóng gói)
Trang 13Mode Configuration
Trang 14Easy VPN
Trang 15Xauth
Trang 16ESP and AH
– ESP or AH
– ESP uses IP protocol number 50
– AH uses IP protocol number 51
– Tunnel or transport mode
– Tunnel mode tạo 1 gói Ip mới
– Transport mode xác thực gói tin hiện tại.
Trang 17ESP and AH Header
• ESP mã hóa và xác thực gói tin
Trang 18AH xác thực và toàn vẹn gói tin.
Trang 19ESP Protocol
• Cung cấp tính toàn vẹn bằng xác thực
Trang 20Tunnel and Transport Mode
Trang 21Chứng thực thông điệp sử dụng và kiểm tra tính toàn vẹn bằng hàm băm
Trang 22Các hàm băm thông thường
• SHA-1 cấp đầu ra 160 bit cho output (chỉ 96 bit đầu được sử dụng cho IPsec)
Trang 23Thuật toán mã hóa đối xứng và không đối xứng
Trang 24Độ dài khóa của thuật toán mã hóa đối xứng và không đối xứng
• So sánh độ dài khóa khi yêu cầu khóa của thuật toán đối xứng so với khóa của thuật toán không đối xứng
Trang 25Cấp độ bảo mật của thuật toán mã hóa
Trang 26Mã hóa đối xứng: DES
• Khối mã hóa: làm việc với 64 bit khối dữ liệu, sử dụng 56 bit làm khóa ( bit cuối cùng sẽ được sử dụng để tính chẵn lẻ)
Trang 27Mã hóa đối xứng: 3DES
• Tổng chiều dài khóa là 168 bit
Trang 28Mã hóa đối xứng: AES
• Trước đây được biết đến với cái tên là “Rijndael”
• AES có thể hỗ trợ khóa 128-, 192-, và 256-bit, với khóa 128-bit được xem là an toàn
Trang 29Mã hóa không đối xứng: RSA
• Khóa riêng tư để giải mã dữ liệu và để đăng kí chữ kí số
Trang 30Thuật toán thỏa thuận Diffie-Hellman
Trang 31Thuật toán thỏa thuận Diffie-Hellman(Tiếp )
1 Tạo ra một số nguyên lớn p Gửi p cho Peer B
Nhận q Tạo ra g
2 Tạo ra một khóa riêng XA
3 Tạo ra một khóa công khai YA = g* XA mod p
4 Gửi YA cho Peer B
5 Tạo ra số chia sẻ bí mật ZZ=YB^XA mod p
6 Tạo ra một khóa chia sẻ bí mật từ ZZ (bằng DES, 3DES
hoặc AES)
1 Tạo ra một số nguyên lớn q Gửi q cho Peer A
Nhận p Tạo ra g
2 Tạo ra một khóa riêng XB
3 Tạo ra một khóa công khai YB = g* XB mod p
4 Gửi YB cho Peer A
5 Tạo ra số chia sẻ bí mật ZZ=YA^XB mod p
6 Tạo ra một khóa chia sẻ bí mật từ ZZ (bằng DES, 3DES
hoặc AES)
Trang 32Môi trường PKI
Trang 33Nhà cung cấp chứng thực số
• Nền tảng đáng tin cậy của hệ thống PKI
• Kiểm tra người sử dụng bằng danh tính, cấp chứng nhận với danh tính dàng buộc của người sử dụng khóa công khai với một chứng chỉ kĩ thuật số
• Việc này có thể do chính nhà thực hiện hoặc thuê ngoài
Trang 34Tiêu chuẩn chứng thực X.509 v3
Version
Số Serial Chữ kí Số ID Tên người phát hành(CA) X.500 Thời hạn hiệu lực Tên đối tượng X.500 Thông tin khóa đối tượng công khai Số ID
Giá trị khóa công khai
Khóa công khai của người sử dụng (ràng buộc với tên đối tượng)
Thông tin khác của người sử dụng như địa chỉ, công việc…
Đăng kí một khóa riêng tư của CA
Trang 35Cách trao đổi thông tin trong PKI
Trang 36Các loại chứng chỉ trong PKI
• Các cách để lưu trữ các chứng chỉ của PKI:
• Cisco 871, 1800, 2800, 3800 Series router
• Cisco IOS Release 12.3(14)T image
• Cisco USB eToken
• A k9 image
Trang 37Năm bước hoạt động của IPsec
1 Host A gửi traffic cần quan tâm cho Host B
2 Routers A và B sẽ trao đổi một IKE Phase 1 session
3.Routers A và B sẽ trao đổi một IKE Phase 2 session
4 Các thông tin được trao đổi trong đường hầm Ipsec
5 Kết thúc đường hầm IPsec
Trang 38Bước 1: Xác định luồng lưu lượng quan tâm
Trang 39Bước 2: Pha IKE thứ nhất
Trang 40Chính sách IKE
• Thương lượng một bộ chuyển đổi IKE phù hợp với IKE trao đổi
Trang 41Khóa thỏa thuận Diffie - Hellman
Trang 43Bước 3: Pha IKE thứ hai
• Thoả thuận các thông số bảo mật, các tập transform IPSec
• Thiết lập các SA IPSec
• Thoả thuận lại theo chu kỳ các SA IPSec để chắc chắn bảo mật
• Có thể thực hiện thêm một sự trao đổi DH
Trang 44Các tập transform IPsec
• Một bộ chuyển đổi là một sự kết hợp các thuật toán và giao thức ban hành một chính sách bảo mật cho lưu lượng truy cập
Trang 45Liên kết bảo mật
- Địa chỉ IP đích
- SPI
Trang 46SA Lifetime
• Cơ sở thời gian
Trang 47Bước 4: Truyền dữ liệu
• Các SA trao đổi với nhau
• Các dịch vụ an ninh sau khi dàn xếp sẽ được áp dụng vào trong traffic
Trang 48Bước 5: Kết thúc đường hầm IPSec
• Nếu các gói truy cập quá tải
Trang 49Cấu hình VPN IPsec Site-to-Site sử dụng GNS3