HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG BÁO CÁO CHUYÊN ĐỀ Mạng Viễn Thông CHUYÊN ĐỀ: Giao thức Ipsec trong Công Nghệ VPN Lời Mở Đầu • Như chúng tã đã biết vấn đề bảo mật kết nối trong quá trình truyền tải giữa các dữ liệu khác nhau là một vấn đề rất quan trọng và nó đặc biệt quan trọng khi các dữ liệu của chúng ta được truyền qua một mạng chia sẻ giống như mạng internet. • Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền tải các dữ liệu đó? • Trên cơ sở đó chúng em đã tìm hiểu và hoàn thành bào báo cáo chuyên đề “Giao thức Ipsec Trong công nghệ VPN” một công nghệ bảo mật được sử dụng trong mạng riêng ảo Phần I: Giới thiệu 1.1: Khái niệm Ipsec • a, Ipsec là gì? IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung cấp một khoá cho phép bảo mật giữa hai thiết bị mạng ngang hàng. Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được định nghĩa để kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênh truyền dẫn mạng bảo mật. Hình 1.1: Mô hình OSI Phần I: Giới thiệu b, Vai trò của Ipsec + Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu. + Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng. + Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bảo mật. + IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánh dấu dữ liệu. + Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà IPSec sẽ kiểm tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào. Phần I: Giới thiệu c, Những tính năng của Ipsec - Quản lý khóa (Key management). - Sự cẩn mật (Confidentiality). - Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity). Phần II: Giao thức bảo mật Ipsec 2.1: Khung giao thức IPSec Hình 2.1: Khung giao thức được sử dụng trong IPSec Phần II: Giao thức bảo mật Ipsec Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec. Giao thức bảo mật IP (IPSec) + AH (Authentication Header) + ESP (Encapsulation Security Payload) Mã hoá bản tin + DES (Data Encryption Standard) + 3 DES (Triple DES) Các chức năng toàn vẹn bản tin + HMAC (Hash – ased Message Authentication Code) + MD5 (Message Digest 5) + SHA-1 (Secure Hash Algorithm -1)Nhận thực đối tác (peer Authentication) + Rivest, Shamir, and Adelman (RSA) Digital Signatures + RSA Encrypted NoncesQuản lý khoá + DH (Diffie- Hellman) + CA (Certificate Authority)Kết hợp an ninh + IKE (Internet Key Exchange) + ISAKMP (Internet Security Association and Key Management Protocol) Phần II: Giao thức bảo mật Ipsec 2.1.1 giao thức AH (Authentication Header) 2.1.1.1: Cấu trúc gói tin AH Hình 2.2 Cấu trúc tiêu đề AH cho IPSec Datagram Phần II: Giao thức bảo mật Ipsec • Authentication Data (dữ liệu nhận thực) • Payload length (độ dài tải tin): • Reserved (dự trữ): • Security Parameters Index (SPI: chỉ dẫn thông số an ninh) • Sequence Number (số thứ tự) • Next Header (tiêu đề tiếp theo) Phần II: Giao thức bảo mật Ipsec 2.1.1.2: Quá trình xử lý AH Hoạt động của AH được thực hiện qua các bước như sau: • Bước 1: Toàn bộ gói IP (bao gồm IP header và tải tin) được thực hiện qua một hàm băm một chiều. • Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưa header này vào gói dữ liệu ban đầu. • Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối tác IPSec. • Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kết quả thu được một mã hash. • Bước 5: Bên thu tách mã hash trong AH header. • Bước 6: Bên thu so sánh mã hash mà nó tính được mà mã hash tách ra từ AH [...]... thông tin Hình 2.19: Kết thúc đường hầm Phần II: Giao thức bảo mật Ipsec 2.2.1 ví dụ về hoạt động của Ipsec Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ như trong hình vẽ Hình 2.20: Quá trình trao đổi thông tin Phần II: Giao thức bảo mật Ipsec 2.2.2: Các vấn đề còn tồn đọng trong Ipsec • IKE vẫn là công nghệ chưa được chứng minh Phương thức chuyển khoá bằng tay lại không thích hợp...Phần II: Giao thức bảo mật Ipsec a: vị trí của AH AH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel Hình 2.3: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport Phần II: Giao thức bảo mật Ipsec kiểu Transport cho phép bảo vệ các giao thức lớp trên, cùng với một số trường trong IP header Trong kiểu này, AH được chèn vào sau IP header và trước một giao thức lớp trên (chẳng... Phần II: Giao thức bảo mật Ipsec B:Quá trình sử lý ESP a) V ị trí của ESP header ESP có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel Hình 2.8 Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport Phần II: Giao thức bảo mật Ipsec Kiểu Transport cho phép bảo vệ các giao thức lớp trên, nhưng không bảo vệ IP header Trong kiểu này, ESP được chèn vào sau một IP header và trước một giao thức. .. thuận các thông số bảo mật IPSec được sử dụng để bảo mật đường hầm IPSec Hình 2.15: Thoả thuận các thông số bảo mật IPSec • • • • IKE Phase 2 thức hiện các chức năng sau: Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập chuyển đổi IPSec (IPSec transform sets) Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations) Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an... đường hầm) Phần II: Giao thức bảo mật Ipsec Bước 4 – Đường hầm mật mã IPSec Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA Hình 2.18: Đường hầm IPSec được thiết lập Phần II: Giao thức bảo mật Ipsec Bước 5 – Kết... AH ở kiểu Tunnel Phần II: Giao thức bảo mật Ipsec b) Các thuật toán xác thực c) Xử lý gói đầu ra + Tìm kiếm SA + Tính toán ICV + Phân mảnh + Chèn dữ liệu d) Xử lý gói đầu vào + Kiểm tra SN + Tìm kiếm SA + Ghép mảnh Phần II: Giao thức bảo mật Ipsec 2.1.2 Giao thức ESP A:Cấu trúc gói tin ESP Hình 2.6: Xử lý đóng gói ESP Hình 2.7: Khuôn dạng gói ESP Phần II: Giao thức bảo mật Ipsec *SPI (chỉ dẫn thông... thuận một phiên trao đổi IKE Phase 2 IPSec SA ← IKE Phase → IPSec SA Thông tin được truyền dẫn qua đường hầm IPSec Kết thúc đường hầm IPSec ← Phần II: Giao thức bảo mật Ipsec Bước 1- Kích hoạt lưu lượng cần bảo vệ Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói dữ liệu Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ... đối tượng di động • IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi • Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối với các trạm làm việc và máy PC cũ • Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số nước Kết Luận Từ nội dung bài báo cáo cho thấy Ipsec là giao thức thích hợp nhất trong công nghệ mạng VPN cho các ứng dụng... các ứng dụng có yêu cầu an toàn dữ liệu cao IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất, có tính linh hoạt cao do không bị ràng buộc bởi một phương pháp xác thực cũng như mật mã nào Đây được xem là giao thức tối ưu nhất cho IP -VPN Bài báo cao tập trung đi sâu trình bày về hai giao thức AH và giao thức ESP, quá trình sử lý và hoạt động của Ipsec trong từng mode Hiện nay tại Việt Nam đã có... liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụng cho luồng lưu lượng Phần II: Giao thức bảo mật Ipsec Bước 2 – IKE Phase 1 - Trao đổi thứ nhất – Các thuật toán mật mã và xác thực - Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung - Trao đổi thứ ba – xác minh nhận dạng của nhau Phần II: Giao thức bảo mật Ipsec Bước 3 – IKE Phase 2 • Mục đích