1. Trang chủ
  2. » Luận Văn - Báo Cáo

ĐỒ ÁN CHUYÊN NGÀNH TỔNG QUAN VỀ INTERNET PROTOCOL SECURITY IPsecurity

36 391 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 36
Dung lượng 6,83 MB

Nội dung

Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô MỤC LỤC SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô CHƯƠNG 1: TỔNG QUAN VỀ INTERNET PROTOCOL SECURITY (IPSEC) 1.1 Giới thiệu IPsec IPSec tập giao thức chuẩn, cung cấp dịch vụ bảo mật cho gói tin IP lớp Network Những dịch vụ bao gồm điều khiển truy cập access control list, toàn vẹn liệu-data integrity, xác thựcauthentication, tránh trùng lặp gói tin -against replay bảo mật liệu -data security IPSec lựa chọn hàng đầu cho việc bảo mật VPN 1.2 Khung giao thức IPsec IPSec tập chuẩn mở, phát triển IETF Khung giao thức sử dụng IPSec Một số tính khuyến khích sử dụng làm việc với IPSec – Các giao thức bảo mật IPSec + AH (Authentication Header): cung cấp tính toàn vẹn phi kết nối chứng thực nguồn gốc liệu cho gói liệu IP bảo vệ chống lại công replay + ESP (Encapsulation Security Payload): cung cấp tính bảo mật, chứng thực nguồn gốc liệu, tính tồn vẹn phi kết nối dịch vụ chống replay – Các thuật toán mã hóa + DES (Data Encryption Standard): Được phát triển IBM DES sử dụng khóa 56-bít, đảm bảo hiệu mã hóa cao DES hệ thống mã hóa khóa đối xứng + DES (Triple DES): biến thể DES 56-bít Hoạt động tương SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xn Lơ tự DES, liệu chia thành khối 64 bít 3DES thực thi khối ba lần, lần với khóa 56 bít độc lập 3DES cung cấp sức mạnh khóa đáng kể so với DES – Các chức toàn vẹn liệu + HMAC (Hash – ased Message Authentication Code): thuật tốn tồn vẹn liệu đảm bảo tính tồn vẹn tin Tại đầu cuối, tin khóa chia sẻ bí mật gửi thơng qua thuật tốn băm, tạo giá trị băm Bản tin giá trị băm gửi qua mạng + MD5 (Message Digest 5): hàm băm để mã hóa với giá trị băm 128 bít MD5 biến đổi thơng điệp có chiều dài thành khối có kích thước cố định 128 bít Thơng điệp đưa vào cắt thành khối 512 bít, thơng điệp sau độn cho chiều dài chia chẵn cho 512 + SHA-1 (Secure Hash Algorithm -1): Sử dụng khóa 160 bít, 224 bít… – Các phương pháp xác thực (peer Authentication) + Rivest, Shamir, and Adelman (RSA) Digital Signatures: hệ thống mật mã khóa bất đối xứng Nó sử dụng chiều dài khóa 512 bít, 768 bít, 1024 bít lớn IPsec khơng sử dụng RSA để mã hóa liệu Chỉ sử dụng RSA để mã hóa giai đoạn xác thực ngang hàng + RSA Encrypted Nonces – Các giao thức quản lý khoá + DH (Diffie- Hellman) + CA (Certificate Authority) – Các sách an ninh + IKE (Internet Key Exchange): IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bảo mật thuật tốn mã hóa trước suốt phiên giao dịch + ISAKMP (Internet Security Association and Key Management Protocol 1.3 Tính IPsec 1.3.1 Sự bảo mật liệu (Data Confidentiality): SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô Đảm bảo liệu bảo mật, tránh kẻ công phá hoại cách thay đổi nội dung đánh cắp liệu quan trọng Việc bảo vệ liệu thực thuật toán mã hóa DES, 3DES AES Tuy nhiên, tính tùy chọn IPSec 1.3.2 Sự tồn vẹn liệu (Data Integrity): Đảm bảo liệu khơng bị thay đổi suốt q trình trao đổi Data integrity thân khơng cung cấp bảo mật liệu Nó sử dụng thuật tốn băm (hash) để kiểm tra liệu bên gói tin có bị thay đổi hay khơng Những gói tin bị phát bị thay đổi bị loại bỏ Những thuật toán băm: MD5 SHA-1 1.3.3 Chứng thực nguồn liệu (Data Origin Authentication): Mỗi điểm cuối VPN dùng tính để xác định đầu phía bên có thực người muốn kết nối đến hay khơng Lưu ý tính khơng tồn mà phụ thuộc vào tính tồn vẹn liệu Việc chứng thực dựa vào kĩ thuật: Pre-shared key, RSA-encryption, RSAsignature 1.3.4 Tránh trùng lặp (Anti-replay): Đảm bảo gói tin khơng bị trùng lặp việc đánh số thứ tự Gói tin trùng bị loại bỏ, tính tùy chọn 1.4 Các giao thức IPsec Để trao đổi thỏa thuận thông số nhằm tạo nên môi trường bảo mật đầu cuối, IPSec dùng giao thức: 1.4.1 Internet Key Exchange (IKE) Là giao thức thực q trình trao đổi khóa thỏa thuận thơng số bảo mật như: thuật tốn mã hóa áp dụng, khoảng thời gian khóa cần thay đổi Sau thỏa thuận xong thiết lập “hợp đồng” bên, IPSec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông số SA lưu sở liệu SA Ngồi IKE cịn dùng giao thức khác để chứng thực đầu cuối tạo SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xn Lơ khóa: ISAKMP (Internet Security Association and Key Management Protocol) Oakley – ISAKMP: giao thức thực việc thiết lập, thỏa thuận quản lý sách bảo mật SA – Oakley: giao thức làm nhiệm vụ chứng thực khóa, chất dùng thuật tốn Diffie-Hellman để trao đổi khóa bí mật thơng qua môi trường chưa bảo mật Lưu ý: Giao thức IKE dùng UDP port 500 1.4.2 Encapsulating Security Payload (ESP): Là giao thức cung cấp bảo mật, toàn vẹn, chứng thực nguồn liệu tùy chọn khác, chẳng hạn anti-replay ESP cung cấp gần tồn tính IPSec, ngồi cịn cung cấp tính mã hóa liệu Do đó, ESP sử dụng phổ biến IPSec VPN ESP bao gồm tính sau: Tính bảo mật (Data confidentiality) Tính tồn vẹn liệu (Data integrity) Chứng thực nguồn liệu (Data origin authentication) Tránh trùng lặp (Anti-replay) Những tính tính đặc trưng yếu IPSec Lưu ý: ESP sử dụng IP protocol number 50 Hoạt dộng ESP ESP chèn header vào sau phần IP header trước header giao thức lớp Header IP header tunnel mode IP header gói tin ban đầu transport mode Hình sau cho thấy vị trí ESP header transport mode tunnel mode: SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô IP Packet bảo vệ ESP Tunnel Mode 1.4.3 Authentication Header (AH) Là giao thức cung cấp toàn vẹn, chứng thực nguồn liệu số tùy chọn khác Nhưng khác với ESP, khơng cung cấp chức bảo mật (data confidential) AH đảm bảo liệu không bị thay đổi q trình truyền dẫn khơng mã hóa liệu Trường AH định theo sau AH header Trong transport mode, giá trị giao thức lớp bảo vệ (chẳng hạn UDP TCP) Trong tunnel mode, giá trị Vị trí AH transport tunnel mode mơ tả hình sau: SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô Trong tunnel mode, AH đóng gói gói tin IP thêm vào IP header trước AH header IP Packet bảo vệ AH Tunnel Mode 1.5.Hoạt động IPSec Mục đích IPSec bảo vệ luồng liệu mong muốn dựa dịch vụ bảo mật có sẵn, hoạt động IPSec chia thành bước sau: Hoạt động IPSec • A gửi traffic cần bảo vệ tới B • A gửi traffic cần bảo vệ tới B • IKE SA ← IKE Phase → IKE SA • A gửi traffic cần bảo vệ tới B • IPSec SA ← IKE Phase → IPSec SA SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xn Lơ • A gửi traffic cần bảo vệ tới B • A gửi traffic cần bảo vệ tới B Bước 1: Traffic cần bảo vệ khởi tạo trình IPSec Ở đây, thiết đầu cuối IPSec nhận đâu lưu lượng cần bảo vệ thông qua trường địa Bước 2: IKE Phase – IKE xác thực bên tập dịch vụ bảo mật thoả thuận công nhận để thiết lập IKE SA Trong phase này, thiết lập kênh truyền thông bảo mật để tiến hành thoả thuận IPSec SA Phase Bước 3: IKE Phase – IKE thoả thuận tham số IPSec SA thiết lập IPSec SA tương đương hai phía Các tham số bảo mật sử dụng để bảo vệ liệu gói tin trao đổi điểm đầu cuối Kết cuối hai bước tạo kênh thông tin bảo mật hai bên Bước 4: Truyền liệu – Dữ liệu truyền bên IPSec dựa sở thơng số bảo mật khố lưu trữ sở liệu SA Bước 5: Kết thúc đường hầm IPSec – Do IPSec SA hết hạn bị xoá SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô CHƯƠNG 2: INTERNET PROTOCOL SERCURITY TRONG IPV6 VÀ IPV4 2.1 Internet protocol security IPv6 IP Security (IPSec) tiêu chuẩn IETF (Internet Engineering Task Force) nhằm cung cấp bảo mật cho mạng Internet IPSec đảm bảo tính tồn vẹn, xác thực bảo mật 2.1.1 Mào đầu gói tin IPv6 IPv6 có trường địa chỉ, IPv6 header có kích thước cố định Với kích thước cố định router xử lý gói tin cách hiệu 2.1.1.1 Chiều dài phần mào đầu Gói tin IPv6 có hai dạng mào đầu: mào đầu mào đầu mở rộng Phần mào đầu có chiều dài cố định 40 byte, chứa thơng tin xử lý gói tin IPv6 Những thông tin liên quan đến dịch vụ mở rộng kèm theo chuyển hẳn tới phân đoạn khác gọi mào đầu mở rộng Cấu trúc gói tin IPv6: Cấu trúc gói tin IPv6 2.1.1.2 Định dạng trường mào đầu Cấu trúc mào đầu IPv6 header gồm: Phiên (Version): Gồm bít sử dụng để xác định phiên giao thức IP sử dụng có giá trị với IPv6 Phân dạng lưu lượng (Traffic Class): Gồm bít thực chức SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô tương tự trường Dạng dịch vụ (Type of Service) IPv4 Trường sử dụng để biểu diễn mức độ ưu tiên gói tin, điểm kết nối IPv6 đánh dấu gói tin với loại liệu, ví dụ gói tin nên truyền với tốc độ nhanh hay thơng thường Nhãn dịng (Flow Label): Có chiều dài 20 bít, trường thiết lập IPv6 Trường sử dụng để định gói tin thuộc dịng (Flow) định nguồn đích, yêu cầu định tuyến IPv6 phải có cách xử lý đặc biệt Bằng cách sử dụng trường này, nơi gửi gói tin xác định chuỗi gói tin, ví dụ gói tin dịch vụ thoại VoIP thành dòng yêu cầu chất lượng cụ thể cho dịng Khi router xác định dịng lưu lượng lần đầu, nhớ dịng lưu lượng đó, xử lý đặc biệt ứng với lưu lượng này, lưu lượng khác thuộc dịng đến, xử lý nhanh xử lý packet Chiều dài tải liệu (Payload Length): Gồm 16 bít, tương tự trường total length IPv4, xác định tổng kích thước gói tin IPv6 bao gồm phần mào đầu mở rộng (không chứa header) Next header: Gồm bít, thay trường Thủ tục (Protocol) Trường định đến mào đầu mở rộng gói tin IPv6, đặt sau mào đầu định tới thủ tục lớp TCP, UDP, ICMPv6 gói tin IPv6 khơng có mào đầu mở rộng Hop limit: Gồm bít, sử dụng để giới hạn số hop mà packet qua, sử dụng để tránh cho packet định tuyến vòng vòng mạng Trường giống trường TTL (Time-To-Live) IPv4 Source Address: Gồm 128 bít, xác định địa nguồn gói tin Destination Address: Gồm 128 bít, xác định địa đích gói tin SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 10 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô dụng yêu cầu rõ (plaintext) padding sử dụng để điền vào plaintext (bao gồm trường Payload Data, Pad Length, Next Header Padding) để có kích thước theo u cầu IVC: Giá trị kiểm tra tính tồn vẹn, trường có độ dài thay đổi tính trường ESP trailer, Payload, ESP header Thực chất trường ESP trailer bao gồm kiểm tra tính tồn vẹn (IVC) Gói tin IPv6 ESP chế độ Transport: Mào đầu mã hóa chế độ IPv6 ESP Transport (Phần màu nâu đậm phần liệu mã hóa)  Gói tin IPv6 ESP chế độ Tunnel: Mào đầu mã hóa chế độ IPv6 ESP Tunnel (Phần màu nâu sậm phần liệu mã hóa SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 22 Đồ án chuyên ngành • GVHD: Th.S Nguyễn Xuân Lô Nguyên tắc hoạt động: Về nguyên tắc hoạt động ESP sử dụng mật mã đối xứng để cung cấp mật hoá liệu cho gói tin IPSec Cho nên, để kết nối hai đầu cuối bảo vệ mã hố ESP hai bên phải sử dụng key giống mã hố giải mã gói tin Khi đầu cuối mã hố liệu, chia liệu thành khối (block) nhỏ, sau thực thao tác mã hố nhiều lần sử dụng block liệu khóa (key) Khi đầu cuối khác nhận liệu mã hoá, thực giải mã sử dụng key giống trình thực tương tự, bước ngược với thao tác mã hoá Nguyên tắc hoạt động ESP Header • So sánh AH ESP 2.1.4 Quản lý khóa Để áp dụng hai mào đầu AH ESP yêu cầu bên tham gia phải thỏa thuận khóa chung để sử dụng việc kiểm tra bảo mật thơng tin Quản lý khóa thủ công: IPv6 yêu cầu tất thao tác cho phép thiết lập thủ cơng khóa bí mật Cơng nghệ cấu hình tay cho SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 23 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xn Lơ phép IPSec chuẩn chấp nhận để cấu hình hay hai gateway việc gõ key tay khơng thích hợp số trường hợp số lượng gateway nhiều gây vấn đề không bảo mật q trình tạo khóa Quản lý khóa tự động: Internet Key Exchange (IKE) cung cấp key cách tự động, quản lý SA hai chiều, tạo key quản lý key IKE thương thuyết hai giai đoạn Giai đoạn 1: thương thuyết bảo mật, kênh chứng thực mà dựa hệ thống thương thuyết nhiều giao thức khác Chúng đồng ý thuật toán mã hoá, thuật tốn hash, phương pháp chứng thực nhóm Diffie-Hellman để trao đổi key thông tin Giai đoạn 2: xác định dịch vụ sử dụng IPSec Chúng đồng ý giao thức IPSec, thuật toán hash, thuật toán mã hoá Một SA tạo cho inbound outbound giao thức sử dụng ƠNG : ỨNG DỤNG TRONG CÀI ĐĂT 3.1 Triển khai hệ thống IPsec/VNP Windows Server 2003 3.1.1 Mơ hình trỉnh khai Trong mơ hình ta sử dụng máy: làm DC (Domain Controler), máy làm VPN server 1, máy làm VPN client Ta cấu hình IPsec máy DC máy VPN client để máy thực phương thức truyền thơng liệu mã hóa 3.1.2 Các bước thực Máy cài đặt Windows Server 2003, sau nâng cấp lên DC Máy cài đặt Windows Server 2003, sau join DC cấu hình VPN SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 24 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lơ server Máy cài Windows XP, sau tạo kết nối VPN tới DC Cấu hình IPsec DC VPN client tương tự  - Nâng cấp máy lên Domain Controler Start(Ctrl+R) -> nhập Run nhập dcpromo Tiếp theo hộp thoại Active Directory Intallation Wizard xuất bạn nhấn Next -> hộp thư thoại Operating System Compatibility ấn Next - Hộp thoại Domain Controller Type - Hộp thoại Create New Domain SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 25 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô Các hộp thoại lại để mặc định Join máy VPN server vào DC thực máy Click phải chuột lên My Computer -> chọn Propterties-> Tab Computer Name -> Change -> Check vào Domain -  Server yêu cầu thực với tài khoản người dùng cấp miền quyền trị quản trị SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 26 Đồ án chuyên ngành - GVHD: Th.S Nguyễn Xn Lơ Sau restart lại máy Cấu hình VPN server: máy mở Routing Remote Access Kich hoạt VPN server cách nhấp chuột phải lên tên Server Chọn Configure and Enable Routing and Remote Access Đánh dấu mục chọn Custom configuration - Check vào ô VPN access -> Next -> Finish SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 27 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xn Lơ Cấu hình IP cho VPN Client kết nối Click chuột phải lên DC2 - > chọn Properties Qua tab IP -> stactic address prool -> add Qua tab Sercurity -> check vào Allow custom IPsec policy for L2TP connection SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 28 Đồ án chuyên ngành  GVHD: Th.S Nguyễn Xn Lơ Cấu hình VPN Client Click chuột phải My computer place -> Properties -> Create connection -> Next Hộp thoại Netword connection type Hộp thoại Network connection - Hộp thoại connection name Hộp thoại VPN server selection SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 29 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xn Lơ - Sau Next -> Finish Hộp thoại connection VPN: điền tài khoản máy DC cho phép truy cập VPN - Hộp thoại VPN properties Tab sercurity -> click vào IPsec setting SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 30 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô Tab Networking -> Type of VPN -> L2TP IPSec VPN  Cài đặt Network monitor tool VPN server Start > Setting > Control panel > Add/Remove > Add/Remove Windows component > check > Management and monitoring tool > Details > Check network monitor tool > Ok < next SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 31 Đồ án chuyên ngành  GVHD: Th.S Nguyễn Xn Lơ Cấu hình IPsec VPN Client tương tự - Trên DC: Start > program > Adminstrative tool > Domain Controller Sercurity Settings - Click chuột phải IP security Policies….> Create IP security Policy > Next Hộp thoại IP Security Policy Name SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 32 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô - Hộp thoại Resquest for Secure Communication > bỏ Check mục Activate the defautl reponse rule - Hộp thoại Test Properties > add SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 33 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô - Cửa sổ Wellcome ấn Next > cửa sổ Tunnel Enpoint chọn This rule dose not sprecify a tunnel > Next - Hộp thoại Network Type SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 34 Đồ án chuyên ngành - - GVHD: Th.S Nguyễn Xuân Lô Hộp thoại IP Filter List Hộp thoại IP Filter Action SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 35 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô - Hộp thoại Authentication Method - Trên máy Client: Start > run > mmc > cửa sổ Console1 > menu file > Add/Remove stap-in > add > chọn IP security Policy Management > Add > Finish SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 36 ... Hiếu Trang: Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô CHƯƠNG 2: INTERNET PROTOCOL SERCURITY TRONG IPV6 VÀ IPV4 2.1 Internet protocol security IPv6 IP Security (IPSec) tiêu chuẩn IETF (Internet. . .Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô CHƯƠNG 1: TỔNG QUAN VỀ INTERNET PROTOCOL SECURITY (IPSEC) 1.1 Giới thiệu IPsec IPSec tập giao... Trang: 34 Đồ án chuyên ngành - - GVHD: Th.S Nguyễn Xuân Lô Hộp thoại IP Filter List Hộp thoại IP Filter Action SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 35 Đồ án chuyên ngành

Ngày đăng: 19/06/2015, 18:13

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w