Đang tải... (xem toàn văn)
TÌM HIỂU VỀ IPv4 AND IPv6 SECURITY VÀ ỨNG DỤNG TRONG CÀI ĐẶT MỤC LỤC MỤC LỤC CHƯƠNG 1: TỔNG QUAN VỀ INTERNET PROTOCOL SECURITY (IPSEC) 1 1.1. Giới thiệu IPsec 1 1.2. Khung giao thức IPsec 1 1.3. Tính năng của IPsec 2 1.3.1. Sự bảo mật dữ liệu (Data Confidentiality): 2 1.3.2. Sự toàn vẹn dữ liệu (Data Integrity): 3 1.3.3. Chứng thực nguồn dữ liệu (Data Origin Authentication): 3 1.3.4. Tránh trùng lặp (Antireplay): 3 1.4. Các giao thức IPsec 3 1.4.1. Internet Key Exchange (IKE) 3 1.4.2 Encapsulating Security Payload (ESP): 4 1.4.3 Authentication Header (AH) 5 1.5.Hoạt động của IPSec 6 CHƯƠNG 2: INTERNET PROTOCOL SERCURITY TRONG 8 IPV6 VÀ IPV4 8 2.1. Internet protocol security trong IPv6 8 2.1.1. Mào đầu gói tin IPv6 8 2.1.1.1 Chiều dài phần mào đầu 8 2.1.1.2 Định dạng các trường mào đầu 8 2.1.1.3 Các trường mào đầu mở rộng 10 2.1.2. Tích hợp bảo mật IPsec trong địa chỉ IPv6 13 2.1.3. Nguyên tắc hoạt động của các giao thức bảo mật trong địa chỉ IPv6 15 2.1.3.1. Nguyên tắc hoạt động của AH 15 2.1.3.2. Nguyên tắc hoạt động của ESP 19 2.1.4 Quản lý khóa 22 3.1 Triển khai hệ thống IPsecVNP trên Windows Server 2003 23 3.1.1 Mô hình trỉnh khai 23 3.1.2 Các bước thực hiện 23 3.2. Cấu hình IPsec trên thiết bị mạng 35
TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP.HCM KHOA CÔNG NGHỆ - CƠ SỞ THANH HÓA ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỂU VỀ IPv4 AND IPv6 SECURITY VÀ ỨNG DỤNG TRONG CÀI ĐẶT Giảng viên HD : TH.S. Nguyễn Xuân Lô Lớp : DHTH7TH Sinh viên TH : Lê Như Quân - 11018863 : Nguyễn Trung Dũng – 10024513 : Phạm Trung Hiếu - 11031983 THANH HÓA - 2015 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô MỤC LỤC SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô CHƯƠNG 1: TỔNG QUAN VỀ INTERNET PROTOCOL SECURITY (IPSEC) 1.1. Giới thiệu IPsec IPSec là một tập các giao thức chuẩn, cung cấp các dịch vụ bảo mật cho những gói tin IP tại lớp Network. Những dịch vụ này bao gồm các điều khiển truy cập access control list, toàn vẹn dữ liệu-data integrity, xác thực- authentication, tránh trùng lặp gói tin -against replay và sự bảo mật dữ liệu -data security. IPSec là sự lựa chọn hàng đầu cho việc bảo mật trong VPN. 1.2. Khung giao thức IPsec IPSec là một tập các chuẩn mở, được phát triển bởi IETF. Khung giao thức được sử dụng trong IPSec Một số tính năng được khuyến khích sử dụng khi làm việc với IPSec. – Các giao thức bảo mật IPSec + AH (Authentication Header): cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay. + ESP (Encapsulation Security Payload): cung cấp tính năng bảo mật, chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay. – Các thuật toán mã hóa + DES (Data Encryption Standard): Được phát triển bởi IBM. DES sử dụng 1 khóa 56-bít, đảm bảo hiệu năng mã hóa cao. DES là một hệ thống mã hóa khóa đối xứng. + 3 DES (Triple DES): là một biến thể của DES 56-bít. Hoạt động tương SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 4 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô tự như DES, trong đó dữ liệu được chia thành các khối 64 bít. 3DES thực thi mỗi khối ba lần, mỗi lần với một khóa 56 bít độc lập. 3DES cung cấp sức mạnh khóa đáng kể so với DES. – Các chức năng toàn vẹn dữ liệu + HMAC (Hash – ased Message Authentication Code): là một thuật toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin. Tại đầu cuối, bản tin và một khóa chia sẻ bí mật được gửi thông qua một thuật toán băm, trong đó tạo ra một giá trị băm. Bản tin và giá trị băm được gửi qua mạng + MD5 (Message Digest 5): là một hàm băm để mã hóa với giá trị băm là 128 bít. MD5 biến đổi một thông điệp có chiều dài bất kỳ thành một khối có kích thước cố định 128 bít. Thông điệp đưa vào sẽ được cắt thành các khối 512 bít, thông điệp sau đó được độn sao cho chiều dài của nó chia chẵn cho 512. + SHA-1 (Secure Hash Algorithm -1): Sử dụng một khóa 160 bít, 224 bít…. – Các phương pháp xác thực (peer Authentication) + Rivest, Shamir, and Adelman (RSA) Digital Signatures: là một hệ thống mật mã khóa bất đối xứng. Nó sử dụng một chiều dài khóa là 512 bít, 768 bít, 1024 bít hoặc lớn hơn. IPsec không sử dụng RSA để mã hóa dữ liệu. Chỉ sử dụng RSA để mã hóa trong giai đoạn xác thực ngang hàng. + RSA Encrypted Nonces – Các giao thức quản lý khoá + DH (Diffie- Hellman) + CA (Certificate Authority) – Các chính sách an ninh + IKE (Internet Key Exchange): IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. + ISAKMP (Internet Security Association and Key Management Protocol 1.3. Tính năng của IPsec 1.3.1. Sự bảo mật dữ liệu (Data Confidentiality): SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 5 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô Đảm bảo dữ liệu được bảo mật, tránh những kẻ tấn công phá hoại bằng cách thay đổi nội dung hoặc đánh cắp dữ liệu quan trọng. Việc bảo vệ dữ liệu được thực hiện bằng các thuật toán mã hóa như DES, 3DES và AES. Tuy nhiên, đây là một tính năng tùy chọn trong IPSec. 1.3.2. Sự toàn vẹn dữ liệu (Data Integrity): Đảm bảo rằng dữ liệu không bị thay đổi trong suốt quá trình trao đổi. Data integrity bản thân nó không cung cấp sự bảo mật dữ liệu. Nó sử dụng thuật toán băm (hash) để kiểm tra dữ liệu bên trong gói tin có bị thay đổi hay không. Những gói tin nào bị phát hiện là đã bị thay đổi thì sẽ bị loại bỏ. Những thuật toán băm: MD5 hoặc SHA-1. 1.3.3. Chứng thực nguồn dữ liệu (Data Origin Authentication): Mỗi điểm cuối của VPN dùng tính năng này để xác định đầu phía bên kia có thực sự là người muốn kết nối đến mình hay không. Lưu ý là tính năng này không tồn tại một mình mà phụ thuộc vào tính năng toàn vẹn dữ liệu. Việc chứng thực dựa vào những kĩ thuật: Pre-shared key, RSA-encryption, RSA- signature. 1.3.4. Tránh trùng lặp (Anti-replay): Đảm bảo gói tin không bị trùng lặp bằng việc đánh số thứ tự. Gói tin nào trùng sẽ bị loại bỏ, đây cũng là tính năng tùy chọn. 1.4. Các giao thức IPsec Để trao đổi và thỏa thuận các thông số nhằm tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức: 1.4.1. Internet Key Exchange (IKE) Là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật như: thuật toán mã hóa được áp dụng, khoảng thời gian khóa cần được thay đổi. Sau khi thỏa thuận xong thì sẽ thiết lập “hợp đồng” giữa 2 bên, khi đó IPSec SA (Security Association) được tạo ra. SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA Ngoài ra IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 6 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley. – ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA. – Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật. Lưu ý: Giao thức IKE dùng UDP port 500. 1.4.2 Encapsulating Security Payload (ESP): Là giao thức cung cấp sự bảo mật, toàn vẹn, chứng thực nguồn dữ liệu và những tùy chọn khác, chẳng hạn anti-replay. ESP cung cấp gần như toàn bộ tính năng của IPSec, ngoài ra nó còn cung cấp tính năng mã hóa dữ liệu. Do đó, ESP được sử dụng phổ biến trong IPSec VPN. ESP bao gồm những tính năng sau: Tính bảo mật (Data confidentiality) Tính toàn vẹn dữ liệu (Data integrity) Chứng thực nguồn dữ liệu (Data origin authentication) Tránh trùng lặp (Anti-replay) Những tính năng trên cũng là những tính năng đặc trưng và chính yếu nhất của IPSec. Lưu ý: ESP sử dụng IP protocol number 50. Hoạt dộng của ESP ESP chèn một header vào sau phần IP header và trước header của giao thức lớp trên. Header này có thể là một IP header mới trong tunnel mode hoặc IP header của gói tin ban đầu trong transport mode. Hình sau cho thấy vị trí của ESP header trong transport mode và tunnel mode: SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 7 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô IP Packet được bảo vệ bởi ESP trong Tunnel Mode 1.4.3 Authentication Header (AH) Là giao thức cung cấp sự toàn vẹn, chứng thực nguồn dữ liệu và một số tùy chọn khác. Nhưng khác với ESP, nó không cung cấp chức năng bảo mật (data confidential). AH đảm bảo dữ liệu không bị thay đổi trong quá trình truyền dẫn nhưng không mã hóa dữ liệu. Trường AH chỉ định cái sẽ theo sau AH header. Trong transport mode, nó sẽ là giá trị của giao thức lớp trên đang được bảo vệ (chẳng hạn UDP hoặc TCP). Trong tunnel mode, giá trị này là 4. Vị trí của AH trong transport và tunnel mode được mô tả ở hình sau: SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 8 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô Trong tunnel mode, AH đóng gói gói tin IP và thêm vào một IP header trước AH header IP Packet được bảo vệ bởi AH trong Tunnel Mode 1.5.Hoạt động của IPSec Mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn dựa trên các dịch vụ bảo mật có sẵn, hoạt động của IPSec có thể chia thành 5 bước chính như sau: Hoạt động của IPSec • A gửi các traffic cần bảo vệ tới B • A gửi các traffic cần bảo vệ tới B • IKE SA ← IKE Phase 1 → IKE SA • A gửi các traffic cần bảo vệ tới B • IPSec SA ← IKE Phase 2 → IPSec SA SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 9 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô • A gửi các traffic cần bảo vệ tới B • A gửi các traffic cần bảo vệ tới B Bước 1: Traffic cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết đầu cuối IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ thông qua trường địa chỉ. Bước 2: IKE Phase 1 – IKE xác thực các bên và một tập các dịch vụ bảo mật được thoả thuận và công nhận để thiết lập IKE SA. Trong phase này, sẽ thiết lập một kênh truyền thông bảo mật để tiến hành thoả thuận IPSec SA trong Phase 2. Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập các IPSec SA tương đương ở hai phía. Các tham số bảo mật này được sử dụng để bảo vệ dữ liệu và các gói tin trao đổi giữa các điểm đầu cuối. Kết quả cuối cùng của hai bước trên sẽ tạo ra một kênh thông tin bảo mật giữa hai bên. Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các bên IPSec dựa trên cơ sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA. Bước 5: Kết thúc đường hầm IPSec – Do các IPSec SA hết hạn hoặc bị xoá SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 10 [...]... Th.S Nguyễn Xuân Lô CHƯƠNG 2: INTERNET PROTOCOL SERCURITY TRONG IPV6 VÀ IPV4 2.1 Internet protocol security trong IPv6 IP Security (IPSec) là tiêu chuẩn của IETF (Internet Engineering Task Force) nhằm cung cấp bảo mật cho mạng Internet IPSec đảm bảo tính toàn vẹn, xác thực và bảo mật 2.1.1 Mào đầu gói tin IPv6 IPv6 chỉ có 6 trường và 2 địa chỉ, IPv6 header có kích thước cố định Với kích thước cố định... Nguyễn Xuân Lô gói trong một gói dữ liệu IP khác Và một IPSec header được chèn vào giữa phần đầu nguyên bản (Original Header) và phần đầu mới của IP Trong chế độ Tunnel IP header ở đầu vào mang địa chỉ nguồn và địa chỉ đích cuối cùng, còn IP header ở đầu ra mang địa chỉ để định tuyến qua Internet Trong chế độ này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả IP header đầu vào IPSec trong chế độ Tunnel... vệ giao thức tầng trên và các ứng dụng Trong đó, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên.Vì vậy, chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec Hoạt động của ESP trong chế độ này được sử dụng để bảo vệ thông tin giữa hai host cố định và bảo vệ các giao thức... mã hoá, nó thực hiện giải mã sử dụng key giống nhau và quá trình thực hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá Nguyên tắc hoạt động của ESP Header • So sánh giữa AH và ESP 2.1.4 Quản lý khóa Để áp dụng hai mào đầu AH và ESP yêu cầu các bên tham gia phải thỏa thuận một khóa chung để sử dụng trong việc kiểm tra bảo mật thông tin Quản lý khóa thủ công: IPv6 yêu cầu tất cả các thao tác... mọi thông tin và mã SVTH: Lê Như Quân – Nguyễn Trung Dũng – Phạm Trung Hiếu Trang: 22 Đồ án chuyên ngành GVHD: Th.S Nguyễn Xuân Lô hoá và giải mã sẽ nằm trong ESP Header Các thuật toán mã hoá sử dụng trong giao thức như: DES, 3DES, AES Định dạng của ESP Header như sau: Định dạng mào đầu IPsec ESP Định dạng ESP: ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin SPI (Security Parameters... ứng sau IPv6 Header Sự hiện diện của Extension Header này được chỉ thị bởi giá trị 0 trong Next-Header của IPv6 Header Kích thước của các Extension Header có thể tùy ý, nhưng luôn là bội số của 8 octet Nếu trong gói tin có chứa nhiều Extension Header, chúng được sắp xếp theo thứ tự sau: • IPv6 Header • Hop-by-Hop Options Header • Destination Options Header: Được xử lý bởi trạm đích đầu tiên trong IPv6. .. kênh chứng thực mà dựa trên đó hệ thống có thể thương thuyết nhiều giao thức khác Chúng đồng ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin Giai đoạn 2: xác định dịch vụ được sử dụng bởi IPSec Chúng đồng ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng ƠNG... dụng ƠNG 3 : ỨNG DỤNG TRONG CÀI ĐĂT 3.1 Triển khai hệ thống IPsec/VNP trên Windows Server 2003 3.1.1 Mô hình trỉnh khai Trong mô hình này ta sử dụng 3 máy: 1 làm DC (Domain Controler), 1 máy làm VPN server 1, máy làm VPN client Ta sẽ cấu hình IPsec trên máy DC và máy VPN client để khi 2 máy này thực hiện phương thức truyền thông thì dữ liệu sẽ được mã hóa 3.1.2 Các bước thực hiện Máy 1 cài đặt Windows... mào đầu mở rộng đầu tiên của gói tin IPv6, đặt sau mào đầu cơ bản hoặc chỉ định tới thủ tục lớp trên như TCP, UDP, ICMPv6 khi trong gói tin IPv6 không có mào đầu mở rộng Hop limit: Gồm 8 bít, được sử dụng để giới hạn số hop mà packet đi qua, được sử dụng để tránh cho packet được định tuyến vòng vòng trong mạng Trường này giống như trường TTL (Time-To-Live) của IPv4 Source Address: Gồm 128 bít, xác... bits dành để dự trữ cho việc sử dụng trong tương lai Giá trị của trường này được thiết lập bằng 0 bởi bên gửi và sẽ được loại bỏ bởi bên nhận • SPI (Security Parameters index): Đây là một số 32 bits bất kì, cùng với địa chỉ đích và giao thức an ninh ESP cho phép nhận dạng duy nhất chính sách liên kết bảo mật SA (xác định giao thức IPSec và các thuật toán nào được dùng để áp dụng cho gói tin) cho gói dữ . CÔNG NGHỆ - CƠ SỞ THANH HÓA ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: TÌM HIỂU VỀ IPv4 AND IPv6 SECURITY VÀ ỨNG DỤNG TRONG CÀI ĐẶT Giảng viên HD : TH.S. Nguyễn Xuân Lô Lớp : DHTH7TH Sinh viên. GVHD: Th.S Nguyễn Xuân Lô CHƯƠNG 2: INTERNET PROTOCOL SERCURITY TRONG IPV6 VÀ IPV4 2.1. Internet protocol security trong IPv6 IP Security (IPSec) là tiêu chuẩn của IETF (Internet Engineering Task. thiết lập trong IPv6. Trường này được sử dụng để chỉ định gói tin thuộc một dòng (Flow) nhất định giữa nguồn và đích, yêu cầu bộ định tuyến IPv6 phải có cách xử lý đặc biệt. Bằng cách sử dụng trường