giới thiệu về ipsec và các phương thức của ipsec
1.Khái quát IPSec IPSec – Internet Protocol security: giao th ứ c cung c ấp nh ữ ng k ỹthu ật để b ảo v ệd ữli ệu, cho d ữ li ệu truy ền an toàn t ừn sang n i khác IPSec VPN s ựk ết h ợ p để t ạo m ột m ạng riêng an toàn ph ục v ụcho vi ệc truy ền d ữli ệu b ảo m ật IPSec ho ạt độn g l ớp Network, không ph ụthu ộc vào l p Data-Link nh ưcác giao th ứ c dùng VPN khác nh ưL2TP, PPTP 2.Ph ạm vi ho ạt độn g c IPSec IPSec làm việc tầng Network Layer – Layer mô hình OSI Tại Layer IPSec có thêm nhiệm vụ cho phép giảm nhẹ việc xây dựng mạng riêng ảo (VPN) cho phép người sử dụng kết nối cách an toàn mạng Internet tiêu chuẩn tới mạng riêng họ IPSec sử dụng chức xác thực gọi Authentication Hearder (AH) Được dùng việc chứng thực/mã hóa, kết hợp chức năng(authentication integrity) gọi Encapsulating Security Payload (ESP) Đảm bảo tính nguyên vẹn liệu IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn d ữ liệu, tính nh ất quán,tính bí m ật xác thực truyền liệu hạ tầng mạng công cộng Những kỹ thuật mà IPSec dùng cung cấp tính phổ bi ến sau: - Tính bảo mật liệu – Data confidentiality - Tính toàn vẹn liệu – Data Integrity - Tính chứng thực nguồn liệu – Data origin authentication - Tính tránh trùng lặp gói tin – Anti-replay Các giao thức IPSec Để trao đổi thỏa thuận thông số để tạo nên môi tr ường bảo m ật gi ữa đầu cu ối, IPSec dùng giao thức: - IKE (Internet Key Exchange) - ESP (Encapsulation Security Payload) - AH (Authentication Header) IKE giao thức thực trình trao đổi khóa th ỏa thuận thông s ố b ảo m ật v ới nh ư: mã hóa nào, mã hóa thuật toán gì, bau lâu trao đổi khóa l ần Sau trao đổi xong s ẽ có “hợp đồng” đầu cuối, IPSec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông s ố SA s ẽ l ưu sở liệu SA Trong trình trao đổi khóa IKE dùng thuật toán mã hóa đối x ứng, nh ững khóa s ẽ thay đổi theo thời gian Đây đặc tính hay IKE, giúp h ạn chế trình tr ạng b ẻ khóa c attacker IKE dùng giao thức khác để chứng thực đầu cu ối t ạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) Oakley - ISAKMP: giao thức thực việc thiết lập, th ỏa thu ận qu ản lý sách b ảo m ật SA - Oakley: giao thức làm nhiệm vụ chứng thực khóa, chất dùng thu ật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật Giao thức IKE dùng UDP port 500 Giai đoạn hoạt động IKE xem tương tự trình bắt tay TCP/IP Quá trình hoạt động IKE chia làm phase chính: Phase Phase 2, c ả hai phase nh ằm thi ết lập kênh truyền an toàn điểm Ngoài phase phase có phase 1,5 tùy ch ọn IKE phase 1: Đây giai đoạn bắt buộc phải có Pha thực vi ệc ch ứng th ực th ỏa thu ận thông s ố b ảo mật, nhằm cung cấp kênh truyền bảo mật hai đầu cuối Các thông số sau đồng ý gi ữa bên gọi SA, SA pha gọi ISAKMP SA hay IKE SA Pha sử dụng mode để thiết lập SA: Main mode Aggressive mode Phase 1.5 Đây phase không bắt buộc (optional) Phase cung c ấp c ch ế ch ứng th ực gi ữa đầu cu ối t ạo nên truyền kênh bảo mật Phase 1.5 sử dụng giao thức Extended Authentication (Xauth) Phase th ường s d ụng Remote Access VPN IKE phase Đây phase bắt buộc, đến phase thiết bị đầu cuối có đầy đủ thông s ố cần thi ết cho kênh truyền an toàn Qua trình thỏa thuận thông s ố phase để thi ết l ập IPSec SA d ựa nh ững thông Các số phase thông - số Quick mà Quick IPSec phương th ức thỏa mode thức Giao - mode IPSec: mode: s d ụng thuận trong phase ESP Tunnel phase 2: AH transport - IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau kho ảng th ời gian m ặc định ho ặc ch ỉ định - đổi Trao khóa Diffie-Hellman IPSec SA phase hoàn toàn khác với IKE SA phase 1, IKE SA ch ứa thông s ố để t ạo nên kênh truyền bảo mật, IPSec SA chứa thông số để đóng gói d ữ li ệu theo ESP hay AH, ho ạt động theo tunnel Các mode chức khác hay IKE giúp cho transport IKE hoạt động tối mode ưu bao g ồm: - Dead peer detection ( DPD ) and Cisco IOS keepalives nh ững ch ức n ăng b ộ đếm th ời gian Ngh ĩa sau thiết bị tạo VPN IPsec với s ẽ th ường xuyên g ửi cho gói keepalives để kiểm tra tình trạng đối tác Mục đích để phát h ỏng hóc c thi ết b ị thường Thông gói keepalives gửi 10s - Hỗ trợ chức NAT-Traversal: Chức có ý nghĩa n ếu đường truy ền t A t ới B n ếu có thiết bị NAT or PAT đứng lúc IPSec ho ạt động ch ế độ tunel mode enable chức NAT- Trasersal chuyển gói tin bình th ường Lưu ý : Chức NAT-T bắt đầu Cisco hỗ trợ tự phiên IOS Release 122.2(13)T Nguyên nhân phải hỗ trợ chức NAT-T packet m ới ti ếp t ục được? Khi thực trình mã hóa ESP lúc source IP, port destination IP, port mã hóa nằm gọn tron ESP Header Nh t ất c ả thông tin IP Port b ị mã hóa kênh truyền IPSec diễn trình NAT Do NAT Traversal đời trình hoạt động IKE nhằm phát hi ện h ỗ tr ợ NAT cho Ipsec Các liệu không bị đóng gói trực tiếp giao thức IP mà s ẽ đóng gói thông qua giao th ức UDP Và lúc thông tin IP Port nằm gói UDP