IPSec Phân tích quá trình ISAKMP và giải mã gói tin ESP IPSec Phân tích quá trình ISAKMP và giải mã gói tin ESP
Khoa Mạng máy tính Truyền thông TÌM HIỂU VỀ IPSec ( INTERNET PROTOCOL SECURITY) Nhóm14 13520067 : Huỳnh Ngọc Cảnh 13520287 : Nguyễn Cao Hòa 13520849 : Nguyễn Văn Thông 13520024 : Nguyễn Thị Lan Anh I/Phân tích trình Security Association (ISAKMP) IPSec (Internet Protocol Security) giao thức IETF phát triển IPSec định nghĩa giao thức tầng mạng cung cấp dịch vụ bảo mật, nhận thực, toàn vẹn liệu điều khiển truy cập Nó tập hợp tiêu chuẩn mở làm việc phần thiết bị.[1] Quản lý khóa với Internet Key Exchange – IKE : IPSec dùng giao thức thứ ba Internet Exchange Key (IKE) thực tính thứ ba quản lý khóa để thỏa thuận giao thức bảo mật thuật toánmã hóa trước tron suốt trình giao dịch Cơ chế hoạt động IKE : - - Giao thức IKE có chức trao đổi key thiết bị tham gia VPN trao đổi sách an ninh thiết bị Nếu giao thức người quản trị phải cấu hình thủ công, sách an ninh thiết bị gọi SA (Security Associate) Do thiết bị trình IKE trao đổi với tất SA mà có Các thiết bị tự tìm cho SA phù hợp với đối tác Những key trao đổi trình IKE mã hóa key thay đổi theo thời gian (Generate Key) để tránh tình trạng BruteForce Attacker + Có giai đoạn tạo nên phiên làm việc dựa IKE, hình bên trình bày số đặc điểm chung hai giai đoạn Trong phiên làm việc IKE, giả sử có kênh bảo mật thiết lập sẵn Kênh bảo mật phải thiết lập trước có thỏa thuận xảy + Có chế độ IKE phổ biến thường triển khai : - Chế độ – Main mode Chế độ linh hoạt – Aggressive mode Chế độ nhanh – Quick mode Chế độ nhóm – New Group mode Ngoài chế độ IKE phổ biến trên, có thêm Informational mode Chế độ cung cấp cho bên có liên quan số thông tin thêm, xuất phát từ thất bại trình thỏa thuận Ví dụ, việc giải mã thất bại người nhận chữ ký không xác minh thành công, Informational mode dùng để thông báo cho bên khác biết Phân tích gói tin [2] - Ở Main mode sử dụng gói tin để thiết lập Tạm gọi Bên A: 10.0.0.1 ; Bên B 10.0.0.2 Giai đoạn - Hai bên tiến hành đàm phán thông tin sau : o Hashing (hàm băm) o Authentication (chứng thực ) o DH (Diffie Hellman) group o Lifetime o Encryption Message dùng để thỏa thuận sách bảo mật IKE bao gồm: thuật toán mã hóa, độ dài key, thuật toán hash, phương pháp chứng thực, thời gian trao đổi key +Message Ở message Bên A gửi message , sử dụng UDP port 500 Trong message có chuỗi SPI (Security Parameter Index), giá trị để xác định SA Phiên sử dụng ver1 chế độ Main mode Chúng ta thấy thuộc tính(thuật toán mã hóa, hàm băm , phương pháp xác nhận bảo vệ mã khóa.) sử dụng trình SA phần Type Payload: transform +Message Sau bên B nhận message từ bên A bên B tiến hành phản hồi lại Message nhầm thông báo cho bên A việc đồng ý thuộc tính payload transform : thuật toán mã hóa, hash nào?, giải mã , chiều dài key Và bên B tự thiết lập SPI cho riêng message dùng để trao đổi key Diffire-Hellman Nonce Những key thực vai trò quan trọng chế mã hóa + Message Sau chế mã hóa hàm băm đồng ý trên, khóa bí mật phát sinh.Bên A tiến hành dùng Diffie-Hellman để trao đổi.Những thông tin dùng để phát sinh khóa bí mật: giá trị Diffie-Hellman, SPI ISAKMP SA dạng cookies, số ngẫu nhiên known as nonces (dùng ký xác nhận) + Message Bên B gửi Diffie Hellman nonces cho Bên A Hai bên bắt đầu tính toán việc Diffie Hellman shared key message cuối dùng để xác nhận lại giao dịch sử dụng với giúp đỡ chữ ký, hàm băm tùy chọn chứng thực + Message Message mã hóa nên xem nội dung chúng nữa.Cả message cuối dùng để nhận dạng xác thực bên + Message Bên B phản hồi thông tin nhận dạng xác thực - Giai đoạn Ở giai đoạn liệu người dùng bảo vệ có chế độ Quick mode sử dụng Cũng giống giai đoạn , giai đoạn Bên tiến hành thỏa thuận thông tin bảo mật IPSec : o IPsec Protocol : ESP AH o IPSec mode: Tunnel transport o Trao đổi khóa Diffie-Hellman o Encryption o Authentication o IPSec SA lifetime: dùng để thỏa thuận lại SA IPSec sau khoảng thời gian mặc định định o (Optional) DH exchange o Session key làm thay đổi, SAs, key SPI thông qua cho IPSec SA IPSec phase hoàn toàn khác với SA IKE phase 1, SA IKE chứa thông số để tạo nên kênh truyền bảo mật, SA IPSec chứa thông số để đóng gói liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode - Ở giai đoạn thỏa thuận xảy phạm vi bảo vệ giai đoạn không thấy + Message + Message + Message II/ Giải mã gói tin ESP Ta tiến hành giải mã gói tin ESP dựa vào chế giải mã WireShark [3] Trong wireshark , chọn Edit -> Preferences->Protocols->ESP bảng hình: Tiếp theo ta dựa vào thông tin file readname để điền vào: So sánh trước sau giải mã gói tin: Trước giải mã có trường Encapsulating Security Payload ESP SPI Security parameters index (chỉ dẫn thông số an ninh, trường bắt buộc phải có) ESP Sequence (đơn giản số thứ tự) Và Sau giải mã : Ta thấy sau giải mã gói tin ESP trường nằm Encapsulating Security Payload xuất : - - - Payload Data (trường liệu tải tin): Đây trường bắt buộc Nó bao gồm số lượng biến đổi byte liệu gốc phần liệu yêu cầu bảo mật mô tả trường Next Header Padding (0->255 bytes): cần thiết để đảm bảo phần liệu mật mã (ciphertext) kết thúc biên giới byte để phân biết rõ ràng với trường Authentication Data Pad Length chiều dài Pad Authentiaction data (bội số 32 bits):Thông tin xác thực tình toàn gói ESP ngoại trừ phần authentiaction data Nguồn: [1] Wikipedia IPSec [Online] Available: https://en.wikipedia.org/wiki/IPsec [2] Wikipedia IPsec (Internet Protocol Security) [Online] Available: https://networklessons.com/security/ipsec-internet-protocol-security/ [3] Wikipedia ESP_Preferences [Online] Available: https://wiki.wireshark.org/ESP_Preferences [...].. .Và Sau khi giải mã : Ta thấy sau khi giải mã các gói tin ESP thì những trường nằm trong Encapsulating Security Payload sẽ xuất hiện như : - - - Payload Data (trường dữ liệu tải tin) : Đây là trường bắt buộc Nó bao gồm một số lượng biến đổi các byte dữ liệu gốc hoặc một phần dữ liệu yêu cầu bảo mật đã được mô tả trong trường Next Header Padding (0->255 bytes): cần thiết để đảm bảo phần dữ liệu mật mã. .. byte để phân biết rõ ràng với trường Authentication Data Pad Length chiều dài của Pad Authentiaction data (bội số của 32 bits):Thông tin xác thực được tình trên toàn bộ gói ESP ngoại trừ phần authentiaction data Nguồn: [1] Wikipedia IPSec [Online] Available: https://en.wikipedia.org/wiki /IPsec [2] Wikipedia IPsec (Internet Protocol Security) [Online] Available: https://networklessons.com/security /ipsec- internet-protocol-security/... https://en.wikipedia.org/wiki /IPsec [2] Wikipedia IPsec (Internet Protocol Security) [Online] Available: https://networklessons.com/security /ipsec- internet-protocol-security/ [3] Wikipedia ESP_ Preferences [Online] Available: https://wiki.wireshark.org /ESP_ Preferences