Hiện nay lĩnh vực viễn thông phát triển vượt bậc với những công nghệ mới, chuyển mạch mềm dần dần thay thế cho chuyển mạch kênh, mọi thông tin thoại, dữ liệu, hình ảnh... được truyền tải trên mạng Internet với công nghệ IP. Cùng với sự phổ cập ngày càng cao của Internet, các doanh nghiệp đang dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có. Công nghệ mạng riêng ảo VPN (Virtual Private Network) ra đời đã thoả mãn được nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa các văn phòng cách xa về địa lý. Tuy nhiên Internet là một môi trường không an toàn, dữ liệu truyền qua dễ bị truy cập bất hợp pháp và nguy hiểm. Dữ liệu truyền trên mạng thường dễ bị tấn công bằng nhiều cách. Việc đảm bảo an toàn dữ liệu là việc làm tối cần thiết. Do vậy công nghệ mạng riêng ảo VPN có nhiều giải pháp để giải quyết vấn đề này. Với mong muốn tìm hiểu cơ chế bảo mật trong VPN để làm cơ sở tìm hiểu tiếp những vấn đề cốt lõi về công nghệ mạng riêng ảo VPN, IP. Được sự đồng ý và hướng dẫn của giáo viên hướng dẫn em đã tiến hành làm đề tài này. Nội dung của đề tài đề cập đến các vấn đề sau: Tổng quan về mạng VPN. Một số cách tấn công phổ biến trên mạng và vấn đề bảo mật thông tin trong VPN. Giao thức trao đổi khóa Internet IKE và hoạt động IKE trong giao thức bảo mật IPSec của VPN. Do còn nhiều mặt hạn chế nên nội dung không tránh khỏi những sai sót và khiếm khuyết, em rất mong nhận được chỉ dẫn của thầy cô giáo và ý kiến tham gia của các bạn.
Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp LỜI NÓI ĐẦU Hiện lĩnh vực viễn thông phát triển vượt bậc với công nghệ mới, chuyển mạch mềm thay cho chuyển mạch kênh, thông tin thoại, liệu, hình ảnh truyền tải mạng Internet với công nghệ IP Cùng với phổ cập ngày cao Internet, các doanh nghiệp dần chuyển sang sử dụng Internet phương tiện giúp họ mở rộng mạng cục sẵn có Công nghệ mạng riêng ảo VPN (Virtual Private Network) đời đã thoả mãn được nhu cầu kết nối từ xa nhân viên với văn phòng văn phòng cách xa địa lý Tuy nhiên Internet môi trường không an toàn, liệu truyền qua dễ bị truy cập bất hợp pháp nguy hiểm Dữ liệu truyền mạng thường dễ bị công nhiều cách Việc đảm bảo an toàn liệu việc làm tối cần thiết Do công nghệ mạng riêng ảo VPN có nhiều giải pháp để giải vấn đề Với mong muốn tìm hiểu chế bảo mật VPN để làm sở tìm hiểu tiếp những vấn đề cốt lõi về công nghệ mạng riêng ảo VPN, IP Được đồng ý hướng dẫn giáo viên hướng dẫn em tiến hành làm đề tài Nội dung đề tài đề cập đến vấn đề sau: - Tổng quan mạng VPN Một số cách công phổ biến mạng vấn đề bảo mật thông tin VPN - Giao thức trao đổi khóa Internet IKE hoạt động IKE giao thức bảo mật IPSec VPN Do còn nhiều mặt hạn chế nên nội dung không tránh khỏi sai sót và khiếm khuyết, em mong nhận dẫn thầy cô giáo ý kiến tham gia các bạn MỤC LỤC Nguyễn Phan Việt – Lớp: L10cqvt06 - B Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp LỜI NÓI ĐẦU CÁC THUẬT NGỮ VIẾT TẮT CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO Hình 1: Đường hầm Mạng VPN môi trường Internet 10 1.1.2 Lợi ích VPN 10 Tiết kiệm chi phí: 10 22 Hình 8: Bản tin điều khiển L2TP 22 CHƯƠNG II: GIAO THỨC TRAO ĐỔI KHOÁ INTERNET IKE 30 Hình 11: Khung giao thức sử dụng IPSec 34 Hình 12: bước hoạt động IPSec 36 - Host A gửi lưu lượng cần bảo vệ tới Host B 36 Hình 13: Lưu lượng bảo vệ 36 Hình 14: IKE Phase 37 Hình 15: Thoả thuận thông số bảo mật IPSec 38 Hình 17: Kết thúc đường hầm 39 Hình 18: Tập sách IKE 40 Chế độ nhanh (Aggressive mode) thực trao đổi (tất nhiên gói liệu hơn) Hầu hết thứ thực trao đổi thứ nhất: Thoả thuận tập sách IKE; tạo khoá công cộng DH; gói nhận dạng (identify packet), sử dụng để xác định nhận dạng thông qua bên thứ ba (third party) Bên nhận gửi trở lại thứ cần thiết để hoàn thành (complete) việc trao đổi Cuối bên khởi tạo khẳng định (confirm) việc trao đổi .43 Trong VPN hai nút cho phép thiết lập kênh mã hóa, xác nhận hai nút Nút khởi tạo (hoặc người dùng từ xa) yêu cầu phiên làm việc VPN xác nhận HA tương ứng cách mixed up an toàn đàm phán IPsec thích hợp, hay giao thức tiêu đề xác thực AH Sự thoả thuận nút xác nhận mã nhận dạng Như vậy, sau pha thiết lập, hai bên biết nói chuyện với Endpoint có kênh an toàn để liên lạc Không giống pha 2, SAs phase hai chiều, SA đơn bảo vệ hai lưu lượng vào 43 Nguyễn Phan Việt – Lớp: L10cqvt06 - B Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp 43 Hình 19: Một thoả thuận kiểu main mode 43 45 Hình 20: Kiểu Main mode với khoá dùng chung 45 47 Hình 21: Kiểu chế độ Main mode với chứng thực chữ ký 47 48 Hình 22: Kiểu Main mode với chứng thực chìa khóa chung 48 49 Hình 23: Kiểm tra chứng thực khoá chung kiểu Main mode 49 Hình 24: Đường hầm IPSec thiết lập 50 Hình 25: Tập chuyển đổi IPSec .51 Hình 26: Các kết hợp an ninh 52 Hình 27: Kết thúc đường hầm 53 KẾT LUẬN CHUNG .55 DANH MỤC TÀI LIỆU THAM KHẢO 55 CÁC THUẬT NGỮ VIẾT TẮT Từ viết Từ đầy đủ tắt AH CA DES Authentication Header Certificate Authority Data Encryption Standard Nguyễn Phan Việt – Lớp: L10cqvt06 - B Ý nghĩa Giao thức tiêu đề xác thực Nhà phân phối chứng thực số Thuật toán mật mã DES Học viện Bưu viễn thông IETF DHCP Internet Engineering Task Force Cơ quan chuẩn Internet Dynamic Host Configuration Giao thức cấu hình host động Protocol IKE Internet Key Exchange IP Internet Protocol IP-Sec Internet Protocol Security ISAKMP Internet Security Asociasion and MD5 PPTP PVC P-SK QoS SA VC VCI VNS VPI VPN WAN PPP Báo cáo thực tập tốt nghiệp Giao thức trao đổi khoá Internet Giao thức Internet Giao thức an ninh Internet Giao thức quản lý khoá kết hợp Key Management Protocol Message Digest Point to Point Tunneling Protocol an ninh Internet Thuật toán MD5 Giao thức đường ngầm điểm tới Permanrnent Virtual Circuit Pre-shared keys Quality of Service Securty Association Virtual Circuit Virtual Circuit Identifier Virtual Network Service Virtual Path Identifier Virtual Private Network Wide Area Network Point to Point Protocol điểm Mạng ảo cố định Các khoá chia sẻ trước Chất lượng dịch vụ Kết hợp an ninh Kênh ảo Nhận dạng kênh ảo Dịch vụ mạng ảo Nhận dạng đường ảo Mạng riêng ảo Mạng diện rộng Giao thức điểm tới điểm Nguyễn Phan Việt – Lớp: L10cqvt06 - B Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp LỜI NÓI ĐẦU CÁC THUẬT NGỮ VIẾT TẮT CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO Hình 1: Đường hầm Mạng VPN môi trường Internet 10 1.1.2 Lợi ích VPN 10 Tiết kiệm chi phí: 10 22 Hình 8: Bản tin điều khiển L2TP 22 CHƯƠNG II: GIAO THỨC TRAO ĐỔI KHOÁ INTERNET IKE 30 Hình 11: Khung giao thức sử dụng IPSec 34 Hình 12: bước hoạt động IPSec 36 - Host A gửi lưu lượng cần bảo vệ tới Host B 36 Hình 13: Lưu lượng bảo vệ 36 Hình 14: IKE Phase 37 Hình 15: Thoả thuận thông số bảo mật IPSec 38 Hình 17: Kết thúc đường hầm 39 Hình 18: Tập sách IKE 40 Chế độ nhanh (Aggressive mode) thực trao đổi (tất nhiên gói liệu hơn) Hầu hết thứ thực trao đổi thứ nhất: Thoả thuận tập sách IKE; tạo khoá công cộng DH; gói nhận dạng (identify packet), sử dụng để xác định nhận dạng thông qua bên thứ ba (third party) Bên nhận Nguyễn Phan Việt – Lớp: L10cqvt06 - B Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp gửi trở lại thứ cần thiết để hoàn thành (complete) việc trao đổi Cuối bên khởi tạo khẳng định (confirm) việc trao đổi .43 Trong VPN hai nút cho phép thiết lập kênh mã hóa, xác nhận hai nút Nút khởi tạo (hoặc người dùng từ xa) yêu cầu phiên làm việc VPN xác nhận HA tương ứng cách mixed up an toàn đàm phán IPsec thích hợp, hay giao thức tiêu đề xác thực AH Sự thoả thuận nút xác nhận mã nhận dạng Như vậy, sau pha thiết lập, hai bên biết nói chuyện với Endpoint có kênh an toàn để liên lạc Không giống pha 2, SAs phase hai chiều, SA đơn bảo vệ hai lưu lượng vào 43 43 Hình 19: Một thoả thuận kiểu main mode 43 45 Hình 20: Kiểu Main mode với khoá dùng chung 45 47 Hình 21: Kiểu chế độ Main mode với chứng thực chữ ký 47 48 Hình 22: Kiểu Main mode với chứng thực chìa khóa chung 48 49 Hình 23: Kiểm tra chứng thực khoá chung kiểu Main mode 49 Hình 24: Đường hầm IPSec thiết lập 50 Hình 25: Tập chuyển đổi IPSec .51 Hình 26: Các kết hợp an ninh 52 Hình 27: Kết thúc đường hầm 53 KẾT LUẬN CHUNG .55 DANH MỤC TÀI LIỆU THAM KHẢO 55 LỜI NÓI ĐẦU CÁC THUẬT NGỮ VIẾT TẮT CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO Nguyễn Phan Việt – Lớp: L10cqvt06 - B Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 1: Đường hầm Mạng VPN môi trường Internet 10 1.1.2 Lợi ích VPN 10 Tiết kiệm chi phí: 10 22 Hình 8: Bản tin điều khiển L2TP 22 CHƯƠNG II: GIAO THỨC TRAO ĐỔI KHOÁ INTERNET IKE 30 Hình 11: Khung giao thức sử dụng IPSec 34 Hình 12: bước hoạt động IPSec 36 - Host A gửi lưu lượng cần bảo vệ tới Host B 36 Hình 13: Lưu lượng bảo vệ 36 Hình 14: IKE Phase 37 Hình 15: Thoả thuận thông số bảo mật IPSec 38 Hình 17: Kết thúc đường hầm 39 Hình 18: Tập sách IKE 40 Chế độ nhanh (Aggressive mode) thực trao đổi (tất nhiên gói liệu hơn) Hầu hết thứ thực trao đổi thứ nhất: Thoả thuận tập sách IKE; tạo khoá công cộng DH; gói nhận dạng (identify packet), sử dụng để xác định nhận dạng thông qua bên thứ ba (third party) Bên nhận gửi trở lại thứ cần thiết để hoàn thành (complete) việc trao đổi Cuối bên khởi tạo khẳng định (confirm) việc trao đổi .43 Trong VPN hai nút cho phép thiết lập kênh mã hóa, xác nhận hai nút Nút khởi tạo (hoặc người dùng từ xa) yêu cầu phiên làm việc VPN xác nhận HA tương ứng cách mixed up an toàn đàm phán IPsec thích hợp, hay giao thức tiêu đề xác thực AH Sự thoả thuận nút xác nhận mã nhận dạng Như vậy, sau pha thiết lập, hai bên biết nói chuyện với Endpoint có kênh an toàn để liên lạc Không giống pha 2, SAs phase hai chiều, SA đơn bảo vệ hai lưu lượng vào 43 43 Hình 19: Một thoả thuận kiểu main mode 43 45 Nguyễn Phan Việt – Lớp: L10cqvt06 - B Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 20: Kiểu Main mode với khoá dùng chung 45 47 Hình 21: Kiểu chế độ Main mode với chứng thực chữ ký 47 48 Hình 22: Kiểu Main mode với chứng thực chìa khóa chung 48 49 Hình 23: Kiểm tra chứng thực khoá chung kiểu Main mode 49 Hình 24: Đường hầm IPSec thiết lập 50 Hình 25: Tập chuyển đổi IPSec .51 Hình 26: Các kết hợp an ninh 52 Hình 27: Kết thúc đường hầm 53 KẾT LUẬN CHUNG .55 DANH MỤC TÀI LIỆU THAM KHẢO 55 Chương 1: Giới thiệu đơn vị thực tập Nguyễn Phan Việt – Lớp: L10cqvt06 - B Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO 1.1 Giới thiệu chung mạng riêng ảo (VPN) 1.1.1 Mục đích VPN Theo tổ chức IETF mạng riêng ảo VPN định nghĩa việc tạo mạng diện rộng dùng riêng sử dụng thiết bị phương tiện truyền dẫn mạng công cộng VPN đường hầm truyền dữ liệu mạng riêng từ hệ thống đầu đến hệ thống đầu qua mạng chung mạng Internet mà không để đường truyền nhận biết có “hop” trung gian hai đầu, “hop” trung gian nhận biết chúng chuyển gói tin mạng mã hóa qua đường hầm Một ứng dụng điển hình VPN cung cấp kênh an toàn từ đầu mạng giúp cho chi nhánh hay văn phòng xa người làm việc lưu động dùng Internet truy cập tài nguyên công ty cách bảo mật thoải mái sử dụng máy tính cục mạng công ty Tuy nhiên Internet môi trường không an toàn, liệu truyền qua dễ bị truy cập bất hợp pháp nguy hiểm Vì mục đích VPN cung cấp sự bảo mật, tính hiệu độ tin cậy mạng đảm bảo cân giá thành cho toàn trình xây dựng mạng Nguyễn Phan Việt – Lớp: L10cqvt06 - B Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 1: Đường hầm Mạng VPN môi trường Internet 1.1.2 Lợi ích VPN Tiết kiệm chi phí: - VPN giúp doanh nghiệp tiết kiệm từ 50% - 70% chi phí đầu tư vào kết nối Leased Line Remote Access truyền thống, giảm đáng kể chi phí đầu tư cho hạ tầng truyền thông chi phí hàng tháng kết nối Site To Site Bảo mật: - VPN cung cấp chế độ bảo mật cao nhờ chế mã hóa tảng mạng riêng ảo (mã hóa, xác thực truy cập, xác nhận truy cập bảo mật hệ thống) - Quản lý kết nối dễ dàng thông qua tên mật truy cập vào hệ thống mạng riêng ảo mạng nội Linh hoạt: - VPN giúp việc bổ sung kết nối cho văn phòng hay người dùng thực nhanh chóng dễ dàng mà không cần phải thay đổi lớn sở hạ tầng, thiết bị - Số lượng kết nối đồng thời từ xa vào văn phòng công ty chi nhánh lớn, không hạn chế số lượng, tùy thuộc vào nhu cầu khai thác liệu có mô hình VPN phù hợp với loại hình kinh doanh doanh nghiệp Hiệu quả: - Với việc kết nối nhanh chóng, dễ dàng với chi phí thấp giúp doanh nghiệp nâng cao hiệu công việc Người dùng kết Nguyễn Phan Việt – Lớp: L10cqvt06 - B 10 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Trong giao thức quản lý khoá kết hợp an ninh Internet (ISAKMP) có nhiều kiểu trao khoá Internet (IKE) Hai Kiểu exchangesQuick Groupare thường sử dụng 2.3 IKE Giai đoạn I (Pha 1) Mục đích IKE Phase để thoả thuận tập sách IKE (IKE policy), xác thực đối tác ngang hàng, thiết lập kênh an toàn đối tác IKE Phase có hai chế độ: Chế độ (main mode) chế độ nhanh (Aggressive mode) Chế độ (main mode) có trao đổi hai chiều bên khởi tạo bên nhận: - Trao đổi thứ : Các thuật toán mật mã xác thực (sử dụng để bảo vệ trao đổi thông tin IKE) thoả thuận đối tác - Trao đổi thứ hai : Sử dụng trao đổi DH để tạo khoá bí mật chung (shared secret keys), trao đổi số ngẫu nhiên (nonces) để khẳng định nhận dạng đối tác Khoá bí mật chung sử dụng để tạo tất khoá mật mã xác thực khác - Trao đổi thứ ba : Xác minh nhận dạng (xác thực đối tác) Kết chế độ đường truyền thông an toàn cho trao đổi hai đối tác Nguyễn Phan Việt – Lớp: L10cqvt06 - B 42 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Chế độ nhanh (Aggressive mode) thực trao đổi (tất nhiên gói liệu hơn) Hầu hết thứ thực trao đổi thứ nhất: Thoả thuận tập sách IKE; tạo khoá công cộng DH; gói nhận dạng (identify packet), sử dụng để xác định nhận dạng thông qua bên thứ ba (third party) Bên nhận gửi trở lại thứ cần thiết để hoàn thành (complete) việc trao đổi Cuối bên khởi tạo khẳng định (confirm) việc trao đổi Trong VPN hai nút cho phép thiết lập kênh mã hóa, xác nhận hai nút Nút khởi tạo (hoặc người dùng từ xa) yêu cầu phiên làm việc VPN xác nhận HA tương ứng cách mixed up an toàn đàm phán IPsec thích hợp, hay giao thức tiêu đề xác thực AH Sự thoả thuận nút xác nhận mã nhận dạng Như vậy, sau pha thiết lập, hai bên biết nói chuyện với Endpoint có kênh an toàn để liên lạc Không giống pha 2, SAs phase hai chiều, SA đơn bảo vệ hai lưu lượng vào Hình 19: Một thoả thuận kiểu main mode 2.3.1 Quá trình tạo khóa (Key Generation) Quá trình tạo khóa chứng thực (Key Generation) mã hóa đặc biệt giải thuật chứng thực IKE trực tiếp không phát sinh mã hóa hay chìa khóa chứng thực Cái mà IKE làm cung cấp giải thuật Nghĩa là, giải thuật mã hóa yêu cầu 128 bít liệu để tạo khóa, IKE cung cấp liệu Nguyễn Phan Việt – Lớp: L10cqvt06 - B 43 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Khoá bảo vệ tuỳ thuộc vào giao thức quản lý khoá kết hợp an ninh Internet (ISAKMP - Internet Security Asociasion and Key Management Protocolt) với thuật toán Diffie- Hellman phối hợp, phương pháp tính xác phụ thuộc vào phương pháp chứng thực Quá trình bắt đầu với tính toán (của) số lượng SKEYID Giá trị tính toán để phân biệt rõ ràng cho toàn phương pháp chứng thực SKEYID tính toán cho phương pháp chứng thực, cách tính sau: SKEYIDd = prf (SKEYID, gxixr||CKYi||CKYr||0) SKEYIDa = prf (SKEYID, SKEYIDd||gxixr||CKYi||CKYr||1) SKEYIDe = prf (SKEYID, SKEYIDa||gxixr||CKYi||CKYr||2) SKEYID_a sử dụng trình xác thực ISAKMP SKEYID_e sử dụng trình mật mã SKEYID_d sử dụng để tạo khoá cho kết hợp an ninh không theo giao thức ISAKMP (non-ISAKMP SAs) SKEYIDe cho nhiều hàm băm Nếu chức prf HMAC- SHA1, SKEYIDe 160 bít Nếu giải thuật mã hóa yêu cầu nhiều mẩu hơn, khóa mở rộng chức prf cách thông thường K1 = prf (SKEYIDe, 0) K2 = prf (SKEYIDe, K1) Kn = prf (SKEYIDe, Kn-1) K = K1||K2|| ||Kn 2.3.2 Sự chứng thực khoá bí mật dùng chung Phương pháp chứng thực cho hai nút dùng chung mật mã có sơ đồ mật khẩu, chìa khóa Nó sử dụng có liệu đầu vào chìa khóa xuất hàm băm chứng thực Nguyễn Phan Việt – Lớp: L10cqvt06 - B 44 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 20: Kiểu Main mode với khoá dùng chung 2.3.3 Sự chứng thực với chữ ký Sự chứng thực với chữ ký vào khoá bí mật dùng chung tính toán SKEYID với hàm băm HASHi and HASHr Hình 12 cho thấy luồng thông báo kiểu Main mode với chữ ký Ở SIGi SIGr chữ ký (của) HASHi HASHr tương ứng Nguyễn Phan Việt – Lớp: L10cqvt06 - B 45 Học viện Bưu viễn thông Nguyễn Phan Việt – Lớp: L10cqvt06 - B Báo cáo thực tập tốt nghiệp 46 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 21: Kiểu chế độ Main mode với chứng thực chữ ký 2.3.4 Sự Chứng thực khóa chung Trong chứng thực mã hóa khóa, nút mã hóa Nonce trọng tải nhận dạng khoá chung Kiểu Main mode hình 13: Pr(ID) thông báo mã hóa chìa khóa chung Việc sử dụng chứng thực mã hóa chìa khóa chung tạo thêm an toàn Nguyễn Phan Việt – Lớp: L10cqvt06 - B 47 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 22: Kiểu Main mode với chứng thực chìa khóa chung 2.3.5 Sự kiểm tra chứng thực chìa khóa chung Chứng thực chìa khóa công cộng đưa lợi đảm bảo an toàn phương pháp trên, thực bốn phép tính cho khóa chung: hai mã hóa hai giải mã Tuy nhiên IKE đưa thủ tục kiểm tra chứng thực (hình14) thông báo ký pháp EKx (Y) cho ta biết IKE kiểm tra chứng thực chìa khoá chung Nguyễn Phan Việt – Lớp: L10cqvt06 - B 48 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 23: Kiểm tra chứng thực khoá chung kiểu Main mode 2.4 IKE Thực giai đoạn kiểu nhanh ( Quick mode ) 2.4.1 Chức IKE Phase Mục đích IKE Phase để thoả thuận thông số bảo mật IPSec sử dụng để bảo mật đường hầm IPSec IKE Phase thức chức sau: - Thoả thuận thông số bảo mật IPSec (IPSec security parameters), tập chuyển đổi IPSec (IPSec transform sets) - Thiết lập kết hợp an ninh IPSec (IPSec Security Associations) - Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn đường hầm - Thực trao đổi DH bổ sung (khi kết hợp an ninh SA khoá tạo ra, làm tăng tính an toàn đường hầm) IKE Phase có chế độ gọi là: Quick Mode Chế độ diễn IKE thiết lập đường hầm an toàn IKE Phase IKE Phase thoả thuận tập chuyển đổi IPSec chung, tạo khoá bí mật chung sử dụng cho thuật toán an ninh IPSec thiết lập Nguyễn Phan Việt – Lớp: L10cqvt06 - B 49 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp kết hợp an ninh SA IPSec Quick mode trao đổi nonce mà sử dụng để tạo khoá mật mã chung ngăn cản công “Replay” từ việc tạo kết hợp an ninh SA thật Hình 24: Đường hầm IPSec thiết lập Quick mode sử dụng để thoả thuận lại kết hợp an ninh SA IPSec SA IPSec cũ hết hạn Các tập chuyển đổi IPSec Mục đích cuối IKE Phase thiết lập phiên IPSec an toàn điểm đầu cuối Trước thực điều cặp điểm cuối cần thoả thuận mức độ an toàn cần thiết (ví dụ, thuật toán xác thực mật mã phiên đó) Thay phải thoả thuận giao thức riêng lẻ, giao thức nhóm thành tập, tập chuyển đổi IPSec Các tập chuyển đổi trao đổi hai phía Quick Mode Nếu tìm thấy tập chuyển đổi tương đương hai phía trình thiết lập phiên tiếp tục, ngược lại phiên bị loại bỏ Ví dụ: Router A gửi IPSec transform set 30 40 tới Router B, Router B so sánh với IPSec transform set 55 thấy tương đương với IPSec transform set 30 Router A, thuật toán xác thực mật mã tập chuyển đổi hình thành kết hợp an ninh SA Nguyễn Phan Việt – Lớp: L10cqvt06 - B 50 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 25: Tập chuyển đổi IPSec 2.4.2 Kết hợp an ninh (SA) Khi tập chuyển đổi thống hai bên, thiết bị VPN đưa thông tin vào sở liệu Thông tin bao gồm thuật toán xác thực, mật mã; địa đối tác, Chế độ truyền dẫn, thời gian sống khoá v.v Những thông tin biết đến kết hợp an ninh SA Một SA kết nối logic chiều cung cấp bảo mật cho tất lưu lượng qua kết nối Bởi hầu hết lưu lượng hai chiều nên phải cần hai SA, cho đầu vào cho đầu Nguyễn Phan Việt – Lớp: L10cqvt06 - B 51 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Hình 26: Các kết hợp an ninh Thiết bị VPN sau đánh số SA số SPI (Security Parameter Index – số thông số bảo mật) Thay gửi thông số SA qua đường hầm, phía đơn giản chèn số SPI vào ESP Header Khi bên thu nhận gói tìm kiếm địa đích SPI sở liệu SAD (Security Association database), sau xử lý gói theo thuật toán định SPI/ SPD IPSec SA tổ hợp SAD SPD SAD sử dụng để định nghĩa địa IP đối tác đích, giao thức IPSec, số SPI SPD định nghĩa dịch vụ bảo mật sử dụng cho đối tác SA, thuật toán mã hoá xác thực, mode, thời gian sống khoá Ví dụ, kết nối mạng tập đoàn tài chính, đường hầm an toàn thiết lập hai phía, đường hầm sử dụng 3DES, SHA, tunnel mode, thời hạn khoá 28800, giá trị SAD 192.168.2.1, ESD SPI 12 Còn với người sử dụng từ xa truy nhập vào e-mail đường hầm có mức bảo mật thấp thoả thuận, sử dụng DES, MD5, tunnel mode, thời hạn khoá 28800, tương ứng với SPI 39 Thời hạn (lifetime) kết hợp an ninh Nguyễn Phan Việt – Lớp: L10cqvt06 - B 52 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp Vấn đề tương đương với thời hạn mật sử dụng mật máy tính, thời hạn dài nguy an toàn lớn Các khoá SA vậy, để đảm bảo tính an toàn cao khoá SA phải thay đổi cách thường xuyên Có hai thông số cần xác định để thay đổi khoá SA: Lifetime type- Xác định kiểu tính theo số Byte hay theo thời gian truyền Duration – Xác định đơn vị tính Kbs liệu hay giây Ví dụ: lifetime 10000Kbs liệu truyền 28800s Các khoá SAs hiệu lực lifetime hết hạn có nguyên nhân bên ngoài, chẳng hạn bên ngắt đường hầm, khoá SA bị xoá bỏ Sau hoàn thành IKE Phase quick mode thiết lập kết hợp an ninh IPSec SA, lưu lượng thông tin trao đổi Host A Host B thông qua đường hầm an toàn Lưu lượng mật mã giải mã theo thuật toán xác định IPSec SA Hình 27: Kết thúc đường hầm Các kết hợp an ninh IPSec SA kết thúc bị xoá hết hạn Một SA hết hạn lượng thời gian dã hết số lượng Byte định truyền qua đường hầm Khi SA kết thúc, khoá bị huỷ Lúc IPSec SA cần thiết lập, IKE Phase thực hiện, cần thiết thoả thuận IKE Phase Một hoả thuận Nguyễn Phan Việt – Lớp: L10cqvt06 - B 53 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp thành công tạo SA khoá Các SA thiết lập trước SA cũ hết hạn để đảm bảo tính liên tục luồng thông tin 2.4.3 Các vấn đề tồn IPSec Mặc dù IPSec sẵn sàng đưa đặc tính cần thiết cho việc bảo mật VPN thông qua mạng Internet giai đoạn phát triển để hướng tới hoàn thiện Tất gói sử lý theo IPSec làm tăng kích thước gói tin phải thêm vào tiêu đề IPSec làm cho thông lượng mạng giảm xuống Điều giải cách nén liệu trước mã hóa, điều chưa chuẩn hóa IKE công nghệ chưa chứng minh Phương thức chuyển khoá tay lại không thích hợp cho mạng có số lượng lớn đối tượng di động 2.5 Kết luận chương II Trong chương cho biết trao đổi khoá internet gồm giai đoạn vai trò vị trí IPSec VPN Nguyễn Phan Việt – Lớp: L10cqvt06 - B 54 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp KẾT LUẬN CHUNG Nội dung đề tài nêu tổng quát số khái niệm mạng VPN trường hợp phổ biến mạng bị công Từ thấy việc đảm bảo an toàn liệu việc làm tối cần thiết công nghệ mạng riêng ảo VPN có giải pháp để giải vấn đề với chế truyền liệu qua đường hầm VPN mạng công cộng với giao thức bảo vệ IPSec Đề tài trình bày chi tiết hoạt động trao đổi khoá IKE giao thức bảo vệ IPSec, qua ta hiểu trình hình thành đường hầm bảo mật liệu truyền qua đường hầm giao thức IPSec Trong phạm vi trình bày nhiều mặt hạn chế, nên em chưa đề cập đến vấn đề khác VPN mạng IP Nếu có điều kiện em tiếp tục tìm hiểu kỹ vấn đề chất thuật toán bảo mật, chế định tuyến, QoS… VPN Rất mong thầy giáo tiếp tục dẫn để em thực nguyện vọng Một lần em xin gửi tới cô giáo Phan Thị Nga tận tình giúp đỡ em trình em thực tập làm báo cáo lời cảm ơn chân thành nhất! DANH MỤC TÀI LIỆU THAM KHẢO Địa web nên dẫn tới báo tham khảo Nên thêm tài liệu tiếng việt vào Addison.Wesley.VPNs.Illustrated.Tunnels.VPNs.and.IPsec.Oct.2005 Cisco.Press.The.Complete.Cisco.VPN.Configuration.Guide.Dec.2005 Nguyễn Phan Việt – Lớp: L10cqvt06 - B 55 Học viện Bưu viễn thông Báo cáo thực tập tốt nghiệp http://www.vnpt.com.vn http://www.zensoft.vn http://en.wikipedia.org http://hanoisoftware.net Nguyễn Phan Việt – Lớp: L10cqvt06 - B 56