Các tổ chức, công ty… khi trao đổi dữ liệu giữa các máy tính từ Hội sở chính đến các chi nhánh đều có yêu cầu phải bảo mật dữ liệu của mình không để lọt ra ngoài. Sử dụng đường truyền kết nối trực tiếp (leased line) là một biện pháp hữu hiệu để thực hiện điều đó, tuy nhiên giá thành của biện pháp này quá cao và việc truyền thông lại không được linh hoạt như truyền thông qua Internet. Để giải quyết vấn đề này, hiện nay phương án thương mại được lựa chọn nhiều là tạo một mạng riêng ảo VPN (Virtual Private Network) dựa trên cơ sở của giao thức Internet an toàn. Giao thức TCPIP đóng một vai trò rất quan trọng trong các hệ thống thông tin hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCPIP, TPXSPX, NetBEUI, Apple talk,… Tuy nhiên TCPIP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet. IP Security (IPSec) được thiết kế như phần mở rộng của giao thức TCPIP, được thực hiện thống nhất trong cả hai phiên bản TCPIPv4 và TCPIPv6. Đối với TCPIPv4, việc áp dụng IPSec là một tuỳ chọn cho người dùng có thể hoặc không sử dụng. Tuy nhiên, đối với TCPIPv6, giao thức bảo mật này được triển khai bắt buộc.
Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu MỤC LỤC BẢNG CÁC KÝ TỰ VIẾT TẮT KÝ TỰ VIẾT ĐẦY ĐỦ OSI Open Systems Interconnection Reference Model VPN Virtual Private Network TCP Transmission Control Protocol UDP User Datagram Protocol IP Internet Protocol IPSec Internet Protocol Security IEFT Internet Engineering Task Force SSL Secure Sockets Layer TLS Transport Layer Security SSH Secure Shell Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu PHẦN I : GIỚI THIỆU IPSEC I TỔNG QUAN Các tổ chức, công ty… trao đổi liệu máy tính từ Hội sở đến chi nhánh có yêu cầu phải bảo mật liệu không để lọt Sử dụng đường truyền kết nối trực tiếp (leased line) biện pháp hữu hiệu để thực điều đó, nhiên giá thành biện pháp cao việc truyền thông lại không linh hoạt truyền thông qua Internet Để giải vấn đề này, phương án thương mại lựa chọn nhiều tạo mạng riêng ảo VPN (Virtual Private Network) dựa sở giao thức Internet an toàn Giao thức TCP/IP đóng vai trò quan trọng hệ thống thông tin Về nguyên tắc, có nhiều tùy chọn khác giao thức để triển khai hệ thống mạng TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP lựa chọn gần bắt buộc giao thức sử dụng làm giao thức tảng mạng Internet IP Security (IPSec) thiết kế phần mở rộng giao thức TCP/IP, thực thống hai phiên TCP/IPv4 TCP/IPv6 Đối với TCP/IPv4, việc áp dụng IPSec tuỳ chọn cho người dùng không sử dụng Tuy nhiên, TCP/IPv6, giao thức bảo mật triển khai bắt buộc II KHÁI QUÁT CHUNG VỀ IPSEC Định nghĩa IP Security (IPSec) giao thức chuẩn hoá IETF (Internet Engineering Task Force – Lực lượng quản lý kỹ thuật) từ năm 1998 nhằm mục đích nâng cấp chế mã hoá xác thực thông tin cho chuỗi thông tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu tính toàn vẹn liệu chứng thực liệu thiết bị mạng IPSec cung cấp cấu bảo mật tầng (Network layer) mô hình OSI Giao thức IPSec làm việc tầng Network Layer – layer mô hình OSI Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng tới tầng mô hình OSI) Điều tạo tính mềm dẻo cho IPSec, giao thức hoạt động từ tầng với TCP, UDP, hầu hết giao thức sử dụng tầng Application Layer Presentation Layer Section Layer Transport Layer Network Layer IPSec DataLink Layer Physical Layer Hình 1: IPSec mô hình OSI Hình 2: Cấu trúc IPSec Cơ cấu bảo mật IPSec IPSec định nghĩa giao thức tầng mạng cung cấp dịch vụ bảo mật, nhận thực, toàn vẹn liệu điều khiển truy cập Nó tập hợp tiêu chuẩn mở làm việc phần thiết bị IPSec triển khai sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trình truyền, phương thức xác thực thiết lập thông số mã hoá IPSec cung cấp khả xác thực (authentication), bí mật, toàn vẹn thông tin, quản lý truy cập, chống công phân tích luồng liệu, nói chung có khả nhận dạng gói liệu vào mã hóa gói liệu mạng cục Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu IPSec chuỗi giao thức nhằm bảo vệ truyền thông qua giao thức Internet (IP) cách xác thực mã hóa gói tin IP phiên giao dịch IPSec bao gồm giao thức nhằm thiết lập xác thực lẫn đối tác khởi đầu phiên thương lượng để thỏa thuận khóa mật mã dùng cho phiên giao dịch IPSec sơ đồ bảo vệ an ninh thiết bị đầu cuối hoạt động tầng Internet chuỗi giao thức Internet Nó sử dụng để bảo vệ luồng liệu hai máy khách (host-to-host) hai mạng (network-tonetwork) mạng máy khách (network-to-host) Một số hệ thống an ninh khác sử dụng rộng rãi SSL, TLP, SSH hoạt động tầng mô hình TCP/IP IPSec hoạt động phía tầng ứng dụng suốt (transparent) người sử dụng Vì IPSec bảo vệ cho truyền thông ứng dụng qua mạng IP: E-mail, trình duyệt web, file truyền nói chung truyền thông điện tử máy tính với máy tính khác có cài đặt IPSec Các ứng dụng không cần phải thiết kế đặc biệt để sử dụng IPSec, muốn sử dụng TLS/SSL, người ta phải thiết kế thành ứng dụng riêng để bảo vệ giao thức ứng dụng Các giao thức thường gặp làm việc với IPSec Các giao thức thường gặp làm việc với IPSec gồm - IPSec (IP Security Protocol): giao thức cung cấp traffic security o Authentication Header (AH) o Encapsulating Security Payload (ESP) - Message Encrytion o Data Encrytion Standard (DES) o Triple DES (3DES) - Message Integrity (Hash) Function o Hash-based Message Authentication Code (HMAC) Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu o Message Digest (MD5) o Secure Hash Algorithm-1 (SHA-1) - Peer Authentication o Revset, Shamir, and Adelman (RSA) Digital Signatures o RSA Encrypted Nonces - Key Management o Deffie- Hellman (D-H) o Certificate Authority (CA) - Security Association o Internet Key Exchange (IKE) o Internet Security Association and Key Management Protocol (ISAKMP) Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu PHẦN II : KIẾN TRÚC VÀ HOẠT ĐỘNG IPSEC I CHẾ ĐỘ HOẠT ĐỘNG IPSec thực theo chế độ “vận chuyển” từ máy khách đến máy khách đồng thời thực theo kiểu “đường ống” mạng máy tính Chế độ vận chuyển (Transport mode) Trong chế độ vận chuyển, thông thường có phần đóng gói (tức liệu truyền đi) gói tin IP mã hóa hay nhận dạng Tuyến đường vận chuyển không thay đổi tiêu đề gói tin IP không bị thay đổi mà không bị mã hóa, nhiên, sử dụng tiêu đề xác thực địa IP phiên dịch ảnh hưởng đến giá trị băm Các tầng giao vận tầng ứng dụng bảo vệ an toàn hàm băm, chúng thay đổi (chẳng hạn cách phiên dịch số hiệu cổng) Chế độ vận chuyển sử dụng cho truyền thông từ máy khách đến máy khách Một phương tiện đóng gói thông điệp IPSec dùng phần mềm biến đổi địa mạng NAT (Network Address Translation) định nghĩa tài liệu RFC, mô tả chế NAT-T Chế độ đường ống (Tunnel mode) Trong chế độ đường ống, toàn gói tin IP mã hóa và/hoặc nhận dạng Khi ta đóng gói thành gói tin IP với tiêu đề IP Chế độ đường ống dùng để tạo mạng riêng ảo VPN (Virtual Private Network) sử dụng truyền thông từ mạng máy tính đến mạng máy tính (nghĩa định tuyến để kết nối miền thông tin), truyền thông máy khách đến mạng máy tính (nghĩa truy cập người sử dụng xa) truyền thông máy khách đến Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu máy khách (nghĩa hội thoại cá nhân: chat) Chế độ đường ống hỗ trợ NAT Có hai mode thực IPSec là: Transport mode tunnel mode Hình :IPSec chế độ Tunnel mode Transport mode Hình 4: Cấu trúc gói tin IPSec chế độ Transport Mode Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu Hình 5: Cấu trúc gói tin IPSec chế độ Tunnel Mode Hình 6: Hai chế độ transport mode Tunnel Mode II KIẾN TRÚC IPSEC Authentication Header (AH) Một thành phần chuỗi giao thức IPSec protocol suite Authentication Headers AH đảm bảo toàn vẹn thông tin liên tục kiểm tra địa nguồn gói tin IP Ngoài bảo vệ chống kiểu Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu công lặp lại (replay attacks) cách dùng kỹ thuật “cửa sổ trượt” kỹ thuật “dập” tất gói tin cũ Trong IPv4, AH bảo vệ gói IP trường tiêu đề thông điệp trừ trường thường có biến đổi Các trường tiêu đề có biến đổi là: DSCP/TOS, ECN, Flags, Fragment Offset, TTL Header Checksum Trong IPv6, AH tự bảo vệ nó, bảo vệ tiêu đề mở rộng mục tiêu đến (Destination Options) sau AH, gói tin IP Nó bảo vệ tiêu đề IPv6 cố định tiêu đề mở rộng trước AH ngoại trừ tiêu đề có thay đổi DSCP ECN, Flow Label Hop Limit AH hoạt động trực tiếp đỉnh IP, sử dụng giao thức IP số hiệu 51 Các modes thực Hình 7: Sơ đồ gói AH Ý nghĩa phần: Next Header (8 bit): Tiêu đề Nhóm – Lớp Hệ thống thông tin M16CQIS01-B Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu Kiểu tiêu đề kế tiếp, giao thức tầng bảo vệ Giá trị lấy từ bảng liệt kê số hiệu giao thức IP Payload Len (8 bit) Độ dài tiêu đề xác thực (Authentication Header) tính theo đơn vị 4octet trừ (một giá trị octets, 12 octets, v.v.) Mặc dù kích thước đo theo đơn vị 4-octet, độ dài tiêu đề cần phải bội số octets mang gói tin IPv6 Điều không cần thiết gói tin IPv4 Reserved (16 bit): Dự trữ Dự trữ sử dụng sau (mọi số lúc đó) Security Parameters Index (32 bit): Chỉ số tham số an ninh Một giá trị tùy chọn sử dụng với địa nguồn IP đề nhận dạng tổ hợp an ninh (security association) phía gửi thông điệp Sequence Number (32 bit): Số hiệu chuỗi Một dãy đơn điệu tăng ngặt nhằm ngăn ngừa công lặp lại Integrity Check Value (multiple of 32 bit): Giá trị kiểm tra tính toàn vẹn Một giá trị có độ dài thay đổi, chứa dãy để triển khai trường có biên 8-octet IPv6 trường có biên 4-octet IPv4 Encapsulating Security Payload (ESP) ESP (Encapsulating Security Payloads) cung cấp khả bảo mật, khả xác thực nguồn liệu, kiểm tra tính toàn vẹn, dịch vụ chống công lặp lại ESP thành phần dãy giao thức IPSec Trong IPSec, ESP tạo chức xác thực nguồn, toàn vẹn, bảo vệ bí 10 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 10 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu mật riêng tư cho gói tin ESP hỗ trợ cấu hình “chỉ mã hóa” “chỉ giải mã” hành động mã hóa mà nhận dạng khuyến cáo không nên sử dụng an toàn Không giống AH, ESP dùng chế độ “vận chuyển” (Transport mode) không cung cấp khả bảo vệ toàn vẹn nhận dạng cho toàn gói IP Tuy nhiên kiểu “đường ống” (Tunnel mode) mà toàn gói tin TP gốc đóng gói lại gắn tiêu đề thêm vào ESP bảo vệ cho tất gói tin IP bên (kể tiêu đề bên trong) tiêu đề bên không bảo vệ ESP hoạt động đỉnh IP, sử dụng số hiệu IP 50 Hình 8: Sơ đồ gói ESP 11 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 11 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu Hình 9: Sơ đồ gói ESP Ý nghĩa phần: Security Parameters Index (32 bit): Chỉ số tham số an ninh Đây giá trị tùy ý chọn sử dụng (cùng với địa nguồn IP) để nhận dạng tổ hợp an ninh phía gửi tin Sequence Number (32 bit): Số hiệu chuỗi Là dãy số đơn điệu tăng (với gói tin gửi tăng thêm 1) nhằm chống kiểu công lặp lại Có đếm riêng cho tổ hợp an ninh Payload data (biến thiên): Dữ liệu đóng gói Nội dung bảo vệ gói tin IP gốc, bao gồm liệu sử dụng để bảo vệ nội dung (tức “Véc-tơ khởi đầu” thuật toán mã hóa) Loại nội dung bảo vệ rõ trường tiêu đề 12 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 12 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu Padding (0-255 octets): Lớp đệm Lớp đệm dùng cho mã hóa nhằm để mở rộng liệu đóng gói đạt đến kích thước phù hợp với khối mã hóa vừa với kích thước trường Pad Length (8 bit): Độ dài đệm Kích thước lớp đệm tính theo đơn vị octet Next Header (8 bits): Tiêu đề Kiểu tiêu đề Giá trị lấy danh sách số hiệu giao thức IP Value (Bội số 32 bit): Giá trị Giá trị kiểm tra độ dài biến thiên Nó có lớp đệm trường Liên kết bảo mật 3.1 Tổ hợp an ninh (SA) Tổ hợp an ninh SA (Security associations): Cung cấp gói thuật toán liệu sản sinh tham số cần thiết để kích hoạt hoạt động AH ESP Internet Security Association Key Management Protocol (ISAKMP) tạo nên khung cho hoạt động xác thực trao đổi khóa với công cụ phổ biến Internet Key Exchange (IKE and IKEv2), Kerberized Internet Negotiation of Keys (KINK), IPSecKEY DNS records Kiến trúc IPSec sử dụng quan điểm “tổ hợp an ninh” làm sở cho việc xây dựng hàm an ninh vào IP Một tổ hợp an ninh đơn giản gói gồm thuật toán tham số (như khóa) dùng để mã hóa nhận dạng luồng thông tin cụ thể theo hướng Do vậy, lưu thông hai chiều thông thường, luồng lưu thông đảm bảo an ninh cặp tổ hợp an ninh 13 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 13 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu Các tổ hợp an ninh thiết lập cách dùng Tổ hợp an ninh Internet Giao thức quản lý khóa (ISAKMP) ISAKMP trang bị cấu hình thủ công với bí mật trao đổi trước Trao đổi khóa Internet - Internet Key Exchange (IKE and IKEv2), Thương lượng khóa Internet Kerberos - Kerberized Internet Negotiation of Keys (KINK), sử dụng IPSecKEY ghi DNS Để định dạng bảo vệ cung cấp cho gói tin gửi đi, IPSec sử dụng số tham số an ninh SPI (Security Parameter Index), số cho sở liệu tổ hợp an ninh SADB (Security Association Database), đồng thời với địa đích tiêu đề gói tin Một quy trình tương tự dùng để bảo vệ gói tin đến, IPSec thu thập khóa giải mã xác thực từ sở liệu tổ hợp an ninh Khi giao dịch với nhóm nhiều đối tác, tổ hợp an ninh cung cấp cho nhóm gửi đến cho người nhận tin nhóm Có thể dùng SPI để cấp cho đối tác nhóm số tổ hợp an ninh nhiều làm tăng mức độ an ninh nội nhóm Thật vậy, người gửi tin nhóm có nhiều tổ hợp an ninh để nhận dạng đối tác người nhận tin biết có người biết khóa gửi tin cho 3.2 Cơ sở liệu sách an toàn SPD SPD (Security Policy Data: số liệu sách an toàn): chứa sách người sử dụng định nghĩa: dịch vụ an ninh, mức độ cung cấp cho gói Bao gồm danh sách quy tắc : : - Các chọn: địa IP, cổng TCP/UDP … - Các hành động: + Loại bỏ; + Bỏ qua IPSec; - Áp dụng IPSec cách đặc tả: 14 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 14 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu + Các dịch vụ IP, giao thức giải thuật; + Con trỏ đến mục tương ứng với SA tích cực SAD; + Chức lọc gói (tường lửa); 3.3 Số liệu liên kết an ninh SAD Số liệu liên kết an ninh SAD (Security Association Data) chứa tất trạng thái liên kết an ninh (SA) tích cực: - SA đến: SPI cho hướng gói - SA đi: chứa địa IP, cổng TCP/UPD, … - Được cấu trúc nhân công qua quản lý khóa (IKE) Implementations - thực 4.1 Giao thức trao đổi chìa khoá Inernet ( IKE ) Bộ IPSec đưa khả : tính xác nhận tính toàn vẹn liệu( data authentication and integrity) cẩn mật cung cấp hai giao thức giao thức IPSec AH ESP IPSec dùng giao thức thứ ba Internet Exchange Key (IKE) thực tính thứ ba quản lý khóa để thỏa thuận giao thức bảo mật thuật toán mã hóa trước suốt trình giao dịch IKE SA trình hai chiều cung cấp kênh giao tiếp bảo mật hai bên IKE SA nhận cookies bên khởi tạo, theo sau cookies trả lời phía đối tác Thứ tự cookies thiết lập phase1 tiếp tục IKE SA, bất chấp chiều Chức chủ yếu IKE thiết lập trì SA Các thuộc tính sau mức tối thiểu phải thống hai bên phần ISAKMP SA: • Thuật toán mã hóa 15 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 15 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu • Thuật giải băm sử dụng • Phương thức xác thực dùng • Thông tin nhóm giải thuật IKE thực trình dò tìm , trình xác thực, quản lý trao đổi khóa IKE dò tìm hợp đồng hai đầu cuối IPSec sau SA theo dõi tất thành phần phiên làm việc IPSec Sau dò tìm thành công, thông số SA hợp lệ lưu trữ sở liệu SA IPSec thực nhân với trình quản lý key trình thương lượng bảo mật ISAKMP/IKE từ người dùng Tuy nhiên chuẩn giao diện cho quản lý key, điều khiển nhân IPSec Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao khóa, cần phải có chế quản lý khóa Có phương thức chuyển khóa: • Chuyển khóa tay • Chuyển khóa Internet IKE- Internet Key Exchange Đối với mạng có vài VPN peer, thực việc phân bố khóa tay Còn mạng lớn cần phải có phương thức quản lý kiểm soát khóa tự động Giao thức quản lý chuyển giao khóa mặc định IPSec IKE IKE kết kết hợp bảo mật ISA- Internet Security Association giao thức chuyển giao khóa ISAKMP IKE có tên gọi khác ISAKMP/Oakley IKE có khả sau: • Cung cấp phuơng tiện cho bên thỏa thuận sử dụng giao thức, giải thuật khóa 16 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 16 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu • Đảm bảo từ lúc đầu truyền thông đối tượng • Quản lý khóa sau chúng chấp nhận tiến trình thỏa thuận • Đảm bảo khóa chuyển cách bảo mật 4.2 Các chế độ pharse IKE Hoạt động IKE gồm giai đoạn: Giai đoạn 1- Pharse 1: thiết lập đường hầm bảo mật cho hoạt động ISAKMP Giai đoạn 2- Pharse 2: tiến trình đàm phán mục đích SA Hình 10: Các pharse IKE Trong phiên làm việc IKE, giả sử có kênh bảo mật thiết lập sẵn Kênh bảo mật phải thiết lập trước có thỏa thuận xảy IKE Modes IKE có chế độ chuyển khóa cài đặt ISAKMP giao thức Oakley qui định cho giai đoạn: 17 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 17 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu • Chế độ (main mode): hoàn thành giai đoạn IKE sau thiết lập kênh bảo mật • Chế độ động (Aggressivemode): tương tự main mode, đơn giản nhanh truyền nhận dạng bảo mật cho tất nút trước đàm phán kênh bảo mật • Chế độ nhanh (quick mode): hoàn thành giai đoạn IKE cách đàm phán SA cho mụch đích việc truyền thông • Chế độ nhóm (new group mode): chế độ không thật thuộc giai đoạn hay giai đoạn Chế độ nhóm theo sau đàm phán giai đoạn đưa chế định nghĩa nhóm riêng cho chuyển giao Diffie-Hellman Để thiết lập bảo mật IKE cho nút, host hay cổng nối cần yếu tố: • Một giải thuật mã hóa để bảo mật liệu • Một giải thuật băm để giảm liệu cho báo hiệu • Một phương thức xác thực cho báo hiệu liệu • Thông tin nhóm làm việc qua tổng đài V ƯU ĐIỂM VÀ NHƯỢC ĐIỂM CỦA IPSEC Ưu điểm - Khi IPSec triển khai tường lửa định tuyến mạng riêng tính an toàn IPSec áp dụng cho toàn vào mạng riêng mà thành phần khác không cần phải xử lý thêm công việc liên quan tới bảo mật 18 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 18 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu - IPSec thực bên lớp TCP UDP, đồng thời hoạt động suốt lớp Do không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ IPSec triển khai - IPSec cấu hình để hoạt động cách suốt ứng dụng đầu cuối, điều giúp che dấu chi tiết cấu hình phức tạp mà ngưới dung phải thực kết nối đến mạng nội từ xa thông qua internet Nhược điểm - Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kĩ thuật nghiên cứu chưa chuẩn hóa - IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác - Việc tính toán nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu - Việc phân phối phần cứng phầm mềm mật mã bị hạn chế phủ số quốc gia 19 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 19 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu PHẦN III: ỨNG DỤNG IPSEC XÂY DỰNG MẠNG RIÊNG ẢO (VPN) VPN gì? Mạng riêng ảo định nghĩa kết nối mạng triển khai sở hạ tầng mạng công cộng với sách quản lý bảo mật giống mạng cục Mạng riêng ảo mở rộng phạm vi mạng LAN mà không bị hạn chế mặt địa lý Các hãng thương mại dùng VPN để cung cấp quyền truy nhập mạng cho người dùng di động từ xa, kết nối chi nhánh phân tán thành mạng cho phép sử dụng từ xa trình ứng dụng dựa dịch vụ công ty Mô hình VPN - Mô hình dựa khách hàng (Customer-based) - mô hình chồng lấn (overlay): VPN cấu hình thiết bị khách hàng sử dụng giao thức đường hầm xuyên qua mạng công cộng Nhà cung cấp dịch vụ bán mạch ảo site khách hàng đường kết nối thuê riêng (leased line) - Mô hình dựa mạng - mô hình ngang hàng hay ngang cấp (peer-topeer): VPN cấu hình thiết bị nhà cung cấp dịch vụ quản lý nhà cung cấp dịch vụ Nhà cung cấp dịch vụ khách hàng trao đổi thông tin định tuyến lớp 3, sau nhà cung cấp đặt liệu từ site khách hàng vào đường tối ưu mà không cần có tham gia khách hàng Phân loại VPN theo ứng dụng - VPN truy nhập từ xa (Remote Access VPN); - VPN điểm tới điểm (Site-to-Site VPN) Trong mạng VPN điểm tới điểm lại chia thành hai loại là: + VPN cục (Intranet VPN); + VPN mở rộng (Extranet VPN) 20 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 20 Báo cáo môn An toàn thông tin ADSL Hướng dẫn: TS Hoàng Xuân Dậu POP Internet POP Hình 11: VPN truy nhập từ xa Hình 12: VPN mở rộng Ứng dụng VPN LAN to LAN dùng IPSec Tunnel Ngày với công nghệ VPN, doanh nghiệp kết nối chi nhánh với cách an toàn chi phí rẻ mà không cần phải thuê Lease Line, nhiên việc cấu hình trên router tương đối phức tạp đòi hỏi người quản trị phải có trình độ định đào tạo chuyên nghiệp Nắm bắt điều đó, số nhà phát triển hạ tầng (DrayTek , Cisco…) phát triển tích hợp IPSec Tunnel dòng router mình, hỗ trợ cho người sử dụng dễ cấu hình, dễ sử dụng, an toàn, bảo mật hiệu cao 21 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 21 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu PHẦN IV : KẾT LUẬN Như chuẩn, IPSec nhanh chóng trở thành phương pháp đánh giá cao để bảo mật thông tin mạng TCP/IP Được thiết kế để hỗ trợ nhiều lược đồ mã hóa xác thực tính tương giao nhiều giao dịch, IPSec thay đổi để thích hợp với yêu cầu bảo mật tổ chức lớn hay nhỏ Các công nghiệp dựa công nghệ liên mạng để liên lạc với đối tác làm ăn có lợi nhờ vào lược đồ xác thực mã hóa mềm dẻo IPSec; tổ chức lớn có lợi nhờ tính mở rộng khả quản lý tập trung IPSec; công ty có lợi từ khả tạo mạng riêng ảo IPSec để hỗ trợ nhân viên làm việc từ xa, nhân viên hay công tác văn phòng chi nhánh truy nhập vào công ty qua Internet Kiến trúc Giao thức An toàn Internet (Internet Security Protocol Architecture) thiết kế với dự kiến tương lai, nhận ủng hộ xứng đáng từ cộng đồng tin học người làm công tác bảo mật Những đánh giá gần nhà sản xuất lớn Cisco Systems, việc thiết lập chương trình chứng thực hợp tác thông qua Hiệp hội an toàn máy tính giới (International Computer Security Association) dấu hiệu rõ ràng IPSec (Internet Security Protocol Architecture)) phát triển đường trở thành chuẩn công nghiệp cho truyền thông giao dịch thương mại kỷ 21 Với lượng kiến thức hạn hẹp, nhóm học viên tham khảo tài liệu mạng Internet số tài liệu giáo viên cung cấp Việc thiếu sót trình tìm hiểu, biên tập khó tránh phải Rất mong quan tâm, điều chỉnh giáo viên hướng dẫn để báo cáo môn học nhóm hoàn thiện 22 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 22 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu Nhóm xin trân thành cảm ơn bảo, hướng dẫn, giúp đỡ thầy Nguyễn Xuân Dậu - giáo viên giảng dạy tận tình bảo; bạn học viên lớp giúp đỡ để hoàn thành tập lớn tiến độ thời gian 23 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 23 Báo cáo môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu TÀI LIỆU THAM KHẢO [1] The Complete Cisco VPN Configuration Guide – Richard Deal [2] IPSec Encapsulating Security Payload ESP - http://www.tcpipguide.com [3] IPSec-modes - http://www.firewall.cx/networking-topics/protocols [4] Iguide-IPSec - http://www.unixwiz.net/techtips [4] Draytec-IPSec - http://www http://www.draytek.com/ 24 Nhóm – Lớp Hệ thống thông tin M16CQIS01-B 24 ... Layer Network Layer IPSec DataLink Layer Physical Layer Hình 1: IPSec mô hình OSI Hình 2: Cấu trúc IPSec Cơ cấu bảo mật IPSec IPSec định nghĩa giao thức tầng mạng cung cấp dịch vụ bảo mật, nhận... môn An toàn thông tin Hướng dẫn: TS Hoàng Xuân Dậu - IPSec thực bên lớp TCP UDP, đồng thời hoạt động suốt lớp Do không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ IPSec triển khai - IPSec. .. để bảo vệ giao thức ứng dụng Các giao thức thường gặp làm việc với IPSec Các giao thức thường gặp làm việc với IPSec gồm - IPSec (IP Security Protocol): giao thức cung cấp traffic security o