CHƯƠNG AN TOÀN IP Giới thiệu • Lý cần IPSec – – • Có vấn đề an ninh cần giải mức thấp tầng ứng dụng • Đặc biệt hình thức công tầng IP phổ biến giả mạo IP, xem trộm gói tin An ninh mức IP đảm bảo an ninh cho tất ứng dụng • Bao gồm nhiều ứng dụng chưa có tính an ninh Các chế an ninh IPSec – – – Trần Bá Nhiệm Xác thực Bảo mật Quản lý khóa An ninh Mạng Các ứng dụng IPSec • Xây dựng mạng riêng ảo an toàn Internet – • Truy nhập từ xa an toàn thông qua Internet – • Tiết kiệm chi phí lại Giao tiếp an toàn với đối tác – • Tiết kiệm chi phí thiết lập quản lý mạng riêng Đảm bảo xác thực, bảo mật cung cấp chế trao đổi khóa Tăng cường an ninh thương mại điện tử – Trần Bá Nhiệm Hỗ trợ thêm cho giao thức an ninh có sẵn ứng dụng Web thương mại điện tử An ninh Mạng Minh họa ứng dụng IPSec Trần Bá Nhiệm An ninh Mạng Ích lợi IPSec • Tại tường lửa định tuyến, IPSec đảm bảo an ninh cho luồng thông tin vượt biên • • • • • Tại tường lửa, IPSec ngăn chặn thâm nhập trái phép từ Internet vào IPSec nằm tầng giao vận, suốt với ứng dụng IPSec suốt với người dùng cuối IPSec áp dụng cho người dùng đơn lẻ IPSec bảo vệ an ninh kiến trúc định tuyến Trần Bá Nhiệm An ninh Mạng Kiến trúc an ninh IP • • Đặc tả IPSec phức tạp Định nghĩa nhiều tài liệu – Bao gồm RFC 2401 (tổng quan kiến trúc), RFC 2402 (mô tả mở rộng xác thực), RFC 2406 (mô tả mở rộng mã hóa), RFC 2408 (đặc tả khả trao đổi khóa) – • • Các tài liệu khác chia thành nhóm Việc hỗ trợ IPSec bắt buộc IPv6, tùy chọn IPv4 IPSec cài đặt phần đầu mở rộng sau phần đầu IP – – Trần Bá Nhiệm Phần đầu mở rộng cho xác thực AH Phần đầu mở rộng cho mã hóa ESP An ninh Mạng Tổng quan tài liệu IPSec Trần Bá Nhiệm An ninh Mạng Các dịch vụ IPSec • Bao gồm – – – – Điều khiển truy nhập Toàn vẹn phi kết nối Xác thực nguồn gốc liệu Từ chối gói tin lặp • – – • Một hình thức toàn vẹn thứ tự phận Bảo mật (mã hóa) Bảo mật luồng tin hữu hạn Sử dụng hai giao thức – – Trần Bá Nhiệm Giao thức xác thực (ứng với AH) Giao thức xác thực/mã hóa (ứng với ESP) An ninh Mạng Minh hoạ cài đặt IPSec • D:\Tonghop\Microsoft\Video\Phim LAB Trần Bá Nhiệm An ninh Mạng Các liên kết an ninh • Khái niệm liên kết an ninh (SA) – Là quan hệ chiều bên gửi bên nhận, cho biết dịch vụ an ninh luồng tin lưu chuyển • Mỗi SA xác định tham số – – – • Địa IP đích Định danh giao thức an ninh Các tham số khác lưu CSDL SA (SAD) – • Chỉ mục tham số an ninh (SPI) Số thứ tự, thông tin AH ESP, thời hạn, CSDL sách an ninh (SPD) cho phép điều chỉnh mức độ áp dụng IPSec Trần Bá Nhiệm An ninh Mạng 10 Phần đầu xác thực • Đảm bảo toàn vẹn xác thực gói IP – – – • • Cho phép hệ thống đầu cuối hay thiết bị mạng xác thực người dùng ứng dụng Tránh giả mạo địa nhờ xem xét số thứ tự Chống lại hình thức công lặp lại Sử dụng mã xác thực thông báo Bên gửi bên nhận phải có khóa bí mật dùng chung Trần Bá Nhiệm An ninh Mạng 11 Khuôn dạng AH Trần Bá Nhiệm An ninh Mạng 12 Chế độ giao vận đường hầm Trần Bá Nhiệm An ninh Mạng 13 Phần đầu ESP • • • Đảm bảo bảo mật nội dung bảo mật luồng tin hữu hạn Có thể cung cấp dịch vụ xác thực giống với AH Cho phép sử dụng nhiều giải thuật mã hóa, phương thức mã hóa, cách độn khác – – – Trần Bá Nhiệm DES, 3DES, RC5, IDEA, CAST, CBC, Độn cho tròn kích thước khối, kích thước trường, che dấu lưu lượng luồng tin An ninh Mạng 14 Khuôn dạng ESP Trần Bá Nhiệm An ninh Mạng 15 Giao vận đường hầm ESP • Chế độ giao vận ESP dùng để mã hóa có thêm chức xác thực liệu IP – – – • Chỉ mã hóa liệu không mã hóa phần đầu Dễ bị phân tích lưu lượng hiệu Áp dụng cho truyền tải hai điểm cuối Chế độ đường hầm mã hóa toàn gói tin IP – – Trần Bá Nhiệm Phải bổ xung phần đầu cho bước chuyển Áp dụng cho mạng riêng ảo, truyền tải thông qua cầu nối An ninh Mạng 16 Kết hợp liên kết an ninh • • Mỗi SA cài đặt hai giao thức AH ESP Để cài đặt hai cần kết hợp SA với – – • Có thể kết thúc điểm cuối khác giống Kết hợp theo cách – – • Tạo thành gói liên kết an ninh Gần với giao vận Tạo đường hầm theo nhiều bước Cần xem xét thứ tự xác thực mã hóa Trần Bá Nhiệm An ninh Mạng 17 Ví dụ kết hợp SA Trần Bá Nhiệm An ninh Mạng 18 Quản lý khóa • • Có chức sản sinh phân phối khóa Hai bên giao tiếp với nói chung cần khóa – • Mỗi chiều cần khóa: cho AH, cho ESP Hai chế độ quản lý khóa – Thủ công • • – Thích hợp với môi trường nhỏ tương đối tĩnh Tự động • • • Trần Bá Nhiệm Quản trị hệ thống khai báo khóa thiết lập cấu hình Cho phép tạo khóa theo yêu cầu cho SA Thích hợp với hệ phân tán lớn có cấu hình thay đổi Gồm thành phần Oakley ISAKMP An ninh Mạng 19 Oakley • • Là giao thức trao đổi khóa dựa giải thuật Diffie-Hellman Bao gồm số cải tiến quan trọng – Sử dụng cookie để ngăn công gây tải • Cookie cần phụ thuộc vào bên giao tiếp, sinh bên khác với bên sinh cookie, sinh kiểm tra cách nhanh chóng – – – Trần Bá Nhiệm Hỗ trợ việc sử dụng nhóm với tham số Diffie-Hellman khác Sử dụng giá trị nonce để chống công lặp lại Xác thực trao đổi Diffie-Hellman để chống công người An ninh Mạng 20 ISAKMP • • • Viết tắt Internet Security Association and Key Management Protocol Cung cấp cấu cho việc quản lý khóa Định nghĩa thủ tục khuôn dạng thông báo cho việc thiết lập, thỏa thuận, sửa đổi, hủy bỏ liên kết an ninh • Độc lập với giao thức trao đổi khóa, giải thuật mã hõa, phương pháp xác thực Trần Bá Nhiệm An ninh Mạng 21 Các khuôn dạng ISAKMP Trần Bá Nhiệm An ninh Mạng 22 ... có tính an ninh Các chế an ninh IPSec – – – Trần Bá Nhiệm Xác thực Bảo mật Quản lý khóa An ninh Mạng Các ứng dụng IPSec • Xây dựng mạng riêng ảo an toàn Internet – • Truy nhập từ xa an toàn thông... bí mật dùng chung Trần Bá Nhiệm An ninh Mạng 11 Khuôn dạng AH Trần Bá Nhiệm An ninh Mạng 12 Chế độ giao vận đường hầm Trần Bá Nhiệm An ninh Mạng 13 Phần đầu ESP • • • Đảm bảo bảo mật nội dung bảo. .. cho giao thức an ninh có sẵn ứng dụng Web thương mại điện tử An ninh Mạng Minh họa ứng dụng IPSec Trần Bá Nhiệm An ninh Mạng Ích lợi IPSec • Tại tường lửa định tuyến, IPSec đảm bảo an ninh cho