Đang tải... (xem toàn văn)
báo cáo môn học tùy chọn. Khoa kỹ thuật viễn thông. Bộ môn AN NINH MẠNG VIỄN THÔNG. Chuyên đề ứng dụng IPSec trong mobile ip. Trường Đại Học Thông Tin Liên LạcKhoa Kỹ Thuật Viễn Thông. Báo cáo nhóm kết thúc môn an ninh mạng. Dưới sự hướng dẫn của thầy Chu Tiến Dũng cùng sự hợp tác của các bạn trong nhóm đẫ mang lại kể quả tốt cho buổi báo cáo kết thúc môn học vàu qua kết thúc tốt đẹp.
TRƯỜNG ĐẠI HỌC THÔNG TIN LIÊN LẠC KHOA KĨ THUẬT VIỄN THÔNG BÁO CÁO AN NINH MẠNG VIỄN THÔNG Lớp: ĐHVT1B NHÓM NhaTrang, tháng 12 năm 2017 NHÓM ĐHVT1B TRƯỜNG ĐẠI HỌC THÔNG TIN LIÊN LẠC KHOA KĨ THUẬT VIỄN THÔNG BÁO CÁO AN NINH MẠNG VIỄN THÔNG Đề tài:Ứng Dụng IPSEC Mobile IP Lớp: ĐHVT1B NHÓM Giảng Viên:Thầy Chu Tiến Dũng Sinh Viên Thực Hiện:Nguyễn Thị Thu Hiền Võ Thị Diễm Phúc Hán Xuân Diêm LỜI NÓI ĐẦU Trong xã hội phát triển nay, với ngành công nghệ Điện tử thay đổi theo ngày, nhu cầu trao đổi nắm bắt thông tin vơ quan trọng Các hình thức trao đổi thông tin ngày đa dạng, phong phú đòi hỏi chất lượng cao Một đất nước muốn phát triển việc phát triển sở hạ tầng việc thông tin liên lạc quốc gia tối quan trọng Và với nước ta không ngoại lệ, Internet thông tin di động hai yếu tố phát triển mang tính chất tồn cầu Cùng với thông tin quan trọng, dịch vụ công nghệ điện tử thường triển khai nhanh chóng mạng Internet Do với thiết bị thơng tin di động việc kết nối Internet cần thiết Trong khuôn khổ báo cáo em tập trung nghiên cứu IPSec ứng dụng IPSec mobile nói riêng thơng tin nói chung Chương 1: Tổng quan IPSec Chương 2: Tổng quan Mobile IP Chương 3: Ứng dụng IPSec Mobile BÁO CÁO TIÊU LUẬN GVHD:CHU TIẾN DŨNG CHƯƠNG 1: TỔNG QUAN VỀ IP SEC I Khái niệm 1.1Khái niệm IPSec - Giao thức TCP/IP đóng vai trò quan trọng hệ thống Về nguyên tắc, có nhiều tùy chọn khác giao thức để triển khai hệ thống mạng TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP lựa chọn gần bắt buộc giao thức sử dụng làm giao thức tảng mạng Internet - Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật quan tâm, đó, giao thức TCP/IP không trang bị giao thức Cấu trúc gói liệu (IP, TCP,UDP giao thức ứng dụng) mô tả cơng khai, bắt gói IP mạng, phân tích gói để đọc phần liệu chứa bên trong, chưa kể nay, cơng cụ bắt phân tích gói xây dựng với NHÓM ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG tính mạnh phát hành rộng rãi.Việc bổ sung chế bảo mật vào mô hình TCP/IP, giao thức IP nhu cầu cấp bách - IP Security (IPSec) giao thức chuẩn hoá IETF từ năm 1998 nhằm mục đích nâng cấp chế mã hố xác thực thông tin cho chuỗi thông tin truyền mạng giao thức IP Hay nói cách khác, IPSec tập hợp chuẩn mở thiết lập để đảm bảo cẩn mật liệu, đảm bảo tính tồn vẹn liệu chứng thực liệu thiết bị mạng - IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI - IPSec thiết kế phần mở rộng giao NHÓM ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc 1.2 Kiến trúc IPSec: IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác mật mã, xác thực, trao đổi khoá… Xét mặt kiến trúc, IPSec xây dựng dựa thành phần sau đây, thành phần định nghĩa NHÓM ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG tài liệu riêng tương ứng: NHÓM ĐHVT1B BÁO CÁO TIỂU LUẬN NHÓM GVHD:CHU TIẾN DŨNG ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG - Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPSec - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPSec - Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triển khai IPSec, người sử dụng chọn dùng ESP AH, giao thức có ưu nhược điểm riêng - Thuật toán mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng - Thuật toán xác thực: Định nghĩa thuật toán xác thực thông tin sử dụng AH ESP - Quản lý khố (RFC 2408): Mơ tả chế quản lý trao đổi khoá IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt NHÓM ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP ngun thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần: -Giao thức đóng gói, gồm AH ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange) 1.3 Các dịch vụ IPSec Quản lý truy xuất (access control) Toàn vẹn liệu chế độ không kết nối (connectionless integrity) Xác thực nguồn gốc liệu (data origin authentication ) Chống phát lại (anti-replay) Mã hố liệu (encryption) NHĨM 7 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG Hình 3: Mơ hình mạng CDMA 2000 lx với Mobile IF Quá trình đăng ký Mobile IP CDMA 2000 diễn sau: - MN di chuyển sang mạng gửi thông báo yêu cầu dịch vụ đến BTS BSC kiểm tra tồn liên kết chuyển tiếp yêu cầu đến PDSN - MN sử dụng giao thức ppp để liên kết với PDSN gửi ID liệu bảo mật cho PDSN NHĨM 28 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG - PDSN sử dụng ID MN để định vị AAA gốc yêu cầu AAA gốc cấp phép người dùng - AAA yêu cầu xác nhận xem MN có đăngg ký sử dụng dịch vụ Mobile IP không? (thông qua liệu bảo mật MN) - HA trả lời AAA - Nếu MN có đăng ký sử dụng dịch vụ Mobile IP AAA cấp phép cho người dùng - MN tìm kiếm FA PDSN đáp lại tin quảng bá Từ tin quảng bá MN nhận địa tạm CoA - MN đăng ký địa CoA với HA Việc triển khai giao thức Mobile IP mạng CDMA 2000 giúp cho người dùng trì kết nối với mạng gốc liên tục.Nhờ mà người dùng sử dụng dịch vụ mà mạng gốc cung cấp như: truy cập Internet, truy cập vào hệ thống quản lý, sở liệu mạng gốc NHÓM 29 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG 3.2 Triển khai Mobile IP mạng GPRS: Mặc dù Mobile IP có khả hỗ trợ nhiều giao thức lớp mạng khác (IP, X25, ), việc sử dụng giao thức IP tỏ vượt trội Xu hướng mạng hỗ trợ giao thức IP Việc lựa chọn giao thức IP cho mạng vơ tuyến có nhiều lý khác nhau: Thứ nhất, việc xây dựng mạng sở IP, ứng dụng viết cho mạng liệu hữu tuyến hoạt động mạng vơ tuyến Thứ hai, giảm chi phí nhờ việc tích hợp quản lý tập trung mạng hữu tuyến vô tuyến.Thứ ba, cải tiến công nghệ IP chất lượng dịch vụ (QoS), áp dụng trực tiếp mạng vơ tuyến Ngồi ra, việc hướng tới mạng IP cho phép phát triển đưa dịch vụ theo yêu cầu dễ dàng, cho phép dịch vụ có mặt nơi, khác biệt hay trở ngại kỹ thuật hạ tầng mạng NHÓM 30 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG Người dùng thực kết nối IP từ mạng truy nhập nào, bao gồm GPRS Nói cách khác khơng có khác biệt việc sử dụng mạng Ethernet, WLAN, hay GPRS, truy cập Internet người dùng di chuyển từ hệ thống sang hệ thống khác mà trì kết nối lớp IP Đây điều mà Mobile IP làm GPRS Phần giới thiệu cách triển khai Mobile IPv4 mạng GPRS Hai bước cần thực để phát triển hệ thống GPRS theo hướng hỗ trợ Mobile IP: Trong bước cần thực số thay đổi nhỏ cho phép người sử dụng di chuyển GPRS hỗ trợ Mobile IP Bước tối ưu hố đường giúp cho việc trao đổi thơng tin hiệu 3.2.1 Bước - Hỗ trợ dịch vụ Mobile IP: NHÓM 31 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG Trong bước dịch vụ Mobile IP đưa vào hệ thống GPRS cách tích hợp chức đại lý ngoại (FA) vào nút GGSN Khi trường hợp chuyển vùng, trạm di động (MS, cấp cố định địa IP cơng cộng) u cầu sử dụng kết nối qua GGSN PLMN khách Nếu PLMN khách khơng hỗ trợ tính GGSN PLMN gốc sử dụng, nghĩa MS kết nối qua giao diện Gp Để đơn giản bước đề cập đến trường hợp MS sử dụng GGSN, PLMN suốt trình kết nối Hình miêu tả cấu trúc điển hình mạng GPRS hỗ trợ dịch vụ Mobile IP Trong firewall sử dụng để ngăn chặn lưu lượng khơng mong muốn từ Internet NHĨM 32 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG Hình 4: Kiến trúc mạng GPRS hỗ trợ Mobile IP Để hỗ trợ dịch vụ Mobile IP, mạng GPRS cần nút GGSN thực chức FA, cần cài đặt thêm phần mềm mà không yêu cầu nâng cấp thêm phần cứng, ký hiệu GGSN/FA hay FA cổng (GFA - Gateway FA), Trên PLMN gốc, cần bổ xung thêm nút (thường định tuyến) thực chức đại lý gốc (HA) Địa care - of mà MS đãng ký với HA địa IP GFA MS yêu cầu địa colocated care - of từ máy chủ DHCP NHÓM 33 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG mạng dịch vụ PLMN khách Mặc dù địa colocated care - of cấp riêng cho MS song theo cấu trúc MS buộc phải đăng ký với HA thông qua GFA Sự có mặt GFA tạo phân cấp quản lý di động Trong đó, Mobile IP giao thức quản lý tính động (macro - mobility) mạng dịch vụ Nó sử dụng để quản lý tính động lớp IP, hai mạng truy nhập (cổ thể hữu tuyến hay vô tuyến) Chức quản lý di động (micro - mobility) thực nội mạng truy nhập (WLAN, GPRS, ) Chức hoàn toàn suốt giao thức IP Mobile IP mạng dịch vụ Nếu nhìn từ mạng ngồi, khơng có khác biệt mạng hữu tuyến mạng vơ tuyến Nghĩa người sử dụng kết nếỉ với Internet từ mạng truy nhập nào, có hỗ trợ Mobile IP, mà khơng phải cấu hình lại thiết bị di động minh NHÓM 34 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG Trong trường hợp chuyển vùng, Mobile IP không đủ khả nhận dạng xác định quyền truy nhập người sử dụng Vì lý này, máy chủ AAA(ví dụ RADIUS) sử dụng để nhận thực, cấp quyền tạo tài khoản Domain quản trị khác Tiêu chuẩn thiết kế hệ thống phải đảm bảo cho tài nguyên vô tuyến tài nguyên địa IPv4 sử dụng cách tiết kiệm hiệu quả; giảm tối thiểu tin báo hiệu với MS Biện pháp tốt MS phân bố địa care - of FA Bởi trường hợp này, đường hầm định tuyến giao thức Mobile IP thiết lập HA FA, giảm lượng thơng tin hao đổi qua môi trường vô tuyến (nhờ thông tin bổ xung gói tin IP đóng gói lần thứ truyền HA FA) không yêu cầu thêm địa IP để cấp cho thiết bị di động NHÓM 35 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG Hình mô tả thủ tục đăng ký MS với mạng gốc Trước tiên thiết bị đầu cuối số liệu (TE) gửi lệnh AT để truyền tham số tới thiết bị di động (MT) Một tham số truyền tên điểm truy nhập (APN), sử dụng để chọn GGSN thích hợp Bằng cách sử dụng chuỗi APN với giá trị là: “MIPv4FA”, người dùng trực tiếp yêu cầu kết nối qua GGSN hỗ trợ FA MT gửi yêu cầu kích hoạt giao thức số liệu gói, với chuỗi APN, tới GGSN Thơng thường yêu cầu bao gồm địa IP Tuy nhiên sử dụng dịch vụ Mobile IP, trường địa không sử dụng cập nhật GGSN nhận tin trả lời đãng ký từ HA MS Ngay nhận yêu cầu, SGSN phải tìm địa IP GGSN thích hợp gửi yêu cầu tạo kết nối với GGSN vừa tìm Các bước thực thủ thục kích hoạt giao thức số liệu gói GPRS NHĨM 36 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG Hình 5: Thủ thục đăng ký Mobile IP GPRS Bình thường MS (thực chất MN hay TE có khả di động) phải gửi tin tìm kiếm đại lý để lấy thông tin cần thiết trước bắt đầu thủ tục đăng ký với HA Tuy nhiên GGSN phát việc MS di chuyển vào vùng mạng nên yêu cầu thiết lập kết nối, GGSN/FA đồng thời gửi tin quảng cáo đại lý tới MS Cách làm giảm lưu lượng giao diện vô tuyến q trình đăng ký diện NHĨM 37 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG nhanh Từ tin quảng cáo, MS nhận địa care - of FA gửi yêu cầu đăng ký tới GGSN dạng lưu lượng người dùng (tải tin).GGSN tách địa HA từ yêu cầu đãng ký, gói, chuyển tiếp yêu cầu tới HA Khi nhận tin trả lời đăng kỷ từ HA, GGSN tách địa gốc MS để cập nhật trường địa mà bỏ qua thực thủ tục kích hoạt giao thức số lỉệu gói, rềỉ chuyển tiếp tin đến MS cấu trúc tin thủ tục đãng kỷ hoàn toàn giếng thủ tục đãng ký Mobile IP thông thường 3.2.2 Bước - Tối ưu hoá đường Trong phần trước giả thiết kết nối MS thực thông qua GGSN Tuy nhiên nhiều trường hợp, PLMN có nhiều GGSN khác nhau, vấn đề xảy MS trì kết nối khoảng thời gian dài di chuyển nhiều NHÓM 38 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG SGSN khác Việc định tuyến không thực hiệu SGSN không phục vụ GGSN Trường hợp tương tự vấn đề định tuyến tam giác trình phần Mobile IP Nếu MS không truyền số liệu thời điểm tiến hành chuyển giao (handover) từ SGSN tới SGSN khác, kết nối logic thiết lập SGSN GGSN phục vụ SGSN Khi MS nhận care - of Nếu trình trao đổi liệu tiếp diễn tiến hành chuyển giao, MS chuyển sang SGSN nhưng giữ nguyên kết nối với GGSN cũ Sau liệu truyền xong, kết nối logic chuyển qua GGSN phục vụ SGSN Trong số trường hợp GGSN từ chối kết nối (ví dụ GGSN khơng hỗ trợ FA) chuyển kết nối trở GGSN cũ Khi GGSN cũ phải có định thời để đảm bảo NHÓM 39 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG gói tin khơng bị xố kết nối trì khoảng thời gian xác định 3.4 Kết luận: Cùng với khả chuyển vùng IP có, việc hỗ trợ Mobile IP giúp cho nhà cung cấp cung cấp giải pháp kết nối IP toàn diện cho hệ thống GPRS, hình Một trạm di động từ PLMN A chuyển đến PLMN B Để truy nhập Internet, trạm di động kết nối qua mạng đường trục liên mạng (Giao diện Gp) (1).Trường hợp thường xảy trạm di động gán địa IP cố định chuyển vùng đến mạng không hỗ trợ Mobile IP Người dùng yêu cầu kết nối với Internet thông qua VGGSN sử dụng tài nguyên cục (2) Khi MS phải gán địa IP động Trường hợp thưòng áp dụng với dịch vụ truy cập Internet thơng thường NHĨM 40 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG Hình 6: Các trường hợp chuyển vùng GPRS Cùng với mạng truy cập khác, việc hỗ trợ Mobile IP GPRS quan trọng Nó khơng cho phép thiết bị đầu cuối di chuyền từ PLMN sang PLMN khác mà cho phép thiết bị sử dụng thông qua nhiều mạng truy cập khác nhau, bao gồm mạng hữu tuyến mạng vô tuyến Điểm quan trọng di chuyển địa IP trạm không thay đổi Nhờ thơng tin trao đổi theo hướng đi/đến trạm di động, lúc nào, NHÓM 41 ĐHVT1B BÁO CÁO TIỂU LUẬN GVHD:CHU TIẾN DŨNG đâu người sử dụng khơng phải cấu hình lại thiết bị di động minh Với GPRS, thuê bao chuyển vùng cần sử dụng tài nguyên nội PLMN khách, giảm phí tăng hiệu truyền dẫn NHÓM 42 ĐHVT1B