Có những vấn đề an ninh cần giải quyết ở mức thấp hơn tầng ứng dụng. Vì vậy an ninh ở mức IP sẽ đảm bảo an ninh cho tất cả các ứng dụng. Trong chương 7 sẽ tập trung trình bày các vấn đề về an toàn IP, mời các bạn cùng tham khảo.
CHƯƠNG AN TỒN IP Giới thiệu • Lý cần IPSec – Có vấn đề an ninh cần giải mức thấp tầng ứng dụng • Đặc biệt hình thức cơng tầng IP phổ biến giả mạo IP, xem trộm gói tin – An ninh mức IP đảm bảo an ninh cho tất ứng dụng • Bao gồm nhiều ứng dụng chưa có tính an ninh • Các chế an ninh IPSec – Xác thực – Bảo mật – Quản lý khóa Trần Bá Nhiệm An ninh Mạng Các ứng dụng IPSec • Xây dựng mạng riêng ảo an toàn Internet – Tiết kiệm chi phí thiết lập quản lý mạng riêng • Truy nhập từ xa an tồn thơng qua Internet – Tiết kiệm chi phí lại • Giao tiếp an toàn với đối tác – Đảm bảo xác thực, bảo mật cung cấp chế trao đổi khóa • Tăng cường an ninh thương mại điện tử – Hỗ trợ thêm cho giao thức an ninh có sẵn ứng dụng Web thương mại điện tử Trần Bá Nhiệm An ninh Mạng Minh họa ứng dụng IPSec Trần Bá Nhiệm An ninh Mạng Ích lợi IPSec • Tại tường lửa định tuyến, IPSec đảm bảo an ninh cho luồng thơng tin vượt biên • Tại tường lửa, IPSec ngăn chặn thâm nhập trái phép từ Internet vào • IPSec nằm tầng giao vận, suốt với ứng dụng • IPSec suốt với người dùng cuối • IPSec áp dụng cho người dùng đơn lẻ • IPSec bảo vệ an ninh kiến trúc định tuyến Trần Bá Nhiệm An ninh Mạng Kiến trúc an ninh IP • Đặc tả IPSec phức tạp • Định nghĩa nhiều tài liệu – Bao gồm RFC 2401 (tổng quan kiến trúc), RFC 2402 (mô tả mở rộng xác thực), RFC 2406 (mơ tả mở rộng mã hóa), RFC 2408 (đặc tả khả trao đổi khóa) – Các tài liệu khác chia thành nhóm • Việc hỗ trợ IPSec bắt buộc IPv6, tùy chọn IPv4 • IPSec cài đặt phần đầu mở rộng sau phần đầu IP – Phần đầu mở rộng cho xác thực AH – Phần đầu mở rộng cho mã hóa ESP Trần Bá Nhiệm An ninh Mạng Tổng quan tài liệu IPSec Trần Bá Nhiệm An ninh Mạng Các dịch vụ IPSec • Bao gồm – – – – Điều khiển truy nhập Toàn vẹn phi kết nối Xác thực nguồn gốc liệu Từ chối gói tin lặp • Một hình thức tồn vẹn thứ tự phận – Bảo mật (mã hóa) – Bảo mật luồng tin hữu hạn • Sử dụng hai giao thức – Giao thức xác thực (ứng với AH) – Giao thức xác thực/mã hóa (ứng với ESP) Trần Bá Nhiệm An ninh Mạng Minh hoạ cài đặt IPSec • D:\Tonghop\Microsoft\Video\Phim LAB Trần Bá Nhiệm An ninh Mạng Các liên kết an ninh • Khái niệm liên kết an ninh (SA) – Là quan hệ chiều bên gửi bên nhận, cho biết dịch vụ an ninh luồng tin lưu chuyển • Mỗi SA xác định tham số – Chỉ mục tham số an ninh (SPI) – Địa IP đích – Định danh giao thức an ninh • Các tham số khác lưu CSDL SA (SAD) – Số thứ tự, thông tin AH ESP, thời hạn, • CSDL sách an ninh (SPD) cho phép điều chỉnh mức độ áp dụng IPSec Trần Bá Nhiệm An ninh Mạng 10 Phần đầu xác thực • Đảm bảo tồn vẹn xác thực gói IP – Cho phép hệ thống đầu cuối hay thiết bị mạng xác thực người dùng ứng dụng – Tránh giả mạo địa nhờ xem xét số thứ tự – Chống lại hình thức cơng lặp lại • Sử dụng mã xác thực thơng báo • Bên gửi bên nhận phải có khóa bí mật dùng chung Trần Bá Nhiệm An ninh Mạng 11 Khuôn dạng AH Trần Bá Nhiệm An ninh Mạng 12 Chế độ giao vận đường hầm Trần Bá Nhiệm An ninh Mạng 13 Phần đầu ESP • Đảm bảo bảo mật nội dung bảo mật luồng tin hữu hạn • Có thể cung cấp dịch vụ xác thực giống với AH • Cho phép sử dụng nhiều giải thuật mã hóa, phương thức mã hóa, cách độn khác – DES, 3DES, RC5, IDEA, CAST, – CBC, – Độn cho tròn kích thước khối, kích thước trường, che dấu lưu lượng luồng tin Trần Bá Nhiệm An ninh Mạng 14 Khuôn dạng ESP Trần Bá Nhiệm An ninh Mạng 15 Giao vận đường hầm ESP • Chế độ giao vận ESP dùng để mã hóa có thêm chức xác thực liệu IP – Chỉ mã hóa liệu khơng mã hóa phần đầu – Dễ bị phân tích lưu lượng hiệu – Áp dụng cho truyền tải hai điểm cuối • Chế độ đường hầm mã hóa tồn gói tin IP – Phải bổ xung phần đầu cho bước chuyển – Áp dụng cho mạng riêng ảo, truyền tải thông qua cầu nối Trần Bá Nhiệm An ninh Mạng 16 Kết hợp liên kết an ninh • Mỗi SA cài đặt hai giao thức AH ESP • Để cài đặt hai cần kết hợp SA với – Tạo thành gói liên kết an ninh – Có thể kết thúc điểm cuối khác giống • Kết hợp theo cách – Gần với giao vận – Tạo đường hầm theo nhiều bước • Cần xem xét thứ tự xác thực mã hóa Trần Bá Nhiệm An ninh Mạng 17 Ví dụ kết hợp SA Trần Bá Nhiệm An ninh Mạng 18 Quản lý khóa • Có chức sản sinh phân phối khóa • Hai bên giao tiếp với nói chung cần khóa – Mỗi chiều cần khóa: cho AH, cho ESP • Hai chế độ quản lý khóa – Thủ cơng • Quản trị hệ thống khai báo khóa thiết lập cấu hình • Thích hợp với mơi trường nhỏ tương đối tĩnh – Tự động • Cho phép tạo khóa theo u cầu cho SA • Thích hợp với hệ phân tán lớn có cấu hình ln thay đổi • Gồm thành phần Oakley ISAKMP Trần Bá Nhiệm An ninh Mạng 19 Oakley • Là giao thức trao đổi khóa dựa giải thuật Diffie-Hellman • Bao gồm số cải tiến quan trọng – Sử dụng cookie để ngăn công gây tải • Cookie cần phụ thuộc vào bên giao tiếp, sinh bên khác với bên sinh cookie, sinh kiểm tra cách nhanh chóng – Hỗ trợ việc sử dụng nhóm với tham số DiffieHellman khác – Sử dụng giá trị nonce để chống công lặp lại – Xác thực trao đổi Diffie-Hellman để chống công người Trần Bá Nhiệm An ninh Mạng 20 ISAKMP • Viết tắt Internet Security Association and Key Management Protocol • Cung cấp cấu cho việc quản lý khóa • Định nghĩa thủ tục khuôn dạng thông báo cho việc thiết lập, thỏa thuận, sửa đổi, hủy bỏ liên kết an ninh • Độc lập với giao thức trao đổi khóa, giải thuật mã hõa, phương pháp xác thực Trần Bá Nhiệm An ninh Mạng 21 Các khuôn dạng ISAKMP Trần Bá Nhiệm An ninh Mạng 22 ... thực thơng báo • Bên gửi bên nhận phải có khóa bí mật dùng chung Trần Bá Nhiệm An ninh Mạng 11 Khuôn dạng AH Trần Bá Nhiệm An ninh Mạng 12 Chế độ giao vận đường hầm Trần Bá Nhiệm An ninh Mạng... với ESP) Trần Bá Nhiệm An ninh Mạng Minh hoạ cài đặt IPSec • D:TonghopMicrosoftVideoPhim LAB Trần Bá Nhiệm An ninh Mạng Các liên kết an ninh • Khái niệm liên kết an ninh (SA) – Là quan hệ chiều... thức an ninh có sẵn ứng dụng Web thương mại điện tử Trần Bá Nhiệm An ninh Mạng Minh họa ứng dụng IPSec Trần Bá Nhiệm An ninh Mạng Ích lợi IPSec • Tại tường lửa định tuyến, IPSec đảm bảo an ninh