ATMMT ATMMT - - TNNQ TNNQ 36 36 3. IPsec 3. IPsec T T ổ ổ ng quan ng quan L L à à m m ộ ộ t giao th t giao th ứ ứ c b c b ả ả o m o m ậ ậ t ch t ch í í nh t nh t ạ ạ i l i l ớ ớ p M p M ạ ạ ng (Network Layer ng (Network Layer – – OSI) ho OSI) ho ặ ặ c l c l ớ ớ p Internet (Internet Layer p Internet (Internet Layer – – TCP/IP). TCP/IP). IPsec l IPsec l à à y y ế ế u t u t ố ố quan tr quan tr ọ ọ ng đ ng đ ể ể xây d xây d ự ự ng m ng m ạ ạ ng riêng ng riêng ả ả o (VPN o (VPN – – Virtual Private Networks). Virtual Private Networks). Bao g Bao g ồ ồ m c m c á á c giao th c giao th ứ ứ c ch c ch ứ ứ ng th ng th ự ự c, c c, c á á c giao th c giao th ứ ứ c mã ho c mã ho á á , , c c á á c giao th c giao th ứ ứ c trao đ c trao đ ổ ổ i kho i kho á á : : – – AH (A AH (A uthentication header): uthentication header): đư đư ợ ợ c s c s ử ử d d ụ ụ ng đ ng đ ể ể x x á á c đ c đ ị ị nh nh ngu ngu ồ ồ n g n g ố ố c g c g ó ó i tin IP v i tin IP v à à đ đ ả ả m b m b ả ả o t o t í í nh to nh to à à n v n v ẹ ẹ n c n c ủ ủ a n a n ó ó . . – – ESP (En ESP (En capsulating Security Payload): capsulating Security Payload): đư đư ợ ợ c s c s ử ử d d ụ ụ ng đ ng đ ể ể ch ch ứ ứ ng th ng th ự ự c v c v à à mã ho mã ho á á g g ó ó i tin IP (ph i tin IP (ph ầ ầ n payload ho n payload ho ặ ặ c c c c ả ả g g ó ó i tin) i tin) . . – – IKE (In IKE (In ternet key exchange): ternet key exchange): đư đư ợ ợ c s c s ử ử d d ụ ụ ng đ ng đ ể ể thi thi ế ế t l t l ậ ậ p p kho kho á á b b í í m m ậ ậ t cho ngư t cho ngư ờ ờ i g i g ở ở i v i v à à ngư ngư ờ ờ i nh i nh ậ ậ n. n. ATMMT ATMMT - - TNNQ TNNQ 37 37 3. IPsec 3. IPsec T T ổ ổ ng quan ng quan Ứ Ứ ng d ng d ụ ụ ng c ng c ủ ủ a IPsec: a IPsec: – – B B ả ả o m o m ậ ậ t k t k ế ế t n t n ố ố i gi i gi ữ ữ a c a c á á c chi nh c chi nh á á nh văn phòng nh văn phòng qua Internet. qua Internet. – – B B ả ả o m o m ậ ậ t truy c t truy c ậ ậ p t p t ừ ừ xa qua Internet. xa qua Internet. – – Th Th ự ự c hi c hi ệ ệ n nh n nh ữ ữ ng k ng k ế ế t n t n ố ố i Intranet v i Intranet v à à Extranet v Extranet v ớ ớ i i c c á á c đ c đ ố ố i t i t á á c (Partners). c (Partners). – – Nâng cao t Nâng cao t í í nh b nh b ả ả o m o m ậ ậ t trong thương m t trong thương m ạ ạ i đi i đi ệ ệ n t n t ử ử . . ATMMT ATMMT - - TNNQ TNNQ 38 38 3. IPsec 3. IPsec T T ổ ổ ng quan ng quan ATMMT ATMMT - - TNNQ TNNQ 39 39 3. IPsec 3. IPsec T T ổ ổ ng quan ng quan V V í í d d ụ ụ minh ho minh ho ạ ạ : : – – Khi Alice mu Khi Alice mu ố ố n giao ti n giao ti ế ế p v p v ớ ớ i Bob s i Bob s ử ử d d ụ ụ ng IPsec, Alice ng IPsec, Alice trư trư ớ ớ c c tiên ph tiên ph ả ả i ch i ch ọ ọ n m n m ộ ộ t t t t ậ ậ p h p h ợ ợ p c p c á á c c gi gi ả ả i i thu thu ậ ậ t mã t mã h h ó ó a v a v à à c c á á c thông s c thông s ố ố , , sau đ sau đ ó ó thông b thông b á á o cho Bob v o cho Bob v ề ề l l ự ự a ch a ch ọ ọ n c n c ủ ủ a m a m ì ì nh. nh. – – Bob c Bob c ó ó th th ể ể ch ch ấ ấ p nh p nh ậ ậ n l n l ự ự a ch a ch ọ ọ n c n c ủ ủ a Alice ho a Alice ho ặ ặ c c thương lư thương lư ợ ợ ng v ng v ớ ớ i Alice cho m i Alice cho m ộ ộ t t t t ậ ậ p h p h ợ ợ p kh p kh á á c nhau c nhau c c ủ ủ a c a c á á c c gi gi ả ả i i thu thu ậ ậ t v t v à à c c á á c thông s c thông s ố ố . . – – M M ộ ộ t khi c t khi c á á c c gi gi ả ả i i thu thu ậ ậ t v t v à à c c á á c thông s c thông s ố ố đư đư ợ ợ c l c l ự ự a ch a ch ọ ọ n, n, IPsec thi IPsec thi ế ế t l t l ậ ậ p p s s ự ự k k ế ế t h t h ợ ợ p p b b ả ả o m o m ậ ậ t ( t ( Security Security Association Association - - SA) gi SA) gi ữ ữ a Alice v a Alice v à à Bob cho ph Bob cho ph ầ ầ n còn l n còn l ạ ạ i i c c ủ ủ a a phiên l phiên l à à m vi m vi ệ ệ c. c. ATMMT ATMMT - - TNNQ TNNQ 40 40 3. IPsec 3. IPsec Security Association (SA) Security Association (SA) M M ộ ộ t SA cung c t SA cung c ấ ấ p c p c á á c thông tin sau: c thông tin sau: – – Ch Ch ỉ ỉ m m ụ ụ c c c c á á c thông s c thông s ố ố b b ả ả o m o m ậ ậ t (SPI t (SPI - - Security Security parameters index): l parameters index): l à à m m ộ ộ t chu t chu ỗ ỗ i nh i nh ị ị phân phân 32 bi 32 bi t t đư đư ợ ợ c s c s ử ử d d ụ ụ ng đ ng đ ể ể x x á á c đ c đ ị ị nh m nh m ộ ộ t t t t ậ ậ p c p c ụ ụ th th ể ể c c ủ ủ a c a c á á c c gi gi ả ả i thu i thu ậ ậ t v t v à à thông s thông s ố ố d d ù ù ng trong phiên truy ng trong phiên truy ề ề n n thông. SPI thông. SPI đư đư ợ ợ c bao g c bao g ồ ồ m trong c m trong c ả ả AH v AH v à à ESP đ ESP đ ể ể ch ch ắ ắ c ch c ch ắ ắ n r n r ằ ằ ng c ng c ả ả hai đ hai đ ề ề u s u s ử ử d d ụ ụ ng c ng c ù ù ng c ng c á á c gi c gi ả ả i i thu thu ậ ậ t v t v à à thông s thông s ố ố . . – – Đ Đ ị ị a ch a ch ỉ ỉ IP đ IP đ í í ch. ch. – – Giao th Giao th ứ ứ c b c b ả ả o m o m ậ ậ t: AH hay ESP. IPsec không cho t: AH hay ESP. IPsec không cho ph ph é é p AH hay ESP s p AH hay ESP s ử ử d d ụ ụ ng đ ng đ ồ ồ ng th ng th ờ ờ i trong c i trong c ù ù ng ng m m ộ ộ t SA. t SA. ATMMT ATMMT - - TNNQ TNNQ 41 41 3. IPsec 3. IPsec C C á á c phương th c phương th ứ ứ c c c c ủ ủ a IPsec a IPsec IPsec bao g IPsec bao g ồ ồ m 2 m 2 phương th phương th ứ ứ c: c: Phương thức Vận chuyển (Transport Mode): sử dụng Transport Mode khi có yêu cầu lọc gói tin và bảo mật điểm-tới-điểm. Cả hai trạm cần hỗ trợ IPSec sử dụng cùng giao thức xác thực và không được đi qua một giao tiếp NAT nào. Nếu dữ liệu đi qua giao tiếp NAT sẽ bị đổi địa chỉ IP trong phần header và làm mất hiệu lực của ICV (Giá trị kiểm soát tính nguyên vẹn) ATMMT ATMMT - - TNNQ TNNQ 42 42 3. IPsec 3. IPsec C C á á c phương th c phương th ứ ứ c c c c ủ ủ a IPsec a IPsec Phương thức đường hầm (Tunel mode): sử dụng mode này khi cần kết nối Site-to-Site thông qua Internet (hay các mạng công cộng khác). Tunel Mode cung cấp sự bảo vệ Gateway-to-Gateway (cửa-đến- cửa). ATMMT ATMMT - - TNNQ TNNQ 43 43 3. IPsec 3. IPsec Đ Đ ị ị nh d nh d ạ ạ ng AH ng AH Authentication Header (AH) bao g Authentication Header (AH) bao g ồ ồ m c m c á á c v c v ù ù ng: ng: – – Next Header (8 bits): x Next Header (8 bits): x á á c đ c đ ị ị nh header k nh header k ế ế ti ti ế ế p. p. – – Payload Length (8 bits): chi Payload Length (8 bits): chi ề ề u d u d à à i c i c ủ ủ a Authentication a Authentication Header theo t Header theo t ừ ừ 32 32 - - bit, tr bit, tr ừ ừ 2. 2. – – Reserved (16 bits): s Reserved (16 bits): s ử ử d d ụ ụ ng cho tương lai ng cho tương lai . . – – Security Parameters Index (32 bits): x Security Parameters Index (32 bits): x á á c đ c đ ị ị nh m nh m ộ ộ t SA. t SA. – – Sequence Number (32 bits): m Sequence Number (32 bits): m ộ ộ t gi t gi á á tr tr ị ị tăng đơn đi tăng đơn đi ệ ệ u. u. – – Authentication Data (variable): M Authentication Data (variable): M ộ ộ t v t v ù ù ng c ng c ó ó chi chi ề ề u d u d à à i i bi bi ế ế n đ n đ ổ ổ i (ph i (ph ả ả i l i l à à m m ộ ộ t s t s ố ố nguyên c nguyên c ủ ủ a t a t ừ ừ 32 bits) ch 32 bits) ch ứ ứ a gi a gi á á tr tr ị ị ki ki ể ể m tra t m tra t í í nh to nh to à à n v n v ẹ ẹ n ( n ( Integrity Check Value Integrity Check Value - - ICV) ICV) đ đ ố ố i v i v ớ ớ i g i g ó ó i tin n i tin n à à y. y. ATMMT ATMMT - - TNNQ TNNQ 44 44 3. IPsec 3. IPsec Đ Đ ị ị nh d nh d ạ ạ ng AH ng AH ATMMT ATMMT - - TNNQ TNNQ 45 45 3. IPsec 3. IPsec C C á á c phương th c phương th ứ ứ c ch c ch ứ ứ ng th ng th ự ự c c [...]... một số nguyên của từ 32-bit) chứa ICV được tính bằng cách gói ESP trừ vùng Authentication Data ATMMT - TNNQ 47 3 IPsec Định dạng ESP ATMMT - TNNQ 48 3 IPsec Các phương thức mã hoá ATMMT - TNNQ 49 3 IPsec Các phương thức mã hoá ATMMT - TNNQ 50 3 IPsec Sự kết hợp của các SA ATMMT - TNNQ 51 3 IPsec Các giải thuật mã hoá và chứng thực Các giải thuật sử dụng để mã hoá và chứng thực bao gồm: – Three-key triple...3 IPsec Cơ chế chống Replay attack ATMMT - TNNQ 46 3 IPsec Định dạng ESP Một gói ESP chứa các vùng sau: – Security Parameters Index (32 bits): xác định một SA – Sequence Number (32 bits): một giá trị đếm tăng đơn điệu, cung cấp . ATMMT ATMMT - - TNNQ TNNQ 41 41 3. IPsec 3. IPsec C C á á c phương th c phương th ứ ứ c c c c ủ ủ a IPsec a IPsec IPsec bao g IPsec bao g ồ ồ m 2 m 2 phương. ATMMT ATMMT - - TNNQ TNNQ 38 38 3. IPsec 3. IPsec T T ổ ổ ng quan ng quan ATMMT ATMMT - - TNNQ TNNQ 39 39 3. IPsec 3. IPsec T T ổ ổ ng quan ng quan V V