Bài giảng IPSec Demo
Trang 1IPsec
Trang 2• Chi tiết kỹ thuật
-IPSec in OSI model
– IPSec
• IPSec
• IPSec communicatie methodes – Demo IPSec
Trang 3– IPSec in OSI model Layer Software
Application (Layer 7)
HTTP/FTP/SMTP/POP3/enz.
Presentation (Layer 6) Session (Layer 5)
Transport (Layer 4) TCP
Network (Layer 3) IP#
Data Link (Layer 2) Physical (Layer 1)
Trang 4Mục đích của IPsec
• bảo mật dữ liệu cho các chuyển giao thông tin qua Mạng
• chuỗi các Rules
Trang 5Hiện trạng
Trang 6-SA- security Association (sự thoả hiệp bảo mật )
Trang 7Các trường của IPsec
• SPI
• Destination IP Address
-Encapsulation Security Payload (ESP)
Trang 8ESP: Bảo mật các gói trọng tải
Encryption Alglorithm: (chưa sát nghĩa) Các thuật toán Authentication Alglorithm: Xác nhận thuật toán
DOI: Digital object Indebtifiner: Định danh đối tượng số
Trang 9cơ sở dữ liệu của IPsec
• Security Association Database ( SADB
• Security Policy Database ( SPD)
Trang 10các dịch vụ bảo mật
Trang 11khả năng chính
• Tính xác nhận và nguyên vẹn dữ liệu ( Authentication
and Data ingity )
• Sự cẩn mật (Confidentiality)
Trang 12Các chế độ IPSec
• Transport mode
• Tunnel mode
Trang 13Transport mode
• AH Transport mode
• ESP Transport mode
Trang 14Tunnel mode
• AH
• ESP
Trang 15Tổng quan
Trang 16– IPSec communicatie methodes
Trang 17Chi tiết kỹ thuât
• Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực
• Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu
• Thuật toán mã hoá được sử dụng
- HMAC-SHA1
- TripleDES-CBC và AES-CBC
Trang 18Authentication Header (AH)
Trang 19Transport mode
Trang 21Tunnel mode
Trang 23ESP
Trang 24• Transport
Trang 26Tunnel
Trang 28• Ex Tunnel model
Trang 32Qua Trinh Xu ly goi tin
• Goi tin di ra
Trang 33Goi tin di vao
Trang 34Internet Key Exchange
• IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được
triển khai
• IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một phiên giao dịch hoàn thành
• IKE không phải là một công nghệ độc lập
• Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bở vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít
Trang 35IKE Phases
Trang 36Giai đoạn I của IKE
• nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật
• Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa
• Theo sau là những thông tin được dùng để phát sinh khóa bí mật :
- Giá trị Diffie-Hellman
-SPI của ISAKMP SA ở dạng cookies
-Số ngẩu nhiên known as nonces (used for signing purposes)
ISAKMP là chữ viết tắc của Internet Security Association and Key
Management Protocol
Trang 37Giai đoạn II của IKE
• giải quyết bằng việc thiết lập SAs cho IPSec
• SAs dùng nhiều dịch vụ khác nhau thỏa thuận
• Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I
Trang 38IKE Modes
• Chế độ chính (Main mode)
• Chế độ linh hoạt (Aggressive mode)
• Chế độ nhanh (Quick mode)
• Chế độ nhóm mới (New Group mode
Trang 39Main Mode
Trang 40Aggressive Mode
Trang 41Quick Mode
Trang 42New Group Mode
Trang 43Qua trinh 1
Trang 44SPD SPD
SPI
SA SPI
SA SPI
SA SPI
Key exchange Basis SA
SPD = Security policy database
SADB = Security Associations database
SA = Security Associations
SPI = Security Parameter index
Trang 45Certificate and CRL Distribution Points
Trang 46Software Code Signing Software
Code Signing
Encrypting File System Encrypting
File System
Smart Card Logon
Smart Card Logon
Internet
Authentication Internet
Authentication
Secure E-mail
Secure E-mail
Windows 2003 Certificate Services Windows 2003
Signatures
802.1x IP Beveiliging