Bài giảng An ninh mạng - Chương 7: An toàn IP cung cấp đến các bạn những kiến thức về lý do cần IPSec; các cơ chế an ninh của IPSec; các ứng dụng của IPSec; minh họa ứng dụng IPSec; ích lợi của IPSec; kiến trúc an ninh IP; tổng quan tài liệu IPSec; các liên kết an ninh...
Chương AN TOÀN IP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 171 https://fb.com/tailieudientucntt Giới thiệu • Lý cần IPSec – Có vấn đề an ninh cần giải mức thấp tầng ứng dụng • Đặc biệt hình thức cơng tầng IP phổ biến giả mạo IP, xem trộm gói tin – An ninh mức IP đảm bảo an ninh cho tất ứng dụng • Bao gồm nhiều ứng dụng chưa có tính an ninh • Các chế an ninh IPSec – Xác thực – Bảo mật – Quản lý khóa Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 172 https://fb.com/tailieudientucntt Các ứng dụng IPSec • Xây dựng mạng riêng ảo an tồn Internet – Tiết kiệm chi phí thiết lập quản lý mạng riêng • Truy nhập từ xa an tồn thơng qua Internet – Tiết kiệm chi phí lại • Giao tiếp an toàn với đối tác – Đảm bảo xác thực, bảo mật cung cấp chế trao đổi khóa • Tăng cường an ninh thương mại điện tử – Hỗ trợ thêm cho giao thức an ninh có sẵn ứng dụng Web thương mại điện tử Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 173 https://fb.com/tailieudientucntt Minh họa ứng dụng IPSec Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 174 https://fb.com/tailieudientucntt Ích lợi IPSec • Tại tường lửa định tuyến, IPSec đảm bảo an ninh cho luồng thông tin vượt biên • Tại tường lửa, IPSec ngăn chặn thâm nhập trái phép từ Internet vào • IPSec nằm tầng giao vận, suốt với ứng dụng • IPSec suốt với người dùng cuối • IPSec áp dụng cho người dùng đơn lẻ • IPSec bảo vệ an ninh kiến trúc định tuyến Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 175 https://fb.com/tailieudientucntt Kiến trúc an ninh IP • Đặc tả IPSec phức tạp • Định nghĩa nhiều tài liệu – Bao gồm RFC 2401 (tổng quan kiến trúc), RFC 2402 (mô tả mở rộng xác thực), RFC 2406 (mô tả mở rộng mã hóa), RFC 2408 (đặc tả khả trao đổi khóa) – Các tài liệu khác chia thành nhóm • Việc hỗ trợ IPSec bắt buộc IPv6, tùy chọn IPv4 • IPSec cài đặt phần đầu mở rộng sau phần đầu IP – Phần đầu mở rộng cho xác thực AH – Phần đầu mở rộng cho mã hóa ESP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 176 https://fb.com/tailieudientucntt Tổng quan tài liệu IPSec Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 177 https://fb.com/tailieudientucntt Các dịch vụ IPSec • Bao gồm – – – – Điều khiển truy nhập Toàn vẹn phi kết nối Xác thực nguồn gốc liệu Từ chối gói tin lặp • Một hình thức tồn vẹn thứ tự phận – Bảo mật (mã hóa) – Bảo mật luồng tin hữu hạn • Sử dụng hai giao thức – Giao thức xác thực (ứng với AH) – Giao thức xác thực/mã hóa (ứng với ESP) Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 178 https://fb.com/tailieudientucntt Các liên kết an ninh • Khái niệm liên kết an ninh (SA) – Là quan hệ chiều bên gửi bên nhận, cho biết dịch vụ an ninh luồng tin lưu chuyển • Mỗi SA xác định tham số – Chỉ mục tham số an ninh (SPI) – Địa IP đích – Định danh giao thức an ninh • Các tham số khác lưu CSDL SA (SAD) – Số thứ tự, thông tin AH ESP, thời hạn, • CSDL sách an ninh (SPD) cho phép điều chỉnh mức độ áp dụng IPSec Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 179 https://fb.com/tailieudientucntt Phần đầu xác thực • Đảm bảo tồn vẹn xác thực gói IP – Cho phép hệ thống đầu cuối hay thiết bị mạng xác thực người dùng ứng dụng – Tránh giả mạo địa nhờ xem xét số thứ tự – Chống lại hình thức cơng lặp lại • Sử dụng mã xác thực thơng báo • Bên gửi bên nhận phải có khóa bí mật dùng chung Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 180 https://fb.com/tailieudientucntt Khuôn dạng AH Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 181 https://fb.com/tailieudientucntt Chế độ giao vận đường hầm Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 182 https://fb.com/tailieudientucntt Phần đầu ESP • Đảm bảo bảo mật nội dung bảo mật luồng tin hữu hạn • Có thể cung cấp dịch vụ xác thực giống với AH • Cho phép sử dụng nhiều giải thuật mã hóa, phương thức mã hóa, cách độn khác – DES, 3DES, RC5, IDEA, CAST, – CBC, – Độn cho trịn kích thước khối, kích thước trường, che dấu lưu lượng luồng tin Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 183 https://fb.com/tailieudientucntt Khuôn dạng ESP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 184 https://fb.com/tailieudientucntt Giao vận đường hầm ESP • Chế độ giao vận ESP dùng để mã hóa có thêm chức xác thực liệu IP – Chỉ mã hóa liệu khơng mã hóa phần đầu – Dễ bị phân tích lưu lượng hiệu – Áp dụng cho truyền tải hai điểm cuối • Chế độ đường hầm mã hóa tồn gói tin IP – Phải bổ xung phần đầu cho bước chuyển – Áp dụng cho mạng riêng ảo, truyền tải thông qua cầu nối Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 185 https://fb.com/tailieudientucntt Kết hợp liên kết an ninh • Mỗi SA cài đặt hai giao thức AH ESP • Để cài đặt hai cần kết hợp SA với – Tạo thành gói liên kết an ninh – Có thể kết thúc điểm cuối khác giống • Kết hợp theo cách – Gần với giao vận – Tạo đường hầm theo nhiều bước • Cần xem xét thứ tự xác thực mã hóa Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 186 https://fb.com/tailieudientucntt Ví dụ kết hợp SA Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 187 https://fb.com/tailieudientucntt Quản lý khóa • Có chức sản sinh phân phối khóa • Hai bên giao tiếp với nói chung cần khóa – Mỗi chiều cần khóa: cho AH, cho ESP • Hai chế độ quản lý khóa – Thủ cơng • Quản trị hệ thống khai báo khóa thiết lập cấu hình • Thích hợp với môi trường nhỏ tương đối tĩnh – Tự động • Cho phép tạo khóa theo u cầu cho SA • Thích hợp với hệ phân tán lớn có cấu hình ln thay đổi • Gồm thành phần Oakley ISAKMP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 188 https://fb.com/tailieudientucntt Oakley • Là giao thức trao đổi khóa dựa giải thuật Diffie-Hellman • Bao gồm số cải tiến quan trọng – Sử dụng cookie để ngăn cơng gây q tải • Cookie cần phụ thuộc vào bên giao tiếp, sinh bên khác với bên sinh cookie, sinh kiểm tra cách nhanh chóng – Hỗ trợ việc sử dụng nhóm với tham số DiffieHellman khác – Sử dụng giá trị nonce để chống công lặp lại – Xác thực trao đổi Diffie-Hellman để chống công người Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 189 https://fb.com/tailieudientucntt ISAKMP • Viết tắt Internet Security Association and Key Management Protocol • Cung cấp cấu cho việc quản lý khóa • Định nghĩa thủ tục khuôn dạng thông báo cho việc thiết lập, thỏa thuận, sửa đổi, hủy bỏ liên kết an ninh • Độc lập với giao thức trao đổi khóa, giải thuật mã hõa, phương pháp xác thực Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 190 https://fb.com/tailieudientucntt Các khuôn dạng ISAKMP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 191 https://fb.com/tailieudientucntt ... tính an ninh • Các chế an ninh IPSec – Xác thực – Bảo mật – Quản lý khóa Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 172 https://fb.com/tailieudientucntt Các ứng dụng IPSec • Xây dựng mạng. .. có khóa bí mật dùng chung Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 180 https://fb.com/tailieudientucntt Khuôn dạng AH Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 181 https://fb.com/tailieudientucntt... che dấu lưu lượng luồng tin Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 183 https://fb.com/tailieudientucntt Khuôn dạng ESP Nguyễn Đại Thọ An ninh Mạng CuuDuongThanCong.com 184 https://fb.com/tailieudientucntt