1. Trang chủ
  2. » Luận Văn - Báo Cáo

Cơ chế bảo mật trong mạng riêng ảo

133 14 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 133
Dung lượng 1,2 MB

Nội dung

Cơ chế bảo mật trong mạng riêng ảo Cơ chế bảo mật trong mạng riêng ảo Cơ chế bảo mật trong mạng riêng ảo luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp

NGUN c¶NH KHOA BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - Xử Lý THÔNG TIN Và TRUYềN THÔNG luận văn thạc sĩ khoa học CƠ CHế BảO MậT TRONG MạNG RIÊNG ảO Nguyễn cảnh khoa 2003 - 2005 Hµ Néi 2005 HÀ NỘI – 2005 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - luận văn thạc sĩ khoa học CƠ CHẾ BẢO MẬT TRONG MẠNG RIÊNG ảO Ngành: Xử lý thông tin truyền thông Mã số: Nguyễn Cảnh Khoa Người hướng dẫn khoa học: TS NGUYỄN LINH GIANG -2- Lêi cAM §OAN Tơi xin cam đoan luận văn thực hướng dẫn thầy giáo TS Nguyễn Linh Giang Nếu có vấn đề khơng trung thực, sai trái tơi chịu hồn tồn trách nhiệm Hà Nội, tháng 10 năm 2005 Nguyễn Cảnh Khoa -6- CÁC TỪ VIT TT CáC Từ VIếT TắT VPN - Virtual Private Network WAN - Wide Area Network VPDN - Virtual Private Data Network QoS - Quality Of Service SLA - Service Level Agreements POP - Point of Presence LAN - Local Area Network L2F - Layer Forwarding PPTP - Point to Point Tunneling Protocol L2TP - Layer Tunneling Protocol IPSec - Internet Protocol Security GRE - Generic Route Encapsulation AAA - Authentication-Authorization-Accounting IETF - Internet Enginneering Task Force CPE - Customer Premises Equipment ISP - Internet Service Provider RADIUS - Remote Authentication Dial-In User Service OTP - One-Time password PAP - Password Authentication Protocol CHAP - Challenge Handshake Authentication Protocol B TACACS - Termincal Access Controller Access Control System CA - Certificate Authority Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 -7- CÁC TỪ VIẾT TẮT LDAP - Lightweight Directory Access Protocol CRL - Certificate Revocation List SSL - Secure Socket Layer PGP - Pretty Good Privaty SET - Secure Electronics Transactions ESP - Encapsulation Security Payload AH - Authentication Header DES - Data Encryption Standard SPI - Security Parameters Index SA - Security Association ISAKMP - Internet Security Association and Key Management Protocol IV - Initialization Vector IKE - Internet Key Exchange SADB - Security Association Database SPD - Security Policy Database HMAC - Hashed Message Authentication Code MD5 - Message Digest SHA - Secure Hash Algorithm S/WAN - Secure Wide Area Network GPL - GNU Public Licence Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 -8- DANH MC CC BNG DANH MụC CáC bảng STT 0B S hiệu Nội dung Bảng 2.1 Bảng so sánh ưu nhược điểm giao thức VPN Bảng 2.2 Các ưu nhược điểm hệ thống mã hoá Bảng 2.3 So sánh chi phí thời gian cần thiết để bẻ khố có độ dài khác Bảng 2.4 Chiều dài khố bí mật khố cơng khai mức việc bảo mật Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 -9- DANH MỤC CÁC HèNH V DANH MụC CáC hình vẽ STT B Số hiệu Nội dung Hình 1.1 Luồng lưu lượng đến hợp Hình 1.1 Định dạng gói cho việc tạo đường hầm Hình 2.2 Cấu trúc đường hầm Hình 2.3 Các loại đường hầm VPN Hình 2.4 Bảo mật đầu cuối - đầu cuối nút - nút Hình 2.5 Hệ thống đáp ứng thách đố dùng CHAP Hình 2.6 Các máy chủ xác thực cấp quyền truy cập từ xa Hình 2.7 Mã hố đối xứng dùng khố bí mật để mã hố giải mã Hình 2.8 Sử dụng cặp khoá để mã hoá giải mã tin 10 Hình 3.1 Mơ hình IPSec hoạt động qua Internet 11 Hình 3.2 Giao thức hoạt động SSL 12 Hình 3.3 VPN mơ hình TCP/IP 13 Hình 3.4 14 Hình 3.5 ISAKMP/Oakley 15 Hình 3.6 Gói tin ESP IPSec 16 Hình 3.7 Chu trình hoạt động 3DES 17 Hình 3.8 Gói tin AH 18 Hình 3.9 Phần header xác thực 19 Hình 3.10 Chu trình hoạt động HMAC Thiết lập SA 1B Nguyễn Cảnh Khoa - Xử lý thông tin truyền thơng 2003 -10- DANH MỤC CÁC HÌNH VẼ 20 Hình 3.11 SA chiều IPSec 21 Hình 3.12 Chế độ chuyển vận IPSec 22 Hình 3.13 Chế độ tuyến truyền IPSec 23 Hình 3.14 Phương thức truyền đa tuyến 24 Hình 3.15 Xử lý IPSec nhiều lần 25 Hình 4.1 Mơ hình bảo mật LAN-LAN 26 Hình 4.2 Cơ chế tạo lập đường hầm 27 Hình 4.3 Cơ chế tạo đường hầm kết hợp với ESP 28 Hình 4.4 ESP chế độ vận chuyển 29 Hình 4.5 Mơ hình thử nghiệm 30 Hình 4.6 Lưu đồ xử lý gói tin IPSec 31 Hình 4.7 Lưu đồ xác định tham số SA cho gói tin IP 32 Hình 4.8 Thực thi ESP cho gói tin IP 33 Hình 4.9 Xử lý gói tin đến IPSec 34 Hình P2.1 Mơ hình thử nghiệm 35 Hình P2.2 Kiểm tra hoạt động IPSec Nguyễn Cảnh Khoa - Xử lý thông tin truyền thơng 2003 -6- CÁC TỪ VIẾT TẮT C¸C Tõ VIÕT T¾T VPN - Virtual Private Network WAN - Wide Area Network VPDN - Virtual Private Data Network QoS - Quality Of Service SLA - Service Level Agreements POP - Point of Presence LAN - Local Area Network L2F - Layer Forwarding PPTP - Point to Point Tunneling Protocol L2TP - Layer Tunneling Protocol IPSec - Internet Protocol Security GRE - Generic Route Encapsulation AAA - Authentication-Authorization-Accounting IETF - Internet Enginneering Task Force CPE - Customer Premises Equipment ISP - Internet Service Provider RADIUS - Remote Authentication Dial-In User Service OTP - One-Time password PAP - Password Authentication Protocol CHAP - Challenge Handshake Authentication Protocol B TACACS - Termincal Access Controller Access Control System CA - Certificate Authority Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 -7- CÁC TỪ VIẾT TẮT LDAP - Lightweight Directory Access Protocol CRL - Certificate Revocation List SSL - Secure Socket Layer PGP - Pretty Good Privaty SET - Secure Electronics Transactions ESP - Encapsulation Security Payload AH - Authentication Header DES - Data Encryption Standard SPI - Security Parameters Index SA - Security Association ISAKMP - Internet Security Association and Key Management Protocol IV - Initialization Vector IKE - Internet Key Exchange SADB - Security Association Database SPD - Security Policy Database HMAC - Hashed Message Authentication Code MD5 - Message Digest SHA - Secure Hash Algorithm S/WAN - Secure Wide Area Network GPL - GNU Public Licence Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 -119- KẾT LUẬN với giao thức IPSec để tăng cường khả bảo vệ thông tin truyền mạng Internet  Nghiên cứu tường lửa (Firewall) để kết hợp với VPN để tạo nên sản phẩm có tính ưu việt kết hợp toán an ninh mạng với toán bảo mật mạng  Nghiên cứu sâu mặt kỹ thuật khác cài đặt phần mềm FreeSwan khả tạo VPN với người dùng di động (mobile user), toán phân phối khoá tự động dựa chứng số, thuật toán nén gói tin IP (IP Compression)  Nghiên cứu khả kết hợp phần mềm FreeSwan với hệ thống nhúng (embeded system) để tạo nên thiết bị an ninh, an toàn mạng chuyên dụng Do luận văn thực khoảng thời gian có hạn nên khơng thể tránh khỏi mặt cịn sai sót Tơi mong nhận nhận xét, đóng góp, trao đổi thầy cơ, bạn bè đồng nghiệp để hồn thiện mặt kiến thức Nguyễn Cảnh Khoa - Xử lý thông tin truyền thơng 2003 -120- TÀI LIỆU THAM KHẢO TµI LIƯU THAM KH¶O Dave kosiur, “Building and Managing Virtual Private Networks” USA, 1998 Harkins, D., and D Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998 Kent, S., and R Atkinson,"IP Authentication Header", RFC 2402, November 1998 Kent, S., and R Atkinson, "IP Encapsulating Security Payload (ESP)", RFC 2406, November 1998 Kent, S., and R Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998 Madson, C., and N Doraswamy, "The ESP DES-CBC Cipher Algorithm With Explicit IV", RFC 2405, November 1998 Madson, C., and R Glenn, "The Use of HMAC-MD5-96 within ESP and AH", RFC 2403, November 1998 Mark A.Miller, “Internetworking” Second Edition, P.E.1995, Printed in USA Michael A.Goulde, “Selecting an Internet Service and VPN Technology” April 1999 10 Matthew G.Naugle, “Network Protocol Handbook” McGraw-Hill, Inc.1994 11 Perkins, C., "IP Encapsulation within IP", RFC 2003, October 1996 12 Rivest, R., "The MD5 Message Digest Algorithm", RFC 1321, April 1992 13 William Stallings, “Data and Computer Communications” 1994 14 William Stallings, “Local And Metropolitan” Provided by Telstra 1993 15 “Internetworking with TCP/IP”, Volumn Prentice-Hall, 1991 16 ”Layer Tunneling Protocol” 1998 Cisco System 17 http://www.freeswan.org 18 http://www.juniper.net/ 19 http://www.cisco.com/ Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Biên dịch cài đặt phần mềm FreeSwan phô lôc BIÊN DỊCH VÀ CÀI ĐẶT PHẦN MỀM FREESWAN Chương trình phần mềm FreeSwan bao gồm thành phần: thành phần thứ module ipsec.o (là kernel module nằm môi trường nhân - kernel space) dùng để thực chức bảo mật gói tin nhân Linux, thành phần thứ hai chương trình tiện ích mơi trường người dùng (user space) dùng để nạp module ipsec.o, thực cấu hình, quản lý cho chương trình IPSec Sau tìm hiểu cách thức biên dịch cài đặt hai thành phần phần mềm FreeSwan Quá trình biên dịch cài đặt FreeSwan-1.3 nhân Linux 1.1 Các u cầu • Máy tính cài đặt Linux Red Hat 6.2 (phiên nhân 2.2.14-5.0) • Thư mục chứa mã nguồn (file freeswan-1.3.tar.gz) /usr/src • Sử dụng phiên làm việc với người dùng root (siêu người dùng) • Phải đảm bảo cài đặt gói kernel-source-2.2.14-5.0.i386.rpm gói kernel-headers-2.2.14-5.0.i386.rpm Ngồi gói phục vụ trình biên dịch phải cài đặt • Người biên dịch phải biết cách cài đặt chạy thử nhân khơng có hỗ trợ IPSec trước thực trình Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Biên dịch cài đặt phần mềm FreeSwan Sau copy file mã nguồn freeswan-1.3.tar.gz vào thư mục /usr/src phải giải nén file này: [root@khoanc]# cp freeswan-1.3.tar.gz /usr/src/ [root@khoanc/]# tar -xzvf /usr/src/freeswan-1.3.tar.gz Sau giải nén có thư mục freeswan-1.3 /usr/src Ở đây, chúng tơi trình bày hai phương pháp biên dịch để cài đặt phần mềm FreeSwan Phương pháp thứ cài đặt chế độ kernel Toàn KLIPS gắn trực tiếp vào mã nguồn nhân Phương pháp thứ hai cài đặt chế độ module KLIPS dịch dạng module gắn vào nhân IPSEC khởi động 1.2 Cài đặt chế độ kernel • Bước 1: Chuyển vào thư mục freeswan-1.3 sau giải nén Sau thực lệnh sau: [root@khoanc/]# cd /usr/src/freeswan-1.3 [root@khoanc/freeswan-1.3]# make insert [root@khoanc/freeswan-1.3]# make programs [root@khoanc/freeswan-1.3]# make install Lệnh make insert thực việc patch file cần thiết vào mã nguồn nhân để nhân hỗ trợ IPSEC; tạo thư mục ipsec /usr/src/linux2.2.14-5.0/net/ có file thư mục liên kết đến file mã nguồn IPSec Lần đầu tiên, lệnh tạo file /dev/ipsec để trao đổi với KLIPS Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Biên dịch cài đặt phần mềm FreeSwan • Bước 2: Cấu hình cài đặt nhân có hỗ trợ IPSec Chúng ta phải vào thư mục mã nguồn nhân /usr/src/linux-2.2.14-5.0 chạy lệnh sau để cấu hình cài đặt nhân có hỗ trợ IPSec: [root@khoanc/freeswan-1.3] cd /usr/src/linux [root@khoanc /linux] make menuconfig Lệnh make menuconfig đưa danh sách menu để lựa chọn tham số cấu hình nhân Ta quan tâm đến tuỳ chọn Networking options Các tham số cho IPSEC bao gồm: • CONFIG_IPSEC: Nếu chọn ‘y’ link tĩnh vào kernel, chọn ‘m’ đưa vào nhân dạng module, chọn ‘n’ bỏ tất • CONFIG_IPSEC_PFKEYv2: PF_KEYv2 kernel/user interface Tham số cung cấp cho RFC2367 định nghĩa PF_KEYv2 sockets đến kernel để gửi thơng tin khóa (từ keying daemon keyingd) • CONFIG_IPSEC_IPIP: IP-in-IP encapsulation Hỗ trợ chế độ đường ngầm (tunnel) Nếu bạn thiết lập IPSEC để bảo vệ thông tin hai mạng qua hai gateway lựa chọn phải thiết lập • CONFIG_IPSEC_ICMP: Enable ICMP PMTU messages • CONFIG_IPSEC_ESP: Encapsulating Security Payload Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Biên dịch cài đặt phần mềm FreeSwan Tuỳ chọn cung cấp việc bảo mật xác thực nội dung gói tin • CONFIG_AUTH_HMAC_MD5 Tuỳ chọn cung cấp việc xác thực gói tin theo phương pháp HMAC_MD5 • CONFIG_IPSEC_ENC_3DES Tuỳ chọn cung cấp việc mã hố gói tin theo thuật tốn mã khối AES • DEBUG_IPSEC: IPSEC Debugging Option Thiết lập thông tin gỡ rối chạy IPSEC Sau ghi lại cấu hình vừa thay đổi, chạy lệnh sau để tạo cài đặt nhân [root@khoanc /linux] make dep; make clean; make install hoặc: [root@khoanc /linux] make dep; make clean; make bzImage [root@khoanc /linux] copy arch/i386/boot/bzImage /boot/kernelipsec Thêm dòng sau vào cuối file /etc/lilo.conf: image = /boot/kernel-ipsec label = ipsec read-only Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Biên dịch cài đặt phần mềm FreeSwan root = /dev/hda1 Chạy lệnh: [root@khoanc /linux] lilo Đến đây, q trình biên dịch cài đặt hồn thành Nếu khởi động lại máy có nhân hỗ trợ IPSEC Nhưng để chạy phải thiết lập cấu hình cho hai file ipsec.conf ipsec.private IPSEC 1.3 Cài đặt chế độ module • Bước 1: Giống Bước chế độ kernel • Bước 2: [root@khoanc /freeswan-1.3] cd /usr/src/linux [root@khoanc /linux] make menuconfig Đánh dấu M vào tuỳ chọn IP Security Protocol menu Networking options M có nghĩa biên dịch phần IPSec nhân thành module Khi IPSec khởi động, nhân tự động nạp module Các tham số sau lựa chọn tương tự Sau ghi lại cấu hình, thực bước sau để tạo module ipsec.o: [root@khoanc /linux] make dep; make clean Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Biên dịch cài đặt phần mềm FreeSwan [root@khoanc /linux] make modules; make modules_install Sau bước make modules, thành công, tạo module ipsec.o thư mục /usr/src/linux/net/ipsec Lệnh make modules_install cài đặt module vào thư mục /lib/modules/2.2.14-5.0/misc để nhân nạp ipsec khởi động Lệnh make modules_install không cần thiết Thay lệnh việc copy file ipsec.o tạo vào thư mục /lib/modules/2.2.145.0/misc Nhận xét Quá trình biên dịch chế độ module tiện lợi dịch chế độ kernel Bởi chế độ kernel, phải dịch cài đặt lại nhân cài đặt IPSec Trong chế độ module thay đổi Makefile để trình biên dịch module dịch riêng module ipsec.o, q trình biên dịch cài đặt IPSec nhanh lên nhiều Quá trình biên dịch FreeSwan-1.3 mơi trường người dùng Chương trình FreeSwan cịn bao gồm chương trình tiện ích dùng để cấu hình, quản lý, chạy chương trình module IPSec nhân Linux Các chương trình tiện ích chạy môi trường người dùng (user space) Việc biên dịch cài đặt thực bước sau: Chúng ta chuyển vào thư mục /usr/src/FreeSwan, sau chạy lệnh make, lệnh make thực biên dịch file mã nguồn thành file thực thi Khi chạy xong Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Biên dịch cài đặt phần mềm FreeSwan lệnh make, dùng lệnh make install để cài đặt file thực thi vào hệ thống [root@khoanc /] cd /usr/src/FreeSwan [root@khoanc /freeswan-1.3] make [root@khoanc /freeswan-1.3] make install Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Thử nghiệm chương trình FreeSwan phơ lơc THỬ NGHIỆM CHƯƠNG TRÌNH FREESWAN Thiết lập cấu hình cho IPSEC 1.1 Mơ hình mạng Chúng tơi lấy mơ hình mạng phịng thí nghiệm, đấu nối vật lý địa mạng (địa IP) mô tả hình P2.1 Theo hình P2.1: IPsec1, IPSec2 hai gateway nối với qua HUB2 Computer1, Computer2 máy mạng IPSec1, IPSec2 Chúng ta thiết lập IPSEC hai gateway IPSec1, IPSec2 để bảo vệ thông tin trao đổi hai mạng 201.1.1.0/24 202.1.1.0/24 Sau thiết lập mạng theo mơ hình, cần thực bước sau: • Chạy linuxconf ifconfig để thiết lập gateway mặc định cho box5 box6 (200.1.1.6) ngược lại • Đặt tuỳ chọn net.ipv4.ip_forward = file /etc/sysctl.conf sử dụng lệnh: echo > /proc/sys/net/ipv4/ip_forward • Khởi động lại dịch vụ mạng: /etc/rc.d/init.d/network restart Thử dùng lệnh ping từ máy box2 sang box3, ping có nghĩa cấu hình mạng thành cơng Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Thử nghiệm chương trình FreeSwan Computer1 201.1.1.2 eth0 Mạng 201.1.1.0/24 Computer2 202.1.1.3 eth0 HUB1 HUB3 eth0 201.1.1.5 IPSec1 200.1.1.5 eth1 eth0 202.1.1.6 IPSec2 200.1.1.6 eth1 Gateway Mạng 202.1.1.0/24 Gateway HUB2 Hình P2.1: Mơ hình thử nghiệm IPSec 1.2 Cấu hình IPSEC IPSec cho phép thiết lập kết nối hai mạng theo hai chế độ: trao đổi khố thủ cơng trao đổi khoá tự động Ở đây, xem xét cách thức cấu hình cho IPSec chế độ trao đổi khố thủ cơng (manual key) Trao đổi khố thủ cơng Ở chế độ khố phải tạo trước ghi vào file cấu hình (/etc/ipsec.conf) Chế độ an toàn so với chế độ trao đổi khố tự động • Tại IPSec1: Tạo file /etc/ipsec.conf (touch /etc/ipsec.conf) có dạng: # File cấu hình IPSEC - /etc/ipsec.conf config setup Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Thử nghiệm chương trình FreeSwan interfaces = "ipsec0 = eth1" knmsdebug = none plutodebug = none plutoload = %search plutostart = %search conn box5_box6 keyingtries = sa = 0x200 esp = True # khố mã dịch có độ dài 512 bit (ở lấy ví dụ 16 số dạng # 0x12345678 cách dấu gạch dưới) espenckey = [0x12345678_12345678_ _12345678] # khố xác thực có độ dài 128 bit authkey = 0x12345678_12345678_12345678_12345678 left = 200.1.1.5 leftsubnet = 201.1.1.0/24 right = 200.1.1.6 #box5_box6 rightsubnet = 202.1.1.10/24 Ý nghĩa tham số sau:  interfaces = "ipsec0 = eth1": tham số card mạng ảo ipsec0 gắn vào card mạng vật lý eth1 IPSEC hoạt động  sa: sè SA sử dụng cho kết nối Số phải dạng 0xhex, hex nhiều số thập lục phân (hexadecimal) (chú ý, nhìn chung cần tạo số sa nhỏ 0x100 để IPSEC chấp nhận được) Nguyn Cnh Khoa - X lý thông tin truyền thông 2003 PHỤ LỤC - Th nghim chng trỡnh FreeSwan esp: xác định gói tin sử dụng gói tin ESP  espenckey: khãa m· hãa cña ESP  espauthkey: khóa xác thực ESP left: tham số xác định địa IP cổng an ninh bên trái (left participant) giao diện mạng công cộng leftsubnet: tham số xác định mạng cổng an ninh bên trái, biểu diễn network/netmask Nếu tham số bị bỏ qua giả định left/32, có nghĩa đầu cuối bên trái kết nối cổng an ninh bên trái ã Tại IPSec2: Tạo file ipsec.conf thư mục /etc giống IPSec1 Kiểm tra trình cài đặt cấu hình • Khởi động lại IPSec1 IPSec2 để khởi động ipsec (ipsec setup start) • Đối với trường hợp trao đổi khố thủ cơng sử dụng lệnh: ipsec manual up sample hai máy để IPSEC hoạt động Tại Computer1 (201.1.1.2) chạy lệnh ping 202.1.1.3, ping trình thiết lập cấu hình thành công Nếu không, phải kiểm tra lại bước • Sử dụng lệnh ipsec barf, ipsec look, ipsec tncfg để xem thông tin gỡ rối Nguyễn Cảnh Khoa - Xử lý thông tin truyền thơng 2003 PHỤ LỤC - Thử nghiệm chương trình FreeSwan • Nếu lệnh ping khơng chạy kiểm tra giá trị ip_forward /proc/sys/net/ipv4 có khơng, sau kiểm tra lại q trình cấu hình ipsec • Dùng chương trình tcpdump để kiểm tra thơng tin trao đổi Computer1 Computer2 mã hoá chưa Tại Computer2 dùng lệnh ping 202.1.1.3 -p 414243, lệnh ping với tham số -p 414243 gửi liệu ba ký tự A (41) B (42) C(43) sang máy 202.1.1.3 Tại máy Window (200.1.1.1) kiểm tra lệnh tcpdump -i eth0 -w-Thơng tin hình cho biết có mã hố hay khơng Computer1 201.1.1.2 eth0 Sử dụng lệnh: ping 202.1.1.3 -p 414243 Computer2 202.1.1.3 eth0 HUB1 HUB3 eth0 201.1.1.5 IPSec1 200.1.1.5 eth1 eth0 202.1.1.6 IPSec2 200.1.1.6 eth1 HUB2 Máy Window 200 1 Kiểm tra lệnh: C:\> tcpdump -i eth0 -w- Hình P2.2: Kiểm tra hoạt động IPSec Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 PHỤ LỤC - Thử nghiệm chương trình FreeSwan • Tại IPSec1 (hoặc IPSec2) sử dụng lệnh ipsec look để xem thông tin liên quan: box6 Tue Jun 26 10:55:17 ICT 2001 ============-============ 202.1.1.0/24 -> 201.1.1.0/24 => tun0x104@200.1.1.5 esp0x464abd31@200.1.1.5 = -esp0x464abd30@200.1.1.5 ESP_3DES_HMAC_MD5: dir=out ooowin=32 alen=128 aklen=128 eklen=192 life(c,s,h)=add(12766,0,0) esp0x464abd31@200.1.1.5 ESP_3DES_HMAC_MD5: dir=out ooowin=32 alen=128 aklen=128 eklen=192 life(c,s,h)=add(12767,0,0) esp0xc574a827@200.1.1.6 ESP_3DES_HMAC_MD5: dir=in ooowin=32 alen=128 aklen=128 eklen=192 life(c,s,h)=add(12766,0,0) esp0xc574a828@200.1.1.6 ESP_3DES_HMAC_MD5: dir=in ooowin=32 alen=128 aklen=128 eklen=192 life(c,s,h)=add(12767,0,0) tun0x101@200.1.1.6 IPIP: dir=in 200.1.1.5 -> 200.1.1.6 life(c,s,h)=add(12766,0,0) tun0x102@200.1.1.5 IPIP: dir=out 200.1.1.6 -> 200.1.1.5 life(c,s,h)=add(12766,0,0) tun0x103@200.1.1.6 IPIP: dir=in 200.1.1.5 -> 200.1.1.6 life(c,s,h)=add(12767,0,0) tun0x104@200.1.1.5 IPIP: dir=out 200.1.1.6 -> 200.1.1.5 life(c,s,h)=add(12767,0,0) Destination Gateway Genmask Flags 0.0.0.0 200.1.1.5 0.0.0.0 UG 0 eth1 200.1.1.0 0.0.0.0 255.255.255.0 U 0 eth1 200.1.1.0 0.0.0.0 255.255.255.0 U 0 ipsec0 200.1.1.6 0.0.0.0 255.255.255.255 UH 0 eth1 201.1.1.0 200.1.1.5 255.255.255.0 0 ipsec0 UG MSS Window Nguyễn Cảnh Khoa - Xử lý thông tin truyền thông 2003 irtt Iface ... liên quan đến kỹ thuật mạng riêng ảo, mơ hình mạng riêng ảo, giao thức dùng cho mạng riêng ảo Các khía cạnh tính riêng tư bí mật giao thức dùng cho mạng riêng ảo xem xét kỹ Trong luận văn có giới... riêng ảo phải mang tính chất riêng tư bảo mật Dùng biện pháp bảo mật tránh cặp mắt soi mói kẻ ăn trộm thông tin mạng Như vậy, đời sản phẩm mạng riêng ảo tất yếu Mạng riêng ảo gồm có sản phẩm phần... riêng ảo 1.2 Các dịch vụ bảo mật Các dịch vụ bảo mật có ý nghĩa vô quan trọng Trong hầu hết sử dụng bảo mật, tính ? ?riêng tư” VPN mang ý nghĩa đường hầm hai người dùng mạng VPN xuất liên kết riêng

Ngày đăng: 13/02/2021, 20:12

Nguồn tham khảo

Tài liệu tham khảo Loại Chi tiết
1. Dave kosiur, “Building and Managing Virtual Private Networks”. USA, 1998 Sách, tạp chí
Tiêu đề: Building and Managing Virtual Private Networks
2. Harkins, D., and D. Carrel, "The Internet Key Exchange (IKE)", RFC 2409, November 1998 Sách, tạp chí
Tiêu đề: The Internet Key Exchange (IKE)
3. Kent, S., and R. Atkinson,"IP Authentication Header", RFC 2402, November 1998 Sách, tạp chí
Tiêu đề: IP Authentication Header
4. Kent, S., and R. Atkinson, "IP Encapsulating Security Payload (ESP)", RFC 2406, November 1998 Sách, tạp chí
Tiêu đề: IP Encapsulating Security Payload (ESP)
5. Kent, S., and R. Atkinson, "Security Architecture for the Internet Protocol", RFC 2401, November 1998 Sách, tạp chí
Tiêu đề: Security Architecture for the Internet Protocol
6. Madson, C., and N. Doraswamy, "The ESP DES-CBC Cipher Algorithm With Explicit IV", RFC 2405, November 1998 Sách, tạp chí
Tiêu đề: The ESP DES-CBC Cipher Algorithm With Explicit IV
7. Madson, C., and R. Glenn, "The Use of HMAC-MD5-96 within ESP and AH", RFC 2403, November 1998 Sách, tạp chí
Tiêu đề: The Use of HMAC-MD5-96 within ESP and AH
8. Mark A.Miller, “Internetworking”. Second Edition, P.E.1995, Printed in USA Sách, tạp chí
Tiêu đề: Internetworking
9. Michael A.Goulde, “Selecting an Internet Service and VPN Technology”. April 1999 Sách, tạp chí
Tiêu đề: Selecting an Internet Service and VPN Technology
10. Matthew G.Naugle, “Network Protocol Handbook”. McGraw-Hill, Inc.1994 Sách, tạp chí
Tiêu đề: Network Protocol Handbook
11. Perkins, C., "IP Encapsulation within IP", RFC 2003, October 1996 Sách, tạp chí
Tiêu đề: IP Encapsulation within IP
12. Rivest, R., "The MD5 Message Digest Algorithm", RFC 1321, April 1992 Sách, tạp chí
Tiêu đề: The MD5 Message Digest Algorithm
13. William Stallings, “Data and Computer Communications”. 1994 Sách, tạp chí
Tiêu đề: Data and Computer Communications
14. William Stallings, “Local And Metropolitan”. Provided by Telstra 1993 Sách, tạp chí
Tiêu đề: Local And Metropolitan
15. “Internetworking with TCP/IP”, Volumn 1 Prentice-Hall, 1991 Sách, tạp chí
Tiêu đề: Internetworking with TCP/IP
16. ”Layer 2 Tunneling Protocol”. 1998 Cisco System 17. http://www.freeswan.org Link
w