Ứng dụng IPSEC VPN trong bảo mật tầng mạng

BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN THANH SƠN ỨNG DỤNG IPSEC VPN TRONG BẢO MẬT TẦNG MẠNG LUẬN VĂN THẠC SĨ KỸ THUẬT MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG DỮ LIỆU Hà Nội – Năm 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN THANH SƠN ỨNG DỤNG IPSEC VPN TRONG BẢO MẬT TẦNG MẠNG Chun ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG DỮ LIỆU LUẬN VĂN THẠC SĨ KỸ THUẬT MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG DỮ LIỆU NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS TS NGUYỄN LINH GIANG Hà Nội – Năm 2018 LỜI CẢM ƠN Đầu tiên, muốn gửi lời biết ơn chân thành tới PGS, TS: Nguyễn Linh Giang, người trực tiếp hướng dẫn và giúp đỡ tận tình cho về kiến thức, định hướng và tài liệu tham khảo quý báu Tiếp theo, xin cảm ơn các thầy cô Viện Công nghệ thông tin và Truyền thông – Đại học Bách khoa Hà Nội đã giảng dạy, truyền đạt kiến thức cho suốt thời gian qua Tôi cũng xin cảm ơn gia đình, bạn bè đã chia sẻ, giúp đỡ tôi học tập và thời gian thực hiện nghiên cứu đề tài này Trong luận văn này chắc chắn không tránh khỏi những chỗ thiếu sót, mong nhận được những lời góp ý, chỉ bảo từ các thầy cô để có thể hoàn thiện đề tài của mình tốt hơn Hà Nội, ngày 22 tháng 03 năm 2018 Người thực LỜI CAM ĐOAN Luận văn Thạc sĩ “Ứng dụng IPSec VPN bảo mật tầng mạng” là công trình của cá nhân tôi Các nội dung nghiên cứu và kết quả trình bày luận văn là trung thực rõ ràng Các tài liệu tham khảo nội dung trích dẫn đã ghi rõ nguồn gốc Hà Nội, ngày 22 tháng 03 năm 2018 Người thực DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT Chữ viết tắt IPSec VPN IP TCP UDP DNS SMTP ICMP IGMP TLS HTTP ISP DES 3DES AES IDEA MD5 SHA-1 DSA ECDSA WAN ESP AH IKE IPcomp MAC AES TTL NAT SPI SA ASCII IV DSS PKI DH Ý nghĩa đầy đủ Internet Protocol Security Private Virtual Network Internet Protocol Transmission Control Protocol User Datagram Protocol Domain Name System Simple Mail Transfer Protocol Internet Control Message Protocol Internet Group Management Protocol Transport Layer Security Hypertext Transfer Protocol Internet Service Provider Digital Encryption Standard Triple Digital Encryption Standard Advanced Encryption Standard International Data Encryption Algorithm Message Digest Secure Hash Algorithm Digital Signature Algorithm Elliptic Curve Digital Signature Algorithm Wide Area Network Encapsulating Security Payload Authentication Header Internet Key Exchange Internet Protocol Payload Compression Protocol Message Authentication Code Advanced Encryption Standard Time to Live Network Address Translation Security Parameters Index Security Association American Standard Code for Information Interchange Initialization Vector Digital Signature Standard Public Key Infrastructure Diffie-Hellman SAD SPD L2TP DSP CRL DHCP PPTP CA OCSP LDAP TACACS RADIUS EAP CPU PFS IETF DPD NVD PAP PPP GRE MPPE L2VPN URL TLS SSL SSH CLI ISAKMP EIGRP Security Association Database Security Policy Database Layer Tunneling Protocol Digital Subscriber Line Certifiactes Revocation Lists Dynamic Host Configutation Protocol Point-To-Point Tunneling Protocol Certification Authority Online Certificate Status Protocol Light Directory Access Protocol Terminal Access Controller Access Control System Remote Authentication Dial In User Service Extensible Authentication Protocol Central Processing Unit Perfect Forward Secrecy Internet Engineering Task Force Dead Peer Detection National Vulnerability Database Password Authentication Protocol Point-to-Point Generic Routing Encapsulation Microsoft Point-to-Point Encryption Layer Virtual Private Networks Uniform Resource Locator Transport Layer Security Secure Sockets Layer Secure Shell Command Line Interface Internet Security Association và Key Management Protocol Enhanced Interior Gateway Routing Protocol DANH MỤC CÁC HÌNH VẼ Hình 1: Kiến trúc Gateway-to-Gateway 14 Hình 2: Kiến trúc Host-to-Gateway 15 Hình 3: Kiến trúc Host-to-Host 16 Hình 4: Gói tin AH chế độ Tunnel 18 Hình 5: Gói tin AH chế độ Transoprt 18 Hình 6: AH header 20 Hình 7: Mẫu gói tin AH chế độ transport 20 Hình 8: Các trường của AH header 21 Hình 9: Gói tin ESP chế độ tunnel 22 Hình 10: Gói tin ESP chế độ transport 22 Hình 11: Các trường gói tin ESP 24 Hình 12: Gói tin ESP 25 Hình 13: ESP header 25 Hình 14: Diễn giải cặp bản tin đầu chế độ main 27 Hình 15: Diễn giải cặp bản tin thứ hai chế độ main 28 Hình 16: Diễn giải cặp bản tin thứ ba chế độ main 28 Hình 17: Biểu diễn của một bản tin chế độ quick 30 Hình 18: Chính sách an ninh tương ứng với peer 59 Hình 19: Cấu hình IPsec trasfrom set 60 Hình 20: Tạo crypto map 62 Hình 21: Áp dụng crypto map vào interface 62 Hình 22: Hiển thị cấu hình sách IPsec 63 Hình 23: Hiển thị crypto map 63 Hình 24: Hiển thị IKE SA 64 Hình 25: Hiển thị các SA không được sử dụng 64 Hình 26: Thiết lập debug IPsec 65 Hình 27: Thực hiện gửi gói tin ping 65 Hình 28: Kết quả sử dụng IPsec gửi gói tin ping 66 DANH MỤC CÁC BẢNG Bảng 1: So sánh IPSec tùy chọn thay thế 55 MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC BẢNG MỤC LỤC MỞ ĐẦU Lý chọn đề tài Mục đích nghiên cứu Phạm vi nghiên cứu Bố cục luận văn 10 NỘI DUNG 11 Chương 1: Tổng quan bài toán bảo mật tầng mạng 11 1.1 Bài toán bảo mật tầng mạng 11 1.2 Internet Protocol Security (IPsec) 13 1.3 Mạng riêng ảo (VPN) 13 Chương 2: Tổng quan về IPSec 18 2.1 Authentication Header (AH) 18 2.2 Encapsulating Security Payload (ESP) 21 2.3 Internet Key Exchange (IKE) 25 2.4 Giao thức nén IP Payload Compression Protocol (IPComp) 31 2.5 Tích hợp các thành phần 32 Chương 3: Thực thi IPSec 36 3.1 Xác định nhu cầu 36 3.2 Thiết kế các giải pháp 37 3.3 Thực thi và kiểm thử mẫu 43 3.4 Triển khai giải pháp 46 3.5 Quản lý giải pháp 47 Chương 4: Các tùy chọn giao thức VPN 48 4.1 Giao thức VPN tầng liên kết dữ liệu 48 4.2 Giao thức VPN tầng giao vận 50 4.3 Giao thức VPN tầng ứng dụng 53 Chương 5: Kết quả thực nghiệm sử dụng IPSec 56 5.1 Kịch bản 56 5.2 Kết quả đạt được 63 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 67 TÀI LIỆU THAM KHẢO 68 Giải pháp IPsec PPTP L2TP L2F Ưu điểm + Được hỗ trợ hầu hết các hệ điều hành + Có thể cung cấp mã hóa mạnh mẽ và bảo vệ toàn vẹn + Trong suốt đối với khách hàng kiến trúc gateway-to-gateway + Có thể sử dụng một loạt các giao thức xác thực Nhược điểm Tiềm thay thế IPSec N/A + Chỉ có thể bảo vệ truyền thông dựa trên IP + Yêu cầu phần mềm máy khách phải được cấu hình (và cài đặt trên thiết bị không cài đặt phần mềm client) đối với kiến trúc host-to-gateway host-to-host + Không bảo vệ truyền thông giữa các khách hàng và cổng IPsec kiến trúc gateway-to-gateway + Có thể bảo vệ các giao + Yêu cầu phần mềm máy Không thức không phải là IP khách phải được cấu hình (và cài đặt trên thiết bị không cài đặt phần mềm client) + Tồn tại những điểm yếu bảo mật + Không cung cấp xác thực mạnh mẽ + Chỉ hỗ trợ một phiên trên một đường hầm + Có thể bảo vệ các giao + Yêu cầu phần mềm máy Bảo vệ truyền thức không phải là IP khách phải được cấu hình (và thông Dial-up + Có thể hỗ trợ nhiều phiên cài đặt trên thiết bị không cài trên một đường hầm đặt phần mềm client) + Có thể sử dụng các giao thức xác thực như RADIUS + Có thể sử dụng IPsec để cung cấp dịch vụ mã hóa và quản lí quan trọng + Có thể bảo vệ các giao + Yêu cầu sự tham gia của Không thức không phải là IP ISP + Trong suốt với khách + Không bảo vệ truyền thông hàng giữa Client và ISP + Có thể sử dụng giao thức + Không cung cấp mã hóa, xác thực như RADIUS phải dựa trên các dịch vụ mã hóa PPP, mà đã biết điểm yếu 54 SSL/TSL + Được hỗ trợ hầu hết các trình duyệt Web + Có thể cung cấp mã hóa mạnh mẽ SSL/TSL Proxy Server + Được hỗ trợ hầu hết các trình duyệt Web + Có thể cung cấp mã hóa mạnh mẽ + Có thể cung cấp nhiều tầng xác thực Applicatio + Cung cấp bảo vệ dạng n hạt cho truyền thông ứng Layer dụng VPN + Có thể chỉ bảo vệ truyền thông dựa trên TCP + Yêu cầu máy chủ và máy khách ứng dụng phải hỗ trợ SSL/TLS + Thường được thực hiện để xác thực từ máy chủ tới khách hàng, nhưng không phải là từ khách hàng đến máy chủ + Có thể chỉ bảo vệ truyền thông dựa trên TCP + Yêu cầu máy chủ và máy khách ứng dụng phải hỗ trợ SSL/TLS + Không bảo vệ truyền thông giữa máy chủ proxy và máy chủ ứng dụng + Chỉ có thể bảo vệ một số tất cả các truyền thông cho một ứng dụng + Thường không thể được đưa vào phần mềm off-theshelf + Thường sử dụng mã hóa độc quyền các cơ chế xác thực có thể có những điểm yếu nghiêm trọng Bảo vệ truyền thông cho một số ít các ứng dụng dựa HTTP mà không yêu cầu xác thực mạnh cung cấp cơ chế xác thực mạnh Bảo vệ truyền thông cho một số lượng lớn các ứng dụng dựa HTTP Bảo vệ truyền thông cho ứng dụng riêng lẻ được thiết kế để sử dụng mã hóa đã được chứng minh và triển khai thuật toán xác thực Bảng 1: So sánh IPSec tùy chọn thay 55 Chương 5: Kết quả thực nghiệm sử dụng IPSec Hình 18: Đồ hình mạng site-to-site 5.1 Kịch bản Tiến hành cấu hình mô hình site-to-site IPSec VPN Sau cấu hình VPN, các lưu lượng giữa cổng loopback trên router R1 và R3 được mã hóa Trong bài lab này, sử dụng giao diện dòng lệnh CLI của Cisco IOS ● Bước 1: Cấu hình địa chỉ: cấu hình cổng loopback và cổng serial với địa chỉ như hình 18 Set clock rate cho cổng serial của router và sử dụng lệnh “no shut” trên tất cả các cổng kết nói để bật các cổng đó R1(config)# interface loopback0 R1(config-if)# ip address 172.16.1.1 255.255.255.0 R1(config-if)# interface f0/0 R1(config-if)# ip address 192.168.12.1 255.255.255.0 R1(config-if)# no shutdown R2(config)# interface f0/0 R2(config-if)# ip address 192.168.12.2 255.255.255.0 R2(config-if)# no shutdown R2(config-if)# interface serial1/0 R2(config-if)# ip address 192.168.23.2 255.255.255.0 R2(config-if)# clockrate 64000 56 R2(config-if)# no shutdown R3(config)# interface loopback0 R3(config-if)# ip address 172.16.3.1 255.255.255.0 R3(config-if)# interface serial1/0 R3(config-if)# ip address 192.168.23.3 255.255.255.0 R3(config-if)# no shutdown ● Bước 2: Cấu hình EIGRP: dể trì kết nối giữa các mạng, chúng ta cấu hình EIGRP để định tuyến giữa các mạng trên mô hình Thêm tất cả các mạng được kết nối vào AS EIGRP trên mỗi router Tắt chức auto-summary R1(config)# router eigrp R1(config-router)# no auto-summary R1(config-router)# network 172.16.0.0 R1(config-router)# network 192.168.12.0 R2(config)# router eigrp R2(config-router)# no auto-summary R2(config-router)# network 192.168.12.0 R2(config-router)# network 192.168.23.0 R3(config)# router eigrp R3(config-router)# no auto-summary R3(config-router)# network 172.16.0.0 R3(config-router)# network 192.168.23.0 ● Bước 3: thiết lập chính sách IKE: Từ IPsec trở thành một chương trình khung, nó cho phép chúng ta có thể thay đổi những giao thức bảo mật với những kỹ thuật mới (bao gồm thuật toán mã hóa) được phát triển Có thành phần cấu hình trung tâm để thực thi một Ipsec VPN: ✓ Thực thi các thông số Internet Key Exchange (IKE) ✓ Thực thi các thông số IPsec Phương thức trao đổi được thực hiện IKE được sử dụng đầu tiên để vượt qua và xác nhận tính hợp lệ của chính sách IKE giữa các peer Sau đó các peer trao đổi và phù hợp các chỉnh sách IPsec để xác thực và mã hóa các lưu lượng dữ liệu 57 Chính sách IKE điểu khiển xác thực, thuật toán mã hóa và phương thức trao đổi khóa được sử dụng theo những đề xuất IKE được gửi và nhận các IPsec endpoint Chính sách IPsec được sử dụng để mã hóa những dữ liệu được gửi qua VPN tunnel Để cho phép đàm phán pha IKE, phải tạo một liên kết an ninh mạng và giao thức quản lý khóa (ISAKMP – Internet Security Association Key Management Protocol) Một chính sách ISAKMP xác định thuật toán xác thực và mã hóa và hàm băm được sử dụng để gửi các lưu lượng điều khiển giữa VPN endpoint Khi một ISAKMP được chấp nhận các peer, pha IKE được hoàn tất Các thông số pha IKE được cấu hình sau.Các thông số cần nhập cho ISAKMP bao gồm: ✓ ✓ ✓ ✓ authentication Set authentication method for protection suite default Set a command to its defaults encryption Set encryption algorithm for protection suite exit Exit from ISAKMP protection suite configuration mode ✓ group Set the Diffie-Hellman group ✓ hash Set hash algorithm for protection suite ✓ lifetime Set lifetime for ISAKMP security association ✓ no Negate a command or set its defaults Chi tiết cấu hình tại router R1 và R3 như sau: R1(config)# crypto isakmp policy 10 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption aes 256 R1(config-isakmp)# hash sha R1(config-isakmp)# group R1(config-isakmp)# lifetime 3600 R3(config)# crypto isakmp policy 10 R3(config-isakmp)# authentication pre-share R3(config-isakmp)# encryption aes 256 R3(config-isakmp)# hash sha 58 R3(config-isakmp)# group R3(config-isakmp)# lifetime 3600 Ngoài ra, cũng có thể cấu hình hình chính sách IKE cho router Số ưu tiên khác tương ứng với mức độ bảo mật của chính sách Số ưu tiên càng thấp thì chính sách càng bảo mật Trên các router có thể kiểm tra xem chính sách an ninh nào có thể tương thích với các peer của nó Có thể xem các chính sách IKE sử dụng câu lệnh “show crypto isakmp policy”: Hình 18: Chính sách an ninh tương ứng với peer ● Bước 4: cấu hình Pre-shared Keys: Nếu chúng ta lựa chọn pre-shared keys làm phương pháp xác thực chính sách IJKE, chúng ta phải cấu hình khóa trên mỗi router tương ứng với các VPN endpoint khác Những khóa này phải phù hợp để xác thực có thể thành công và cho các IKE peer có thể hình thành Sử dụng câu lệnh “crypto isakmp key address ” chế độ global configuration để nhập pre-shared key Mỗi địa chỉ IP được sử dụng để cấu hình IKE peer cũng là những địa chỉ IP của VPN endpoint đối diện Chúng ta cũng có thể sử dụng hostname để xác định các peer (thay thế từ khóa address hostname) nếu địa chỉ IP có thể có nhiều thay đổi R1 (config)# crypto isakmp key cisco address 192.168.23.3 R3 (config)# crypto isakmp key cisco address 192.168.12.1 59 ● Bước 5: Cấu hình IPsec Transform Set Lifetimes: IPsec transform set là một tham số cấu hình cypto khác được router sử dụng để đàm phán dạng an ninh Một cách tương tự như chính sách ISAKMP, nhiều transform có thể tồn tại router Router so sánh những transform set này với các peer đối diện đến chúng tìm thấy transform set phù hợp hoàn toàn Tạo một IPsec trasfrom set, sử dụng cấu trúc “cypto ipsec transform-set ” Với router R1 và R3, tạo transform set với tag 50 và sử dụng ESP transform với AES 256 trước, với giao thức đóng gói an toàn (ESP – Encapsulation Security Protocol) và hàm băm SHA và cuối xác thực header sử dụng SHA Hình 19: Cấu hình IPsec trasfrom set Thực thi câu lệnh trên được chuyển vào chế độ configuration transform set, và có thể gõ “exit” để thoát khỏi chế độ này nếu không ḿn cấu hình thêm tham số cho transform set Cấu hình tương tự với R3 60 Tiếp theo thay đổi tham số lifetime với mặc định là 3600s hay 4.608.000 kilobytes Ta sử dụng một câu liệnh: “crypto ipsec security-association lifetime seconds ” “crypto ipsec security-association lifetime kilobytes ” R1 (config)# crypto ipsec security-association lifetime seconds 1800 R3 (config)# crypto ipsec security-association lifetime seconds 1800 ● Bước 6: Xác định các lưu lượng cho phép sử dụng access control list Trong kịch bản này, lưu lượng muốn mã hóa là những lưu lượng từ mạng loopback R1 đến mạng loopback R3 Những access list này được sử dụng trên outbound của cổng VPN endpoint R1 (config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 R3 (config)# access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 ● Bước 7: Tạo và áp dụng Crypto Map: Cấu hình xong các thành phần, bây giờ kết nối chúng với một scrypto map Crypto map là một ánh xạ mà các lưu lượng kết hợp tương thích một access list với một peer và những tùy chỉnh IKE IPsec Crypto map có thể có nhiều khai báo map, vậy có thể có những lưu lượng phù hợp với những access list nào đó được mã hóa và gửi đến một IPsec peer, và những lưu lượng khác phù hợp với access list khác được mã hóa và chuyển đến peer khác Sau một crypto map được tạo, nó có thể được áp dụng vào hay nhiều interface Các interface được áp dụng nên là những interface đối diện với các IPsec peer Để tạo một crypto map, sử dụng câu lệnh “crypto map ” chế độ global configuration để chuyển sang chế độ crypto map configuration Sử dụng câu lệnh “match address Để xác định loại lưu lượng cần mã hóa 61 Có nhiều nhiều lệnh set có thể thực hiện crypto map Chi tiết cấu hình cho R1 và R3 như sau: Hình 20: Tạo crypto map Crypto map đã được tạo xong, bước cuối quá trình tạo site-to-site VPN là áp dụng map vào các interface Hình 21: Áp dụng crypto map vào interface 62 5.2 Kết quả đạt được 5.2.1 Kiểm tra cấu hình IPsec Ở bước đã sử dụng câu lệnh “show crypto isakmp policy” để hiển thị cấu hình sách ISAKMP router Một cách tương tự, câu lệnh “show crypto ipsec transform-set” hiển thị cấu hình chính sách IPsec transform set Hình 22: Hiển thị cấu hình sách IPsec Sử dụng câu lệnh “show crypto map” để hiển thị crypto map được áp dụng trên router Hình 23: Hiển thị crypto map 63 5.2.2 Kiểm tra hoạt động IPsec Nếu sử dụng lệnh “show crypto isakmp sa”, nó trả về là không có IKE SA nào tồn tại Đến chúng ta gửi một vài lưu lượng qua mạng, kết quả trả về thay đổi Hình 24: Hiển thị IKE SA Nếu sử dụng câu lệnh “show crypto ipsec sa” câu lệnh này hiển thị các SA không được sử dụng giữa R1 và R3 Hình 25: Hiển thị SA không sử dụng 64 5.2.3 Debug trình hoạt động IPsec Trong quá trình truyền tin giữa các VPN endpoint, ISAKMP đưa các luật một cách nghiêm ngặt chỉ cách các SA được thiết lập IKE pha (ISAKMP) đàm phàn một kênh mật giữa các endpoint, xác thực hàng xóm nếu có khóa mật đúng, và xác thực các endpoint đối diện thông qua kênh mật IKE pha sử dụng chế độ “main mode”, chế độ này bao gồm thông điệp quá trình trao đổi Kết quả là thiết lập được trao đổi mật ISAKMP chiều Quá trình trao đổi là một chuỗi các hoạt động vào ra, vậy mỗi sự kiện được ghi lại debug như những sự kiện vào dữ liệu từ router nội bộ hay router từ xa IKE pha (IPsec) tiến hành đàm phàn IPsec tunnel giữa endpoint, xác thực các peer, và mã hóa lưu lượng dữ liệu truyền giữa chúng thông qua tunnel được mã hóa IKE pha sử dụng một tiến trình gọi là “quick mode” để thực hiện quá trình trao đổi và thiết lập trao đổi mật chiều Trên R1, ta có thể thực hiện câu lệnh debug là “debug crypto isakmp” và “debug crypto ipsec” Hình 26: Thiết lập debug IPsec Sau gõ câu lệnh trên, bây giờ chúng ta gửi một gói tin ping từ cổng loopback của R1 đến cổng loopback của R3, và xem thông tin debug trả về trên cả router Chúng ta thấy được cả quá trình là đàm phán ISAKMP và quá trình IPsec Hình 27: Thực gửi gói tin ping 65 Khi R1 dò tìm lưu lượng truy cập hướng về phía R3, bản đồ crypto được định nghĩa trên giao diện Fast Ethernet của R1 đòi hỏi sự thay đổi trạng thái IPsec từ không hoạt động sang hoạt động Bộ IPsec cố gắng tăng mối liên kết bảo mật giữa R1 và R3 để truyền lưu lượng truy cập an toàn với các thông số IPsec đã được định cấu hình trước đó Các quy trình ISAKMP trên mỗi điểm cuối VPN bây giờ nhận thức được một hiệp hội bảo mật được cố gắng và chuẩn bị để gửi các chính sách ISAKMP Một cấu trúc ISAKMP peer bộ nhớ, cung cấp một phương tiện để lưu trữ các thông số và chính sách liên quan đến trao đổi khóa IKE giai đoạn Các peers truyền thông trên cổng 500 trên cả hai đầu giữa các địa chỉ IP của các giao diện mã hóa trên mỗi router ISAKMP tạo và chèn một cấu trúc bộ nhớ đại diện cho liên kết bảo mật ISAKMP vào cấu trúc peer mà nó vừa tạo Chế độ aggressive là một quá trình trao đổi, đó tất cả IKE Phase được đàm phán với một trao đổi Chế độ này rõ ràng là an toàn hơn so với chế độ main, dựa vào ba sự trao đổi: trao đổi chính sách ISAKMP, trao đổi khoá Diffie-Hellman, và một bài kiểm tra chứng thực được mật mã bắt đầu mối liên hệ bảo mật ISAKMP được sử dụng cho Giai đoạn Trong chế độ aggressive, thông tin ít hơn được trao cho nút từ xa trước nút từ xa phải giao tiếp và có thể được xác thực Hình 28: Kết sử dụng IPsec gửi gói tin ping 66 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN A Kết luận Luận văn tốt nghiệp với đề tài: “Ứng dụng IPSec VPN bảo mật tầng mạng” đã cơ bản hoàn thành Đề tài đã giải quyết được các vấn đề sau: ● Hiểu được tính cấp thiết của bảo mật tầng mạng vấn đề an toàn an ninh thông tin Internet Protocol Security (IPsec) đã lên như kiểm soát an ninh mạng được sử dụng phổ biến tầng mạng để bảo vệ giao tiếp truyền thông ● Hiểu được các thành phần chính của IPSec và cách kết hợp các thành phần đó ● Hiểu được việc lập kế hoạch và thực thi IPSec ● Trình bày về các giải pháp thay thế cho IPSec, đánh giá ưu điểm, nhược điểm của các giải pháp Các kết quả chính đạt được luận văn: ● Giúp đánh giá tính khả thi của các giải pháp bảo mật, từ đó lựa chọn giải pháp bảo mật phù hợp với từng điều kiện cụ thể ● Trong phần thực nghiệm, đã giải quyết một bài toán bảo mật cụ thể Những khó khăn và hướng giải quyết ● Những khó khăn gặp phải quá trình thực hiện đề tài: o Có nhiều thuật toán chưa từng được tiếp cận biết đến o Học viên chưa được triển khai thực tế ● Hướng giải quyết: o Tìm đọc sách liên quan o Sử dụng GNS3 làm thực nghiệm o Học hỏi từ những người có kinh nghiệm B Hướng phát triển đề tài IPSec cịn có những điểm ́u định nhưng nó được triển khai rộng rãi Hướng phát triển tiếp theo của đề tài kết hợp IPSec (bảo mật tầng mạng) với giao thức bảo mật khác, từ đó giúp cung cấp khả bảo mật toàn diện tối ưu hơn nữa 67 TÀI LIỆU THAM KHẢO Demystifying the IPsec Puzzle; Sheila Frankel; Artech House; 2001 Guide to IPsec VPNs; Sheila Frankel, Karen Kent, RyanLewkowski, Angela D Orebaugh, Ronald W.Ritchey, Steven R Sharma; NIST; 2005 IPSec VPN Design;Vijay Bollapragada, Mohamed Khalid, Scott Wainner; Cisco Press, 2005 68 ... - NGUYỄN THANH SƠN ỨNG DỤNG IPSEC VPN TRONG BẢO MẬT TẦNG MẠNG Chuyên ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG DỮ LIỆU LUẬN VĂN THẠC SĨ KỸ THUẬT MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG DỮ LIỆU... được sử dụng chủ yếu các ứng dụng vượt tường lửa VPN 1.3 Mạng riêng ảo (VPN) Việc sử dụng phổ biến của việc triển khai IPsec là cung cấp dịch vụ Mạng riêng ảo (VPN) VPN là... TCP/IP: ● Tầng ứng dụng: Điều khiển riêng biệt cần phải được thiết lập trên mỗi ứng dụng Ví dụ, nếu một ứng dụng cần có sự bảo vệ gửi tới mạng khác, ứng dụng có thể