BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN THANH SƠN ỨNG DỤNG IPSEC VPN TRONG BẢO MẬT TẦNG MẠNG LUẬN VĂN THẠC SĨ KỸ THUẬT MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG DỮ LIỆU Hà Nội – Năm 2018 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI - NGUYỄN THANH SƠN ỨNG DỤNG IPSEC VPN TRONG BẢO MẬT TẦNG MẠNG Chuyên ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG DỮ LIỆU LUẬN VĂN THẠC SĨ KỸ THUẬT MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG DỮ LIỆU NGƯỜI HƯỚNG DẪN KHOA HỌC : PGS TS NGUYỄN LINH GIANG Hà Nội – Năm 2018 LỜI CẢM ƠN Đầu tiên, muốn gửi lời biết ơn chân thành tới PGS, TS: Nguyễn Linh Giang, người trực tiếp hướng dẫn và giúp đỡ tận tình cho về kiến thức, định hướng và tài liệu tham khảo quý báu Tiếp theo, xin cảm ơn các thầy cô Viện Công nghệ thông tin và Truyền thông – Đại học Bách khoa Hà Nội đã giảng dạy, truyền đạt kiến thức cho suốt thời gian qua Tôi cũng xin cảm ơn gia đình, bạn bè đã chia sẻ, giúp đỡ tôi học tập và thời gian thực hiện nghiên cứu đề tài này Trong luận văn này chắc chắn không tránh khỏi những chỗ thiếu sót, mong nhận được những lời góp ý, chỉ bảo từ các thầy cô để có thể hoàn thiện đề tài của mình tốt hơn Hà Nội, ngày 22 tháng 03 năm 2018 Người thực LỜI CAM ĐOAN Luận văn Thạc sĩ “Ứng dụng IPSec VPN bảo mật tầng mạng” là công trình của cá nhân tôi Các nội dung nghiên cứu và kết quả trình bày luận văn là trung thực rõ ràng Các tài liệu tham khảo nội dung trích dẫn đã ghi rõ nguồn gốc Hà Nội, ngày 22 tháng 03 năm 2018 Người thực DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT Chữ viết tắt IPSec VPN IP TCP UDP DNS SMTP ICMP IGMP TLS HTTP ISP DES 3DES AES IDEA MD5 SHA-1 DSA ECDSA WAN ESP AH IKE IPcomp MAC AES TTL NAT SPI SA ASCII IV DSS PKI DH Ý nghĩa đầy đủ Internet Protocol Security Private Virtual Network Internet Protocol Transmission Control Protocol User Datagram Protocol Domain Name System Simple Mail Transfer Protocol Internet Control Message Protocol Internet Group Management Protocol Transport Layer Security Hypertext Transfer Protocol Internet Service Provider Digital Encryption Standard Triple Digital Encryption Standard Advanced Encryption Standard International Data Encryption Algorithm Message Digest Secure Hash Algorithm Digital Signature Algorithm Elliptic Curve Digital Signature Algorithm Wide Area Network Encapsulating Security Payload Authentication Header Internet Key Exchange Internet Protocol Payload Compression Protocol Message Authentication Code Advanced Encryption Standard Time to Live Network Address Translation Security Parameters Index Security Association American Standard Code for Information Interchange Initialization Vector Digital Signature Standard Public Key Infrastructure Diffie-Hellman SAD SPD L2TP DSP CRL DHCP PPTP CA OCSP LDAP TACACS RADIUS EAP CPU PFS IETF DPD NVD PAP PPP GRE MPPE L2VPN URL TLS SSL SSH CLI ISAKMP EIGRP Security Association Database Security Policy Database Layer Tunneling Protocol Digital Subscriber Line Certifiactes Revocation Lists Dynamic Host Configutation Protocol Point-To-Point Tunneling Protocol Certification Authority Online Certificate Status Protocol Light Directory Access Protocol Terminal Access Controller Access Control System Remote Authentication Dial In User Service Extensible Authentication Protocol Central Processing Unit Perfect Forward Secrecy Internet Engineering Task Force Dead Peer Detection National Vulnerability Database Password Authentication Protocol Point-to-Point Generic Routing Encapsulation Microsoft Point-to-Point Encryption Layer Virtual Private Networks Uniform Resource Locator Transport Layer Security Secure Sockets Layer Secure Shell Command Line Interface Internet Security Association và Key Management Protocol Enhanced Interior Gateway Routing Protocol DANH MỤC CÁC HÌNH VẼ Hình 1: Kiến trúc Gateway-to-Gateway 14 Hình 2: Kiến trúc Host-to-Gateway 15 Hình 3: Kiến trúc Host-to-Host 16 Hình 4: Gói tin AH chế độ Tunnel 18 Hình 5: Gói tin AH chế độ Transoprt 18 Hình 6: AH header 20 Hình 7: Mẫu gói tin AH chế độ transport 20 Hình 8: Các trường của AH header 21 Hình 9: Gói tin ESP chế độ tunnel 22 Hình 10: Gói tin ESP chế độ transport 22 Hình 11: Các trường gói tin ESP 24 Hình 12: Gói tin ESP 25 Hình 13: ESP header 25 Hình 14: Diễn giải cặp bản tin đầu chế độ main 27 Hình 15: Diễn giải cặp bản tin thứ hai chế độ main 28 Hình 16: Diễn giải cặp bản tin thứ ba chế độ main 28 Hình 17: Biểu diễn của một bản tin chế độ quick 30 Hình 18: Chính sách an ninh tương ứng với peer 59 Hình 19: Cấu hình IPsec trasfrom set 60 Hình 20: Tạo crypto map 62 Hình 21: Áp dụng crypto map vào interface 62 Hình 22: Hiển thị cấu hình sách IPsec 63 Hình 23: Hiển thị crypto map 63 Hình 24: Hiển thị IKE SA 64 Hình 25: Hiển thị các SA không được sử dụng 64 Hình 26: Thiết lập debug IPsec 65 Hình 27: Thực hiện gửi gói tin ping 65 Hình 28: Kết quả sử dụng IPsec gửi gói tin ping 66 DANH MỤC CÁC BẢNG Bảng 1: So sánh IPSec tùy chọn thay thế 55 MỤC LỤC LỜI CẢM ƠN LỜI CAM ĐOAN DANH MỤC KÝ HIỆU, CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ DANH MỤC CÁC BẢNG MỤC LỤC MỞ ĐẦU Lý chọn đề tài Mục đích nghiên cứu Phạm vi nghiên cứu Bố cục luận văn 10 NỘI DUNG 11 Chương 1: Tổng quan bài toán bảo mật tầng mạng 11 1.1 Bài toán bảo mật tầng mạng 11 1.2 Internet Protocol Security (IPsec) 13 1.3 Mạng riêng ảo (VPN) 13 Chương 2: Tổng quan về IPSec 18 2.1 Authentication Header (AH) 18 2.2 Encapsulating Security Payload (ESP) 21 2.3 Internet Key Exchange (IKE) 25 2.4 Giao thức nén IP Payload Compression Protocol (IPComp) 31 2.5 Tích hợp các thành phần 32 Chương 3: Thực thi IPSec 36 3.1 Xác định nhu cầu 36 3.2 Thiết kế các giải pháp 37 3.3 Thực thi và kiểm thử mẫu 43 3.4 Triển khai giải pháp 46 3.5 Quản lý giải pháp 47 Chương 4: Các tùy chọn giao thức VPN 48 4.1 Giao thức VPN tầng liên kết dữ liệu 48 4.2 Giao thức VPN tầng giao vận 50 4.3 Giao thức VPN tầng ứng dụng 53 Chương 5: Kết quả thực nghiệm sử dụng IPSec 56 5.1 Kịch bản 56 5.2 Kết quả đạt được 63 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN 67 TÀI LIỆU THAM KHẢO 68 Giải pháp IPsec PPTP L2TP L2F Ưu điểm + Được hỗ trợ hầu hết các hệ điều hành + Có thể cung cấp mã hóa mạnh mẽ và bảo vệ toàn vẹn + Trong suốt đối với khách hàng kiến trúc gateway-to-gateway + Có thể sử dụng một loạt các giao thức xác thực Nhược điểm Tiềm thay thế IPSec N/A + Chỉ có thể bảo vệ truyền thông dựa trên IP + Yêu cầu phần mềm máy khách phải được cấu hình (và cài đặt trên thiết bị không cài đặt phần mềm client) đối với kiến trúc host-to-gateway host-to-host + Không bảo vệ truyền thông giữa các khách hàng và cổng IPsec kiến trúc gateway-to-gateway + Có thể bảo vệ các giao + Yêu cầu phần mềm máy Không thức không phải là IP khách phải được cấu hình (và cài đặt trên thiết bị không cài đặt phần mềm client) + Tồn tại những điểm yếu bảo mật + Không cung cấp xác thực mạnh mẽ + Chỉ hỗ trợ một phiên trên một đường hầm + Có thể bảo vệ các giao + Yêu cầu phần mềm máy Bảo vệ truyền thức không phải là IP khách phải được cấu hình (và thông Dial-up + Có thể hỗ trợ nhiều phiên cài đặt trên thiết bị không cài trên một đường hầm đặt phần mềm client) + Có thể sử dụng các giao thức xác thực như RADIUS + Có thể sử dụng IPsec để cung cấp dịch vụ mã hóa và quản lí quan trọng + Có thể bảo vệ các giao + Yêu cầu sự tham gia của Không thức không phải là IP ISP + Trong suốt với khách + Không bảo vệ truyền thông hàng giữa Client và ISP + Có thể sử dụng giao thức + Không cung cấp mã hóa, xác thực như RADIUS phải dựa trên các dịch vụ mã hóa PPP, mà đã biết điểm yếu 54 SSL/TSL + Được hỗ trợ hầu hết các trình duyệt Web + Có thể cung cấp mã hóa mạnh mẽ SSL/TSL Proxy Server + Được hỗ trợ hầu hết các trình duyệt Web + Có thể cung cấp mã hóa mạnh mẽ + Có thể cung cấp nhiều tầng xác thực Applicatio + Cung cấp bảo vệ dạng n hạt cho truyền thông ứng Layer dụng VPN + Có thể chỉ bảo vệ truyền thông dựa trên TCP + Yêu cầu máy chủ và máy khách ứng dụng phải hỗ trợ SSL/TLS + Thường được thực hiện để xác thực từ máy chủ tới khách hàng, nhưng không phải là từ khách hàng đến máy chủ + Có thể chỉ bảo vệ truyền thông dựa trên TCP + Yêu cầu máy chủ và máy khách ứng dụng phải hỗ trợ SSL/TLS + Không bảo vệ truyền thông giữa máy chủ proxy và máy chủ ứng dụng + Chỉ có thể bảo vệ một số tất cả các truyền thông cho một ứng dụng + Thường không thể được đưa vào phần mềm off-theshelf + Thường sử dụng mã hóa độc quyền các cơ chế xác thực có thể có những điểm yếu nghiêm trọng Bảo vệ truyền thông cho một số ít các ứng dụng dựa HTTP mà không yêu cầu xác thực mạnh cung cấp cơ chế xác thực mạnh Bảo vệ truyền thông cho một số lượng lớn các ứng dụng dựa HTTP Bảo vệ truyền thông cho ứng dụng riêng lẻ được thiết kế để sử dụng mã hóa đã được chứng minh và triển khai thuật toán xác thực Bảng 1: So sánh IPSec tùy chọn thay 55 Chương 5: Kết quả thực nghiệm sử dụng IPSec Hình 18: Đồ hình mạng site-to-site 5.1 Kịch bản Tiến hành cấu hình mô hình site-to-site IPSec VPN Sau cấu hình VPN, các lưu lượng giữa cổng loopback trên router R1 và R3 được mã hóa Trong bài lab này, sử dụng giao diện dòng lệnh CLI của Cisco IOS ● Bước 1: Cấu hình địa chỉ: cấu hình cổng loopback và cổng serial với địa chỉ như hình 18 Set clock rate cho cổng serial của router và sử dụng lệnh “no shut” trên tất cả các cổng kết nói để bật các cổng đó R1(config)# interface loopback0 R1(config-if)# ip address 172.16.1.1 255.255.255.0 R1(config-if)# interface f0/0 R1(config-if)# ip address 192.168.12.1 255.255.255.0 R1(config-if)# no shutdown R2(config)# interface f0/0 R2(config-if)# ip address 192.168.12.2 255.255.255.0 R2(config-if)# no shutdown R2(config-if)# interface serial1/0 R2(config-if)# ip address 192.168.23.2 255.255.255.0 R2(config-if)# clockrate 64000 56 R2(config-if)# no shutdown R3(config)# interface loopback0 R3(config-if)# ip address 172.16.3.1 255.255.255.0 R3(config-if)# interface serial1/0 R3(config-if)# ip address 192.168.23.3 255.255.255.0 R3(config-if)# no shutdown ● Bước 2: Cấu hình EIGRP: dể trì kết nối giữa các mạng, chúng ta cấu hình EIGRP để định tuyến giữa các mạng trên mô hình Thêm tất cả các mạng được kết nối vào AS EIGRP trên mỗi router Tắt chức auto-summary R1(config)# router eigrp R1(config-router)# no auto-summary R1(config-router)# network 172.16.0.0 R1(config-router)# network 192.168.12.0 R2(config)# router eigrp R2(config-router)# no auto-summary R2(config-router)# network 192.168.12.0 R2(config-router)# network 192.168.23.0 R3(config)# router eigrp R3(config-router)# no auto-summary R3(config-router)# network 172.16.0.0 R3(config-router)# network 192.168.23.0 ● Bước 3: thiết lập chính sách IKE: Từ IPsec trở thành một chương trình khung, nó cho phép chúng ta có thể thay đổi những giao thức bảo mật với những kỹ thuật mới (bao gồm thuật toán mã hóa) được phát triển Có thành phần cấu hình trung tâm để thực thi một Ipsec VPN: ✓ Thực thi các thông số Internet Key Exchange (IKE) ✓ Thực thi các thông số IPsec Phương thức trao đổi được thực hiện IKE được sử dụng đầu tiên để vượt qua và xác nhận tính hợp lệ của chính sách IKE giữa các peer Sau đó các peer trao đổi và phù hợp các chỉnh sách IPsec để xác thực và mã hóa các lưu lượng dữ liệu 57 Chính sách IKE điểu khiển xác thực, thuật toán mã hóa và phương thức trao đổi khóa được sử dụng theo những đề xuất IKE được gửi và nhận các IPsec endpoint Chính sách IPsec được sử dụng để mã hóa những dữ liệu được gửi qua VPN tunnel Để cho phép đàm phán pha IKE, phải tạo một liên kết an ninh mạng và giao thức quản lý khóa (ISAKMP – Internet Security Association Key Management Protocol) Một chính sách ISAKMP xác định thuật toán xác thực và mã hóa và hàm băm được sử dụng để gửi các lưu lượng điều khiển giữa VPN endpoint Khi một ISAKMP được chấp nhận các peer, pha IKE được hoàn tất Các thông số pha IKE được cấu hình sau.Các thông số cần nhập cho ISAKMP bao gồm: ✓ ✓ ✓ ✓ authentication Set authentication method for protection suite default Set a command to its defaults encryption Set encryption algorithm for protection suite exit Exit from ISAKMP protection suite configuration mode ✓ group Set the Diffie-Hellman group ✓ hash Set hash algorithm for protection suite ✓ lifetime Set lifetime for ISAKMP security association ✓ no Negate a command or set its defaults Chi tiết cấu hình tại router R1 và R3 như sau: R1(config)# crypto isakmp policy 10 R1(config-isakmp)# authentication pre-share R1(config-isakmp)# encryption aes 256 R1(config-isakmp)# hash sha R1(config-isakmp)# group R1(config-isakmp)# lifetime 3600 R3(config)# crypto isakmp policy 10 R3(config-isakmp)# authentication pre-share R3(config-isakmp)# encryption aes 256 R3(config-isakmp)# hash sha 58 R3(config-isakmp)# group R3(config-isakmp)# lifetime 3600 Ngoài ra, cũng có thể cấu hình hình chính sách IKE cho router Số ưu tiên khác tương ứng với mức độ bảo mật của chính sách Số ưu tiên càng thấp thì chính sách càng bảo mật Trên các router có thể kiểm tra xem chính sách an ninh nào có thể tương thích với các peer của nó Có thể xem các chính sách IKE sử dụng câu lệnh “show crypto isakmp policy”: Hình 18: Chính sách an ninh tương ứng với peer ● Bước 4: cấu hình Pre-shared Keys: Nếu chúng ta lựa chọn pre-shared keys làm phương pháp xác thực chính sách IJKE, chúng ta phải cấu hình khóa trên mỗi router tương ứng với các VPN endpoint khác Những khóa này phải phù hợp để xác thực có thể thành công và cho các IKE peer có thể hình thành Sử dụng câu lệnh “crypto isakmp key address ” chế độ global configuration để nhập pre-shared key Mỗi địa chỉ IP được sử dụng để cấu hình IKE peer cũng là những địa chỉ IP của VPN endpoint đối diện Chúng ta cũng có thể sử dụng hostname để xác định các peer (thay thế từ khóa address hostname) nếu địa chỉ IP có thể có nhiều thay đổi R1 (config)# crypto isakmp key cisco address 192.168.23.3 R3 (config)# crypto isakmp key cisco address 192.168.12.1 59 ● Bước 5: Cấu hình IPsec Transform Set Lifetimes: IPsec transform set là một tham số cấu hình cypto khác được router sử dụng để đàm phán dạng an ninh Một cách tương tự như chính sách ISAKMP, nhiều transform có thể tồn tại router Router so sánh những transform set này với các peer đối diện đến chúng tìm thấy transform set phù hợp hoàn toàn Tạo một IPsec trasfrom set, sử dụng cấu trúc “cypto ipsec transform-set ” Với router R1 và R3, tạo transform set với tag 50 và sử dụng ESP transform với AES 256 trước, với giao thức đóng gói an toàn (ESP – Encapsulation Security Protocol) và hàm băm SHA và ći xác thực header sử dụng SHA Hình 19: Cấu hình IPsec trasfrom set Thực thi câu lệnh trên được chuyển vào chế độ configuration transform set, và có thể gõ “exit” để thoát khỏi chế độ này nếu không ḿn cấu hình thêm tham sớ cho transform set Cấu hình tương tự với R3 60 Tiếp theo thay đổi tham số lifetime với mặc định là 3600s hay 4.608.000 kilobytes Ta sử dụng một câu liệnh: “crypto ipsec security-association lifetime seconds ” “crypto ipsec security-association lifetime kilobytes ” R1 (config)# crypto ipsec security-association lifetime seconds 1800 R3 (config)# crypto ipsec security-association lifetime seconds 1800 ● Bước 6: Xác định các lưu lượng cho phép sử dụng access control list Trong kịch bản này, lưu lượng muốn mã hóa là những lưu lượng từ mạng loopback R1 đến mạng loopback R3 Những access list này được sử dụng trên outbound của cổng VPN endpoint R1 (config)# access-list 101 permit ip 172.16.1.0 0.0.0.255 172.16.3.0 0.0.0.255 R3 (config)# access-list 101 permit ip 172.16.3.0 0.0.0.255 172.16.1.0 0.0.0.255 ● Bước 7: Tạo và áp dụng Crypto Map: Cấu hình xong các thành phần, bây giờ kết nối chúng với một scrypto map Crypto map là một ánh xạ mà các lưu lượng kết hợp tương thích một access list với một peer và những tùy chỉnh IKE IPsec Crypto map có thể có nhiều khai báo map, vậy có thể có những lưu lượng phù hợp với những access list nào đó được mã hóa và gửi đến một IPsec peer, và những lưu lượng khác phù hợp với access list khác được mã hóa và chuyển đến peer khác Sau một crypto map được tạo, nó có thể được áp dụng vào hay nhiều interface Các interface được áp dụng nên là những interface đối diện với các IPsec peer Để tạo một crypto map, sử dụng câu lệnh “crypto map ” chế độ global configuration để chuyển sang chế độ crypto map configuration Sử dụng câu lệnh “match address Để xác định loại lưu lượng cần mã hóa 61 Có nhiều nhiều lệnh set có thể thực hiện crypto map Chi tiết cấu hình cho R1 và R3 như sau: Hình 20: Tạo crypto map Crypto map đã được tạo xong, bước cuối quá trình tạo site-to-site VPN là áp dụng map vào các interface Hình 21: Áp dụng crypto map vào interface 62 5.2 Kết quả đạt được 5.2.1 Kiểm tra cấu hình IPsec Ở bước đã sử dụng câu lệnh “show crypto isakmp policy” để hiển thị cấu hình sách ISAKMP router Một cách tương tự, câu lệnh “show crypto ipsec transform-set” hiển thị cấu hình chính sách IPsec transform set Hình 22: Hiển thị cấu hình sách IPsec Sử dụng câu lệnh “show crypto map” để hiển thị crypto map được áp dụng trên router Hình 23: Hiển thị crypto map 63 5.2.2 Kiểm tra hoạt động IPsec Nếu sử dụng lệnh “show crypto isakmp sa”, nó trả về là không có IKE SA nào tồn tại Đến chúng ta gửi một vài lưu lượng qua mạng, kết quả trả về thay đổi Hình 24: Hiển thị IKE SA Nếu sử dụng câu lệnh “show crypto ipsec sa” câu lệnh này hiển thị các SA không được sử dụng giữa R1 và R3 Hình 25: Hiển thị SA không sử dụng 64 5.2.3 Debug trình hoạt động IPsec Trong quá trình truyền tin giữa các VPN endpoint, ISAKMP đưa các luật một cách nghiêm ngặt chỉ cách các SA được thiết lập IKE pha (ISAKMP) đàm phàn một kênh mật giữa các endpoint, xác thực hàng xóm nếu có khóa mật đúng, và xác thực các endpoint đối diện thông qua kênh mật IKE pha sử dụng chế độ “main mode”, chế độ này bao gồm thông điệp quá trình trao đổi Kết quả là thiết lập được trao đổi mật ISAKMP chiều Quá trình trao đổi là một chuỗi các hoạt động vào ra, vậy mỗi sự kiện được ghi lại debug như những sự kiện vào dữ liệu từ router nội bộ hay router từ xa IKE pha (IPsec) tiến hành đàm phàn IPsec tunnel giữa endpoint, xác thực các peer, và mã hóa lưu lượng dữ liệu truyền giữa chúng thông qua tunnel được mã hóa IKE pha sử dụng một tiến trình gọi là “quick mode” để thực hiện quá trình trao đổi và thiết lập trao đổi mật chiều Trên R1, ta có thể thực hiện câu lệnh debug là “debug crypto isakmp” và “debug crypto ipsec” Hình 26: Thiết lập debug IPsec Sau gõ câu lệnh trên, bây giờ chúng ta gửi một gói tin ping từ cổng loopback của R1 đến cổng loopback của R3, và xem thông tin debug trả về trên cả router Chúng ta thấy được cả quá trình là đàm phán ISAKMP và quá trình IPsec Hình 27: Thực gửi gói tin ping 65 Khi R1 dò tìm lưu lượng truy cập hướng về phía R3, bản đồ crypto được định nghĩa trên giao diện Fast Ethernet của R1 đòi hỏi sự thay đổi trạng thái IPsec từ không hoạt động sang hoạt động Bộ IPsec cố gắng tăng mối liên kết bảo mật giữa R1 và R3 để truyền lưu lượng truy cập an toàn với các thông số IPsec đã được định cấu hình trước đó Các quy trình ISAKMP trên mỗi điểm cuối VPN bây giờ nhận thức được một hiệp hội bảo mật được cố gắng và chuẩn bị để gửi các chính sách ISAKMP Một cấu trúc ISAKMP peer bộ nhớ, cung cấp một phương tiện để lưu trữ các thông số và chính sách liên quan đến trao đổi khóa IKE giai đoạn Các peers truyền thông trên cổng 500 trên cả hai đầu giữa các địa chỉ IP của các giao diện mã hóa trên mỗi router ISAKMP tạo và chèn một cấu trúc bộ nhớ đại diện cho liên kết bảo mật ISAKMP vào cấu trúc peer mà nó vừa tạo Chế độ aggressive là một quá trình trao đổi, đó tất cả IKE Phase được đàm phán với một trao đổi Chế độ này rõ ràng là an toàn hơn so với chế độ main, dựa vào ba sự trao đổi: trao đổi chính sách ISAKMP, trao đổi khoá Diffie-Hellman, và một bài kiểm tra chứng thực được mật mã bắt đầu mối liên hệ bảo mật ISAKMP được sử dụng cho Giai đoạn Trong chế độ aggressive, thông tin ít hơn được trao cho nút từ xa trước nút từ xa phải giao tiếp và có thể được xác thực Hình 28: Kết sử dụng IPsec gửi gói tin ping 66 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN A Kết luận Luận văn tốt nghiệp với đề tài: “Ứng dụng IPSec VPN bảo mật tầng mạng” đã cơ bản hoàn thành Đề tài đã giải quyết được các vấn đề sau: ● Hiểu được tính cấp thiết của bảo mật tầng mạng vấn đề an toàn an ninh thông tin Internet Protocol Security (IPsec) đã lên như kiểm soát an ninh mạng được sử dụng phổ biến tầng mạng để bảo vệ giao tiếp truyền thông ● Hiểu được các thành phần chính của IPSec và cách kết hợp các thành phần đó ● Hiểu được việc lập kế hoạch và thực thi IPSec ● Trình bày về các giải pháp thay thế cho IPSec, đánh giá ưu điểm, nhược điểm của các giải pháp Các kết quả chính đạt được luận văn: ● Giúp đánh giá tính khả thi của các giải pháp bảo mật, từ đó lựa chọn giải pháp bảo mật phù hợp với từng điều kiện cụ thể ● Trong phần thực nghiệm, đã giải quyết một bài toán bảo mật cụ thể Những khó khăn và hướng giải quyết ● Những khó khăn gặp phải quá trình thực hiện đề tài: o Có nhiều thuật toán chưa từng được tiếp cận biết đến o Học viên chưa được triển khai thực tế ● Hướng giải quyết: o Tìm đọc sách liên quan o Sử dụng GNS3 làm thực nghiệm o Học hỏi từ những người có kinh nghiệm B Hướng phát triển đề tài IPSec cịn có những điểm ́u định nhưng nó được triển khai rộng rãi Hướng phát triển tiếp theo của đề tài kết hợp IPSec (bảo mật tầng mạng) với giao thức bảo mật khác, từ đó giúp cung cấp khả bảo mật toàn diện tối ưu hơn nữa 67 TÀI LIỆU THAM KHẢO Demystifying the IPsec Puzzle; Sheila Frankel; Artech House; 2001 Guide to IPsec VPNs; Sheila Frankel, Karen Kent, RyanLewkowski, Angela D Orebaugh, Ronald W.Ritchey, Steven R Sharma; NIST; 2005 IPSec VPN Design;Vijay Bollapragada, Mohamed Khalid, Scott Wainner; Cisco Press, 2005 68 ... - NGUYỄN THANH SƠN ỨNG DỤNG IPSEC VPN TRONG BẢO MẬT TẦNG MẠNG Chuyên ngành: MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG DỮ LIỆU LUẬN VĂN THẠC SĨ KỸ THUẬT MẠNG MÁY TÍNH VÀ TRUYỀN THƠNG DỮ LIỆU... được sử dụng chủ yếu các ứng dụng vượt tường lửa VPN 1.3 Mạng riêng ảo (VPN) Việc sử dụng phổ biến của việc triển khai IPsec là cung cấp dịch vụ Mạng riêng ảo (VPN) VPN là... TCP/IP: ● Tầng ứng dụng: Điều khiển riêng biệt cần phải được thiết lập trên mỗi ứng dụng Ví dụ, nếu một ứng dụng cần có sự bảo vệ gửi tới mạng khác, ứng dụng có thể