Ø ESP (Encapsulating Security Payload): được sử dụng để chứng thực và mã hoá gói tin IP (phần payload hoặc cả gói tin). Ø IKE (Internet key exchange): được sử dụng để thiế[r]
(1)CHƯƠNG
CÁC GIAO THỨC BẢO MẬT
(2)Ø IP Security
Ø Secure Socket Layer /Transport Layer Security
Ø Pretty Good Privacy
Ø Secure Shell
2 duyn@uit.edu.vn
(3)Ø IP Security
Ø Secure Socket Layer /Transport Layer Security
Ø Pretty Good Privacy
Ø Secure Shell
(4)Tổng quan
Ø Là giao thức bảo mật lớp Mạng (Network Layer –
OSI) lớp Internet (Internet Layer – TCP/IP)
Ø IPsec yếu tố quan trọng để xây dựng mạng riêng ảo (VPN –
Virtual Private Networks)
Ø Bao gồm giao thức chứng thực, giao thức mã hoá,
giao thức trao đổi khoá:
Ø AH (Authentication header): sử dụng để xác định nguồn gốc gói tin IP đảm bảo tính tồn vẹn
Ø ESP (Encapsulating Security Payload): sử dụng để chứng thực mã hố gói tin IP (phần payload gói tin)
Ø IKE (Internet key exchange): sử dụng để thiết lập khố bí mật cho người gởi người nhận
(5)Tổng quan
Ø Ứng dụng IPsec:
Ø Bảo mật kết nối chi nhánh văn phòng qua
Internet
Ø Bảo mật truy cập từ xa qua Internet
Ø Thực kết nối Intranet Extranet với đối tác (Partners)
Ø Nâng cao tính bảo mật thương mại điện tử
(6)Tổng quan
(7)Tổng quan
7
Ø Ví dụ minh hoạ:
Ø Khi Alice muốn giao tiếp với Bob sử dụng IPsec, Alice
trước tiên phải chọn tập hợp giải thuật mã hóa thơng số, sau thơng báo cho Bob
lựa chọn
Ø Bob chấp nhận lựa chọn Alice
thương lượng với Alice cho tập hợp khác giải thuật thông số
Ø Một giải thuật thông số lựa chọn,
IPsec thiết lập kết hợp bảo mật (Security
Association - SA) Alice Bob cho phần lại
(8)Tại cần sử dụng IP Security
8
Ø IPv4 khơng được thiết kế với tính bảo mật
Ø Những cuộc tấn cơng có thể xảy với IPv4
Ø Eavesdropping
Ø Data modification
Ø Identity spoofing (IP address spoofing)
Ø Denial-of-service attack
Ø Man-in-the-middle attack
(9)Tại cần sử dụng IP Security
9
Ø Eavesdropping
Ø Mã hóa liệu
Ø Data modification
Ø IP sử dụng thuật toán hàm băm
Ø Identity spoofing (IP address spoofing)
Ø Sử dụng chế xác thực lẫn
Ø Denial-of-service attack
Ø Cho phép block traffic
Ø Man-in-the-middle attack
Ø Sử dụng chế xác thực lẫn + Shared Key
(10)Security Association (SA)
10
Ø Một SA cung cấp thông tin sau:
Ø Chỉ mục thông số bảo mật (SPI - Security
parameters index): chuỗi nhị phân 32 bit
sử dụng để xác định tập cụ thể giải thuật
và thông số dùng phiên truyền thông SPI
bao gồm AH ESP để chắn
hai sử dụng giải thuật thông số
Ø Địa IP đích
Ø Giao thức bảo mật: AH hay ESP IPsec không cho
phép AH hay ESP sử dụng đồng thời
(11)Cơ chế hoạt động
(12)Cơ chế hoạt động - tt
12 duyn@uit.edu.vn
Ø IKE chế trao đổi key
Ø Được sử dụng để thiết lập phiên làm việc IPSec
Ø Có giá trị thỏa thuận:
Ø modes (main mode aggressive mode)
Ø phương thức xác thực (Preshared-Key, Kerberos
(13)IKE – Main Mode
(14)IKE – Main Mode
(15)IKE – Main Mode
(16)IKE – Main Mode
(17)IPSecurity: Quick mode
(18)Các phương thức hoạt động của IPsec
18
IPsec bao gồm phương thức:
Ø Phương thức Vận chuyển (Transport Mode): sử dụng Transport Mode có yêu cầu lọc gói tin bảo mật
điểm-tới-điểm Cả hai trạm cần hỗ trợ IPSec sử dụng
cùng giao thức xác thực không qua giao
tiếp NAT Nếu liệu qua giao tiếp NAT bị đổi
địa IP phần header làm hiệu lực ICV (Giá trị kiểm sốt tính ngun vẹn)
(19)Các phương thức hoạt động của IPsec
19
IPsec bao gồm phương thức:
Ø Phương thức đường hầm (Tunel mode): sử dụng mode
này cần kết nối Site-to-Site thông qua Internet (hay
các mạng công cộng khác) Tunel Mode cung cấp
bảo vệ Gateway-to-Gateway (cửa-đến-cửa)
(20)Định dạng AH