Đang tải... (xem toàn văn)
Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 15'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
xét Các thuật tốn để tính ICV thuật toán hàm băm chiều MD5 SHA giống với AH Chế độ hoạt động IP Hdr Payload Gói tin IP ban đầu IP Hdr ESP Trl Payload ESP Hdr ESP Auth Mã hố Định danh Gói ESP chế độ transport Hình 3.8 Gói ESP chế độ Transport ESP sử dụng hai chế độ: Transport Tunnel - Chế độ Transport: Chế độ Transport cho phép bảo vệ giao thức lớp khơng bảo vệ IP Header Các gói tin IP cũ cắt phần tiêu đề ra, sau tiêu đề ESP đưa vào ESP trailer đưa vào cuối gói tin, cuối Authentication Data đưa thêm vào Chế độ Transport khơng mã hố khơng xác thực IP Header, nhiên có chi phí xử lý thấp, dùng cho Host IP Hdr New IP Hdr New IP Hdr Gói tin IP ban đầu Payload IP Hdr IP ESP Hdr Gói tin tạo đường hầm Payload Payload ESP Trl ESP Auth Hdr Mã hố Định danh Hình 3.9 Gói ESP chế độ Tunnel - Chế độ Tunnel: Trong chế độ này, gói IP xây dựng với IP Header Các IP Header bên mang địa nguồn đích cuối cùng, cịn IP Header bên mang địa định tuyến qua Internet Ở chế độ này, ESP bảo vệ gói tin IP ban đầu bao gồm: Payload IP header Đối với gói IP bên ngồi vị trí ESP giống chế độ Transport Các thuật toán sử dụng ESP Các thuật toán bắt buộc bao gồm: - Các thuật toán mật mã: DES chế độ CBC, AES, NULL Thuật toán mã hoá xác định SA ESP làm việc với thuật toán mã hố đối xứng Với có mặt trường Padding, thuật tốn mã hố có đặc tính khối luồng - Các thuật tốn xác thực: Mã xác thực tin MAC sử dụng MD5, mã xác thực tin MAC sử dụng SHA, NULL (Không sử dụng mã xác thực) Xử lý gói tin đầu Q trình xử lý gói đầu bao gồm bước sau: - Tìm kiếm SA: Giống AH, ESP thực gói tin điều khiển IPSec xác định gói tin liên kết với SA - Mã hố gói tin: Tuỳ thuộc vào chế độ Tunnel hay Transport mà ESP thực đóng gói tồn gói tin hay đóng gói phần Payload Thêm Padding cần thiết, mã hoá trường Payload Data, Padding, PadLength, Next Header theo thuật toán SA Nếu dịch vụ xác thực lựa chọn việc mã hố thực trước, q trình mã hố khơng bao gồm trường Authentication Data Và q trình xác thực thực sau Thứ tự xử lý cho phép nhanh chóng xác định loại bỏ gói lỗi lặp lại mà khơng cần phải giải mã gói tin, đồng thời cho phép phía thu xử lý song song hai việc: giải mã xác thực - Tạo SN: Quá trình thực giống với AH - Tính ICV: Nếu dịch vụ xác thực lựa chọn phía phát tính giá trị ICV gói liệu ESP gồm trường sau: SPI, SequenceNumber, Payload Data, Padding, PadLength Next Header Trong trường cuối dạng mã hố ICV tính dựa vào thuật toán xác thực dùng hàm băm chiều MD5 SHA-1 - Phân mảnh: Nếu cần thiết phân mảnh thực sau xử lý ESP Xử lý gói tin đầu vào Q trình xử lý gói đầu vào gồm bước ngược với q trình xử lý gói tin đầu - Ghép mảnh: Ghép mảnh thực trước xử lý ESP Nếu gói tin cần xử lý ESP dạng phân mảnh phía thu phải loại bỏ gói tin - Tìm kiếm SA: Khi nhận gói tin chứa ESP Header, phía thu xác định SA phù hợp dựa địa đích, giao thức bảo mật SPI Nếu khơng thể tìm thấy SA phù hợp cho phiên truyền dẫn phía thu loại bỏ gói tin - Kiểm tra SN: Giống với kiểm tra SN AH - Kiểm tra ICV: Nếu dịch vụ xác thực lựa chọn phía thu tính ICV gói ESP ngoại trừ trường Authentication Data so sánh với ICV gói tin nhận Nếu hai giá trị ICV trùng gói tin hợp lệ, khơng gói tin bị loại bỏ Việc kiểm tra tiến hành sau: Trước tiên trường Authentication Data tách khỏi ESP lưu lại, sau kiểm tra độ dài gói ESP cịn lại, Padding ngầm định byte thêm vào sau trường Next Header sau tính ICV so sánh với giá trị ICV lưu trường Authentication Data - Giải mã gói tin: Đầu tiên giải mã ESP bao gồm trường Payload Data, Padding, Padlength, NextHeader sử dụng khoá, thuật toán mật mã xác định SA Sau xử lý phần Padding theo đặc điểm thuật tốn, loại bỏ trước đưa lên lớp Cuối xây dựng lại gói tin IP ban đầu tuỳ thuộc vào chế độ Transport hay Tunnel Nếu Transport, xây dựng lại gói tin ban đầu từ IP Header thơng tin giao thức lớp Payload ESP Nếu Tunnel, xây dựng lại gói tin ban đầu từ IP Header gói bên ngồi tồn gói IP bên 3.1.4 Các chế độ IPSec Các giao thức IPSec thực liên kết an toàn hai chế độ: Transport Tunnel Như mơ tả hình 3.10, AH ESP hoạt động hai chế độ Hình 3.10 Hai chế độ IPSec 3.1.4.1 Chế độ Transport Chế độ Transport bảo vệ giao thức tầng ứng dụng Trong chế độ này, tiêu đề IPSec chèn vào tiêu đề IP tiêu đề giao thức tầng minh họa hình 3.11 Hình 3.11 IPSec – chế độ Transport Trong giao thức ESP, ESP trailer liệu xác thực ESP thêm vào sau phần liệu gốc tải Tiêu đề chèn vào trước phần liệu tải Chế độ Transport dùng host, không dùng getway Các Getway chí khơng u cầu hỗ trợ chế độ Transport Ưu điểm chế độ Transport xử lý Overhead, nhanh Một nhược điểm trường hay thay đổi khơng xác thực ESP chế độ Transport khơng cung cấp tính xác thực mã hóa với tiêu đề IP Đây nhược điểm gói tin sai (tấn cơng giả mạo) phân phối cho trình xử lý ESP Một nhược điểm khác địa gói IP gốc phải dùng để phân phối Điều vấn đề nới địa chi IP riêng dùng, nơi cấu trúc địa mạng bên cần dấu mạng công cộng 3.1.4.2 Chế độ Tunnel Không giống chế độ Transport, chế độ Tunnel bảo vệ toàn gói IP Tồn gói IP đóng gói vào gói IP khác tiêu đề IPSec chèn vào tiêu đề IP gốc tiêu đề IP Trong chế độ này, khái niệm đường hầm áp dụng Với giao thức ESP gói liệu gốc trở thành gói liệu tải cho gói ESP kết mã hóa xác thực thực thi chọn Tuy nhiên, tiêu đề IP không bảo vệ Hình 3.12 IPSec – chế độ Tunnel Chế độ Tunnel sử dụng Getway Như vậy, firewall chế độ Tunnel dùng cho luồng thông tin lưu chuyển qua firewall mạng an toàn qua đường hầm IPSec Mặc dù Getway hỗ trợ với chế độ Tunnel, thơng thường chúng làm việc chế độ Transport Chế độ cho phép Getway hoạt động Host, trường hợp luồng thơng tin giành riêng cho Ví dụ: lệnh SNMP, yêu cầu báo lại ICMP Trong chế độ Tunnel địa IP tiêu đề ngồi khơng cần phải giống với địa tiêu đề bên Ví dụ, hai getway bảo mật thực đường hầm AH có xác thực tất luồng thơng tin mạng chúng kết nối ... hàm băm chiều MD5 SHA-1 - Phân mảnh: Nếu cần thiết phân mảnh thực sau xử lý ESP Xử lý gói tin đầu vào Q trình xử lý gói đầu vào gồm bước ngược với trình xử lý gói tin đầu - Ghép mảnh: Ghép mảnh... mạo) phân phối cho q trình xử lý ESP Một nhược điểm khác địa gói IP gốc phải dùng để phân phối Điều vấn đề nới địa chi IP riêng dùng, nơi cấu trúc địa mạng bên cần dấu mạng công cộng 3.1.4.2 Chế... tin, đồng thời cho phép phía thu xử lý song song hai việc: giải mã xác thực - Tạo SN: Quá trình thực giống với AH - Tính ICV: Nếu dịch vụ xác thực lựa chọn phía phát tính giá trị ICV gói liệu