Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 16'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Ưu điểm chế độ Tunnel bảo vệ tất gói IP đóng gói khả sử dụng địa riêng Tuy nhiên, có trình xử lý Overhead nhiều bình thường gắn liền với chế độ 3.1.5 Sự kết hợp SA Các giao thức AH ESP áp dụng riêng lẻ kết hợp Trong số trường hợp yêu cầu tính bảo mật cao, cần phải kết hợp AH ESP Sự kết hợp giao thức IPSec 3.1.5.1 Kết hợp AH ESP chế độ Transport Hình 3.13 Kết hợp AH ESP chế độ Transport Gói IP ban đầu tách Header ra, phần Payload xử lý ESP sau xử lý AH Cuối cùng, IP Header thêm vào Như gói tin đảm bảo an tồn lớp: lớp bên AH, lớp bên ESP 3.1.5.2 Kết hợp AH ESP chế độ Tunnel Hình 3.14 Kết hợp AH ESP chế độ Tunnel Ban đầu, gói tin IP xử lý ESP chế độ Transport, tồn gói tin ESP xử lý AH chế độ Tunnel 3.2 Giao thức trao đổi khoá Internet 3.2.1 Giới thiệu chung chuẩn Bản thân giao thức IPSec khơng có khả thiết lập SA Do trình chia làm phần: IPSec cung cấp xử lý mức gói giao thức quản lý trao đổi khoá Internet thoả thuận SA, IKE chọn làm giao thức chuẩn để thiết lập SA cho IPSec IKE tạo đường hầm xác thực mã hố, sau thoả thuận SA cho IPSec Quá trình yêu cầu hai hệ thống xác thực lẫn thiết lập khoá sử dụng chung Được biết đến ISAKMP/Oakley, ISAKMP viết tắt Internet Security Association and Key Management Protocol (Liên kết bảo mật Internet Giao thức quản lý khố) IKE trợ giúp nhóm liên lạc thương lượng tham số bảo mật khố xác thực trước phiên IPSec an tồn thực thi Các tham số bảo mật thương lượng định nghĩa lần SA Ngoài việc thương lượng thiết lập tham số bảo mật khoá mật mã, IKE thay đổi tham số khoá yêu cầu phiên làm việc, IKE chịu trách nhiệm xoá khoá SA sau phiên truyền tin hồn tất Những ưu điểm IKE bao gồm: - IKE không phục thuộc vào cơng nghệ Vì dùng với chế bảo mật - IKE khơng nhanh, hiệu cao số lượng lớn SA thương lượng với số thông điệp vừa phải Theo cấu trúc làm việc ISAKMP IKE làm việc qua hai pha Hai pha trao đổi khoá tạo IKE SA đường hầm an tồn hai hệ thống Một phía đưa thuật tốn, phía chấp nhận loại bỏ kết nối Khi hai bên thống thuật toán sử dụng chúng tạo khố cho IPSec IPSec sử dụng khoá dùng chung khác với khoá IKE, khoá có nhờ sử dụng thuật tốn Diffie-Hellman lần sử dụng lại khố dùng chung có từ trao đổi Diffie-Hellman ban đầu Sau trình hồn tất IPSec SA thiết lập Q trình thực IKE gồm pha, : IKE Phase I IKE Phasse II 3.2.2 Các yêu cầu quản lý khoá IPSec Các giao thức IPSec AH ESP yêu cầu chia sẻ bí mật biết với tất nhóm tham gia có u cầu khố cách thủ cơng phân phối khoá Vấn đề đặt khố bị mất, bị tổn hại đơn giản bị hết hạn Kỹ thuật thủ công không mềm dẻo có nhiều liên kết an tồn quản lý Một chế trao đổi khoá tinh vi cho IPSec phải đáp ứng yêu cầu sau: - Độc lập với thuật toán mật mã cụ thể - Độc lập với giao thức trao đổi khoá cụ thể - Xác thực thực thể quản lý khố - Thiết lập SA qua tầng vận tải “khơng đảm bảo” - Sử dụng hiệu tài nguyên - Cung cấp khả tạo yêu cầu host phiên SA Giao thức IKE thiết kế để đáp ứng yêu cầu Nó dựa liên kết bảo mật Internet cấu trúc giao thức quản lý khoá giao thức phân phối khố Oakley IKE có đặc trưng sau: - Có thủ thục tạo khố xác thực danh tính - Tự động làm tươi khoá - Giải bải toán “khoá đầu tiên” - Mỗi giao thức bảo mật có khơng gian SPI riêng - Có tính bảo vệ xây dựng sẵn + Chống công từ chối dịch vụ + Chống công chiếm quyền điều khiển phiên kết nối - Bảo mật toàn diện - Cách tiếp cận dựa pha + Pha - Thiết lập khoá SA cho trao đổi khoá + Pha - Thiết lấp SA cho truyền liệu - Được thực thi ứng dụng qua UDP, cổng 500 - Hỗ trợ chứng cho Host người dùng - Sử dụng xác thực mạnh với trao đổi khoá ISAKMP + Chia sẻ trước khoá + Các khố khơng thực chia sẻ, thẻ dùng cho việc tạo khoá cần thiết + Các chữ ký số + Hệ mật khoá công khai Như đề cập, IKE yêu cầu pha phải hoàn tất trước luồng liệu bảo vệ với AH ESP 3.2.3 Pha thứ IKE Pha IKE thứ xác thực người dùng cuối, sau thiết lập phiên IKE bảo mật cho việc thiết lập SA Rồi sau nhóm truyền tin thương lượng ISAKMP SA thích hợp với nhau, bao gồm thuật tốn mã hố, hàm băm phương thức xác thực để phục vụ cho việc bảo vệ khoá mật mã Ở khung làm việc ISAKMP sử dụng SA thiết lập pha Sau chế mã hoá hàm băm đồng ý, khoá bảo mật chủ chia sẻ tạo Các thông tin sau thường dùng để tạo khoá mật chia sẻ bao gồm: - Các giá trị Diffie-Hellman - SPI ISAKMP SA theo dạng Cookie - Một số ngẫu nhiên - Nếu hai nhóm đồng ý sử dụng khố cơng khai dựa xác thực, họ cần trao đổi ID họ Sau trao đổi thông tin cần thiết, hai tạo khoá họ việc dùng khố mật chia Theo cách thơng thương, khố mật mã tạo mà khơng có trao đổi thực qua mạng IKE Phase thứ thoả thuận tập sách IKE, xác thực đối tác thiết lập kênh an toàn đối tác IKE Phase1 gồm chế độ: Main Mode Aggressive mode IKE Phase1 bao gồm trao đổi sau: a Thống thuật toán mã hoá xác thực Trao đổi để bảo vệ trao đổi thông tin IKE thoả thuận đối tác - Ban đầu bên A gửi Message đến B dạng chưa mã hoá(ClearText), Message đóng gói gói tin IP thơng thường nằm phần UDP Payload với giao thức lớp UDP IP UDP Header Header ISAK MP Header SA Proposal Transform Hình 3.15 Message … Proposal Transform - Message thông báo yêu cầu bên B lựa chọn giao thức thuật toán đưa trường Proposal Transform tương ứng, đồng thời tạo giá trị ngẫu nhiên gọi Cookie A (Initiator Cookie) đưa vào trường ISAKMP Header - Tương tự, bên B trả lời bên A Message có cấu trúc tương tự trên, thơng báo chọn giao thức thuật tốn nào, đồng thời đưa giá trị ngẫu nhiên Cookie B (Responder Cookie) vào trường ISAKMP Header b Trao đổi khố Tạo khố bí mật chung IKE sử dụng thuật toán Diffie- Hellman (DH) để tạo khoá bí mật dùng chung bên A bên B - Bên A gửi: ... đầu tiên” - Mỗi giao thức bảo mật có khơng gian SPI riêng - Có tính bảo vệ xây dựng sẵn + Chống công từ chối dịch vụ + Chống công chiếm quyền điều khiển phiên kết nối - Bảo mật toàn diện - Cách... đồng ý, khoá bảo mật chủ chia sẻ tạo Các thông tin sau thường dùng để tạo khoá mật chia sẻ bao gồm: - Các giá trị Diffie-Hellman - SPI ISAKMP SA theo dạng Cookie - Một số ngẫu nhiên - Nếu hai nhóm... với giao thức trao đổi khoá cụ thể - Xác thực thực thể quản lý khoá - Thiết lập SA qua tầng vận tải “không đảm bảo” - Sử dụng hiệu tài nguyên - Cung cấp khả tạo yêu cầu host phiên SA Giao thức