TRƯỜNG ĐẠI HỌC THÁI BÌNH KHOA CƠNG NGHỆ THƠNG TIN TIỂU LUẬN HỌC PHẦN: NHẬP MƠN AN TỒN THƠNG TIN ĐỀ TÀI: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG Nhóm sinh viên thực hiện: PHẠM TUẤN ANH - 1800182 NGUYỄN TIẾN LUÂN - 1800025 Khóa : 2018 Lớp : DH7- CNTT Giảng viên hướng dẫn : TH.S PHẠM THỊ THANH GIANG Thái Bình, 6/2021 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT LỜI MỞ ĐẦU Ứng dụng cơng nghệ thơng tin ngày đóng vai trị quan trọng lĩnh vực An tồn thông tin phần cần thiết có giá trị thực tiễn cơng ty, tổ chức đưa công nghệ thông tin vào sử dụng Với vai trò quản trị mạng, cho dù làm việc đâu, mạng Internet cơng cộng hay trì mạng riêng, việc bảo mật liệu yêu cầu cốt lõi thiết yếu Chúng ta thường để ý nhiều đến việc bảo mật đường biên chống lại cơng từ bên ngồi vào thường để ý đến công nội mạng, nơi mà dường cơng thường xảy nhiều Để bảo vệ tốt nguồn liệu mạng, cần có chiến lược bảo mật chắn gồm nhiều lớp bảo mật kết hợp với Các tổ chức thường triển khai gới hạn để bảo mật đường biên mạng bảo mật truy nhập đến tài nguyên cách thiết lập kiểm soát truy nhập xác thực Nhưng việc bảo mật gói IP thực nội dung thường bị bỏ qua Để giải vấn để đó, Microsoft tích hợp phần mềm bảo mật lưu thông IP (Internet Protocol) cách sử dụng Internet Protocol Security (IPSec) Trong tiểu luận học phần an ninh mạng, hướng dẫn cô giáo Phạm Thị Thanh Giang, nhóm em tiến hành tìm hiểu giao thức bảo mật tầng mạng với mục đích, tính năng, cách xác định, triển khai việc thực thi quản lý IPSec, xem công cụ chiến lược xây dựng hệ thống bảo mật cách vững trang TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT LỜI CẢM ƠN Qua nhóm em xin gửi lời cám ơn tới quý thầy cô giáo khoa công nghệ thông tin rường Đại Học Thái Bình Trong thời điểm dịch bệnh diễn biến phức tạp thầy cô nỗ lực tạo điều kiện tốt nhất, hỗ trợ bọn em trình thực tiểu luận Nhóm em cám ơn Phạm Thị Thanh Giang, để chúng em hồn thành tiểu luận cách tốt nhất, thiếu hỗ trợ góp ý tận tình Nhóm em xin chân thành cảm ơn! trang TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT MỤC LỤC trang TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT CHƯƠNG I: TỔNG QUAN VỀ CÁC GIAO THỨC MẠNG I Giao thức mạng gì? Các giao thức mạng (protocol) tập hợp quy tắc thiết lập nhằm xác định cách để định dạng, truyền nhận liệu cho thiết bị mạng máy tính - từ server router tới endpoint - giao tiếp với nhau, khác biệt sở hạ tầng, thiết kế hay tiêu chuẩn chúng Để gửi nhận thông tin thành công, thiết bị hai phía trao đổi liên lạc phải chấp nhận tuân theo quy ước giao thức Hỗ trợ cho giao thức mạng tích hợp vào phần mềm, phần cứng hai Các giao thức mạng tiêu chuẩn hóa cung cấp cho thiết bị mạng ngơn ngữ chung Khơng có chúng, máy tính khơng biết phải giao tiếp với Kết là, trừ mạng đặc biệt cho kiến trúc cụ thể, có số mạng hoạt động khơng có mạng internet biết ngày tồn Hầu tất người dùng cuối dựa vào giao thức mạng để kết nối với II Những giao thức mạng phổ biến Internet Protocol Suite Internet Protocol Suite (bộ giao thức liên mạng): tập hợp giao thức thực thi protocol stack (chồng giao thức) mà Internet chạy Internet Protocol Suite gọi giao thức TCP/IP TCP IP giao thức quan trọng Internet Protocol Suite - Transmission Control Protocol (TCP) Internet Protocol (IP) Internet Protocol Suite trang TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT tương tự mơ hình OSI, có số khác biệt Ngồi khơng phải tất lớp (layer) tương ứng tốt Protocol Stack Protocol Stack tập hợp đầy đủ lớp giao thức, hoạt động để cung cấp khả kết nối mạng Transmission Control Protocol (TCP) Transmission Control Protocol (TCP) giao thức cốt lõi Internet Protocol Suite Transmission Control Protocol bắt nguồn từ việc thực thi mạng, bổ sung cho Internet Protocol Do đó, Internet Protocol Suite thường gọi TCP/IP TCP cung cấp phương thức phân phối đáng tin cậy luồng octet (khối liệu có kích thước bit) qua mạng IP Đặc điểm TCP khả đưa lệnh kiểm tra lỗi Tất ứng dụng Internet lớn World Wide Web, email truyền file dựa vào TCP Internet Protocol (IP) Internet Protocol giao thức Internet protocol suite để chuyển tiếp liệu qua mạng Chức định tuyến Internet Protocol giúp thiết lập Internet Trước đây, giao thức datagram trang TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT service không kết nối Transmission Control Program (TCP) ban đầu Do đó, Internet protocol suite gọi TCP/IP Domain Name System (DNS) Domain Name System (DNS) sử dụng để chuyển đổi tên miền thành địa IP Hệ thống phân cấp DNS bao gồm máy chủ gốc, TLD máy chủ có thẩm quyền Telnet Telnet phương thức sử dụng để quản lý thiết bị mạng cấp lệnh Không giống SSH, Telnet không cung cấp kết nối an toàn, mà cung cấp kết nối không bảo mật Cổng mặc định Telnet 23 Simple Mail Transfer Protocol (SMTP) SMTP đ ợc sử dụng với hai chức chính: Chuyển email từ mail server nguồn đến mail server đích chuyển email từ người dùng cuối sang hệ thống mail Cổng mặc định SMTP 25 cổng SMTP bảo mật (SMTPS) 465 (Không phải tiêu chuẩn) trang TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT CHƯƠNG II: TỔNG QUAN VỀ IPSEC I Khái niệm IPSec Để bắt tay vào nghiên cứu IPSec, trước hết cần phải hiểu khái niệm, IPSec gì? IPSec khung kiến trúc cung cấp dịch vụ bảo mật, mật mã dành cho gói IP IPSec kỹ thuật bảo mật điểm tới điểm (end-toend) Điều có nghĩa có trạm biết rõ hiển diện IPSec, máy tính sử dụng IPSec liên lạc với nhau, biết rõ chế bảo mật Các định tuyến đường biết quan hệ bảo mật hai trạm chúng chuyển tiếp gói IP chúng làm với tất gói IP khác Mỗi máy tính điều khiển chức bảo mật đầu với giả thiết tất trạm ngang đường khơng bảo mật Các máy tính làm nhiệm vụ định tuyến gói tin từ nguồn đến đích khơng cần thiết phải hỗ trợ IPSec Chỉ có loại trừ lọc gói tin dạng Firewall hay NAT đứng hai máy tính Với mơ hình IPSec triển khai thành công theo kịch sau: • Mạng cục (LAN): mạng cục dạng Chủ - Khách hay mạng ngang hàng • Mạng diện rộng (WAN): Mạng WAN định tuyến (Router-to- Router) hay giữ cổng • Truy cập từ xa: Các máy khách quay số hay truy cập Internet từ mạng riêng Thông thường, hai đầu yêu cầu cấu hình IPSec, hay cịn gọi sách IPSec, để đặt tùy chọn thiết lập bảo mật cho phép hai hệ thống thỏa thuận việc bảo mật lưu thông chúng Các hệ điều hành Windows Server 2000, Windows XP, Windows Server2003 thực thi IPSec dựa chuẩn cơng nghiệp nhóm IPSec, IETF (Internet Engineering Task Force) phát triển trang TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT II Mục đích IPSec Các Header (tiêu đề) IP, Transmission Control Protocol (TCPGiao thức Kiểm soát Truyền dẫn), User Datagram Protocol (UDP-Giao thức gói liệu người dùng) chứa số Kiểm soát (Check sum) sử dụng để kiểm sốt tình tồn vẹn (Integrity) liệu gói IP Nếu liệu bị hỏng Số Kiểm soát thông báo cho người nhận biết Tuy nhiên, thuật toán Số Kiểm soát phổ biến rộng rãi nên kể người dùng khơng có chức truy cập vào gói tin cách dễ dàng thay đổi nội dung chúng tính lại Số Kiểm sốt, sau lại chuyển tiếp gói tin đến tay người nhận mà không ai, kể người gửi lẫn người nhận biết đến can thiệp Do hạn chế chức số kiểm soát vậy, nơi nhận, người dùng phát việc gói tin bị thay đổi Trong khứ, ứng dụng cần bảo mật tự cung cấp chế bảo mật cho riêng chúng dẫn tới việc có nhiều chuẩn bảo mật khác khơng tương thích IPSec Giao thức Thuật tốn Mã hóa cung cấp khả bảo mật lớp Internet (Internet Layre) mà không cần phải quan tâm đến ứng dụng gửi hay nhận liệu Sử dụng IPSec, cần chuẩn bảo mật áp dụng việc thay đổi ứng dụng không cần thiết IPSec có mục đích chính: • Bảo vệ nội dung gói IP • Cung cấp việc bảo vệ chống lại công mạng thơng qua lọc gói tin việc bắt buộc sử dụng kết nối tin cậy • Cả hai mục tiêu đạt thơng qua việc sử dụng dịch vụ phòng chống dựa chế mã hóa, giao thức bảo mật việc quản lý khóa động Với tảng vậy, IPSec cung cấp hai tính Mạnh vả Uyển chuyển việc bảo vệ liên lạc máy tính mạng riêng, Miền, Site (bao gồm Site truy cập từ xa), mạng Intranet, máy khách truy cập qua đường điện thoại Thậm chí cịn trang TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT • • • • • sử dụng để khóa việc nhận hay gửi loại lưu thơng chun biệt Chống lại công bảo mật bảo vệ gói tin làm cho chúng trở thành khó, khơng nói khơng thế, kẻ xâm nhập để dịch liệu mà họ thu giữ IPSec có số tính mà làm giảm đáng kể hay ngăn ngừa loại công sau: Do thám gói liệu (Packet Sniffing): Packet Sniffer ứng dụng thiết bị theo dõi đọc gói liệu Nếu gói liệu khơng mã hóa, Packet Sniffer trình bày đầy đủ nội dung bên gói liệu Thay đổi liệu: Kẻ cơng thay đổi thông điệp vận chuyển gửi liệu giả mạo, ngăn cản người nhận nhận liệu xác, hay cho phép kẻ cơng lấy thêm thông tin bảo mật IPSec sử dụng khóa mã hóa, chia sẻ người gửi người nhận, để tạo Số Kiểm soát mã hóa cho gói IP Mọi thay đổi gói liệu dẫn đến việc thay đổi Số Kiểm soát cho người nhận biết gói liệu bị thay đổi đường truyền Nhận dạng giả mạo: Kẻ công làm giả mã nhận dạng (Identity Spoofing) cách sử dụng chương trình đặc biệt để xây dựng gói IP mà xuất gói liệu gốc từ địa hợp lệ bên mạng tin cậy IPSec cho phép trao đổi xác nhận lại mã nhận dạng mà không phơi chúng cho kẻ công dịch Sự xác nhận lẫn (xác thực) sử dụng để thiết lập tin cậy hệ thống tham gia liên lạc với hệ thống khác Sau mã nhận dạng thiết lập, IPSec sử dụng khóa mã hóa, chia sẻ người gửi người nhận, để tạo số kiểm sốt mã hóa cho gói IP Các số kiểm sốt mã hóa đảm bảo máy tính biết rõ khóa gửi gói liệu Tấn cơng ngang đường (man-in-the-middle attack) dạng công này, người đó, đứng hai máy tính liên lạc với nhau, tiến hành theo dõi, thu nhập điều khiển liệu cách suốt IPSec kết hợp việc xác thực lẫn mã hóa để chống lại dạng cơng trang 10 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT • Tấn cơng từ chối dịch vụ (DoS): Ngăn cản việc vận hành bình thường tài nguyên mạng máy tính Làm lụt tài khỏa E-mail thông điệp không mong muốn ví dụ dạng cơng IPSec sử dụng phương pháp lọc gói IP (IP packet Filtering) làm sở cho việc xác định mối liên lạc phép, bảo mật hay phải khóa lại Việc xác định mối liên lạc phép, bảo mật hay phải khóa lại Việc xác định dựa vào dẫy địa IP, Giao thức IP hay chí số cổng TCP hay UDP xác định CHƯƠNG III: TÌM HIỂU VỀ IPSEC I Các tình bảo mật IPSec Các tính bảo mật IPSec IPSec có nhiều tính bảo mật thiết kế để thỏa macn mục tiêu bảo vệ gói IP va chống lại công nhờ vào lọc chế kết nối tin cậy Một vài tính bảo mật IPSec liệt kê sau: • Sự kết hợp bảo mật tự động: IPSec sử dụng Internet Security Association (Kết hợp bảo mật Internet) Key Management Protocol (ISAKMP – Giao thức Quản lý Khóa) để thỏa thuận cách tích cực tập yêuc ầu bảo mật cho hai phía máy tính với Các máy tính khơng địi hỏi phải có sách giống hệt nhau, chúng cần sách cấu hình tùy chọn thỏa thuận đẻ để thiết lập tập chung yêu cầu với bảo mật với máy tính • Lọc gói IP: Q trình lọc cho phép hay cấm liên lạc cần thiết cách định khoảng địa IP, giao thức, hay chí cổng giao thức • Bảo mật lớp mạng: IPSec nằm lớp mạng, cung cấp chế bảo mật cách tự động, suốt cho ứng dụng trang 11 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT • Xác thực ngang hàng: IPSec xác nhận lại mã nhận dạng máy tính đối tác trước có gói liệu chuyển Việc xác thực đối tác IPSec Windows Server 2003 dựa khóa chia sẻ, khóa cơng khai (ví dụ Giấy chứng nhận X509) Kerberos Active Directory để xác thực Kerberos Xác thực liệu gốc: Việc xác thực nguồn liệu gốc ngăn cản người dùng khơng khơng can thiệp vào gói tin khai báo họ người gửi liệu Mỗi gói tin liệu bảo vệ IPSec bao gồm số Số Kiểm Soát mật mã định dạng giá trị băm có khóa Số Kiểm Sốt mật mã cịn biết đến tên Intergrity Check Value (ICV - Giá tri kiểm sốt tính ngun vẹn) hay Hash-Based Message Authentication (HMAC – mã xác thực thơng điệp băm nhỏ) • Tính nguyên vẹn liệu: Với việc sử dụng số kiểm soát mật mã, IPSec bảo vệ liệu vận chuyển không bị sửa đổi người dùng không xác thực, hay không phát trình vận chuyển, đảm bảo chắn liệu liệu mà người nhận có xác thơng tin mà người gửi gửi cho Các người sử dụng có ác tâm muốn thay đổi muốn thay đổi nội dung gói tin phair cập nhật lại cách xác Số Kiểm Soát mật mã, điều gần thực không biềt khóa chia sẻ • Tính riêng tư liệu: Các gói liệu gửi mã hóa kỹ thuật mã hóa khóa bí mật qui ước Điều làm cho liệu trở nên riêng tư Thậm chí liệu bị truy nhập quan sát, kẻ truy nhập nhìn thấy liệu mã hóa Nếu khơng biết khóa bí mật sử dụng liệu gốc ẩn Do khóa bí mật chia sẻ nguời gửi người nhận, tính riêng tư liệu đảm bảo người nhận định trước gói tin giải mã trình bày gói tin • Tính khơng lặp: trang 12 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT Bằng cách sử dụng số thứ tụ trên gói tin bảo vệ gửi đối tác có sử dụng IPSec, liệu trao đổi đối tác bị lại để thiết lập quan hệ bảo mật khác hay nhận truy cập không xác thực đến thông tin hay tài nguyên • Quản lý khóa Việc xác thực nguồn gốc liệu, tính ngun vẹn, tính riêng tư hồn tồn phụ thuộc vào thơng tin chia sẻ khóa bí mật Nếu khóa bí mật bị tổn thương, liên lạc khơng cịn bảo mật Để giữ khóa khơng bị người sử dụng có ác tâm phát IPSec cung cấp phương thức an tồn cho việc trao đổi thơng tin khóa để nhận khóa bảo mật chia sẻ thay đổi khóa cách định ký cho liên lạc cần bảo mật Các tính IPSec Windows Server 2003 IPSec tích hợp sử dụng để bảo mật liên lạc mạng Windows 2000, Windows XP Professonal, Windows Server 2003 IPSec hợp lệnh dành cho máy khách có cho hệ điều hành Microsoft Windows NT 4.0 Microsoft Windows 98, Microsoft Windows Millennium Edition (me) Các tính IPSec Windows Server 2003 bao gồm: • Snap-in IP Security Monitor (Trình Theo dõi Bảo mật IP) cải tiến từ cơng cụ IPSecMon có Windows 200 (Snap-in Windows XP Proesional Windows Serever 2003) • Khóa chủ mã hóa mạnh hơn, việc trao đổi khóa Diffie-Hellman 2048- bit sử dụng • Cơng cụ quản lý dạng dịng lệnh Netsh cung cấp tính tiện ích, có thêm nhiều khả cấu hình khơng có Snap-in IP Security Policy Management phiên Windows 2000 • Việc khởi động máy tính bảo mật Nếu máy tính cấu hình sử dụng chế độ kết nối trạng thái bảo (Stateful), thông tin vào mà gửi để đáp lại thơng tin máy tính gửi chấp nhận, lưu thông chiều vào đáp ứng tiêu chí lọc mà cấu hình, giống lưu thơng DHCP Tất thơng tin chiều vào khác (bao gồm gói tin có địa chỉ, quảng bá hay quảng bá có địa chỉ) bị loại bỏ Các thông tin chiều vào chế độ kết nối trạng thái cho phép trang 13 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT • • • • • • • • lọc hủy bó sau dịch vụ IPSec khởi động thiết lập sách IPSec cố định Chính sách IPSec cố định áp dụng trường hợp sách cục hay sách Active Directory không áp dụng Chỉ thông tin miền IKE miễn trừ khỏi thiết lập lọc Sự miễn trừ cần thiết việc thiết lập mối liên lạc bảo mật Có hạn chế định xác định với máy tính phép kết nối dựa Miền, nguồn gốc Giấy chứng nhận, hay nhóm máy tính Tên Certìicate Authority (CA), khơng bao gồm yêu cầu giấy chứng nhận để tránh việc phát thông tin quan hệ tin cậy máy tính Miền, CA cơng ty Các cách cung cấp địa IP cách logic áp dụng cho việc cấu hình IP cục - máy máy chủ DHCP, Domain Name system (DNS), Windows Internet Naming Service (Wins) IPSec hoạt động NAT cho phép gói ESP qua NAT (với trạm NAT cho phép lưu thơng UDP qua) Tính tích hợp với Network Load Balancing – NBL (Cân tải mạng) cải thiện, đem lại lợi ích cho việc cân tải dịch vụ VPN dựa IPSec Sự hỗ trợ đựoc cung cấp cho Snap-in RSoP giúp ta xem thiết lập sách IPSec Các giao thức IPSec cung cấp bảo mật dựa việc sử dụng kết hợp giao thức, có giao thức AH giao thức ESP Các giao thức sử dụng độc lập hay trước sau phụ thuộc vào yêu cầu việc giữ tính riêng tư xác thực 8.1 Giao thức AH Cung cấp tính xác thực, nguyên vẹn khơng lặp cho tồn gói tin (gồm phần tiêu đề IP giữ liệu chuyển tồn gói tin) Nó khơng cung cấp tính riêng tư, có nghĩa khơng mã hóa liệu Dữ liệu đọc được, chúng bảo vệ chống lại việc thay đổi Giao thức AH sử dụng thuật toán Keyed hash để đánh dấu gói liệu nhằm đảm bảo tính tồn vẹn trang 14 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT 8.2 Giao thức ESP Cung cấp tính riêng tư (thêm vào cho tính xác thực, tồn vẹn khơng lặp) cho liệu (IP Payload) ESP trạng thái vận chuyển không đánh dấu lại tồn gói tin Chỉ thân gói tin IP (IP Payload) – IP Header – bào vệ ESP sử dụng độc lập hay kết hợp với AH Ví dụ, sử dụng kết hợp với AH, gói IP Payload gửi từ máy tính A đến máy tính B mã hóa đánh dấu để đảm bảo tính nguyên vẹn Khi nhận được, phần liệu truyền giải mã sau trình xác nhận tính xác nhận tính tồn vẹn thực thành cơng Và người nhận biết chắn gửi gói liệu, liệu khơng bị thay đổi khơng khác đọc chúng II Các phương thức, dịch vụ, trình điều khiển IPSec Phương thức cấu hình IPSec 1.1 Phương thức Vận chuyển (Transport Mode) Sử dụng bảo mật điểm-tới-điểm Cả hai trạm cần hỗ trợ IPSec sử dụng giao thức xác thực, bắt buộc phải sử dụng lọc IP tương thích khơng qua giao tiếp NAT Liên lạc qua giao tiếp NAT Liên lạc qua giao tiếp NAT đổi IP phần tiêu đề làm hiệu lực ICV (Giá trị Kiểm Sốt tính Nguyên vẹn) 1.2 Tunel Mode (Phương thức Đường hầm) Bạn sử dụng Tunel Mode trường hợp bạn cần kết nối Site-to-Site thông qua Internet (hay mạng công cộng khác) Tunel Mode cung cấp bảo vệ Gateway-to- Gateway (cửa-đếncửa) trang 15 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT 1.3 Security Associations Bảo mật) (Sự Liên kết Sự Liên kết Bảo mật (SA) tập hợp dịch vụ bảo mật, chế bảo vệ, khóa mã đuợc thơng tin cần thiết để xác định lưu thông đuợc bảo mật (các dịch vụ bảo mật chế bảo vệ) với khóa bảo mật (Khóa mã hóa) Có hai loại SA tạo cặp máy tính sử dụng IPSec trao đổi với trạng thái bảo mật: SA ISAKMP SA IPSec • SA IASKMP SA IASKMP cịn đuợc gọi SA Phương thức Chính (Main Mode SA) đuợc sử dụng để bảo vệ thỏa thuận bảo mật IPSec SA ISAKMP tạo việc thỏa thuận mật mã (một tập hợp thuật tốn mã hóa sử dụng để mã hóa liệu), mà sử dụng để bảo vệ lưu thông ISPKMP tương lai, trao đổi chất liệu tạo khóa, sau xác nhận xác thực đối tương IPSec SA vòng CSDL Liên kết Bảo mật (Security Association Database – SADB) Khi trình tạo SA ISAKMP kết thúc, tất thỏa thuận SA tuơng lai cho hai loại SA đươc bảo Initiator Router Router Responderr 12 vệ Đó một khía cạnh việc liên lạc bảo mật biết đến với tên Thỏa thuận Mã hóa Được bảo vệ (Protected Ciphersuite negotiation) Với chế này, không liệu bảo vệ mà xác định thuật toán bảo mật thỏa thuận đối tác IPSec bảo vệ trang 16 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT Để phá vỡ việc bảo vệ IPSec, người dùng ác ý trước hết phải xác định mật mã bảo vệ liệu, mà mật mã lại đưa rào cản khác Đối với IPSec, có ngoại lệ để hồn thành việc thỏa thuận mật mã bảo vệ tiến thành thỏa thuận mật mã với SA ISAKMP ban đẩu, gửi dạng văn tường minh • SA IPSec SA IPSec, cịn gọi SA Phương thức Nhanh (Quick Mode SA), Được sử dụng để bảo vệ liệu đuợc gửi đối tác IPSec Việc thỏa thuận mật mã SA IPSec SA ISAKMP bảo vệ Không thông tin lưu thông hay chế bảo vệ gửi dạng văn tường minh Với cặp đối tác IPSec, hai kiểu SA IPSec tồn cho giao thức thỏa thuận cho lưu thông chiều vào (inbound), cho lưu thông chiều (Out bound) SA chiều vào đối tác IPSec SA chiều đối tác IPSec kía Dịch vụ IPSec Policy Agent Mục đích IPSec Policy Agent (Đại lý Chính sách IPSec) dùng để phục hồi lại thơng tin sách vàchuyền chúng cho cấu thành IPSec khác yêu cầu thông tin để thực dịch vụ bảo mật IPSec Policy Agent dịch vụ tồn máy vi tính chạy hệ điều hành Windows Server 2003, xuất nhưlà dịch vụ IPSec danh sách dịch vụ hệ thống bảng điều khiển Services, IPSec Policy Agent thực số chức hệ điều hành bao gồm: trang 17 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT • Phục hồi sách IPSec thích hợp (nếu chúng gắn) từ Active Directory (như hình 6-3) máy tính thành viên Miền, từ Số dăng ký (registry) máy tính khơng phải thành viên Miền • Thu nhập thay đổi việc cấu hình sách Gửi thơng tin sách IPSec đến trình điều khiền IPSec • Nếu máy tính thành viên miền, q trình phục hồi sách bắt đầu hệ thống khởi động, với khoảng xác định sách IPSec, khoảng thời gian thu thập đăng nhập Windows mặc định Bạn thu thập thơng tin thay đổi cấu hình sách IPSec Active Directory cách thủ cơng nhờ việc thực lệnh Update/target: tênmáytính Sau khía cạnh khác hành vi sách IPSec dành cho máy tính thành viên Miền: Nếu thơng tin sách IPSec cho máy tính thành viên Miền đuợc cấu hình tập trung, thơng tin sách lưu 15 Active Directory lưu tạm Registry cục máy tính áp dụng sách Nếu máy tính tạm thời khơng kết nối tới Miền sách lưu tạm, thơng tin sách dành cho máy tính thay cho thơng tin sách cũ lưu tạm máy tính kết nối lại tới Miền trang 18 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT Nếu máy tính máy tính độc lập thành viên Miền không sử dụng Active Directory để lưu sách, Chính sách IPSec lưu Registry cục Nếu khơng có sách IPSec Active Directory hay Registry IPSec Policy Agent khởi động cách tự động thời điển khởi động, hay IPSec Policy Agent kết nối Active Directory, IPSec Policy Agent đợi sách gán hay kích hoạt II.4 Chỉ mục thơng số Bảo Mật (Sercurity Parameters Index– SPI) Với phiên IPSec, đối tác IPSec bắt buộc phải lần theo dấu vết việc sử dụng ba SA khác nhau: SA ISAKMP, SA IPSec chiều vào SA IPSec chiều Để nhận dạng SA định, người ta sử dụng số ngẫu nhiên giả 32 bit, gọi Chỉ mục Thông số Bảo mật (Securyti Parameters Index – SPI) SPI, trường tiêu đề IPSec, SA mà đối tác đích dùng gửi với gói liệu Đối tác nhận có trách nhiệm cung cấp SPI cho giao thức Đối tác khởi tạo phiên IPSec gọi Người khởi tạo (Initiator) Đối tác có trách nhiệm yêu cầu thực việc bảo vệ IPSec gọi 13 Người đáp (Responder) Người khởi tạo chọn SPI SA ISAKMP, đối tác chọn SPI SA IPSec dành cho lưu thơng chiểu II.5 Trao đổi Khóa Internet (Internet Key Exchange – IKE) IKE tiêu chuẩn xác định chế thiết lập SA IKE kết hợp ISAKMP giao thức Oakley Key Determination để tạo chất liệu khóa bảo mật Ọakley xây dựng dựa thuật tốn Trao đổi khóa Diffie – hellman (Diffie – Hellmen Key Exchange), cho phép hai đối tác IPSec xác định khóa bảo mật cách trao đổi giá trị khơng mã hóa thơng qua mạng cơng cộng Kết q trình trao đổi khóa Diffie-Hellman cách trao đổi hai số qua mạng cơng cộng tạo khóa bảo mật mà riêng hai đối tác tham gia vào trinhd trao đổi biết Người dùng ác ý truy cập vào gói tin trao đổi khóa xem số này, họ không thực dược phép tính đối tác tham gia thỏa thuận thực để nhận khóa bảo mật chia sẻ Q trình trao đổi khóa Diffie –Hellman không ngăn cản vụ công trang 19 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT ngang đường, người sử dụng ác ý đứng hai đối tác IPSec thực hai q trình trao đổi khóa Diffie-Hellman, q trình với đối tác IPsec Sau hoàn thành hai q trình trao đổi khóa nói trên, người dùng ác ý cá khóa bảo mật để liên lạc với hai đối tác Để tránh công vậy, IPsec Windows Server 2003 thực việc xác thực sau trình trao đổi khóa kết thúc Trong trường hợp đối tác IPsec khơng thể thực việc xác thực cách xác, thỏa thuận bảo mật bị loại bỏ trước có liệu gửi IPSec Window Server 2003 hỗ trợ chế tạo lại khóa tự động (Dynamic Rekeying), xác định chất liệu tạo khóa thơng qua trao đổi Diffie-Hellman Cơ chế tạo lại khóa tự động dựa thời gian trôi qua (mặc định 480 phút hay giờ) dựa số phiên trao đổi liệu với tập chất liệu tạo khóa (Mặc định, số khơng 14 giới hạn) Trình điều khiển IPSec Trình điều khiển IPSec nhận danh sách lọc IP tích cực từ IPSec Policy Agent Đại lý Chính sách sau kiểm tra phù hợp gói thông tin chiều chiều vào so với danh sách lọc Bộ lọc IP cho phép quản trị mạng xác định cách xác lưu thông IP bảo mật Mỗi danh sách lọc IP bao gồm hay nhiều lọc, xác định trang 20 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT địa IP kiểu lưu thơng Một danh sách lọc IP sử dụng nhiều kịch liên lạc Trình điều khiển IPSec sử dụng trường SPI để kiểm tra phù hợp SA với gói tin Khi gói tin chiều thỏa mãn điều kiện danh sách lọc IP với hành động thỏa thuận bảo mật, trình điều khiển IPSec xếp gói tin vào hàng đợi trình IKE bắt đầu tiến hành thỏa thuận bảo mật với địa IP đích gói tin Sau việc thỏa thuận bảo mật hồn tất, trình diều khiển IPSec máy tính gửi thực hành động sau: • Trình điều khiển IPSec nhận SA có chứa khóa phiên từ q trình IKE • Trình điều khiển IPSec định vị SA chiều CSDL chèn SPI lấy từ SA vào tiêu đề (header) • Trình điều khiển IPSec ký vào gói tin mã hóa chúng tính riêng tư u cầu • Trình điều khiển IPSec gửi gói tin đến lớp IP để truyền chúng đến máy tính đích Trong trường hợp việc thỏa thuận thất bại, trình điều khiển IPSec triệt tiêu gói tin Khi gói tin bảo mật IPSec chiều vào thỏa mãn điều kiện lọc danh sách lọc IP, trình điều khiển IPSec thực hành động sau: • Trình điều khiển IPSec nhận khóa phiên, SA, SPI từ trình IKE 17 • Trình điều khiển IPSec định vị SA chiều vào CSDL cách sử dụng địa đích SPI • Trình điều khiển IPSec kiểm tra chữ ký cần thiết giải mã gói tin • Trình điều khiển IPSec tìm gói tin IP thõa mãn lọc danh sách lọc để chắn khơng chấp nhận q trình thỏa thuận • Trình điều khiển IPSec gửi gói tin đến trình điều khiển TCP/IP để chuyển cho ứng dụng nhận Khi nhận gói tin khơng bảo mật, Trình điều khiển IPSec tìm kiếm điều kiện lọc thõa mãn danh sách lọc Nếu việc tìm kiếm thành cơng hành động lọc lọc yêu cầu bảo mật IP hay khóa gói tin, gói tin bị triệt tiêu trang 21 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT Quá trình thỏa thuận bảo mật Quá trình xử lý IPSec chia thành hai loại thỏa thuận: Thỏa thuận phương thức thỏa thuận phương thức nhanh Ta lấy ví dụ: o Trạm A yêu cầu liên lạc bảo mật o Việc thỏa thuận theo phương thức bắt đầu hồn tất (Khóa chủ Master Key – Và SA IKE thiết lập – xem phần “Thỏa thuận Phương thức Chính”) o Việc thỏa thuận phương thức nhanh cặp SA (chiều vào chiều ra) cho việc truyền gói tin ứng dụng hồn tất o Các gói tin ứng dụng từ trạm A trình điều khiển TCP/IP chuyển cho trình điều khiển IPSec o trình điều khiển IPSec định dạng mã hóa gói tin, sau sử dụng SA chiều để gửi cho trạm B o Các gói tin bảo mật truyền mạng trang 22 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT KẾT LUẬN Qua việc thực đề tài tiểu luận nhóm em hiểu biết giao thức mạng, đặc biệt hiểu rõ giao thức bảo mật mạng Từ việc tìm hiểu giao thức bảo mật IPSec nhóm chúng em nhận tầm ảnh hưởng to lớn giao thức bảo mật mạng Ngoài ra, hạn hẹp thời gian trình độ nên tiểu luận nhóm em cịn số điểm chưa hồn chỉnh, mong góp ý q thầy cơ, để chúng em hồn thiện kĩ rút kinh nghiệm cho đồ án năm cuối Qua trình làm tiểu luận nhóm chúng em tìm hiểu đề sau : - Tổng quan giao thức mạng - Giao thức mạng - Những giao thức mạng phổ biến - Tổng quan giao thức bảo mật IPSec - Khải niệm giao thức bảo mật IPSec - Mục đích giao thức bảo mật IPSec - Các phương thức, dịch vụ, trình điều khiển IPSec - Các tính bảo mật giao thức IPSec trang 23 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT DANH MỤC TÀI LIỆU THAM KHẢO [1] https://www.tailieudaihoc.com/3doc/324448.html [2] https://vnpro.vn/tin-tuc/giao-thuc-duong-ham-lop-2-l2tp-va-giaothuc-bao-mat-ip-ipsec-trong-vpn-1162.html [3] https://quantrimang.com/ipsec-la-gi-174155 [4] https://quantrimang.com/nhung-giao-thuc-mang-pho-bien-hiennay-162843 [5] https://www.totolink.vn/article/137-14-giao-thuc-mang-pho-bienma-ban-nen-biet.html trang 24 ... em trình thực tiểu luận Nhóm em cám ơn Phạm Thị Thanh Giang, để chúng em hồn thành tiểu luận cách tốt nhất, thiếu hỗ trợ góp ý tận tình Nhóm em xin chân thành cảm ơn! trang TIỂU LUẬN: TÌM HIỂU... hóa gói tin, sau sử dụng SA chiều để gửi cho trạm B o Các gói tin bảo mật truyền mạng trang 22 TIỂU LUẬN: TÌM HIỂU CÁC GIAO THỨC BẢO MẬT MẠNG|DH7CNTT KẾT LUẬN Qua việc thực đề tài tiểu luận nhóm... (Stateful), thông tin vào mà gửi để đáp lại thơng tin máy tính gửi chấp nhận, lưu thông chiều vào đáp ứng tiêu chí lọc mà cấu hình, giống lưu thơng DHCP Tất thông tin chiều vào khác (bao gồm gói tin