2.1.5.1 Kết hợp an ninh
2.1.5.1.1 SA trong IPSec
Theo IETF thì dịch vụ bảo mật quan hệ giữa hai hoặc nhiều thực thể để thoả thuận truyền thông an toàn được gọi là SA (Security Association). Một SA là một kết nối đơn công, nghĩa là với mỗi cặp truyền thông với nhau, có ít nhất 2 SA ( một từ A tới B và một từ B tới A). Khi lưu lượng cần truyền trực tiếp 2 chiều qua VPN, giao thức trao đổi khoá IKE (Internet Key Exchange) thiết lập một cặp SA trực tiếp và sau đó có thể thiết lập thêm nhiều SA khác. Mỗi SA có thời gian sống riêng. SA được nhận dạng duy nhất bởi bộ 3 gồm: chỉ dẫn thông số an ninh(SPI), địa chỉ IP đích và một nhận dạng giao thức an toàn ( AH hay ESP). Tập các giá trị SPI trong dãy từ 1 đến 255. Theo nguyên lý, địa chỉ IP đích có thể là một địa chỉ đơn nhất( unticast), một địa chỉ quảng bá( broatcast) hay một địa chỉ nhóm (multicast). Tuy nhiên cơ chế quản lý SA hiện nay được định nghĩa chỉ cho những SA đơn nhất.
Một liên kết an ninh có thể là một trong 2 kiểu: Transport và tunnel, phụ thuộc vào kiểu của giao thức sử dụng SA. Một liên kết kiểu Transport là một liên kết an toàn giữa 2 host, hoặc liên kết an toàn được yêu cầu giữa 2 hệ thống trung gian dọc trên đường truyền. Trong trường hợp khác, kiểu Transport cũng có thể được sử dụng để hỗ trợ IP-in-IP hay đường ngầm GRE qua các SA. SA kiểu Tunnel là một SA cơ bản được ứng dụng tới một đường ngầm IP.
SA cung cấp nhiều lựa chọn cho các dịch vụ IPSec , nó phụ thuộc vào giao thức an toàn được lựa chọn (AH hay ESP), kiểu SA, điểm kết thúc của SA
đó và một sự tuyển chọn của các dịch vụ tuỳ ý các bên trong giao thức đó. Như khi sử dụng AH để xác minh nguồn gốc dữ liệu, tính toàn vẹn phi kết nối cho gói IP, có thể sử dụng dịch vụ chống phát lại hoặc không tuỳ thuộc các bên.
Khi một bên IP-VPN muốn gửi lưu lượng IPSec tới đầu bên kia, nó kiểm tra để biết nếu có một SA đã tồn tại trong cơ sở dữ liệu hay chưa để 2 bên có thể sử dụng dịch vụ an ninh theo yêu cầu. Nếu nó tìm được một SA tồn tại, nó để SPI của SA này trong tiêu đề IPSec, thực hiện các thuật toán mã hoá và gửi gói tin đi. Bên thu sẽ lấy SPI, địa chỉ đích và giao thức IPSec( AH hay ESP) và tìm SA trong cơ sở dữ liệu phù hợp để xử lý gói tin đó. Lưu ý rằng một đầu cuối IP- VPN có thể đồng thời có thể kết nối nhiều IPSec, vì vậy cũng có nghĩa tồn tại nhiều SA.
2.1.5.1.2. Cơ sở dữ liệu SA
Có 2 cơ sở dữ liệu: cơ sở dữ liệu chính sách an ninh (Security Policy Database SPD) và cơ sở dữ liệu kết hợp an ninh (Security Associantion Database SAD)
• SPD: chỉ ra các dịch vụ an toàn được đề nghị cho lưu lượng IP, phụ
thuộc vào các nhân tố như nguồn, đích, đi ra hay đi vào. Nắm giữ thông tin về các dịch vụ bảo mật kèm theo với một danh sách thứ tự chính sách các điểm vào và ra. Giống như firewall rules và packet filters, những điểm truy cập này định nghĩa lưu lượng nào được xử lý và lưu lượng nào bị từ chối theo từng chuẩn của IPSec.
• SAD: nắm giữ thông tin liên quan đến mỗi SA, giống như các tính
toán và khóa AH hay ESP, số trình tự, kiểu giao thức và thời gian sống của SA. Cho xử lý đi ra, lối vào SPD trỏ tới một lối vào trong SAD. SAD quyết định SA nào được sử dụng cho một gói đã cho. Cho xử lý đi vào, SAD được tham khảo để quyết định gói được xử lý như thế nào.
Quá trình trao đổi khóa và quản lý khóa là một phần quan trọng của IPSec bởi vì một số khóa phải được trao đổi để các bên có thể giao tiếp với nhau an
toàn. Hai phương thức cho việc trao đổi và quản lý khóa được dùng bởi IPSec
bao gồm: khóa bằng tay (manual keying) và IKE, trong đó IKE dựa trên ISAKMP/Oakley. IKE thực hiện xác thực các bên quá trình này sử dụng thuật toán khoá băm cùng với một trong 3 loại
- Khoá chia sẻ( Pre- shared Key) - Chữ ký số RSA ( RSA Signatures)
- Số ngẫu nhiên mật mã ( RSA- encrypted nonces)
IKE giúp các bên giao tiếp hoà hợp các tham số bảo mật và khoá xác nhận trước khi một phiên bảo mật IPSec được triển khai. Ngoài việc hoà hợp và thiết lập các tham số bảo mật và khóa mã hoá, IKE cũng sửa đổi những tham số khi cần thiết trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khoá sau một phiên giao dịch hoàn thành. Thuận lợi chính của IKE gồm:
IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với
bất kỳ cơ chế bảo mật nào.
Cơ chế IKE mặc dù không nhanh nhưng hiệu quả cao bởi vì một lượng
lớn những hiệp hội bảo mật thoả thuận với nhau với một vài thông điệp khá ít 2.1.5.2.1 IKE Phases
Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước khi có bất cứ thoả thuận nào xảy ra.
a. Giai đoạn I của IKE
Đầu tiên IKE xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thoả thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hoá, hàm băm, và các phương pháp xác nhận bảo vệ mã khoá.
Sau khi cơ chế mã hoá và hàm băm đã được đồng ý ở trên, một khoá chia sẻ bí mật được phát sinh. Theo sau là những thông tin được dùng để phát sinh khoá bí mật:
Giá trị Diffie-Hellman
• SPI của ISAKMP SA ở dạng coookies
• Số ngẫu nhiên known as nonces (used for signing purposes)
Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả 2 bên phát sinh những key riêng của chính mình sử dụng để chia sẻ bí mật. Theo cách này, những khoá mã hoá được phát sinh mà không cần thực sự trao đổi bất kỳ khoá nào thông qua mạng. (adsbygoogle = window.adsbygoogle || []).push({});
b. Giai đoạn II của IKE
Trong khi giai đoạn I thoả thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết việc thiết lập SAs cho IPSec. SAs dùng nhiều dịch vụ khác nhau thoả thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hoá bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH hoặc ESP) dưới hình thức một phần của SA
Sự thoả thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn1.Điển hình,sự thoả thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khoá ngăn cản các hacker bẻ gãy những khoá này và sau đó là nội dung của gói dữ liệu.
Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làm việc đơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hỗ trợ bởi một trường hợp đơn ở giai đoạn I. Điều này làm quá trình giao dịch chậm của IKE tỏ ra tương đối nhanh hơn. Oakley là một trong số các giao thức của IKE.
2.1.5.2.2 IKE Mode
Chế độ IKE phổ biến thường được triển khai:
• Chế độ nhanh (Quick mode)