ĨP Security architecture
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng
tường lửa Checkpoint
Kiến trúc IPSec cung cấp một bộ khung an tồn tại tầng IP với cả ĨPV4 và ĨPV6.
Các giao thức tầng giao vận và các ứng dụng cĩ thể dùng IPSec đổ đảm bảo
an tồn
mà khơng phải thay đổi gì.
IPSec là một kiến trúc an tồn dựa trên chuẩn mở, nĩ cĩ các đặc trưng: - Cung cấp tính xác thực, mã hĩa, tồn vẹn dữ liệu và bảo vệ sự phát lại - Cung cấp khả năng tạo và tụ- động làm tươi các khĩa mật mã một
cách an tồn
- Sử dụng các thuật tốn mật mã mạnh đổ cung cấp tính bảo mật - Cung cấp khả năng xác thực dựa trên chứng chỉ số
- Điều chỉnh các thuật tốn mật mã và các giao thức trao đổi khố
- Cung cấp tính năng an tồn cho các giao thức đường hầm truy cập từ
xa như
L2TP, PPTP
IPSec cung cấp khả năng bảo mật thơng tin giữa hai đầu cuối nên chỉ
cĩ nơi
gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các
thiết bị
khác nằm trên đoạn đường giữa hai đầu khơng phải bận tâm đến cơng việc mã hố,
trao đổi khố bảo mật vv... khi chuyển tiếp dữ liệu. Đổi với khách hàng, điều này
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng
tường lửa Checkpoint
Domain of
Interpretation
Hình 29. Kiến trúc hộ giao thức IPSec
Bộ giao thức ĨPSec mang lại ba khả năng chính, đĩ là:
- Đảm bảo tính tồn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế
mạnh đế
xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đơi
nào về nội dung
của gĩi dừ liệu. Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự
giả mạo, do
thám hoặc tấn cơng dịch vụ.
- Sự tin cậy: Giao thức IPSec mã hố dữ liệu bằng việc dùng các kỹ
thuật mật mã
cao cấp, nĩ ngăn chặn những người dùng trái phép truy cập dừ liệu
trong khi nĩ
đang được truyền đi. IPSec cũng sử dụng các cơ chế đường hầm để
dấu địa chỉ IP
của Node nguồn và đích đối với kẻ nghe trộm.
Authentication Encrypt
Liên kết bảo mật là một khái niệm cơ sở của giao thức ĨPSec. Một SA
là một
kết nối logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec,
được định danh một cách duy nhất bởi ba phần sau:
<Security Parameter Index, ĨP Destination Address, Security Protocol> Một IPSec SA được xác định là:
- Các thuật tốn, khố, các giao thức xác thực.
- Mơ hình và khố cho các thuật tốn xác thực được dùng bởi các giao
thức AH
hoặc ESP của IPSec thích họp.
- Các thuật tốn mã hố, giải mã và các khố.
- Thơng tin liên quan đến khố như: thời gian thay đổi và thời gian sống của khố.
- Thơng tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian sống.
Destination Sercurity IP Address Protocol
Hình 30 Mơ tả ha trường của một IPSec SA
- SPI(Security Parameter Index): 32 bít, định danh giao thức bảo mật,
được xác định
bới trường giao thức bảo mật(Security Protocol). SPI thường được lựa
chọn bới hệ
thống đích khi thương lượng thiết lập SA. SPI chỉ cĩ ý nghĩa lơgic,
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng
tường lửa Checkpoint
+ Cơ sở dừ liệu chính sách bảo mật (SPD): duy trì thơng tin về các dịch vụ
bảo mật.
Định nghĩa luồng lun lượng được xử lý hoặc bĩ qua.
+ Cơ sở dừ liệu liên kết bảo mật(SAD): duy trì thơng tin liên quan tới mồi SA. Thơng tin này bao gồm cả các khố và thuật tốn, khoảng thời gian sống của SA,
chế độ giao thức và số tuần tự.