6. Các mô hình của VPN
1.1.2 Quản lý khóa
Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao khóa do đó đòi hỏi phải có cơ chế quản lý khóa. Có 2 phương thức để chuyển khóa đó là chuyển khóa bằng tay và chuyển khóa Internet IKE (Internet Key Exchange). Cà 2 phương thức này không thể thiếu trong IPSec. Giao thức chuyển giao khóa mặc định trong IPSec là IKE là kết quả của kết hợp bảo mật Internet ISA (Internet Security Association) và giao thức chuyển khóa ISAKMP. IKE còn có một tên gọi khác là ISAKMP/Oakley.
IKE có các khả năng sau:
- Cung cấp các phương tiện cho 2 bên thỏa thuận sử dụng giao thức, giải thuật và khóa.
- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đối tượng.
- Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình chấp nhận trong tiếng trình thỏa thuận.
34
Chuyển khóa tương tự như quản lý kết hợp (Internet Association). Khi cần tạo một SA cần phải chuyển khóa. Do đó cấu trúc của IKE bọc chúng lại với nhau và chuyển chúng đi như một gói thích hợp.
Các chế độ của Oakley và các pha của ISAKMP
Theo định nghĩa nguyên thủy trong ISAKMP thì IKE ho ạt động 2 giai đoạn. Giai đoạn 1 thiết lập 1 đường hầm bảo mật cho các hoạt động ISAKMP diễn ra trên đó. Giai đoạn 2 là tiến trình đàm phán các mục đích SA.
Oakley đưa ra 3 chế độ chuyển khóa và cài đặt các ISAKMP SA: hai cho giai đoạn 1 của ISAKMP và một cho giai đoạn 2.
- Chế độ chính (Main mode): hoàn thành giai đoạn 1 của ISAKMP sau khi đã thiết lập 1 kênh bảo mật.
Hình 2.1.5 Chế độ Main Mode
- Chế độ năng động (Aggressive mode): một cách khác để hoàn thành giai đoạn 1 của ISAKMP. Nó đơn gi ản hơn và nhanh hơn chế độ chính, nhưng không bảo mật nhận dạng cho việc đàm phán giữa các nút, bỡi vì nó truyền nhận dạng của chúng trước khi đàm phán được 1 kênh bảo mật.
35
Hình 2.1.6 Chế độ Aggressive mode
- Chế độ nhanh (Quick mode): hoàn thành giai đoạn 2 của ISAKMP bằng cách đàm phán 1 SA cho các mục đích của việc truyền thông.
36
IKE cũng còn 1 chế độ khác đó là chế độ nhóm mới. Chế độ này không thực sự là của giai đoạn 1 hay giai đoạn 2. Chế độ nhóm mới theo sau đàm phán cảu giai đoạn và đưa ra 1 cơ chế định nghĩa nhóm riêng cho chuyển giao.
Đàm phán SA
Để thiết lập một SA bên khởi tạo gởi một thông báo chế độ nhanh thông qua yêu cầu một SA mới của ISAKMP SA. Một đàm phán SA là kết quả của 2 SA: một hướng về (inbound) đến bên khởi tạo và một hướng đi (outbound). Để tránh xung đột về SPI, nút nhận phải luôn chọn SPI. Do đó trong chế độ nhanh bên phát thông báo cho bên đáp ứng biết SPI sẽ sử dụng và bên đáp ứng sẽ theo SPI đã được chọn. Mỗi SPI, kết hợp với địa chỉ IP đích, chỉ định 1 IPSec SA đơn duy nhất. Tuy nhiên trên thực tế những SA này luôn có 2 hướng về và đi, chúng có danh định về tham số, giải thuật, khóa, băm là một phần trong SPI.
1.1.3 Sử dụng IPSec
Có 3 nơi trang bị phần mềm IPSec là: cổng nối bảo mật, Client di động (mobile client) và các host. Tuy nhiên, không phải tất cả các thiết bị điều cần phải cài đặt phần mềm IPSec mà tùy theo yêu cầu thiết kế mạng. Ví dụ cần tạo kết nối Lan-Lan VPN thì cổng nối bảo mật IPSec là đủ. Nếu cần cho các trạm làm việc từ xa quay số truy c ập vào mạng thông qua các ISP thì phần mềm client IPSec cần cài trên máy tính của các đối tượng di động. Nếu muốn tạo một VPN mà tất cả các máy tính có thể liên lạc với các máy tính thông qua giao thức IPSec thì cần phải cài đặt phần mềm IPSec trên tất cả các máy tính.
Các cổng nối bảo mật
Cổng nối bảo mật (security gateway) là một thiết bị mạng chẳng hạn như bộ định tuyến hay tường lửa, chia cắt và bảo mật mạng bên trong chống lại xâm nhập không được cho phép từ bên ngoài. Sử dụng IPSec trên cổng nối bảo mật làm cho lưu lượng qua cổng nối bảo mật bị thắt nút cổ chai trước khi ra bên ngoài.
37
Hình 2.1.8 Security gateway
Các SA đại diện
Bảo mật đại diện (wild card) làm cho việc truyền thông giữa các host được bảo mật bởi cổng nối bảo mật trở nên đơn giản hơn. Thay vì kết hợp một SA với một địa chỉ IP host duy nhất thì bảo mật đại diện kết hợp tất cả các host trên LAN được phục vụ bởi cổng nối bảo mật.
Hình 2.1.9 Cấu trúc SA
Sau đây là một số đặc tính và khả năng mà một cổng nối bảo mật phải có:
- Hổ trợ các kết nối mạng cho văn bản đơn giản hoặc văn bản đã được mã hóa. - Chiều dài của từ khóa phải không phụ thuộc vào mật độ thông tin truyền trên lớp
liên kết dữ liệu.
- Phải hổ trợ cả AH và ESP.
- Hổ trợ tạo SA bằng tay, bao gồm cả bảo mật đại diện. - Có cơ chế bảo mật khóa.
- Hệ thống thay đổi khóa một cách tự động và hệ thống quản lý khóa phải đơn giản nhưng bảo mật.
38
- SA phải có các thông báo về lỗi.
Host từ xa
Khi dùng một máy tính quay số kết nối vào mạng VPN cần phải có một phần mềm client IPSec cài trên đó. Với IPv4 thì IPSec được chèn trong chồng giao thức TCP/IP. Mã IPSec có thể được chèn vào giữa lớp giao vận và lớp mạng. IPSec cũng có thể được chèn vào như miếng chêm (Shim) giũa lớp liên kết dữ liệu và lớp mạng.
Các yêu cầu đối với một phần mềm client IPSec: - Tương thích với các công cụ IPSec khác.
- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động. - Hổ trợ tải SA về.
- Hàm băm xử lý được các địa chỉ IP động. - Có cơ chế bảo mật khóa chống lại kẻ trộm.
- Có cơ chế chuyển đổi mã một cách tự động và định kỳ. - Chặn hoàn toàn các lưu lượng không IPSec.
Các vấn đề còn tồn đọng trong IPSec
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật một VPN thông qua Internet nhưng nó vẫn còn trong giai đoạn phát triển. Tất cả các gói được xử lý theo IPSec sẽ làm tăng kích thước do thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm xuống. Điều này có thể giải quyết bằng cách nén nội dung dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn hóa.
IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khóa bằng tay lại không thích hợp cho mạng có một số lượng lớn các đối tượng di động.
IPSec chỉ được thiết kế để điều khiển lưu lượng IP mà thôi.
Việc tính toán cho nhiều giải thuật trong IPSec vẫn còn là một vấn đề đối với các trạm làm việc và máy PC cũ.
Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số nước.
Sử dụng IPSec ở chế độ đường hầm cho phép các nút có thể có những địa chỉ IP không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng khi chuyển xuống bảo mật mức host thì các địa chỉ IP đó phải được quản lý cẩn thận sao cho nhận dạng được nhau.
39