4. Nghiên cứu các vấn dề bảomật nâng cao với IPv6
4.3.1. Tổng quan về giao thức bảomật IPSec
IPSec thực hiện mã hóa và xác thực ở lớp mạng. Nó cung cấp một giải pháp an toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng(ví dụ khi thực hiện mạng riêng ảo VPN). Vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống cuối. Các gói mã hóa có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị. IPSec cung cấp bốn chức năng quan trọng sau:
• Bảo mật(mã hóa)- Confidentiality: Người gửi có thể mã hóa dữ liệu trước khi truyền chúng qua mạng. Bằng cách đó, không ai có thể nghe trộm trên đường truyền. Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được.
• Toàn vẹn dữ liệu- Data integrity: Người nhận có thể xác minh các dữ liệu được truyền qua mạng Internet mà không bị thay đổi. IPSec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng checksums (cũng được biết đến như là một giá trị băm).
• Xác thực- Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúng đối tượng. Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực nguồn gốc của thông tin.
• Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng lặp.
IPSec là một nền(Frame work) kết hợp giao thức bảo mật và cung cấp mạng riêng ảo với các dữ liệu bảo mật, toàn vẹn và xác thực. Làm việc với sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia vào mạng VPN. Các thiết bị này có thể là các host hoặc là các security gateway (routers, firewalls, VPN concentrator, ...) hoặc là giữa 1 host và gateway như trong trường hợp remote access VPNs.
Các giao thức chính sử dụng trong IPSec:
• IP Security Protocol (IPSec)
o Authentication Header (AH): cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay.
o Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật, chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay.
• Message Encryption
o Data Encryption Standard (DES): Được phát triển bởi IBM. DES sử dụng 1 khóa 56-bít, đảm bảo hiệu năng mã hóa cao. DES là một hệ thống mã hóa khóa đối xứng.
o Triple DES (3DES): là một biến thể của DES 56-bít. Hoạt động tương tự như DES, trong đó dữ liệu được chia thành các khối 64 bít. 3DES thực thi mỗi khối ba lần, mỗi lần với một khóa 56 bít độc lập. 3DES cung cấp sức mạnh khóa đáng kể so với DES.
• Message Integrity (Hash) Functions
o Hash-based Message Authentication Code (HMAC) : là một thuật toán toàn vẹn dữ liệu đảm bảo tính toàn vẹn của bản tin. Tại đầu cuối, bản tin và một khóa chia sẻ bí mật được gửi thông qua một thuật toán băm, trong đó tạo ra một giá trị băm. Bản tin và giá trị băm được gửi qua mạng. Hai dạng phổ biến của thuật toán HMAC như sau:
Message Digest 5 (MD5): là một hàm băm để mã hóa với giá trị băm là 128 bít. MD5 biến đổi một thông điệp có chiều dài bất kỳ thành một khối có kích thước cố định 128 bít. Thông điệp đưa vào sẽ được cắt thành các khối 512 bít, thông điệp sau đó được độn sao cho chiều dài của nó chia chẵn cho 512.
Secure Hash Algorithm-1,2 (SHA-1,2): Sử dụng một khóa 160 bít, 224 bít….
• Peer Authentication
o Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ thống mật mã khóa bất đối xứng. Nó sử dụng một chiều dài khóa là 512 bít, 768 bít, 1024 bít hoặc lớn hơn. IPsec không sử dụng RSA để mã hóa dữ liệu. Chỉ sử dụng RSA để mã hóa trong giai đoạn xác thực ngang hàng.
o RSA Encrypted Nonces
• Key Management
o Diffie-Hellman (D-H)
o Certificate Authority (CA)
• Security Association
o Internet Exchange Key (IKE): IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch.
o Internet Security Association and Key Management Protocol (ISAKMP)
Chế độ vận hành
• IPsec có thể được hoạt động theo chế độ chuyển giao(transport mode) từ máy chủ này đến máy chủ khác cũng như chế độ đường hầm (tunnel mode) trong mạng.
o Chế độ chuyển giao: chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa và/hoặc chứng thực. Trong quá trình Routing cả IP header đều không bị chỉnh sửa hay mã hóa. Transport mode sử dụng trong tình huống giao tiếp host to host.
o Chế độ Tunnel: Trong chế độ tunnel, toàn bộ gói tin IP sẽ được mã hóa và/hoặc chứng thực. Sau đó nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới. Chế độ tunnel được sử dụng để tạo Virtual Private Network (mạng riêng ảo) phục vụ cho việc liên lạc giữa các mạng, liên lạc giữa máy chủ và mạng (ví dụ như truy cập người sử dụng từ xa), và giữa các máy chủ.
IPSec chế độ Tunnel mode