C) Hoạt động của AH và ESP trong các chế độ (mode)
b) Kỹ thuật Diffie-Hellman
Kỹ thuật Diffie-Hellman là thuật toán mã hoá khoá công cộng thực tế đầu tiên và trong thực tế kỹ thuật này được úng dụng rất nhiều cho việc quản lý khoá. Thuật toán DH cho phép tự động bảo mật trao đổi khoá qua một mạng không an toàn.
Với DH, mỗi đối tượng ngang hàng tạo ra một cặp khoá chung và riêng. Khoá riêng được tạo ra bởi mỗi đối tượng ngang hàng và được giữ bí mật, không bao giờ chia sẻ. Khoá chung được tính toán từ khoá riêng bởi mỗi đối tượng ngang hàng và được truyền trên kênh không an toàn. Mỗi đối tượng tổ hợp khoá chung của đối tượng ngang hàng khác với khoá riêng của chúng, và tính toán để tao ra cùng một số mật mã chia sẻ. Số mật mã chia sẻ đựoc biến đổi thành một khoá chia sẻ. Khoá mật mã chia sẻ luôn truyền trên một kênh không an toàn.
Trao đổi khoá DH là một phương thức trao đổi khoá chung cung cấp cho hai đối tượng ngang hàng IPSec thiết lập một mật mã chia sẻ mà chỉ chúng biết. Quá trình DH có thể chia thành 5 bước:
1. Quá trình DH bắt đầu với mỗi đối tượng ngang hàng tạo ra một số nguyên lớn p và q. Mỗi đối tượng ngang hàng gửi cho đối tượng khác số nguyên này của chúng. Ví dụ, A gửi p tới B. Mỗi đối tượng ngang hàng sau đó sẽ sử dụng giá trị p, q để tạo ra g, p là primitive root. 2. Mỗi đối tượng tạo ra một khoá DH riêng A là Xa, B là Xb.
3. Mỗi đối tượng ngang hàng tạo ra một khoá DH chung. Khoá riêng của
mỗi đối tượng là sự kết hợp của số Prime p và primitive root g. Đối
4. Các khoá chung Ya và Yb được trao đổi trong công cộng.
5. Mỗi đối tượng ngang hàng tạo ra một số mật mã chia sẻ ZZ bằng cách tổ hợp khoá chung nhận được từ đối tượng ngang hàng tương ứng với khoá riêng của nó. Đối với A là ZZ= YbXa mod p, đối với B là ZZ= YaXb mod p. Số mật mã chia sẻ ZZ được sử dụng trong việc tìm ra các khoá mật mã và xác thực.
Ví dụ mô tả hoạt động của thuật toán trao đổi khoá DH
CHƯƠNG 5
Đảm bảo sự hoạt động liên tục của mạng, đặc biệt là những mạng lớn là vấn đề đóng vai trò quan trọng. Người quản trị mạng phải nắm bắt được đầy đử và thường xuyên các thông tin về cấu hình, sự cố và tất cả số liệu liên quan đến việc sử dụng mạng.
Việc quản lý mạng VPN bao gồm: quản lý bảo mật, quản lý địa chỉ IP và quản lý chất lượng mạng.
5.1 Quản lý bảo mật (mật mã và xác thực)
Quản lý bảo mật không chỉ bao hàm việc xác thực những người dùng từ
những vị trí khác nhau, điều khiển quyền truy cập mà còn có quản lý khoá, liên
kết với các thiết bị VPN. Trong phần này ta sẽ thảo luận các vấn đề về bảo mật các máy tính, các mạng và dữ liệu.
Trước tiên là một số vấn đề tổng quát về chính sách bảo mật thống nhất, những vấn đề liên quan đến bảo mật xung quanh việc quản lý VPN. Sau đó, chúng ta sẽ tập trung vào chọn lọc một số giải thuật mã hoá và các chiều dài khoá, phân phối các khoá và liên kết thông tin trong tập liên kết bảo mật IPSec, cũng như xác thực người dùng và điều khiển truy cập. IPSec đưa ra các chính sách bảo mật dữ liệu với bất kỳ giao thức nào và có nhiều lựa chọn nên việc quản lý bảo mật cho VPN sẽ tập trung trên nền IPSec, có bao hàm PPTP và L2TP ở những vị trí thích hợp.
5.1.1 Các chính sách bảo mật thống nhất
Một khung làm việc bảo mật cho một tổ chức bao gồm các yếu tố: xác thực, tính bảo mật, tính nguyên vẹn, cấp quyền, tính sẵn sàng, quản lý và độ tin cậy. Một cơ chế bảo mật thống nhất cần thực hiện:
- Xem xét những gì ta đang bảo mật. - Xem xét những gì ta cần bảo mật từ đâu. - Xác định các nguy cơ có thể.
- Tiến hành đánh giá những việc bảo mật trong phương pháp xác thực giá. - Xem xét việc xử lý một cách liên tục.
Hình 5.1: Các thành phần của hệ thống bảo mật
Chính sách bảo mật truyền thống nhận biết tất cả các tài sản, thông tin đang được bảo mật, cơ sở dữ liệu tập trung và phần cứng máy tính. Nhưng, khi các hệ thống thông tin đã trở nên phân tán hơn, nhiều hơn thì các chính sách bảo mật thống nhất bao hàm quản lý trên phạm vi các LAN.
Khi định nghĩa các chính sách bảo mật cho mạng thì cần nhận biết mọi điểm truy cập tới hệ thống thông tin và định nghĩa các nguyên tắc của chính sách để bảo mật các điểm vào/ra.
Một số vấn đề khi lập một chính sách bảo mật:
- Việc tổ chức, lập kế hoạch sử dụng các dịch vụ Internet? - Các dịch vụ sẽ được sử dụng ở đâu?
- Điều gì sẽ xảy ra khi liên kết việc cung cấp các dịch vụ và truy cập?
- Định giá cái gì trong giới hạn của điều khiển và tác động trên mạng không tin cậy được cung cấp bảo mật ?
- Cần bổ sung những gì (mã hoá, xác thực..) để có thể hỗ trợ? - Ngân sách để thực hiện việc bảo mật?
Toàn bộ kế hoạch bảo mật là khả năng giám sát và đáp ứng các biến cố, sự cố phức tạp xảy ra.
5.1.2 Các phương thức mã hoá
Khi xây dựng một mạng VPN thì tuỳ theo mức độ yêu cầu mà ta có thể thiết lập các mức độ bảo mật dữ liệu khác nhau.