Chương 2 Giao thức mạng riêng ảo tại tẩng 2
2.5. Lập mã và xác thực trong các giao thức đường hầm tại tầng 2
2.5.2.1. Mã hoá điểm tới điểm của Microsoft(Microsoft Point-to-Point
MPPE sử dụng hàm băm MD4 được tạo khi xác thực bằng phương pháp MS-CHAP để nhận được khóa mật cho một kết nối PPP. Đây là một phương pháp mã hố điển hình được dùng cho PPTP với các Client Microsoft. Thuật toán mã hoá dùng cho MPPE là RC4 với khố 40bit, nó được xem là rất yếu với những kỹ thuật Hacker tiên tiến ngày nay. Microsoft cũng đưa ra một phiên bản với khoá 128bit cho thị trường Mỹ. Microsoft thực thi PPTP theo cách thức là cứ sau 256 gói dữ liệu được mã hóa thì Refresh lại khóa
2.5.2.2. Giao thức kiểm sốt mã hóa(Encryption Control Protocol - ECP)
ECP có thể được dùng để thương lượng mã hóa với một kết nối PPP, làmột kết nối đã được thiết lập và xác thực. ECP cho phép sử dụng các thuật tốn mã hóa khác nhau trong mỗi chỉ thị nhưng khơng cung cấp khả năng Refresh khóa. Thuật tốn mã hóa chuẩn là DES nhưng khách hàng có thể tự chọn thuật tốn mà họ ưa thích để thực hiện.
IPSec mang lại chức năng mã hóa với giao thức đóng gói tải bảo mật và sử dụng giao thức trao đổi khóa Internet cho việc sinh khóa và làm tươi khóa. ESP có khả năng mã hóa trên từng gói dữ liệu trong một phiên giao dịch và đưa ra thuật tốn mã hóa ở các mức độ: thấp, trung bình, mạnh và rất mạnh để có thể lựa chọn từ DES 40bit đến Trip DES 192bit. IKE xác thực các bên cần trao đổi thơng tin mật dựa trên các thuật tốn xác thực mạnh cũng như mã hóa các thơng điệp làm tươi khóa. Các khóa được sinh bởi IKE sau đó được sử dụng bởi IKE. ESP cung cấp tùy chọn xác thực trên từng gói dữ liệu và bảo vệ lại. Điều này làm cho IPSec phức tạp và an toàn hơn các tùy chọn xác thực PPP truyền thống. Nhưng nó cũng làm xuất hiện q trình xử lý Overhead nhiều hơn tại thiết bị thực thi. IPSec là giao thức bảo mật được khuyến cáo cho L2TP và cũng có thể được dùng với L2F.
Tổng kết
Trong chương này, chúng ta đã tìm hiểu về các giao thức được hầm tại tầng 2 của mơ hình OSI. Các giao thức này là PPTP, L2F, L2TP. Chúng ta cũng tìm hiểu chi tiết về cách thức làm việc của các giao thức, bao gồm cả các thành phần, các tiến trình và việc duy trì kiểm sốt kết nối được áp dụng cho mỗi giao thức. Chúng ta đã xem xét các tiến trình thiết lập một đường hầm của mỗi giao thức cũng như việc xử lý dữ liệu đường hầm và quy tắc của nó trong việc bảo mật dữ liệu. Chúng ta cũng đã xem xét khía cạnh bảo mật của mỗi giao thức, bao gồm cả các cơ chế mã hóa và xác thực khác nhau được sử dụng bởi mỗi giao thức để bảo đảm an toàn cho dữ liệu trong khi truyền qua đường hầm. Cuối cùng, chúng ta xem xét những ưu nhược điểm của mỗi giao thức.
Câu hỏi ôn tập
1. Những giao thức đường hầm nào sau đây được gắn với tầng 2 của mơ hình OSI? a. PPTP
b. L2F c. IPSec d. L2TP
2. Cổng mạng được dùng bởi L2F cho việc thiết lập và kiểm soát kết nối là____________.
a. TCP: 1701 b. UDP: 1723 c. UDP: 1701 d. TCP: 1723
3. Cổng mạng được dùng bởi PPTP cho việc định đường hầm dữ liệu tới đích là____________.
a. IP: 47 b. TCP: 47 c. UDP: 47 d. TCP: 1723
a. Link Control Protocol b. Link termination
c. Network Control Protocol d. Link establishment
5. Giao thức đường hầm nào sau đây được hỗ trợ bởi Windows NT 4.0 Server? a. PPTP
b. L2TP c. L2F
d. Tất cả giao thức trên
6. Những thành phần nào sau đây là của một đường hầm L2TP? a. LLC
b. LNS c. NAS d. LSN
7. Giao thức đường hầm đầu nào sau đây lần đầu tiên cho phép nhiều kết nối trên đường hầm?
a. PPTP b. L2TP c. L2F
d. Khơng có giao thức nào 8. Câu nào sau đây về L2F là đúng?
a. It is a proprietary tunneling protocol by Cisco. b. It offers advanced flow-control services. c. It supports voluntary tunnels.
d. It supports compulsory tunnels.
9. Giao thức đường hầm nào sau đây hỗ trợ IKE? a. PPTP
c. IPSec d. L2F
Chương III Các giao thức mạng riêng ảo tại tẩng 3
Trong chương II chúng ta đã nghiên cứu về các giao thức mạng riêng ảo, như PPTP, L2TP, L2F tại tầng 2 của mơ hình OSI. Trong chương này sẽ nghiên cứu giao thức mạng riêng ảo hoạt động tại tầng 3 của mơ hình OSI. Với đặc tính quản lý khóa, bảo mật và xác thực mạnh của IPSec, nó nổi bật lên như một chuẩn mạng riêng ảo thực tế. Trong thực tế, phần lớn giải pháp mạng riêng ảo ngày nay thường dựa trên IPSec. Vì vậy, IPSec là gì? Làm thế nào để nó đảm bảo an tồn cho các giao dịch trong khi truyền dữ liệu? Tại sao nó lại trở nên thông dụng? Chương này sẽ cố gắng trả lời các câu hỏi này.
Đúng như tên gọi, giao thức IPSec thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính tồn vẹn và bảo mật nội dung thơng tin.
Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3(Lớp mạng) của mơ hình OSI, như trong hình 3.1
Application Layer Presentation Layer
Session Layer Transport Layer Data Link Layer
Physical Layer
IPSec Network Layer
Hình 3.1 Vị trí của IPSec trong mơ hình OSI
3.1. Kiến trúc an toàn IP (IPSec)
Trong phần này chúng ta sẽ xem xét khái quát về kiến trúc an toàn cho giao thức Internet(IPSec) - một công nghệ mà phần lớn các giải pháp mạng riêng ảo đều dựa vào nó.
3.1.1. Giới thiệu chung và các chuẩn
Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và IPV6. Bằng cách cung cấp khả năng an toàn tại tầng này, các giao thức tầng giao vận và các ứng dụng có thể dùng IPSec để đảm bảo an tồn mà khơng phải thay đổi gì cả.
Một số ứng dụng cung cấp dịch vụ bảo mật trên tầng ứng dụng như SSL hay TLS. Đối với các giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật do tầng dưới cung cấp để tạo các ứng dụng bảo mật (ví dụ như giao diện cung cấp các hỗ trợ bảo mật -SSPI). Trong sản phẩm Window 2000 cung cấp giao diện chung cho phép các ứng dụng ở tầng trên truy nhập vào các module bảo mật ở tầng dưới), các ứng dụng ít nhất cần nhận thức được vấn đề bảo mật. IPSec giải quyết được yêu cầu này bằng cách chuyển vấn đề bảo mật xuống tầng 3. Điều này cho phép các ứng dụng duy trì được tính khơng phụ thuộc vào hạ tầng bảo mật của các tầng dưới. Các gói IP sẽ được bảo vệ mà khơng phụ thuộc vào các ứng dụng đã sinh ra chúng. Nói một cách khác, các ứng dụng không cần biết tới vấn đề bảo mật trên nền IP. Các quy tắc bảo mật được định nghĩa thống nhất giữa các nhà quản trị mà không phụ thuộc vào một ứng dụng nào được chạy trên hệ thống và IPSec là trong suốt đối với các ứng dụng. Điều này đem lại những lợi ích vơ cùng to lớn, đó là khả năng xác thực, bảo mật và kể cả mã hoá dữ liệu được truyền qua bất kỳ mạng IP nào. Như vậy, IPSec cung cấp khả năng bảo mật đầu cuối - tới - đầu cuối giữa các máy tính và mạng máy tính.
IPSec là một kiến trúc an tồn dựa trên chuẩn mở, nó có các đặc trưng sau: - Cung cấp tính xác thực, mã hóa, tồn vẹn dữ liệu và bảo vệ sự phát lại - Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an tồn
- Sử dụng các thuật tốn mật mã mạnh để cung cấp tính bảo mật - Cung cấp khả năng xác thực dựa trên chứng chỉ số
- Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khố
- Cung cấp tính năng an tồn cho các giao thức đường hầm truy cập từ xa như L2TP, PPTP
IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các thiết bị khác nằm trên đoạn đường giữa hai đầu không phải bận tâm đến cơng việc mã hố, trao đổi khố bảo mật vv… khi chuyển tiếp dữ liệu. Đối với khách hàng, điều này đồng nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà khơng địi hỏi sự đầu tư hay thay đổi quá lớn đối với hạ tầng mạng, người ta gọi giải pháp VPN ứng dụng giao thức IPSec là “Desktop VPN” vì tồn
bộ chức năng bảo mật dữ liệu được thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan tâm đến các cơng tác bảo đảm an tồn. Khi sử dụng các thuật toán xác thực và mã hoá dữ liệu đã được chuẩn hố, IPSec đã khai thác tối đa lợi ích của các cơng nghệ này và tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo vệ luồng dữ liệu truyền trên mạng.
Cơng việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP). AH được sử dụng để đảm bảo tính tồn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực đối với máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng nhưng kèm thêm khả năng bảo mật dữ liệu. Cũng cần nhấn mạnh rằng cả hai giao thức này đều không chỉ ra bất kỳ một thuật toán mã hoá và xác thực cụ thể nào mà chỉ tạo ra khả năng ứng dụng tốt nhất một trong các thuật tốn đang hiện hành.
Hình 3.25: Kiến trúc bộ giao thức IPSec
Bộ giao thức IPSec mang lại ba khả năng chính, đó là:
- Đảm bảo tính tồn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế
mạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đổi nào khơng bị phát giác trước đó về nội dung của gói dữ liệu bởi người nhận khơng mong muốn. Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự giả mạo, do thám hoặc tấn công dịch vụ.
- Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ thuật
mật mã cao cấp, nó ngăn chặn những người dùng trái phép truy cập dữ liệu trong
Encapsulating Security Payload (ESP) protocol
IP Security architecture Key management Protoccol Domain of Interpretation AuthenticationHeader (AH) Protocol Encryption Algorithms Authentication
khi nó đang được truyền đi. IPSec cũng sử dụng các cơ chế đường hầm để dấu địa chỉ IP của Node nguồn và đích đối với kẻ nghe trộm.
- Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá Internet
(IKE) để thương lượng giao thức bảo mật và thuật tốn mã hóa trước và trong một phiên làm việc. Quan trọng hơn, IPSec phân phối, kiểm soát khoá và cập nhật các khoá này khi được yêu cầu.
Hai khả năng thứ nhất của IPSec, xác thực tính tồn vẹn dữ liệu và sự tin cậy được cung cấp bởi hai giao thức khoá trong bộ giao thức IPSec. Các giao thức này bao gồm AH và ESP.
Khả năng thứ ba, quản trị khoá, nằm trong địa hạt của giao thức khác. Nó được chấp nhận bởi bộ IPSec vì dịch vụ quản lý khố tốt của nó
3.1.2. Liên kết bảo mật IPSec (SA-IPSec)
Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec. Như một lời trích dẫn của các nhà phát triển IPSec: Một SA là một kết nối logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec, được định danh một cách duy nhất bởi ba phần sau:
<Security Parameter Index, IP Destination Address, Security Protocol> Một IPSec SA được xác định là:
- Các thuật toán, khoá, các giao thức xác thực.
- Mơ hình và khố cho các thuật tốn xác thực được dùng bởi các giao thức AH hoặc ESP của IPSec thích hợp.
- Các thuật tốn mã hố, giải mã và các khoá.
- Thơng tin liên quan đến khố như: thời gian thay đổi và thời gian sống của khố.
- Thơng tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian sống.
Sau đây ta sẽ lần lượt xem xét ba phần của một SA
Sercurity Protocol SPI Destination IP Address
Như hình minh hoạ 3.3, một SA gồm 3 trường
- SPI(Security Parameter Index): Là một trường 32 bít, nó định danh giao thức bảo mật, được xác định bởi trường giao thức bảo mật(Security Protocol), từ IPSec thích hợp đang sử dụng. SPI được mang như một phần trên tiêu đề của giao thức bảo mật và thường được lựa chọn bởi hệ thống đích trong khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lơgic, được định nghĩa bởi người tạo SA. SPI nhận các giá trị trong phạm vi 1 đến 255, giá trị 0 được dùng cho mục đích thực thi đặc biệt cục bộ
- Địa chỉ IP đích: Đây là địa chỉ IP của Node đích. Mặc dù nó có thể là
một địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tại được định nghĩa chỉ với các địa chỉ unicast.
- Giao thức bảo mật: Trường này mô tả giao thức bảo mật IPSec, nó có
thể là AH hoặc ESP.
Trước khi hai máy chủ có thể liên lạc được với nhau sử dụng giao thức IPSec, chúng cần thống nhất các hướng dẫn cho phiên làm việc đó (ví dụ như cách xác thực lẫn nhau hay thuật toán mã hố hai bên cùng sử dụng). Đây chính là việc liên kết bảo mật, đó chính là thoả thuận cách thức thống nhất được sử dụng cho việc bảo mật dữ liệu giữa hai đầu cuối.
Một SA IPSec sử dụng hai cơ sở dữ liệu:
+ Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thơng tin về dịch vụ
bảo mật trong một danh sách có thứ tự của các thực thể chính sách vào ra. Rất giống với các luật và bộ lọc gói tin của Firewall. Các thực thể này định nghĩa lưu lượng phải được xử lý và lưu lượng được bỏ qua trên các chuẩn IPSec.
+ Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thơng tin liên quan tới mỗi SA. Thơng tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống của SA, chế độ giao thức và số tuần tự.
Liên kết bảo mật là đa hướng, có nghĩa là cần thiết lập các liên kết bảo mật khác nhau cho luồng dữ liệu đi và đến. Thêm vào đó, nếu máy chủ liên lạc với một hay nhiều máy chủ khác trong cùng một thời điểm thì cũng cần thiết lập từng đó liên kết. Các liên kết bảo mật được lưu trữ trong cơ sở dữ liệu tại mỗi máy tính với chỉ số về thơng số bảo mật (SPI) cho mỗi phần tiêu đề AH và ESP tương ứng. Phía nhận sẽ sử dụng các thông số này để quyết định sẽ áp dụng liên
kết bảo mật nào để xử lý gói tin vừa nhận được. Trên thực tế, thủ tục trao đổi khoá Internet (IKE) là thủ tục cho phép quản lý việc tạo ra các liên kết bảo mật và tạo ra các khố bảo mật để bảo vệ nội dung thơng tin. IKE sử dụng thuật toán Diffie- Hellman để tạo ra và quản lý các khố bí mật, thiết lập kênh trao đổi khoá đối xứng dùng cho việc mã hố và giải mã thơng tin giữa hai đầu, cuối.
3.1.3. Các giao thức của IPSec
Đó là các giao thức xác thực tiêu đề (AH) và giao thức đóng gói tải bảo mật (ESP). Các giao thức này có thể được cấu hình để bảo vệ tồn bộ phần thân của gói tin IP hoặc chỉ riêng phần thơng tin liên quan đến các giao thức ở tầng trên.