Giao th c IPSEC

Một phần của tài liệu Giáo trình mạng máy tính (Trang 148 - 167)

CH NG 6 : M NG TC CAO VÀ N GD NG CÁC CÔNG NGH MI

7.4. M ng riên go VPN (Virtual Private Networks)

7.4.7 Giao th c IPSEC

IPSec b o đ m tính tin c y, tính tồn v n và tính xác th c truy n d li u qua m ng IP công c ng. IPSec đnh ngh a 2 lo i tiêu đ cho gói IP đi u khi n q trình xác th c và mã hóa: m t là xác th c tiêu đ Authentication Header (AH), hai là đóng gói b o m t t i Encapsulating Security Payload (ESP). Xác th c tiêu đ AH đ m b o tính tồn v n cho tiêu đ gói và d li u. Trong khi đó đóng gói b o m t t i ESP th c hi n mã hóa và đ m b o tính tồn v n cho gói d li u nh ng không b o v tiêu đ cho gói IP nh AH. IPsec s d ng giao th c Internet Key Exchange IKE đ th a thu n liên k t b o m t SA gi a hai th c th và trao đ i các thơng tin khóa. IKE c n đ c s d ng ph n l n các ng d ng th c t đ đem l i thơng tin liên l c an tồn trên di n r ng.

* Xác th c tiêu đ AH: AH m t trong nh ng giao th c b o m t IPsec đ m b o tính tồn v n cho tiêu đ gói và d li u c ng nh vi c ch ng th c ng i s d ng. Nó đ m b o ch ng phát l i và ch ng xâm nh p trái phép nh m t tùy ch n. Trong nh ng phiên b n đ u c a IPsec đóng gói b o m t t i ESP ch th c hi n mã hóa mà khơng có ch ng th c nên AH và ESP đ c dùng k t h p còn nh ng phiên b n sau ESP đã có thêm kh n ng ch ng th c. Tuy nhiên AH v n đ c dùng do đ m b o vi c ch ng th c cho toàn b tiêu đ và d li u c ng nh vi c đ n gi n h n đ i v i truy n t i d li u trên m ng IP ch yêu c u ch ng th c.

AH có hai ch đ : Transport và Tunnel. Ch đ Tunnel AH t o ra tiêu đ IP cho m i gói cịn ch đ Transport AH không t o ra tiêu đ IP m i. Hai ch đ AH ln đ m b o tính tồn v n (Integrity), ch ng th c (Authentication) cho tồn b gói.

* X lý đ m b o tính tồn v n: IPsec dùng thu t tốn mã ch ng th c thơng báo b m

phát giá tr b m đ c đ a vào gói và g i cho n i nh n. N i nh n s tái t o giá tr b m b ng khóa chia s và ki m tra s trùng kh p giá tr b m qua đó đ m b o tính tồn v n c a gói d li u. Tuy nhiên IPsec khơng b o v tính tồn v n cho t t c các tr ng trong tiêu đ c a IP. M t s tr ng trong tiêu đ IP nh TTL (Time to Live) và tr ng ki m tra tiêu đ IP có th thay đ i trong quá trình truy n. N u th c hi n tính giá tr b m cho t t c các tr ng c a tiêu đ IP thì nh ng tr ng đã nêu trên s b thay đ i khi chuy n ti p và t i n i nh n giá tr b m s b sai khác. gi i quy t v n đ này giá tr b m s khơng tính đ n nh ng tr ng c a tiêu đ IP có th thay đ i h p pháp trong quá trình truy n.

* ESP c ng có hai ch đ : Transport và Tunnel. Ch đ Tunnel ESP t o tiêu đ IP m i cho m i gói. Ch đ này có th mã hóa và đ m b o tính tồn v n c a d li u hay ch th c hi n mã hóa tồn b gói IP g c. Vi c mã hóa tồn b gói IP (g m c tiêu đ IP và t i IP) giúp che đ c đa ch cho gói IP g c. Ch đ Transport ESP dùng lai tiêu đ c a gói IP g c ch mã hóa và đ m b o tính tồn v n cho t i c a gói IP g c. C hai ch đ ch ng th c đ đ m b o tính tồn v n đ c l u tr ng ESP Auth.

* X lý mã hóa: ESP dùng h m t đ i x ng đ mã hóa gói d li u, ngh a là thu và phát đ u dùng cùng m t lo i khóa đ mã hóa và gi i mã d li u. ESP th ng dùng lo i mã kh i AES-CBC (AES-Cipher Block Chaining), AES-CTR (AES Counter Mode) và 3DES

* Trao đ i khóa mã hóa IKE (Internet Key Exchange): Trong truy n thông s d ng giao

th c IPsec ph i có s trao đ i khóa gi a hai đi m k t cu i, do đó địi h i ph i có c ch qu n lý khóa. Có hai ph ng th c chuy n giao khóa đó là chuy n khóa b ng tay và chuy n khóa b ng giao th c IKE. M t h th ng IPsec ph thu c ph i h tr ph ng th c chuy n khóa b ng tay. Ph ng th c chìa khóa trao tay ch ng h n khóa th ng m i ghi trên gi y. Ph ng th c này ch phù h p v i s l ng nh các Site, đ i v i m ng l n ph i th c hi n ph ng th c qu n lý khóa t đ ng. Trong IPsec ng i ta dùng giao th c qu n lý chuy n khóa IKE (Internet Key Exchange). IKE có các kh n ng sau :

- Cung c p các ph ng ti n cho 2 bên s d ng các giao th c, gi i thu t và khóa. - m b o ngay t lúc b t đ u chuy n khóa.

- Qu n lý các khóa sau khi chúng đ c ch p nh n trong ti n trình th a thu n. - m b o các khóa đ c chuy n m t cách b o m t.

7.4.8. ng d ng ESP và AH trong c u hình m ng

* ESP trong c u hình Gateway-to-Gateway: Trong c u hình này s thi t l p k t n i có IPsec đ mã hố và đ m b o tính tồn v n c a d li u gi a hai đi m A và B (đi m k t cu i A dùng Gateway A trên m ng A, đi m k t cu i B dùng Gateway B trên m ng B).

VPN Gateway

Internet

VPN Gateway

Hinh 7.7 C u hình Gateway -to-Gateway

* ESP và AH trong c u hình Host-to-Host: Trong c u hình này s thi t l p k t n i có

IPsec đ mã hoá và đ m b o tính tồn v n c a d li u gi a hai đi m A và B. Tu thu c và nhu c u b o m t có th dùng ESP hay AH.

Host Internet VPN Gateway Hình 7.8 C u hình Host-to-Host 7.4.9. So sánh các giao th c VPN Giao

th c u đi m Nh c đi m S d ng trong m ng

IPSec Chu n giao th c rãnh. Ho t đ ng đ c l p cho các ng d ng m c caoh n. Gi u đa ch m ng không s d ng d ch đa ch m ng NAT. áp ng s phát tri n các k thu t mã hố . Khơng qu n lý NSD. Không kh n ng t ng tác gi a các nhà cung c p. Không h tr giao di n. ( Desktop support) Ph n m m t t nh t cho các gi i pháp đ c quy n c a nhà cung c p đ i v i vi c truy nh p t xa b ng quay s .

PPTP

Ch y trên Wind NT, 95 ,98. Cung c p End to End và đnh h ng đ ng h m k t n i node - to - node.

Các đ c đi m giá tr đ c thêm vào ph bi n cho truy c p t xa. Xác th c trên n n Windows. Có kh n ng đa giao th c. S d ng mã hoá RSA RC-4. Khơng cung c p mã hố d li u t nh ng máy ch truy c p t xa. Mang tính đ c quy n, yêu c u máy ch ch y Win NT đ k t thúc nh ng đ ng h m. Ch s d ng mã hoá RSA RC- 4. c dùng t i các máy ch truy nh p t xa đnh đ ng h m proxy. Có th đ c dùng gi a các v n phịng xa có máy ch Win NT đ ch y máy ch truy c p t xa và đnh tuy n RRAS. Có th dùng cho nh ng máy đ bàn Win9x hay máy tr m dùng Win NT. L2F Cho phép đnh đ ng h m đa giao th c. Có nhi u nhà cung c p. Khơng có mã hố Xác th c NSD y u. Không đi u khi n lu ng cho đ ng h m. Dùng cho truy c p t xa t i POP. L2TP K t h p PPTP và L2TP. Ch c n m t gói d a trên m ng đ ch y trên X.25 và Frame Relay. S d ng IPSec i c mã hoá. Ch a đ c cung c p trong nhi u s n ph m. Không b o m t giai đo n cu i. Dùng cho truy nh p t xa t i POP. Câu h i và bài t p 1. T ng quan v an ninh m ng 2. An tồn m ng là gì 3. Các đ c tr ng k thu t c a an toàn m ng

4. Xác th c (Authentification), Tính kh d ng (Availability), Tính b o m t (Confidentialy), Tính tồn v n (Integrity), Tính kh ng ch (Accountlability)

5. Các l h ng và đi m y u c a m ng: L h ng lo i C, L h ng lo i B, L h ng lo i A 6. Các ph ng th c t n tân công m ng

7. Các bi n pháp phát hi n h th ng b t n công

8. M t s ph ng th c t n công m ng ph bi n: Scanner, B khoá (Password Cracker), Trojans, Sniffer

9. T ng quan v b o v thông tin b ng m t mã (Cryptography) 10. Firewall, u đi m và nh c đi m c a Fire wall

11. Các lo i Firewall 12. K thu t Fire wall

13. K thu t Proxy

14. M ng riêng o VPN (Virtual Private Networks): khái ni m m ng riêng o và ki n trúc c a m ng riêng áo

15. Các thành ph n c b n c a m ng riêng o VPN: 16. Nh ng u đi m c a m ng VPN

17. Giao th c PPTP (Point to Point Tunnelling Protocol)

18. Quá trình k t n i c a PPTP: T o k t n i PPP, t o k t n i đi u khi n PPTP, Truy n d li u qua Tunnel PPTP

19. B o m t trong PPTP

20. Giao th c L2F (Layer Two Forwarding Protocol) 21. Giao th c L2TP (Layer Two Tunnelling Protocol) 22. B o m t trong L2TP

23. Giao th c IPSEC

24. ng d ng ESP và AH trong c u hình m ng 25. So sánh các giao th c VPN

CÁC T VIT TT

AAL ATM Adaptation Layer

ANSI American National Standard Institute ABM Asynchronous Balance Mode ACK Acknowledgement

ACSE Association Control Service Element

ADCCP Advanced Data Communication Control Procedures

AE Application Element

AFI Authority and Format Identifier. AFP AppleTalk Filing Protocol. AIX Advanced Interactive Executive

ALU Aritmetic Unit

AM Amplitude Modulation ANSI American National Standard Institute APDU Application Protocol Data Unit API Application Program Interface

APPC Advanced Program to Program Communications APPN Advanced Peer to Peer Networking

ARCnet Attached Resolution Protocol ARP Address Resolution Protocol.

ARPA Advanced Research Projects Agency ARQ Automatic Repeat Request

ASCII American Standard Code For Information Interchange ASDU Application Service Data Unit

ASE Application Service Element ASM Address Space Manager ASN.1 Abstract Syntax Notion One

ASP AppleShere Protocol.

AS Autonomous System

ATM Asynchronouse Transfer Mode ATP AppleTalk Transaction Protocol

BBS Bulletin Broad System BCC Block Check Character BCS Basic Combined Subnet

BECN Backward explicit Congestion Notification BER Basic Wncoding Rules

BERT Bit Error Ratio Test

B-ISDN Broadband Intergrated Services Digital Network. BGP Border Gateway Protocol

BRI Basic Rate Interface.

CASE Common Application Service Element CATV Community Antena Television

CCITT International and Telephone Consultative Committe. CCRSE Commitment, Concurrency and Recovery Service Element CD-ROM Computer Disk Read Only Memory.

CEPT Conference of European Postal and Telecommunications Administration CICS Customer Information Control System.

CLNP Connectionless Network Servicess CLNS Connectionless Mode Network Service CMIP Common Management Information Protocol. CMOT CMIP Over TCP/IP.

CRC Cyclic Redundancy Code.

CSMA/CA Carrier Sense Multiple Access / Collision Avoidance CSMA/CD Carrier Sense Multiple Access / Collision Dectection CSU/DSU Channel Service Unit/Digital Service Unit

CSU/DSU Channel Services Network/Digital Services Unit. C/R Command/ Request

DAP Data Access Protocol. DAS Dual Attached Stations.

DCE Data Circuit Terminating Equipment

DDCMP Digital Data Communication Message Protocol DDCMP Digital Data Communications Protocol.

DDM Distributed Data Management DDM Distributed Data Management. DES Dataencryption Standard. DFC Data Flow Control.

DHCP Dynamic Host Configuable Protocol. DIA Document Interchange Architecture. DIA Document Interchange Architecture. DIP Dual In Line Packege

DIX Digital Intel Xerox. DLC Data Link Control DE Discard Eligibility DLE Data Link Escape.

DMA Direct Memory Mapping. DNA Digital Network Architecture. DNS Domain Name System.

DNS-MX Mail Routing and the Domain System. DOD Derpartment Of Defense.

DQDB Distributed Queue Dual Bus. DS Directory Services. DSP Domain Specific Part.

DTAM Document Transfer, Access and Management. DTE Data Terminal Equipment.

DTP Distributed Transaction Processing. EA Extend Address

EGP Exterior Gateway Protocol

ECMA European Computer Manufacturers Association. EIA Electronic Industries Association

FECN Forward Explicit Congestion Notification FCS Frame Check Sequence.

FDDI Fiber Distributed Data Interface.

FDM Frequency Division Multipling. FEA Frame Relay Adaptor.

FM Frequency Modulation.

FR Frame Relay

FRAD Frame Relay Access Device FRND Frame Relay Network Device

FR UNI Frame Relay User to Network Interface FTAM File Transfer Access and Management. FTP File Transfer Protocol.

GGP Gateway to gateway Protocol. GOSIP Goverment OSI Profil. HDLC High Level Data Link Control. HIPPI High Performance Parellet Interface. HTML Hyper Text Markup Language. HTTP Hyper Text Transfer Protocol. IA5 International Alphalbet Number 5. IANA Internet Assigned Numbers Authority ICMP Internet Control Message Protocol. IDI Initial Domain Identifier.

IDP Initial Domain Part.

IEEE Institute of Electrical and Electric Engineers. IETF Internet Engineering Task Force

IGP Interior Gateway Protocol.

INTERNIC Internet Netwowrk Information Center.

IP Internet Protocol.

IPL Initial Program Load.

IPX Internetwork Packet Exchange. ISA Industry Standard Architecture . ISDN Intergrated Services Digital Network ISO International Standard Organization. ISP Internet Service Provider

ITU International Telecommunications Union. JTM Job Transfer and Management.

LAN Local Area Network. LAP-B Link Access Procedure Balanced LAP-D Link Access Procedure Dchannel. LED Ligh Emiting Diode.

LLAP LocalTalk Link Access Protocol. LLC Logical Link Control.

LPDU Link Protocol Data Unit.

LSAP Link SAP.

LSDU Link Service Data Unit. LSL Link Support Layer.

LU Logical Unit.

MAC Media Access Control. MAN Metropolitan Area network.

MAP Manufacturing Automation Protocol. MAU Multistation Access Unit. MCA Micro Channel Architecture.

MHS Message Handling System. MIB Management Information Base. MLID Multiple Link Interface Driver. MMS Manufacturing Messaging Service.

MODEM Mudulation Demodulation. MUX Multiplexer.

NAK Negative Acknowledgment. NAU Network Addressable Unit.

NAU Network Address Unit. NBS National Bureau of Standard. NCP Netware Core Protocol.

NDS Network Operating System. NFS Network File System. NFS Network File System. NIC Network Interface Card. NLM Netware Loadable Modules.

NLSP Network Link Services Protocol.

NMS Network Management System. NNI Network to Network Interface

NPDU Network Protocol Data unit.

NREN National Research and Education Network. NRM Normal Response Mode

NRZ Non Return to Zero.

NS Network Services.

NSAP Network SAP.

NSDU Network Service Data Unit.

NSP Network Services Protocol. NAT Network Address Translation NFS Network File System

NIS Network Information System NVTS Network Virtual Terminal Service.

OC Optical Carrier.

ODI Open Data Link Interface.

OPA Office Document Architecture.

OS Operating System.

OSF Open Software Foundation. OSI Open Systems Interconnection.. OSPF Open Shortest Path First. PA Point of P Attachement.

PAD Packet Assembler Disassembler. PAP Printer Access Protocol.

PBX Pripheral Component Interconnection. PDN Public Data Network. PDU Protocol Data Unit.

PE Presentation Entity.

POP Post Office Protocol.

POSIX Portable Operating System Interface Exchange. PPDU Presentation Protocol Data Unit.

PPP Point to Point Protocol.

PPTP Point to Point Tunneling Protocol PPSDN Public Packet Switched Data Network. PRI Primary Rate Interface.

PSAP Presentation Service Access Point. PSDN Packet Switched Data Network.. PSDU Presentation Service Data Unit. PSTN Public Switched Telphone network. PTT Post, Telphone and Communications.

PU Physical Unit.

PVC Permanent Virtual Circuit. QOS Quality Of Service

RARP Reverse Address Resolution Protocol RAID Redundant Array of Inexpensive Drives. RARP Reverse Address Resolution Protocol.

RAS Remote Access Services. RDA Remote Database Access.

RFC Request For Command. RFNM Ready For Next Message.

RIP Routing Information Protocol. RISC Reduced Instruction Set Computer. RNR Receive Not Ready.

ROSE Remote Operation Service Element. RPC Remote Procedure Call.

RR Receive Ready.

RTMP Routing Table Maintenance Protocol. RTSE Reliable Transfer Service Element. SAP Service Access Point.

SAP Service Advertising Protocol.

SAPI SAP Identifier.

SAS Single Attached Stations.

SCSI Small Computer Systems Interface. SDH Synchronouse Digital Hierarchy. SDLC Synchronouse Data Link Control.

SE Session Entity.

SI Subnet Identifier.

SLIP Serial Line Internet Protocol.

SMDS Switched Multimegabit Digital Service. SMTP Simple Mail Transfer Protocol.

SNA System Network Architecture. SNADS SNA Distribute Service.

SNAP Subnetwork Address Protocol. SNMP Simple Network Management Protocol. SONET Synchronouse Optical Network.

SPX Sequenced Packet Exchange. SQL Structured Query Language.

SSAP Session SAP.

SSL Secure Sockets Layer

SSCP System Services Control Point. SSDU Session Service Data Unit. STP Shield Twisted Pair. SVC Switch Virtual Circuit

TCP Transmission Control Protocol. TDM Time Division Multiplexing.

TE Transport Entity.

TELNET Telnet Protocol. TFTP Trivial File Transfer protocol.

TPDU Transport PDU.

TSAP Transport SAP.

TSDU Transport SDU.

UART Universal Asynchronouse Receiver Transmitter. UDP User Datafram Protocol.

UNI User to Network Interface. UTP Unshield Twisted Pair.

VC Virtual Circuit.

VCI Virtual Circuit Identifier. VLAN Virtaul Local Area Network. VPI Virtual Path Identifier. VPN Virtual Private Network.

VTAM Virtual Telecommunication Access Method. WAN Wide Area network.

WWW World Wide Web.

TÀI LIU THAM KHO

[1] Malone, D., IPv6 - A Service Provider View in Advancing MPLS Networks, Internet Protocol Journal, Vol. 8, Nr. 2, June 2005

[2] Hinden, R., Advanced Networking Lab (ANML) Internet Protocol, Version 6 (IPv6) Resources, Pervasive Labs at Indiana University

Một phần của tài liệu Giáo trình mạng máy tính (Trang 148 - 167)

Tải bản đầy đủ (PDF)

(167 trang)