Khn dạng của gói tin Ipv6 trước và sau khi xử lý AH được thể hiện trong hình 2.5.
2.3.1.3.3 Giao thức đóng gói tải tin an toàn ESP
a. Giới thiệu giao thức
Giao thức này được định nghĩa trong RFC 1827 và được phát triển thành RFC 2406. Giao thức này được dùng cho IPsec, ESP được dùng khi có yêu cầu về bảo mật của lưu lượng IPsec cần truyền. Nó cung cấp tính bảo mật dữ liệu bằng việc mật mã hóa các gói tin. Thêm vào đó ESP cũng cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, cấp dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật. ESP có thể đóng gói tất cả hoặc là một phần dữ liệu gốc. Do hỗ trợ tốt khả năng bảo mật nên ESP có khả năng được sử dụng rộng rãi hơn AH.
b. Cấu trúc gói tin ESP
Sau đây là cấu trúc gói tin ESP:
Hình 2.6 Khn dạng gói ESP.
Sau đây là ý nghĩa của các trường trong cấu trúc gói tin ESP.
•SPI (chỉ số thông số an ninh). Là một số bất kỳ 32 bit, cùng với địa chỉ IP đích và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu. Các giá trị SPI từ 0 đến 255 được dành riêng để sử dụng trong tương lai. SPI là trường bắt buộc và thường được lựa chọn bởi phía thu khi thiết lập SA.
•Sequence Number (số thứ tự). Tương tự như trường số thứ tự của AH.
•Payload Data ( dữ liệu tải tin). Đây là trương bắt buộc, bao gồm một số lượng biến đổi các byte dữ liệu gốc hoặc một phần dữ liệu yêu cầu bảo mật đã được mô tả trong trường Next Header. Trường này được mã hóa cùng với thuật tốn mã hóa đã lựa
nó cũng được bao gồm ở đây. Thuật tốn thường được dùng để mã hóa ESP là DES- CBC. Đơi khi các thuật tốn khác cũng được hỗ trợ như 3DES hay CDMF.
•Padđing (đệm). Có nhiều nguyên nhân dẫn đến sự có mặt của trường đệm như:
Nếu thuật toán mật mã sử dụng yêu cầu bản rõ (Clear-text) phải là số nguyên lần các khối byte ( ví dụ trường mã khối) thì trường đệm được sử dụng để điền đầy vào phần bản rõ này ( bao gồm Payload Data, Pad Length, Next Header và Padding) sao cho đạt tới kích thước theo yêu cầu.
Trường đệm cũng cần thiết để đảm bảo phần dữ liệu mật mã ( Cipher-text) sẽ kết thúc ở biên giới số nguyên lần của 4 byte nhằm phân biệt rõ ràng với trường dữ liệu xác thực (Authentication Data).
Ngồi ra, trường đệm cịn có thể sử dụng để che dấu độ dài thực của tải tin, tuy nhiên mục đích này cần phải được cân nhắc vì nó ảnh hưởng tới băng thơng truyền dẫn.
•Pad length (độ dài đệm). Trường này xác định số byte đệm được thêm vào. Pad length là trường bắt buộc với các giá trị phù hợp nằm trong khoảng từ 0 đến 255 byte.
•Next Header (tiêu đề tiếp theo). Next Header là trường bắt buộc và có độ dài 8 bit. Nó xác định kiểu dữ liệu chứa trong phần tải tin, ví dụ một tiêu đề mở rộng (Extension Header) trong Ipv6 hoặc nhận dạng của một giao thức lớp trên khác. Giá trị của trường này được lựa chọn từ tập các giá trị IP Protocol Nember định nghĩa bởi IANA.
•Authentication Data ( dữ liệu xác thực) . Trường này có độ dài biến đổi, chứa một giá trị kiểm tra tính tồn vẹn ICV (có trong phần đi ESP) tính trên dữ liệu của tồn bộ gói ESP trừ trường Authentication Data. Độ dài của trường này phụ thuộc vào thuật toán xác thực được sử dụng. Trường này là tùy chọn và chỉ được thêm vào nếu dịch vụ xác thực được lựa chọn cho SA đang xét. Thuật toán xác thực phải chỉ ra độ dài ICV, các bước xử lý cũng như các luật so sánh cần thực hiện để kiểm tra tính tồn vẹn của gói tin.
b. Xử lý ESP trong chế độ truyền tải và đường hầm
Hoạt động của ESP khác so với AH. ESP có thể thực hiện mã hóa đảm bảo an tồn hơn AH. Sau đây là cơ chế đóng gói của ESP.
Hình 2.7 Cơ chế đóng gói ESP.
Việc xử lý ESP phụ thuộc vào chế độ hoạt động của IPsec và phiên bản sử dụng của giao thức IP. Khuôn dạng của gói tin IPv4 trước và sau khi xử lý ESP trong hai chế độ truyền tải và chế độ đường hầm được thể hiện như trong hình 2.8.
Hình 2.8 Khn dạng gói tin IPv4 trước và sau khi xử lý ESP.
Khn dạng gói tin Ipv6 trước và sau khi xử lý ESP được thực hiện trong hình 2.9
Hình 2.9 Khn dạng gói tin IPv6 trước và sau khi xử lý ESP.
c. Mã hóa với ESP
Các thuật toán bảo mật được xác định bởi các liên kết an ninh (SA: Security Association). Các thuật toán có thể được dùng với ESP như là: DES, 3DES; HMAC với MD5; HMAC với SHA-1.
2.3.1.4 Liên kết an ninh (SA) và trao đổi khóa (IKE)
a. Liên kết an ninh SA
Kết nối IPsec chỉ hình thành khi SA đã được thành lập. Khi thiết lập kết nối IPsec, hai bên phải xác định chính xác thuật toán được dùng, loại dịch vụ nào cần đảm bảo an ninh. Sau đó bắt đầu xử lý thương lượng để chọn một tập hợp các tham số và các giải thuật áp dụng cho mã hóa hay xác thực. Dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận truyền thông an toàn được gọi là liên kết an ninh SA. Liên kết an ninh là kiểu đơn công, nghĩa là với với cặp truyền thơng A và B chẳng hạn, thì có ít nhất là hai SA (một từ A tới B và một từ B tới A).
Liên kết an ninh có hai kiểu là truyền tải và đường hầm, phụ thuộc vào chế độ truyền tải của giao thức sử dụng.
b. Hoạt động trao đổi khóa IKE
Kết nới IPSec chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên bản thân IPsec không có cơ chế thiết lập SA. IETF đã chọn IKE làm làm chuẩn để cấu hình SA cho IPsec. IKE chịu trách nhiệm cho thỏa thuận các liên kết an ninh.
- Bước 1: Quyết định lưu lượng nào cần được quan tâm bảo vệ tại một giao diện
yêu cầu thiết lập phiên thông tin Ipsec.
- Bước 2: Bước này chính là hoạt động IKE pha I. Thương lượng chế độ (có hai
chế độ là chế độ linh hoạt và chế độ chính) sử dụng IKE, kết quả là tạo ra liên kết an ninh IKE hay ISAKMP (Internet Security Association and Key Management).
Hình 2.10 Hoạt động IKE hai pha
Cấu trúc tiêu đề liên kết an ninh IKE hay ISAKMP (Internet Security Association and Key Management Protocol).
Hình 2.11 Định dạng ISAKMP
Ý nghĩa các trường:
- Phần đáp ứng (64 bit): một đoạn đáp trả của thực thể.
- Tải trọng tiếp theo (Next Payload: 8 bit): chỉ ra kiểu của tải tin trong bản tin. - Phiên bản chính (Major Version: 4 bit): chỉ ra phiên bản chính ISAKMP đang dùng.
- Phiên bản phụ (Minor Version: 4 bit): chỉ ra phiên bản phụ được dùng. - Kiểu trao đổi (8 bit): chỉ ra loại hình trao đổi.
- Cờ (Flags: 8 bit): chỉ ra đặc tính tùy chọn của trao đổi ISAKMP. - Số nhận dạng bản tin: số nhận dạng duy nhất cho bản tin.
- Chiều dài (32 bit): tổng chiều dài bản tin.
- Dự phòng: là trường dự phòng, để dành cho việc mở rộng. - chiều dài tải trọng : chỉ số byte trong tải trọng.
Hình 2.12 IKE pha một sử dụng chế độ chính.
- Bước 3: Đây chính là IKE pha II. Mục đích chính của pha này là để thỏa thuận
các thơng số an ninh Ipsec sử dụng cho việc bảo vệ đường hầm. Thương lượng chế độ nhanh (Quick Mode) sử dụng IKE (thỏa thuận các liên kết an ninh thông qua các tập chuyển đổi), kết quả là tạo ra hai Ipsec SA giữa hai bên. Chế độ nhanh cũng được sử dụng để thỏa thuận lại một liên kết kết an ninh mới khi liên kết an ninh cũ đã hết hạn mà các bên có thể không cần qua trở lại bước thứ 2 nữa mà vẫn đảm bảo thiết lập một SA cho phiên truyền thơng mới.
- Bước 4: Sau khi đã hồn thành IKE pha 2. Dữ liệu bắt đầu truyền qua đường
Hình 2.13 Đường hầm IPsec được thiết lập.
- Bước 5: Kết thúc đường hầm IPsec-VN ( nguyên nhân có thể là: do IPsec SA
kết thúc, hết hạn hoặc là bị xóa).
2.3.2 Điều khiển truy nhập
2.3.2.1 DMZ (Demilitaried Zone: vùng an toàn)
DMZ được định nghĩa là nơi bạn đặt máy chủ để truy cập Internet. Một Web server (máy chủ ứng dụng web) hoặc mail server (máy chủ ứng dụng mail) thường được thiết lập trong một DMZ. Điều này cho phép bất kỳ người dùng nào truy nhập tài nguyên trên máy chủ, nhưng nếu máy chủ bị làm hại, kẻ tấn cơng sẽ khơng thể sử dụng máy tính của chính mình để tìm ra phần cịn lại của mạng. Trong mạng máy tính, DMZ là một cấu hình firewall để bảo vệ LAN. Trong cấu hình DMZ, hầu hết các máy tính trong LAN nằm ở phía sau firewall kết nối tới mạng Internet.
Tường lửa sẽ bảo vệ DMZ khỏi sự đe dọa bên ngồi. Tuy nhiên, vì máy chủ phải kết nối với mạng internet ở bên ngoài, cho nên tường lửa sẽ định cấu hình để bỏ qua các loại kết nối khác. DMZ thường được thiết lập để những người dùng mạng nội bộ có thể dùng một cách dễ dàng. Điều này đã được thực hiện bởi phần mềm và phần cứng firewall, cái mà thường đi cùng với một cổng thiết lập dự trữ cho DMZ. Ví dụ, NetScreen có 3 cổng :một cổng cho kết nối Internet, cổng thứ hai cho kết nối nội bộ, và cổng thứ ba cho DMZ vào trong một máy chủ truy nhập (hub) hoặc khóa chuyển mạch (switch) có thể được kết nối để cho phép các máy chủ phức tạp.
2.3.2.2 Firewall
a. Giới thiệu chung về Firewall
Firewall (tường lửa) là một công cụ phần cứng hoặc phần mềm giúp chúng ta tránh được sự tấn công của các tin tặc, virus... khi truy cập vào mạng Internet. Firewall dùng để tạo nên vành đai an ninh, cần thiết để kiểm soát những người được quyền truy
Kiểm soát đường biên mạng là các firewall, các firewall này được sử dụng để tạo ra các điểm kiểm soát tại đường biên mạng. Firewall kiểm soát những người truy nhập mạng. Lược đồ một Firewall đơn giản:
Hình 2.14 Mơ hình Firewall
Firewall có thể được cấu hình theo nhiều cách khác nhau, và được sử dụng với nhiều thành phần. Thuật ngữ Firewall được sử dụng thông dụng trong mạng. Firewall thực hiện nhiệm vụ từ chối hoặc chấp nhận những truy nhập dựa trên những luật do người quản trị đặt ra. Trong những năm gần đây ngoài chức năng đơn giản là từ chối hoặc chấp nhận truy nhập, Firewall có thêm những chức năng và lựa chọn khác. Đó là Firewall có thể thực hiện thêm một số dịch vụ:
- Network Access Translation (biên dịch địa chỉ mạng) - NAT được dùng như một router để chuyển đổi địa chỉ IP mạng riêng bên trong ra địa chỉ IP bên ngoài. Data caching - Đây là lựa chọn cho phép router có thể lưu trữ đã được truy xuất và thường là của các máy trạm.
- Restriction on Content (hạn chế nợi dung) - Chức năng này được tích hợp sẵn trong những hệ thống mới nhất, cho phép người quản trị có thể kiểm soát truy nhập Internet với việc hạn chế bằng từ khố.
Firewall khơng có tác dụng bảo vệ trong các trường hợp sau.
• Hành động phá hoại hoặc truy nhập trái phép xuất phát từ mạng bên trong (vùng mạng tin cậy).
• Chỉ cho phép những truy nhập được phép nhưng nếu như những truy nhập được phép này lại mang mục đích xấu, thì những truy nhập này sau khi được nhận thực thẩm quyền thì được phép làm mọi thứ trong thẩm quyền của nó.
• Khơng thể bảo vệ mạng khỏi tất cả các cuộc tấn cơng có hại. Tin tặc có thể lợi dụng lỗ hổng của các cổng dịch vụ mà truy nhập đến các cổng này được sự cho phép bởi firewall.
b. Phân loại firewall
Firewall có thể chia thành các loại như sau:
- Firewall Lọc gói: Một firewall có thể lọc gói để giới hạn thông tin cho phép vào mạng. Lọc gói sử dụng danh sách điều khiển truy nhập ACL (Access Control List), nó là danh sách truy nhập IP mở rộng của các bộ định tuyến sử dụng, để biết lưu lượng nào cần mã hóa. Điều này cho phép firewall đồng ý hoặc là từ chối truy nhập dựa trên một số thông số chẳng hạn như kiểu tải tin. Loại firewall này thường được dùng với router.
Hình 2.15 Firewall lọc gói được dùng trong router.
- Cổng ứng dụng gateway: Cổng ứng dụng đứng vai trò trung gian trong mọi truy nhập tới máy chủ dịch vụ. Cổng ứng dụng tiếp nhận kết nối tới nó, kiểm tra sự hợp lệ theo luật đã định sẵn, sau đó đóng vai máy khách để tạo kết nối đến máy chủ thật, kết quả trả về từ máy chủ thật sẽ được trả về cho máy khách thật.
Cổng ứng dụng cho phép kiểm soát nội dung của mỗi giao dịch, nhận thực người dùng và ghi lại nhật ký của các giao dịch một cách chi tiết. Tuy nhiên điều này đòi hỏi tài nguyên hệ thống lớn và thiết bị cổng ứng dụng thường là khá mạnh, đắt tiền.
- Cổng mức mạch (Circuit-level gateways):
Cổng mức mạch cũng đứng vai trò trung gian như cổng ứng dụng, nhưng nó chỉ đơn giản chuyển tiếp kết nối đó cho máy chủ thật. Do vậy cổng mức mạch khơng kiểm sốt nội dung của mỗi giao dịch chặt chẽ, nó chỉ đơn giản kiểm sốt số lượng kết nối đồng thời và loại bỏ một số kết nối nó cho là khơng hợp lệ.
Hình 2.17 Firewall kiểu cổng mức mạch.2.3.2.3 Hệ thống phát hiện xâm nhập (IDS) 2.3.2.3 Hệ thống phát hiện xâm nhập (IDS)
a.Khái niệm chung về IDS (Intrusion Detection System)
IDS là hệ thống có thể được đặt vào một số vị trí trên mạng để có thể phát hiện và sinh ra các cảnh báo đối với bất kỳ sự xâm nhập bất hợp pháp nào từ bên ngồi vào một hệ thống, IDS khơng ngăn chặn xâm nhập như Firewall, IDS cung cấp sự bảo vệ bằng cách trang bị cho ta thông tin về cuộc tấn công.
b. Một số khối chức năng chính của IDS
Sensor, Probe: những module này tạo nên những thành phần thu thập dữ liệu của một IDS. Chúng theo dõi lưu thông mạng, các file hay các hành vi của hệ thống -chuyển đổi dữ liệu thơ thành các sự kiện có thể sử dụng được.
Monitor: giám sát các thành phần, là bộ phận xử lí chính của IDS, nhận các sự kiện từ các sensor. Các sự kiện này được tập hợp lại và sinh ra các cảnh báo. Các cảnh báo, bản thân chúng cũng là các sự kiện, chỉ ra các sự cố đáng quan tâm đối với an ninh của hệ thống, và có thể chuyển tiếp đến các monitor bậc cao hơn, hoặc tới đơn vị giải quyết.
Resolver: bộ giải quyết nhận các báo cáo nghi ngờ từ các monitor (dưới dạng một hoặc nhiều cảnh báo), và quyết định phản ứng thích hợp, thay đổi hành vi của các bộ phận cấp thấp hơn, cấu hình lại biện pháp an ninh khác (thêm các quy định cho firewall, ...) và thông báo cho người điều hành.
Trong kiến trúc của nhiều IDS những sự phân chia này thường là không rõ ràng. Trong hệ thống ID đơn nhất, có thể tất cả các bộ phận này tạo thành một chương trình, hoặc có thể chia thành các tiến trình và các cơng cụ.
c. Hoạt đợng của IDS
Phân tích cấu trúc thơng tin trong các gói tin. Tất cả các gói tin qua Card mạng (NIC) của máy giám sát đều được copy lại và chuyển lên lớp trên. Bộ phân tích gói đọc thơng tin từng trường trong gói tin, xác định chúng thuộc kiểu gói tin nào, dịch vụ gì, sau đó dùng phương pháp dị tìm kể trên để phát hiện tấn công.
i. Giám sát File (tệp) bản ghi
Đây là phần cơ bản nhất của IDS, chúng cố gắng dò tìm cấu trúc bằng hệ thống và phân tích trong trường hợp bản ghi. Một bộ giám sát file bản ghi cơ bản có thể tìm một kẻ truy cập bất hợp pháp. Công nghệ này bị hạn chế ở việc chỉ dị tìm các trường hợp bản ghi, cái mà những kẻ tấn cơng có thể dễ dàng thay đổi.