CHƯƠNG 2. BẢO MẬT THÔNG TIN TRONG VOIP
2.2. Các giải pháp bảo mật VoIP
2.2.3. Bảo vệ dữ liệu thoại
2.2.3.2. Giao thức bảo vệ dữ liệu IPSec
Ngày nay, hầu hết các thông tin liên lạc Internet đều không còn được bảo vệ chống lại các cuộc tấn công không gian mạng. Một gói tin (đơn vị định dạng của dữ liệu hoặc tin nhắn) đi qua mạng có thể bị chặn bởi bất kỳ máy chủ kết nối mạng nào.
Gói đó có thể bị tái tạo và nội dung của nó có thể bị sửa đổi hoặc sao chép.
Thậm chí cả phương pháp kiểm tra tổng, một phần của định dạng Internet Packet, nếu được sử dụng làm cơ chế an toàn, nó cũng không thể bảo vệ một gói tin tránh khỏi sự thay đổi trái phép.
Gần đây ngày càng có nhiều nhu cầu bảo vệ thông tin liên lạc Internet trong điều kiện vẫn tiếp tục sử dụng cơ sở hạ tầng hiện có. Để đạt được mục tiêu này, IPSec (giao thức bảo mật IP) đã được chuẩn hóa bởi IETF cho IPv4.
Do nhu cầu nâng cấp IPv4, việc để cho phiên bản mới của giao thức Internet (IPv6) cung cấp IPSec làm hệ thống bảo mật định sẵn cũng được cho là hợp lý.
Hình 2.14 – Giao thức IPSec
IPSec là một giao thức bảo mật tích hợp với tầng IP, cung cấp dịch vụ bảo mật mã hóa linh hoạt. Những dịch vụ này là:
Chứng thực nguồn gốc dữ liệu/Tính toàn vẹn dữ liệu phi kết nối:
Dịch vụ này có vai trò giúp cho các phần địa chỉ nguồn, địa chỉ đích, và nội dung trong một bó dữ liệu IP được bảo vệ không thể bị sửa đổi một cách cố ý trong quá trình truyền tải mà không bị người nhận phát hiện.
Bảo vệ chống replay: Điều này có nghĩa là các gói tin được bảo vệ sẽ sử dụng một mã số trình tự replay (được cung cấp từ một bộ đếm gia tăng truy cập) để tránh các cuộc tấn công replay. Hơn nữa, một cửa sổ của mã số trình tự replay sẽ được xác định và chỉ có các gói tin có mã số trình tự trong cửa sổ này mới được chấp nhận.
Bảo mật: Đây là dịch vụ mà một cá nhân không đang tham gia vào một quá trình bảo vệ gói tin (hoặc hiệp hội bảo mật) sẽ không thể đọc được trọng tải của gói.
Bộ IPsec là một tiêu chuẩn mở trong đó có sử dụng các giao thức như sau:
Trao đổi khóa Internet (IKE và IKEv2) được dùng cho giao thức đã sử dụng, thỏa thuận chứng thực và tạo khóa chứng thực.
Tiêu đề chứng thực (AH) cung cấp tính toàn vẹn phi kết nối và chứng thực nguồn gốc dữ liệu cho các bó dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay.
Encapsulating Security Payload (ESP) cung cấp tính năng bảo mật, chứng thực nguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay.
Các khóa chia sẻ được sử dụng với IPSec là phục vụ cho thuật toán mã hóa đối xứng (khi cần đảm bảo tính bảo mật) hoặc cho MAC có khóa (để bảo đảm tính toàn vẹn dữ liệu) hoặc cả hai.
IPSec phải có tính năng nhanh và các loại công nghệ khóa công cộng hiện có như RSA hoặc DSS được coi là quá chậm để hoạt động hết gói này đến gói khác. Hiện nay, công nghệ khoá công cộng đã được giới hạn đối với dịch vụ chứng thực nguồn gốc trong quá trình trao đổi khóa.
Các giao thức IPSec - AH và ESP - có thể được sử dụng để bảo vệ tải trọng IP toàn phần hoặc các giao thức tầng trên của một tải trọng IP. Sự khác biệt này được xử lý thông qua hai “chế độ" của IPSec.
Chế độ giao vận được sử dụng để bảo vệ các giao thức tầng trên; còn chế độ tunnel thì được sử dụng để bảo vệ toàn bộ bó dữ liệu IP. Trong chế độ giao vận, sẽ có một tiêu đề IPSec được chèn vào giữa tiêu đề IP và tiêu đề giao thức tầng trên.
Trong chế độ tunnel, toàn bộ gói IP được bảo vệ sẽ được đóng vào một bó dữ liệu IP khác và một tiêu đề IPSec sẽ được chèn giữa những tiêu đề IP bên ngoài và bên trong. Cả hai giao thức IPSec, AH và ESP, đều có thể hoạt động trong chế độ giao vận và tunnel.
Hình 2.15 – Mô hình bảo vệ các gói dữ liệu Encapsulating Security Payload (ESP)
ESP là giao thức IPSec cung cấp tính bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn dữ liệu các gói tin IP, nó cũng cung cấp chức năng bảo vệ chống lại các cuộc tấn công replay. Cơ chế hoạt động của nó là chèn một tiêu đề mới - tiêu đề ESP - vào sau một tiêu đề IP (và bất kỳ tuỳ chọn IP nào) và trước dữ liệu được bảo vệ, dành cho cả giao thức tầng trên và bó dữ liệu IP toàn phần.
Hình 2.16 – Mô hình ESP
ESP không bảo vệ tiêu đề của gói tin IP. Tuy nhiên, trong chế độ Tunnel mà toàn bộ gói tin IP gốc được đóng gói và thêm vào nó một tiêu đề gói mới được, dịch vụ bảo vệ ESP là dành cho toàn bộ gói tin IP bên trong (bao gồm cả tiêu đề bên trong) trong khi tiêu đề bên ngoài vẫn không được bảo vệ. ESP hoạt động trực tiếp trên đầu IP bằng cách sử dụng giao thức IP.
ESP cung cấp tính năng bảo mật bằng cách sử dụng các thuật toán mã hóa khóa đối xứng như DES, 3DES và AES. Các khối mã hóa 64-bit của tin nhắn gốc có thể được móc nối lại với nhau bằng cách sử dụng phương pháp móc xích khối mã hóa (CBC) hoặc CFB. Biện pháp này đạt khả năng chống replay và bảo vệ tính toàn vẹn dữ liệu lớn hơn.
ESP xác định một tiêu đề chứng thực được lập sẵn, dưới dạng một HMAC có khóa.
HMAC này được chèn vào phần tiêu đề ESP để cung cấp dịch vụ bảo vệ tính toàn vẹn và chứng thực dữ liệu cho lưu lượng xử lý ESP. IPsec có tất cả các thành phần cần thiết cho việc xây dựng một HMAC như một khóa bí mật được chia sẻ (thường được chia sẻ thông qua giải pháp trao đổi Diffie-Hellman), một hàm băm (IPsec RFC tiếp nhận MD 5 và SHA-1) và đầu vào tin nhắn cố định.
Tiêu đề chứng thực (AH)
AH cung cấp dịch vụ bảo vệ tính toàn vẹn dữ liệu, chứng thực nguồn dữ liệu, và bảo vệ chống các cuộc tấn công replay (không có tính bảo mật). Nó không cung cấp bảo mật, vì điều này mà tiêu đề AH đơn giản hơn nhiều so với ESP.
Hình 2.17 – Mô hình chứng thực AH Trao đổi khóa Internet (IKE)
IPsec sử dụng phương pháp mã hóa khóa đối xứng. Điều này đòi hỏi phải sử dụng một khóa bí mật được chia sẻ để có thể tồn tại cả hai thiết bị đầu cuối mã hóa.
Bởi vì khóa không còn được tạo cấu hình trong IKE một cách thủ công nên ta phải tạo chúng theo phương thức tự động. IKE sử dụng thuật toán Diffie-Hellman để tự động tạo khóa phiên được trao đổi qua IKE.
Hình 2.18 - Trao đổi khóa Internet (IKE)
IKE có thể được lập cấu hình phù hợp với việc sử dụng thuật toán mã hóa RSA để xác nhận đặc điểm nhận dạng của người sử dụng trước khi thỏa thuận (chữ ký RSA, giấy chứng nhận X.509, PKI).
Chế độ vận hành
IPsec có thể được hoạt động theo chế độ giao vận từ máy chủ này đến máy chủ khác cũng như chế độ tunnel trong mạng.
Chế độ giao vận
Trong chế độ giao vận, chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa và/hoặc chứng thực. Khi sử dụng tiêu đề chứng thực thì địa chỉ IP không thể được dịch, vì điều này sẽ làm mất hiệu lực của giá trị băm. Các tầng giao vận và ứng dụng luôn luôn được bảo đảm bởi hàm băm, vì vậy chúng không thể bị sửa đổi theo bất kỳ cách nào.
Hình 2.19 - Mô hình truyền dữ liệu Chế độ Tunnel
Trong chế độ tunnel, toàn bộ gói tin IP sẽ được mã hóa và/hoặc chứng thực.
Sau đó nó được đóng gói vào một gói tin IP mới với tiêu đề IP mới. Chế độ tunnel được sử dụng để tạo Virtual Private Network (mạng cá nhân ảo) phục vụ cho việc liên lạc giữa các mạng (ví dụ như giữa các bộ định tuyến để liên kết các trang web), liên lạc giữa máy chủ và mạng (ví dụ như truy cập người sử dụng từ xa), và giữa các máy chủ (ví dụ như chat cá nhân).
Hình 2.20- Mô hình Virtual Private Network