Bộ giao thức IP SEC

Một phần của tài liệu Tìm hiểu về mạng riêng ảo vpn và các giải pháp bảo mật mạng máy tính dành cho người dùng cá nhân và doanh nghiệp nhỏ sử dụng vpn (Trang 20 - 26)

III. CÁC GIAO THỨC CỦA MẠNG VPN

3.4. Bộ giao thức IP SEC

IP Security (IPSec – Internet Protocol Security) là một bộ giao thức mật mã bảo quản lưu lượng dữ liệu qua mạng Internet Protocol (IP).

Năm 1998, IETF (Internet Engineering Task Force) đã chuẩn hóa IPSec nằm mục đích phát triển cơ chế mã hóa và xác thực thông tin cho chuỗi thông tin được truyển đi qua giao thức IP.Hay nói cách khác IPSec cho phép dữ liệu được truyền tải ở lớp Network Layer (trên mô hình OSI) được mã hóa an toàn thông qua các router.

Hình 8: IP SEC trong mô hình OSI

Giao thức bảo mật của tần Network Layers IPSec làm việc bằng 2 chế độ là:

• Chế độ giao vận (Transport): thường được dùng trong thiết lập VPN clientt o-site. Tại đây, IP header gốc vẫn còn và chưa được mã hóa, chỉ có payload và ESP trailer được mã hóa mà thôi.

• Chế độ đường hầm (Tunnel): thường được sử dụng trong thiết lập VPN siteto -site. IPSec gói dữ liệu trong một packet mới, mã hóa nó và thêm một IP header mới. Tại đây các gói tin được bảo vệ an toàn.

3.4.2. Đánh giá IPSec 3.4.2.1. Ưu điểm

• Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng ảo, thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng ảo ó mà các thành phần khác không cần phải xử lý thêm các công việc liên quan ến bảo mật.

• IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này. Do vậy không

cần phải thay ổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai.

• IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.

3.4.2.2. Hạn chế

• Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.

• IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.

• Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.

• Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia.

3.4.3. Ứng dụng của IPSec

• Bảo vệ kết nối từ các mạng chi nhánh ến mạng trung tâm thông qua Internet.

• Bảo vệ kết nối truy cập từ xa (Remote Access).

• Thiết lập các kết nối Intranet và Extranet.

• Nâng cao tính bảo mật của các giao dịch thương mại iện tử.

Hình 9: Ứng dụng của IP SEC 3.4.4. Kiến trúc IPSec

IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau như mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa trên các thành phần cơ bản sau đây, mỗi thành phần được định nghĩa trong một tài liệu riêng tương ứng:

Hình 10: Ứng dụng của IP SEC

• Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầu của IPSec.

• Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã và xác thực thông tin trong IPSec.

• Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gần giống ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng.

• Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trong IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.

• Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng trong AH và ESP.

• Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong IPSec.

• Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt động khác nhau. Việc xác định một tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là chức năng của miền thực thi. Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu. Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần:

• Giao thức đóng gói, gồm AH và ESP: bảo về truyền thông IP, dựa vào SA (khóa, địa chỉ, các thuật toán mật mã)

• Giao thức trao đổi khoá IKE (Internet Key Exchange): để thiết lập các SA

(Security Association) cho AH hoặc ESP, và duy trì/quản lý các kết nối

3.4.5. Tính năng của IPSec

Để thực hiện được chức năng chính của mình là bảo mật dữ liệu trong VPN, IPSec cung cấp những tính năng sau:

3.4.5.1. Sự bảo mật dữ liệu (Data Confidentiality):

Đảm bảo dữ liệu được an toàn, tránh những kẻ tấn công phá hoại bằng cách thay đổi nội dung hoặc đánh cắp dữ liệu quan trọng.

Việc bảo vệ dữ liệu được thực hiện bằng các thuật toán mã hóa như DES, 3DES và AES. Tuy nhiên, đây là một tính năng tùy chọn trong IPSec.

3.4.5.2. Sự toàn vẹn dữ liệu (Data Integrity):

Đảm bảo rằng dữ liệu không bị thay đổi trong suốt quá trình trao đổi. Data Integrity bản thân nó không cung cấp sự an toàn dữ liệu.

Nó sử dụng thuật toán băm (hash) để kiểm tra dữ liệu bên trong gói tin có bị thay đổi hay không. Những gói tin nào bị phát hiện là đã bị thay đổi thì sẽ bị loại bỏ. Những thuật toán băm: MD5 hoặc SHA-1.

3.4.5.3. Chứng thực nguồn dữ liệu (Data Origin Authentication):

Mỗi điểm cuối của VPN dùng tính năng này để xác định đầu phía bên kia có thực sự là người muốn kết nối đến mình hay không.

Lưu ý là tính năng này không tồn tại một mình mà phụ thuộc vào tính năng toàn vẹn dữ liệu. Việc chứng thực dựa vào những kĩ thuật: Pre -shared key, RSA-encryption, RSA-signature.

3.4.5.4 Tránh trùng lặp (Anti-replay):

Đảm bảo gói tin không bị trùng lặp bằng việc ánh số thứ tự. Gói tin nào trùng sẽ bị loại bỏ, ây cũng là tính năng tùy chọn.

3.4.6. Hoạt động của IPSec

Mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn dựa trên các dịch vụ bảo mật có sẵn, hoạt động của IPSec có thể chia thành 5 bước chính như sau:

Hình 11: Hoạt động của IPSec

Bước 1: Traffic cần được bảo vệ khởi tại qúa trình IPSec. Ở đây các đầu cuối IPSec sẽ nhận ra đây là lưu lượng cần được bảo vệ thông qua trường địa chỉ.

Bước 2: IKE Phase 1- IKE xác thực các bên và một tập các dịch vụ bảo mật được thỏa thận và công nhận để thiết lập IKE SA. Trong phase này sẽ thiết lập một kênh truyển thông an toàn để tiến hành thỏa thuận IPSec SA trong Phase 2.

Bước 3: IKE Phase 2–IKE thoả thuận các tham số IPSec SA và thiết lập các IPSec SA tương đương ở hai phía. Các tham số bảo mật này được sử dụng để bảo vệ dữ liệu và các gói tin trao đổi giữa các điểm đầu cuối. Kết quả cuối cùng của hai bước trên sẽ tạo ra một kênh thông tin bảo mật giữa hai bên.

Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các bên IPSec dựa trên cơ sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA.

Bước 5: Kết thúc đường hầm IPSec –Do các IPSec SA hết hạn hoặc bị xoá

Một phần của tài liệu Tìm hiểu về mạng riêng ảo vpn và các giải pháp bảo mật mạng máy tính dành cho người dùng cá nhân và doanh nghiệp nhỏ sử dụng vpn (Trang 20 - 26)

Tải bản đầy đủ (PDF)

(45 trang)