Cisco VPN Client hỗ trợ các thuộc tính sau của giao thức IPSec:
1/. Chế độ chính (Main mode)
Chế độ chính cho việc thoả thuận pha 1 của quá trình thiết lập ISAKMP SA. ISAKMP là giao thức cung cấp khả năng liên kết các giao thức bảo mật khác, qua Internet. ISAKMP cũng là một phần quan trọng của IPsec, đƣợc sử dụng để mã hoá các gói dữ liệu và tạo một kênh truyền dữ liệu bảo mật tới mạng công ty thông qua Internet công cộng. Các công ty lớn có nhiều chi nhánh nhỏ sử dụng IPsec để tạo kết nối an toàn từ các chi nhánh nhỏ tới trụ sở chính, lập thành một mạng riêng ảo trên Internet. Qua kết nối đó, các nhân viên có thể sử dụng công nghệ này để truy cập vào mạng nội bộ của công ty từ xa. [3]
Chế độ chính xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong quá trình giao dịch. Trong chế độ này, 6 thông điệp đƣợc trao đổi giữa các điểm:
- Hai thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.
- Hai thông điệp kế tiếp để thay đổi các khóa Diffie-Hellman và số ngẫu nhiên gửi cho bên kia. Các khóa này thực hiện vai trò quan trọng trong mã hóa.
- Hai thông điệp cuối dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, hàm băm, và tuỳ chọn với chứng nhận.
2/. Chế độ linh hoạt (Aggressive mode)
Cho việc thoả thuận pha 1 của quá trình thiết lập ISAKMP SAs.[3]
Chế độ linh hoạt về bản chất giống chế độ chính, chỉ khác là chế độ này chỉ có 3 thông điệp đƣợc trao đổi. Do đó, chế độ linh hoạt nhanh hơn chế độ chính. Các thông điệp đó bao gồm:
- Thông điệp đầu tiên đƣa ra chính sách bảo mật, cấp dữ liệu liên quan đến khóa chính, trao đổi các số ngẫu nhiên cho việc ký và xác minh tiếp theo.
- Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực ngƣời nhận và hoàn thành chính sách bảo mật bằng các khóa.
- Thông điệp cuối cùng dùng để xác nhận ngƣời gửi (hoặc bộ khởi tạo của phiên làm việc).
Hình 1.4. Trao đổi thông điệp ở chế độ linh hoạt của IKE
3/. Các thuật toán xác thực
Mã xác thực thông điệp dựa vào hàm băm HMAC là một dạng của mã xác thực thông điệp MAC. Tính toán dựa vào hàm băm kết hợp với khóa bí mật. Cũng nhƣ với bất kỳ MAC nào, nó đƣợc dùng để xác minh đồng thời cả tính toàn vẹn dữ liệu và tính xác thực của thông điệp. Tính an toàn của HMAC tùy thuộc vào tính an toàn của hàm băm mà nó dựa vào, tuỳ thuộc vào kích thƣớc và chất lƣợng của khoá, kích thƣớc đầu ra (tính theo bit) của hàm băm.
-HMAC với hàm băm lặp MD5: kết quả đƣợc gọi là HMAC-MD5.
4/. Các chế độ xác thực
Khóa chia sẻ (Preshared Keys): hỗ trợ cơ chế IKE giữa hai VPN để thỏa thuận khoá bí mật. Khóa chia sẻ phải đƣợc đặt giống nhau giữa hai VPN.
Sử dụng chứng chỉ số X.509 để mã hoá và kiểm tra.
5/. Thuật toán Diffie-Hellman các nhóm 1, 2, và 5
Diffie-Hellman là một giao thức cho phép thiết lập một bí mật đƣợc chia sẻ giữa hai ngƣời qua một kênh giao tiếp không an toàn. Diffie-Hellman đƣợc sử dụng trong IKE để thiết lập các khóa phiên.
Diffie-Hellman nhóm 1 xác định rằng IPSec sẽ sử dụng khóa 768 bít. Diffie-Hellman nhóm 2 xác định rằng IPSec sẽ sử dụng khóa 1024 bít. Diffie-Hellman nhóm 5 xác định rằng IPSec sẽ sử dụng khóa 1536 bít .
6/. Các thuật toán mã hóa
Chuẩn mã hóa dữ liệu (Data Encryption Standard: DES 56 bít)
Là kỹ thuật mã hóa khóa riêng mã hóa theo từng khối 64 bít với khóa 56 bít. Khóa 56 bít cho phép khoảng 256 tổ hợp khác nhau. Ngoài ra, mỗi khối trong dòng dữ liệu đƣợc mã hóa bằng các biến dạng khóa khác nhau, làm khó phát hiện sơ đồ mã hóa trong các thông điệp dài.
Chuẩn mã hóa dữ liệu Triple-DES (3DES 168 bít)
Cũng giống nhƣ DES, 3DES cũng sử dụng khóa 56 bit. Tuy nhiên, nó an toàn hơn nhiều do dùng 3 khóa khác nhau để mã hóa dữ liệu. Bộ xử lý thực hiện các bƣớc sau: khóa đầu tiên dùng để mã hóa dữ liệu; sau đó, khóa thứ hai sẽ dùng để giải mã dữ liệu vừa đƣợc mã hóa; cuối cùng, khóa thứ ba sẽ mã hóa lần thứ hai. Toàn bộ quá trình xử lý của 3DES tạo thành một thuật giải có độ an toàn cao.
Chuẩn mã hóa tiên tiến AES (128 bít và 256 bít)
Là một thuật toán mã hóa khối đối xứng rất hiệu quả và tƣơng đối an toàn, đƣợc chính phủ Hoa kỳ áp dụng làm tiêu chuẩn mã hóa. AES làm việc với khối dữ liệu 128 bít và khóa có độ dài 128 hoặc 256 bít.
7/. Giao thức xác thực mở rộng (Extended Authentication: XAUTH) (adsbygoogle = window.adsbygoogle || []).push({});
Kiểm tra xác thực ngƣời dùng với IKE. Giao thức này gồm hai phần: xác thực ngƣời dùng VPN từ xa (XAUTH sẽ yêu cầu ngƣời dùng nhập username/password) và việc gán địa chỉ TCP/IP (địa chỉ IP, netmask, DNS Server và WINS server). Thông tin này sau đó sẽ đƣợc kiểm tra thông qua việc sử dụng TACACS+/ RADIUS.
8/. Chế độ cấu hình IKE
Về cơ bản đƣợc biết nhƣ ISAKMP/Oakley (Internet Security Association and Key Management Protocol). IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trƣớc khi một phiên bảo mật IPSec đƣợc triển khai. Ngoài việc hòa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE sửa đổi những tham số khi cần thiết trong suốt phiên làm việc. IKE đảm nhiệm việc xoá bỏ những SA và các khóa sau khi một phiên giao dịch hoàn thành.
9/. Chế độ đóng gói dữ liệu
Sử dụng giao thức đóng gói dữ liệu ESP (Encapsulating Security Payload) là giao thức truyền dữ liệu, bao gồm mã hóa dữ liệu và xác thực dữ liệu, đảm bảo an toàn đóng gói các gói tin IP nhằm bảo vệ gói dữ liệu. Gói dữ liệu IP đƣợc đóng gói trong một gói dữ liệu IP khác và một IPSec header đƣợc chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.
ESP sử dụng mã hóa khóa đối xứng để mã hoá dữ liệu cho các gói tin IPSec. Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia dữ liệu thành các khối nhỏ, và sau đó mã hoá nhiều lần sử dụng các khối dữ liệu và khoá. Thuật toán mã hoá hoạt động trong chiều này đƣợc xem nhƣ thuật toán mã hóa khối. Khi một đầu cuối khác nhận đƣợc dữ liệu mã hoá, nó thực hiện giải mã sử dụng khóa giống nhau và quá trình thực hiện tƣơng tự, nhƣng trong bƣớc này ngƣợc với thao tác mã hoá. Có thể xem ESP nhƣ một kênh an toàn.
10/.Phương pháp nén IP (IPCOMP) sử dụng thuật toán LZS
o IPCOMP
Là giao thức nén giảm kích thƣớc của các gói IP. Giao thức này sẽ tăng quá trình giao tiếp giữa hai cặp host/gateway (gọi là hai node) đang giao tiếp với nhau bằng cách nén các gói tin và cho hiệu quả tốt trên đƣờng truyền tốc độ chậm.
Cơ chế nén này chỉ đƣợc áp dụng cho dữ liệu của các giao thức lớp 3 (IPCP và IPXCP), không ảnh hƣởng đến lƣu lƣợng của các giao thức LCP và NCP lớp 2.6
o Thuật toán Lempel-Ziv (LZS)
Cung cấp cơ chế nén và giải nén nhanh dữ liệu không mất mát thông tin cho các gói IP. Thuật toán này sử dụng kỹ thuật điều khiển luồng trong cửa sổ trƣợt 2,048 byte. Trong quá trình nén, các chuỗi dƣ thừa của dữ liệu đƣợc thay thế bằng các tokencode biểu diễn các chuỗi này. Các chuỗi gốc ban đầu đƣợc thay thế cho các tokencode theo cách mà dữ liệu ban đầu đã đƣợc thu lại một cách chính xác. LZS không giống các thuật toán nén mất mát dữ liệu, những thuật toán này thƣờng dùng cho việc nén video sẽ không lấy lại đƣợc chính xác dữ liệu ban đầu. Độ hiệu quả của thuật toán LZS phụ thuộc vào độ dƣ thừa của dữ liệu gốc. 2
* Quy trình nén:
Ngƣời gửi phải điều quá trình nén để xử lý từng gói dữ liệu. Điều này đảm bảo mỗi gói dữ liệu có thể đƣợc giải nén độc lập với nhau nhất là các gói dữ liệu đƣợc nhận về không theo thứ tự. Ngƣời gửi phải kiểm tra thiết bị nén mỗi lần nó truyền một gói tin đã nén. Quá trình kiểm tra cần thiết để ngăn chặn gói dữ liệu khỏi lọt vào trong một gói dữ liệu tiếp theo.
Định dạng nén: input cho thuật toán nén là một gói tin IP. Output là một gói tin mới có chứa dữ liệu gói tin đầu vào dƣới cả hai định dạng nén và giải nén.
Nếu dạng không nén đƣợc sử dụng, gói tin output đƣợc xác định là giống y gói tin input và IPComp header đƣợc bỏ qua. Nếu định dạng nén đƣợc sử dụng, gói tin output đƣợc trộn với IPCOMP header và mã hóa theo chuẩn ANSI94 chỉ cho mục đích truyền tin.
* Quy trình giải nén:
Nếu gói dữ liệu nhận về đƣợc nén, ngƣời nhận phải đặt lại quy trình giải nén gói dữ liệu. Điều này đảm bảo rằng mỗi gói dữ liệu đƣợc giải nén độc lập với nhau, nhất là khi các gói tin nhận về không theo thứ tự. Sau khi đặt lại quy trình giải nén, ngƣời nhận giải nén trƣờng Payload Data theo đặc tả trong ANSI94.
Nếu gói dữ liệu nhận về không đƣợc nén, ngƣời nhận không cần thực hiện quá trình giải nén và trƣờng Payload Data của gói dữ liệu đã sẵn sàng cho việc xử lý bằng giao thức tầng tiếp theo.
Chương 2.CÔNG NGHỆ XÁC THỰC RSA SECURID