1. Trang chủ
  2. » Công Nghệ Thông Tin

Chương 8 " Bảo mật trong mô hình TCP/IP" potx

44 1,5K 2
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Bảo mật trong mô hình TCP/IP
Trường học Trường Đại học Công nghệ Thông tin - Đại học Quốc gia TP Hồ Chí Minh
Chuyên ngành An ninh Thông tin
Thể loại Bài báo
Năm xuất bản 2012
Thành phố TP Hồ Chí Minh
Định dạng
Số trang 44
Dung lượng 1,6 MB

Các công cụ chuyển đổi và chỉnh sửa cho tài liệu này

Nội dung

Các thành phần của IPSec IPSec không phải là một ứng dụng hòan tòan mới mà là sự tổ hợp của các cơ chế bảo mật security mechanisms đã có sẵn vào trong giao thức IP.. AH và ESP Hai giao

Trang 1

IP security

Trang 2

Bảo mật trong mô hình

SSL

Nhiều ứng dụng bảo mật ở lớp ứng dụng

Trang 3

 Cơ chế bảo mật dữ liệu khi truyền

giữa các máy bằng giao thức IP

Là phần mở rộng của IPv4, nhưng là

thành phần bắt buộc trong IPv6

 Họat động trong suốt với các ứng

dụng ở lớp trên

Trang 5

Các ứng dụng của IPSec

Trang 6

IPSec trong mô hình TCP/IP

IPSec

Trang 7

Các thành phần của IPSec

 IPSec không phải là một ứng dụng

hòan tòan mới mà là sự tổ hợp của

các cơ chế bảo mật (security

mechanisms) đã có sẵn vào trong

giao thức IP

 Có nhiều cách tổ hợp các cơ chế khác nhau để cho ra nhiều cách thể hiện

khác nhau gọi là DOI (Domain of

Interpretation)

Trang 8

Kiến trúc của IPSec

Trang 9

AH và ESP

 Hai giao thức cơ bản để thực thi IPSec

là AH (Authentication Header) và ESP (Encapsulating Security payload)

 AH chỉ cung cấp các dịch vụ xác thực (Integrity) còn ESP vừa cung cấp dịch

vụ xác thực vừa cung cấp dịch vụ bảo mật (Integrity and Confidentiality)

Trang 10

Liên kết bảo mật

 SA (Security association) là quan hệ truyền

thông một chiều giữa hai thực thể trên đó

có triển khai các dịch vụ bảo mật.

 Mỗi SA được nhận dạng qua 3 thông số:

 SPI (Security Parameters Index)

 Địa chỉ IP đích (Destination IP address)

 Nhận dạng giao thức (Security protocol

Identifier)

 Mỗi kết nối hai chiều (connection) phải bao gồm ít

Trang 11

Transport SA và Tunnel SA

 Transport SA là các liên kết IPSec

thiết lập giữa hai hệ thống đầu cuối

 Tunnel SA là các liên kết IPSec được thiết lập giữa hai thiết bị kết nối

mạng (router hoặc gateway), trong

suốt với họat động của thiết bị đầu

cuối

Việc thực thi transport và tunnel được xác định với từng

giao thức (AH hoặc ESP)

Trang 12

Authentication Header

 Giao thức AH trong IPSec cung cấp 3 dịch vụ cơ bản:

 Tòan vẹn thông tin (Integrity)

 Xác thực thông tin (Authentication)

 Chống phát lại (Anti-replay)

Trang 13

Cấu trúc gói dữ liệu AH

Trang 14

Cấu trúc gói dữ liệu AH

 Next header (8 bits): xác định lọai dữ liệu chứa bên trong tiêu đề AH, sử

dụng các giá trị quy ước của TCP/IP

(*)

 Payload length (8 bits): xác định chiều dài của tiêu đề AH, tính bằng đơn vị

từ (32 bit), trừ đi 2 đơn vị (**)

Ví dụ: tòan bộ chiều dài tiêu đề AH là 6 từ thì giá trị vùng Payload length là 4.

Trang 15

Cấu trúc gói dữ liệu AH

 Reserved (16 bits): dành riêng chưa sử dụng, được gán chuỗi bit 0

 SPI (32 bits): nhận dạng liên kết SA

Giá trị từ 1 đến 255 được dành riêng, giá trị 0 dùng cho mục đích đặc biệt, các giá trị còn lại được dùng để gán

cho SPI

 Sequence number (32 bits): số thứ tự gói truyền trên SA (***)

Trang 16

Cấu trúc gói dữ liệu AH

 Authentication data (số bit không xác định): giá trị kiểm tra tính xác thực

của dữ liệu (Integrity Check

Value_ICV), kết quả của các hàm băm bảo mật

-Thành phần này phải có chiều dài là bội số của 32 bit, nếu không phải gắn bit đệm (padding).

-Authentication data tính cho tòan bộ gói

Trang 17

 Anti-replay không phải là dịch vụ bắt buộc

Trang 18

Chống phát lại (Anti-replay)

Trang 19

Integrity Check Value

 Hai tùy chọn khác nhau để tạo ra ICV:

 Kết quả HMAC được cắt lấy 96 bits đầu

để đưa vào ICV (bỏ đi bao nhiêu bits?)

Lặp lại 64 lần để tạo thành

512 bit (=block size)

Trang 20

Integrity Check Value

 ICV được tính trên:

 Tòan bộ phần payload của gói IP gốc

 Tòan bộ phần tiêu đề AH (trừ phần

Authentication data được reset về 0 khi tính)

 Các trường cố định trong tiêu đề IP

(hoặc đóan được), các trường khác

reset về 0 khi tính

Trang 21

Transport mode và tunnel mode trong AH

Trang 22

Transport mode và tunnel mode trong AH

Trang 23

thực và chống phát lại.

Trang 24

Cấu trúc gói dữ liệu ESP

Trang 25

Cấu trúc gói dữ liệu ESP

 SPI (32 bits): nhận dạng liên kết SA

 Sequence number (32 bits): số thứ tự, dùng cho mục đích chống phát lại.

 Payload data (độ dài bất kỳ): là gói dữ liệu

IP được mã hóa.

 Padding (độ dài bất kỳ) và pad length (8

bits): dữ liệu chèn và độ dài của nó.

 Next header (8 bits): lọai dữ liệu bên trong ESP

Trang 26

Cấu trúc gói dữ liệu ESP

 Authentication Data (bội số 32 bits): Thông tin xác thực, được tính trên

tòan bộ gói ESP ngọai trừ phần

Authentication Data

Trang 27

Mã hóa và xác thực trong ESP

Trang 28

Transport mode và tunnel mode trong ESP

Trang 29

Transport mode và tunnel mode trong ESP

Trang 30

Quản lý khóa trong IPSec

 Mã hóa dùng trong IPSec là mã hóa

đối xứng

 Mỗi hệ thống đầu cuối IPSec có nhu

cầu kết nối với nhiều hệ thống đầu

cuối khác => cần quản lý khóa

 Quản lý bằng tay: người sử dụng tự cấu hình

 Quản lý tự động: dùng giao thức quản

Trang 31

 Sử dụng các số ngẫu nhiên (nonce) để chống phát lại (replay)

Trang 33

Cookie và tấn công từ chối dịch vụ

cho địa chỉ đích Máy đích sẽ liên tục tính tóan để xác định khóa riêng mà không làm được việc khác clogging.

 Giải pháp: Mỗi bên phải thực hiện thủ tục trao đổi cookie (số ngẫu nhiên) ngay ở bản tin khởi tạo Sau đó, cookie phải được xác nhận trong message trao đổi khóa.

nhanh (ví dụ MD5) áp dụng lên địa chỉ IP

nguồn, IP đích, Port nguồn và Port đích cùng với một giá trị ngẫu nhiên.

Trang 34

Tạo nhóm (group)

 Hai thực thể kết nối tạo thành một

nhóm, sử dụng chung các giá trị khởi tạo của thuật tóan Diffie-Hellman (p, g)

 Mỗi nhóm có một quy ước riêng về

cách chọn các giá trị q và g

Trang 36

Xác thực đầu cuối

 Xác thực bằng chữ ký số

 Xác thực bằng mã hóa bất đối xứng

 Xác thực bằng mã hóa đối xứng

Trang 37

Ví dụ về trao đổi khóa trong Oakley

Trang 38

Giao thức quản lý khóa ISAKMP

 ISAKMP (Internet Security Association and Key Management Protocol) định nghĩa thủ tục và cấu trúc bản tin sử dụng để thiết lập, duy trì và giải tỏa các liên kết bảo mật SA

Trang 39

Cấu trúc gói dữ liệu ISAKMP

Trang 40

Các thủ tục trong ISAKMP

Trang 41

Các thủ tục trong ISAKMP (tt)

Trang 42

IPSec trong Windows server

 Đối với IPv4, IPSec là một tùy chọn và

do đó, IPSec cũng được triển khai dưới dạng các policy trong các hệ thống

Windows

 Mỗi IPSec policy được tạo thành từ:

 Filter list: các bộ lọc để tách lấy lọai dữ liệu cần áp dụng IPSec (lọc theo địa chỉ, giao thức, port, …)

 Action: cách xử lý ứng với từng lọai dữ

Trang 43

Định nghĩa IPSec policy trong Windows

Trang 44

 Dùng phần mềm Wireshark để bắt gói trong mạng LAN

 Dùng DNS động: đăng ký miễn phí

trên no-ip.com

Ngày đăng: 09/03/2014, 16:20

Xem thêm

HÌNH ẢNH LIÊN QUAN

Bảo mật trong mơ hình TCP/IP Bảo mật lớp mạng với IPSecBảo mật lớp vận chuyển với SSL Nhiều ứng dụng bảo mật ở lớp ứng dụng - Chương 8 " Bảo mật trong mô hình TCP/IP" potx
o mật trong mơ hình TCP/IP Bảo mật lớp mạng với IPSecBảo mật lớp vận chuyển với SSL Nhiều ứng dụng bảo mật ở lớp ứng dụng (Trang 2)
IPSec trong mơ hình TCP/IP - Chương 8 " Bảo mật trong mô hình TCP/IP" potx
ec trong mơ hình TCP/IP (Trang 6)

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

🧩 Sản phẩm bạn có thể quan tâm

w