Cấu trúc gói dữ liệu IP, TCP,UDP và cả các giao thức ứng dụng được mô tả công khai, bắt được gói IP trên mạng, ai cũng có thể phân tích gói để đọc phần dữ liệu chứa bên trong, đó là chưa
Trang 1KHOA VIỄN THÔNG I
TIỂU LUẬN MÔN HỌC
“An ninh mạng thông tin”
Trang 2Làm word nội dung
đã chọn và tổng hợp hoàn thiện bản word cuối cùng
Giao thức an ninh bảo vệ ESP Ứng dụng của IPSec
Làm word nội dung
đã chọn và sửa lỗi word
Trang 3MỤC LỤC
DANH MỤC PHÂN CÔNG CÔNG VIỆC 1
MỤC LỤC 2
DANH MỤC THUẬT NGỮ VIẾT TẮT 4
DANH MỤC HÌNH – BẢNG 5
Lời nói đầu 6
I Tổng quan về IPSec 7
1 Giới thiệu 7
2 Vai trò của giao thức IPSec 8
3 Ưu điểm 8
4 Nhược điểm 8
II Mô hình kiến trúc và cách thức hoạt động của IPSec 9
1 Mô hình kiến trúc IPSec 9
2 Cách thức hoạt động 11
a) Chế độ truyền tải (Transport) 13
b) Chế độ đường hầm (Tunnel) 13
III Các chứng năng cơ bản của IPSec 15
1 Chứng thực dữ liệu 15
2 Toàn vẹn dữ liệu 15
3 Bảo mật dữ liệu 15
4 Tránh trùng lặp dữ liệu 15
IV Những giao thức IPSec và phần tử hỗ trợ 16
1 Giao thức xác thực AH (Authentication Header) 16
a Khái niệm 16
b Quá trình xử lý AH 17
i Vị trí của AH 17
Trang 42 Giao thức an ninh bảo vệ ESP (Encapsulating Security Payload) 23
a Khái niệm 23
b Các thuật toán 24
c So sánh giữa giao thức AH và ESP 24
d Chế độ Transport ESP 25
e Chế độ Tunnel ESP 25
3 Giao thức trao đổi IKE (Internet Key Exchange) 27
a Giai đoạn IKE 27
i Giai đoạn 1 27
ii Giai đoạn 2 27
b Chế độ IKE 27
i Chế độ chính 28
ii Chế độ tích cực 30
iii Chế độ nhanh 31
iv Chế độ nhóm mới 32
V Ứng dụng của IPSec 32
VI Kết luận 33
TÀI LIỆU THAM KHẢO 34
Trang 5DANH MỤC THUẬT NGỮ VIẾT TẮT
ESP Encapsulating Security Payload Giao thức an ninh bảo vệ ICMP Internet Control Message Protocol Giao thức Thông điệp Điều
khiển Internet ICV Integrity Check Value Giá trị kiểm tra tính toàn
vẹn IETF Internet Engineering Task Force Lực lượng Chuyên trách về
Kỹ thuật Liên mạng
ISAKMP Internet Security Association and
Key Management Protocol
Hiệp hội Bảo mật Internet
và Giao thức Quản lý Khóa
tiện OSI Open Systems Interconnection Mô hình tham chiếu kết nối
Trang 6DANH MỤC HÌNH – BẢNG
1 Hình 1 IPSec trong mô hình OSI
2 Hình 2 Cấu trúc mô hình IPSec
3 Hình 3 Gói giao thức AH
4 Hình 4 Gói giao thức ESP
5 Hình 5 Các gói IP được IPSec bảo vệ trong chế độ truyền tải và chế độ
đường hầm
6 Hình 6 Mô hình chế độ truyền tải
7 Hình 7 Mô hình chế độ đường hầm
8 Hình 8 Cấu trúc giao thức AH
9 Hình 9 Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
10 Hình 10 Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Transport
11 Hình 11 Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel
12 Hình 12 Phân mảnh và xác thực: Máy chủ đến máy chủ của chế độ
Transport
13 Hình 13 Phân mảnh và xác thực: Cổng đến cổng của chế độ Tunnel
14 Hình 14 Gói IP được bảo vệ bởi ESP trong chế độ Transport
15 Hình 15 Gói IP được bảo vệ bởi ESP trong chế độ Tunnel
16 Hình 16 ESP trong chế độ Transport
17 Hình 17 Đóng gói ESP trong chế độ Transport
18 Hình 18 ESP Tunnel – Mode VPN
19 Hình 19 Đóng gói ESP Tunnel – Mode
20 Hình 20 Giao thức trao đổi chế độ chính
21 Hình 21 Giao thức trao đổi chế độ tích cực
22 Hình 22 Giao thức trao đổi chế độ nhanh
23 Hình 23 Giao thức trao đổi chế độ nhóm mới
Trang 7Lời nói đầu
Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet
Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật sự được quan tâm, do đó, các giao thức trong bộ TCP/IP hầu như không được trang bị bất cứ giao thức nào Cấu trúc gói dữ liệu (IP, TCP,UDP và cả các giao thức ứng dụng) được mô tả công khai, bắt được gói IP trên mạng, ai cũng có thể phân tích gói để đọc phần dữ liệu chứa bên trong, đó là chưa kể hiện nay, các công cụ bắt và phân tích gói được xây dựng với tính năng mạnh và phát hành rộng rãi.Việc bổ sung các cơ chế bảo mật vào mô hình TCP/IP, bắt đầu từ giao thức IP là một nhu cầu cấp bách.IPSecurity (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá
và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật
dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạngIPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc
Trang 8I Tổng quan về IPSec
IPSec (Internet Protocol Security) là một giao thức được chuẩn hoá và phát triển
bởi tổ chức IETF (Internet Engineering Task Force) từ năm 1998
IPSec bao gồm một hệ thống các giao thức chuẩn, cung cấp các dịch vụ
bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol (IP), bao gồm
xác thực và mã hoá cho mỗi gói IP trong quá trình truyền thông tin Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng
IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI vì mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3 (Network layer) trong mô hình OSI
Hình 1: IPSec trong mô hình OSI IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc
Trang 92
Vai trò của giao thức IPSec➢ Cho phép xác thực hai chiều,trước và trong quá trình truyền tải dữ liệu
➢ Mã hóa đường truyền giữa 2 máy khi được gửi qua 1 mạng
➢ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bào mật
➢ Bào vệ các lưu lượng bằng việc sử dụng mã hóa và đánh dấu dữ liệu
➢ IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp
mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet
Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu
đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa
➢ IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác
➢ Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu
➢ Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia
Trang 10II Mô hình kiến trúc và cách thức hoạt động của IPSec
1 Mô hình kiến trúc IPSec
Mục đích chính của việc phát triển IP Sec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI, như hình :
Hình 2:Cấu trúc mô hình IPSec
Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP Do
đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3 (Đó là lý do tai sao IP Sec được phát triển ở giao thức tầng 3 thay vì tầng 2)
Trang 11IPsec bao gồm ba giao thức chính:
AH Một giao thức cung cấp xác thực nguồn gốc dữ liệu, tính toàn vẹn của dữ
liệu và bảo vệ phát lại
ESP Một giao thức cung cấp các dịch vụ tương tự như AH nhưng cũng cung cấp
quyền riêng tư dữ liệu thông qua việc sử dụng mã hóa
IKE Một giao thức cung cấp chức năng quản lý khóa quan trọng nhất Giải pháp
thay thế cho IKE là khóa thủ công, IPsec cũng hỗ trợ
➢ Tổng quan về giao thức AH:
Giao thức AH cung cấp xác thực nguồn gốc dữ liệu, tính toàn vẹn của
dữ liệu và bảo vệ khỏi các cuộc tấn công phát lại Các dịch vụ xác thực và tính toàn vẹn được cung cấp bằng cách tính toán MAC mật mã trên trọng tải của gói dữ liệu và các phần của tiêu đề IP của gói dữ liệu Bởi vì các trường nguồn
và đích của tiêu đề IP được bao gồm trong MAC, chúng tôi có thể chắc chắn rằng các trường đó không bị giả mạo khi datagram đang chuyển tiếp Vì tải trọng cũng được bao gồm trong MAC, chúng tôi có thể chắc chắn rằng nó cũng không bị giả mạo Hình 3 cho thấy tổng quan về đóng gói AH
Hình 3:Gói giao thức AH
Trang 12➢ Tổng quan về giao thức ESP: ESP cũng có một chức năng xác thực, gần giống với chức năng được cung cấp bởi AH Sự khác biệt là xác thực ESP không bảo
vệ các trường tiêu đề IP ESP cũng cung cấp tính bảo mật của dữ liệu bằng cách mã hóa các phần của datagram, bao gồm cả tải trọng
Hình 4:Gói giao thức ESP
➢ Các giao thức IPSec — AH và ESP — có thể được sử dụng để bảo vệ toàn
bộ tải trọng IP hoặc các giao thức lớp trên của tải trọng IP Sự khác biệt này được xử lý bằng cách xem xét hai "chế độ" khác nhau của IPSec Chế độ vận chuyển được sử dụng để bảo vệ các giao thức lớp trên; chế độ đường hầm được
sử dụng để bảo vệ toàn bộ dữ liệu IP Trong chế độ truyền tải, một tiêu đề
Trang 13IPSec được chèn vào giữa tiêu đề IP và tiêu đề giao thức lớp trên; ở chế độ đường hầm, toàn bộ gói IP cần được bảo vệ được đóng gói trong một sơ
đồ IP khác và một tiêu đề IPSec được chèn vào giữa IP bên ngoài và bên trongtiêu đề Cả hai giao thức IPSec, AH và ESP , đều có thể hoạt động ở chế
độ truyền tải hoặc chế độ đường hầm
Hình 5:Các gói IP được IPSec bảo vệ trong chế độ truyền tải và chế độ đường
đề bên trong được bảo vệ và các điểm cuối mật mã là những điểm cuối của tiêu
đề IP bên ngoài Một cổng bảo mật giải mã gói IP bên trong khi kết thúc quá trình xử lý IPSec và chuyển tiếp gói đến đích cuối cùng của nó
Trang 14a) Chế độ truyền tải (Transport)
➢ Chế độ truyền tải có nghĩa là được sử dụng giữa hai máy chủ cố định, hay nói một cách khác, khi các điểm cuối VPN là điểm đến cuối cùng của lưu lượng
trong VPN Đặc biệt, chế độ truyền tải không thể được sử dụng để kết nối hai mạng hoặc một mạng và một máy chủ
Hình 6:Mô hình chế độ truyền tải
➢ Đóng gói chế độ truyền tải
➢ Hình cho thấy tại sao chế độ truyền tải chỉ có thể được sử dụng khi các điểm cuối VPN là điểm đến cuối cùng Một mặt, datagram phải được gửi đến điểm cuối VPN để nó có thể được giải mã và / hoặc xác thực Mặt khác, chỉ có một tiêu đề IP, vì vậy đích của nó phải là đích cuối cùng của nó
b) Chế độ đường hầm (Tunnel)
➢ Chế độ khác mà AH và ESP có thể hoạt động được gọi là chế độ đường
hầm Nó linh hoạt hơn phương thức truyền tải, nhưng sự linh hoạt này đi kèm
với chi phí là yêu cầu băng thông tăng lên
Trang 15➢ Việc sử dụng điển hình của chế độ đường hầm là kết nối hai mạng hoặc một máy chủ và một mạng
Hình 7:Mô hình chế độ đường hầm
➢ Trong hình, mạng từ xa và mạng gia đình được kết nối thông qua VPN chế độ đường hầm bằng các cổng bảo mật, GW 1 và GW 2 Các cổng này xử lý các chức năng mã hóa, giải mã, phản phát và xác thực Các chức năng bảo mật này hoàn toàn minh bạch đối với các máy chủ trên hai mạng — chúng chỉ gửi các biểu đồ dữ liệu đến đồng đẳng của chúng trên mạng khác giống như chúng sẽ làm nếu các cổng và VPN không có ở đó
➢ Đóng gọi trong chế độ đường hầm:
Trang 16
III Các chứng năng cơ bản của IPSec
1 Chứng thực dữ liệu
➢ IPSec bảo vệ các mạng cá nhân và các dữ liệu cá nhân chứa trong đó khỏi tấn công man in the middle, từ khả năng lừa tấn công đến từ những truy cập vào mạng, khỏi những kẻ tấn công thay đổi nội dung của gói dữ liệu
➢ IPSec sử dụng một chữ kí số để xác định nhân diện của người gởi thông tin IPSec có thể dùng kerberos, preshared key, hay các chứng nhận số cho việc chứng nhận
➢ Trong đó phương thức xác thực mặc định là Kerberos v5, tuy nhiên đối với các máy tính có kết nối mạng thì không nên dùng Kerberos v5 vì trong suốt quá trình dàn xếp ở chế độ chính , mỗi thành phần ngang cấp ở chế độ chính sẽ gởi phần nhận dạng máy tính của nó ở dạng chưa được mã hoá đến các thành phần khác Phần nhận dạng máy tính này không được mã hoá cho đến khi sự mã hoá toàn bộ tải trọng diễn ra trong giai đoạn xác thực của sự dàn xếp với chế độ chính Mộ kẻ tấn công
có thể gởi một gói tin Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thông tin nhận dạng máy tính Để bảo vệ máy tính được kết nối Internet nên sử dụng sự xác thực chứng nhận
Đối với tính năng an toàn cải tiến, không nên sử dụng sự xác thực bằng PreshareKey
vì nó là một phương thức khá yếu Bên cạnh đó, PreshareKey được lưu trử ở dạng thuần văn bản Sự xác thực bằng PresharedKey được cung cấp cho các mục đích liên vận hành
và phải tuân thủ các quy tắc IPSec, chỉ nên dùng PreshareKey cho việc kiểm nghiệm
Trang 17IV Những giao thức IPSec và phần tử hỗ trợ
1 Giao thức xác thực AH (Authentication Header)
a Khái niệm
AH là giao thức cung cấp xác thực nguồn gốc dữ liệu (data origin authentication), kiểm tra tính toàn vẹn dữ liệu (data integrity), và dịch vụ chống phát lại (anti-replay service)
AH cho phép xác thực các trường của IP header cũng như dữ liệu của các giao thức lớp trên, tuy nhiên do một số trường của IP header thay đổi trong khi truyền và phía phát có thể không dự đoán trước được giá trị của chúng khi tới phía thu, do đó giá trị của các trường này không bảo vệ được bằng AH Có thể nói AH chỉ bảo vệ một phần của IP header mà thôi AH không cung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp chắc chắn về nguồn gốc và tính toàn vẹn của dữ liệu nhưng tính bảo mật dữ liệu không cần được chắc chắn
Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm một chiều (one-way hash function) đối với dữ liệu của gói để tạo ra một đoạn mã xác thực (hash hay message digest) Đoạn mã đó được chèn vào thông tin của gói truyền đi Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói dữ liệu thu được và đối chiếu nó với giá trị hash đã truyền đi Hàm băm được thực hiện trên toàn
bộ gói dữ liệu, trừ một số trường trong IP header có giá trị bị thay đổi trong quá trình truyền mà phía thu không thể dự đoán trước được (ví dụ trường thời gian sống của gói tin
bị các router thay đổi trên đường truyền dẫn)
Hình 8: Cấu trúc giao thức AH
Trang 18b Quá trình xử lý AH
Hoạt động của AH được thực hiện qua các bước như sau:
➢ Bước 1: Toàn bộ gói IP (bao gồm IP header và tải tin) được thực hiện qua một hàm băm một chiều
➢ Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưa header này vào gói dữ liệu ban đầu
➢ Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối tác IPSec
➢ Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kết quả thu được một mã hash
➢ Bước 5: Bên thu tách mã hash trong AH header
➢ Bước 6: Bên thu so sánh mã hash mà nó tính được với mã hash tách ra từ AH header Hai mã hash này phải hoàn toàn giống nhau Nếu khác nhau chỉ một bit trong quá trình truyền thì 2 mã hash sẽ không giống nhau, bên thu lập tức phát hiện tính không toàn vẹn của dữ liệu
i Vị trí của AH
AH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel Kiểu
Transport là kiểu đầu tiên được sử dụng cho kết nối đầu cuối giữa các host
hoặc các thiết bị hoạt động như host và kiểu Tunnel được sử dụng cho các ứng
dụng còn lại
Ở kiểu Transport cho phép bảo vệ các giao thức lớp trên, cùng với một số
trường trong IP header Trong kiểu này, AH được chèn vào sau IP header và
trước một giao thức lớp trên (chẳng hạn như TCP, UDP, ICMP…) và trước các
IPSec header đã được chen vào Đối với IPv4, AH đặt sau IP header và trước giao
thức lớp trên (ví dụ ở đây là TCP) Đối với IPv6, AH được xem như phần tải đầu
cuối-tới - đầu cuối, nên sẽ xuất hiện sau các phần header mở rộng hop-to-hop,
routing và fragmentation Các lựa chọn đích(dest options extension headers) có
thể trước hoặc sau AH