Bảo mật An Toàn Thông Tin trên mạng với IPSec

Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin. Ơ đây chúng ta muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ (Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề. Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừnglại ở mức công cụ, và đôi khi ta còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những tổ chức sử dụng nó. Và những ai “chộn rộn” nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì nhỉ ? Nó không sản xuất ra được sản phẩm, và nó cũng chẳng giúp công việc giấy tờ giảm bớt là bao, liệu chúng ta đã tổn hao một số tiền vô ích?..”” . Không đâu xa những nước láng giềng khu vực như Thailand, Singapore, những nền kinh tế mạnh trong khu vực và đang trên đà phát triển mạnh mẽ. Nhận thức được sự ưu việt của ứng dụng CNTT, và từ rất sớm họ đã đem CNNT áp dụng vào mọi hoạt động, không chỉ sản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người. Và họ cũng học thành thục những kĩ năng để giải quyết và điều khiển công việc rất sáng tạo từ các “vũ khí” tân thời này. Đâu đó trong trích đoạn “Con đường Phía trước” của Bill Gates có nói đến giá trị to lớn của thông tin trong thế kỉ 21, một kỉ nguyên thông tin đích thực. Thực thể quý giá “phi vật chất” này, đang dần trở thành một đối tượng được săn lùng, được kiểm soát gắt gao, và cũng là bệ phóng cho tất cả những quốc gia muốn phát triển một cách mạnh mẽ, nhanh chóng và “bền vững”. Cần có những hệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin và đem những thông tin này vào ứng dụng một cách có hiệu quả. Thế giới bước trong thế kỉ 21 dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đường cho các hoạt

LỜI NÓI ĐẦU

Trong thực tế hiện nay bảo mật thông tin đang đóng một vai trò thiết yếu chứ không còn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công nghệ thông tin Ơ đây chúng ta muốn nói đến vai trò to lớn của việc ứng dụng CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ

(Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề Khởi động từ những năm đầu thập niên 90, với một số ít chuyên gia về CNTT, những hiểu biết còn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất, giao dịch, quản lý còn khá khiêm tốn và chỉ dừnglại ở mức công cụ, và đôi khi ta còn nhận thấy những công cụ “đắt tiền” này còn gây một số cản trở, không đem lại những hiệu quả thiết thực cho những tổ chức sử dụng nó Và những ai “chộn rộn” nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì nhỉ ?! Nó không sản xuất ra được sản phẩm, và nó cũng chẳng giúp công việc giấy tờ giảm bớt là bao, liệu chúng ta đã tổn hao một số tiền vô ích?! ”” Không đâu xa những nước láng giềng khu vực như Thailand, Singapore, những nền kinh tế mạnh trong khu vực và đang trên đà phát triển mạnh mẽ Nhận thức được sự ưu việt của ứng dụng CNTT,

và từ rất sớm họ đã đem CNNT áp dụng vào mọi hoạt động, không chỉ sản xuất, giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người Và họ cũng học thành thục những kĩ năng để giải quyết và điều khiển công việc rất sáng tạo từ các

“vũ khí” tân thời này Đâu đó trong trích đoạn “Con đường Phía trước” của Bill Gates có nói đến giá trị to lớn của thông tin trong thế kỉ 21, một kỉ nguyên thông tin đích thực Thực thể quý giá “phi vật chất” này, đang dần trở thành một đối tượng được săn lùng, được kiểm soát gắt gao, và cũng là bệ phóng cho tất cả những quốc gia muốn phát triển một cách mạnh mẽ, nhanh chóng và “bền vững” Cần có những hệ thống mạnh mẽ nhất để kiểm soát thông tin, sáng tạo thông tin và đem những thông tin này vào ứng dụng một cách có hiệu quả Thế giới bước trong thế kỉ 21 dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đường cho các hoạt

động, cho mọi người xích lại gần nhau hơn, khiến cho những cách biệt Địa Lý không còn tồn tại, dễ dàng hiểu nhau hơn và trao đổi với nhau những gì có giá trị nhất, đặc biệt nhất

Ứng dụng công nghệ thông tin một cách có hiệu quả và “bền vững”, là tiêu chí hàng đầu của nhiều quốc gia hiện nay, Việt Nam không là ngoại lệ Xét trên bình diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng luôn mong muốn có được điều này Tính hiệu quả là điều bắt buộc, và sự “bền vững” cũng là tất yếu Dưới góc nhìn của một chuyên gia về bảo mật hệ thống, khi triển khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an toàn, như vậy là góp phần duy trì tính “bền vững” cho hệ thống thông tin của doanh nghiệp đó Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là tài sản vô giá Không chỉ thuần túy về vật chất, những giá trị khác không thể đo đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác nhau Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây không còn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin (PCs, Enterprise Networks, Internet, etc ) Và chính vì vậy, tất cả những hệ thống này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những thế lực đen đáng sợ đó Ai tạo ra bức tường lửa đủ mạnh này để có thể “thiêu cháy” mọi ý đồ xâm nhập?! Xin thưa rằng trước hết đó là ý thức sử dụng máy tính

an toàn của tất cả mọi nhân viên trong một tổ chức, sự am hiểu tinh tường của các Security Admin trong tổ chức đó, và cuối cùng là những công cụ đắc lực nhất phục vụ cho “cuộc chiến” này

NHẬN XÉT CỦA GIÁO VIÊN

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

………

BẢO MẬT AN TOÀN THÔNG TIN TRÊN MẠNG

VỚI IPSec

Như ta đã biết vấn đề bảo mật kết nối trong quá trình truyền tải giữa các dữ liệu khác nhau là một vấn đề rất quan trọng và nó đặc biệt quan trọng khi các dữ liệu của chúng ta được truyền qua một mạng chia sẻ giống như mạng internet

Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền tải các dữ liệu đó? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật các

dữ liệu qua mạng bằng việc sử dụng IPSec

1 IPSec là gì?

IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung cấp

một khoá cho phép bảo mật giữa hai thiết bị mạng ngang hàng

Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được định nghĩa để kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênh truyền dẫn mạng bảo mật

Thuật ngữ Internet Protocol Security (IPSec) Nó có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF) Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình

Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP

Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3 (Đó là lý do tại sao IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2)

Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI) Điều này tạo ra tính mềm dẻo cho IPSec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của

mô hình OSI Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn

Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích Bởi

vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thể dùng các

dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào Cũng giống IP, IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt động.

2 Vai trò của IPSec

+ Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu.+ Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng.+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bảo mật

+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánh dấu dữ liệu

+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà IPSec sẽ kiểm tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào

3 Những Tính Năng của IPSec (IPSec Security Protocol)

- Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data

integrity) IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận Các giao thức IPSec đưa ra khả năng bảo

vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ

- Sự cẩn mật (Confidentiality) Các giao thức IPSec mã hóa dữ liệu bằng cách

sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén

- Quản lý khóa (Key management) IPSec dùng một giao thức thứ ba,

toán mã hóa trước và trong suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu

- Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec Những giao thức này bao gồm Authentication Header (AH) và

Encapsulating Security Payload (ESP)

- Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh Giao thức này là IKE

- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ đó là chế độ

Transport và chế độ Tunnel được mô tả ở hình 6-7 Cả AH và ESP có thể làm việc với một trong hai chế độ này

4 Cấu trúc bảo mật

IPsec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xác thực và (3) thiết lập các thông số mã hoá

Xây dựng IPSec sử dụng khái niệm về bảo mật trên nền tảng IP Một sự kết hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như các khoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP

Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter

Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho mỗi gói tin Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB.

Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liệu Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân

4 IPSec làm việc như thế nào:

4.1 IPSec Định nghĩa ra loại lưu lượng cần được bảo vệ và định nghĩa ra các loại tùy chọn IPSec

Các chính sách này sẽ được cấu hình trên các chính sách bảo mật cục bộ hoặc thông qua các chính sách nhóm trên ID

4.2 Quá trình thỏa thuận sự liên kết bảo mật trong modul khóa trao đổi với internet: IKE sẽ thỏa thuận với liên kết bảo mật

Môdul khóa internet là sự kết hợp của 2 giao thức: Giao thức kết hợp bảo mật internet và giao thức quản lí khóa IPSec sử dụng 2 giao thức này để thỏa thuận một cách tích cực về các yêu cầu bảo mật cho cả 2 phía giữa các máy tính với nhau Các máy tính này không đòi hỏi phải có chính sách giống hệt nhau mà

chúng chỉ cần các chính sách cấu hình các tùy chọn thỏa thuận để cấu hình ra một yêu cầu chung.

4.3 Quá trình mã hóa gói IP:

Sau khi liên kết bảo mật được thiết lập, IPSec sẽ giám sát tất cả các lượng IP,

so sánh lưu lượng với các điều kiện đã được định nghĩa trên bộ lọc

4.4 Mã hóa hoặc kí trên các lưu lượng đó:

5 Giao Thức sử dụng trong IPSec (IPSec Protocol)

IPSec Bảo mật kết nối mạng bằng viêc sử dụng 2 giao thức và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6:

IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác

thực.

IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có

thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu

Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin Toàn bộ thuật toán này được thể hiện trong RFC 4305

5.1 Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows và discarding older packets AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP dưới đây là mô hình của AH header

0 - 7 bit 8 - 15 bit 16 - 23 bit 24 – 31 bit

Next header Payload

length RESERVEDSecurity parameters index (SPI)

Sequence numberAuthentication data (variable)

Security parameters index (SPI)

Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin

Sequence number

Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay attacks

Authentication data

Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực

AH cung cấp tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin bao gồm cả phần tiêu đề của IP (IP header) và các gói dữ liệu được chuyển trong các gói tin

AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thể được đọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi AH sẽ sử dụng thuật toán Key AH để đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của gói

dữ liệu

Do giao thức AH không có chức năng mã hóa dữ liệu nên AH ít được dùng trong IPSec vì nó không đảm bảo tính an ninh.

5.2 Encapsulating Security Payload (ESP)

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication ESP sử dụng IP protocol number là

50 (ESP được đóng gói bởi giao thức IP và trường Protocol trong IP là 50)

0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31

bitSecurity parameters index (SPI)

Sequence numberPayload data (variable)

Padding (0-255 bytes)

Pad Length Next

HeaderAuthentication Data (variable)

Ý nghĩa của các phần:

Security parameters index (SPI)

Nhận ra các thông số được tích hợp với địa chỉ IP

Bao gồm dữ liệu để xác thực cho gói tin

Các thuật toán mã hóa bao gồm DES , 3DES , AES

Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1

ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó ESP trong trạng thái vận chuyển sẽ không đánh toàn bộ gói tin mà chỉ đóng gói phần thân IP ESP có thể sử dụng độc lập hay kết hợp với AH

Dưới đây là một mô hình của quá trình thực thi ESP trên user data để bảo

vệ giữa 2 IPSec peers

Bảng so sánh giữa 2 giao thức ESP và AH:

6 Các chế độ IPSec

SAs trong IPSec hiện tại được triển khai bằng 2 chế độ Được mô tải ở hình dưới

đó là chế độ Transport và chế độ Tunnel Cả AH và ESP có thể làm việc với một trong hai chế độ này: