Nghiên cứu và triển khai VPN trên thiết bị Cisco

Nó đảm bảo được sự an toàn dữ liệu giữa các đại lý, người cung cấp, các công ty với nhau trong môi trường internet rộng lớn và đầy nguy cơ tấn công mạng.. Thay cho 1 kết nối thực như lea

Lời mở đầu

Ngày nay thế giới chúng ta đã và đang bước vào kỷ nguyên của sự bùng nổ thông tin Cùng với sự phát triển của các phương tiện truyền thông đại chúng, lĩnh vực truyền thông mạng máy tính đã và đang phát triển không ngừng Với internet, bức tường ngăn cách giữa các quốc gia, giữa các nền văn hóa, giữa những con người với nhau đã ngày càng giảm đi Ngày nay theo thống kê có khoảng 2,4 tỷ người đang sử dụng internet và các ứng dụng trên internet là vô cùng phong phú Tuy nhiên khi internet làm giảm đi ranh giới giữa các công ty, tổ chức, giữa các cá nhân với nhau, thì nguy cơ mất an toàn, khả năng bị xâm phạm các thông tin cá nhân, các tài nguyên thông tin,… cũng tăng lên

Vậy làm sao để các tổ chức, các cá nhân đang sử dụng mạng cục bộ khi tham gia internet vừa có thể bảo vệ an toàn được các dữ liệu quan trọng, vừa đảm bảo được tính sẵn sàng cao của dữ liệu mỗi khi cần đến, đồng thời vẫn đảm bảo khả năng truy xuất thuận tiện, nhanh chóng Vấn đề này đã trở nên hết sức quan trọng trong thời buổi bùng nổ công nghệ thông tin hiện nay.Với những lý do trên,

em chọn đề tài “Nghiên cứu và triển khai VPN trên thiết bị Cisco” là đề tài

VPN là công nghệ được sử dụng phổ biến hiện nay nhằm cung cấp kết nối

an toàn và hiệu quả để truy cập tài nguyên nội bộ công ty từ bên ngoài thông qua mạng Internet Mặc dù sử dụng hạ tầng mạng chia sẻ nhưng chúng ta vẫn bảo đảm được tính riêng tư của dữ liệu giống như đang truyền trên một hệ thống mạng riêng

Tp.Hồ Chí Minh, 10, tháng 05, năm 2013

Em xin chân thành cảm ơn thầy Nguyễn Hữu Chân Thành cùng các thầy cô trong bộ môn Truyền Thông và mạng máy tính đã tận tình hướng dẫn, giúp đỡ em trong thời gian thực tập và hoàn thành bài báo cáo

Xin trân trọng cảm ơn!

 Tuần 3, 4, 5, 6, 7, 8 (18/03/2013 - 20/04/2013): Cùng các anh trong phòng

kỹ thuật đi sửa chữa hệ thống, bảo trì máy tính, giao hàng cho khách hàng công ty

 Tuần 9 (22/04/2013 - 27/04/2013): Tổng hợp tài liệu, hoàn thành báo cáo thực tập tốt nghiệp

Nhận xét và đánh giá của Ban lãnh đạo công ty:

Xác nhận của Công ty

Nhận xét và đánh giá của giảng viên hướng dẫn:

Giảng viên hướng dẫn

MỤC LỤC

Chương 1: TỔNG QUAN VỀ VPN 3

1.1 Định nghĩa về VPN 3

1.2 Lợi ích của VPN 5

1.3 Các thành phần cần thiết để tạo nên kết nối VPN 5

1.4 Các thành phần tạo nên hệ thống VPN của Cisco 6

1.5 Thiết lập một kết nối VPN 6

1.6 Các công nghệ VPN 7

1.6.1 Site - to - site VPN 7

1.6.1.1 Layer 2 VPN 8

1.6.1.2 Layer 3 VPN 8

1.6.1.3 GRE 9

1.6.1.4 MPLS VPN 9

1.6.2 Remote Access VPN 10

1.6.2.1 L2TP 11

1.6.2.2 IPSec 11

Chương 2: TÌM HIỂU VỀ IPSEC 13

2.1 IPSec Transport mode 13

2.2 IPSec Tunnel mode 15

2.3 Tổng quan về ESP và AH 16

2.3.1 ESP 16

2.3.1.1 ESP mode 16

2.3.1.2 ESP Packet Field 17

2.3.1.3 Quá trình hoạt động và mã hoá của ESP 18

2.3.2 AH (Authentication Header) 21

2.3.2.1 AH mode 21

2.3.2.2 AH xác thực và đảm bảo tính toàn vẹn dữ liệu 22

2.3.2.3 AH Header 23

2.3.2.4 Hoạt động của giao thức AH 24

2.3.2.5 AH version 3 25

2.3.2.6 AH Summary 26

2.4 IKE (Internet Key Exchange) 28

2.4.1 IKE Phase 29

2.4.1.1 IKE Phase I 29

2.4.1.2 IKE Phase II 30

2.4.1.3 IKE mode 31

Chương 3: TỔNG QUAN HỆ ĐIỀU HÀNH CISCO IOS 35

3.1 Kiến trúc hệ thống 35

3.2 Cisco IOS CLI 37

Chương 4: CẤU HÌNH VPN TRÊN THIẾT BỊ CISCO 40

4.1 Mô hình 40

4.2 Cấu hình 41

4.3 Kết quả 43

Tài liệu tham khảo 50

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 1

Chương 1: TỔNG QUAN VỀ VPN

Trong thời buổi công nghệ hiện nay, mạng internet đã phát triển mạnh mẽ

về hệ tầng mạng cũng như các công nghệ đáp ứng cho nhu cầu sử dụng internet của người dùng Người dùng có thể kết nối, chia sẻ tài nguyên, dữ liệu,… một cách nhanh chóng và chính xác, để làm được điều này chúng ta phải sử dụng 1 thiết bị gọi là router để kết nối các hệ thống mạng LAN, WAN với nhau Các máy tính kết nối với internet thông qua nhà cung cấp dịch vụ (Internet Service Provider – ISP) cần có một giao thức chung là TCP/IP Tuy nhiên internet có phạm vi toàn cầu không một tổ chức nào có thể quản lý nên rất khó khăn trong việc bảo mật an toàn dữ liệu và quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng thỏa mãn các nhu cầu trên mà vẫn sử dụng các hạ tầng của mạng internet có sẵn,

đó chính là mô hình mạng riêng ảo – Virtual Private Network (VPN).Với mô hình này, người dụng không cần phải đầu tư nhiều về hệ thống nhưng độ bảo mât, tin cậy vẫn đảm bảo và đồng thời quản lý được hệ thống mạng riêng này Nó đảm bảo được sự an toàn dữ liệu giữa các đại lý, người cung cấp, các công ty với nhau trong môi trường internet rộng lớn và đầy nguy cơ tấn công mạng

1.1 Định nghĩa về VPN

VPN được hiểu như là sự mở rộng của 1 mạng riêng thông qua 1 mạng chung Về căn bản, mỗi VPN sẽ kết nối với cùng các VPN khác hay các người dùng từ xa thông qua internet Thay cho 1 kết nối thực như leased – line, VPN sử dụng các kết nối ảo được thiết lập giữa các mạng riêng của các công ty tới các site hay nhân viên làm việc từ xa thông qua internet

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 2

VNP cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật (Tunnel) giữa nơi nhận và nơi gửi Để có thể tạo ra một Tunnel đó, dữ liệu phải được mã hóa, chỉ còn để lại phần header (là phần thông tin cung cấp địa chỉ đường đi) để nó đi đến đúng đích thông qua mạng công cộng một cách nhanh chóng Do đó nếu các gói tin (packet) bị hacker bắt được trên đường truyền công cộng cũng không thể đọc được vì đã bị mã hóa nội dung Liên kết với

dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel)

Hình 1.1 Mô hình kết nối VPN

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 3

1.2 Lợi ích của VPN

VPN cung cấp nhiều đặc tính lợi ích hơn so với mạng truyền thống và những mạng leased – line Một số lợi ích như là:

 Chi phí thấp hơn các mạng riêng khác: VPN có thể giảm chi phí từ 20-40%

so với những mạng thuộc mạng leased – line và giảm chi phí truy cập từ xa

từ 60-80%

 Tính linh hoạt cho khả năng sử dụng hệ thống mạng có sẵn

 Sử dụng những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng một giao thức Internet backbone tích hợp với kết nối hướng những giao thức như Frame Relay và ATM

 Tăng tính bảo mật: Các dữ liệu quan trọng được mã hóa và phân quyền sử dụng cho từng người dùng (user) khác nhau

 Hỗ trợ các giao thức mạng thông dụng hiện nay như TCP/IP

 Bảo mật địa chỉ IP: Bời vì thông tin gửi đi trên VPN đã được mã hóa các địa chỉ bên trong mạng riêng (private) và chỉ sử dụng các địa chỉ bên ngoài

(puplic) internet

1.3 Các thành phần cần thiết để tạo kết nối VPN

 User Authentication: cung cấp cơ chế chứng thực người dùng Chỉ cho phép user hợp lệ kết nối và truy cập vào hệ thống VPN

 Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tới tài nguyên mạng nội bộ

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 4

 Data Encryption: cung cấp giải pháp mã hóa dữ liệu trong quá trính truyền nhằm bảo đảm tính bảo mật và toàn vẹn dữ liệu

 Key Management: Cung cấp các giải pháp quản lý mã khóa dùng cho quá trình mã hóa và giải mã dữ liệu trong quá trình truyền và nhận

1.4 Các thành phần tạo nên hệ thống VNP của Cisco

 Cisco VPN Router: sử dụng phần mềm Cisco IOS, IPSec hỗ trợ cho việc bảo mật trong VPN Có hiệu quả cao trong các mạng WAN hỗn hợp

 Cisco Secure PIX Firewall: đưa ra các sự lựa chọn khác của cổng kết nối VPN khi bảo mật nhóm riêng tư trong hệ thống VPN

 Cisco VPN Concentrator series: Đưa ra các chức năng trong việc điều khiển truy cập từ xa và tương thích với dạng site – to – site VPN

 Cisco Secure VPN Client: VPN Client cho phép bảo mật truy cập từ xa tới router Cisco và Pix Firewall và nó chạy trên hệ điều hành Windown

 Cisco Secure Instrusion Detection System và Cisco Secure Scaner: thường dùng để giám sát và kiểm tra các vấn đề bảo mật trong VPN

 Cisco Secure Policy Manager and Cisco Works 2000: Cung cấp việc quản

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 5

 Máy chủ cung cấp dịch vụVPN chứng thực cho kết nối và cấp phép cho kết nối vào hệ thống VPN

 Bắt đầu trao đổi dữ liệu giữa VPN client và mạng nội

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 6

ty, doanh nghiệp Các kết nối này có thể thực hiện ở lớp 2 (Layer 2) hoặc lớp 3 (Layer 3) trong mô hình 7 lớp OSI và công nghệ VPN có thế được phân thành Layer 2VPN và Layer 3 VPN Việc thiết lập kết nối site - to - site trên Layer 2 hoặc Layer 3 là như nhau

1.6.1.1 Layer 2 VPN

Layer 2 VPN hoạt động ở lớp 2 của mô hình 7 lớp OSI, đó là những kết nối point - to - point và thiết lập kết nối giữa các trụ sở trên một mạch ảo (Virtual Curcuit) Một mạch ảo là một kết nối end - to - end hợp lý giữa hai thiết bị đầu cuối trong một mạng và có thể mở rộng nhiều yếu tố, nhiều phân đoạn vật lý của một mạng Các mạch ảo được cấu hình end - to - end và được gọi là một mạch ảo thường trực (PVC) ATM và Frame Relay là hai trong số các công nghệ phổ biến nhất ở Layer 2 VPN Hai công nghệ này có thể cung cấp kết nối site - to - site cho một công ty bằng cách cấu hình mạch ảo vĩnh viễn trên một mạng back - point được chia sẻ

Một trong những ưu điểm của Layer 2 VPN là sự độc lập lưu lượng có thể thực hiện trên nó ATM và Frame Relay dùng kết nối giữa các trụ sở có thể mạng theo nhiều công nghệ của Layer 3 như IP, IPX, Apple Talk Mặt khác ATM và Frame Relay cũng cung cấp chất lượng dịch vụ (QoS), một điều rất quan trọng trong các hệ thống mạng yêu cầu độ trễ như voice, video

1.6.1.2 Layer 3 VPN

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 7

Một kết nối giữa các site có thể thực hiện trên lớp 3 (Network Layer) trên

mô hình 7 lớp OSI Ví dụ phổ biến của Layer 3 VPN như GRE (Generic Routing Encapsulation), MPLS (Multiprotocol Label Switchin) và IPSec VPN Layer 3 VPN có thể là một kết nối point - to - point để kết nối 2 site như GRE hoặc IPSec VPN hoặc thiết lập một kết nối any - to - any bằng cách dùng MPLS, một công nghệ mà các nhà cung cấp dịch vu đang đầu tư rất lớn

1.6.1.4 MPLS VPN

MPLS là chuyển mạch nhãn đa giao thức được phát triển tiên phong bởi Cisco Một nguyên tắc phổ biến trong các công nghệ VPN là đóng gói dữ liệu với một header, MPLS VPN sử dụng các nhãn để đóng gói dữ liệu, sau đó tạo thành kết nối VPN giữa các site

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 8

Một trong những lợi thế của MPLS VPN so với các công nghệ khác là nó cung cấp sự linh hoạt để cấu hình tùy ý cấu trúc liên kết giữa các trụ sở VPN dựa trên hạ tầng mạng có sẵn

Hình 1.3 Mô hình MPLS VPN

1.6.2 Remote Access VPN

Như đã phân loại ở trên, VPN gồm site - to - site VPN và Remote Access VPN Trong đó, site - to - site VPN là các kết nối tĩnh, các site đều biết thông tin cấu hình của nhau nên không đáp ứng được nhu cầu với các user di chuyển nhiều

Ví dụ như các nhân viên làm việc từ xa (telecommuters) có thể truy cập vào dữ

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 9

liệu của các chi nhánh xa, từ đó giúp cho công việc đạt hiệu suất cao hơn Hai trong số các phương thức truy cập từ xa để VPN vào mạng nội bộ phổ biến là Layer 2 Tunneling Protocol (L2TP) và IPSec VPN

1.6.2.1 L2TP

Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sửdụng Layer 2 Forwarding (L2F) nhưlà giao thức chuẩn đểtạo kết nối VPN L2TP ra đời sau với những tính năng được tích hợp từL2F L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP) Microsoft hỗtrợ chuẩn PPTP

và L2TP trong các phiên bản WindowNT và 2000 L2TP được sử dụng đểtạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số (Virtual Private Dail-up Network) L2TP cho phép người dùng có thể kết nối thông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN như là sự mở rộng của mạng nội bộ công ty L2TP không cung cấp mã hóa

1.6.2.2 IPSec

Một trong những sự quan tâm hàng đầu trong mạng VPN chính là sự an toàn dữ liệu khi truyền thông mạng Internet Có nghĩa là làm thế nào để chống

việc nghe trộm hay ăn cắp thông tin trong mạng VPN?

Mã hóa dữ liệu là một trong những cách để bảo vệ trước sự tấn công trên

Mã hóa dữ liệu có thể thực hiện bằng cách dùng các thiết bị mã hóa - giải mã ở mỗi site IPSec là một bộ các giao thức được phát triển dưới sự bảo trợ của IETF (Internet Engineering Task Force) để cung cấp các dịch vụ an toàn trên nền tảng

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 10

mạng chuyển mạch gói IP Internet là mạng chuyển mạch gói phổ biến toàn cầu nên IPSec VPN được triển khai thông qua mạng Internet Chính vì thế có thê tiết kiệm một chi phí đáng kể cho một công ty so với 1 đường truyền Leased Line

IPSec cung cấp tính toàn vẹn (Intergery), tính xác thực (Authentication), kiểm soát truy cập (Access Control) và tính bảo mật (Configurity) Với IPSec, thông tin trao đổi giữa các chi nhánh từ xa có thể được mã hóa hoặc xác minh, tránh được tình trạng mất mát dữ liệu khi truyền trong mạng Internet

IPSec là sự lựa chọn cho việc bảo mật trên VPN IPSec là một khung bao gồm bảo mật dữ liệu (data confidentiality), tính toàn vẹn của dữ liệu (integrity) và việc chứng thực dữ liệu (Authentication) IPSec cung cấp dịch vụbảo mật sử dụng KDE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục bộ(group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sửdụng trong IPSec

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 11

Hình 1.4 Mô hình dùng IPSec

Chương 2: TÌM HIỂU VỀ IPSEC

Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security Nó

có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140, .) được phát triển bởi Internet Engineering Task Force (IETF) Mục đích chính của việc phát triển IPSec

là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI

Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa vào các giao thức IP

Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3 (đó là lý do tại sao IPSec được phát triển giao thức ở tầng 3 thay vì tầng 2) IPSec VPN dùng các dịch vụ được

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 12

định nghĩa trong IPSec để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng

Encapsulating Security Payload (ESP) và Authentication Header (AH) là hai giao thức được sử dụng để cung cấp tính toàn vẹn cho các gói tin IP Nhưng trước hết ta phải tìm hiểu về hai cơ chế hoạt động trong IPSec gồm có IPSec Transport Mode và IPSec Tunnel Mode và các dịch vụ của nó

2.1 IPSec Transport Mode

Transport mode bảo vệ giao thức tầng trên và các ứng dụng Trong Transport mode , một IPSec Header (có thể là ESP hay AH) được chèn giữa phần

IP Header và phần header của tầng trên

Hình 2.1 Mô hình Transport mode packet

Như mô hình trên, AH hoặc ESP sẽ được đặt sau IP header nguyên thủy Vì vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn Transport mode có thể được dùng khi cả hai host hỗtrợ IPSec Chế độ

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 13

transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi gói tin và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói

Khó khăn lớn nhất trong việc triển khai Transport mode trong thực tế là sự phức tạp trong việc quản lý bảo mật các gói tin IP, vì trường IP Header trong Transport mode không được mã hoá cộng với sự phức tạp trong việc định tuyến giữ các site Do sự phức tạp trong việc triển khai trong thực tế, nên người ta sẽ sử dụng một VPN gateway để bảo vệ dữ liệu từ tất cả các site đến một site ngang hàng

2.2 IPSec Tunnel Mode

IPSec VPN sử dụng Transport mode và cơ chế đóng gói GRE là những cách sử dụng phổ biến tại các site trong một mạng site - to - site VPN Nhưng vì một lý do nào đó một site lại không hỗ trợ GRE nhưng lại đòi hỏi thiết lập IPSec VPN với các site khác Trong trường hợp này IPSec Tunnel mode sẽ giúp giải quyết vấn đề này một cách nhanh chóng

Trong IPSec Tunnel mode, gói tin IP sẽ được đóng gói thêm một IP Header mới và các IPSec Header (ESP hoặc AH) sẽ được chèn giữa IP Header cũ và mới Bởi vì được đóng gói với một IP Header mới nên IPSec Tunnel mode sẽ dùng để tăng cường tính bảo mật trong việc truyền tải dữ liệu giữa các site thông qua hạ tầng mạng công cộng

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 14

Các giao thức bảo mật trong IPSec gồm hai giao thức chính là ESP và AH ESP sử dụng IP Protocol number 50 và AH sử dụng IP Protocol number 51

IPSec hoạt động ở hai mode chính đã nói ở trên là Transport mode và Tunnel mode Khi hoạt động ở Transport mode thì IP Header vẫn được giữ nguyên và lúc này giao thức ESP sẽ được chèn vào giữa tải (Payload) và IP Header của gói tin Còn ở Tunnel mode thì sau khi đóng gói dữ liệu thì giao thức ESP sẽ mã hoá payload và sẽ chèn một IP Header mới vào gói tin trước khi forward đi

2.3 Tổng quan về ESP và AH

2.3.1 ESP

Giao thức này đảm nhận công việc mã hoá, xác thực và đảm bảo tính toàn vẹn dữ liệu Sau khi đóng gói bằng giao thức ESP, mọi thông tin dùng mã hoá và giải mã gói tin sẽ nằm trong ESP Header Các thuật toán mã hoá dùng trong giao thức này như là DES, 3DES, AES, MD5, SHA, Nhưng sự mã hoá của ESP có thể bị vô hiệu hoá thông qua thuật toán mã hoá Null ESP Algorithm Do đó ESP

có thể cung cấp chỉ mã hoá dữ liệu hoặc chỉ đảm bảo tính toàn vẹn dữ liệu hoặc

mã hoá và đảm bảo tính toàn vẹn dữ liệu

2.3.1.1 ESP Mode

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 15

ESP hoạt động được ở hai mode: Transport mode và Tunnel mode

 Transport mode: ESP sử dụng IP header gốc của gói tin ESP chỉ có thể mã hoá hoặc đảm bảo tính toàn vẹn dữ liệu ESP trong Transport mode không tương thích với NAT

 Tunnel mode: ESP tạo ra một IP header mới cho mỗi gói tin và IP header mới đó liệt kê các đầu cuối của ESP Tunnel nguồn và đích của gói tin ESP Tunnel mode được sử dụng phổ biến hơn Transport mode vì tốc độ truyền nhanh hơn

2.3.1.2 ESP Packet Fields

ESP thêm một header và trailer vào xung quanh nội dung của mỗi gói tin ESP Header được cấu thành bởi hai trường là: SPI và Sequence Number

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 16

Hình 2.2 ESP Packet Field

 SPI (32 bit): mỗi đầu cuối của mỗi kết nối IPSec được tuỳ chọn giá trị SPI Phía nhận sử dụng giá trị SPI với địa chỉ đích và giao thức IPSec sẽ xác định chính sách SA (Security Associate) duy nhất áp dụng cho gói tin

 Sequence Number: Thường được dùng cung cấp dịch vụ anti - replay Khi SPI được thiết lập, chỉ số này là 0 Trước khi mỗi gói tin được gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header Để chắc chắn rằng không

có gói tin nào được công nhận thì chỉ số này không được phép ghi lên bằng

0

 Phần kế tiếp là Payload, được tạo bởi payload data đã được mã hoá và Initialization Vector (IV) không được mã hoá Giá trị của IV trong suốt quá trình mã hoá là khác nhau trong mỗi gói tin

 Phần tiếp theo của gói tin là ESP Trailer, gồm 2 trường nhỏ là:

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 17

i Padding (0 - 255 bytes): được thêm vào cho đủ kích thước của mỗi gói tin

ii Padlength: Chiều dài của padding

 Next Header: Trong Tunnel mode, payload là gói tin IP, giá trị Next Header được cài đặt là 4 Trong Transport mode, payload luôn là giao thức lớp 4 Nếu giao thức lớp 4 là TCP thì giá trị Next Header là 6, là UDP thì giá trị Next Header là 17 Mỗi ESP Trailer luôn chứa một giá trị Next Header

 Authentication data: trường này chứa giá trị Intergrity Check Value (ICV) cho gói tin ESP, ICV được tính lên toàn bộ gói tin ESP, công nhận cho trường dữ liệu xác thực của nó

2.3.1.3 Quá trình hoạt động và mã hoá của ESP

Hình 2.3 Hoạt động của ESP

ESP sử dụng mật mã đối xứng để cung cấp sự mật mã hoá dữ liệu cho gói tin IPSec Cả hai bên đầu cuối đều phải dùng chung một key giống nhau mới mã hoá và giải mã chính xác gói tin Khi một đầu cuối mã hoá thì nó sẽ chia gói tin thành các block nhỏ và sau đó thực hiện mã hoá nhiều lần, sử dụng các block dữ

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 18

liệu và key Khi một đầu cuối nhận được dữ liệu mã hoá, nó dùng key giống như lúc mã hoá của nguồn và thực hiện quá trình ngược với lúc mã hoá để giải mã dữ liệu chính xác

Gói tin ESP có chứa 5 đoạn: Ethernet Header, IP Header, ESP Header,Encrypted Data và Authentication Dữ liệu được mã hoá không thể xác định dù gói tin truyền trong Transport mode hay Tunnel mode Tuy vậy, vì IP Header không được mã hoá nên trường giao thức IP trong header vẫn phát hiện được giao thức dùng cho payload

Hình 2.4 ESP Packet Capture

Hình dưới cho thấy, các trường ESP Header từ 4 gói tin đầu trong ESP session giữa host A và B Mỗi host dùng một giá trị SPI khác nhau, và giá trị Sequence Number là 1 và tăng dần lên cho các gói tin sau

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 19

Hình 2.5 ESP Header Fields từ ESP Packets

 ESP Version 3

 Một phiên bản mới cho ESP là phiên bản 3, một phiên bản vừa được bổ sung, dựa trên chuẩn phác thảo Tìm ra được chức năng chính để cho thấy

sự khác biệt giữa version 2 và 3, có những điểm như sau:

 Chuẩn ESP version 2 chỉ là hỗ trợ cho mã hoá chứ không có tính năng bảo

vệ toàn vẹn dữ liệu Do đó, chuẩn ESP version 3 được đưa ra nhằm hỗ trợ cho sự lựa chọn này

 ESP version 3 có thể dùng chuỗi số dài hơn, giống với AH version 3

 ESP version 3 hỗ trợ trong việc sử dụng kết hợp các thuật toán, từ đó việc

mã hoá và bảo vệ tính toàn vẹn dữ liệu sẽ nhanh và an toàn hơn

Tóm lại:

Trong Transport mode, ESP cung cấp sự mã hoá và đảm bảo an toàn cho payload của gói tin IP ESP trong Transport mode không tương thích với NAT

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 20

Trong Tunnel mode, ESP cung cấp sự mã hoá, toàn vẹn dữ liệu và xác thực ESP tương thích với NAT ESP trong Tunnel mode được sử dụng phổ biến hơn vì

nó mã hoá IP Header gốc, từ đó có thể giấu đi địa chỉ IP nguồn, IP đích thật của gói tin và nó cũng có thể thêm bytes đệm vào để đủ gói tin

2.3.2 AH

Là một trong những giao thức cung cấp tính năng đảm bảo tính toàn vẹn cho gói tin và xác thực dữ liệu AH không mã hoá bất kì thành phần nào của gói tin Trong phiên bản đầu của IPSec, giao thức ESP không cung cấp xác thực dữ liệu, vì thế người ta cần kết hợp hai giao thức này để cung cấp một sự an toàn và toàn vẹn cho dữ liệu

2.3.2.1 AH Mode

AH mode có hai mode là: Transport mode và Tunnel mode

 Transport mode: AH không tạo IP Header mới

 Tunnel mode: AH tạo một IP Header mới cho mỗi gói tin

Trong cấu trúc IPSec sử dụng gateway, địa chỉ thật của IP Header phải thay đổi thành địa chỉ IP của gateway Vì trong Transport mode chỉ sử dụng IP Header gốc nên chính vì thế Transport mode thường dùng trong cấu trúc host - to - host

AH cung cấp tính toàn vẹn dữ liệu cho toàn bộ gói tin dù bất kì là Transport mode hay Tunnel mode

SVTH: Ngô Hoàng Tuấn - GVHD: Nguyễn Hữu Chân Thành Page 21

Hình 2.6 AH Mode

2.3.2.2 AH xác thực và đảm bảo tính toàn vẹn dữ liệu

Hình 2.7 Quá trình xác thực AH

 Bước 1: AH sẽ đem gói dữ liệu và key bí mật thông qua các thuật toán cho

ra 1 chuỗi số và chuỗi số này sẽ gán vào AH Header

 Bước 2: AH Header này sẽ chèn vào giữa Payload và IP Header và chuyển

về đích thông qua Router A