Tiểu luận ứng dụng truyền thông và an toàn thông tin TRIỂN KHAI IPSEC & VPN

Giao thức trong IPSecEncapsulating Security Payload - ESP Authentication Header - AH Internet Key Exchange - IKE - Giúp cho các thiết bị tham gia VPN trao đổi với nhau về thông tin an ni

TRIỂN KHAI IPSEC & VPN

Nhóm 8

NGUYỄN MINH THẮNG 08520368

NGUYỄN HỒNG NGUYÊN KHOA 08520176

HOÀNG TRỌNG QUỐC BẢO 08520026

DƯƠNG TRUNG VIỆT ANH 08520013

IPSec?

IPSec

Giao thức trong IPSec

Encapsulating Security Payload - ESP Authentication Header - AH

Internet Key Exchange - IKE

- Giúp cho các thiết bị tham gia VPN trao đổi với nhau về thông tin an ninh mã hóa

- Thỏa thuận các chính sách an ninh giữa các thiết bị tham gia VPN

- IKE dùng thuật toán mã hóa bất đối xứng để bảo vệ việc trao đổi key giữa các thiết bị tham gia VPN

Transport Mode

- Khi vào Transport mode gói tin vẫn giữ nguyên IP Header.

- Ưu điểm: chỉ thêm vào IP Header một số ít byte

- Nhược điểm: các thiết bị có thấy địa chỉ nguồn và đích của gói tin

Tunnel Mode

- Gói IP ban đầu (bao gồm cả IP header) được xác thực hoặc mã hóa Sau đó, gói IP đã mã hóa được đóng gói với một IP header mới

Địa chỉ IP mới được sử dụng cho định tuyến gói IP truyền qua Internet.

- Các thiết bị trung gian trong mạng sẽ chỉ có thể nhìn thấy được các địa chỉ hai điểm cuối của đường hầm

Ví dụ Tunnel mode

- Router A xử lý các gói từ host A, gửi chúng vào đường ngầm

- Router B xử lý các gói nhận được trong đường ngầm, đưa về dạng ban đầu và chuyển hóa chúng tới host B

- Như vậy, các trạm cuối không cần thay đổi nhưng vẫn có được tính an toàn dữ liệu của IPSec Ngoài ra, nếu sử dụng kiểu Tunnel, các thiết bị trung gian trong mạng sẽ chỉ có thể nhìn thấy được các địa chỉ hai điểm cuối của đường hầm (ở đây là các router A và B).

Authentication Header - AH

Chức năng

•Xác thực nguồn gốc dữ liệu (data origin

authentication)

•Kiểm tra tính toàn vẹn dữ liệu (data integrity)

•Dịch vụ chống phát lại (anti-replay service)

Authentication Header – AH (tt) Cấu trúc gói tin AH

Quá trình xử lý AH

Vị trí của AH trong Transport Mode và Tunnel Mode

Tunnel ModeTransport Mode

Encapsulating Security Payload - ESP

Cấu trúc gói tin ESP

Quá trình xử lý ESP

ESP trong Tunnel Mode và Transport Mode

Tunnel ModeTransport Mode

Security Association - SA

Chính sách bảo mật giữa hai hoặc nhiều bên (các thiết bị, phần mềm…) được trao đổi với nhau thông qua IKE, bao gồm việc thỏa thuận các khóa, giải thuật mã hóa…sẽ được sử dụng.

Giao thức trao đổi khóa IKE

- Main mode: xác nhận và bảo vệ tính đồng nhất của

các bên có liên quan trong quá trình giao dịch

- Gồm 6 thông điệp

•2 thông điệp đầu: Thỏa thuận chính

sách bảo mật

•2 thông điệp tiếp theo: phục vụ thay đổi

các khóa Diffie-Hellman và nonces

•2 thông điệp cuối: xác nhận các bên

giao dịch

Các chế độ trong IKE

Các chế độ trong IKE (tt)

Quick mode: Thỏa thuận SA cho dịch vụ IPSec

Các chế độ trong IKE (tt)

- New group mode: thỏa thuận một private group,

tạo điều kiện trao đổi khóa Diffie Hellman

Các giai đoạn hoạt động của IKE

VPN Click to edit Master text stylesSecond level

VPN là sự mở rộng của mạng Intranet qua mạng công cộng nhưng vẫn đảm bảo sự bảo mật và hiệu quả kết nối giữa 2 điểm đầu cuối

Mô hình

Các đặc tính của VPN

1 Tính xác thực

2 Tính toàn vẹn

3 Tính bảo mật

Ưu điểm của VPN

1 Giảm chi phí thiết lập

2 Giảm được chi phí thuê nhân viên và quản trị

3 Nâng cao khả năng kết nối

4 Bảo mật

5 Sử dụng hiệu quả băng thông

6 Nâng cao khả năng mở rộng

Nhược điểm: phụ thuộc nhiều vào chất lượng mạng Internet

Phân loại VPN

1 Mạng VPN truy nhập từ xa (Remote Access VPN)

2 Mạng VPN cục bộ (Intranet VPN)

3 Mạng VPN mở rộng (Extranet VPN)

Mạng VPN truy nhập từ xa (Remote Access VPN)

- Cung cấp khả năng truy cập từ xa cho nhân viên, đối tác nhưng vẫn đảm bảo chính sách mạng của công ty

- Kết nối sử dụng Dial-up, DSL…

- Phần mềm kết nối

Mạng VPN cục bộ (Intranet VPN)

Liên kết trụ sở chính với các văn phòng chi nhánh ở nhiều nơi trên một cơ sở hạ tầng chung

Mạng VPN mở rộng (Extranet VPN)

- VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những đối tượng kinh doanh khác như là các đối tác, khách hàng, và các nhà cung cấp

Kỹ thuật đường hầm (tunneling) trong VPN

Giao thức

truyền tải

Carrier Protocol

Protocol

• Các giao thức như IPSec, L2TP, L2F, PTPP…bao quanh gói dữ liệu gốc

Giao thức gói

tinPassenger Protocol

• Giao thức của

dữ liệu gốc được truyền đi

• IP, IPX…

Kỹ thuật đường hầm trong VPN yêu cầu 3 giao thức khác nhau

Các giao thức đường hầm trong VPN

1 Internet Protocol Security (IPSec)

2 Point-to-Point Tunneling Protocol (PPTP)

3 Layer 2 Forwarding Protocol (L2F)

4 Layer2 Tunneling Protocol (L2TP)

5 Secure Socket Layer (SSL)

Point-to-Point Tunneling Protocol (PPTP)

- Được phát triển bởi Microsoft, 3COM và Ascend

Communications Nó được đề xuất để thay thế cho

IPSec PPTP hoạt động ở layer 2 (Data Link) trong mô hình OSI và thường được sử dụng trong truyền thông tin hệ điều hành Windows.

Layer 2 Tunneling Protocol (L2TP)

Được phát triển bởi hệ thống Cisco nhằm thay thế IPSec

Thường được sử dụng để mã hóa các khung Point-to-Point

Protocol (PPP) để gửi trên các mạng X.25, FR, và ATM.

Quản lý truy cập

•Quản lý các kết nối của người dùng

•Phân quyền và tài nguyên

•Quản lý truy cập dựa trên mã xác nhận người dùng

Mã hóa dữ liệu

Mã hóa đối xứng: DES, 3-DES

Mã hóa bất đối xứng: Diffie-Hellman, RSA

Chống lại việc

• Xem dữ liệu trái phép

• Thay đổi dữ liệu

• Dữ liệu giả

• Ngắt dịch vụ mạng

Thành phần của PKI

•Khách hàng PKI

•Người cấp giấy chứng nhận (CA)

•Người cấp giấy đăng ký (RA)

•Các giấy chứng nhận số

•Hệ thống phân phối các giấy chứng nhận (CDS)

Q & A

1 Tóm tắt IPSec, VPN?

• IPSec – Bảo mật IP: giao thức ở tầng mạng, cung cấp

các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển truy cập Mục đích chính của việc phát triển IPSec

là cung cấp một cơ cấu bảo mật ở tầng 3.

• VPN – Mạng riêng ảo: là sự mở rộng của mạng nội bộ

qua mạng Internet mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2 điểm truyền thông cuối.

Q & A

2 Nhược điểm của VPN?

• Chất lượng, khả năng phục vụ phụ thuộc tốc độ

đường truyền Internet

• Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối

“đe dọa” về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS)

• Khả năng các gói dữ liệu bị mất trong khi truyền vẫn còn khá cao

- HẾT – XIN CẢM ƠN!