Giao thức Ipsec trong Công Nghệ VPN

Phần II: Giao thức bảo mật Ipsec2.1.1.2: Quá trình xử lý AH Hoạt động của AH được thực hiện qua các bước như sau: • Bước 1: Toàn bộ gói IP bao gồm IP header và tải tin được thực hiện qu

Trang 1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

BÁO CÁO CHUYÊN ĐỀ

Mạng Viễn Thông

CHUYÊN ĐỀ:

Giao thức Ipsec trong Công Nghệ VPN

Trang 2

Lời Mở Đầu

• Như chúng tã đã biết vấn đề bảo mật kết nối trong quá

trình truyền tải giữa các dữ liệu khác nhau là một vấn đề rất quan trọng và nó đặc biệt quan trọng khi các dữ liệu của chúng ta được truyền qua một mạng chia sẻ giống

như mạng internet.

• Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các

dữ liệu trong quá trình truyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền tải các dữ liệu đó?

• Trên cơ sở đó chúng em đã tìm hiểu và hoàn thành bào

báo cáo chuyên đề “Giao thức Ipsec Trong công nghệ

VPN” một công nghệ bảo mật được sử dụng trong mạng riêng ảo

Trang 3

Hình 1.1: Mô hình OSI

Trang 4

Phần I: Giới thiệu

b, Vai trò của Ipsec

+ Cho phép xác thực hai chiều, trước và trong quá

trình truyền tải dữ liệu.

+ Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng.

+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn

công mạng không bảo mật.

+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng

mã hóa và đánh dấu dữ liệu.

+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà IPSec sẽ kiểm tra và cách các lưu

lượng đó sẽ được bảo mật và mã hóa như thế nào.

Trang 5

Phần I: Giới thiệu

c, Những tính năng của Ipsec

- Quản lý khóa (Key management)

- Sự cẩn mật (Confidentiality)

- Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity)

Trang 6

Phần II: Giao thức bảo mật Ipsec

2.1: Khung giao thức IPSec

Hình 2.1: Khung giao thức được sử dụng trong IPSec

Trang 7

Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec Giao thức bảo mật IP (IPSec)

+ AH (Authentication Header)

+ ESP (Encapsulation Security Payload) Mã hoá bản tin

+ DES (Data Encryption Standard)

+ 3 DES (Triple DES) Các chức năng toàn vẹn bản tin

+ HMAC (Hash – ased Message Authentication Code)

+ CA (Certificate Authority)Kết hợp an ninh

+ IKE (Internet Key Exchange)

+ ISAKMP (Internet Security Association and Key Management Protocol)

Trang 8

2.1.1 giao thức AH (Authentication Header)

2.1.1.1: Cấu trúc gói tin AH

Hình 2.2 Cấu trúc tiêu đề AH cho IPSec Datagram

Trang 9

• Authentication Data (dữ liệu nhận thực)

• Payload length (độ dài tải tin):

Trang 10

2.1.1.2: Quá trình xử lý AH

Hoạt động của AH được thực hiện qua các bước như sau:

• Bước 1: Toàn bộ gói IP (bao gồm IP header và tải tin) được thực hiện qua một hàm băm một chiều.

• Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưa header này vào gói dữ liệu ban đầu.

• Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối tác IPSec.

• Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kết quả thu được một mã hash.

• Bước 5: Bên thu tách mã hash trong AH header.

• Bước 6: Bên thu so sánh mã hash mà nó tính được mà mã hash tách ra từ AH

Trang 11

a: vị trí của AH

AH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel.

Hình 2.3: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport

Trang 12

kiểu Transport cho phép bảo vệ các giao thức lớp

trên, cùng với một số trường trong IP header Trong kiểu này, AH được chèn vào sau IP header và trước

một giao thức lớp trên (chẳng hạn như TCP, UDP,

ICMP…) và trước các IPSec header đã được chen vào Đối với IPv4, AH đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây là TCP) Đối với IPv6, AH được xem như phần tải đầu cuối-tới - đầu cuối, nên sẽ xuất hiện sau các phần header mở rộng hop-to-hop, routing

và fragmentation Các lựa chọn đích (dest options

extension headers) có thể trước hoặc sau AH.

Trang 13

Hình 2.4: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport

Trang 14

Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuối cùng, còn outer IP header mang địa chỉ để định tuyến qua Internet Trong kiểu này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IP

header (trong khi AH Transport chỉ bảo vệ một số trường của IP header)

So với outer IP header thì vị trí của AH giống như trong kiểu Trasport

Hình 2.5: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel

Trang 15

Trang 16

2.1.2 Giao thức ESP

A:Cấu trúc gói tin ESP

Hình 2.6: Xử lý đóng gói ESP

Hình 2.7: Khuôn dạng gói ESP

Trang 17

*SPI (chỉ dẫn thông số an ninh):

* Sequence Number (số thứ tự):

* Payload Data (trường dữ liệu tải tin):

* Padding (0 255 bytes)

* Pad length (độ dài trường đệm):

* Next Header (tiêu đề tiếp theo):

* Authentication Data (dữ liệu nhận thực):

Trang 18

B:Quá trình sử lý ESP

a) V ị trí của ESP header

ESP có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel.

Hình 2.8 Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport

Trang 19

Kiểu Transport cho phép bảo vệ các giao thức lớp trên, nhưng không bảo vệ IP header Trong kiểu

này, ESP được chèn vào sau một IP header và trước một giao thức lớp trên (chẳng hạn TCP, UDP hay ICMP…) và trước IPSec header đã được chèn vào Đối với IPv4, ESP header đặt sau IP header và

trước giao thức lớp trên

Trang 20

Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuối cùng, còn outer IP header mạng địa chỉ để định tuyến qua Internet Trong kiểu này, ESP sẽ bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IP header So với outer IP header thì vị trí của ESP giống như kiểu Trasport

Hình 2.9: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Tunnel

Trang 21

b) Các thuật toán

Có các thuật toán sau được sử dụng với ESP:

- DES, 3DES in CBC.

- HMAC with MD5.

- HMAC with SHA-1.

- NULL Authentication algorithm.

- NULL Encryption algorithm

- Các thuật toãn xác thực

- Các thuật toán mật mã

Trang 22

Trang 23

e) Giải mã gói

- Giải mã ESP (bao gồm trường Payload Data,

Padding, Pad Length, Next

- Xử lý phần Padding theo đặc tả của thuật toán Phía thu cần tìm và loại bỏ phần

- Xây dựng lại cấu trúc gói IP ban đầu từ IP header ban đầu

và thông tin giao thức lớp cao trong tải tin của ESP (ở

kiểu Transport), hoặc outer IP header và toàn bộ gói IP ban đầu trong tải tin của ESP (ở kiểu Tunnel).

- SA được lựa chọn không đúng: SA có thể sai do các thông

số SPI, địa chỉ đích, trương Protocol type sai.

- Gói ESP mật mã bị lỗi (có thể được lựa chọn nếu dịch vụ xác thực được lựa chọn cho SA).

Trang 24

2.2 Hoạt động của Ipsec

Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia

thành 5 bước chính như sau:

Hình 2.11: 5 bước hoạt động của IPSec

• A gửi lưu lượng cần bảo vệ tới B

• Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE SA ← IKE Phase → IKE SA

• Router A và B thoả thuận một phiên trao đổi IKE Phase 2

IPSec SA ← IKE Phase → IPSec SA

• Thông tin được truyền dẫn qua đường hầm IPSec

• Kết thúc đường hầm IPSec

Trang 25

Bước 1- Kích hoạt lưu lượng cần bảo vệ.

Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói

dữ liệu Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụng cho luồng lưu lượng.

Trang 26

Bước 2 – IKE Phase 1

- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực

- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí

mật chung

- Trao đổi thứ ba – xác minh nhận dạng của nhau

Trang 27

Bước 3 – IKE Phase 2

• Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec

được sử dụng để bảo mật đường hầm IPSec.

Hình 2.15: Thoả thuận các thông số bảo mật IPSec

IKE Phase 2 thức hiện các chức năng sau:

• Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các

tập chuyển đổi IPSec (IPSec transform sets).

• Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).

• Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.

• Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được

tạo ra, làm tăng tính an toàn của đường hầm)

Trang 28

Bước 4 – Đường hầm mật mã IPSec

Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa Host

A và Host B thông qua một đường hầm an toàn Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA.

Hình 2.18: Đường hầm IPSec được thiết lập

Trang 29

Bước 5 – Kết thúc đường hầm

Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn Một SA hết hạn khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm Khi các SA kết thúc, các khoá cũng bị huỷ Lúc đó các IPSec SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase 1 mới Một hoả thuận thành công sẽ tạo ra cacSA và khoá mới Các SA mới được thiết lập trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.

Hình 2.19: Kết thúc đường hầm

Trang 30

2.2.1 ví dụ về hoạt động của Ipsec

Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví

dụ như trong hình vẽ.

Hình 2.20: Quá trình trao đổi thông tin

Trang 31

2.2.2: Các vấn đề còn tồn đọng trong Ipsec

• IKE vẫn là công nghệ chưa được chứng minh Phương thức

chuyển khoá bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.

• IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.

• Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là

một vấn đề đối với các trạm làm việc và máy PC cũ.

• Việc phân phối các phần cứng và phần mềm mật mã vẫn

còn bị hạn chế đối với chính phủ một số nước.

Trang 32

Bài báo cao tập trung đi sâu trình bày về hai giao thức AH và giao thức ESP, quá trình sử lý và hoạt động của Ipsec trong từng mode

Hiện nay tại Việt Nam đã có nhiều nhà cung cấp dịch vụ đăng

ký triển khai công nghệ VPN Công nghệ này hứa hẹn nhiều tiềm năng phát triển trong tương lai Song vì mỗi nhà cung cấp dịch vụ

có một cấu hình VPN riêng nên bài báo cáo của nhóm không

tránh

Định dạng
Số trang	32
Dung lượng	664 KB