Các tổ chức, công ty… khi trao đổi dữ liệu giữa các máy tính từ Hội sở chính đến các chi nhánh đều có yêu cầu phải bảo mật dữ liệu của mình không để lọt ra ngoài. Sử dụng đường truyền kết nối trực tiếp (leased line) là một biện pháp hữu hiệu để thực hiện điều đó, tuy nhiên giá thành của biện pháp này quá cao và việc truyền thông lại không được linh hoạt như truyền thông qua Internet. Để giải quyết vấn đề này, hiện nay phương án thương mại được lựa chọn nhiều là tạo một mạng riêng ảo VPN (Virtual Private Network) dựa trên cơ sở của giao thức Internet an toàn. Giao thức TCPIP đóng một vai trò rất quan trọng trong các hệ thống thông tin hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCPIP, TPXSPX, NetBEUI, Apple talk,… Tuy nhiên TCPIP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet. IP Security (IPSec) được thiết kế như phần mở rộng của giao thức TCPIP, được thực hiện thống nhất trong cả hai phiên bản TCPIPv4 và TCPIPv6. Đối với TCPIPv4, việc áp dụng IPSec là một tuỳ chọn cho người dùng có thể hoặc không sử dụng. Tuy nhiên, đối với TCPIPv6, giao thức bảo mật này được triển khai bắt buộc.
Trang 1MỤC LỤC
PHẦN I : GIỚI THIỆU IPSEC 3
I TỔNG QUAN 3
II KHÁI QUÁT CHUNG VỀ IPSEC 3
1 Định nghĩa 3
2 Cơ cấu bảo mật của IPSec 4
3 Các giao thức thường gặp khi làm việc với IPSec 5
PHẦN II : KIẾN TRÚC VÀ HOẠT ĐỘNG IPSEC 7
I CHẾ ĐỘ HOẠT ĐỘNG 7
1 Chế độ vận chuyển (Transport mode) 7
2 Chế độ đường ống (Tunnel mode) 7
II KIẾN TRÚC IPSEC 9
1 Authentication Header (AH) 9
2 Encapsulating Security Payload (ESP) 11
3 Liên kết bảo mật 13
3.1 Tổ hợp an ninh (SA) 13
3.2 Cơ sở dữ liệu chính sách an toàn SPD 14
3.3 Số liệu liên kết an ninh SAD 14
4 Implementations - thực hiện 14
4.1 Giao thức trao đổi chìa khoá Inernet ( IKE ) 14
4.2 Các chế độ và pharse của IKE 16
V ƯU ĐIỂM VÀ NHƯỢC ĐIỂM CỦA IPSEC 17
1 Ưu điểm 17
2 Nhược điểm 17
PHẦN III: ỨNG DỤNG IPSEC XÂY DỰNG MẠNG RIÊNG ẢO (VPN) 19
1 VPN là gì? 19
2 Mô hình VPN 19
3 Phân loại VPN theo ứng dụng 19
4 Ứng dụng VPN LAN to LAN dùng IPSec Tunnel 20
PHẦN IV : KẾT LUẬN 21
Trang 2BẢNG CÁC KÝ TỰ VIẾT TẮT
OSI Open Systems Interconnection Reference ModelVPN Virtual Private Network
UDP User Datagram Protocol
IPSec Internet Protocol Security
IEFT Internet Engineering Task Force
Trang 3PHẦN I : GIỚI THIỆU IPSEC
Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thốngthông tin hiện nay Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức
để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Appletalk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức nàyđược sử dụng làm giao thức nền tảng của mạng Internet
IP Security (IPSec) được thiết kế như phần mở rộng của giao thứcTCP/IP, được thực hiện thống nhất trong cả hai phiên bản TCP/IPv4 vàTCP/IPv6 Đối với TCP/IPv4, việc áp dụng IPSec là một tuỳ chọn cho ngườidùng có thể hoặc không sử dụng Tuy nhiên, đối với TCP/IPv6, giao thức bảomật này được triển khai bắt buộc
II KHÁI QUÁT CHUNG VỀ IPSEC
1 Định nghĩa
IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF (InternetEngineering Task Force – Lực lượng quản lý kỹ thuật) từ năm 1998 nhằmmục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thôngtin truyền đi trên mạng bằng giao thức IP Hay nói cách khác, IPSec là sự tậphợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảotính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng IPSec cungcấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI
Giao thức IPSec được làm việc tại tầng Network Layer – layer 3 của
mô hình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và
Trang 4SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 môhình OSI) Điều này tạo ra tính mềm dẻo cho IPSec, giao thức này có thể hoạtđộng từ tầng 4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này Application Layer
Hình 1: IPSec trong mô hình OSI Hình 2: Cấu trúc IPSec.
2 Cơ cấu bảo mật của IPSec
IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp cácdịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó làmột tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị
IPSec được triển khai sử dụng các giao thức cung cấp mật mã(cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trìnhtruyền, phương thức xác thực và thiết lập các thông số mã hoá
IPSec cung cấp khả năng xác thực (authentication), bí mật, toàn vẹnthông tin, quản lý truy cập, chống tấn công phân tích luồng dữ liệu, nói chung
là có khả năng nhận dạng được mọi gói dữ liệu vào và mã hóa mọi gói dữ liệu
ra của một mạng cục bộ
IPSec là một chuỗi giao thức nhằm bảo vệ các truyền thông qua giaothức Internet (IP) bằng cách xác thực và mã hóa mỗi gói tin IP của từng phiêngiao dịch IPSec cũng bao gồm cả những giao thức nhằm thiết lập sự xác thựclẫn nhau giữa các đối tác khi khởi đầu một phiên và sự thương lượng để thỏathuận các khóa mật mã dùng cho phiên giao dịch đó
IPSec là một sơ đồ bảo vệ an ninh các thiết bị đầu cuối hoạt động ởtầng Internet của chuỗi giao thức Internet Nó có thể sử dụng để bảo vệ
Trang 5luồng dữ liệu giữa hai máy khách (host-to-host) giữa hai mạng network) hoặc giữa một mạng và một máy khách (network-to-host).
(network-to-Một số hệ thống an ninh khác được sử dụng rộng rãi như SSL, TLP,SSH hoạt động ở những tầng trên của mô hình TCP/IP IPSec hoạt động ởphía dưới tầng ứng dụng và là trong suốt (transparent) đối với mọi người sửdụng Vì vậy IPSec bảo vệ cho mọi truyền thông ứng dụng qua một mạng IP:E-mail, trình duyệt web, các file truyền đi và nói chung là mọi truyền thôngđiện tử giữa một máy tính với mọi máy tính khác cũng có cài đặt IPSec Cácứng dụng không cần phải thiết kế đặc biệt để sử dụng được IPSec, trong khimuốn sử dụng TLS/SSL, người ta phải thiết kế thành một ứng dụng riêng đểbảo vệ các giao thức ứng dụng
3 Các giao thức thường gặp khi làm việc với IPSec
Các giao thức thường gặp khi làm việc với IPSec gồm
- IPSec (IP Security Protocol): các giao thức cung cấp traffic security
o Authentication Header (AH)
o Encapsulating Security Payload (ESP)
- Message Encrytion
o Data Encrytion Standard (DES)
o Triple DES (3DES)
- Message Integrity (Hash) Function
o Hash-based Message Authentication Code (HMAC)
o Message Digest 5 (MD5)
o Secure Hash Algorithm-1 (SHA-1)
- Peer Authentication
o Revset, Shamir, and Adelman (RSA) Digital Signatures
o RSA Encrypted Nonces
- Key Management
o Deffie- Hellman (D-H)
o Certificate Authority (CA)
Trang 6- Security Association
o Internet Key Exchange (IKE)
o Internet Security Association and Key Management Protocol
(ISAKMP)
Trang 7PHẦN II : KIẾN TRÚC VÀ HOẠT ĐỘNG IPSEC
I CHẾ ĐỘ HOẠT ĐỘNG
IPSec có thể thực hiện theo chế độ “vận chuyển” từ máy khách đếnmáy khách đồng thời cũng có thể được thực hiện theo kiểu “đường ống” trongmạng máy tính
1 Chế độ vận chuyển (Transport mode)
Trong chế độ vận chuyển, thông thường chỉ có phần đóng gói (tức là dữliệu được truyền đi) của gói tin IP là được mã hóa hay được nhận dạng Tuyếnđường vận chuyển là không thay đổi vì rằng tiêu đề của gói tin IP không hề bịthay đổi mà cũng không bị mã hóa, tuy nhiên, khi sử dụng tiêu đề xác thựcthì địa chỉ IP không thể được phiên dịch vì như vậy sẽ ảnh hưởng đến giá trịbăm Các tầng giao vận và tầng ứng dụng luôn được bảo vệ an toàn bằng hàmbăm, do vậy chúng không thể nào thay đổi được (chẳng hạn bằng cách phiêndịch số hiệu cổng) Chế độ vận chuyển sử dụng cho truyền thông từ máykhách đến máy khách
Một phương tiện đóng gói các thông điệp IPSec dùng trong phần mềmbiến đổi địa chỉ mạng NAT (Network Address Translation) đã được địnhnghĩa bởi các tài liệu RFC, được mô tả trong cơ chế NAT-T
2 Chế độ đường ống (Tunnel mode)
Trong chế độ đường ống, toàn bộ gói tin IP được mã hóa và/hoặcđược nhận dạng Khi đó ta đóng gói nó thành một gói tin IP mới với một tiêu
đề IP mới Chế độ đường ống được dùng để tạo ra một mạng riêng ảo VPN(Virtual Private Network) sử dụng cả trong truyền thông từ mạng máy tínhđến mạng máy tính (nghĩa là giữa các bộ định tuyến để kết nối các miềnthông tin), trong truyền thông máy khách đến mạng máy tính (nghĩa là sựtruy cập của người sử dụng ở xa) cũng như trong truyền thông máy khách đếnmáy khách (nghĩa là hội thoại cá nhân: chat) Chế độ đường ống cũng hỗ trợNAT
Có hai mode khi thực hiện IPSec đó là: Transport mode và tunnel mode
Trang 8Hình 3 :IPSec trong 2 chế độ Tunnel mode và Transport mode.
Hình 4: Cấu trúc gói tin IPSec ở chế độ Transport Mode
Hình 5: Cấu trúc gói tin IPSec ở chế độ Tunnel Mode
Trang 9Hình 6: Hai chế độ transport mode và Tunnel Mode
II KIẾN TRÚC IPSEC
1 Authentication Header (AH)
Một trong những thành phần của chuỗi giao thức IPSec protocol suite làAuthentication Headers AH đảm bảo sự toàn vẹn thông tin liên tục và kiểmtra địa chỉ nguồn của các gói tin IP Ngoài ra nó còn bảo vệ chống kiểu tấncông lặp lại (replay attacks) bằng cách dùng kỹ thuật “cửa sổ trượt” và kỹthuật “dập” tất cả các gói tin cũ
Trong IPv4, AH bảo vệ các gói IP và mọi trường tiêu đề của một bảnthông điệp chỉ trừ các trường thường có sự biến đổi Các trường tiêu đề cóbiến đổi là: DSCP/TOS, ECN, Flags, Fragment Offset, TTL và HeaderChecksum
Trong IPv6, AH tự bảo vệ ngay chính nó, bảo vệ tiêu đề mở rộng cácmục tiêu đến (Destination Options) sau AH, và gói tin IP Nó cũng bảo vệ cảtiêu đề IPv6 cố định và các tiêu đề mở rộng trước AH ngoại trừ các tiêu đề cóthay đổi như DSCP ECN, Flow Label và Hop Limit
AH hoạt động trực tiếp trên đỉnh IP, sử dụng giao thức IP số hiệu 51
Các modes thực hiện
Trang 10Hình 7: Sơ đồ gói AH
Ý nghĩa của từng phần:
Next Header (8 bit): Tiêu đề kế tiếp
Kiểu của tiêu đề kế tiếp, chỉ ra rằng giao thức tầng trên được bảo vệnhư thế nào Giá trị được lấy từ bảng liệt kê số hiệu của các giao thức IP
Payload Len (8 bit)
Độ dài của tiêu đề xác thực (Authentication Header) tính theo đơn vị octet trừ 2 (một giá trị của 0 là 8 octets, 1 là 12 octets, v.v.) Mặc dù kíchthước được đo theo đơn vị 4-octet, độ dài của tiêu đề đó cần phải là một bội
4-số của 8 octets nếu được mang bởi một gói tin IPv6 Điều này không cần thiếtđối với các gói tin IPv4
Reserved (16 bit): Dự trữ
Dự trữ sử dụng sau (mọi số 0 cho đến lúc đó)
Security Parameters Index (32 bit): Chỉ số các tham số an ninh
Một giá trị tùy chọn được sử dụng cùng với địa chỉ nguồn IP đề nhậndạng tổ hợp an ninh (security association) của phía gửi thông điệp
Sequence Number (32 bit): Số hiệu chuỗi
Một dãy đơn điệu tăng ngặt nhằm ngăn ngừa tấn công lặp lại
Integrity Check Value (multiple of 32 bit): Giá trị kiểm tra tính toàn vẹn
Trang 11Một giá trị có độ dài thay đổi, nó chứa các dãy để có thể triển khai ratrong một trường có biên 8-octet đối với IPv6 hoặc trường có biên 4-octet đốivới IPv4.
2 Encapsulating Security Payload (ESP)
ESP (Encapsulating Security Payloads) cung cấp khả năng bảo mật,khả năng xác thực nguồn của dữ liệu, kiểm tra tính toàn vẹn, dịch vụ chốngtấn công lặp lại ESP cũng là một thành phần trong dãy giao thức IPSec.Trong IPSec, ESP tạo ra chức năng xác thực nguồn, toàn vẹn, và bảo vệ bímật riêng tư cho các gói tin ESP cũng hỗ trợ các cấu hình “chỉ mã hóa” hoặc
“chỉ giải mã” nhưng hành động mã hóa mà không có nhận dạng được khuyếncáo là không nên sử dụng vì kém an toàn
Không giống như AH, ESP dùng trong chế độ “vận chuyển” (Transportmode) không cung cấp khả năng bảo vệ toàn vẹn và nhận dạng cho toàn bộgói IP Tuy nhiên trong kiểu “đường ống” (Tunnel mode) khi mà toàn bộ góitin TP gốc được đóng gói lại và gắn một tiêu đề mới thêm vào thì ESP bảo vệcho tất cả gói tin IP bên trong đó (kể cả tiêu đề bên trong) trong khi tiêu đềbên ngoài vẫn không được bảo vệ
ESP hoạt động trên đỉnh của IP, sử dụng số hiệu IP là 50
Hình 8: Sơ đồ gói ESP
Trang 12Hình 9: Sơ đồ gói ESP
Ý nghĩa của các phần:
Security Parameters Index (32 bit): Chỉ số các tham số an ninh
Đây là một giá trị tùy ý chọn được sử dụng (cùng với địa chỉ nguồn IP)
để nhận dạng tổ hợp an ninh của phía gửi tin
Sequence Number (32 bit): Số hiệu chuỗi
Là một dãy số đơn điệu tăng (với mỗi gói tin gửi đi thì tăng thêm 1)nhằm chống kiểu tấn công lặp lại Có một bộ đếm riêng cho mỗi tổ hợp anninh
Payload data (biến thiên): Dữ liệu đóng gói
Nội dung được bảo vệ của gói tin IP gốc, bao gồm cả mọi dữ liệu sửdụng để bảo vệ nội dung của nó (tức là một “Véc-tơ khởi đầu” của thuật toán
mã hóa) Loại của nội dung được bảo vệ được chỉ rõ trong trường tiêu đề kếtiếp
Padding (0-255 octets): Lớp đệm
Lớp đệm dùng cho mã hóa nhằm để mở rộng dữ liệu được đóng gói đạtđến kích thước phù hợp với một khối mã hóa và vừa với kích thước củatrường kế tiếp
Pad Length (8 bit): Độ dài đệm
Trang 13Kích thước của lớp đệm tính theo đơn vị octet.
Next Header (8 bits): Tiêu đề kế tiếp
Kiểu của tiêu đề kế tiếp Giá trị được lấy trong danh sách số hiệu củacác giao thức IP
Value (Bội số của 32 bit): Giá trị
Giá trị kiểm tra độ dài biến thiên Nó có thể có một lớp đệm để chotrường
3 Liên kết bảo mật
3.1 Tổ hợp an ninh (SA)
Tổ hợp an ninh SA (Security associations): Cung cấp một gói thuậttoán và dữ liệu sản sinh ra những tham số cần thiết để kích hoạt các hoạt độngcủa AH và ESP Internet Security Association và Key Management Protocol(ISAKMP) tạo nên một khung cho hoạt động xác thực và trao đổi khóa vớinhững bộ công cụ phổ biến hiện nay Internet Key Exchange (IKE andIKEv2), Kerberized Internet Negotiation of Keys (KINK), hoặc IPSecKEYDNS records
Kiến trúc của IPSec sử dụng quan điểm về một “tổ hợp an ninh” làm cơ
sở cho việc xây dựng các hàm an ninh vào trong IP Một tổ hợp an ninh đơngiản chỉ là một gói gồm các thuật toán và các tham số (như là các khóa) sẽđược dùng để mã hóa và nhận dạng một luồng thông tin cụ thể theo mộthướng Do vậy, trong các lưu thông hai chiều thông thường, các luồng lưuthông được đảm bảo an ninh bằng một cặp tổ hợp an ninh
Các tổ hợp an ninh được thiết lập bằng cách dùng Tổ hợp an ninhInternet và Giao thức quản lý khóa (ISAKMP) ISAKMP được trang bị bằngmột cấu hình thủ công với những bí mật đã trao đổi trước như Trao đổi khóaInternet - Internet Key Exchange (IKE and IKEv2), Thương lượng khóaInternet Kerberos - Kerberized Internet Negotiation of Keys (KINK), và sửdụng IPSecKEY các bản ghi DNS
Để quyết định dạng bảo vệ nào được cung cấp cho một gói tin sẽ gửi đi,IPSec sử dụng chỉ số tham số an ninh SPI (Security Parameter Index), một chỉ
số cho cơ sở dữ liệu của tổ hợp an ninh SADB (Security AssociationDatabase), đồng thời với địa chỉ đích trong tiêu đề của gói tin Một quy trình
Trang 14tương tự cũng được dùng để bảo vệ các gói tin đến, khi đó IPSec sẽ thu thậpcác khóa giải mã và xác thực từ cơ sở dữ liệu của tổ hợp an ninh.
Khi giao dịch với một nhóm nhiều đối tác, một tổ hợp an ninh đượccung cấp cho cả nhóm và được sao gửi đến cho mọi người nhận tin trongnhóm Có thể dùng các SPI để cấp cho các đối tác trong nhóm một số tổ hợp
an ninh nhiều hơn và như vậy sẽ làm tăng mức độ an ninh trong nội bộ nhóm.Thật vậy, khi đó mỗi người gửi tin trong nhóm có thể có nhiều tổ hợp anninh để nhận dạng đối tác trong khi người nhận tin chỉ có thể biết là đã cómột người nào đó biết được khóa và đã gửi tin cho mình
3.2 Cơ sở dữ liệu chính sách an toàn SPD
SPD (Security Policy Data: số liệu chính sách an toàn): chứa chínhsách do người sử dụng định nghĩa: dịch vụ an ninh, mức độ cung cấp chotừng gói Bao gồm một danh sách các quy tắc : <chọn, hành động>:
- Các bộ chọn: các địa chỉ IP, các cổng TCP/UDP …
- Các hành động:
+ Loại bỏ;
+ Bỏ qua IPSec;
- Áp dụng IPSec bằng cách đặc tả:
+ Các dịch vụ IP, giao thức và các giải thuật;
+ Con trỏ đến các mục tương ứng với SA tích cực trong SAD;
+ Chức năng lọc gói (tường lửa);
3.3 Số liệu liên kết an ninh SAD
Số liệu liên kết an ninh SAD (Security Association Data) chứa tất cảtrạng thái các liên kết an ninh (SA) tích cực:
- SA đến: SPI cho từng hướng trong gói
- SA đi: chứa địa chỉ IP, các cổng TCP/UPD, …
- Được cấu trúc nhân công hoặc qua quản lý khóa (IKE)
4 Implementations - thực hiện
4.1 Giao thức trao đổi chìa khoá Inernet ( IKE )