Tổng quan về IPsec

Tổng quan về IPsec

Tổng quát

Giao thức IPsec hoạt động ở tầng 3 trong mô hình OSI , mục đích của IPsec là để cung cấp 1 phương thức bảo mật ở tầng 3 (Network Layer)

Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên giao thức IP Do đó khi một cơ chế bảo mật cao đc tích hợp với giao thức IP , toàn bộ mạng đc bảo mật bởi vì các giao tiếp đều đi qua tầng 3

Ngoài ra với IPsec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích Bởi vì IPsec đc tích hợp chặt chẽ với IP , nên những ứng dụng có thể dung các dịch vụ kế thừa tính năng bảo mật mà kô cần sự thay đổi nào lớn, trong suốt với người dung đầu cuối,

là người kô cần đến cơ ches bảo mật mở rộng lien tục sau 1 chuỗi các hoạt động Các giao thức bảo mật như SSL, TLS , SSH được thực hiện từ tầng transpost layer trở lên Điều này tạo nên tính mềm dẻo cho IPsec cho sự hoạt động với tầng 4 TCP , UDP

Mục đích của IPsec

Được dùng để bảo mật dữ liệu cho các chuyển giao thông tin qua Mạng Admin có thể xác lập một hoặc nhiều chuỗi các Rules, gọilà IPSEC Policy, những rules này chứa các Filters, có trách nhiệm xác định những loại thông tin lưu chuyển nào yêu cầu được mã hóa (Encryption), xác nhận (digital signing), hoặc cả hai Sau đó, mỗi Packet, được Computer gửi đi, sẽ được xem xét có hay không gặp các điều kiện của chính sách Nếu gặp những điều kiện này, thì các Packet có thể được mã hóa, được xác nhận số, theo những quy định từ Policy Quy trình này hòa toàn vô hình với User và Application

kích hoạt truyền thông tin trên Mạng

Do IPSEC được chứa bên trong mỗi gói IP chuẩn, cho nên có thể dùng

IPSEC qua Network, mà không yêu cầu những cấu hình đặc biệt trên thiết bị hoặc giữa 2 Computer

Tuy nhiên, IPSEC không tiến hành mã hóa một vài loại giao tiếp Mạng như: Broadcast, MultiCast, các packet dùng giao thức xác thực Kerberos

Hiện trạng

IPsec là một phần bắt buộc của IPv6 , nhưng đối với IPv4 có thể đc lựa chọn Các giao thức IPsec đc định nghĩa từ RFC 1825-1829 vào những năm 1995 , Năm 1998 đc nang cấp lên với các phiênbản RFC 2401-2412 , tháng 12 năm 2005 thế hệ thứ 3 ra đời

Cấu trúc bảo mật

IPsec đc khai triển và sử dụng khái niệm về bảo mạt trên nền tảng IP Một sự kết hợp bảo mật kết hợp các thuật toán và các thong số là nền tảng trong việc mã hoá là nền tảng công việc mã hoá và xác thực trong 1 chiều, tuy nhiên trong giao tiếp 2 chiều các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp , Tuy nhiên việc chọn lựa các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị

Trong các bước thực hiện phải quyết định cái j` cần bảo vệ và 1 gói tin ourting, IPsec sử dụng Securitty

Parameter Index (SPI- Tham số bảo mật thư mục ) , mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu ) bao gồm Security Association Database (SADB- Bảo mật và kết hợp CSDL) trong suốt chiều dài của địa chỉ đích header của gói tin cùng với sự thoả hiệp bảo mật (SA- security Association ) cho mỗi gói tin , Một quá trìn tương tự đc làm với các gói tin đi vào (Incoming packet) , IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB

Cho các gói muticast , một thoả hiệp bảo mật (SPI) sẽ cung cấp cho 1 group và thực hiện cho group đó , có thể có nhiều thoả hiệp bảo mật cho 1 group bằng cách sử dụng SPI khác nhau Mỗi người gửi có thể có nhiều thoả hiệp bảo mật , cho phép xác thực trong khi người nhận chỉ đc các keys giửi trong dữ liệu

Security Associations (SAs) là một khái niệm cơ bản của bộ giao thức IPSec SA là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec

Các giao thức xác nhận, các khóa, và các thuật toán

Phương thức và các khóa cho các thuật toán xác nhận được dùng bởi các giao thức Authentication Header (AH)

hay Encapsulation Security Payload (ESP) của bộ IPSec

Thuật toán mã hóa và giải mã và các khóa

Thông tin liên quan khóa, như khoảng thời gian thay đổi hay khoảng thời gian làm tươi của các khóa

Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ nguồn SA và khoảng thời gian làm tươi

Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng, nếu có

IPsec gồm 3 trường

SPI : Đây là môi trường 32bit dung để nhận dạng giao thức bảo mật , đc định nghĩa bằng trường Security protocol trong IPsec đang dung SPI được mang theo như là 1 phần đầu của giao thức bảo mật , thường đc chọn bởi hệ thống đích trong suốt quá trình tảo thuận của SA

Destination IP Address: Đây là địa chỉ đích mặc dù có thể là địa chỉ Broadcast unicast hay muticast , nhưng cơ chế quản lý hiện tại của SA chỉ đc định nghĩa cho hệ thống Unicast

Security Protocol: Phần này mô tả là AH hoặc ESP

ESP: Bảo mật các gói trọng tải

Encryption Alglorithm: (chưa sát nghĩa) Các thuật toán

Authentication Alglorithm: Xác nhận thuật toán

DOI: Digital object Indebtifiner: Định danh đối tượng số

(Broadcast có nghĩa cho tất cả các hệ thống cùng thuộc 1 mạng con, Muticast gửi cho nhiều nhưng kô phải là tất

cả nút 1 mạng con hoặn mạng con cho sẵn , Unicast có nghĩa cho 1 note duy nhất)

Bởi vì bản chất của SA là 1 chiều , cho nên 2 SA phải đc định nghĩa cho 2 bên thong tin đầu và cuối , cho mỗi hướng , Ngoài ra SA có thể cung cấp các dịch vụ bảo mật cho phiên VPN đc bảo vệ AH hoặc ESP Do vậy nếu một phiên cần bảo vệ kép cả AH và ESP , 2 SA phải đc định nghĩa cho mỗi hướng Việc thiết lậpnày gọi là SA bundle (gói SA)

Một IPsec dung 2 cơ sở dữ liệu , Security Association Database ( SAD) nắm giữ thong tin lien quan đến mỗi

SA Thông tin này bao gồm thuật toán khoá, thời gian sống của SA và chuỗi tuần tự Cơ sở dữ liệu thứ 2 của IPsec là Security Policy Database ( SPD) nắm dữ thong tin về các dịch vụ bảo mật kém theo với 1 danh sách thứ

tự chính sách các điểm vào và ra Giống như firewall rules và các packet filters , những điểm truy cập này định nghĩa lưu lượng nào đc sử lý lưu lượng nào bị từ chôi theo từng chuẩn của IPsec

IPsec đã đc giới thiệu và cung cấp các dịch vụ bảo mật :

1- Mã hoá quá trình truyền thong tin

2- Đảm bảo tính nguyên vẹn của dữ liệu

3- Phải đc xác thực giữa các giao tiếp

4- Chống quá trình replay trong các phiên bản bảo mật

5- Modes – Các mode

IPsec đưa ra 3 khả năng chính

1- Tính xác nhận và nguyên vẹn dữ liệu ( Authentication and Data ingity) IPsec cung cấp 1 cơ chế mạnh

mẽ để xác định tính sác thực của người gửi và kiểm chứng bất kỳ sự sử đổi nào kô đc bảo vệ trước đó của nôi dunggói dữ liệu bởi người nhận Các giao thức IPsec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo

2- Sự cẩn mật (Confidentiality) Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa

cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén

3- Quản lý khóa (Key management) IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để

thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu

Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload (ESP)

IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực

IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng

authentication và Integrity đảm bảo tính toàn vẹn dữ liệu

Các chế độ IPSec

SAs trong IPSec hiện tại được triển khai bằng 2 chế độ Được mô tải ở hình dưới đó là chế độ Transport và chế

độ Tunnel Cả AH và ESP có thể làm việc với một trong hai chế độ này

Transport mode

Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và/hoặc xác thực Trong quá trình routing, cả IP header đều không bị chỉnh sửa hay mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể biết được, bởi các thông tin đã bị hash (băm) Transport và application layers thường được bảo mật bởi hàm băm (hash), và chúng không thể chỉnh sửa (ví dụ như port number) Transport mode sử dụng trong tình huống giao tiếp host-to-host

Điều này có nghĩa là đóng gói các thông tin trong IPsec cho NAT traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T

Transport mode bảo vệ giao thức tầng trên và các ứng dụng Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới.Khi

AH Transport mode.

ESP Transport mode.

Transport mode thiếu mất quá trình xữ lý phần đầu, do đó nó nhanh hơn Tuy nhiên, nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã hóa phần đầu IP

Tunnel mode

Trong tunnel mode, toàn bộ gói IP (bao gồm cả data và header) sẽ được mã hoá và xác thực Nó phải được đóng gói lại trong một dạng IP packet khác trong quá trình routing của router Tunnel mode được sử dụng trong giao tiếp network-to-network (hay giữa các routers với nhau), hoặc host-to-network và host-to-host trên internet Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP

Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới và phần header nguyên bản, như hình bên dưới

ESP Tunnel mode

Tong quat’

Chi tiết kỹ thuât

Có hai giao thức được phát triển và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6:IP Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực

IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng

authentication và Integrity đảm bảo tính toàn vẹn dữ liệu

Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 cho tính toàn vẹn dữ liệu (integrity

protection), và thuật toán TripleDES-CBC và AES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin Toàn bộ thuật toán này được thể hiện trong RFC 4305

a Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Hơn nữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ tấn công sliding windows (truot) và discarding older

packets (loai bo? Packet) AH bảo vệ quá trình truyền dữ liệu khi sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, và Header Checksum AH thực hiện trực tiếp trong phần đầu tiên của gói tin

IP dưới đây là mô hình của AH header

Ý nghĩa của từng phần:

Next header :Nhận dạng giao thức trong sử dụng truyền thông tin

Payload length : Độ lớn của gói tin AH

RESERVED ;Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các số 0)

Security parameters index (SPI) ;Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp với gói tin

Sequence number ;Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay attacks Authentication data ;Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực

1.1 Transport mode

Khi su? Dung! Che’ do nay` AH bao? Ve truyen` thong end-to-end, truyen` thong bat buoc diem cuoi’ toi’ diem cuoi khac cua? IPsec

1.2 Tunnel mode

O? che’ do nay` su dong goi AH bao ve datagram , cong them IPheader moi’ truoc header ban dau che do nay co the thay the cho transport cho su ban mat end-to-end

b- ESP

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật cho gói tin ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo tính bảo mật Không như AH, header của gói tin IP, bao gồm các option khác ESP thực hiện trên top IP sử dụng giao thức IP và mang số hiệu 50 và AH mang số hiệu 51

Some IP protocol codes

Protocol

1 ICMP — Internet Control Message Protocol

2 IGMP — Internet Group Management Protocol

4 IP within IP (a kind of encapsulation)

Some IP protocol codes

Protocol

6 TCP — Transmission Control Protocol

17 UDP — User Datagram Protocol

41 IPv6 — next-generation TCP/IP

47 GRE — Generic Router Encapsulation (used by PPTP)

50 IPSec: ESP — Encapsulating Security Payload

51 IPSec: AH — Authentication Header

Ý nghĩa của các phần:

Security parameters index (SPI) : Nhận ra các thông số được tích hợp với địa chỉ IP Sequence number :Tự động tăng có tác dụng chống tấn công kiểu replay attacks Payload data :Cho dữ liệu truyền đi

Padding Sử dụng vài block mã hoá

Padding Sử dụng vài block mã hoá

Next header :Nhận ra giao thức được sử dụng trong quá trình truyền thông tin Authentication data :Bao gồm dữ liệu để xác thực cho gói tin

Transport

Tunnrel

Qua trinh` su ly goi tin

1.1 Goi’ tin di ra

1.2 Goi tin di vao`

Internet Key Exchange

Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của Internet Security Association and Key Management Protocol, IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai Ngoài việc hòa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một phiên giao dịch hoàn thành

Thuận lợi chính của IKE include bao gồm:

· IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ chế bảo mật nào

· Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bở vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít

5.1 IKE Phases

Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình trình bày một số đặc điểm chung của hai giai đoạn Trong một phiên làm việc IKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn Kênh bảo mật này phải được thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra

Giai đoạn I của IKE Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết

lạp SA Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa

Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật được phát sinh Theo sau là những thông tin được dùng để phát sinh khóa bí mật :

· Giá trị Diffie-Hellman

· SPI của ISAKMP SA ở dạng cookies

· Số ngẩu nhiên known as nonces (used for signing purposes)

Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng cần trao đổi IDs Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ

bí mật Theo cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng

Giai đoạn II của IKE

Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết bằng việc thiết lập SAs cho IPSec Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa thuận Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn

SA

Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I Điển hình, sự thỏa thuận có thể lặp lại sau 4-5 phút Sự thay đổi thường xuyên các mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu

Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làmviệc đơn của giai đoạn I Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hổ trợ bởi một trường hợp đơn ở giai đoạn I Điều này làm qua trình giao dịch chậm chạp của IKE tỏ ra tương đối nhanh hơn

Oakley là một trong số các giao thức của IKE Oakley is one of the protocols on which IKE is based Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE

IKE Modes

4 chế độ IKE phổ biến thường được triển khai :

· Chế độ chính (Main mode)

· Chế độ linh hoạt (Aggressive mode)

· Chế độ nhanh (Quick mode)