Tải bản đầy đủ - 0 (trang)
CHƯƠNG 2. MẠNG RIÊNG ẢO TRÊN NỀN IPSec

CHƯƠNG 2. MẠNG RIÊNG ẢO TRÊN NỀN IPSec

Tải bản đầy đủ - 0trang

25



tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát

triển bởi Internet Engineering Task Force (IETF).



Hình 2.1. IPSec trong mơ hình OSI

Giao thức IPSec được IETF phát triển để thiêt lập tính bảo mật trong mạng IP

ở cấp độ gói. IPSec được định nghĩa là một họ giao thức trong tầng mạng cung cấp

các dịch vụ bảo mật,xác thực,toàn vẹn dữ liệu và điều khiển truy nhập. Nó là một

tập hợp các tiêu chuẩn mở làm việc cùng nhau, được giới thiệu lần đầu tiên trong

các RFC 1825-1829 của IETF

IPSec cho phép một đường hầm bảo mật thiết lập giữa hai mạng riêng và xác

thực hai đầu của đường hầm này. Các thiết bị ở hai đầu đường hầm có thể là máy

trạm hay cổng an ninh ( thiết bị định tuyến, tường lửa, bộ tập trung VPN). Đường

hầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu

cầu an ninh được truyền trên kênh đó. IPSec cũng thực hiện đóng gói dữ liệu và xử

lý các thơng tin để thiết lập,duy trì và hủy bỏ kênh truyền khi khơng dùng đến nữa.

Các gói tin truyền trong đường hầm có khn dạng giống như các gói tin bình

thường khác và khơng làm thay đổi các thiết bị,kiến trúc cũng như những ứng dụng



26



hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai

và quản lý.

IPSec có hai cơ chế cơ bản để đảm bảo an ninh dữ liệu là tiêu đề xác thực AH

và đóng gói tải tin an tồn ESP ,trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ

AH. Cả AH và ESP đều cung cấp các phương tiện cho điều khiển truy nhập dựa

vào sự phân phối của các khóa mật mã và quản lý các luồng lưu lượng có liên quan

đến những giao thức an ninh này.

AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính tồn vẹn dữ liệu và

dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai hệ thống. AH khơng

cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thơng tin dưới dạng bản rõ

,ESP là một giao thức cung cấp tính bảo mật của các gói tin được truyền, bao gồm

mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính tồn vẹn phi kết nối của

dữ liệu. ESP đảm bảo tính bí mật của thơng tin qua việc mật mã gói tin IP. Tất cả

lưu lượng ESP đểu được mật mã giữa hai hệ thống. Với đặc điểm này thì ESP có

xu hướng được sủ dụng nhiều hơn để tăng tính bảo mật cho dữ liệu.

Các giao thức AH và ESP có thể được áp dụng một mình hay kết hợp với nhau

để cung cấp tập các giao thức an ninh mong muốn trong Ipv4 và Ipv6, nhưng cách

chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao thức này IPSec

không định nghĩa các thuật toán an ninh cụ thể, mà thay vào đó là một khung làm

việc cho phép sử dụng các thuật toán tiêu chuẩn. IPSec sử dụng các thuật toán mã

xác thực bản tin trên cơ sở hàm băm (HMAC), MD5 (Message Digest 5) hay SHA1 để thực hiện chức năng toàn vẹn bản tin; DES hay 3DES để mật mã dữ liệu;khóa

chia sẻ trước,chữ ký số RSA và số ngẫu nhiên mật mã RSA để xác thực các bên.

Ngồi ra, các chuẩn còn định nghĩa việc sử dụng một số thuật tốn khác như IDEA,

Blowfish và RC4.



27



IPSec có thể sử dụng giao thức trao đổi khóa IKE để xác thực hai bên, thương

lượng các chính sách bảo mật và xác thực thơng qua việc xác định thuật tốn thiết

lập kênh truyền, trao đổi khóa cho mỗi phiên kết nối và dùng trong mỗi phiên truy

nhập. Mạng dùng IPSec để bảo mật các dòng dữ liệu có thể tự động kiểm tra tính

xác thực của thiết bị bằng chứng thực số của hai người dùng trao đổi thông tin qua

lại. Việc thương lượng này cuối cùng dẫn đến thiết lập một liên kết an ninh SA

giữa các cặp bảo mật.

Liên kết an ninh SA có chứa tập các chính sách, tham số, thuật tốn, giao thức

cho q trình đóng gói dữ liệu giữa các bên tham gia vào phiên IPSec. Tại mỗi đầu

đường hầm IPSec, SA được sử dụng để xác định loại lưu lượng cần được xử lý

IPSec, giao thức an ninh được sủ dụng ( AH hay ESP), thuật tốn và khóa được sử

dụng cho q trình mật mã và xác thực. Thông tin liên kết an ninh được lưu trong

cơ sở dữ liệu liên kết an ninh, và khi kết hợp một địa chỉ đích với giao thức an ninh

thì có duy nhất một SA.

IPSec được phát triển để hướng tới Ipv6, nhưng do việc triển khai Ipv6 còn

chậm và sự cần thiết phải bảo mật với các gói IP trên IPSec đã được thay đổi cho

phù hợp với Ipv4. Việc hỗ trợ IPSec chỉ là tùy chọn của Ipv4 nhưng đối với Ipv6

thì là có sẵn. IPSec là sự lựa chọn cho bảo mật tổng thể các VPN và là phương án

tối ưu cho mạng của cơng ty. Nó đảm bào truyền thơng tin cậy trên mạng IP công

cộng đối với các ứng dụng trên VPN.

2.2. ĐĨNG GĨI THƠNG TIN IPSEC

2.2.1. Các chế độ hoạt động



IPSec cung cấp hai chế độ xác thực và mã hóa mức cao để thực hiện đóng gói

thơng tin, đó là chế độ truyền tải và chế độ đường hầm .

2.2.1.1. Chế độ truyền tải



28



Trong chế độ truyền tải, vấn đề an ninh được cung cấp bởi các giao thức lớp

cao trong mơ hình OSI (từ lớp 4 trở lên). Chế độ này bảo vệ phần tải tin của gói

nhưng vẫn để phần tiêu đề IP ban đầu ở dạng gốc như trong nguyên bản. Địa chỉ IP

ban đầu được sử dụng để định tuyến gói qua Internet.



Hình 2.2. Xử lý gói tin IP ở chế độ truyền tải

Chế độ truyền tải có ưu điểm chỉ là thêm vào gói IP ban đầu một số ít byte.

Nhược điểm của chế độ này là nó cho phép các thiết bị trong mạng nhìn thấy địa

chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý ( ví dụ như phân tích

lưu lượng ) dựa trên các thông tin của tiêu đề IP. Tuy nhiên nếu dữ liệu được mật

mã bởi ESP thì sẽ khơng biết được thơng tin cụ thể bên trong gói IP là gì. Theo

IETF thì chế độ truyền tải chỉ có thể được sử dụng khi hai hệ thống đầu cuối IPVPN có thực hiện IPSec.

2.2.1.2: Chế độ đường hầm

Trong chế độ đường hầm, tồn bộ gói IP ban đầu bao gồm cả tiêu đề được xác

thực hoặc mật mã, sau đó được đóng gói với một tiêu đề IP mới. Địa chỉ IP bên

ngồi được sủ dụng cho định tuyến gói IP qua Internet.

Chế độ này cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý

IPSec thay cho các trạm cuối (host). Trong ví dụ trên hình 3.3, bộ định tuyến A xử



29



lý các gói từ trạm A, gửi chúng vào đường hầm. Bộ định tuyến B xử lý các gói

nhận được trong đường hầm, đưa về dạng ban đầu và chuyển chúng tới trạm B.

Như vậy, các trạm cuối khơng cần thay đổi mà vẫn có được tính an ninh dữ liệu của

IPSec. Ngồi ra, nếu sử dụng chế độ đường hầm, các thiết bị trung gian trong mạng

sẽ chỉ nhìn thấy được các địa chỉ hai điểm cuối của đường hầm (ở đây là các bộ

định tuyến A và B ).



Hình 2.3. Xử lý gói tin IP ở chế độ đường hầm



7

Hình 2.4. Thiết bị mạng thực hiện IPSec trong chế độ đường hầm

Khi sử dụng chế độ đường hầm, các đầu cuối của IPSec-VPN không cần

phải thay đổi ứng dụng hay hệ điều hành.

2.2.2. Giao thức tiêu đề xác thực AH



2.2.2.1. Giới thiệu



30



Giao thức tiêu đề xác thực AH được định nghĩa trong RFC 1826 và sau đó

phát triển lại trong RFC 2402. AH cung cấp khả năng xác thực nguồn gốc dữ liệu,

kiểm tra tính tồn vẹn dữ liệu và dịch vụ chống phát lại. Toàn vẹn dữ liệu là kiểm

tra những thay đổi của từng gói tin IP, khơng quan tâm đến vị trí các gói trong

luồng lưu lượng. Còn dịch vụ chống phát lại là kiểm tra sự phát lặp lại một gói tin

tới địa chỉ đích nhiều hơn một lần.

AH cho phép xác thực các trường của tiêu đề IP cũng như dữ liệu của các giao

thức lớp trên. Tuy nhiên, do một số trường của tiêu đề IP thay đổi trong khi truyền

và phía phát khơng dự đốn trước được giá trị của chúng khi tới phía thu, giá trị

của các trường này khơng bảo vệ được bằng AH. Có thể nói AH chỉ bảo vệ một

phần của tiểu đề IP mà thôi. AH không cung cấp bất cứ xử lý nào để bảo mật dữ

liệu của các lớp trên, tất cả đều được truyền dưới dạng bản rõ. AH nhanh hơn ESP,

nên có thể chọn AH trong trường hợp cần u cầu chắc chắn về nguồn gốc và tính

tồn vẹn của dữ liệu, còn tính bảo mật dữ liệu thì khơng u cầu cao.

Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm

một chiều (One-way Hash Function) đối với dữ liệu của gói để tạo ra một đoạn mã

xác thực (Hash hay Message Digest). Đoạn mã này được chèn vào thơng tin của

gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong q trình

truyền đi đều được phía thu phát hiện khi nó thực hiện cùng một hàm băm một

chiều đối với gói dữ liệu nhận được và đối chiếu với giá trị mã xác thực truyền

cùng với gói dữ liệu. Hàm băm được thực hiện trên tồn bộ gói dữ liệu, trừ một số

trường trong tiêu đề IP có giá trị thay đổi trong quá trình truyền ( ví dụ như trường

thời gian sống TTL của gói tin ).

2.2.2.2. Cấu trúc gói tin AH



31



Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm

của gói IP, ở giữa phần tiêu đề IP và tiêu đề lớp 4. Bởi vì AH được liên kết với

IPSec, IP-VPN có thể định dạng để chon lưu lượng nào cần được bảo vệ và lưu

lượng nào không cần phải sử dụng giải pháp an tồn giữa các bên. Ví dụ như có thể

chọn để xử lý an tồn lưu lượng e-mail nhưng khơng cần đối với dich vụ Web. Quá

trình xử lý chèn tiêu đề AH được minh họa như hình 2.5.

Ý nghĩa các trường trong tiêu đề AH như sau:

Tiêu đề kế tiếp : Có độ dài 8 bit để nhận dạng loại dữ liệu của phần tải tin theo

sau AH. Giá trị này được chọn từ tập các giá trị số giao thức đã được định nghĩa

bởi IANA(TCP – 6, UDP – 17).

Độ dài dải tin : Có độ dài 8 bit và chứa độ dài của tiêu đề AH được biểu diễn

trong các từ 32 bit, trừ đi 2. Ví dụ, trong trường hợp của thuật tốn tồn vẹn mang

lại một giá trị xác minh 96 bit ( 3 x 32 bit), cộng với 3 từ 32 bit đã cố định, thì

trường độ dài này có giá trị là 4. Với Ipv6, tổng độ dài của tiêu đề phải là bội số

của các khối 8 bit.



32



Hình 2.5. Cấu trúc tiêu đề AH cho gói tin IPSec

Dự phòng : Trường 16 bit này dự trữ cho ứng dụng trong tương lai. Giá trị của

trường này có thể đặt bằng 0 và có tham gia trong việc tính dữ liệu xác thực.

Chỉ số thơng số an ninh : Trường này có độ dài 32 bit, cùng với địa chỉ IP đích

và giao thức an ninh ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu. Các giá

trị SPI từ 1 đến 255 được dành riêng để sử dụng trong tương lai. SPI là trường bắt

buộc và thường được lựa chọn bởi phía thu khi thiết lập SA. Giá trị SPI bằng 0

được sủ dụng cục bộ và có thể dùng để chỉ ra rằng chưa có SA nào tồn tại.

Số thứ tự : Đây là trường 32 bit không dấu chứa một giá trị mà khi mỗi gói

được gửi đi thì tăng một đơn vị. Trường này là bắt buộc và luôn được đưa vào bởi

bên gửi ngay cả khi bên nhận không sử dụng dịch vụ chống phát lại. Bộ đếm bên

gửi và nhận được khởi tạo ban đầu là 0, gói đầu tiên số thứ tự là 1. Nếu dịch vụ

chống phát lại được sử dụng thì chỉ số này khơng thể lặp lại. Khi đó, để tránh



33



trường hợp bộ đếm bị tràn và lặp lại các số thứ tự, sẽ có một yêu cầu kết thúc phiên

truyền thông và một SA mới được thiết lập trước khi truyền gói thứ 2 32 của SA hiện

hành.

Dữ liệu xác thực : Còn được gọi là giá trị kiểm tra tính tồn vẹn ICV (Integrity

Check Value ), có độ dài thay đổi và bằng số nguyên lần của 32 bit đối với IPv4

hay 64 bit đối với Ipv6. Nó có thể chứa đệm để lấp đầy cho đủ là bội số của các

khối bit như trên. ICV được tính tốn sử dụng thuật toán xác thực, bao gồm mã xác

thực bản tin (MAC – Message Authentication Code). MAC đơn giản có thể là thuật

tốn mã hóa MD5 hoặc SHA-1. Các khóa dùng cho mã hóa AH là khóa xác thực bí

mật được chia sẻ giữa các đối tượng truyền thơng, có thể là một số ngẫu nhiên,

khơng thể đốn trước được. Tính tốn ICV được thực hiện đối với gói tin mới đưa

vào. Bất kỳ trường nào có thể đổi của tiêu đề IP đều được cài đặt bằng 0, dữ liệu

lớp trên được giả sử là không biến đổi. Mỗi bên đầu cuối VPN sẽ tính tốn giá trị

ICV này một cách độc lập. Nếu ICV tính tốn được ở phía thu và ICV do phía phát

truyền đến so sánh với nhau mà khơng phù hợp thì gói tin bị loại bỏ. Bằng cách

như vậy sẽ đảm bảo rằng gói tin khơng bị giả mạo.

Giao thức xác thực tiêu đề (AH)



Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP. Như tên gọi của nó, tiêu đề này

phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhận cuối cùng, tiêu đề này giúp nhận

biết bất kỳ sự thay đổi nào về nội dung của gói dữ liệu bởi người dùng khơng mong muốn

trong khi đang truyền, tuy nhiên AH không đảm bảo tính tin cậy.

Để tạo một AH, một giá trị mã thông điệp cần xác thực qua hàm băm (HAMC) được tạo

tại người gửi. Giá trị băm này được tạo trên cơ sở của SA, cái xác định trình tự giao dịch sẽ

được áp dụng cho gói dữ liệu. Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu đề IP gốc.

Tại người nhận cuối, HAMC được giải mã và được dùng để thiết lập việc xác thực người

gửi cũng như tính tồn vẹn của thơng điệp.



34



AH khơng mang lại sự tin cậy trong một giao dịch. Nó chỉ thêm một tiêu đề vào gói IP,

phần còn lại của nội dung gói dữ liệu được để mặc. Hơn nữa, AH không bảo vệ bất kỳ

trường nào trong tiêu đề IP vì một trong số đó có thể thay đổi trong q trình truyền, chỉ các

trường nào khơng thay đổi trong quá trình truyền là được bảo vệ bởi AH. Địa chỉ IP nguồn

và địa chỉ IP đích là những trường như vậy và vì thế được bảo vệ bởi AH. Tóm lại, giao thức

AH có các đặc trưng cơ bản như sau:

- Cung cấp tính tồn vẹn dữ liệu và bảo vệ chống phát lại

- Sử dụng mã xác thực thơng điệp được băm(HMAC), dựa trên chia sẻ bí mật

- Nội dung các gói tin khơng được mã hố

- Khơng sử dụng các trường changeable IP header để tính tốn giá trị kiểm tra tính tồn

vẹn(IVC)

1. Khn dạng gói tin

Khng dạng của gói tin theo giao thức AH được minh hoạ như trong hình 2.4. Các trường

trong AH header đều là bắt buộc.

- Next Header: Trường này nhận biết giao thức bảo mật, có độ dài 8 bít để xác định kiểu

dữ liệu của phần Payload phía sau AH. Giá trị của trường này được chọn từ các giá trị của IP

Protocol number được định nghĩa bởi IANA (Internet Assigned Numbers Authority).

- Payload Length: Trường này chỉ định độ dài của thông điệp gắn sau tiêu đề AH.

AH Header

Payload



IP Header



Next Header



PayloadLength



Reserved



Security Parameter Index(SPI)

Sequence Number

Authentication Data

(Integrity Check Value)



Hinh 2.6 : Tiêu đề AH



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

CHƯƠNG 2. MẠNG RIÊNG ẢO TRÊN NỀN IPSec

Tải bản đầy đủ ngay(0 tr)

×