1 Cơ chế hoạt động giao thức AH ESP Khái quát : Giao thức ESP giao thức AH hai giao thức việc mã hoá xác thực liệu - ESP sử dụng IP Protocol number 50 (ESP đóng gói giao thức IP trường protocol IP 50) - AH sử dụng IP Protocol number 51 ( AH đóng gói giao thức IP trường protocol IP 51) Bộ giao thức IPSec hoạt động mode : Tunnel Mode Transports Mode - Khi giao thức IPSec hoạt động Tunnel Mode sau đóng gói liệu, giao thức ESP mã hoá toàn Payload, frame Header, IP Header thêm IP Header vào gói tin trước forward - Khi giao thức IPSec hoạt động Transport Mode IP Header giữ nguyên lúc giao thức ESP chèn vào Payload IP Header gói tin Tổng quan ESP Header AH Header - Trong trường hợp dùng giao thức ESP : giao thức làm công việc mã hóa (encryption), xác thực (authentication), bảo đảm tính toàn vẹn liệu ( integrity protection) Sau đóng gói xong ESP, thông tin mã hoá giải mã nằm ESP Header - Các thuật toán mã hoá sử dụng giao thức : DES, 3DES, AES - thuật toán hash : MD5 SHA-1 - Trong trường hợp dùng giao thức AH : AH làm công việc xác thực (Authentication), đảm bảo tính toàn vẹn liệu Giao thức AH tính mã hoá liệu Authentication Header (AH) AH giao thức bảo mật, cung cấp tính đảm bảo toàn vẹn packet headers data, xác thực nguồn gốc liệu Nó tuỳ chọn cung cấp dịch vụ replay protection access protection AH không mã hoá phần gói tin Trong phiên đầu IPSec, giao thức ESP cung cấp mã hoá, không xác thực Do đó, người ta kết hợp giao thức AH ESP với để cung cấp cẩn mật đảm bảo toàn vẹn liệu cho thông tin a AH Mode AH có hai mode : Transport Tunnel Trong Tunnel mode, AH tạo IP Header cho gói tin Trong Transport mode, AH không tạo IP Header Trong cấu trúc IPSec mà sử dụng gateway , địa thật IP nguồn đích gói tin phải thay đổi thành địa IP gateway Vì Transport Mode không thay đổi IP Header nguồn tạo IP Header mới, Transport Mode thường sử dụng cấu trúc host-to-host AH cung cấp tính đảm bảo tính toàn vẹn cho toàn gói tin, mode sử dụng Figure 3-3: AH Tunnel Mode Packet Figure 3-4: AH Transport Mode Packet a.AH xác thực đảm bảo tính toàn vẹn liệu B1: AH đem gói liệu (packet ) bao gồm : Payload + IP Header + Key cho chạy qua giải thuật Hash chiều cho chuỗi số chuỗi số gán vào AH Header B2: AH Header chèn vào Payload IP Header chuyển sang phía bên B3: Router đích sau nhận gói tin bao gồm : IP Header + AH Header + Payload cho qua giải thuật Hash lần chuỗi số B4: so sánh chuỗi số vừa tạo chuỗi số giống chấp nhận gói tin C AH Header Figure 3-5 : AH Header -Next Header : Trường dài bits , chứa số giao thức IP Trong Tunnel Mode, Payload gói tin IP , giá trị Next Header cài đặt Trong Transport Mode , Payload giao thức TransportLayer Nếu giao thức lớp Transport TCP trường giao thức IP Nếu giao thức lớp transport UDP trường giao thức IP 17 -Payload Length : Trường chứa chiều dài AH Header -Reserved : giá trị dành để sử dụng tương lai ( thời điểm biểu thị số 0) -Security parameter Index (SPI) : đầu cuối kết nối IPSec tuỳ ý chọn giá trị SPI Hoạt động dùng để nhận dạng cho kết nối Bên nhận sử dụng giá trị SPI với địa IP đích loại giao thức IPSec (trường hợp AH) để xác định sách SA dùng cho gói tin (Có nghĩa giao thức IPSec thuật toán dùng để áp cho gói tin) -Sequence Number : số tăng lên cho AH datagram host gửi có liên quan đến sách SA Giá trị bắt đầu đếm chuỗi số không cho phép ghi đè lên host gửi yêu cầu kiểm tra mà không bị ghi đè thoả thuận sách SA SA thiết lập Host nhận dùng chuỗi số để phát replayed datagrams Nếu kiểm tra bên phía host nhận, bên nhận nói cho bên gửi biết bên nhận không kiểm tra chuỗi số, đòi hỏi phải có bên gửi để tăng gửi chuỗi số -Authentication Data: Trường chứa kết giá trị Integrity Check Value (ICV) Trường bội 32-bit (từ) phải đệm vào chiều dài ICV bytes chưa đầy d Hoạt động giao thức AH -Hướng tốt để hiểu AH làm việc nào, ta xem phân tích gói tin AH Figure 3-6: Sample AH Transport Mode Packet Hình cho thấy thành phần gói tin AH thật Mỗi section AH Packet gồm : Ethernet header , IP header , AH header Payload Dựa trường phần AH mode, ta thấy gói tin Transport Mode chứa IP Header Trong trường hợp này, payload chứa ICMP echo request (hay Ping) Ping gốc chứa chuỗi mẫu tự miêu tả gói tin tăng dần giá trị Hex ( vd : 61, 62, 63) Sau giao thức AH applied, ICMP Payload không thay đổi Vì AH cung cấp dịch vụ đảm bảo toàn vẹn liệu, không mã hoá Figure 3-7 : AH Header Fields from Sample Packet Các trường AH Header từ gói tin AH session host A host B Các trường header nhãn, để đáp ứng việc nhận dạng AH mode -SPI : host A sử dụng giá trị số Hex cdb59934 cho SPI gói tin Trong host B sử dụng giá trị số Hex a6b32c00 cho SPI gói tin Điều phản ánh kết nối AH thật gồm hai thành phần kết nối chiều -Sequence Number : hai host bắt đầu thiết lập số 1, hai tăng lên cho gói tin thứ hai chúng -Authentication information : Xác thực (đảm bảo toàn vẹn ) thông tin , keyed hash dựa tất bytes gói tin e AH version Một chuẩn AH Version 3, phiên phát triển dựa phiên phác thảo Tính khác Version Version mối quan hệ thứ yếu để quản trị viên IPSec người dùng vài thay đổi đến SPI, tuỳ chọn số dài chuẩn phác thảo version đến chuẩn phác thảo khác liệt kê thuật toán mã hoá yêu cầu cho AH Bản phác thảo uỷ nhiệm hỗ trợ cho HMAC-SHA1-96, giới thiệu thuật toán hỗ trợ mạnh AES-XCBC-MAC-96, giới thiệu thuật toán : HMAC-MD5-96 f AH Summary -AH cung cấp dịch vụ đảm bảo toàn vẹn cho tất header data gói tin Ngoại trừ số trường IP Header mà định tuyến thay đổi chuyển tiếp -AH bao gồm địa nguồn địa đích dịch vụ đảm bảo toàn vẹn AH thường không tương thích với NAT -Hiện nay, hầu hết IPSec bổ sung hỗ trợ phiên thứ hai IPSec mà ESP cung cấp dịch vụ đảm bảo toàn vẹn liệu qua xác thực -AH cung cấp lợi ích mà ESP không có, : đảm bảo toàn vẹn cho outermost IP Header Encapsulaton Secutity Payload (ESP) ESP giao thức bảo mật thứ hai Trong phiên đầu IPSec , ESP chi cung cấp mã hoá cho packet payload data Khi cần, giao thức AH cung cấp dịch vụ đảm bảo toàn vẹn Trong phiên thứ hai IPSec, ESP trở nên mềm dẻo Nó thực xác thực để cung cấp dịch vụ đảm bảo toàn vẹn, không hỗ trợ cho outermost IP header Sự mã hoá ESP bị vô hiệu hoá qua thuật toán mã hoá Null ESP algorithm Do đó, ESP cung cấp mã hoá; mã hoá đảm bảo toàn vẹn liệu; đảm bảo toàn vẹn liệu a ESP Mode ESP có hai mode : Transport Mode Tunnel Mode Trong Tunnel Mode : ESP tạo IP Header cho gói tin IP Header liệt kêt đầu cuối ESP Tunnel ( hai IPSec gateway) nguồn đích gói tin Vì Tunnel mode dùng với tất mô hình cấu trúc VPN Figure 3-8: ESP Tunnel Mode Packet ESP Tunnel Mode sử dụng thường xuyên nhanh ESP Transport Mode Trong Tunnel Mode, ESP dùng IP header gốc thay tạo IP header Trong Transport Mode, ESP mã hoá và/hoặc bảo đảm tính toàn vẹn nội dung gói tin số thành phần ESP, với IP header Giao thức AH, ESP Transport mode thường sử dụng cấu trúc host-to-host Trong Transport mode không tương thích với NAT Figure 3-9: ESP Transport Mode Packet b ESP Packet Fields Figure 3-10: ESP Packet Fields ESP thêm header Trailer vào xung quanh nội dung gói tin ESP Header cấu thành hai trường : SPI Sequence Number -SPI (32 bits) : đầu cuỗi kêt nối IPSec tuỳ chọn giá trị SPI Phía nhận sử dụng giá trị SPI với địa IP đích giao thức IPSec để xác định sách SA mà áp cho gói tin -Sequence Number : thưòng dùng để cung cấp dịch vụ anti-replay Khi SA thiết lập, số khởi đầu Trước gói tin gửi, số tăng lên đặt ESP header Để chắn gói tin công nhận, số không phép ghi lên Ngay số 232-1 sử dụng , SA khóa xác thực thiết lập Phần gói tin Payload, tạo Payload data (được mã hoá) IV không mã hoá) Giá trị IV suốt trình mã hoá khác gói tin phần thứ ba gói tin ESP Trailer, chứa hai trường -Padding ( 0-255 bytes) : thêm vào cho đủ kích thước gói tin -Pad length: chiều dài Padding -Next header : Trong Tunnel mode, Payload gói tin IP, giá trị Next Header cài đặt cho IP-inIP Trong Transport mode, Payload giao thức lớp Nếu giao thức lớp TCP trường giao thức IP 6, giao thức lớp UDP trường giao thức IP 17 Mỗi ESP Trailer chứa giá trị Next Header -Authentication data : trường chứa giá trị Integrity Check Value (ICV) cho gói tin ESP ICV tính lên toàn gói tin ESP công nhận cho trường liệu xác thực ICV bắt đầu ranh giới 4-byte phải bội số 32-bit (đơn vị từ) C Quá trình mã hoá hoạt động giao thức ESP ESP sử dụng mật mã đối xứng để cung cấp mật hoá liệu cho gói tin IPSec Cho nên, để kết nối hai đầu cuối bảo vệ mã hoá ESP hai bên phải sử dụng key giống mã hoá giải mã gói tin Khi đầu cuối mã hoá liệu, chia liệu thành block nhỏ, sau thực thao tác mã hoá nhiều lần sử dụng block liệu key Thuật toán mã hoá hoạt động chiều xem blocks cipher algorithms Khi đầu cuối khác nhận liệu mã hoá, thực giải mã sử dụng key giống trình thực tương tự, bước ngược với thao tác mã hoá Ví dụ : ESP sử dụng thuật toán mã hoá AES-Cipher Block Chaining (AES-CBC), AES Counter Mode (AES-CTR), Triple DES ( 3DES) Khi so sánh với gói tin AH , gói tin ESP có dạng giống với gói tin AH chuỗi mẫu tự xác định AH-protected Payload không xác định ESP-protected payload, ESP mã hoá Gói tin ESP có chứa đoạn : Ethernet Header , IP Header, ESP Header, Encrypted Data (Payload ESP Trailer), (option) authentication information Dữ liệu mã hoá xác định dù gói tin truyền Transport Mode hay Tunnel Mode Tuy nhiên, IP Header không mã hoá, trường giao thức IP Header phát giao thức dùng cho Payload ( trường hợp ESP) Hình cho thấy, trường ESP Header từ gói tin đầu ESP session host A host B Các trường SPI Sequence Number ESP làm việc chiều chúng thực AH Mỗi host sử dụng giá trị SPI khác cho gói tin nó, tương thích với kết nối ESP gồm hai thành phần kết nối chiều Cả hai host bắt đầu thiết lập sequence number 1, tăng dần lên cho gói tin thứ hai d ESP Version Một chuẩn cho ESP phiên 3, phiên vừa bổ sung, dựa chuẩn phác thảo Tìm chức thấy khác version version , bao gồm điều sau : -Chuẩn ESP version đòi hỏi ESP bổ sung để hỗ trợ ESP sử dụng cho mã hoá (không có tính bảo vệ toàn vẹn liệu) Do đó, chuẩn ESP version đưa nhằm hỗ trợ cho lựa chọn -ESP dùng chuỗi số dài hơn, giống với chuẩn AH version -ESP version hỗ trợ việc sử dụng kết hợp thuật toán ( EAS Counter với CBC-MAC [EAS-CMC] Như kết mã hoá tính bảo vệ toàn vẹn liệu đạt nhanh sử dụng tách rời thuật toán e ESP Summary -Trong Tunnel Mode, ESP cung cấp mã hoá đảm bảo an toàn cho đóng gói IP Packet, xác thực tốt giống ESP Header , ESP tương thích với NAT -Trong Transport Mode, ESP cung cấp mã hoá đảm bảo an toàn cho Payload gói tin IP , đảm bảo an toàn tốt giống ESP Header Transport Mode không tương thích với NAT -ESP Tunnel Mode thường sử dụng phổ biến IPSec , mã hoá IP Header gốc, giấu địa source des thật gói tin ESP thêm vật đệm vào để đủ gói tin -ESP thường dùng để cung cấp cho mã hoá đảm bảo an toàn ( hai ) Các mode giao thức IPSec: a Transport Mode : -Transport mode bảo vệ giao thức tầng ứng dụng Trong transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng -vì vậy, có tải (IP payload) mã hóa IP header ban đầu giữ nguyên vẹn Transport mode dùng hai host hỗ trợ IPSec Figure 3-13: IPSec Transport-mode – a generic representation Transport mode dùng để bảo mật kết nối hai host: hoạt động ESP Transport mode sử dụng để bảo vệ thông tin hai host cố định Bảo vệ giao thức lớp IP datagram Figure 3-14: Transport Mode Tunnel Trong Transport Mode, AH header chèn vào IP datagram sau IP header tuỳ chọn Figure 3-15: Transport Mode Packet -chế độ transport có thuận lợi thêm vào vài bytes cho packets cho phép thiết bị mạng thấy địa đích cuối gói a.Tunnel mode : Figure 3-16: A Tunne Mode – AH Tunnel Figure 3-17 : An ESP Tunnel – Mode VPN -không giống transport mode, Tunnel mode bảo vệ toàn gói liệu Toàn gói liệu IP đóng gói gói liệu IP khác Và IPSec header chèn vào phần đầu nguyên phần đầu IP Figure 3-18: IPSec Tunnel Mode – a generic representation -Toàn gói IP ban đầu bị đóng gói AH ESP IP header bao bọc xung quanh gói liệu Toàn gói IP mã hoá trở thành liệu gói IP chế độ cho phép thiết bị mạng, chẳng hạn Router, hoạt động IPSec proxy thực chức mã hóa thay cho host Router nguồn mã hóa packets truyền chúng dọc theo tunnel Router đích giải mã gói IP ban đầu chuyển hệ thống cuối -với tunnel hoạt động hai security gateway, địa nguồn đích mã hóa Ví dụ : Luồng gói tin gởi từ host A2 đến host B3: Figure 3-19: Packet Flow from Host A2 to Host B3 -Giả sử host A2 gửi TCP segment đến host B3 IP datagram rời khỏi host A2 đến host B3 IP datagram rời khỏi host A2, có địa nguồn 10.0.1.2 địa đích 10.0.2.3 Trường giao thức IP header (chỉ giao thức lớp TCP) Host A2 có default route đến GWA định tuyến đến mạng 10.0.2.0/24 với GWA next hop, datagram định tuyến đến GWA -Khi datagram đến GWA, gateway kiểm tra SPD thông báo rõ sách để datagram từ mạng 10.0.1.0/24 đến mạng 10.0.2.0/24 nên đóng gói với mode-tunnel ESP gửi đến GWB 2.2.2.2 Sau GWA đóng gói IP datagram, IP header bên có địa nguồn 1.1.1.1 (GWA) địa đích 2.2.2.2 (GWB) trường giao thức IP header bên 50 (để rõ giao thức ESP dùng) Trường giao thức gói tin ESP (để gói tin ESP đóng gói IP datagram) Và IP header bên không thay đổi -Khi đóng gói IP datagram đến GWB, gateway thấy chứa gói tin ESP xác thực lại key mã hoá từ SA thích hợp, thực kiểm tra xác thực giải mã ESP Payload IP header bên ngoài, ESP header Trailer, ICV tách khỏi, IP datagram bên forward đến đích (10.0.2.3) Bảng so sánh giao thức AH ESP [...]... nên được đóng gói với mode-tunnel ESP và gửi đến GWB tại 2.2.2.2 Sau khi GWA đóng gói IP datagram, IP header bên ngoài có địa chỉ nguồn 1.1.1.1 (GWA) và địa chỉ đích 2.2.2.2 (GWB) trường giao thức của IP header bên ngoài là 50 (để chỉ rõ giao thức ESP được dùng) Trường giao thức của gói tin ESP là 4 (để chỉ ra gói tin ESP đang đóng gói IP datagram) Và IP header bên trong không thay đổi -Khi đóng gói... đóng gói IP datagram đến tại GWB, gateway thấy rằng nó chứa gói tin ESP và xác thực lại và key mã hoá từ SA thích hợp, thực hiện kiểm tra xác thực và giải mã ESP Payload IP header bên ngoài, ESP header và Trailer, và ICV đã được tách ra khỏi, và IP datagram bên trong được forward đến đích của nó (10.0.2.3) Bảng so sánh giữa giao thức AH và ESP ... là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói a.Tunnel mode : Figure 3-16: A Tunne Mode – AH Tunnel Figure 3-17 : An ESP Tunnel – Mode VPN -không giống như transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác Và một IPSec header được chèn vào giữa phần... datagram rời khỏi host A2, nó có địa chỉ nguồn là 10.0.1.2 và địa chỉ đích là 10.0.2.3 Trường giao thức trong IP header là 6 (chỉ rằng giao thức lớp dưới là TCP) Host A2 có default route đến GWA hoặc định tuyến đến mạng 10.0.2.0/24 với GWA là next hop, thì datagram được định tuyến đến GWA -Khi datagram đến GWA, gateway kiểm tra SPD của nó và thông báo nó chỉ rõ chính sách để bất kỳ datagram từ mạng... trong một gói dữ liệu IP khác Và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP Figure 3-18: IPSec Tunnel Mode – a generic representation -Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu Toàn bộ gói IP sẽ được mã hoá và trở thành dữ liệu mới của gói IP mới chế độ này cho phép các thiết bị mạng, chẳng hạn... như một IPSec proxy thực hiện chức năng mã hóa thay cho host Router nguồn sẽ mã hóa các packets và truyền chúng dọc theo tunnel Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối -với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa Ví dụ : Luồng gói tin được gởi từ host A2 đến host B3: Figure 3-19: Packet Flow from Host A2 to Host B3 -Giả sử rằng