Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang MỤC LỤC MỤC LỤC 1 DANH MỤC HÌNH VẼ 2 DANH MỤC BẢNG 3 BẢNG THUẬT NGỮ VIẾT TẮT 4 LỜI MỞ ĐẦU 5 TRONG QUÁ TRÌNH THỰC HIỆN KHÔNG TRÁNH KHỎI NHỮNG SAI SÓT, CHÚNG EM MONG SẼ NHẬN ĐƯỢC SỰ ĐÓNG GÓP CỦA THẦY VÀ CÁC BẠN 6 Giao thức IPSec 1 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang DANH MỤC HÌNH VẼ Hình 1.1: Mô hình chung Hình 1.2: Chế độ Transport và chế độ Tunnel Hình 1.3: Cấu trúc gói tin IPSec ở chế độ Transport Hình 1.4: Gói tin IP ở chế độ Tunnel Hình 1.5: Thiết bị mạng thực hiện IPSec ở chế độ Tunnel Hình 1.6: Ba trường của SA Hình 2.1: Cấu trúc AH cho IPSec datagram Hình 2.2: Khuôn dạng IPv4 trước và sau khi xử lý AH ở chế độ Transport Hình 2.3: Khuôn dạng IPv6 trước và sau khi xử lý AH ở chế độ Transport Hình 2.4: Khuôn dạng gói tin đã xử lý AH ở chế độ Tunnel Hình 2.5: Cửa số chống phát lại Hình 2.6: Xử lý đóng gói ESP Hình 2.7: Khuôn dạng gói ESP Hình 2.9: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở chế độ Transport Hình 2.10: Khuôn dạng gói tin đã xử lý ESP ở chế độ Tunnel Giao thức IPSec 2 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang DANH MỤC BẢNG Bảng 1: Các trường trong tiêu đề IPv4 và IPv6 Bảng 2: So sánh giữa AH và ESP Bảng 3: So sánh đặc trưng của hai giải pháp IPSec VPN và SSL VPN Giao thức IPSec 3 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang BẢNG THUẬT NGỮ VIẾT TẮT Chữ viết tắt Tiếng anh Tiếng việt 3DES Triple DES Thuật toán mã 3DES ACK Acknowledge Chấp nhận ACL Acess Control List Danh sách điều khiển truy nhập AH Authentication Header Tiêu đề xác thực ARP Address Resolution Protocol Giao thức phân giải địa chỉ BOOTP Boot Protocol Giao thức khởi đầu CHAP Challenge – Handshake Authentication Protocol Giao thức nhận thực yêu cầu bắt tay CSU Channel Service Unit Đơn vị dịch vị kênh DCE Data communication Equiment Thiết bị truyền thông dữ liệu DES Data Encryption Standard Thuật toán mã DES DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin HMAC Hashed – keyed Message Authentication Code Mã nhận thực bản tin băm ICMP Internet Control Message Protocol Giao thức bản tin điều khiển Internet ICV Integrity check value Giá trị kiểm tra tính toàn vẹn IP Internet Protocol Giao thức lớp Internet IPSec IP Security Protocol Giao thức an ninh Internet LAN Local Area Network Mạng cục bộ Giao thức IPSec 4 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang LCP Link Control Protocol Giao thức điều khiển đường truyền MAC Message Authentication Code Mã nhận thực bản tin MD5 Message Digest 5 Thuật toán tóm tắn bản tin MD5 MTU Maximum Tranfer Unit Đơn vị truyền tải lớn nhất OSI Open System Interconnection Kết nối hệ thống mở PAP Password Authentication Protocol Giao thức nhận thực khẩu lệnh PDU Protocol Data Unit Đơn vị dữ liệu giao thức PPP Point-to-point Protocol Giao thức điểm - điểm RARP Reverse Address Resolution Protocol Giao thức phân giải địa chỉ ngược RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF đưa ra RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa công cộng SA Security Asociation Liên kết an ninh SAD SA Database Cơ sở dữ liệu SA SN Sequence Number Số thứ tự SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1 UDP User Data Protocol Giao thức dữ liệu người dùng VPN Vitual Private Network Mạng riêng ảo LỜI MỞ ĐẦU Trong thời đại Internet phát triển rộng khắp như ngày nay, những dịch vụ như đào tạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến đã trở thành hiện thực. Tuy nhiên, do Internet có phạm vị toàn cầu, không một tổ chức hay chính phủ nào quản lý Giao thức IPSec 5 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang nên sẽ có rất nhiều khó khăn trong việc bảo mật, đảm bảo an toàn dữ liệu cũng như chất lượng của các dịch vụ trực tuyến thông qua đường truyền mạng. Từ đó người ta đưa ra mô hình mới nhằm thỏa mãn những yêu cầu trên mà vẫn tận dụng được cơ sở hạ tầng mạng vốn có, đó chính là mạng riêng ảo (Virtual Private Network - VPN). VPN được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi gửi và nơi nhận (Tunnel) giống như một kết nối point – point trên mạng riêng. Và IPSec (Internet Protocol Security) chính là một trong những giao thức tạo nên cơ chế “đường ống bảo mật” cho VPN. Thông qua chuyên đề này, chúng em muốn đưa ra những khái niệm gần như cơ bản nhất về IPSec. Bố cục chuyên đề gồm ba chương: - Chương 1: Tổng quan về IPSec. Chương này đưa ra một cái nhìn khái quát về IPSec - Chương 2: Các giao thức chính của IPSec. Chương này trình bày những giao thức chính, quan trọng trong IPSec dùng cho IP-VPN để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật của truyền dữ liệu trên hạ tầng mạng công cộng. - Chương 3: Ưu khuyết điểm của IPSec Trong quá trình thực hiện không tránh khỏi những sai sót, chúng em mong sẽ nhận được sự đóng góp của thầy và các bạn. Chúng em xin chân thành cảm ơn! Hà Nội, ngày 26 tháng 4 năm 2012. Giao thức IPSec 6 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang CHƯƠNG 1: TỔNG QUAN VỀ IPSEC Chúng ta đều biết mạng Interner nguyên thủy được phát triển để truyền thông giữa các máy tính tin cậy, vì thế nó hoàn toàn không hỗ trợ các dịch vụ an ninh. Nhưng ngày nay, cùng với sự phát triển rộng khắp của Internet trên toàn thế giới, không có một tổ chức hay chính phủ nào quản lý nên vấn đề an ninh, bảo mật, đảm bảo an toàn dữ liệu là một trong những vấn đề quan trọng. Một mô hình mới, mô hình mạng riêng ảo (VPN – Virtual Private Network) ra đời, nhằm thỏa mãn yêu cầu trên mà vẫn tận dụng được cơ sở hạ tầng mạng vốn có. Và giao thức IPSec được phát triển , tạo nên cơ chế “ đường ống bảo mật ” cho VPN. 1. GIỚI THIỆU IPSec (Internet Protocol Security) là giao thức ở tầng Network (mô hình OSI), được phát triển bởi IETF để cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị. IPSec cho phép một đường ngầm bảo mật thiết lập giữa hai mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai đường ngầm có thể là hai host hoặc hai cổng bảo mật hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu cầu an toàn được truyền trên đó. IPSec cũng thực hiện đóng gói dữ liệu các thông tin để thiếp lập, duy trì và hủy bỏ kênh truyền khi không dùng đến nữa. Các gói tin Giao thức IPSec 7 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang truyền trong đường ngầm có khuôn dạng giống các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý. 2. KIẾN TRÚC GIAO THỨC IPSEC 2.1 Mô hình chung IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH: • AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai hệ thống. AH không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ. • ESP là một giao thức cung cấp tính an toàn của các gói tin được truyền bao gồm: mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói tin IP. Tất cả lưu lượng ESP đều được mật mã giữa hai hệ thông. Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu. • Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào sự phân phối của các khóa mật mã và quản lý các luồng giao thông có liên quan đến những giao thức an toàn này Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau để cung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao thức AH và ESP này, IPSec không định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó là một khung chuẩn để sử dụng các thuật toán theo tiêu chuẩn công nghệ. IPSec sử dụng các thuật toán: Mã nhận thực bản tin trên cở sở băm (HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản tin; thuật toán DES, 3DES để mật mã dữ liệu; thuật toán khóa chia sẻ trước. RSA chữ ký số và RSA mật mã giá trị ngẫu nhiên (Nonces) để nhận thực các bên. Ngoài ra các chuẩn còn định nghĩa việc sử dụng các thuật toán khác như IDEA, Blowfish và RC4. Giao thức IPSec 8 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang Hình 1.1: Mô hình chung 2.2 Các chế độ hoạt động IPSec có hai chế độ cung cấp nhận thực và mã hóa mức cao để thực hiện đóng gói thông tin, đó là chế độ Transport (truyền tải) và chế độ Tunnel (đường ngầm) Giao thức IPSec 9 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang Hình 1.2: Chế độ Transport và chế độ Tunnel 2.2.1 Chế độ Transport (chế độ truyền tải) Chế độ Transport cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP, UDP hoặc ICMP). Trong chế độ Transport, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được mã hóa còn IP header ban đầu được giữ nguyên. Chế độ Transport có thể được dùng khi cả hai host hỗ trợ IPSec. Chế độ này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiêt bị trên mạng thấy được địa chỉ cuối cùng của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra gói. Hình 1.3: Cấu trúc gói tin IPSec ở chế độ Transport Giao thức IPSec 10 [...]... unicast, hay multicast • Security protocol: mô tả giao thức bảo mật IPSEC, là AH hoặc là ESP SA trong IPSec được triển khai bằng hai chế độ: Transport và Tunnel CHƯƠNG 2: CÁC GIAO THỨC CHÍNH CỦA IPSEC 1 GIAO THỨC XÁC THỰC AH (Authentication header) Giao thức IPSec 12 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang Giao thức AH (Authentication header) được định nghĩa trong... lại Giao thức IPSec 15 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang Ở chế độ Transport cho phép bảo vệ các giao thức lớp trên, cùng với một số trường trong IP header Trong kiểu này, AH được chèn vào sau IP header và trước một giao thức lớp trên (chẳng hạn như TCP, UDP, ICMP…) và trước các IPSec header đã được chen vào Đối với IPv4, AH đặt sau IP header và trước giao thức. .. tính an toàn dữ liệu của IPSec Giao thức IPSec 11 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang Hình 1.5: Thiết bị mạng thực hiện IPSec ở chế độ Tunnel 2.3 Liên kết bảo mật SA (Security Associations): là một khái niệm cơ bản của bộ giao thức IPSec Nó là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec Gồm 3 trường: Hình 1.6:... qua mạng internet 3 KHUYẾT ĐIỂM KHI DÙNG IPSEC Khi ứng dụng IPSec vào VPN ta có IPSec VPN và khi dùng SSL (cũng là giao thức bảo mật đang được hướng đến do một số tính năng dễ chịu mà nó mang lại) trong VPN ta có SSL/VPN So sánh giữa IPSec VPN và SSL VPN sẽ cho thấy những khuyết điểm của IPSec khi ứng dụng vào một trường hợp cụ thể là mạng riêng ảo VPN Khía cạnh IPSEC VPN SSL VPN Kiểu kết nối, kiểu truy... chế độ transport và chế độ Tunnel Chế độ Transport cho phép bảo vệ các giao thức lớp trên, nhưng không bảo vệ IP header Trong kiểu này, ESP được chèn vào sau một IP header và trước một giao thức lớp trên (chẳng hạn TCP, UDP hay ICMP…) và trước IPSec header đã được chèn vào Đối với IPv4, ESP header đặt sau IP header và trước giao thức lớp trên (ví dụ ở đây là TCP) ESP trailer bao gồm các trường Padding,... người dùng 2 ƯU ĐIỂM KHI DÙNG IPSEC Thuận lợi chính khi dùng IPSec là cung cấp được giải pháp mã hóa cho tất cả các giao thức hoạt động tại lớp 3- Network Layer (OSI model), và cả các giao thức lớp cao hơn Nó có khả năng cung cấp: - Chứng thự hai chiều trước và trong suốt quá trình giao tiếp - Sự tin cậy qua việc mã hóa và xác nhận số các gói, IPSec có hai chế độ (ESP) cung cấp cơ chế mã hóa dùng nhiều... của tiêu đề IPSec - Bước 5: Kiểm tra trong SAD để đảm bảo rằng các IPSec policy áp dụng với thông điệp trên thỏa mãn hệ thống policy yêu cầu Giai đoạn quan trọng này rất khó minh họa trong trường hợp quá trình xác thực sử dụng AH 2 GIAO THỨC ĐÓNG GÓI ESP ESP được định nghĩa trong RFC 1872 và sau đó được phát triển thành RFC 2408 Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec ESP cung... Nguyễn Thị Đài Trang TÀI LIỆU THAM KHẢO Giao thức IPSec 34 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang [1] Công nghệ chuyển mạch IP (11/2000) – Th.S Hoàng Trọng Minh [2] IPSec (1998) – Cisco Systems, Inc [3] Security Protocol Overview (1999) – RSA Data Security, Inc [4] Website: www.congnghemoi.net www.vnpro.org www.vpnc.org Giao thức IPSec 35 ... trường hợp nên sử dụng IPSec để đảm bảo an toàn của truyền thông mạng Có thể tạo các IPSec policies cho các computer kết nối với Server (nắm giữ những dữ liệu quan trọng) IPSec policy sẽ bảo vệ dữ liệu của tổ chức khỏi những mối đe dọa từ bên ngoài Ưu điểm cụ thể của IPSec: - Khi IPSec được triển khai trên tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSec có thể áp dụng... ESP Giao thức IP lớp 3 51 50 Toàn vẹn dữ liệu Có Có Xác thực dữ liệu Có Có Mã hóa dữ liệu Không Có Chống tấn công phát lại Có Có Hoạt động với NAT Không Có Hoạt động với PAT Không Không Bảo vệ gói IP Có Không Chỉ bảo vệ dữ liệu Không Có Bảng 2: So sánh giữa AH và ESP Giao thức IPSec 30 Chuyên Đề Mạng Viễn Thông Phạm Ngọc Ánh – Nguyễn Khánh Chi – Nguyễn Đài Trang CHƯƠNG 3: ƯU KHUYẾT ĐIỂM KHI SỬ DỤNG IPSEC . protocol: mô tả giao thức bảo mật IPSEC, là AH hoặc là ESP. SA trong IPSec được triển khai bằng hai chế độ: Transport và Tunnel. CHƯƠNG 2: CÁC GIAO THỨC CHÍNH CỦA IPSEC 1. GIAO THỨC XÁC THỰC. Authentication Protocol Giao thức nhận thực khẩu lệnh PDU Protocol Data Unit Đơn vị dữ liệu giao thức PPP Point-to-point Protocol Giao thức điểm - điểm RARP Reverse Address Resolution Protocol Giao thức phân. tính toàn vẹn IP Internet Protocol Giao thức lớp Internet IPSec IP Security Protocol Giao thức an ninh Internet LAN Local Area Network Mạng cục bộ Giao thức IPSec 4 Chuyên Đề Mạng Viễn Thông Phạm