ĐỒ ÁN MÔN BẢO MẬT THÔNG TIN Bảo Mật Thông Tin IPSEC

MỤC LỤC: BÁO CÁO ĐỀ TÀI MÔN HỌC CHƯƠNG I TỔNG QUAN VỀ IPSEC trang 5 I.GIỚI THIỆU trang 5 I.1.KHÁI QUÁT VỀ IPSEC trang 5 I.2.VÌ SAO PHẢI SỬ DUNG IPSEC trang 6 I.3.MỤC ĐÍCH SỬ DỤNG IPSEC trang 7 CHƯƠNG II HOẠT ĐỘNG CỦA IPSEC trang 9 A.TRANSPORT MODE trang 9 B.TUNNEL MODE trang 11 II.1.AH (Authentication Header) trang 14 II.1.1 TUNNEL MODE trang 14 II.1.2. TRATSPORT MODE trang 15 a. AH xác thực và đảm bảo tính toàn vẹn dữ liệu trang 16 b. AH Header (Trường chứng thực) trang 18 c. Hoạt động của giao thức AH trang 20 d. AH version 3(Phiên bảng 3 của AH) trang 22 e. AH Summary(tóm tắt trường chứng thực) trang 22 II.2.ESP (Encapsulaton Secutity Payload) trang 23 2.1. ESP Packet Fields trang 26 2.2. Quá trình mã hoá và hoạt động của giao thức ESP trang 28 2.3. ESP Version 3 trang 31 2.4. ESP Summary trang 31 CHƯƠNG III KẾT QUẢ THỰC NGHIỆM trang 35 Kết Luận trang 49 Chương I        Tổng Quan Về IPSec I. GIỚI THIỆU IP Security là một đặc điểm kỹ thuật lớn và phức tạp có nhiều lựa chọn và rất linh hoạt. Encapsulating Security Payload giao thức có thể xử lý tất cả các Ipsec của dịch vụ yêu cầu. Bài viết này sẽ nghiên cứu về Encapsulating Security Payload (ESP) so sánh với Authentication Header về điểm yếu và điểm mạnh. I.1.KHÁI QUÁT CỦA IPSEC Trong tháng 11 năm 1998, RFC An ninh IP (IPsec) đã được phát hành - RFC 2401 thông qua RFC 2411. Theo quy định tại RFC 2401 [1], IPsec cung cấp các dịch vụ bảo mật tại tầng IP bằng cách cho phép một hệ thống để chọn các thông số cần thiết, chẳng hạn như giao thức bảo mật, các thuật toán bảo mật cho các dịch vụ, và bất kỳ các khóa mật mã dịch vụ yêu cầu.

Lời cảm ơn

 -Chúng em xin chân thành gởi lời cảm ơn sâu sắc đến thầy Văn Thiên Hoàng, thầy đã trực tiếp hướng dẫn chỉ bảo tận tình và góp rất nhiều ý kiến quý báu tạo điều kiện thuận lợi cho chúng em hoàn thành đề tài Bảo Mật Thông Tin IPSEC

Những kiến thức học được trên ghế nhà trường là một hành trang quý báu đểchúng em bước vào đời.Chính những kiến thức chắc chắn ấy là nền tảng cho thành công của chúng em trong tương lai

Cuối cùng chúng em xin chân thành cảm ơn nhà trường, gia đình, bạn bè đã động viên giúp đỡ chúng em hoàn thành đề tài này

Nhận Xét Của Giáo Viên Hướng Dẫn

-MỤC LỤC: BÁO CÁO ĐỀ TÀI MÔN HỌC

CHƯƠNG I TỔNG QUAN VỀ IPSEC trang 5

I.GIỚI THIỆU trang 5I.1.KHÁI QUÁT VỀ IPSEC trang 5I.2.VÌ SAO PHẢI SỬ DUNG IPSEC trang 6I.3.MỤC ĐÍCH SỬ DỤNG IPSEC trang 7

CHƯƠNG II HOẠT ĐỘNG CỦA IPSEC trang 9

A.TRANSPORT MODE trang 9B.TUNNEL MODE trang 11II.1.AH (Authentication Header) trang 14II.1.1 TUNNEL MODE trang 14II.1.2 TRATSPORT MODE trang 15a AH xác thực và đảm bảo tính toàn vẹn dữ liệu trang 16b AH Header (Trường chứng thực) trang 18

c Hoạt động của giao thức AH trang 20d AH version 3(Phiên bảng 3 của AH) trang 22e AH Summary(tóm tắt trường chứng thực) trang 22II.2.ESP (Encapsulaton Secutity Payload) trang 232.1 ESP Packet Fields trang 262.2 Quá trình mã hoá và hoạt động của giao thức ESP trang 282.3 ESP Version 3 trang 312.4 ESP Summary trang 31

CHƯƠNG III KẾT QUẢ THỰC NGHIỆM trang 35

Kết Luận trang 49

I.1.KHÁI QUÁT CỦA IPSEC

Trong tháng 11 năm 1998, RFC An ninh IP (IPsec) đã được phát hành - RFC2401 thông qua RFC 2411 Theo quy định tại RFC 2401 [1], IPsec cung cấp

các dịch vụ bảo mật tại tầng IP bằng cách cho phép một hệ thống để chọn các thông số cần thiết, chẳng hạn như giao thức bảo mật, các thuật toán bảo mật cho các dịch vụ, và bất kỳ các khóa mật mã dịch vụ yêu cầu.

IP cấp dịch vụ an ninh bao gồm xác thực, bảo mật, và quản lý chủ chốt Chứng thực xác minh người gửi gói tin đó đã không bị thay đổi, bảo mật cung cấp mật mã, và quan trọng quản lý địa chỉ trao đổi an toàn của các phím.

IPsec gọi cho hai giao thức bảo mật - Authentication Header (AH) mà cung cấp xác thực, và Encapsulating Security Payload (ESP) cung cấp xác thực, mã hóa, hoặc cả hai IPsec cũng có hai chế độ hoạt động: chế độ vận chuyển và chế độ đường hầm.

I.2 VÌ SAO PHẢI SỬ DỤNG IPSEC

Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đi qua tầng 3 (Đó là lý do tại sao IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2).

IPSec VPN dùng các dịch vụ được định nghĩa trong IPSec để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật về xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng.

Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tính dữ liệu từ nguồn đến đích Bởi vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng cụ thể dùngcác dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào Cũng giống IP, IPSec trong suốt với người dùng cuối, không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt động.

I.3 MỤC ĐÍCH SỬ DỤNG IPSEC

IPSEC được sử dụng nhằm cung cấp sự bảo mật về dữ liệu trên đường truyền mạng (LAN, INTERNET…) Người quản trị sẽ cấu hình IPSEC bằng cách thiết lập các luật giao tiếp giữa các máy Các luật này được gọi l IPSEC Policy Chúng xác định loại giao thức nó sẽ được mã hóa, loại này sẽ được ký số (Digitalsign), và sẽ dùng cả hai phương pháp trên Sau đó, mỗi lần một packet được gửi đi, packet đó sẽ được kiểm tra, mã hóa, hoặc ký số tùy vào chính sách (policy) của loại packet đó Vì quá trình này được thực hiện tại tầng network, nên nó hoàn toàn trong suốt với người dùng và cả với các Application(ứng dụng) tạo ra các packet đó Và vì một gói IPSEC(tạm gọi như vậy cho các gói dùng IPSEC để mã hóa) được chứa trong một gói chuẩn (Standard packet), nên nó hoàn toàn có thể được gửi đi trên mạng một cách bình thường.

IPSEC cung cấp các khả năng bảo mật sau:

1 Chứng thực lẫn nhau trước và cả trong khi hai hệ thống giao tiếp với

2 Bảo đảm tính bí mật cho các gói (packet): IPSEC có hai loại gói chính:

Encapsulating Security Payload (ESP): mã hóa, chứng thực (kí số).Authentication Header (AH): Chỉ chứng thực (kí số) mà không mã hóa.

3 Bảo tồn việc truy cập: Khi một gởi được gửi đến, hệ thống sẽ kiểm tra các

ký số, nếu ký số không trùng, quá trình chứng thực không thành công Hệ thống sẽ tự động xóa bỏ packet đó ngay tại tầng IP ESP sẽ mã hóa các địa chỉ nguồn và địa chỉ đích đặt trong phần payload của gói.

4 Ngăn chặn kiểu tấn công dùng lại: (Replay attack): Cả ESP và AH đều sử

dụng các chuỗi số thay đổi Giả sử có một attacker bắt được gói IPSEC, giả dạng gói đó để tìm cách thăm nhập vào hệ thống Khi đó, chuỗi số mà attacker dùng sẽ không được hệ thống chấp nhận

-  Chương II

 -  -  -  -  -  -  -

HOẠT ĐỘNG CỦA IPSECCác mode chính của giao thức IPSec:

A Transport Mode :

-Transport mode bảo vệ giao thức tầng trên và các ứng dụng Trong

transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên.

-vì vậy chỉ có tại (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec

Hình 2-12: IPSec Transport-mode – Một Đại Diện ChungTransport mode được dùng để bảo mật kết nối giữa hai host:

hoạt động của ESP trong Transport mode được sử dụng để bảo vệ thông tin giữa hai host cố định Bảo vệ các giao thức lớp trên của IP datagram.

Hình 2-13: Transport Mode Tunnel

Trong Transport Mode, AH header được chèn vào trong IP datagram sau IP header và các tuỳ chọn.

Hình 2-14: Transport Mode Packet

-chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói

B.Tunnel mode :

Hình 2-15: A Tunne Mode – AH Tunnel

Hình 2-16 : Một ESP Tunnel – Mode VPN

-không giống như transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác Và một

IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới củagói tin IP

Hình 2-17: IPSec Tunnel Mode – Đại Diện Chung

-Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu Toàn bộ gói IP sẽ được mã hoávà trở thành dữ liệu mới của gói IP mới chế độ này cho phép các thiết bị mạng, chẳng hạn như Router, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay cho host Router nguồn sẽ mã hóa các packets và truyền chúng dọc theo tunnel Router đích sẽ giải mã gói IP ban đầu và

chuyển nó về hệ thống cuối.

-với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa.

II.1.Authentication Header (AH)

AH là một trong những giao thức bảo mật, cung cấp tính năng đảm bảo toàn vẹn packet headers và data, xác thực nguồn gốc dữ liệu Nó có thể tuỳ chọn cung cấp dịch vụ replay protection và access protection AH không mã hoá bất kỳ phần nào của các gói tin Trong phiên bản đầu của IPSec, giao thức ESP chỉ có thể cung cấp mã hoá, không xác thực Do đó, người ta kết hợp giao thức AH và ESP với nhau để cung cấp sự cẩn mật và đảm bảo toàn vẹn dữ liệu cho thông tin.

truy cập từ xa), và host-to-máy chủ truyền thông (ví dụ như tin trò chuyện) Tunnel mode hỗ trợ NAT traversal.

Trong Tunnel mode, AH tạo 1 IP Header mới cho mỗi gói tin Trong Transport mode, AH không tạo IP Header mới

Hình 2-1: AH Tunnel Mode Packet

Trong cấu trúc IPSec mà sử dụng gateway , địa chỉ thật của IP nguồn

và đích của các gói tin phải thay đổi thành địa chỉ IP của gateway Vì trong Transport Mode không thay đổi IP Header nguồn hoặc tạo một IP Header mới, Transport Mode thường sử dụng trong cấu trúc host-to-host.

AH cung cấp tính năng đảm bảo tính toàn vẹn cho toàn bộ gói tin, bất kỳ

mode nào được sử dụng

Hình 2-2: AH Transport Mode Packet

a.AH xác thực và đảm bảo tính toàn vẹn dữ liệu

Hình 2-3

Bước 1:

AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload(Data) + IP Header + Key cho chạy qua giải thuật Hash (Băm)1 chiều và cho ra 1 chuỗi số Và chuỗi số này sẽ được gán vào AH Header

B4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó chấp nhận gói tin

b AH Header (Trường chứng thực)

Hình 2-4 : AH Header

-Next Header : Trường này dài 8 bits , chứa chỉ số giao thức IP Trong

Tunnel Mode, Payload là gói tin IP , giá trị Next Header được cài đặt là 4 Trong Transport Mode , Payload luôn là giao thức Transport-Layer Nếu giao thức lớp Transport là TCP thì trường giao thức trong IP là 6 Nếu giao thức lớp transport là UDP thì trường giao thức trong IP là 17

-Payload Length : Trường này chứa chiều dài của AH Header.

-Reserved : giá trị này được dành để sử dụng trong tương lai ( cho đến thời

điểm này nó được biểu thị bằng các chỉ số 0).

-Security parameter Index (SPI) : mỗi đầu cuối của mỗi kết nối IPSec tùy

chọn giá trị SPI Hoạt động này chỉ được dùng để nhận dạng cho kết nối Bên nhận sử dụng giá trị SPI cùng với địa chỉ IP đích và loại giao thức

IPSec (trường hợp này là AH) để xác định chính sách SA được dùng cho góitin (Có nghĩa là giao thức IPSec và các thuật toán nào được dùng để áp cho gói tin)

-Sequence Number : chỉ số này tăng lên 1 cho mỗi AH datagram khi một

host gửi có liên quan đến chính sách SA Giá trị bắt đầu của bộ đếm là 1 chuỗi số này không bao giờ cho phép ghi đè lên là 0 vì khi host gửi yêu cầu kiểm tra mà nó không bị ghi đè và nó sẽ thoả thuận chính sách SA mới nếu SA này được thiết lập Host nhận sẽ dùng chuỗi số để phát hiện replayed datagrams Nếu kiểm tra bên phía host nhận, bên nhận có thể nói cho bên gửi biết rằng bên nhận không kiểm tra chuỗi số, nhưng đòi hỏi nó phải luôn có trong bên gửi để tăng và gửi chuỗi số

-Authentication Data:Trường này chứa kết quả của giá trị Integrity Check

Value (ICV) Trường này luôn là bội của 32-bit (từ) và phải được đệm vào nếu chiều dài của ICV trong các bytes chưa đầy

c Hoạt động của giao thức AH

-Hướng tốt nhất để hiểu AH làm việc như thế nào, xem và phân tích các góitin AH sau:

Hình 2-5: Sample AH Transport Mode Packet.

Hình trên cho thấy các thành phần của gói tin AH thật sự Mỗi section của AH Packet gồm : Ethernet header , IP header , AH header và Payload Dựa trên các trường của phần AH mode, ta thấy đây là gói tin ở Transport Mode vì nó chỉ chứa IP Header Trong trường hợp này, payload chứa ICMP echo request (hay là Ping) Ping gốc chứa chuỗi mẫu tự được miêu tả trong gói tintăng dần bởi giá trị Hex ( vd : 61, 62, 63) Sau khi giao thức AH được

applied, ICMP Payload không thay đổi Vì AH chỉ cung cấp dịch vụ đảm bảo toàn vẹn dữ liệu, không mã hoá

Hình 2-6:các trường AH Header trong Packet.

Các trường trong AH Header từ 4 gói tin đầu tiên trong AH session giữa host A và host B Các trường trong header đầu tiên chỉ là nhãn, để đáp ứng trong việc nhận dạng AH mode.

-SPI : host A sử dụng giá trị số Hex cdb59934 cho SPI trong cả các gói tin

của nó Trong khi đó host B sử dụng giá trị số Hex a6b32c00 cho SPI trong cả các gói tin Điều này phản ánh được rằng kết nối AH thật sự gồm hai thành phần kết nối một chiều

-Sequence Number : cả hai host bắt đầu thiết lập chỉ số bằng 1, và cả hai

-Authentication information : Xác thực (đảm bảo toàn vẹn ) thông tin , là

một keyed hash dựa trên hầu như tất cả các bytes trong gói tin.

d AH version 3(Phiên bảng 3 của AH)

Một chuẩn mới của AH là Version 3, phiên bản được phát triển dựa trên phiên bản phác thảo Tính năng khác nhau giữa Version 2 và Version 3 là mối quan hệ thứ yếu để các quản trị viên IPSec và người dùng - một vài sự thay đổi đến SPI, và tuỳ chọn chỉ số dài hơn

chuẩn phác thảo version 3 cũng chỉ đến một chuẩn phác thảo khác rằng liệt kê thuật toán mã hoá yêu cầu cho AH Bản phác thảo uỷ nhiệm hỗ trợ cho HMAC-SHA1-96, giới thiệu thuật toán hỗ trợ mạnh hơn là AES-XCBC-MAC-96, và cũng giới thiệu thuật toán : HMAC-MD5-96.

e AH Summary(tóm tắt trường chứng thực)

-AH cung cấp dịch vụ đảm bảo toàn vẹn cho tất cả các header và data gói tin Ngoại trừ một số trường IP Header mà định tuyến thay đổi trong chuyển tiếp.

-AH bao gồm địa chỉ nguồn và địa chỉ đích trong dịch vụ đảm bảo toàn vẹn AH thường không tương thích với NAT.

-Hiện nay, hầu hết IPSec bổ sung hỗ trợ phiên bản thứ hai của IPSec mà ESP có thể cung cấp dịch các vụ đảm bảo toàn vẹn dữ liệu qua sự xác thực.-AH cung cấp một lợi ích mà ESP không có, đó là đảm bảo toàn vẹn cho

outermost IP Header.

II.2 Encapsulaton Secutity Payload (ESP)

ESP là giao thức bảo mật chính thứ hai Trong phiên bản đầu của IPSec , ESP chỉ cung cấp mã hoá cho packet payload data Khi cần giao thức AH cung cấp dịch vụ đảm bảo toàn vẹn Trong phiên bản thứ hai của IPSec, ESPtrở nên mềm dẻo hơn Nó có thể thực hiện xác thực để cung cấp dịch vụ đảmbảo toàn vẹn, mặc dù không hỗ trợ cho outermost IP header Sự mã hoá của ESP có thể bị vô hiệu hoá qua thuật toán mã hoá Null ESP algorithm Do đó,ESP có thể cung cấp chỉ mã hoá; mã hoá và đảm bảo toàn vẹn dữ liệu; hoặc chỉ đảm bảo toàn vẹn dữ liệu

ESP Mode

ESP có hai mode : Transport Mode và Tunnel Mode

Trong Tunnel Mode : ESP tạo một IP Header mới cho mỗi gói tin IP Header mới liệt kêt các đầu cuối của ESP Tunnel ( như hai IPSec gateway) nguồn và đích của gói tin Vì Tunnel mode có thể dùng với tất cả 3 mô hình cấu trúc VPN

Hình 2-7: Mô Hình ESP Tunnel Mode Packet

ESP Tunnel Mode được sử dụng thường xuyên nhanh hơn ESP Transport Mode.

Trong Tunnel Mode, ESP dùng IP header gốc thay vì tạo một IP header mới.Trong Transport Mode, ESP có thể chỉ mã hoá hoặc bảo đảm tính toàn vẹn nội dung gói tin và một số các thành phần ESP, nhưng không có với IP header

Giao thức AH, ESP trong Transport mode thường sử dụng trong cấu trúc host-to-host Trong Transport mode không tương thích với NAT

Hình 2-8:Mô Hình ESP Transport Mode Packet

2.1 ESP Packet Fields

Hình 2-9: ESP Packet Fields

ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin ESP Header được cấu thành bởi hai trường : SPI và Sequence Number.

-SPI (32 bits) : mỗi đầu cuỗi của mỗi kêt nối IPSec được tuỳ chọn giá trị

SPI Phía nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách SA duy nhất mà nó được áp cho gói tin

-Sequence Number : thưòng được dùng để cung cấp dịch vụ anti-replay

Khi SA được thiết lập, chỉ số này được khởi đầu về 0 Trước khi mỗi gói tin

được gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header Để chắc chắn rằng sẽ không có gói tin nào được công nhận, thì chỉ số này không được phép ghi lên bằng 0 Ngay khi chỉ số 232-1 được sử dụng , một SA mới và khóa xác thực được thiết lập.

Phần kế tiếp của gói tin là Payload, nó được tạo bởi Payload data (được mã hoá) và IV không được mã hoá) Giá trị của IV trong suốt quá trình mã hoá là khác nhau trong mỗi gói tin.

phần thứ ba của gói tin là ESP Trailer, nó chứa ít nhất là hai trường.

-Padding ( 0-255 bytes) : được thêm vào cho đủ kích thước của mỗi gói tin.-Pad length: chiều dài của Padding

-Next header : Trong Tunnel mode, Payload là gói tin IP, giá trị Next

Header được cài đặt là 4 cho IP-in-IP Trong Transport mode, Payload luôn là giao thức lớp 4 Nếu giao thức lớp 4 là TCP thì trường giao thức trong IP là 6, giao thức lớp 4 là UDP thì trường giao thức IP là 17 Mỗi ESP Trailer chứa một giá trị Next Header.

-Authentication data : trường này chứa giá trị Integrity Check Value (ICV)

cho gói tin ESP ICV được tính lên toàn bộ gói tin ESP công nhận cho trường dữ liệu xác thực của nó ICV bắt đầu trên ranh giới 4-byte và phải là bội số của 32-bit (đơn vị từ)