ĐẠI HỌC QUỐC GIA TP. HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN ĐỀ TÀI TRIỂN KHAI IPSEC VÀ VPN GVHD: ThS. TÔ NGUYỄN NHẬT QUANG SV: NGUYỄN MINH THẮNG 08520368 NGUYỄN HỒNG NGUYÊN KHOA 08520176 HOÀNG TRỌNG QUỐC BẢO 08520026 DƯƠNG TRUNG VIỆT ANH 08520013 Nhóm: 8 Lớp: MMT03 TP. Hồ Chí Minh, tháng 03, năm 2012 MỤC LỤC TRIỂN KHAI VPN VÀ IPSEC CHƯƠNG 1: GIAO THỨC IPSEC 1.1 Giới thiệu Như ta đã biết, mạng Internet nguyên thủy được phát triển để truyền thông giữa các máy tính tin cây, vì vậy nó không hỗ trợ các dịch vụ an ninh. Cùng với sự phát triển rộng khắp của Internet trên tòan cầu thì vấn đề an ninh là một trong những vấn đề quan trọng. Giao thức IPSec được phát triển để giải quyết vấn đề an ninh này và trong IP-VPN là một trong những ứng dụng của nó. Hình 1.: Sơ đồ tổngquan VPN GV: Ths.Tô Nguyễn Nhật Quang 3 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC Hình 1.:Sơ đồ VPN 2 1.2 Khái niệm về IPSec IPSec (Internet Protocol Security) là một giao thức được IETF phát triển. IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển truy cập. Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI. 1 GV: Ths.Tô Nguyễn Nhật Quang 4 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC Hình 1.:Mô hình OSI IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH: • AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai hệ thống. AH không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ. • ESP là một giao thức cung cấp tính an toàn của các gói tin được truyền bao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống. Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu. GV: Ths.Tô Nguyễn Nhật Quang 5 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC • Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào sự phân phối của các khóa mật mã và quản lý các luồng giao thông có liên quan đến những giao thức an toàn này. Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau để cung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao thức AH và ESP này, IPSec không định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó là một khung chuẩn để sử dụng các thuật toán theo tiêu chuẩn công nghiệp. IPSec sử dụng các thuật toán: - Mã xác thực bản tin trên cơ sở băm (HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản tin. - Thuật toán DES, 3DES để mật mã dữ liệu. - Thuật toán khóa chia sẻ trước, RSA chữ ký số và RSA mật mã giá trị ngẫu nhiên (Nonces) để xác thực các bên. - Ngoài ra các chuẩn còn định nghĩa việc sử dụng các thuật toán khác như IDEA, Blowfish và RC4. IPSec sử dụng giao thức IKE (Internet Key Exchange) Giúp cho các thiết bị tham gia VPN trao đổi với nhau về thông tin an ninh như mã hóa thế nào ? Mã hóa bằng thuật toán gì ? Bao lâu mã hóa 1 lần. IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia VPN. Do đó IKE giúp cho Ipsec có thể áp dụng cho các hệ thống mạng mô hình lớn . Trong quá trình trao đổi key IKE dùng thuật toán mã hóa bất đối xứng gồm bộ Public key và Private Key để bảo vệ việc trao đổi key giữa các thiết bị tham gia VPN 1.3 Đóng gói thông tin của IPSec 1.3.1 Các kiểu sử dụng IPSec có hai kiểu cung cấp xác thực và mã hóa mức cao để thực hiện đóng gói thông tin, đó là kiểu Transport (truyền tải) và kiểu Tunnel (đường hầm). GV: Ths.Tô Nguyễn Nhật Quang 6 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC Hình 1.:Hai kiểu sử dụng VPN Sau đây chúng ta sẽ xét đến hai kiểu này trước khi tìm hiểu về các giao thức AH và ESP: 1.3.1.1 Kiểu Transport Trong kiểu này, vấn đề an ninh được cung cấp bởi các giao thức lớp cao hơn (từ lớp 4 trở lên). Kiểu này bảo vệ phần tải tin của gói nhưng vẫn để phần IP header ban đầu ở dạng bản rõ. Địa chỉ IP ban đầu được sử dụng để định tuyến gói qua Internet. Hình 1.: Sơ đồ gói tin IP trong Transport mode Kiểu Transport có ưu điểm là chỉ thêm vào gói IP ban đầu một số it byte. Nhược điểm là kiểu này cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (ví dụ như phân tích lưu lượng) dựa trên các thông tin của IP header. Tuy nhiên nếu được mật mã bởi ESP thì sẽ không biết được dữ liệu cụ thể bên trong gói IP là gì. Theo như IETF thì kiểu Transport chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực hiện IPSec. GV: Ths.Tô Nguyễn Nhật Quang 7 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC 1.3.1.2 Kiểu Tunnel Kiểu này bảo vệ toàn bộ gói IP. Gói IP ban đầu (bao gồm cả IP header) được xác thực hoặc mật mã. Sau đó, gói IP đã mã hóa được đóng gói vào một IP header mới. Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP truyền qua Internet. Hình 1.: Sơ đồi gói tin IP trong Tunnel Mode Trong kiểu Tunnel, toàn bộ gói IP ban đầu được đóng gói và trở thành Payload của gói IP mới. Kiểu này cho phép các thiết bị mạng như router thực hiện xử lý IPSec thay cho các trạm cuối (host). Hình 1.4 là ví dụ: Router A xử lý các gói từ host A, gửi chúng vào đường ngầm. Router B xử lý các gói nhận được trong đường ngầm, đưa về dạng ban đầu và chuyển hóa chúng tới host B. Như vậy, các trạm cuối không cần thay đổi nhưng vẫn có được tính an toàn dữ liệu của IPSec. Ngoài ra, nếu sử dụng kiểu Tunnel, các thiết bị trung gian trong mạng sẽ chỉ có thể nhìn thấy được các địa chỉ hai điểm cuối của đường hầm (ở đây là các router A và B). Khi sử dụng kiểu Tunnel, các đầu cuối của IP-VPN không cần phải thay đổi ứng dụng hay hệ điều hành. GV: Ths.Tô Nguyễn Nhật Quang 8 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC Hình 1.: Thiết bị mạng thực hiện IPSec kiểu Tunnel 1.3.2 Giao thức xác thực AH 1.1.1.1 Giới thiệu Giao thức xác thực AH (Authentication Header) được định nghĩa trong RFC 1826 và sau đó là phát triển lại trong RFC 2402. AH cung cấp: o Xác thực nguồn gốc dữ liệu (data origin authentication) o Kiểm tra tính toàn vẹn dữ liệu (data integrity) o Dịch vụ chống phát lại (anti-replay service) Đến đây, cần phải phân biệt được hai khái niệm toàn vẹn dữ liệu và chống phát lại: toàn vẹn dữ liệu là kiểm tra những thay đổi của từng gói tin IP, không quan tâm đến vị trí các gói trong luồng lưu lượng; còn dịch vụ chống phát lại là kiểm tra sự phát lặp lại một gói tin tới địa chỉ đích nhiều hơn một lần. AH cho phép xác thực các trường của IP header cũng như dữ liệu của các giao thức lớp trên, tuy nhiên do một số trường của IP header thay đổi trong khi truyền và phía phát có thể không dự đoán trước được giá trị của chúng khi tới phía thu, do đó giá trị của các trường này không bảo vệ được bằng AH. Có thể nói AH chỉ bảo vệ một phần của IP header mà thôi. AH không cung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ. AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp chắc chắn về nguồn gốc và tính toàn vẹn của dữ liệu nhưng tính bảo mật dữ liệu không cần được chắc chắn. Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm một chiều (one-way hash function) đối với dữ liệu của gói để tạo ra một đoạn mã xác GV: Ths.Tô Nguyễn Nhật Quang 9 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC thực (hash hay message digest). Đoạn mã đó được chèn vào thông tin của gói truyền đi. Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói dữ liệu thu được và đối chiếu nó với giá trị hash đã truyền đi. Hàm băm được thực hiện trên toàn bộ gói dữ liệu, trừ một số trường trong IP header có giá trị bị thay đổi trong quá trình truyền mà phía thu không thể dự đoán trước được (ví dụ trường thời gian sống của gói tin bị các router thay đổi trên đường truyền dẫn). 1.3.2.1 Cấu trúc gói tin AH Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của IP datagram, ở giữa phần IP header và header lớp 4. Bởi vì AH được liên kết với IPSec, IP-VPN có thể định dạng để chọn lưu lượng nào cần được an toàn và lưu lượng nào không cần phải sử dụng giải pháp an toàn giữa các bên. Ví dụ như bạn có thể chọn để xử lý lưu lượng email nhưng không đối với các dịch vụ web. Quá trình xử lý chèn AH header được diễn tả như trong hình 1.5. Hình 1.: Cấu trúc gói tiêu đề AH trong IPSec Giải thích ý nghĩa các trường trong AH header: • Next Header (tiêu đề tiếp theo) có độ dài 8 bit để nhận dạng loại dữ liệu của phần tải tin theo sau AH. Giá trị này được chọn lựa từ tập các số giao thức IP đã được định nghĩa trong các RFC gần đây nhất. GV: Ths.Tô Nguyễn Nhật Quang 10 Nhóm 8 [...]... và một cổng an toàn Tuy nhiên, trong những trường hợp mà lưu lượng đã được định hình từ trước như những lệnh SNMP, cổng an toàn làm nhiệm vụ như host và kiểu Transport được cho phép GV: Ths.Tô Nguyễn Nhật Quang 24 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC SA cung cấp nhiều lựa chọn cho các dịch vụ IPSec, nó phụ thuộc vào giao thức an toàn được lựa chọn (AH hay ESP), kiểu SA, điểm kết thúc của SA đó và một sự tuyển... thiết lập một kết nối IP -VPN an toàn giữa hai host A và host B thông qua Internet, một đường ngầm an toàn được thiết lập giưa router A và router B Thông qua đường hầm, các giao thức mật mã, xác thực và các giao thức khác được thỏa thuận Thay vì phải thỏa thuận từng giao thức một, các giao thức được nhóm thành các tập và GV: Ths.Tô Nguyễn Nhật Quang 35 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC được gọi là tập chính... Nhật Quang 12 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC AH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel Kiểu Transport là kiểu đầu tiên được sử dụng cho kết nối đầu cuối giữa các host hoặc các thiết bị hoạt động như host và kiểu Tunnel được sử dụng cho các ứng dụng còn lại Ở kiểu Transport cho phép bảo vệ các giao thức lớp trên, cùng với một số trường trong IP header Trong kiểu này, AH được chèn vào... toàn bộ gói IP ban đầu: Thêm trường Padding GV: Ths.Tô Nguyễn Nhật Quang 20 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC nếu cần thiết, mật mã các trường sử dụng khóa, thuật toán và kiểu thuật toán được chỉ ra bởi SA và dữ liệu Đối xứngmật mã nếu có • Các bước cụ thể để xây dựng outer IP header phụ thuộc vào kiểu sử dụng (Transport hay Tunnel) Nếu dịch vụ xác thực được lựa chọn thì mật mã được thực hiện trước, và. .. nguồn: cho đi vòng lưu lượng và đưa các gói tin bản rõ tới bên nhận GV: Ths.Tô Nguyễn Nhật Quang 33 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC • Permit tại bên đích: cho qua lưu lượng tới IPSec để xác thực, giải mã, hoặc cả hai ACL sử dụng thông tin trong header để quyết định Trong logic của ACL, nếu như header chứa nguồn, đích, giao thức đúng thì gói tin đã được xử lý bởi IPSec tại phía gửi và bây giờ phải được xử... kết hợp sử dụng với các dịch vụ xác thực vào toàn vẹn dữ liệu thì hiệu quả bí mật sẽ không được đảm bảo Hai dịch vụ xác thực và toàn vẹn dữ liệu luôn đi kèm nhau Dịch vụ chống GV: Ths.Tô Nguyễn Nhật Quang 15 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC phát lại chỉ có thể có nếu xác thực được lựa chọn Giao thức này được sử dụng khi yêu cầu về bí mật của lưu lượng IPSec cần truyền 1.3.3.2 Cấu trúc gói tin ESP Hoạt... SPD) và có sở dữ liệu kết hợp an ninh (Security Association Database SAD)  SPD: chỉ ra các dịch vụ an toàn được đề nghị cho lưu lượng IP, phụ thuộc vào các nhân tố như nguồn, đích, đi ra hay đi về Nó chứa đựng một danh sách những lối vào chính sách, tồn tại riêng rẽ cho lưu lượng đi vào và đi ra Các lối vào này có thể nhận định một vài lưu lượng không qua xử lý IPSec, một vài phải được loại bỏ và còn... kết an toàn giữa hai host, hoặc liên kết an toàn được yêu cầu giữa hai hệ thống trung gian dọc trên đường truyền Trong trường hợp khác, kiểu Transport cũng có thể được sử dụng để hỗ trợ IP-in-IP hay đường ngầm GRE qua các SA kiểu Transport SA kiểu Tunnel là một SA cơ bản được ứng dụng tới một đường ngầm IP Một SA giữa 2 cổng an toàn là một SA kiểu Tunnel điển hình giống như một SA giữa một host và một... IKE GV: Ths.Tô Nguyễn Nhật Quang 23 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC 1.4.1 Kết hợp an ninh SA 1.4.1.1 Định nghĩa và mục tiêu IPSec cung cấp nhiều lựa chọn để thực hiện các giải pháp mật mã và xác thực ở lớp mạng Phần này sẽ định nghĩa các thủ tục quản lý SA cho cả IPv4 và IPv6 để thực thi AH hoặc ESP hoặc cả hai, phụ thuộc vào lựa chọn của người sử dụng Khi thiết lập kết nối IPSec, hai phía phải xác định... dụng chế độ chính hoặc chế độ tấn công để trao đổi giữa các bên, và pha thứ hai được hoàn thành nhờ sử dụng trao đổi chế độ nhanh GV: Ths.Tô Nguyễn Nhật Quang 31 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC Hình 1.: Các chế độ chính, chế độ nhanh của IKE Sau đây chúng ta sẽ đi xem xét cụ thể các bước và mục đích của các pha IKE Bước thứ nhất Việc quyết định lưu lượng nào cần bảo vệ là một phần trong chính sách an . MINH TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH VÀ TRUYỀN THÔNG ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH THÔNG TIN ĐỀ TÀI TRIỂN KHAI IPSEC VÀ VPN GVHD: ThS. TÔ NGUYỄN NHẬT QUANG SV: NGUYỄN MINH THẮNG. hiện đóng gói thông tin, đó là kiểu Transport (truyền tải) và kiểu Tunnel (đường hầm). GV: Ths.Tô Nguyễn Nhật Quang 6 Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC Hình 1.:Hai kiểu sử dụng VPN Sau đây chúng. Nhóm 8 TRIỂN KHAI VPN VÀ IPSEC Hình 1.:Mô hình OSI IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec