An toàn an ninh mạng Nhóm 1 IPSEC Ip Sec là gì ? • IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP • IPSec cung cấp một cơ chế bảo mật ở tầng 3 (Network layer) của mô hình OSI. IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc. Chức năng cơ bản • Chứng nhận: một chữ kí số được dùng để xác định nhân diện của người gởi thông tin. IPSec có thể dùng Kerberos, một preshared key, hay các chứng nhận số cho việc chứng nhận. • Bảo mật dữ liệu: các thuật toán mã hoá được thực hiện để đảm bảo dữ liệu được di chuyển sẽ không thể giải mã được. • Toàn vẹn dữ liệu: một thuật toán hash được dùng để đảm bảo dữ liệu sẽ không bị can thiệp vào. Một checksum được gọi là một mã chứng nhận tin nhắn hash (HMAC) được tính toán cho dữ liệu của gói. Khi một gói được thay đổi trong khi đang di chuyển thì HMAC đã được thay đổi sẽ được lưu lại. Thay đổi này sẽ bị xoá bởi máy tính nhận. • Anti-replay: ngăn chặn kẻ tấn công gửi các gói khi cố gắng truy cập vào mạng cá nhân Giao thức Ipsec • Internet Key Exchange (IKE): Giúp cho các thiết bị tham gia VPN trao đổi với nhau về thông tin an ninh như mã hóa thế nào ? Mã hóa bằng thuật toán gì ? Bao lâu mã hóa 1 lần . IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia VPN • Encapsulating Security Payload (ESP): Có tác dụng xác thực ( authentication ) , mã hóa ( encrytion ) và đảm bảo tính trọn vẹn dữ liệu ( securing of data ) • Authentication Header (AH) :cung cấp tính xác thực và bảo mật dữ liệu Ipsec Header • Ipsec ESP cung cấp : • Xác thực và toàn vẹn dữ liệu (MD5 hoặc SHA1- HMAC) dành cho cả giao thức ESP hay AH • Mã hóa và đảm bảo độ an toàn của gói tin (DES,3DES hoặc AES) chỉ dành cho ESP Xác thực ngang hàng • 1 số phương pháp: • Username and password • One Time Password OTP (Pin/Tan) • Biometric (Xác thực bằng sinh học) • Preshared keys • Digital certificates ( chữ ký số) Internet Key Exchange (IKE) • Giải quyết vấn đề cài đặt thủ công, khả năng mở rộng của Ipsec bằng việc tự động hóa quá trình trao đổi khóa: • Negotiation of SA characteristics • Automatic key generation • Automatic key refresh • Manageable manual configuration ISAKMP Cung cấp 1 nền tảng cho việc trao đổi khóa và bảo mật thông tin. SKEME Cơ chế sử dụng mã hõa khóa công khai để xác thực OAKLEY quản lý trao đổi khoá thông qua các SA IPsec Các giai đoạn hoạt động của IKE (IKE Phases) • IKE Phases 1 (Bắt buộc xảy ra trong quá trình IKE) • Xác thực giữa các thiết bị tham gia VPN (Authentication the peers) • Trao đổi các SA. • Có 2 chế độ hoạt động là Main Mode hoặc Aggresssive Mode • IKE Phases 1.5 (Không bắt buộc phải xảy ra) • Xauth (Extended Authentication) • Mode Config • IKE Phases2 ( Bắt buộc xảy ra) • Thiết lập IPsec SAs/SPIs • Sử dụng phương thức Quick Mode IKE Modes Các chức năng khác của IKE • Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ đếm thời gian . Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác. Mục đích chính để phát hiện hỏng hóc của các thiết bị . Thông thường các gói keepalives sẽ gửi mỗi 10s. • Hỗ trợ chức năng NAT-Traversal : Chức năng này có ý nghĩa là nếu trên đường truyền từ A tới B nếu có những thiết bị NAT or PAT đứng giữa thì lúc này IPSec nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường . [...]...Vấn đề IPsec và NAT ? Giải pháp IPsec NAT Traversal • Need NAT traversal with IPsec over TCP/UDP: • NAT traversal detection (phát hiện) • NAT traversal decision (quyết định) • UDP encapsulation of IPsec packets (đóng gói ) • UDP encapsulated process for software engines ( quá trình đóng gói) Mode Configuration Easy VPN Xauth • Cơ chế được sử dụng để xác thực người dùng với VPN client ESP and AH • IPsec. .. Mode Configuration Easy VPN Xauth • Cơ chế được sử dụng để xác thực người dùng với VPN client ESP and AH • IPsec protocols: – ESP or AH – ESP uses IP protocol number 50 – AH uses IP protocol number 51 • IPsec modes: – Tunnel or transport mode – Tunnel mode tạo 1 gói Ip mới – Transport mode xác thực gói tin hiện tại ESP and AH Header • ESP mã hóa và xác thực gói tin • AH xác thực nhưng không mã hóa AH... điệp và kiểm tra tính toàn vẹn Hàm băm được sử dụng rộng rãi cho mục đích này Các hàm băm thông thường • MD5 cấp 128 bit cho output • SHA-1 cấp đầu ra 160 bit cho output (chỉ 96 bit đầu được sử dụng cho IPsec) • SHA-1 tính toán chậm hơn MD5 nhưng lại an toàn hơn Thuật toán mã hóa đối xứng và không đối xứng • Thuật toán đối xứng: - Mã hóa khóa riêng tư - Mã hóa khóa công khai Sử dụng cùng 1 khóa để mã... công việc… CA Chữ kí số Đăng kí một khóa riêng tư của CA Cách trao đổi thông tin trong PKI Các loại chứng chỉ trong PKI • Các cách để lưu trữ các chứng chỉ của PKI: - Khóa RSA và các chứng chỉ VNRAM Mô hình nhận dạng số eToken: • • • • Cisco 871, 1800, 2800, 3800 Series router Cisco IOS Release 12.3(14)T image Cisco USB eToken A k9 image . cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP • IPSec cung cấp một cơ chế bảo mật ở tầng 3 (Network layer) của mô hình OSI. IPSec được thiết kế như phần mở rộng của giao thức IP, được. đứng giữa thì lúc này IPSec nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường . Vấn đề IPsec và NAT ? Giải pháp IPsec NAT Traversal • Need. securing of data ) • Authentication Header (AH) :cung cấp tính xác thực và bảo mật dữ liệu Ipsec Header • Ipsec ESP cung cấp : • Xác thực và toàn vẹn dữ liệu (MD5 hoặc SHA1- HMAC) dành cho cả giao