HỌC VIỆN KỸ THUẬT QUÂN SỰ TRẦN VĂN HOÀNG CĐĐTVT15 HỆ ĐÀO TẠO CHÍNH QUY BÀI TẬP TỐT NGHIỆP NGÀNH: ĐIỆN - ĐIỆN TỬ MÃ SỐ: 20.00 MẠNG RIÊNG ẢO TRÊN NỀN IPSEC Cán hướng dẫn khoa học: Đại tá, GVC, ThS MAI VĂN QUÝ HÀ NỘI - 2016 BỘ QUỐC PHÒNG CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM HỌC VIỆN KỸ THUẬT QUÂN SỰ KHOA: VÔ TUYẾN ĐIỆN TỬ ĐỘC LẬP - TỰ DO - HẠNH PHÚC Phê chuẩn Độ mật: ………… Ngày … tháng … năm 2016 Số: ……………… CHỦ NHIỆM KHOA NHIỆM VỤ BÀI TẬP TỐT NGHIỆP Họ tên: TRẦN VĂN HOÀNG Ngành: Điện– Điện tử Lớp: CĐĐTVT 15 Khóa: 2013 - 2016 Chuyên ngành: Điện tử viễn thông Tên đề tài: MẠNG RIÊNG ẢO TRÊN NỀN IPSEC Các số liệu ban đầu: Tài liệu tiếng Việt tiếng Anh mạng riêng ảo IPSEC Bản nội dung thuyết minh: Lời nói đầu Chương Mạng Truyền Thơng IP Chương Mạng riêng ảo IPSEC Kết luận Số lượng, nội dung vẽ (ghi rõ loại, kích thước cách thực hiện vẽ) sản phẩm cụ thể (nếu có): 05 A0 Cán hướng dẫn: Đại tá Mai Văn Quý, giáo viên mời, môn Thông tin, khoa Vô tuyến điện tử, HVKTQS hướng dẫn toàn Ngày giao: / / 2016 Ngày hoàn thành: / /2016 Hà Nội, ngày tháng …… năm 2016 Chủ nhiệm môn Cán hướng dẫn (Ký, ghi rõ họ tên, học hàm, học vị) Đại tá, GVC, ThS Mai Văn Quý Sinh viên thực Đã hoàn thành nộp đồ án ngày 4… tháng 5… năm 2016 (Ký ghi rõ họ tên) Trần Văn Hoàng DANH MỤC TỪ VIẾT TẮT 10 11 12 13 14 OSI Open System Mơ hình tham chiếu kết nối hệ LLC MAC PSTN Interconnection Logical Link Control Media Access Control Public Switched thống mở Điều khiển liên kết logic Điều khiển truy nhập môi trường Mạng chuyển mạch điện thoại công IP CIDR Telephone Network Internet Protocol Classless Inter Domain cộng Giao thức kết nối internet Lược đồ địa cho internet SCTP Routing Stream Control Giao thức điều khiển truyền vận IETF Transmission Protocol Internet Engineering Lực lượng quản lý kĩ thuật RTP Task Force Real-time Transport giao thức giao vận thời gian thực ICMP Protocol Internet Control Message Giao thức điều khiển tầng IP IGMP Protocol Internet Group Internet nhóm quản lý giao thức RIP Management Protocol Routing information Giao thức định tuyến BGP protocol Border Gateway Giao thức định tuyến liên vùng (giữa ATM Protocol Asynchronous Transfer AS) Chế độ truyền không đồng Mode 15 ESP Encapsulating Security Payload 16 17 18 19 AH IKE SA DES Authentication Header Internet Key Exchange Security Association Data Encryption Thơng tin mào đầu Thuật tốn mã hóa khối 20 AES Standard Advanced Encryption Thuật tốn mã hóa khối Standard Mục lục THUẬT NGỮ VIẾT TẮT iii DANH MỤC HÌNH VẼ vii DANH MỤC BẢNG BIỂU viii LỜI NÓI ĐẦU …………………………………………………………… … …8 CHƯƠNG : TỔNG QUAN VỀ MẠNG TRUYỀN THÔNG VÀ IP……………….10 1.1Tổng quan mạng truyền thông……………………………………………… 10 1.1.1 Tầng vật lý………………………………………………………………….10 1.1.2 Lớp liên kết dữliệu………………………………………………………….12 1.1.3 Lớpmạng……………………………………………………………………13 1.1.4 Lớp giao vận……………………………………………………………… 15 1.1.5 Lớp phiên………………………………………………………………………….16 1.1.6 Lớp trình diễn……………………………………………………………….17 1.1.7 Lớp ứng dụng……………………………………………………………… 17 1.2 Tổng quan IP………………………………………………………………… 18 1.2.1 Giao thức TCP/IP………………………………………………………… 20 1.2.2 1.2.3 Các bước đóng gói liệu mơ hìnhTCP/IP………………………….27 So sánh mơ hình OSI TCP/IP……………………………………………27 1.3 Mạng riêng ảo …………………………………………………………………………………28 1.3.1 Các khái niệm mạng riêng ảo…………………………………………………………….28 1.3.2 Một số ví dụ Mạng riêng ảo………………………………………………………………………… 29 1.3.3 Những lợi ích mạng tiêng ảo……………………………………………………………………………… 30 CHƯƠNG : MẠNG RIÊNG ẢO TRÊN NỀN IPSEC ………………………………………………………32 2.1 Giới thiệu IPSEC …………………………………………………………………………………………………………….32 2.2 Đóng gói thơng tin IPSEC ……………………………………………………………… 36 2.2.1 Các chế độ hoạt động…………………………………….…………36 2.2.2 Giao thức tiêu đề xác thực AH 38 2.2.3 Giao thức đóng gói tải tin an tồn ESP .47 2.3 Liên kết an ninh hoạt động trao đổi khóa……………………………………54 2.3.1 Liên kết an ninh .………54 2.3.2 Hoạt động trao đổi khóa IKE……… ………………………………59 2.4 Xử lý hệ thống IPSec/IKE……………………………………………………… 69 2.4.1 Xử lý IPSec cho đầu với hệ thống máy chủ…………… 69 2.4.2 Xử lý đầu vào với hệ thống máy chủ Host…………………70 2.4.3 Xử lý đầu với hệ thống cổng kết nối…………………….71 2.4.4 Xử lý đầu vào với hệ thống cổng kết nối……………………72 2.4 Một số vấn đề kỹ thuật thực VPN IPSEC………….…… 73 2.4.1 Mật mã……………………………………………………………… 73 2.4.2 Toàn vẹn tin…………………………………………………… 75 2.4.3 Xác thực bên………………………………………………….…77 2.4.4 Quản lý khóa……………………………………………………………………78 2.5 Các vấn đề tồn IPSEC………………………………………….…79 LỜI KẾT ………………………………………………………………………… …81 LỜI NÓI ĐẦU Chúng ta sống thời đại mới, thời đại phát triển rực rỡ công nghệ thông tin, đặc biệt cơng nghệ máy vi tính mạng internet với bùng nổ hàng ngàn cách mạng lớn nhỏ Sự đời Internet dịch vụ mang lại cho người nhiều lợi ích to lớn, góp phần thúc đẩy kinh tế phát triển mạnh mẽ, đơn giản hóa thủ tục lưu trữ, xử lý, trao chuyển thông tin phức tạp, liên lạc kết nối vị trí, khoảng cách lớn cách nhanh chóng, hiệu quả… trở thành yếu tố thiếu phát triển kinh tế, trị văn hóa, tư tưởng quốc gia hay châu lục Con người không bị giới hạn khoảng cách địa lý, có đầy đủ quyền để sáng tạo giá trị vô giá vật chất tinh thần, thỏa mãn khát vọng lớn lao họ tồn nhân loại Tuy nhiên lượng thông tin chia sẻ trao đổi ngày lớn có có nhiều thơng tin nhạy cảm quan trọng Do đó, mơi trường kết nối mở internet vơ hình chung lại mơi trường dễ dàng kẻ xấu lợi dụng để công khai thác liệu quan trọng hay thực hiện mục đích phá hoại chúng Nhu cầu đặt phải tìm giải pháp tận dụng ưu điểm sở hạ tầng mạng cơng cộng để truyền thơng cách an tồn hiệu Mạng riêng ảo giải pháp cho phép tạo kết nối riêng an tồn mạng cơng cộng Hiện nay, cơng nghệ mạng riêng ảo nghiên cứu ứng dụng rộng rãi nước giới Với mục đích nghiên cứu cơng nghệ mạng riêng ảo khả ứng dụng bảo mật thơng tin mạng, nên nhóm chúng em chọn đề tài “Mạng riêng ảo IPSec” làm tập tốt nghiệp Nội dung tập gồm chương: Chương : Tổng quan mạng truyền thông IP Chương : Mạng riêng ảo IPSEC Bản báo cáo đề cập đến vấn đề lớn tương đối phức tạp, đòi hỏi nhiều thời gian kiến thức lý thuyết thực tế Do thời gian nghiên cứu chưa nhiều trình độ thân hạn chế, nên làm em không tránh khỏi khiếm khuyết Em mong nhận hướng dẫn, bảo thầy, cô giáo đóng góp nhiệt tình bạn để giúp em bổ sung vốn kiến thức tiếp tục nghiên cứu đề tài nêu cách tốt hơn, hoàn chỉnh Cuối em xin chân thành cảm ơn thầy giáo Ths Mai Văn Quý, thầy cô giáo Học viện kỹ thuật quân tận tình giúp đỡ em suất thời gian học tập làm tập tốt nghiệp Xin cảm ơn bạn bè gia đình giúp đỡ, quan tâm thời gian qua Em xin chân thành cảm ơn ! Sinh viên Trần Văn Hoàng CHƯƠNG TỔNG QUAN VỀ MẠNG TRUYỀN THÔNG VÀ IP 1.1 TỔNG QUAN VỀ MẠNG TRUYỀN THƠNG Cơng nghệ viễn thơng hiện đạt tới mức mà giây lát trao đổi thông tin với từ hai điểm trái đất Việc trao đổi thơng tin thực hiện nhờ vào mạng truyền thông công cộng Có thể nói xã hội thơng tin muốn phát triển phải dựa sở hạ tầng mạng truyền thông đủ lực Sự liên kết mạng với sở để liên kết quốc gia, tổ chức,doanh nghiệp cá nhân tồn giới Phần trình bày nguyên lý hoạt động trao đổi thông tin mạng truyền thông.Cách tiếp cận thường sử dụng việc tìm hiểu nguyên lý hoạt động mạng dựa theo mơ hình OSI Mục đích mơ hình cho phép tương giao hệ máy đa dạng cung cấp nhà sản xuất khác Mơ hình cho phép tất thành phần mạng hoạt động hòa đồng, thành phần tạo dựng Mơ hình OSI cấu trúc phả hệ có tầng: 1.1.1 Tầng vật lý Tầng vật lý tầng thứ bảy tầng mơ hình OSI Tầng chịu trách nhiệm ứng đòi hỏi dịch vụ từ tầng liên kết liệu Tầng ám đến phần cứng mạng truyền thông, đến hệ thống dây nối cụ thể, đến liên kết viễn thông điện từ Tầng xử lý thiết kế điện, khống chế xung đột , chức hạ tầng thấp 59 Hình 2.22 Đường hầm IPSec thiết lập 2.3.2.5 Kết thúc đường hầm Các liên kết an ninh IPSec SA kết thúc bị xóa bỏ hết thời gian tồn Khi bên IP-VPN khơng sử dụng SA bắt đầu giải phóng sở liệu SA Các khóa bị loại bỏ Nếu thời điểm bên IPVPN muốn trao đổi thơng tin với IKE pha hai thực hiện Trong trường hợp cần thiết thực hiện lại từ IKE pha Thông thường, để đảm bảo tính liên tục thơng tin SA thiết lập trước SA cũ hết hạn 60 Hình 2.23 Kết thúc đường hầm IPSec 2.4 Xử lý hệ thống IPSec/IKE Đây điều quan trọng để hiểu cách thức hệ thống xử lý gói liệu, lúc gói chuyển đến có sử dụng IPSec IKE Với bảo mật IP đặt vị trí, gói liệu khơng xử lý, chuyển tiếp hủy bỏ cách đơn giản mà phải phụ thuộc vào sách bảo mật để xác định trình xử lý IPSec bổ sung yêu cầu phải xẩy Mặc dù có khác không đáng kể Platform cách thức chúng thực hiện IPSec chồng IP riêng biệt chúng, chức thông thường trình xử lý IPSec với hệ thống Host Getway tổng kết lại sau: 2.4.1 Xử lý IPSec cho đầu với hệ thống máy chủ Với IPSec hoạt động, gói liệu phụ thuộc vào sở liệu sách bảo mật(SPD) để xác định trình xử lý IPSec yêu cầu xử lý khác thực hiện với gói Nếu IPSec yêu cầu, sở liệu liên kết bảo mật(SAD) tìm kiếm SA tồn cho gói liệu thích hợp với hồ sơ Nếu khơng có trường hợp tìm thấy IKE yêu cầu SA ngoại tuyến hỗ trợ Một trình thương lượng IKE bắt đầu mà cuối dẫn đến việc thiết lập SA mong muốn cho gói Cuối cùng, IPSec áp dụng để gói yêu cầu SA gói liệu phân phối Quá trình xử lý minh họa hình 2.23 61 Hình 2.24: IPSec – Xử lý đầu với hệ thống Host 2.4.2 Xử lý đầu vào với hệ thống máy chủ Host Với IPSec hoạt động, gói liệu vào phụ thuộc vào SPD để xác định xử lý IPSec yêu cầu hay xử lý khác thực hiện với gói liệu Nếu IPSec yêu cầu, SAD truy cập đến để tìm SPI tồn thích hợp với giá trị SPI chứa gói Nếu khơng có giá trị phù hợp, có tùy chọn Loại bỏ gói tin mà khơng cho người gửi biết(nhưng ghi nhật ký kiện cấu hình) Tùy chọn ngầm định hầu hết IPSec ngày Nếu IKE yêu cầu SA nội tuyến hỗ trợ, thỏa thuận IKE bắt đầu kết cuối việc thiết lập SA với người gửi gói liệu gốc Trong trường hợp này, khơng vấn đề gói liệu gốc IPSec bảo vệ dạng rõ, tin tưởng vào sách cục Tuy nhiên, u cầu người gửi gói liệu gốc đáp ứng thỏa thuận IKE, dự tính gói bị hủy bỏ SA thiết lập Cuối cùng, IPSec áp dụng với gói yêu cầu SA gói tải phân phối tới tiến trình cục Quá trình xử lý minh họa hình 2.24 Hình 2.25: IPSec – Xử lý hướng nội với hệ thống máy chủ Host 2.4.3 Xử lý đầu với hệ thống cổng kết nối Trên hệ thống cổng kết nối, gói liệu thường tùy thuộc vào SPD giao diện bảo mật để định phải làm với Nếu định để định tuyến gói liệu, bảng định tuyến tra cứu để định gói phân phối tới 62 Nếu khơng có route tìm thấy Quá trình xử lý IPSec khơng thực hiện, người gửi gói liệu gốc cho biết vấn đề cách dùng thông điệp không tới mạng ICMP Chúng ta thừa nhận rằng, hệ thống cổng kết nối tận dụng giao thức định tuyến định nghĩa định tuyến mặc định định định tuyến thành cơng thực hiện Từ phạm vi trên, chất trình xử lý giống hệ thống Host Gói liệu sau chuyển tiếp đến SPD giao diện không bảo mật để định xử lý IPSec yêu cầu hay xử lý khác thực hiện với gói liệu Nếu IPSec yêu cầu, SAD truy cập để tìm kiếm SA có cho gói phù hợp với hồ sơ Nếu khơng trường hợp tìm thấy, IKE yêu cầu SA ngoại tuyến hỗ trợ, thỏa thuận IKE bắt đầu mà cuối dẫn đến việc thiết lập SA mong muốn cho gói liệu Cuối cùng, IPSec áp dụng cho gói yêu cầu SA gói liệu phân phối Quá trình xử lý minh họa hình 2.25 Hình 2.26: IPSec – Xử lý đầu với hệ thống cổng kết nối 2.4.4 Xử lý đầu vào với hệ thống cổng kết nối Trên hệ thống cổng kết nối có IPSec hoạt động, gói liệu vào tùy thuộc vào SPD để định xem trình xử lý IPSec yêu cầu hay xử lý khác thực hiện với gói Nếu IPSec yêu cầu, SAD truy cập để tìm kiếm 63 SPI tồn phù hợp với giá trị SPI chứa gói liệu Nếu khơng có trường hợp tìm thấy, có tùy chọn: Hủy bỏ gói liệu mà khơng báo cho người gửi biết, ghi vào nhật ký kiện cấu hình Nếu IKE yêu cầu SA đầu vào hỗ trợ, thỏa thuận IKE bắt đầu mà cuối dẫn đến việc thiết lập SA với người gửi gói liệu gốc Trong trường hợp này, gói liêu gốc bảo vệ IPSec dạng rõ khơng quan trọng, tin tưởng vào sách cục Tuy nhiên, yêu cầu người gửi phải đáp ứng thỏa thuận IKE, dự tính gói liệu hủy bỏ SA thiết lập Hình 2.27: IPSec – Xử lý đầu vào với cổng kết nối Một gói liệu xử lý thành cơng IPSec, q trình lặp với bó SA, định chọn đường phải thực hiện để làm với gói Nếu gói liệu dự định chuyển đến Host khác, phân phối qua giao diện thích hợp theo bảng định tuyến Nếu gói liệu dự định chuyển đến cổng kết nối nó, liệu tải phân phối tới tiến trình xử lý cục Quá trình minh họa hình 2.27 64 2.4 MỘT SỐ VẤN ĐỀ KỸ THUẬT TRONG THỰC HIỆN VPN TRÊN NỀN IPSec IPSec sử dụng nhiều giao thức kỹ thuật tồn để mã hóa, xác thực liệu trao đổi khóa Điều làm cho IPSec trở thành tiêu chuẩn phổ biến ứng dụng đảm bảo an ninh thông tin VPN Dưới số giao thức kỹ thuật mật mã, đảm bảo tồn vẹn thơng tin, xác thực bên quản lý trao đổi khóa Đây kỹ thuật có liên quan chặt chẽ đến việc thực hiên VPN IPSec 2.4.1 Mật mã Có thể mật mã tin sử dụng giao thức ESP Bản tin mật mã cho phép gửi thông tin qua mạng công cộng mà không sợ bị xâm phạm liệu Một số tiêu chuẩn để mật mã liệu Chuẩn mật mã liệu DES (Data Encryption Standard) có độ dài khóa 56 bit, 3DES (Triple DES) có độ dài khóa 168 bit Chuẩn mật mã tiên tiến AES (Advanced Encryption Standard) có độ dài khóa 128, 192 256 bit Các thuật tốn sử dụng khóa để mã hóa giải mã thơng tin DES DES phương pháp mật mã liệu tiêu chuẩn cho số giải pháp VPN Được IBM phát triển vào năm 1977, DES áp dụng khóa 56 bit cho 64 bit liệu kỹ thuật mật mã mạnh Nó xem khơng thể bẻ gãy vào thời điểm đó, sau máy tính tốc độ cao bẻ gãy DES khoảng thời gian ngắn, DES khơng sử dụng cho ứng dụng bảo mật cao Kỹ thuật DES-CBC nhiều phương pháp DES Chế độ chuỗi khối mật mã CBC (Cipher Block Chaining) yêu cầu véc-tơ khởi tạo IV (Initialization Vector) để bắt đầu mật mã IPSec đảm bảo hai phía VPN có 65 IV hay khóa bí mật chia sẻ Khóa bí mật chia sẻ đạt vào thuật toán mật mã DES để mật mã khối 64 bit rõ chia Bản rõ chuyển đổi thành dạng mật mã đưa tới ESP để truyền qua bên Khi xử lý ngược lại, khóa bí mật chia sẻ sử dụng để tạo lại rõ 3DES Một phiên DES 3DES Nó có tên thực hiện trình mật mã DES sử dụng q trình đóng gói, q trình mở gói q trình đóng gói khác với khóa 56 bit khác Ba trình tạo tổ hợp khóa 168 bit, cung cấp phương thức mã hóa mạnh Tất sản phẩm phần mềm Cisco VPN hỗ trợ thuật tốn mã hóa 3DES với khóa 168 bit thuật tốn DES 56 bit AES Hiện nay, nhiều tổ chức uy tín đề nghị đưa số thuật toán cho AES thuật toán MÁ (IBM), RC6 (RSA), Twofish (Bruce Schneier), Rijndael (Joan Daemen/Vincent Rijmen),… Năm 2000, NIST (US National Institute of Standard and Technology) chọn thuật toán Rijndael, thực hiện mạng hốn vị thay cải tiến 10 vòng cho chuẩn AES Hiện AES chuẩn mật mã khối đối xứng thực hiện phần cứng phần mềm AES thiết kế để tăng độ dài khóa cần thiết Độ dài khối liệu AES 128 bit, độ dài khóa 128, 192 256 bit 2.4.2 Toàn vẹn tin Sự toàn vẹn tin thực hiện nhờ sử dụng hằm băm tốn học để tính tốn đặc trưng tin hay tệp liệu Đặc trưng gọi giản lược tin MD (Message Digest) độ dài phụ thuộc vào hàm băm sử dụng Tất 66 phần giản lược tin truyền với liệu tới trạm đích, nơi mà thực hiện hàm băm để tạo giản lược tin nhận Giản lược tin nguồn đích đối chiếu, sai lệch có nghĩa tin bị biến đổi kể từ tin nguồn thiết lập Sự tương xứng với có nghĩa liệu khơng bị biến đổi trình truyền Khi sử dụng giao thức IPSec, việc tạo giản lược tin áp dụng với trường khơng biến đổi gói tin IP Các trường biến đổi thay giá trị giá trị dự đốn Giản lược tin MD sau đặt vào trường liệu xác thực (ICV) AH Thiết bị đích sau chép MD từ AH tách trường liệu xác thực trước tính tốn lại MD Với giao thức ESP việc xử lý tương tự Giản lược tin tạo nhờ sử dụng liệu khơng biến đổi gói tin IP tiêu đề ESP kết thúc phần đuôi ESP Giá trị MD tính tốn sau đặt vào trường ICV cuối gói tin Với ESP, trạm đích khơng cần tách trường ICV đặt bên ngồi phạm vi hàm băm thơng thường Có hai thuật tốn để hỗ trợ tồn vẹn tin MD5 SHA-1 (Secure Hash Alogrithm-1) Chúng sử dụng chế khóa băm gọi HMAC (Hashed-keyed Message Authentication Code) Mã xác thực tin băm HMAC RFC 2104 trình bày thuật tốn HMAC Nó phat triển để làm việc với thuật toán băm tồn MD5 SHA-1 Nhiều trình xử lý an ninh phức tạp chia sẻ liệu yêu cầu sử dụng khóa bí mật chế gọi mã xác thực tin MAC (Message Authentication Code) Một bên tạo MAC sử dụng khóa bí mật truyền cho bên Bên nhận tạo lại MAC sử dụng khóa bí mật so sánh hai giá trị MAC với 67 MD5 SHA-1 có nguyên lý tương tự nhau, chúng sử dụng khóa bí mật khác Điều yêu cầu để phát triển HMAC HMAC thêm vào khóa bí mật cho tiêu chuẩn thuật tốn băn tính tốn giải lược tin Khóa bí mật thêm vào theo thể thức độ dài kết giản lược tin khác sử dụng thuật toán khác Thuật toán giản lược tin MD5 Thuật toán MD5 thực hiện giản lược tin hay trường liệu thành mô tả ngắn gọn 128 bit Với HMAC-MD5-96, khóa bí mật có độ dài 128 bit Với AH ESP, HMAC sử dụng có 96 bit nằm bên trái, đặt chúng vào trường xác thực Bên đích sau tính tốn lại 128 bit giản lược tin sử dụng 96 bit nằm bên trái để so sánh với giá trị lưu trường xác thực MD5 tạo giản lược tin ngắn SHA-1, xem an tồn kết lại thực hiện tốt Tuy nhiên, MD5 khơng có HMAC yếu cho lựa chon dịch vụ bảo mật Thuật tốn băm an tồn SHA Thuật tốn băm an tồn SHA mơ tả RFC 2404 SHA-1 tạo giản lược tin dài 160 bit sử dụng khóa bí mật 160 bit Có thể với vài sản phẩm lấy 96 bit bên trái giản lược tin để gửi vào trường xác thực Bên thu tạo lại giản lược tin 160 bit sử dụng khóa bí mật 160 bit so sánh 96 bit bên trái với giản lược tin khung trường xác thực Giản lược tin SHA-1 dài an toàn so với MD5 Điều xem an toàn, cần mức độ an toàn cao cho toàn vẹn tin chọn thuật tốn HMAC-SHA-1 68 2.4.3 Xác thực bên Một xử lý IKE thực hiện xác thực bên Quá trình diễn pha sử dụng thuật tốn khóa băm với ba loại khóa sau: - Khóa chia sẻ trước (Pre-shared Keys) - Chữ ký số RSA (RSA Signatures) - Số ngẫu nhiên mật mã RSA (RSA-encrypted Nonces) Khóa chia sẻ trước Xử lý khóa chia sẻ trước xử lý thủ công Người quản trị đầu cuối cảu IPSec-VPN đồng ý để khóa sử dụng, sau đặt khóa vào thiết bị trạm cổng an ninh cách thủ công Phương pháp đơn giản, không ứng dụng rộng rãi Chữ ký số RSA Một chứng thực số người có quyền chứng thực CA (Certificate Authority) cung cấp chữ ký số RSA vào lúc đăng ký Chữ ký số đảm bảo an ninh khóa chia sẻ Một cấu hình ban đầu hồn thành, bên sử dụng chữ ký số RSA xác thực đối phương mà không cần can thiệp người điều hành Khi chữ ký số RSA u cầu, cặp khóa cơng cộng khóa riêng sinh Trạm sử dụng khóa riêng tạo chữ ký số gửi chữ ký số tới bên Bên nhận sử dụng khóa cơng cộng từ chữ ký số để phê chuẩn chữ ký số nhận từ bên gửi Số ngẫu nhiên mật mã RSA 69 Phương pháp số ngẫu nhiên mật mã RSA sử dụng chuẩn mật mã RSA với khóa cơng cộng Nó u cầu bên tạo số giả ngẫu nhiên mật mã hóa số theo khóa cơng cộng phía bên Q trình xác thực xảy bên giải mã giá trị số ngẫu nhiên phía bên với khóa riêng cục bộ, sau sử dụng số ngẫu nhiên giải mã để tính tốn băm 2.4.4 Quản lý khóa Quản lý khóa vấn đề quan trọng làm việc với IPSec-VPN Có khóa cố định cho bên IPSec quan hệ với nhau, bao gồm : - khóa riêng làm chủ bên không chia sẻ Chúng sử dụng làm mật mã tin - khố cơng cộng làm chủ bên chia sẻ cho người Những khóa sử dụng để kiểm tra chữ ký - Khóa thứ sử dụng khóa bảo mật chia sẻ Cả hai bên sử dụng khóa cho mật mã hàm băm Đây khóa tạo thuật tốn DiffieHellman Trong thực tế, khóa riêng khóa cơng cộng sử dụng cho nhiều kết nối IPSec bên đưa Đối với tổ chức nhỏ, tồn khóa quản lý thủ công Tuy nhiên, cố gắng phân chia xử lý để hỗ trợ số lượng lớn phiên VPN xuất hiện nhiều vấn đề cần phải giải Giao thức Diffie-Hellman kỹ thuật chứng thực số thông qua CA hai số giải pháp hiệu để quản lý khóa cách tự động 2.5 CÁC VẤN ĐỀ CÒN TỒN TẠI TRONG IPSec Mặc dù IPSec đưa đặc tính cần thiết để đảm bảo thiết lập kết nối an toàn thơng qua mạng Internet, số vấn đề cần phải giải để hỗ trợ 70 tốt cho việc thực hiện VPN Dưới số vấn đề đặt IPSec để phát triển hướng tới hồn thiện + Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kỹ thuật nghiên cứu chưa chuẩn hóa + IKE cơng nghệ chưa thực khẳng định khả Phương thức chuyển khóa thủ cơng lại khơng thích hợp cho mạng có số lượng lớn đối tượng di động + IPSec thiết kế để hỗ trợ bảo mật cho lưu lương IP, không hỗ trợ dạng lưu lượng khác + Việc tính tốn nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu + Việc phân phối phần cứng phần mềm mật mã bị hạn chế phủ số quốc gia 71 KẾT LUẬN Sau tháng nghiên cứu với giúp đỡ thầy giáo Mai Văn Quý đề tài mạng riêng ảo IPSEC, em thấy IPSEC phương thức chuẩn để cung cấp dich vụ bảo mật cho gói IP IPSEC tảng cho phát triển sử dụng công cụ bảo mật khác mạnh sau Nó giúp ta bảo vệ liệu người dùng nguồn tài nguyên mạng IPSEC thực chất sử dụng mẫu bảo mật có sẵn lại có khả bảo mật cao hiệu Đồ án tập trung trình bày: - Các khái niệm tìm hiểu mạng truyền thơng IP Mơ hình phân lớp OSI - Khái niệm mạng riêng ảo VPN - Mạng riêng ảo IPSEC , ưu nhược điểm - Các vấn đề tồn mạng riêng ảo IPSEC Một lần nữa, em xin gửi lời cảm ơn chân thành đến thầy cô giáo Học viện Kỹ thuật quân sự, đặc biệt thầy giáo Th.S Mai Văn Quý tận tình dạy dỗ giúp đỡ em trình học tập làm tập Song thời gian trình độ có hạn nên làm khó tránh khỏi thiếu xót, em mong nhận ý kiến đóng góp thầy bạn bè để em bổ sung hoàn thiện tập Em xin chân thành cảm ơn! SINH VIÊN 72 Trần Văn Hoàng TÀI LIỆU THAM KHẢO [1] TS Nguyễn Tiến Ban, “ Công nghệ IP/MPLS mạng riêng ảo”, Nhà xuất Thông tin truyền thông, 2011 [2] TS Trần Công Hùng, “Chuyển mạch nhãn đa giao thức MPLS”, Nhà xuất Bưu Điện, 2009 73 [3] TS Phùng Văn Vận, KS Đỗ Mạnh Quyết, “Công nghệ chuyển mạch nhãn đa giao thức MPLS”, Nhà xuất Bưu Điện, 2003 [4] TS Nguyễn Tiến Ban, Th.S Hoàng Trọng Minh Mạng Riêng Ảo VPN, 2007, Học viện CNBCVT Và số tài liệu mạng ... ……………………………………………………… 32 2.1 Giới thiệu IPSEC ……………………………………………………………………………………………………………. 32 2 .2 Đóng gói thơng tin IPSEC ……………………………………………………………… 36 2. 2.1 Các chế độ hoạt động…………………………………….…………36 2. 2 .2 Giao... thực AH 38 2. 2.3 Giao thức đóng gói tải tin an tồn ESP .47 2. 3 Liên kết an ninh hoạt động trao đổi khóa……………………………………54 2. 3.1 Liên kết an ninh .………54 2. 3 .2 Hoạt động trao đổi... dụng……………………………………………………………… 17 1 .2 Tổng quan IP………………………………………………………………… 18 1 .2. 1 Giao thức TCP/IP………………………………………………………… 20 1 .2. 2 1 .2. 3 Các bước đóng gói liệu mơ hìnhTCP/IP………………………… .27 So sánh mơ hình OSI