BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THƠNG  BÁO CÁO MƠN : CƠ SỞ AN TỒN THƠNG TIN ĐỀ TÀI TÌM HIỂU VỀ GIAO THỨC BẢO MẬT IPSec GVHD : NHÓM PHAN ĐÌNH THỌ TRẦN PHÚ THÀNH TRỊNH QUANG THÀNH CẤN ANH CHIÊU HOÀNG XUÂN DẬU D12ATTTM B12DCCN348 B12DCCN248 B12DCCN042 B11210405 MỤC LỤC GIỚI THIỆU Tổng quan giao thức bảo mật IPSec I II Kiến trúc IP Security : Kiến trúc IPSec Khung giao thức IPSec : Tính IPSec Các giao thức IPSec III Hoạt động IP Security : 10 Bảng danh mục từ viết tắt, ký hiệu: ……………………………………………… 13 KẾT LUẬN:…………………………………………………………………………………………15 GIỚI THIỆU Internet hệ thống thơng tin tồn cầu truy nhập cơng cộng gồm mạng máy tính liên kết với Hệ thống truyền thông tin theo kiểu nối chuyển gói liệu (packet switching) dựa giao thức liên mạng chuẩn hóa (giao thức IP) Hệ thống bao gồm hàng ngàn mạng máy tính nhỏ doanh nghiệp, viện nghiên cứu trường đại học, người dùng cá nhân phủ tồn cầu Mạng Internet mang lại nhiều tiện ích hữu dụng cho người sử dụng, tiện ích phổ thông Internet hệ thống thư điện tử (email), trò chuyện trực tuyến (chat),cơng cụ tìm kiếm (search engine), dịch vụ thương mại chuyển ngân dịch vụ y tế giáo dục chữa bệnh từ xa tổ chức lớp học ảo Chúng cung cấp khối lượng thông tin dịch vụ khổng lồ Internet Trong thập kỷ qua, Internet phát triển bùng nổ với tốc độ chóng mặt tồn giới số lượng kĩ thuật Và phát triển khơng có dấu hiệu dừng lại Sự phát triển khơng đơn giản số lượng lớn thành viên kết nối vào hệ thống Internet mà xâm nhập vào khía cạnh sống đại, vào hoạt động thương mại với quy mô lớn nhỏ khác Ban đầu, tổ chức quan sử dụng Internet để giới thiệu sản phẩm dịch vụ website Cùng với thời gian, phát triển thành thương mại điện tử, hoạt động kinh doanh, giao dịch thực qua mạng internet Bài toán đặt làm để bảo mật an tồn cho liệu q trình truyền qua mạng? Làm bảo vệ chống lại cơng q trình truyền tải liệu đó? Sau tìm hiểu bảo mật liệu qua mạng việc sử dụng IPSec I Tổng quan giao thức bảo mật IPSec Thuật ngữ IPSec từ viết tắt thuật ngữ Internet Protocol Security Giao thức IPSec phát triển tổ chức Internet Engineering Task Force (IETF) IPSec bao gồm hệ thống giao thức chuẩn, cung cấp dịch vụ bảo mật q trình truyền thơng tin tảng Internet Protocol (IP) Bao gồm xác thực mã hoá (Authenticating and Encrypting) cho gói IP (IP packet) q trình truyền thông tin Mọi giao tiếp mạng sở IP dựa giao thức IP Do đó, chế bảo mật cao tích hợp với giao thức IP, tồn mạng bảo mật giao tiếp qua tầng (Network layer) mơ hình OSI (Đó lý IPSec phát triển giao thức tầng thay tầng 2) Hình 1.1: IPSec mơ hình OSI IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển khai bắt buộc II Kiến trúc IP Security : Kiến trúc IPSec IPSec giao thức phức tạp, dựa nhiều kỹ thuật sở khác mật mã, xác thực, trao đổi khoá… Xét mặt kiến trúc, IPSec xây dựng dựa thành phần sau đây, thành phần định nghĩa tài liệu riêng tương ứng: Hình 1: Vị trí IPSec OSI - Kiến trúc IPSec (RFC 2401): Quy định cấu trúc, khái niệm yêu cầu IPSec - Giao thức ESP (RFC 2406): Mô tả giao thức ESP, giao thức mật mã xác thực thông tin IPSec - Giao thức AH (RFC 2402): Định nghĩa giao thức khác với chức gần giống ESP Như triển khai IPSec, người sử dụng chọn dùng ESP AH, giao thức có ưu nhược điểm riêng - Thuật tốn mật mã: Định nghĩa thuật toán mã hoá giải mã sử dụng IPSec IPSec chủ yếu dựa vào thuật toán mã hoá đối xứng - Thuật toán xác thực: Định nghĩa thuật tốn xác thực thơng tin sử dụng AH ESP - Quản lý khố (RFC 2408): Mơ tả chế quản lý trao đổi khoá IPSec - Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường thực thi IPSec IPSec công nghệ riêng biệt mà tổ hợp nhiều chế, giao thức kỹ thuật khác nhau, giao thức, chế có nhiều chế độ hoạt động khác Việc xác định tập chế độ cần thiết để triển khai IPSec tình cụ thể chức miền thực thi Xét mặt ứng dụng, IPSec thực chất giao thức hoạt động song song với IP nhằm cung cấp chức mà IP nguyên thuỷ chưa có, mã hố xác thực gói liệu Một cách khái quát xem IPSec tổ hợp gồm hai thành phần:  Giao thức đóng gói [AH + ESP]: Bảo vệ truyền thơng IP, dựa vào SA (khóa, địa chỉ, thuật toán mật mã)  Giao thức trao đổi khoá IKE (Internet Key Exchange): Để thiết lập SA (SA – Security Association) cho AH ESP, trì/quản lí kết nối Khung giao thức IPSec : IPSec tập chuẩn mở, phát triển IETF Hình 2: Khung giao thức sử dụng IPSec Một số tính khuyến khích sử dụng làm việc với IPSec: – Các giao thức bảo mật IPSec: + AH (Authentication Header) + ESP (Encapsulation Security Payload) – Các thuật tốn mã hóa: + DES (Data Encryption Standard) + DES (Triple DES) – Các chức toàn vẹn liệu: + HMAC (Hash – ased Message Authentication Code) + MD5 (Message Digest 5) + SHA-1 (Secure Hash Algorithm -1) – Các phương pháp xác thực (peer Authentication): + Rivest, Shamir, and Adelman (RSA) Digital Signatures + RSA Encrypted Nonces – Các giao thức quản lý khoá: + DH (Diffie- Hellman) + CA (Certificate Authority) – Các sách an ninh: + IKE (Internet Key Exchange) + ISAKMP (Internet Security Association and Key Management Protocol) Tính IPSec Để thực chức bảo mật liệu VPN, IPSec cung cấp tính sau:  Sự bảo mật liệu (Data Confidentiality): Đảm bảo liệu an tồn, tránh kẻ cơng phá hoại cách thay đổi nội dung đánh cắp liệu quan trọng Việc bảo vệ liệu thực thuật tốn mã hóa DES, 3DES AES Tuy nhiên, tính tùy chọn IPSec  Sự toàn vẹn liệu (Data Integrity): Đảm bảo liệu không bị thay đổi suốt trình trao đổi Data Integrity thân khơng cung cấp an tồn liệu Nó sử dụng thuật toán băm (hash) để kiểm tra liệu bên gói tin có bị thay đổi hay khơng Những gói tin bị phát bị thay đổi bị loại bỏ Những thuật toán băm: MD5 SHA-1  Chứng thực nguồn liệu (Data Origin Authentication): Mỗi điểm cuối VPN dùng tính để xác định đầu phía bên có thực người muốn kết nối đến hay khơng Lưu ý tính khơng tồn mà phụ thuộc vào tính toàn vẹn liệu Việc chứng thực dựa vào kĩ thuật: Pre-shared key, RSA-encryption, RSAsignature  Tránh trùng lặp (Anti-replay): Đảm bảo gói tin khơng bị trùng lặp việc đánh số thứ tự Gói tin trùng bị loại bỏ, tính tùy chọn Các giao thức IPSec Để trao đổi thỏa thuận thông số nhằm tạo nên môi trường bảo mật đầu cuối, IPSec dùng giao thức: – IKE (Internet Key Exchange) – ESP (Encapsulation Security Payload) – AH (Authentication Header)  Internet Key Exchange (IKE): Là giao thức thực q trình trao đổi khóa thỏa thuận thông số bảo mật như: thuật tốn mã hóa áp dụng, khoảng thời gian khóa cần thay đổi Sau thỏa thuận xong thiết lập “hợp đồng” bên, IPSec SA (Security Association) tạo SA thông số bảo mật thỏa thuận thành công, thông số SA lưu sở liệu SA Ngồi IKE dùng giao thức khác để chứng thực đầu cuối tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) Oakley – ISAKMP: giao thức thực việc thiết lập, thỏa thuận quản lý sách bảo mật SA – Oakley: giao thức làm nhiệm vụ chứng thực khóa, chất dùng thuật tốn Diffie-Hellman để trao đổi khóa bí mật thơng qua mơi trường chưa bảo mật Lưu ý: Giao thức IKE dùng UDP port 500  Encapsulating Security Payload (ESP): Là giao thức cung cấp an toàn, toàn vẹn, chứng thực nguồn liệu tùy chọn khác, chẳng hạn anti-replay ESP cung cấp gần tồn tính IPSec, ngồi cung cấp tính mã hóa liệu Do đó, ESP sử dụng phổ biến IPSec VPN ESP bao gồm tính sau:     Tính bảo mật (Data confidentiality) Tính tồn vẹn liệu (Data integrity) Chứng thực nguồn liệu (Data origin authentication) Tránh trùng lặp (Anti-replay) Những tính tính đặc trưng yếu IPSec Lưu ý: ESP sử dụng IP protocol number 50 Hoạt động ESP ESP chèn header vào sau phần IP header trước header giao thức lớp Header IP header tunnel mode IP header gói tin ban đầu transport mode Hình sau cho thấy vị trí ESP header transport mode tunnel mode: Hình 3: IP Packet bảo vệ ESP Transport Mode Hình 4: IP Packet bảo vệ ESP Tunnel Mode  Authentication Header (AH): Là giao thức cung cấp toàn vẹn, chứng thực nguồn liệu số tùy chọn khác Nhưng khác với ESP, khơng cung cấp chức bảo mật (data confidential) AH đảm bảo liệu khơng bị thay đổi q trình truyền dẫn khơng mã hóa liệu Hình 5: IP Packet bảo vệ AH Trường AH định theo sau AH header Trong transport mode, giá trị giao thức lớp bảo vệ (chẳng hạn UDP TCP) Trong tunnel mode, giá trị Vị trí AH transport tunnel mode mô tả hình 6: Hình 6: IP Packet bảo vệ AH Transport Mode Trong Tunnel mode, AH đóng gói gói tin IP thêm vào IP header trước AH header Hình 7: IP Packet bảo vệ AH Tunnel Mode III Hoạt động IP Security : Mục đích IPSec bảo vệ luồng liệu mong muốn dựa dịch vụ bảo mật có sẵn, hoạt động IPSec chia thành bước sau: Hình 8: Hoạt động IPSec  A gửi traffic cần bảo vệ tới B  Router A B thỏa thuận tham số IKE Phase IKE SA  ← IKE Phase → IKE SA Router A B thoả thuận sách IKE Phase IPSec SA ← IKE Phase → IPSec SA   Thông tin truyền dẫn qua tunnel IPSec Kết thúc tunnel IPSec 10 Bước 1: Traffic cần bảo vệ khởi tạo trình IPSec Ở đây, thiết đầu cuối IPSec nhận đâu lưu lượng cần bảo vệ thông qua trường địa Bước 2: IKE Phase – IKE xác thực bên tập dịch vụ bảo mật thoả thuận công nhận để thiết lập IKE SA Trong phase này, thiết lập kênh truyền thơng an tồn để tiến hành thoả thuận IPSec SA Phase Bước 3: IKE Phase – IKE thoả thuận tham số IPSec SA thiết lập IPSec SA tương đương hai phía Các tham số bảo mật sử dụng để bảo vệ liệu gói tin trao đổi điểm đầu cuối Kết cuối hai bước tạo kênh thông tin bảo mật hai bên Bước 4: Truyền liệu – Dữ liệu truyền bên IPSec dựa sở thông số bảo mật khoá lưu trữ sở liệu SA Bước 5: Kết thúc đường hầm IPSec – Do IPSec SA hết hạn bị xoá 11 IV Các Ứng dụng IPSec :  Bảo vệ kết nối từ mạng chi nhánh đến mạng trung tâm thông qua Internet  Bảo vệ kết nối truy cập từ xa (Remote Access)  Thiết lập kết nối Intranet Extranet  Nâng cao tính bảo mật giao dịch thương mại điện tử Hình 9: Ứng dụng IPSec 12 Bảng danh mục từ viết tắt, ký hiệu Ký hiệu TCP/IP Tên đầy đủ Transmission Control Protocol/ Internet Protocol Khái niệm Giao thức điều khiển truyền thông/ Giao thức Internet Internet Protocol Security Giao thức bảo mật Internet OSI ISO Open System Interconection International Organization for Standardization UDP User Datagram Protocol ESP Encap Security Payload AH Authentication Header FTP File Tranfer Protocol DNS Domain Name Server Mơ hình kết nối hệ thống mở Tổ chức tiêu chuẩn hoá quốc tế: Được thành lập vào ngày 23 tháng năm1947, Có trụ sở Geneva, Thụy Sĩ, đến 2013 hoạt động 164 quốc gia thành viên giới Tổ chức đưa tiêu chuẩn thương mại cơng nghiệp phạm vi tồn giới Một giao thức cốt lõi giao thức TCP/IP Dùng UDP, chương trình mạng máy tính gửi liệu ngắn gọi datagram tới máy khác Khối an tồn tóm lược cung cấp dịch vụ bí mật bao gồm bí mật nội dung thơng báo bí mật luồng traffic Header xác thực cho phép đảm bảo toàn vẹn liệu xác thực gói tin IP Giao thức truyền file: dịch vụ cho phép chép file từ hệ thống máy tính đến hệ thống máy tính khác Dịch vụ tên miền IPSec ISAKMP 13 Internet Security Association and Hiệp hội bảo mật Internet Key Management Protocol giao thức quản lý Khóa IKE Internet Key Exchange Trao đổi khóa Internet LAN Local Area Network Mạng cục WAN Wide Area Network Mạng diện rộng Security Parameters Index SPI từ khóa xác định thêm vào phần đầu MAC Media Access Control DOI Domain of Interpretation Là địa để xác định máy tính(thiết bị) Internet Tên miền giải thích SPI 14 KẾT LUẬN IPSec cung cấp chế mạnh để xác thực tồn vẹn liệu đảm bảo tính bí mật thơng qua mã hố AH ESP Bằng việc sử dụng giao thức trao đổi khoá IKEv1 IKEv2 xác thực người dùng thiết lập phiên liên lạc an toàn, tin cậy bảo mật Phiên IKEv1 hoạt động dựa ba thành phần ISAKMP, Oakley SKEME chia làm hai giai đoạn (sáu thông báo phase ba thơng báo phase 2) Trong IKEv2 thiết kế từ đầu theo RFC4309 với sở mật mã trao đổi khoá giao thức SIGMA Chính xác hơn, SIGMA sở cho việc trao đổi khóa có xác thực dựa chữ ký IKE nói chung – kiểu xác thực khóa cơng khai thường sử dụng IKE, sở cho kiểu xác thực khóa cơng khai IKEv2 Kết đạt được: Trong thời gian làm Bài Tiểu luận chúng em hoàn thành tốt Bài Tiểu luận nắm vững nội dung sau:  Hiểu rõ Giao thức TCP/IP  Nắm vững Công nghệ IPSec  Hiểu tầm quan trọng IPSec thực tế 15 TÀI LIỆU THAM KHẢO [1] J F Kurose and K W Ross, Computer Networking: A TopDown Approach Featuring the Internet (2nd edition), AddisonWesley, 2002 [2] Nguyễn Thúc Hải Mạng máy tính hệ thống mở Nhà xuất giáo dục, 1999 [3] Alberto Leon-Garcia and Indra Widjaja, Communication Networks: Fundamental Concepts and Key Architectures, McGraw-Hill, 2000 [4] Larry L Peterson and Bruce S Davie Computer Networks: A Systems Approach (2nd ed.), MogranKaufmann, 1999 [5] Naganand Doraswamy, Dan Harkins IPSec: The new Security Standard for the Internet, Intranets, and Virtual Private Networks, Second Edition (Pub Date: March, 13 2003) Một số Website: [1] SinhvienIT.net [2] Netone.vn [3] Anninhmang.net 16 ... tầng thay tầng 2) Hình 1.1: IPSec mơ hình OSI IPSec thiết kế phần mở rộng giao thức IP, thực thống hai phiên IPv4 IPv6 Đối với IPv4, việc áp dụng IPSec tuỳ chọn, IPv6, giao thức bảo mật triển... tải liệu đó? Sau tìm hiểu bảo mật liệu qua mạng việc sử dụng IPSec I Tổng quan giao thức bảo mật IPSec Thuật ngữ IPSec từ viết tắt thuật ngữ Internet Protocol Security Giao thức IPSec phát triển... giao thức bảo mật IPSec I II Kiến trúc IP Security : Kiến trúc IPSec Khung giao thức IPSec : Tính IPSec Các giao thức IPSec