Header ads

Header ads
» » » Giao thức IPSec

Học viện đào tạo trực tuyến Thứ Ba, 12 tháng 3, 2013 0 No comments

Giới thiệu IPSec
IPSec là một tập các giao thức chuẩn, cung cấp các dịch vụ bảo mật cho những gói tin IP tại lớp network. Những dịch vụ này bao gồm các điều khiển truy cập-access control list, toàn vẹn dữ liệu-data integrity, xác thực-authentication, tránh trùng lặp gói tin-against replay và sự bảo mật dữ liệu-data security. IPSec là sự lựa chọn hàng đầu cho việc bảo mật trong VPN.

Khung giao thức IPSec
IPSec là một tập các chuẩn mở, được phát triển bởi IETF.


Khung giao thức được sử dụng trong IPSec

Một số tính năng được khuyến khích sử dụng khi làm việc với IPSec.

- Các giao thức bảo mật IPSec
+ AH (Authentication Header)
+ ESP (Encapsulation Security Payload)

- Các thuật toán mã hóa
+ DES (Data Encryption Standard)
+ 3 DES (Triple DES)

- Các chức năng toàn vẹn dữ liệu
+ HMAC (Hash Message Authentication Code)
+ MD5 (Message Digest 5)
+ SHA-1 (Secure Hash Algorithm -1)

- Các phương pháp xác thực (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures
+ RSA Encrypted Nonces

- Các giao thức quản lý khoá
+ DH (Diffie- Hellman)
+ CA (Certificate Authority)

- Các chính sách an ninh
+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management Protocol)

Tính năng của IPSec
Để thực hiện được chức năng chính của mình là bảo mật dữ liệu trong VPN, IPSec cung cấp những tính năng sau:
Sự bảo mật dữ liệu (Data Confidentiality): Đảm bảo dữ liệu được an toàn, tránh những kẻ tấn công phá hoại bằng cách thay đổi nội dung hoặc đánh cắp dữ liệu quan trọng. Việc bảo vệ dữ liệu được thực hiện bằng các thuật toán mã hóa như DES, 3DES và AES. Tuy nhiên, đây là một tính năng tùy chọn trong IPSec.
Sự toàn vẹn dữ liệu (Data Integrity): Đảm bảo rằng dữ liệu không bị thay đổi trong suốt quá trình trao đổi. Data integrity bản thân nó không cung cấp sự an toàn dữ liệu. Nó sử dụng thuật toán băm (hash) để kiểm tra dữ liệu bên trong gói tin có bị thay đổi hay không. Những gói tin nào bị phát hiện là đã bị thay đổi thì sẽ bị loại bỏ. Những thuật toán băm: MD5 hoặc SHA-1.
Chứng thực nguồn dữ liệu (Data Origin Authentication): Mỗi điểm cuối của VPN dùng tính năng này để xác định đầu phía bên kia có thực sự là người muốn kết nối đến mình hay không. Lưu ý là tính năng này không tồn tại một mình mà phụ thuộc vào tính năng toàn vẹn dữ liệu. Việc chứng thực dựa vào những kĩ thuật: Pre-shared key, RSA-encryption, RSA-signature.
Tránh trùng lặp (Anti-replay): Đảm bảo gói tin không bị trùng lặp bằng việc đánh số thứ tự. Gói tin nào trùng sẽ bị loại bỏ, đây cũng là tính năng tùy chọn.

Các giao thức IPSec
Để trao đổi và thỏa thuận các thông số nhằm tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:
- IKE (Internet Key Exchange)
- ESP (Encapsulation Security Payload)
- AH (Authentication Header)

Internet Key Exchange (IKE)
Là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật như: thuật toán mã hóa được áp dụng, khoảng thời gian khóa cần được thay đổi . Sau khi thỏa thuận xong thì sẽ thiết lập “hợp đồng” giữa 2 bên, khi đó IPSec SA (Security Association) được tạo ra.
SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA
Ngoài ra IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley.
- ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA.
- Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
Lưu ý: Giao thức IKE dùng UDP port 500.

Encapsulating Security Payload (ESP): Là giao thức cung cấp sự an toàn, toàn vẹn, chứng thực nguồn dữ liệu và những tùy chọn khác, chẳng hạn anti-replay. ESP cung cấp gần như toàn bộ tính năng của IPSec, ngoài ra nó còn cung cấp tính năng mã hóa dữ liệu. Do đó, ESP được sử dụng phổ biến trong IPSec VPN. ESP bao gồm những tính năng sau:

  • Tính bảo mật (Data confidentiality)
  • Tính toàn vẹn dữ liệu (Data integrity)
  • Chứng thực nguồn dữ liệu (Data origin authentication)
  • Tránh trùng lặp (Anti-replay)


Những tính năng trên cũng là những tính năng đặc trưng và chính yếu nhất của IPSec.
Lưu ý: ESP sử dụng IP protocol number 50.

Hoạt động của ESP
ESP chèn một header vào sau phần IP header và trước header của giao thức lớp trên. Header này có thể là một IP header mới trong tunnel mode hoặc IP header của gói tin ban đầu trong transport mode. Hình sau cho thấy vị trí của ESP header trong transport mode và tunnel mode:

IP Packet được bảo vệ bởi ESP trong Transport Mode

IP Packet được bảo vệ bởi ESP trong Tunnel Mode

Authentication Header (AH):
Là giao thức cung cấp sự toàn vẹn, chứng thực nguồn dữ liệu và một số tùy chọn khác. Nhưng khác với ESP, nó không cung cấp chức năng bảo mật (data confidential). AH đảm bảo dữ liệu không bị thay đổi trong quá trình truyền dẫn nhưng không mã hóa dữ liệu.

IP Packet được bảo vệ bởi AH

Trường AH chỉ định cái sẽ theo sau AH header. Trong transport mode, nó sẽ là giá trị của giao thức lớp trên đang được bảo vệ (chẳng hạn UDP hoặc TCP). Trong tunnel mode, giá trị này là 4. Vị trí của AH trong transport và tunnel mode được mô tả ở hình sau:

IP Packet được bảo vệ bởi AH trong Transport Mode

Trong tunnel mode, AH đóng gói gói tin IP và thêm vào một IP header trước AH header

IP Packet được bảo vệ bởi AH trong Tunnel Mode

Hoạt động của IPSec
Mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn dựa trên các dịch vụ bảo mật có sẵn, hoạt động của IPSec có thể chia thành 5 bước chính như sau:

Hoạt động của IPSec


  • A gửi các traffic cần bảo vệ tới B
  • Router A và B thỏa thuận các tham số IKE Phase 1


IKE SA ← IKE Phase 1 → IKE SA


  • Router A và B thoả thuận các chính sách IKE Phase 2


IPSec SA ← IKE Phase 2 → IPSec SA


  • Thông tin được truyền dẫn qua tunnel IPSec
  • Kết thúc tunnel IPSec


Bước 1: Traffic cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết đầu cuối IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ thông qua trường địa chỉ.
Bước 2: IKE Phase 1 – IKE xác thực các bên và một tập các dịch vụ bảo mật được thoả thuận và công nhận để thiết lập IKE SA. Trong phase này, sẽ thiết lập một kênh truyền thông an toàn để tiến hành thoả thuận IPSec SA trong Phase 2.
Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập các IPSec SA tương đương ở hai phía. Các tham số bảo mật này được sử dụng để bảo vệ dữ liệu và các gói tin trao đổi giữa các điểm đầu cuối. Kết quả cuối cùng của hai bước trên sẽ tạo ra một kênh thông tin bảo mật giữa hai bên.
Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các bên IPSec dựa trên cơ sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA.
Bước 5: Kết thúc đường hầm IPSec – Do các IPSec SA hết hạn hoặc bị xoá.

Topics:

About Học viện đào tạo trực tuyến

Xinh chào bạn. Tôi là Đinh Anh Tuấn - Thạc sĩ CNTT. Email: dinhanhtuan68@gmail.com .
- Nhận đào tạo trực tuyến lập trình dành cho nhà quản lý, kế toán bằng Foxpro, Access 2010, Excel, Macro Excel, Macro Word, chứng chỉ MOS cao cấp, IC3, tiếng anh, phần mềm, phần cứng .
- Nhận thiết kế phần mềm quản lý, Web, Web ứng dụng, quản lý, bán hàng,... Nhận Thiết kế bài giảng điện tử, số hóa tài liệu...
HỌC VIỆN ĐÀO TẠO TRỰC TUYẾN:TẬN TÂM-CHẤT LƯỢNG.
«
Next
Bài đăng Mới hơn
»
Previous
Bài đăng Cũ hơn
HỌC VIỆN ĐÀO TẠO TRỰC TUYẾN-TẬN TÂM-CHẤT LƯỢNG © 2014. All Rights Reserved.

Designed by dinhanhtuan68@gmail.com Tel: 098 909 5293