Đề tài giao thức ipsec trong an toàn mạng internet
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.15 MB, 35 trang )
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG
KHOA VIỄN THƠNG I
TIỂU LUẬN MƠN HỌC
“An ninh mạng thơng tin”
Đề tài:
“Giao thức IPSec trong an toàn mạng Internet”
Giao thức IPSec trong an toàn mạng Internet
STT
1
Họ và tên sinh
viên
Nội dung phân công
Tổng quan về IPSec
Giao thức xác thực AH
Kết luận
2
Các chức năng cơ bản của IPSec
Giao thức an ninh bảo vệ ESP
Công việc chung
Làm word nội dung
đã chọn và tổng hợp
hoàn thiện bản word
cuối cùng
Làm word nội dung
đã chọn và sửa lỗi
word
Ứng dụng của IPSec
3
Mơ hình kiến trúc và cách thức
hoạt động của IPSec
Giao thức trao đổi IKE
Làm word nội dung
đã chọn và sửa lỗi
word
1
Giao thức IPSec trong an toàn mạng Internet
MỤC LỤC
DANH MỤC PHÂN CÔNG CÔNG VIỆC ............................................................................................... 1
MỤC LỤC.................................................................................................................................................... 2
DANH MỤC THUẬT NGỮ VIẾT TẮT ................................................................................................... 4
DANH MỤC HÌNH – BẢNG ..................................................................................................................... 5
Lời nói đầu ................................................................................................................................................... 6
Tổng quan về IPSec ............................................................................................................................ 7
I.
1.
Giới thiệu ......................................................................................................................................... 7
2.
Vai trò của giao thức IPSec ............................................................................................................ 8
3.
Ưu điểm ............................................................................................................................................ 8
4.
Nhược điểm ...................................................................................................................................... 8
Mơ hình kiến trúc và cách thức hoạt đợng của IPSec.................................................................. 9
II.
1.
Mơ hình kiến trúc IPSec ................................................................................................................. 9
2.
Cách thức hoạt động ..................................................................................................................... 11
a)
Chế độ truyền tải (Transport).................................................................................................. 13
b)
Chế độ đường hầm (Tunnel) .................................................................................................... 13
Các chứng năng cơ bản của IPSec ............................................................................................... 15
III.
1.
Chứng thực dữ liệu ....................................................................................................................... 15
2.
Toàn vẹn dữ liệu ............................................................................................................................ 15
3.
Bảo mật dữ liệu ............................................................................................................................. 15
4.
Tránh trùng lặp dữ liệu ................................................................................................................ 15
Những giao thức IPSec và phần tử hỗ trợ .................................................................................. 16
IV.
Giao thức xác thực AH (Authentication Header) ...................................................................... 16
1.
a.
Khái niệm ................................................................................................................................... 16
b.
Quá trình xử lý AH ...................................................................................................................... 17
i.
Vị trí của AH ............................................................................................................................ 17
ii.
Các bước xác thực ................................................................................................................. 19
iii.
Xử lý gói đầu ra ................................................................................................................. 19
iv.
Xử lý gói đầu vào............................................................................................................... 21
2
Giao thức IPSec trong an toàn mạng Internet
Giao thức an ninh bảo vệ ESP (Encapsulating Security Payload) ........................................... 23
2.
a.
Khái niệm................................................................................................................................... 23
b.
Các thuật toán ........................................................................................................................... 24
c.
So sánh giữa giao thức AH và ESP .......................................................................................... 24
d.
Chế độ Transport ESP.............................................................................................................. 25
e.
Chế độ Tunnel ESP ................................................................................................................... 25
Giao thức trao đổi IKE (Internet Key Exchange) ...................................................................... 27
3.
Giai đoạn IKE ........................................................................................................................... 27
a.
i.
Giai đoạn 1 ............................................................................................................................. 27
ii.
Giai đoạn 2 ............................................................................................................................. 27
Chế đợ IKE ................................................................................................................................ 27
b.
V.
VI.
i.
Chế đợ chính .......................................................................................................................... 28
ii.
Chế đợ tích cực ...................................................................................................................... 30
iii.
Chế đợ nhanh..................................................................................................................... 31
iv.
Chế đợ nhóm mới .............................................................................................................. 32
Ứng dụng của IPSec .......................................................................................................................... 32
Kết luận .......................................................................................................................................... 33
TÀI LIỆU THAM KHẢO ........................................................................................................................ 34
3
Giao thức IPSec trong an toàn mạng Internet
DANH MỤC THUẬT NGỮ VIẾT TẮT
Tên viết tắt
Tên đầy đủ
Dịch nghĩa
AH
Authentication Header
Giao thức xác nhận
DOS
Denial Of Service
Từ chối dịch vụ
ESP
Encapsulating Security Payload
Giao thức an ninh bảo vệ
ICMP
Internet Control Message Protocol
Giao thức Thông điệp Điều
khiển Internet
ICV
Integrity Check Value
Giá trị kiểm tra tính tồn
vẹn
IETF
Internet Engineering Task Force
Lực lượng Chuyên trách về
Kỹ thuật Liên mạng
IKE
Internet Key Exchange
Giao diện trao đổi
ISAKMP
Internet Security Association and
Key Management Protocol
Hiệp hội Bảo mật Internet
và Giao thức Quản lý Khóa
MAC
Media Access Control
Kiểm sốt truy cập phương
tiện
OSI
Open Systems Interconnection
Mơ hình tham chiếu kết nối
các hệ thống mở
SA
Security Association
Hiệp hội bảo mật
SN
Sequence Number
Số thứ tự
SPI
Serial Peripheral Interface
Giao diện ngoại vi nối tiếp
TCP
Transmission Control Protocol
Giao thức điều khiển
truyền vận
UDP
User Datagram Protocol
Giao thức dữ liệu người
dùng
VPN
Virtual Private Network
Mạng riêng ảo
4
Giao thức IPSec trong an tồn mạng Internet
DANH MỤC HÌNH – BẢNG
STT
Hình
Nợi dung
1
Hình 1
IPSec trong mơ hình OSI
2
Hình 2
Cấu trúc mơ hình IPSec
3
Hình 3
Gói giao thức AH
4
Hình 4
Gói giao thức ESP
5
Hình 5
Các gói IP được IPSec bảo vệ trong chế độ truyền tải và chế độ
đường hầm
6
Hình 6
Mơ hình chế độ truyền tải
7
Hình 7
Mơ hình chế độ đường hầm
8
Hình 8
Cấu trúc giao thức AH
9
Hình 9
Khn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
10
Hình 10
Khn dạng IPv6 trước và sau khi xử lý AH ở kiểu Transport
11
Hình 11
Khn dạng gói tin đã xử lý AH ở kiểu Tunnel
12
Hình 12
Phân mảnh và xác thực: Máy chủ đến máy chủ của chế độ
Transport
13
Hình 13
Phân mảnh và xác thực: Cổng đến cổng của chế độ Tunnel
14
Hình 14
Gói IP được bảo vệ bởi ESP trong chế độ Transport
15
Hình 15
Gói IP được bảo vệ bởi ESP trong chế độ Tunnel
16
Hình 16
ESP trong chế độ Transport
17
Hình 17
Đóng gói ESP trong chế độ Transport
18
Hình 18
ESP Tunnel – Mode VPN
19
Hình 19
Đóng gói ESP Tunnel – Mode
20
Hình 20
Giao thức trao đổi chế độ chính
21
Hình 21
Giao thức trao đổi chế độ tích cực
22
Hình 22
Giao thức trao đổi chế độ nhanh
23
Hình 23
Giao thức trao đổi chế độ nhóm mới
5
Giao thức IPSec trong an tồn mạng Internet
Lời nói đầu
Giao thức TCP/IP đóng một vai trị rất quan trọng trong các hệ thống hiện nay. Về
nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng
như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần
như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet.
Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật sự được
quan tâm, do đó, các giao thức trong bộ TCP/IP hầu như không được trang bị bất cứ giao
thức nào. Cấu trúc gói dữ liệu (IP, TCP,UDP và cả các giao thức ứng dụng) được mơ tả
cơng khai, bắt được gói IP trên mạng, ai cũng có thể phân tích gói để đọc phần dữ liệu
chứa bên trong, đó là chưa kể hiện nay, các cơng cụ bắt và phân tích gói được xây dựng
với tính năng mạnh và phát hành rộng rãi.Việc bổ sung các cơ chế bảo mật vào mơ hình
TCP/IP, bắt đầu từ giao thức IP là một nhu cầu cấp bách.IPSecurity (IPSec) là một giao
thức được chuẩn hố bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hố
và xác thực thơng tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP. Hay nói
cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật
dữ liệu, đảm bảo tính tồn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạngIPSec
cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mơ hình OSI.
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất
trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn,
nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.
6
Giao thức IPSec trong an toàn mạng Internet
I.
Tổng quan về IPSec
1. Giới thiệu
IPSec (Internet Protocol Security) là một giao thức được chuẩn hoá và phát triển
bởi tổ chức IETF (Internet Engineering Task Force) từ năm 1998.
IPSec bao gồm một hệ thống các giao thức chuẩn, cung cấp các dịch vụ
bảo mật q trình truyền thơng tin trên nền tảng Internet Protocol (IP), bao gồm
xác thực và mã hoá cho mỗi gói IP trong q trình truyền thơng tin. Hay nói cách
khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ
liệu, đảm bảo tính tồn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng.
IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mơ hình OSI vì
mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do đó, khi
một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật
bởi vì các giao tiếp đều đi qua tầng 3 (Network layer) trong mơ hình OSI.
Hình 1: IPSec trong mơ hình OSI
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất
trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ
chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.
7
Giao thức IPSec trong an tồn mạng Internet
2. Vai trị của giao thức IPSec
➢
➢
➢
➢
Cho phép xác thực hai chiều,trước và trong q trình truyền tải dữ liệu
Mã hóa đường truyền giữa 2 máy khi được gửi qua 1 mạng
Bảo vệ gói dữ liệu IP và phịng ngự các cuộc tấn công mạng không bào mật
Bào vệ các lưu lượng bằng việc sử dụng mã hóa và đánh dấu dữ liệu
3. Ưu điểm
➢
➢
➢
Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một
mạng riêng, thì tính năng an tồn của IPSec có thể áp dụng cho tồn bộ vào
ra mạng riêng đó mà các thành phần khác không cần phải xử lý thêm các
công việc liên quan đến bảo mật.
IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động
trong suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm
hay cấu hình lại các dịch vụ khi IPSec được triển khai.
IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các
ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp
mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua
mạng Internet.
4. Nhược điểm
Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu
đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề
này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như
vậy vẫn cịn đang nghiên cứu và chưa được chuẩn hóa.
➢
➢
➢
IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, khơng hỗ trợ
các dạng lưu lượng khác.
Việc tính tốn nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề
khó đối với các trạm làm việc và máy PC năng lực yếu.
Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế
đối với chính phủ một số quốc gia.
8
Giao thức IPSec trong an tồn mạng Internet
II.
Mơ hình kiến trúc và cách thức hoạt đợng của IPSec
1. Mơ hình kiến trúc IPSec
Mục đích chính của việc phát triển IP Sec là cung cấp một cơ cấu bảo mật ở
tầng 3 (Network layer) của mơ hình OSI, như hình :
Hình 2:Cấu trúc mơ hình IPSec
Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do
đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, tồn bộ mạng được
bảo mật bởi vì các giao tiếp đều đi qua tầng 3. (Đó là lý do tai sao IP Sec được phát
triển ở giao thức tầng 3 thay vì tầng 2).
9
Giao thức IPSec trong an toàn mạng Internet
IPsec bao gồm ba giao thức chính:
AH
Một giao thức cung cấp xác thực nguồn gốc dữ liệu, tính tồn vẹn của dữ
liệu và bảo vệ phát lại.
ESP
Một giao thức cung cấp các dịch vụ tương tự như AH nhưng cũng cung cấp
quyền riêng tư dữ liệu thơng qua việc sử dụng mã hóa.
IKE
Một giao thức cung cấp chức năng quản lý khóa quan trọng nhất. Giải pháp
thay thế cho IKE là khóa thủ công, IPsec cũng hỗ trợ.
➢ Tổng quan về giao thức AH:
Giao thức AH cung cấp xác thực nguồn gốc dữ liệu, tính tồn vẹn của
dữ liệu và bảo vệ khỏi các cuộc tấn công phát lại. Các dịch vụ xác thực và tính
tồn vẹn được cung cấp bằng cách tính tốn MAC mật mã trên trọng tải của
gói dữ liệu và các phần của tiêu đề IP của gói dữ liệu. Bởi vì các trường nguồn
và đích của tiêu đề IP được bao gồm trong MAC, chúng tơi có thể chắc chắn
rằng các trường đó khơng bị giả mạo khi datagram đang chuyển tiếp. Vì tải
trọng cũng được bao gồm trong MAC, chúng tơi có thể chắc chắn rằng nó cũng
khơng bị giả mạo. Hình 3 cho thấy tổng quan về đóng gói AH.
Hình 3:Gói giao thức AH
10
Giao thức IPSec trong an toàn mạng Internet
➢ Tổng quan về giao thức ESP: ESP cũng có một chức năng xác thực, gần giống
với chức năng được cung cấp bởi AH. Sự khác biệt là xác thực ESP không bảo
vệ các trường tiêu đề IP. ESP cũng cung cấp tính bảo mật của dữ liệu bằng
cách mã hóa các phần của datagram, bao gồm cả tải trọng.
Hình 4:Gói giao thức ESP
2. Cách thức hoạt đợng
➢ AH và ESP có thể hoạt động ở một trong hai chế độ. Từ quan điểm triển khai,
các chế độ này xác định cách đóng gói sẽ như thế nào. Hai chế độ là
Chế độ truyền tải
Phương pháp cung cấp bảo mật cho giao thức lớp trên của
(vận chuyển) – chế
sơ đồ IP
độ Transport
Chế độ đường hầm –
Một phương pháp cung cấp bảo mật cho toàn bộ sơ đồ IP
chế độ Tunnel
➢ Các giao thức IPSec — AH và ESP — có thể được sử dụng để bảo vệ toàn
bộ tải trọng IP hoặc các giao thức lớp trên của tải trọng IP. Sự khác biệt này
được xử lý bằng cách xem xét hai "chế độ" khác nhau của IPSec. Chế độ vận
chuyển được sử dụng để bảo vệ các giao thức lớp trên; chế độ đường hầm được
sử dụng để bảo vệ toàn bộ dữ liệu IP . Trong chế độ truyền tải, một tiêu đề
11
Giao thức IPSec trong an toàn mạng Internet
IPSec được chèn vào giữa tiêu đề IP và tiêu đề giao thức lớp trên; ở chế độ
đường hầm, tồn bộ gói IP cần được bảo vệ được đóng gói trong một sơ
đồ IP khác và một tiêu đề IPSec được chèn vào giữa IP bên ngoài và bên
trongtiêu đề. Cả hai giao thức IPSec, AH và ESP , đều có thể hoạt động ở chế
độ truyền tải hoặc chế độ đường hầm.
Hình 5:Các gói IP được IPSec bảo vệ trong chế độ truyền tải và chế độ đường
hầm
➢ Do phương pháp xây dựng, phương thức truyền tải chỉ có thể được sử dụng để
bảo vệ các gói tin nơi điểm cuối truyền thông cũng là điểm cuối mật mã. Chế
độ đường hầm có thể được sử dụng thay cho chế độ truyền tải và ngồi ra có
thể được sử dụng bởi các cổng bảo mật để cung cấp dịch vụ bảo mật thay mặt
cho các thực thể được nối mạng khác (ví dụ: mạng riêng ảo). Trong trường hợp
thứ hai này, các điểm cuối truyền thông là những điểm được chỉ định trong tiêu
đề bên trong được bảo vệ và các điểm cuối mật mã là những điểm cuối của tiêu
đề IP bên ngồi . Một cổng bảo mật giải mã gói IP bên trong khi kết thúc quá
trình xử lý IPSec và chuyển tiếp gói đến đích cuối cùng của nó
12
Giao thức IPSec trong an tồn mạng Internet
a) Chế đợ truyền tải (Transport)
➢ Chế độ truyền tải có nghĩa là được sử dụng giữa hai máy chủ cố định, hay nói
một cách khác, khi các điểm cuối VPN là điểm đến cuối cùng của lưu lượng
trong VPN. Đặc biệt, chế độ truyền tải không thể được sử dụng để kết nối hai
mạng hoặc một mạng và một máy chủ.
Hình 6:Mơ hình chế độ truyền tải
➢ Đóng gói chế độ truyền tải
➢ Hình cho thấy tại sao chế độ truyền tải chỉ có thể được sử dụng khi các điểm
cuối VPN là điểm đến cuối cùng. Một mặt, datagram phải được gửi đến điểm
cuối VPN để nó có thể được giải mã và / hoặc xác thực. Mặt khác, chỉ có một
tiêu đề IP, vì vậy đích của nó phải là đích cuối cùng của nó.
b) Chế đợ đường hầm (Tunnel)
➢ Chế độ khác mà AH và ESP có thể hoạt động được gọi là chế độ đường
hầm . Nó linh hoạt hơn phương thức truyền tải, nhưng sự linh hoạt này đi kèm
với chi phí là u cầu băng thơng tăng lên.
13
Giao thức IPSec trong an toàn mạng Internet
➢ Việc sử dụng điển hình của chế độ đường hầm là kết nối hai mạng hoặc một
máy chủ và một mạng
Hình 7:Mơ hình chế độ đường hầm
➢ Trong hình, mạng từ xa và mạng gia đình được kết nối thơng qua VPN chế độ
đường hầm bằng các cổng bảo mật, GW 1 và GW 2 . Các cổng này xử lý các
chức năng mã hóa, giải mã, phản phát và xác thực. Các chức năng bảo mật này
hoàn toàn minh bạch đối với các máy chủ trên hai mạng — chúng chỉ gửi các
biểu đồ dữ liệu đến đồng đẳng của chúng trên mạng khác giống như chúng sẽ
làm nếu các cổng và VPN khơng có ở đó.
➢ Đóng gọi trong chế độ đường hầm:
14
Giao thức IPSec trong an toàn mạng Internet
III.
Các chứng năng cơ bản của IPSec
1. Chứng thực dữ liệu
➢ IPSec bảo vệ các mạng cá nhân và các dữ liệu cá nhân chứa trong đó khỏi tấn
cơng man in the middle, từ khả năng lừa tấn công đến từ những truy cập vào
mạng, khỏi những kẻ tấn công thay đổi nội dung của gói dữ liệu.
➢ IPSec sử dụng một chữ kí số để xác định nhân diện của người gởi thơng tin.
IPSec có thể dùng kerberos, preshared key, hay các chứng nhận số cho việc
chứng nhận.
➢ Trong đó phương thức xác thực mặc định là Kerberos v5, tuy nhiên đối với các
máy tính có kết nối mạng thì khơng nên dùng Kerberos v5 vì trong suốt quá trình
dàn xếp ở chế độ chính , mỗi thành phần ngang cấp ở chế độ chính sẽ gởi phần
nhận dạng máy tính của nó ở dạng chưa được mã hố đến các thành phần khác.
Phần nhận dạng máy tính này khơng được mã hố cho đến khi sự mã hố tồn bộ
tải trọng diễn ra trong giai đoạn xác thực của sự dàn xếp với chế độ chính. Mộ kẻ tấn cơng
có thể gởi một gói tin Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp
ứng bị lộ thông tin nhận dạng máy tính. Để bảo vệ máy tính được kết nối Internet nên sử
dụng sự xác thực chứng nhận.
Đối với tính năng an tồn cải tiến, khơng nên sử dụng sự xác thực bằng PreshareKey
vì nó là một phương thức khá yếu. Bên cạnh đó, PreshareKey được lưu trử ở dạng thuần
văn bản. Sự xác thực bằng PresharedKey được cung cấp cho các mục đích liên vận hành
và phải tuân thủ các quy tắc IPSec, chỉ nên dùng PreshareKey cho việc kiểm nghiệm.
2. Toàn vẹn dữ liệu
➢ Toàn vẹn dữ liệu là đảm bảo gói dữ liệu cịn ngun vẹn trong q trình lưu
thơng trên mạng, khơng bị mất hoặc bị thay đổi.
➢ IPSec dùng một thuật toán băm (MD5, SHA-1…) để đảm bảo dữ liệu không bị
can thiệp vào. Một checksum được gọi là một mã chứng nhận tin nhắn hash được
tính tốn cho dữ liệu của gói. Một khi gói bị thay đổi trong khi truyền đi thì tin
nhắn hash đã được thay đổi sẽ được lưu lại, thay đổi này sẽ bị xóa bởi máy tính
nhận.
3. Bảo mật dữ liệu
IPSec sử dụng các thuật tốn mã hóa (DES, 3DES…) để mã hóa dữ liệu, đảm
bảo gói dữ liệu truyền đi sẽ không thể bị giải mã bởi những kẻ tấn công.
4. Tránh trùng lặp dữ liệu
Đảm bảo gói tin khơng bị trùng lặp bằng việc đánh số thứ tự. Gói tin nào
trùng sẽ bị loại bỏ, đây cũng là tính năng tùy chọn
15
Giao thức IPSec trong an toàn mạng Internet
IV.
Những giao thức IPSec và phần tử hỗ trợ
1. Giao thức xác thực AH (Authentication Header)
a. Khái niệm
AH là giao thức cung cấp xác thực nguồn gốc dữ liệu (data origin authentication),
kiểm tra tính tồn vẹn dữ liệu (data integrity), và dịch vụ chống phát lại (anti-replay
service).
AH cho phép xác thực các trường của IP header cũng như dữ liệu của các giao
thức lớp trên, tuy nhiên do một số trường của IP header thay đổi trong khi truyền và phía
phát có thể khơng dự đốn trước được giá trị của chúng khi tới phía thu, do đó giá trị của
các trường này khơng bảo vệ được bằng AH. Có thể nói AH chỉ bảo vệ một phần của IP
header mà thôi. AH không cung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên,
tất cả đều được truyền dưới dạng văn bản rõ. AH nhanh hơn ESP, nên có thể chọn AH
trong trường hợp chắc chắn về nguồn gốc và tính tồn vẹn của dữ liệu nhưng tính bảo
mật dữ liệu khơng cần được chắc chắn.
Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm
một chiều (one-way hash function) đối với dữ liệu của gói để tạo ra một đoạn mã xác
thực (hash hay message digest). Đoạn mã đó được chèn vào thơng tin của gói truyền đi.
Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong q trình truyền đi đều được
phía thu phát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói dữ liệu
thu được và đối chiếu nó với giá trị hash đã truyền đi. Hàm băm được thực hiện trên tồn
bộ gói dữ liệu, trừ một số trường trong IP header có giá trị bị thay đổi trong q trình
truyền mà phía thu khơng thể dự đốn trước được (ví dụ trường thời gian sống của gói tin
bị các router thay đổi trên đường truyền dẫn).
Hình 8: Cấu trúc giao thức AH
16
Giao thức IPSec trong an tồn mạng Internet
b. Q trình xử lý AH
Hoạt động của AH được thực hiện qua các bước như sau:
➢
Bước 1: Tồn bộ gói IP (bao gồm IP header và tải tin) được thực hiện qua một
hàm băm một chiều.
➢
Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưa header này
vào gói dữ liệu ban đầu.
➢
Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối tác IPSec
➢
Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kết quả thu được
một mã hash.
➢
Bước 5: Bên thu tách mã hash trong AH header.
➢
Bước 6: Bên thu so sánh mã hash mà nó tính được với mã hash tách ra từ AH
header. Hai mã hash này phải hoàn toàn giống nhau. Nếu khác nhau chỉ một bit
trong q trình truyền thì 2 mã hash sẽ khơng giống nhau, bên thu lập tức phát
hiện tính khơng tồn vẹn của dữ liệu.
i. Vị trí của AH
AH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel. Kiểu
Transport là kiểu đầu tiên được sử dụng cho kết nối đầu cuối giữa các host
hoặc các thiết bị hoạt động như host và kiểu Tunnel được sử dụng cho các ứng
dụng còn lại.
Ở kiểu Transport cho phép bảo vệ các giao thức lớp trên, cùng với một số
trường trong IP header. Trong kiểu này, AH được chèn vào sau IP header và
trước một giao thức lớp trên (chẳng hạn như TCP, UDP, ICMP…) và trước các
IPSec header đã được chen vào. Đối với IPv4, AH đặt sau IP header và trước giao
thức lớp trên (ví dụ ở đây là TCP). Đối với IPv6, AH được xem như phần tải đầu
cuối-tới - đầu cuối, nên sẽ xuất hiện sau các phần header mở rộng hop-to-hop,
routing và fragmentation. Các lựa chọn đích(dest options extension headers) có
thể trước hoặc sau AH
17
Giao thức IPSec trong an tồn mạng Internet
Hình 9: Khn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
Hình 10: Khn dạng IPv6 trước và sau khi xử lý AH ở kiểu Transport
Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuối cùng, cịn
outer IP header mang địa chỉ để định tuyến qua Internet. Trong kiểu này, AH bảo vệ tồn
bộ gói tin IP bên trong, bao gồm cả inner IP header (trong khi AH Transport chỉ bảo vệ
một số trường của IP header). So với outer IP header thì vị trí của AH giống như trong
kiểu Trasport.
Hình 11: Khn dạng gói tin đã xử lý AH ở kiểu Tunnel
18
Giao thức IPSec trong an toàn mạng Internet
ii.
Các bước xác thực
Thuật tốn xác thực sử dụng để tính ICV được xác định bởi kết hợp an
ninh SA (Security Association). Đối với truyền thơng điểm tới điểm, các thuật
tốn xác thực thích hợp bao gồm các hàm băm một chiều (MD5, SHA-1). Đây
chính là những thuật tốn bắt buộc mà một ứng dụng AH phải hỗ trợ
iii.
Xử lý gói đầu ra
Trong kiểu Transport, phía phát chèn AH header vào sau IP header và
trước một header của giao thức lớp trên. Trong kiểu Tunnel, có thêm sự xuất
hiện của outer IP header. Q trình xử lý gói tin đầu ra như sau:
➢ Tìm kiếm SA: AH được thực hiện trên gói tin đầu ra chỉ khi quá trình
IPSec đã xác định được gói tin đó được liên kết với một SA. SA đó sẽ yêu cầu
AH xử lý gói tin. Việc xác định quá trình xử lý IPSec nào cần thực hiện trên
lưu lượng đầu ra có thể xem trong RFC 2401
➢ Tạo SN: bộ đếm phía phát được khởi tạo 0 khi một SA được thiết lập. Phía
phát tăng SN cho SA này và chèn giá trị SN đó vào trường Sequence Number.
Nếu dịch vụ anti-replay (chống phát lại) được lựa
chọn, phía phát kiểm tra để đảm bảo bộ đếm khơng bị lặp lại trước khi
chèn một giá trị mới. Nếu dịch vụ anti-replay khơng được lựa chọn thì phía
phát khơng cần giám sát đến, tuy nhiên nó vẫn được tăng cho đến khi quay trở
lại 0.
➢ Tính tốn ICV: bằng cách sử dụng các thuật tốn, phía thu sẽ tính tốn lại ICV
ở phía thu và so sánh nó với giá trị có trong AH để quyết định tới khả năng tồn
tại của gói tin đó.
➢ Chèn dữ liệu: có hai dạng chèn dữ liệu trong AH, đó là chèn dữ liệu xác thực
(Authentication Data Padding) và chèn gói ngầm định (Implicit Packet
Padding). Đối với chèn dữ liệu xác thực, nếu đầu ra của thuật toán xác thực là
bội số của 96 bit thì khơng được chèn. Tuy nhiên nếu ICV có kích thước khác
thì việc chèn thêm dữ liệu là cần thiết. Nội dung của phần dữ liệu chèn là tùy ý,
cũng có mặt trong phép tính ICV và được truyền đi. Chèn gói ngầm định được
sử dụng khi thuật tốn xác thực u cầu tính ICV là số nguyên của một khối b
byte nào đó và nếu độ dài gói IP khơng thỏa mãn điều kiện đó thì chèn gói
ngầm định được thực hiện ở phía cuối của gói trước khi tính ICV. Các byte
chèn này có giá trị là 0 và không được truyền đi cùng với gói.
19
Giao thức IPSec trong an toàn mạng Internet
➢ Phân mảnh (Fragmentation): khi cần thiết, phân mảnh sẽ được thực hiện sau
khi đã xử lý AH. Vì vậy AH trong kiểu transport chỉ được thực hiện trên tồn
bộ gói IP, khơng thực hiện trên từng mảnh. Nếu bản thân gói IP đã qua xử lý
AH bị phân mảnh trên đường truyền thì ở phía thu phải được ghép lại trước khi
xử lý AH. Ở kiểu Tunnel, AH có thể thực hiện trên gói IP mà phần tải tin là
một gói IP phân mảnh.
Hình 12: Phân mảnh và xác thực: Máy chủ đến máy chủ của chế độ Transport
20
Giao thức IPSec trong an tồn mạng Internet
Hình 13: Phân mảnh và xác thực: Cổng đến cổng của chế độ Tunnel
iv.
Xử lý gói đầu vào
Khi nhận được một thơng điệp có chứa AH,q trình xử lí ip trước tiên sẽ tổng
hợp các phân mảnh thành thơng điệp hồn chỉnh.Sau đó thơng điệp này sẽ được chuyển
tới q trình xử lí IPSec. Quá trình này gồm các bước như sau:
➢ Bước 1:Xác định inbound SA tương ứng trong SAD.Bước này được thực hiện
dựa trên các thôngsố:SPI,địa chỉ nguồn,giao thức AH.SA tương ứng kiểm tra
trong gói AH để xác định xem modenào được áp dụng transport mode hay
tunnel mode hay cả hai.Gói cũng phải cung cấp một số thông số để giới hạn
tầm tác động của SA (ví dụ:port hay protocol). Nếu đây là tunnel header SA
phải so sánh các thông số này trong packer inner vì các thơng số này khơng
được sao chép sangtunnel header. Khi SA phù hợp được tìm thấy,q trình
được tiếp tục ,ngược lại gói tin sẽ bị hủy bỏ.
➢ Bước 2: Nếu chức năng chống phát lại được kích hoạt, phía xuất phát của gói
tin AH ln tăng số đếm chống phát lại.Bên nhận có thể bỏ qua hoặc sử dụng
chỉ số này để chống phát lại.Tuy nhiên giao thức IP khơng đảm bảo rằng trình
tự của các gói khi đến bên nhận giống như trình tự các gói lúc chúng được gửi
đi.Do đó chỉ số này không thể dùng để xác định thứ tự của các gói tin.Tuy
nhiên chỉ số này vẫn có thể sử dụng để xác định mối liên hệ về thứ tự với một
cửa sổ có chiều dài là bội số của 32 bits. Đối với mỗi inbound SA,SAD lưu trữ
21
Giao thức IPSec trong an toàn mạng Internet
một cửa sổ chống phát lại. Kích thước của cửa sổ là bội số của 32 bits với giá
trị mặc định là 64 bits. Một cửa sổ chống phát lại có kích thước N kiểm sốt
sequence number của N thơng điệp được nhận gần nhất.Bất cứ thơng điêp nào
có sequence number nhỏ hơn miền giá trị của cửa sổ phát lại đểu bị hủy bỏ.Các
thơng điệp có số sequence number đã tồn tại trong cửa sổ phát lại cũng bị hủy
bỏ. Một bit mask ( hoặc một cấu trúc tương tự ) được sử dụng để kiểm sốt
sequence number của N thơng điệp được nhận gần nhất đối với SA
này. Ban đầu một bit-mask 64 bít có thể giám sát sequence number của các
thơng điệp có sequence number nằm trong đoạn 1 , 64. Một khi xuất hiện một
thơng điệp có số sequence number lớn hơn 64 ( ví dụ 70), bit-mask sẽ dịch
chuyển để giám sát các số sequence number trong đoạn 7 70. Do đó nó sẽ hủy
bỏ các thơng điệp có sequence number nhỏ hơn 7, hoặc các thơng điệp có số
sequence number đã xuất hiện trong cửa sổ chống phát lại.hình dưới đây minh
họa hoạt động của cửa sổ chống phát lại.
➢ Bước 3: Kiểm tra tính xác thực của dữ liệu.Hàm băm được tính tốn tương tự
như dữ liệu đầu ra.Nếu kết quả tính khơng trùng với ICV trong thơng điệp thì
hủy bỏ thơng điệp ,ngược lại sẽ chuyển sang giai đoạn tiếp theo.
➢ Bước 4: Loại bỏ AH và tiếp tục q trình xử lí IPSec cho các phần cịn lại của
tiêu đề IPSec. Nếu có một nested IPSec header xuất hiện tại đích đến này. Mỗi
header cần phải được xử lí cho đến khi một trong hai điều kiện được thỏa
mãn.Khi IPSec header cuối cùng đã được xử lí thành cơng và q trình xử lí
tiếp cận đến các protocol của lớp trên gói tin được gửi đến chu trình xử lí gói ip
tiếp tục di chuyển trong tầng ip. Trong trường hợp khác, nếu quá trình xử lí
tiếp cận với một tunnel ip header mà đích đến khơng phải là host này thì thơng
điệp được chuyển đến host phù hợp tại đó các giai đoạn tiếp theo của q trình
xử lí IPSec được diễn ra.
➢ Bước 5: Kiểm tra trong SAD để đảm bảo rằng các IPSec policy áp dụng với
thông điệp trên thỏa mãn hệ thống các policy yêu cầu.Giai đoạn quan trọng này
rất khó minh họa trong trường hợp q trình xác thực chỉ sử dụng mình
AH.Một ví dụ có sức thuyết phục cao hơn khi chúng ta tiếp tục tìm hiểu một
loại tiêu đề bảo mật khác, ESP.
22
Giao thức IPSec trong an toàn mạng Internet
2. Giao thức an ninh bảo vệ ESP (Encapsulating Security Payload)
a. Khái niệm
Encapsulating Security Payload (ESP) được định nghĩa trong RFC 1827 và sau đó
được phát triển thành RFC 2408. Cũng như AH, giao thức này được phát triển hoàn toàn
cho IPSec. Giao thức này cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin.
Thêm vào đó, ESP cũng cung cấp nhận thực nguồn gốc dữ liệu, kiểm tra tính tồn vẹn dữ
liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật.
Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại thời điểm thiết
lập SA, dịch vụ bảo mật được cung cấp độc lập với các dịch vụ khác. Tuy nhiên nếu không
kết hợp sử dụng với các dịch vụ nhận thực vào toàn vẹn dữ liệu thì hiệu quả bí mật sẽ
khơng được đảm bảo. Hai dịch vụ nhận thực và toàn vẹn dữ liệu ln đi kèm nhau.
Hình 14: Gói IP được bảo vệ bởi ESP trong chế độ Transport
Hình 15: Gói IP được bảo vệ bởi ESP trong chế độ Tunnel
Dịch vụ chống phát lại chỉ có thể có nếu nhận thực được lựa chọn. Giao thức này
được sử dụng khi yêu cầu về bí mật của lưu lượng IPSec cần truyền. Giao thức ESP cung
cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật của gói tin giống với AH nhưng thêm
chức năng bảo mật IPSec. Trong chế độ tunnel mode, ESP cung cấp bảo vệ hạn chế từ việc
phân tích lưu lượng.
23
Giao thức IPSec trong an tồn mạng Internet
Đặc tính kỹ thuật của ESP có trong RFC 2406 [Kent and Atkinson 1998b]. Ngồi
xác thực dữ liệu và vị trí của dữ liệu xác thực trong các gói tin, chức năng xác thực của
ESP giống với AH. ESP có chức năng xác thực riêng vì trong các cuộc tấn cơng, ESP ln
ln được xác thực, chức năng xác thực nên được tích hợp sẵn trong ESP hơn là phụ thuộc
vào SA và giao thức header khác.
ESP không xác thực IP header. Trong chế độ tunnel mode, việc kết hợp sử dụng AH
vs ESP ở mơ hình bảo mật u cầu địa chỉ của gói dữ liệu cần được xác thực. Xác thực và
mã hóa là tùy chọn trong ESP, nhưng ít nhất 1 thứ phải được sử dụng. Các thuật tốn mã
hóa và xác thực sử được quy định bởi SA. Một trong hai chức năng có thể bị vơ hiệu hóa
bằng cách xác định thuật tốn NULL.
b. Các thuật tốn
Có các thuật toán sau được sử dụng với ESP:
➢
➢
➢
➢
➢
DES, 3DES in CBC.
HMAC with MD5.
HMAC with SHA-1.
NULL Authentication algorithm.
NULL Encryption algorithm.
c. So sánh giữa giao thức AH và ESP
Bảo mật
AH
ESP
Chỉ có 3 lớp trong giao thức IP
51
50
Tồn vẹn dữ liệu
Có
Có
Xác thực dữ liệu
Có
Có
Mã hóa dữ liệu
Khơng
Có
Chống tấn cơng phát lại
Có
Có
Tương thích với NAT
Khơng
Có
Bảo vệ gói IP
Có
Khơng
Bảo vệ dữ liệu
Khơng
Có
24
