HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
BÁO CÁO CHUYÊN ĐỀ
Mạng Viễn Thông
CHUYÊN ĐỀ:
Giao thức Ipsec trong Công Nghệ VPN
Lời Mở Đầu
•
Như chúng tã đã biết vấn đề bảo mật kết nối trong quá
trình truyền tải giữa các dữ liệu khác nhau là một vấn đề
rất quan trọng và nó đặc biệt quan trọng khi các dữ liệu
của chúng ta được truyền qua một mạng chia sẻ giống
như mạng internet.
•
Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các
dữ liệu trong quá trình truyền qua mạng? Làm thế nào có
thể bảo vệ chống lại các cuộc tấn công trong quá trình
truyền tải các dữ liệu đó?
•
Trên cơ sở đó chúng em đã tìm hiểu và hoàn thành bào
báo cáo chuyên đề “Giao thức Ipsec Trong công nghệ
VPN” một công nghệ bảo mật được sử dụng trong mạng
riêng ảo
Phần I: Giới thiệu
1.1: Khái niệm Ipsec
•
a, Ipsec là gì?
IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung
cấp một khoá cho phép bảo mật giữa hai thiết bị mạng ngang hàng.
Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được
định nghĩa để kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp
cho kênh truyền dẫn mạng bảo mật.

Hình 1.1: Mô hình OSI
Phần I: Giới thiệu
b, Vai trò của Ipsec
+ Cho phép xác thực hai chiều, trước và trong quá
trình truyền tải dữ liệu.
+ Mã hóa đường truyền giữa 2 máy tính khi được gửi
qua một mạng.
+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn
công mạng không bảo mật.
+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng
mã hóa và đánh dấu dữ liệu.
+ Một chính sách IPSec cho phép định nghĩa ra các loại
lưu lượng mà IPSec sẽ kiểm tra và cách các lưu
lượng đó sẽ được bảo mật và mã hóa như thế nào.
Phần I: Giới thiệu
c, Những tính năng của Ipsec
- Quản lý khóa (Key management).
- Sự cẩn mật (Confidentiality).
- Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and
data integrity).
Phần II: Giao thức bảo mật Ipsec
2.1: Khung giao thức IPSec
Hình 2.1: Khung giao thức được sử dụng trong IPSec
Phần II: Giao thức bảo mật Ipsec
Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.
Giao thức bảo mật IP (IPSec)
+ AH (Authentication Header)
+ ESP (Encapsulation Security Payload) Mã hoá bản tin
+ DES (Data Encryption Standard)
+ 3 DES (Triple DES) Các chức năng toàn vẹn bản tin

+ HMAC (Hash – ased Message Authentication Code)
+ MD5 (Message Digest 5)
+ SHA-1 (Secure Hash Algorithm -1)Nhận thực đối tác (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures
+ RSA Encrypted NoncesQuản lý khoá
+ DH (Diffie- Hellman)
+ CA (Certificate Authority)Kết hợp an ninh
+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management Protocol)
Phần II: Giao thức bảo mật Ipsec
2.1.1 giao thức AH (Authentication Header)
2.1.1.1: Cấu trúc gói tin AH
Hình 2.2 Cấu trúc tiêu đề AH cho IPSec Datagram
Phần II: Giao thức bảo mật Ipsec
•
Authentication Data (dữ liệu nhận thực)
•
Payload length (độ dài tải tin):
•
Reserved (dự trữ):
•
Security Parameters Index (SPI: chỉ dẫn thông số an ninh)
•
Sequence Number (số thứ tự)
•
Next Header (tiêu đề tiếp theo)
Phần II: Giao thức bảo mật Ipsec
2.1.1.2: Quá trình xử lý AH
Hoạt động của AH được thực hiện qua các bước như sau:
•

Bước 1: Toàn bộ gói IP (bao gồm IP header và tải tin) được thực
hiện qua một hàm băm một chiều.
•
Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưa
header này vào gói dữ liệu ban đầu.
•
Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối
tác IPSec.
•
Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kết
quả thu được một mã hash.
•
Bước 5: Bên thu tách mã hash trong AH header.
•
Bước 6: Bên thu so sánh mã hash mà nó tính được mà mã hash
tách ra từ AH
Phần II: Giao thức bảo mật Ipsec
a: vị trí của AH
AH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel.
Hình 2.3: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
Phần II: Giao thức bảo mật Ipsec
kiểu Transport cho phép bảo vệ các giao thức lớp
trên, cùng với một số trường trong IP header. Trong
kiểu này, AH được chèn vào sau IP header và trước
một giao thức lớp trên (chẳng hạn như TCP, UDP,
ICMP…) và trước các IPSec header đã được chen vào.
Đối với IPv4, AH đặt sau IP header và trước giao thức
lớp trên (ví dụ ở đây là TCP). Đối với IPv6, AH được
xem như phần tải đầu cuối-tới - đầu cuối, nên sẽ xuất
hiện sau các phần header mở rộng hop-to-hop, routing

và fragmentation. Các lựa chọn đích (dest options
extension headers) có thể trước hoặc sau AH.
Phần II: Giao thức bảo mật Ipsec
Hình 2.4: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport
Phần II: Giao thức bảo mật Ipsec
Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuối
cùng, còn outer IP header mang địa chỉ để định tuyến qua Internet. Trong
kiểu này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IP
header (trong khi AH Transport chỉ bảo vệ một số trường của IP header).
So với outer IP header thì vị trí của AH giống như trong kiểu Trasport
Hình 2.5: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel
Phần II: Giao thức bảo mật Ipsec
b) Các thuật toán xác thực
c) Xử lý gói đầu ra
+ Tìm kiếm SA
+ Tính toán ICV
+ Phân mảnh
+ Chèn dữ liệu
d) Xử lý gói đầu vào
+ Kiểm tra SN
+ Tìm kiếm SA
+ Ghép mảnh
Phần II: Giao thức bảo mật Ipsec
2.1.2 Giao thức ESP
A:Cấu trúc gói tin ESP

Hình 2.6: Xử lý đóng gói ESP
Hình 2.7: Khuôn dạng gói ESP
Phần II: Giao thức bảo mật Ipsec
*SPI (chỉ dẫn thông số an ninh):

* Sequence Number (số thứ tự):
* Payload Data (trường dữ liệu tải tin):
* Padding (0 255 bytes)
* Pad length (độ dài trường đệm):
* Next Header (tiêu đề tiếp theo):
* Authentication Data (dữ liệu nhận thực):
Phần II: Giao thức bảo mật Ipsec
B:Quá trình sử lý ESP
a) V ị trí của ESP header
ESP có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel.
Hình 2.8 Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport
Phần II: Giao thức bảo mật Ipsec
Kiểu Transport cho phép bảo vệ các giao thức lớp
trên, nhưng không bảo vệ IP header. Trong kiểu
này, ESP được chèn vào sau một IP header và trước
một giao thức lớp trên (chẳng hạn TCP, UDP hay
ICMP…) và trước IPSec header đã được chèn vào.
Đối với IPv4, ESP header đặt sau IP header và
trước giao thức lớp trên
Phần II: Giao thức bảo mật Ipsec
Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuối
cùng, còn outer IP header mạng địa chỉ để định tuyến qua Internet. Trong
kiểu này, ESP sẽ bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IP
header. So với outer IP header thì vị trí của ESP giống như kiểu Trasport

Hình 2.9: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Tunnel
Phần II: Giao thức bảo mật Ipsec
b) Các thuật toán
Có các thuật toán sau được sử dụng với ESP:
- DES, 3DES in CBC.

- HMAC with MD5.
- HMAC with SHA-1.
- NULL Authentication algorithm.
- NULL Encryption algorithm
- Các thuật toãn xác thực
- Các thuật toán mật mã
Phần II: Giao thức bảo mật Ipsec
c) Xử lý gói đầu ra
-
Tìm kiếm SA
-
- Mật mã gói tin
-
Tạo SN
-
Tính toán ICV
-
Phân mảnh
d) Xử lý gói đầu vào
- Ghép mảnh
- Tìm kiếm SA
-
Kiểm tra SN
-
Kiểm tra ICV
Phần II: Giao thức bảo mật Ipsec
e) Giải mã gói
- Giải mã ESP (bao gồm trường Payload Data,
Padding, Pad Length, Next
- Xử lý phần Padding theo đặc tả của thuật toán. Phía thu

cần tìm và loại bỏ phần
- Xây dựng lại cấu trúc gói IP ban đầu từ IP header ban đầu
và thông tin giao thức lớp cao trong tải tin của ESP (ở
kiểu Transport), hoặc outer IP header và toàn bộ gói IP
ban đầu trong tải tin của ESP (ở kiểu Tunnel).
-
SA được lựa chọn không đúng: SA có thể sai do các thông
số SPI, địa chỉ đích, trương Protocol type sai.
- Gói ESP mật mã bị lỗi (có thể được lựa chọn nếu dịch vụ
xác thực được lựa chọn cho SA).
Phần II: Giao thức bảo mật Ipsec
2.2 Hoạt động của Ipsec
Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn
với các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia
thành 5 bước chính như sau:
Hình 2.11: 5 bước hoạt động của IPSec
•
A gửi lưu lượng cần bảo vệ tới B
•
Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE SA ←
IKE Phase → IKE SA
•
Router A và B thoả thuận một phiên trao đổi IKE Phase 2
IPSec SA ← IKE Phase → IPSec SA
•
Thông tin được truyền dẫn qua đường hầm IPSec
•
Kết thúc đường hầm IPSec
Phần II: Giao thức bảo mật Ipsec
Bước 1- Kích hoạt lưu lượng cần bảo vệ.

Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba
lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói
dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec,
người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật
được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu, chính
sách bảo mật chỉ rõ các giao thức IPSec, các node, và
các thuật toán được sử dụng cho luồng lưu lượng.