Bài giảng An toàn mạng máy tính nâng cao: Chương 2 - ThS. Nguyễn Duy
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (734.32 KB, 20 trang )
<span class='text_page_counter'>(1)</span><div class='page_container' data-page=1>
CH
ƯƠ
NG 2
<b>CÁC GIAO TH</b>
<b>Ứ</b>
<b>C B</b>
<b>Ả</b>
<b>O M</b>
<b>Ậ</b>
<b>T </b>
</div>
<span class='text_page_counter'>(2)</span><div class='page_container' data-page=2>
Ø
IP Security
Ø
Secure Socket Layer /Transport Layer Security
Ø
Pretty Good Privacy
Ø
Secure Shell
<b>2 </b> <b> </b>
</div>
<span class='text_page_counter'>(3)</span><div class='page_container' data-page=3>
Ø
<b>IP Security </b>
Ø
Secure Socket Layer /Transport Layer Security
Ø
Pretty Good Privacy
Ø
Secure Shell
</div>
<span class='text_page_counter'>(4)</span><div class='page_container' data-page=4>
T
ổ
ng quan
Ø Là một giao thức bảo mật chính tại lớp Mạng (Network Layer –
OSI) hoặc lớp Internet (Internet Layer – TCP/IP).
Ø IPsec là yếu tố quan trọng để xây dựng mạng riêng ảo (VPN –
Virtual Private Networks).
Ø Bao gồm các giao thức chứng thực, các giao thức mã hoá, các
giao thức trao đổi khoá:
Ø AH (Authentication header): được sử dụng để xác định
nguồn gốc gói tin IP và đảm bảo tính tồn vẹn của nó.
Ø ESP (Encapsulating Security Payload): được sử dụng để
chứng thực và mã hố gói tin IP (phần payload hoặc cả gói
tin).
Ø IKE (Internet key exchange): được sử dụng để thiết lập khoá
bí mật cho người gởi và người nhận.
</div>
<span class='text_page_counter'>(5)</span><div class='page_container' data-page=5>
T
ổ
ng quan
Ø Ứng dụng của IPsec:
Ø Bảo mật kết nối giữa các chi nhánh văn phòng qua
Internet.
Ø Bảo mật truy cập từ xa qua Internet.
Ø Thực hiện những kết nối Intranet và Extranet với các
đối tác (Partners).
Ø Nâng cao tính bảo mật trong thương mại điện tử.
</div>
<span class='text_page_counter'>(6)</span><div class='page_container' data-page=6>
T
ổ
ng quan
</div>
<span class='text_page_counter'>(7)</span><div class='page_container' data-page=7>
T
ổ
ng quan
<b>7 </b>
Ø Ví dụ minh hoạ:
Ø Khi Alice muốn giao tiếp với Bob sử dụng IPsec, Alice
trước tiên phải chọn một tập hợp các giải thuật mã
hóa và các thơng số, sau đó thơng báo cho Bob về
lựa chọn của mình.
Ø Bob có thể chấp nhận lựa chọn của Alice hoặc
thương lượng với Alice cho một tập hợp khác nhau
của các giải thuật và các thông số.
Ø Một khi các giải thuật và các thông số được lựa chọn,
IPsec thiết lập sự kết hợp bảo mật (Security
Association - SA) giữa Alice và Bob cho phần còn lại
</div>
<span class='text_page_counter'>(8)</span><div class='page_container' data-page=8>
T
ạ
i sao c
ầ
n s
ử
d
ụ
ng IP Security
<b>8 </b>
Ø
IPv4 không
đượ
c thi
ế
t k
ế
v
ớ
i tính b
ả
o m
ậ
t
Ø
Nh
ữ
ng cu
ộ
c t
ấ
n cơng có th
ể
x
ả
y ra v
ớ
i IPv4
Ø Eavesdropping
Ø Data modification
Ø Identity spoofing (IP address spoofing)
Ø Denial-of-service attack
Ø Man-in-the-middle attack
</div>
<span class='text_page_counter'>(9)</span><div class='page_container' data-page=9>
T
ạ
i sao c
ầ
n s
ử
d
ụ
ng IP Security
<b>9 </b>
Ø
Eavesdropping
Ø Mã hóa dữ liệu.
Ø
Data modification
Ø IP sử dụng thuật toán hàm băm
Ø
Identity spoofing (IP address spoofing)
Ø Sử dụng cơ chế xác thực lẫn nhau
Ø
Denial-of-service attack
Ø Cho phép block traffic
Ø
Man-in-the-middle attack
Ø Sử dụng cơ chế xác thực lẫn nhau + Shared Key
</div>
<span class='text_page_counter'>(10)</span><div class='page_container' data-page=10>
Security Association (SA)
<b>10 </b>
Ø Một SA cung cấp các thông tin sau:
Ø Chỉ mục các thông số bảo mật (SPI - Security
parameters index): là một chuỗi nhị phân 32 bit được
sử dụng để xác định một tập cụ thể của các giải thuật
và thông số dùng trong phiên truyền thông. SPI được
bao gồm trong cả AH và ESP để chắc chắn rằng cả
hai đều sử dụng cùng các giải thuật và thơng số.
Ø Địa chỉ IP đích.
Ø Giao thức bảo mật: AH hay ESP. IPsec không cho
phép AH hay ESP sử dụng đồng thời trong cùng một
</div>
<span class='text_page_counter'>(11)</span><div class='page_container' data-page=11>
C
ơ
ch
ế
ho
ạ
t
độ
ng
</div>
<span class='text_page_counter'>(12)</span><div class='page_container' data-page=12>
C
ơ
ch
ế
ho
ạ
t
độ
ng - tt
<b>12 </b> <b> </b>
Ø IKE là cơ chế trao đổi key
Ø Được sử dụng để thiết lập phiên làm việc của IPSec
Ø Có 5 giá trị được thỏa thuận:
Ø 2 modes (main mode và aggressive mode)
Ø 3 phương thức xác thực (Preshared-Key, Kerberos và
</div>
<span class='text_page_counter'>(13)</span><div class='page_container' data-page=13>
IKE – Main Mode
</div>
<span class='text_page_counter'>(14)</span><div class='page_container' data-page=14>
IKE – Main Mode
</div>
<span class='text_page_counter'>(15)</span><div class='page_container' data-page=15>
IKE – Main Mode
</div>
<span class='text_page_counter'>(16)</span><div class='page_container' data-page=16>
IKE – Main Mode
</div>
<span class='text_page_counter'>(17)</span><div class='page_container' data-page=17>
IPSecurity: Quick mode
</div>
<span class='text_page_counter'>(18)</span><div class='page_container' data-page=18>
Các ph
ươ
ng th
ứ
c ho
ạ
t
độ
ng c
ủ
a IPsec
<b>18 </b>
IPsec bao gồm 2 phương thức:
Ø Phương thức Vận chuyển (Transport Mode): sử dụng
Transport Mode khi có yêu cầu lọc gói tin và bảo mật
điểm-tới-điểm. Cả hai trạm cần hỗ trợ IPSec sử dụng
cùng giao thức xác thực và không được đi qua một giao
tiếp NAT nào. Nếu dữ liệu đi qua giao tiếp NAT sẽ bị đổi
địa chỉ IP trong phần header và làm mất hiệu lực của
ICV (Giá trị kiểm sốt tính ngun vẹn)
</div>
<span class='text_page_counter'>(19)</span><div class='page_container' data-page=19>
Các ph
ươ
ng th
ứ
c ho
ạ
t
độ
ng c
ủ
a IPsec
<b>19 </b>
IPsec bao gồm 2 phương thức:
Ø Phương thức đường hầm (Tunel mode): sử dụng mode
này khi cần kết nối Site-to-Site thông qua Internet (hay
các mạng công cộng khác). Tunel Mode cung cấp sự
bảo vệ Gateway-to-Gateway (cửa-đến-cửa)
</div>
<span class='text_page_counter'>(20)</span><div class='page_container' data-page=20>
Đị
nh d
ạ
ng AH
</div>
<!--links-->
