Your SlideShare is downloading. ×
0
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Ipsec_Vietnamese
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Ipsec_Vietnamese

1,045

Published on

Slide về IpSecurity

Slide về IpSecurity

Published in: Education
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,045
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
98
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide
  • Lực lượng đặc nhiệm kỹ thuật Internet (IETF-The Internet Engineering Task Force) là một cộng đồng quốc tế mở rộng lớn của các nhà thiết kế mạng, các nhà khai thác, các nhà cung cấp thiết bị và các nhà nghiên cứu quan tâm tới sự phát triểưn của kiến trúc Internet và hoạt động ổn định của Internet. Đây là tổ chức mở cho bất kỳ ai quan tâm. Tổchức IETF pháttriểnvàxúctiếncáctiêuchuẩn Internetxửlýcáctiêuchuẩm TCP/IP vàbộgiaothức Internet.
  • Ngoàiracòncócácchứcnăngkhác:• Không từ chối: các chữ ký số key public được sử dụng để chứng nhận tin nhắn là nguyên vẹn• Rekeying dynamic: các key có thể được tạo ra trong khi các dữ liệu đang được gởi đi để bảo vệ các khúc giao tiếp với những key khác nhau• Tạo key: thuật toán key đồng thuận Diffie-Hellman được sử dụng để kích hoạt hai máy tính có thể trao đổi các key mã hoá được chia sẻ.• Bộ lọc IP Packet: chức năng lọc gói của IPSec có thể dùng để lọc và khóa những dạng traffic nhất định, dựa trên những thành phần sau hoặc kết hợp tất cả lại:• Địa chỉ IP• Các giao thức• Các cổng
  • Giaothức AH ítbảomậthơn ESP ,ESPcungcấpgầnnhưtoànbộtínhnăngcủaIPSec ,ngoàiracòncómãhóadữliệudo đógiaothức ESP thườngđượcsửdụngtrongIpsecVPN (Virtual Private Network) mạngriêngảo. Một mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. Cóhailoạiphổbiếnhiện nay là VPN truycậptừxa (Remote-Access) và VPN điểm-nối-điểm (site-to-site)
  • IP Encapsulating Security Payload cungcấpbảomật, vàlà option bạncóthểlựachọncảtínhnăng authentication và Integrity đảmbảotínhtoànvẹndữliệu.
  • Username and password: Uses the predefined usernames and passwords for differentusers or systems.One Time Password (OTP) (Pin/Tan): A stronger authentication method using passwordsthat are generated for each authentication.Biometric: Biometrics usually refers to technologies for measuring and analyzing humanbody characteristics such as fingerprints, eye retinas and irises, voice patterns, facialpatterns, and hand measurements, especially for authentication purposes.Preshared keys: A secret key value that is manually entered into each peer and used toauthenticate the peer.Digital certificates: Use the exchange of digital certificates to authenticate the peers.
  • SA (Security Associate) : chínhsách an ninhtrêncácthiếtbị. Hoặcnhững thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SAIKE : Là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật như: thuật toán mã hóa được áp dụng, khoảng thời gian khóa cần được thay đổi . Sau khi thỏa thuận xong thì sẽ thiết lập “hợp đồng” giữa 2 bên, khi đó IPSec SA (Security Association) được tạo ra.Cácgiaothức IKE sửdụngđểxácthựcvàtạokhóa:ISAKMP: ISAKMP xác định các thủ tục về làm thế nào để thiết lập, thoả thuận, chỉnh sửa, và xóa các SA. Tất cả các tham số thoả thuận được xử lý thông qua ISAKMP, chẳng hạn như xác thực mào đầu và đóng gói tải trọng. ISAKMP thực hiện xác thực ngang hàng, nhưng nó không liên quan đến trao đổi khóa. RFC 2408Oakley: Giao thức Oakley sử dụng thuật toán Diffie-Hellman để quản lý trao đổi khoá thông qua các SA IPsec. Diffie-Hellman là một giao thức mật mã (cryptographic protocol) cho phép hai điểm cuối trao đổi một khoá bí mật trên một kênh không an toàn. RFC 2412Skeme : làmthếnàođểtạokhóaxácthực.Giaothức IKE dùng UDP port 500
  • IKE phase 1:Đây là giai đoạn bắt buộc phải có. Phase này thực hiện việc xác thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa hai bên gọi là SA, SA trong pha này gọi là SA ISAKMP hay SA IKE. Pha này sử dụng một trong hai mode để thiết lập SA: chế độ chính thức (main mode) và chế độ tích cực (aggressive mode) Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:Thuật toán mã hóa: DES, 3DES, AESThuật toán hash: MD5, SHAPhương pháp xác thực: Preshare-key, RSANhóm khóa Diffie-Hellman (version của Diffie-Hellman)Main mode: sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau.Hai message đầu dùng để thỏa thuận các thông số của chính sách bảo mật.Hai message tiếp theo trao đổi khóa Diffie-Hellman.Hai message cuối cùng thực hiện xác thực giữa các thiết bị.Aggressive mode: sử dụng 3 message.Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-HellmanMessage thứ hai sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và xác thực bên nhận.Message cuối cùng sẽ xác thực bên vừa gửi.b) IKE phase 1.5:Là một giai đoạn IKE không bắt buộc. Giai đoạn 1,5 cung cấp thêm một lớp xác thực, được gọi là Xauth hoặc xác thực Extended. Xác thực IPsec được cung cấp trong phase 1 xác thực các thiết bị hoặc thiết bị đầu cuối sử dụng để thiết lập kết nối IPsec. Xauth bắt người sử dụng phải xác thực trước khi sử dụng các kết nối Ipsec.c) IKE phase 2:Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Qúa trình thỏa thuận các thông số ở phase 2 là để thiết lập SA IPSec dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2. Các thông số mà Quick mode thỏa thuận trong phase 2:Giao thức IPSec: ESP hoặc AHIPSec mode: Tunnel hoặc transportIPSec SA lifetime: dùng để thỏa thuận lại SA IPSec sau một khoảng thời gian mặc định hoặc được chỉ định.Trao đổi khóa Diffie-HellmanSA IPSec của phase 2 hoàn toàn khác với SA IKE ở phase 1, SA IKE chứa các thông số để tạo nên kênh truyền bảo mật, còn SA IPSec chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode.
  • 4 chế độ IKE phổ biến thường được triển khai :· Chế độ chính (Main mode)· Chế độ linh hoạt (Aggressive mode)· Chế độ nhanh (Quick mode)· Chế độ nhóm mới (New Group mode)Main Mode : Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua trìnhgiao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:· 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.· 2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces. Những khóasau này thực hiện một vai tro quan trọng trong cơ chế mã hóa.· Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúpđỡcủacácchữkýsố, cáchàmbăm, vàtùychọnchứngnhận.Aggressive Mode : Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode có 6thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive modenhanh hơn mai mode. Các thông điệp đó bao gồm :· Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính, và traođổi nonces cho việc ký và xác minh tiếp theo.· Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận và hoànthành chính sách bảo mật bằng các khóa.· Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc)Cả Main Mode và Aggressive Mode đềuthuộcgiaiđoạn 1.Quick Mode : Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuậnSA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh khóa chínhmới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận trong giai đoạn I,một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt khác, khóa mới được phát sinh bằng các giá trị bămNew Group Mode:  New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều kiện traođổi Diffie-Hellman key được dễ dàng
  • Tại sao phải hỗ trợ chức năng NAT-T thì các packet mới tiếp tục đi được ? Các bạn chú ý phần trên tôi đã trình bày . Khi thực hiện quá trình mã hóa bằng ESP thì lúc này các source IP , port và destination IP, port đều đã được mã hóa và nằm gọn tron ESP Header . Như vậy khi tất cả các thông tin IP và Port bị mã hóa thì kênh truyền IPSec không thể diễn ra quá trình NAT . Do đó NAT Traversal ra đời trong quá trình hoạt động của IKE nhằm phát hiện và hỗ trợ NAT cho Ipsec . Các dự liệu sẽ không bị đóng gói trực tiếp bỏi giao thức IP mà nó sẽ đóng gói thông qua giao thức UDP . Và lúc này các thông tin về IP và Port sẽ nằm trong gói UDP này . - Chức năng Mode Configuration : Chức năng này có tác dụng pushing các chính sách bảo mật cũng như thông tin về IP , DNS , Gateway cho người dùng di động khi họ quay VPN vào hệ thống . Ngoài ra Cisco có cung cấp giải pháp cho việc này đó là Easy VPN . Nhưng trong phạm vi bài này tôi sẽ không đi sâu về vấn đề này . - Chức năng cuối cùng IKE hỗ trợ mà tôi muốn giới thiệu với các bạn đó là Xauth ( Tôi đã giới thiệu sơ trong phares 1.5 ) Xauth sẽ cho phép phương thức AAA (Authentication , Authorization , Accounting) hoạt động đối với việc xác thực user . Các bạn cũng nên lưu ý phần này . Xauth không đè lên IKE mà việc xác thực của giao thức Xauth này là xác thực người dùng chứ không phải quá trình xác thực diễn ra trong Phares 1
  • Khi thực hiện quá trình mã hóa bằng ESP thì lúc này các source IP và destination IP đều đã được mã hóa và nằm gọn trong ESP Header. Như vậy khi tất cả các thông tin IP và Port bị mã hóa thì kênh truyền IPSec không thể diễn ra quá trình NAT.Do đó NAT-Traversal rađờitrongquátrìnhhoạtđộngcủa IKE nhằmpháthiệnvàhỗtrợ NAT choIpsec. Cácdữliệusẽkhôngbịđónggóitrựctiếpbởigiaothức IP mànósẽđónggóithông qua giaothức UDP. Vàlúcnàycácthông tin về IP và Port sẽnằmtronggói UDP này.
  • Nat traversalđượcdùngđểđàmphán : NAT traversal detection NAT traversal decision UDP encapsulation of IPsec packets for NAT traversal UDP encapsulated process for software enginesNat traversal detection:Tronggiaiđoạn IKE 1, trướckhichếđộ quick mode đượcbắtđầu, sẽcầnphảixácđịnh 2 vấnđểvề Nat: việccóhỗtrợ Nat vàsựtồntạicủadọctheođườngtruyềnmạng.Đểpháthiệnthiếtbịcóhỗtrợ Nat hay không, giữanhàcungcấpvàcácthiếtbịnganghàngsẽgửicácchuỗi ID đểbiếtrằngcóhỗtrợ Nat traversal.Sauđósẽtiếnhànhxácđịnhsựtồntạicủa Nat. Nat traversal chophép 1 thiếtbịIpsectìmthấybấtkỳthiếtbị Nat nàogiữaIpsecnganghàng.Đểpháthiệnthiệtbị Nat cótồntại không,2 bênsẽgửicácbảngbămchứađịachỉ IP ,port củacảnguồnvàđích.Nếukhi so sánh, giốngnhautứclàkhôngcó Nat, cònkhácnhauthìsẽsửdụng Nat traversal đểnhậnđượccáigói tin.Nat traversal decision :Giaiđoạn 1 của IKE đểpháthiệncóhỗtrợvàtồntại Nat hay khôngthìgiaiđoạn 2 củaquátrình IKE sẽquyếtđịnhcácthiếtbịcósửdụng Nat traversal không.Quick mode SA payload sẽđượcsửdụngchođàmphán Nat traversal. UDP encapsulation of IPsec packets:giảiquyết 1 sốvấnđềsau :SựkhôngtươngthíchgiữaIPsec ESP and PAT : nếu PAT tìmthấy 1 legislative ipvà port, nósẽhủygói tin ESP. đểtránhtrườnghợpnày UDP encapsulation sẽtiềnhànhẩngói tin ESP phíasau UDP header.Nhưthế PAT sẽxửlýcácgói tin ESP như UDP header.Sựkhôngtươngthíchgiữa checksum và Nat : trong UDP header, giátrịhàm checksum luônlà 0.Giá trịnàyđểngănchặnviệctổngkiểmtragói tin.do đógiảiquyếtvấnđềtổngkiểmtra, bởi Nat đãthayđổiđịachỉ IP nguồnvàđích.Sựkhôngtươngthíchgiữaviệcsửa port IKE đíchvà PAT :Pat sẽthayđổi port đíchtrong UDP header đểdịchvà di chuyểngói tin màkhôngbịthayđổi.UDP encapsulated process for software engines: sửdụng Tunnel mode và transport mode ESP encapsolution.
  • Chức năng này có tác dụng pushing các chính sách bảo mật cũng như thông tin về IP , DNS , Gateway cho người dùng di động khi họ quay VPN vào hệ thống
  • Easy VPN hay còngọilà remote access dành cho những người dùng có nhu cầu đơn giản. Cách thức làm việc chung là chỉ cần cài đặt phần mềm client trên máy tính cá nhân, PC hoặc laptop, qua đó người sử dụng sẽ thiết lập kết nối tới máy tính tại văn phòng làm việc, đăng nhập bằng thông số username và password đã được gán quyền trước đó. Sau khi tunnel đã được thay thế, người dùng có thể làm việc và truy cập tới server trực tiếp như khi ở văn phòng, giao thức kết nối tunnel này được xây dựng dựa trên IPSec hoặc SSL.
  • Xauthkhôngđượcdùngđểthaythế IKE. IKE đểxácthựccácthiếtbịtrongkhiđóXauthdùngđểxácthựcngườidùng ,nóxảyrasaukhiviệcxácthựcthiếtbịđãxảyra.Ngườidùngcóthểsửdụnggeneric username and password, Challenge Handshake Authentication Protocol (CHAP), OTPs, or Secure Key (S/Key) đểxácthực.
  • Ipseccó 2 chếđộtruyềngói tin trongmạng:Transport mode (Chếđộvậnchuyển)Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP, UDP hoặc ICMP). Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói.Transport mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn. Tuy nhiên, nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã hóa phần đầu IP. - Transport Mode thường dùng cho các kết nối từ đầu cuối đến đầu cuối, ví dụ từ trạm làm việc đến máy chủ hoặc giữa hai trạm làm việc với nhau.Tunnel Mode (Chế độ đường hầm):- Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu. Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các packets và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn chính là gateway. - Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa. Tunnel mode được dùng khi một trong hai đầu của kết nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSecTunnel Mode thường được dùng trong các SA (Security Association -liên kết bảo mật) nối giữa hai gateway của hai mạng.
  • .ESP cungcấpchứcnăngmãhóachogói tin. Thuậttoánmãhóamặcđịnhlà DES-56 bits. Tuynhiêncácsảnphẩmcủa Cisco thườnghỗtrợmãhóa 3DES mạnhhơn.Cóthểsửdụng 1 thuậttoán ESP hoặckếthợpcảthuậttoánAH.Nếukếthợpgiữa ESP và AH thìđầutiên payload sẽđượcmãhóa, sửdụngcáchàmbămnhư MD5 hoặc SHA -1 . Cuốicùnglàxácthực.
  • Bước thứ 1 : Giao thức AH sẽ đem gói dữ liệu ( packet ) bao gồm payload + Ip header + Key Cho chạy qua 1 giải thuật gọi là giải thuật Hash và cho ra 1 chuỗi số . Các bạn nhớ đây là giải thuật 1 chiều , nghĩa là từ gói dữ liệu + key = chuỗi số . Nhưng từ chuỗi số không thể hash ra = dữ liệu + key Và chuỗi số này sẽ đuợc gán vào AH header .Bước thứ 2 : AH Header này sẽ được chèn vào giữa Payload và Ip Header và chuyển sang phía bên kia .Đương nhiên các bạn cũng nhớ cho rằng việc truyền tải gói dự liệu này đang chạy trên 1 tunel mà trước đó quá trình IKE sau khi trao đổi khóa đã tạo ra .Bước thứ 3 : Router đích sau khi nhận được gói tin này bao gồm IP header + AH header + Payload sẽ được chạy qua giải thuật Hash 1 lần nữa để cho ra 1 chuỗi số .Bước thứ 4 : So sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó sẽ chấp nhận gói tin .Nếu trong quá trình truyền gói dữ liệu 1 attacker sniff nói tin và chỉnh sửa nó dẫn đến việc gói tin bị thay đổi về kích cỡ , nội dung thì khi đi qua quá trình hash sẽ cho ra 1 chuỗi số khác chuỗi số ban đầu mà router đích đang có . Do đó gói tin sẽ bị dropThuật toán hash bao gồm MD5 và SHA-1Và trong trừong hợp này IPSec đang chạy ở chế độ trasports mode .
  • Gói tin ban đầugiữasẽđượcmãhóa, sauđóđượcthêm ESP header àn ESP trailer. Sauđó ESP authđượcthêmvàocùngvớiquátrìnhbăm.Cuốicùng 1 New Ip Header sẽđượcthêmvàođầugói tin đểtạo 1 gói tin mới.Gói tin nàysẽđược Router gửiđi.
  • Transport mode bảovệphầnnội dung củagói tin, khôngbảomậtnhư Tunnel mode, chỉđượcsửdụngđểgửigói tin giữa 2 host.Trongkhiđó tunnel đượcdùngđểgửigói tin giữa host – gateway,gateway-gateway
  • Tạibêngửi : Messagecùngkhóasẽđượcbămthành Mac sauđóđượcgửicùngvớiMessesageTạibênnhận : Message cùngkhóasẽđượcbămvà so sánhvới MAC.
  • Public key, which is exchanged between end usersPrivate key, which is kept secret by the original owners
  • Transcript

    • 1. An toàn an ninh mạng Nhóm 1 IPSEC
    • 2. Ip Sec là gì ?• IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP• IPSec cung cấp một cơ chế bảo mật ở tầng 3 (Network layer) của mô hình OSI. IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.
    • 3. Chức năng cơ bản• Chứng nhận: một chữ kí số được dùng để xác định nhân diện của người gởi thông tin. IPSec có thể dùng Kerberos, một preshared key, hay các chứng nhận số cho việc chứng nhận.• Bảo mật dữ liệu: các thuật toán mã hoá được thực hiện để đảm bảo dữ liệu được di chuyển sẽ không thể giải mã được.• Toàn vẹn dữ liệu: một thuật toán hash được dùng để đảm bảo dữ liệu sẽ không bị can thiệp vào. Một checksum được gọi là một mã chứng nhận tin nhắn hash (HMAC) được tính toán cho dữ liệu của gói. Khi một gói được thay đổi trong khi đang di chuyển thì HMAC đã được thay đổi sẽ được lưu lại. Thay đổi này sẽ bị xoá bởi máy tính nhận.• Anti-replay: ngăn chặn kẻ tấn công gửi các gói khi cố gắng truy cập vào mạng cá nhân
    • 4. Giao thức Ipsec• Internet Key Exchange (IKE): Giúp cho các thiết bị tham gia VPN trao đổi với nhau về thông tin an ninh như mã hóa thế nào ? Mã hóa bằng thuật toán gì ? Bao lâu mã hóa 1 lần . IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia VPN• Encapsulating Security Payload (ESP): Có tác dụng xác thực ( authentication ) , mã hóa ( encrytion ) và đảm bảo tính trọn vẹn dữ liệu ( securing of data )• Authentication Header (AH) :cung cấp tính xác thực và bảo mật dữ liệu
    • 5. Ipsec Header • Ipsec ESP cung cấp : • Xác thực và toàn vẹn dữ liệu (MD5 hoặc SHA1- HMAC) dành cho cả giao thức ESP hay AH • Mã hóa và đảm bảo độ an toàn của gói tin (DES,3DES hoặc AES) chỉ dành cho ESP
    • 6. Xác thực ngang hàng• 1 số phương pháp: • Username and password • One Time Password OTP (Pin/Tan) • Biometric (Xác thực bằng sinh học) • Preshared keys • Digital certificates ( chữ ký số)
    • 7. Internet Key Exchange (IKE) • Giải quyết vấn đề cài đặt thủ công, ISAKMP Cung cấp 1 nền tảng khả năng mở rộng của Ipsec bằng việc cho việc trao đổi khóa và bảo mật thông tin. tự động hóa quá trình trao đổi khóa: • Negotiation of SA characteristics SKEME Cơ chế sử dụng mã • Automatic key generation hõa khóa công khai để • Automatic key refresh xác thực • Manageable manual configuration OAKLEY quản lý trao đổi khoá thông qua các SA IPsec
    • 8. Các giai đoạn hoạt động của IKE (IKE Phases)• IKE Phases 1 (Bắt buộc xảy ra trong quá trình IKE) • Xác thực giữa các thiết bị tham gia VPN (Authentication the peers) • Trao đổi các SA. • Có 2 chế độ hoạt động là Main Mode hoặc Aggresssive Mode• IKE Phases 1.5 (Không bắt buộc phải xảy ra) • Xauth (Extended Authentication) • Mode Config• IKE Phases2 ( Bắt buộc xảy ra) • Thiết lập IPsec SAs/SPIs • Sử dụng phương thức Quick Mode
    • 9. IKE Modes
    • 10. Các chức năng khác của IKE• Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ đếm thời gian . Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác. Mục đích chính để phát hiện hỏng hóc của các thiết bị . Thông thường các gói keepalives sẽ gửi mỗi 10s.• Hỗ trợ chức năng NAT-Traversal : Chức năng này có ý nghĩa là nếu trên đường truyền từ A tới B nếu có những thiết bị NAT or PAT đứng giữa thì lúc này IPSec nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường .
    • 11. Vấn đề IPsec và NAT ?
    • 12. Giải pháp IPsec NAT Traversal• Need NAT traversal with IPsec over TCP/UDP: • NAT traversal detection (phát hiện) • NAT traversal decision (quyết định) • UDP encapsulation of IPsec packets (đóng gói ) • UDP encapsulated process for software engines ( quá trình đóng gói)
    • 13. Mode Configuration
    • 14. Easy VPN
    • 15. Xauth• Cơ chế được sử dụng để xác thực người dùng với VPN client
    • 16. ESP and AH• IPsec protocols: – ESP or AH – ESP uses IP protocol number 50 – AH uses IP protocol number 51• IPsec modes: – Tunnel or transport mode – Tunnel mode tạo 1 gói Ip mới – Transport mode xác thực gói tin hiện tại.
    • 17. ESP and AH Header• ESP mã hóa và xác thực gói tin• AH xác thực nhưng không mã hóa
    • 18. AH xác thực và toàn vẹn gói tin.
    • 19. ESP Protocol• Cung cấp tính bảo mật bằng mã hóa• Cung cấp tính toàn vẹn bằng xác thực
    • 20. Tunnel and Transport Mode
    • 21. Chứng thực thông điệp sử dụng và kiểm tra tínhtoàn vẹn bằng hàm băm • MAC được sử dụng để chứng thực thông điệp và kiểm tra tính toàn vẹn • Hàm băm được sử dụng rộng rãi cho mục đích này
    • 22. Các hàm băm thông thường• MD5 cấp 128 bit cho output• SHA-1 cấp đầu ra 160 bit cho output (chỉ 96 bit đầu được sử dụng cho IPsec)• SHA-1 tính toán chậm hơn MD5 nhưng lại an toàn hơn
    • 23. Thuật toán mã hóa đối xứng và không đốixứng • Thuật toán đối xứng: - Mã hóa khóa riêng tư - Sử dụng cùng 1 khóa để mã hóa và giải mã - Thường được sử dụng để mã hóa nội dung của thông tin - VD: DES, 3DES, AES • Thuật toán không đối xứng: - Mã hóa khóa công khai - Mã hóa và giải mã sử dụng các khóa khác nhau - Thường được sử dụng trong chữ kí số và khóa quản lý - VD: RSA
    • 24. Độ dài khóa của thuật toán mã hóa đối xứng vàkhông đối xứng• So sánh độ dài khóa khi yêu cầu khóa của thuật toán đối xứng so với khóa của thuật toán không đối xứng Thuật toán đối xứng Thuật toán không đối xứng 80 1024 112 2048 128 3072 192 7680 256 15360
    • 25. Cấp độ bảo mật của thuật toán mã hóa Cấp độ bảo mật Hệ số làm việc Thuật toán Yếu O(240) DES, MD5 Kế thừa O(264) RC4, SHA-1 Cơ bản O(280) 3DES Trung bình O(2128) AES-128, SHA-256 Cao O(2256) AES-192, SHA-384 Siêu bảo mật O(2256) AES-256, SHA-512
    • 26. Mã hóa đối xứng: DES • Là thuật toán mã hóa đối xứng • Khối mã hóa: làm việc với 64 bit khối dữ liệu, sử dụng 56 bit làm khóa ( bit cuối cùng sẽ được sử dụng để tính chẵn lẻ) • Phương thức hoạt động: áp dụng DES để mã hóa các khối dữ liệu
    • 27. Mã hóa đối xứng: 3DES • Tổng chiều dài khóa là 168 bit • Phương thức hoạt động sẽ quyết định khi nào cần chạy DES 3 lần • Thông thường: mã hóa, giải mã, mã hóa • 3DES đòi hỏi phải sử lý nhiều hơn
    • 28. Mã hóa đối xứng: AES • Trước đây được biết đến với cái tên là “Rijndael” • Kế thừa cho DES và 3DES • Chìa khóa đối xứng block mật mã • Mã hóa mạnh với kì vọng sống dài • AES có thể hỗ trợ khóa 128-, 192-, và 256-bit, với khóa 128-bit được xem là an toàn
    • 29. Mã hóa không đối xứng: RSA • Dựa trên nguyên tắc trao đổi khóa Diffie-Hellman (IKE) • Khóa công khai để mã hóa dữ liệu, và để xác minh chữ ký số • Khóa riêng tư để giải mã dữ liệu và để đăng kí chữ kí số • Hoàn hảo cho các kênh truyền thông không an toàn
    • 30. Thuật toán thỏa thuận Diffie-Hellman
    • 31. Thuật toán thỏa thuận Diffie-Hellman(Tiếp...) 1. Tạo ra một số nguyên lớn p 1. Tạo ra một số nguyên lớn q Gửi p cho Peer B Gửi q cho Peer A Nhận q Nhận p Tạo ra g Tạo ra g 2. Tạo ra một khóa riêng XA 2. Tạo ra một khóa riêng XB 3. Tạo ra một khóa công khai 3. Tạo ra một khóa công khai YA = g* XA mod p YB = g* XB mod p 4. Gửi YA cho Peer B 4. Gửi YB cho Peer A 5. Tạo ra số chia sẻ bí mật 5. Tạo ra số chia sẻ bí mật ZZ=YB^XA mod p ZZ=YA^XB mod p 6. Tạo ra một khóa chia sẻ bí mật từ 6. Tạo ra một khóa chia sẻ bí mật từ ZZ (bằng DES, 3DES hoặc AES) ZZ (bằng DES, 3DES hoặc AES)
    • 32. Môi trường PKI
    • 33. Nhà cung cấp chứng thực số • Nền tảng đáng tin cậy của hệ thống PKI • Kiểm tra người sử dụng bằng danh tính, cấp chứng nhận với danh tính dàng buộc của người sử dụng khóa công khai với một chứng chỉ kĩ thuật số • Thu hồi giấy chứng nhận và công bố CRL • Việc này có thể do chính nhà thực hiện hoặc thuê ngoài
    • 34. Tiêu chuẩn chứng thực X.509 v3 Version Số Serial Chữ kí Số ID Đăng kí một chữ kí số như SHA-1 với RSA Tên người phát hành(CA) X.500 Danh tính của CA Thời hạn hiệu lực Tuổi thọ của CERT này Tên đối tượng X.500 Thông tin khóa đối Số ID Khóa công khai của người sử dụng tượng công khai (ràng buộc với tên đối tượng) Giá trị khóa công khai ID độc nhất của người phát hành ID độc nhất của đối tượng Phần mở rộng Thông tin khác của người sử dụng như địa chỉ, công việc… CA Chữ kí số Đăng kí một khóa riêng tư của CA
    • 35. Cách trao đổi thông tin trong PKI
    • 36. Các loại chứng chỉ trong PKI• Các cách để lưu trữ các chứng chỉ của PKI: - Khóa RSA và các chứng chỉ - VNRAM - Mô hình nhận dạng số eToken: • Cisco 871, 1800, 2800, 3800 Series router • Cisco IOS Release 12.3(14)T image • Cisco USB eToken • A k9 image
    • 37. Năm bước hoạt động của IPsec1. Host A gửi traffic cần quan tâm cho Host B2. Routers A và B sẽ trao đổi một IKE Phase 1 session3.Routers A và B sẽ trao đổi một IKE Phase 2 session4. Các thông tin được trao đổi trong đường hầm Ipsec5. Kết thúc đường hầm IPsec
    • 38. Bước 1: Xác định luồng lưu lượng quan tâm
    • 39. Bước 2: Pha IKE thứ nhất
    • 40. Chính sách IKE • Thương lượng một bộ chuyển đổi IKE phù hợp với IKE trao đổi
    • 41. Khóa thỏa thuận Diffie - Hellman
    • 42. Xác thực đặc tính ngang hàngCác phương thức xác thực ngang hàng: ─ Preshared keys ─ RSA signatures ─ RSA encrypted nonces
    • 43. Bước 3: Pha IKE thứ hai• Thoả thuận các thông số bảo mật, các tập transform IPSec• Thiết lập các SA IPSec• Thoả thuận lại theo chu kỳ các SA IPSec để chắc chắn bảo mật.• Có thể thực hiện thêm một sự trao đổi DH
    • 44. Các tập transform IPsec • Một bộ chuyển đổi là một sự kết hợp các thuật toán và giao thức ban hành một chính sách bảo mật cho lưu lượng truy cập
    • 45. Liên kết bảo mật • SA database: - Địa chỉ IP đích - SPI - Các giao thức ( ESP hoặc AH) • Security policy database: - Thuật toán mã hóa - Thuật toán xác thực - Chế độ - Khóa lifetime
    • 46. SA Lifetime • Cơ sở dữ liệu truyền tải • Cơ sở thời gian
    • 47. Bước 4: Truyền dữ liệu• Các SA trao đổi với nhau• Các dịch vụ an ninh sau khi dàn xếp sẽ được áp dụng vào trong traffic.
    • 48. Bước 5: Kết thúc đường hầm IPSec• Một đường hầm được chấm dứt bởi một trong những điều sau đây: • Do các Ipsec SA hết hạn. • Nếu các gói truy cập quá tải• Ipsec SA đã bị xóa
    • 49. Cấu hình VPN IPsec Site-to-Site sử dụng GNS3

    ×