• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Bài giảng viễn thông (www.mynghedongdo.vn)
 

Bài giảng viễn thông (www.mynghedongdo.vn)

on

  • 856 views

báo cáo môn mạng viễn thông học viện bưu chính viễn thông đo Admin website: www.mynghedongdo.vn thực hiện

báo cáo môn mạng viễn thông học viện bưu chính viễn thông đo Admin website: www.mynghedongdo.vn thực hiện

Statistics

Views

Total Views
856
Views on SlideShare
856
Embed Views
0

Actions

Likes
1
Downloads
31
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Bài giảng viễn thông (www.mynghedongdo.vn) Bài giảng viễn thông (www.mynghedongdo.vn) Presentation Transcript

    • HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG BÁO CÁO CHUYÊN ĐỀ Mạng Viễn Thông CHUYÊN ĐỀ: Giao thức Ipsec trong Công Nghệ VPN
    • Lời Mở Đầu• Như chúng tã đã biết vấn đề bảo mật kết nối trong quá trình truyền tải giữa các dữ liệu khác nhau là một vấn đề rất quan trọng và nó đặc biệt quan trọng khi các dữ liệu của chúng ta được truyền qua một mạng chia sẻ giống như mạng internet.• Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền tải các dữ liệu đó?• Trên cơ sở đó chúng em đã tìm hiểu và hoàn thành bào báo cáo chuyên đề “Giao thức Ipsec Trong công nghệ VPN” một công nghệ bảo mật được sử dụng trong mạng riêng ảo
    • Phần I: Giới thiệu1.1: Khái niệm Ipsec• a, Ipsec là gì? IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung cấp một khoá cho phép bảo mật giữa hai thiết bị mạng ngang hàng. Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được định nghĩa để kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênh truyền dẫn mạng bảo mật. Hình 1.1: Mô hình OSI
    • Phần I: Giới thiệub, Vai trò của Ipsec+ Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu.+ Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng.+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bảo mật.+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánh dấu dữ liệu.+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà IPSec sẽ kiểm tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa như thế nào.
    • Phần I: Giới thiệuc, Những tính năng của Ipsec - Quản lý khóa (Key management).- Sự cẩn mật (Confidentiality).- Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity).
    • Phần II: Giao thức bảo mật Ipsec2.1: Khung giao thức IPSec Hình 2.1: Khung giao thức được sử dụng trong IPSec
    • Phần II: Giao thức bảo mật IpsecMột số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.Giao thức bảo mật IP (IPSec)+ AH (Authentication Header)+ ESP (Encapsulation Security Payload) Mã hoá bản tin+ DES (Data Encryption Standard)+ 3 DES (Triple DES) Các chức năng toàn vẹn bản tin+ HMAC (Hash – ased Message Authentication Code)+ MD5 (Message Digest 5)+ SHA-1 (Secure Hash Algorithm -1)Nhận thực đối tác (peer Authentication)+ Rivest, Shamir, and Adelman (RSA) Digital Signatures+ RSA Encrypted NoncesQuản lý khoá+ DH (Diffie- Hellman)+ CA (Certificate Authority)Kết hợp an ninh+ IKE (Internet Key Exchange)+ ISAKMP (Internet Security Association and Key Management Protocol)
    • Phần II: Giao thức bảo mật Ipsec2.1.1 giao thức AH (Authentication Header)2.1.1.1: Cấu trúc gói tin AH Hình 2.2 Cấu trúc tiêu đề AH cho IPSec Datagram
    • Phần II: Giao thức bảo mật Ipsec• Authentication Data (dữ liệu nhận thực)• Payload length (độ dài tải tin):• Reserved (dự trữ):• Security Parameters Index (SPI: chỉ dẫn thông số an ninh)• Sequence Number (số thứ tự)• Next Header (tiêu đề tiếp theo)
    • Phần II: Giao thức bảo mật Ipsec2.1.1.2: Quá trình xử lý AHHoạt động của AH được thực hiện qua các bước như sau:• Bước 1: Toàn bộ gói IP (bao gồm IP header và tải tin) được thực hiện qua một hàm băm một chiều.• Bước 2: Mã hash thu được dùng để xây dựng một AH header, đưa header này vào gói dữ liệu ban đầu.• Bước 3: Gói dữ liệu sau khi thêm AH header được truyền tới đối tác IPSec.• Bước 4: Bên thu thực hiện hàm băm với IP header và tải tin, kết quả thu được một mã hash.• Bước 5: Bên thu tách mã hash trong AH header.• Bước 6: Bên thu so sánh mã hash mà nó tính được mà mã hash tách ra từ AH
    • Phần II: Giao thức bảo mật Ipseca: vị trí của AHAH có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel. Hình 2.3: Khuôn dạng IPv4 trước và sau khi xử lý AH ở kiểu Transport
    • Phần II: Giao thức bảo mật Ipsec kiểu Transport cho phép bảo vệ các giao thức lớptrên, cùng với một số trường trong IP header. Trongkiểu này, AH được chèn vào sau IP header và trướcmột giao thức lớp trên (chẳng hạn như TCP, UDP,ICMP…) và trước các IPSec header đã được chenvào. Đối với IPv4, AH đặt sau IP header và trướcgiao thức lớp trên (ví dụ ở đây là TCP). Đối với IPv6,AH được xem như phần tải đầu cuối-tới - đầu cuối,nên sẽ xuất hiện sau các phần header mở rộng hop-to-hop, routing và fragmentation. Các lựa chọn đích(dest options extension headers) có thể trước hoặc sauAH.
    • Phần II: Giao thức bảo mật IpsecHình 2.4: Khuôn dạng IPv6 trước và sau khi xử lý AH ở kiểu Traport
    • Phần II: Giao thức bảo mật Ipsec Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuốicùng, còn outer IP header mang địa chỉ để định tuyến qua Internet. Trongkiểu này, AH bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IPheader (trong khi AH Transport chỉ bảo vệ một số trường của IP header).So với outer IP header thì vị trí của AH giống như trong kiểu Trasport Hình 2.5: Khuôn dạng gói tin đã xử lý AH ở kiểu Tunnel
    • Phần II: Giao thức bảo mật Ipsecb) Các thuật toán xác thựcc) Xử lý gói đầu ra + Tìm kiếm SA + Tính toán ICV + Phân mảnh + Chèn dữ liệud) Xử lý gói đầu vào + Kiểm tra SN + Tìm kiếm SA + Ghép mảnh
    • Phần II: Giao thức bảo mật Ipsec2.1.2 Giao thức ESPA:Cấu trúc gói tin ESP Hình 2.6: Xử lý đóng gói ESP Hình 2.7: Khuôn dạng gói ESP
    • Phần II: Giao thức bảo mật Ipsec*SPI (chỉ dẫn thông số an ninh):* Sequence Number (số thứ tự):* Payload Data (trường dữ liệu tải tin): * Padding (0 255 bytes)* Pad length (độ dài trường đệm):* Next Header (tiêu đề tiếp theo):* Authentication Data (dữ liệu nhận thực):
    • Phần II: Giao thức bảo mật IpsecB:Quá trình sử lý ESPa) V ị trí của ESP header ESP có hai kiểu hoạt động, đó là kiểu Transport và kiểu Tunnel. Hình 2.8 Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport
    • Phần II: Giao thức bảo mật Ipsec Kiểu Transport cho phép bảo vệ các giao thức lớptrên, nhưng không bảo vệ IP header. Trong kiểu này,ESP được chèn vào sau một IP header và trước mộtgiao thức lớp trên (chẳng hạn TCP, UDP hayICMP…) và trước IPSec header đã được chèn vào.Đối với IPv4, ESP header đặt sau IP header và trướcgiao thức lớp trên
    • Phần II: Giao thức bảo mật Ipsec Trong kiểu Tunnel, inner IP header mang địa chỉ nguồn và đích cuốicùng, còn outer IP header mạng địa chỉ để định tuyến qua Internet. Trongkiểu này, ESP sẽ bảo vệ toàn bộ gói tin IP bên trong, bao gồm cả inner IPheader. So với outer IP header thì vị trí của ESP giống như kiểu Trasport Hình 2.9: Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Tunnel
    • Phần II: Giao thức bảo mật Ipsecb) Các thuật toán Có các thuật toán sau được sử dụng với ESP: - DES, 3DES in CBC. - HMAC with MD5. - HMAC with SHA-1. - NULL Authentication algorithm. - NULL Encryption algorithm - Các thuật toãn xác thực - Các thuật toán mật mã
    • Phần II: Giao thức bảo mật Ipsecc) Xử lý gói đầu ra- Tìm kiếm SA- - Mật mã gói tin- Tạo SN- Tính toán ICV- Phân mảnhd) Xử lý gói đầu vào- Ghép mảnh- Tìm kiếm SA- Kiểm tra SN- Kiểm tra ICV
    • Phần II: Giao thức bảo mật Ipsece) Giải mã gói- Giải mã ESP (bao gồm trường Payload Data, Padding, Pad Length, Next- Xử lý phần Padding theo đặc tả của thuật toán. Phía thu cần tìm và loại bỏ phần- Xây dựng lại cấu trúc gói IP ban đầu từ IP header ban đầu và thông tin giao thức lớp cao trong tải tin của ESP (ở kiểu Transport), hoặc outer IP header và toàn bộ gói IP ban đầu trong tải tin của ESP (ở kiểu Tunnel).- SA được lựa chọn không đúng: SA có thể sai do các thông số SPI, địa chỉ đích, trương Protocol type sai.- Gói ESP mật mã bị lỗi (có thể được lựa chọn nếu dịch vụ xác thực được lựa chọn cho SA).
    • Phần II: Giao thức bảo mật Ipsec2.2 Hoạt động của IpsecTa biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bước chính như sau: Hình 2.11: 5 bước hoạt động của IPSec• A gửi lưu lượng cần bảo vệ tới B• Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE SA ← IKE Phase → IKE SA• Router A và B thoả thuận một phiên trao đổi IKE Phase 2 IPSec SA ← IKE Phase → IPSec SA• Thông tin được truyền dẫn qua đường hầm IPSec• Kết thúc đường hầm IPSec
    • Phần II: Giao thức bảo mật IpsecBước 1- Kích hoạt lưu lượng cần bảo vệ. Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụng cho luồng lưu lượng.
    • Phần II: Giao thức bảo mật IpsecBước 2 – IKE Phase 1- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung- Trao đổi thứ ba – xác minh nhận dạng của nhau
    • Phần II: Giao thức bảo mật IpsecBước 3 – IKE Phase 2• Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được sử dụng để bảo mật đường hầm IPSec. Hình 2.15: Thoả thuận các thông số bảo mật IPSec IKE Phase 2 thức hiện các chức năng sau:• Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập chuyển đổi IPSec (IPSec transform sets).• Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).• Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.• Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra, làm tăng tính an toàn của đường hầm).
    • Phần II: Giao thức bảo mật IpsecBước 4 – Đường hầm mật mã IPSecSau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn. Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA. Hình 2.18: Đường hầm IPSec được thiết lập
    • Phần II: Giao thức bảo mật IpsecBước 5 – Kết thúc đường hầmCác kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết hạn khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase 1 mới. Một hoả thuận thành công sẽ tạo ra cacSA và khoá mới. Các SA mới được thiết lập trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin. Hình 2.19: Kết thúc đường hầm
    • Phần II: Giao thức bảo mật Ipsec2.2.1 ví dụ về hoạt động của IpsecĐể tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ như trong hình vẽ. Hình 2.20: Quá trình trao đổi thông tin
    • Phần II: Giao thức bảo mật Ipsec2.2.2: Các vấn đề còn tồn đọng trong Ipsec• IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.• IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.• Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối với các trạm làm việc và máy PC cũ.• Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số nước.
    • Kết Luận Từ nội dung bài báo cáo cho thấy Ipsec là giao thức thích hợpnhất trong công nghệ mạng VPN cho các ứng dụng có yêu cầu antoàn dữ liệu cao. IPSec hỗ trợ các phương pháp xác thực và mật mãmạnh nhất, có tính linh hoạt cao do không bị ràng buộc bởi mộtphương pháp xác thực cũng như mật mã nào. Đây được xem là giaothức tối ưu nhất cho IP-VPN. Bài báo cao tập trung đi sâu trình bày về hai giao thức AH vàgiao thức ESP, quá trình sử lý và hoạt động của Ipsec trong từngmode Hiện nay tại Việt Nam đã có nhiều nhà cung cấp dịch vụ đăng kýtriển khai công nghệ VPN. Công nghệ này hứa hẹn nhiều tiềm năngphát triển trong tương lai. Song vì mỗi nhà cung cấp dịch vụ có mộtcấu hình VPN riêng nên bài báo cáo của nhóm không tránh