IPsec (Internet Protocol Security) là một giao thức bảo mật mạng được chuẩn hóa, cung cấp các cơ chế chứng thực và mã hóa cho dữ liệu truyền tải trên mạng. Giao thức này hoạt động ở tầng 3 của mô hình OSI, giúp ngăn ngừa tấn công và đảm bảo tính toàn vẹn thông tin qua các tính năng như xác thực, bảo mật dữ liệu và chống tấn công replay. Trong IPsec có các phương thức như ESP (Encapsulating Security Payload) và AH (Authentication Header) cho việc mã hóa và xác thực, cùng với cơ chế IKE (Internet Key Exchange) để thiết lập và duy trì các khóa an ninh giữa các thiết bị trong mạng VPN.

1. An toàn an ninh mạng
Nhóm 1
IPSEC

2. Ip Sec là gì ?
• IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm
mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin
truyền đi trên mạng bằng giao thức IP
• IPSec cung cấp một cơ chế bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất
trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ
chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.

3. Chức năng cơ bản
• Chứng nhận: một chữ kí số được dùng để xác định nhân diện của
người gởi thông tin. IPSec có thể dùng Kerberos, một preshared key,
hay các chứng nhận số cho việc chứng nhận.
• Bảo mật dữ liệu: các thuật toán mã hoá được thực hiện để đảm bảo dữ
liệu được di chuyển sẽ không thể giải mã được.
• Toàn vẹn dữ liệu: một thuật toán hash được dùng để đảm bảo dữ liệu
sẽ không bị can thiệp vào. Một checksum được gọi là một mã chứng
nhận tin nhắn hash (HMAC) được tính toán cho dữ liệu của gói. Khi
một gói được thay đổi trong khi đang di chuyển thì HMAC đã được
thay đổi sẽ được lưu lại. Thay đổi này sẽ bị xoá bởi máy tính nhận.
• Anti-replay: ngăn chặn kẻ tấn công gửi các gói khi cố gắng truy cập
vào mạng cá nhân

4. Giao thức Ipsec
• Internet Key Exchange (IKE): Giúp cho các thiết bị tham gia VPN trao đổi với
nhau về thông tin an ninh như mã hóa thế nào ? Mã hóa bằng thuật toán gì ? Bao
lâu mã hóa 1 lần . IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa
các thiết bị tham gia VPN
• Encapsulating Security Payload (ESP): Có tác dụng xác thực ( authentication )
, mã hóa ( encrytion ) và đảm bảo tính trọn vẹn dữ liệu ( securing of data )
• Authentication Header (AH) :cung cấp tính xác thực và bảo mật dữ liệu

5. Ipsec Header
• Ipsec ESP cung cấp :
• Xác thực và toàn vẹn dữ liệu (MD5 hoặc SHA1- HMAC) dành cho cả giao
thức ESP hay AH
• Mã hóa và đảm bảo độ an toàn của gói tin (DES,3DES hoặc AES) chỉ dành
cho ESP

6. Xác thực ngang hàng
• 1 số phương pháp:
• Username and password
• One Time Password OTP (Pin/Tan)
• Biometric (Xác thực bằng sinh học)
• Preshared keys
• Digital certificates ( chữ ký số)

7. Internet Key Exchange (IKE)
• Giải quyết vấn đề cài đặt thủ công, ISAKMP
Cung cấp 1 nền tảng
khả năng mở rộng của Ipsec bằng việc cho việc trao đổi khóa
và bảo mật thông tin.
tự động hóa quá trình trao đổi khóa:
• Negotiation of SA characteristics SKEME
Cơ chế sử dụng mã
• Automatic key generation hõa khóa công khai để
• Automatic key refresh xác thực
• Manageable manual configuration
OAKLEY
quản lý trao đổi khoá
thông qua các SA
IPsec

8. Các giai đoạn hoạt động của IKE (IKE Phases)
• IKE Phases 1 (Bắt buộc xảy ra trong quá trình IKE)
• Xác thực giữa các thiết bị tham gia VPN (Authentication the peers)
• Trao đổi các SA.
• Có 2 chế độ hoạt động là Main Mode hoặc Aggresssive Mode
• IKE Phases 1.5 (Không bắt buộc phải xảy ra)
• Xauth (Extended Authentication)
• Mode Config
• IKE Phases2 ( Bắt buộc xảy ra)
• Thiết lập IPsec SAs/SPIs
• Sử dụng phương thức Quick Mode

9. IKE Modes

10. Các chức năng khác của IKE
• Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ
đếm thời gian . Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì
nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác.
Mục đích chính để phát hiện hỏng hóc của các thiết bị . Thông thường các gói
keepalives sẽ gửi mỗi 10s.
• Hỗ trợ chức năng NAT-Traversal : Chức năng này có ý nghĩa là nếu trên đường
truyền từ A tới B nếu có những thiết bị NAT or PAT đứng giữa thì lúc này IPSec
nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn
chuyển gói tin đi được bình thường .

11. Vấn đề IPsec và NAT ?

12. Giải pháp IPsec NAT Traversal
• Need NAT traversal with IPsec over TCP/UDP:
• NAT traversal detection (phát hiện)
• NAT traversal decision (quyết định)
• UDP encapsulation of IPsec packets (đóng gói )
• UDP encapsulated process for software engines ( quá trình đóng gói)

13. Mode Configuration

14. Easy VPN

15. Xauth
• Cơ chế được sử dụng để xác thực người dùng với VPN client

16. ESP and AH
• IPsec protocols:
– ESP or AH
– ESP uses IP protocol number 50
– AH uses IP protocol number 51
• IPsec modes:
– Tunnel or transport mode
– Tunnel mode tạo 1 gói Ip mới
– Transport mode xác thực gói tin hiện tại.

17. ESP and AH Header
• ESP mã hóa và xác thực gói tin
• AH xác thực nhưng không mã hóa

18. AH xác thực và toàn vẹn gói tin.

19. ESP Protocol
• Cung cấp tính bảo mật bằng mã hóa
• Cung cấp tính toàn vẹn bằng xác thực

20. Tunnel and Transport Mode

21. Chứng thực thông điệp sử dụng và kiểm tra tính
toàn vẹn bằng hàm băm
• MAC được sử dụng để chứng thực thông điệp và kiểm tra tính toàn vẹn
• Hàm băm được sử dụng rộng rãi cho mục đích này

22. Các hàm băm thông thường
• MD5 cấp 128 bit cho output
• SHA-1 cấp đầu ra 160 bit cho output (chỉ 96 bit đầu được sử dụng cho IPsec)
• SHA-1 tính toán chậm hơn MD5 nhưng lại an toàn hơn

23. Thuật toán mã hóa đối xứng và không đối
xứng
• Thuật toán đối xứng:
- Mã hóa khóa riêng tư
- Sử dụng cùng 1 khóa để mã hóa và giải
mã
- Thường được sử dụng để mã hóa nội
dung của thông tin
- VD: DES, 3DES, AES
• Thuật toán không đối xứng:
- Mã hóa khóa công khai
- Mã hóa và giải mã sử dụng các khóa
khác nhau
- Thường được sử dụng trong chữ kí số và
khóa quản lý
- VD: RSA

24. Độ dài khóa của thuật toán mã hóa đối xứng và
không đối xứng
• So sánh độ dài khóa khi yêu cầu khóa của thuật toán đối xứng so với khóa của
thuật toán không đối xứng
Thuật toán đối xứng Thuật toán không đối xứng
80 1024
112 2048
128 3072
192 7680
256 15360

25. Cấp độ bảo mật của thuật toán mã hóa
Cấp độ bảo mật Hệ số làm việc Thuật toán
Yếu O(240) DES, MD5
Kế thừa O(264) RC4, SHA-1
Cơ bản O(280) 3DES
Trung bình O(2128) AES-128, SHA-256
Cao O(2256) AES-192, SHA-384
Siêu bảo mật O(2256) AES-256, SHA-512

26. Mã hóa đối xứng: DES
• Là thuật toán mã hóa đối xứng
• Khối mã hóa: làm việc với 64 bit khối dữ liệu, sử dụng 56 bit làm khóa ( bit cuối cùng
sẽ được sử dụng để tính chẵn lẻ)
• Phương thức hoạt động: áp dụng DES để mã hóa các khối dữ liệu

27. Mã hóa đối xứng: 3DES
• Tổng chiều dài khóa là 168 bit
• Phương thức hoạt động sẽ quyết định khi nào cần chạy DES 3 lần
• Thông thường: mã hóa, giải mã, mã hóa
• 3DES đòi hỏi phải sử lý nhiều hơn

28. Mã hóa đối xứng: AES
• Trước đây được biết đến với cái tên là “Rijndael”
• Kế thừa cho DES và 3DES
• Chìa khóa đối xứng block mật mã
• Mã hóa mạnh với kì vọng sống dài
• AES có thể hỗ trợ khóa 128-, 192-, và 256-bit, với khóa 128-bit được xem là
an toàn

29. Mã hóa không đối xứng: RSA
• Dựa trên nguyên tắc trao đổi khóa Diffie-Hellman (IKE)
• Khóa công khai để mã hóa dữ liệu, và để xác minh chữ ký số
• Khóa riêng tư để giải mã dữ liệu và để đăng kí chữ kí số
• Hoàn hảo cho các kênh truyền thông không an toàn

30. Thuật toán thỏa thuận Diffie-Hellman

31. Thuật toán thỏa thuận Diffie-Hellman(Tiếp...)
1. Tạo ra một số nguyên lớn p 1. Tạo ra một số nguyên lớn q
Gửi p cho Peer B Gửi q cho Peer A
Nhận q Nhận p
Tạo ra g Tạo ra g
2. Tạo ra một khóa riêng XA 2. Tạo ra một khóa riêng XB
3. Tạo ra một khóa công khai 3. Tạo ra một khóa công khai
YA = g* XA mod p YB = g* XB mod p
4. Gửi YA cho Peer B 4. Gửi YB cho Peer A
5. Tạo ra số chia sẻ bí mật 5. Tạo ra số chia sẻ bí mật
ZZ=YB^XA mod p ZZ=YA^XB mod p
6. Tạo ra một khóa chia sẻ bí mật từ 6. Tạo ra một khóa chia sẻ bí mật từ
ZZ (bằng DES, 3DES hoặc AES) ZZ (bằng DES, 3DES hoặc AES)

32. Môi trường PKI

33. Nhà cung cấp chứng thực số
• Nền tảng đáng tin cậy của hệ thống PKI
• Kiểm tra người sử dụng bằng danh tính, cấp chứng nhận với danh tính dàng
buộc của người sử dụng khóa công khai với một chứng chỉ kĩ thuật số
• Thu hồi giấy chứng nhận và công bố CRL
• Việc này có thể do chính nhà thực hiện hoặc thuê ngoài

34. Tiêu chuẩn chứng thực X.509 v3
Version
Số Serial
Chữ kí Số ID Đăng kí một chữ kí số như SHA-1 với RSA
Tên người phát hành(CA) X.500
Danh tính của CA
Thời hạn hiệu lực Tuổi thọ của CERT này
Tên đối tượng X.500
Thông tin khóa đối Số ID Khóa công khai của người sử dụng
tượng công khai (ràng buộc với tên đối tượng)
Giá trị khóa công khai
ID độc nhất của người phát hành
ID độc nhất của đối tượng
Phần mở rộng
Thông tin khác của người sử dụng như địa chỉ, công việc…
CA Chữ kí số
Đăng kí một khóa riêng tư của CA

35. Cách trao đổi thông tin trong PKI

36. Các loại chứng chỉ trong PKI
• Các cách để lưu trữ các chứng chỉ của PKI:
- Khóa RSA và các chứng chỉ
- VNRAM
- Mô hình nhận dạng số eToken:
• Cisco 871, 1800, 2800, 3800 Series router
• Cisco IOS Release 12.3(14)T image
• Cisco USB eToken
• A k9 image

37. Năm bước hoạt động của IPsec
1. Host A gửi traffic cần quan tâm cho Host B
2. Routers A và B sẽ trao đổi một IKE Phase 1 session
3.Routers A và B sẽ trao đổi một IKE Phase 2 session
4. Các thông tin được trao đổi trong đường hầm Ipsec
5. Kết thúc đường hầm IPsec

38. Bước 1: Xác định luồng lưu lượng quan tâm

39. Bước 2: Pha IKE thứ nhất

40. Chính sách IKE
• Thương lượng một bộ chuyển đổi IKE phù
hợp với IKE trao đổi

41. Khóa thỏa thuận Diffie - Hellman

42. Xác thực đặc tính ngang hàng
Các phương thức xác thực ngang hàng:
─ Preshared keys
─ RSA signatures
─ RSA encrypted nonces

43. Bước 3: Pha IKE thứ hai
• Thoả thuận các thông số bảo mật, các tập transform IPSec
• Thiết lập các SA IPSec
• Thoả thuận lại theo chu kỳ các SA IPSec để chắc chắn bảo mật.
• Có thể thực hiện thêm một sự trao đổi DH

44. Các tập transform IPsec
• Một bộ chuyển đổi là một sự kết hợp các thuật toán và
giao thức ban hành một chính sách bảo mật cho lưu lượng
truy cập

45. Liên kết bảo mật
• SA database:
- Địa chỉ IP đích
- SPI
- Các giao thức ( ESP hoặc AH)
• Security policy database:
- Thuật toán mã hóa
- Thuật toán xác thực
- Chế độ
- Khóa lifetime

46. SA Lifetime
• Cơ sở dữ liệu truyền tải • Cơ sở thời gian

47. Bước 4: Truyền dữ liệu
• Các SA trao đổi với nhau
• Các dịch vụ an ninh sau khi dàn xếp sẽ được áp dụng vào trong traffic.

48. Bước 5: Kết thúc đường hầm IPSec
• Một đường hầm được chấm dứt bởi một trong những điều sau đây:
• Do các Ipsec SA hết hạn.
• Nếu các gói truy cập quá tải
• Ipsec SA đã bị xóa

49. Cấu hình VPN IPsec Site-to-Site sử dụng GNS3