Đang tải... (xem toàn văn)
MỤC LỤC: BÁO CÁO ĐỀ TÀI MÔN HỌC CHƯƠNG I TỔNG QUAN VỀ IPSEC trang 5 I.GIỚI THIỆU trang 5 I.1.KHÁI QUÁT VỀ IPSEC trang 5 I.2.VÌ SAO PHẢI SỬ DUNG IPSEC trang 6 I.3.MỤC ĐÍCH SỬ DỤNG IPSEC trang 7 CHƯƠNG II HOẠT ĐỘNG CỦA IPSEC trang 9 A.TRANSPORT MODE trang 9 B.TUNNEL MODE trang 11 II.1.AH (Authentication Header) trang 14 II.1.1 TUNNEL MODE trang 14 II.1.2. TRATSPORT MODE trang 15 a. AH xác thực và đảm bảo tính toàn vẹn dữ liệu trang 16 b. AH Header (Trường chứng thực) trang 18 c. Hoạt động của giao thức AH trang 20 d. AH version 3(Phiên bảng 3 của AH) trang 22 e. AH Summary(tóm tắt trường chứng thực) trang 22 II.2.ESP (Encapsulaton Secutity Payload) trang 23 2.1. ESP Packet Fields trang 26 2.2. Quá trình mã hoá và hoạt động của giao thức ESP trang 28 2.3. ESP Version 3 trang 31 2.4. ESP Summary trang 31 CHƯƠNG III KẾT QUẢ THỰC NGHIỆM trang 35 Kết Luận trang 49 Chương I Tổng Quan Về IPSec I. GIỚI THIỆU IP Security là một đặc điểm kỹ thuật lớn và phức tạp có nhiều lựa chọn và rất linh hoạt. Encapsulating Security Payload giao thức có thể xử lý tất cả các Ipsec của dịch vụ yêu cầu. Bài viết này sẽ nghiên cứu về Encapsulating Security Payload (ESP) so sánh với Authentication Header về điểm yếu và điểm mạnh. I.1.KHÁI QUÁT CỦA IPSEC Trong tháng 11 năm 1998, RFC An ninh IP (IPsec) đã được phát hành - RFC 2401 thông qua RFC 2411. Theo quy định tại RFC 2401 [1], IPsec cung cấp các dịch vụ bảo mật tại tầng IP bằng cách cho phép một hệ thống để chọn các thông số cần thiết, chẳng hạn như giao thức bảo mật, các thuật toán bảo mật cho các dịch vụ, và bất kỳ các khóa mật mã dịch vụ yêu cầu.
Bảo Mật Thông Tin IPSEC 2012 Lời cảm ơn Chúng em xin chân thành gởi lời cảm ơn sâu sắc đến thầy Văn Thiên Hoàng, thầy đã trực tiếp hướng dẫn chỉ bảo tận tình và góp rất nhiều ý kiến quý báu tạo điều kiện thuận lợi cho chúng em hoàn thành đề tài Bảo Mật Thông Tin IPSEC Những kiến thức học được trên ghế nhà trường là một hành trang quý báu để chúng em bước vào đời.Chính những kiến thức chắc chắn ấy là nền tảng cho thành công của chúng em trong tương lai Cuối cùng chúng em xin chân thành cảm ơn nhà trường, gia đình, bạn bè đã động viên giúp đỡ chúng em hoàn thành đề tài này Nhận Xét Của Giáo Viên Hướng Dẫn 1 Bảo Mật Thông Tin IPSEC 2012 MỤC LỤC: BÁO CÁO ĐỀ TÀI MÔN HỌC CHƯƠNG I TỔNG QUAN VỀ IPSEC trang 5 I.GIỚI THIỆU trang 5 2 Bảo Mật Thông Tin IPSEC 2012 I.1.KHÁI QUÁT VỀ IPSEC trang 5 I.2.VÌ SAO PHẢI SỬ DUNG IPSEC trang 6 I.3.MỤC ĐÍCH SỬ DỤNG IPSEC trang 7 CHƯƠNG II HOẠT ĐỘNG CỦA IPSEC trang 9 A.TRANSPORT MODE trang 9 B.TUNNEL MODE trang 11 II.1.AH (Authentication Header) trang 14 II.1.1 TUNNEL MODE trang 14 II.1.2. TRATSPORT MODE trang 15 a. AH xác thực và đảm bảo tính toàn vẹn dữ liệu trang 16 b. AH Header (Trường chứng thực) trang 18 c. Hoạt động của giao thức AH trang 20 d. AH version 3(Phiên bảng 3 của AH) trang 22 e. AH Summary(tóm tắt trường chứng thực) trang 22 II.2.ESP (Encapsulaton Secutity Payload) trang 23 2.1. ESP Packet Fields trang 26 3 Bảo Mật Thông Tin IPSEC 2012 2.2. Quá trình mã hoá và hoạt động của giao thức ESP trang 28 2.3. ESP Version 3 trang 31 2.4. ESP Summary trang 31 CHƯƠNG III KẾT QUẢ THỰC NGHIỆM trang 35 Kết Luận trang 49 Chương I Tổng Quan Về IPSec I. GIỚI THIỆU IP Security là một đặc điểm kỹ thuật lớn và phức tạp có nhiều lựa chọn và rất linh hoạt. 4 Bảo Mật Thông Tin IPSEC 2012 Encapsulating Security Payload giao thức có thể xử lý tất cả các Ipsec của dịch vụ yêu cầu. Bài viết này sẽ nghiên cứu về Encapsulating Security Payload (ESP) so sánh với Authentication Header về điểm yếu và điểm mạnh. I.1.KHÁI QUÁT CỦA IPSEC Trong tháng 11 năm 1998, RFC An ninh IP (IPsec) đã được phát hành - RFC 2401 thông qua RFC 2411. Theo quy định tại RFC 2401 [1], IPsec cung cấp các dịch vụ bảo mật tại tầng IP bằng cách cho phép một hệ thống để chọn các thông số cần thiết, chẳng hạn như giao thức bảo mật, các thuật toán bảo mật cho các dịch vụ, và bất kỳ các khóa mật mã dịch vụ yêu cầu. IP cấp dịch vụ an ninh bao gồm xác thực, bảo mật, và quản lý chủ chốt. Chứng thực xác minh người gửi gói tin đó đã không bị thay đổi, bảo mật cung cấp mật mã, và quan trọng quản lý địa chỉ trao đổi an toàn của các phím. IPsec gọi cho hai giao thức bảo mật - Authentication Header (AH) mà cung cấp xác thực, và Encapsulating Security Payload (ESP) cung cấp xác thực, mã hóa, hoặc cả hai. IPsec cũng có hai chế độ hoạt động: chế độ vận chuyển và chế độ đường hầm. I.2 VÌ SAO PHẢI SỬ DỤNG IPSEC 5 Bảo Mật Thông Tin IPSEC 2012 Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đi qua tầng 3. (Đó là lý do tại sao IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2). IPSec VPN dùng các dịch vụ được định nghĩa trong IPSec để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật về xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng. Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tính dữ liệu từ nguồn đến đích. Bởi vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng cụ thể dùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào. Cũng giống IP, IPSec trong suốt với người dùng cuối, không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt động. I.3 MỤC ĐÍCH SỬ DỤNG IPSEC IPSEC được sử dụng nhằm cung cấp sự bảo mật về dữ liệu trên đường truyền mạng (LAN, INTERNET…). Người quản trị sẽ cấu hình IPSEC bằng cách thiết lập các luật giao tiếp giữa các máy. Các luật này được gọi l IPSEC Policy. Chúng xác định loại giao thức nó sẽ được mã hóa, loại này sẽ được ký số (Digitalsign), và sẽ dùng cả hai phương pháp trên. Sau đó, mỗi lần một packet được gửi đi, packet đó sẽ được kiểm tra, mã hóa, hoặc ký số tùy vào chính sách (policy) của loại packet đó. Vì quá trình này được 6 Bảo Mật Thông Tin IPSEC 2012 thực hiện tại tầng network, nên nó hoàn toàn trong suốt với người dùng và cả với các Application(ứng dụng) tạo ra các packet đó. Và vì một gói IPSEC (tạm gọi như vậy cho các gói dùng IPSEC để mã hóa) được chứa trong một gói chuẩn (Standard packet), nên nó hoàn toàn có thể được gửi đi trên mạng một cách bình thường. IPSEC cung cấp các khả năng bảo mật sau: 1. Chứng thực lẫn nhau trước và cả trong khi hai hệ thống giao tiếp với nhau. 2. Bảo đảm tính bí mật cho các gói (packet): IPSEC có hai loại gói chính: • Encapsulating Security Payload (ESP): mã hóa, chứng thực (kí số). • Authentication Header (AH): Chỉ chứng thực (kí số) mà không mã hóa. 3. Bảo tồn việc truy cập: Khi một gởi được gửi đến, hệ thống sẽ kiểm tra các ký số, nếu ký số không trùng, quá trình chứng thực không thành công. Hệ thống sẽ tự động xóa bỏ packet đó ngay tại tầng IP. ESP sẽ mã hóa các địa chỉ nguồn và địa chỉ đích đặt trong phần payload của gói. 4. Ngăn chặn kiểu tấn công dùng lại: (Replay attack): Cả ESP và AH đều sử dụng các chuỗi số thay đổi. Giả sử có một attacker bắt được gói IPSEC, giả dạng gói đó để tìm cách thăm nhập vào hệ thống. Khi đó, chuỗi số mà attacker dùng sẽ không được hệ thống chấp nhận 7 Bảo Mật Thông Tin IPSEC 2012 Chương II HOẠT ĐỘNG CỦA IPSEC Các mode chính của giao thức IPSec: A. Transport Mode : -Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên. -vì vậy chỉ có tại (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. 8 Bảo Mật Thông Tin IPSEC 2012 Hình 2-12: IPSec Transport-mode – Một Đại Diện Chung Transport mode được dùng để bảo mật kết nối giữa hai host: hoạt động của ESP trong Transport mode được sử dụng để bảo vệ thông tin giữa hai host cố định. Bảo vệ các giao thức lớp trên của IP datagram. Hình 2-13: Transport Mode Tunnel 9 Bảo Mật Thông Tin IPSEC 2012 Trong Transport Mode, AH header được chèn vào trong IP datagram sau IP header và các tuỳ chọn. Hình 2-14: Transport Mode Packet -chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. B.Tunnel mode : 10 [...].. .Bảo Mật Thông Tin IPSEC 2012 Hình 2-15: A Tunne Mode – AH Tunnel Hình 2-16 : Một ESP Tunnel – Mode VPN 11 Bảo Mật Thông Tin IPSEC 2012 -không giống như transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác Và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của gói tin IP Hình 2-17: IPSec Tunnel... đảm bảo tính toàn vẹn cho toàn bộ gói tin, bất kỳ 14 Bảo Mật Thông Tin IPSEC 2012 mode nào được sử dụng Hình 2-2: AH Transport Mode Packet a.AH xác thực và đảm bảo tính toàn vẹn dữ liệu Hình 2-3 15 Bảo Mật Thông Tin IPSEC 2012 Bước 1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload(Data) + IP Header + Key cho chạy qua giải thuật Hash (Băm)1 chiều và cho ra 1 chuỗi số Và chuỗi số này sẽ được gán vào... Kết quả thực nghiệm 32 Bảo Mật Thông Tin IPSEC 2012 Mô hình thực nghiệm như sau: Máy server Máy May01 Máy May02 IP:192.168.1.103 192.168.1.104 192.168.1.105 Cấu hình IPSec Cấu hìnhIPSec Thực hiện truy suất đến Máy Server MS Network monitor(Bắt gói tin) Thực hiện: • Thực hiện trên máy 192.168.1.103 Vào StartàrunàmmcàFileàadd/remove Snap-in 33 Bảo Mật Thông Tin IPSEC 2012 • àAddàIpsecurity policy managementàaddàcloseàfinish... (10.0.2.3) Bảng so sánh giữa giao thức AH và ESP AH 31 ESP Bảo Mật Thông Tin IPSEC 2012 -AH không cung cấp dịch vụ mã hóa(chỉ xác thực dữ liệu) -Cung cấp tính bảo mật( mã hóa+xác thực) -Toàn vẹn dữ liệu, dịch vụ antireplay(đáp -AH thì nhanh hơn ESP trả chậm) -Không quan tâm đến yếu tố bí mật (confidentiality) -Phí tổn về mặt xử lý -Bí mật trong giao tiếp(nội dung dữ liệu được bảo mật) ... Value (ICV) cho gói tin ESP ICV được tính lên toàn bộ gói tin ESP công nhận cho trường dữ liệu xác thực của nó ICV bắt đầu trên ranh giới 4-byte và phải là bội số của 32-bit (đơn vị từ) 2.2 Quá trình mã hoá và hoạt động của giao thức ESP 25 Bảo Mật Thông Tin IPSEC 2012 Hình 2-10 Hoạt động mã hóa của ESP ESP sử dụng mật mã đối xứng để cung cấp sự mật hoá dữ liệu cho các gói tin IPSec Cho nên, để kết... dụ : ESP sử dụng thuật toán mã hoá là AES-Cipher Block Chaining 26 Bảo Mật Thông Tin IPSEC 2012 (AES-CBC), AES Counter Mode (AES-CTR), và Triple DES ( 3DES) Khi so sánh với gói tin AH , gói tin ESP có dạng giống với gói tin AH chuỗi mẫu tự có thể xác định được trong AH-protected Payload nhưng không xác định được trong ESP-protected payload, vì trong ESP nó đã được mã hoá Gói tin ESP có chứa 5 đoạn :... trên máy 192.168.1.103 Vào StartàrunàmmcàFileàadd/remove Snap-in 33 Bảo Mật Thông Tin IPSEC 2012 • àAddàIpsecurity policy managementàaddàcloseàfinish 34 Bảo Mật Thông Tin IPSEC 2012 Click phải Ipsec .àCreate….nextàName:preshare key 35 Bảo Mật Thông Tin IPSEC 2012 Thực thi Policy vừa tạo: • Click phảiàProperties 36 ... và sự đảm bảo an toàn cho đóng gói IP Packet, cũng xác thực tốt giống như của ESP Header , ESP có 28 Bảo Mật Thông Tin IPSEC 2012 thể tương thích với NAT -Trong Transport Mode, ESP cung cấp sự mã hoá và đảm bảo an toàn cho Payload của gói tin IP , cũng đảm bảo an toàn tốt giống như của ESP Header Transport Mode thì không tương thích với NAT -ESP Tunnel Mode thường sử dụng phổ biến trong IPSec , vì... cần giao thức AH 21 Bảo Mật Thông Tin IPSEC 2012 cung cấp dịch vụ đảm bảo toàn vẹn Trong phiên bản thứ hai của IPSec, ESP trở nên mềm dẻo hơn Nó có thể thực hiện xác thực để cung cấp dịch vụ đảm bảo toàn vẹn, mặc dù không hỗ trợ cho outermost IP header Sự mã hoá của ESP có thể bị vô hiệu hoá qua thuật toán mã hoá Null ESP algorithm Do đó, ESP có thể cung cấp chỉ mã hoá; mã hoá và đảm bảo toàn vẹn dữ liệu;... biến trong IPSec , vì nó mã hoá IP Header gốc, nó có thể giấu địa chỉ source và des thật của gói tin ESP cũng có thể thêm vật đệm vào để đủ gói tin -ESP thường được dùng để cung cấp cho mã hoá hoặc đảm bảo an toàn ( hoặc cả hai ) Ví dụ : Luồng gói tin được gởi từ host A2 đến host B3: 29 Bảo Mật Thông Tin IPSEC 2012 Hình 2-18: Gói Lưu Lượng từ Host A2 to Host B3 -Giả sử rằng host A2 gửi TCP segment đến