Đang tải... (xem toàn văn)
NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính, NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng trong bảo mật thông tin trên mạng máy tính
Đồ án tốt nghiệp Khoa An Toàn Thông Tin Mục lục SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Danh mục hình Hình 1.1 : Mô hình tham chiếu OSI Hình 1.2 : Mô hình TCP/IP 10 Hình 1.3 : Mô hình hoạt động TCP/IP 11 Hình 1.4 : Định dạng segment - TCP 12 Hình 1.5 : Định dạng IP datagram .14 Hình 1.6 : Chi tiết header IP packet 14 Hình 1.7 : Định dạng Flags 15 Hình 1.8 : Định dạng thông báo ICMP .17 Hình 2.1: Mạng an toàn dùng IPSec 21 Hình 2.2 : Hiện trạng IPSec 22 Hình 2.3 : Tổng quan tài liệu IPSec 24 Hình 2.4: Header xác thực IPSec .29 Hình 2.5 : Cơ chế Anti-Replay 30 Hình 2.6: Xác thực end-to-end end-to-intermediate 32 Hình 2.7 : Cấu trúc gói IP với tunnel mode AH 32 Hình 2.8 : Cấu trúc gói IP với Transport mode AH 32 Hình 2.9 : Cấu trúc IPSec ESP 33 Hình 2.10 : Xử lý gói tin giao thức ESP .35 Hình 2.11 : Xử lý gói tin đến giao thức ESP 36 Hình 2.12 : An toàn với phơng thức transport 36 Hình 2.13 : An toàn với phơng thức tunnel 37 Hình 2.14 : Cấu trúc gói IP tunnel mode ESP .37 Hình 2.15 : Cấu trúc gói IP tranport mode ESP .38 Hình 2.16 : Ví dụ trao đổi khoá Aggressive Oakley 43 Hình 2.17 :Các dạng ISAKMP 44 Hình 3.1 : Mô hình hoạt động PLUTO .52 Hình 3.2 : Sơ đồ hoạt động module 54 Hình 3.3 : Sơ đồ hoạt động KLIP 57 Hình 3.4 : Mô hình mạng lan-to-lan 65 Hình 3.5 : Khởi tạo đờng hầm 74 Hình 3.6 : Kiểm tra kết nối Client 80 Hình 3.7 : Kiểm tra kết nối máy client 80 SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Danh mục bảng Bảng 2.1: Các dịch vụ IPSec 25 Bảng 2.2 : Chức phơng thức Tunnel transport 29 Bảng 2.3 : Các kiểu trao đổi ISAKMP .48 Bảng 3.1 : Các module PLUTO KLIP 53 Bảng 3.2 : Các thông số file cấu hình /etc/ipsec.conf 71 SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Danh mục từ viết tắt số khái niệm Ký hiệu TCP/IP IPSec VPN OSI ISO NCP ICMP IGMP GGP EGP UDP ESP AH Tên đầy đủ Transmission Control Protocol/Internet Protocol Internet Protocol Security Vitrual Protocol Network Open System Interconnection International Standar Organization Network Control Protocol Internet Control Message Protocol Internet Group Management Protocol Giải thích Giao thức điều khiển truyền Thông/Giao thức Internet Giao thức bảo mật Internet Giao thức mạng riêng ảo Mô hình kết nối hệ thống mở Tổ chức Tiêu chuẩn hóa quốc tế : Đợc thành lập từ năm 1947, có trụ sở đặt Geneva Thụy sĩ ISO l hội đoàn ton cầu 150 quan tiêu chuẩn quốc gia (mỗi thnh viên ISO l đại diện cho quốc gia mình), Tổng cục Tiêu chuẩn Đo lờng Chất lợng l thnh viên thức ISO từ năm 1977 Giao thức điều khiển mạng Giao thức điều khiển thông báo Internet Giao thức quản lý nhóm Internet : l chế truyền thông trạm v router gắn trực tiếp với mạng Giao thức gateway tới gateway Gateway-to-Gateway Protocol Exterior Gateway Protocol Giao thức bên gateway User Datagram Protocol l giao thức cốt lõi giao thức TCP/IP Dùng UDP, chơng trình mạng máy tính gửi liệu ngắn đợc gọi datagram tới máy khác Encap Security Payload Khối an toàn tóm lợc cung cấp dịch vụ bí mật, bao gồm bí mật nội dung thông báo bí mật luồng traffic Authentication Header Header xác thực cho phép đảm bảo toàn vẹn liệu xác thực gói IP SV: Thái Trung Thắng Đồ án tốt nghiệp FTP Khoa An Toàn Thông Tin File Tranfer Protocol DNS SMTP Giao thức truyền file : dịch vụ cho phép chép file từ hệ thống máy tính đến hệ thống máy tính khác Dịch vụ tên miền Dịch vụ chuyển th điện tử Domain Name Server Simple Mail Transfer Protocol ISAKMP Internet Security Hiệp hội bảo mật Internet giao Association and Key thức quản lý khóa Management Protocol IKE Internet Key Exchange Trao đổi khóa Internet LAN Local Area Network Mạng cục WAN Wide Area Network Mạng diện rộng SPI Security Parameters Index SPI l từ khóa xác định đợc thêm vo phần đầu MAC Media Access Control Là địa để xác định máy tính(thiết bị) mạng internet DOI Domain of Interpretation Tên miền giải thích Bảng danh mục ký hiệu, từ viết tắt SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin TóM TắT Đề TàI Đề tài : NGHIÊN CứU TìM HIểU CÔNG NGHệ BảO MậT GóI IP (IPSEC) Và ứng dụng bảo mật thông tin mạng máy tính Mục tiêu : Tìm hiểu giao thức TCP/IP, công nghệ IPSec, chế mã hóa liệu IPSec Tìm hiểu kiến trúc IPSec, ứng dụng thực tiễn nghiên cứu phần mềm OpenS/wan Yêu cầu : Hoàn thành báo cáo đầy đủ Sản phẩm : cài đặt chạy đợc gói phần mềm OpenS/wan, kết nối đợc hai subnet thông qua OpenS/wan Thời gian hoàn thành : 05/06/2009 Nhiệm vụ : Tìm hiểu giao thức TCP/IP Tìm hiểu công nghệ IPSec Tìm hiểu gói phần mềm OpenS/wan Thực cài đặt gói phần mềm OpenS/wan hai server (cài hệ điều hành linux) cấu hình cho hai mạng subnet phía sau hai server kết nối đợc với Kết đạt đợc : Hiểu đợc giao thức TCP/IP chức tầng giao thức TCP/IP Hiểu công nghệ IPSec tầm quan trọng việc truyền tải liệu mạng Cài đặt cấu hình thành công đợc gói phần mềm OpenS/wan theo mô hình lan-to-lan SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Đặt vấn đề Từ có mạng Internet, nhu cầu truyền trao đổi thông tin từ nơi đến nơi khác ngời đợc đáp ứng Mạng Internet giúp ngời liên lạc với thuận lợi hơn, họ chia sẻ thông tin với sử dụng mạng internet để phục vụ nhiều nhu cầu khác nh quảng cáo, truyền liệu Do mạng internet mạng công cộng, thông tin truyền có nguy bị rò rỉ mát Con ngời nghĩ đến việc tạo kênh liên lạc riêng để trao đổi thông tin với mà không bị mát rò rỉ Để làm điều có nhiều nghiên cứu đợc thực đạt đợc thành công định Trên hệ điều hành Windows Microsoft có vitrual private network (VPN) đảm nhiệm việc tạo kênh liên lạc riêng sử dụng mạng Internet làm môi trờng truyền gọi đờng hầm (Tunnel) Nhng hệ điều hành Linux việc tạo kênh liên lạc riêng biệt vấn đề khó nhiều thời gian nghiên cứu Chính thế, OpenS/wan đời giúp giải vấn đề VPN hệ điều hành Linux OpenS/wan giúp tạo kênh truyền riêng biệt nhằm bảo liệu riêng t ngời dùng đợc truyền tải mạng công cộng OpenS/wan áp dụng tốt công nghệ IPSec hệ điều hành Linux Với lợi ích mà OpenS/wan đem lại, đồ án đợc thực với mục đích nghiên cứu công nghệ IPSec chức gói phần mềm OpenS/wan Với yêu cầu tìm hiểu, nghiên cứu đồ án em trình bày gồm có ba chơng : Chơng I : Tổng quan giao thức TCP/IP : Chơng giới thiệu tổng quan giao thức TCP/IP Kiến trúc chức tầng giao thức TCP/IP Chơng II : Tìm hiểu công nghệ IPSec : Chơng trình bày công nghệ IPSec, trao đổi khóa, dịch vụ lợi ích IPSec đem lại Chơng III : ứng dụng IPSec bảo mật thông tin mạng : Chơng giới thiệu gói phần mềm OpenS/wan ứng dụng cài đặt hệ thống mạng Hà Nội, ngày tháng năm 2009 Sinh viên thực Thái Trung Thắng SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Chơng : Tổng Quan Về Giao Thức TCP/IP 1.1 Mô hình tham chiếu m OSI ( Open system Interconnection) 1.1.1 Gii thiu mô hình OSI Năm 1984 tổ chức tiêu chuẩn giới ISO (International Standar Organization ) đa mô hình tham chiếu OSI hay thờng gọi mô hình tầng có cấu trúc nh hình vẽ sau: Hình 1.1 : Mô hình tham chiếu OSI 1.1.2 Các nguyên tắc xây dựng mô hình tham chiếu OSI + Để đơn giản cần hạn chế số lợng tầng + Mỗi lớp cần thực chức đợc định nghĩa rõ ràng + Việc chọn chức cho lớp cần ý tới việc định nghĩa quy tắc chuẩn hoá quốc tế + Số mức phải đủ lớn để chức tách biệt không nằm lớp đủ nhỏ để mô hình không phức tạp + Một lớp đợc phân thành lớp nhỏ cần thiết + Các lớp lại bị loại bỏ không cần thiết + Hai hệ thống khác truyền thông với chúng bảo đảm nguyên tắc chung (cài đặt giao thức truyền thông) + Các chức đợc tổ chức thành tập tầng đồng mức cung cấp chức nh Các tầng đồng mức phải sử dụng giao thức chung 1.1.3 Chức tầng mô hình tham chiếu OSI SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin a- Tầng vật lý : Là tầng thấp nhất, có chức truyền dòng bit cấu trúc qua đờng truyền vật lý,truy cập đờng truyền vật lý nhờ phơng tiện cơ, đIện, hàm, thủ tục v v Lớp vật lý làm việc với thiết bị vật lý, truyền tới dòng bít 1, từ nơi nhận đến nơi gửi b - Tầng liên kết liệu : Cung cấp phơng tiện truyền thông tin qua liên kết vật lý đảm bảo tin cậy, gửi khối liệu với chế đồng hoá, kiểm soát lỗi, kiểm soát luồng liệu cần thiết Tại liệu đợc tổ chức thành khung (frame) Phần đầu khung chứa địa thông tin điều khiển, phần cuối khung dành cho việc phát lỗi c - Tầng mạng : Thực việc chọn đờng chuyển tiếp thông tin với công nghệ chuyển mạch thích hợp, thực việc kiểm soát luồng liệu cắt hợp thông tin cần thiết d - Tầng giao vận : Thực việc truyền liệu hai đầu mút, kiểm soát lỗi, kiểm soát luồng liệu hai đầu mút, thực việc ghép kênh, cắt hợp liệu cần thiết e - Tầng phiên : Cung cấp phơng tiện quản lý truyền thông ứng dụng, thiết lập trì , đồng hoá huỷ bỏ phiên truyền thông ứng dụng f - Tầng trình diễn : Chuyển đổi cấu trúc liệu để đáp ứng nhu cầu truyền dứ liệu phơng tiện truyền thông môI trờng OSI g - Tầng ứng dụng: Cung cấp phơng tiện để ngời dùng truy cập vào môI trờng OSI, đồng thời cung cấp dịch vụ thông tin phân tán 1.2 Bộ giao thức TCP/IP 1.2.1 Giới thiệu TCP/IP Họ giao thức TCP/IP đợc phát triển từ năm 1970 hai tác giả Vint Cerf Robert Kahn, ban đầu tồn tạI với giao thức NCP (Network Control Protocol) nhng tới năm 1983 TCP/Ip thay hoàn toàn giao thức NCP Có số u điểm TCP/IP nh sau: SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Giao thức chuẩn mở thoải mái sẵn sàng phát triển độc lập với phần cứng hệ điều hành Bởi đợc hỗ trợ nhiều nhà cung cấp TCP/IP lý tởng cho việc hợp phần cứng phần mềm khác nhau, truyền thông Internet Sự độc lập rành mạch với phần cứng vật lý mạng cho phép TCP/IP hợp mạng khác TCP/IP chạy mạng Ethernet, mạng Token ring, mạng quay số (Dial-up line), mạng X.25 mạng ảo loại môi trờng vật lý truyền thông Một sơ đồ địa dùng chung cho phép thiết bị TCP/IP có địa mạng mạng toàn cầu Internet Hỗ trợ mô hình client-server, mô hình mạng bình đẳng, Hỗ trợ kỹ thuật dẫn đờng động 1.2.2 Kiến trúc TCP/IP Kiến trúc phân tầng TCP/IP tuân theo nguyên tắc phân tầng mô hình tham chiếu OSI TCP/IP đợc phân thành tầng tơng ứng với mô hình OSI nh sau: - Tầng mạng (Network Layer) - Tầng Internet (Internet Layer) - Tầng giao vận (Transport Layer) - Tầng ứng dụng (Application Layer) S tng ng : Hình 1.2 : Mô hình TCP/IP S hoạt động TCP/IP: SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Trên thit b VPN bên phi ta thc hin câu lnh sau a ni dung khóa công khai tin /tmp/right.pub [root@VPN1 tmp]# ipsec showhostkey right > /tmp/right.pub [root@VPN1 tmp]# Bc 2: Chnh sa tin cu hình /etc/ipsec.conf Mi kt ni VPN tin cu hình có thông tin riêng ca ây ta to mt kt ni có tên lan-to-lan v phi cung cp tt c câc thông s cn thit # # File: /etc/ipsec.conf # conn lan-to-lan left=192.168.61.134 leftsubnet=192.168.132.0/24 leftnexthop=192.168.61.135 leftrsasigkey=0sAQOBUgWIaiE8SVWmH6wUwCYs0cVMPUUrhMKkqaLUkLeVlu 9zJHA+wxU/H/dVOgDTWjMivSnCg/Prr964Tgp+LM1J1LNWdSvxlX2Q8yG9LfrA uq+bh2hVrqn+jG7Px1C7qm1wnOTGWjVt/y4z6vrt6i5+ZEJx7rgsijXmjLQW1R KFpeIF6ONzvNx3qeVeHdkjDCbrG5brDgtG2eJx30hGlLYfeBQK5MACmGB+4+ev ZVd4NfUQgstK2tdVER70xei2fWCts1+o402t6BlCGSJp3S09z58kdgMxEyarsJ VuAHYEUlYXxfQNBRLVF/jJhpfIwscDRSM9CQve0YuSN9Qut2rMNG+P69trOB4F F0zhsqdX6naX right=192.168.61.135 rightsubnet=192.168.17.0/24 rightnexthop=192.168.61.134 rightrsasigkey=0sAQOKt2f8THh6Bb4wDCH0ZF+A/BJqNDZQtwbfmxy59g3K0 iyGuJLo3krIRUsWLmnRHXcMeVLR3PxdSqdc0/4BKloZY+it5WFM9Kp9pZ9dUlM Rvu1sFxgulybb7bH+Wa5dP8mf5Kwj9Z0v2AiIGUWnVngju9Nf+tFxbyw3c0i9F HyBwtCsudJjVJSN4GHiw1x2OM8nbD1KNjYvMntw6BjulB4NPhO1faMJ7UWf59c 8AZ6nHb6X8sMYsLYc8HqDvc5+gmVD3ChoXhgaJEwkUzza4f+5tN+S8ZmSgxD50 TaWj5EevhJmFD+DcRO7odm/QXSMtLwx0hoXJLiC5YO1UXByYilb/DXU+tvL0FP 2N5eItE+Md4mh auto=add Mt s lu ý quan trng v tin /etc/ipsec.conf Cn phi thc hin lại u dòng úng nh quy nh di ây úng conn lan-to-lan left=x.x.x.x leftsubnet=y.y.y.y/24 SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Sai conn lan-to-lan left=x.x.x.x leftsubnet=y.y.y.y/24 Thông tin v kt ni "lan-to-lan" phi ging tin /etc/ipsec.conf c hai thit b VPN bên trái v bên phi Không c có dòng trng gia thông s ca kt ni lan-tolan Dòng ghi c bt u bng ký t # c chp nhn ây Khi ng li IPSec chy li tin cu hình không cn phi ng li ng hm Nu bn thit lp auto=add, ng hm s ch c ng mt cách th công bng câu lnh ipsec auto up lan-to-lan Bớc 3: Khởi động lại OpenS/wan Việc ny cần phải thực hai đầu VPN để thiết lập tập tin cấu hình /etc/ipsec.conf có hiệu lực [root@VPN1 ~]# service ipsec restart ipsec_setup: Stopping OpenS/wan IPsec ipsec_setup: stop ordered, but IPsec appears to be already stopped! ipsec_setup: doing cleanup anyway ipsec_setup: Starting OpenS/wan IPsec U2.6.19/K2.6.27.21170.2.56.fc10.i686 [root@VPN1 ~]# Bc 4: Khi to mt ng hm mi Bn có th s dng câu lnh ipsec ng ng hm "lan-to-lan" ó c to tin /etc/ipsec.conf SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Hình 3.5 : Khởi tạo đờng hầm Bớc Thay i rules ca IP tables NAT/Masquerade Nu bn ang s dng iptables vi ch NAT/masquerading thit b VPN cn phi có mt s iu chnh rules ca Iptaples Thit b VPN bên trái Cũ iptables -t nat -A POSTROUTING -o eth0 -s 192.168.132.0/24 -j MASQUERADE Mi iptables -t nat -A POSTROUTING -o eth0 -s 192.168.132.0/24 -d \! 192.168.17.0/24 -j MASQUERADE Thit b VPN bên phi Cũ SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin iptables -t nat -A POSTROUTING -o eth0 -s 192.168.17.0/24 -j MASQUERADE Mới iptables -t nat -A POSTROUTING -o eth0 -s 192.168.17.0/24 -d \! 192.168.132.0/24 -j MASQUERADE Bớc : G li OpenS/wan Vic g li l mt quan trng thit lp VPN có nhiu th có th gây li Sau ây l mt s kim tra nhanh bn có th chc chn h thng hot ng xác v n nh a Kim tra trng thái ca ng hm Câu lnh ipsec auto status s tr v trng thái hot ng ca OpenS/wan thit b VPN Kt qu gm nhng phn sau: IKE Section: Khai báo nhng thut toán trao i khóa ã mã hóa v nhng tham s ca chúng Phn ny cn nht mt s trựng khp gia thit b VPN hai bên v thut toán ng thi phn ny cng cho bit mt vi thông s ca tin trình trao i khóa mc th nht, l bc u tiên xy thit lp mt VPN ESP Section: Khai báo nhng thut toán mã hóa khác v nhng tham s ca chúng Phn ny cng cn nht mt s trựng khp gia hai thit b VPN hai u ng thi phn ny cha nhng thông tin v tham s dựng trình trao i khóa mc th hai, l bc th hai v cng l bc cui thit lp VPN VPN Section: Phn ny thng c bt u bng tên ca ng hm VPN, trng hp ny l "lan-to-lan" Nu dòng no ây cha có VPN no c thit lp Nu có nhiu thông tin nhng thiu dòng " STATE_QUICK_R2 (IPsec SA established)" ó IPSec ã c cu hình nhng ng hm cha c thit lp iu ny xy l ng hm c kích hot SA c to nhng sau ó li b t gia chng mt khong thi gian hn Cách tt nht khc phc ny l cho d liu c truyn ti qua ng hm c thit lp n gin nht l ta s dng lnh ping gi nhng gói ICMP nhm kim tra trng thái hot ng ca ng hm SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin [root@VPN2 ~]# ipsec auto status 000 using kernel interface: netkey 000 interface lo/lo ::1 000 interface lo/lo 127.0.0.1 000 interface lo/lo 127.0.0.1 000 interface eth0/eth0 192.168.61.135 000 interface eth0/eth0 192.168.61.135 000 interface eth1/eth1 192.168.17.128 000 interface eth1/eth1 192.168.17.128 000 %myid = (none) 000 debug none 000 000 virtual_private (%priv): 000 - allowed subnets: 192.168.61.0/24, 192.168.17.0/24, 192.168.132.0/24 000 - disallowed subnets: 000 WARNING: Either virtual_private= was not specified, or there was a syntax 000 error in that line 'left/rightsubnet=%priv' will not work! 000 000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64 000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192 000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448 000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0 000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=13, name=ESP_AES_CTR, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=14, name=ESP_AES_CCM_A, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=15, name=ESP_AES_CCM_B, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=16, name=ESP_AES_CCM_C, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=18, name=ESP_AES_GCM_A, ivlen=8, keysizemin=128, keysizemax=256 SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin 000 algorithm ESP encrypt: id=19, name=ESP_AES_GCM_B, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=20, name=ESP_AES_GCM_C, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=22, name=ESP_CAMELLIA, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256 000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128 000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160 000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256 000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160 000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128 000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0 000 000 algorithm IKE encrypt: id=0, name=(null), blocksize=16, keydeflen=131 000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128 000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192 000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128 000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128 000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128 000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128 000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16 000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20 000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32 000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64 SV: Thái Trung Thắng 7 Đồ án tốt nghiệp Khoa An Toàn Thông Tin 000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024 000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536 000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048 000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072 000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096 000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144 000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192 000 000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0} 000 000 "lan-to-lan": 192.168.17.0/24===192.168.61.135[+S=C] 192 168.61.134[+S=C]===192.168.132.0/24; erouted; eroute owner: #6 000 "lan-to-lan": myip=unset; hisip=unset; 000 "lan-to-lan": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 000 "lan-to-lan": policy: RSASIG+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW; prio: 24,24; interface: eth0; 000 "lan-to-lan": #6; newest ISAKMP SA: #8; newest IPsec SA: 000 "lan-to-lan": MODP2048 IKE algorithm newest: AES_CBC_128-SHA1- 000 000 #7: "lan-to-lan":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2321s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate 000 #2: "lan-to-lan":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 24058s; isakmp#1; idle; import:admin initiate 000 #2: "lan-to-lan" esp.a4bb2c68@192.168.61.134 esp.35012a99@192.168.61.135 tun.0@192.168.61.134 tun.0@192.168.61.135 ref=0 refhim=4294901761 000 #8: "lan-to-lan":500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2813s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:not set SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin 000 #6: "lan-to-lan":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 24025s; newest IPSEC; eroute owner; isakmp#3; idle; import:admin initiate 000 #6: "lan-to-lan" esp.aae2decf@192.168.61.134 esp.e8c20633@192.168.61.135 tun.0@192.168.61.134 tun.0@192.168.61.135 ref=0 refhim=4294901761 000 #5: "lan-to-lan":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 24665s; isakmp#3; idle; import:not set 000 #5: "lan-to-lan" esp.ac766d85@192.168.61.134 esp.7c163dde@192.168.61.135 tun.0@192.168.61.134 tun.0@192.168.61.135 ref=0 refhim=4294901761 000 #4: "lan-to-lan":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 24665s; isakmp#3; idle; import:not set 000 #4: "lan-to-lan" esp.80a7c272@192.168.61.134 esp.22ae111f@192.168.61.135 tun.0@192.168.61.134 tun.0@192.168.61.135 ref=0 refhim=4294901761 000 [root@VPN2 ~]# b Kim tra kt ni VPN Ta có th kim tra kt ni VPN bng cách gi lnh ping t mng riêng ny sang mng bên Trong mô hình trên, ta có th gi lnh ping t client 192.168.10.2 sang server 192.168.20.2 hoc ngc li Nu ng hm ó c kích hot nhng lnh ping không hot ng bn cn kim tra phn sau: Kim tra li bng route ca máy c hai u, nht l hai thit b VPN Kim tra li tng la v quy lut ã thit lp - Trên client : (có IP 192.168.132.130) SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Hình 3.6 : Kiểm tra kết nối Client - Trên clinet : (Có IP 192.168.17.130) Hình 3.7 : Kiểm tra kết nối máy client SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin c Dùng TCPdump kim tra xem ng hm ã thông hay cha hay ch n gin mun xem gói tin ó c IPSec óng gói li nh th no, có th dùng TCPdump, hoc nu mun bit c th hn nên ci mt IDS (Snort hon ton phí v nhiu tính nng) ây l kt qu ca lnh ping gói ICMP cha c mã hóa: [root@VPN2 ~]# tcpdump -n -i eth1 icmp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 00:18:39.346897 IP 192.168.17.130 > 192.168.132.130: ICMP echo request, id 512, seq 19712, length 40 00:18:39.347535 IP 192.168.132.130 > 192.168.17.130: ICMP echo reply, id 512, seq 19712, length 40 00:18:39.391381 IP 192.168.132.130 > 192.168.17.130: ICMP echo request, id 512, seq 20992, length 40 00:18:39.391847 IP 192.168.17.130 > 192.168.132.130: ICMP echo reply, id 512, seq 20992, length 40 00:18:40.346644 IP 192.168.17.130 > 192.168.132.130: ICMP echo request, id 512, seq 19968, length 40 00:18:40.349427 IP 192.168.132.130 > 192.168.17.130: ICMP echo reply, id 512, seq 19968, length 40 00:18:40.392314 IP 192.168.132.130 > 192.168.17.130: ICMP echo request, id 512, seq 21248, length 40 00:18:40.392992 IP 192.168.17.130 > 192.168.132.130: ICMP echo reply, id 512, seq 21248, length 40 ^C packets captured packets received by filter packets dropped by kernel [root@VPN2 ~]# V ây l kt qu gói ICMP c óng gói v gi ng hm gia hai thit b VPN a ch IP ngun v ích tht s ã c n i, thay vo ó l hai a ch IP Internet u ngoi ca thit b VPN [root@vpn2 tmp]# tcpdump -n -i eth1 02:08:23.637149 IP 192.168.61.134> 192.168.61.135: ESP(spi=0xf4909a7e,seq=0x73) 02:08:24.635302 IP 192.168.61.135> 192.168.61.134: ESP(spi=0x808e9a87,seq=0x74) 02:08:24.637988 IP 192.168.61.134> 192.168.61.135: ESP(spi=0xf4909a7e,seq=0x74) 02:08:25.638015 IP 192.168.61.135> 192.168.61.134: ESP(spi=0x808e9a87,seq=0x75) ^C SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin [root@vpn2 tmp]# d Kim tra thông báo li Thng xuyên kim tra tin /var/log/messages nhn bit kp thi thông báo li v có hng khc phc phù hp Thông ip "Invalid Key" Nu khóa công khai bên trái v bên ph i c khai báo tin không phù hp vi khóa bí mt c c lu tr tin /etc/ipsec.secrets s xut hin thông ip báo khóa không khp v mi thông tin khác s b b qua 003 "net-to-net" #1: ignoring informational payload, type INVALID_KEY_INFORMATION 003 "net-to-net" #1: received and ignored informational message 003 "lan-to-lan" #1: discarding duplicate packet; already STATE_MAIN_I3 031 "lan-to-lan" #1: max number of retransmissions (2) reached STATE_MAIN_I3 Possible authentication failure: no acceptable response to our first encrypted message 3.2.2 ứng dụng bảo mật mạng Road Warrior 3.2.2.1 - Road Warrior Cần phải biết : IP tĩnh gateway Dải IP subnet phía sau gateway Tên mà bên xác định cho IPsec negotiations Nó tên miền có đủ tiêu chuẩn đợc trớc @ Ví dụ : @road.example.com 3.2.2.2 Lấy leftrsasigkey Trên máy tính chúng ta, lấy mã công khai IPSec câu lệnh : ipsec showhostkey left Sẽ cho ta kết sau : # RSA 2192 bits road.example.com 2002 leftrsasigkey=0sAQPIPN9uI Sun Jun 02:45:02 3.2.2.3 Lấy rightrsasigkey Console gateway : SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin ssh2 xy.example.com Xem mã khóa công khai gateway câu lệnh : ipsec showhostkey right Nó cho ta kết mã khóa công khai gateway : # RSA 2048 bits xy.example.com rightrsasigkey=0sAQOnwiBPt Fri Apr 26 15:01:41 2002 3.2.2.4 Tùy chỉnh file /etc/ipsec.conf Trên máy tính chúng ta, chép phần dới vào file /etc/ipsec.conf conn road left=%defaultroute leftnexthop=%defaultroute leftid=@road.example.com leftrsasigkey=0sAQPIPN9uI right=192.0.2.10 rightsubnet=10.0.0.0/24 rightid=@xy.example.com rightrsasigkey=0sAQOnwiBPt auto=add this # # # # # # # # # Picks up our dynamic IP Local information Remote information authorizes but doesn't start # connection at startup Khung mẫu cho gateway khác, ý cho đảo ngợc trái phải, giữ quy ớc bên trái local, bên phải remote Chắc chắn chuyển đổi rsasigkeys giữ điều ssh2 xy.example.com vi /etc/ipsec.conf thêm vào phần sau : conn road left=192.0.2.2 leftid=@xy.example.com leftsubnet=192.0.2.128/29 leftrsasigkey=0sAQOnwiBPt rightnexthop=%defaultroute right=%any laptop's IP rightid=@road.example.com rightrsasigkey=0sAQPIPN9uI auto=add this SV: Thái Trung Thắng # Gateway's information # # # # correct in many situations # Wildcard: we don't know the # # # authorizes but doesn't start # connection at startup Đồ án tốt nghiệp Khoa An Toàn Thông Tin 3.2.2.5 Bắt đầu kết nối Chúng ta cần phải bắt đầu kết nối từ cạnh Road Warrior Trên máy trạm, gõ câu lệnh : ipsec auto start net-to-net Chúng ta nhìn thấy : 104 "net-net" #223: STATE_MAIN_I1: initiate 106 "road" #301: STATE_MAIN_I2: sent MI2, expecting MR2 108 "road" #301: STATE_MAIN_I3: sent MI3, expecting MR3 004 "road" #301: STATE_MAIN_I4: ISAKMP SA established 112 "road" #302: STATE_QUICK_I1: initiate 004 "road" #302: STATE_QUICK_I2: sent QI2, IPsec SA established 3.2.2.6 MASQ NAT gói packet đờng hầm Nếu sử dụng IP masquerade Network Address Translation (NAT) gateway vào, điều ta cần miễn gói packet mà bạn muốn từ đờng hầm từ nghiên cứu Ví dụ, có luật sau : iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -j MASQUERADE Chúng ta thay đổi thành : iptables -t nat -A POSTROUTING -o eth0 -s 10.0.0.0/24 -d \! 192.0.2.128/29 -j MASQUERADE 3.2.2.7 Kiểm tra kết nối Từ máy trạm, ping tới máy đằng sau gateway: ping ns.winston.example.com Dùng lệnh tcpdump để bắt gói tin : tcpdump -i wlan0 Cài đặt thành công nhận đợc thông tin nh dới : 19:16:32.046220 192.0.2.2 > 192.0.2.9: ESP(spi=0x3be6c4dc,seq=0x3) 19:16:32.085630 192.0.2.9 > 192.0.2.2: ESP(spi=0x5fdd1cf8,seq=0x6) SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Kết Luận Trong trình phát triển công nghệ thông tin việc nghiên cứu phát triển gói phần mềm giúp tạo kênh liên lạc riêng hệ điều hành Linux cần có thời gian dài để phát triển mà đảm bảo đợc tiêu chí ngời dùng đa phải đảm bảo liệu trao đổi mạng không bị rò rỉ, mát Trong thời gian ba tháng với phạm vi yêu cầu đồ án, dới hớng dẫn tận tình TS Lê Đình Thích Ths Nguyễn Thanh Sơn, giúp đỡ nhà trờng giúp em hoàn thành tốt đồ án Em xin chân thành cảm ơn tới thầy giáo TS Lê Đình Thích Ths Nguyễn Thanh Sơn, thầy cô trờng bạn giúp em hoàn thành đồ án Kết đạt đợc: Trong thời gian trên, với yêu cầu đề đồ án em hoàn thành đợc phần sau : Về phần lý thuyết em hoàn thành đợc nội dung sau đây: Hiểu đợc giao thức TCP/IP Nắm vững đợc công nghệ IPSec Hiểu đợc tầm quan trọng IPSec thực tế Tìm hiểu đợc gói phần mềm OpenS/wan Hiểu đợc chức năng, ứng dụng gói phần mềm OpenS/wan việc tạo kênh truyền riêng Internet Về phần thực hành : Thực cài đặt thành công đợc gói phần mềm OpenS/wan hệ điều hành Linux (Trong đồ án em cài hệ điều hành Fedora 10) Tạo đợc kênh liên lạc riêng hai máy trạm thuộc hai subnet khác thông qua OpenS/wan SV: Thái Trung Thắng Đồ án tốt nghiệp Khoa An Toàn Thông Tin Tài liệu tham khảo Tài liệu tiếng việt : Trần Văn Thành, Mô hình TCP/IP Nguyễn Thúc Hải, Mạng hệ thống mở Tài liệu tiếng anh : Naganand Doraswamy, Dan Harkins IPSec: The New Security Standard for the Internet, Intranets, and Virtual Private Networks, Second Edition (Pub Date : March 13, 2003), Published by : Prentice Hall PTR, ISBN: 013046189X Paul Wouters and Ken Bantoft Building and Integrating Virtual Private Networks with OpenS/wan (First published : February 2006), Published by Packt Publishing Ltd, ISBN 1904811256 James S Tiller , A Technical Guide to IPSec Virtual Private Networks (Pub Date : December 11, 2000), Published by Auerbach Publications, ISBN : 9780849308765 Một số website : http://www.Openswan.org Tìm hiểu gói phần mềm OpenS/wan http://www.freeswan.org/ Tìm hiểu gói phần mềm FreeS/wan http://www.natecarlson.com/linux/ipsec-x509.php http://techgurulive.com/2008/11/12/how-to-configure-OpenswanOpenswan-to-Openswan-connections-using-rsasig-or-psk/ SV: Thái Trung Thắng [...]... liệt kê trên 2500 vụ việc an toàn làm ảnh hởng đến 150,000 sites Các kiểu tấn công nghiêm trọng nhất bao gồm giả địa chỉ IP (IP spoofing), trong đó kẻ lạ mặt tạo ra các gói với địa chỉ IP sai và khai thác ứng dụng dựa trên IP và một vài dạng nghe trộm và soi gói, trong đó kẻ tấn công đọc các thông tin đợc truyền bao gồm thông tin logon và nội dung cơ sở dữ liệu Để đối phó lại những vấn đề trên, IAB... thực IP payload và Xác thực toàn bộ gói Phần lựa chọn của IP IP bên trong (gói nguyên header bản ban đầu) cộng với những phần lựa chọn của IP header ngoài (IP header mới) Esp Esp với xác thực Tunnel Mode SA Mã IP payload Mã gói IP bên trong Mã IP payload và xác Mã gói IP bên trong thực IP payload (không Xác thực gói IP bên bao gồm IP header) trong Bảng 2.2 : Chức năng của phơng thức Tunnel và transport... transport xác thực IP payload và các thành phần lựa chọn trong IP header 2 Phng thc Tunnel Phơng thức Tunnel cho phép bảo vệ toàn bộ gói IP Để thực hiện đợc điều này, sau khi trờng AH và ESP đợc thêm tới gói IP, toàn bộ gói IP cộng với các trờng an toàn đợc coi nh payload của gói IP bên ngoài mới (new outer IP packet) với một IP header bên ngoài mới (new outer IP header) Toàn bộ gói IP ban đầu đợc chuyển... bỏ, gói IP bên trong đợc đi tới B ESP trong phơng thức Tunnel mã và xác thực (tuỳ chọn) toàn bộ gói IP bên trong, bao gồm cả IP header AH trong phơng thức Tunnel xác thực toàn bộ gói IP bên trong và các phần lựa chọn của IP header bên ngoài SV: Thái Trung Thắng 2 8 Đồ án tốt nghiệp Khoa An Toàn Thông Tin Bảng 2 tóm tắt chức năng của các phơng thức transport và tunnel Transport Mode SA Ah Xác thực IP. .. trng bí mật và xác thực vào cấu trúc gói IP 2.1.1.1 Các ng dụng của IPSec IPSec cung cấp khả năng truyền thông an toàn qua một mạng LAN, mạng WAN và Internet Các ví d ca vic dựng IPSec nh: An ton gia các chi nhánh c quan khi kt ni vi nhau qua internet: Một công ty có thể xây dựng một mạng riêng ảo an toàn qua Internet hoặc qua mạng WAN chung Điều này cho phép việc truyền thông dựa trên Internet và giảm... không hỗ trợ tính năng xác thực Trờng hợp này dùng tunnel mode SA Tunnel mode v giao thc AH (Tunnel mode AH) Hình 2.7 : Cấu trúc gói IP với tunnel mode AH Với Tunnel mode AH, toàn bộ gói IP ban đầu đợc xác thực và AH đợc chèn vào giữa IP header ban đầu và IP header mới Trong IP header mới chứa địa chỉ IP cả các gateway an toàn.Toàn bộ gói IP ban đầu đợc bảo vệ bởi AH Riêng IP header mới đợc bảo vệ ngoại... liu gói tin ESP B2 Khai báo d liu cho gói tin AH B3 Khai báo cu trúc cho vic thc hin hm HMAC B4 Tính headroom v tailroom cho gói tin AH B5.Chn thut toán mã hoá B6 Xác nh thut toán HMAC v tính AH B7 Chun b head room v tail room cho gói HMAC v ESP B8 Thc hin phép toán ESP SV: Thái Trung Thắng 3 4 Đồ án tốt nghiệp Khoa An Toàn Thông Tin B9 úng gói li gói tin ESP trong IPsec driver Hình 2.10 : Xử lý gói tin. .. mạng dùng IPSec Một tổ chức quản lý các LAN tại các vị trí phân tán Traffic IP không an toàn đợc quản lý trên mỗi LAN Các traffic đi qua một vài mạng WAN công cộng đợc bảo vệ bởi các giao thức IPSec Các giao thức này thao tác trong các thiết bị mạng nh router, firewall, chúng kết nối các LAN với các mạng bên ngoài.Thiết bị mạng IPSec sẽ mã và nén tất cả các traffic trớc khi rời các mạng LAN để đi vào... qua một đờng hầm thông qua các mạng bên ngoài bởi các SA phơng thức Tunnel đợc cài đặt bởi phần mềm IPSec trong Firewall hoặc router an toàn tại biên của mạng cục bộ Sau đây là một ví dụ về sự làm việc của phơng thức Tunnel Máy A trên một mạng sinh ra một gói IP với địa chỉ đích của máy B trên mạng khác Gói này đợc chuyển từ máy ban đầu tới Firewall hoặc router an toàn tại biên của mạng của A Firewall... node trên mạng Tất cả các host và router đều phải có khả năng tạo và xử lý các thông báo ICMP nhận đợc 1.2.5 Giao thức thông báo điều khiển liên mạng (ICMP) Giao thức IP hoạt động tại lớp Network đợc sử dụng bởi IP cho nhiều dịch vụ khác nhau Thông báo ICMP đợc mang trực tiếp trong gói tin IP với trờng Protocol Number bằng 1 Có rất nhiều trờng hợp khiến cho gói tin IP bị loại bỏ: Đờng truyền có sự ... nghiêm trọng bao gồm giả địa IP (IP spoofing), kẻ lạ mặt tạo gói với địa IP sai khai thác ứng dụng dựa IP vài dạng nghe trộm soi gói, kẻ công đọc thông tin đợc truyền bao gồm thông tin logon nội dung... exceeded 12 : Parameter problem 13 : Timestamp request 14 : Timestamp reply 15 : Information request (obsolete) 16 : Information reply (obsolete) 17 : Address mask request 18 : Address... kiểu bao gồm : : Echo reply : Destionation unreachable : Source quench : Redirect : Echo : Router advertisement 10 : Router solicitation 11 : Time exceeded 12 : Parameter problem 13 : Timestamp