Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 2_4

Hình 2.26: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP Để có thể áp dụng AH và ESP trong chế độ Transport mode và Tunnel mode, IPSec yêu cầu phải hỗ trợ được cho tổ hợp của transport mode và Tunnel mode
Nội dung trích xuất từ tài liệu:
Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 2_4ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNGĐề tài:Công nghệ mạng riêng ảo VPN: Cácgiao thức đường hầm và bảo mật CHƯƠNG 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPN Hình 2.26: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP Để có thể áp dụng AH và ESP trong chế độ Transport mode vàTunnel mode, IPSec yêu cầu phải hỗ trợ được cho tổ hợp của transportmode và Tunnel mode. Điều này được thực hiện bằng các sử dụngTunnel mode để mã hoá và xác thực các gói và tiêu đề của nó rồi gắnAH hoặc ESP, hoặc dùng cả hai trong chế độ transport mode để bảo mậtcho tiêu đề mới được tạo ra. AH và ESP không thể sử dụng chung trongTunnel mode bởi vì ESP đã có cơ chế tuỳ chọn xác thực, tuỳ chọn nàynên sử dụng trong Tunnel modekhi các gói cần phải mã hoá và xác thực.2.1.1 Hoat động của IPSec Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệumong muốn với các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec cóthể chia thành 5 bước chính như sau: A gửi lưu lượng cần bảo vệ tới B Router A và B thoả thuận một phiên trao đổi IKE Phase ← → 1 IKE SA IKE Phase IKE SA Router A và B thoả thuận một phiên trao đổi IKE Phase 2 ← → IPSec SA IKE Phase IPSec SA Thông tin được truyền dẫn qua đường hầm IPSec Kết thúc đường hầm IPSec Hình 2.27: 5 bước hoạt động của IPSec. bước 1: Lưu lương cần được bảo vệ khởi tạo quá trình IPSec. Ở đây,các thiết bị IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạnthông qua trường địa chỉ. bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tậpcác dịch vụ bảo mật được thoả thuận và công nhận (thoả thuận các kếthợp an ninh IKE SAs (Security associations)). Trong phase này, thiết lậpmột kênh truyền thông an toàn để tiến hành thoả thuận IPSec SA trongPhase 2. bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA vàthiết lập các IPSec SA tương đương ở hai phía. Những thông số an ninhnày được sử dụng để bảo vệ dữ liệu và các bản tin trao đổi giữa các điểmđầu cuối. kết quả cuối cùng của hai bước IKE là một kênh thông tin bảomật được tạo ra giữa hai phía. bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSecdựa trên cơ sở các thông số bảo mật và các khoá được lưu trữ trong cơsở dữ liệu SA. bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bịxoá hoặc do hết hạn (time out).Sau đây sẽ trình bày cụ thể hơn về 5 bước hoạt động của IPSec:Bước 1- Kích hoạt lưu lượng cần bảo vệ. Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trongchính sách an ninh (Security Policy) của một mạng VPN. Chính sáchđược sử dụng để quyết định lưu lượng nào cần được bảo vệ và khôngcần bảo vệ (lưu lượng ở dạng bản rõ (clear text) không cần bảo vệ).Chính sách sau đó sẽ được thực hiện ở giao diện của mỗi đối tác IPSec. Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: DùngIPSec, cho qua IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệuđược bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ các dịch vụbảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu, chính sách bảomật chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụngcho luồng lưu lượng. Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access ControlLists) của các router được sử dụng để biết lưu lượng nào cần mật mã.ALCs định nghĩa bởi các dòng lệnh. Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã. - Lệnh deny : Xác định lưu lưọng phải được gửi đi dưới dạng không mật mã. Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kíchhoạt bước tiếp theo: Thoả thuận một trao đổi IKE Phase 1.Bước 2 – IKE Phase 1 Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chínhsách IKE (IKE policy), xác thực các đối tác ngang hàng, và thiết lậpkênh an toàn giữa các đối tác. IKE Phase 1 có hai chế độ: Chế độ chính(main mode) và chế độ nhanh (Aggressive mode). Hình 2.28 : IKE Phase 1Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận: - Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác. - Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thực khác. - Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác). Kết quả chính của chế độ chính là một đường truyền thông an toàn cho các trao đổi ti ...