Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 16

Tham khảo tài liệu giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 16, công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Nội dung trích xuất từ tài liệu:
Giáo Trình Khởi Tạo Mạng Riêng Ảo - CÔNG NGHỆ MẠNG RIÊNG ẢO part 16 Ưu điểm của chế độ Tunnel là nó bảo vệ tất cả gói IP đã được đóng gói vàkhả năng sử dụng các địa chỉ riêng. Tuy nhiên, có một quá trình xử lý Overheadnhiều hơn bình thường gắn liền với chế độ này3.1.5. Sự kết hợp giữa các SA Các giao thức AH và ESP có thể được áp dụng riêng lẻ hoặc kết hợp cùngnhau. Trong một số trường hợp yêu cầu tính bảo mật cao, cần phải kết hợp giữaAH và ESP. Sự kết hợp giữa các giao thức IPSec.3.1.5.1. Kết hợp giữa AH và ESP trong chế độ Transport Hình 3.13 Kết hợp AH và ESP trong chế độ Transport Gói IP ban đầu được tách Header ra, tiếp theo phần Payload được xử lý ESPsau đó được xử lý bằng AH. Cuối cùng, IP Header được thêm vào. Như vậy gói tinsẽ được đảm bảo an toàn 2 lớp: lớp bên ngoài là AH, lớp bên trong là ESP.3.1.5.2. Kết hợp AH và ESP ở chế độ Tunnel Hình 3.14 Kết hợp AH và ESP trong chế độ Tunnel. Ban đầu, gói tin IP được xử lý ESP ở chế độ Transport, tiếp theo đó toàn bộgói tin ESP được xử lý AH trong chế độ Tunnel.3.2. Giao thức trao đổi khoá Internet3.2.1. Giới thiệu chung và các chuẩn Bản thân giao thức IPSec không có khả năng thiết lập SA. Do đó quá trìnhđược chia làm 2 phần: IPSec cung cấp xử lý ở mức gói và giao thức quản lý traođổi khoá Internet thoả thuận các SA, IKE được chọn làm giao thức chuẩn để thiếtlập các SA cho IPSec. IKE tạo ra một đường hầm được xác thực và mã hoá, sau đólà thoả thuận SA cho IPSec. Quá trình này yêu cầu hai hệ thống xác thực lẫn nhauvà thiết lập các khoá sử dụng chung. Được biết đến đầu tiên là ISAKMP/Oakley, trong đó ISAKMP là viết tắt củaInternet Security Association and Key Management Protocol (Liên kết bảo mậtInternet và Giao thức quản lý khoá). IKE trợ giúp các nhóm liên lạc thương lượng các tham số bảo mật và cáckhoá xác thực trước khi một phiên IPSec an toàn được thực thi. Các tham số bảomật được thương lượng này sẽ được định nghĩa một lần trong SA. Ngoài việcthương lượng và thiết lập các tham số bảo mật và các khoá mật mã, IKE cũng thayđổi các tham số và khoá khi được yêu cầu trong một phiên làm việc, IKE cũng chịutrách nhiệm xoá các khoá và các SA này sau khi một phiên truyền tin được hoàntất. Những ưu điểm chính của IKE bao gồm: - IKE không phục thuộc vào công nghệ. Vì vậy nó có thể được dùng với bấtkỳ cơ chế bảo mật nào. - IKE mặc dù không nhanh, nhưng hiệu quả cao vì một số lượng lớn các SAđược thương lượng với một số thông điệp vừa phải. Theo cấu trúc làm việc của ISAKMP. IKE làm việc qua hai pha. Hai pha trao đổi khoá sẽ tạo ra IKE SA và một đường hầm an toàn giữa hai hệthống. Một phía sẽ đưa ra một trong các thuật toán, phía kia sẽ chấp nhận hoặc loạibỏ kết nối. Khi hai bên đã thống nhất được các thuật toán sẽ sử dụng thì chúng sẽtạo khoá cho IPSec. IPSec sử dụng một khoá dùng chung khác với khoá của IKE,khoá này có được nhờ sử dụng thuật toán Diffie-Hellman một lần nữa hoặc sửdụng lại khoá dùng chung có được từ trao đổi Diffie-Hellman ban đầu. Sau khi quátrình được hoàn tất thì IPSec SA được thiết lập. Quá trình thực hiện IKE gồm 2pha, đó là : IKE Phase I và IKE Phasse II3.2.2. Các yêu cầu quản lý khoá đối với IPSec Các giao thức IPSec AH và ESP yêu cầu là các chia sẻ bí mật được biết vớitất cả các nhóm tham gia có yêu cầu khoá một cách thủ công hoặc phân phối khoá.Vấn đề đặt ra là các khoá có thể bị mất, bị tổn hại hoặc đơn giản là bị hết hạn. Kỹthuật thủ công không mềm dẻo khi có nhiều liên kết an toàn được quản lý. Một cơchế trao đổi khoá tinh vi cho IPSec phải đáp ứng các yêu cầu sau: - Độc lập với các thuật toán mật mã cụ thể - Độc lập với các giao thức trao đổi khoá cụ thể - Xác thực các thực thể quản lý khoá - Thiết lập SA qua tầng vận tải “không đảm bảo” - Sử dụng hiệu quả các tài nguyên - Cung cấp khả năng tạo yêu cầu của host và các phiên SA Giao thức IKE được thiết kế để đáp ứng các yêu cầu đó. Nó dựa trên các liênkết bảo mật Internet và cấu trúc của giao thức quản lý khoá và giao thức phân phốikhoá Oakley. IKE có các đặc trưng sau: - Có các thủ thục tạo khoá và xác thực danh tính - Tự động làm tươi khoá - Giải quyết bải toán “khoá đầu tiên” - Mỗi giao thức bảo mật có không gian các SPI riêng của nó - Có các tính năng bảo vệ được xây dựng sẵn + Chống được các tấn công từ chối dịch vụ + Chống được tấn công chiếm quyền điều khiển phiên và kết nối - Bảo mật toàn diện - Cách tiếp cận dựa trên 2 pha + Pha 1 - Thiết lập các khoá và SA cho trao đổi khoá + Pha 2 - Thiết lấp các SA cho truyền dữ liệu - Được thực thi như ứng dụng qua UDP, cổng 500 - Hỗ trợ các chứng chỉ cho Host và người dùng - Sử dụng xác thực mạnh với trao đổi khoá ISAKMP + Chia sẻ trước các khoá + Các khoá không thực sự được chia sẻ, chỉ một thẻ bài được dùngcho việc t ...