9
/
1
4
/
1
2

BÀI THUYẾT TRÌNH
MÔN:ỨNG DỤNG TRUYỀN THÔNG VÀ AN NINH
THÔNG TIN

ĐỀ TÀI SỐ 5: IPSEC & VPN
Giảng Viên Hướng Dẫn:Ths.Tô Nguyển Nhật Quang
 
9
/
1
4
/
1
2

Thành viên nhóm 13
Võ V n Hoàng Anhă 07520015
Nguy n Thanh Tâmễ 07520308
Tr n H i ngầ ả Đă 07520409
Tr n Quang Thu nầ ấ 07520341
u c Qu nhĐậ Đứ ỳ 07520575
 

9
/
1
4
/
1
2

Tổng quang
o
Trong thập kỷ qua, Internet đã phát triển bùng nổ 
với tốc độ chóng mặt trên toàn thế giới cả về số 
lượng và về kĩ thuật.
o
Cùng với sự phát triển đó thì các vấn đề về bảo 
mật, bảo vệ các nguồn thông tin quan trọng được 
lưu trên hệ thống được coi trọng hơn
 
9
/
1
4
/
1
2


Vấn đề phát sinh là tính bảo mật và hiệu quả kinh 
thế của việc truyền tải dữ liệu qua mạng trung 
gian công công không an toàn như Internet.

o
Để giải quyết vấn đề này, một giải pháp đưa ra là 
mạng riêng ảo (VPNs) và kết hợp với giao thức 
ipsec để nhằm tăng khả năng bảo mật
 
9
/
1
4
/
1
2

ipsec
 
9
/
1
4
/
1
2


IPsec (IP security) bao gồm một hệ thống các giao 
thức để bảo mật quá trình truyền thông tin trên 
nền tảng Internet Protocol (IP)

Bao gồm xác thực và/hoặc mã hoá (Authenticating 
and/or Encrypting) cho mỗi gói IP (IP packet) 

trong quá trình truyền thông tin

IPsec cũng bao gồm những giao thức cung cấp cho 
mã hoá và xác thực
Tổng quan IPSec
 
9
/
1
4
/
1
2


IPsec được làm việc tại tầng 
Network Layer – layer 3 của mô 
hình OSI

Điều này tạo ra tính mềm dẻo cho 
IPsec, giao thức này có thể hoạt 
động từ tầng 4 với TCP, UDP, hầu 
hết các giao thức sử dụng tại tầng 
này

IPSec trong suốt với người dùng 
cuối
Tổng quan IPSec
 
9

/
1
4
/
1
2

IPSec Uses
 
9
/
1
4
/
1
2


Chỉ những dữ liệu bạn giao tiếp các gói tin được 
mã hoá và/hoặc xác thực.

Trong quá trình routing, cả IP header đều không 
bị chỉnh sửa hay mã hoá; tuy nhiên khi 
authentication header được sử dụng, địa chỉ IP 
không thể biết được, bởi các thông tin đã bị hash 
(băm)

Transport mode sử dụng trong tình huống giao 
tiếp host­to­host
Các mode ­ Transport mode

 
9
/
1
4
/
1
2


Toàn bộ gói IP (bao gồm cả data và header) sẽ 
được mã hoá và xác thực.

Nó phải được đóng gói lại trong một dạng IP 
packet khác trong quá trình routing của router

Tunnel mode được sử dụng trong giao tiếp 
network­to­network (hay giữa các routers với 
nhau), hoặc host­to­network và host­to­host trên 
internet
Các mode ­ Tunnel mode
 
9
/
1
4
/
1
2



IPsec là một phần bắt bược của IPv6, có 
thể được lựa chọn khi sử dụng IPv4

Các giao thức IPsec được định nghĩa từ 
RFCs 1825 – 1829, và được phổ biến năm 
1995

Năm 1998, được nâng cấp với các phiên 
bản RFC 2401 – 2412, nó không tương 
thích với chuẩn 1825 – 1929.

Trong tháng 12 năm 2005, thế hệ thứ 3 của 
chuẩn IPSec, RFC 4301 – 4309
Hiện trạng
 
9
/
1
4
/
1
2


Mã hoá quá trình truyền thông tin

Đảm bảo tính nguyên ven của dữ liệu

Phải được xác thực giữa các giao tiếp


Chống quá trình replay trong các phiên bảo mật.
Dịch vụ IPSec
 
9
/
1
4
/
1
2


Có hai giao thức được phát triển và cung cấp bảo 
mật cho các gói tin của cả hai phiên bản IPv4 và 
IPv6

IP Authentication Header giúp đảm bảo tính toàn 
vẹn và cung cấp xác thực.

IP Encapsulating Security Payload cung cấp bảo 
mật, và là option bạn có thể lựa chọn cả tính năng 
authentication và Integrity đảm bảo tính toàn vẹn 
dữ liệu.

Thuật toán mã hoá được sử dụng trong IPsec bao 
gồm HMAC­SHA1 cho tính toàn vẹn dữ liệu 
(integrity protection), và thuật toán TripleDES­
CBC và AES­CBC cho mã mã hoá và đảm bảo độ 
an toàn của gói tin. Toàn bộ thuật toán này được 

thể hiện trong RFC 4305
Phương thức
 
9
/
1
4
/
1
2


Cung cấp sự hỗ trợ cho an toàn dữ liệu và xác thực 
của các gói IP

Hệ thống đầu cuối/chuyển mạch có thể xác thực người 
sử dụng/ứng dụng

Ngăn tấn công theo dõi địa chỉ bằng việc theo dõi các 
chỉ số 

Dựa trên sử dụng MAC

HMAC–MD5–96 hoặc HMAC – SHA ­1­96

Các bên cần chia sẻ khoá mật
Authentication Header (AH)
 
9
/

1
4
/
1
2

Authentication Header
 
9
/
1
4
/
1
2


Đảm bảo bảo mật nội dung mẩu tin và luồng vận 
chuyển giới hạn

Có lựa chọn cung cấp dịch vụ xác thực

Hỗ trợ phạm vi rộng các mã, các chế độ, bộ đệm

Bao gồm DES, Triple DES, RC5, IDEA, CAST,…

CBC và các chế độ khác

Bộ đệm cần thiết để lấp đầy các kích thước khối, các 
trường cho luồng vận chuyển 

Tải trọng an toàn đóng gói Encapsulating 
Security Payload (ESP)
 
9
/
1
4
/
1
2

Encapsulating Security Payload
 
9
/
1
4
/
1
2


Quản lý sinh khoá và phân phối khoá

Thông thường cần hai cặp khoá

2 trên một hướng cho AH và ESP

Quản trị khoá thủ công


Người quản trị hệ thống thiết lập cấu hình cho 
từng hệ thống

Quản trị khoá tự động

Hệ thống tự dộng dựa vào yêu cầu về khoá cho 
các các liên kết an toàn trong hệ thống lớn

Có các thành phần Oakley và ISAKMP
Quản trị khoá  ­ Key 
Management
 
9
/
1
4
/
1
2


Là thủ rục trao đổi khoá

Dựa trên trao đổi khoá Diffie­Hellman

Bổ sung các đặc trưng để khắc phục các điểm yếu

Cookies, nhóm (tham số tổng thể), các chỉ số đặc trưng 
(nonces), trao đổi khoá DH với việc xác thực


Có thể sử dụng số học trên trường số nguyên tố 
hoặc đường cong elip 
Oakley
 
9
/
1
4
/
1
2


Liên kết an toàn Internet và thủ tục quản trị khoá

Cung cấp khung để quản lý khoá

Xác định các thủ tục và định dạng gói để thiết lập, 
thỏa thuận, điều chỉnh và xoá các liên kết an toàn 
(SA)

Độc lập với thủ tục trao đổi khoá, thuật toán mã 
hoá và phương pháp xác thực
ISAKMP(Internet Security 
Association and Key Management 
Protocol)
 
9
/
1

4
/
1
2

ISAKMP
 
9
/
1
4
/
1
2

VPN
 
9
/
1
4
/
1
2

1:giới thiệu 
1.1 Một số khái niệm vể vpn

VPN là sự kết nối các mạng WAN riêng (Wide 
Area Network) sử dụng IP chia sẻ và công cộng 

như mạng Internet hay IP backbones riêng
 
9
/
1
4
/
1
2


Hiểu đơn giản, VPN là phần mở rộng mạng riêng 
(private intranet) sang mạng công cộng (Internet) 
và đảm bảo hiệu suất truyền tin giữa hai thiết bị 
thông tin đầu cuối. 

Sự mở rộng được thực hiện bởi các “đường hầm” 
logic (private logical "tunnels"). Những đường hầm 
này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như 
là giao thức thông tin point­to­point.
 
9
/
1
4
/
1
2

1.2 Kỹ thuật cơ bản của vpn


Encryption

Public Key

Private Key

Có hai ứng dụng mã hóa sử dụng phổ biến là 
Pretty Good Privacy (PGP) and Data Encryption 
Standard (3DES).

Authentication
+Secret­key encryption
+Public­key encryption

Authorization