Tìm hiểu Cấu Hình IPsec
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.28 MB, 49 trang )
An toàn an ninh mạng
Nhóm 1
IPSEC
Ip Sec là gì ?
•
IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin
cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP
•
IPSec cung cấp một cơ chế bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp
dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.
Chức năng cơ bản
•
Chứng nhận: một chữ kí số được dùng để xác định nhân diện của người gởi thông tin. IPSec có thể dùng Kerberos, một
preshared key, hay các chứng nhận số cho việc chứng nhận.
•
Bảo mật dữ liệu: các thuật toán mã hoá được thực hiện để đảm bảo dữ liệu được di chuyển sẽ không thể giải mã được.
•
Toàn vẹn dữ liệu: một thuật toán hash được dùng để đảm bảo dữ liệu sẽ không bị can thiệp vào. Một checksum được gọi
là một mã chứng nhận tin nhắn hash (HMAC) được tính toán cho dữ liệu của gói. Khi một gói được thay đổi trong khi
đang di chuyển thì HMAC đã được thay đổi sẽ được lưu lại. Thay đổi này sẽ bị xoá bởi máy tính nhận.
•
Anti-replay: ngăn chặn kẻ tấn công gửi các gói khi cố gắng truy cập vào mạng cá nhân
Giao thức Ipsec
•
Internet Key Exchange (IKE): Giúp cho các thiết bị tham gia VPN trao đổi với nhau về thông tin an ninh như mã hóa thế nào ? Mã hóa
bằng thuật toán gì ? Bao lâu mã hóa 1 lần . IKE có tác dụng tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia VPN
•
Encapsulating Security Payload (ESP): Có tác dụng xác thực ( authentication ) , mã hóa ( encrytion ) và đảm bảo tính trọn vẹn dữ liệu
( securing of data )
•
Authentication Header (AH) :cung cấp tính xác thực và bảo mật dữ liệu
Ipsec Header
•
Ipsec ESP cung cấp :
•
Xác thực và toàn vẹn dữ liệu (MD5 hoặc SHA1- HMAC) dành cho cả giao thức ESP hay AH
•
Mã hóa và đảm bảo độ an toàn của gói tin (DES,3DES hoặc AES) chỉ dành cho ESP
Xác thực ngang hàng
•
1 số phương pháp:
•
Username and password
•
One Time Password OTP (Pin/Tan)
•
Biometric (Xác thực bằng sinh học)
•
Preshared keys
•
Digital certificates ( chữ ký số)
Internet Key Exchange (IKE)
•
Giải quyết vấn đề cài đặt thủ công,
khả năng mở rộng của Ipsec bằng việc
tự động hóa quá trình trao đổi khóa:
•
Negotiation of SA characteristics
•
Automatic key generation
•
Automatic key refresh
•
Manageable manual configuration
ISAKMP
Cung cấp 1 nền tảng cho việc trao đổi
khóa và bảo mật thông tin.
SKEME
Cơ chế sử dụng mã hõa khóa công khai
để xác thực
OAKLEY
quản lý trao đổi khoá thông qua các
SA IPsec
Các giai đoạn hoạt động của IKE (IKE Phases)
•
IKE Phases 1 (Bắt buộc xảy ra trong quá trình IKE)
•
Xác thực giữa các thiết bị tham gia VPN (Authentication the peers)
•
Trao đổi các SA.
•
Có 2 chế độ hoạt động là Main Mode hoặc Aggresssive Mode
•
IKE Phases 1.5 (Không bắt buộc phải xảy ra)
•
Xauth (Extended Authentication)
•
Mode Config
•
IKE Phases2 ( Bắt buộc xảy ra)
•
Thiết lập IPsec SAs/SPIs
•
Sử dụng phương thức Quick Mode
IKE Modes
Các chức năng khác của IKE
•
Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ đếm thời gian . Nghĩa là sau khi 2 thiết bị đã tạo được VPN
IPsec với nhau rồi thì nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác. Mục đích chính để phát hiện hỏng
hóc của các thiết bị . Thông thường các gói keepalives sẽ gửi mỗi 10s.
•
Hỗ trợ chức năng NAT-Traversal : Chức năng này có ý nghĩa là nếu trên đường truyền từ A tới B nếu có những thiết bị NAT or PAT đứng
giữa thì lúc này IPSec nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường .
Vấn đề IPsec và NAT ?
Giải pháp IPsec NAT Traversal
•
Need NAT traversal with IPsec over TCP/UDP:
• NAT traversal detection (phát hiện)
• NAT traversal decision (quyết định)
• UDP encapsulation of IPsec packets (đóng gói )
• UDP encapsulated process for software engines ( quá trình đóng gói)
Mode Configuration
Easy VPN
Xauth
•
Cơ chế được sử dụng để xác thực người dùng với VPN client
ESP and AH
•
IPsec protocols:
– ESP or AH
– ESP uses IP protocol number 50
– AH uses IP protocol number 51
•
IPsec modes:
– Tunnel or transport mode
– Tunnel mode tạo 1 gói Ip mới
– Transport mode xác thực gói tin hiện tại.
ESP and AH Header
•
ESP mã hóa và xác thực gói tin
•
AH xác thực nhưng không mã hóa
AH xác thực và toàn vẹn gói tin.
ESP Protocol
•
Cung cấp tính bảo mật bằng mã hóa
•
Cung cấp tính toàn vẹn bằng xác thực
Tunnel and Transport Mode
Chứng thực thông điệp sử dụng và kiểm tra tính toàn vẹn bằng hàm băm
•
MAC được sử dụng để chứng thực thông điệp và kiểm tra tính toàn vẹn
•
Hàm băm được sử dụng rộng rãi cho mục đích này
Các hàm băm thông thường
•
MD5 cấp 128 bit cho output
•
SHA-1 cấp đầu ra 160 bit cho output (chỉ 96 bit đầu được sử dụng cho IPsec)
•
SHA-1 tính toán chậm hơn MD5 nhưng lại an toàn hơn
Thuật toán mã hóa đối xứng và không đối xứng
•
Thuật toán đối xứng:
-
Mã hóa khóa riêng tư
-
Sử dụng cùng 1 khóa để mã hóa và giải mã
-
Thường được sử dụng để mã hóa nội dung của thông tin
-
VD: DES, 3DES, AES
•
Thuật toán không đối xứng:
-
Mã hóa khóa công khai
-
Mã hóa và giải mã sử dụng các khóa khác nhau
-
Thường được sử dụng trong chữ kí số và khóa quản lý
-
VD: RSA
Độ dài khóa của thuật toán mã hóa đối xứng và không đối xứng
•
So sánh độ dài khóa khi yêu cầu khóa của thuật toán đối xứng so với khóa của thuật toán không đối xứng
Thuật toán đối xứng Thuật toán không đối xứng
80 1024
112 2048
128 3072
192 7680
256 15360
Cấp độ bảo mật của thuật toán mã hóa
Cấp độ bảo mật Hệ số làm việc Thuật toán
Yếu O(2
40
) DES, MD5
Kế thừa O(2
64
) RC4, SHA-1
Cơ bản O(2
80
) 3DES
Trung bình O(2
128
) AES-128, SHA-256
Cao O(2
256
) AES-192, SHA-384
Siêu bảo mật O(2
256
) AES-256, SHA-512
