Chương 5 " Bảo mật mạng với IP Security"

Chia sẻ: Nguyễn Thị Phương Phương | Ngày: | Loại File: PDF | Số trang:15

Thêm vào BST

Báo xấu

106
lượt xem 33
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giao thức TCP/IP đóng vai trò quan trọng trong hệ thống mạng hiện nay. Về nguyên tắc có nhiều giao thức khác nhau về giao thức triển khai hệ thống mạng đây là giao thức nền tảng trên mạng internet

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Chương 5 " Bảo mật mạng với IP Security"

CHƯƠNG 5 B O M T M NG V I IP SECURITY I- T NG QUAN V IPSec I.1- Gi i thi u Giao th c TCP/IP óng m t vai trò r t quan tr ng trong các h th ng m ng hi n nay. V nguyên t c, có nhi u tùy ch n khác nhau v giao th c tri n khai các h th ng m ng như TCP/IP, IPX/SPX, NetBEUI, Apple talk, …Tuy nhiên, TCP/IP là l a ch n g n như b t bu c do giao th c này ư c s d ng làm giao th c n n t ng c a m ng Internet. Vào th i i m thi t k giao th c này, v n b o m t thông tin chưa th t s ư c quan tâm, do ó, các giao th c trong b TCP/IP h u như không ư c trang b b t kỳ m t cơ ch b o m t nào. C u trúc gói d li u (IP, TCP, UDP và c các giao th c ng d ng) ư c mô t công khai, b t ư c m t gói IP trên m ng, ai cũng có th phân tích gói c ph n d li u ch a bên trong, ó là chưa k hi n nay, các công c b t và phân tích gói (Packet capture) ư c xây d ng v i các tính năng m nh và phát hành r ng rãi. Vi c b sung các cơ ch b o m t vào mô hình TCP/IP, b t u t giao th c IP là m t nhu c u c p bách. IP security (IPSec) là m t giao th c ư c chuNn hóa b i IETF t năm 1998 nh m m c ích cung c p các cơ ch mã hóa và xác th c thông tin cho chu i thông tin truy n i trên m ng b ng giao th c IP. IPSec ư c thi t k như ph n m r ng c a giao th c IP, ư c th c hi n th ng nh t trong c hai phiên b n c a IP và IPv4 và IPv6. i v i IPv4, vi c áp d ng IPSec là m t tùy ch n nhưng i v i IPv6, giao th c b o m t này ư c tri n khai b t bu c. Các ng d ng i n hình c a IPSec bao g m: • K t n i gi a các chi nhánh c a m t t ch c thông qua m ng Internet: b ng cách xây d ng các m ng riêng o VPN (Virtual Private Network) trên n n c a m ng WAN công c ng ho c m ng Internet. Các t ch c có th k t n i các m ng con các chi nhánh c a mình l i thành m t m ng riêng v i chi phí th p nhưng v n m b o ư c an tòan. Mô hình này còn ư c g i là mô hình site-to-site VPN. • Truy xu t t xa thông qua m ng Internet: Th c ch t ây là m t d ng khác c a VPN (remote access VPN). V i IPSec, ngư i dùng có th k t n i n h th ng m ng n i b c a mình t m t i m b t kỳ nào ó trên Interent, m b o truy xu t ư c các tài nguyên n i b m t cách an toàn. • Nâng cao tính an tòan c a các giao d ch thương m i trên m ng Internet, áp d ng cho các website bán hàng qua m ng ho c các d ch v thanh tóan qua Internet. Ngư i dùng thi t l p k t n i n các h th ng này thông qua các k t n i có h tr IPSec, do ó m c dù thông tin v n truy n i qua m ng Internet công c ng nhưng tính b o m t v n ư c m b o. Như v y, ng d ng r ng rãi nh t c a IPSec chính là làm công ngh n n t ng tri n khai các m ng VPN. Tuy nhiên, IPSec là m t giao th c ph c t p, ng th i còn Nn ch a m t s v n v tính an toàn, trong khi th c t hi n nay còn nhi u gi i pháp thi t l p VPN khác (L2TP, MPLS, SSL, …), cho nên vi c ng d ng IPSec cũng còn h n ch . 1
Các ưu i m c a IPSec: -Khi IPSec ư c tri n khai trên b c tư ng l a ho c b nh tuy n c a m t m ng riêng, thì tính năng an tòan c a IPSec có th áp d ng cho tòan b lưu lư ng vào ra m ng riêng ó mà các thành ph n khác không c n ph i x lý thêm các công vi c liên quan n b o m t. -IPSec ư c th c hi n bên dư i c a l p TCP và UDP, ng th i nó h at ng m t cách trong su t v i các l p này. Do v y, không c n ph i thay i ph n m m hay c u hình l i các d ch v khi IPSec ư c tri n khai. -IPSec có th ư c c u hình h at ng m t cách trong su t i v i các ng d ng u cu i, i u này giúp che gi u nh ng chi ti t c u hình ph c t p mà ngư i dùng ph i th c hi n khi k t n i n m ng n i b t xa thông qua m ng Internet. Thi t b đ u cu i có h tr IPSec M ng WAN / Internet Thi t b m ng có h tr IPSec Thi t b m ng có h tr IPSec M ng LAN / intranet M ng LAN / intranet Các thành ph n c a gói d li u: Tiêu đ IP Tiêu đ IPSec D li u c a gói IP (IP header) (IPSec header) (IP Payload) Hình 3.5: ng d ng c a IPSec I.2- Ki n trúc IPSec 2
IPSec là m t giao th c ph c t p, d a trên n n c a nhi u k thu t cơ s khác nhau như m t Ki n trúc IPSec Giao th c ESP Giao th c AH Thu t tóan m t mã Thu t tóan xác th c DOI Qu n lý khóa Hình 3.6: Ki n trúc IPSec mã, xác th c, trao i khóa, …Xét v m t ki n trúc, IPSec ư c xây d ng d a trên các thành ph n b o m t cơ b n sau ây, m i thành ph n ư c nh nghĩa trong m t tài li u riêng tương ng (hình 3.6): -Ki n trúc IPSec (RFC 2401): Quy nh c u trúc, các khái ni m và yêu c u c a IPSec. -Giao th c ESP (RFC 2406): Mô t giao th c ESP, là m t giao th c m t mã và xác th c thông tin trong IPSec. -Giao th c AH (RFC 2402): nh nghĩa m t giao th c khác v i ch c năng g n gi ng ESP. Nhưng v y, khi tri n khai IPSec, ngư i s d ng có th ch n dùng ESP ho c AH. M i giao th c có ưu và như c i m riêng, s ư c trình bày trong ph n này. -Thu t tóan m t mã: nh nghĩa các thu t tóan mã hóa và gi i mã s d ng trong IPSec. IPSec d a ch y u vào các gi i thu t mã hóa i x ng. -Thu t tóan xác th c: nh nghĩa các thu t tóan xác th c thông tin s d ng trong AH và ESP. -Qu n lý khóa (RFC 2408): Mô t các cơ ch qu n lý và trao i khóa trong IPSec. -Mi n th c thi (Domain of Interpretation_DOI): nh nghĩa môi trư ng th c thi IPSec. Như ã trình bày, IPSec không ph i là m t công ngh riêng bi t mà s t h p c a nhi u cơ ch , giao th c và k thu t khác nhau, trong ó m i cơ ch , giao th c u có nhi u 3
ch h at ng khác nhau. Vi c xác nh m t t p các ch c n thi t tri n khai IPSec trong m t tình hu ng c th là ch c năng c a mi n th c thi. Xét v m t ng d ng, IPSec th c ch t là m t giao th c h at ng song song v i IP nh m cung c p hai ch c năng cơ b n mà IP nguyên th y chưa có, ó là mã hóa và xác th c gói d li u. M t cách khái quát, có th xem IPSec là m t t h p g m 2 thành ph n: -Giao th c óng gói, bao g m AH và ESP. -Giao th c trao i khóa IKE (Internet Key Exchange). I.3- Các d ch v c a IPSec Các d ch v ư c cung c p b i IPSec bao g m: • Qu n lý truy xu t (access control) • Tòan v n d li u ch không k t n i (connectionless integrity) • Xác th c ngu n g c d li u (data origin authentication) • Ch ng phát l i (anti-replay) • Mã hóa d li u (encryption) • B o m t dòng lưu lư ng (traffic flow confidentiality) Vi c cung c p các d ch v này trong t ng tình hu ng c th ph thu c vào giao th c óng gói ư c ch n dùng là AH hay ESP. Theo ó, n u giao th c ư c ch n là AH thì các d ch v mã hóa và b o m t dòng d li u s không ư c cung c p. I.4- Hai ch h at ng c a IPSec IPSec (c AH và ESP) cung c p hai ch làm vi c khác nhau: -Ch v n chuy n (transport mode): cung c p cơ ch b o v cho d li u c a các l p cao hơn (TCP, UDP ho c ICMP). cơ ch này, ph n d li u (payload) c a gói IP ư c áp d ng các cơ ch b o v (m t mã ho c xác th c). Ch này thư ng dùng cho các k t n i t u cu i n u cu i, ví d t tr m làm vi c n máy ch ho c gi a hai tr m làm vi c v i nhau. -Ch ư ng h m (tunnel mode): cung c p cơ ch b o v l p IP, nghĩa là gói IP cùng v i các tiêu c a AH ho c ESP ư c gói thêm m t l n n a b ng các tiêu m i. Khi ó, các gói IP g c ư c xem như di chuy n trong m t ư ng h m (tunnel) t u này n u kia c a m ng mà các nút trung gian không xen vào ư c. Ch này thư ng ư c dùng trong các SA n i gi a hai gateway c a hai m ng. Ch v n chuy n và ch ư ng h m s ư c trình bày riêng trong t ng giao th c AH và ESP. I.5- Liên k t b o m t M c tiêu c a IPSec là cung c p m t cơ ch truy n an tòan m b o tính tòan v n và xác th c c a các gói d li u IP. B n ch t IP là m t giao th c không có k t n i, và theo 4
nguyên t c này, các gói IP s ư c x lý m t cách c l p nhau. Tuy nhiên, khi tri n khai IPSec v i các d ch v như mã hóa, xác th c, i u khi n truy xu t, ch ng phát l i, … thì các gói IP này c n ph i n m trong m t m i liên quan nào ó, hai u truy n nh n có th áp d ng các cơ ch b o m t lên tòan b dòng d li u m t cách th ng nh t (c n chú ý r ng IPSec hòan tòan trong su t i v i t t c các giao th c phía trên IP). IPSec nh nghĩa m t khái ni m mô t các quan h này, ư c g i liên k t b o m t SA (Security association). M i SA ư c xem như m t quan h m t chi u ( ơn công) gi a hai u truy n nh n d li u, nh m m c ích xác nh các thông s b o m t áp d ng cho lu ng d li u theo chi u ó. Như v y, m t k t n i hai chi u thư ng th y gi a hai h th ng u cu i s bao g m 2 SA. M i SA ch s d ng m t giao th c óng gói nh t nh (AH ho c ESP) ch không th s d ng ng th i c hai. M i SA ư c nh n d ng b i 3 thông s sau ây: • Security Parameters Index (SPI): là m t chu i bit ư c gán cho SA có tác d ng phân bi t gi a SA này v i SA khác. SPI ư c t trong tiêu c a AH và ESP. Phía nh n s ch n úng SA tương ng x lý các gói d li u nh n ư c. • IP Destination Address: ây là a ch u cu i c a SA, a ch này là a ch c a thi t b mà SA k t thúc t i ó, có th là a ch c a m t thi t b u cu i ho c c a m t thi t b m ng (router, firewall, gateway). • Security Protocol Identifier: Xác nh các thông s b o m t áp d ng trên SA, cho bi t SA s d ng giao th c xác th c nào (AH hay ESP). Như v y, trong m i gói IP c a IPSec, SA ư c nh n d ng b ng t h p g m a ch ích (destination address) và SPI IPSec (c AH và ESP). Ngòai ra, m i SA còn ch a nhi u thông s , tùy thu c vào t ng h th ng u cu i khác nhau. Các thông s này có th là: • Sequence number counter: m t giá tr 32 bit dùng t o ra các s th t c a các gói IP. • Sequence Counter Overflow: Xác nh các th c x lý khi s th t gói b tràn (dùng n giá tr l n nh t c a 32 bit). Hai cách x lý thư ng dùng là t o ra m t s ki n giám sát h th ng (auditable event) và k t thúc truy n d li u trên SA hi n hành, ng nghĩa v i vi c thi t l p m t SA m i. • Anti-Replay Window: thông s dùng trong d ch v ch ng phát l i, có ch c năng xác nh gói IP nh n ư c là gói nguyên th y hay gói phát l i. • AH Information: thông s h at ng cho giao th c óng gói AH, bao g m thu t tóan xác th c, khóa, th i gian s ng c a khóa và các tham s khác. • ESP Information: thông s h at ng cho giao th c óng gói ESP, bao g m thu t tóan mã hóa, thu t tóan xác th c, khóa, th io gian s ng c a khóa, các giá tr kh i t o ban u cho ESP và các thông s khác. • Lifetime of This Security Association: Th i gian t n t i t i a c a SA, ư c xác nh b ng th i gian h ac s bte d li u ã truy n i trên SA. H t gi i h n này, SA c n ư c gi i t an và thi t l p SA m i. 5
• IPSec Protocol Mode: cho bi t ch h at ng c a IPSec (v n chuy n hay ư ng h m). • Path MTU: Xác nh MTU trên SA (kích thu c gói d li u l n nh t). IPSec là m t giao th c tùy ch n l p IP, trong su t v i các giao th c l p trên. Vi c th c hi n IPSec t i thi t b u cu i làm tăng lưu lư ng i v i b x lý và làm ch m quá trình trao i d li u c a ngư i dùng. Do ó, IPSec cho phép ngư i dùng tùy ch n vi c có dùng IPSec hay không và dùng IPSec cho l ai d li u nào. Víd , trên m t máy tính cá nhân, ngư i dùng ch c n th c hi n IPSec khi h k t n i n h th ng m ng riêng c a h , còn khi truy xu t n các website công c ng thì d li u ư c truy n i dư i d ng các gói IP bình thư ng vì các giao d ch này không c n có nhu c u b o m t. Vi c phân bi t các gói IP quy t nh áp d ng các d ch v b o m t tương ng trên IPSec ư c th c hi n thông qua m t t p các chính sách ư c nh nghĩa s n trên thi t b u cu i g i là Security Policy Database (SPD). SPD là m t b ng danh sách các tiêu chuNn l c gói cùng v i nh n d ng các SA tương ng. Vi c x lý các gói IP xu t phát t i m t thi t b u cu i theo quy trình như sau: 1- c các giá tr trong các trư ng tiêu c a gói IP xác nh SA tương ng v i gói này. N u không có SA nào ư c xác nh, nghĩa là gói IP có th ư c chuy n i ngay mà không c n áp d ng b t kỳ thao tác x lý b o m t nào. 2-Xác nh SPI c a SA tương ng 3-X lý gói theo nh nghĩa trong SA. Các thông s trong tiêu gói IP thư ng ư c dùng ch n l a m t SA trong SPD thư ng dùng - a ch ngu n c a gói IP (Source IP address) - a ch ích c a gói IP (Destination IP address) -Nh n d ng ngư i dùng u cu i (UserID) -Giao th c l p trên (TCP, UDP, ICMP, …) -Port ngu n và port ích Các chính sách IPSec trên h i u hành Windows th c thi theo úng quy trình này, nhưng v i các tên g i khác nhau. SPD ư c g i là IPSec policy, tiêu chuNn l c gói g i là filter rule và SA tương ng g i là filter action. II- GIAO TH C XÁC TH C AH AH là m t trong hai giao th c óng gói dùng trong IPSec. M c tiêu chính c a AH là m b o tính tòan v n c a d li u chuy n i trên m ng IP. AH cho phép xác th c ngư i dùng, xác th c ng d ng và th c hi n các cơ ch l c gói tương ng. Ngòai ra, AH còn có kh năng h n ch các t n công gi danh (spoofing) và t n công phát l i (replay). Cơ ch xác th c c a AH d a trên mã xác th c MAC (Message Authetication Code), do ó, th c thi AH thì hai u cu i c a SA ph i dùng chung m t khóa bí m t, m c dù không dùng m t thu t tóan m t mã nào. II.1- C u trúc gói AH 6
C u trúc tiêu c a gói AH (hình 3.7) bao g m các ph n sau: Bit 0 8 16 31 Next header Payload length Reserved Security Parameters Index (SPI) Sequence number Authentication data (Kích thư c thay đ i) Hình 3.7: C u trúc gói AH -Next Header (8 bits): Nh n d ng ki u tiêu i li n sau tiêu c a AH, dùng các s nh n d ng IP theo quy nh c a Internet Assigned Number Authority (IANA). -Payload Length (8 bits): Chi u dài c a gói AH, tính b ng ơn v 32 bit tr i 2. Ví d , chi u dài ph n d li u xác th c là 96 bit (= 3 * 32 bit), c ng v i chi u dài ph n tiêu AH (c nh) là 3 * 32 bit n a thành 6 * 32 bit, khi ó giá tr c a trư ng kích thư c d li u là 4. -Reserved (16 bits): Ph n dành riêng, chưa dùng. -Security Parameters Index (SPI - 32 bits): Nh n d ng SA như ã trình bày trên. -Sequence Number (32 bits): S th t gói. -Authentication Data: Mã xác th c, có chi u dài thay i nhưng ph i là b i s c a 32 bit. Trư ng này ch a giá tr ki m tra ICV (Integrity Check Value) ho c MAC (Message Authentication Code) cho tòan b gói II.2- Cơ ch ch ng phát l i Cơ ch này cho phép ngăn ch n các t n công d ng phát l i (replay), t c là b t gói, lưu tr r i phát l i. Trư ng s th t (Sequence number) trong tiêu AH ư c dùng ánh d u th t các gói ư c g i i trên m t SA. Ban u, giá tr này ư c kh i t o b ng 0 và tăng d n sau m i gói ư c g i. m b o không có gói l p l i, khi s th t t giá tr c c i (232- 1), nó s không ư c quay l i giá tr 0 mà thay vào ó, m t SA cùng v i khóa m i ư c thi t l p ti p t c vi c truy n d li u. i u này m b o trên cùng m t SA, không bao gi có hai gói d li u có s th t trùng nhau. phía nh n, quá trình x lý các gói nh n ư c th c hi n ph c t p hơn nh m phát hi n các gói l p nhau. Do IP không thi t l p k t n i và không m b o truy n tin c y, do ó vi c sai th t , l p ho c m t gói là i u có th x y ra. Vi c phát hi n các s c này th c hi n theo cơ ch d ch c a s như mô t hình 3.8. C a s là m t b nh m ư c thi t k theo cơ ch 7
hàng i, có kích thư c là W (m c nh W = 64). S th t gói trong hàng i ư c x p tăng d n t trái qua ph i, như v y, c nh ph i c a c a s là gói có s th t là N thì c nh trái c a c a s s là gói có s th t N – W. M i khi nh n ư c m t gói d li u úng (ki m tra b ng mã xác th c) và s th t c a gói n m trong kh ang t N – W + 1 n N, v trí tương ng v i s th t trong c a s ư c ánh d u. Cơ ch th c hi n như sau: • N u gói nh n ư c n m trong vùng h p l c a c a s (có s th t t N – W + 1 n N) và là m t gói m i thì giá tr MAC c a gói ó s ư c ki m tra. N u chính xác (t c gói ã ư c xác th c) thì khe tương ng trong c a s ư c ánh D ch c a s qua bên ph i n u nh n đư c m t gói h p l . C a s v i kích thư c c đ nh W N-W N+1 Ô đư c đánh d u Ô không đánh d u cho bi t bi u th m t gói h p gói d li u v trí đó chưa l v a đư c nh n đư c nh n Hình 3.8: Cơ ch d ch c a s trong AH d u. • N u gói nh n ư c n m bên ph i c a c a s (có s th t l n hơn N) và là gói m i, giá tr MAC c a gói ư c ki m tra. N u úng thì c a s ư c d ch m t khe sang bên ph i, ng th i khe tương ng trong c a s ư c ánh d u. • N u gói nh n ư c n m bên trái c a s ho c giá tr MAC không h p h thì b h y b , ng th i h th ng t o ra c nh báo tương ng v i s ki n này. II.3- Xác th c thông tin Mã xác th c (trư ng Authentication Data) ư c t o ra dùng m t trong 2 cách: -HMAC-MD5-96: dùng phương pháp HMAC, hàm băm là MD5, c t l y 96 bit u tiên. -HMAC-SHA-1-96: dùng phương pháp HMAC, hàm băm là SHA-1, c t l y 96 bit u tiên. Thu t toán MAC ư c áp d ng trên các ph n thông tin sau ây: • Các trư ng không b thay i trong tiêu gói IP khi ư c chuy n ti p trên m ng ho c có th d óan ư c t i u cu i c a SA. Nh ng trư ng còn l i trong tiêu gói IP ư c thay b ng các bit 0 khi tính tóan. 8
• Các trư ng trong tiêu AH ng ai tr trư ng Authentication Data. Trư ng này ư c thay b ng các bit 0 khi tính. • Tòan b gói d li u c a l p trên (t c ph n payload c a gói IP). Cơ ch t o mã xác th c MAC ư c th c hi n như sau: HMAC = H[(K ⊕ opad) | | H[(K ⊕ ipad) | | M]] Trong ó: ipad = 00110110(0x36) l p l i 64 l n t o thành 512 bits opad = 01011100(0x5c) l p l i 64 l n t o thành 512 bits K là khóa ã th ng nh t gi a hai bên khi thi t l p SA và M là tòan b các ph n thông tin c n xác th c như ã mô t trên. II.4- Ch v n chuy n và ch ư ng h m Hình 3.9 mô t hai trư ng h p xác th c khác nhau: -Xác th c t u cu i n u cu i (End-to-End Authentication): là trư ng h p xác th c tr c ti p gi a hai h th ng u cu i (gi a máy ch v i tr m làm vi c ho c gi a hai tr m làm vi c), vi c xác th c này có th di n ra trên cùng m ng n i b ho c gi a hai m ng khác nhau, ch c n 2 u cu i bi t ư c khóa bí m t c a nhau. Trư ng h p này s d ng ch v n chuy n c a AH. -Xác th c t u cu i n trung gian (End-to-Intermediate Authentication): là trư ng h p xác th c gi a m t h th ng u cu i v i m t thi t b trung gian (router ho c firewall). Server Xác th c đ u cu i đ n đ u cu i M ng n i b Xác th c đ u M ng công cu i đ n đ u cu i c ng Router/Firewall Xác th c đ u cu i đ n trung gian Hình 3.9: Hai ch xác th c c a AH Trư ng h p này s d ng ch ư ng h m c a AH. Hình 3.10 mô t ph m vi áp d ng cơ ch b o v c a AH lên gói d li u trong hai ch khác nhau. 9
a- Gói IP g c IP TCP Data Ph m vi thông tin đư c xác th c b- Gói IP ch đ transport IP AH TCP Data Ph m vi thông tin đư c xác th c b- Gói IP ch đ tunnel IP AH IP TCP Data (m i) (cũ) Hình 3.10: Ph m vi áp d ng c a AH lên gói d li u hai ch transport và tunnel III- GIAO TH C ÓNG GÓI ESP ESP (Encapsulating Security Payload) là m t l a ch n khác th c thi IPsec bên c nh giao th c xác th c thông tin AH. Ch c năng chính c a ESP là cung c p tính b o m t cho d li u truy n trên m ng IP b ng các k thu t m t mã. Tuy nhiên, ESP cũng còn có m t tùy ch n khác là cung c p c d ch v b o m tính tòan v n c a d li u thông qua cơ ch xác th c. Như v y, khi dùng ESP, ngư i dùng có th ch n ho c không ch n ch c năng xác th c, còn ch c năng mã hóa là ch c năng m c nh c a ESP. III.1- C u trúc gói ESP Gói d li u ESP g m các thành ph n sau (hình 3.11): -Security Parameters Index (SPI - 32 bits): Nh n d ng SA như trong giao th c AH. -Sequence Number (32 bits): S th t gói, có ch c năng như s th t trong AH. -Payload Data: ây là ph n d li u ư c b o v b ng m t mã. Trư ng này có dài thay i. Trong ch v n chuy n, ây là tòan b gói d li u c a l p 4 (TCP ho c UDP). Còn trong ch ư ng h m, ây là tòan b gói IP. ESP chuNn s d ng thu t toán m t mã i x ng DES, tuy nhiên, có th dùng các thu t toán m t mã khác như 3DES (3 khóa), RC5, IDEA, triple IDEA (3 khóa), CAST, Blowfish. -Padding (0-255 bytes): D li u chèn. M t s thu t toán m t mã yêu c u kích thư c d li u g c ph i c nh. Các byte d li u gi ư c thêm vào mb o dài vùng d li u. Tuy nhiên, theo quy nh c a ESP, chi u dài trư ng pad-length và trư ng next-header ph i c nh là 32 bit tính t bên ph i, do v y, ph n padding ph i có kích thư c sao cho tòan b ph n thông tin c n mã hóa là b i s c a 32 bit. - Pad Length (8 bits): Cho bi t s byte c a vùng d li u chèn (padding). 10
- Next Header (8 bits): Nh n d ng ki u d li u ch a trong ph n payload data b ng cách ch a s nh n d ng IP c a giao th c ư c óng gói bên trong ESP. - Authentication Data: Ch a thông tin xác th c, có chi u dài thay i nhưng ph i là b i s c a 32 bit. Thông tin xác th c ư c tính trên tòan gói ESP ng ai tr ph n Authentication Data. Bit 0 8 16 24 31 Security Parameters Index (SPI) Sequence number Payload (kích thư c thay đ i) Padding (0 – 255 byte) Pad length Next header Authentication data (kích thư c thay đ i) Hình 3. 11: C u trúc gói ESP III.2- Ch v n chuy n và ch ư ng h m Ch v n chuy n: ch c năng mã hóa và xác th c thông tin ư c th c hi n trên ph n d li u (payload data) c a gói IP (t c tòan b ơn v d li u c a l p trên IP). Ch ư ng h m: tòan b gói IP ư c mã hóa và xác th c. 11
S khác nhau gi a hai ch ho t ng ư c mô t hình 3.12. a- Gói IP g c IP TCP Data Ph m vi thông tin đư c xác th c Ph m vi thông tin đư c mã hoá ESP ESP ESP b- Gói IP ch đ transport IP header TCP Data trailer auth Ph m vi thông tin đư c xác th c Ph m vi thông tin đư c mã hoá IP ESP IP ESP ESP b- Gói IP ch đ tunnel header (cũ) TCP Data trailer auth (m i) Hình 3.12: Tác d ng c a ESP lên gói IP hai ch transport và tunnel IV-QU N LÝ KHÓA TRONG IPSEC IPSec d a trên k thu t xác th c HMAC (hashed based MAC) và các phương pháp m t mã i x ng mà cơ b n là DES. Do v y, v n qu n lý và phân ph i các khóa bí m t gi a các u cu i SA là v n quan tr ng trong tri n khai IPSec. Có hai cơ ch qu n lý khóa: -Qu n lý khóa b ng tay (manual): ngư i qu n tr m ng t o ra khóa và cài t cho các h th ng u cu i. Cơ ch này ch phù h p v i các h th ng có quy mô nh . -Qu n lý khóa t ng (automated): m t h th ng t ng t o ra và phân ph i khóa cho các h th ng u cu i. H th ng qu n lý khóa t ng IPSec bao g m hai thành ph n là Oakley và ISAKMP. -Oakley Key Determination Protocol: ây là giao th c trao i khóa d a trên thu t tóan mã Diffie-Hellman, có b sung thêm các tính năng b o m t. -Internet Security Association and Key Management Protocol (ISAKMP): cung c p m t mô hình chung cho vi c qu n lý khóa trên Internet, nh nghĩa các th t c và khuôn d ng riêng. IV.1- Giao th c trao i khóa Oakley Oakley là m t giao th c trao i khóa i x ng d a trên giao th c g c là Diffie- Hellman. Giao th c này có m t s ưu i m như: -Khóa ư c t o ra ngay khi c n, do ó không c n lưu tr và gi m ư c nguy cơ ti t l . -Không c n m t cơ s h t ng c bi t nào th c hi n giao th c, ngòai vi c hai bên ph i th ng nh t trư c v i nhau nh ng giá tr dùng chung (p và g). 12
Tuy nhiên, Diffie-Hellman cũng ng th i t n t i nhi u như c i m: -Không cung c p cơ ch nh n d ng u cu i -Có th b t n công d ng xen gi a (Man-in-the-middle) và t n công t ch i d ch v (clogging). Giao th c Oakley ư c thi t k duy trì nh ng ưu i m c a Diffie-Hellman, ng th i kh c ph c nh ng như c i m c a nó. Các tính năng c a Oakley bao g m: • Dùng cookies tránh b t n công t ch i d ch v . D a vào b n ch t c a Diffie-Hellman là dùng các phép tính lũy th a b c cao trên các s nguyên l n, nên hacker ch c n liên ti p g i các giá tr m o nh n là Xa, h th ng s liên ti p th c hi n các phép tính xác nh khóa và do ó không có kh năng x lý các công vi c khác. Cookies là các s gi ng u nhiên, ư c m i bên ch n và trao i nhau ngay giai an kh i t o, và sau ó dùng l i các cookies này trong các message ti p theo sau. Vi c m t máy khác c ý t o ra các message gi nh m t n công h th ng s ư c h th ng phát hi n b ng cách ki m tra các giá tr cookies ã th ng nh t ban u. g n cookies v i các thông tin nh n d ng h th ng, cookies thư ng ư c t o ra dùng hàm băm (MD5) trên các thông tin c nh như a ch IP ngu n, IP ích, port ngu n, port ích và m t khóa bí m t ư c ch n riêng. • Cho phép các g p các h th ng u cu i thành nhóm và phân ph i các giá tr công khai trong nhóm (p và g). B ng vi c nh nghĩa trư c các nhóm cùng v i các thông s p và g tương ng, các h th ng u cu i ch c n thương lư ng v i nhau v vi c s thi t l p giao th c trao i khóa d a trên nhóm nào, mà không c n ph i ch n và trao i v i nhau các giá tr công khai c a thu t tóan. • K t h p dùng các s ng u nhiên (nonce) h n ch các t n công d ng phát l i. • B sung tính năng xác th c u cu i tránh các t n công d ng xen gi a. Giao th c xác th c trong Oakley có th dúng ch ký s , dùng m t mã i x ng m t mã b t i x ng. IV.2- Giao th c qu n lý khóa và thi t l p liên k t b o m t ISAKMP ISAKMP nh nghĩa th t c thi t l p, duy trì và xóa b các liên k t b o m t (SA) gi a các h th ng u cu i. C u trúc gói ISAKMP g m các thành ph n như sau: • Initiator Cookie (64 bits): Cookie c a bên kh i t o. Chú ý r ng kh i t o không ch có nghĩa là thi t l p SA, mà còn có nghĩa là kh i t o h ng th t c khác như xóa SA, c nh báo trên SA, … • Responder Cookie (64 bits): Cookie c a bên ch p nh n. Trong message u tiên g i i thì giá tr này b ng 0 vì chưa nh n ư c cookie t bên kia. • Next Payload (8 bits): Xác nh l ai payload c a message. • Major Version (4 bits): Phiên b n chính c a ISAKMP. • Minor Version (4 bits): Phiên b n ph c a ISAKMP. 13
• Exchange Type (8 bits): xác nh th t c th c hi n. • Flags (8 bits): M t s bit c c n thi t cho quá trình thi t l p SA. • Message ID (32 bits): S nh n d ng message • Length (32 bits): T ng chi u dài c a payload (header và payload) tính b ng bytes. M t s th t c n hình c a ISAKMP: (a) Base Exchange (1)I → R: SA; NONCE B t u thương lư ng ISAKMP-SA (2)R → I: SA; NONCE Ch p nh n thi t l p SA (3)I → R: KE; IDI AUTH T o khóa, xác th c I (4)R → E: KE; IDR AUTH T o khóa, xác th c R, thi t l p SA (b) Identity Protection Exchange (1)I → R: SA B t u thương lư ng ISAKMP-SA (2)R → I: SA Ch p nh n thi t l p SA 14
(3)I → R: KE; NONCE T o khóa (4)R → I: KE; NONCE T o khóa (5)*I → R: IDI; AUTH Xác th c I (6)*R → I: IDR; AUTH Xác th c R, thi t l p SA (c) Authentication Only Exchange (1)I → R: SA; NONCE B t u thương lư ng SA (2)R → I: SA; NONCE; IDR; AUTH Ch p nh n thi t l p SA, xác th c R (3)I → R: IDI; AUTH Xác th c I, thi t l p SA (d) Aggressive Exchange (1)I → R: SA; KE; NONCE; IDI; B t u thương lương ISAKMP-SA và trao i khóa (2)R → I: SA; KE; NONCE; IDR; Xác th c I, t o khóa, ch p nh n thi t l p SA AUTH (3)*I → R: AUTH Xác th c R, thi t l p SA (e) Informational Exchange (1)*I → R: N/D C nh báo l i Ghi chú: I = initiator (bên kh i t o) R = responder (bên áp ng) * = D li u có mã hóa AUTH = S d ng cơ ch xác th c 15