Khóa luận tốt nghiệp: Firewall Checkpoint
lượt xem 90
download
tắc hoạt động, truyền thông của các thiết bị Checkpoint cùng những giao thức chạy trên chính các thiết bị đó. Nắm được quy tắc cấu hình, quản lý và bảo trì thiết bị Checkpoint. Có được kiến thức về khả năng tương tác giữa thiết bị của Chekpoint với thiết bị, phần mềm của những hãng khác (Cisco, Microsoft, Juniper Network…). Tận dụng được các chức năng tương tác giữa các thiết bị đảm nhận vai trò khác nhau (IPS cùng Firewall, Switch cùng Security Gateway…). Có được kiến thức về các loại tấn công đối với hệ thống mạng và hệ thống máy local (Worm, Trojan, Virus…). Hiểu...
Bình luận(0) Đăng nhập để gửi bình luận!
Nội dung Text: Khóa luận tốt nghiệp: Firewall Checkpoint
- B Ộ G I ÁO D Ụ C V À Đ À O TẠ O TRƯỜNG ĐẠI HỌC H OA SEN KHOA K HOA HỌC VÀ CÔN G NGHỆ Giảng viên hướng dẫn : Thầy Đinh Ngọc Luyện Nhóm sinh viên thực hiện : Cao Hiệp Hưng MSSV : 070112 Lương Hữu Tân MSSV : 070057 Lớp : VT071 T há ng 12 / nă m 2010
- Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân TRÍCH YẾU Thông qua K hóa Luận Tốt N ghiệp, về cơ bản chúng tôi đã n ghiên cứu về nhữn g vấn đề sau Xây dựng hệ thống Firewall c ùn g chính sách b ảo mật cho mạn g. Thiết lập các phương thức kết nối an toàn trong mạn g Internet (IPsec VPN). Xây dựn g hệ t hống quả n lý sự truy xuất mạn g và đả m bảo n gười dùn g có thể tru y xuất chính xác dữ liệu theo đúng quyền hạn và vị trí của họ. Đồng thời tối ưu hóa tối độ truy cập và tránh rủi ro mất mát dữ liệu. Và kết quả đạt đ ược là có đ ược kiến thức về c ác thiết bị Chec kpoint, hiểu được quy tắc hoạt độn g, truyền thôn g củ a các thiết bị C heckpoi nt cùn g nh ững giao th ức chạy trê n chính các thiết bị đó. Nắm được quy tắc cấu hình, quản lý và bảo trì thiết bị Checkpoint. Có được kiến thức về khả năn g tương tác gi ữa thiết bị của Che kp oint với thiết bị, phần mềm của nhữn g hãn g khác (Cisco, Microsoft, Juniper Network…). Tận dụng được các chức năn g tươn g tác giữa các thiết bị đảm nhận vai trò khác nhau (IP S cùn g Firewall, Switch cùn g Security Gateway…). Có được kiến thức về các loại tấn côn g đối với hệ thốn g mạn g và hệ thốn g máy local (Worm, Trojan, Virus…). Hiểu và ứng dụn g nh ữn g côn g nghệ bảo mật tiên tiến của Checkpoint vào quá trình xây dựng và quản lý hệ thống. Ngoài ra ch ún g tôi còn có thêm được kỹ năng về làm việc nhó m, kỹ năn g phân chia côn g việc, nhiệ m vụ, thời gian hợp lý . Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang i
- Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân M Ụ C LỤ C TRÍCH YẾU ................................ ................................ ................................ ................................ ........... i LỜI CÁM ƠN ................................ ................................ ................................ ................................ ....... vi NHẬN X ÉT CỦA GIẢNG VIÊN ................................ ................................ ........................................ vii CHAPTER 01 – VPN ................................ ................................ ................................ ............................ 1 A . Cryptography ................................ ................................ ................................................................ ............. 3 1 Classic Cryptography ................................ ................................................................ ............................... 3 1.1 Substitution Cipher ................................ ................................ ................................ ........................... 3 1.2 Vigenère Cipher ................................ ................................ ................................ ................................. 3 1.3 Transposition ................................ ................................ ................................ ..................................... 3 2 Modern Cryptography ................................ ................................ ............................................................. 3 2.1 Hash ................................ ................................ ................................ ................................ ................... 3 2.1.1 Hash Overview ................................ ................................ ................................ ........................... 3 2.1.2 HMAC – Hashed Message Authentication Code ................................................................ ....... 5 2.2 Encryption ................................................................ ................................ ................................ ......... 5 2.2.1 Encryption over view................................ ................................ ................................ ................... 5 2.2.2 Block and Stream cipher ................................ ................................................................ ............ 6 2.2.3 Symmetric Encryption Algorithms ................................ ............................................................ 6 2.2.4 Asymmetric Encryption Algorithms ................................ ................................ .......................... 8 2.2.5 Digital Signature ................................ ................................ ................................ ....................... 13 3 Cryptanalysis ................................ ................................ ................................ ................................ .......... 15 4 Cryptography Overview Chart ................................ ................................ ................................ .............. 16 5 PKI – Public Key Infrastructure ................................ ................................ ................................ ............ 16 5.1 Trusted Third-Party Protoc ol ................................ ................................ ................................ ......... 16 5.2 PKI overview ................................ ................................ ................................ ................................... 17 5.2.1 Thuật ngữ ................................ ................................ ................................ ................................. 17 5.2.2 PKI Topol ogies ................................ ................................ ................................ ......................... 18 5.2.3 PKI standard ................................ ................................................................ ............................ 19 5.2.4 Certificate Authority - CA................................ ................................ ........................................ 21 5.2.5 Server Offload ................................ ................................ .......................................................... 25 B . IPsec VPN................................ ................................................................ ................................ ................. 26 1 VPN Over view ................................ ................................ ................................ ................................ ........ 26 1.1 History ................................ ................................ ................................ ................................ ............. 26 1.2 Virtual Private Network - VPN ................................ ................................ ................................ ....... 26 1.3 Benefits of VPN................................ ................................................................ ................................ 26 2 IPsec VPN ................................ ................................ ................................ ............................................... 27 2.1 Workflow ................................................................ ................................ ................................ ......... 27 2.2 IPsec Functions ................................ ................................................................ ................................ 28 2.3 IPsec Security Protoc ol ................................ ................................................................ .................... 28 2.3.1 Tunnel Mode và Transport Mode ................................ ................................ ............................ 28 2.3.2 Authentication Header – AH................................ ................................................................ .... 29 2.3.3 Encapsulating Security Payload – ESP ................................ ................................ .................... 30 2.4 Security Association – SA ................................ ................................ ................................ ................ 31 2.4.1 IKE SA................................ ................................ ................................ ................................ ...... 32 2.4.2 IPsec SA ................................ ................................ ................................................................ .... 32 2.5 Internet Key Exchange – IKE ................................ ................................ ................................ ......... 33 2.5.1 Step 1 : Interesting Traffic Initiates the IPsec Process ................................ ............................ 34 2.5.2 Step 2 : IKE Phase I ................................................................ ................................ ................. 34 2.5.3 Step 3 : IKE Phase II ................................................................................................ ................ 38 2.5.4 Step 4 : Data Transfer ................................ ................................ .............................................. 40 2.5.5 Step 5 : IPsec Tunnel Termination ................................ ................................ ........................... 40 2.6 VPN Communities and Terminol ogy ................................ .............................................................. 40 2.7 IKE DoS Attack and Protecti on ................................................................ ...................................... 41 Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang ii
- Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân 2.7.1 IKE DoS Attack ................................ ................................ ................................ ........................ 41 2.7.2 Checkpoint Soluti on ................................ ................................ ................................ ................. 41 2.8 Access Control and VPN Communities ................................ ................................ ........................... 43 C. Remote Access VPN ................................................................................................ ................................ . 44 1 Overview ................................ ................................................................................................ ................. 44 1.1 Need for Remote Access VPN ................................ ................................ ................................ .......... 44 1.2 Check point Soluti on ................................ ................................ ........................................................ 44 1.2.1 Remote Access and Components ................................ ................................ .............................. 44 1.2.2 Connectra and Deloyment ................................ ................................ ........................................ 47 1.2.3 User Database ................................ ................................ ................................ ........................... 48 2 Resolving Connecti vity Issues................................ ................................................................ ................. 49 2.1 NAT Related Issues................................ ................................................................ .......................... 50 2.1.1 Packet Fragmentation ................................ ................................ .............................................. 50 2.1.2 IKE Phase I Problem and Sol utions ................................ ................................ ......................... 50 2.1.3 IKE Phase II Problem and Sol uti ons ................................................................ ....................... 51 2.1.4 IPsec Data transfer Proble m and Soluti ons ................................ ................................ ............. 52 2.2 Restricted Internet Access Issues ................................ ................................................................ .... 53 2.2.1 Overview ................................................................ ................................ ................................ ... 53 2.2.2 Checkpoint Soluti on – Visitor Mode ................................ ................................ ........................ 54 3 Office Mode ................................ ................................ ................................ ................................ ............ 55 3.1 Overview ................................ ................................ ................................ ................................ .......... 55 3.2 Check point Soluti on - Office Mode ................................ ................................ ................................ . 55 3.3 How Office Mode Work s ................................ ................................ ................................ ................. 55 3.4 Workflow ................................................................ ................................ ................................ ......... 56 3.5 IP Address Allocation ................................ ................................ ................................ ...................... 56 3.5.1 IP Pool ................................................................ ................................ ................................ ...... 56 3.5.2 DHCP................................ ................................ ................................ ........................................ 57 3.5.3 RADIUS Server ................................ ................................ ................................ ........................ 57 3.5.4 IP Allocation Order ................................ ................................ ................................ .................. 57 3.5.5 IP pool Versus DHCP ................................................................ ................................ ............... 57 3.6 Optional Parameters................................ ................................ ........................................................ 57 3.6.1 IP Address Lease duration ................................................................ ................................ ....... 57 3.6.2 WINS and DNS................................ ................................ ................................ ......................... 58 3.7 Office Mode Per Site ................................ ................................ ........................................................ 58 3.8 IP per user ................................ ................................ ................................ ................................ ....... 59 3.8.1 DHCP Soluti on ................................ ................................ ................................ ......................... 59 3.8.2 Ipassignment. conf Soluti on ................................ ................................ ................................ ...... 59 3.9 Routing Table ................................ ................................ ................................ ................................ .. 60 3.9.1 Topology Over view................................ ................................ ................................ ................... 60 3.9.2 Routing Table ................................ ................................ ................................ ........................... 60 3.10 SSL Network Extender ................................ ................................ ................................ .................... 61 3.10.1 Overview ................................ ................................ ................................ ................................ ... 61 3.10.2 Check point Soluti on – SSL Network Extender ................................ ................................ ........ 62 3.11 Clientless VPN ................................................................ ................................ ................................. 62 3.11.1 Overview ................................ ................................ ................................ ................................ ... 62 3.11.2 Check point Soluti on – Clientless VPN ................................ ................................ ..................... 63 3.11.3 Work flow ................................................................ ................................................................ .. 63 3.11.4 Clientless VPN Consideration ................................ ................................................................ .. 63 4 Remote Access Routing ................................ ................................ ................................ .......................... 64 4.1 Overview ................................ ................................ ................................ ................................ .......... 64 4.2 Check point Soluti on – Hub Mode ................................ ................................ ................................... 64 4.3 Hub Mode Situation................................ ................................ ................................ ......................... 64 4.3.1 Remote User to Another VPN Domain ................................ ................................ .................... 64 4.3.2 Remote User to Remote User ................................ ................................ ................................ ... 65 4.3.3 Remote User to Internet Server ................................ ................................ ............................... 66 4.4 Hub Mode Routing Table ................................ ................................ ................................ ................ 67 Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang iii
- Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân CHAPTER 02 – IPS ................................ ................................ ............................................................ 68 A . IPS Overview................................ ................................ ................................ ................................ ............ 69 1 Overview ................................ ................................................................................................ ................. 69 1.1 IPS vs IDS ................................................................ ................................................................ ........ 69 1.2 Terminol ogy ................................................................ ................................ ................................ ..... 70 2 Classification................................ ................................ ................................................................ ........... 70 2.1 NIPS – Network-based Intrusion Preventi on System ................................ ................................ ..... 70 2.2 HIPS – Host-based Intrusion Pre vention Syste m................................ ............................................ 71 2.3 Comparision................................ ................................ ................................ ................................ ..... 72 3 IPS Signature ................................................................ ................................ ................................ .......... 73 3.1 Signature Definition................................ ................................ ................................ ......................... 73 3.2 Phân loại Signature................................................................................................ .......................... 73 3.2.1 Signature-based ................................ ................................ ................................ ........................ 73 3.2.2 Signature types ................................ ................................ ................................ ......................... 74 3.2.3 Signature trigger ................................ ................................................................ ...................... 75 3.2.4 Signature Action ................................ ................................ ................................ ....................... 80 B . Checkpoint Soluti ons ................................ ................................ ............................................................... 81 1 Check point IPS Protecti on ................................ ................................ ..................................................... 81 1.1 Network Security ................................ ................................ ................................ ............................. 81 1.2 Application Intelligent ................................ ................................ ................................ ..................... 81 1.3 Web Intelligent ................................ ................................................................ ................................ 81 2 IPS Optimizati on ................................................................ ................................ ................................ .... 82 2.1 Trouble Shooting ................................ ................................ ................................ ............................. 82 2.2 Protect Internal Host Only ................................ ................................................................ .............. 82 2.3 B ypass Under Load................................ ................................................................ .......................... 82 CHAPTER 03 – EPS ................................ ................................ ................................ ........................... 83 A . EPS Overview................................ ................................ ................................................................ ........... 85 1 EPS System Architecture................................................................ ................................ ........................ 85 2 Policy................................ ................................ ................................................................ ....................... 86 2.1 Policy Overview ................................ ................................ ................................ ............................... 86 2.2 Policy Comp onent Over view ................................................................ ................................ ........... 86 3 Modes and Views ................................ ................................ ................................ ................................ .... 87 3.1 Multi-Domain M ode ................................................................ ........................................................ 87 3.2 Single Domain Mode ................................ ................................ ........................................................ 87 4 Managing Domain ................................ ................................ ................................ ................................ .. 87 4.1 Multi-Domain Administrators................................ ................................ ................................ ......... 87 4.2 System Domain và Non-System Domain ................................ ................................ ......................... 87 4.2.1 System Domain ................................ ................................ ................................ ......................... 87 4.2.2 Non-System Domain ................................ ................................ ................................ ................. 88 5 Managing Administrator Roles ................................ ................................ ................................ .............. 88 B . Managing Catalogs................................................................ ................................ ................................ ... 90 1 User Catalogs ................................ ................................ ................................ ................................ .......... 90 1.1 Custom Catalogs ................................ ................................ .............................................................. 90 1.2 LDAP Catalogs ................................ ................................................................ ................................ 90 1.3 RADIUS Catalogs ................................ ................................ ................................ ............................ 91 1.4 Synchronizing User Catalogs................................ ................................ ................................ ........... 91 1.5 Authenticating Users ................................ ................................ ................................ ....................... 91 1.6 Authentication Pr ocess ................................................................................................ .................... 92 1.6.1 LDAP Catalog ................................ ................................ .......................................................... 92 1.6.2 RADIUS Catalog ................................ ................................................................ ...................... 93 2 IP Catalogs ................................ ................................ ................................ ................................ .............. 94 C . Managing Security Policy ................................ ................................ ................................ ........................ 95 1 Policy Type................................ ................................ ................................ ................................ .............. 95 1.1 Enterprise Policy ................................ ................................ ................................ ............................. 95 1.2 Personal Policy................................ ................................ ................................ ................................ . 95 Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang iv
- Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân 1.3 Policy Arbitration ................................ ................................ ................................ ............................ 96 1.4 Policy Pack age ................................ ................................ ................................ ................................ . 96 1.5 Rule Evaluation and Precedence ................................ ................................ ................................ ..... 96 1.5.1 Hard-Cored Rule ................................ ................................................................ ...................... 96 1.5.2 Security Rules ................................ ................................ ................................ ........................... 96 2 Creating Policy ................................ ................................ ................................................................ ....... 97 2.1 Creating Policy Using Template ................................................................ ...................................... 97 2.2 Creating Policy Using File ................................ ................................ ................................ ............... 98 3 Policy Object ................................ ................................ ................................................................ ........... 99 3.1 Access Zone ................................ ................................................................ ...................................... 99 3.2 Firewall Rule................................................................ ................................................................ .. 100 3.2.1 Firewall Rule Overview ................................ ................................ ................................ .......... 100 3.2.2 Firewall Rule Rank ................................ ................................ ................................ ................. 100 3.2.3 Firewall Rule Parameter ................................................................................................ ........ 101 3.3 Enforcement Rule ................................ ................................ ................................ .......................... 101 3.3.1 Enforcement Rule Types Overview................................ ........................................................ 101 3.3.2 Remediation Resource and Sandbox................................ ................................ ...................... 103 3.3.3 Enforcement Rule Parameter................................ ................................ ................................. 104 3.3.4 Anti-virus Enforcement Rule Parameter ................................................................ ............... 104 3.4 Anti-virus and Anti-spyware Rules ................................ ................................ ............................... 105 3.5 Program Contr ol Rules ................................ ................................ ................................ ................. 105 3.5.1 Program Observation ................................ ................................ ................................ ............. 105 3.5.2 Program Per missi on ................................................................ ................................ ............... 106 3.5.3 Program Advis or ................................ ................................................................ .................... 106 3.6 Smart-Defense................................ ................................ ................................ ................................ 109 D. Gateway and Cooperative Enforcement ................................ ................................ ................................ 110 1 Cooperati ve Enforcement Overview ................................ ................................ .................................... 110 2 Network Access Server Integration ................................ ................................ ................................ ...... 110 2.1 Cooperative Enforcement Architecture ................................................................ ........................ 110 2.2 Cooperative Enforcement Work flow ................................ ............................................................ 111 KINH NGHIỆM VÀ KHÓ KHĂN ................................ ................................ ................................ ... 113 PHỤ LỤC ................................ ................................ ................................ .......................................... 114 A . B ảng giá đề nghị ................................ ................................................................ ................................ ..... 114 Trường hợp 1 : Sử dụng Appliances................................ ................................ ................................ ......... 114 Trường hợp 2 : Sử dụng Sotfware ................................ ................................ ............................................ 114 Chi tiết các thiết bị ................................ ................................ ................................................................ .... 114 B . Sơ đồ mạng Hoa Sen đề nghị ................................ ................................ ................................................. 116 C . Tổng hợp Rule ................................ ................................ ................................ ........................................ 117 1 Firewall Rule................................ ................................ ................................................................ ......... 117 2 NAT Rule ................................ ................................ ................................ ................................ .............. 118 3 Endpoint Security Rule ................................................................ ................................ ........................ 119 3.1 “Public” Policy Public ................................ ................................ ................................ ................... 119 3.2 “Networking Comp uter Lab”Policy................................................................ .............................. 120 3.3 “Networking Comp uter Lab – Switch” Policy ................................ ................................ .............. 120 3.4 “Computer Lab” Policy ................................ ................................ ................................ ................. 121 3.5 “Computer Lab – Switch” Policy ................................ ................................................................ .. 122 3.6 “Staff” Policy ................................ ................................ ................................ ................................. 123 3.7 “Examination” Policy ................................ ................................ ................................ .................... 124 D . Tài liệu tham k hảo ................................ ................................ ................................ ................................ . 126 E . Website tham k hảo................................ ................................ ................................ ................................ . 128 Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang v
- Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân LỜI CÁM ƠN Đ ầu tiên, chúng t ôi xin cám ơ n trư ờ ng Đ ại học H oa Sen đ ã tạo cơ hội cho chúng tôi thự c hi ện K hóa Luận Tốt Nghi ệ p này để chúng tôi có cơ hội tìm hiểu thêm nhi ều ki ến thức m ới, có ích cho công vi ệc chúng t ôi sau khi tốt nghiệp. Và chúng tôi cũn g xin cám ơ n thầy Đinh N gọc Luyện đã tạo cơ hội cho chúng tôi thực hi ện K hó a Luận Tốt N ghiệp này, t hầy đã hư ớ ng d ẫn, cung cấp t ài liệu, hỗ trợ về m ặt tinh thần để chún g tôi có thể ho àn th ành t ốt Khó a L uận Tốt N ghiệp, giúp chúng tôi có nhi ều kinh nghi ệm thự c t ế hơn về phư ơng diện làm vi ệc nhóm v à nhữ ng ki ến thức cấu hình thi ết bị trong thự c tiễn. Xin cám ơ n các thầy cô ở phòng Đ ào tạo đã hỗ trợ chúng tôi về nhữ ng thông tin cần thiết về K hóa Luận Tốt N ghi ệp. Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang vi
- Trường Đại học Hoa Sen Cao Hiệp Hưng – Lương Hữu Tân NHẬN XÉT CỦA GIẢNG VIÊN … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … …………… … ………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … …………… … ………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … …………… … ………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … …………… … ………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … …………… … ………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … …………… … ………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ……………………………………………………………………………………………… … .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … …………… … ………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... … ………………………………………………………………………………………………… .... Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang vii
- CHAPTER 01 – VPN VIRTUAL PRIVA TE NETWORK Trong chapter này ta sẽ nói về Virtual Private Net wo rk và những vấn đề liên quan. Chapter 01 – Virtual Private Network bao gồm ba phần Cryptography IPsec VPN and IPsec Site-to-Site VPN IPsec Remote Access VPN Cryptography Phần Cryptog raphy sẽ những thuật toán m ã hóa cổ điển, những thuật toán m ã hóa hiện đại và các phương pháp bẻ gãy mã. Đặc điểm và mục đích sử dụng của các thuật toán HASH. Đặc điểm và mục đích sử dụng của các thuật toán m ã hóa. Cuối cùng là chữ ký số và kiến trúc PKI. C la ss ic Cr ypto graphy Modern Cr ypto graphy Cr yptana lys is PKI – Public Ke y Infrast ruct ure IPsec VPN Trong phần này ta sẽ nói về VPN và những lợi ích của VPN so với các kiểu kết nối cũ. Giới thiệu về IPsec VPN và các ch ức năng của IPsec VPN. Bên cạnh đó là giới thiệu các giao thức bảo mật của IPsec. Đi sâu vào phân tích quá trình đàm phán ở IKE Phase I và IKE Phase II. Cuối cùng là các vấn đề khác khi thiết lập đường IPsec Site-to-Site VPN. VPN Overvie w IPsec VP N VPN Co mmu nit ie s and Termino log y Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 1
- IKE Do S Att ack and Checkpo int So lut io n VPN To po log ies Acces s Co nt ro l Po lic y and VP N Co mmu nit ies IPsec Remote Access VPN Trong phần này ta sẽ nói về IPsec Remote Access VPN cùng các chức năng của IPsec Remote Acces VPN. Bên cạnh đó là những vấn đề có thể phát sinh của Remote User khi d ùng IPsec Remote Access. Cuối cùng các các chế độ làm việc của Remote Access VPN. Over view Reso lving Co nnect ivit y Is sues O ffice Mo de Re mot e Acces s Ro ut ing Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 2
- A . Cryptography Cách đây hơn 5000 năm, ngành m ật mã học đã ra đời. Đây là ngành liên quan t ới việc sử dụng các ngôn ngữ và các thuật toán để đảm bả o an toàn cho thông tin. Thông tin ban đ ầu được gọi là cleartext hay plaintext, sau khi đư ợc mã hóa sẽ trở thành ciphertext - là dạng thông tin không thể hiểu được. Ngành mật mã học chú t rọng t ới ha i vấ n đề chính Mã hóa – Crypto graphy. G iả i mã ha y bẻ khóa mã – Cr yptana lys is. 1 Classic Cryptography Trong lịch sử, mật mã dùng để bảo vệ các thông tin về quân sự, tình báo, ngoại giao… 1. 1 Substit uti on Cipher Subst it ut io n C ip her - t hay t hế k ý t ự, đây là p hư ơng pháp được dù ng bở i Ju liu s Cae sar nên cò n được gọ i là Cae sar C ip her. Ở phương pháp này, t a sẽ t ha y t hế ký t ự nà y bở i k ý t ự khác t heo một quy t ắc nhất đ ịnh. Và ngườ i gử i sẽ qu y đ ịnh một key vớ i ng ườ i nhậ n để ngư ờ i nhận có t hể giả i mã đú ng ra t hông t in p la int ext ban đầu. Đ iể m yếu củ a p hương p háp này là có t hể dễ dàng bị g iả i mã bằ ng p hư ơng pháp t hử liên t ục, cho đến khi t ìm đượ c ke y cần t hiết . 1. 2 Vigenère Cipher V ige nère C ip her – Po lya lp habet ic C ip her là p hư ơ ng p háp có cùng ý t ưởng t hay t hế ký t ự như ở Caesar C ip her, như ng phương pháp này phức t ạp hơn và cầ n nhiều t hờ i g ia n để g iả i mã hơ n. 1. 3 Trans positi on Transpo s it io n – Hoán vị, đâ y là p hươ ng p háp này t hì các ký t ự t ro ng chuỗ i p la int e xt ban đầu sẽ được hoán vị để t ạo ra chuỗ i c ip hert ext . 2 Modern Cryptography Các phương pháp mã hóa hiện tại sẽ được phân chia thành hai mảng lớn Encryption – Mã hóa : Đảm bảo tính bí mật (Confidentiality). Hash – Băm : Đảm bảo tính toàn vẹn dữ liệu (Data Integity). 2. 1 Has h 2. 1. 1 Has h O verview Has h t hườ ng được sử dụng để đả m bảo t ính toàn vẹn dữ liệu (Dat a Int egit y). Has h là O ne-wa y Fu nct ion (Hà m một chiều) : Đảm bảo dữ liệu sau khi đư ợc has h sẽ khô ng t hể t ruy ngư ợc ra lạ i t hành dữ liệu như ban đầu. Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 3
- Dữ liệu bất kỳ sau k hi đư ợc has h sẽ t rở t hành một chuỗ i k ý t ự có độ dài k hông đổ i t ùy t huộc vào t huật toán và được gọ i là Fingerpr int . Ava la nc he E ffect : Khi có bất kỳ sự t hay đổ i nhỏ nào ở dữ liệu, t hì Fingerpr int sẽ t hay đổ i rất nhiều. Các yếu t ố của hà m Has h Input là dữ liệu có độ dài bất kỳ. Out put là chuỗ i đ ã được Has h( F ingerpr int ) có độ dà i xác đ ịnh. Hà m Has h có t hể là m việc vớ i bất kỳ Input nào. Hà m Ha sh sẽ cho ra kết quả một chiều – Onew ay và k hô ng t hể truy ngượ c lạ i. Hà m Ha s h là co llis io n- fre e (Khô ng t hể t ìm ra 2 input để cho ra 1 o ut put giống nhau). Hìn h A1 – 1 : H ash Function Hacker hoà n t oàn có t hể t hấy được nộ i du ng của d ữ liệu k hi nó được t ruyề n. Ha y nó i cách khác Ha s h không cung cấp t ính bí mật cho dữ liệu đượ c t ruyề n (Co nfide nt ia lit y). Has h có t hể bị t ấn công bằng Man- in-t he- midd le (Bằng các h t hay đổ i t hô ng t in dữ liệu và chè n 1 chuỗ i has h g iả dựa t rên dữ liệu đã đ ược t hay đổ i). Ha i hà m ha sh được sử dụ ng nhiều là MD5 và S HA -1. MD5 có 128bit s khi hash. SH A-1 có 160bit s khi ha sh. 2.1.1.1 MD5 – Message D ige st 5 Đâ y là t huật toán Hash t hư ờng được sử dụ ng vớ i ưu đ iể m là t ốc độ t ính t oán nha nh và khô ng t hể t ruy ng ược lạ i dat a trước khi Hash (One-wa y fu nct io n). Co llis io n res ist ant –Ha i dữ liệu khác nhau sẽ c ho ra cùng một chuỗ i Has h là đ iều khô ng t hể xả y ra. Sử dụng 128bit s Has h. Tu y nhiên vớ i độ dài của c huỗ i Has h t hì MD5 đ ã khô ng cò n t hích hợp c ho các ứng dụng bảo mật mớ i. 2.1.1.2 SHA – Secure Hash Algo rit hm Có chức nă ng gầ n g iố ng MD4 ha y MD5 vớ i dữ liệ u Input không quá 26 4 bit s. Sử dụng 160bit s Has h. Tố c độ t ính t oán chậ m hơ n MD5. Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 4
- 2. 1. 2 H M AC – H ashed Message Aut hentication Co de Vớ i HM AC t hì dữ liệu sẽ đ i vào hà m Has h cùng vớ i một secret key để t ăng độ bảo mật của hà m Ha s h. Secret key này c hỉ đư ợc c hia sẻ g iữ a ngư ờ i nhậ n và ngườ i gử i. HM AC sẽ loạ i bỏ hoàn toàn k iểu t ấn công Man- in- t he- midd le. HM AC hoạt động dựa t rên các hà m Ha s h có sẵn như MD5 ha y SH A-1. Qu y t ắc kiể m t ra Bước 1 : Dữ liệu sẽ được đưa vào hà m Has h cù ng vớ i sec ret key. Bước 2 : Dữ liệu khi gử i đ i sẽ được d ính kè m vớ i c huỗ i Has h. Bước 3 : Bên nhậ n khi có được dữ liệu sẽ đưa vào hàm Has h cùng vớ i secret key t ương t ự như bên gử i để có chuỗ i Has h t hứ ha i. Bước 4 : Bên nhận dữ liệu sẽ so sá nh chuỗ i has h nhậ n đ ược và chuỗ i hash do chính bê n nhậ n t ạo ra. Nếu giố ng nhau t h ì dữ liệ u không bị t hay đổ i. Ngược lạ i nếu có sự t hay đổ i t hì ha i chuỗ i Has h sẽ khác nhau. Hìn h A1 – 2 : H M AC Function E xa mp le 2. 2 Encry pti on 2. 2. 1 Enc ry ption overview Để chố ng lạ i rủ i ro dữ liệu có t hể bị đọ c lé n t rong quá t r ình t ru yề n t rên mạ ng, t a cần phả i có một phương p háp để đả m bảo t ính bí mật của dữ liệu. Từ đó t a có mã hóa dữ liệu. Tro ng các t huật toán mã hóa hiện t ại t hì đ iều mo ng muố n hà ng đầu đó là Chố ng lạ i các t huật toán phá mã, các dạng t ấn công mã. Key có độ dài lớ n và có khả nă ng mở rộ ng ke y. H iệu ứ ng t hác – Ava la nc he E ffect : Khi có bất kỳ một sự t hay đổ i nhỏ nào ở p la int ext đều dẫn t ới sự t ha y đổ i rất lớ n ở c ip hert ext t ương ứng. Khô ng có sự giớ i hạ n g iữa việ c nhập và xuất . Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 5
- Dựa t heo cách dữ liệu được mã hóa và sử dụ ng key, mà t a sẽ có ha i các h phâ n loạ i. Dựa t heo cách sử dụ ng key S ym met ric Encr ypt io n Algor it hms – Thuật toán mã hóa đồ ng bộ. As ym met r ic Encr ypt io n Algo r it hms – Thuật toán mã hóa bất đồng bộ . Dựa t heo cách dữ liệu được mã hóa B lock c ip hers. St rea m c ip hers. 2. 2. 2 B lock an d Stream ciphe r 2.2.2.1 B lock c ip her Là các h mà p la int ext sẽ được encr ypted t heo t ừng B lock g iố ng nhau về độ dà i để t ạo ra các Blo ck c ip her t ương ứng. Tù y t huộ c vào t huật toán mà B lock sẽ có độ lớ n khác nhau (DE S là 8byt es, AES là 16byt es, RC6 là 16byt es… ). Padd ing (dữ liệu đệ m) sẽ g iữ cho kíc h t hư ớc của dữ liệu luô n là bộ i số của k ích t hước block (Bằ ng các h chè n t hêm các du mmy bit s). C ip hert ext luô n có kíc h t hước lớ n hơn p la int e xt t ương ứ ng. 2.2.2.2 St rea m c ip her St rea m c ip her sẽ encr ypted pla int ext t heo t ừng đơn vị nhỏ như là các bit s. Kích t hước của c ip hert ext t hường khô ng khác g ì so vớ i p la int e xt t ương ứng. 2. 2. 3 Sy mmet ric E ncry ption Alg o rith ms 2.2.3.1 S ym met ric Encr ypt io n Allgo r it hms O verview S ym met ric E ncr ypt io n Algor it hms là các t huật toán sử dụng cù ng một key để encrypted lẫ n decr ypted dữ liệu. Như vậy t hì t a cần phả i chia sẻ cù ng một secret key cho cả ha i p hía gử i và nhậ n. Qu y t ắc Ha i bê n gử i/nhậ n sử dù ng cù ng một privat e ke y và t huật toán giố ng nhau. Ngườ i gử i sẻ sử dụ ng pr ivat e ke y để encr ypted t hô ng t in p la int e xt t hành c iphert ext . Ngườ i nhậ n sử dụ ng pr ivat e ke y g iố ng bên phía ngư ờ i gử i để decr ypted c iphert ext t hành p la int ext . Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 6
- Hìn h A 1 – 3 : Sy mmet ric Enc ryption Alg o rithm Ưu điể m Tố c độ encr ypted/decr ypted nhanh hơ n các t huật toán mã hóa bất đồng bộ . Sử dụng key có chiều dà i ngắ n hơ n các t huật toán mã hóa bất đồng bộ . Ít hao tốn t ài ngu yê n hệ t hố ng. Các qu y t ắc t ính toán t rong t huật toán mã hóa đồng bộ dễ hơ n t rong các t huận toán mã hóa bất đồng bộ. Sử dụng cùng một key để encr ypted/decr ypted. Rất khó và tốn nhiề u t hờ i g ian để g iả i mã nếu k hông có key để decr ypted. Nhược đ iể m V iệc bảo mật ke y là một t hử t hách lớ n, do đó cần phả i có phương pháp t rao đổ i ke y an t oàn hoặc t ruyề n qua Out -o f-band. G iớ i hạ n số lư ợ ng ngư ờ i sử dụng. Độ dài của ke y được sử dụng là t ừ 40-256 bit s. Key được xe m là an t oàn khi có độ dài hơn 80 bit s. Một số t huật toán mã hóa đồ ng bộ : DES, 3DE S, AES, RC2/4/5/6 và B low fis h. 2.2.3.2 DE S (Dat a Encr ypt io n St andard) Sử dụng key có chiều dà i cố đ ịnh là 64 bit s vớ i 56 bit s đư ợc dù ng để encr ypted và 8 bit s dùng k iể m t ra lỗ i. Như ng t hật chất chiều dài key của DE S chỉ là 40 bit s do 56bit s được dùng để encrypted t hì có 16 bit s đã được biết t rước – kno wn bit s. DE S là dạ ng B lo ck c ip her 64bit s vớ i ha i c hế độ ECB mo de - E lect ro nic Co de Boo k : Mỗ i p la int e xt block khi encr ypted sẽ cho ra cip hert ext block t ương ứng. CBC mode - C ip her B lock Cha ining: Mỗ i p la int ext blo ck sẽ đượ c XO R vớ i c ip hert ext liền t rước nó rồ i mớ i được encr ypted. DE S còn là dạng St ream c ip her vớ i ha i c hế độ CFB mo de - C ip her Feedback. O FB mo de - Out put Feedback. Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 7
- Nên t hay đổ i ke y t hườ ng xuyê n khi dù ng thuật toán này để t ránh bị t ấn công Brutefo rce. Pr ivat e key cần được gử i t rên một kênh bảo mật . Nên sử dụ ng CBC mo de t hay vì EC B mo de. Do sử dụng các giả i t huật đơn g iả n nên DES dễ triển kha i t rên hardware. 2.2.3.3 Tr i-D ES Thuật toán 3DE S dựa trên nề n t ảng của t huật toán DES. Sự khác biệt chính đó là 3DE S sử dụng bộ gồ m ba key để đạt được độ dài ke y là 168 bit s. Bộ key gồ m ba ke y K1 – K2 – K3 vớ i Key K1 để encr ypted p la int ext ban đầu. Key K2 để decr ypted phầ n c ip hert ext có được khi encr ypted bằ ng Ke y K1. Key K3 để encr ypted phần c ip hert ext có được khi decr ypted bằ ng Ke y K2. Hìn h A 1 – 4 : Tri-DE S Alg o rith m Do độ dài của ke y là rất lớ n nê n việc bẻ khóa lẫ n thờ i g ia n bẻ k hó a là đ iều k hô ng t ưởng đố i vớ i việc t hay đổ i ke y t hườ ng xu yên, nên t huật toán này được xem là một t rong nhữ ng t huật toán mã hóa đồ ng bộ đáng t in t ưở ng nhất . 2.2.3.4 AE S (Ad va nced Encr ypt io n St andard) AE S là dự án ra đờ i vào nă m 1998 vớ i mụ c đ íc h t ìm t huật t oán t hay t hế cho DE S. Và cuố i cùng t hì t huật toán R ijndae l (của V in cent R ijme n và Joan Dae men) là ứng cử viê n t ốt nhất . R ijndae l có tốc độ nha nh hơn 3D ES khi chạ y t rên nền so ft ware. AE S sử dụng key và dat a block có độ dài k hác nha u vớ i số bit là bộ i của 32. Độ dài của ke y t hư ờng là 128/192/256 bit s để e nc r ypted các dat a block có độ dà i 128/192/256 bit s. Sau 10 nă m ra đờ i t hì AES chưa hề có một lỗ hổ ng nào. 2. 2. 4 Asy m met ric Enc ry ption Alg o rith ms 2.2.4.1 As ym met r ic Encr ypt io n Algo r it hms O verv ie w Algorit hms là các t huật toán sử dụ ng một As ym met r ic Encr ypt io n k ey đ ể Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 8
- encr ypted và một ke y k hác để decr ypted. Như vậ y cả ha i p hía gử i/ nhận sẽ p hả i t ạo ra bộ ke y gồ m Public ke y/Pr ivat e key để dùng cho việc encr ypted/decr ypted. Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 9
- Hìn h A 1 – 5 : Asy mmetric Enc ry ption Algorith m Độ dài của ke y được sử dụng là t ừ 512 – 4096 bit s. Key được xe m là an t oàn khi có độ dài hơn 1024 bit s. Ưu điể m Do việc ke y đư ợc sử dụng để encr ypted khác vớ i key sử dụ ng cho decr ypted, nê n việc t ru yề n một trong ha i key t rên mô i t rường unt rust được xe m như là an toàn để trao đổ i dữ liệu. Các t huật toán mã hóa bất đồng bộ được dùng như là mô i t rường an t oàn để vận chu yển ke y của t huật toán mã hóa đồ ng bộ. Nhược đ iể m Do sử dụng các g iả i t huật phức t ạp nên việc t ạo ke y, quá t r ình encr ypted/decr ypted sẽ chậ m và tốn nhiều t hờ i g ian. Do Public key và Pr ivat e key đư ợc cùng t ạo ra và có mố i qua n hệ vớ i nhau, nên việc g iả i mã bộ key này là đ iều hoàn toàn có t hể dù key rất dài. Tù y vào một đích sử dụng mà quá t rình encr ypted sẽ dùng Pr ivat e key ha y Public key, t ương t ự vớ i quá t rình decr ypted. Một số t huật toán mã hóa đồ ng bộ RSA, DS A, DH, ElGa ma l, E llipt ic Curve … 2.2.4.2 Public Ke y Co nf ide nt ia lit y – Bảo mật bằng Pu blic key Ở cơ chế này t hì Public ke y sẽ được dùng để e ncr ypted t hô ng t in t hành c ip hert ext và Pr ivat e ke y t ương ứng được dùng để decr ypted c iphert ext t hành t hô ng t in ba n đầu. Hìn h A 1 – 6 : Public K ey Co nfidentiality V ì Pr ivat e key là key dù ng để decr ypted và đả m bảo t ính bí mật , nê n việc g iữ cho Pr ivat e key được an t oàn là đ iều qua n t rọng. Nếu bất kỳ ai có được Privat e key của ngư ờ i dùng t hì hoàn t oàn có t hể đọc được t hô ng t in đã được e ncr ypted bằ ng Public ke y của ngườ i dùng đó. Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 10
- Public key t hì có t hể cô ng bố cho mọ i ngườ i mà k hông cầ n đả m bảo t ính bí mật . Cơ chế này t hường đư ợc dùng để t rao đổ i ke y t rong mô i t rường unt rust ( Vận chu yể n Pr ivat e ke y của t huật toán mã hó a đồ ng bộ). Qu y t ắc hoạt động Hìn h A 1 – 7 : Public K ey Co nfidentiality E xa m ple Bước 1 : Khi Tân yêu cầu Hư ng gử i M SS V = “070112” qua đường Int ernet và phả i đả m bảo t ính bí mật , t hì phía Tân sẽ khở i t ạo bộ Publ ic ke y/Pr ivat e ke y. Bước 2 : Tân sẽ gử i Pu blic key của Tân cho Hưng. Bước 3 : Hưng sẽ sử dụng Public key của Tân để encr ypted MSS V. Bước 4 : Hưng gử i M SS V đã được encr ypted t hành dạng c iphert ext cho Tân. Bước 5 : Tân dùng Pr ivat e ke y của Tân để decr ypt ed c ip hert ext nhận được t ừ Hưng. 2.2.4.3 Public Ke y Authe nt icat ion – Xác t hực bằng Public key Ở cơ chế nà y t hì Pr ivat e ke y sẽ đư ợc dùng để e ncr ypted t hô ng t in t hành c iphert ext và Public ke y t ương ứ ng được dùng để decr ypted cip hert ext t hành t hô ng t in ban đầu. Hìn h A 1 – 8 : Public K ey Aut hentication V ì Pr ivat e ke y được dù ng để encrypted và đạ i d iệ n cho ngư ờ i dùng t rong quá t rình xác t hực, nê n phả i đả m bảo t ính an t oàn và bí mật cho Privat e ke y. Nếu bất kỳ ai có được Pr ivat e key của ngư ờ i dùng t hì hoàn t oàn có t hể g iả da nh ngườ i dù ng đó để t hực hiện quá tr ình xác t hực. Public key t hì có t hể cô ng bố cho mọ i ngườ i mà k hông cầ n đả m bảo t ính bí mật . Cơ chế nà y t hườ ng được dùng để xác t hực. Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 11
- Qu y t ắc hoạt động Hìn h A 1 – 9 : Public K ey Aut hentication Exa m ple Bước 1 : Khi Tân yêu cầu Hư ng gử i M SS V = “070112” c ho Tân qua đường int ernet và phả i đả m bảo là do chính Hư ng gử i, t hì phía Hư ng sẽ t ạo bộ Public key/Pr ivat e ke y. Bước 2 : Hưng sử dụng Pr ivat e ke y của Hưng để encr ypted MSS V. Bước 3 : Hưng gử i M SS V đã được encrypted t hành dạng c iphert ext cho Tân. Bước 4 : Hưng gử i t iếp Public ke y của Hư ng cho Tân. Bước 5 : Tân dù ng Pu blic key của Hư ng để decr ypted ciphert ext nhậ n đ ược t ừ Hưng. 2.2.4.4 RSA Algo rit hm – Thuật toán RSA RSA là t huật toán đượ c phát minh ra bở i Rive st, Sha mir, Ad le ma n ở học việ n MIT vào nă m 1977 (Bản qu yề n hết hạn vào nă m 2 000). RSA sử dụ ng ke y có chiều dà i 512-2048 bit s. Thuật toán này dựa t rên nhữ ng đ iều khó khă n t rong việc g iả i mã hiệ n t ại là sử dụng ke y có chiều dà i rất lớ n. Như vậ y t hờ i g ia n g iả i mã sẽ vượt quá t hờ i g ian t ruyền dữ liệu, dù cho có giả i mã được bộ key t hì cũng vô dụng. Tố c độ của RSA chậ m hơ n DES 100 lầ n ở nề n hardware và 1000 lầ n ở nề n soft ware. Mục đ íc h sử dụng Mã hóa dữ liệ u, đặc biệt cho các loạ i dữ liệ u có k ích t hước nhỏ, privat e ke y của t huật toán mã hó a đồ ng bộ, key dùng c ho HM AC. Dùng để xác t hực. Tạo cơ chế No n-Repud iat io n. Khó a Luận Tốt Nghiệ p – Firew all C hec kpo int Trang 12
CÓ THỂ BẠN MUỐN DOWNLOAD
Chịu trách nhiệm nội dung:
Nguyễn Công Hà - Giám đốc Công ty TNHH TÀI LIỆU TRỰC TUYẾN VI NA
LIÊN HỆ
Địa chỉ: P402, 54A Nơ Trang Long, Phường 14, Q.Bình Thạnh, TP.HCM
Hotline: 093 303 0098
Email: support@tailieu.vn