IPSEC over TCP/UDP
ĐẠI HỌC KHOA HỌC TỰ NHIÊN TP. HỒ CHÍ MINH
KHOA ĐIỆN TỬ - VIỄN THÔNG
BỘ MÔN VIỄN THÔNG VÀ MẠNG
------oOo------
BÁO CÁO ĐỀ TÀI:
IPSEC over TCP/UDP
GVHD: Trần Thị Thảo Nguyên
Nhóm trình bày : Nhóm phản biện :
Hoàng Đức Phú 0920090 Nguyễn Hoài Nhân 0920078
Nguyễn Hùng Cường 0920010 Đặng Ngàn Nhất Phương 0920092
Hồ Minh Tâm 0920219 Trần Thị Như Thắm 0920223
Nguyễn Thanh Hùng 0920181 Võ Quốc Anh 0920149
Phan Thị Xuân Lan 0920054
MỤC LỤC
I. GIỚI THIỆU : .............................................................................................. 3
II. KẾT NỐI IP SEC: ........................................................................................ 8
III. ISAKMP/IKE GIAI ĐOẠN 1: TẠO KẾT NỐI QUẢN LÝ: ...................... 9
A. Kết nối quản lý: ....................................................................................... 10
1.Main Mode: ........................................................................................... 10
2.Aggressive Mode: .................................................................................. 11
3.ISAKMP/IKE Transforms: ..................................................................... 11
B. Giao thức trao đổi key: Diffie-Hellman (DH): ...................................... 13
C. Chứng thực thiết bị: ................................................................................ 14
IV. ISAKMP/IKE GIAI ĐOẠN 2: TẠO KẾT NỐI DỮ LIỆU: ..................... 15
A. Những thành phần trong ISAKMP/IKE giai đoạn 2: ........................... 15
B. Các giao thức bảo mật giai đoạn 2: ........................................................ 16
1.Giao thức Authentication Header (AH): ................................................ 17
2.Giao thức Encapsulating Security Payload ( ESP): ............................... 26
C. Phương thức kết nối trong Phase 2: ....................................................... 32
1.Transport mode : ................................................................................... 32
2.Tunnel mode: ......................................................................................... 34
D. Phase 2 Transforms: ............................................................................... 36
E. Kết nối dữ liệu: ....................................................................................... 36
V. IPSEC OVER TCP/UDP : ......................................................................... 37
A. Vấn đề chuyển đổi địa chỉ trong IP Sec: ................................................ 37
B. Giải quyết vấn đề chuyển đổi địa chỉ trong IP Sec: .............................. 40
VI. TÀI LIỆU THAM KHẢO: ............................... Error! Bookmark not defined.
I. GIỚI THIỆU :
1. Nhu cầu sử dụng IP Sec hiện nay:
Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống
hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai
các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên
TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm
giao thức nền tảng của mạng Internet.
Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật
sự được quan tâm, do đó, các giao thức trong bộ TCP/IP hầu như không được
trang bị bất cứ giao thức nào. Cấu trúc gói dữ liệu (IP, TCP, UDP và cả các
giao thức ứng dụng) được mô tả công khai, bắt được gói IP trên mạng, ai cũng
có thể phân tích gói để đọc phần dữ liệu chứa bên trong, đó là chưa kể hiện nay,
các công cụ bắt và phân tích gói được xây dựng với tính năng mạnh và phát
hành rộng rãi.Việc bổ sung các cơ chế bảo mật vào mô hình TCP/IP, bắt đầu từ
giao thức IP là một nhu cầu cấp bách.IP Security (IPSec) là một giao thức được
chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá
và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP.
Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm
bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu
giữa các thiết bị mạng IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network
layer) của mô hình OSI.
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện
thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng
IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển
khai bắt buộc.
2. Khái niệm IP Sec :
IPSec (Internet Protocol Security) là một giao thức được IETF phát triển.
IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch
vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một tập
hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.
Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập
giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị
giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật
(có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một
host và một cổng bảo mật. Đường ngầm đóng vai trò là một kênh truyền bảo
mật giữa hai đầu và các gói dữ liệu yêu cầu an toàn được truyền trên đó.
IPSec cũng thực hiện đóng gói dữ liệu các thông tin để thiết lập, duy trì và
hủy bỏ kênh truyền khi không dùng đến nữa. Các gói tin truyền trong đường
ngầm có khuôn dạng giống như các gói tin bình thường khác và không làm
thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng
trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý.
IPSec có các cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH
(Authentication Header), ESP (Encapsulating Security Payload), IKE (Internet
Key Exchange) và ISAKMP (Internet Security Association and Key
Management Protocol) trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH:
AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ
liệu và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai
hệ thống. AH không cung cấp tính bảo mật, điều này có nghĩa là nó
gửi đi thông tin dưới dạng bản rõ.
ESP là một giao thức cung cấp tính an toàn của các gói tin được
truyền bao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm
tra tính toàn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật
của thông tin thông qua việc mật mã gói tin IP. Tất cả lưu lương ESP
đều được mật mã giữa hai hệ thống. Với đặc điểm này thì xu hướng
sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu.
Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa
vào sự phân phối của các khóa mật mã và quản lý các luồng giao
thông có liên quan đến những giao thức an toàn này.
IKE (Internet Key Exchange): IKE là giao thức thực hiện quá trình
trao đổi khóa và thỏa thuận các thông số bảo mật giữa các thiết bị với
nhau như: mã hóa thế nào, dùng thuật toán nào, bao lâu trao đổi khóa
một lần. Sau khi trao đổi xong thì sẽ có một thương lượng giữa hai đầu
cuối, khi đó IPsec SA (Security Association) được tạo ra. Một SA, là
một liên kết bảo mật, có thể được xem là một nhóm những thành phần,
thông số bảo mật đã được thống nhất giữa 2 đầu cuối, nói cách khác,
khi tất cả các thông số đã được thương lượng và các khóa đã được tạo
ra, một thiết bị có 1 SA và nó có thể sử dụng SA này để giao tiếp với
một thiết bị khác.
ISAKMP (Internet Security Association and Key Management
Protocol): là một giao thức thực hiện việc thiết lập, thỏa thuận và quản
lý chính sách bảo mật SA. Giao thức này đi kèm với giao thức IKE
nên ta sẽ viết ISAKMP/IKE.
Những giao thức này có thể được áp dụng một mình hay kết hợp với
nhau để cung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6,
nhưng cách chúng cung cấp các dịch vụ là khác nhau. Đối với cả hai giao
thức AH và ESP này, IPSec không định các thuật toán an toàn cụ thể được
sử dụng, mà thay vào đó là một khung chuẩn để sử dụng các thuật toán theo
tiêu chuẩn công nghiệp. IPSec sử dụng các thuật toán: Mã nhận thực bản tin
trên cơ sở băm (HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA-
1 để thực hiện chức năng toàn vẹn bản tin; Thuật toán DES, 3DES để mật
mã dữ liệu; Thuật toán khóa chia sẻ trước, RSA chữ ký số và RSA mật mã
giá trị ngẫu nhiên (Nonces) để nhận thực các bên. Ngoài ra các chuẩn còn
định nghĩa việc sử dụng các thuật toán khác như IDEA, Blowfish và RC4.
IPSec có thể sử dụng giao thức IKE (Internet Key Exchange) để xác thực hai
phía và làm giao thức thương lượng các chính sách bảo mật và nhận thực
thông qua việc xác định thuật toán được dùng để thiết lập kênh truyền, trao
đổi khóa cho mỗi phiên kết nối, dùng trong mỗi phiên truy cập. Mạng dùng
IPSec để bảo mật các dòng dữ liệu có thể tự động kiểm tra tính xác thực của
thiết bị bằng giấy chứng nhận số của hai người dùng trao đổi thông tin qua
lại. Việc thương lượng này cuối cùng dẫn đến thiết lập kết hợp an ninh (SAS)
giữa các cặp bảo mật, kết hợp an ninh này có tính chất hai chiều trực tiếp.
Thông tin kết hợp an ninh được lưu trong cơ sử dữ liệu liên kế an ninh, và mỗi
SA được ấn định một số tham số an ninh trong bảng mục lục sao cho khi kết
hợp một địa chỉ đích với giao thức an ninh (ESP hoặc AH) thì có duy nhất một.
3. Lịch sử phát triển của IP Sec:
Từ khi công nghệ ipsec ra đời, nó không chỉ còn được biết đến như một
chuẩn interrnet đơn lẽ nữa, mà hơn thế nữa còn được định nghĩa trong chuẩn
RFC, được kể đến trong bảng sau:
RFC Tiêu đề Chủ đề Thời
gian
1825 Security Architure for the Internet
Protocol
(kiến trúc bảo mật cho giao thức Internet)
IPSec 8/1995
1826 IP Authentication Header
(Nhận thực tiêu đề IP)
AH 8/1995
1827 IP Encapsulating Security Payload
(đóng gói an toàn tải IP)
ESP 8/1995
1828 IP Authentication Using Keyed MD5
(Nhận thực IP sử dụng khoá MD5)
MD5 8/1995
1829 The ESP DES-CBC Transform
(sự biến đổi ESP nhờ DES-CBC)
DES 8/1995
2104 HMAC: Keyed-Hashing for Message
Authentication
(HMAC: Khoá băm cho nhận thực bản
HMAC 1/1997
có thể bạn quan tâm
thông tin tài liệu
Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet.
Vào thời điểm thiết kế giao thức này, vấn đề bảo mật thông tin chưa thật sự được quan tâm, do đó, các giao thức trong bộ TCP/IP hầu như không được trang bị bất cứ giao thức nào. Cấu trúc gói dữ liệu (IP, TCP, UDP và cả các giao thức ứng dụng) được mô tả công khai, bắt được gói IP trên mạng, ai cũng có thể phân tích gói để đọc phần dữ liệu chứa bên trong, đó là chưa kể hiện nay, các công cụ bắt và phân tích gói được xây dựng với tính năng mạnh và phát hành rộng rãi.Việc bổ sung các cơ chế bảo mật vào mô hình TCP/IP, bắt đầu từ giao thức IP là một nhu cầu cấp bách.IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị mạng IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
Mở rộng để xem thêm
tài liệu mới trong mục này
SƠ LƯỢC QUA VỀ TRUYỀN HÌNH ĐEN TRẮNG VÀ KHUẾCH ĐẠI HÌNH VÀ ĐÈN HÌNH (VIDEO AMP - CRT)
GIỚI THIỆU VÀ THIẾT KẾ VỀ ĐỘNG CƠ KHÔNG ĐỒNG BỘ ROTO DÂY QUẤN
Giới thiệu tổng quan về tổng đài SPC, tổng đài NEAX61-E và nghiên cứu Modul giao tiếp trung kế số DTIM
NGHIÊN CỨU THIẾT KẾ ĐỘNG CƠ KHÔNG ĐỒNG BỘ VẠN NĂNG
NGHIÊN CỨU BỘ CHẤN LƯU 3 CHỨC NĂNG CHO ĐÈN NEON
tài liệu hot trong mục này
Tiểu luận quản trị học: Khái niệm quản trị, chức năng quản trị, giới thiệu về MICROSOFT, TOYOTA VÀ VINAMILK và phân tích chức năng quản trị hệ thống
HỆ THỐNG ĐIỆN TRÊN TÀU THỦY, TRẠM PHÁT TÀU 700 TEU VÀ BẢNG ĐIỆN CHÍNH TÀU 700 TEU.
SƠ LƯỢC QUA VỀ TRUYỀN HÌNH ĐEN TRẮNG VÀ KHUẾCH ĐẠI HÌNH VÀ ĐÈN HÌNH (VIDEO AMP - CRT)
GIỚI THIỆU VÀ THIẾT KẾ VỀ ĐỘNG CƠ KHÔNG ĐỒNG BỘ ROTO DÂY QUẤN
Giới thiệu tổng quan về tổng đài SPC, tổng đài NEAX61-E và nghiên cứu Modul giao tiếp trung kế số DTIM
tài liệu giúp tôi
Nếu bạn không tìm thấy tài liệu mình cần có thể gửi yêu cầu ở đây để chúng tôi tìm giúp bạn!
xem nhiều trong tuần
Giáo trình Quản trị học của Đại học kinh tế quốc dân
4 đề thi học sinh giỏi Toán lớp 2, có đáp án kèm theo
MẪU GIỚI THIỆU CHUYỂN SINH HOẠT HỘI
PHÂN TÍCH CHUỖI CUNG ỨNG CỦA COCA COLA VIỆT NAM
Địa lý 12 Phát triển cây công nghiệp lâu năm Tây Nguyên
IOE tiếng Anh lớp 10 lần 21 niên khóa 2016
yêu cầu tài liệu
Giúp bạn tìm tài liệu chưa có
×
