Đề tài Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Checkpoint

p của các giao thức VPN trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F. L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP. L2TP là sự tích hợp các đặc trưng của L2F và PPTP - L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông thường. - L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành. - L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập một mạng từ xa qua một mạng công cộng. - Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có thể định nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước. - Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế, đường hầm này mở rộng tới Gateway của mạng đích. Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP. Hình 21. Đường hầm L2TP Khi một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như các thông điệp giao thức UDP. L2TP sử dụng các thông điệp UDP này cho cả dữ liệu đường hầm cũng như việc duy trì đường hầm. Cũng vì vậy, dữ liệu đường hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có cùng cấu trúc gói. a. Các thành phần của L2TP Một Server truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS). 1. Server truy cập mạng (NAS) Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không. Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix, Linux,…) 2. Bộ tập trung truy cập L2TP (LAC) LAC chịu trách nhiệm thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng. LAC server như là điểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ. Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằm cung cấp kết nối vật lý cho người truy cập từ xa. 3. Server mạng L2TP(LNS) LNS là điểm cuối đầu kia của một kết nối từ xa. Nó được đặt tại mạng trung tâm và cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc. Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo. b. Các tiến trình L2TP Hình 22. Mô tả quá trình thiết lập đường hầm L2TP Các bước thiết lập một đường hầm L2TP: 1) Client gửi một yêu cầu kết nối tới NAS của ISP 2) NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho chức năng này. 3) NAS khởi động LAC, nơi chứa thông tin về LNS của mạng đích. 4) Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian giữa hai đầu cuối. Môi trường đường hầm này có thể là ATM, Frame Relay hoặc IP/UDP. 5) Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS, thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng từ xa (người yêu cầu đường hầm ban đầu). Thông điệp này cũng mang cả tuỳ chọn LCP đã được thương lượng giữa người dùng với LAC. 6) LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực người dùng cuối. Nếu người dùng được xác thực thành công và LNS chấp nhận yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự trợ giúp của các tuỳ chọn nhận được từ thông điệp thông báo. 7) Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm. c. Dữ liệu đường hầm L2TP Hình 23. Quá trình xử lý định đường hầm dữ liệu L2TP Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều mức đóng gói bao gồm: - Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ liệu không được mã hoá trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào gói dữ liệu gốc được tải. - Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong một gói PPP, một tiêu đề L2TP được thêm vào. - Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói lại được đóng gói vào trong một Frame UDP. Tiếp sau đó, tiêu đề UDP được thêm vào Frame L2TP đã đóng gói. Cổng nguồn và đích trong UDP này được thiết lập là 1701. - Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật IPSec được thêm vào nó. Một đánh dấu xác thực tiêu đề IPSec cũng được gắn vào để mã hoá và đóng gói dữ liệu. - Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối cùng được thêm vào các gói IPSec đã đóng gói. Tiêu đề IP này chứa địa chỉ IP của LNS và người dùng từ xa. - Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng. Tiêu đề và đánh dấu này giúp cho gói dữ liệu tới được Node đích. Nếu Node đích là node cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN. Trong trường hợp khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP và đánh dấu được thêm vào gói dữ liệu đường hầm L2TP. Ở phía thu quá trình xử lý dữ liệu diễn ra ngược lại d. Mô hình đường hầm L2TP L2TP hỗ trợ 2 mô hình đường hầm: Đường hầm tự nguyện (Voluntary) và đường hầm bắt buộc (Compulsory). 1. Đường hầm L2TP kiểu bắt buộc Một đường hầm L2TP bắt buộc, được thiết lập giữa LAC của ISP sau cùng và LNS của mạng chủ. Để thiết lập thành công một đường hầm này thì ISP có khả năng hỗ trợ công nghệ L2TP. Hơn nữa, ISP cũng phải dùng một luật khoá trong việc thiết lập các đường hầm L2TP. Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) chỉ là một thực thể bị động. Khác với việc phát ra yêu cầu kết nối gốc, người dùng cuối không có vai trò trong tiến trình thiết lập đường hầm. Vì vậy, không có thay đổi lớn được yêu cầu tại người dùng cuối L2TP. Hình 23. Đường hầm L2TP bắt buộc Các bước thiết lập đường hầm bắt buộc Hình 24. Thiết lâp một đường hầm L2TP bắt buộc 1) Người dùng từ xa yêu cầu một kết nối từ NAS cục bộ tới ISP. 2) NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS biết được về định danh của người dùng yêu cầu kết nối. Nếu định danh của người dùng ánh xạ tới một thực thể trong cơ sở dữ liệu được duy trì ở ISP, dịch vụ đó cho phép người dùng được ánh xạ. NAS cũng xác định điểm cuối của đường hầm L2TP. 3) Nếu NAS chấp nhận kết nối, một liên kết PPP được thiết lập giữa ISP và người dùng từ xa. 4) LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng. 5) Nếu kết nối được chấp nhận bởi LNS, các Frame PPP trải qua việc tạo đường hầm L2TP. 6) LNS chấp nhận các Frame và khôi phục lại Frame PPP gốc. 7) Cuối cùng, LNS xác thực người dùng và nhận các gói dữ liệu. Nếu người dùng được xác nhận thành công, địa chỉ IP thích hợp được ánh xạ tới Frame và sau đó các Frame được chuyển tiếp tới Node đích trong Intranet. 2. Đường hầm L2TP kiểu tự nguyện Một đường hầm tự nguyện L2TP được thiết lập giữa người dùng từ xa và LNS đặt tại mạng chủ cuối cùng. Trong trường hợp này, người dùng từ xa tự hoạt động như một LAC. Bởi vì luật của ISP trong việc thiết lập đường hầm tự nguyện L2TP là tối thiểu. Cơ sở hạ tầng của ISP là trong suốt với người dùng cuối. Hình 25 Đường hầm L2TP tự nguyện Ưu điểm lớn nhất của đường hầm L2TP tự nguyện là nó cho phép người dùng từ xa kết nối đến Internet và thiết lập nhiều phiên VPN đồng thời. Tuy nhiên để sử dụng những ưu điểm này, người dùng từ xa phải gắn vào nhiều địa chỉ IP. Một trong nhiều IP này được dùng cho kết nối PPP tới ISP và thường được dùng để hỗ trợ cho mỗi đường hầm L2TP riêng biệt. Tuy nhiên ưu điểm này cũng có thể là một bất lợi đối với client từ xa, vì mạng chủ có thể dễ dàng bị tấn công. Hình 26 Quá trình thiết lập đường hầm L2TP tự nguyện Việc thiết lập một đường hầm loại này là đơn giản hơn thiết lập đường hầm bắt buộc vì người dùng từ xa tận dụng một kết nối PPP đã được thiết lập trước tới ISP sau cùng. Các bước thiết lập đường hầm bao gồm: 1) LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu đường hầm tới LNS. 2) Nếu yêu cầu đường hầm được chấp nhận bởi LNS, LAC tạo đường hầm cho các Frame PPP trên L2TP xác định và chuyển tiếp các frame này qua đường hầm. 3) LNS nhận được Frame đã qua đường hầm, loại bỏ thông tin đường hầm và xử lý Frame. 4) Cuối cùng, LNS xác thực định danh người dùng và nếu người dùng được xác thực thành công, thì chuyển tiếp Frame tới Node đích trong Intranet. Tiến trình thiết lập đường hầm L2TP tự nguyện được minh hoạ trong hình 2.22 Việc sử dụng L2TP trong VPN yêu cầu chi phí thấp tuy nhiên bên cạnh đó còn nhiều vấn đề về bảo mật vẫn chưa đáp ứng được. c. Kiểm soát kết nối L2TP PPTP sử dụng các kết nối TCP riêng cho việc duy trì đường hầm. Kiểm soát kết nối L2TP và các Frame quản trị được dựa trên UDP. Định dạng của thông điệp kiểm soát L2TP. Data Link Header IP Header IPSec ESP Header UDP Header L2TP Message IPSec ESP Trailer IPSec ESP Authentication Trailer Data Link Trailer Hình 27 Định dạng thông điệp kiểm soát L2TP Một số thông điệp duy trì và kiểm soát L2TP được sử dụng Name Description Start-Control-Connection-Request Yêu cầu từ Client L2TP để thiết lập kết nối điều khiển Start-Control-Connection-Reply Phản hồi từ Server L2TP với thông điệp Start-Control-Connection-Request của Client. Thông điệp này cũng được gửi như một trả lời cho thông điệp Outgoing-Call-Reply. Start-Control-Connection-Connected Trả lời từ Client L2TP cho thông điệp Start-Control-Connection-Reply của LNS. Outgoing-Call-Request Yêu cầu từ Client L2TP tới LNS để tạo đường hầm L2TP. Yêu cầu này chứa Call ID để định dang một yêu cầu trong đường hầm. Outgoing-Call-Reply Trả lời từ LNS L2TP cho thông điệpOutgoing-Call-Request của Client. Hello Thông điệp Keep-alive gửi bới LNS hoặc Client. Nếu thông điệp này không được chấp nhận bởi thực thể cuối khác thì đường hầm bị kết thúc. Set-Link-Info Thông điệp từ bên ngoài khác để thiết lập các tuỳ chọn PPP đã thương lượng. Call-Disconnect-Notify Phản hồi từ Server L2TP để cho biết yêu cầu nào đó trong đường hầm L2TP để được kết thúc. WAN-Error-Notify Thông điệp từ Server L2TP (LNS) tới tất cả các Client L2TP đã được kết nối để thông báo lỗi trong giao diện PPP của Server. Stop-Control-Connection-Request Thông điệp từ Client hoặc Server L2TP để thông báo cho các thực thể cuối khác về việc kết thúc kết nối điều khiển. Stop-Control-Connection-Reply Phản hồi ngược lại từ thực thể cuối đối với thông điệp Stop-Control-Connection-Request. Stop-Control-Connection-Notification Phản hồi ngược lại từ thực thể cuối để cho biết đường hầm bị kết thúc. d. Bảo mật L2TP L2TP sử dụng phương thức xác thực PPP để xác thực người dùng. Sơ đồ xác thực bao gồm: - PAP và SPAP. - EAP. - CHAP. Ngoài các cơ chế xác thực đã nói ở trên. L2TP còn sử dụng IPSec để xác thực các gói dữ liệu riêng. Dùng IPSec để xác thực từng gói đảm bảo rằng Hacker và Cracker không thể thay đổi được dữ liệu và đường hầm của bạn. e. Những ưu và nhược điểm của L2TP Ưu điểm: - L2TP là giải pháp chung. Trong nhiều trường hợp khác, nó độc lập với Platform, nó cũng hỗ trợ nhiều công nghệ mạng. Hơn nữa, nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP mà không cần một IP. - Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa. Vì vậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng. - L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP. - L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại bỏ một cách tuỳ ý nếu đường hầm bị đầy. Điều này làm cho các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F. - L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một mạng từ xa qua một mạng công cộng. - L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trên IPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói của IPSec. Tuy nhiên nó cũng có một số nhược điểm. Đó là: - L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực từng gói tin nhận được. 1.4.4 Giao thức IPSec Giao thức IPSec thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nội dung thông tin. Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3 của mô hình OSI Hình 28 Vị trí của IPSec trong mô hình OSI a. Kiến trúc an toàn IP (IPSec) +. Giới thiệu chung và các chuẩn Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và IPV6. Các giao thức tầng giao vận và các ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi gì. IPSec là một kiến trúc an toàn dựa trên chuẩn mở, nó có các đặc trưng: - Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại - Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an toàn - Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật - Cung cấp khả năng xác thực dựa trên chứng chỉ số - Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá - Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa như L2TP, PPTP IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các thiết bị khác nằm trên đoạn đường giữa hai đầu không phải bận tâm đến công việc mã hoá, trao đổi khoá bảo mật vv… khi chuyển tiếp dữ liệu. Đối với khách hàng, điều này đồng nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà không đòi hỏi sự đầu tư hay thay đổi quá lớn đối với hạ tầng mạng, người ta gọi giải pháp VPN ứng dụng giao thức IPSec là “Desktop VPN” vì toàn bộ chức năng bảo mật dữ liệu được thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan tâm đến các công tác bảo đảm an toàn. Khi sử dụng các thuật toán xác thực và mã hoá dữ liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi ích của các công nghệ này và tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo vệ luồng dữ liệu truyền trên mạng. Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP). AH được sử dụng để đảm bảo tính toàn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực đối với máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng nhưng kèm thêm khả năng bảo mật dữ liệu. Encapsulating Security Payload (ESP) protocol IP Security architecture Key management Protoccol Domain of  Interpretation AuthenticationHeader (AH) Protocol Encryption Algorithms Authentication Hình 29. Kiến trúc bộ giao thức IPSec Bộ giao thức IPSec mang lại ba khả năng chính, đó là: - Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế mạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đổi nào về nội dung của gói dữ liệu. Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự giả mạo, do thám hoặc tấn công dịch vụ. - Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ thuật mật mã cao cấp, nó ngăn chặn những người dùng trái phép truy cập dữ liệu trong khi nó đang được truyền đi. IPSec cũng sử dụng các cơ chế đường hầm để dấu địa chỉ IP của Node nguồn và đích đối với kẻ nghe trộm. - Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá Internet (IKE) để thương lượng giao thức bảo mật và thuật toán mã hóa trước và trong một phiên làm việc. IPSec phân phối, kiểm soát khoá và cập nhật các khoá này khi được yêu cầu. - Hai khả năng thứ nhất của IPSec, xác thực tính toàn vẹn dữ liệu và sự tin cậy được cung cấp bởi hai giao thức khoá trong bộ giao thức IPSec. Các giao thức này bao gồm AH và ESP. Khả năng thứ ba, quản trị khoá, nằm trong địa hạt của giao thức khác. Nó được chấp nhận bởi bộ IPSec vì dịch vụ quản lý khoá tốt của nó b. Liên kết bảo mật IPSec (SA-IPSec) Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec. Một SA là một kết nối logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec, được định danh một cách duy nhất bởi ba phần sau: Một IPSec SA được xác định là: - Các thuật toán, khoá, các giao thức xác thực. - Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao thức AH hoặc ESP của IPSec thích hợp. - Các thuật toán mã hoá, giải mã và các khoá. - Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống của khoá. - Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian sống. Hình 30 Mô tả ba trường của một IPSec SA - SPI(Security Parameter Index): 32 bít, định danh giao thức bảo mật, được xác định bởi trường giao thức bảo mật(Security Protocol). SPI thường được lựa chọn bởi hệ thống đích khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lôgic, được định nghĩa bởi người tạo SA. SPI có giá trị trong phạm vi 1 đến 255, giá trị 0 được dùng cho mục đích thực thi đặc biệt cục bộ - Địa chỉ IP đích: là địa chỉ IP của Node đích, có thể là một địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tại được định nghĩa chỉ với các địa chỉ unicast. - Giao thức bảo mật: mô tả giao thức bảo mật IPSec, là AH hoặc ESP. Trước khi hai máy chủ có thể liên lạc được với nhau sử dụng giao thức IPSec, chúng cần thống nhất các tham số cho kết nối( như cách xác thực lẫn nhau hay thuật toán mã hoá hai bên cùng sử dụng). Đây chính là việc liên kết bảo mật, đó chính là thoả thuận cách thức thống nhất được sử dụng cho việc bảo mật dữ liệu giữa hai đầu cuối. Một SA IPSec sử dụng hai cơ sở dữ liệu: + Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về các dịch vụ bảo mật. Định nghĩa luồng lưu lượng được xử lý hoặc bỏ qua. + Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan tới mỗi SA. Thông tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống của SA, chế độ giao thức và số tuần tự. c. Các giao thức của IPSec + Giao thức xác thực tiêu đề (AH) Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP. Tiêu đề này phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhận cuối cùng, tiêu đề này giúp nhận biết bất kỳ sự thay đổi nào về nội dung của gói dữ liệu bởi người dùng không mong muốn trong khi đang truyền, tuy nhiên AH không đảm bảo tính tin cậy. Để tạo một AH, một giá trị mã thông điệp cần xác thực qua hàm băm (HAMC) được tạo tại người gửi. Giá trị băm này được tạo trên cơ sở của SA, cái xác định trình tự giao dịch sẽ được áp dụng cho gói dữ liệu. Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu đề IP gốc. Tại người nhận cuối, HAMC được giải mã và được dùng để thiết lập việc xác thực người gửi cũng như tính toàn vẹn của thông điệp. AH có các đặc trưng cơ bản như sau: - Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại - Sử dụng mã xác thực thông điệp được băm(HMAC), dựa trên chia sẻ bí mật - Nội dung các gói tin không được mã hoá - Không sử dụng các trường changeable IP header để tính toán giá trị kiểm tra tính toàn vẹn(IVC) 1. Khuôn dạng gói tin Khuông dạng của gói tin theo giao thức .Các trường trong AH header đều là bắt buộc. Hình 31.Khuôn dạng gói tin AH - Next Header: nhận biết giao thức bảo mật, có độ dài 8 bít để xác định kiểu dữ liệu của phần Payload phía sau AH. Giá trị của trường này được chọn từ các giá trị của IP Protocol number được định nghĩa bởi IANA (Internet Assigned Numbers Authority). - Payload Length: Trường này chỉ định độ dài của thông điệp gắn sau tiêu đề AH. - Reserved: Trường 16 bit dự trữ để sử dụng cho tương lai, giá trị của trường này bằng 0. - SPI: Là một số 32 bit bất kì, cùng với địa chỉ IP đích và giao thức an ninh mạng cho phép nhận dạng một thiết lập an toàn duy nhất cho gói dữ liệu. SPI thường được lựa chọn bởi phía thu. - Sequence Number(SN): Trường gồm 32 bit sử dụng cho việc chống trùng lặp. Chống trùng lặp là một lựa chọn nhưng trường này là bắt buộc đối với phía phát. Bộ đếm của phía phát và thu khởi tạo 0 khi một liên kết an toàn (SA) được thiết lập, giá trị SN mỗi gói trong một SA phải hoàn toàn khác nhau để tránh trùng lặp. Nếu số gói vượt quá con số 232 thì một SA khác phải được thiết lập. - Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn vẹn (ICV) cho gói tin, ICV được tính bằng thuật toán đã được chọn khi thiết lập SA. Độ dài của trường này là số nguyên lần của 32 bit, chứa một phần dữ liệu đệm để đảm bảo độ dài của AH là n*32 bit. Giao thức AH sử dụng một hàm băm và băm toàn bộ gói tin trừ trường Authentication Data để tính ICV. 2. Chế độ hoạt động AH có thể sử dụng ở hai chế độ: Chế độ truyền tải (Transport) và chế độ đường hầm(Tunnel). - Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớp trên cùng với một số trường trong IP Header. Trong chế độ này, AH được chèn vào sau IP Header và trước một giao thức lớp trên như TCP hoặc UDP. Chế độ Transport thường được sử dụng bởi các Host chứ không được sử dụng bởi Gateway. Ưu điểm của chế độ này là đỡ tốn kém chi phí xử lý nhưng nó có khuyết điểm là các trường có thể thay đổi không được xác thực. Hình 32. Gói tin IP trước và sau khi xử lý AH trong chế độ Transport - Chế độ Tunnel: Trong chế độ Tunnel, một gói tin IP khác được thiết lập dựa trên các gói tin IP cũ. Header của gói IP cũ (bên trong) mang địa chỉ nguồn và đích cuối cùng, còn Header của gói IP mới (bên ngoài) mang địa chỉ để định tuyến trên Internet. Trong chế độ này, AH bảo vệ toàn bộ gói tin bên trong bao gồm cả Header. Đối với gói tin IP bên ngoài thì vị trí của AH như là trong chế độ transport. Hình 33. Khuôn dạng gói tin AH trong chế độ Tunnel. Ưu điểm của chế độ Tunnel là bảo vệ toàn bộ gói IP và các địa chỉ cá nhân trong IP Header, tuy nhiên có nhược điểm là tốn chi phí hơn nhiều để xử lý các gói tin. 3. Các thuật toán xác thực Các thuật toán xác thực để tính ICV được xác định bởi các liên kết bảo mật (SA). Các thuật toán xác thực thích hợp là các thuật toán hàm băm một chiều MD5 và SHA1 (Các thuật toán này bắt buộc một ứng dụng AH phải hỗ trợ). MD5 là chữ viết tắt của Message Digest #5 do Ron Rivest thuộc RSA Security Inc phát minh, tính giá trị Hash 128 bit từ một bản tin nhị phân có độ dài tuỳ ý. SHA được phát triển bởi NIST và NSA, SHA-1 tính giá trị Hash 160 bit từ một bản tin nhị phân có độ dài tuỳ ý. SHA-1 tương tự như MD5 nhưng an toàn hơn do kích thước băm lớn hơn. 4. Xử lý gói đầu vào Quá trình xử lý gói đầu vào được thực hiện ngược với quá trình xử lý gói đầu ra - Ghép mảnh: Nếu cần thiết, sẽ tiến hành ghép mảnh trước khi xử lý AH. - Tìm kiếm SA: Khi đã nhận được một gói tin chứa AH Header, phía thu sẽ xác định một SA phù hợp với địa chỉ IP đích, AH và SPI. Thông tin trong SA sẽ cho biết có cần kiểm tra trường Sequence Number(SN) hay không, có cần thêm trường Authentication Data hay không, các thuật toán và khoá để giải mã ICV. Nếu không có SA nào phù hợp thì phía thu sẽ loại bỏ gói tin. - Kiểm tra SN: Nếu bên thu không chọn dịch vụ chống lặp thì không cần kiểm tra trường SN. Nếu phía thu có sử dụng dịch vụ chống lặp cho một SA thì bộ đếm gói thu phải được khởi tạo = 0 khi thiết lập SA. Với mỗi gói tin vào khi phía thu tiếp nhận, sẽ kiểm tra có chứa số SN không lặp lại của bất kỳ gói nào trong thời gian tồn tại của SA đó. Nếu bị lặp, gói tin đó sẽ bị loại bỏ. 5. Xử lý gói đầu ra - Tìm SA: AH được thực hiện trên một gói tin khi đã xác định gói tin đó được liên kết với một SA, SA đó sẽ yêu cầu xử lý gói tin. - Tạo SN: Bộ đếm phía phát khởi tạo giá trị 0 khi một SA được thiết lập. Khi truyền một gói tin, bộ đếm sẽ tăng lên 1 và chèn giá trị này vào trường SN. Nếu phía phát lựa chọn dịch vụ AntiReplay sẽ kiểm tra để đảm bảo không bị lặp trước khi chèn một giá trị mới vào trường SN. - Tính ICV: AH ICV được tính dựa trên các dữ liệu sau: + Các trường trong IP Header có giá trị không đổi hoặc có giá trị không dự đoán được trong quá trình truyền tới điểm cuối. + Bản thân AH Header: Next Header, Payload, Length, Reserved, SPI, SN, Authentication Data (được đặt bằng 0), và explicit padding (nếu có). + Dữ liệu của các giao thức lớp trên. + C