Đề tài Quản lý khóa trong VPN

MỤC LỤC

MỤC LỤC . 2

BẢNG CÁC TỪ VIẾT TẮT . 3

Chương 1: GIỚI THIỆU CHUNG VỀ QUẢN LÝ KHOÁ . 4

1. Quản lý khóa là gì? tại sao phải quản lý khóa? . 4

1) Quản lý khóa là gì? . 4

2) Tại sao phải quản lý khóa? . 5

2. Các phương pháp quản lý khóa. 6

1) Mã hóa dữ liệu. . 6

2) Public Key Infrastructure . 11

Chương 2: NGUYÊN TẮC HOẠT ĐỘNG. 14

1. Xác nhận thông tin, thiết lập kênh bảo mật cho SA. . 14

2. Thiết lập SAs cho IPSec . 15

1. Các giai đoạn hoạt động của IKE (IKE Phases) . 15

2. Cơ chế hoạt động của 2 protocol ESP và AH. 16

3. Bốn chế độ IKE phổ biến: . 18

1) Main Mode. 18

2) Aggressive Mode. 20

3) Quick Mode . 22

4) New Group Mode . 22

Chương 3: ỨNG DỤNG . 24

1. Chứng thực cho người dùng bí mật . 24

2. Chứng thực với những chữ ký. . 26

3. Chứng thực với sự mã hóa chìa khóa công cộng. . 27

Chương 4: KẾT LUẬN. 28

pdf28 trang | Chia sẻ: lethao | Lượt xem: 2198 | Lượt tải: 4download
Bạn đang xem trước 20 trang tài liệu Đề tài Quản lý khóa trong VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ho tới khi xác định được từ khóa chính xác. Với những khóa có kích thước nhỏ, sẽ dễ dàng để phát sinh ra chính xác từ khóa và phá vở hệ thống mật mã. Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 8 Chú ý : Tên chính thức của DES là Federal Information Processing Standard (FISP) (Tiêu chuẩn xứ lý thông tin liên bang (Hoa kỳ). + Bội ba tiêu chuẩn mã hóa dữ liệu (Triple Data Encryption Standard (3DES)). Cũng giống như DES, 3DES cũng sử dụng khóa 56 bit. Tuy nhiên, nó an toàn hơn nhiều do dùng 3 khóa khác nhau để mã hóa dử liệu. Bộ xử lý thực hiện các bước sau : khóa đầu tiên dùng để mã hóa dữ liệu. Sau đó, khóa thứ hai sẽ dùng để giải mã dữ liệu vừa được mã hóa. Cuối cùng, khóa thứ ba sẽ mã hóa lần thứ hai. Toàn bộ quá trình xử lý của 3DES tạo thành một thuật giải có độ an toàn cao. Nhưng bởi vì đây là một thuật giải phức tạp nên thời gian thực hiện sẽ lâu hơn, gấp 3 lần so với phương pháp DES. + Ron's Code 4 (RC4). Được phát triển bởi Ron Rivest, thuật giải này sử dụng những từ khóa với chiều dài có thể biến đổi lên đến 256 bytes. Bởi vì chiều dài của khóa, RC4 được phân loại là một cơ chế mã hóa mạnh. Nó cũng tương đối khá nhanh. RC4 tạo một dòng bytes ngẩu nhiên và XORs chúng với văn bản nguyên mẩu. Bởi vì các bytes được phát sinh ngẩu nhiên, RC4 đòi hỏi một khóa mới cho mổi lần gởi thông tin ra ngoài. Hệ thống mã hóa đồng bộ đưa ra 2 vấn đề chính. Đầu tiên, bởi vì một khóa vừa được dùng để mã hóa vừa dùng để giả mã, nếu nó bắt đầu trở thành kẻ xâm nhập, thì tất cả những thông tin sữ dụng khóa này sẽ bị huỷ. Vì thế, khóa nên thường xuyên thay đổi theo định kỳ. Một vấn đề khác là khi hệ thống mã hóa đồng bộ xữ lý một lượng thông tin lớn, việc quả lý các khóa sẽ trở thành một công việc vô cùng khó khăn. Kết hợp với việc thiết lặp các cặp khóa, phân phối, và thay đổi theo định kỳ đều đòi hỏi thời gian và tiền bạc. Hệ hống mã hóa đối xứng đã giải quyết vấn đề đó bằng việc đưa ra hệ thống mã hóa đối xứng. Đồng thời, họ cũng tăng tính năng bảo mật trong suốt quá trình chuyển vận. Chúng ta sẽ được tham khảo thêm về hệ thống mã hóa bất đối xứng ở phần sau. b. Hệ Thống Mã Hóa Bất Đối Xứng (Asymmetric Cryptosystems). Thay vì sử dụng một khóa đơn trong hệ thống mã hóa đối xứng, hệ thống mã hóa bất đối xứng sử dụng một cặp khóa có quan hệ toán học. Một khóa là riêng tư, chỉ được chính chủ nhân. Khóa thứ hai thì được phổ biến, công cộng và phân phối tự do. Khóa công cộng thì được dùng để mã hóa và ngược lại khóa riêng thì được dùng để giải thông tin. Trong VPN, 2 hệ thống mã hóa bất đối xứng được dùng phổ biến là thuật toán Diffie-Hellman (DH) và thuật toán Rivest Shamir Adleman (RSA). c. Thuật toán Diffie-Hellman Trong thuật toán DH, mổi thực thể giao tiếp nhận được một cặp khóa, một được phân phối tới những thực thể thông tin khác và một được giữ lại riêng. Thuật toán DH làm việc theo những vấn đề chính sau : 1. Người gửi nhận khóa công cộng của người nhận, do khóa này là khóa công cộng nên đều được mọi người biết. 2. Người gửi thực hiện một thao tác gộp khóa riêng và khóa công công của người nhận, kết quả cho ra một khóa chung bảo mật (shared secret key). Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 9 3. Thông điệp sẽ được mã hóa bằng khóa vừa nhận được. 4. Sau đó thông điệp mã hóa sẽ được gửi đến người nhận. 5. Trong qua trình nhận thông điệp mã hóa, bên nhận sẽ phát sinh một khóa chung mật khác cũng bằng thao tác tương tự gộp chính khóa riêng của mình với khóa chung của bên gửi. Giả định cơ bản của thuật toán này là nếu bất kỳ một ai bắt được thông điệp mã hóa, người đó cũng không thể nào giải mã được bởi vì anh hoặc cô ta không xữ lý khóa riêng của bên nhận được (khóa riêng của anh hoặc cô ta). Dữ liệu được trao đổi dựa trên thuật toán Diffie-Hellman được mô tả ở hình 3-4. Hình 4: Data exchange as defined by the Diffie-Hellman algorithm. Mặc dù thuật toán DH có một độ an toàn cao hơn so với hệ thống mã hóa đối xứng, nhưng cũng gặp một số vấn đề khó khăn. Phải đảm bảo chắc chắn rằng khóa công cộng phải được trao đổi trước khi quá trình trao đổi dữ liệu thực sự được xác định. Cho ví dụ : nếu 2 bên trao đổi khóa công cộng cho nhau qua môi trường không an toàn, như Internet, điều đó có thể làm cho khóa công cộng có thể bị bắt giữ trước bởi một người xâm phạm nào đó, sau đó người này sẽ gửi khóa công cộng của mình cho cả hai bên đầu cuối đang thực hiện trao đổi . Trong trường hợp này, người xâm nhập sẽ dễ dàng mắc vào nghe lén thông tin của hai bên đầu cuối bởi vì cả hai bên đầu cuối đều trao đổi dữ liệu thông qua khóa công cộng của người xâm phạm. Đây là một dạng xâm nhập được biết như một kiểu tấn công Man-in-the-Middle. Thuật toán Rivest Shamir Adleman (RSA), sẽ được tham khảo tiếp theo sau sẽ giải quyết hiệu quả phương pháp tấn công Man-in-the-Middle mà đã nảy ra trong thuật toán DH. Thuật toán RSA nổi lên như là một cơ chế mã hóa bất đối xứng khá mạnh. d. Thuật toán Rivest Shamir Adleman (RSA) Thuật toán RSA triển khai quá trình xác nhận bằng cách sử dụng chữ ký điện tử theo các bước sau : 1. Khóa công cộng của người gửi được yêu cầu và được dùng cho người nhận và sau đó được chuyễn hướng về phía trước (forward). Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 10 2. Người gửi sử dụng hàm băm để làm giảm kích thước mẩu tin gốc. Thông điệp tổng hợp thì được hiểu như là một thông điệp phân loại (message digest (MD)). 3. Người gửi mã hóa thông điệp phân loại bằng khóa riêng của nó được rút ra từ sự phát sinh chữ ký điện tử độc nhất. 4. Thông điệp và chữ ký điện tử được kết hợp và chuyễn hướng đến người nhận. 5. Trong lúc nhận thông điệp mã hóa, người nhận phục hồi lại thông điệp phân loại bằng cách sử dụng cùng một hàm băm như người gửi. 6. Người nhận sau đó giải mã chữ ký điện tử bằng cách sử dụng khóa công cộng của người gửi. 7. Người nhận sau đó sẽ so sánh thông điệp phân loại vừa được phục hồi (bước 5) và thông điệp phân loại nhận được từ chữ ký điện tử (bước 6). Nếu cả hai đồng nhất, tức là dữ liệu không bị chặn đứng, giả mạo hoặc chỉnh sửa trong suốt quá trình trao đổi. Ngược lại, dữ liệu sẽ không được chấp nhận, bị từ chối. Hình 5: Data exchange as defined by the RSA algorithm. RSA bảo đảm an toàn và bảo mật trong chuyến đi của dữ liệu bởi vì người nhận kiểm tra sự đúng đắn của dữ liệu qua 3 lần (bước 5, 6 và 7). RSA cũng làm đơn giản hóa công việc quản lý khóa. Trong cách mã hóa đối xứng, n2 khóa được yêu cầu nếu trong quá trình trao đổi có n thực thể. Bằng cách so sánh, cách mã hóa bất đối xứng chỉ đòi hỏi 2*n khóa. Như bạn có thể nhận xét, cả hai quá trình gia dịch đối xứng và bất đối xứng đều dựa trên cơ sở của mối quan hệ ủy nhiệm một chiều (one-way trust relationship). Public Key Infrastructure (PKI), là một khía cạnh khác, cải tiến cách ủy nhiệm giữa hai thực thể giao tiếp, để bảo đảm tính xác thực của các thực thể có liên quan và bảo đảm chắc chắn tính bảo mật cho các phiên trao đổi dữ liệu trên Internet (VPN). Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 11 2) Public Key Infrastructure PKI là một khuôn khổ của những chính sách để quản lý những khóa và thiết lập một phương pháp an toàn cho sự trao đổi dữ liệu. Để cải tiến việc quản lý các khóa và tính bảo mật cao trong các cuộc trao đổi dữ liệu. Một PKI được dựa trên khuôn khổ bao gồm những chính sách và thủ tục được hổ trợ bởi các tài nguyên phần cứng và phần mềm. Những chức năng chính của PKI sau đây : + Phát sinh một cặp khóa riêng và khóa chung cho PKI client. + Tạo và xác nhận chữ ký điện tử. + Đăng ký và xác nhận những người dùng mới. + Cấp phát chứng nhận cho người dùng. + Đánh dấu những khóa đã cấp phát và bảo trì quá trình sử dụng của mổi khóa (được dùng để tham khảo về sau). + Hủy bỏ những đăng ký sai và hết hạn. + Xác nhận PKI client. Trước khi tìm hiểu PKI làm việc như thế nào, chúng ta hãy tìm hiểu một số thành phần cấu thành khuôn khổ cho PKI. a. Một số thành phần PKI: + PKI client. + Certification Authority (CA). + Registration Authority (RA). + Digital certificates. + Certificate Distribution System (CDS). b. PKI-based Transactions Như đã nói ở phần trước, PKI đưa ra 4 chức năng bảo mật chính : tính bảo đảm(confidentiality), tính nguyên vẹn (integrity), tính xác thực (authenticity), và không từ chối. Mổi bước trong quá trình trao đổi dựa trên PKI lặp lại một hoặc nhiều lần những đặc tính bảo mật. Bao gồm một số bước sau : 1. Key pair generation. Trước khi người gửi chuyển dữ liệu đến cho người nhận mong muốn, nó báo cho người nhận biết ý định muốn trao đổi dữ liệu. Kết quả là, cả hai phía đều phát sinh 1 cặp khoá tạo nên một khóa riêng và một khóa chung. Đầu tiên, khóa riêng phát sinh ra trước. Sau đó, khóa chung tương ứng sẽ được tạo bằng cách áp dụng hàm băm một chiều đối với khóa riêng. Ghi chú : Trong PKI transactions cũng như trong RSA-based transactions, khóa riêng đều được dùng để ký hiệu thông tin. Khóa chung, ở một khía cạnh khác, được dùng để xác nhận chữ ký. 2. Quá trình phát sinh chữ ký điện tử (Digital Signature generation). Sau khi cặp khóa đã được tạo, một chữ ký điện tử duy nhất cũng được tạo ra. Chữ ký này được dùng để nhận dạng dữ liệu của người gửi. Để tạo ra chữ ký, đầu tiên thông điệp cơ bản sẽ bị băm ra. Nói cách khác, một hàm Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 12 băm được áp dụng vào thông điệp cơ bản. Quá trình xữ lý hàm băm này tạo ra một thông điệp phân loại, sẽ được mã hóa sau đó bằng khóa riêng của người gửi. Kết quả được biết như một chữ ký điện tử. 3. Mã hóa thông điệp và gắn chữ ký điện tử (Message encryption and digital signature application). Sau khi một chữ ký điện tử được hình thành, thông điệp cơ bản được mã hóa bằng khóa chung của người gửi. Kế tiếp, chữ ký được tạo trước đó sẽ được gắn kèm vào thông điệp mã hóa. 4. Mã hóa thông điệp và gửi khóa chung của người gửi đến người nhận. Thông điệp đã được mã hóa sau đó sẽ được chuyển đến người nhận, kèm với khóa chung của người gửi. Thay vì chuyển khóa chung dưới dạng văn bản thuần túy, đầu tiên khóa chung sẽ được mã hóa với khóa chung của người nhận. Để giải mã khóa chung đã được mã hóa, người nhận phải dùng chính khóa riêng của mình. Bởi vì khóa riêng của người nhận chỉ có mỗi người nhận mới biết, khả năng mà kẻ xâm nhập bất hợp pháp thay đổi khóa chung, là rất nhỏ. Khóa chung của người gửi cũng được xem như một phiên khóa (session key). 5. Quá trình nhận thông điệp và gửi sự kiểm chứng xác nhận. Trong quá trình nhận thông điệp mã hóa và khóa chung phía trên. Người nhận có thể đòi hỏi CA tương ứng để xác nhận người gửi. CA sẽ làm việc này bằng cách xác nhận chữ ký điện tử được gắn kèm theo thông điệp và thông báo với người nhận kết quả. Nếu chữ ký được chứng nhận thành công, người nhận tiếp tục quá trình xữ lý giải mã thông điệp. Nếu không thì, thông điệp nhận được sẽ bị loại bỏ và quá trình giao dịch (VPN session) kết thúc. 6. Giải mã thông điệp. Sau khi nhận dạng người gửi thành công, người nhận sẽ giải mã thông điệp. Để làm việc này, đầu tiên người nhận sẽ giải mã khóa chung của người gửi bằng cách sử dụng chính khóa riêng của mình. Khi khóa chung của người gửi được lấy lại thành công, người nhận dùng nó để giải mã thông điệp. 7. Kiểm tra nội dung thông điệp. Cuối cùng, người nhận xác nhận nội dung của thông điệp vừa nhận. Đầu tiên, chữ ký điện tử được giải mã bằng cách sử dụng khóa chung của người gửi và thông điệp phân loại được phục hồi. Thông điệp giải mã sau đó được băm bằng cách sử dụng hàm băm và một thông điệp phân loại mới được trích ra. Sau đó so sánh thông điệp phân loại vừa nhận và thông điệp phân loại vừa mới được phát sinh. Nếu chúng tương đồng, dữ liệu sẽ không bị chặn và làm xáo trộn trong lúc trao đổi. Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 13 Hình 6: A generic representation of a PKI-based transaction. Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 14 Chương 2: NGUYÊN TẮC HOẠT ĐỘNG 1. Xác nhận thông tin, thiết lập kênh bảo mật cho SA. Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa. Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật : - Giá trị Diffie-Hellman - SPI của ISAKMP SA ở dạng cookies - Số ngẩu nhiên known as nonces (used for signing purposes) Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng. THƯƠNG LƯỢNG MỘT LIÊN KẾT BẢO MẬT ( Security Association) Các Administrator không nên quan tâm đến các đặc điểm mang tính cá nhân của Policy . Cả hai Computer tiến hành thương lượng bảo mật cần phải có những chính sách bổ sung. Nếu 2 computer có thể thương lượng thành công, IPSEC sẽ được sử dụng. Nếu thương lượng không thành công do bất đồng về chính sách, 2 computer có thể không tiếp tục giao tiếp hoặc chấp nhận giao tiếp không an toàn. Ví dụ về cách thức hoạt động của các policy giửa 2 Computer A và B: - Computer A yêu cầu ESP cho các giao tiếp HTTP, Computer B yêu cầu AH cho HTTP, như vậy 2 computer sẽ không thể thương lượng một liên kết bảo mật. - Giao thức xác thực Kerberos là phương thức xác thực mặc định cho cả 3 phương thức đã trình bày. Kerberos protocol, được các Computer trong cùng Active directory forest sử dụng , nếu một trong 2 Computer không cùng AD Forest, thì không thể thương lượng được phương thức bảo mật. Tương tự, khi Computer A dùng Kerberos, Computer B dùng Certificates làm phương thức xác thực IP traffic, thương lựong cũng sẽ không được thiết lập. Tuy nhiên chúng ta có thể trang bị cho computer A hoặcc B nhiều phương thức xác thực (cả Kerberos và Certificates..), chỉ cần gặp một phương thức xác thực tương đồng giữa 2 Computer, xác thực sẽ bắt đầu. Lấy chính sách mặc định Secure Server (require Security) làm ví dụ. Nếu Computer A xác định dùng chính sách này, nó sẽ không thể giao tiếp với bất kì Computer nào không được trang bị IPSEC. Ví dụ: Computer A yêu cầu kết quả truy vấn từ DNS server của AD Domain (DNS server không dùng IPSEC), truy Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 15 vấn sẽ không được thực hiện. Computer A cần truy cập SQL server (không dùng IPSEC), cũng không thể truy cập. Nếu Computer A dùng chính sách Server (request Security), giao tiếp không an toàn với các Computer không trang bị vẫn có thể thực hiện. Trong thực tế, các chính sách IPSEC nên được triển khai để bảo mật những thông tin quan trọng, và cho phép những giao tiếp cơ bản có thể thực hiện. CÁC CHÍNH SÁCH IPSEC HOẠT ĐỘNG VỚI NHAU NHƯ THẾ NÀO Trước khi trao đổi key để thiết lập 1 kênh truyền ảo IPSEC sẽ làm nhiệm vụ là xác thực xem mình đang trao đổi với ai ? Các phương pháp Peer Authentication : - Username password - OTP (One time password) - Biometric (Xác thực bằng sinh học) - Preshared keys - Digital certificate (chữ ký số) phương pháp này thường được dùng trong chính phủ điện tử . Như đã nói ở trên giao thức IKE sẽ có chức năng trao đổi key giữa các thiết bị tham gia VPN và trao đổi chính sách an ninh giữa các thiết bị . Và nếu không có giao thức này thì người quản trị phải cấu hình thủ công . Và những chính sách an ninh trên những thiết bị này (SA ) Do đó các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà nó có . Và giữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp với đối tác nhất Những key được trao đổi trong quá trình IKE cũng được mã hóa và những key này sẽ thay đổi theo thơi gian (generate key) 2. Thiết lập SAs cho IPSec 1. Các giai đoạn hoạt động của IKE (IKE Phases) - IKE Phases 1 (Bắt buộc xảy ra trong quá trình IKE) Bước 1 : Xác thực giữa các thiết bị tham gia VPN (Authentication the peers) Bước 2 : Trao đổi các SA Và Phases 1 này có 2 chế độ hoạt động là Main mode (Cần 6 mess để hoàn Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 16 thành các bước 1&2) và Aggressive mode (Cần 3 mess đển hoàn thành các bước 1&2) Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa. Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật : · Giá trị Diffie-Hellman · SPI của ISAKMP SA ở dạng cookies · Số ngẩu nhiên known as nonces (used for signing purposes) Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào thông qua mạng. Đến lúc này nếu muốn trao đổi với ai thì nó sẽ trao đổi SA IPSec với người đó và dữ liệu được gửi trên đường truyền được mã hóa dựa vào SA Ipsec này. 2. Cơ chế hoạt động của 2 protocol ESP và AH Bộ giao thức Ipsec thì ngoài IKE còn có ESP và AH là 2 giao thức chính trong việc mã hóa & xác thực dữ liệu . a. Khái quát ESP sử dụng IP protocol number là 50 (ESP được đóng gói bởi giao thức IP và trường protocol trong IP là 50) AH sử dụng IP protocol number là 51 (AH được đóng gói bởi giao thức IP và trường protocol trong IP là 51 ) Bộ giao thức Ipsec hoạt động trên 2 mode chính là Tunel Mode và Transport Mode Tunel Mode Khi bộ giao thức Ipsec hoạt động ở mode này thì sau khi đóng gói dữ liệu và giao thức ESP mã hóa toàn bộ payload , frame header , ip header thì nó sẽ thêm 1 IP header mới và gói packet trước khi forward đi . Transports Mode Khi bộ giao thức Ipsec hoạt động ở mode này thì IP header vẫn được giữ nguyên và lúc này giao thức ESP sẽ chèn vào giữa payload và IP header của gói tin . Giao thức này rất hay được sử dụng khi những người quản trị mạng có tạo thêm 1 tunnel GRE (Generic Routing Encapsulation) . Còn tunnel GRE là gì tôi sẽ giải thích trong một TUT khác . Tất cả gói tin được mã hóa bởi Ipsec đều là khóa đối xứng (symetric key) Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 17 b. ESP và AH Header Đây là hình minh họa việc đóng gói dự liệu bằng 2 protocol Esp và AH . Trên cùng là gói dữ liệu nguyên thủy bao gồm Data và Ip Header . - Nếu sử dụng giao thức ESP : Thì giao thức ESP sẽ làm công việc là mã hóa ( encryption ) , xác thực ( authentication ) , bảo đảm tính trọn vẹn của dữ liệu ( Securing of data ) . Sau khi đóng gói xong bằng ESP mọi thông tin về mã hóa và giải mã sẽ nằm trong ESP Header . Các thuật toán mã hóa bao gồm DES , 3DES , AES Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1 ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó. - Nếu sử dụng giao thức AH Thì giao thức AH chỉ làm công việc xác thực ( authentication ) và bảo đảm tính trọn vẹn dự liệu . Giao thức AH không có chức năng mã hóa dự liệu . Do đó AH ít được dùng trong IPSec vì nó không đãm bảo tính an ninh . * AH xác thực và đảm bảo tính trọn vẹn dự liệu Dưới đây là hình minh họa về cơ chế xác thực của giao thứ AH Bước thứ 1 : Giao thức AH sẽ đem gói dữ liệu ( packet ) bao gồm payload + Ip header + Key Cho chạy qua 1 giải thuật gọi là giải thuật Hash và cho ra 1 chuỗi số . Các bạn nhớ đây là giải thuật 1 chiều , nghĩa là từ gói dữ liệu + key = chuỗi số . Nhưng từ chuỗi số không thể hash ra = dữ liệu + key Và chuỗi số này sẽ đuợc gán vào AH header . Bước thứ 2 : AH Header này sẽ được chèn vào giữa Payload và Ip Header và chuyển sang phía bên kia . Đương nhiên các bạn cũng nhớ cho rằng việc truyền tải gói dự liệu này đang chạy trên 1 tunel mà trước đó quá trình IKE sau khi trao đổi khóa đã tạo ra . Bước thứ 3 : Router đích sau khi nhận được gói tin này bao gồm IP header + AH header + Payload sẽ được chạy qua giải thuật Hash 1 lần nữa để cho ra 1 chuỗi số . Bước thứ 4 : So sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó sẽ chấp nhận gói tin . Nếu trong quá trình truyền gói dữ liệu 1 attacker sniff nói tin và chỉnh sửa nó dẫn đến việc gói tin bị thay đổi về kích cỡ , nội dung thì khi đi qua quá trình hash sẽ cho ra 1 chuỗi số khác chuỗi số ban đầu mà router đích đang có . Do đó gói tin sẽ bị drop Thuật toán hash bao gồm MD5 và SHA-1 Và trong trừong hợp này IPSec đang chạy ở chế độ trasports mode . Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 18 * Giao thức ESP Phía dưới đây là cơ chế mã hóa gói dữ liệu bằng giao thức ESP Esp là giao thức hỗ trợ cả xác thực và mã hóa Phía trên là gói dự liệu ban đầu và ESP sẽ dùng 1 cái key để mã hóa toàn bộ dữ liệu ban đầu . Và trường hợp trên là Ipsec đang chạy ở chế độ Tunel mode nên ngoài ESP header ra nó sẽ sinh ra 1 Ip Header mới không bị mã hóa để có thể truyền đi trong mạng Internet. Quá trình xác thực và mã hóa của ESP và AH chỉ diễn ra sau khi quá trình IKE hòan thành. 3. Bốn chế độ IKE phổ biến: · Chế độ chính (Main mode): hoàn thành giai đoạn 1 của ISAKMP sau khi đã thiết lập một kênh bảo mật. · Chế độ linh hoạt (Aggressive mode) một cách khác để hoàn thành giai của ISAKMP. nó đơn giản hơn và nhanh hơn giai đoạn chính, nhưng không bảo mật nhận dạng cho việc đàm phán giữa các nút, bởi vì nó truyền nhận dạng của chúng trước khi đàm phán được một kênh bảo mật. · Chế độ nhanh (Quick mode): hoàn thành giai đoan 2 của ISAKMP bằng cách đàm phán một SA cho các mục đích của việc chuyền thông. · Chế độ nhóm mới (New Group mode) chế độ này không thật sự của giai đoạn một hay giai đoạn 2. chế độ nhóm mới theo sau đàm phán của giai đoạn đưa ra cơ chế định nghĩa nhóm riêng của chuyển giao Diffie-Hellman. Để thiết lập IKE cho một nút, một host hay một cổng nối cần ít nhật 4 yếu tố: - một giải thuật mã hoá để mã hoá dữ liệu. - một giải thuật băm để giảm dữ liệu cho báo hiệu - một phương thức xác thực cho báo hiệu dữ liệu. - thông tin về nhóm làm việc qua tổng đài. yếu tố thứ 5 có thể đưa ra trong SA, hàm giả ngẫu nhiên (pseudo-random- function) sử dụng để băm giá trị hiện tại xuống quá trình chuyển khoá cho mục đích kiểm tra. Nếu trong SA không bao gồm nó thì HMAC của giải thuật băm được sử dụng. 1) Main Mode Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm: chế độ chính đưa ra cơ chế để thiết lập giai đoạn 1 của ISAKMP SA, bao gồm các bước sau - sử dụng chế độ chính để khởi động một ISAKMP SA cho kết nối tại - sử dụng chế độ nhanh để đàm phái một SA. - sử dụng SA được tạo ra ở trên để chuyền thông cho đến khi nó hết hạn Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 19 Cert : Một chứng nhận tải ID : Một nhận dạng tải Key : Một khoá trao đổi tải SA : Một đề nghị kết hợp bảo mật Sig :Một chữ ký tải - Giải thích SA tiêu đề SA tiêu đề Nonce tiêu đề key Nonce tiêu đề key Sig IDcert tiêu đề Sig IDcert tiêu đề 1 2 3 4 5 6 Bài tập lớn môn Kỹ thuật Viễn thông Giáo viên hướng dẫn: Nguyễn Việt Hùng Quản lý khóa trong VPN thực hiện: Nhóm 03 lớp HCD06 CNTT 20 bước thứ nhất, sử dụng chế độ chính để bảo mật ISAKMP SA, diễn ra theo 3 bước chao đổi hai chiều giữa SA gửi và SA nhận (hình 5.10). bước chao đổi đầu tiên thoả thuận về giải thuật và băm. bước chao đổi thứ 2 chuyển giao khoá chung và các nonce của nhau (là những con số ngẫu nhiên mà một bên ghi và trả lại để chứng minh danh định của nó). bước thư 3, hai bên sẽ kiểm tra danh định của nhau và tiến trình chao đổi hoàn tất. hai bên có thể sử dụng khoá dùng chung khi chúng nh

Các file đính kèm theo tài liệu này:

  • pdfQuản lý khóa trong vpn.pdf