Đọc truyện ip sec

ip sec

Trước Sau

Màu nền

Font chữ

Font size

Chiều cao dòng

TÌM HIỂU VỀ IPSEC

Như ta đã biết vấn đề bảo mật kết nối trong quá trình truyền tải giữa các dữ liệukhác nhau là một vấn đề rất quan trọng và nó đặc biệt quan trọng khi các dữ liệucủa chúng ta được truyền qua một mạng chia sẻ giống như mạng internet.Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trìnhtruyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trongquá trình truyền tải các dữ liệu đó? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật cácdữ liệu qua mạng bằng việc sử dụng IPSec.

1.IPSec là gì?

IP Sercurity hay còn gọi là IPSec dựa trên nền tảng chuẩn được cung cấpmột khoá cho phép bảo mật giữa hai thiết bị mạng ngang hàng.Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được địnhnghĩa để kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênhtruyền dẫn mạng bảo mật.Thuật ngữ Internet Protocol Security (IPSec). Nó có quan hệ tới một số bộgiao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởiInternet Engineering Task Force (IETF). Mục đích chính của việc phát triểnIPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hìnhOSI, như hình vẽ:

(…… 1)

Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP.Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộmạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3. (Đó là lý do tại saoIPSec được phát triển ở giao thức tầng 3 thay vì tầng 2).Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thựchiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điềunày tạo ra tính mềm dẻo cho IPSec, giao thức này có thể hoạt động từ tầng 4với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPsec có một tínhnăng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên củamô hình OSI. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi,nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trêncác tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn. Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của môhình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởivì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thể dùng cácdịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao

nào. Cũng giống IP, IPSec trong suốt với người dùng cuối, là người mà khôngcần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạtđộng.

2.Vai trò của IPSec

+ Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu.+ Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng.+ Bảo vệ gói dữ liệu IP và phòng ngự các cuộc tấn công mạng không bảomật.+ IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánhdấu dữ liệu.+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng màIPSec sẽ kiểm tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa nhưthế nào.

Những Tính Năng của IPSec (IPSec Security Protocol)-

Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and dataintegrity). IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thựccủa người gửi và kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó củanội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảovệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ.- Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cáchsử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truycập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địachỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghelén.- Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba,Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuậttoán mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa

IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi đượcyêu cầu.- Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, vàconfidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thứcIPSec. Những giao thức này bao gồm Authentication Header (AH) vàEncapsulating Security Payload (ESP).- Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộIPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này làIKE.- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ đó là chế độTransport và chế độ Tunnel được mô tả ở hình 6-7. Cả AH và ESP có thể làmviệc với một trong hai chế độ này.

4. Cấu trúc bảo mật

IPsec được triển khai (1) sử dụng các giao thức cung cấp mật mã(cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xác thực và (3) thiết lập các thông số mã hoá.Xây dựng IPSec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kếthợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thông số (ví như cáckhoá – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiêntrong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đápứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụthuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảomật đáp ứng mã hoá và xác thực cho mỗi gói tin IP.Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp chomột gói tin outgoing (đi ra ngoài), IPsec sử dụng các thông số Security Parameter

Trang 4

Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví nhưmột cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB),theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhậndạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) chomỗi gói tin. Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB.Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, vàthực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũngcho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể cónhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết đượccác keys được gửi đi trong dữ liệu. Chú ý các chuẩn không miêu tả làm thế nào đểcác thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.

4.IPSec làm việc như thế nào:

IPSec Định nghĩa ra loại lưu lượng cần được bảo vệ và định nghĩa ra các loại tùychọn IPSec.Các chính sách này sẽ được cấu hình trên các chính sách bảo mật cục bộhoặc thông qua các chính sách nhóm trên ID.Quá trình thỏa thuận sự liên kết bảo mật trong modul khóa trao đổi với internet:IKE sẽ thỏa thuận với liên kết bảo mật.Môdul khóa internet là sự kết hợp của 2 giao thức: Giao thức kết hợp bảo mậtinternet và giao thức quản lí khóa. IPSec sử dụng 2 giao thức này để thỏa thuậnmột cách tích cực về các yêu cầu bảo mật cho cả 2 phía giữa các máy tính vớinhau. Các máy tính này không đòi hỏi phải có chính sách giống hệt nhau mà

Trang 5

chúng chỉ cần các chính sách cấu hình các tùy chọn thỏa thuận để cấu hình ramột yêu cầu chung.Quá trình mã hóa gói IP:Sau khi liên kết bảo mật được thiết lập, IPSec sẽ giám sát tất cả các lượng IP,so sánh lưu lượng với các điều kiện đã được định nghĩa trên bộ lọc.Mã hóa hoặc kí trên các lưu lượng đó:

…………….2………

5.Giao Thức sử dụng trong IPSec (IPSec Protocol)

IPSec Bảo mật kết nối mạng bằng viêc sử dụng 2 giao thức và cung cấp bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6:

IP Authentication Header

giúp đảm bảo tính toàn vẹn và cung cấp xác thực.

IP Encapsulating Security Payload

cung cấp bảo mật, và là option bạn cóthể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữliệu.Thuật toán mã hoá được sử dụng trong IPsec bao gồm HMAC-SHA1 chotính toàn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC vàAES-CBC cho mã mã hoá và đảm bảo độ an toàn của gói tin. Toàn bộ thuậttoán này được thể hiện trong RFC 4305.

5.1Authentication Header (AH)

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơnnữa nó là lựa chọn nhằm chống lại các tấn công replay attack bằng cách sử dụngcông nghệ tấn công sliding windows và discarding older packets. AH bảo vệ quátrình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags,Fragment Offset, TTL, và Header Checksum. AH thực hiện trực tiếp trong phầnđầu tiên của gói tin IP. dưới đây là mô hình của AH header

………3…………

Ý nghĩa của từng phần: Next header Nhận dạng giao thức trong sử dụng truyền thông tin.Payload lengthĐộ lớn của gói tin AH.RESERVEDSử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng cácsố 0).Security parameters index (SPI) Nhận ra các thông số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng cácthương lượng bảo mật được kết hợp với gói tin.Sequence number Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replayattacks.Authentication dataBao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực.AH cung cấp tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin baogồm cả phần tiêu đề của IP (IP header) và các gói dữ liệu được chuyển trong cácgói tin.

Trang 8

AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thểđược đọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi. AH sẽ sử dụngthuật toán Key AH để đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của góidữ liệu

…………4…….

…..5…….

Do giao thức AH không có chức năng mã hóa dữ liệu nên AH ít được dùng trongIPSec vì nó không đảm bảo tính an ninh.

5.2Encapsulating Security Payload (ESP)

……..6……….

Do giao thức AH không có chức năng mã hóa dữ liệu nên AH ít được dùng trongIPSec vì nó không đảm bảo tính an ninh.

5.2Encapsulating Security Payload (ESP)

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật chogói tin. ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo mã hoá và chỉ cần cho authentication. ESP sử dụng IP protocol number là50 (ESP được đóng gói bởi giao thức IP và trường Protocol trong IP là 50).0 - 7 bit8 - 15 bit16 - 23 bit24 - 31 bitSecurity parameters index (SPI)Sequence number Payload data (variable)Padding (0-255 bytes)Pad Length NextHeader Authentication Data (variable) Ý nghĩa của các phần:

Trang 10

Security parameters index (SPI) Nhận ra các thông số được tích hợp với địa chỉ IP.Sequence number Tự động tăng có tác dụng chống tấn công kiểu replay attacks.Payload dataCho dữ liệu truyền điPaddingSử dụng vài block mã hoáPad lengthĐộ lớn của padding. Next header Nhận ra giao thức được sử dụng trong quá trình truyền thông tin.Authentication dataBao gồm dữ liệu để xác thực cho gói tin.Các thuật toán mã hóa bao gồm DES , 3DES , AESCác thuật toán để xác thực bao gồm MD5 hoặc SHA-1ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó.ESP trong trạng thái vận chuyển sẽ không đánh toàn bộ gói tin mà chỉ đóng gói phần thân IP. ESP có thể sử dụng độc lập hay kết hợp với AH

………..7……

Dưới đây là một mô hình của quá trình thực thi ESP trên user data để bảovệ giữa 2 IPSec peers. ……

…….8………

Bảng so sánh giữa 2 giao thức ESP và AH

…….9……

6.Các chế độ IPSec

SAs trong IPSec hiện tại được triển khai bằng 2 chế độ. Được mô tải ở hình dướiđó là chế độ Transport và chế độ Tunnel. Cả AH và ESP có thể làm việc với mộttrong hai chế độ này:

………………10

6.1

Transport Mode

Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transportmode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới.

…………………..11………….

Transport mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn. Tuynhiên, nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận màcũng không mã hóa phần đầu IP.6.2.

Tunnel Mode

……………………12…………….

ESP Transport mode.

Tunnel Mode

Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộgói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mớivà phần header nguyên bản, như hình bên dưới

……………..13

7.Internet Key Exchange ( IKE )

Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắt củaInternet Security Association and Key Management Protocol, IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai. Ngoài việc hòa hợp và thiết lập các thamsố bảo mật và khóa mã hóa, IKE cũng sữa đổi những tham số khi cần thiếttrong suốt phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ những SAs và cáckhóa sau khi một phiên giao dịch hoàn thành.Thuận lợi chính của IKE include bao gồm:· IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ chế bảo mật nào.

Trang 16

· Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bởi vì một lượng lớnnhững hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít. Như vậy nếu không có giao thức này thì người quản trị phải cấu hình thủ công.Và những chính sách an ninh trên những thiết bị này được gọi là SA (SecurityAssociate).Do đó các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mànó có. Và giữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp vớiđối tác nhất Những key được trao đổi trong quá trình IKE cũng được mã hóa và những keynày sẽ thay đổi theo thời gian (generate key) để tránh tình trạng bruteforce củaAttacker.

7.1

IKE Phases

Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình 6-14trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE,nó giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải đượcthiết lập trước khi có bất kỳ thỏa thuận nào xảy ra

……………..14…………..

kênh bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thỏa thuận mộtISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa.Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mậtđược phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật :· Giá trị Diffie-Hellman· SPI của ISAKMP SA ở dạng cookies· Số ngẫu nhiên known as nonces (used for signing purposes) Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúngcũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinhnhững key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này,những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nàothông qua mạng.

7.1.2 Giai đoạn II của IKE

Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết bằng việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụkhác nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ góidữ liệu IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giaiđoạn SA.Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự

Trang 18

thỏa thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăncản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làm việcđơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể đượchỗ trợ bởi một trường hợp đơn ở giai đoạn I. Điều này làm quá trình giao dịchchậm chạp của IKE tỏ ra tương đối nhanh hơn.Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols onwhich IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.

7.2 IKE Modes

4 chế độ IKE phổ biến thường được triển khai :· Chế độ chính (Main mode)· Chế độ linh hoạt (Aggressive mode)· Chế độ nhanh (Quick mode)· Chế độ nhóm mới (New Group mode)

7.2.1 Main Mode

Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong quatrình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:

Trang 19

· 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.· 2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces. Những khóa sau này thực hiện một vai trò quan trọng trong cơ chế mã hóa.· Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch vớisự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận

………….15

.2.2 Aggressive Mode

Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main modecó 6 thông điệp thì chế độ này chỉ có 3 thông điệp được trao đổi. Do đó,Aggressive mode nhanh hơn mai mode. Các thông điệp đó bao gồm :· Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóachính, và trao đổi nonces cho việc ký và xác minh tiếp theo.

Trang 20

· Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người nhận vàhoàn thành chính sách bảo mật bằng các khóa.· Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiênlàm việc)

………………16………….

7.2.3 Quick Mode

Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏathuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phátsinh khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) đượcthỏa thuận trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key đượckhởi tạo. Mặt khác, khóa mới được phát sinh bằng các giá trị băm

…………..17………..

.2.4 New Group Mode

…………..18

.2.4 New Group Mode

New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điềukiện trao đổi Diffie-Hellman key được dễ dàng. Hình 6-18 mô tả New Groupmode. Mặc dù chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộcgiai đoạn II. Ngoài 4 chế độ IKE phổ biến trên, còn có thêm Informational mode. Chế độnày kết hợp với quá trình thay đổi của giai đoạn II và SAs. Chế độ này cungcấp cho các bên có liên quan một số thông tin thêm, xuất phát từ những thất bạitrong quá trình thỏa thuận. Ví dụ, nếu việc giải mã thất bại tại người nhận hoặc

chữ ký không được xác minh thành công, Informational mode được dùng đểthông báo cho các bên khác biết.

Chính Sách bảo mật IPSec (IPSec Security Policy)

Mỗi chính sách bao gồm một vài nguyên tắc hay một danh sách các bộlọc. Ta chỉ có thể gán một chính sách tới một máy tính.

8.1 Một nguyên tắc bao gồm các thành phần sau (Rules are composed of:):

*. Bộ lọc filter (A filter).*. A Filter action .*. An Authentication Method (Phương pháp xác thực): Mỗi nguyên tắc cóthể chỉ ra nhiều phương pháp xác thực khác nhau.

8.2 Chính sách mặc định của IPSec (Default policies):*.

Client (Respond Only).

Server (Request Security).

Secure server (Require Security).

8.Mối Quan Hệ Giữa chứng chỉ và IPSec

Chứng chỉ X.509 còn được gọi là một chứng chỉ số, là một dạng giấy hìnhdạng điện tử được trao đổi rộng dãi trong việc xác thực và trao đổi thông tin

Trang 23

trên các mạng mở như internet, Extranet (Mạng liên nghành), Intranet(Mạng cục bộ).Các chứng chỉ được sử dụng như là một phương pháp xác thực của IPSec.Lợi ích của việc sử dụng chứng chỉ với IPSec là:+ Như là một phương pháp xác thực giữa 2 host sử dụng IPSec cho phépchúng ta có thể kết nối tin cậy đến một doanh nghiệp này với các tổ chứckhác với cùng một CA.+ Sử dụng chứng chỉ cho phép dịch vụ Routing Remote Access có thểtruyền Dữ liệu qua mạng bảo mật giống như mạng Internet với 1 Router cóhỗ trợ IPSec.+ Sử dụng chứng chỉ khi sử dụng mô hình VPN Client và Mô hình VPNSite – to - site Sử dụng giao thức đường hầm L2TP/IPSec.Để sử dụng chứng chỉ trong quá trình xác thực IPSec thì cả 2 máy tính đều phải cung cấp một chứng chỉ hợp lệ dùng cho mục đích truyền thông củaIPSec.Khi một máy tính cấu hình chứng chỉ thì ta phải sử dung chính sáchIPSec dể hỗ trợ chứng chỉ sử dụng như là một phương pháp xác thực hợplệ.

9.Các mô hình triển khai sử dụng IPSec.

IPSec có thể được thực hiện với nhu cầu thay đổi và khác nhau bên trong mộtsố cá tổ chức nào đó. IPSec cũng được sử dụng để bảo mật Traffic cho các ứngdụng cụ thể, bảo mật các Subnet IP khác nhau trong cùng một mạng. Đặc biệtlà trong mô hình kết nối VPN.

Các khuyến cáo sử dụng IPSec

Trang 24

Để sử dụng IPSec trên mạng chính làm việc đầu tiên ta cần xác định các máytính nào dữ liệu nào cần được bảo mật.Quá trình lọc gói dữ liệu (Packet filteing): định nghĩa ra các loại dữ liệu cho phép bảo mật hoặc không cho phép bảo mật với IPSec.Quá trình bảo mật traffic giữa 2 host với nhau (Securinghost – to - hosttraffic on specific paths): có thế sử dụng IPSec để bảo vệ traffic giữa 2 server hoặc giữa các địa chỉ IP tĩnh hoặc giữa các Subnet với nhau.Quá trình bảo mật đến các Server (Securing traffic to server):Cấu hình IPSecđể bảo vệ cho các client kết nối đến một server, hoặc cấu hình để hạn chế đếnmột server.Sử dụng L2TP/IPSec cho kết nối VPN .Bảo mật kết nối Site – to – site tunneling (gateway – to – to getway).

Quá trình lọc gói dữ liệu với IPSec

Cho phép các máy tính xác định xem lưu lượng nào được cho phép với mứcđộ bảo mật được yêu cầu.

………….19……………

Các vấn đề cần quan tâm khi sử dụng IPSec để bảo mật các kết nối mạng bêntrong.

Mặt hạn chế của IPSec là: Giảm yêu cầu về hiệu suất và các vấn đề liênquan đến khả năng tương thích .Do đó khi sử dụng IPSec trong mô hình kết nối internal ta cần quan tâmtới các vấn đề sau:+ Chỉ sử dụng IPSec để tăng khả năng bảo mật cho các dịch vụ bảomật kém hoặc không bảo mật .+ Không phải tất cả các hệ điều hành đều hỗ trợ IPSec .+ IPSec có thể làm tăng thời gian thực hiện kết nối.+ Làm tăng tải sử dụng cho CPU do đó làm giảm hiệu suất tính toánvà hiệu suất sử dụng của máy tính.Tăng kích thước gói dữ liệu và chiếm băng thông mạng: làm giảm hiệusuất sử dụng mạng.Khả năng tương thích với quá trình dịch địa chỉ: vì giao thức xác thựcHeader không hỗ trợ cơ chế NAT.

Cấu hình IPSec cho một kết nối VPN

Ta có thể bảo mật kết nối VPN băng việc sử dụng L2TP/IPSec. ThườngL2TP không mã hóa dữ liệu mà sẽ phụ thuộc vào IPSec để bảo mật kết nối VPN.Một chứng chỉ hợp lệ phải được cài đặt trên VPN Server để hỗ trợ giao thứcL2TP/IPSec

……………..20………..

Trong mô hình kết nối VPN ta không phải tạo ra chính sách bảo mật IPSec giốngnhư trong mạng kết nối Internal

Bạn đang đọc truyện trên: Truyen2U.Pro

Trước Sau

#tdtruong