Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
được mã hóa đảm bảo rằng chỉ các máy tính đã biết rõ về các khóa là có thể
gửi được từng gói dữ liệu.
• Tấn công ngang đường (man-in-the-middle attack) trong dạng tấn
công này, một người nào đó, đứng giữa hai máy tính đang liên lạc với nhau,
sẽ tiến hành theo dõi, thu nhập và điều khiển các dữ liệu một cách trong suốt.
IPSec kết hợp việc xác thực lẫn nhau và các được mã hóa để chống lại dạng
tấn công này.
• Tấn công từ chối dịch vụ (DoS): Ngăn cản việc vận hành bình
thường của các tài nguyên mạng và máy tính. Làm lụt các tài khỏa E-mail
bằng các thông điệp không mong muốn là một ví dụ của dạng tấn công này.
IPSec sử dụng phương pháp lọc các gói IP (IP packet Filtering) làm cơ sở cho
việc xác định mối liên lạc nào là được phép, bảo mật hay phải khóa lại. Việc
xác định mối liên lạc nào là được phép, bảo mật hay phải khóa lại. Việc xác
định trên dựa vào dẫy địa chỉ IP, Giao thức IP hay thậm chí một số cổng TCP
hay UDP xác định nào đó.
CHƯƠNG II: TÌM HIỂU VỀ IPSEC
I.Các tính năng bảo mật của IPSec
I.1.Các tính năng bảo mật của IPSec
IPSec có rất nhiều tính năng bảo mật được thiết kế để thỏa macn mục
tiêu bảo vệ các gói IP va chống lại các cuộc tấn công nhờ vào các bộ lọc và cơ
chế kết nối tin cậy. Một vài trong các tính năng bảo mật của IPSec được liệt
kê sau:
Sự kết hợp bảo mật tự động: IPSec sử dụng Internet Security
Association (Kết hợp bảo mật Internet) và Key Management Protocol
(ISAKMP – Giao thức Quản lý Khóa) để thỏa thuận một cách tích cực về một
tập của các yêuc ầu bảo mật cho cả hai phía giữa các máy tính với nhau. Các
máy tính không đòi hỏi phải có các chính sách giống hệt nhau, chúng chỉ cần
5
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
các chính sách đã được cấu hình tùy chọn đã được thỏa thuận đẻ để thiết lập
một tập chung các yêu cầu với bảo mật với máy tính kia.
Lọc gói IP: Quá trình lọc này cho phép hay cấm các liên lạc cần thiết
bằng cách chỉ định các khoảng địa chỉ IP, các giao thức, hay thậm chí cả
những cổng của giao thức.
Bảo mật lớp mạng: IPSec nằm tại lớp mạng, cung cấp cơ chế bảo mật
một cách tự động, trong suốt cho các ứng dụng.
Xác thực ngang hàng: IPSec xác nhận lại mã nhận dạng của máy tính
đối tác trước khi có bất cứ một gói dữ liệu nào được chuyển. Việc xác thực
đối tác IPSec trong Windows Server 2003 được dựa trên các khóa đã chia sẻ,
các khóa công khai (ví dụ như các Giấy chứng nhận X509) hoặc Kerberos và
Active Directory để được xác thực bằng Kerberos.
Xác thực dữ liệu gốc: Việc xác thực nguồn dữ liệu gốc ngăn cản người
dùng không đúng không can thiệp vào gói tin và khai báo họ là người gửi dữ
liệu. Mỗi gói tin dữ liệu được bảo vệ bằng IPSec bao gồm một số Số Kiểm
Soát bằng mật mã trong định dạng của một giá trị băm có khóa. Số Kiểm Soát
bằng mật mã còn được biết đến dưới cái tên Intergrity Check Value (ICV -
Giá tri kiểm soát tính nguyên vẹn) hay Hash-Based Message Authentication
(HMAC – mã xác thực thông điệp được băm nhỏ).
Tính nguyên vẹn của dữ liệu: Với việc sử dụng số kiểm soát mật mã,
IPSec bảo vệ dữ liệu đang vận chuyển không bị sửa đổi bởi các người dùng
không được xác thực, hay không phát hiện được trong quá trình vận chuyển,
đảm bảo chắc chắn rằng các dữ liệu các dữ liệu mà người nhận có được là
chính xác các thông tin mà người gửi đã gửi cho mình. Các người sử dụng có
ác tâm muốn thay đổi muốn thay đổi nội dung của gói tin phair cập nhật lại
một cách chính xác Số Kiểm Soát bằng mật mã, một điều gần như là không
thể thực hiện được nếu không biềt được các khóa chia sẻ.
Tính riêng tư của dữ liệu: Các gói dữ liệu khi được gửi là mã hóa
bằng các kỹ thuật mã hóa khóa bí mật qui ước. Điều này làm cho dữ liệu trở
6
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
nên riêng tư. Thậm chí ngay cả khi dữ liệu bị truy nhập và quan sát , kẻ truy
nhập cũng chỉ nhìn thấy các dữ liệu đã được mã hóa. Nếu không biết các khóa
bí mật đã sử dụng thì các dữ liệu gốc vẫn là ẩn. Do khóa bí mật chỉ được chia
sẻ giữa nguời gửi và người nhận, tính riêng tư của dữ liệu đảm bảo rằng chỉ
người nhận đã định trước của gói tin là có thể giải mã và trình bày được gói
tin.
Tính không lặp: Bằng cách sử dụng số thứ tụ trên trên mỗi gói tin đã
được bảo vệ gửi giữa các đối tác có sử dụng IPSec, dữ liệu được trao đổi giữa
các đối tác không thể bị lại để thiết lập các quan hệ bảo mật khác hay nhận
được sự truy cập không xác thực đến các thông tin hay tài nguyên.
Quản lý khóa: Việc xác thực nguồn gốc dữ liệu, tính nguyên vẹn, tính
riêng tư hoàn toàn phụ thuộc vào các thông tin được chia sẻ của khóa bí mật.
Nếu khóa bí mật bị tổn thương, liên lạc sẽ không còn là bảo mật nữa. Để giữ
các khóa không bị các người sử dụng có ác tâm phát hiện IPSec cung cấp một
phương thức an toàn cho việc trao đổi thông tin khóa để nhận được khóa bảo
mật chia sẻ và thay đổi khóa một cách định ký cho các liên lạc cần bảo mật.
I.2.Các tính năng mới của IPSec trong Windows Server 2003
IPSec được tích hợp và có thể sử dụng để bảo mật các cuộc liên lạc
mạng trong Windows 2000, Windows XP Professonal, và Windows Server
2003. IPSec hợp lệnh dành cho các máy khách cũng có cho hệ điều hành
Microsoft Windows NT 4.0 Microsoft Windows 98, Microsoft Windows
Millennium Edition (me). (Bạn có thể tải phần mềm IPSec máy khách từ địa
chỉ:
Htpp://www.microsoft.com/windows2000/server/evaluation/news/bulletins
/l2tpclient, asp).
Các tính năng mới của IPSec trong Windows Server 2003 bao gồm:
Snap-in IP Security Monitor (Trình Theo dõi Bảo mật IP) được cải
tiến từ công cụ IPSecMon có trong Windows 200 (Snap-in này là mới trong
Windows XP Proesional và Windows Serever 2003).
7
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
Khóa chủ mã hóa mạnh hơn, việc trao đổi khóa Diffie-Hellman 2048-
bit được sử dụng.
Công cụ quản lý dạng dòng lệnh Netsh cung cấp tính tiện ích, có thêm
nhiều khả năng cấu hình không có tại Snap-in IP Security Policy
Management trong phiên bản Windows 2000.
Việc khởi động các máy tính được bảo mật. Nếu máy tính được cấu
hình sử dụng các chế độ kết nối trạng thái bảo (Stateful), các thông tin đi vào
mà được gửi để đáp lại các thông tin máy tính gửi ra sẽ được chấp nhận, như
các lưu thông chiều vào đáp ứng được các tiêu chí lọc mà chúng ta đã cấu
hình, cũng giống như các lưu thông DHCP. Tất cả các thông tin chiều vào
khác (bao gồm các gói tin có địa chỉ, quảng bá hay quảng bá có địa chỉ) đều
bị loại bỏ. Các thông tin chiều vào ở chế độ kết nối trạng thái cho phép các bộ
lọc được hủy bó sau khi dịch vụ IPSec khởi động và thiết lập chính sách
IPSec cố định.
Chính sách IPSec cố định sẽ được áp dụng trong trường hợp chính sách
cục bộ hay chính sách Active Directory không được áp dụng.
Chỉ các thông tin miền IKE là được miễn trừ khỏi các thiết lập của bộ
lọc. Sự miễn trừ này là cần thiết trong việc thiết lập mối liên lạc bảo mật.
Có những hạn chế nhất định sẽ được xác định với những máy tính được
phép kết nối dựa trên Miền, trên nguồn gốc Giấy chứng nhận, hay trên nhóm
máy tính.
Tên của Certìicate Authority (CA), sẽ có thể không bao gồm trong
các yêu cầu giấy chứng nhận để tránh việc phát hiện các thông tin trong quan
hệ tin cậy của máy tính như Miền, CA và công ty.
Các cách cung cấp địa chỉ IP một cách logic sẽ được áp dụng cho việc
cấu hình IP cục bộ - như máy như máy chủ DHCP, Domain Name system
(DNS), và Windows Internet Naming Service (Wins).
IPSec hoạt động trên NAT cho phép các gói ESP đi qua NAT (với các
trạm NAT cho phép các lưu thông UDP đi qua).
8
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
Tính năng tích hợp với Network Load Balancing – NBL (Cân bằng tải
mạng) được cải thiện, đem lại các lợi ích cho việc cân bằng tải của dịch vụ
VPN dựa trên IPSec.
Sự hỗ trợ đựoc cung cấp cho Snap-in RSoP giúp ta có thể xem được
các thiết lập trong chính sách IPSec.
Các giao thức IPSec cung cấp sự bảo mật dựa trên việc sử dụng kết hợp
các giao thức, trong đó có giao thức AH và giao thức ESP. Các giao thức này
được sử dụng độc lập hay cái trước cái sau còn phụ thuộc vào các yêu cầu của
việc giữ tính riêng tư và xác thực.
1. Giao thức AH cung cấp tính xác thực, nguyên vẹn và không lặp
cho toàn bộ gói tin (gồm cả phần tiêu đề của IP và các giữ liệu được chuyển
trong toàn bộ gói tin). Nó không cung cấp tính riêng tư, có nghĩa là nó không
mã hóa dữ liệu. Dữ liệu vẫn có thể đọc được, nhưng chúng được bảo vệ chống
lại việc thay đổi. Giao thức AH sử dụng các thuật toán Keyed hash để đánh
dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của nó.
2. Giao thức ESP cung cấp tính riêng tư (thêm vào cho tính xác thực,
toàn vẹn và không lặp) cho dữ liệu (IP Payload). ESP trong trạng thái vận
chuyển sẽ không đánh dấu lại toàn bộ gói tin. Chỉ các thân gói tin IP (IP
Payload) – không phải là IP Header – là được bào vệ. ESP có thể được sử
dụng độc lập hay kết hợp với AH. Ví dụ, khi sử dụng kết hợp với AH, các gói
IP Payload được gửi từ máy tính A đến máy tính B được mã hóa và đánh dấu
để đảm bảo tính nguyên vẹn. Khi nhận được, phần dữ liệu được truyền sẽ
được giải mã sau khi quá trình xác nhận tính xác nhận tính toàn vẹn được
thực hiện thành công. Và người nhận có thể biết chắc chắn rằng ai đã gửi gói
dữ liệu, dữ liệu không bị thay đổi và không ai khác có thể đọc được chúng.
II.Các phương thức, dịch vụ, và trình điều khiển IPSec
II.1.Phương thức
Bạn có thể cấu hình IPSec sử dụng một trong hai phương pháp sau:
9
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
II.1.1.Phương thức Vận chuyển (Transport Mode): Bạn sẽ sử dụng
bảo mật điểm-tới-điểm. Cả hai trạm cần hỗ trợ IPSec sử dụng cùng giao thức
xác thực, bắt buộc phải sử dụng các bộ lọc IP tương thích và không đi qua
một giao tiếp NAT nào. Liên lạc đi qua giao tiếp NAT nào. Liên lạc đi qua
giao tiếp NAT sẽ đổi chỉ IP trên phần tiêu đề và làm mất hiệu lực của ICV
( Giá trị Kiểm Soát tính Nguyên vẹn). Hình 6-1 chỉ ra một ví dụ của Transport
Mode.
Protected communications
Hình vẽ : Bảo vệ Điểm tới Điểm trong Transport mode
II.1.2.Tunel Mode (Phương thức Đường hầm): Bạn sử dụng Tunel
Mode
trong trường hợp bạn cần kết nối Site-to-Site thông qua Internet (hay các
mạng công cộng khác). Tunel Mode cung cấp sự bảo vệ Gateway-to-
Gateway (cửa-đến-cửa). hình 6-2 mô tả một ví dụ của phương thức này.
Initiator
Router Router
Responder
10
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
Protected Communications
Hình vẽ : Bảo vệ Gate-to-gateway trong tunnel mode
II.1.3.Security Associations (Sự Liên kết Bảo mật)
Sự Liên kết Bảo mật (SA) là một tập hợp của các dịch vụ bảo mật, các cơ
chế bảo vệ, và các khóa mã đuợc các thông tin cần thiết để xác định các lưu
thông sẽ đuợc bảo mật như thế nào (các dịch vụ bảo mật và cơ chế bảo vệ) và
với khóa bảo mật nào (Khóa mã hóa). Có hai loại SA sẽ được tạo ra khi các
cặp máy tính sử dụng IPSec trao đổi với nhau trong trạng thái bảo mật: SA
ISAKMP và SA IPSec.
• SA IASKMP
SA IPSKMP, còn đuợc gọi là SA Phương thức Chính (Main Mode SA)
đuợc sử dụng để bảo vệ các thỏa thuận bảo mật IPSec. SA ISAKMP được tạo
ra bằng việc thỏa thuận một bộ mật mã (một tập hợp các thuật toán mã hóa
được sử dụng để mã hóa dữ liệu), mà sẽ được sử dụng để bảo vệ các lưu
thông ISPKMP trong tuơng lai, trao đổi chất liệu tạo khóa, sau đó sẽ xác nhận
và xác thực từng đối tương IPSec. SA trong vòng CSDL Liên kết Bảo mật (
Security Association Database – SADB). Khi quá trình tạo SA ISAKMP kết
Initiator
Router Router
Responderr
11
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
thúc, tất cả các thỏa thuận SA trong tuơng lai cho cả hai loại SA đều đươc bảo
vệ. Đó chính là một khi một khía cạnh của việc liên lạc bảo mật được biết
đến với tên Thỏa thuận bộ Mã hóa Được bảo vệ (Protected Ciphersuite
negotiation). Với cơ chế này, không chỉ các dữ liệu được bảo vệ mà cả xác
định các thuật toán bảo mật đã được thỏa thuận giữa các đối tác IPSec cũng
được bảo vệ. Để phá vỡ việc bảo vệ IPSec, các người dùng ác ý trước hết phải
xác định được bộ mật mã bảo vệ dữ liệu, mà bộ mật mã này lại đưa ra rào cản
khác. Đối với IPSec, chỉ có một ngoại lệ để hoàn thành việc thỏa thuận bộ
mật mã được bảo vệ là tiến thành thỏa thuận về bộ mật mã với SA ISAKMP
ban đẩu, được gửi dưới dạng văn bản tường minh.
• SA IPSec
SA IPSec, còn được gọi là SA Phương thức Nhanh (Quick Mode SA),
Được sử dụng để bảo vệ các dữ liệu đuợc gửi giữa các đối tác IPSec. Việc
thỏa thuận bộ mật mã SA IPSec được SA ISAKMP bảo vệ. Không một thông
tin nào về lưu thông hay cơ chế bảo vệ được gửi dưới dạng văn bản tường
minh. Với mỗi cặp đối tác IPSec, hai kiểu SA IPSec luôn tồn tại cho mỗi giao
thức được thỏa thuận cho các lưu thông chiều vào (inbound), một cho các lưu
thông chiều ra (Out bound). SA chiều vào của một đối tác IPSec này sẽ là
SAchiều ra của đối tác IPSec kía.
II.1.4.Chỉ mục các Thông số Bảo Mật (Sercurity Parameters Inđex –
SPI)
Với mỗi phiên IPSec, các đối tác IPSec bắt buộc phải lần theo dấu vết
việc sử dụng của ba SA khác nhau: SA ISAKMP, SA IPSec chiều vào và SA
IPSec chiều ra. Để nhận dạng một SA nhất định, người ta sử dụng một số
ngẫu nhiên giả 32 bit, được gọi là Chỉ mục các Thông số Bảo mật (Securyti
Parameters Index – SPI). SPI, là một trường trong tiêu đề của IPSec, chỉ ra
SA mà đối tác đích sẽ dùng và được gửi cùng với từng gói dữ liệu. Đối tác
nhận có trách nhiệm cung cấp một SPI duy nhất cho từng giao thức.
12
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
Đối tác khởi tạo một phiên IPSec được gọi là Người khởi tạo (Initiator).
Đối tác có trách nhiệm yêu cầu thực hiện việc bảo vệ IPSec được gọi là
Người đáp (Responder). Người khởi tạo sẽ chọn SPI của SA ISAKMP, và
mỗi đối tác sẽ chọn SPI của SA IPSec dành cho các lưu thông chiểu ra của nó.
II.1.5.Trao đổi Khóa Internet(Internet Key Exchange – IKE)
IKE là tiêu chuẩn xác định cơ chế thiết lập SA. IKE kết hợp ISAKMP và
giao thức Oakley Key Determination để tạo ra các chất liệu khóa bảo mật.
Ọakley được xây dựng dựa trên thuật toán Trao đổi khóa Diffie –
hellman(Diffie – Hellmen Key Exchange), cho phép hai đối tác IPSec xác
định khóa bảo mật bằng cách trao đổi các giá trị không được mã hóa thông
qua mạng công cộng.
Kết quả của quá trình trao đổi khóa Diffie-Hellman bằng cách trao đổi
hai số qua mạng công cộng sẽ tạo ra khóa bảo mật mà chỉ riêng hai đối tác
tham gia vào quá trinhd trao đổi được biết. Người dùng ác ý khio truy cập vào
các gói tin trao đổi khóa có thể xem các số này, nhưng họ sẽ không thực hiện
dược cùng một phép tính như các đối tác tham gia thỏa thuận đã thực hiện để
nhận được khóa bảo mật chia sẻ.
Quá trình trao đổi khóa Diffie –Hellman không ngăn cản các vụ tấn
công ngang đường, trong đó người sử dụng ác ý đứng giữa hai đối tác IPSec
sẽ thực hiện hai quá trình trao đổi khóa Diffie-Hellman, mỗi quá trình với
một đối tác IPsec. Sau khi đã hoàn thành cả hai quá trình trao đổi khóa nói
trên, người dùng ác ý sẽ cá các khóa bảo mật để liên lạc với cả hai đối tác. Để
tránh các cuộc tấn công như vậy , IPsec trong Windows Server 2003 thực hiện
việc xác thực ngay sau khi quá trình trao đổi khóa kết thúc. Trong trường hợp
đối tác IPsec không thể thực hiện việc xác thực một cách chính xác, thỏa
thuận bảo mật sẽ bị loại bỏ trước khi có bất cứ một dữ liệu nào được gửi đi.
IPSec trong Window Server 2003 cũng hỗ trợ cơ chế tạo lại khóa tự động
(Dynamic Rekeying), sẽ xác định các chất liệu tạo khóa mới thông qua một
trao đổi Diffie-Hellman mới. Cơ chế tạo lại khóa tự động dựa trên thời gian
13
Website: http://www.docs.vn Email : lienhe@docs.vn Tel : 0918.775.368
đã trôi qua (mặc định là 480 phút hay 8 giờ ) hoặc dựa trên số các phiên trao
đổi dữ liệu với cùng một tập các chất liệu tạo khóa(Mặc định, số này là không
giới hạn).
THÔNG TIN THÊM: Quá trình thỏa thuận IKE Để có thêm thông tin
về quá trình thỏa thuận IKE, xem RFC 2409 “The Internet Key Exchange
(IKE)” tại địa chỉ http://www.ietf.org/rfc/rfc2409.txt
II.2.Dịch vụ IPSec Policy Agent
Mục đích của IPSec Policy Agent (Đại lý Chính sách IPSec) là dùng để
phục hồi lại các thông tin chính sách vàchuyền chúng cho các cấu thành IPSec
khác có thể yêu cầu các thông tin này để thực hiện các dịch vụ bảo mật.
IPSec Policy Agent là một dịch vụ tồn tại trong máy vi tính chạy hệ điều
hành Windows Server 2003, xuất hiện nhưlà một dịch vụ IPSec trong danh
sách các dịch vụ hệ thống tại bảng điều khiển Services, IPSec Policy Agent sẽ
thực hiện một số chức năng trong hệ điều hành bao gồm:
1. Phục hồi các chính sách IPSec thích hợp (nếu chúng đã được
gắn) từ Active Directory (như chỉ ra trong hình 6-3) nếu máy tính là thành
viên của Miền, hoặc từ Số dăng ký (registry) nếu máy tính không phải là
thành viên của Miền.
2. Thu nhập các thay đổi trong việc cấu hình chính sách. Gửi các
thông tin chính sách IPSec đến trình điều khiền IPSec.
3. Nếu máy tính là thành viên của miền, quá trình phục hồi chính
sách sẽ bắt đầu khi hệ thống khởi động, với khoảng đã xác định trong chính
sách IPSec, và tại khoảng thời gian thu thập đăng nhập Windows mặc định.
Bạn cũng có thể thu thập các thông tin thay đổi cấu hình chính sách IPSec
trong Active Directory một cách thủ công nhờ việc thực hiện lệnh
Update/target:tênmáytính.
Sau đây là các khía cạnh khác của hành vi chính sách IPSec dành cho các
máy tính thành viên của Miền:
14
Không có nhận xét nào:
Đăng nhận xét