Tải bản đầy đủ

giao thức IPsec trong vpn

1.Khái quát IPSec
IPSec – Internet Protocol security: là giao th ứ
c cung c ấp nh ữ
ng k ỹthu ật để b ảo v ệd ữli ệu, sao cho d ữ
li ệu được truy ền đi an toàn t ừn ơi này sang n ơ
i khác. IPSec VPN là s ựk ết h ợ
p để t ạo ra m ột m ạng riêng
an toàn ph ục v ụcho vi ệc truy ền d ữli ệu b ảo m ật
IPSec ho ạt độn g ở l ớp Network, nó không ph ụthu ộc vào l ớ
p Data-Link nh ưcác giao th ứ
c dùng trong
VPN khác nh ưL2TP, PPTP.
2.Ph ạm vi ho ạt độn g c ủa IPSec
IPSec làm việc tại tầng Network Layer – Layer 3 trong mô hình OSI. Tại Layer 3 này IPSec còn có thêm
nhiệm vụ cho phép giảm nhẹ việc xây dựng các mạng riêng ảo (VPN) cho phép người sử dụng kết nối 1
cách an toàn trên mạng Internet tiêu chuẩn tới các mạng riêng của họ.

IPSec được sử dụng như một chức năng xác thực và được gọi là Authentication Hearder (AH).
Được dùng trong việc chứng thực/mã hóa, kết hợp chức năng(authentication và integrity) gọi là
Encapsulating


Security

Payload

(ESP).

Đảm

bảo

tính

nguyên

vẹn

của

dữ

liệu.

IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn d ữ liệu, tính nh ất quán,tính bí m ật và
xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng .
Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ bi ến sau:
- Tính bảo mật dữ liệu – Data confidentiality .
- Tính toàn vẹn dữ liệu – Data Integrity
- Tính chứng thực nguồn dữ liệu – Data origin authentication


- Tính tránh trùng lặp gói tin – Anti-replay
3. Các giao thức của IPSec
Để trao đổi và thỏa thuận các thông số để tạo nên một môi tr ường bảo m ật gi ữa 2 đầu cu ối, IPSec dùng
3 giao thức:
- IKE (Internet Key Exchange)
- ESP (Encapsulation Security Payload)
- AH (Authentication Header)
IKE là giao thức thực hiện quá trình trao đổi khóa và th ỏa thuận các thông s ố b ảo m ật v ới nhau nh ư: mã
hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 l ần. Sau khi trao đổi xong thì s ẽ có được
một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra.

SA là những thông số bảo mật đã được thỏa thuận thành công, các thông s ố SA này s ẽ được l ưu trong
cơ sở dữ liệu của SA.
Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối x ứng, nh ững khóa này s ẽ được thay đổi
theo thời gian. Đây là đặc tính rất hay của IKE, giúp h ạn chế trình tr ạng b ẻ khóa c ủa các attacker.

IKE còn dùng 2 giao thức khác để chứng thực đầu cu ối và t ạo khóa: ISAKMP (Internet Security
Association

and

Key

Management

Protocol)



Oakley.

- ISAKMP: là giao thức thực hiện việc thiết lập, th ỏa thu ận và qu ản lý chính sách b ảo m ật SA
- Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thu ật toán Diffie-Hellman để trao
đổi

khóa



mật

thông

qua

môi

trường

chưa

bảo

mật.

Giao thức IKE dùng UDP port 500.

Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP. Quá trình
hoạt động của IKE được chia ra làm 2 phase chính: Phase 1 và Phase 2, c ả hai phase này nh ằm thi ết
lập kênh truyền an toàn giữa 2 điểm. Ngoài phase 1 và phase 2 còn có phase 1,5 tùy ch ọn.


IKE

phase

1:

Đây là giai đoạn bắt buộc phải có. Pha này thực hiện vi ệc ch ứng th ực và th ỏa thu ận các thông s ố b ảo
mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý gi ữa 2 bên
gọi



SA,

SA

trong

pha

gọi

này



ISAKMP

SA

hay

IKE

SA.

Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.
Phase

1.5

Đây là phase không bắt buộc (optional). Phase 1 cung c ấp c ơ ch ế ch ứng th ực gi ữa 2 đầu cu ối t ạo nên
một

truyền

kênh

bảo

mật.

Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này th ường s ử d ụng trong Remote
Access

VPN

IKE

phase

2

Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông s ố cần thi ết cho kênh
truyền an toàn. Qua trình thỏa thuận các thông s ố ở phase 2 là để thi ết l ập IPSec SA d ựa trên nh ững
thông

Các

số

của

phase

thông

-

1.

số

Quick





Quick

IPSec

phương

th ức

thỏa

mode

thức

Giao

-

mode

IPSec:
mode:

được

s ử d ụng

thuận

trong

trong

phase

hoặc

ESP
hoặc

Tunnel

phase

2.

2:

AH
transport

- IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một kho ảng th ời gian m ặc định ho ặc được ch ỉ
định.
-

đổi

Trao

khóa

Diffie-Hellman

IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA ch ứa các thông s ố để t ạo nên kênh
truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói d ữ li ệu theo ESP hay AH, ho ạt động theo
tunnel

Các

mode

chức

năng

khác

của

hay

IKE

giúp

cho

transport

IKE

hoạt

động

tối

mode

ưu

hơn

bao

g ồm:


- Dead peer detection ( DPD ) and Cisco IOS keepalives là nh ững ch ức n ăng b ộ đếm th ời gian. Ngh ĩa là
sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì nó s ẽ th ường xuyên g ửi cho nhau gói
keepalives để kiểm tra tình trạng của đối tác. Mục đích chính để phát hiện h ỏng hóc c ủa các thi ết b ị.
thường

Thông

các

gói

sẽ

keepalives

gửi

mỗi

10s

- Hỗ trợ chức năng NAT-Traversal: Chức năng này có ý nghĩa là n ếu trên đường truy ền t ừ A t ới B n ếu có
những thiết bị NAT or PAT đứng giữa thì lúc này IPSec nếu ho ạt động ở ch ế độ tunel mode và enable
chức

năng

NAT-

Trasersal

sẽ

vẫn

chuyển

gói

tin

đi

được

bình

th ường.

Lưu ý : Chức năng NAT-T bắt đầu được Cisco hỗ trợ tự phiên bản IOS Release 122.2(13)T

Nguyên nhân tại sao phải hỗ trợ chức năng NAT-T thì các packet m ới ti ếp t ục đi được?

Khi thực hiện quá trình mã hóa bằng ESP thì lúc này các source IP, port và destination IP, port đều đã
được mã hóa và nằm gọn tron ESP Header. Nh ư vậy khi t ất c ả các thông tin IP và Port b ị mã hóa thì
kênh truyền IPSec không thể diễn ra quá trình NAT.

Do đó NAT Traversal ra đời trong quá trình hoạt động của IKE nhằm phát hi ện và h ỗ tr ợ NAT cho Ipsec.
Các dữ liệu sẽ không bị đóng gói trực tiếp bởi giao thức IP mà nó s ẽ đóng gói thông qua giao th ức UDP.
Và lúc này các thông tin về IP và Port sẽ nằm trong gói UDP này.



Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay

×