Chapter 08 IP Security IP security là khả năng năng được thêm vào các version hiện nay của Internet Protocol (IPv4 ỏ IPv6) bằng cách thêm headers Chức năng xác thực(authentication); Confidentiality(bả[.]
Chapter 08: IP Security IP security khả năng thêm vào version Internet Protocol (IPv4 ỏ IPv6) cách thêm headers Chức năng: xác thực(authentication); Confidentiality(bảo mật); key management (quản lý khóa) Chức xác thực sử dụng HMAC message authentication code Xác thực áp dụng cho tồn gói IP ban đầu (chế độ đường hầm) đến tất gói tin ngoại trừ tiêu đề IP (transport mode) Tính bí mật cung cấp định dạng mã hóa gọi đóng gói tải trọng an ninh(encapsulating security payload) Cả hai tunnel transport mode cung cấp IKE định nghĩa số kỹ thuật để quản lý khoá IP Security Tổng quan Năm 1994, Hội đồng Kiến trúc Internet (IAB) đưa báo cáo có tựa đề "An ninh kiến trúc Internet" (RFC 1636) Báo cáo xác định khu vực quan trọng cho chế bảo mật Trong số cần thiết để bảo đảm sở hạ tầng mạng từ giám sát trái phép kiểm soát lưu lượng truy cập mạng cần thiết để đảm bảo người dùng cuối người sử dụng lưu lượng truy cập cách sử dụng xác thực kỹ thuật mã hóa Để đảm bảo an ninh, IAB bao gồm xác thực mã hóa tính bảo mật cần thiết hệ IP, mà ban hành IPv6 May mắn thay, khả bảo mật thiết kế để sử dụng với IPv4 IPv6 tương lai Điều có nghĩa nhà cung cấp bắt đầu cung cấp tính bây giờ, nhiều nhà cung cấp có số khả IPsec sản phẩm họ Các đặc điểm kỹ thuật IPsec hữu tập hợp tiêu chuẩn Internet Các ứng dụng IPsec IPsec cung cấp khả để bảo đảm liên lạc mạng LAN, mạng private công cộng WANs, Internet Ví dụ việc sử dụng bao gồm: • Bảo vệ kết nối văn phịng chi nhánh qua Internet • Bảo vệ truy cập từ xa qua Internet • Thiết lập mạng diện rộng mạng nội kết nối với đối tác • Tăng cường an ninh thương mại điện tử Lợi ích IPsec Trong tường lửa router, cung cấp bảo mật mạnh mẽ mà áp dụng cho tất lưu lượng truy cập qua vành đai IPsec tường lửa có khả chống bỏ qua tất lưu lượng truy cập từ bên phải sử dụng IP tường lửa phương tiện lối vào từ Internet vào tổ chức IPsec lớp truyền tải (TCP, UDP) suốt ứng dụng IPsec minh bạch cho người dùng cuối IPsec cung cấp bảo mật cho người dùng cá nhân ứng dụng định tuyến IPsec đảm bảo Một quảng cáo định tuyến (router quảng cáo diện nó) xuất phát từ định tuyến xác thực Một quảng cáo hàng xóm (một router nhằm thiết lập trì mối quan hệ hàng xóm với định tuyến miền định tuyến) xuất phát từ định tuyến xác thực Một tin nhắn chuyển hướng xuất phát từ router mà gói IP ban đầu gửi Một cập nhật định tuyến không giả mạo.(not forged) Tài liệu IPsec IPsec bao gồm ba khu chức năng: • chứng thực, • bí mật, • quản lý khố Tồn đặc điểm kỹ thuật IPsec rải rác hàng chục RFC dự thảo văn IETF, làm cho phức tạp khó khăn để nắm bắt tất thông số kỹ thuật IETF The documents can be categorized into the following groups • Architecture o RFC4301 Security Architecture for Internet Protocol • Authentication Header (AH) o RFC4302 IP Authentication Header • Encapsulating Security Payload (ESP) o RFC4303 IP Encapsulating Security Payload (ESP) • Internet Key Exchange (IKE) o RFC4306 Internet Key Exchange (IKEv2) Protocol • Cryptographic algorithms Dịch vụ IPsec IPsec cung cấp dịch vụ an ninh lớp IP cách cho phép hệ thống để lựa chọn giao thức bảo mật cần thiết, xác định thuật toán (s) để sử dụng cho dịch vụ (s), đặt vị trí khóa mật mã cần thiết để cung cấp yêu cầu dịch vụ RFC 4301 liệt kê dịch vụ sau đây: • Kiểm sốt truy cập • tồn vẹn hướng kết nối • xác thực nguồn gốc liệu • Loại bỏ gói tái lại(replays) (một hình thức tồn vẹn xếp phần) • Tính bảo mật (mã hóa) • lưu lượng giao thơng bảo mật giới hạn • Other Chế độ Transport chế độ Transport cung cấp bảo vệ chủ yếu cho giao thức lớp Đó là, bảo vệ chế độ vận chuyển kéo dài đến tải trọng(payload) gói tin IP Thơng thường, phương tiện giao thông sử dụng cho giao tiếp endto-end hai máy chủ (ví dụ, khách hàng máy chủ, hai máy trạm) để mã hóa xác thực liệu tùy chọn IP • làm phân tích giao thơng hiệu • tốt cho ESP lưu lượng host-to-host Chế độ đường hầm(Tunnel mode) Tunnel mode cung cấp bảo vệ cho toàn gói tin IP Để đạt điều này, sau lĩnh vực AH ESP thêm vào gói tin IP, tồn lĩnh vực gói cộng với an ninh coi payload gói IP bên với tiêu đề IP bên ngồi Tồn ban đầu, nội, gói tin qua đường hầm từ điểm mạng IP khác; khơng có router đường kiểm tra tiêu đề IP bên • mã hóa tồn gói IP • thêm tiêu đề cho hop • khơng có router đường kiểm tra tiêu đề IP bên • tốt cho VPN, cửa ngõ vào cổng an ninh Điểm khác giũa transport mode tunnel mode: Transport : bảo vệ upper-layer protocol Tunnel: entire IP packet transport: chia làm tầng tầng thứ 4: orig IP hdr -> ESP hdr Ở tunnel có tầng: tầng ESP hdr -> orig IP hdr tầng thứ có: new IP hdr IP Security Policy để hoạt động IPsec khái niệm sách an ninh áp dụng cho gói IP qua từ nguồn đến đích sách IPsec xác định chủ yếu tương tác hai sở liệu, • sở liệu liên kết an ninh (SAD) • sở liệu sách an ninh (SPD) Security Associations Cơ sở liệu Hiệp hội An toàn Database Security Policy IP Traffic Processing Hiệp hội bảo mật (SA) Một khái niệm quan trọng xuất chế xác thực bảo mật cho IP hiệp hội bảo mật (SA) kết nối hợp lý chiều người gửi người nhận mà dành dịch vụ an ninh cho giao thông vận chuyển xác định thơng số: • Security Parameters Index (SPI): Một chuỗi bit gán cho SA có ý nghĩa nội • IP Destination Address: địa thiết bị đầu cuối đích • Security Protocol Identifier: cho dù hiệp hội hiệp hội an ninh AH ESP Cơ sở liệu Hiệp hội An toàn (SAD) Trong thực IPsec, có sở liệu Hiệp hội An tồn danh nghĩa xác định thơng số liên quan với SA • Security Parameter Index • Sequence Number Counter • Sequence Counter Overflow • Anti-Replay Window • AH Information • ESP Information • Lifetime of this Security Association • IPsec Protocol Mode • Path MTU Cơ sở liệu Chính sách An ninh (SPD): Các phương tiện mà lưu lượng IP có liên quan đến SAs cụ thể (hoặc khơng có SA trường hợp lưu lượng truy cập phép bỏ qua IPsec) Database Security Policy danh nghĩa Đóng gói An Ninh Payload (ESP) ESP sử dụng để cung cấp bảo mật, xác thực nguồn gốc liệu, toàn vẹn phi kết nối, dịch vụ chống phát lại (một hình thức toàn vẹn xếp phần), (giới hạn) lưu lượng dòng chảy bảo mật Tập hợp dịch vụ cung cấp phụ thuộc vào tùy chọn chọn thời điểm Hiệp hội An toàn (SA) thành lập vào vị trí việc thực topo mạng ESP làm việc với loạt thuật tốn mã hóa xác thực Mã hóa xác thực Algs Các Payload Data, Padding, Pad Length, Next Header lĩnh vực mã hóa dịch vụ ESP Nếu thuật toán sử dụng để mã hóa liệu đồng tải trọng yêu cầu mật mã, chẳng hạn vector khởi tạo (IV), sau liệu thực cách rõ ràng vào đầu trường Payload Data Nếu đưa vào, IV thường khơng mã hóa, thường gọi phần mã Padding Các trường Padding phục vụ nhiều mục đích: • mở rộng plaintext đến chiều dài yêu cầu • để xếp thời gian pad lĩnh vực tiêu đề • Cung cấp phần bảo mật lưu lượng giao thông Dịch vụ chống Replay replay kẻ công gửi gói tin xác thực số thứ tự sử dụng để ngăn chặn công sender khởi tạo chuỗi số SA thiết lập • tăng cho gói • khơng vượt giới hạn (2mũ 32) -1 nhận sau chấp nhận gói tin với số seq cửa sổ (N -W + 1) Kết hợp Hiệp hội An Ninh SA thực hai AH ESP thực hai cần phải kết hợp SAs • tạo thành bó hiệp hội an ninh • chấm dứt thiết bị đầu cuối khác • kết hợp o giao kề o hầm lặp kết hợp xác thực mã hóa • ESP với xác thực, kèm bên ESP & AH ngồi, gói vận chuyển bên & ngồi ESP IPSec Key Management xử lý hệ & phân phối thường cần cặp phím • hướng cho AH & ESP dẫn quản lý khoá • quản trị Sys tay cấu hình hệ thống quản lý khố tự động • hệ thống tự động cho vào việc tạo nhu cầu phím cho SA hệ thống lớn • có Oakley & ISAKMP yếu tố