Monday , 27 March 2017
Home » Bài theo kỳ » Ứng dụng mã hóa, IPSec

Ứng dụng mã hóa, IPSec

Tổng quan IPSec 

Phần 1: Giao thức AH

Phần 2:  Giao thức Encapsulating Security Payload

Phần 3: Ứng dụng IPSec trong Windows

Tình huống:

Trong mạng LAN, tổ chức có nhiều dữ liệu nhạy cảm như: Tài liệu kinh doanh, các tài khoản trực tuyến,…Vậy từ các phòng ban tới các Server chứa dữ liệu cần được mã hóa và đảm bảo tính toàn vẹn (biết được tài liệu bị sửa đổi hay chưa), mặc dù bạn đã mã hóa dữ liệu các file và thư mục (xem bài mã hóa file và thư mục)

Công nghệ IP Security sẽ giải quyết triển để vấn đề này. Có nghĩa là IPSEC mã hóa và đảm bảo tính toàn vẹn khi truyền qua môi trường mạng LAN cũng như WAN.

1. IP là gì?

IPSec thực hiện mã hóa packet và xác thực ở lớp Network trong mô hình OSI. Nó cung cấp một giải pháp an toàn dữ liệu từ đầu cuối-đến-đầu cuối trong bản thân cấu trúc mạng (ví dụ khi thực hiện mạng riêng ảo VPN). Vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống cuối. Các gói mã hóa có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được định tuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc triển khai và quản trị. IPSec cung cấp bốn chức năng quan trọng sau:

  • Bảo mật (Confidentiality): Người gửi có thể mã hóa dữ liệu trước khi truyền chúng qua mạng. Bằng cách đó, không ai có thể nghe trộm trên đường truyền. Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được.
  • Xác thực- Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúng đối tượng. Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực nguồn gốc của thông tin.
  • Toàn vẹn dữ liệu  (Data integrity): Người nhận có thể xác minh các dữ liệu được truyền qua mạng Internet mà không bị thay đổi. IPSec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng checksums (cũng được biết đến như là một giá trị băm).
  • Antireplay: xác nhận mỗi gói tin là duy nhất và không trùng lặp.

ipsectransport

(Các bạn có thể tham khảo bài viết về mã hóa tại)

 2. Phân loại giao thức IPSec

Có 2 giao thức chính trong Ipsec là AH (Authentication Header) và Encapsulating Security Payload (ESP), trong phần 1 an ninh mạng giới thiệu các bạn giao thức AH

2.1. Authentication Header (AH)

AH là một IPSec header cung cấp xác thực gói tin và kiểm tra tính toàn vẹn.  AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống. Là phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi truyền hay không. Các dữ liệu đều truyền dưới dạng bản Plaintext vì AH không cung cấp khả năng mã hóa dữ liệu.

Nguyên tắc hoạt động của AH bao gồm 4 bước:

B1: AH sẽ đem gói dữ liệu (packet ) bao gồm : Payload + IP Header + Key cho chạy qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số. và chuỗi số này sẽ được gán vào AH Header.

B2: AH Header này sẽ được chèn vào giữa Payload và IP Header và chuyển sang phía bên kia.

B3: Router đích sau khi nhận được gói tin này bao gồm : IP Header + AH Header + Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra một chuỗi số.

B4: So sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó chấp nhận gói tin .

ipsec

Hình: Mô tả AH xác thực và đảm bảo tính toàn vẹn dữ liệu

 Nhận xét:

+ Giao thức AH chỉ xác thực ( authentication ) và bảo đảm tính trọn vẹn dự liệu, giao thức AH không có chức năng mã hóa dự liệu.

+ Như vậy Header của Packet trong đó có IP nguồn và IP đích được đưa vào để tính Hash, như vậy nếu gói tin bị thay đổi IP nguồn hoặc đích thì giá trị Hash sẽ thay đổi và như vậy sẽ đảm bảo tính toàn vẹn và khi đó gói tin sẽ bị xóa bỏ. Do vậy với loại AH này chúng ta có thể chắc chắn rằng địa chỉ nguồn của gói tin là xác thực và gói tin này xuất phát từ đúng nơi gửi.

+ Hơn nữa, AH cũng sử dụng các giá trị sequence number hỗ trợ việc chống lại kiểu tấn công phát lại (replay attack).

+ AH không tương thích với các thay đổi do cơ chế NAT (Network Address Translation) Vì giá trị Hash của AH đã được tính toán trước NAT nên khi gói tin được gửi tới đích, việc kiểm tra tính toàn vẹn sẽ vi phạm.

(Còn tiếp)

Lượt xem (2192)

About Nguyễn Thanh Sơn

Nguyễn Thanh Sơn
Network Security, Web Design, Computer Science

Xem thêm

mohinh-juniper

Cấu hình mô hình mạng thực tế với thiết bị Juniper

  Tiếp tục với các bài viết cơ bản trên thiết bị Juniper, hôm nay …

Để lại bình luận:

Loading Facebook Comments ...

Leave a Reply

Your email address will not be published. Required fields are marked *