Tìm Hiểu Về Ipsec

gani

Administrator
Tìm Hiểu Về Ipsec​

  • Khái quát về IPsec
  • Khái niệm
Ipsec (Internet Protocol Security) là một giao thức mạng dùng để xác thực và mã hóa dữ liệu của các thiết bị khi các gói tin được truyển qua internet. Bởi vì khi được truyển thông qua internet các gói tin sẽ dễ dàng bị đánh cắp. Đồng thời nó còn được sử dụng trong VPN (Virtual Private Network).

1625458318601.png

  • Đặc điểm của IPsec
Khi các gói tin được gửi đi nó sẽ dùng ip trong lớp network (OSI) nhưng lớp network (OSI) lại không có các cơ chế để bảo vệ, chính vì thế ta phải cần ipsec để giúp bảo về IP header. Ipsec có thể bảo vệ các gói tin thông qua các đặc tính sau:

  • Tính bảo mật: Ipsec sẽ mã hóa toàn bộ dữ liệu của gói tin để không ai có thể đọc được thông tin ngoại trừ người gửi và người nhận.
  • Tính toàn vẹn: Khi gói tin được gửi đi kẻ gian có thể thêm hoặc xóa thông tin có trong gói tin khiến gói tin được nhận không đúng với được gửi. Ipsec sẽ băm gói tin ra để người gửi và người nhận kiểm tra gói tin có bị thay đổi hay không.
  • Tính xác thực: Trước khi trao đổi dữ liệu người gửi và người nhận phải xác thực lẫn nhau để đảm bảo gói tin được gửi tới đối tượng mà ta mong muốn.
  • Chống gửi lại gói tin: Mặc dù gói tin đã được mã hóa và xác thực nhưng những kẻ tấn công có thể lấy được gói tin và gửi lại cho người nhận dẫn tới duplicate gói tin. Vì thể ipsec sẽ đánh số thứ tự các gói tin để đảm bảo không bị trùng lặp.


  • Cách hoạt động của Ipsec
Ipsec dùng giao thức IKE (Internet Key Exchange) trải qua 2 giai đoạn là: IKE phase 1 và IKE phase 2 để tạo nên một kết nối tunnel an toàn.

  • IKE phase 1
Trong IKE phase 1 hai thiết bị sẽ trao đổi các thông tin về mã hóa, xác thực, băm,…Thêm vào đó tại đây ISAKMP (Internet Security Association and Key Management Protocol) sẽ được thiết lập để tạo IKE phase 1 tunnel. ISAKMP là giao thức thực hiện việc thiếp lập, thỏa thuận và quản lý các chính sách bảo mật của SA (Security Association). SA là tất cả thông số mà hai thiết bị sử dụng IKE phase 1 được dùng để quản lý các traffic.

1625458332027.png

  • IKE phase 2
Tại IKE phase 2 ta sẽ tạo tunnel để bảo dữ liệu của các thiết bị chính vì thế IKE phase 2 tunnel còn được gọi là Ipsec tunnel

1625458336602.png

  • Tổng quát
Tóm lại tất cả tiến trình thành lập Ipsec trải qua các giai đoạn sau:

  • Khởi tạo: Khi cấu hình trên router ta sẽ lên danh sách các dữ liệu nào cần được bảo vệ, nếu router nhận được thông tin giống với danh sách trên thì quá trình IKE được bắt đầu hoặc ta cũng có thể làm thủ công.
  • IKE phase 1: Tại đây ta sẽ thống nhất thông tin SA để tạo nên IKE phase 1 tunnel.
  • IKE phase 2: Sau khi IKE phase 1 tunnel được tạo thì IKE phase 2 tunnel sẽ được tạo trong nó.
  • Truyền dữ liệu: Dữ liệu sẽ được bảo vệ bằng cách đi qua 2 tunnel của IKE phase 1 và 2.
  • Ngắt kết nối: Khi không còn dữ liệu được trao đổi thì để bảo vệ tunnel Ipsec sẽ bị ngắt kết nối sau một thời gian mà ta qui định.
  • So Sánh IKEv1 và IKEv2
Giao thức IKE có 2 phiên bản và phiên bản sau có nhiều ưu điểm được cải thiện hơn phiên bản đầu tiên, bảng dưới đây hiển thị sự khác nhau giữa 2 phiên bản:

IKEv1​
IKEv2​
Có 2 mode: Main mode và Aggressive modeKhông có mode, chỉ có quá trình tiến hành
Có 9 gói tin cho Main mode và 6 gói tin cho Aggressive mode khi tạo IpsecChỉ 4 gói tin khi tạo Ipsec
Phương thức xác thực: PSK, RSA-Sig, Public Key Encryption, Revised Mode of Public key EncryptionPSK và RSA-Sig
Lựa chọn traffic: chỉ cho 1 ip và 1 port được cho phép trên SANhiều ip và port
Thời gian SA tồn tại: được thiết lập giữa các thiết bịCó thể xóa bất cử lúc nào
NAT traversal: mặc định không hỗ trợCó hỗ trợ
Multi-homing: mặc định không hỗ trợ
Hỗ trợ MOBIKE (IKEv2 Mobility and Multihoming Protocol: RFC 4555).
Mobile Clients: mặc định không hỗ trợ
Hỗ trợ MOBIKE (IKEv2 Mobility and Multihoming Protocol: RFC 4555).
Phát hiện SA down: mặc định không hỗ trợCó hỗ trợ
  • IKE phase 1 main mode
Bước 1: Đàm phán

Các thiết bị sẽ thỏa thuận với nhau các thông số:

  • Xác thực: Hai tùy chọn thường được sử dụng là PSK hoặc RSA-sig.
  • Mã hóa: DES, 3DES hoặc AES.
  • Hashing: Sử dụng thuật toán băm để xác minh tính toàn vẹn sử dụng MD5 hoặc SHA.
  • Nhóm DH (Diffie Hellman): Xác định độ mạnh của khóa được sử dụng trong quá trình trao đổi khóa. Số nhóm cao hơn an toàn hơn nhưng mất nhiều thời gian hơn để tính toán.
  • Thời gian tồn tại:. Mỗi thiết bị sử dụng thời gian tồn tại khác nhau, giá trị chung là 86400 giây (1 ngày).
Bước 2: Trao đổi khóa DH

Một khi thương lượng đã thành công, hai bên sẽ biết nên sử dụng chính sách nào. Bây giờ ta sẽ sử dụng nhóm DH mà họ đã thương lượng để trao đổi tài liệu làm khóa. Kết quả cuối cùng sẽ là cả hai đồng nghiệp sẽ có một khóa dùng chung.

Bước 3: Xác thực

Bước cuối cùng là hai thiết bị sẽ xác thực lẫn nhau bằng phương pháp xác thực mà họ đã đồng ý trong cuộc thương lượng. Khi xác thực thành công, đã hoàn thành IKE phase 1. Kết quả cuối cùng là một IKE phase 1 tunnel là hai chiều.

  • IKE phase 2
IKE phase 2 tunnel được sử dụng để bảo vệ dữ liệu người dùng. Chỉ có một chế độ để xây IKE phase 2 tunnel được gọi là quick mode. Các thiết bị sẽ thương lượng về một số hạng mục:

  • Giao thức IPsec: AH hay ESP
  • Chế độ đóng gói: Tranport hay tunnel
  • Mã hóa: DES, 3DES hay AES?
  • Xác thực: MD5 hoặc SHA
  • Thời gian tồn tại: Đường hầm IKE giai đoạn 2 có giá trị trong bao lâu.
  • Trao đổi DH (optional): được sử dụng cho PFS (Perfect Forward Secrecy).
  • Authentication Header Protocol
AH cung cấp xác thực và tính toàn vẹn nhưng nó không cung cấp bất kỳ mã hóa nào. Nó bảo vệ gói IP bằng cách tính toán một giá trị băm trên hầu hết các trường trong tiêu đề IP. Các trường mà nó loại trừ là những trường có thể được thay đổi khi chuyển tiếp (TTL và header checksum).

  • Transport mode
Transport mode rất đơn giản, nó chỉ thêm một tiêu đề AH sau tiêu đề IP

1625458350813.png

  • Tunnel Mode
Với chế độ Tunnel mode, một tiêu đề IP mới được thêm vào trên đầu gói IP ban đầu. Điều này có thể hữu ích khi ta đang sử dụng địa chỉ IP private và cần chuyển lưu lượng truy cập của mình qua Internet.

1625458359088.png

ESP là lựa chọn phổ biến hơn cả trong số hai vì nó cho phép bạn mã hóa lưu lượng IP. Cũng giống như AH chúng cũng có 2 mode là transport và tunnel
  • Transport Mode
Khi sử dụng transport mode ta thêm 1 trường ip và ESP header vào gói tín ban đầu để mã hóa toàn bộ payload.

1625458376164.png

  • Tunnel Mode
Cũng giống transport mode nhưng thêm 1 ip header mới rất phù hợp cho VPN Site-Site và tất cả gói tin được mã hóa.

1625458395119.png
 

Attachments

Top