Bài giảng IPsec

IPsec IPsec Tổng quan Mục đích Hiện trạng Cấu trúc bảo mậ Các chế độ IPsec Chi tiết kỹ thuật -IPSec in OSI model IPSec IPSec IPSec communicatie methodes Demo IPSec IPSec in OSI model Mục đích của IPsec bảo mật dữ liệu cho các chuyển giao thông tin qua Mạng chuỗi các Rules Hiện trạng Cấu trúc bảo mật Một sự kết hợp bảo mật kết hợp các thuật toán và các thong số Securitty Parameter Index (SPI- Tham số bảo mật thư mục ) -Security Association Database (SADB- Bảo mật và kết hợp CSDL) -SA- security Association (sự thoả hiệp bảo mật ) Các trường của IPsec SPI Destination IP Address Security Protocol -Authentication Header (AH) -Encapsulation Security Payload (ESP) ESP: Bảo mật các gói trọng tảiEncryption Alglorithm: (chưa sát nghĩa) Các thuật toánAuthentication Alglorithm: Xác nhận thuật toánDOI: Digital object Indebtifiner: Định danh đối tượng số cơ sở dữ liệu của IPsec Security Association Database ( SADB Security Policy Database ( SPD) các dịch vụ bảo mật Mã hoá quá trình truyền thong tin Đảm bảo tính nguyên vẹn của dữ liệu Phải đc xác thực giữa các giao tiếp Chống quá trình replay trong các phiên bản bảo mật Modes – Các mode khả năng chính Tính xác nhận và nguyên vẹn dữ liệu ( Authentication and Data ingity ) Sự cẩn mật (Confidentiality) Quản lý khóa (Key management). Các chế độ IPSec Transport mode Tunnel mode Transport mode AH Transport mode. ESP Transport mode. Tunnel mode AH ESP Tổng quan IPSec communicatie methodes Tunnel mode (VPN) Transport mode Tong quan Chi tiết kỹ thuât Authentication Header giúp đảm bảo tính toàn vẹn và cung cấp xác thực Encapsulating Security Payload cung cấp bảo mật, và là option bạn có thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính toàn vẹn dữ liệu. Thuật toán mã hoá được sử dụng - HMAC-SHA1 - TripleDES-CBC và AES-CBC Authentication Header (AH) Transport mode Tunnel mode ESP Transport Tunnel Ex Tunnel model Qua Trinh Xu ly goi tin Goi tin di ra Goi tin di vao Internet Key Exchange IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau khi một phiên giao dịch hoàn thành. IKE không phải là một công nghệ độc lập Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bở vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.  IKE Phases Giai đoạn I của IKE nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa. Theo sau là những thông tin được dùng để phát sinh khóa bí mật : - Giá trị Diffie-Hellman -SPI của ISAKMP SA ở dạng cookies  -Số ngẩu nhiên known as nonces (used for signing purposes) ISAKMP là chữ viết tắc của Internet Security Association and Key Management Protocol Giai đoạn II của IKE giải quyết bằng việc thiết lập SAs cho IPSec SAs dùng nhiều dịch vụ khác nhau thỏa thuận Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. IKE Modes Chế độ chính (Main mode) Chế độ linh hoạt (Aggressive mode) Chế độ nhanh (Quick mode)  Chế độ nhóm mới (New Group mode Main Mode Aggressive Mode Quick Mode New Group Mode Qua trinh 1 SPD SPD A B SA SPI SA SPI SA SPI SA SPI Key exchange Basis SA SPD = Security policy database SADB = Security Associations database SA = Security Associations SPI = Security Parameter index SADB SADB Certificate Template Digital Certificate Certificate Revocation List Public Key-EnabledApplications and Services Certificate and CRLDistribution Points Certificate and CAManagement Tools Certification Authority 802.1x IP Beveiliging