Mã hóa và an ninh mạng ( Chapter 16)

Chương 16: An toàn IPFourth Editionby William Stallings Lecture slides by Lawrie BrownAn toàn IP - IP SecurityCó phạm vi rộng các cơ chế an toàn ứng dụng chuyên biệtS/MIME, PGP, Kerberos, SSL/HTTPS Tuy nhiên có những cơ chế an toàn mà xuyên suốt nhiều tầng thủ tụcNhư là cơ chế an toàn được cài đặt trên mạng cho mọi ứng dụng IPSec - IPSecLà cơ chế an toàn IP tổng quanCung cấp Xác thựcBảo mậtQuản trị khoáỨng dụng để dùng trên mạng LAN, mạng WAN riêng và chung và trên cả InternetTCP/IP ExampleIPSec UsesLợi ích của IPSecBenefits of IPSecTrên bức tường lửa/router cung cấp an toàn mạnh cho mọi việc truyền qua vành đaiTrên bức tường lửa/router nó chống lại việc đi vòngỞ tầng vận chuyển bên dưới nên trong suốt với mọi ứng dụng Có thể trong suốt với người sử dụng đầu cuốiCó thể cung cấp an toàn cho người sử dụng riêng biệtBảo vệ kiến trúc rẽ nhánh Kiến trúc an toàn IPIP Security ArchitectureĐặc tả rất phức tạpĐược định nghĩa qua một số RFCBao gồm RFC 2401/2402/2406/2408Có nhiều cái khác được nhóm theo loạiBắt buộc đối với IP6 và tuỳ chọn với IP4Có hai mở rộng an toàn phần đầu:Phần đầu xác thực (AH – Authentication Header)Tải trọng an toàn đóng gói (ESP – Encapsulating Security Payload)IPSec Document Overview Dịch vụ IPSecIPSec ServicesKiểm soát truy cậpToàn vẹn không kết nốiXác thực nguồn gốc dữ liệuTừ chối tải lại góiMột dạng của toàn vẹn liên kết từng phần Bảo mật (mã hoá)Bảo mật luồng vận chuyển có giới hạnLiên kết an toànSecurity AssociationsQuan hệ một chiều giữa người gửi và người nhận mà cung cấp sự an toàn cho luồng vận chuyểnĐược xác định bởi 3 tham sốChỉ số tham số an toànĐịa chỉ IP đíchTên của thủ tục an toànCó một số các tham số khácsố dãy, thông tin AH & EH, thời gian sống, …Có cơ sở dữ liệu của các liên kết an toàn Phần đầu xác thực Authentication Header (AH)Cung cấp sự hỗ trợ cho an toàn dữ liệu và xác thực của các gói IPHệ thống đầu cuối/chuyển mạch có thể xác thực người sử dụng/ứng dụngNgăn tấn công theo dõi địa chỉ bằng việc theo dõi các chỉ số Dựa trên sử dụng MACHMAC–MD5–96 hoặc HMAC – SHA -1-96Các bên cần chia sẻ khoá mậtBefore applying AHTransport Mode (AH Authentication)Tunnel Mode (AH Authentication)Authentication HeaderEnd-to-end versus End-to-Intermediate AuthenticationBao bọc tải trọng bảo mật Encapsulating Security Payload (ESP)Đảm bảo bảo mật nội dung mẩu tin và luồng vận chuyển giới hạnCó lựa chọn cung cấp dịch vụ xác thựcHỗ trợ phạm vi rộng các mã, các chế độ, bộ đệmBao gồm DES, Triple DES, RC5, IDEA, CAST,…CBC và các chế độ khácBộ đệm cần thiết để lấp đầy các kích thước khối, các trường cho luồng vận chuyển Encapsulating Security PayloadChế độ vận tải và chế độ ống ESP Transport vs Tunnel Mode ESPChế độ vận tải được sử dụng để mã và tuỳ chọn xác thực dữ liệu IPDữ liệu được bảo vệ nhưng phần đầu vẫn để rõCó thể phân tich vận chuyển một cách hiệu quảTốt đối với ESP máy chủ vận chuyển tới máy chủChế độ ống mã toàn bộ gói IPBổ sung phần đầu mới cho bước nhảy tiếpTốt cho VPN, cổng dến cổng an toànESP Encryption and AuthenticationESP Encryption and AuthenticationKết hợp các liên kết an toàn Combining Security AssociationsCác liên kết an toàn có thể cài đặt qua AH hoặc ESPĐể cài đặt cả hai cần kết hợp các liên kết an toànTạo nên bó các liên kết an toànCó thể kết thúc tại các điểm cuối cùng hoặc khácKết hợp bởiKề vận tảiÔng lặpBàn luận về thứ tự xác thực và mã hoáCombining Security AssociationsQuản trị khoá - Key ManagementQuản lý sinh khoá và phân phối khoáThông thường cần hai cặp khoá2 trên một hướng cho AH và ESPQuản trị khoá thủ côngNgười quản trị hệ thống thiết lập cấu hình cho từng hệ thốngQuản trị khoá tự độngHệ thống tự dộng dựa vào yêu cầu về khoá cho các các liên kết an toàn trong hệ thống lớnCó các thành phần Oakley và ISAKMPOakleyLà thủ rục trao đổi khoáDựa trên trao đổi khoá Diffie-HellmanBổ sung các đặc trưng để khắc phục các điểm yếuCookies, nhóm (tham số tổng thể), các chỉ số đặc trưng (nonces), trao đổi khoá DH với việc xác thựcCó thể sử dụng số học trên trường số nguyên tố hoặc đường cong elip ISAKMPLiên kết an toàn Internet và thủ tục quản trị khoáCung cấp khung để quản lý khoáXác định các thủ tục và định dạng gói để thiết lập, thỏa thuận, điều chỉnh và xoá các liên kết an toàn (SA)Độc lập với thủ tục trao đổi khoá, thuật toán mã hoá và phương pháp xác thựcISAKMPTải trọng và Trao đổi ISAKMPISAKMP Payloads & ExchangesCó một số kiểu tải trọng ISAKMPAn toàn, đề xuất, dạng vận chuyển, khoá, định danh, chứng nhận, hash, chữ ký, Nonce, XoáISAKMP có bộ khung cho 5 kiểu trao đổi mẩu tin:Cơ sở, bảo vệ định danh, xác thực, tích cực, thông tin Summaryhave considered:IPSec security frameworkAHESPkey management & Oakley/ISAKMP