TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ
KHOA CÔNG NGHỆ THÔNG TIN
ĐỒ ÁN MÔN BẢO MẬT THÔNG TIN
TÌM HIỂU VỀ GIAO THỨC
AH/ESP(IPSEC)
Giáo Viên : Ths. Văn Thiên Hoàng
Sinh viên thực hiện :
Nguyễn Trí Dũng: 1081020017
Nguyễn Bá Ngọc: 1081020069
Kha Ứng Hòa : 1081020038
Lê Hoàng Long : 1081020063
TP. Hồ Chí Minh, 05/2012
MỤC LỤC
Chương I : Tổng quan về AH/ESP (IPSEC
1. Lịch sử phát triển
2. Nhu cầu ứng dụng
a. AH
b. ESP
3. Các giải pháp công nghệ hiện có và liên quan
4. Các giải pháp, mô hình triển khai
Chương II : Phương thức hoạt động của AH/ESP (IPSEC)
1. Authentication Header (AH)
a. AH Mode
b. AH xác thực và đảm bảo tính toàn vẹn dữ liệu
c. AH Header
d. Hoạt động của giao thức AH
e. AH version 3
f. Tổng kết về AH
2. Encapsulaton Secutity Payload (ESP)
a. ESP Mode
b. ESP Packet Fields

3. Các giải pháp công nghệ hiện có và liên quan
Một số hệ thống bảo mật Internet khác sử dụng rộng rãi, chẳng hạn như Secure
Sockets Layer (SSL), Transport Layer Security (TLS) và Secure Shell (SSH), hoạt
động trong các lớp trên của mô hình TCP / IP. Trong quá khứ, việc sử dụng của
TLS / SSL đã được thiết kế vào một ứng dụng để bảo vệ các giao thức ứng dụng.
Ngược lại, kể từ ngày một, các ứng dụng không cần phải được đặc biệt thiết kế để sử
dụng IPsec. Do đó, IPsec bảo vệ bất kỳ lưu lượng truy cập ứng dụng trên một mạng
IP. Điều này đúng cho SSL cũng như với sự nổi lên của cách mạng VPN dựa trên
SSL với việc triển khai như OpenVPN .
4. Các giải pháp, mô hình triển khai:
- Trong trường hợp dùng giao thức ESP : thì giao thức này sẽ làm công việc mã hóa
(encryption), xác
thực (authentication), bảo đảm tính toàn vẹn dữ liệu ( integrity protection). Sau khi
đóng gói xong bằng
ESP, mọi thông tin và mã hoá và giải mã sẽ nằm trong ESP Header.
- Các thuật toán mã hoá sử dụng trong giao thức như : DES, 3DES, AES
- Các thuật toán hash như : MD5 hoặc SHA-1
- Trong trường hợp dùng giao thức AH : thì AH chỉ làm công việc xác thực
(Authentication), và đảm bảo
tính toàn vẹn dữ liệu. Giao thức AH không có tính năng mã hoá dữ liệu.
Chương II : Phương thức hoạt động của AH/ESP (IPSEC)
1. Authentication Header (AH)
AH là một trong những giao thức bảo mật, cung cấp tính năng đảm bảo toàn vẹn
packet headers và data, xác thực nguồn gốc dữ liệu. Nó có thể tuỳ chọn cung cấp dịch
vụ replay protection và access protection. AH không mã hoá bất kỳ phần nào của các
gói tin. Trong phiên bản đầu của IPSec, giao thức ESP chỉ có thể cung cấp mã hoá,
không xác thực. Do đó, người ta kết hợp giao thức AH và ESP với nhau để cung cấp
sự cẩn mật và đảm bảo toàn vẹn dữ liệu cho thông tin.
a. AH Mode:
AH có hai mode : Transport và Tunnel.

trị SPI. Hoạt động này chỉ được dùng để nhận dạng cho kết nối. Bên nhận sử dụng
giá trị SPI cùng với địa chỉ IP đích và loại giao thức IPSec (trường hợp này là AH) để
xác định chính sách SA được dùng cho gói tin (Có nghĩa là giao thức IPSec và các
thuật toán nào được dùng để áp cho gói tin).
-Sequence Number : chỉ số này tăng lên 1 cho mỗi AH datagram khi một host gửi có
liên quan đến chính sách SA. Giá trị bắt đầu của bộ đếm là 1. chuỗi số này không bao
giờ cho phép ghi đè lên là 0. Vì khi host gửi yêu cầu kiểm tra mà nó không bị ghi đè
và nó sẽ thoả thuận chính sách SA mới nếu SA này được thiết lập. Host nhận sẽ dùng
chuỗi số để phát hiện replayed datagrams. Nếu kiểm tra bên phía host nhận, bên nhận
có thể nói cho bên gửi biết rằng bên nhận không kiểm tra chuỗi số, nhưng đòi hỏi nó
phải luôn có trong bên gửi để tăng và gửi chuỗi số.
-Authentication Data: Trường này chứa kết quả của giá trị Integrity Check Value
(ICV). Trường này luôn là bội của 32-bit (từ) và phải được đệm vào nếu chiều dài
của ICV trong các bytes chưa đầy.
d. Hoạt động của giao thức AH
-Hướng tốt nhất để hiểu AH làm việc như thế nào, ta sẽ xem và phân tích các gói tin
AH.
Hình trên cho thấy các thành phần của gói tin AH thật sự. Mỗi section của AH Packet
gồm : Ethernet header , IP header , AH header và Payload. Dựa trên các trường của
phần AH mode, ta thấy đây là gói tin ở Transport Mode vì nó chỉ chứa IP Header.
Trong trường hợp này, payload chứa ICMP echo request (hay là Ping). Ping gốc chứa
chuỗi mẫu tự được miêu tả trong gói tin tăng dần bởi giá trị Hex ( vd : 61, 62, 63).
Sau khi giao thức AH được applied, ICMP Payload không thay đổi. Vì AH chỉ cung
cấp dịch vụ
đảm bảo toàn vẹn dữ liệu, không mã hoá.
Các trường trong AH Header từ 4 gói tin đầu tiên trong AH session giữa host A và
host B. Các trường trong header đầu tiên chỉ là nhãn, để đáp ứng trong việc nhận
dạng AH mode.
-SPI : host A sử dụng giá trị số Hex cdb59934 cho SPI trong cả các gói tin của nó.
Trong khi đó host B sử dụng giá trị số Hex a6b32c00 cho SPI trong cả các gói tin.

bảo toàn vẹn
dữ liệu; hoặc chỉ đảm bảo toàn vẹn dữ liệu.
a. ESP Mode
ESP có hai mode : Transport Mode và Tunnel Mode.
Trong Tunnel Mode : ESP tạo một IP Header mới cho mỗi gói tin. IP Header mới liệt
kêt các đầu cuối của ESP Tunnel ( như hai IPSec gateway) nguồn và đích của gói tin.
Vì Tunnel mode có thể dùng với tất cả 3 mô hình cấu trúc VPN.
ESP Tunnel Mode được sử dụng thường xuyên nhanh hơn ESP Transport Mode.
Trong Tunnel Mode, ESP dùng IP header gốc thay vì tạo một IP header mới.
Trong Transport Mode, ESP có thể chỉ mã hoá và/hoặc bảo đảm tính toàn vẹn nội
dung gói tin và một số các thành phần ESP, nhưng không có với IP header.
Giao thức AH, ESP trong Transport mode thường sử dụng trong cấu trúc host-to-
host. Trong Transport mode không tương thích với NAT.
b. ESP Packet Fields
ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin. ESP
Header được cấu thành bởi hai trường : SPI và Sequence Number.
-SPI (32 bits) : mỗi đầu cuỗi của mỗi kêt nối IPSec được tuỳ chọn giá trị SPI. Phía
nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để xác định chính sách
SA duy nhất mà nó được áp cho gói tin.
-Sequence Number : thưòng được dùng để cung cấp dịch vụ anti-replay. Khi SA
được thiết lập, chỉ số này được khởi đầu về 0. Trước khi mỗi gói tin được gửi, chỉ số
này luôn tăng lên 1 và được đặt trong ESP header. Để chắc chắn rằng sẽ không có gói
tin nào được công nhận, thì chỉ số này không được phép ghi lên bằng 0. Ngay khi chỉ
số 232-1 được sử dụng , một SA mới và khóa xác thực được thiết lập. Phần kế tiếp
của gói tin là Payload, nó được tạo bởi Payload data (được mã hoá) và IV không
được mã hoá). Giá trị của IV trong suốt quá trình mã hoá là khác nhau trong mỗi gói
tin. Phần thứ ba của gói tin là ESP Trailer, nó chứa ít nhất là hai trường.
-Padding ( 0-255 bytes) : được thêm vào cho đủ kích thước của mỗi gói tin.
-Pad length: chiều dài của Padding
-Next header : Trong Tunnel mode, Payload là gói tin IP, giá trị Next Header được

cho các gói tin của nó, tương thích với kết nối ESP gồm hai thành phần kết nối một
chiều.
Cả hai host cũng bắt đầu thiết lập sequence number là 1, và sẽ tăng dần lên là 2 cho
gói tin thứ hai.
d. ESP Version 3
Một chuẩn mới cho ESP là phiên bản 3, một phiên bản vừa được bổ sung, được dựa
trên chuẩn phác thảo. Tìm ra được chức năng chính để cho thấy sự khác nhau giữa
version 2 và version 3 , bao gồm những điều sau :
-Chuẩn ESP version 2 đòi hỏi ESP bổ sung để hỗ trợ ESP chỉ sử dụng cho mã hoá
(không có tính năng bảo vệ toàn vẹn dữ liệu). Do đó, chuẩn ESP version 3 được đưa
ra nhằm hỗ trợ cho sự lựa chọn này.
-ESP có thể dùng chuỗi số dài hơn, giống với chuẩn AH version 3.
-ESP version 3 hỗ trợ trong việc sử dụng kết hợp các thuật toán ( EAS Counter với
CBC-MAC [EAS-CMC].
Như vậy kết quả mã hoá và tính bảo vệ toàn vẹn dữ liệu đạt được sẽ nhanh hơn là sử
dụng tách rời thuật toán.
e. Tổng kết về ESP :
-Trong Tunnel Mode, ESP cung cấp sự mã hoá và sự đảm bảo an toàn cho đóng gói
IP Packet, cũng xác thực tốt giống như của ESP Header , ESP có thể tương thích với
NAT.
-Trong Transport Mode, ESP cung cấp sự mã hoá và đảm bảo an toàn cho Payload
của gói tin IP , cũng đảm bảo an toàn tốt giống như của ESP Header. Transport Mode
thì không tương thích với NAT.
-ESP Tunnel Mode thường sử dụng phổ biến trong IPSec , vì nó mã hoá IP Header
gốc, nó có thể giấu địa chỉ source và des thật của gói tin. ESP cũng có thể thêm vật
đệm vào để đủ gói tin.
-ESP thường được dùng để cung cấp cho mã hoá hoặc đảm bảo an toàn ( hoặc cả hai
Chương III : Demo VPN L2TP/IPSEC sử dụng Certificate
Các bước thực hiện:
- Cài đặt và cấu hình VPN Server

Chọn Advanced Certificate request
Chọn Create and submit
phần NAME nhập tên máy VPN Server (ở đây là PC01.ahesplab.local), phần Type of Certificate
bung ra và chọn IPSec Certificate
Check ô Store certificate và click Submit
Cửa sô cảnh báo chọn YES