Bảo Mật Thông Tin IPSEC
2012
Lời cảm ơn
  
Chúng em xin chân thành gởi lời cảm ơn sâu sắc đến thầy Văn Thiên Hoàng,
thầy đã trực tiếp hướng dẫn chỉ bảo tận tình và góp rất nhiều ý kiến quý báu
tạo điều kiện thuận lợi cho chúng em hoàn thành đề tài Bảo Mật Thông Tin
IPSEC
Những kiến thức học được trên ghế nhà trường là một hành trang quý báu để
chúng em bước vào đời.Chính những kiến thức chắc chắn ấy là nền tảng cho
thành công của chúng em trong tương lai
Cuối cùng chúng em xin chân thành cảm ơn nhà trường, gia đình, bạn bè đã
động viên giúp đỡ chúng em hoàn thành đề tài này
Nhận Xét Của Giáo Viên Hướng Dẫn
1
Bảo Mật Thông Tin IPSEC
2012
Kết Luận trang 49
Chương I
      
Tổng Quan Về IPSec
I. GIỚI THIỆU
IP Security là một đặc điểm kỹ thuật lớn và phức tạp có nhiều lựa chọn và
rất linh hoạt.
4
Bảo Mật Thông Tin IPSEC
2012
Encapsulating Security Payload giao thức có thể xử lý tất cả các Ipsec của
dịch vụ yêu cầu.
Bài viết này sẽ nghiên cứu về Encapsulating Security Payload (ESP) so
sánh với Authentication Header về điểm yếu và điểm mạnh.
I.1.KHÁI QUÁT CỦA IPSEC
Trong tháng 11 năm 1998, RFC An ninh IP (IPsec) đã được phát hành - RFC
2401 thông qua RFC 2411. Theo quy định tại RFC 2401 [1], IPsec cung cấp
các dịch vụ bảo mật tại tầng IP bằng cách cho phép một hệ thống để chọn
các thông số cần thiết, chẳng hạn như giao thức bảo mật, các thuật toán bảo
mật cho các dịch vụ, và bất kỳ các khóa mật mã dịch vụ yêu cầu.
IP cấp dịch vụ an ninh bao gồm xác thực, bảo mật, và quản lý chủ chốt.
Chứng thực xác minh người gửi gói tin đó đã không bị thay đổi, bảo mật
cung cấp mật mã, và quan trọng quản lý địa chỉ trao đổi an toàn của các
phím.
IPsec gọi cho hai giao thức bảo mật - Authentication Header (AH) mà cung
cấp xác thực, và Encapsulating Security Payload (ESP) cung cấp xác thực,
mã hóa, hoặc cả hai. IPsec cũng có hai chế độ hoạt động: chế độ vận chuyển
và chế độ đường hầm.
I.2 VÌ SAO PHẢI SỬ DỤNG IPSEC
5

gói chuẩn (Standard packet), nên nó hoàn toàn có thể được gửi đi trên mạng
một cách bình thường.
IPSEC cung cấp các khả năng bảo mật sau:
1. Chứng thực lẫn nhau trước và cả trong khi hai hệ thống giao tiếp với
nhau.
2. Bảo đảm tính bí mật cho các gói (packet): IPSEC có hai loại gói chính:
• Encapsulating Security Payload (ESP): mã hóa, chứng thực (kí số).
• Authentication Header (AH): Chỉ chứng thực (kí số) mà không mã
hóa.
3. Bảo tồn việc truy cập: Khi một gởi được gửi đến, hệ thống sẽ kiểm tra các
ký số, nếu ký số không trùng, quá trình chứng thực không thành công. Hệ
thống sẽ tự động xóa bỏ packet đó ngay tại tầng IP. ESP sẽ mã hóa các địa
chỉ nguồn và địa chỉ đích đặt trong phần payload của gói.
4. Ngăn chặn kiểu tấn công dùng lại: (Replay attack): Cả ESP và AH đều sử
dụng các chuỗi số thay đổi. Giả sử có một attacker bắt được gói IPSEC, giả
dạng gói đó để tìm cách thăm nhập vào hệ thống. Khi đó, chuỗi số mà
attacker dùng sẽ không được hệ thống chấp nhận
7
Bảo Mật Thông Tin IPSEC
2012
  
Chương II
      
HOẠT ĐỘNG CỦA IPSEC
Các mode chính của giao thức IPSec:
A. Transport Mode :
-Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong
transport mode, phần IPSec header được chèn vào giữa phần IP header và
phần header của giao thức tầng trên.
-vì vậy chỉ có tại (IP payload) là được mã hóa và IP header ban đầu là được

IPSec header được chèn vào giữa phần đầu nguyên bản và phần đầu mới của
gói tin IP .
Hình 2-17: IPSec Tunnel Mode – Đại Diện Chung
-Toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header
mới sẽ được bao bọc xung quanh gói dữ liệu. Toàn bộ gói IP sẽ được mã hoá
và trở thành dữ liệu mới của gói IP mới. chế độ này cho phép các thiết bị
mạng, chẳng hạn như Router, hoạt động như một IPSec proxy thực hiện
chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các packets và
truyền chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và
12
Bảo Mật Thông Tin IPSEC
2012
chuyển nó về hệ thống cuối.
-với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có
thể được mã hóa.
II.1.Authentication Header (AH)
AH là một trong những giao thức bảo mật, cung cấp tính năng đảm bảo toàn
vẹn packet headers và data, xác thực nguồn gốc dữ liệu. Nó có thể tuỳ chọn
cung cấp dịch vụ replay protection và access protection. AH không mã hoá
bất kỳ phần nào của các gói tin. Trong phiên bản đầu của IPSec, giao thức
ESP chỉ có thể cung cấp mã hoá, không xác thực. Do đó, người ta kết hợp
giao thức AH và ESP với nhau để cung cấp sự cẩn mật và đảm bảo toàn vẹn
dữ liệu cho thông tin.
II.1. AH Mode
AH có hai mode : Transport và Tunnel.
1.1.Tunnel.
Trong chế độ đường hầm, toàn bộ các gói tin IP được mã hóa hoặc chứng
thực. Sau đó nó được đóng gói vào một gói tin IP mới với một tiêu đề IP
mới. Chế độ đường hầm được sử dụng để tạo ra các mạng riêng ảo cho mạng
lưới, mạng lưới truyền thông (ví dụ như giữa các bộ định tuyến đến các

AH Header này sẽ được chèn vào giữa Payload và IP Header và chuyển
sang phía bên kia.
Bước 3:
Router đích sau khi nhận được gói tin này bao gồm : IP Header + AH
Header + Payload(Data) sẽ được cho qua giải thuật Hash(Băm) một lần nữa
để cho ra một chuỗi số.
B4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó
chấp nhận gói tin .
b. AH Header (Trường chứng thực)
16
Bảo Mật Thông Tin IPSEC
2012
Hình 2-4 : AH Header
-Next Header : Trường này dài 8 bits , chứa chỉ số giao thức IP. Trong
Tunnel Mode, Payload là gói tin IP , giá trị Next Header được cài đặt là 4.
Trong Transport Mode , Payload luôn là giao thức Transport-Layer. Nếu
giao thức lớp Transport là TCP thì trường giao thức trong IP là 6. Nếu giao
thức lớp transport là UDP thì trường giao thức trong IP là 17.
-Payload Length : Trường này chứa chiều dài của AH Header.
-Reserved : giá trị này được dành để sử dụng trong tương lai ( cho đến thời
điểm này nó được biểu thị bằng các chỉ số 0).
-Security parameter Index (SPI) : mỗi đầu cuối của mỗi kết nối IPSec tùy
chọn giá trị SPI. Hoạt động này chỉ được dùng để nhận dạng cho kết nối.
Bên nhận sử dụng giá trị SPI cùng với địa chỉ IP đích và loại giao thức
IPSec (trường hợp này là AH) để xác định chính sách SA được dùng cho gói
tin (Có nghĩa là giao thức IPSec và các thuật toán nào được dùng để áp cho
gói tin).
-Sequence Number : chỉ số này tăng lên 1 cho mỗi AH datagram khi một
host gửi có liên quan đến chính sách SA. Giá trị bắt đầu của bộ đếm là 1.
17

Các trường trong AH Header từ 4 gói tin đầu tiên trong AH session giữa
host A và host B. Các trường trong header đầu tiên chỉ là nhãn, để đáp ứng
trong việc nhận dạng AH mode.
-SPI : host A sử dụng giá trị số Hex cdb59934 cho SPI trong cả các gói tin
của nó. Trong khi đó host B sử dụng giá trị số Hex a6b32c00 cho SPI trong
cả các gói tin. Điều này phản ánh được rằng kết nối AH thật sự gồm hai
thành phần kết nối một chiều.
-Sequence Number : cả hai host bắt đầu thiết lập chỉ số bằng 1, và cả hai
tăng lên là 2 cho gói tin thứ hai của chúng.
-Authentication information : Xác thực (đảm bảo toàn vẹn ) thông tin , là
một keyed hash dựa trên hầu như tất cả các bytes trong gói tin.
20
Bảo Mật Thông Tin IPSEC
2012
d. AH version 3(Phiên bảng 3 của AH)
Một chuẩn mới của AH là Version 3, phiên bản được phát triển dựa trên
phiên bản phác thảo. Tính năng khác nhau giữa Version 2 và Version 3 là
mối quan hệ thứ yếu để các quản trị viên IPSec và người dùng - một vài sự
thay đổi đến SPI, và tuỳ chọn chỉ số dài hơn.
chuẩn phác thảo version 3 cũng chỉ đến một chuẩn phác thảo khác rằng liệt
kê thuật toán mã hoá yêu cầu cho AH. Bản phác thảo uỷ nhiệm hỗ trợ cho
HMAC-SHA1-96, giới thiệu thuật toán hỗ trợ mạnh hơn là AES-XCBC-
MAC-96, và cũng giới thiệu thuật toán : HMAC-MD5-96.
e. AH Summary(tóm tắt trường chứng thực)
-AH cung cấp dịch vụ đảm bảo toàn vẹn cho tất cả các header và data gói
tin. Ngoại trừ một số trường IP Header mà định tuyến thay đổi trong chuyển
tiếp.
-AH bao gồm địa chỉ nguồn và địa chỉ đích trong dịch vụ đảm bảo toàn vẹn.
AH thường không tương thích với NAT.
-Hiện nay, hầu hết IPSec bổ sung hỗ trợ phiên bản thứ hai của IPSec mà

header.
Giao thức AH, ESP trong Transport mode thường sử dụng trong cấu trúc
host-to-host. Trong Transport mode không tương thích với NAT.
Hình 2-8:Mô Hình ESP Transport Mode Packet
23
Bảo Mật Thông Tin IPSEC
2012
2.1. ESP Packet Fields
Hình 2-9: ESP Packet Fields
ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin.
ESP Header được cấu thành bởi hai trường : SPI và Sequence Number.
-SPI (32 bits) : mỗi đầu cuỗi của mỗi kêt nối IPSec được tuỳ chọn giá trị
SPI. Phía nhận sử dụng giá trị SPI với địa chỉ IP đích và giao thức IPSec để
xác định chính sách SA duy nhất mà nó được áp cho gói tin.
-Sequence Number : thưòng được dùng để cung cấp dịch vụ anti-replay.
24
Bảo Mật Thông Tin IPSEC
2012
Khi SA được thiết lập, chỉ số này được khởi đầu về 0. Trước khi mỗi gói tin
được gửi, chỉ số này luôn tăng lên 1 và được đặt trong ESP header. Để chắc
chắn rằng sẽ không có gói tin nào được công nhận, thì chỉ số này không
được phép ghi lên bằng 0. Ngay khi chỉ số 232-1 được sử dụng , một SA
mới và khóa xác thực được thiết lập.
Phần kế tiếp của gói tin là Payload, nó được tạo bởi Payload data (được mã
hoá) và IV không được mã hoá). Giá trị của IV trong suốt quá trình mã hoá
là khác nhau trong mỗi gói tin.
phần thứ ba của gói tin là ESP Trailer, nó chứa ít nhất là hai trường.
-Padding ( 0-255 bytes) : được thêm vào cho đủ kích thước của mỗi gói tin.
-Pad length: chiều dài của Padding
-Next header : Trong Tunnel mode, Payload là gói tin IP, giá trị Next