• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

AH và ESP

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • AH và ESP

    Mô hình Department of Defense (DoD)


    Thông tin được truyền qua mạng IP. Do đó để nói về bảo mật đầu tiên chúng ta cần phải nói đến mạng IP. Chúng ta bắt đầu ở mô hình mạng DoD (Department of Defense). 4 tầng của mô hình DoD, đi từ tầng thấp transport đến tầng cao application:


    - Network Access Layer (Tầng truy xuất mạng): Mô tả máy tính giao tiếp với một thiết bị khác gắn cục bộ như thế nào. Tập trung vào vấn đề Frame và quy tắc cơ bản của đơn vị dữ liệu truyền trên physical network interface. Trong bảo mật mạng ở tầng này, chúng ta xem xét media, switch,hub để tìm ra những vấn đề bảo mật.


    - Internetwork Layer: Mô tả frame được đóng gói trong một packet như thế nào và packet bên trong datagram. Và datagram được truyền giữa hai mạng cục bộ. Trong bảo mật mạng ở tầng này, chúng ta xem xét switch, router và firewall như Cisco Pix để tìm những vấn đề bảo mật.


    - Host to Host Transport Layer (Tầng truyền Host đến Host): Mô tả những host làm như thế nào để truyền dòng thông tin tin cậy. Trong bảo mật mạng, chúng ta xem xét router, firewall và những thiết bị ứng dụng như là load balancer hay content manager bằng cách kết hợp thiết bị dò tìm như Instrution Detection System (IDS) để dò tìm những lỗi bảo mật.


    - Process Application Layer (Tầng xử lý ứng dụng): Mô tả một end-user và một end-application tương tác với tầng transport như thế nào. Trong bảo mật mạng, chúng ta xem xét những end-application cũng với những công cụ như IDS và công cụ dò tìm lỗi như Cisco Secure Scanner.

    Để bảo vệ hệ thống mạng, bạn chắc chắn phải áp dụng bảo mật trong nhiều tầng. Cách phòng thủ nhiều tầng này được gọi là phòng thủ theo chiều sâu. Bạn có thể tạo ra nhiều Firewall bên trong hệ thống vì những người xâm nhập luôn tìm cách giành quyền truy xuất vào hệ thống. Sử dụng Firewall để không cho Private Server được nhìn thấy từ public network. Firewall là yếu tố đầu tiên trong hệ thống phòng thủ của bạn. Packet Filtering trên Router có thể bổ sung sự bảo vệ cho Firewall và cung cấp sự giới hạn truy xuất.


    Việc truy xuất đến những host chứa những thông tin mật cần phải được bảo vệ một cách cẩn thận. Một vài host có thể được sử dụng để cung cấp một public access như là Web Server hay Mail Server. Một số host khác chứa những thông tin mật có thể chỉ được sử dụng trong một single department hay workgroup. Đưa ra những traffic cần thiết và xác định giới hạn việc điều khiển truy xuất đối với những tài nguyên đó.


    Một cách tốt để phòng thủ chiều sâu là nhìn vào mỗi tầng trong mô hình DoD, và áp dụng chính sách bảo mật phù hợp.

    Bảo vệ tầng Network Access


    Một hình thức bảo vệ kết nối point to point, như là leased line hay Frame Relay. Những thiết bị phần cứng chuyên dụng được gắn với mỗi điểm cuối của liên kết để mã hoá và giải mã. Quân đội, chính phủ và ngân hàng hầu hết sử dụng phương pháp này. Phương pháp này sẽ giúp bảo vệ tốt một hệ thống mạng, bởi vì packet được route trong trạng thái được mã hoá, người nghe trộm không thể xác định được địa chỉ source và địa chỉ destination trong packet.


    Access Control List (ACL)


    ACL là một cách hiệu quả để lọc gói packet dựa trên địa chỉ. ACL có thể thực thi trên Router và những thiết bị tương tự khác để điều khiển một packet có IP source và IP dest có được cho phép đi qua gateway. Một access list chuẩn có thể filter dựa trên source address. Một access list mở rộng có thể lọc ICMP, IGMP hay những giao thức IP khác tại tầng Network. ICMP có thể được filter dựa trên những message được chỉ định trước. IP filter có thể bao gồm port number tại tầng Transport (TCP/UDP) để cho phép hay không cho phép một dịch vụ được chỉ định trước. Access list cũng có thể điều khiển những giao thức khác như là Apple Talk hay IPX. ACL là sự lựa chọn tốt nhất của bạn và là cách tốt nhất để loại trừ những traffic không mong muốn.

    Host to Host Layer Security


    Host to host layer seccurity có thể áp dụng để bảo mật traffic cho tất cả các ứng dụng hay giao thức truyền trong những tầng ở trên. Confidentiality và intergrity thì dễ dàng được duy trì thông qua giao thức mã hoá và chứng thực, availablity và những sự đáng tin cậy khác được chỉ định thông qua giao thức truyền tin cậy.


    IPSec


    Kiến trúc bảo mật của IPSec là một bộ dịch vụ bảo mật traffic tại tầng IP. Nó là một chuẩn mở được định nghĩa trong RFC 2401. IPSec được sự chấp nhận rộng rãi, nó được sẵn dùng trong nhiều host và nhiều thiết bị hạ tầng mạng. Nó được tích hợp bên trong IOS cỉa cisco, và sẵn dùng trong hầu hết router và firewall.


    Giao thức IPSec có thể cung cấp điều khiển truy xuất, chứng thực và toàn vẹn dữ liệu, và confidentiality cho mỗi IP packet giữa 2 node mạng. IPSec có thể được sử dụng giữa 2 host, một gateway và 1 host, hay hai gateway.


    IPSec thêm hai giao thức bảo mật đến IP: Authentication Header (AH), và Encapsulating Security Payload (ESP). AH cung cấp toàn vẹn kết nối. AH không cung cấp mã hoá dữ liệu nhưng bất kỳ sự chỉnh sửa nào của dử liệu cũng sẽ được dò tìm ra. ESP cung cấp confidentiality thông qua việc mã hoá Payload. Điều khiển truy xuất được cung cấp thông qua việc sử dụng và quản lý key để điều khiển dòng traffic.


    IPSec được thiết kế để trở nên linh hoạt vì thế những nhu cầu bảo mật khác nhau có thể được cung cấp. Dịch vụ bảo mật có thể đáp ứng được những nhu cầu riêng biệt cho mỗi kết nối bởi việc sử dụng AH hay ESP riêng rẽ theo chức năng của nó hay kết hợp hai giao thức lại để cung cấp một sự bảo vệ đầy đủ được đưa ra bởi IPSec. Nhiều thuật toán mã hoá được hỗ trợ. Thuật toán được thực thi trong IPSec được liệt kê dưới đây. Thuật toán null không cung cấp sự bảo vệ, nhưng được sử dụng để thương thuyết những giao thức khác. AH và ESP không thể null tại một thời điểm.


    - Data Encryption Standard trong Cipher Block Chaining (CBC) mode.
    - HMAC (Hash Message Authentication Codes) với MD5.
    - HMAC với SHA.
    - Thuật toán chứng thực null.
    - Thuật toán mã hoá null.


    Mối giao thức hỗ trợ một transport mode và một tunnel mode. Transport mode là giữa hai host. Tunnel mode là một tunnel IP và được sử dụng khi nào cả hai điểm kết nối là security gateway. Một security gateway là một hệ thống trung gian như là một router hay một firewall mà thực thi giao thức IPSec. Sự kết hợp bảo mật giữa một host và một security gateway chắc chắn phải sư dụng tunnel mode.


    Trong transport mode, AH hay ESP header được chèn phía sau IP header nhưng trước header của giao thức bất kỳ thuộc tầng trên. Như trình bày trong hình 1.1, AH chức thức IP header gốc nhưng không bảo vệ trường bị chỉnh sữa trong tiến trình routing IP packet. ESP chỉ bảo vệ những gì sau ESP Header. Nếu policy bảo mật giữa hai host đòi hỏi sự pha trộn của AH và ESP, thì AH Header xuất hiện đầu tiên sau đó đến IP Header và theo sau là ESP Header. Sự kết hợp này được gọi là SA bundle.


    Trong tunnel mode, IP Header gốc và payload được đóng gói bởi giao thức IPSec. Một IP Header mới chỉ định đích IPSec tunnel được gắn tới packet. IP Header gốc và payload của nó được bảo vệ bởi AH hay ESP header. Từ hình 1.2 bạn có thể nhận thấy rằng AH cung cấp sự bảo vệ toàn bộ packet nhưng không bảo vệ trường bị chỉnh sửa trong suốt quá trình routing IP packet giữa 2 endpoint.




    Quản lý key là một thành phần lớn khác của IPSec. Công nghệ cấu hình bằng tay được cho phép trong IPSec chuẩn và có thể được chấp nhận để cấu hình một hay hai gateway nhưng việc gõ key bằng tay không thích hợp trong một số trường hợp.

    Internet Key Exchange (IKE) cung cấp key một cách tự động, quản lý SA hai chiều, tạo key và quản lý key. IKE thương thuyết trong hai giai đoạn.

    Giai đoạn 1 thương thuyết bảo mật, kênh chứng thực mà dựa trên đó hệ thống có thể thương thuyết nhiều giao thức khác. Chúng đồng ý thuật toán mã hoá, thuật toán hash, phương pháp chứng thực và nhóm Diffie-Hellman để trao đổi key và thông tin.

    Giai đoạn 2 xác định dịch vụ bảo được sử dụng bởi IPSec. Chúng đồng ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá. Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng.
    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

    Email : dangquangminh@vnpro.org
    https://www.facebook.com/groups/vietprofessional/

  • #2
    Cảm ơn thầy rất nhiều.
    bài viết rất hữu ích.
    Mong thầy có thể nói rõ hơn về hai giao thức bảo mật
    Authentication Header (AH), và Encapsulating Security Payload (ESP) được không?
    Tại sao ESP là đảm bảo được tính Authetically và Confidentiality?

    Comment


    • #3
      Em tìm ra rồi

      Thanks all!

      Comment

      Working...
      X