Chính sách của IP Security

Chính sách của IP Security

Rate this post

Cơ bản cho hoạt động của IPsec là khái niệm về chính sách bảo mật được áp dụng cho mỗi gói IP truyền từ nguồn đến đích. Chính sách IPsec được xác định chủ yếu bởi sự tương tác của hai cơ sở dữ liệu, cơ sở dữ liệu liên kết bảo mật (SAD) và cơ sở dữ liệu chính sách bảo mật (SPD). Phần này cung cấp tổng quan về hai cơ sở dữ liệu này và sau đó tóm tắt việc sử dụng chúng trong quá trình hoạt động của IPsec. Hình 19.2 minh họa các mối quan hệ có liên quan.

Các bài viết liên quan:

Security Associations 

Một khái niệm chính xuất hiện trong cả cơ chế xác thực và bảo mật cho IP là hiệp hội bảo mật (SA). Liên kết là một cấu trúc logic một chiều giữa người gửi và người nhận cung cấp các dịch vụ bảo mật cho lưu lượng truy cập tiếp tục nó. Nếu một mối quan hệ ngang hàng là cần thiết để trao đổi an toàn hai chiều, thì cần phải có hai hiệp hội bảo mật. Các dịch vụ bảo mật được cấp cho SA để sử dụng AH hoặc ESP, nhưng không phải cả hai.

Chính sách của IP Security

Hình 19.2 Kiến trúc IPsec

Một liên kết bảo mật được xác định duy nhất bởi ba tham số.

  • Security Parameters Index (SPI): Một chuỗi bit được gán cho SA này và có chỉ có ý nghĩa địa phương. SPI được mang trong các tiêu đề AH và ESP để cho phép hệ thống nhận chọn SA mà theo đó gói tin đã nhận sẽ được xử lý.
  • IP Destination Address: Đây là địa chỉ của điểm cuối đích của SA, có thể là hệ thống người dùng cuối hoặc hệ thống mạng như tường lửa hoặc bộ định tuyến.
  • Security Protocol Identifier: Trường này từ tiêu đề IP bên ngoài cho biết liên kết có phải là liên kết bảo mật AH hay ESP hay không.

Do đó, trong bất kỳ gói IP nào, liên kết bảo mật được xác định duy nhất bởi Địa chỉ đích trong tiêu đề IPv4 hoặc IPv6 và SPI trong tiêu đề xuất hiện kèm theo (AH hoặc ESP).

Security Association Database 

Trong mỗi lần triển khai IPsec, có một Cơ sở dữ liệu Hiệp hội Bảo mật danh nghĩa 2 xác định các tham số liên quan đến mỗi SA. Một liên kết bảo mật cũng không được định nghĩa bởi các tham số sau trong một mục SAD.

  • Chỉ số tham số bảo mật: Giá trị 32 bit được chọn bởi đầu nhận của SA để nhận dạng duy nhất SA. Trong một mục SAD cho một SA gửi đi, SPI được sử dụng để xây dựng tiêu đề AH hoặc ESP của gói tin. Trong mục nhập SAD cho SA gửi đến, SPI được sử dụng để ánh xạ lưu lượng đến SA thích hợp.
  • Bộ đếm số thứ tự: Một giá trị 32 bit được sử dụng để tạo trường Số thứ tự trong tiêu đề AH hoặc ESP, được mô tả trong Phần 19.3 (bắt buộc đối với tất cả các triển khai).
  • Tràn bộ đếm thứ tự: Một cờ cho biết liệu tràn Bộ đếm số thứ tự có tạo ra một sự kiện có thể kiểm tra được và ngăn việc truyền thêm các gói trên SA này hay không (bắt buộc đối với tất cả các triển khai).
  • Cửa sổ chống phát lại: Được sử dụng để xác định xem AH hay ESP vào gói là một bản phát lại, được mô tả trong Phần 19.3 (bắt buộc đối với tất cả các triển khai).
  • Thông tin AH: Thuật toán xác thực, khóa, thời gian tồn tại của khóa và các tham số liên quan đang được sử dụng với AH (bắt buộc đối với việc triển khai AH).
  • Thông tin về ESP: Thuật toán mã hóa và xác thực, khóa, giá trị khởi tạo, thời gian tồn tại của khóa và các thông số liên quan đang được sử dụng với ESP (bắt buộc đối với việc triển khai ESP).
  • Thời gian tồn tại của Hiệp hội bảo mật này: Khoảng thời gian hoặc số lượng byte mà sau đó SA phải được thay thế bằng SA mới (và SPI mới) hoặc chấm dứt, cộng với dấu hiệu về hành động nào trong số này sẽ xảy ra (bắt buộc đối với tất cả các triển khai).

Cuối cùng theo nghĩa là chức năng được cung cấp bởi Cơ sở dữ liệu hiệp hội bảo mật phải có trong bất kỳ quá trình triển khai IPsec nào, nhưng cách thức cung cấp chức năng đó là tùy thuộc vào người triển khai.

  • IPsec Protocol Mode: Đường hầm, truyền tải hoặc ký tự đại diện.
  • Path MTU: Bất kỳ đơn vị truyền dẫn tối đa đường dẫn nào được quan sát (kích thước tối đa của gói có thể được truyền mà không bị phân mảnh) và các biến lão hóa (bắt buộc đối với tất cả các triển khai).

Cơ chế quản lý khóa được sử dụng để phân phối khóa được kết hợp với cơ chế xác thực và quyền riêng tư chỉ bằng Chỉ số tham số bảo mật (SPI). Do đó, xác thực và quyền riêng tư đã được chỉ định độc lập với bất kỳ cơ chế quản lý khóa cụ thể nào.

IPsec cung cấp cho người dùng sự linh hoạt đáng kể trong cách mà các dịch vụ IPsec được áp dụng cho lưu lượng IP. Như chúng ta sẽ thấy ở phần sau, SA có thể được kết hợp trong mộtsố cách để mang lại cấu hình người dùng mong muốn. Hơn nữa, IPsec cung cấp mức độ chi tiết cao trong việc phân biệt giữa lưu lượng được bảo vệ IPsec và lưu lượng được phép bỏ qua IPsec, như trong trường hợp trước đây liên quan đến lưu lượng IP với các SA cụ thể.

Security Policy Database 

Phương tiện lưu lượng IP có liên quan đến SA cụ thể (hoặc không SA trong trường hợp lưu lượng được phép bỏ qua IPsec) là Cơ sở dữ liệu chính sách bảo mật danh nghĩa (SPD). Ở dạng đơn giản nhất của nó, một SPD chứa các mục nhập, mỗi mục trong số đó xác định một tập con của lưu lượng IP và trỏ đến một SA cho lưu lượng đó. Trong các môi trường phức tạp hơn, có thể có nhiều mục nhập có khả năng liên quan đến một SA duy nhất hoặc nhiều SA được liên kết với một mục SPD duy nhất. Người đọc được tham khảo các tài liệu IPsec liên quan để thảo luận đầy đủ. Mỗi mục nhập SPD được xác định bởi một tập hợp các giá trị trường giao thức IP và lớp trên,được gọi là bộ chọn. Trên thực tế, các bộ chọn này được sử dụng để lọc lưu lượng đi nhằm ánh xạ nó thành một SA cụ thể. Quá trình gửi đi tuân theo quy định chung sau trình tự cho mỗi gói IP.

  1. So sánh giá trị của các trường thích hợp trong gói (trường bộ chọn) với SPD để tìm mục nhập SPD phù hợp, mục này sẽ trỏ đến không hoặc nhiều SA.
  2. Xác định SA nếu có cho gói tin này và SPI liên quan của nó.
  3. Thực hiện xử lý IPsec được yêu cầu (tức là xử lý AH hoặc ESP). Các bộ chọn sau xác định một mục SPD:
  • Remote IP Address: Đây có thể là một địa chỉ IP duy nhất, một danh sách hoặc dải ô được liệt kê địa chỉ hoặc địa chỉ ký tự đại diện (mặt nạ). Hai địa chỉ sau được yêu cầu hỗ trợ nhiều hơn một hệ thống đích chia sẻ cùng một SA (ví dụ: đằng sau tường lửa).
  • Local IP Address: Đây có thể là một địa chỉ IP, một danh sách hoặc dải ô được liệt kê địa chỉ hoặc địa chỉ ký tự đại diện (mặt nạ). Hai hệ thống sau được yêu cầu hỗ trợ nhiều hơn một hệ thống nguồn chia sẻ cùng một SA (ví dụ: đằng sau một bức tường lửa).
  • Next Layer Protocol: Tiêu đề giao thức IP (IPv4, IPv6 hoặc Phần mở rộng IPv6) bao gồm một trường (Giao thức cho IPv4, Tiêu đề tiếp theo cho IPv6 hoặc Phần mở rộng IPv6) chỉ định giao thức hoạt động qua IP. Đây là số giao thức riêng lẻ, BẤT KỲ, hoặc chỉ dành cho IPv6, OPAQUE. Nếu AH hoặc ESP được sử dụng, thì tiêu đề giao thức IP này ngay lập tức đứng trước tiêu đề AH hoặc ESP trong gói.

Ví dụ về máy chủ SPD

Chính sách của IP Security
  • Name: Mã định danh người dùng từ hệ điều hành. Đây không phải là trường trong IP hoặc các tiêu đề lớp trên nhưng có sẵn nếu IPsec đang chạy trên cùng một hệ thống hoạt động với người dùng.
  • Local and Remote Ports: Đây có thể là các giá trị cổng TCP hoặc UDP riêng lẻ, danh sách các cổng được liệt kê hoặc cổng ký tự đại diện.

Bảng 19.2 cung cấp một ví dụ về SPD trên hệ thống máy chủ (trái ngược với hệ thống mạng như tường lửa hoặc bộ định tuyến). Bảng này phản ánh cấu hình sau: Cấu hình mạng cục bộ bao gồm hai mạng. Cấu hình mạng công ty cơ bản có số mạng IP 1.2.3.0/24. Cấu hình cục bộ cũng bao gồm một mạng LAN an toàn, thường được gọi là DMZ, được xác định là 1.2.4.0/24. DMZ được bảo vệ khỏi thế giới bên ngoài và phần còn lại của mạng LAN công ty bằng tường lửa. Máy chủ trong ví dụ này có địa chỉ IP 1.2.3.10 và nó được phép kết nối với máy chủ 1.2.4.10 trong DMZ.

Các mục trong SPD phải tự giải thích. Ví dụ, cổng UDP 500 là cổng được chỉ định cho IKE. Bất kỳ lưu lượng nào từ máy chủ cục bộ đến máy chủ từ xa cho mục đích trao đổi IKE đều bỏ qua quá trình xử lý IPsec.

IP Traffic Processing 

IPsec được thực thi trên cơ sở từng gói. Khi IPsec được triển khai, mỗi gói IP gửi đi được xử lý bởi logic IPsec trước khi truyền và mỗi gói đến được xử lý bởi logic IPsec sau khi nhận và trước khi chuyển nội dung gói đến lớp cao hơn tiếp theo (ví dụ: TCP hoặc UDP). Chúng ta lần lượt xem xét logic của hai tình huống này.

OUTBOUND PACKETS

Nêu bật các yếu tố chính của quá trình xử lý IPsec đối với lưu lượng đi. Một khối dữ liệu từ lớp cao hơn, chẳng hạn như TCP, được truyền xuống lớp IP và một gói IP được hình thành, bao gồm tiêu đề IP và thân IP. Sau đó, các bước sau sẽ xảy ra:

  1. IPsec tìm kiếm SPD để khớp với gói tin này.
  2. Nếu không tìm thấy kết quả phù hợp nào, thì gói tin sẽ bị loại bỏ và một thông báo lỗi sẽ được tạo ra.
Chính sách của IP Security

Hình Mô hình xử lý cho các gói đi

  1. Nếu tìm thấy một kết quả phù hợp, quá trình xử lý tiếp theo được xác định bởi mục nhập phù hợp đầu tiên trong SPD. Nếu chính sách cho gói tin này là DISCARD, thì gói tin đó sẽ bị loại bỏ. Nếu chính sách là BYPASS, thì không có quá trình xử lý IPsec nào nữa; gói được chuyển tiếp đến mạng để truyền.
  2. Nếu chính sách là BẢO VỆ, thì việc tìm kiếm SAD sẽ được thực hiện cho mục nhập phù hợp. Nếu không tìm thấy mục nhập nào, thì IKE được gọi để tạo một SA với các khóa thích hợp và một mục nhập được thực hiện trong SA.
  3. Mục nhập phù hợp trong SAD xác định quá trình xử lý gói tin này. Có thể thực hiện mã hóa, xác thực hoặc cả hai vàcó thể sử dụng chế độ vận chuyển hoặc đường hầm. Sau đó gói tin được chuyển tiếp đến mạng để truyền.

INBOUND PACKETS

Hình nêu bật các yếu tố chính của quá trình xử lý IPsec đối với lưu lượng gửi đến. Một gói IP đến sẽ kích hoạt xử lý IPsec. Các bước sau xảy ra:

  1. IPsec xác định xem đây là gói IP không an toàn hay gói có ESP hoặc tiêu đề / đoạn giới thiệu AH, bằng cách kiểm tra trường Giao thức IP (IPv4) hoặc trường Tiêu đề tiếp theo (IPv6).
Chính sách của IP Security

Hình Mô hình xử lý cho các gói đến

  1. Nếu gói tin không được bảo mật, IPsec sẽ tìm kiếm SPD để khớp vào gói này. Nếu mục nhập phù hợp đầu tiên có chính sách BYPASS, thì tiêu đề IP sẽ được xử lývà loại bỏ và phần thân gói được chuyển đến lớp cao hơn tiếp theo, chẳng hạn như TCP. Nếu mục nhập phù hợp đầu tiên có chính sách BẢO VỆ hoặc LOẠI BỎ, hoặc nếu không có mục nhập phù hợp, gói tin sẽ bị loại bỏ.
  2. Đối với một gói bảo mật, IPsec tìm kiếm SAD. Nếu không tìm thấy kết quả phù hợp, gói tin sẽ bị loại bỏ. Nếu không, IPsec áp dụng ESP hoặc AH thích hợpChế biến. Sau đó, tiêu đề IP được xử lý và loại bỏ và phần thân gói được chuyển đến lớp cao hơn tiếp theo, chẳng hạn như TCP.

Leave a Reply