Encapsulating trong IP SEC

Encapsulating trong IP SEC

Rate this post

ESP có thể được sử dụng để cung cấp tính bảo mật, xác thực nguồn gốc dữ liệu, tính toàn vẹn của kết nối, dịch vụ chống phát lại (một dạng toàn vẹn chuỗi một phần) và bảo mật luồng lưu lượng (hạn chế). Tập hợp các dịch vụ được cung cấp phụ thuộc vào các tùy chọn được chọn tại thời điểm thành lập Hiệp hội Bảo mật (SA) và vào vị trí triển khai trong cấu trúc liên kết mạng.

Các bài viết liên quan:

ESP có thể hoạt động với nhiều thuật toán mã hóa và xác thực khác nhau, bao gồm cả các thuật toán mã hóa xác thực như GCM.

Định dạng ESP

Hình 19.5a cho thấy định dạng cấp cao nhất của gói ESP. Nó chứa các trường sau đây.

  • Security Parameters Index (32 bits): Xác định một liên kết bảo mật.
  • Sequence Number (32 bits): Giá trị bộ đếm tăng đơn điệu; điều này cung cấp một chức năng chống phát lại, như đã thảo luận cho AH.
  • Payload Data (variable): Đây là một phân đoạn mức truyền tải (chế độ truyền tải) hoặc gói IP (chế độ đường hầm) được bảo vệ bằng mã hóa.
  • Padding (0 – 255 bytes):  Mục đích của trường này sẽ được thảo luận sau.
  • Pad Length (8 bits): Cho biết số byte vùng đệm ngay trước trường này.
  • Next Header (8 bits): Xác định loại dữ liệu có trong trường dữ liệu trọng tải bằng cách xác định tiêu đề đầu tiên trong tải trọng đó (ví dụ: tiêu đề mở rộng trong IPv6 hoặc giao thức lớp trên như TCP).
Encapsulating trong IP SEC
  • Integrity Check Value (variable): Trường có độ dài thay đổi (phải là một số tích phân của các từ 32 bit) có chứa Giá trị kiểm tra tính toàn vẹn được tính trên gói ESP trừ trường Dữ liệu xác thực.

Khi bất kỳ thuật toán chế độ kết hợp nào được sử dụng, bản thân thuật toán được kỳ vọng sẽ trả về cả bản rõ được giải mã và chỉ báo đạt / không đạt để kiểm tra tính toàn vẹn. Đối với các thuật toán chế độ kết hợp, ICV thường xuất hiện ở cuối gói ESP (khi tính toàn vẹn được chọn) có thể bị bỏ qua. Khi ICV bị bỏ qua và tính toàn vẹn được chọn, thuật toán chế độ kết hợp có trách nhiệm mã hóa trong Dữ liệu tải trọng một phương tiện tương đương với ICV để xác minh tính toàn vẹn của gói.

Hai trường bổ sung có thể xuất hiện trong tải trọng (Hình 19.5b). Giá trị khởi tạo (IV), hoặc nonce, hiện diện nếu điều này được yêu cầu bởi thuật toán mã hóa hoặc mã hóa xác thực được sử dụng cho ESP. Nếu chế độ đường hầm đang được sử dụng, thì việc triển khai IPsec có thể thêm phần đệm bảo mật luồng lưu lượng (TFC) sau Dữ liệu tải trọng và trước trường Padding, như được giải thích sau đó.

Thuật toán Encryption và Authentication

Các trường Dữ liệu tải trọng, Phần đệm, Chiều dài phần đệm và Tiêu đề tiếp theo được mã hóa bởi dịch vụ ESP. Nếu thuật toán được sử dụng để mã hóa tải trọng yêu cầu dữ liệu đồng bộ hóa đồ họa mật mã, chẳng hạn như vectơ khởi tạo (IV), thì những dữ liệu này có thể được mang một cách rõ ràng ở đầu trường Dữ liệu tải trọng. Nếu được bao gồm, IV thường không được mã hóa, mặc dù nó thường được coi là một phần của bản mã.

Trường ICV là tùy chọn. Nó chỉ hiện diện nếu dịch vụ toàn vẹn được chọn và được cung cấp bởi một thuật toán toàn vẹn riêng biệt hoặc thuật toán chế độ kết hợp sử dụng ICV. ICV được tính sau khi mã hóa được thực hiện. Thứ tự xử lý này tạo điều kiện thuận lợi cho việc phát hiện và từ chối nhanh chóng các gói tin được phát lại hoặc không có thật bởi người nhận trước khi giải mã gói tin, do đó có khả năng làm giảm tác động của các cuộc tấn công từ chối dịch vụ (DoS). Nó cũng cho phép khả năng xử lý song song các gói tin ở máy thu, tức là, việc giải mã có thể diễn ra song song với việc kiểm tra tính toàn vẹn. Lưu ý rằng vì ICV không được bảo vệ bằng mã hóa, một thuật toán toàn vẹn có khóa phải được sử dụng để tính toán ICV.

Padding 

Trường Padding phục vụ một số mục đích:

  • Nếu thuật toán mã hóa yêu cầu bản rõ là bội số của một số byte (ví dụ: bội số của một khối duy nhất cho mật mã khối), trường Padding được sử dụng để mở rộng bản rõ (bao gồm Dữ liệu tải trọng, Padding, Pad Các trường Chiều dài và Tiêu đề Tiếp theo) đến độ dài được yêu cầu.
  • Định dạng ESP yêu cầu các trường Độ dài phần đệm và Tiêu đề tiếp theo phải được căn phải trong một từ 32 bit. Tương tự, bản mã phải là một số nguyênbội số của 32 bit. Trường Padding được sử dụng để đảm bảo sự liên kết này.
  • Có thể thêm phần đệm bổ sung để bảo mật một phần luồng giao thông bằng cách che giấu chiều dài thực của trọng tải.

Anti-Replay Service 

Một cuộc tấn công phát lại là một cuộc tấn công trong đó kẻ tấn công lấy được một bản sao của một gói tin đã được xác thực và sau đó truyền nó đến đích đã định. Việc nhận các gói IP trùng lặp, được xác thực có thể làm gián đoạn dịch vụ theo một cách nào đó hoặc có thể gây ra một số hậu quả không mong muốn khác. Trường Số thứ tự được thiết kế để ngăn chặn các cuộc tấn công như vậy. Đầu tiên, chúng tôi thảo luận về việc tạo số thứ tự bởi người gửi, sau đó chúng tôi xem xét cách nó được xử lý bởi người nhận.

Khi một SA mới được thiết lập, người gửi khởi tạo bộ đếm số thứ tự thành 0. Mỗi lần gói tin được gửi trên SA này, người gửi sẽ tăng bộ đếm và đặt giá trị vào trường Số thứ tự. Do đó, giá trị đầu tiên được sử dụng là 1. Nếu tính năng chống phát lại được bật (mặc định), người gửi không được cho phép số thứ tự chuyển qua 232 – 1 trở về 0. Nếu không, sẽ có nhiều gói tin hợp lệ có cùng số thứ tự. Nếu đạt đến giới hạn 232 – 1, người gửi nên chấm dứt SA này và thương lượng SA mới với khóa mới. Vì IP là một dịch vụ không kết nối, không đáng tin cậy, giao thức không đảm bảo rằng các gói sẽ được phân phối theo thứ tự và không đảm bảo rằng tất cả các gói sẽ được phân phối. Do đó, tài liệu xác thực IPsec quy định rằngmáy thu nên triển khai một cửa sổ có kích thước W, với giá trị mặc định là W = 64. Cạnh bên phải của cửa sổ biểu thị số thứ tự cao nhất, N, cho đến nay đã nhận được cho một gói hợp lệ. Đối với bất kỳ gói tin nào có số thứ tự trong phạm vi từ N – W + 1 đến N đã được nhận chính xác (tức là đã được xác thực đúng cách), vị trí tương ứng trong cửa sổ sẽ được đánh dấu (Hình 19.6). Xử lý trong tiến hành như sau khi nhận được một gói:

  1. Nếu gói nhận được nằm trong cửa sổ và mới, MAC đã được kiểm tra. Nếu gói được xác thực, vị trí tương ứng trong cửa sổ sẽ được đánh dấu.
  2. Nếu gói nhận được ở bên phải cửa sổ và là gói mới, MAC sẽ được kiểm tra. Nếu gói được xác thực, cửa sổ sẽ được nâng cao để số thứ tự này là cạnh bên phải của cửa sổ và vị trí tương ứng trong cửa sổ được đánh dấu.
  3. Nếu gói nhận được ở bên trái cửa sổ hoặc nếu xác thực không thành công, gói đó sẽ bị loại bỏ; đây là một sự kiện có thể nghe được.
Encapsulating trong IP SEC

Transport và Tunnel Modes 

Hình 19.7 cho thấy hai cách mà dịch vụ IPsec ESP có thể được sử dụng. Trong phần trên của hình, mã hóa (và xác thực tùy chọn) được cung cấp trực tiếp giữa hai máy chủ. Hình 19.7b cho thấy cách hoạt động của chế độ đường hầm có thể được sử dụng để thiết lập một mạng riêng ảo. Trong ví dụ này, một tổ chức có bốn mạng riêng được kết nối với nhau trên Internet. Máy chủ trên mạng nội bộ sử dụng Internet để vận chuyển dữ liệu nhưng không tương tác với máy chủ dựa trên Internet khác. Bằng cách kết thúc các đường hầm tại cổng bảo mật vào mỗi mạng nội bộ, cấu hình cho phép các máy chủ tránh triển khai khả năng bảo mật. Kỹ thuật trước đây được hỗ trợ bởi SA chế độ vận chuyển, trong khi kỹ thuật sau sử dụng SA chế độ đường hầm.

Trong phần này, chúng tôi xem xét phạm vi của ESP cho hai chế độ. Việc cân nhắc có phần khác nhau đối với IPv4 và IPv6. Chúng tôi sử dụng các định dạng gói của Hình 19.8a làm điểm khởi đầu.

TRANSPORT MODE ESP

Chế độ truyền tải ESP được sử dụng để mã hóa và xác thực tùy chọn dữ liệu được IP mang theo (ví dụ: một đoạn TCP), như được thể hiện trong Hình 19.8b.

Encapsulating trong IP SEC

Hình 19.7 Chế độ vận chuyển so với mã hóa chế độ đường hầm

Encapsulating trong IP SEC

Đối với chế độ này sử dụng IPv4, tiêu đề ESP được chèn vào gói IP ngay trước tiêu đề lớp truyền tải (ví dụ: TCP, UDP, ICMP) và một đoạn giới thiệu ESP (các trường Padding, Pad Length và Next Header) được đặt sau gói IP. Nếu xác thực được chọn, trường Dữ liệu xác thực ESP sẽ được thêm vào sau đoạn giới thiệu ESP. Toàn bộ phân đoạn cấp độ giao thông cộng với đoạn giới thiệu ESP được mã hóa. Xác thực bao gồm tất cả các bản mã cộng với tiêu đề ESP.

Trong ngữ cảnh của IPv6, ESP được xem như một trọng tải end-to-end; nghĩa là nó không được kiểm tra hoặc xử lý bởi các bộ định tuyến trung gian. Do đó, tiêu đề ESP xuất hiện sau tiêu đề cơ sở IPv6 và phần mở rộng hop-by-hop, định tuyến và phân đoạntiêu đề. Tiêu đề tiện ích mở rộng tùy chọn đích có thể xuất hiện trước hoặc sau tiêu đề ESP, tùy thuộc vào ngữ nghĩa mong muốn. Đối với IPv6, mã hóa bao gồm toàn bộ phân đoạn cấp độ truyền tải cộng với đoạn giới thiệu ESP cùng với tiêu đề tiện ích mở rộng tùy chọn đích nếu nó xảy ra sau tiêu đề ESP. Một lần nữa, xác thực bao gồm bản mã cộng với tiêu đề ESP.

Hoạt động của phương thức vận tải có thể được tóm tắt như sau.

  1. Tại nguồn, khối dữ liệu bao gồm đoạn giới thiệu ESP cộng với toàn bộ phân đoạn lớp truyền tải được mã hóa và bản rõ của khối này được thay thế bằng bản mã của nó để tạo thành gói IP để truyền. Xác thực được thêm nếu tùy chọn này được chọn.
  2. Sau đó gói tin được chuyển đến đích. Mỗi bộ định tuyến trung gian cầnkiểm tra và xử lý tiêu đề IP cùng với bất kỳ tiêu đề mở rộng IP bản rõ nào nhưng không cần kiểm tra bản mã.
  3. Nút đích kiểm tra và xử lý tiêu đề IP cùng với bất kỳ tiêu đề mở rộng IP bản rõ nào. Sau đó, trên cơ sở SPI trong tiêu đề ESP, nút đích sẽ giải mã phần còn lại của gói để khôi phục phân đoạn lớp truyền tải bản rõ.

Chế độ vận chuyển hoạt động cung cấp tính bảo mật cho bất kỳ ứng dụng nào sử dụng nó, do đó tránh được sự cần thiết phải thực hiện bảo mật ở mọi cá nhân ứng dụng. Một nhược điểm của chế độ này là có thể thực hiện phân tích lưu lượng trên các gói được truyền.

TUNNEL MODE ESP

Chế độ đường hầm ESP được sử dụng để mã hóa toàn bộ gói IP (Hình 19.8c). Đối với chế độ này, tiêu đề ESP được đặt trước vào gói và sau đó gói cộng với đoạn giới thiệu ESP được mã hóa. Phương pháp này có thể được sử dụng để chống lại phân tích lưu lượng truy cập.

Vì tiêu đề IP chứa địa chỉ đích và có thể là các chỉ thị định tuyến nguồn và thông tin tùy chọn hop-by-hop, nên không thể chỉ đơn giản là truyền gói IP được mã hóa bởi tiêu đề ESP. Các bộ định tuyến trung gian sẽ không thể xử lý một gói tin như vậy. Do đó, cần phải đóng gói toàn bộ khối (tiêu đề ESP cộng với bản mã cộng với Dữ liệu xác thực, nếu có) bằng một tiêu đề IP mới sẽ chứa đầy đủ thông tin để định tuyến nhưng không phải để phân tích lưu lượng.

Trong khi chế độ truyền tải phù hợp để bảo vệ kết nối giữa các máy chủ hỗ trợ tính năng ESP, chế độ đường hầm hữu ích trong cấu hình bao gồm tường lửa hoặc loại cổng bảo mật khác để bảo vệ mạng đáng tin cậy từ các mạng bên ngoài. Trong trường hợp thứ hai này, mã hóa chỉ xảy ra giữa một máy chủ bên ngoài và cổng bảo mật hoặc giữa hai cổng bảo mật. Điều này làm giảm gánh nặng xử lý mã hóa của các máy chủ trên mạng nội bộ và đơn giản hóa tác vụ phân phối khóa bằng cách giảm số lượng khóa cần thiết. Hơn nữa, nó ngăn cản phân tích lưu lượng dựa trên điểm đến cuối cùng.

Hãy xem xét trường hợp máy chủ bên ngoài muốn giao tiếp với máy chủ trên mạng nội bộ được bảo vệ bởi tường lửa và trong đó ESP được triển khai trong máy chủ bên ngoài và tường lửa. Các bước sau đây xảy ra để chuyển một phân đoạn tầng cổng từ máy chủ bên ngoài sang máy chủ bên trong.

  1. Nguồn chuẩn bị một gói IP bên trong với địa chỉ đích của máy chủ nội bộ đích. Gói này được bắt đầu bởi một tiêu đề ESP; thì gói và đoạn giới thiệu ESP được mã hóa và Dữ liệu xác thực có thể được thêm vào. Khối kết quả được đóng gói bằng một tiêu đề IP mới (tiêu đề cơ sở cộng với các phần mở rộng tùy chọn như các tùy chọn định tuyến và hop-by-hop cho IPv6) có địa chỉ đích là tường lửa; điều này tạo thành gói IP bên ngoài.
  2. Gói bên ngoài được chuyển đến tường lửa đích. Mỗi bộ định tuyến trung gian cần kiểm tra và xử lý tiêu đề IP bên ngoài cùng với bất kỳ tiêu đề mở rộng IP bên ngoài nào nhưng không cần kiểm tra bản mã.
  3. Tường lửa đích kiểm tra và xử lý tiêu đề IP bên ngoài cùng với bất kỳ tiêu đề mở rộng IP bên ngoài nào. Sau đó, trên cơ sở SPI trong tiêu đề ESP, nút đích giải mã phần còn lại của gói đểkhôi phục gói IP bên trong bản rõ. Sau đó gói tin này được truyền trong mạng nội bộ.
  4. Gói bên trong được định tuyến qua không hoặc nhiều bộ định tuyến trong mạng nội bộ đến máy chủ đích.

Leave a Reply