IP security( bảo mật tầng Internet Protocol)

IP security( bảo mật tầng Internet Protocol)

Rate this post

Có các cơ chế bảo mật dành riêng cho ứng dụng cho một số lĩnh vực ứng dụng, bao gồm thư điện tử (S / MIME, PGP), máy khách / máy chủ (Kerberos), truy cập Web (Lớp cổng bảo mật) và những thứ khác. Tuy nhiên, người dùng có những lo ngại về bảo mật cắt ngang các lớp giao thức. Ví dụ: một doanh nghiệp có thể chạy một mạng IP riêng, an toàn bằng cách không cho phép các liên kết đến các trang web không đáng tin cậy, mã hóa các gói rời khỏi cơ sở và xác thực các gói đi vào cơ sở. Bằng cách triển khai bảo mật ở cấp độ IP, một tổ chức có thể đảm bảo mạng an toàn không chỉ cho các ứng dụng có cơ chế bảo mật mà còn cho nhiều ứng dụng thiếu hiểu biết về bảo mật.

Các bài viết liên quan:

Bảo mật cấp IP bao gồm ba lĩnh vực chức năng: xác thực, kết nối- tính hợp lý và quản lý chính. Cơ chế xác thực đảm bảo rằng một gói nhận được, trên thực tế, được truyền bởi bên được xác định là nguồn trong tiêu đề gói. Ngoài ra, cơ chế này đảm bảo rằng gói tin không bị thay đổi trong quá trình truyền tải. Cơ sở bảo mật cho phép các nút giao tiếp mã hóa tin nhắn để ngăn chặn việc nghe trộm bởi các bên thứ ba. Cơ sở quản lý khóa liên quan đến việc trao đổi khóa an toàn.

Chúng ta bắt đầu chương này với tổng quan về bảo mật IP (IPsec) và giới thiệu về kiến ​​trúc IPsec. Sau đó, chúng tôi xem xét chi tiết từng khu vực trong số ba khu vực chức năng.

Tổng quan về bảo mật IP security

Năm 1994, Ban Kiến trúc Internet (IAB) đã đưa ra một báo cáo có tiêu đề “Bảo mật trong Kiến trúc Internet” (RFC 1636). Báo cáo đã xác định các khu vực chính cho các cơ chế bảo mật. Trong số này có nhu cầu bảo mật mạng cơ sở hạ tầng từ việc giám sát và kiểm soát trái phép lưu lượng mạng và nhu cầu bảo mật lưu lượng từ người dùng cuối đến người dùng cuối bằng cách sử dụng các cơ chế xác thực và mã hóa.

Để cung cấp bảo mật, IAB đã bao gồm xác thực và mã hóa làm các tính năng bảo mật cần thiết trong IP thế hệ tiếp theo, đã được cấp dưới dạng IPv6. May mắn thay, các khả năng bảo mật này được thiết kế để có thể sử dụng được với cả IPv4 hiện tại và IPv6 trong tương lai. Điều này có nghĩa là các nhà cung cấp có thể bắt đầu cung cấp các tính năng này ngay bây giờ và nhiều nhà cung cấp hiện đã có một số tiêu chuẩn IPsec trong sản phẩm của họ. Đặc tả IPsec hiện tồn tại như một tập hợp các tiêu chuẩn Internet.

Xem thêm FTP là gì?

Ứng dụng của IPsec 

IPsec cung cấp khả năng bảo mật thông tin liên lạc qua mạng LAN, qua mạng riêng tưvà các mạng WAN công cộng và trên Internet. Ví dụ về việc sử dụng nó bao gồm:

  • Secure branch office connectivity over the Internet: Một công ty có thể xây dựng một mạng riêng ảo an toàn qua Internet hoặc qua mạng WAN công cộng. Điều này cho phép một doanh nghiệp phụ thuộc nhiều vào Internet và giảm nhu cầu về mạng riêng, tiết kiệm chi phí và chi phí quản lý mạng.
  • Secure remote access over the Internet: Người dùng cuối có hệ thống được trang bị với các giao thức bảo mật IP có thể thực hiện cuộc gọi nội hạt đến Nhà cung cấp dịch vụ Internet (ISP) và truy cập an toàn vào mạng công ty.
  • Establishing extranet and intranet connectivity with partners:  IPsec có thể được sử dụng để bảo mật thông tin liên lạc với các tổ chức khác, đảm bảo tính xác thực và tính bảo mật cũng như cung cấp cơ chế trao đổi khóa.
  • Enhancing electronic commerce security: Mặc dù một số trang Web và điện tử các ứng dụng thương mại có các giao thức bảo mật được tích hợp sẵn, việc sử dụng IPsec sẽ tăng cường khả năng bảo mật đó. IPsec đảm bảo rằng tất cả lưu lượng do quản trị viên mạng chỉ định đều được mã hóa và xác thực, thêm một lớp bảo mật bổ sung cho bất kỳ lưu lượng nào được cung cấp tại lớp ứng dụng.

Tính năng chính của IPsec cho phép nó hỗ trợ các ứng dụng đa dạng này- điểm là nó có thể mã hóa và / hoặc xác thực tất cả lưu lượng truy cập ở cấp IP. Do đó, tất cả các ứng dụng được đề xuất (bao gồm đăng nhập từ xa, máy khách / máy chủ, e-mail, truyền tệp, truy cập Web, v.v.) đều có thể được bảo mật.

IP security( bảo mật tầng Internet Protocol)

Hình trên là một kịch bản điển hình của việc sử dụng IPsec. Một tổ chức duy trì mạng LAN tại các địa điểm phân tán. Lưu lượng IP không an toàn được thực hiện trên mỗi mạng LAN. Đối với lưu lượng truy cập ngoại vi, thông qua một số loại WAN riêng hoặc công cộng, các giao thức IPsec được sử dụng.Các giao thức này hoạt động trong các thiết bị mạng, chẳng hạn như bộ định tuyến hoặc tường lửa, kết nối mỗi mạng LAN với thế giới bên ngoài. Thiết bị mạng IPsec thường sẽ mã hóa và nén tất cả lưu lượng truy cập vào mạng WAN, đồng thời giải mã và giải nén lưu lượng truy cập đến từ mạng WAN; các hoạt động này là minh bạch đối với các máy trạm và máy chủ trong mạng LAN. Cũng có thể truyền an toàn với những người dùng cá nhân quay số vào mạng WAN. Các máy trạm người dùng như vậy phải triển khai các giao thức IPsec để cung cấp bảo mật.

Lợi ích của IPsec 

Một số lợi ích của IPsec:

  • Khi IPsec được triển khai trong tường lửa hoặc bộ định tuyến, nó cung cấp bảo mật mạnh mẽ có thể được áp dụng cho tất cả giao thông băng qua vành đai. Lưu lượng truy cập trong một công ty hoặc nhóm làm việc không phải chịu chi phí xử lý liên quan đến bảo mật.
  • IPsec trong tường lửa có khả năng chống bỏ qua nếu tất cả lưu lượng truy cập từ bên ngoài phải sử dụng IP và tường lửa là phương tiện duy nhất để truy cập từ Internet vào tổ chức.
  • IPsec nằm bên dưới lớp truyền tải (TCP, UDP) và do đó, trong suốt đối với các ứng dụng. Không cần thay đổi phần mềm trên người dùng hoặc hệ thống máy chủ khi IPsec được triển khai trong tường lửa hoặc bộ định tuyến. Ngay cả khi IPsec được triển khai trong hệ thống đầu cuối, phần mềm lớp trên, bao gồm các ứng dụng, vẫn không bị ảnh hưởng.
  • IPsec có thể minh bạch đối với người dùng cuối. Không cần phải đào tạo người dùng về cơ chế bảo mật, phát hành tài liệu khóa trên cơ sở mỗi người dùng hoặc thu hồi tài liệu khóa khi người dùng rời khỏi tổ chức.
  • IPsec có thể cung cấp bảo mật cho người dùng cá nhân nếu cần. Điều này hữu ích cho những người làm việc bên ngoài và để thiết lập mạng con ảo an toàn trong một tổ chức cho các ứng dụng nhạy cảm.

Ứng dụng Routing

Ngoài việc hỗ trợ người dùng cuối và bảo vệ hệ thống và mạng cơ sở, IPsec có thể đóng một vai trò quan trọng trong kiến ​​trúc định tuyến cần thiết cho kết nối internet. [HUIT98] liệt kê các ví dụ sau về việc sử dụng IPsec. IPsec có thể đảm bảo rằng

  • Quảng cáo bộ định tuyến (một bộ định tuyến mới quảng cáo sự hiện diện của nó) đến từ một bộ định tuyến được ủy quyền.
  • Quảng cáo hàng xóm (một bộ định tuyến tìm cách thiết lập hoặc duy trì mối quan hệ láng giềng với một bộ định tuyến trong miền định tuyến khác) đến từ một bộ định tuyến được ủy quyền.
  • Một thông báo chuyển hướng đến từ bộ định tuyến mà gói IP ban đầu đã được gửi đến.
  • Bản cập nhật định tuyến không được giả mạo.

Nếu không có các biện pháp an ninh như vậy, đối thủ có thể làm gián đoạn liên lạc hoặc chuyển hướng một số lưu lượng truy cập. Các giao thức định tuyến như Open Shortest Path First (OSPF) nên được chạy trên các liên kết bảo mật giữa các bộ định tuyến được xác định bởi IPsec.

IPsec Documents 

IPsec bao gồm ba lĩnh vực chức năng: xác thực, bảo mật và quản lý khóa. Toàn bộ đặc điểm kỹ thuật IPsec nằm rải rác trên hàng chục RFC và tài liệu IETF dự thảo, khiến đây là đặc điểm kỹ thuật IETF phức tạp và khó nắm bắt nhất. Cách tốt nhất để nắm bắt phạm vi của IPsec là tham khảo phiên bản mới nhất của lộ trình tài liệu IPsec, tính đến thời điểm viết bài này là [FRAN09]. Các tài liệu có thể được phân loại thành các nhóm sau.

  • Architecture: Bao gồm các khái niệm chung, bảo mật các yêu cầu, định nghĩa và cơ chế xác định công nghệ IPsec. Đặc điểm kỹ thuật hiện tại là RFC4301, Kiến trúc bảo mật cho giao thức Internet.
  • Authentication Header (AH): AH là tiêu đề mở rộng để cung cấp xác thực thông báo. Đặc điểm kỹ thuật hiện tại là RFC 4302, Tiêu đề xác thực IP. Bởi vì xác thực thông báo được cung cấp bởi ESP, việc sử dụng AH không được chấp nhận. Nó được bao gồm trong IPsecv3 để tương thích ngược nhưng không nên được sử dụng trong các ứng dụng mới. Chúng tôi không thảo luận về AH trong chương này.
  • Encapsulating Security Payload (ESP): ESP bao gồm một tiêu đề đóng gói và đoạn giới thiệu được sử dụng để cung cấp mã hóa hoặc mã hóa / xác thực kết hợp. Đặc điểm kỹ thuật hiện tại là RFC 4303, Tải trọng bảo mật đóng gói IP (ESP).
  • Internet Key Exchange (IKE): Đây là một tập hợp các tài liệu mô tả các sơ đồ quản lý khóa để sử dụng với IPsec. Đặc điểm kỹ thuật chính làRFC 4306, Giao thức trao đổi khóa Internet (IKEv2), nhưng có một số RFC có liên quan.
  • Cryptographic algorithms: Loại này bao gồm một tập hợp lớn các tài liệu xác định và mô tả các thuật toán mật mã để mã hóa, xác thực thông báo, các hàm giả ngẫu nhiên (PRF) và trao đổi khóa mật mã.
  • Other:  Có nhiều loại RFC khác liên quan đến IPsec, bao gồm cả những RFC liên quan đến chính sách bảo mật và nội dung cơ sở thông tin quản lý (MIB).

IPsec Services 

IPsec cung cấp các dịch vụ bảo mật ở lớp IP bằng cách cho phép hệ thống lựa chọn giao thức bảo mật bắt buộc, xác định (các) thuật toán để sử dụng cho (các) dịch vụ và đặt bất kỳ khóa mật mã nào cần thiết để cung cấp các dịch vụ được yêu cầu. Hai giao thức được sử dụng để cung cấp bảo mật: một giao thức xác thực được chỉ định bởi tiêu đề của giao thức, Authentication Header (AH); và một giao thức mã hóa / xác thực kết hợp được chỉ định theo định dạng của gói cho giao thức đó, Đóng gói Tải trọng Bảo mật (ESP). RFC 4301 liệt kê các dịch vụ sau:

  • Kiểm soát truy cập
  • Tính toàn vẹn không kết nối
  • Xác thực nguồn gốc dữ liệu
  • Từ chối các gói được phát lại (một dạng toàn vẹn chuỗi một phần)
  • Bảo mật (mã hóa)
  • Bảo mật luồng lưu lượng hạn chế

Transport and Tunnel Modes

Cả AH và ESP đều hỗ trợ hai chế độ sử dụng: chế độ vận chuyển và chế độ đường hầm. Hoạt động của hai chế độ này được hiểu rõ nhất trong bối cảnh mô tả về ESP, được đề cập trong Phần 19.3. Ở đây chúng tôi cung cấp một cái nhìn tổng quan ngắn gọn.

TRANSPORT MODE

Chế độ vận chuyển cung cấp sự bảo vệ chủ yếu cho các giao thức lớp trên. Nghĩa là, bảo vệ chế độ truyền tải mở rộng đến tải trọng của gói IP.1 Ví dụ bao gồm một phân đoạn TCP hoặc UDP hoặc một gói ICMP, tất cả đềuhoạt động trực tiếp trên IP trong ngăn xếp giao thức máy chủ. Thông thường, chế độ truyền tải được sử dụng để giao tiếp đầu cuối giữa hai máy chủ (ví dụ: máy khách và máy chủ hoặc hai máy trạm). Khi một máy chủ chạy AH hoặc ESP qua IPv4, trọng tải là dữ liệu thường theo tiêu đề IP. Đối với IPv6, tải trọng là dữ liệu thường theo sau cả tiêu đề IP và bất kỳ tiêu đề tiện ích mở rộng IPv6 nào có mặt, ngoại trừ tiêu đề tùy chọn đích có thể được bao gồm trong bảo vệ.

ESP trong chế độ truyền tải mã hóa và xác thực tùy chọn tải trọng IP nhưng không xác thực tiêu đề IP. AH trong chế độ truyền tải xác thực tải trọng IP và các phần được chọn của tiêu đề IP.

TUNNEL MODE

Chế độ đường hầm cung cấp sự bảo vệ cho toàn bộ gói IP. Để đạt được điều này, sau khi các trường AH hoặc ESP được thêm vào gói IP, toàn bộ gói cộng với các trường bảo mật được coi là trọng tải của gói IP bên ngoài mới với tiêu đề IP bên ngoài mới. Toàn bộ gói tin gốc, bên trong, đi qua một đường hầm từ điểm này đến điểm khác của mạng IP; không có bộ định tuyến nào trên đường đi có thể kiểm tra tiêu đề IP bên trong. Bởi vì gói ban đầu được đóng gói, gói mới, lớn hơn có thể có địa chỉ nguồn và địa chỉ đích hoàn toàn khác nhau, thêmđến an ninh. Chế độ đường hầm được sử dụng khi một hoặc cả hai đầu của hiệp hội bảo mật (SA) là cổng bảo mật, chẳng hạn như tường lửa hoặc bộ định tuyến triển khai IPsec. Với chế độ đường hầm, một số máy chủ trên các mạng phía sau tường lửa có thể tham gia vào các liên lạc an toàn mà không cần triển khai IPsec. Các gói tin không được bảo vệ do các máy chủ này tạo ra sẽ được truyền qua các mạng bên ngoài bằng các SA ở chế độ đường hầm được thiết lập bởi phần mềm IPsec trong tường lửa hoặc bộ định tuyến an toàn ở ranh giới của mạng cục bộ.

Đây là một ví dụ về cách thức hoạt động của chế độ đường hầm IPsec. Lưu trữ A trên mạng

tạo một gói IP với địa chỉ đích của máy chủ B trên một mạng khác. Gói tin này được định tuyến từ máy chủ lưu trữ ban đầu đến tường lửa hoặc bộ định tuyến an toàn ở ranh giới của mạng A. Tường lửa lọc tất cả các gói gửi đi để xác định nhu cầu xử lý IPsec. Nếu gói từ A đến B này yêu cầu IPsec, tường lửathực hiện xử lý IPsec và đóng gói gói tin bằng một tiêu đề IP bên ngoài. Địa chỉ IP nguồn của gói IP bên ngoài này là tường lửa này và địa chỉ đích có thể là tường lửa tạo ranh giới cho mạng cục bộ của B. Gói tin này hiện được chuyển đến tường lửa của B, với các bộ định tuyến trung gian chỉ kiểm tra tiêu đề IP bên ngoài. Tại tường lửa của B, tiêu đề IP bên ngoài bị loại bỏ và gói tin bên trong được chuyển đến B.

ESP trong chế độ đường hầm mã hóa và xác thực tùy chọn toàn bộ gói IP bên trong, bao gồm cả tiêu đề IP bên trong. AH ở chế độ đường hầm xác thực toàn bộ gói IP bên trong và các phần được chọn của tiêu đề IP bên ngoài.

Bảng 19.1 tóm tắt chức năng vận chuyển và chế độ đường hầm.

Trong chương này, thuật ngữ gói IP đề cập đến gói dữ liệu IPv4 hoặc gói IPv6.

Bảng 19.1 Chế độ đường hầm và chức năng của phương thức vận tải

IP security( bảo mật tầng Internet Protocol)

Leave a Reply