Kết hợp security association

Kết hợp security association

Rate this post

Một SA riêng lẻ có thể triển khai giao thức AH hoặc ESP nhưng không phải cả hai. Đôi khi một luồng lưu lượng cụ thể sẽ yêu cầu các dịch vụ được cung cấp bởi cả AH và ESP. Hơn nữa, một luồng lưu lượng cụ thể có thể yêu cầu các dịch vụ IPsec giữa các máy chủ và đối với cùng một luồng đó, các dịch vụ riêng biệt giữa các cổng an ninh, chẳng hạn như tường lửa. Trong tất cả các trường hợp này, nhiều SA phải được sử dụng cho cùng một luồng lưu lượng để đạt được các dịch vụ IPsec mong muốn. Thuật ngữ gói liên kết bảo mật đề cập đến một chuỗi SA mà qua đó lưu lượng phải được xử lý để cung cấp một tập hợp các dịch vụ IPsec mong muốn. Các SA trong một gói có thể kết thúc ở các điểm cuối khác nhau hoặc ở cùng một điểm cuối.

Các bài viết liên quan:

Các Security Association có thể được kết hợp thành các gói theo hai cách:

  • Transport adjacency: Đề cập đến việc áp dụng nhiều hơn một giao thức bảo mật cho cùng một gói IP mà không cần gọi đường hầm. Cách tiếp cận này để kết hợp AH và ESP chỉ cho phép một mức độ kết hợp; Việc lồng thêm vào không mang lại lợi ích bổ sung nào vì quá trình xử lý được thực hiện tại một cá thể IPsec: đích (cuối cùng).
  • Iterated tunneling: Đề cập đến việc áp dụng nhiều lớp giao thức bảo mật được thực hiện thông qua đường hầm IP. Cách tiếp cận này cho phép nhiều cấp độ lồng nhau, vì mỗi đường hầm có thể bắt nguồn hoặc kết thúc tại một trang IPsec khác nhau dọc theo đường dẫn.

Kết hợp security association

Hình 19.9 Hoạt động giao thức cho ESP

Hai cách tiếp cận có thể được kết hợp, ví dụ, bằng cách để SA vận chuyển giữa các máy chủ đi một phần đường qua SA đường hầm giữa các cổng an ninh.

Một vấn đề thú vị nảy sinh khi xem xét các gói SA là thứ tự trong xác thực và mã hóa nào có thể được áp dụng giữa một cặp điểm cuối nhất định và các cách làm như vậy. Chúng tôi xem xét vấn đề đó tiếp theo. Sau đó, chúng tôi xem xét sự kết hợp của SA liên quan đến ít nhất một tunnel.

Mã hóa và xác thực có thể được kết hợp để truyền một gói IP có cả tính bảo mật và xác thực giữa các máy chủ. Chúng tôi xem xét một số cách tiếp cận.

ESP WITH AUTHENTICATION OPTION 

Cách tiếp cận này được minh họa trong Hình 19.8. Trong cách tiếp cận này, trước tiên người dùng áp dụng ESP cho dữ liệu được bảo vệ và sau đónối trường dữ liệu xác thực. Thực tế có hai trường hợp con:

  • Transport mode ESP: Xác thực và mã hóa áp dụng cho tải trọng IP được phân phối đến máy chủ lưu trữ, nhưng tiêu đề IP không được bảo vệ.
  • Tunnel mode ESP: Xác thực áp dụng cho toàn bộ gói IP được phân phối đến địa chỉ đích IP bên ngoài (ví dụ: tường lửa) và xác thực được thực hiện tại đích đó. Toàn bộ gói IP bên trong được bảo vệ bởi cơ chế riêng tư để gửi đến đích IP bên trong.

Đối với cả hai trường hợp, xác thực áp dụng cho bản mã hơn là bản rõ.

TRANSPORT ADJACENCY

Một cách khác để áp dụng xác thực sau khi mã hóa là sử dụng hai SA vận chuyển đi kèm, với bên trong là ESP SA và bên ngoài là AH SA. Trong trường hợp này, ESP được sử dụng mà không có tùy chọn xác thực của nó. Vì SA bên trong là SA vận chuyển, mã hóa được áp dụng cho tải trọng IP. Gói kết quả bao gồm một tiêu đề IP (và có thể cả phần mở rộng tiêu đề IPv6) theo sau là một ESP. AH sau đó được áp dụng trong chế độ truyền tải, để xác thực bao gồm ESP cộng với tiêu đề IP ban đầu (và các phần mở rộng) ngoại trừ các trường có thể thay đổi. Ưu điểm của phương pháp này so với việc chỉ sử dụng một ESP SA duy nhất với tùy chọn xác thực ESP là xác thực bao gồm nhiều trường hơn, bao gồm địa chỉ IP nguồn và đích. Điểm bất lợi là chi phí của hai SA so với một SA.

TRANSPORT-TUNNEL BUNDLE 

Việc sử dụng xác thực trước khi mã hóa có thể thích hợp hơn vì một số lý do. Thứ nhất, vì dữ liệu xác thực được bảo vệ bằng mã hóa, nên không ai có thể chặn tin nhắn và thay đổi dữ liệu xác thực mà không bị phát hiện. Thứ hai, có thể mong muốn lưu trữ thông tin xác thực với tin nhắn tại đích để tham khảo sau này. Sẽ thuận tiện hơn để thực hiện việc này nếu thông tin xác thực áp dụng cho thư không được mã hóa; nếu không, tin nhắn sẽ phải được mã hóa lại để xác minh thông tin xác thực.

Một cách tiếp cận để áp dụng xác thực trước khi mã hóa giữa hai máy chủ là sử dụng một gói bao gồm SA vận chuyển AH bên trong và SA đường hầm ESP bên ngoài. Trong trường hợp này, xác thực được áp dụng cho tải trọng IP cộng với tiêu đề IP (và các phần mở rộng) ngoại trừ các trường có thể thay đổi. Gói IP kết quả sau đó được xử lý ở chế độ đường hầm bởi ESP; kết quả là toàn bộ gói bên trong đã xác thực được mã hóa và một tiêu đề IP bên ngoài mới (và các phần mở rộng) được thêm vào.

TRANSPORT-TUNNEL BUNDLE 

Tài liệu Kiến trúc IPsec liệt kê bốn ví dụ về sự kết hợp của các SA phải được hỗ trợ bởi các máy chủ IPsec tuân thủ (ví dụ: máy trạm, máy chủ) hoặc bảo mật cổng (ví dụ: tường lửa, bộ định tuyến). Chúng được minh họa trong Hình 19.10. Phần dưới

Kết hợp security association

của mỗi trường hợp trong hình đại diện cho kết nối vật lý của các phần tử; phần trên đại diện cho kết nối logic thông qua một hoặc nhiều SA lồng nhau. Mỗi SA có thể là AH hoặc ESP. Đối với SA từ máy chủ đến máy chủ, phương thức có thể là vận chuyển hoặc đường hầm; nếu không nó phải là chế độ đường hầm.

Trường hợp 1. Tất cả bảo mật được cung cấp giữa các hệ thống đầu cuối triển khai IPsec. Đối với bất kỳ hai hệ thống đầu cuối nào có thể giao tiếp qua SA, chúng phải chia sẻ các khóa bí mật thích hợp. Trong số các kết hợp có thể có là

  1. AH trong phương thức vận tải
  2. ESP trong vận chuyển chế độ
  3. ESP theo sau là AH trong chế độ vận chuyển (ESP SA bên trong AH SA)
  4. Bất kỳ một trong số a, b hoặc c bên trong AH hoặc ESP ở chế độ đường hầm

Chúng ta đã thảo luận về cách các kết hợp khác nhau này có thể được sử dụng để hỗ trợ xác thực, mã hóa, xác thực trước khi mã hóa và xác thực sau khi mã hóa.

Trường hợp 2. Bảo mật chỉ được cung cấp giữa các cổng (bộ định tuyến, tường lửa, v.v.) và không có máy chủ nào triển khai IPsec. Trường hợp này minh họa mạng riêng ảo đơn giảnủng hộ. Tài liệu kiến ​​trúc bảo mật chỉ định rằng chỉ cần một SA đường hầm duy nhất cho trường hợp này. Đường hầm có thể hỗ trợ AH, ESP hoặc ESP với tùy chọn xác thực. Các đường hầm lồng nhau là không bắt buộc, vì các dịch vụ IPsec áp dụng cho toàn bộ gói bên trong.

Trường hợp 3. Điều này xây dựng trên trường hợp 2 bằng cách thêm bảo mật đầu cuối. Các quốc gia tương tự được thảo luận cho trường hợp 1 và 2 được cho phép ở đây. Đường hầm cổng vào cổng cung cấp xác thực, bảo mật hoặc cả hai cho tất cả lưu lượng giữa các hệ thống đầu cuối. Khi đường hầm cổng vào cổng là ESP, nó cũng cung cấp một hình thức bảo mật lưu lượng hạn chế. Các máy chủ riêng lẻ có thể triển khai bất kỳ dịch vụ IPsec bổ sung nào được yêu cầu cho các ứng dụng nhất định hoặc cho người dùng nhất định bằng các SA đầu cuối.

Trường hợp 4. Điều này cung cấp hỗ trợ cho máy chủ từ xa sử dụng Internet để truy cập tường lửa của tổ chức và sau đó để truy cập vào một số máy chủ hoặc máy trạm phía sau tường lửa. Chỉ cần chế độ đường hầm giữa máy chủ từ xa và tường lửa. Như trong trường hợp 1, một hoặc hai SA có thể được sử dụng giữa máy chủ từ xa và máy chủ cục bộ.

Leave a Reply