vophilong76
New Member
Link tải luận văn miễn phí cho ae Kết Nối
Mục lục
I. Lời mở đầu ................................................................................................................. 4
II. Tìm hiểu về IPSEC ...................................................................................................... 5
1. Giới thiệu về IPSEC ......................................................................................... 5
2. Kiến trúc giao thức IPSEC................................................................................ 5
2.1 Mô hình chung……………………………………………………………… 5
2.2 Các giao thức cơ bản………………………………………………………... 6
2.3 Liên kết bảo mật……………………………………………………………. 6
2.4 Transport mode và Tunnel mode…………………………………………… 7
3. Giao thức AH…………………………………………………………………… 7
3.1 Các cơ chế bảo vệ được cung cấp bởi giao thức AH……………………….. 7
3.2 Cấu trúc của AH……………………………………………………………. 8
3.3 Vị trí của AH……………………………………………………………….. 8
3.4 Các mode làm việc trong AH……………………………………………….. 9
3.5 Nested và Adjacent header trong AH…………………………………….. 10
3.6 Quá trình xử lí tiêu đề IPSEC……………………………………………… 11
3.7 Quá trình xử lí của AH với các gói tin Outbound …………………………. 12
3.8 Quá trình xử lí của AH đối với các gói tin Inbound……………………….. 16
3.9 Một số điểm phức tạp trong giao thức AH………………………………… 18
3.9.1 Vấn đề phân mảnh và việc quản lí các gói ICMP trong giao thức AH 19
3.9.2 Mối quan hệ giữa NAT và IPSEC……………………………………. 20
3.9.3 Vấn đề auditing (giám sát ) trong AH………………………………….21
4. Giao thức ESP……………………………………………………………………22
4.1 Các cơ chế bảo vệ được cung cấp bởi ESP…………………………………. 22
4.2 Cấu trúc của ESP……………………………………………………………. 23
4.3 Vị trí và các mode làm việc của ESP………………………………………. 25
4.4 Nested và Adjacent header trong ESP………………………………………26
4.5 Qúa trình xử lí của ESP đối với các gói tin Ounbound……………………. 27
4.6 Qúa trình xử lí của ESP đối với các gói tin Inbound…………………………30
4.7 Một số điểm phức tạp trong giao thức ESP………………………………… 30
4.8 Một số đánh giá ,phê bình của các chuyên gia về ESP……………………… 31
4.9 Lý do sử dụng hai tiêu đề bảo vệ……………………………………………. 32
5. Quản lý khóa với IKE ……………………………………………………………32
5.1 Tổng quan về quản lí khóa............................................................................32
5.2 IKE phases..…………………………………………………………………..33
5.3 IKE modes..…………………………………………………………………..33
6. PF keys trong IPSEC………………………… ………………..............................36
6.1 Giới thiệu……………………………………………………………………...36
6.2 Cấu tạo………………………………………………………………………...37
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phiĐồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 3
7. Mục đích và ưu khuyết điểm của IPSEC ……………………………………...38
8. Triển khai IPSEC ...............................................................................................40
8.1 .Các tác động bảo mật………………………………………………………...40
8.2 Các phương pháp chứng thực được Microsoft hỗ trợ....................................41
8.3 IPSEC policy...............................................................................................41
8.4 IPSEC làm việc như thế nào ........................................................................42
III. Triển khai hệ thống IPSEC/VPN trên Windows Server 2003..........................................43
1. Mô hình triển khai..............................................................................................43
2. Các bước thực hiện.............................................................................................43
IV Tài liệu tham khảo………………………………………………………………………..58Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 4
I.Lời nói đầu:
Trong thời đại Internet phát triển rộng khắp như ngày nay, những dịch vụ như đào tạo từ xa, mua
hàng trực tuyến, tư vấn y tế trực tuyến đã trở thành hiện thực. Tuy nhiên, do Internet có phạm vi
toàn cầu, không một tổ chức hay chính phủ nào quản lý nên sẽ có rất nhiều khó khăn trong việc
bảo mật, đảm bảo an toàn dữ liệu cũng như chất lượng của các dịch vụ trực tuyến thông qua
đường truyền mạng. Từ đó, người ta đã đưa ra mô hình mới nhằm thỏa mãn những yêu cầu trên
mà vẫn tận dụng được cơ sở hạ tầng mạng vốn có, đó chính là mạng riêng ảo (Virtual Private
Network-VPN). Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính
an toàn và bảo mật, VPN cung cấp cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường
ống bảo mật giữa nơi gửi và nơi nhận (Tunnel) giống như một kết nối point-point trên mạng
riêng.Và IPSEC (Internet Protocol Security) chính là một trong những giao thức tạo nên cơ chế
“đường ống bảo mật” cho VPN.
Thông qua tài liệu này sẽ giúp chúng ta hiểu những khái niệm gần như cơ bản nhất về IPSEC
cũng như cách triển khai một hệ thống IPSEC/VPN trên Windows Server 2003. Trong quá trình
biên soạn chắc không tránh khỏi những sai sót, mong được sự đóng góp của thầy và các bạn.Xin
chân thành cảm ơn.
Nhóm thực hiện.
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phiĐồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 5
II.Tìm hiểu về IPSEC
1:Giới thiệu về IPSEC
IPSEC ( Internet Protocol Security) là giao thức ở lớp Network (OSI) cho phép gửi nhận các gói
IP được mã hóa. Tùy theo mức độ cần thiết, IPSEC có thể cung cấp cả tính bảo mật và xác thực
cho quá trình trao đổi dữ liệu dựa trên hai kiểu dịch vụ mã hóa: AH, ESP.
Mục đích chính của việc phát triển IPSEC là cung cấp một cơ cấu bảo mật ở tầng 3 trong mô
hình OSI.
IPSEC cũng là một thành phần quan trọng hỗ trợ giao thức L2TP ( Layer two tunneling protocol
) trong công nghệ mạng riêng ảo VPN.
2 Kiến trúc giao thức IPSEC:
2.1 Mô hình chung:Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 6
2.2 Các giao thức cơ bản trong IPSEC:
-Hai giao thức cơ bản để thực thi IPSEC là AH và ESP.
-AH chỉ cung cấp các dịch vụ xác thực,ESP vừa cung cấp các dịch vụ bảo mật vừa cung cấp các
dịch vụ xác thực
2.3 Liên kết bảo mật:
-SA (Security Associations) :Là một khái niệm cơ bản của bộ giao thức IPSEC. SA là một
kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSEC.
SA gồm có 3 trường :
Hình biểu diễn 3 trường của SA
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phiĐồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 7
-SPI (Security Parameter Index) : là một trường 32 bits dùng nhận dạng giao thức bảo mật, được
định nghĩa bởi trường Security protocol, trong bộ IPSEC đang dùng. SPI như là phần đầu của
giao thức bảo mật và thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của
SA.
-Destination IP address : địa chỉ IP của nút đích. Cơ chế quản lý hiện tại của SA chỉ được định
nghĩa cho hệ thống unicast mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast.
-Security protocol : mô tả giao thức bảo mật IPSEC, là AH hay là ESP.SA trong IPSEC được
triển khai bằng 2 chế độ đó là Tunnel mode và Transport mode.
2.4 Transport mode và Tunnel mode:
Hiện tại, IPSEC có hai chế độ làm việc: Transport Mode và Tunnel Mode. Cả AH và ESP
đều có thể làm việc với một trong hai chế độ này.
Hình minh họa hai chế độ làm việc của IPSEC
3.Giao thức AH
3.1 Các cơ chế bảo vệ được cung cấp bởi giao thức AH:
-Tính toàn vẹn thông tin( intergrity):Cơ chế này đảm bảo gói tin nhận được chính là gói tin đã
gửi.
-Xác thực nguồn gốc thông tin :Cơ chế này đảm bảo gói tin được gửi bởi chính người gửi ban
đầu mà không phải là người khác.
-Cơ chế chống phát lại(Replay protection)(đây là cơ chế tùy chọn(optional),không bắt buộc):Cơ
chế này đảm bảo rằng một gói tin không bị phát lại nhiều lần.Cơ chế này là một thành phần bắt
buộc đối với bên gửi tuy nhiên bên nhận có thể tùy chọn sử dụng hay không sử dụng .Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 8
3.2 Cấu trúc của AH:
Các trường trong AH:
-Next header(8 bits):Xác định loại dữ liệu chứa trong tiêu đề AH.Sử dụng các quy ước của
TCP/IP.
-Payload len(8 bits):Xác định độ dài tiêu đề AH , tính bằng đơn vị từ I( 32 bits) trừ đi 2 đơn vị.
-Reserved(16 bits)
ành riêng chưa sử dụng,được gán chuỗi bit 0.
-SPI(security paramaters index)(32 bits):Nhận dạng liên kết SA.Giá trị từ 1 đển 255 được giành
riêng.Giá trị 0 được dùng vào mục đích đặc biệt.Ví dụ một cơ chế quản lí khóa có thể sử dụng
SPI với giá trị 0 để thể hiện rằng không có một SA nào tồn tại trong quá trình IPSEC đã yêu cầu
bộ quản lí khóa tạo một SA mới nhưng SA này vẫn chưa được khởi tạo.
-Sequence number(32 bits):Số thứ tự gói truyền trên SA.Thông qua việc theo giỏi chỉ số này và
gửi nó cho bên nhận,bên gửi có thể giúp bên nhận thực hiện việc chống phát lại (anti-replay) nếu
bên nhận muốn.
-Authentication data:Trường này có kích thước không xác định,không xác định trước,đảm nhiệm
vai trò chính của AH.Nó bao gồm ICV(intergrity check value:kiểm tra sự toàn vẹn) . Bên nhận
sử dụng nó để kiểm tra tính toàn vẹn và tính xác thực của thông điệp.Trường này có thể được
chèn thêm nếu cần thiết để đảm bảo tổng chiều dài của AH là bội số của 32 bits ( đối với Ipv4)
và 64 bits (đối với Ipv6).
3.3:Vị trí của AH trong gói tin IP:
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
Mục lục
I. Lời mở đầu ................................................................................................................. 4
II. Tìm hiểu về IPSEC ...................................................................................................... 5
1. Giới thiệu về IPSEC ......................................................................................... 5
2. Kiến trúc giao thức IPSEC................................................................................ 5
2.1 Mô hình chung……………………………………………………………… 5
2.2 Các giao thức cơ bản………………………………………………………... 6
2.3 Liên kết bảo mật……………………………………………………………. 6
2.4 Transport mode và Tunnel mode…………………………………………… 7
3. Giao thức AH…………………………………………………………………… 7
3.1 Các cơ chế bảo vệ được cung cấp bởi giao thức AH……………………….. 7
3.2 Cấu trúc của AH……………………………………………………………. 8
3.3 Vị trí của AH……………………………………………………………….. 8
3.4 Các mode làm việc trong AH……………………………………………….. 9
3.5 Nested và Adjacent header trong AH…………………………………….. 10
3.6 Quá trình xử lí tiêu đề IPSEC……………………………………………… 11
3.7 Quá trình xử lí của AH với các gói tin Outbound …………………………. 12
3.8 Quá trình xử lí của AH đối với các gói tin Inbound……………………….. 16
3.9 Một số điểm phức tạp trong giao thức AH………………………………… 18
3.9.1 Vấn đề phân mảnh và việc quản lí các gói ICMP trong giao thức AH 19
3.9.2 Mối quan hệ giữa NAT và IPSEC……………………………………. 20
3.9.3 Vấn đề auditing (giám sát ) trong AH………………………………….21
4. Giao thức ESP……………………………………………………………………22
4.1 Các cơ chế bảo vệ được cung cấp bởi ESP…………………………………. 22
4.2 Cấu trúc của ESP……………………………………………………………. 23
4.3 Vị trí và các mode làm việc của ESP………………………………………. 25
4.4 Nested và Adjacent header trong ESP………………………………………26
4.5 Qúa trình xử lí của ESP đối với các gói tin Ounbound……………………. 27
4.6 Qúa trình xử lí của ESP đối với các gói tin Inbound…………………………30
4.7 Một số điểm phức tạp trong giao thức ESP………………………………… 30
4.8 Một số đánh giá ,phê bình của các chuyên gia về ESP……………………… 31
4.9 Lý do sử dụng hai tiêu đề bảo vệ……………………………………………. 32
5. Quản lý khóa với IKE ……………………………………………………………32
5.1 Tổng quan về quản lí khóa............................................................................32
5.2 IKE phases..…………………………………………………………………..33
5.3 IKE modes..…………………………………………………………………..33
6. PF keys trong IPSEC………………………… ………………..............................36
6.1 Giới thiệu……………………………………………………………………...36
6.2 Cấu tạo………………………………………………………………………...37
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phiĐồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 3
7. Mục đích và ưu khuyết điểm của IPSEC ……………………………………...38
8. Triển khai IPSEC ...............................................................................................40
8.1 .Các tác động bảo mật………………………………………………………...40
8.2 Các phương pháp chứng thực được Microsoft hỗ trợ....................................41
8.3 IPSEC policy...............................................................................................41
8.4 IPSEC làm việc như thế nào ........................................................................42
III. Triển khai hệ thống IPSEC/VPN trên Windows Server 2003..........................................43
1. Mô hình triển khai..............................................................................................43
2. Các bước thực hiện.............................................................................................43
IV Tài liệu tham khảo………………………………………………………………………..58Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 4
I.Lời nói đầu:
Trong thời đại Internet phát triển rộng khắp như ngày nay, những dịch vụ như đào tạo từ xa, mua
hàng trực tuyến, tư vấn y tế trực tuyến đã trở thành hiện thực. Tuy nhiên, do Internet có phạm vi
toàn cầu, không một tổ chức hay chính phủ nào quản lý nên sẽ có rất nhiều khó khăn trong việc
bảo mật, đảm bảo an toàn dữ liệu cũng như chất lượng của các dịch vụ trực tuyến thông qua
đường truyền mạng. Từ đó, người ta đã đưa ra mô hình mới nhằm thỏa mãn những yêu cầu trên
mà vẫn tận dụng được cơ sở hạ tầng mạng vốn có, đó chính là mạng riêng ảo (Virtual Private
Network-VPN). Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính
an toàn và bảo mật, VPN cung cấp cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường
ống bảo mật giữa nơi gửi và nơi nhận (Tunnel) giống như một kết nối point-point trên mạng
riêng.Và IPSEC (Internet Protocol Security) chính là một trong những giao thức tạo nên cơ chế
“đường ống bảo mật” cho VPN.
Thông qua tài liệu này sẽ giúp chúng ta hiểu những khái niệm gần như cơ bản nhất về IPSEC
cũng như cách triển khai một hệ thống IPSEC/VPN trên Windows Server 2003. Trong quá trình
biên soạn chắc không tránh khỏi những sai sót, mong được sự đóng góp của thầy và các bạn.Xin
chân thành cảm ơn.
Nhóm thực hiện.
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phiĐồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 5
II.Tìm hiểu về IPSEC
1:Giới thiệu về IPSEC
IPSEC ( Internet Protocol Security) là giao thức ở lớp Network (OSI) cho phép gửi nhận các gói
IP được mã hóa. Tùy theo mức độ cần thiết, IPSEC có thể cung cấp cả tính bảo mật và xác thực
cho quá trình trao đổi dữ liệu dựa trên hai kiểu dịch vụ mã hóa: AH, ESP.
Mục đích chính của việc phát triển IPSEC là cung cấp một cơ cấu bảo mật ở tầng 3 trong mô
hình OSI.
IPSEC cũng là một thành phần quan trọng hỗ trợ giao thức L2TP ( Layer two tunneling protocol
) trong công nghệ mạng riêng ảo VPN.
2 Kiến trúc giao thức IPSEC:
2.1 Mô hình chung:Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 6
2.2 Các giao thức cơ bản trong IPSEC:
-Hai giao thức cơ bản để thực thi IPSEC là AH và ESP.
-AH chỉ cung cấp các dịch vụ xác thực,ESP vừa cung cấp các dịch vụ bảo mật vừa cung cấp các
dịch vụ xác thực
2.3 Liên kết bảo mật:
-SA (Security Associations) :Là một khái niệm cơ bản của bộ giao thức IPSEC. SA là một
kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSEC.
SA gồm có 3 trường :
Hình biểu diễn 3 trường của SA
Ket-noi.com kho tai lieu mien phi Ket-noi.com kho tai lieu mien phiĐồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 7
-SPI (Security Parameter Index) : là một trường 32 bits dùng nhận dạng giao thức bảo mật, được
định nghĩa bởi trường Security protocol, trong bộ IPSEC đang dùng. SPI như là phần đầu của
giao thức bảo mật và thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của
SA.
-Destination IP address : địa chỉ IP của nút đích. Cơ chế quản lý hiện tại của SA chỉ được định
nghĩa cho hệ thống unicast mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast.
-Security protocol : mô tả giao thức bảo mật IPSEC, là AH hay là ESP.SA trong IPSEC được
triển khai bằng 2 chế độ đó là Tunnel mode và Transport mode.
2.4 Transport mode và Tunnel mode:
Hiện tại, IPSEC có hai chế độ làm việc: Transport Mode và Tunnel Mode. Cả AH và ESP
đều có thể làm việc với một trong hai chế độ này.
Hình minh họa hai chế độ làm việc của IPSEC
3.Giao thức AH
3.1 Các cơ chế bảo vệ được cung cấp bởi giao thức AH:
-Tính toàn vẹn thông tin( intergrity):Cơ chế này đảm bảo gói tin nhận được chính là gói tin đã
gửi.
-Xác thực nguồn gốc thông tin :Cơ chế này đảm bảo gói tin được gửi bởi chính người gửi ban
đầu mà không phải là người khác.
-Cơ chế chống phát lại(Replay protection)(đây là cơ chế tùy chọn(optional),không bắt buộc):Cơ
chế này đảm bảo rằng một gói tin không bị phát lại nhiều lần.Cơ chế này là một thành phần bắt
buộc đối với bên gửi tuy nhiên bên nhận có thể tùy chọn sử dụng hay không sử dụng .Đồ án bảo mật thông tin –IPSEC và Triển khai hệ thống IPSEC/VPN trên Windows Server 2003 8
3.2 Cấu trúc của AH:
Các trường trong AH:
-Next header(8 bits):Xác định loại dữ liệu chứa trong tiêu đề AH.Sử dụng các quy ước của
TCP/IP.
-Payload len(8 bits):Xác định độ dài tiêu đề AH , tính bằng đơn vị từ I( 32 bits) trừ đi 2 đơn vị.
-Reserved(16 bits)
ành riêng chưa sử dụng,được gán chuỗi bit 0.-SPI(security paramaters index)(32 bits):Nhận dạng liên kết SA.Giá trị từ 1 đển 255 được giành
riêng.Giá trị 0 được dùng vào mục đích đặc biệt.Ví dụ một cơ chế quản lí khóa có thể sử dụng
SPI với giá trị 0 để thể hiện rằng không có một SA nào tồn tại trong quá trình IPSEC đã yêu cầu
bộ quản lí khóa tạo một SA mới nhưng SA này vẫn chưa được khởi tạo.
-Sequence number(32 bits):Số thứ tự gói truyền trên SA.Thông qua việc theo giỏi chỉ số này và
gửi nó cho bên nhận,bên gửi có thể giúp bên nhận thực hiện việc chống phát lại (anti-replay) nếu
bên nhận muốn.
-Authentication data:Trường này có kích thước không xác định,không xác định trước,đảm nhiệm
vai trò chính của AH.Nó bao gồm ICV(intergrity check value:kiểm tra sự toàn vẹn) . Bên nhận
sử dụng nó để kiểm tra tính toàn vẹn và tính xác thực của thông điệp.Trường này có thể được
chèn thêm nếu cần thiết để đảm bảo tổng chiều dài của AH là bội số của 32 bits ( đối với Ipv4)
và 64 bits (đối với Ipv6).
3.3:Vị trí của AH trong gói tin IP:
Do Drive thay đổi chính sách, nên một số link cũ yêu cầu duyệt download. các bạn chỉ cần làm theo hướng dẫn.
Password giải nén nếu cần: ket-noi.com | Bấm trực tiếp vào Link để tải:
You must be registered for see links
Last edited by a moderator: