Monday, May 17, 2010

VPN - Part 2 - IPSec

IPSec

1.IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia VPN. Các thiết bị này có thể là các host hoặc là các security gateway (routers, firewalls, VPN concentrator, ...) hoặc là giữa 1 host và gateway như trong trường hợp remote access VPNs. IPSec bảo vệ đa luồng dữ liệu giữa các peers , và 1 gateway có thể hỗ trợ đồng thời nhiều luồng dữ liệu.

IPSec hoạt động ở lớp mạng và sử dụng giao thưc Internet Key Exchange (IKE) để thoả thuận các giao thức giữa các bên tham gia và IPSec sẽ phát khoá mã hóa và xác thực để dùng.
Các giao thức chính sử dụng trong IPSec:
- IP Security Protocol (IPSec)
o Authentication Header (AH)
o Encapsulation Security Protocol (ESP)
- Message Encryption
o Data Encryption Standard (DES)
o Triple DES (3DES)
- Message Integrity (Hash) Functions
o Hash-based Message Authentication Code (HMAC)
o Message Digest 5 (MD5)
o Secure Hash Algorithm-1 (SHA-1)
- Peer Authentication
o Rivest, Shamir, and Adelman (RSA) Digital Signutures
o RSA Encrypted Nonces
- Key Management
o Diffie-Hellman (D-H)
o Certificate Authority (CA)
- Security Association
o Internet Exchange Key (IKE)
o Internet Security Association and Key Management Protocol (ISAKMP)

2. Cơ Chế Hoạt Động Của Giao Thức IPSec:

Hiện nay giao thức IPSec được sử dụng rất phổ biến và trong nhiều quá trình. Ta có thể thiết lập các VPNs mà không cần biết nhiều về giao thức này. Nhưng các kết quả sẽ rất lộn xộn không được tốt. Do đó, các yêu cầu cần thiết được đưa ra trước khi thực hiện cấu hình IPSec bao gồm các bước sau:

B1: Thiết lập chính sách IKE

Chính sách này phải được cấu hình giống nhau cho cả hai bên tham gia VPN. Nó được giới hạn bao gồm các chính sách:
- Phương pháp phát Key (Key distribution method) : cấu hình thủ công hoặc cấu hình cho CA cung cấp
- Phương pháp xác thực (Authentication method) : phần lớn được xác định bằng phưương pháp phát key . thông thường sử dụng phương pháp pre-share keys
- Địa chỉ IP và tên của các bên tham gia (IP address and hostname of peers ) : IP cần được biết để xác định các bên tham gia, và quản lý danh sách truy cập trên thiết bị để các bên tham gia biết được thông tin lẫn nhau. cấu hình IPSec trên thiết bị phải đầy đủ tên miền (FQDN) như cấu hình trên địa chỉ IP.
- Các tham số chính sách IKE (IKE policy parameters) : các tham số được thiết lập trên phase 1 của IKE. Chính sách IKE bao gồm các thông số sau :
o Thuật toán mã hoá : DES/3DES
o Thuật toán hash : MD5/SHA-1
o Phương pháp xác thực : preshared, RSA encryption, RSA signature
o Key trao đổi : D-H Group 1/ D-H Group 2
o thời gian tồn tại IKE SA : mặc định là 86400 giây

B2 : Thiết lập chính sách IPSec :

Độ tin cậy của IPSec và khả năng xác thực được ứng dụng để áp traffic đã biết thông qua giữa các bên. Ta có thể gởi tất cả traffic qua IPSec tunnel, nhưng có thể khó đạt được hết chất lượng, do đó ta nên chọn những chính sách cần áp qua IPSec tunnel. Khi ta chọn thực thi IPSec tunnel, cả hai đầu cuối phải thực hiện các chính sách giống nhau. Các chính sách cho IPSec bao gồm :
- IPSec Protocol : AH hoặc ESP
- Authentication : MD5 hoặc SHA-1
- Encryption : DES hoặc 3DES
- Transform or Transform set : ah-sha-hmac esp-3des esp-md5-hmac hoặc kết hợp một trong các giải thuật này.
- Identify traffic to be protected : giao thức, nguồn, đích và port
- SA establishment : cấu hình thủ công hoặc hoặc cấu hình IKE

B3: Kiểm tra cấu hình hiện hành

Thực hiện kiểm tra cấu hình IPSec hiện có trên thiết bị để tránh tình trạng các thông số cấu hình đối lập nhau.

B4 : Kiểm tra mạng trước IPSec : ta thực hiện kiểm tra bằng cách : thực hiện ping đến các thiết bị đã được cấu hình IPSec.

B5 : Các giao thức và các Port hoạt động trong IPSec :

- UDP port 500 : ISAKMP, được nhận biết bởi từ khoá isakmp
- Giao thức số 50 : dùng trong giao thức ESP, được nhận biết bởi từ khoá esp
- Giao thức số 51 : dùng trong giao thức AH, được nhận biết bởi từ khoá ahp.

3. Cơ chế hoạt động của IKE

IKE có chức năng trao đổi Key giức các thiết bị tham gia VPN và trao đổi chính sách an ninh giữa các thiết bị và tự động thỏa thuận các chính sách an ninh giữa các thiết bị tham gia.
Trước khi trao đổi kênh truyền key để thiết lập kênh truyền ảo, IPSec sẽ xác thực xem mình đang trao đổi với ai.
Trong quá trình trao đổi Key IKE dùng thuật toán mã hoá bất đối xứng gồm: Public Key và private Key để bảo vệ việc trao đổi key giữa các thiết bị tham gia VPN.
Và sau đó trao đổi chính sách an ninh giữa các thiết bị. Những chính sách an ninh trên các thiết bị gọi là Security Association (SA).
Do đó, các thiết bị trong quá trình IKE sẽ trao đổi với nhau tất cả những SA mà nó có. Và giữa các thiết bị này tự tìm ra cho mình những SA phù hợp với nhất.
-------------------------------------------------------------
Tác giả: Vũ Thị Mưu ( VnPro).
------------------------------------------------------------
Thanks for reading
--------------------------------------------------------------------------
All my Lab:
Linux Lab -- window and Cisco Lab
to be continued - I will update more.  


No comments:

Install Xposed Inspector and Frida on Genymotion

Today i had some work with android. So i need trace application. I found 2 nice tool can help me: Xposed Inspector and Frida. To setup ther...