An ninh mạng - Lớp mạng
Các biện pháp kiểm soát bảo mật lớp mạng đã được sử dụng thường xuyên để bảo mật thông tin liên lạc, đặc biệt là qua các mạng chia sẻ như Internet vì chúng có thể bảo vệ nhiều ứng dụng cùng một lúc mà không cần sửa đổi chúng.
Trong các chương trước, chúng ta đã thảo luận rằng nhiều giao thức bảo mật thời gian thực đã phát triển cho an ninh mạng đảm bảo các nguyên lý cơ bản về bảo mật như quyền riêng tư, xác thực nguồn gốc, tính toàn vẹn của thư và không từ chối.
Hầu hết các giao thức này vẫn tập trung ở các lớp cao hơn của ngăn xếp giao thức OSI, để bù đắp cho sự thiếu bảo mật vốn có trong Giao thức Internet tiêu chuẩn. Mặc dù có giá trị, các phương pháp này không thể được khái quát hóa một cách dễ dàng để sử dụng với bất kỳ ứng dụng nào. Ví dụ, SSL được phát triển đặc biệt để bảo mật các ứng dụng như HTTP hoặc FTP. Nhưng có một số ứng dụng khác cũng cần giao tiếp an toàn.
Nhu cầu này đã dẫn đến việc phát triển một giải pháp bảo mật ở lớp IP để tất cả các giao thức ở lớp cao hơn có thể tận dụng nó. Năm 1992, Lực lượng Đặc nhiệm Kỹ thuật Internet (IETF) bắt đầu xác định một tiêu chuẩn 'IPsec'.
Trong chương này, chúng ta sẽ thảo luận về cách đạt được bảo mật ở lớp mạng bằng cách sử dụng bộ giao thức IPsec rất phổ biến này.
Bảo mật trong lớp mạng
Bất kỳ kế hoạch nào được phát triển để cung cấp bảo mật mạng cần phải được triển khai ở một số lớp trong ngăn xếp giao thức như được mô tả trong sơ đồ bên dưới -
Lớp | Giao thức truyền thông | Giao thức bảo mật |
---|---|---|
Lớp ứng dụng | HTTP FTP SMTP | PGP. S / MIME, HTTPS |
Lớp vận chuyển | TCP / UDP | SSL, TLS, SSH |
Lớp mạng | IP | IPsec |
Khung phổ biến được phát triển để đảm bảo an ninh ở lớp mạng là Internet Protocol Security (IPsec).
Các tính năng của IPsec
IPsec không được thiết kế để chỉ hoạt động với TCP như một giao thức truyền tải. Nó hoạt động với UDP cũng như bất kỳ giao thức nào khác trên IP như ICMP, OSPF, v.v.
IPsec bảo vệ toàn bộ gói được trình bày ở lớp IP bao gồm các tiêu đề lớp cao hơn.
Vì các tiêu đề lớp cao hơn bị ẩn mang số cổng nên việc phân tích lưu lượng sẽ khó khăn hơn.
IPsec hoạt động từ thực thể mạng này sang thực thể mạng khác, không phải từ quy trình ứng dụng đến quy trình ứng dụng. Do đó, bảo mật có thể được áp dụng mà không yêu cầu thay đổi đối với các máy tính / ứng dụng của người dùng.
Được sử dụng rộng rãi để cung cấp giao tiếp an toàn giữa các thực thể mạng, IPsec cũng có thể cung cấp bảo mật từ máy chủ đến máy chủ.
Việc sử dụng phổ biến nhất của IPsec là cung cấp Mạng riêng ảo (VPN), giữa hai vị trí (cổng vào cổng) hoặc giữa người dùng từ xa và mạng doanh nghiệp (máy chủ đến cổng).
Chức năng bảo mật
Các chức năng bảo mật quan trọng do IPsec cung cấp như sau:
Bảo mật
Cho phép các nút giao tiếp mã hóa tin nhắn.
Ngăn chặn các bên thứ ba nghe trộm.
Xác thực nguồn gốc và tính toàn vẹn của dữ liệu.
Cung cấp sự đảm bảo rằng một gói đã nhận thực sự được truyền bởi bên được xác định là nguồn trong tiêu đề gói.
Xác nhận rằng gói tin không bị thay đổi hoặc theo cách khác.
Quản lý chính.
Cho phép trao đổi khóa an toàn.
Bảo vệ chống lại một số loại tấn công bảo mật, chẳng hạn như các cuộc tấn công phát lại.
Mạng riêng ảo
Lý tưởng nhất là bất kỳ tổ chức nào cũng muốn có mạng riêng để liên lạc nhằm đảm bảo an ninh. Tuy nhiên, có thể rất tốn kém để thiết lập và duy trì mạng riêng như vậy trên khu vực địa lý phân tán. Nó sẽ yêu cầu quản lý cơ sở hạ tầng phức tạp của các liên kết truyền thông, bộ định tuyến, DNS, v.v.
IPsec cung cấp một cơ chế dễ dàng để triển khai Mạng riêng ảo (VPN) cho các tổ chức như vậy. Công nghệ VPN cho phép gửi lưu lượng truy cập giữa các văn phòng của tổ chức qua Internet công cộng bằng cách mã hóa lưu lượng truy cập trước khi vào Internet công cộng và tách nó khỏi lưu lượng khác một cách hợp lý. Hoạt động đơn giản của VPN được thể hiện trong sơ đồ sau:
Tổng quan về IPsec
IPsec là một khung / bộ giao thức để cung cấp bảo mật ở lớp IP.
Gốc
Vào đầu những năm 1990, Internet được ít tổ chức sử dụng, hầu hết cho mục đích học thuật. Nhưng trong những thập kỷ sau đó, sự phát triển của Internet trở nên theo cấp số nhân do sự mở rộng của mạng lưới và một số tổ chức sử dụng nó cho liên lạc và các mục đích khác.
Với sự phát triển mạnh mẽ của Internet, kết hợp với những điểm yếu bảo mật cố hữu của giao thức TCP / IP, nhu cầu về một công nghệ có thể cung cấp bảo mật mạng trên Internet. Một báo cáo có tựa đề "Bảo mật trong Kiến trúc Internet" được Ban Kiến trúc Internet (IAB) ban hành vào năm 1994. Nó đã xác định các khu vực chính cho các cơ chế bảo mật.
IAB bao gồm xác thực và mã hóa như các tính năng bảo mật thiết yếu trong IPv6, IP thế hệ tiếp theo. May mắn thay, các khả năng bảo mật này đã được định nghĩa để chúng có thể được triển khai với cả IPv4 hiện tại và IPv6 tương lai.
Khung bảo mật, IPsec đã được định nghĩa trong một số 'Yêu cầu nhận xét' (RFC). Một số RFC chỉ định một số phần của giao thức, trong khi những phần khác giải quyết toàn bộ giải pháp.
Hoạt động trong IPsec
Bộ IPsec có thể được coi là có hai hoạt động riêng biệt, khi được thực hiện đồng thời, cung cấp một bộ dịch vụ bảo mật hoàn chỉnh. Hai hoạt động này là Giao tiếp IPsec và Trao đổi khóa Internet.
Giao tiếp IPsec
Nó thường được kết hợp với chức năng IPsec tiêu chuẩn. Nó liên quan đến việc đóng gói, mã hóa và băm các biểu đồ IP và xử lý tất cả các quy trình gói.
Nó chịu trách nhiệm quản lý thông tin liên lạc theo các Hiệp hội Bảo mật (SA) có sẵn được thiết lập giữa các bên liên lạc.
Nó sử dụng các giao thức bảo mật như Authentication Header (AH) và Encapsulated SP (ESP).
Giao tiếp IPsec không liên quan đến việc tạo khóa hoặc quản lý chúng.
Bản thân hoạt động giao tiếp IPsec thường được gọi là IPsec.
Trao đổi khóa Internet (IKE)
IKE là giao thức quản lý khóa tự động được sử dụng cho IPsec.
Về mặt kỹ thuật, quản lý khóa không cần thiết đối với giao tiếp IPsec và các khóa có thể được quản lý thủ công. Tuy nhiên, quản lý khóa thủ công không được mong muốn đối với các mạng lớn.
IKE chịu trách nhiệm tạo khóa cho IPsec và cung cấp xác thực trong quá trình thiết lập khóa. Mặc dù, IPsec có thể được sử dụng cho bất kỳ giao thức quản lý khóa nào khác, IKE được sử dụng theo mặc định.
IKE định nghĩa hai giao thức (Oakley và SKEME) sẽ được sử dụng với khung quản lý khóa đã được xác định sẵn. Giao thức quản lý khóa của Hiệp hội Bảo mật Internet (ISAKMP).
ISAKMP không dành riêng cho IPsec, nhưng cung cấp khuôn khổ để tạo SA cho bất kỳ giao thức nào.
Chương này chủ yếu thảo luận về giao tiếp IPsec và giao thức liên quan được sử dụng để đạt được bảo mật.
Chế độ giao tiếp IPsec
Giao tiếp IPsec có hai chế độ hoạt động; phương thức vận tải và đường hầm. Các chế độ này có thể được sử dụng kết hợp hoặc sử dụng riêng lẻ tùy thuộc vào loại giao tiếp mong muốn.
Phương tiện giao thông
IPsec không đóng gói một gói nhận được từ lớp trên.
Tiêu đề IP gốc được duy trì và dữ liệu được chuyển tiếp dựa trên các thuộc tính gốc do giao thức lớp trên thiết lập.
Sơ đồ sau đây cho thấy luồng dữ liệu trong ngăn xếp giao thức.
Hạn chế của phương thức vận tải là không có dịch vụ cổng nào có thể được cung cấp. Nó được dành riêng cho giao tiếp điểm-điểm như được mô tả trong hình sau.
Chế độ đường hầm
Chế độ này của IPsec cung cấp các dịch vụ đóng gói cùng với các dịch vụ bảo mật khác.
Trong các hoạt động ở chế độ đường hầm, toàn bộ gói từ lớp trên được đóng gói trước khi áp dụng giao thức bảo mật. Tiêu đề IP mới được thêm vào.
Sơ đồ sau đây cho thấy luồng dữ liệu trong ngăn xếp giao thức.
Chế độ đường hầm thường được liên kết với các hoạt động cổng. Việc đóng gói cung cấp khả năng gửi nhiều phiên thông qua một cổng duy nhất.
Giao tiếp chế độ đường hầm điển hình được mô tả trong sơ đồ sau.
Theo như các điểm cuối có liên quan, chúng có kết nối lớp truyền tải trực tiếp. Datagram từ một hệ thống được chuyển tiếp tới cổng được đóng gói và sau đó được chuyển tiếp đến cổng từ xa. Cổng kết hợp từ xa sẽ bỏ đóng gói dữ liệu và chuyển tiếp dữ liệu đó đến điểm cuối đích trên mạng nội bộ.
Sử dụng IPsec, chế độ đường hầm cũng có thể được thiết lập giữa cổng và hệ thống đầu cuối riêng lẻ.
Giao thức IPsec
IPsec sử dụng các giao thức bảo mật để cung cấp các dịch vụ bảo mật mong muốn. Các giao thức này là trung tâm của hoạt động IPsec và mọi thứ khác được thiết kế để hỗ trợ giao thức này trong IPsec.
Các liên kết bảo mật giữa các thực thể giao tiếp được thiết lập và duy trì bởi giao thức bảo mật được sử dụng.
Có hai giao thức bảo mật được định nghĩa bởi IPsec - Tiêu đề xác thực (AH) và Đóng gói tải trọng bảo mật (ESP).
Tiêu đề xác thực
Giao thức AH cung cấp dịch vụ xác thực nguồn gốc và toàn vẹn dữ liệu. Nó tùy chọn phục vụ cho khả năng chống phát lại tin nhắn. Tuy nhiên, nó không cung cấp bất kỳ hình thức bảo mật nào.
AH là một giao thức cung cấp xác thực tất cả hoặc một phần nội dung của sơ đồ dữ liệu bằng cách thêm tiêu đề. Tiêu đề được tính toán dựa trên các giá trị trong sơ đồ. Những phần nào của sơ đồ dữ liệu được sử dụng để tính toán, và nơi đặt tiêu đề, phụ thuộc vào sự hợp tác của phương thức (đường hầm hoặc phương tiện vận chuyển).
Hoạt động của giao thức AH đơn giản một cách đáng ngạc nhiên. Nó có thể được coi là tương tự như các thuật toán được sử dụng để tính toán tổng kiểm tra hoặc thực hiện kiểm tra CRC để phát hiện lỗi.
Khái niệm đằng sau AH cũng vậy, ngoại trừ việc thay vì sử dụng một thuật toán đơn giản, AH sử dụng thuật toán băm đặc biệt và một khóa bí mật chỉ các bên giao tiếp mới biết. Một liên kết bảo mật giữa hai thiết bị được thiết lập để chỉ định các thông tin cụ thể này.
Quá trình AH trải qua các giai đoạn sau.
Khi gói IP được nhận từ ngăn xếp giao thức phía trên, IPsec xác định Hiệp hội bảo mật liên quan (SA) từ thông tin có sẵn trong gói; ví dụ: địa chỉ IP (nguồn và đích).
Từ SA, khi xác định được giao thức bảo mật đó là AH, các tham số của tiêu đề AH sẽ được tính toán. Tiêu đề AH bao gồm các tham số sau:
Trường tiêu đề chỉ định giao thức của gói sau tiêu đề AH. Chỉ số tham số trình tự (SPI) được lấy từ SA tồn tại giữa các bên giao tiếp.
Số thứ tự được tính toán và chèn vào. Những con số này cung cấp khả năng tùy chọn cho AH để chống lại cuộc tấn công phát lại.
Dữ liệu xác thực được tính toán khác nhau tùy thuộc vào chế độ giao tiếp.
Trong chế độ truyền tải, việc tính toán dữ liệu xác thực và tập hợp gói IP cuối cùng để truyền được mô tả trong sơ đồ sau. Trong tiêu đề IP ban đầu, thay đổi chỉ được thực hiện ở số giao thức là 51 đối với ứng dụng AH được chỉ định.
Trong chế độ Tunnel, quá trình trên diễn ra như được mô tả trong sơ đồ sau.
Giao thức bảo mật đóng gói (ESP)
ESP cung cấp các dịch vụ bảo mật như bảo mật, toàn vẹn, xác thực nguồn gốc và khả năng chống phát lại tùy chọn. Tập hợp các dịch vụ được cung cấp tùy thuộc vào các tùy chọn được chọn tại thời điểm thành lập Hiệp hội Bảo mật (SA).
Trong ESP, các thuật toán được sử dụng để mã hóa và tạo trình xác thực được xác định bởi các thuộc tính được sử dụng để tạo SA.
Quá trình của ESP như sau. Hai bước đầu tiên tương tự như quá trình AH như đã nêu ở trên.
Sau khi xác định rằng ESP có liên quan, các trường của gói ESP sẽ được tính toán. Sự sắp xếp trường ESP được mô tả trong sơ đồ sau.
Quá trình mã hóa và xác thực trong chế độ truyền tải được mô tả trong sơ đồ sau.
Trong trường hợp của chế độ Đường hầm, quá trình mã hóa và xác thực như được mô tả trong sơ đồ sau.
Mặc dù xác thực và bảo mật là các dịch vụ chính do ESP cung cấp, cả hai đều là tùy chọn. Về mặt kỹ thuật, chúng ta có thể sử dụng mã hóa NULL mà không cần xác thực. Tuy nhiên, trong thực tế, một trong hai phải được thực hiện để sử dụng ESP hiệu quả.
Khái niệm cơ bản là sử dụng ESP khi một người muốn xác thực và mã hóa, và sử dụng AH khi một người muốn xác thực mở rộng mà không cần mã hóa.
Hiệp hội bảo mật trong IPsec
Hiệp hội Bảo mật (SA) là nền tảng của giao tiếp IPsec. Các tính năng của SA là -
Trước khi gửi dữ liệu, một kết nối ảo được thiết lập giữa thực thể gửi và thực thể nhận, được gọi là “Hiệp hội bảo mật (SA)”.
IPsec cung cấp nhiều tùy chọn để thực hiện mã hóa và xác thực mạng. Mỗi kết nối IPsec có thể cung cấp mã hóa, tính toàn vẹn, tính xác thực hoặc cả ba dịch vụ. Khi dịch vụ bảo mật được xác định, hai thực thể ngang hàng IPsec phải xác định chính xác thuật toán nào sẽ sử dụng (ví dụ: DES hoặc 3DES để mã hóa; MD5 hoặc SHA-1 cho tính toàn vẹn). Sau khi quyết định các thuật toán, hai thiết bị phải chia sẻ khóa phiên.
SA là một tập hợp các tham số giao tiếp trên cung cấp mối quan hệ giữa hai hoặc nhiều hệ thống để xây dựng một phiên IPsec.
SA có bản chất đơn giản và do đó cần có hai SA để liên lạc hai chiều.
SA được xác định bằng số Chỉ số tham số bảo mật (SPI) tồn tại trong tiêu đề giao thức bảo mật.
Cả thực thể gửi và nhận đều duy trì thông tin trạng thái về SA. Nó tương tự như các điểm cuối TCP cũng duy trì thông tin trạng thái. IPsec là định hướng kết nối giống như TCP.
Các thông số của SA
Bất kỳ SA nào đều được xác định duy nhất bởi ba tham số sau:
Chỉ số tham số bảo mật (SPI).
Nó là một giá trị 32-bit được gán cho SA. Nó được sử dụng để phân biệt giữa các SA khác nhau kết thúc tại cùng một đích và sử dụng cùng một giao thức IPsec.
Mỗi gói IPsec đều mang một tiêu đề chứa trường SPI. SPI được cung cấp để ánh xạ gói đến với một SA.
SPI là một số ngẫu nhiên do người gửi tạo ra để xác định SA cho người nhận.
Destination IP Address - Nó có thể là địa chỉ IP của bộ định tuyến cuối.
Security Protocol Identifier - Nó chỉ ra liệu hiệp hội là AH hay ESP SA.
Ví dụ về SA giữa hai bộ định tuyến liên quan đến giao tiếp IPsec được hiển thị trong sơ đồ sau.
Cơ sở dữ liệu quản trị bảo mật
Trong IPsec, có hai cơ sở dữ liệu điều khiển việc xử lý sơ đồ dữ liệu IPsec. Một là Cơ sở dữ liệu Hiệp hội Bảo mật (SAD) và một là Cơ sở dữ liệu Chính sách Bảo mật (SPD). Mỗi điểm cuối giao tiếp sử dụng IPsec phải có một SAD và SPD riêng biệt về mặt logic.
Cơ sở dữ liệu Hiệp hội Bảo mật
Trong giao tiếp IPsec, điểm cuối giữ trạng thái SA trong Cơ sở dữ liệu Hiệp hội Bảo mật (SAD). Mỗi mục nhập SA trong cơ sở dữ liệu SAD chứa chín tham số như được hiển thị trong bảng sau:
Sr.No. | Thông số & Mô tả |
---|---|
1 | Sequence Number Counter Đối với thông tin liên lạc ra nước ngoài. Đây là số thứ tự 32 bit được cung cấp trong tiêu đề AH hoặc ESP. |
2 | Sequence Number Overflow Counter Đặt cờ tùy chọn để ngăn chặn các liên lạc tiếp theo sử dụng SA cụ thể |
3 | 32-bit anti-replay window Được sử dụng để xác định xem gói AH hoặc ESP gửi đến có phải là phát lại hay không |
4 | Lifetime of the SA Thời gian cho đến khi SA vẫn hoạt động |
5 | Algorithm - AH Được sử dụng trong AH và khóa liên quan |
6 | Algorithm - ESP Auth Được sử dụng trong phần xác thực của tiêu đề ESP |
7 | Algorithm - ESP Encryption Được sử dụng trong mã hóa ESP và thông tin khóa liên quan của nó |
số 8 | IPsec mode of operation Chế độ vận chuyển hoặc đường hầm |
9 | Path MTU(PMTU) Bất kỳ đơn vị truyền dẫn tối đa đường dẫn nào được quan sát (để tránh phân mảnh) |
Tất cả các mục SA trong SAD được lập chỉ mục bởi ba tham số SA: Địa chỉ IP đích, Định danh giao thức bảo mật và SPI.
Cơ sở dữ liệu chính sách bảo mật
SPD được sử dụng để xử lý các gói tin gửi đi. Nó giúp quyết định những mục SAD nên được sử dụng. Nếu không có mục SAD nào tồn tại, SPD được sử dụng để tạo những mục mới.
Bất kỳ mục SPD nào sẽ chứa -
Con trỏ tới SA đang hoạt động được giữ trong SAD.
Các trường của bộ chọn - Trường trong gói đến từ lớp trên được sử dụng để quyết định ứng dụng của IPsec. Bộ chọn có thể bao gồm địa chỉ nguồn và đích, số cổng nếu có liên quan, ID ứng dụng, giao thức, v.v.
Biểu đồ IP gửi đi đi từ mục SPD đến SA cụ thể, để nhận các thông số mã hóa. Sơ đồ dữ liệu IPsec đến nhận được SA chính xác trực tiếp bằng cách sử dụng bộ ba SPI / DEST IP / Giao thức và từ đó trích xuất mục nhập SAD liên quan.
SPD cũng có thể chỉ định lưu lượng nên bỏ qua IPsec. SPD có thể được coi là một bộ lọc gói trong đó các hành động được quyết định là kích hoạt các quy trình SA.
Tóm lược
IPsec là một bộ giao thức để bảo mật các kết nối mạng. Nó là một cơ chế phức tạp, bởi vì thay vì đưa ra định nghĩa đơn giản về một thuật toán mã hóa cụ thể và chức năng xác thực, nó cung cấp một khuôn khổ cho phép triển khai bất kỳ thứ gì mà cả hai đầu giao tiếp đều đồng ý.
Tiêu đề xác thực (AH) và Tải trọng bảo mật đóng gói (ESP) là hai giao thức truyền thông chính được sử dụng bởi IPsec. Trong khi AH chỉ xác thực, ESP có thể mã hóa và xác thực dữ liệu được truyền qua kết nối.
Chế độ vận chuyển cung cấp kết nối an toàn giữa hai điểm cuối mà không thay đổi tiêu đề IP. Chế độ Đường hầm đóng gói toàn bộ gói IP tải trọng. Nó thêm tiêu đề IP mới. Loại thứ hai được sử dụng để tạo thành một VPN truyền thống, vì nó cung cấp một đường hầm bảo mật ảo trên một mạng Internet không đáng tin cậy.
Thiết lập kết nối IPsec liên quan đến tất cả các loại lựa chọn tiền điện tử. Xác thực thường được xây dựng trên đầu mã băm như MD5 hoặc SHA-1. Các thuật toán mã hóa là DES, 3DES, Blowfish và AES là phổ biến. Các thuật toán khác cũng có thể.
Cả hai điểm cuối giao tiếp cần biết các giá trị bí mật được sử dụng trong băm hoặc mã hóa. Các khóa thủ công yêu cầu nhập thủ công các giá trị bí mật ở cả hai đầu, có lẽ được truyền tải bởi một số cơ chế ngoài băng tần và IKE (Internet Key Exchange) là một cơ chế phức tạp để thực hiện việc này trực tuyến.