English | Vietnamese
banner
 .::Defense::. Re: Cơ chế hoạt động và cách cấu hình VPN IP Sec trên router Cisco Go to original post Author: Nguyễn Ngọc Thắng - thangdiablo - Translator: - Entry Date: 24/07/2009 00:07:07
Bài viết này tôi viết riêng cho HVA do đó mọi việc sao chép vui lòng ghi rõ nguồn từ HVAonline.net

Phần 2 Cơ chế hoạt động của 2 protocol ESP và AH

Bộ giao thức Ipsec thì ngoài IKE còn có ESP và AH là 2 giao thức chính trong việc mã hóa&xác thực dữ liệu .

1. Khái quát

ESP sử dụng IP protocol number là 50 (ESP được đóng gói bởi giao thức IP và trường protocol trong IP là 50 )
AH sử dụng IP protocol number là 51 (AH được đóng gói bởi giao thức IP và trường protocol trong IP là 51 )

Bộ giao thức Ipsec hoạt động trên 2 mode chính là Tunel Mode và Transport Mode
- Tunel Mode
Khi bộ giao thức Ipsec hoạt động ở mode này thì sau khi đóng gói dữ liệu và giao thức ESP mã hóa toàn bộ payload , frame header , ip header thì nó sẽ thêm 1 IP header mới và gói packet trước khi forward đi .
- Transports Mode
Khi bộ giao thức Ipsec hoạt động ở mode này thì IP header vẫn được giữ nguyên và lúc này giao thức ESP sẽ chèn vào giữa payload và IP header của gói tin .
Giao thức này rất hay được sử dụng khi những người quản trị mạng có tạo thêm 1 tunnel GRE (Generic Routing Encapsulation) . Còn tunnel GRE là gì tôi sẽ giải thích trong một TUT khác .
Tất cả gói tin được mã hóa bởi Ipsec đều là khóa đối xứng (symetric key)

2. Tổng quan ESP và AH Header


bmuht_gpj.00012_cc25e0917bf944b611f306de4a8b002a/8/1/7002/daolpu/enilnoavh/ten.enilnoavh//:ptth


Đây là hình minh họa việc đóng gói dự liệu bằng 2 protocol Esp và AH .
Trên cùng là gói dữ liệu nguyên thủy bao gồm Data và Ip Header .

- Nếu sử dụng giao thức ESP :
Thì giao thức ESP sẽ làm công việc là mã hóa ( encryption ) , xác thực ( authentication ) , bảo đảm tính trọn vẹn của dữ liệu ( Securing of data ) . Sau khi đóng gói xong bằng ESP mọi thông tin về mã hóa và giải mã sẽ nằm trong ESP Header .
Các thuật toán mã hóa bao gồm DES , 3DES , AES
Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1
ESP còn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó.

- Nếu sử dụng giao thức AH
Thì giao thức AH chỉ làm công việc xác thực ( authentication ) và bảo đảm tính trọn vẹn dự liệu . Giao thức AH không có chức năng mã hóa dự liệu . Do đó AH ít được dùng trong IPSec vì nó không đãm bảo tính an ninh .

3 . AH xác thực và đảm bảo tính trọn vẹn dự liệu

Dưới đây là hình minh họa về cơ chế xác thực của giao thứ AH

[img]http:/bmuht_gpj.00012_f307be307198a0fd9501671f45089a92/8/1/7002/daolpu/enilnoavh/ten.enilnoavh//:ptthr/> Bước thứ 1 : Giao thức AH sẽ đem gói dữ liệu ( packet ) bao gồm payload + Ip header + Key
Cho chạy qua 1 giải thuật gọi là giải thuật Hash và cho ra 1 chuỗi số . Các bạn nhớ đây là giải thuật 1 chiều , nghĩa là từ gói dữ liệu + key = chuỗi số . Nhưng từ chuỗi số không thể hash ra = dữ liệu + key
Và chuỗi số này sẽ đuợc gán vào AH header .

Bước thứ 2 : AH Header này sẽ được chèn vào giữa Payload và Ip Header và chuyển sang phía bên kia .
Đương nhiên các bạn cũng nhớ cho rằng việc truyền tải gói dự liệu này đang chạy trên 1 tunel mà trước đó quá trình IKE sau khi trao đổi khóa đã tạo ra .

Bước thứ 3 : Router đích sau khi nhận được gói tin này bao gồm IP header + AH header + Payload sẽ được chạy qua giải thuật Hash 1 lần nữa để cho ra 1 chuỗi số .

Bước thứ 4 : So sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nó sẽ chấp nhận gói tin .
Nếu trong quá trình truyền gói dữ liệu 1 attacker sniff nói tin và chỉnh sửa nó dẫn đến việc gói tin bị thay đổi về kích cỡ , nội dung thì khi đi qua quá trình hash sẽ cho ra 1 chuỗi số khác chuỗi số ban đầu mà router đích đang có . Do đó gói tin sẽ bị drop

Thuật toán hash bao gồm MD5 và SHA-1
Và trong trừong hợp này IPSec đang chạy ở chế độ trasports mode .

4 . Giao thức ESP
Phía dưới đây là cơ chế mã hóa gói dữ liệu bằng giao thức ESP

[img]http://hvaonline.bmuht_gpj.00012_9ff8ac38d93b61a8a394d6a1042bc958/8/1/7002/daolpu/enilnoavh/ten.enilnoavh//:ptthEsp là giao thức hỗ trợ cả xác thực và mã hóa .

Phía trên là gói dự liệu ban đầu và ESP sẽ dùng 1 cái key để mã hóa toàn bộ dữ liệu ban đầu . Và trường hợp trên là Ipsec đang chạy ở chế độ Tunel mode nên ngoài ESP header ra nó sẽ sinh ra 1 Ip Header mới không bị mã hóa để có thể truyền đi trong mạng Internet .

Như vậy trong phần này tôi đã giới thiệu với các bạn về cơ chế hoạt động của 2 protocol ESP và AH .
Các bạn lưu ý quá trình xác thực và mã hóa của ESP và AH chỉ diễn ra sau khi quá trình IKE hòan thành.
Ở chương này tôi không muốn đi sâu vào phân tích các thuật toán mã hóa vì mục đích của tôi trong TUT này là trình bày cho các bạn hiểu cơ chế hoạt động của IPSEC và cách cấu hình IPSEC VPN trên Router Cisco .

Phần cấu hình sẽ được trình bày ở phần 3
Còn tiếp ….
smilie
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Other posts in the same group:

Re: Cơ chế hoạt động và cách cấu hình VPN IP Sec trên router Cisco
Go to top Go to original post  

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|