Tweet
Encapsulating Security (ESP) trong VPN
1. Khái niệm ESP
Encapsulating Security (ESP) được định nghĩa trong RFC 1827 và sau đó được phát triển thành RFC 2408. Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec. Giao thức này cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin.
Thêm vào đó, ESP cũng cung cấp nhận thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật. Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại thời điểm thiết lập SA, dịch vụ bảo mật được cung cấp độc lập với các dịch vụ khác. Tuy nhiên nếu không kết hợp sử dụng với các dịch vụ nhận thực vào toàn vẹn dữ liệu thì hiệu quả bí mật sẽ không được đảm bảo. Hai dịch vụ nhận thực và toàn vẹn dữ liệu luôn đi kèm nhau.
Dịch vụ chống phát lại chỉ có thể có nếu nhận thực được lựa chọn. Giao thức này được sử dụng khi yêu cầu về bí mật của lưu lượng IPSec cần truyền.
Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật của gói tin giống với AH nhưng thêm chức năng bảo mật IPSec.
Trong chế độ tunnel mode, ESP cung cấp bảo vệ hạn chế từ việc phân tích lưu lượng. Đặc tính kỹ thuật của ESP có trong RFC 2406 [Kent and Atkinson 1998b].
Ngoài xác thực dữ liệu và vị trí của dữ liệu xác thực trong các gói tin, chức năng xác thực của ESP giống với AH.
ESP có chức năng xác thực riêng vì trong các cuộc tấn công, ESP luôn luôn được xác thực, chức năng xác thực nên được tích hợp sẵn trong ESP hơn là phụ thuộc vào SA và giao thức header khác.
ESP không xác thực IP header. Trong chế độ tunnel mode, việc kết hợp sử dụng AH vs ESP ở mô hình bảo mật yêu cầu địa chỉ của gói dữ liệu cần được xác thực.
Xác thực và mã hóa là tùy chọn trong ESP, nhưng ít nhất 1 thứ phải được sử dụng. Các thuật toán mã hóa và xác thực sử được quy định bởi SA. Một trong hai chức năng có thể bị vô hiệu hóa bằng cách xác định thuật toán NULL.
2. Các thuật toán
Có các thuật toán sau được sử dụng với ESP:
– DES, 3DES in CBC.
– HMAC with MD5.
– HMAC with SHA-1.
– NULL Authentication algorithm.
– NULL Encryption algorithm.
3. So sánh giữa giao thức AH và ESP
4. Chế độ Transport ESP
ESP trong chế độ Transport được sử dụng để đảm bảo thông tin liên lạc giữa hai host cố định. Đường hầm ESP kết nối giữa hai host cụ thể, không phải giữa một vài host trên hai network.
Trong chế độ Transport, ESP được sử dụng để bảo đảm bảo mật giữa các giao thức lớp trên của gói tin IP. Có thể là một phân đoạn TCP hoặc gói tin UDP, cũng có thể là một gói ICMP hoặc giao thức IP khác.
5. Chế độ Tunnel ESP
Chế độ Tunnel ESP được sử dụng cho VPN giữa hai network hoặc giữa một host và một network. Một cấu hình điển hình được thể hiện trong hình sau, kết nối mạng A và B với chế độ tunnel mode ESP VPN:
Với VPN, bất kỳ host trên mạng A có thể giao tiếp an toàn với bất kỳ host trên mạng B.
Qua hình cho thấy một gói tin IP mang theo một phân đoạn TCP trước và sau đóng gói ESP. Toàn bộ gói tin được mã hóa bởi các gói ESP. Điều này có nghĩa rằng người nhận gói tin cuối cùng của gói tin có thể chắc chắn IP header ban đầu không bị giả mạo trong khi đi qua mạng WAN bởi vì nó được mã hóa và xác thực.
Trần Công Hiếu – VnPro
Encapsulating Security (ESP) được định nghĩa trong RFC 1827 và sau đó được phát triển thành RFC 2408. Cũng như AH, giao thức này được phát triển hoàn toàn cho IPSec. Giao thức này cung cấp tính bí mật dữ liệu bằng việc mật mã hóa các gói tin.
Thêm vào đó, ESP cũng cung cấp nhận thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, dịch vụ chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật. Tập các dịch vụ cung cấp bởi ESP phụ thuộc vào các lựa chọn tại thời điểm thiết lập SA, dịch vụ bảo mật được cung cấp độc lập với các dịch vụ khác. Tuy nhiên nếu không kết hợp sử dụng với các dịch vụ nhận thực vào toàn vẹn dữ liệu thì hiệu quả bí mật sẽ không được đảm bảo. Hai dịch vụ nhận thực và toàn vẹn dữ liệu luôn đi kèm nhau.
Gói IP được bảo vệ bởi ESP trong chế độ Transport
Gói IP được bảo vệ bởi ESP trong chế độ Tunnel
Dịch vụ chống phát lại chỉ có thể có nếu nhận thực được lựa chọn. Giao thức này được sử dụng khi yêu cầu về bí mật của lưu lượng IPSec cần truyền.
Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật của gói tin giống với AH nhưng thêm chức năng bảo mật IPSec.
Trong chế độ tunnel mode, ESP cung cấp bảo vệ hạn chế từ việc phân tích lưu lượng. Đặc tính kỹ thuật của ESP có trong RFC 2406 [Kent and Atkinson 1998b].
Ngoài xác thực dữ liệu và vị trí của dữ liệu xác thực trong các gói tin, chức năng xác thực của ESP giống với AH.
ESP có chức năng xác thực riêng vì trong các cuộc tấn công, ESP luôn luôn được xác thực, chức năng xác thực nên được tích hợp sẵn trong ESP hơn là phụ thuộc vào SA và giao thức header khác.
ESP không xác thực IP header. Trong chế độ tunnel mode, việc kết hợp sử dụng AH vs ESP ở mô hình bảo mật yêu cầu địa chỉ của gói dữ liệu cần được xác thực.
Xác thực và mã hóa là tùy chọn trong ESP, nhưng ít nhất 1 thứ phải được sử dụng. Các thuật toán mã hóa và xác thực sử được quy định bởi SA. Một trong hai chức năng có thể bị vô hiệu hóa bằng cách xác định thuật toán NULL.
2. Các thuật toán
Có các thuật toán sau được sử dụng với ESP:
– DES, 3DES in CBC.
– HMAC with MD5.
– HMAC with SHA-1.
– NULL Authentication algorithm.
– NULL Encryption algorithm.
3. So sánh giữa giao thức AH và ESP
So sánh giữa giao thức AH và ESP
4. Chế độ Transport ESP
ESP trong chế độ Transport được sử dụng để đảm bảo thông tin liên lạc giữa hai host cố định. Đường hầm ESP kết nối giữa hai host cụ thể, không phải giữa một vài host trên hai network.
ESP trong chế độ Transport
Trong chế độ Transport, ESP được sử dụng để bảo đảm bảo mật giữa các giao thức lớp trên của gói tin IP. Có thể là một phân đoạn TCP hoặc gói tin UDP, cũng có thể là một gói ICMP hoặc giao thức IP khác.
Đóng gói ESP trong chế độ Transport
5. Chế độ Tunnel ESP
Chế độ Tunnel ESP được sử dụng cho VPN giữa hai network hoặc giữa một host và một network. Một cấu hình điển hình được thể hiện trong hình sau, kết nối mạng A và B với chế độ tunnel mode ESP VPN:
ESP Tunnel – Mode VPN
Với VPN, bất kỳ host trên mạng A có thể giao tiếp an toàn với bất kỳ host trên mạng B.
Đóng gói ESP Tunnel – Mode
Qua hình cho thấy một gói tin IP mang theo một phân đoạn TCP trước và sau đóng gói ESP. Toàn bộ gói tin được mã hóa bởi các gói ESP. Điều này có nghĩa rằng người nhận gói tin cuối cùng của gói tin có thể chắc chắn IP header ban đầu không bị giả mạo trong khi đi qua mạng WAN bởi vì nó được mã hóa và xác thực.
Trần Công Hiếu – VnPro