Đồ Án Giao thức bảo mật tầng mạng

LỜI MỞ ĐẦU​ Ứng dụng của công nghệ thông tin ngày càng đóng vai trũ quan trọng trong mọi lĩnh vực. Quản trị mạng là cụng việc hết sức cần thiết và cú giỏ trị thực tiễn đối với các công ty, các tổ chức đó đưa công nghệ thông tin vào sử dụng.
Với vai trũ quản trị mạng, cho dù chúng ta đang làm việc ở đâu, trên mạng Internet công cộng hay đang duy trỡ một mạng riờng, việc bảo mật cỏc dữ liệu luụn là cỏc yờu cầu cốt lừi và thiết yếu. Chỳng ta thường để ý quá nhiều đến việc bảo mật trên đường biên và chống lại những cuộc tấn công từ bên ngoài vào nhưng thường để ý quá ít đến các cuộc tấn công nội mạng, là nơi mà dường như các cuộc tấn công thường xẩy ra nhỡều hơn.
Để có thể bảo vệ tốt nguồn dữ liệu mạng, chúng ta cần có một chiến lược bảo mật chắc chắn gồm nhiều lớp bảo mật được kết hợp với nhau. Các tổ chức cũng thường triển khai các gới hạn để bảo mật đường biên mạng và bảo mật các truy nhập đến các tài nguyên bằng cách thiết lập các kiểm soát truy nhập và xác thực. Nhưng việc bảo mật các gói IP thực sự và nội dung của nó vẫn thường bị bỏ qua.
Để giải quyết vấn để đó, Microsoft tích hợp phần mềm bảo mật các lưu thụng IP (Internet Protocol) bằng cỏch sử dụng Internet Protocol Security (IPSec). Trong đồ án chuyên ngành công nghệ thông tin, dưới sự hướng dẫn của thầy giáo PGS – TS Đặng Minh Ất, em tiến hành tỡm hiểu về giao thức bảo mật tầng mạng với cỏc mục đích, tính năng, cách xác định, triển khai cũng như việc thực thi và quản lý IPSec, được xem là một công cụ trong chiến lược xây dựng hệ thống bảo mật một cỏch vững chắc.
Mặc dù đó cố gắng nhưng đồ án vẫn cũn cú nhiều thiếu sút, mong cỏc thấy cụ giỏo giỳp đỡ và bổ sung để em có thể hoàn thiện đề tài của mỡnh.
Em xin chân thành cảm ơn thầy giáo PGS – TS Đặng Minh Ất đó giỳp đỡ em trong quá trỡnh tỡm hiểu và hoàn thành đề tài.

CHƯƠNG I : TỔNG QUAN VỀ IPSEC​ 1.Khỏi niệm về IPSec
Để có thể bắt tay vào nghiên cứu về IPSec, trước hết chúng ta cần phải hiểu khái niệm, IPSec là gỡ?
IPSec là một khung kiến trỳc cung cấp cỏc dịch vụ bảo mật, mật mó dành cho các gói IP. IPSec là một kỹ thuật bảo mật điểm tới điểm (end-to-end).
Điều đó có nghĩa là chỉ có những trạm biết rừ về sự hiển diện của IPSec, chớnh là 2 mỏy tớnh sử dụng IPSec đang liên lạc với nhau, là biết rừ về cơ chế bảo mật. Các bộ định tuyến giữa đường không thể biết được quan hệ bảo mật của hai trạm trên và chúng chỉ chuyển tiếp các gói IP như là chúng đó làm với tất cả cỏc gúi IP khỏc. Mỗi mỏy tớnh sẽ điều khiển chức năng bảo mật tại đầu của nó với giả thiết rằng tất cả các trạm ngang đường đều là không bảo mật. Các máy tính chỉ làm nhiệm vụ định tuyến các gói tin từ nguồn đến đích không cần thiết phải hỗ trợ IPSec. Chỉ có một loại trừ là các bộ lọc gói tin dạng Firewall hay NAT đứng giữa hai máy tính. Với mô hỡnh này IPSec sẽ được triển khai thành cụng theo kịch bản sau:
· Mạng cục bộ (LAN): mạng cục bộ dạng Chủ - Khỏch hay mạng ngang hàng.
· Mạng diện rộng (WAN): Mạng WAN giữa các bộ định tuyến (Router-to-Router) hay giữa các cổng (Gateway-to-Gateway)
· Truy cập từ xa: Cỏc mỏy khỏch quay số hay truy cập Internet từ cỏc mạng riờng.
Thông thường, cả hai đầu đều yêu cầu cấu hỡnh IPSec, hay cũn được gọi là Chính sách IPSec, để đặt các tùy chọn và các thiết lập bảo mật cho phép hai hệ thống thỏa thuận việc sẽ bảo mật các lưu thông giữa chúng như thế nào. Các hệ điều hành Windows Server 2000, Windows XP, và Windows Server 2003 thực thi IPSec dựa trên các chuẩn công nghiệp do nhóm IPSec, của IETF (Internet Engineering Task Force) phát triển.
2.Mục đích của IPSec
Cỏc Header (tiêu đề) của IP, Transmission Control Protocol (TCP-Giao thức Kiểm soỏt Truyền dẫn), và User Datagram Protocol (UDP-Giao thức gói dữ liệu người dùng) đều chứa một số Kiểm soát (Check sum) được sử dụng để kiểm soát tỡnh toàn vẹn (Integrity) dữ liệu của một gúi IP. Nếu dữ liệu bị hỏng, Số Kiểm soát sẽ thông báo cho người nhận biết. Tuy nhiên, do thuật toán Số Kiểm soát này được phổ biến rộng rói nờn kể cả người dùng không có chức năng cũng có thể truy cập vào gói tin một cách dễ dàng thay đổi nội dung của chúng và tính lại Số Kiểm soát, sau đó lại chuyển tiếp gói tin này đến tay người nhận mà không một ai, kể cả người gửi lẫn người nhận biết đến sự can thiệp này. Do các hạn chế về chức năng của số kiểm soát như vậy, tại nơi nhận, người dùng không hề biết và cũng không thể phát hiện ra việc gói tin đó bị thay đổi.
Trong quá khứ, các ứng dụng cần bảo mật sẽ tự cung cấp cơ chế bảo mật cho riêng chúng dẫn tới việc có quá nhiều các chuẩn bảo mật khác nhau và không tương thích.
IPSec là một bộ cỏc Giao thức và Thuật toỏn Mó húa cung cấp khả năng bảo mật tại lớp Internet (Internet Layre) mà không cần phải quan tâm đến các ứng dụng gửi hay nhận dữ liệu.
Sử dụng IPSec, chỉ cần một chuẩn bảo mật được áp dụng và việc thay đổi ứng dụng không cần thiết.