Đồ án Nghiên cứu các kĩ thuật cơ bản và thiết kế thiết bị bảo mật dựa trên giao thức IPsec

1 LỜI NÓI ĐẦU Trong một mạng riêng của một công ty thì thông tin và tài nguyên được chia sẻ. Ngày nay, luồng thông tin là rất quan trọng, ví dụ chi ph hoạt động của một công ty có thể được giảm xuống nếu biết khai thác dây chuyền tốt hơn. Công ty đó có thể cải tiến các dịch vụ của nó bằng việc chia sẻ thông tin bên trong và với các đối tác doanh nghiệp bên ngoài của nó. Cũng bởi tính toàn cầu của môi trường kinh doanh nên việc kinh doanh có thể diễn ra ở tất cả các văn phòng trên thế giới. Các vị trí địa lý khác nhau dẫn tới việc kết nối giữa các mạng riêng khác nhau trở nên khó khăn. Mạng riêng ảo (VPN) đã trở thành cấu trúc mạng phổ biến cho các mạng liên hiệp công ty. Chúng cho phép liên hiệp để kết nối các mạng cục ộ LAN) trong các cơ quan chính và cơ quan nhánh như thể chúng trong cùng một mạng. Khi các VPN được xây dựng trên cơ sở hạ tầng mạng thì dữ liệu được chuyển đổi giữa các LAN khác nhau sẽ qua Internet và v vậy sẽ dễ dàng bị nghe trộm, giả mạo… Do đó phương pháp an ninh bảo mật phải được sử dụng để giải quyết những vấn đề riêng tư này. Giao thức bảo mật được lựa chọn trong đồ án này là giao thức IPSec. Các mảng cổng có thể lập trình được (FPGAs) là các thiết bị phần cứng mà có thể định lại cấu hình, ví dụ việc lập trình một FPGA có thể cho ph p ch ng ta thay đổi chức năng của nó. Trong đồ án này tôi lựa chọn các FPGA là thiết bị phần cứng cho mạng riêng ảo vì sử dụng các FPGA sẽ có nhiều ứng dụng mạng nhất đối với việc thay đổi các chuẩn mã mật go i ra, các FPGA với giá thành thấp hơn, công suất nhỏ, thời gian triển khai ngắn và trên công nghệ mạch tích hợp các ứng dụng đặc biệt thì thời gian đưa ra thị trường sẽ ngắn hơn. ội dung ch nh của đồ n n y l tập trung nghi n cứu c c k thuật cơ ản đồng thời đi s u v o thiết kế thiết ị ảo mật dựa tr n giao thức 2 ec iải thuật chuẩn mã ho dữ liệu DES) v giải thuật ăm ảo mật (SHA_1) được sử dụng cho việc mã ho v chứng thực dữ liệu o n ộ thiết kế được thực hiện tr n chip để có được tốc độ xử l cao v t nh mềm dẻo trong thiết kế ồ n gồm có chương ội dung ch nh của c c chương đó l IPS rong chương n y sẽ tr nh y những vấn đề cơ ản về mạng ri ng ảo giao thức đặc iệt l c c k thuật trong việc sử dụng giao thức ec 2 M P : trong chương n y sẽ tr nh y tổng quan về mã ho v c ng nghệ c c thuật to n sử dụng cho việc ảo mật v x c thực dữ liệu đặc iệt đi s u v o thuật to n D v T IP P trong chương n y sẽ tr nh y c c ước thiết kế module truyền thông Ethernet dùng Spartan-3E Starter Kit v D thiết kế module bảo mật, xác thực và các module cơ bản khác để xây dựng thiết bị IPsec sử dụng công nghệ FPGA. Do vấn đề nghi n cứu kh phức tạp v thời gian th có hạn n n kh ng tr nh khỏi những thiếu sót k nh mong được sự đóng góp kiến của c c thầy c v c c ạn đọc m xin gửi lời cảm ơn ch n th nh đến thầy gi o N T c ng c c thầy c gi o đã tận t nh gi p đ em trong qu tr nh l m đồ n n y 3 Chương ẠN RIÊN ẢO VÀ I O THỨ IPS 1.1 T Công nghệ VPN cung cấp một phương thức giao tiếp an toàn giữa các mạng riêng dựa trên cơ sở hạ tầng mạng công cộng (Internet). Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa các văn phòng chi nhánh (branch- office), những người dùng từ xa (mobile users) về văn phòng chính. 1.1.1 có thể h trợ m h nh kh c nhau:  h nh 1.1): có thể được thiết kế h trợ truy xuất có ảo vệ từ xa tới mạng c ng ty qua nternet ử dụng m h nh client server như sau - y client muốn truy cập v o mạng c ng ty th trước ti n phải kết nối đến ất k nh cung cấp dịch vụ nternet ISP) n o. - iếp theo lient phải khởi tạo kết nối đến server của c ng ty ết nối n y được thực hiện ằng phần mềm client được c i đặt tr n m y host ở xa - gay khi kết nối được thiết lập m y client có thể li n lạc với hệ thống trong c ng ty c c m y kh c trong c ng ty qua nternet như l m y trong nội ộ c ng ty 4 1.  LAN to LAN internetworking site to site go i khả năng truy xuất từ xa có thể l m cầu nối cho mạng với nhau để h nh th nh một ntranet mở rộng iải ph p n y cần kết nối server với server. 5  Controlled access within Intranet ạng nternet cũng có thể sử dụng k thuật để thực hiện việc truy xuất có điều khiển đến c c lớp mạng con ri ng Ở chế độ n y server đóng vai tr như gateway của mạng hương ph p n y đặc iệt th ch hợp để ảo vệ cho c c của mạng 1.1.2 Đ  iảm chi ph thường xuy n cho ph p tiết kiệm đến 6 % chi ph so với thu đường truyền v giảm đ ng kể tiền cước gọi đến của c c nh n vi n l m việc ở xa iảm được cước ph đường d i khi truy cập cho c c nh n vi n di động v c c nh n vi n l m việc ở xa nhờ v o việc họ truy cập v o mạng th ng qua c c điểm kết nối O oint of resence ở địa phương hạn chế gọi đường d i đến c c modem tập trung  iảm chi ph đầu tư ẽ kh ng tốn chi ph đầu tư cho m y chủ ộ định tuyến cho mạng đường trục v c c ộ chuyển mạch phục vụ cho việc truy cập ởi v c c thiết ị n y do c c nh cung cấp dịch vụ quản l v l m chủ ng ty cũng kh ng phải mua thiết lập cấu h nh hoặc quản l c c nhóm modem phức tạp go i ra họ cũng có thể thu với gi rẻ c c thiết ị phục vụ kh ch h ng thường có sẵn ở c c nh cung cấp dịch vụ hoặc từ c c c ng ty dịch vụ gi trị gia tăng nhờ thế việc n ng cấp mạng trở n n dễ d ng v t tốn k m hơn  iảm chi ph quản l v h trợ ới quy m kinh tế của m nh c c nh cung cấp dịch vụ có thể mang lại cho c ng ty c c khoản tiết kiệm có gi trị so với việc tự quản l mạng giảm hoặc loại trừ hẳn nh n vi n “ tại nh ” ơn nữa nhận được sự h trợ v phục vụ 4 4 do những nh n vi n l nh nghề sẵn s ng đ p ứng mọi l c giải quyết nhanh chóng c c sự cố  ruy cập mọi l c mọi nơi h ch h ng của qua mạng mở rộng n y có c ng quyền try cập v khả năng như nhau đối với c c dịch vụ trung t m ao gồm www email … cũng như c c ứng dụng thiết yếu kh c 6 khi truy cập ch ng th ng qua những phương tiện kh c nhau như qua mạng cục ộ ocal rea etwork modem modem c p đường d y thu ao số xD … m kh ng cần quan t m đến những phần phức tạp n dưới uy nhi n mạng c n có một số mặt hạn chế  y u cầu hiểu iết về khả năng ảo mật để c i đặt v cầu h nh ảo vệ đối với mạng c ng cộng hay nternet  hất lượng v độ tin cậy kh ng ch phụ thuộc v o sự điều khiển của c ng ty m c n ị ảnh hưởng ởi c c  Kh ng tương th ch giữa c c nh sản xuất cung cấp thiết ị hư vậy gi cả cũng l một vấn đề 1.2 ạng ri ng ảo tương ứng với cấu tr c một mạng ri ng được đặt c ng với cơ sở hạ tầng mạng c ng cộng ự kết nối cấu tr c mạng n y có thể được mã ho hoặc kh ng được mã ho ơn nữa cũng có thể thực hiện c c mạng ri ng ảo tr n c c mạng kh c v dụ như mạng nternet ec l một giao thức m có thể sử dụng trong cấu tr c mạng ri ng ảo để cung cấp sự ảo mật v t nh ri ng tư ởi c c thuật to n mã ho v c c h m ăm ói c ch kh c mạng ri ng ảo ảo mật m ch tới một mạng ri ng ảo với ec ấn đề cốt yếu của mạng ri ng ảo l sự tạo đường hầm ới sự tạo đường hầm th c c sự kết nối v giao thức trong suốt giữa c c mạng ntranet kh c nhau của c ng cơ quan hay c c nhóm kh c nhau có c ng ậc ới sự trong suốt kết nối th c c nhóm kh c nhau phải được kết nối với nhau như thể họ ở tr n c ng một mạng ọ kh ng cần iết tới cấu tr c v chi tiết của c c kết nối ới sự trong suốt giao thức th c c nhóm kh c nhau sử dụng c c giao thức kh c nhau có thể được kết nối với nhau như thể họ 7 sử dụng c ng một giao thức iều n y đạt được việc đóng gói c c gói dữ liệu ở c c điểm cuối của đường hầm với một giao thức kh c 1.2 VPN ó rất nhiều giao thức mạng m y t nh được sử dụng cho tunening ó giao thức phổ iến v ch ng kh ng tương th ch với nhau  PPTP oint- to- oint unneling rotocol l nghi thức iến thể của Point to Point Protocol d ng truyền qua mạng dial up th ch hợp cho ứng dụng truy cập từ xa của nhưng cũng h trợ trong nternetworking hoạt động ở lớp của m h nh O  Layer 2 Forwarding (L2F): l giao thức được ph t triển ởi isco ystem c ng l c với sự ph t triển của của icrosoft y l một giao thức cho ph p c c remote host có thể truy xuất đến mạng ntranet của một tổ chức th ng qua cơ sở hạ tầng mạng c ng cộng với t nh ảo mật v khả năng quản l chặt chẽ  IP sercurity (IPSec): ấu tr c ec cung cấp một framework cho việc ảo mật tại lớp cho cả v4 v v6 ằng việc cung cấp sự ảo mật tại lớp n y c c giao thức tại c c lớp cao hơn như transport application có thể sử dụng sự ảo mật ec m kh ng cần th m ất cứ sự thay đổi n o rong qu tr nh mã ho v chứng thực dữ liệu ec sử dụng một trong hai hoặc cả hai giao thức sau để ảo mật th ng tin uthentication header protocol v capsulating ecurity ayload protocol c thực ec sử dụng h m ăm mật mã để cung cấp t nh to n v n v x c thực mạnh cho gói dữ liệu m x c thực kh ng cung cấp khả năng ảo mật hoặc chống lại sự ph n t ch đường truyền n ảo mật ec sử dụng mật mã có kho để cung cấp t nh to n v n v ảo mật của gói tin huật to n ngầm định sử dụng chuẩn mã ho dữ liệu của theo chế độ ipher lock hain D nó kh ng cung cấp x c thực v chống chối ỏ ó có 8 thể cung cấp dịch vụ x c thực ằng c ch sử dụng iến đổi mật mã h trợ nó uy nhi n một sự gợi nhỏ đó l nếu cần x c thực hoặc chống chối ỏ th hãy d ng uthentication eader m ảo mật ec kh ng cung cấp ảo vệ chống kiểu tấn c ng ph n t ch truyền th ng . 1.2.2 T IP iao thức mạng nternet l một giao thức lớp mạng m chứa th ng tin địa ch v v i th ng tin điều khiển để điều khiển c c gói dữ liệu l giao thức tốt nhất l giao tiếp cở ản trong hệ giao thức nternet ch r k ch thước c c gói dữ liệu khi nó đi qua nternet hần mềm thực hiện chức năng định tuyến lựa chọn đường đi cho dữ liệu sẽ được gửi ao gồm tập hợp c c quy tắc để m ph n ph t gói dữ liệu tới đ ch ó l giao thức kh ng có kết nối m i gói được xử l độc lập với c c gói kh c ếu việc truyền tin y u cầu độ tin cậy cao th giao thức phải được kết hợp với một giao thức tin cậy như l truyền dữ liệu th nh c c gói m i gói được truyền đi lần lượt i gói có thể đi theo c c hướng kh c nhau 9 c gói lớp được gọi l c c datagram i datagram ao gồm một header tới 6 yte v dữ liệu data datagram ao gồm một phần yte cố định v một phần option có thể thay đổi với k ch thước tối đa 4 yte ộ d i tối đa cho ph p của datagram l 6 6 yte Một v4 datagram ao gồm a th nh phần ch nh eader có k ch thước yte v chứa một số c c trường rường option gồm tập hợp c c trường có k ch thước có thể thay đổi m có thể hoặc kh ng được iểu diễn Data l dữ liệu được đóng gói từ lớp cao hơn thường l một đoạn hoặc gói dữ liệu D đầy đủ Datagram header chứa địa ch nguồn v đ ch điều khiển mảnh thứ tự ưu ti n kiểm tra tổng được sử dụng để t ch c c l i truyền v option để ghi th ng tin định tuyến hoặc dấu hiệu thời gian  ersion 4 its hi n ản 4 của giao thức nternet pv4 đã được sử dụng năm nhưng phi n ản 6 v6 hoặc ng sẽ sớm thay thế nó rường 4 it đầu ti n trong một datagram chứa phi n ản của giao thức 10 m được sử dụng để tạo ra datagram ó được sử dụng để x c minh lại nơi gửi nơi nhận v mọi router giữa ch ng ph hợp tr n định dạng của datagram. Tr n thực tế trường n y iểu thị nhận dạng tới phần mềm đang chạy trong m y xử l m nó được y u cầu để kiểm tra trường version trước khi xử l một datagram để chắc rằng nó ph hợp với khung phần mềm y u cầu  eader length 4 it rường 4 it n y x c định k ch thước to n ộ của v4 datagram header ruờng n y l cần thiết ởi v k ch thước của header thay đổi từ tới 6 yte ất cả c c trường trong header có k ch thước cố định trừ c c trường option v trường corresponding padding  ype of service O its rường it n y đặc trưng cho c ch m gói dữ liệu sẽ được điều khiển ởi c c router rường O n y được chia th nh hai trường con precedence its v O its Precedence (3 bit) D (1 bit) T (1 bit) R (1 bit) C (1 bit) Unused (1 bit) Precedence l một trường con it với c c gi trị thay đổi từ ở chế độ nhị ph n mức ưu ti n th ng thường tới ở chế độ nhị ph n điều khiển mạng cho ph p người gửi ch thị mức quan trọng của m i datagram. Precedence x c định quyền ưu ti n của m i gói dữ liệu khi có sự cố tắc nghẽn chẳng hạn ếu một router ị tắc nghẽn v cần loại ỏ v i gói dữ liệu th c c gói dữ liệu có quyền ưu ti n thấp nhất sẽ ị loại ỏ trước tiên. ột gói dữ liệu trong mạng nternet được sử dụng cho việc quản l mạng quan trọng hơn một gói dữ liệu được sử dụng cho việc gửi th ng tin kh ng ắt uộc tới một nhóm người sử dụng n o đó hiều router sử dụng một gi trị quyền ưu ti n l 6 hoặc cho việc định tuyến lưu lượng để l m 11 cho c c router có thể trao đổi th ng tin khi c c mạng ị tắc nghẽn iện tại trường con precedence chưa được sử dụng ở v4 nhưng hy vọng rằng nó sẽ được sử dụng trong c c phi n ản tương lai rường O l một trường con it m i it có một ngh a ri ng iệt c it D ch r loại vận chuyển mong muốn cho gói dữ liệu hi ch ng được thiết lập th it D y u cầu độ giữ chậm thấp it y u cầu tốc độ cao it y u cầu độ tin cậy cao v it y u cầu gi th nh thấp ất nhi n nó kh ng thể đối với nternet để đảm ảo kiểu vận chuyển đã được y u cầu Do đó y u cầu vận chuyển có thể gợi ra c c thuật to n định tuyến kh ng như một y u cầu c datagram mang c c kho từ một người sử dụng tới một m y t nh ở xa có thể thiết lập it D để y u cầu ch ng được ph n ph t nhanh tới mức có thể trong khi c c datagram mang một file truyền lớn có thể có y u cầu thiết lập it để ch ng truyền qua đường có thể truyền dung lượng lớn ặc d it trong c c it O có thể l hoặc l nhưng ch có it có thể có gi trị trong m i datagram. TOS bit Description 0000 0001 0010 0100 1000 Normal (default) Minimine cost Maximise reliability Maximise throughput Maximise delay 1.1: Type of service  Overall length 6 its hung datagram d nh 6 it cho trường total length k ch thước tối đa của datagram l 6 yte rường 6 it n y x c định k ch thước to n ộ header v dữ liệu của datagram ở dạng c c 12 yte ể x c định k ch thước dữ liệu tới từ lớp cao hơn ta lấy k ch thước to n ộ trừ đi k ch thước của header hi k ch thước của trường l 6 it th k ch thước to n ộ của datagram lớn nhất l 16 - 6 yte trong đó k ch thước header từ đến 6 yte c n lại l dữ liệu từ lớp tr n rong thực tế v i mạng vật l kh ng thể đóng gói dữ liệu l 6 yte trong qu tr nh ph n đoạn  dentification D 6 its rường 6 it n y đặc trưng cho sự nhận dạng một datagram đến từ host nguồn rường D được sử dụng để gi p đ ch tập hợp lại c c đoạn nhỏ lại th nh datagram an đầu ó được thiết lập ởi người gửi v nhận dạng duy nhất một datagram đã gửi đi từ host nguồn ự kết hợp giữa việc nhận dạng v địa ch phải x c định duy nhất c ng datagram khi nó rời đi từ host nguồn ể ảo đảm t nh duy nhất th giao thức sử dụng một ộ couter để g n nhãn c c datagram hi một datagram được ph n đoạn th gi trị trong trường nhận thực được sao lại trong tất cả c c đoạn Do đó tất cả c c đoạn có c ng số nhận dạng giống với số nhận dạng của datagram an đầu ố nhận dạng gi p đ ch trong việc tổng hợp lại datagram  lags it rường it n y được sử dụng trong việc ph n đoạn rường flag có độ d i it it thứ nhất được d ng để dự trữ it thứ hai được gọi l it „don‟t fragment‟ ếu gi trị của nó l th datagram kh ng ph n đoạn it thứ a được gọi l it „more fragment‟ ếu gi trị của nó l điều đó có ngh a rằng datagram kh ng phải l đoạn cuối c ng c n có nhiều đoạn nữa đến ếu nó có gi trị l điều đó có ngh a rằng nó l đoạn cuối c ng hoặc duy nhất  ragmentation offset its ột phần nhỏ trong datagram được gọi l c c fragment qu tr nh ph n chia datagram được gọi l fragmentation rường it n y x c định offset tới datagram chưa được ph n đoạn được sử dụng để tổng hợp lại datagram m đã được ph n đoạn rường 13 n y cho thấy quan hệ vị tr giữa của m i đoạn tương ứng với datagram n o đó ể tổ hợp lại được datagram th đ ch phải nhận được tất cả c c đoạn từ đoạn có offset tới đoạn có offset cao nhất  ime to live its ột datagram phải có một giới hạn thời gian sống trong lưu lượng đi qua nternet rường it n y iểu thị thời gian cho ph p datagram ở tr n mạng nternet  rotocol its rường it n y x c định giao thức mức cao m sử dụng c c dịch vụ của lớp ột datagram có thể đóng gói dữ liệu từ v i giao thức lớp cao hơn như l D v rường n y iểu thị giao thức đ ch cuối c ng tới datagram sẽ được chia  eader checksum 6 its hương ph p ph t hiện l i được sử dụng ởi c c giao thức được gọi l checksum rường 6 it n y ảo đảm t nh nguy n v n của c c gi trị header hecksum ảo vệ chống lại c c l i m có thể xảy ra trong qu tr nh truyền của gói dữ liệu IP addressing c địa ch có quan hệ tới lớp kh c nhau của cấu tr c được thấy trong ảng dưới đ y Layer TCP/IP Protocol Address Application Transport Internet Network access HTTP, FTP, SMTP DSN and other protocols TCP, UDP IP, ICMP, IGMP Physical network Port address -- IP address Physical (link) address 1.  Physical (local or link) address Ở lớp vật l c c host v router được nhận dạng ởi c c địa ch vật l của ch ng ịa ch vật l l địa ch 14 lớp thấp nhất m được đặc trưng ởi địa ch n t hoặc địa ch local được x c định ởi mạng hoặc ịa ch local n y chứa trong một khung được sử dụng ởi lớp truy cập mạng ột địa ch local được gọi l địa ch vật l v nó thường được thực thi trong phần cứng ạng thernet hay token ring sử dụng địa ch 6 yte m được in tr n card giao diện mạng (NI được c i đặt trong host hoặc router ịa ch vật l l duy nhất trong mạng cục ộ nhưng kh ng thiết tr n to n mạng ịa ch vật l có thể l unicast multicast hoặc oardcast ịa ch vật l sẽ thay đổi khi khi một gói dữ liệu rời từ mạng tới mạng  IP address ột địa ch được gọi l địa ch logic ở lớp mạng ởi v nó thường được thực thi trong phần mềm ịa ch logic sẽ nhận dạng host hay router ở lớp mạng ịa ch nternet có thể l unicast multicast hoặc oardcast ịa ch logic cần thiết cho c c dịch vụ th ng tin phổ iến m độc lập với c c mạng vật l ở lớp dưới ịa ch được thiết kế cho một hệ thống địa ch chung m m i host có thể được nhận dạng duy nhất ột địa ch nternet hiện nay l it có thể x c định duy nhất một host được kết nối tới nternet  Port address hu i dữ liệu cần có địa ch v địa ch vật l để di chuyển dữ liệu từ nguồn tới host đ ch r n thực tế việc ph t t n một gói tới một host hay một router y u cầu hai lớp địa ch logic v vật l c m y t nh l c c thiết ị m có thể chạy nhiều chương tr nh xử l tại c ng một thời điểm ho v dụ m y t nh giao tiếp với m y t nh sử dụng ại c ng thời điểm m y t nh có thể giao tiếp với m y t nh sử dụng giao thức truyền file ếu c c qu tr nh n y xảy ra đồng thời ch ng ta cần một phương ph p để ghi nhãn c c qu tr nh kh c nhau rong cấu tr c nhãn được g n tới một qu tr nh được gọi l một port address ột port address ở trong cấu tr c có k ch thước l 6 bit. 15 nternet ssigned um er uthority quản l số cổng từ tới cho c c dịch vụ c cổng từ 6 đến thường được sử dụng ởi hệ thống cho c c dịch vụ đặc iệt nhưng hầu như kh ng thấy tr n c c hệ điều h nh kh c c dịch vụ thường được iết ởi số cổng kh c khau Addressing schemes i địa ch được l m th nh hai phần như l một c ch m netid x c định một mạng v hostid nhận dạng một host tr n mạng đó ột địa ch thường được ghi ằng ốn số nguy n thập ph n được t ch ằng ốn dấu chấm v dụ 4 ếu địa ch n y thay đổi từ k hiệu thập ph n- chấm th nh dạng nhị ph n th nó trở th nh 1110111 10000111 01011101. ịa ch được chia th nh loại kh c nhau D v oại v kh c nhau ở số cổng cho ph p ở m i mạng ớp D được sử dụng cho multicasting v lớp được d nh ri ng để sử dụng trong tương lai. Address Class Netid Hostid Number of Networks and Hosts Network Host A (0) B (10) C (110) D(1110) E (1111) Fist octet (8 bits) Two octets (16 bits) Three octets (24 bits) -- -- Fist octet (24 bits) Two octets (16 bits) Last