Chính sách IPSec mặc định

Tháng Một 13, 2022
 |  Không có bình luận

1.1. Chính sách IPSec là gì

Internet Protocol Security (IPSEC) là một chuẩn an toàn trong giao tiếp thông tin giữa các hệ thống, giữa các mạng. Với IPSEC việc kiểm tra, xác thực, và mã hóa dữ liệu là những chức năng chính. Tất cả những việc này được tiến hành tại cấp độ IP Packet.

Chính sách IPSec (IPsec Policies) được sử dụng trong Windows để bảo mật thông tin liên lạc bí mật trên các mạng. Giống như hầu hết các hệ thống bảo mật, nó có một số cài đặt bạn có thể sử dụng để kiểm soát cách bảo mật được thực thi. Cách chính là thông qua các chính sách an ninh.

1.2. Bảo mật kết nối

IPsec có thể được triển khai bằng Tường lửa của Windows với Bảo mật nâng cao bằng cách tạo và định cấu hình các quy tắc bảo mật kết nối. Một quy tắc bảo mật kết nối là một tập hợp các tiêu chí cấu hình trong Windows Firewall with Advanced Security mà quy định cụ thể như thế nào IPsec sẽ được dùng để bảo đảm giao thông giữa máy tính cục bộ và các máy tính khác trên mạng. Các quy tắc bảo mật kết nối có thể được sử dụng để chỉ định liệu kết nối mạng giữa hai máy tính trước tiên phải được xác thực trước khi dữ liệu có thể được trao đổi giữa chúng. Các quy tắc bảo mật kết nối cũng có thể được sử dụng để đảm bảo mọi dữ liệu trao đổi giữa các máy tính đều được mã hóa để bảo vệ khỏi bị nghe trộm hoặc sửa đổi.

Để hiểu cách thực hiện bảo mật kết nối bằng IPsec, trước tiên bạn cần hiểu các khái niệm IPsec sau:

1.2.1. Encapsulation – Đóng gói

IPsec bảo vệ dữ liệu được gửi qua mạng không an toàn bằng cách đóng gói một tải trọng của các gói mạng. Điều này có thể được thực hiện theo hai cách:

  • Transport mode Tải trọng (Payload) được gói gọn bằng tiêu đề IPsec.
  • Tunnel modeTải trọng (Payload) được đóng gói bằng một tiêu đề IP bổ sung.

1.2.2. IPsec protocols – Giao thức Ipsec

IPsec hỗ trợ hai giao thức để mã hóa tải trọng của các gói, đóng gói tải trọng của các gói hoặc cả hai:

Authentication Header – Tiêu đề Xác thực (AH) : Cơ chế này cung cấp xác thực nguồn gốc dữ liệu, tính toàn vẹn dữ liệu và bảo vệ chống phát lại cho toàn bộ gói (cả tiêu đề IP và tải trọng dữ liệu được mang trong gói), ngoại trừ các trường trong tiêu đề IP được phép thay đổi trong quá cảnh. Nó không cung cấp bảo mật dữ liệu, có nghĩa là nó không mã hóa dữ liệu. Dữ liệu có thể đọc được nhưng được bảo vệ khỏi sự thay đổi.

Encapsulating Security Protocol- Giao thức bảo mật đóng gói (ESP) : Cơ chế này cung cấp xác thực nguồn gốc dữ liệu, tính toàn vẹn dữ liệu, bảo vệ chống phát lại và tùy chọn bảo mật chỉ cho tải trọng IP. ESP ở chế độ vận chuyển không bảo vệ toàn bộ gói bằng checkum mật mã và tiêu đề IP không được bảo vệ.

1.2.3.Security associations – Hiệp hội bảo mật

Một hiệp hội bảo mật (SA) là một tập hợp các khóa và chính sách mật mã được thỏa thuận lẫn nhau mà một máy tính hỗ trợ IPsec sử dụng để liên lạc unicast an toàn với một máy tính hỗ trợ IPsec khác. Sa có thể được coi là một loại hợp đồng chỉ định cách các máy tính sẽ sử dụng IPsec để trao đổi thông tin an toàn giữa chúng.

Để thiết lập SA giữa chúng, các máy tính có thể sử dụng một trong các giao thức IPsec sau:

  • Internet Key Exchange- Trao đổi khóa Internet (IKE) Cơ chế này được xác định trong RFC 2409 và kết hợp Hiệp hội Bảo mật Internet và Giao thức quản lý khóa (ISAKMP) của RFC 2408 với Giao thức xác định chính Oakley (Oakley) của RFC 2412.IKE được hỗ trợ trên các máy tính đang chạy Windows 2000 trở lên.
  • Authenticated IP- IP đã xác thực (AuthIP) Cơ chế này là một phần mở rộng độc quyền của Microsoft của IKE cung cấp đàm phán cải thiện các phương pháp xác thực và hỗ trợ các phương pháp xác thực bổ sung không có trong IKE. AuthIP được hỗ trợ trên các máy tính chạy Windows Vista, Windows Server 2008 hoặc sau đó.
  • Khi hai máy tính đàm phán để thiết lập liên lạc IPsec giữa chúng, trao đổi chính được thực hiện trong hai giai đoạn:
  • Main mode – Chế độ chính: Giai đoạn đàm phán IPsec này được thực hiện đầu tiên và được sử dụng để tạo ra một khóa chính được chia sẻ mà các máy tính có thể sử dụng để trao đổi thông tin khóa một cách an toàn.
  • Quick mode – Chế độ Nhanh :Giai đoạn đàm phán IPsec này sử dụng khóa chính từ chế độ chính để tạo ra một hoặc nhiều khóa phiên có thể được sử dụng để đảm bảo tính toàn vẹn và mã hóa dữ liệu.

Bởi vì mỗi SA chỉ xác định thông tin liên lạc một chiều, một phiên IPsec đòi hỏi hai SAs.

1.2.4. Key-exchange algorithms – Các thuật toán trao đổi khóa

Trong các hệ thống mật mã, các khóa được sử dụng để mã hóa và giải mã thông tin liên lạc giữa các thực thể khác nhau. Để gửi và nhận lưu lượng được mã hóa qua mạng, các máy tính hỗ trợ IPsec phải có quyền truy cập vào cùng một khóa phiên được chia sẻ. Chìa khóa trước tiên phải được trao đổi an toàn giữa các máy tính. Việc chia sẻ khóa này được thực hiện thông qua một quá trình gọi là trao đổi chìa khóa.

Các thuật toán trao đổi chính được hỗ trợ cho thông tin liên lạc IPsec trong Windows 8 và Windows Server 2012 như sau:

  • Nhóm Diffie-Hellman 1 (Dh Group 1)Thuật toán này không được khuyến khích và chỉ được cung cấp cho khả năng tương thích ngược.
  • Nhóm DH 2 Thuật toán này mạnh hơn DH Group 1.
  • Dh Group 14Thuật toán này mạnh hơn DH Group 2.
  • Tập đoàn DH 24Thuật toán này mới trong Windows Server 2012 và mạnh hơn DH Group 14.
  • Đường cong elip Diffie-Hellman P-256Thuật toán này mạnh hơn DH Group 2. Nó có mức sử dụng tài nguyên trung bình và chỉ tương thích với Windows Vista trở lên.
  • Đường cong elip Diffie-Hellman P-384Thuật toán này có bảo mật mạnh nhất nhưng cũng là mức sử dụng tài nguyên cao nhất. Nó chỉ tương thích với Windows Vista trở lên.

1.2.5. Authentication methods – Phương pháp xác thực

Liên quan đến IPsec, một phương pháp xác thực đề cập đến một quá trình mà các máy tính hỗ trợ IPsec xác minh danh tính của chúng với nhau trước khi thông tin liên lạc an toàn có thể bắt đầu. Một số phương thức xác thực được hỗ trợ cho thông tin liên lạc IPsec trong Windows 8 và Windows Server 2012. Các phương pháp xác thực có sẵn phụ thuộc vào việc chúng đang được sử dụng để xác thực lần đầu tiên hay thứ hai.

Các phương thức xác thực có sẵn cho xác thực đầu tiên như sau:

  • Computer- Máy tính (Kerberos V5) Phương thức xác thực này tương thích với Windows 2000 trở lên.
  • Computer- Máy tính (NTLMv2) Phương pháp xác thực này có thể được sử dụng trên các mạng bao gồm các hệ thống chạy phiên bản hệ điều hành Windows trước đó và trên các hệ thống độc lập.
  • Computer certificate – Chứng chỉ máy tính Thuật toán ký mặc định cho phương pháp xác thực này là RSA, nhưng Thuật toán chữ ký số Elliptic Curve (ECDSA)-P256 và ECDSA-P384 cũng được hỗ trợ các thuật toán ký kết. Bạn cũng có thể sử dụng cơ quan chứng chỉ trung gian (CA) làm cửa hàng chứng chỉ ngoài việc sử dụng CA gốc và bản đồ chứng chỉ thành tài khoản cũng được hỗ trợ. Lưu ý rằng xác thực đầu tiên cũng có thể được cấu hình để chỉ chấp nhận chứng chỉ sức khỏe khi sử dụng cơ sở hạ tầng bảo vệ truy cập mạng (NAP).
  • Pre-shared key – Khóa chia sẻ trước Phương pháp xác thực này không được khuyến khích ngoại trừ môi trường thử nghiệm.
  • Các phương thức xác thực có sẵn để xác thực lần thứ hai như sau:
  • User- Người dùng (Kerberos V5) Phương thức xác thực này tương thích với Windows 2000 trở lên.
  • User- Người dùng (NTLMv2) Phương pháp xác thực này có thể được sử dụng trên các mạng bao gồm các hệ thống chạy phiên bản hệ điều hành Windows trước đó và trên các hệ thống độc lập.
  • User certificate- Chứng chỉ người dùng Thuật toán ký mặc định cho phương pháp xác thực này là RSA, nhưng ECDSA-P256 và ECDSA-P384 cũng được hỗ trợ các thuật toán ký kết. Bạn cũng có thể sử dụng CA trung gian làm cửa hàng chứng chỉ ngoài việc sử dụng CA gốc và bản đồ chứng chỉ thành tài khoản cũng được hỗ trợ.
  • Computer health certificate – “Giấy chứng nhận sức khỏe máy tính” Thuật toán ký mặc định cho phương pháp xác thực này là RSA, nhưng ECDSA-P256 và ECDSA-P384 cũng được hỗ trợ các thuật toán ký kết. Bạn cũng có thể sử dụng CA trung gian làm cửa hàng chứng chỉ ngoài việc sử dụng CA gốc và bản đồ chứng chỉ thành tài khoản cũng được hỗ trợ.

1.2.6. Data-integrity algorithms – Các thuật toán toàn vẹn dữ liệu

Tính toàn vẹn dữ liệu đảm bảo rằng dữ liệu được trao đổi giữa các máy tính hỗ trợ IPsec đã không được sửa đổi trong quá trình vận chuyển giữa chúng. Tính toàn vẹn dữ liệu được thực hiện bằng cách sử dụng các băm tin nhắn, được sử dụng để ký số các gói để máy tính nhận chúng có thể chắc chắn rằng các gói tin không bị giả mạo.

Các thuật toán toàn vẹn dữ liệu được hỗ trợ cho truyền thông IPsec trong Windows 8 và Windows Server 2012 như sau:

  • Thuật toán Message-Digest 5 (MD5) Thuật toán này không được khuyến khích và chỉ được cung cấp cho khả năng tương thích ngược.
  • Thuật toán Băm an toàn 1 (SHA-1) Thuật toán này mạnh hơn MD5 nhưng sử dụng nhiều tài nguyên hơn.
  • SHA 256-bit (SHA-256) Thuật toán này chỉ có thể được sử dụng cho chế độ chính và được hỗ trợ trên Windows Vista SP1 trở lên.
  • SHA-384 Thuật toán này chỉ có thể được sử dụng cho chế độ chính và được hỗ trợ trên Windows Vista SP1 trở lên.
  • Mã xác thực tin nhắn Standard-Galois nâng cao 128 bit (AES-GMAC 128) Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh và được hỗ trợ trên Windows Vista SP1 trở lên. Nó tương đương với AES-GCM 128 về tính toàn vẹn.
  • AES-GMAC 192 Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh và được hỗ trợ trên Windows Vista SP1 trở lên. Nó tương đương với AES-GCM 192 về tính toàn vẹn.
  • AES-GMAC 256 Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh và được hỗ trợ trên Windows Vista SP1 trở lên. Nó tương đương với AES-GCM 256 về tính toàn vẹn.
  • AES-GCM 128 Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh và được hỗ trợ trên Windows Vista SP1 trở lên. Nó tương đương với AES-GMAC 128 về tính toàn vẹn.
  • AES-GCM 192 Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh và được hỗ trợ trên Windows Vista SP1 trở lên. Nó tương đương với AES-GMAC 192 về tính toàn vẹn.
  • AES-GCM 256 Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh và được hỗ trợ trên Windows Vista SP1 trở lên. Nó tương đương với AES-GMAC 256 về tính toàn vẹn.

1.2.7. Data-encryption algorithms – Các thuật toán mã hóa dữ liệu

Mã hóa dữ liệu đảm bảo rằng dữ liệu được trao đổi giữa các máy tính hỗ trợ IPsec được bảo vệ khỏi việc xem. IPsec có thể tái tạo các khóa mã hóa để nếu một khóa bị lộ, toàn bộ dữ liệu không bị xâm phạm.

Các thuật toán mã hóa dữ liệu được hỗ trợ cho thông tin liên lạc IPsec trong Windows 8 và Windows Server 2012 như sau:

  • Tiêu chuẩn mã hóa dữ liệu (DES) Thuật toán này không được khuyến khích và chỉ được cung cấp cho khả năng tương thích ngược.
  • Triple-DES (3DES) Thuật toán này an toàn hơn DES nhưng có mức sử dụng tài nguyên cao hơn.
  • Chuỗi khối mã hóa nâng cao 128 bit (AES-CBC 128) Thuật toán này nhanh hơn và mạnh hơn DES. Nó được hỗ trợ trên Windows Vista và sau đó.
  • AES-CBC 192 Thuật toán này mạnh hơn AES-CBC 128 và có mức sử dụng tài nguyên trung bình. Nó được hỗ trợ trên Windows Vista và sau đó.
  • AES-CBC 256 Thuật toán này có bảo mật mạnh nhất nhưng cũng là mức sử dụng tài nguyên cao nhất. Nó được hỗ trợ trên Windows Vista và sau đó.
  • AES-GCM 128 Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh. Nó nhanh hơn và mạnh hơn DES và được hỗ trợ trên Windows Vista trở lên. Lưu ý rằng AES-GCM 128 phải được chỉ định cho cả tính toàn vẹn dữ liệu và mã hóa nếu thuật toán này được sử dụng.
  • AES-GCM 192 Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh. Nó có mức sử dụng tài nguyên trung bình và được hỗ trợ trên Windows Vista trở lên. Lưu ý rằng AES-GCM 192 phải được chỉ định cho cả tính toàn vẹn dữ liệu và mã hóa nếu thuật toán này được sử dụng.
  • AES-GCM 256 Thuật toán này chỉ có thể được sử dụng cho chế độ nhanh và nhanh hơn và mạnh hơn DES. Nó được hỗ trợ trên Windows Vista và sau đó. Lưu ý rằng AES-GCM 256 phải được chỉ định cho cả tính toàn vẹn dữ liệu và mã hóa nếu thuật toán này được sử dụng.