Nhận hoa hồng

18 Tháng Ba, 2023
Thời gian gần đây người ta thường nhắc nhiều đến khái niệm về IPSec, giao thức bảo mật được sử dụng kết hợp với L2TP trong thiết lập kết nối VPN. Trong bài viết dưới đây hãy cùng Mona Media tìm hiểu kỹ hơn IPSec là gì.
IPSec là một từ viết tắt của Internet Protocol Security – bảo mật mạng IP, một bộ giao thức tiêu chuẩn đã được quy định bởi IETF (viết tắt của cụm từ tiếng Anh Internet Engineering Task Force – Nhóm đặc trách kỹ thuật Internet).
IPSec cung cấp tính xác thực (authentication), tính toàn vẹn (integrity) cũng như là tính bảo mật (confidentiality) cho kết nối qua mạng IP giữa hai điểm liên lạc. Nó cũng chứa định nghĩa những gói mã hóa, giải mã, xác thực và những giao thức cần thiết để mà có thể trao đổi khóa an toàn và quản lý khóa.
IPSec có thể được sử dụng cho những công việc như:
ESP cung cấp sự toàn vẹn (integrity), mã hóa (encryption), xác thực (authentication) và chống phát lại dữ liệu (anti-replay) bằng việc mã hóa IP headers và payload cho mỗi gói tin. Tuy vậy, trong chế độ Transport mode chỉ có payload được mã hóa.
AH cũng cung cấp tính toàn vẹn của dữ liệu, xác thực và chống phát lại như là ESP nhưng nó không cung cấp mã hóa. Chống phát lại là bảo vệ chống lại việc truyền những gói tin trái phép, bằng cách đánh số thứ tự những gói tin và dựa vào đó ngăn chặn những hành vi giả mạo gói tin của hacker. Cần lưu ý rằng anti-replay không giúp bảo vệ tính bí mật của dữ liệu.
IKE hay trao đổi khóa Internet là một giao thức giúp bảo mật mạng được thiết kế để trao đổi những khóa mã hóa bằng cầu nối bảo mật (Security Association – SA) giữa hai thiết bị. Cầu nối bảo mật thiết lập những thuộc tính bảo mật được chia sẻ giữa hai thực thể mạng để hỗ trợ giao tiếp an toàn.
Giao thức quản lý khóa (hay ISAKMP) và cầu nối bảo mật Internet cung cấp một khuôn khổ để xác thực và trao đổi khóa. ISAKMP cho biết cách thiết lập cầu nối bảo mật (hay SA) và cách kết nối trực tiếp giữa hai máy chủ đang sử dụng IPsec.
IKE cung cấp khả năng bảo vệ nội dung gói tin và cũng là một khung mở để triển khai những thuật toán tiêu chuẩn như là SHA và MD5. Thuật toán IPSec xây dựng mã định danh duy nhất cho mỗi gói tin, cho phép thiết bị xác định xem gói tin đó có đúng hay không. Những gói không được phép sẽ bị loại bỏ và không được trao cho người nhận.
IPsec hoạt động theo bốn giai đoạn:
Sau khi một thiết bị mạng đã nhận được một packet, nó sẽ match với 5-tuple của packet đó với IPsec policy đã configured để mà xác định xem packet có cần được truyền qua một đường hầm IPsec hay không. Lưu lượng cần được truyền qua đường hầm IPsec sẽ được gọi là lưu lượng quan tâm.
SA xác định những yếu tố để truyền dữ liệu an toàn giữa những bên giao tiếp. Những yếu tố này gồm những giao thức bảo mật, chế độ đóng gói dữ liệu, thuật toán mã hóa và xác thực và những key được sử dụng để truyền dữ liệu.
Sau khi đã xác định lưu lượng quan tâm, thiết bị mạng cục bộ bắt đầu thương lượng SA với thiết bị mạng ngang hàng. Ở giai đoạn này, các bên giao tiếp sử dụng giao thức Internet Key Exchange (IKE) để mà thiết lập IKE SA để xác thực danh tính và trao đổi thông tin chính, sau đó là thiết lập IPsec SA để truyền dữ liệu an toàn dựa trên IKE SA.
Sau khi IPsec SA đã được thiết lập giữa các bên giao tiếp, chúng có thể truyền dữ liệu qua đường hầm IPsec.
Để đảm bảo được tính bảo mật khi truyền dữ liệu, Authentication Header (AH) hoặc là Encapsulating Security Payload (ESP) được ứng dụng để mã hóa và xác thực dữ liệu. Cơ chế mã hóa bảo đảm tính bảo mật của dữ liệu và ngăn chặn dữ liệu bị chặn trong quá trình truyền. Cơ chế xác thực bảo đảm tính toàn vẹn và độ tin cậy của dữ liệu và ngăn dữ liệu bị làm giả hoặc giả mạo trong quá trình truyền.
IPsec sender sẽ sử dụng thuật toán mã hóa và khóa mã hóa để mã hóa một IP packet, tức là nó sẽ đóng gói dữ liệu gốc. Tiếp đó, sender và receiver sử dụng cùng một thuật toán xác thực và khóa xác thực để xử lý những packet được mã hóa nhằm thu được giá trị kiểm tra tính toàn vẹn (integrity check value – ICV). Nếu như những ICV thu được ở cả hai đầu đều giống nhau, thì gói tin không bị làm giả trong quá trình truyền và receiver sẽ giải mã gói tin đó. Nếu như những ICV khác nhau, receiver sẽ loại bỏ gói tin.
Đây sẽ là bước cuối cùng và nó liên quan đến việc kết thúc kênh bảo mật IPSec. Việc chấm dứt xảy ra khi mà quá trình trao đổi dữ liệu hoàn tất hoặc phiên đã hết thời gian. Những khóa mật mã cũng sẽ bị loại bỏ. Để tiết kiệm được tài nguyên hệ thống, đường hầm giữa hai bên liên lạc sẽ tự động được chia nhỏ ra khi đạt đến khoảng thời gian chờ không hoạt động của đường hầm.
Những chế độ hoạt động
Quy trình vận hành của IPSec
IPSec hoạt động theo 5 bước:
Cùng là các giao thức bảo mật phổ biến được sử dụng cho kết nối VPN, tuy vậy IPSec và chứng chỉ SSL là hoàn toàn khác nhau và cần phải phân biệt rõ hai giao thức này.
IPSec | SSL |
Là một tập hợp những giao thức cung cấp bảo mật cho Giao thức Internet | Là một giao thức an toàn được phát triển nhằm gửi thông tin một cách an toàn qua Internet. |
Hoạt động ở trong lớp Internet của mô hình OSI. | Hoạt động ở giữa lớp truyền tải và lớp ứng dụng của mô hình OSI. |
Cấu hình IPSec khá là phức tạp | Cấu hình tương đối đơn giản |
Dùng trong việc bảo mật mạng riêng ảo (VPN) | Dùng trong việc bảo mật giao dịch web |
IPSec là một thành phần của hệ điều hành | SSL là thành phần phục vụ user |
Hy vọng bài viết này của chúng tôi đã giúp các bạn đọc có thêm hiểu biết về bộ giao thức IPSec là gì và những ứng dụng của nó. Chúng tôi sẽ tiếp tục cập nhật thêm nhiều thông tin hữu ích về công nghệ thông tin nói chung và mạng máy tính nói riêng gửi đến các bạn mỗi ngày.
Dịch vụ thiết kế
website chuyên nghiệp
Sở hữu website với giao diện đẹp, độc quyền 100%, bảo hành trọn đời với khả năng
mở rộng tính năng linh hoạt theo sự phát triển doanh nghiệp ngay hôm nay!