IPsec là gì? Tổng hợp kiến thức cần biết về IPSec

Thời gian gần đây người ta thường nhắc nhiều đến khái niệm về IPSec, giao thức bảo mật được sử dụng kết hợp với L2TP trong thiết lập kết nối VPN. Trong bài viết dưới đây hãy cùng Mona Media tìm hiểu kỹ hơn IPSec là gì.

IPsec là gì?

IPSec là một từ viết tắt của Internet Protocol Security – bảo mật mạng IP, một bộ giao thức tiêu chuẩn đã được quy định bởi IETF (viết tắt của cụm từ tiếng Anh Internet Engineering Task Force – Nhóm đặc trách kỹ thuật Internet).

IPSec cung cấp tính xác thực (authentication), tính toàn vẹn (integrity) cũng như là tính bảo mật (confidentiality) cho kết nối qua mạng IP giữa hai điểm liên lạc. Nó cũng chứa định nghĩa những gói mã hóa, giải mã, xác thực và những giao thức cần thiết để mà có thể trao đổi khóa an toàn và quản lý khóa.

Ứng dụng của IPsec

IPSec có thể được sử dụng cho những công việc như:

• Mã hóa dữ liệu lớp ứng dụng.
• Cung cấp bảo mật cho những bộ định tuyến gửi dữ liệu định tuyến qua internet công cộng.
• Cung cấp xác thực không mã hóa, như là xác thực rằng dữ liệu bắt nguồn từ một người gửi đã biết.
• Bảo vệ dữ liệu mạng bằng cách thiết lập những mạch sử dụng đường hầm IPsec, trong đó tất cả dữ liệu đang được gửi giữa hai điểm cuối được mã hóa, như là với kết nối Mạng riêng ảo (VPN).

IPsec bao gồm những thành phần nào?

1. Encapsulating Security Payload (ESP)

ESP cung cấp sự toàn vẹn (integrity), mã hóa (encryption), xác thực (authentication) và chống phát lại dữ liệu (anti-replay) bằng việc mã hóa IP headers và payload cho mỗi gói tin. Tuy vậy, trong chế độ Transport mode chỉ có payload được mã hóa.

2. Authentication Header (AH)

AH cũng cung cấp tính toàn vẹn của dữ liệu, xác thực và chống phát lại như là ESP nhưng nó không cung cấp mã hóa. Chống phát lại là bảo vệ chống lại việc truyền những gói tin trái phép, bằng cách đánh số thứ tự những gói tin và dựa vào đó ngăn chặn những hành vi giả mạo gói tin của hacker. Cần lưu ý rằng anti-replay không giúp bảo vệ tính bí mật của dữ liệu.

3. Internet Key Exchange (IKE)

IKE hay trao đổi khóa Internet là một giao thức giúp bảo mật mạng được thiết kế để trao đổi những khóa mã hóa bằng cầu nối bảo mật (Security Association – SA) giữa hai thiết bị. Cầu nối bảo mật thiết lập những thuộc tính bảo mật được chia sẻ giữa hai thực thể mạng để hỗ trợ giao tiếp an toàn.

Giao thức quản lý khóa (hay ISAKMP) và cầu nối bảo mật Internet cung cấp một khuôn khổ để xác thực và trao đổi khóa. ISAKMP cho biết cách thiết lập cầu nối bảo mật (hay SA) và cách kết nối trực tiếp giữa hai máy chủ đang sử dụng IPsec.

IKE cung cấp khả năng bảo vệ nội dung gói tin và cũng là một khung mở để triển khai những thuật toán tiêu chuẩn như là SHA và MD5. Thuật toán IPSec xây dựng mã định danh duy nhất cho mỗi gói tin, cho phép thiết bị xác định xem gói tin đó có đúng hay không. Những gói không được phép sẽ bị loại bỏ và không được trao cho người nhận.

Cách thức hoạt động của IPsec

IPsec hoạt động theo bốn giai đoạn:

Giai đoạn 1: Nhận dạng lưu lượng quan tâm

Sau khi một thiết bị mạng đã nhận được một packet, nó sẽ match với 5-tuple của packet đó với IPsec policy đã configured để mà xác định xem packet có cần được truyền qua một đường hầm IPsec hay không. Lưu lượng cần được truyền qua đường hầm IPsec sẽ được gọi là lưu lượng quan tâm.

Giai đoạn 2: Đàm phán Security Association (SA) & Key exchange

SA xác định những yếu tố để truyền dữ liệu an toàn giữa những bên giao tiếp. Những yếu tố này gồm những giao thức bảo mật, chế độ đóng gói dữ liệu, thuật toán mã hóa và xác thực và những key được sử dụng để truyền dữ liệu.

Sau khi đã xác định lưu lượng quan tâm, thiết bị mạng cục bộ bắt đầu thương lượng SA với thiết bị mạng ngang hàng. Ở giai đoạn này, các bên giao tiếp sử dụng giao thức Internet Key Exchange (IKE) để mà thiết lập IKE SA để xác thực danh tính và trao đổi thông tin chính, sau đó là thiết lập IPsec SA để truyền dữ liệu an toàn dựa trên IKE SA.

Giai đoạn 3: Truyền dữ liệu

Sau khi IPsec SA đã được thiết lập giữa các bên giao tiếp, chúng có thể truyền dữ liệu qua đường hầm IPsec.

Để đảm bảo được tính bảo mật khi truyền dữ liệu, Authentication Header (AH) hoặc là Encapsulating Security Payload (ESP) được ứng dụng để mã hóa và xác thực dữ liệu. Cơ chế mã hóa bảo đảm tính bảo mật của dữ liệu và ngăn chặn dữ liệu bị chặn trong quá trình truyền. Cơ chế xác thực bảo đảm tính toàn vẹn và độ tin cậy của dữ liệu và ngăn dữ liệu bị làm giả hoặc giả mạo trong quá trình truyền.

IPsec sender sẽ sử dụng thuật toán mã hóa và khóa mã hóa để mã hóa một IP packet, tức là nó sẽ đóng gói dữ liệu gốc. Tiếp đó, sender và receiver sử dụng cùng một thuật toán xác thực và khóa xác thực để xử lý những packet được mã hóa nhằm thu được giá trị kiểm tra tính toàn vẹn (integrity check value – ICV). Nếu như những ICV thu được ở cả hai đầu đều giống nhau, thì gói tin không bị làm giả trong quá trình truyền và receiver sẽ giải mã gói tin đó. Nếu như những ICV khác nhau, receiver sẽ loại bỏ gói tin.

Giai đoạn 4: Kết thúc

Đây sẽ là bước cuối cùng và nó liên quan đến việc kết thúc kênh bảo mật IPSec. Việc chấm dứt xảy ra khi mà quá trình trao đổi dữ liệu hoàn tất hoặc phiên đã hết thời gian. Những khóa mật mã cũng sẽ bị loại bỏ. Để tiết kiệm được tài nguyên hệ thống, đường hầm giữa hai bên liên lạc sẽ tự động được chia nhỏ ra khi đạt đến khoảng thời gian chờ không hoạt động của đường hầm.

Cơ chế vận hành của IPsec

Những chế độ hoạt động

• Chế độ Tunnel: Trong chế độ Tunnel, toàn bộ gói tin sẽ được bảo vệ, gồm IP header và payload. IPSec gói gói dữ liệu bên trong một packet mới, mã hóa nó và thêm một IP header mới. Nó thường được ứng dụng trong thiết lập VPN site-to-site.
• Chế độ Transport: Ở chế độ Transport, IP header gốc vẫn còn và không được mã hóa. Sẽ chỉ có payload và ESP trailer được mã hóa mà thôi. Chế độ Transport thường được ứng dụng trong thiết lập VPN client-to-site.

Quy trình vận hành của IPSec

IPSec hoạt động theo 5 bước:

• Bước 1: Máy chủ kiểm tra xem gói tin gửi đi có nên được truyền bằng IPsec hay là không. Những gói tin này được hệ thống gửi gói tin áp dụng một phương thức mã hóa thích hợp. Những gói tin đến cũng được máy chủ kiểm tra xem chúng có được mã hóa đúng cách hay không.
• Bước 2: Giai đoạn 1 của IKE bắt đầu trong đó hai máy chủ (sử dụng IPsec) tự xác thực với nhau để bắt đầu một kênh an toàn. Kênh có hai chế độ: chế độ chính (Main mode) cung cấp tính năng bảo mật cao hơn và chế độ linh hoạt (Aggressive mode) cho phép máy chủ thiết lập mạch IPsec nhanh chóng hơn. Kênh này tiếp đó được sử dụng để trao đổi một cách an toàn cách thức mà mạch IP sẽ mã hóa toàn bộ dữ liệu.
• Bước 3: Giai đoạn 2 của IKE sẽ được tiến hành qua kênh bảo mật, trong đó hai máy chủ thương lượng loại thuật toán mã hóa sẽ được sử dụng trong phiên và trao đổi về khóa bí mật sẽ được sử dụng với những thuật toán đó.
• Bước 4: Dữ liệu được trao đổi thông qua đường hầm mã hóa IPsec mới được tạo. Các gói này sẽ được mã hóa và giải mã bởi những máy chủ sử dụng IPsec SA.
• Bước 5: Khi quá trình giao tiếp giữa những máy chủ hoàn tất hoặc là hết phiên thì đường hầm IPsec sẽ được kết thúc bằng cách loại bỏ những khóa của cả hai máy.

Sự khác nhau giữa IPsec và SSL

Cùng là các giao thức bảo mật phổ biến được sử dụng cho kết nối VPN, tuy vậy IPSec và chứng chỉ SSL là hoàn toàn khác nhau và cần phải phân biệt rõ hai giao thức này.

IPSec	SSL
Là một tập hợp những giao thức cung cấp bảo mật cho Giao thức Internet	Là một giao thức an toàn được phát triển nhằm gửi thông tin một cách an toàn qua Internet.
Hoạt động ở trong lớp Internet của mô hình OSI.	Hoạt động ở giữa lớp truyền tải và lớp ứng dụng của mô hình OSI.
Cấu hình IPSec khá là phức tạp	Cấu hình tương đối đơn giản
Dùng trong việc bảo mật mạng riêng ảo (VPN)	Dùng trong việc bảo mật giao dịch web
IPSec là một thành phần của hệ điều hành	SSL là thành phần phục vụ user

Hy vọng bài viết này của chúng tôi đã giúp các bạn đọc có thêm hiểu biết về bộ giao thức IPSec là gì và những ứng dụng của nó. Chúng tôi sẽ tiếp tục cập nhật thêm nhiều thông tin hữu ích về công nghệ thông tin nói chung và mạng máy tính nói riêng gửi đến các bạn mỗi ngày.