Với việc sử dụng internet ngày càng phổ biến cho các ứng dụng quan trọng, giao thức internet nên được chú trọng nhiều hơn về việc nâng cao, cải thiện tính bảo mật đem lại sự an toàn cho
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
BÁO CÁO BÀI TẬP LỚN
CHỦ ĐỀ: TÌM HIỀU GIAO THỨC BẢO MẬT IPSEC
Giảng viên hướng dẫn: Vũ Minh Mạnh
Nhóm bài tập 16
Sinh viên thực hiện:
Dương Thùy An – B21DCCN132
Tạ Đăng Đạo – B21DCCN209Nguyễn Duy Hoàng – B21DCCN388Nguyễn Thành Long – B21DCCN498
Hà Nội - 2024
1
Trang 2Table of Contents
PHẦN 1: GIỚI THIỆU 3
1 Thực trạng: 3
2 Khái niệm: 4
PHẦN 2: CHI TIẾT 4
I. Kiến trúc tổng quan: 4
Bước 1: Sự xác nhận của máy chủ 17
Bước 2: Thực hiện IKE giai đoạn 1 (hay còn gọi là giai đoạn đàm phán) 17
Bước 3: Thực hiện IKE giai đoạn 2 18
Bước 4: Truyền tải qua đường hầm IPSec 18
Bước 5: Chấm dứt đường hầm IPSec 18
II Ứng dụng 19
2 Ưu và khuyết điểm của IPSec: 20
a Ưu điểm 20
b Khuyết điểm: 21
Trang 3PHẦN 1 GIỚI THIỆU
1 Thực trạng
Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet
Vì các gói tin IP thường phải được định tuyến giữa hai thiết bị qua các mạng không xác định, nên bất kỳ thông tin nào trong đó có thể bị chặn và thậm chí có thể bị thay đổi Với việc sử dụng internet ngày càng phổ biến cho các ứng dụng quan trọng, giao thức internet nên được chú trọng nhiều hơn về việc nâng cao, cải thiện tính bảo mật đem lại sự an toàn cho người sử dụng.Nhưng với sự phát triển quá nhanh chóng và phổ biến của mạng internet,
số lượng không gian địa chỉ của nó đến thời điểm hiện tại đang dần cạn kiệt vàcông nghệ cũng đã được sinh sản từ nhiều năm trước đó Điều này dẫn đến việc, khi sử dụng IPv4, chúng ta không thể đảm bảo chắc chắn an ninh thông tin trên các mạng IP Để khắc phục vấn đề này, nhiều công nghệ khác nhau đã được phát minh ra
IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm
1998 nhằm mục đích nâng cấp các cơ chế mã hoá và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật
dữ liệu, đảm bảo tính toàn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị
Trang 4mạngIPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI
IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc
2 Khái niệm
IPSec (Internet Protocol Security) là một giao thức được IETF phát triển IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợpcác tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị
Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật Đường ngầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu cầu an toàn được truyền trên đó IPSeccũng thực hiện đóng gói dữ liệu các thông tin để thiết lập, duy trì và hủy bỏ kênh truyền khi không dùng đến nữa Các gói tin truyền trong đường ngầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổi cácthiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua
đó cho phép giảm đáng kể chi phí để triển khai và quản lý
3 Kiến trúc tổng quan
Công nghệ IPSec là một tổ hợp các giao thức và các thành phần khác
Trang 5nhau cấu tạo nên để cung cấp các dịch vụ bảo mật Hình dưới đây sẽ thể hiện
mô hình kiến trúc tổng quát của công nghệ IPSec Nó được cấu tạo từ mộtcặp giao thức cốt lõi có tên là xác thực tiêu đề (AH) và đóng gói tải trọng bảomật (ESP) với khả năng cung cấp tính xác thực và quyền riêng tư cho dữ liệu
và được thêm vào mô hình gói tin IP dưới dạng các Header Tuy nhiên,chúng không thể tự hoạt động Chính vì vậy, để hoạt động của IPSec đượcdiễn ra bình thường, những giao thức cốt lõi trên cần đến sự hỗ trợ của một
số thành phần, dịch vụ khác như các thuật toán mã hóa/hàm băm, các chínhsách bảo mật/liên kết bảo mật, hay giao thức trao đổi và quản lý khóa
Trang 6Hình kiến trúc IPSec Giao thức ESP (ESP Protocol): là một giao thức mật mã và xác thực
thông tin trong IPSec
Trang 7Giao thức AH (AHProtocol): là giao thức chức năng gần giống ESP
Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng
Thuật toán mật mã (Encryption Algorihm): Định nghĩa các thuật
toán mã hoá và giải mã sử dụng trong IPSec IPSec chủ yếu dựa vào cácthuật toán mã hoá đối xứng Hai thuật toán thông thường hay được sử dụngvới IPSec là Message Digest 5 (MD5) và Secure Hash Algorithm 1 (SHA-1) Chúng còn được gọi là các thuật toán băm vì chúng hoạt động bằng cáchtính toán một công thức được gọi là hàm băm dựa trên dữ liệu đầu vào vàmột khóa
Thuật toán xác thực (Authentication Algorihm): Định nghĩa các thuật
toán xác thực thông tin sử dụng trong AH và ESP
Quản lý khoá (Key management): Mô tả các cơ chế quản lý và trao
đổi khoá trong IPSec Đây là cơ chế trao đổi và quản lý khóa Để cho hai thiết bị trao đổi thông tin được mã hóa, chúng cần có khả năng chia sẻ khóa
để mở khóa mã hóa Họ cũng cần một cách để trao đổi thông tin liên kết bảo mật Trong IPSec, một giao thức được gọi là Internet Key Exchange (IKE) cung cấp những khả năng này
Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi
trường thực thi IPSec IPSec không phải là một công nghệ riêng biệt mà là sự
tổ hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt động khác nhau Việc xác định một tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là chức năng của miền thực thi Xét về mặt ứng dụng, IPSec thực chất là một giao
Trang 8thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần: -Giao thức đóng gói,gồm AH và ESP -Giao thức trao đổi khoá IKE (Internet Key Exchange).
Chính sách bảo mật Policy (ISAKMP): Được gọi là các chính sách
bảo mật, liên kết bảo mật và phương pháp quản lý khóa Vì IPSec cung cấp
sự linh hoạt trong việc cho phép các thiết bị khác nhau quyết định cách chúngmuốn triển khai bảo mật, chúng yêu cầu một số phương tiện để theo dõi các mối quan hệ bảo mật giữa chúng Điều này được thực hiện trong IPSec bằng cách sử dụng các cấu trúc được gọi là chính sách bảo mật và liên kết bảo mật,
và bằng cách cung cấp các cách để trao đổi thông tin liên kết bảo mật
Trang 9PHẦN II CHI TIẾT
1 Chế độ làm việc của IPsec
Hiện tại IPSec có hai chế độ làm việc: Transport Mode và Tunel Mode.Cả AH và ESP đều có thể làm việc với một trong hai chế độ này:
a Kiểu Transport
Trang 10Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP,UDP hoặc ICMP) Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, AH và ESP sẽ được đặt sau IP header nguyên thủy Vì vậy chỉ có tải (IP payload) là được mãhóa và IP header ban đầu là được giữ nguyên vẹn Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói.
Trang 11b Kiểu Tunnel
Kiểu này bảo vệ toàn bộ gói IP Gói IP ban đầu (bao gồm cả IP header) được xác thực hoặc mật mã Sau đó, gói IP đã mã hóa được đóng gói vào một IP header mới Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP truyền qua Internet Trong kiểu Tunnel, toàn bộ gói IP ban đầu được đóng gói và trở thành Payload của gói IP mới Kiểu này cho phép các thiết bị mạng như routerthực hiện xử lý IPSec thay cho các trạm cuối (host)
Trang 122 Nguyên lý hoạt động của AH
- Là một IPSec header cung cấp xác thực gói tin và kiểm tra tính toàn vẹn
- AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống
- Là phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi truyền hay không Tuy nhiên các dữ liệu đều truyền dưới dạng bản Plaintext vì AH khôngcung cấp khả năng mã hóa dữ liệu
Đị
nh dạng mào đầu IPsec AH
Định dạng của AH
o Next Header: Trường này có độ dài 8 bits để xác định mào đầu
tiếp theo sau AH Giá trị của trường này được lựa chọn từ các tập các giá trị IPProtocol Numbers định nghĩa bởi IANA- Internet Assigned Numbers
Authority
o Payload Length: Trường này có độ dài 8 bits để xác định độ dài
của AH không có tải
Trang 13o Reserved: Trường này có độ dài 16 bits dành để dự trữ cho việc
sử dụng trong tương lai Giá trị của trường này được thiết lập bằng 0 bởi bên gửi và sẽ được loại bỏ bởi bên nhận
o SPI (Security Parameters index): Đây là một số 32 bits bất kì,
cùng với địa chỉ đích và giao thức an ninh ESP cho phép nhận dạng duy nhất chính sách liên kết bảo mật SA (xác định giao thức IPSec và các thuật toán nào được dùng để áp dụng cho gói tin) cho gói dữ liệu này Các giá trị SPI 1-
255 được dành riêng để sử dụng trong tương lai SPI thường được lựa chọn bởi phía thu khi thiết lập SA
o Sequence Number: Trường này có độ dài 32 bits, chứa một giá
trị đếm tăng dần (SN), đây là trường không bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào đó Việc thực hiện
SN tùy thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, còn phía thu có thể không cần phải xử lí nó Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu tiên truyền đi với SA đó
sẽ có SN=1)
o Authentication Data: Trường có độ dài biến đổi chứa một giá
trị kiểm tra tính toàn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài là
số nguyên lần 32 bits Trường này có thể chứa thêm một phần dữ liệu đệm để đảm bảo độ dài của AH header là số nguyên lần 32 bít (đối với IPV4) hoặc 64 bít (đối với IPV6)
Chế độ xác thực:
o Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): làtrường hợp xác thực trực tiếp giữa hai hệ thống đầu cuối (giữa máy chủ với
Trang 14trạm làm việc hoặc giữa hai trạm làm việc), việc xác thực này có thể diễn ratrên cùng mạng nội bộ hoặc giữa hai mạng khác nhau, chỉ cần hai đầu cuốibiết được khoá bí mật của nhau Trường hợp này sử dụng chế độ vận chuyển(Transport Mode) của AH.
o Xác thực từ đầu cuối đến trung gian (End-to-IntermediateAuthentication): là trường hợp xác thực giữa hệ thống đầu cuối với một thiết
bị trung gian (router hoặc firewall) Trường hợp này sử dụng chế độ đườnghầm (Tunnel Mode) của AH
Hai chế độ xác thực của AH
Trang 15Gói tin IPV6 AH ở chế độ Transport
Mào đầu được xác thực trong chế độ IPv6 AH Transport (Phần màu nâu đậm
là phần dữ liệu được xác thực).
Gói tin IPV6 AH ở chế độ Tunnel
Trang 16Mào đầu được xác thực trong chế độ IPv6 AH Tunnel (Phần màu nâu đậm là phần dữ liệu được xác thực)
Nguyên tắc hoặt động của AH bao gồm 4 bước
B1: AH sẽ đem gói dữ liệu (packet) bao gồm: Payload + IP Header + Key chochạy qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số và chuỗi số này sẽ đượcgán vào AH Header
B2: AH Header này sẽ được chèn vào giữa Payload và IP Header và chuyểnsang phía bên kia
B3: Router đích sau khi nhận được gói tin này bao gồm: IP Header + AHHeader + Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra mộtchuỗi số
B4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nóchấp nhận gói tin
Trang 17Mô tả AH xác thực và đảm bảo tính toàn vẹn dữ liệu
3 Nguyên tắc hoặt động của ESP
ESP Header được mô tả trong RFC 4303, cung cấp mã hóa bảo mật và toànvẹn dữ liệu trên mỗi điểm kết nối IPv6 ESP là một giao thức an toàn cho phépmật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữliệu Khác với AH, ESP cung cấp khả năng bí mật của thông tin thông quaviệc mã hóa gói tin ở lớp IP, tất cả các lưu lượng ESP đều được mã hóa giữa 2
hệ thống, do đó xu hướng sử dụng ESP nhiều hơn AH trong tương lai để làmtăng tính an toàn cho dữ liệu Sau khi đóng gói xong bằng ESP, mọi thông tin
và mã hoá và giải mã sẽ nằm trong ESP Header Các thuật toán mã hoá sửdụng trong giao thức như: DES, 3DES, AES Định dạng của ESP Header nhưsau:
Trang 18Định dạng mào đầu IPsec ESP
Định dạng ESP:
ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin
o SPI (Security Parameters Index): Trường này tương tự như bên AH
o SN (Sequence Number): Trường này tương tự như bên AH
Trang 19o Payload Data: Trường này có độ dài biến đổi chứa dữ liệu mô tả bêntrong
o Next Header Đây là trường bắt buộc và có độ dài là số nguyên lầnbytes
o Padding: Trường này được thêm vào bởi nếu thuật toán mật mã được sửdụng yêu cầu bản rõ (plaintext) thì padding được sử dụng để điền vàoplaintext (bao gồm các trường Payload Data, Pad Length, Next Header
và Padding) để có kích thước theo yêu cầu
o IVC: Giá trị kiểm tra tính toàn vẹn, là trường có độ dài thay đổi đượctính trên các trường ESP trailer, Payload, ESP header Thực chất cáctrường ESP trailer đã bao gồm kiểm tra tính toàn vẹn (IVC)
Gói tin IPv6 ESP ở chế độ Transport
Trang 20Hình 15: Mào đầu được mã hóa trong chế độ IPv6 ESP Transport (Phần màu
nâu đậm là phần dữ liệu được mã hóa).
Gói tin IPv6 ESP ở chế độ Tunnel
Trang 21Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel (Phần màu nâu sậm là
phần dữ liệu được mã hóa).
Nguyên tắc hoạt động
Về nguyên tắc hoạt động thì ESP sử dụng mật mã đối xứng để cung cấp sựmật hoá dữ liệu cho các gói tin IPSec Cho nên, để kết nối của cả hai đầu cuốiđều được bảo vệ bởi mã hoá ESP thì hai bên phải sử dụng key giống nhau mới
mã hoá và giải mã được gói tin Khi một đầu cuối mã hoá dữ liệu, nó sẽ chia
dữ liệu thành các khối (block) nhỏ, và sau đó thực hiện thao tác mã hoá nhiềulần sử dụng các block dữ liệu và khóa (key) Khi một đầu cuối khác nhậnđược dữ liệu mã hoá, nó thực hiện giải mã sử dụng key giống nhau và quátrình thực hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá
Trang 22Hình 17: Nguyên tắc hoạt động của ESP Header.
4 Quản lý khóa
Trang 23Để áp dụng hai mào đầu AH và ESP yêu cầu các bên tham gia phải thỏa thuậnmột khóa chung để sử dụng trong việc kiểm tra an toàn thông tin.
- Quản lý khóa thủ công:
IPv6 yêu cầu tất cả các thao tác đều có thể cho phép thiết lập thủ công khóa bí mật Công nghệ cấu hình bằng tay được cho phép trong IPSec chuẩn và có thể được chấp nhận để cấu hình một hay hai gateway nhưng việc gõ key bằng tay không thích hợp trong một số trường hợp số lượng các gateway nhiều và cũng gây ra các vấn đề không an toàn trong quá trình tạo khóa
o Giai đoạn 2: xác định dịch vụ được sử dụng bởi IPSec Chúng đồng ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng
5 Cách thức hoạt động của IPSec
Sau khi tìm hiểu về các giao thức và các thành phần tạo nên côngnghệ IPSec, cũng như các chế độ hoạt động, ta sẽ nói về quá trình hoạtđộng của IPSec Quá trình hoạt động của IPSec được biểu diễn qua năm
Trang 24bước sau:
Hình 2.18: Quá trình hoạt động của IPSec
Bước 1: Sự xác nhận của máy chủ
Quá trình IPSec bắt đầu khi hệ thống máy chủ nhận ra rằng một gói tin cầnđược bảo vệ và nên được truyền bằng các chính sách IPSec Các gói như vậyđược coi là "các traffic cần quan tâm" cho mục đích IPSec và chúng sẽ đượckích hoạt các chính sách bảo mật Đối với các gói gửi đi, điều này có nghĩa làquá trình mã hóa và xác thực thích hợp sẽ được áp dụng Khi một gói tin đếnđược xác định là cần quan tâm, hệ thống máy chủ sẽ xác minh rằng nó đãđược mã hóa và xác thực đúng cách
Bước 2: Thực hiện IKE giai đoạn 1 (giai đoạn đàm phán)
Trong bước thứ hai này, các máy chủ sử dụng công nghệ IPSec sẽ trao đổivới nhau về tập hợp các chính sách mà họ sẽ sử dụng cho một mạch bảo mật
Trang 25Chúng cũng tự xác thực với nhau và thiết lập một kênh an toàn để thươnglượng về cách thức mà mạch IPSec sẽ mã hóa hoặc xác thực dữ liệu được gửiqua nó Quá trình thương lượng này xảy ra bằng cách sử dụng chế độ chính(Main Mode) hoặc chế độ linh hoạt (Aggressive Mode).
Với chế độ chính: Máy chủ bắt đầu phiên sẽ gửi các đề xuất chỉ ra các
thuật toán xác thực và mã hóa ưu tiên của nó Thương lượng tiếp tụccho đến khi cả hai máy chủ đồng ý và thiết lập IKE SA xác định mạchIPSec mà họ sẽ sử dụng Phương pháp này đem lại độ an toàn và độbảo mật cao hơn chế độ linh hoạt vì nó tạo ra một đường hầm an toàn
để trao đổi dữ liệu
Với chế độ linh hoạt: Máy chủ khởi tạo không cho phép thương lượng
và chỉ định IKE SA sẽ được sử dụng Sự chấp nhận của máy chủ lưutrữ sẽ phản hồi cho xác thực phiên thành công Với phương pháp này,các máy chủ có thể thiết lập mạch IPsec nhanh hơn
Bước 3: Thực hiện IKE giai đoạn 2
Thiết lập một mạch IPSec qua kênh bảo mật đã được thiết lập trong IKE giaiđoạn 1 Lúc này, các máy chủ IPSec thương lượng về các thuật toán sẽ được
sử dụng trong quá trình truyền dữ liệu Các máy chủ cũng đồng ý và trao đổicác khóa mã hóa và giải mã mà họ định sử dụng cho lưu lượng truy cậpđến và đi từ mạng được bảo vệ Các máy chủ cũng trao đổi các ký tự mãhóa, là các số ngẫu nhiên được sử dụng để xác thực phiên
Bước 4: Truyền tải qua đường hầm IPsec
Trong bước thứ tư, các máy chủ trao đổi dữ liệu thực tế qua đường hầm antoàn mà họ đã thiết lập IPSec SA được thiết lập trước đó sẽ được sử dụng để
Trang 26mã hóa và giải mã các gói tin.
Bước 5: Chấm dứt đường hầm trong IPsec
Cuối cùng, đường hầm IPSec được kết thúc Thông thường, điều này xảy rasau khi một số byte được chỉ định trước đó đã đi qua đường hầm IPSec hoặchết thời gian phiên Khi một trong hai sự kiện đó xảy ra, các máy chủ sẽ giaotiếp để kết thúc quá trình sử dụng IPSec Sau khi kết thúc, các máy chủ sẽ xử
lý và loại bỏ các khóa cá nhân được sử dụng trong quá trình truyền dữ liệu
Trang 27PHẦN III: ỨNG DỤNG
1 IPSec làm được gì?
- Bảo vệ kết nối từ các mạng chi nhánh đến mạng trung tâm thông qua Internet
- Bảo vệ kết nối truy cập từ xa (Remote Access)
- Thiết lập các kết nối Intranet và Extranet
- Nâng cao tính bảo mật của các giao dịch thương mại điện tử
Trang 282 Ưu và khuyết điểm của Ipsec
a Ưu điểm
- Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của
một mạng riêng thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải xử lý them các công việc liên quan tới bảo mật
- IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai
-IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che dấu những chi tiết cấu hình phức tạp
mà ngưới dung phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua internet
IPsec có thể giúp ngăn chặn hiệu quả nhiều loại tấn công mạng phổ biến, bao gồm:
o Tấn công "man-in-the-middle":
Loại tấn công này xảy ra khi kẻ xâm nhập chặn và thao tác dữ liệu được
truyền qua mạng giữa hai bên IPsec mã hóa dữ liệu, giúp bảo vệ dữ liệu khỏi
bị đánh cắp hoặc sửa đổi bởi kẻ xâm nhập, ngay cả khi họ có thể chặn dữ liệu
o Tấn công giả mạo IP:
Trang 29Trong tấn công này, kẻ xâm nhập giả mạo địa chỉ IP của một thiết bị hợp pháp
để truy cập vào mạng hoặc tài nguyên IPsec xác thực người dùng và thiết bị trước khi cho phép truy cập, giúp ngăn chặn kẻ xâm nhập giả mạo thông tin đăng nhập
o Tấn công từ chối dịch vụ (DoS):
Mục tiêu của tấn công DoS là làm quá tải mạng hoặc máy chủ bằng cách gửi một lượng lớn lưu lượng truy cập giả mạo IPsec có thể giúp giảm thiểu tác động của các cuộc tấn công DoS bằng cách mã hóa dữ liệu và xác thực người dùng, giúp giảm lượng lưu lượng truy cập giả mạo và tăng hiệu quả sử dụng băng thông
o Tấn công đánh cắp dữ liệu:
Kẻ xâm nhập có thể đánh cắp dữ liệu nhạy cảm như thông tin tài chính, thông tin cá nhân hoặc dữ liệu kinh doanh khi dữ liệu được truyền qua mạng mà không được bảo vệ IPsec mã hóa dữ liệu, giúp bảo vệ dữ liệu khỏi bị đánh cắp, ngay cả khi kẻ xâm nhập có thể truy cập vào mạng
o Tấn công xâm nhập mạng:
Kẻ xâm nhập có thể xâm nhập vào mạng và thực hiện các hành động trái phépnhư cài đặt phần mềm độc hại hoặc đánh cắp dữ liệu IPsec xác thực người dùng và thiết bị trước khi cho phép truy cập, giúp ngăn chặn kẻ xâm nhập trái phép truy cập vào mạng