- Sau đó các gói dữ liệu được xử lý AH hoặc ESP với các thuật toán mã hoá, xác thực và các khoá được chỉ ra bởi SA. - Cuối cùng khi kết thúc, đường hầm IPSec bị xoá. 3.4. Xử lý hệ thống IPSec/IKE Đây là điều quan trọng để hiểu được cách thức các hệ thống xử lý các gói dữ liệu, lúc các gói đó được chuyển đến có sử dụng IPSec và IKE. Với bảo mật IP được đặt đúng vị trí, các gói dữ liệu có thể không còn được xử lý, chuyển tiếp hoặc hủy bỏ một cách đơn giản nữa mà phải phụ thuộc vào chính sách bảo mật để xác định nếu quá trình xử lý IPSec bổ sung được yêu cầu và khi nó phải xẩy ra. Mặc dù có sự khác nhau không đáng kể giữa các Platform về cách thức chúng thực hiện IPSec trên các chồng IP riêng biệt của chúng, chức năng thông thường của quá trình xử lý IPSec với các hệ thống Host và Getway có thể được tổng kết lại như sau: 3.4.1. Xử lý IPSec cho đầu ra với các hệ thống máy chủ Với IPSec hoạt động, bất kỳ các gói dữ liệu đi ra nào cũng đều phụ thuộc vào cơ sở dữ liệu chính sách bảo mật(SPD) để xác định nếu quá trình xử lý IPSec được yêu cầu hoặc những xử lý khác được thực hiện với các gói. Nếu IPSec được yêu cầu, cơ sở dữ liệu liên kết bảo mật(SAD) sẽ được tìm kiếm một SA đã tồn tại cho gói dữ liệu thích hợp với hồ sơ. Nếu không có trường hợp nào được tìm thấy và IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ. Một quá trình thương lượng IKE sẽ được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói này. Cuối cùng, IPSec được áp dụng để các gói được yêu cầu bởi SA và gói dữ liệu được phân phối. Quá trình xử lý này được minh họa trong hình 3.23 Hình 3.23 IPSec – Xử lý đầu ra với hệ thống các Host 3.4.2. Xử lý đầu vào với các hệ thống máy chủ Host Với IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng đều phụ thuộc vào SPD để xác định xử lý IPSec được yêu cầu hay các xử lý khác sẽ thực hiện với gói dữ liệu. Nếu IPSec được yêu cầu, SAD được truy cập đến để tìm một SPI đã tồn tại thích hợp với giá trị SPI chứa trong gói. Nếu không có giá trị nào phù hợp, về cơ bản có 2 tùy chọn. 1. Loại bỏ gói tin mà không cho người gửi biết(nhưng có thể ghi nhật ký sự kiện nếu được cấu hình). Tùy chọn này là ngầm định bởi hầu hết các IPSec ngày nay 2. Nếu IKE cũng như yêu cầu các SA nội tuyến được hỗ trợ, một thỏa thuận IKE mới được bắt đầu là kết quả cuối cùng trong việc thiết lập các SA với người gửi của gói dữ liệu gốc. Trong trường hợp này, sẽ không vấn đề gì nếu gói dữ liệu gốc được IPSec bảo vệ hoặc ở dạng rõ, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu người gửi gói dữ liệu gốc đáp ứng thỏa thuận IKE, và nó dự tính rằng các gói sẽ bị hủy bỏ cho đến khi một SA được thiết lập Cuối cùng, IPSec được áp dụng với các gói được yêu cầu bởi SA và các gói tải được phân phối tới tiến trình cục bộ. Quá trình xử lý này được minh họa như hình 3.24 Hình 3.24 IPSec – Xử lý hướng nội với các hệ thống máy chủ Host 3.4.3. Xử lý đầu ra với các hệ thống cổng kết nối Trên một hệ thống cổng kết nối, bất kỳ gói dữ liệu đi ra nào cũng thường tùy thuộc vào SPD của giao diện bảo mật để quyết định phải làm gì với nó. Nếu quyết định là để định tuyến gói dữ liệu, bảng định tuyến sẽ được tra cứu để quyết định nếu gói được phân phối tới tại cả. Nếu không có route được tìm thấy. Quá trình xử lý IPSec sẽ không được thực hiện, nhưng người gửi gói dữ liệu gốc có thể được cho biết về vấn đề này bằng cách dùng các thông điệp không tới được mạng ICMP. Chúng ta thừa nhận rằng, các hệ thống cổng kết nối hoặc tận dụng các giao thức định tuyến hoặc định nghĩa sự định tuyến mặc định và như vậy một quyết định định tuyến thành công có thể được thực hiện. Từ phạm vi trên, về bản chất quá trình xử lý là giống như trên các hệ thống Host. Gói dữ liệu sau đó được chuyển tiếp đến SPD của giao diện không bảo mật để quyết định xử lý IPSec được yêu cầu hay xử lý khác được thực hiện với gói dữ liệu. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SA đã có cho gói nào phù hợp với hồ sơ. Nếu không trường hợp nào được tìm thấy, và IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói dữ liệu này. Cuối cùng, IPSec được áp dụng cho các gói được yêu cầu bởi SA và gói dữ liệu được phân phối. Quá trình xử lý này được minh họa như trong hình 3.25 Hình 3.25 IPSec – Xử lý đầu ra với các hệ thống cổng kết nối 3.4.4. Xử lý đầu vào với các hệ thống cổng kết nối Trên một hệ thống cổng kết nối có IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng tùy thuộc vào SPD để quyết định xem quá trình xử lý IPSec được yêu cầu hay các xử lý khác được thực hiện với gói đó. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SPI đã tồn tại phù hợp với giá trị SPI chứa trong gói dữ liệu. Nếu không có trường hợp nào tìm thấy, có 2 tùy chọn: 1. Hủy bỏ gói dữ liệu mà không báo cho người gửi biết, nhưng ghi vào nhật ký sự kiện nếu được cấu hình. 2. Nếu IKE cũng như yêu cầu các SA đầu vào được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập SA với người gửi gói dữ liệu gốc. Trong trường hợp này, gói dữ liêu gốc được bảo vệ bởi IPSec hoặc ở dạng rõ đều không quan trọng, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu là người gửi phải đáp ứng thỏa thuận IKE, và nó dự tính các gói dữ liệu được hủy bỏ cho đến khi một SA được thiết lập. Một gói dữ liệu được xử lý thành công bởi IPSec, nó có thể là một quá trình lặp với các bó SA, một quyết định chọn đường phải được thực hiện để làm gì với gói kế tiếp. Nếu gói dữ liệu được dự định chuyển đến Host khác, nó được phân phối qua giao diện thích hợp theo bảng định tuyến. Nếu gói dữ liệu dự định chuyển đến cổng kết nối của nó, dữ liệu tải được phân phối tới tiến trình xử lý cục bộ. Quá trình này được minh họa như trong hình 3.26 Hình 3.26 IPSec – Xử lý đầu vào với các cổng kết nối Tổng kết chương III Trong chương III đã trình bày chi tiết về giao thức mạng riêng ảo thông dụng nhất – IPSec, chương này cũng xem xét các cơ sở của IPSec và các liên kết bảo mật - một dạng cơ sở của giao thức IPSec. Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP) là các giao thức IPSec chủ chốt. Trong khi AH bảo vệ toàn bộ gói dữ liệu gốc thì, ESP chỉ bảo vệ phân dữ liệu tải của thông điệp gốc. Tiếp đó ta cũng nghiên cứu các chế độ IPSec – Chế độ Tunnel và chế độ Transport – và các quy tắc thực hiện chúng trong việc bảo vệ gói dữ liệu IP gốc khỏi các truy cập trái phép, sự giả mạo, sự phân tích gói tin và đánh cắp gói tin. Cuối cùng là trình bài về trao đổi khóa Internet(IKE), nó giữ một vài trò quan trọng trong việc quản lý các khóa mật mã. Hai pha IKE được thảo luận. Bốn chế độ thực thi IKE thông dụng cũng được thảo luận một cách ngắn gọn. Câu hỏi ôn tập 1. Which of the following fields make up an IPSec SA? a. SPI b. Payload c. Destination IP Address d. Security Protocol 2. Which of the following databases contain entries that might resemble a firewall rule? a. SPD b. SPI c. SAP d. SAD 3. ________ offers confidentiality and data integrity, but not the capability for key management. a. IKE b. AH c. ESP d. None of the above 4. Which of the modes listed below is NOT a valid IPSec mode? a. Informational mode b. Tunnel mode c. Aggressive mode d. Quick mode 5. Which of the following statements is true? a. Main mode is slower than Quick mode. b. ESP in Transport mode offers higher security than ESP in Tunnel mode. c. Aggressive mode belongs to IKE Phase II. d. All of the above statements are correct. . thức mạng riêng ảo thông dụng nhất – IPSec, chương này cũng xem xét các cơ sở của IPSec và các liên kết bảo mật - một dạng cơ sở của giao thức IPSec. Xác thực tiêu đề(AH) và đóng gói tải bảo. liệu chính sách bảo mật(SPD) để xác định nếu quá trình xử lý IPSec được yêu cầu hoặc những xử lý khác được thực hiện với các gói. Nếu IPSec được yêu cầu, cơ sở dữ liệu liên kết bảo mật(SAD) sẽ. tuyến thành công có thể được thực hiện. Từ phạm vi trên, về bản chất quá trình xử lý là giống như trên các hệ thống Host. Gói dữ liệu sau đó được chuyển tiếp đến SPD của giao diện không bảo mật