TIỂU LUẬN MÔN HỌC AN TOÀN THÔNG TIN MẠNG RIÊNG ẢO Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là sử dụng một kết nối quay số. Các kết nối RAS dialup làm việc trên các đường điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dialup RAS, Tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập.
Trang 1BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC DÂN LẬP DUY TÂN
KHOA SAU ĐẠI HỌC
TIỂU LUẬN MÔN HỌC
AN TOÀN THÔNG TIN
Chuyên đề:
MẠNG RIÊNG ẢO
Sinh viên thực hiện: Hoàng Xuân Đăng Cường Lớp: Cao học Khoa học máy tính khóa 7 - K7MCS
Trang 2Đà Nẵng, tháng 06 năm 2013
Trang 3LỜI NÓI ĐẦU
Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là sửdụng một kết nối quay số Các kết nối RAS dial-up làm việc trên các đườngđiện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạtvào khoảng 56kbps Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS,Tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cáchdài cần có cho việc truy cập
Ngày nay với sự phát triển bùng nổ của mạng và ngày càng được mở rộngInternet, việc kiểm soát trở nên khó khăn và kèm theo đó là sự mất an toàntrong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng
có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp,Ngân hàng, Công ty … và các doanh nhân lo ngại về vấn đề an toàn và bảomật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thôngtin qua mạng công cộng Internet
VPN (Virtual Private Network) là giải pháp được đưa ra để cung cấp mộtgiải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân traođổi thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách antoàn và bảo mật Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểuđược chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàncầu)
Trang 4DANH MỤC TỪ VIẾT TẮT
Trang 5DANH SÁCH HÌNH VẼ
HÌNH 1.1 Mô hình mạng VPN 3
HÌNH 1.2 Các loại mạng VPN 6
HÌNH 1.3 Mô hình mạng VPN thiết lập kết nối từ xa 7
HÌNH 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến 8
HÌNH 1.5 Mô hình Intranet VPN 8
HÌNH 1.6 Mạng mở rộng truyền thống 9
HÌNH 1.7 Mô hình Extranet VPNs 10
HÌNH 1.8 Khung dữ liệu AH 13
HÌNH 1.9 Khung dữ liệu ESP 15
HÌNH 1.10 Cơ chế truyền tải (Transport Mode) 16
HÌNH 1.11 Phương thức đóng gói transport mode 16
HÌNH 1.12 Phương thức đóng gói tunnel mode 17
HÌNH 1.13 Kết hợp an ninh SA 18
HÌNH 1.14 Năm bước hoạt động của IPSEC 19
HÌNH 1.16 Các kết hợp an ninh 23
HÌNH 1.17 Đường ngầm IPSEC được thiết lập 24
HÌNH 1.19 Mô hình Peer-to-peer VPN sử dụng router dành riêng 27
Trang 6MỤC LỤC
LỜI NÓI ĐẦU 1
1 Mạng riêng ảo 2
1.1 Giới thiệu chung – Quá trình phát triển của VPN 2
1.2 Khái niệm VPN 3
1.3 Các giao thức đường hầm VPN 4
1.4 Phân loại VPN 6
1.4.1 Remote Access VPNs 6
1.4.2 Site to Site VPN (Intranet VPN, Extranet VPN) 7
2 Bảo mật trong VPN 11
2.1 Vấn đề bảo mật trong VPN 11
2.2 Giao thức IPSEC 11
2.2.1 IPSec và khả năng an toàn dữ liệu trong mô hình OSI 11
2.2.2 Khung giao thức IPSEC 12
2.2.3 Các chế độ hoạt động của VPN 15
2.2.4 Khái niệm Security Association (SA) và giao thức IKE 18
2.2.5 Các bước xây dựng kết nối truyền tin trong IPSec 19
3 Mô hình mạng VPN 24
3.1 Overlay VPN 24
3.2 Peer – to – peer VPN 26
KẾT LUẬN 29
TÀI LIỆU THAM KHẢO 30
Trang 71 Mạng riêng ảo
1.1 Giới thiệu chung – Quá trình phát triển của VPN
Ngày nay kết nối các mạng máy tính trong một tổ chức, doanh nghiệp vớinhau là một xu thế tất yếu để nâng cao quá trình trao đổi thông tin và điềuhành sản xuất Các phương án truyền thông nhanh, an toàn và tin cậy đangtrở thành mối quan tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổchức có các địa điểm phân tán về mặt vật lý, công ty đa quốc gia Giải phápthông thường được áp dụng bởi đa số các công ty này là thuê các đườngtruyền riêng (Leased Lines, Frame Relay, ATM) để duy trì một mạng WAN(Wide Area Network) Mỗi mạng WAN đều có các điểm thuận lợi hơn so vớimạng công cộng khi xét đến độ tin cậy, hiệu năng và tính an toàn, bảo mật.Tuy nhiên để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyềnriêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi công ty muốn
mở rộng thêm các văn phòng đại diện
Mạng riêng ảo VPN (Virtual Private Network) chính là một giải pháp chovấn đề này VPN có thể đáp ứng các nhu cầu của các tổ chức, doanh nghiệpbằng các kết nối dạng any-to-any, các lớp đa dịch vụ, các dịch vụ có giá thànhquản lý thấp, riêng tư, tích hợp xuyên suốt cùng với các mạng Intranet hoặcmạng Extranet Một nhóm người dùng (Users) trong mạng Intranet và Extranet
có thể hoạt động thông qua mạng IP Các mạng VPN có chi phí vận hànhthấp hơn hẳn so với việc thuê đường truyền riêng (Leased Lines) trên phươngdiện quản lý, băng thông và dung lượng VPN có thể liên kết các user thuộcmột nhóm kín hay giữa các nhóm khác nhau Các thuê bao VPN có thể dichuyển trong một kết nối mềm dẻo trải dài từ mạng cục bộ đến mạng hoànchỉnh Các thuê bao này có thể dùng trong cùng một mạng (Intranet VPN)hoặc khác mạng (Extranet VPN) Mạng riêng ảo (VPN) là một trong nhữngứng dụng rất quan trọng trong mạng NGN Các công ty, các doanh nghiệp đặcbiệt là các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này VớiVPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu cục
bộ với chi phí thấp, với an ninh đảm bảo, với cơ chế bảo mật và cung cấp chấtlượng dịch vụ (QoS) theo yêu cầu
VPN thực ra không phải là công nghệ mới Ngược lại, khái niệm mạng VPN
đã được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua mộtvài thế hệ mạng cho đến ngày nay Tuy nhiên trong thời gian gần đây, thươngmại điện tử (E-Commerce) đã trở thành một phương thức thương mại hữuhiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn Người
Trang 8dùng hay các công ty mong muốn một giải pháp mà có thể dễ dàng được thựchiện, thay đổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năngcung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối Thế hệ gần đây (thế
hệ thứ tư) của VPN là IP-VPN IP-VPN đã đáp ứng được tất cả những yêu cầunày bằng cách ứng dụng công nghệ đường ngầm (Tunneling Technology)
1.2 Khái niệm VPN
Chúng ta xét một công ty có nhiều trụ sở phân tán, để kết nối các máy tínhtại các vị trí xa nhau này, công ty cần có một mạng thông tin Mạng này đượcgọi là mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng, và với ýnghĩa các kế hoạch định tuyến và đánh địa chỉ trong mạng đó là độc lập vớiviệc định tuyến và đánh địa chỉ của các mạng khác Mạng này được gọi làmạng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này
có thể không chỉ dành riêng cho công ty đó mà chia sẻ dùng chung với cáccông ty khác (môi trường mạng chia sẻ) Hoặc các phương tiện cần thiết dểxây dựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông.Các công ty sử dụng mạng VPN gọi là các khách hàng VPN
Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quy địnhvới nhau bởi các chính sách quản lý, quy định cả về kết nối cũng như chấtlượng dịch vụ giữa các site
Theo định nghĩa của IETF (Internet Engineering Task Force) mạng VPN làmột kiểu mạng diện rộng riêng (Privite WAN) sử dụng mạng đường trục IPriêng hoặc mạng Internet công cộng (Hình 1.1)
HÌNH 1.1 Mô hình mạng VPN
Đơn giản hơn, có thể hiểu mạng VPN là mạng sử dụng mạng công cộng(như Internet) mà vẫn đảm bảo độ an toàn và chi phí hợp lý trong quá trình kết
Trang 9nối giữa hai điểm truyền thông Mạng VPN được xây dựng dựa trên sự trợgiúp của đường ngầm logic (Tunnel) riêng Những đường ngầm này cho phéphai điểm đầu cuối trong mạng trao đổi dữ liệu với nhau thông qua mạng theokiểu tương tự như kết nối điểm - điểm.
Mặc dù công nghệ đường ngầm được áp dụng trong phần lõi của mạngVPN, nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫn được ápdụng nhằm đảm bảo an toàn cho những thông tin quan trọng của các công tykhi truyền qua các mạng trung gian Các kỹ thuật bảo mật bao gồm:
Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo một quytắc nhất định và máy tính đầu xa có thể giải mã được Hầu hết các hệ thống
mã hoá máy tính thuộc về 1 trong 2 loại sau:
o Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
o Mã hoá sử dụng khoá công khai (Public-key encryption)
Authentication là tiến trình đảm bảoo những dữ liệu được phân phát đếnđúng địa chỉ của người nhận Thêm nữa tính xác thực cũng đảm bảo ngườinhận, nhận được đầy đủ bản tin và nguồn gốc của bản tin Dạng đơn giản nhấtcủa quá trình xác thực là yêu cầu tên người sử dụng và mật khẩu để đượcphép truy nhập vào dữ liệu Với dạng phức tạp, quá trình xác thực có thể dựatrên quá trình mã hoá sử dụng khoá bí mật hoặc quá trình mã hoá sử dụngkhoá công khai Xác thực trong VPN bao gồm: xác thực thiết bị tham gia, xácthực toàn vẹn gói tin, và xác thực người sử dụng (trong trường hợp remoteaccess vpn)
Authorization là một tiến trình cho phép hoặc từ chối người sử dụng, saukhi đã truy nhập vào mạng thành công, được quyền truy nhập vào tài nguyênlưu trữ trên mạng hay không
1.3 Các giao thức đường hầm VPN
Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên
nền Internet Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói tin(packet) trong một gói tin khác và gửi đi trên mạng Giao thức sinh ra các gói
tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở
giao tiếp đó các gói tin truyền đi và đến
Kênh thông tin yêu cầu ba giao thức khác nhau:
Trang 10 Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền
tải) giao thức này sử dụng trên mạng để đưa thông tin về trạng tháiđường truyền
GRE, IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dung truyền
IP
Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thức đườngngầm chính thường được sử dụng trong VPN để đảm bảo độ tin cậy cho VPNtrong quá trình truyền dẫn gồm:
IPSEC được phát triển bởi IETF (Internet Engineering Task Force),IPSEC là một tiêu chuẩn mở mà vẫn đảm bảo được tính bảo mật và quyền lợicủa người sử dụng trong quá trình truyền thông qua mạng công cộng Khônggiống như các kỹ thật mã hoá khác, IPSEC hoạt động ở lớp mạng (Networklayer) trong mô hình bảy lớp OSI Do vậy, nó có thể được hoạt động độc lậpvới các ứng dụng khác cùng hoạt động trên mạng Như vậy, mạng vẫn có thểđược bảo mật mà không cần phải thiết lập hay xác định an ninh cho từng ứngdụng riêng
Giao thức PPTP được phát triển bởi Microsoft, 3 COM và Ascendcommunication Giao thức PPTP được đề xuất như là một giao thức mới cóthể thay thế giao thức IPSEC Tuy nhiên, IPSEC vẫn tiếp tục là giao thứcđường ngầm được sử dụng nhiều hơn PPTP hoạt động ở lớp hai, lớp liên kết
dữ liệu (Data Link Layer) trong mô hình phân lớp OSI và sử dụng bảo mật choquá trình truyền dẫn của traffic dựa trên nền Windows
Giao thức L2TP được phát triển bởi Cisco, giao thức L2TP cũng có ýđịnh dùng để thay thế IPSEC Tuy nhiên, IPSEC vẫn là giao thức có ưu thế trộihơn trong số các giao thức bảo mật cho truyền thông qua Internet Giao thứcL2TP là kết quả của quá trình trộn giữa lớp hai chuyển tiếp và giao thức PPTP,
nó sử dụng giao thức điểm tới điểm cho quá trình đóng gói các khung dữ liệu
để truyền qua mạng X.25, FR hoặc ATM
Ngoài các giao thức đường ngầm trên còn một số giao thức nữa như: GRE(Generic Route Encapsulation, Cisco và IETF), MPLS VPN, SSL VPN (SecureSocket Layer VPN)
Trang 11để tạo các tunnel về mạng HO (Head Office) của họ.
Một phần quan trọng của Remote Access VPNs là việc thiết kế quá trìnhxác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ nguồn tincậy – quá trình xác thực người dùng Thường thì giai đoạn ban đầu này dựatrên cùng một chính sách về bảo mật của công ty Chính sách này bao gồm :quy trình (procedure), kỹ thuật, server (RADIUS server, TACACS+…)
Với việc triển khai Remote Access VPNs, những người dùng từ xa hoặccác chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấpdịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet
Trang 12HÌNH 1.3 Mô hình mạng VPN thiết lập kết nối từ xa
Từ hình trên ta có thể nhận thấy các ưu điểm của Remote Acess VPN
so với các phương pháp truy nhập từ xa truyền thống:
- Quá trình kết nối từ xa được thực hiện bởi nhà cung cấp dịch vụinternet (ISP) thay thế cho các kết nối cục bộ do đó giảm thiểu chi phícho các kết nối từ người dùng tới HO
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi
vì kết nối là kết nối nội bộ
- Remote Access VPNs đồng thời cung cấp khả năng áp dụng cácchính sách an toàn lên các nhóm người dùng hoặc các người dùngkhác nhau
Mặc dù có nhiều ưu điểm nhưng Remote Access VPNs cũng nhữngnhược điểm như:
- Mạng VPN truy nhập từ xa không đảm bảo được chất lượng dịch vụ
- Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phânphát không đến nơi hoặc mất gói
- Bởi vì thuật toán mã hoá phức tạp, nên header của các gói tin tăngmột cách đáng kể
1.4.2 Site to Site VPN (Intranet VPN, Extranet VPN)
1.4.2.1 Intranet VPN
Trang 13HÌNH 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến
Intranet VPNs được sử dụng để liên kết các chi nhánh văn phòng ở xa củamột công ty tới các mạng cục bộ của công ty đó Đối với mạng cục bộ không
sử dụng công nghệ VPN, mỗi site ở xa kết nối tới mạng cục bộ của công tybằng cách sử dụng bộ định tuyến (Router) Khi đó chi phí cho mạng là khá đắt
vì ít nhât phải có 2 router để kết nối 2 site ở xa với mạng cục bộ của công ty.Hơn nữa, quá trình thực hiện bảo dưỡng và quản trị các kết nối có thể tốnthêm nhiều chi phí phụ thuộc vào dung lượng, traffic của mạng và phạm vi địa
lí của toàn mạng
Với giải pháp VPN, những chi phí cho router và các kết nối WAN được thaythế bởi kết nối chi phí thấp thông qua mạng Internet Giải pháp VPN có thểgiảm tổng giá thành của toàn thể mạng cục bộ
HÌNH 1.5 Mô hình Intranet VPN
Trang 14Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Tiết kiệm chi phí hơn do không cần phải sử dụng bộ router
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi ởxa
- Bởi vì những kết nối trung gian đựơc thực hiện thông qua mạngInternet, nên mạng có khả năng mở rộng dễ dàng hơn
- Khả năng triển khai dễ dàng hơn so với các phương pháp kết nốitruyền thống
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhượcđiểm như:
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạngInternet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữliệu và mức độ chất lượng dịch vụ (QoS)
- Khả năng mất gói khi các gói tin đi trên Internet
- Trong trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phươngtiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực thìmôi trường mạng Internet không dễ mà đáp ứng
1.4.2.2 Extranet VPN
Extranet VPNs cho phép khả năng điều khiển truy nhập tới những nguồn tàinguyên mạng cần thiết để mở rộng những đối tượng kinh doanh, như là cácđối tác, các khách hàng, và các nhà cung cấp, những người mà thi hành cácquy định chính của công ty
HÌNH 1.6 Mạng mở rộng truyền thống
Hình 1.6 chỉ ra phương pháp kết nối truyền thống trong mạng Extranet.Mạng Extranet truyền thống có giá thành qúa cao bởi vì tất cả mạng riêng biệt
Trang 15nằm trong mạng cục bộ của công ty, bắt buộc phải hoàn toàn tương thích vớimạng Extranet Như vậy quá trình thực hiện và quá trình quản trị các mạngkhác nhau trong mạng Extranet là rất phức tạp Cũng như cần thiết phải cómột số lượng lớn nhân viên kỹ thuật để bảo trì và quản lý cho mạng phức tạpnày Hơn nữa, đối với mạng này thưòng gặp khó khăn trong việc mở rộng bởi
vì việc mở rộng mạng liên quan đến toàn thể mạng cục bộ và ảnh hưởng tớicác kết nối trong mạng Extranet khác
HÌNH 1.7 Mô hình Extranet VPNs
Mạng Extranet VPNs được xem là dễ dàng thiết lập và có chi phí hiệu quả
hơn so với mạng truyền thống như trình bày ở trên
Những ưu điểm chính của Extranet VPNs so với mạng Extranet truyềnthống bao gồm:
- Chi phí cho Extranet VPNs thấp hơn rất nhiều so với mạng truyền thống
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạtđộng
- Các kết nối Internet được bảo trì bởi nhà cung cấp dịch vụ Internet(ISP), nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậygiảm được chi phí vận hành của toàn mạng
Tuy nhiên Extranet VPNs cũng có những nhược điểm sau:
- Khả năng bảo mật thông tin, mất dữ liệu vẫn tồn tại
- Bài toán trong trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đaphương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gianthực
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty
2 Bảo mật trong VPN
Trang 162.1 Vấn đề bảo mật trong VPN
Như đã giới thiệu ở mục trên, có ba giao thức đường ngầm thường được
sử dụng trong VPN là:
- Giao thức IPSEC (Internet Protocol Security)
- Giao thức PPTP (Point to Point Tunneling Protocol)
- Giao thức L2TP (Layer 2 Forwarding)
Trong các giao thức đường ngầm nói trên, IPSEC là giải pháp tối ưu về mặt
an toàn dữ liệu IPSEC hỗ trợ các phương pháp xác thực và mã hoá mạnhnhất, mà cả L2TP và PPTP đều không có khả năng thực hiện được Ngoài raIPSEC còn có tính linh hoạt cao: Không bị ràng buộc bởi bất cứ thuật toán xácthực, mã hoá nào, đồng thời có thể sử dụng IPSEC cùng với các giao thứcđường ngầm khác để làm tăng tính an toàn cho hệ thống
Mặc dù, có nhiều ưu điểm vượt trội so với các giao thức đường ngầm khác
về khả năng đảm bảo an toàn dữ liệu, IPSEC cũng có một số nhược điểmnhư:
- IPSEC là một khung chuẩn mới (Các khuyến nghị có từ cuối năm 1998)
và còn dang tiếp tục được phát triển, do đó số lượng những nhà cung cấpsản phẩm hỗ trợ IPSEC chưa nhiều
- Để tận dụng hết được khả năng bảo đảm an toàn dữ liệu của IPSEC thìcần phải sử dụng một cơ sở hạ tầng khoá công cộng (Public Key) phức tạp
để giải quyết vấn đề chứng thực số hay chữ ký số
Từ những nhận xét về giao thức đường ngầm ở trên, mục này ta sẽ đi sâunghiên cứu quá trình bảo mật trong VPN sử dụng giao thức IPSEC
2.2 Giao thức IPSEC
2.2.1 IPSec và khả năng an toàn dữ liệu trong mô hình OSI
Mã hóa và xác thực là các công nghệ chính sử dụng để bảo mật cho dữliệu Trong thực tế, quá trình mã hoá có thể được thực hiện ở nhiều lớp khácnhau trong mô hình OSI Cụ thể, việc mã hoá và xác thực có thể thực hiện ởlớp ứng dụng, lớp truyền dẫn, hoặc lớp mạng Các giải pháp trước IPSECthực hiện mã hoá ở lớp ứng dụng (Application Layer) Ví dụ SSL (SecureSocket Layer) hay ở lớp đường truyền (Link Layer) Tuy nhiên, các giải phápnày chỉ giải quyết một phần của vấn đề Chẳng hạn, SSL chỉ bảo vệ tính bímật dữ liệu của các ứng dụng sử dụng nó Vấn đề đặt ra là đối với các ứngdụng không có SSL thì dữ liệu không được bảo vệ Còn đối với giải pháp mãhoá ở lớp đường truyền thì mỗi tuyến kết nối được bảo vệ bằng một cặp thiết
Trang 17bị mã hoá với mỗi thiết bị ở một đầu của tuyến kết nối đó Như vậy, trênđường truyền thì dữ liệu được mã hoá và bảo vệ, nhưng tại điểm cuối của mỗiđường truyền thì dữ liệu lại ở dạng clear text Giải pháp này rõ ràng khôngtriển khai được trên Internet vì không thể đảm bảo an toàn cho dữ liệu tại tất
cả các tuyến kết nối trung gian
IPSEC thực hiện mã hoá và xác thực ở lớp mạng Nó cung cấp một giải
pháp an toàn dữ liệu từ đầu cuối - tới - đầu cuối (End - to - end) trong bản thân
kiến trúc mạng, vì vậy vấn đề an toàn được thực hiện mà không cần thay đổicác ứng dụng cũng như các hệ thống Các gói được mã hoá có khuôn dạnghoàn toàn giống như các gói IP thông thường, nên chúng có thể dễ dàng đượcđịnh tuyến thông qua các mạng IP (Như Internet) mà không phải thay đổi cácthiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việctriển khai và quản trị
2.2.2 Khung giao thức IPSEC
IPSEC là khung của các chuẩn mở, nó đảm bảo việc truyền thông an toànqua các mạng IP Dựa trên các chuẩn phát triển bởi IETF, IPSEC đảm bảotính bí mật, toàn vẹn và xác thực của dữ liệu khi truyền qua một mạng IP côngcộng
Hai giao thức chính của IPSEC là AH (Authentication Header) và ESP(Encaspulating Security Payload):
- AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IPtruyền giữa hai hệ thống Nó là một phương tiện để kiểm tra xem dữ liệu có
bị thay đổi trong khi truyền hay không Tuy nhiên, các dữ liệu đều đượctruyền dưới dạng clear text, vì AH không cung cấp khả năng mã hoá dữliệu
- ESP là một giao thức an toàn cho phép mã hoá dữ liệu, xác thực nguồngốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu ESP bảo đảm tính bí mật củathông tin thông qua việc mã hoá ở lớp gói IP Tất cả các traffic ESP đềuđược mã hoá giữa hai hệ thống Với đặc điểm này xu hướng sẽ sử dụngESP nhiều hơn AH để tăng tính an toàn cho dữ liệu
AH và ESP có thể sử dụng độc lập hoặc kết hợp với nhau Đối với cả haigiao thức này, IPSEC không định nghĩa các thuật toán an toàn cụ thể được
sử dụng, mà thay vào đó là một khung chuẩn để sử dụng các thuật toán theotiêu chuẩn công nghiệp Sau đây ta sẽ tìm hiểu kỹ hơn về họat động của AH
và ESP
2.2.2.1 Authentication Header