Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 18'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
- Sau gói liệu xử lý AH ESP với thuật toán mã hoá, xác thực khoá SA - Cuối kết thúc, đường hầm IPSec bị xoá 3.4 Xử lý hệ thống IPSec/IKE Đây điều quan trọng để hiểu cách thức hệ thống xử lý gói liệu, lúc gói chuyển đến có sử dụng IPSec IKE Với bảo mật IP đặt vị trí, gói liệu khơng cịn xử lý, chuyển tiếp hủy bỏ cách đơn giản mà phải phụ thuộc vào sách bảo mật để xác định trình xử lý IPSec bổ sung yêu cầu phải xẩy Mặc dù có khác không đáng kể Platform cách thức chúng thực IPSec chồng IP riêng biệt chúng, chức thông thường trình xử lý IPSec với hệ thống Host Getway tổng kết lại sau: 3.4.1 Xử lý IPSec cho đầu với hệ thống máy chủ Với IPSec hoạt động, gói liệu phụ thuộc vào sở liệu sách bảo mật(SPD) để xác định trình xử lý IPSec yêu cầu xử lý khác thực với gói Nếu IPSec yêu cầu, sở liệu liên kết bảo mật(SAD) tìm kiếm SA tồn cho gói liệu thích hợp với hồ sơ Nếu khơng có trường hợp tìm thấy IKE yêu cầu SA ngoại tuyến hỗ trợ Một trình thương lượng IKE bắt đầu mà cuối dẫn đến việc thiết lập SA mong muốn cho gói Cuối cùng, IPSec áp dụng để gói yêu cầu SA gói liệu phân phối Quá trình xử lý minh họa hình 3.23 Hình 3.23 IPSec – Xử lý đầu với hệ thống Host 3.4.2 Xử lý đầu vào với hệ thống máy chủ Host Với IPSec hoạt động, gói liệu vào phụ thuộc vào SPD để xác định xử lý IPSec yêu cầu hay xử lý khác thực với gói liệu Nếu IPSec yêu cầu, SAD truy cập đến để tìm SPI tồn thích hợp với giá trị SPI chứa gói Nếu khơng có giá trị phù hợp, có tùy chọn Loại bỏ gói tin mà khơng cho người gửi biết(nhưng ghi nhật ký kiện cấu hình) Tùy chọn ngầm định hầu hết IPSec ngày Nếu IKE yêu cầu SA nội tuyến hỗ trợ, thỏa thuận IKE bắt đầu kết cuối việc thiết lập SA với người gửi gói liệu gốc Trong trường hợp này, không vấn đề gói liệu gốc IPSec bảo vệ dạng rõ, tin tưởng vào sách cục Tuy nhiên, u cầu người gửi gói liệu gốc đáp ứng thỏa thuận IKE, dự tính gói bị hủy bỏ SA thiết lập Cuối cùng, IPSec áp dụng với gói yêu cầu SA gói tải phân phối tới tiến trình cục Quá trình xử lý minh họa hình 3.24 Hình 3.24 IPSec – Xử lý hướng nội với hệ thống máy chủ Host 3.4.3 Xử lý đầu với hệ thống cổng kết nối Trên hệ thống cổng kết nối, gói liệu thường tùy thuộc vào SPD giao diện bảo mật để định phải làm với Nếu định để định tuyến gói liệu, bảng định tuyến tra cứu để định gói phân phối tới Nếu khơng có route tìm thấy Q trình xử lý IPSec khơng thực hiện, người gửi gói liệu gốc cho biết vấn đề cách dùng thông điệp không tới mạng ICMP Chúng ta thừa nhận rằng, hệ thống cổng kết nối tận dụng giao thức định tuyến định nghĩa định tuyến mặc định định định tuyến thành cơng thực Từ phạm vi trên, chất trình xử lý giống hệ thống Host Gói liệu sau chuyển tiếp đến SPD giao diện không bảo mật để định xử lý IPSec yêu cầu hay xử lý khác thực với gói liệu Nếu IPSec yêu cầu, SAD truy cập để tìm kiếm SA có cho gói phù hợp với hồ sơ Nếu khơng trường hợp tìm thấy, IKE yêu cầu SA ngoại tuyến hỗ trợ, thỏa thuận IKE bắt đầu mà cuối dẫn đến việc thiết lập SA mong muốn cho gói liệu Cuối cùng, IPSec áp dụng cho gói yêu cầu SA gói liệu phân phối Quá trình xử lý minh họa hình 3.25 Hình 3.25 IPSec – Xử lý đầu với hệ thống cổng kết nối 3.4.4 Xử lý đầu vào với hệ thống cổng kết nối Trên hệ thống cổng kết nối có IPSec hoạt động, gói liệu vào tùy thuộc vào SPD để định xem trình xử lý IPSec yêu cầu hay xử lý khác thực với gói Nếu IPSec yêu cầu, SAD truy cập để tìm kiếm SPI tồn phù hợp với giá trị SPI chứa gói liệu Nếu khơng có trường hợp tìm thấy, có tùy chọn: Hủy bỏ gói liệu mà không báo cho người gửi biết, ghi vào nhật ký kiện cấu hình Nếu IKE yêu cầu SA đầu vào hỗ trợ, thỏa thuận IKE bắt đầu mà cuối dẫn đến việc thiết lập SA với người gửi gói liệu gốc Trong trường hợp này, gói liêu gốc bảo vệ IPSec dạng rõ không quan trọng, tin tưởng vào sách cục Tuy nhiên, yêu cầu người gửi phải đáp ứng thỏa thuận IKE, dự tính gói liệu hủy bỏ SA thiết lập Một gói liệu xử lý thành cơng IPSec, q trình lặp với bó SA, định chọn đường phải thực để làm với gói Nếu gói liệu dự định chuyển đến Host khác, phân phối qua giao diện thích hợp theo bảng định tuyến Nếu gói liệu dự định chuyển đến cổng kết nối nó, liệu tải phân phối tới tiến trình xử lý cục Quá trình minh họa hình 3.26 Hình 3.26 IPSec – Xử lý đầu vào với cổng kết nối Tổng kết chương III Trong chương III trình bày chi tiết giao thức mạng riêng ảo thông dụng – IPSec, chương xem xét sở IPSec liên kết bảo mật - dạng sở giao thức IPSec Xác thực tiêu đề(AH) đóng gói tải bảo mật(ESP) giao thức IPSec chủ chốt Trong AH bảo vệ tồn gói liệu gốc thì, ESP bảo vệ phân liệu tải thơng điệp gốc Tiếp ta nghiên cứu chế độ IPSec – Chế độ Tunnel chế độ Transport – quy tắc thực chúng việc bảo vệ gói liệu IP gốc khỏi truy cập trái phép, giả mạo, phân tích gói tin đánh cắp gói tin Cuối trình trao đổi khóa Internet(IKE), giữ vài trị quan trọng việc quản lý khóa mật mã Hai pha IKE thảo luận Bốn chế độ thực thi IKE thông dụng thảo luận cách ngắn gọn Câu hỏi ôn tập Which of the following fields make up an IPSec SA? a b c d SPI Payload Destination IP Address Security Protocol Which of the following databases contain entries that might resemble a firewall rule? a b c d SPD SPI SAP SAD offers confidentiality and data integrity, but not the capability for key management a b c d IKE AH ESP None of the above Which of the modes listed below is NOT a valid IPSec mode? a b c d Informational mode Tunnel mode Aggressive mode Quick mode Which of the following statements is true? a Main mode is slower than Quick mode b ESP in Transport mode offers higher security than ESP in Tunnel mode c Aggressive mode belongs to IKE Phase II d All of the above statements are correct ... phối tới tiến trình xử lý cục Quá trình minh họa hình 3.26 Hình 3.26 IPSec – Xử lý đầu vào với cổng kết nối Tổng kết chương III Trong chương III trình bày chi tiết giao thức mạng riêng ảo thông dụng... xét sở IPSec liên kết bảo mật - dạng sở giao thức IPSec Xác thực tiêu đề(AH) đóng gói tải bảo mật(ESP) giao thức IPSec chủ chốt Trong AH bảo vệ tồn gói liệu gốc thì, ESP bảo vệ phân liệu tải thông... không tới mạng ICMP Chúng ta thừa nhận rằng, hệ thống cổng kết nối tận dụng giao thức định tuyến định nghĩa định tuyến mặc định định định tuyến thành cơng thực Từ phạm vi trên, chất trình xử lý