M ts giao th c an ninh trên Internet ứ
4.3.Các dịch vụ của IPsec
4. Giao thức IPsec (IP Security Protocol)
4.3.Các dịch vụ của IPsec
* IPsec cung cấp các dịch vụ an ninh ở tầng IP bằng cách cho phép các hệ thống chọn giao thức an ninh theo yêu cầu, xem xét các thuật toán sử dụng cho các dịch vụ và đặt các khóa mã hóa vào nơi được yêu cầu.
* Hai giao thức cung cấp dịch vụ an ninh là: giao thức xác thực được chỉ định bởi tiêu đề của giao thức (Authentication Header-AH) và giao thức kết hợp mã hóa/xác thực được chỉ định bởi khuôn dạng của gói tin (Encapsulating Security Payload-ESP ).
* Chuẩn RFC 4301 liệt kê các dịch vụ sau:
Điều khiển truy cập
Tính toàn vẹn
Xác thực nguồn gốc dữ liệu
Xóa gói tin bị lặp
Tính bảo mật
Chế độ giao vận (Transport)
Chế độ giao vận cung cấp sự bảo vệ cơ bản cho các giao thức tầng trên. Chế độ giao vận cũng bảo vệ cho dữ liệu trong trường Payload của gói tin.
Chế độ này cung cấp sự bảo vệ truyền thông giữa hai thiết bị đầu cuối. Khi một máy dùng AH hoặc ESP trên IPv4 thì dữ liệu của gói tin IP trong payload theo sau tiêu đề (IP header). Với IPv6, dữ liệu theo sau cả hai tiêu đề IP (IP header) và tiêu đề mở rộng IPv6.
ESP trong chế độ giao vận mã hóa và xác thực dữ liệu nhưng không mã hóa và xác thực tiêu đề.
AH trong chế độ giao vận xác thực dữ liệu của gói tin IP và cổng được chọn của tiêu đề.
Chế độ đường ống(Tunnel)
Chế độ đường ống bảo vệ toàn bộ gói tin IP
Toàn bộ gói tin gốc đi qua một đường ống giữa đầu này và đầu kia của mạng. Bởi vì gói tin gốc được đóng gói nên gói tin mới kích thước to hơn có thể có địa chỉ nguồn và đích khác.
Chế độ đường ống được sử dụng khi một trong hai đầu cuối hoặc cả hai đầu của sự kết hợp an ninh (security association-SA) là một cổng an toàn như tường lửa(firewall) hoặc router được cài IPsec. Với chế độ đường ống, các máy của mạng phía sau tường lửa có thể tham gia vào truyền thông an toàn mà không cần cài IPsec.
Các gói tin không được bảo vệ được tạo bởi các máy như vậy được truyền qua đường ống qua các mạng bên ngoài theo cơ chế đường ống. Các SA được thiết lập bởi phần mềm IPsec dạng tường tửa(firewall) hoặc bộ định tuyến an toàn(security router) ở đường biên của mạng cục bộ.
ESP trong chế độ đường ống mã hóa và xác thực toàn bộ gói dữ liệu IP bên trong bao gồm cả tiêu đề IP bên trong. AH trong chế đường ống xác thực dữ liệu của gói tin IP bên trong và cổng được chọn của tiêu đề bên ngoài.