Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta đưa ra một ví dụ về kết nối IP-VPN như hình 3.20.
Chú ý rằng trước khi thiết lập kết nối IPSec, cần phải chắc chắn rằng các thiết bị đang sử dụng dọc theo đường dẫn của IP-VPN đảm bảo: có hỗ trợ IPSec (bao gồm các giao thức, thuật toán), không có kết nối IPSec nào trước đó hoặc nếu có thì các tham số trong SA đang tồn tại không xung đột với các tham số chuẩn bị thiết lập, có thể thực hiện lệnh “ping” để chắc chắn về kết nối đã sẵn sàng.
Computer User Computer Trụ sở chính Internet Người dùng Certificate Authority Chữ ký số Phiên IKE Đường ngầm Nhận thực Mật mã
Computer Computer
Văn bản được mật mã
Văn bản rõ
Hình 3.20: Ví dụ về hoạt động của IP-VPN sử dụng IPSec
Trong ví dụ này, người dùng muốn truyền thông an toàn với mạng trụ sở chính. Khi gói dữ liệu tới router người dùng (router này đóng vai trò là một cổng an ninh), router này sẽ kiểm tra chính sách an ninh và nhận ra gói dữ liệu cần truyền thông này là một ứng dụng của IP-VPN, cần được bảo vệ. Chính sách an ninh cấu hình trước cũng cho biết router mạng trụ sở chính sẽ là phía bên kia của đường ngầm IPSec, chính là trạm trụ sở chính của IP-VPN.
Router người dùng kiểm tra xem đã có IPSec SA nào được thiết lập cho phiên truyền thông này hay chưa. Nếu hoàn toàn không có một IPSec SA nào thì bắt đầu quá trình thương lượng IKE. Certificate Authority có chức năng giúp trụ sở chính nhận thực người sử dụng có được phép thực hiện phiên thông tin này hay không, chứng thực này là chữ ký số và được ký bởi một đối tác có quyền ký mà hai bên đều tin tưởng. Ngay sau khi hai router đã thỏa thuận được một IKE SA thì IPSec SA tức thời được tạo ra. Nếu hai bên không thỏa thuận được một IKE SA nào thì nó tiếp tục quá trình thỏa thuận hoặc ngừng kết nối phiên thông tin.
Việc tạo ra các IPSec SA chính là quá trình thỏa thuận giữa các bên về các chính sách an ninh, thuật toán mã hóa được sử dụng (chẳng hạn là DES), thuật toán xác thực (chẳng hạn MD5), và một khóa chia sẻ. Dữ liệu về SA được lưu trong cơ sở dữ liệu cho mỗi bên.
Tới đây, router người sử dụng sẽ đóng gói dữ liệu theo các yêu cầu đã thương lượng trong IPSec SA (thuật toán mật mã, nhận thực, giao thức đóng gói là AH hay ESP…), thêm các thông tin thích hợp để đưa gói tin được mã hóa này về dạng IP datagram ban đầu và chuyển tới router mạng trung tâm. Khi nhận được gói tin từ router người dùng gửi đến, router mạng trung tâm tìm kiếm IPSec SA, xử lý gói theo yêu cầu, đưa về dạng gói tin ban đầu và chuyển nó tới mạng trung tâm.
3.6 Tổng kết
Chương này trình bày chi tiết về giao thức IPSec và ứng dụng của nó đối với công nghệ IP-VPN. IPSec là một chuẩn mở, nó không định nghĩa các giải pháp cụ thể mà nó chỉ đưa ra các chuẩn. Giao thức IPSec gồm có 2 giao thức là AH và ESP, hoạt động khác nhau cung cấp khả năng đảm bảo tính toàn vẹn, bí mật, an toàn cho dữ liệu.
Liên kết an ninh SA có chứa tập các chính sách, tham số, thuật toán, giao thức cho quá trình đóng gói dữ liệu giữa các bên tham gia vào IPSec. Tại mỗi đầu đường ngầm IPSec, SA được sử dụng để xác đinh loại lưu lượng cần được xử lý IPSec, giao thức IPSec được sử dụng (AH hay ESP), thuật toán và khóa được sử dụng cho quá trình mật mã và xác thực.
Bên cạnh đó, giao thức IKE là một giao thức quan trọng để thảo thuận xác thực các bên tham gia, thiết lập các tham số, chính sách của liên kết an ninh trong quá trình thiết lập. Nhiệm vụ của giao thức IKE chính là thương lượng giữa các bên trong quá trình thiết lập hoặc thương lượng lại khi cần thiết để tạo ra một liên kết an ninh SA.
Bảng 3.3 đưa ra tóm tắt về 3 giao thức trong chương 3.
Bảng 3.3: Tổng kết chương các giao thức của IPSec
Giao thức Dịch vụ Thuật toán/ phương thức
AH Toàn vẹn dữ liệu MD5, SHA1
ESP Bảo mật, toàn vẹn dữ liệu DES, 3DES, AES, MD5, SHA1
IKE Xác thực đối tác, thiết lập các tham số
Khóa chia sẻ trước, RSA, Diffie-Hellman, CA
Chương 4
AN TOÀN DỮ LIỆU TRONG IP-VPN 4.1 Giới thiệu
Như đã trình bày trong chương 2, đặc điểm của IP-VPN là cho phép truyền dữ liệu thông qua một cơ sở hạ tầng mạng công cộng mà vẫn đảm bảo được các đặc tính an toàn và tin cậy dữ liệu. Để thực hiện được điều đó, công nghệ IP-VPN phải giải quyết được hai vấn đề: đóng gói dữ liệu và an toàn dữ liệu. Đóng gói dữ liệu là cách thức thêm các phần thông tin điều khiển vào gói tin ban đầu để đảm bảo gói tin đi được từ nguồn tới đích mong muốn, điều này đã được đề cập trong các chương trước. An toàn dữ liệu là cách thức đảm bảo cho dữ liệu đi qua mạng công cộng không bị xâm phạm, làm thay đổi bởi những kẻ không mong muốn. Thực tế thì vấn đề an toàn dữ liệu không phải là vấn đề riêng của IP-VPN mà là mối quan tâm cũng như thách thức của tất cả các tổ chức có nhu cầu sử dụng Internet làm môi trường truyền tin. Chính vì vậy, đã có rất nhiều giải pháp, giao thức, thuật toán được phát triển để giải quyết vấn đề này. Việc sử dụng giải pháp nào là tùy thuộc vào từng ứng dụng cụ thể và không loại trừ khả năng sử dụng kết hợp nhiều giải pháp để đạt hiệu quả an toàn như mong muốn. Bảng 4.1 là tóm tắt một số giao thức, thuật toán an toàn dữ liệu chủ yếu đang được sử dụng. Có thể thấy các giao thức là rất đa dạng và phức tạp và mỗi giao thức có thể sử dụng nhiều thuật toán khác nhau để đạt hiệu quả an toàn dữ liệu cần thiết cho từng ứng dụng cụ thể.
Bảng 4.1: Một số giao thức và thuật toán ứng dụng thông dụng
Giao thức Chức năng Thuật toán
IPSec Cung cấp các dịch vụ dữ liệu tin cậy, xác thực nguồn gốc dữ liệu.
RSA, DH, DES, 3DES, MD5, SHA
PPTP Kết nối VPN RC4
SET Cho phép trao đổi an toàn các thẻ tín dụng
RSA, SHA, DES S/MIME Đảm bảo việc truyền dẫn, lưu trữ,
xác thực, chuyển tiếp an toàn dữ liệu ở mức ứng dụng
RSA, RC5, RC4, RC2, DES, 3DES SSL&TLS Tạo một đường ống an toàn giữa hai
ứng dụng để trao đổi dữ liệu và xác thực lẫn nhau
RSA, DH, RC4, DES, 3DES, SHA, MD5
Đối với IP-VPN, IPSec là giao thức tối ưu về mặt an toàn dữ liệu. Thứ nhất, IPSec cung cấp xác thực tính toàn vẹn dữ liệu. Thứ hai, IPSec cho phép sử dụng các
phương pháp, thuật toán mật mã, xác thực mạng nhất hiện có. Thứ ba, IPSec là một khung chuẩn mở, nghĩa là có thể lựa chọn các thuật toán phù hợp với mức độ an toàn dữ liệu mong muốn mà không bị giới hạn cứng nhắc phải sử dụng đúng một thuật toán nào đó, đồng thời có khả năng sử dụng các thuật toán tiên tiến phát triển trong tương lai. Điều này thể hiện tính linh hoạt rất cao của IPSec.
Nội dung của chương này nhằm làm rõ vấn đề an toàn dữ liệu của công nghệ IP- VPN dựa trên giao thức IPSec.