1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
3.6.2 Các chế độ hoạt động IPSec
Định dạng và giá trị của mào đầu AH và ESP trong mỗi gói là khác nhau theo từng chế độ hoạt động. IPSec hoạt động hoặc ở chế độ tunnel hoặc ở chế độ transport.
Hình 3.10: Hai mode của IPSec.
3.6.2.1 Chế độ Transport
Chế độ transport được sử dụng khi cả hai thiết bị ngang hàng là máy chủ host hoặc là một máy chủ host và một thiết bị cổng nếu thiết bị cổng hoạt động như một
máy chủ host. Chế độ Transport có ưu điểm là chỉ thêm vài byte vào mào đầu của mỗi gói. Khi sử dụng chế độ Transport thì mào đầu ban đầu không được bảo vệ. Thiết lập này cho phép các thiết bị trung gian xem các địa chỉ nguồn và đích thực dựa trên nội dung của gói IP. Một trong nhưng ưu điểm khi không thay đổi mào đầu ban đầu là chất lượng dịch vụ (QoS). Nhược điểm là có thể phân tích lưu lượng trên các gói tin.
Khi AH được sử dụng trong chế độ Transport, các dịch vụ AH bảo vệ mào đầu IP theo tải dữ liệu. Nó bảo vệ tất cả các trường bất biến trong mào đầu. Mào đầu AH đặt sau mào đầu IP và trước mào đầu ESP (nếu có), cà trước các giao thức lớp trên như TCP (nếu có). Hình 3.11 chỉ ra một ví dụ sử dụng AH trong chế độ Transport:
Hình 3.11: AH trong chế độ transport
Khi ESP được sử dụng trong chế độ transport thì tải IP được mã hoá, tuy nhiên, các mào đầu ban đầu thì không được mã hoá. Mào đầu ESP được thêm vào sau mào đầu IP và trước mào đầu giao thức lớp trên như là TCP. Các giao thức lớp trên được mã hoá và nhận thực theo mào đầu ESP. ESP không nhận thực mào đầu IP hay các thông tin lớp cao hơn như là số cổng TCP trong mào đầu lớp 4 chẳng hạn. Hình 3.12 chỉ ra ESP trong chế độ transport.
Hình 3.12: ESP trong chế độ transport
Chế độ tunnel được sử dụng giữa hai thiết bị cổng như là hai tường lửa PIX, hoặc giữa một máy chủ host và một thiết bị cổng. Trong chế độ tunnel, toàn bộ gói IP ban đầu được mã hoá và trở thành tải của một gói IP mới. Gói IP mới này có địa chỉ đích của thiết bị IPSec ngang hàng. Điều này tạo một đường hầm cho các gói IP từ host được bảo vệ qua router hay tưởng lửa đến một router hay tường lửa khác hoạt động như thiết bị cổng bảo mật. Một ưu điểm của chế độ tunnel là các thiết bị trung gian, như là router, có thể thực hiện mã hoá mà không có bất kỳ sự thay đổihệ thống đầu cuối. Tất cả các thông tin từ gói tin ban đầu được bảo vệ. Chế độ tunnel bảo vệ chống lại sự phân tích lưu lượng vì mặc dù có thể xác định được các đầu cuối đường hầm nhưng không thể xác định được các đầu cuối nguồn và đích thực do thông tin trong mào đầu ban đầu đã được mã hoá.
Khi Ah được sử dụng trong chế độ tunnel, mào đầu ban đầu được nhận thực và mào đầu IP mới được bảo vệ. Hình 3.13 chỉ ra AH trong chế độ tunnel.
Hình 3.13: AH trong chế độ tunnel
Khi ESP được sử dụng trong chế độ tunnel thì mào đầu IP ban đầu được bảo vệ do toàn bộ gói IP ban đầu đã được mã hoá. Khi cấu hình cả nhận thực và mã hoá thì mã hoá được thực hiện trước nhận thực. Trước khi giải mã gói tin, phía thu có thể phát hiện vấn đề và giảm ảnh hưởng của một cuộc tấn công. Hình 3.14 chỉ ra ESP trong chế độ tunnel.
Khi muốn đảm bảo dữ liệu từ một nguồn tin cậy được chuyển giao toàn vẹn mà dữ liệu không cần tính tin cậy thì sử dùng giao thức AH. AH bảo vệ các giao thức lớp trên và các trường bất biến trong mào đầu IP như là các địa chỉ nguồn và đích. AH không bảo vệ các trường thay đổi trong khi truyền như là trường kiểu dịch vụ (Type Of Service – TOS). Khi các trường được bảo vệ thì các giá trị sẽ không thể thay đổi vì vậy node IPSec sẽ loại bỏ mọi gói IP đã bị thay đổi.
Nếu dữ liệu cần tính tin cậy thì sử dụng ESP. ESP sẽ mã hoá các giao thức lớp trên trong chế độ transport và sẽ mã hoá toàn bộ gói IP ban đầu trong chế độ tunnel.
3.6.3 Quản lý khoá