Để thiết lập một SA bên khởi tạo gửi một thông báo chế độ nhanh thông qua yêu cầu một SA mới của ISAKMP SA. Một đàm phán SA là kết quả của hai SA: Một hướng về (inbound) đến bên khởi tạo và một hướng đi (outbound). Để tránh xung đột về SPI, nút nhận phải luôn chọn SPI. Do đó trong chế độ nhanh bên phát thông báo cho bên đáp ứng biết SPI sẽ được sử dụng và bên đáp ứng sẽ theo SPI đã được chọn. Mỗi SPI, kết hợp với địa chỉ IP đích, chỉ định một IPSec SA đơn duy nhất. Tuy nhiên trên thực tế những SA này luôn có hai hướng về và đi, chúng có danh định về tham số, giải thuật, khóa, băm là một phần trong SPI.
2.3 Sử dụng IPSec
Hình 2.11 là một ví dụ về ứng dụng Internet VPN. Có ba nơi trang bị phần mềm IPSec là: Cổng nối bảo mật, client di động (mobile client) và các host. Tuy nhiên, không phải tất cả các thiết bị đều cần phải cài phần mềm IPSec mà tùy theo yêu cầu thiết kế mạng. Ví dụ cần tạo kết nối LAN-LAN VPN thì cổng nối bảo mật IPSec là đủ. Nếu cần cho các trạm làm việc từ xa quay số truy cập vào mạng thông qua các ISP thì phần mềm client IPSec cần cài trên các máy tính của các đối tượng di động. Nếu muốn tạo một VPN mà tất cả các máy tính có thể liên lạc với các máy tính thông qua giao thức IPSec thì cần phải cài đặt phần mềm IPSec trên tất cả các máy.
2.3.1 Các cổng nối bảo mật
Các cổng nối bảo mật (Security gateway) là một thiết bị mạng chẳng hạn như bộ định tuyến hay tường lửa, chia cắt và bảo mật mạng bên trong chống lại xâm nhập không được cho phép từ bên ngoài. Sử dụng IPSec trên cổng nối bảo mật làm cho lưu lượng qua cổng nối bảo mật bị thắt nút cổ chai trước khi ra bên ngoài.
Khi xây dựng một VPN thì cần cài cổng nối bảo mật tại các văn phòng chính và sau đó thiết lập liên kết bảo mật giữa các cổng nối bảo mật với nhau. Sử dụng cổng nối bảo mật làm giảm độ phức tạp của việc quản lý các khóa vì chỉ cần gán một khóa duy nhất cho cổng nối bảo mật. Cổng nối bảo mật có thể chuyển các gói dù là ở chế độ giao vận hay chế độ đường hầm. Để cho độ bảo mật cao thì chế độ đường hầm thích hợp hơn do nó giấu đi các địa chỉ IP thực sự của người gửi và người nhận và bảo mật chống lại các tấn công cắt-dán tiêu đề (header cut-and-paste). Tuy nhiên chế độ đường hầm đòi hỏi có tính toán ở cổng nối bảo mật và làm tăng kích thước gói nên sẽ làm giảm tổng chi phí truyền thông nhưng nó không giấu địa chỉ IP nguồn và đích. Nếu như bảo mật đại diện (wild card) không được sử dụng cho lưu lượng qua cổng nối bảo mật thì cơ chế quản lý khóa sẽ thêm phức tạp hơn.
2.3.2 Các SA đại diện
Bảo mật đại diện (wild card) làm cho việc truyền thông giữa các host được bảo mật bởi cổng nối bảo mật trở nên đơn giản hơn. Thay vì kết hợp một SA với một địa chỉ IP host duy nhất thì bảo mật đại diện kết hợp tất cả các host trên LAN được phục vụ bởi cổng nối bảo mật.
Sau đây là một số đặc tính và khả năng mà một cổng bảo mật phải có:
- Hỗ trợ các kết nối mạng cho văn bản đơn giản hoặc văn bản đã được mã hóa. - Chiều dài của từ khóa phải không phụ thuộc vào mật độ thông tin truyền trên lớp
liên kết dữ liệu.
- Phải hỗ trợ cả AH và ESP.
- Hỗ trợ tạo SA bằng tay, bao gồm cả bảo mật đại diện. - Có cơ chế bảo mật khóa.
- Hệ thống thay đổi khóa một cách tự động và hệ thống quản lý khóa phải đơn giản nhưng bảo mật.
2.3.3 Host từ xa.
Khi dùng một máy tính quay số kết nối vào mạng VPN cần phải có một phần mềm client IPSec cài trên đó. Với Ipv4 thì IPSec được chèn trong chồng giao thức TCP/IP. Mã IPSec có thể được chèn vào giữa lớp giao vận và lớp mạng. IPSec cũng có thể được chèn vào như miếng thêm giữa lớp liên kết dữ liệu và lớp mạng.
Với mã IPSec được chèn vào giữa lớp giao vận và lớp mạng rất mềm dẻo đối với người dùng vì nó cho phép họ gán những SA khác nhau cho các phần mềm khác nhau hay nói một cách khác một số lưu lượng có thể truyền đi mà không có IPSec do nó không cần thiết, phần lưu lượng quan trọng còn lại truyền đi với bảo mật IPSec. Miếng thêm (shim) có thể tiếp cận một cách dễ dàng hơn nhưng nó chỉ có hiệu lực bảo mật ở mức địa chỉ IP còn không hiệu lực ở mức nhận dạng người dùng.
Các yêu cầu đối với phần mềm client IPSec:
- Tương thích với các công cụ IPSec khác (chẳng hạn như thích hợp với máy chủ mã hóa của các site).
- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động. - Hỗ trợ tải SA về
- Hàm băm xử lý được các địa chỉ IP động.
- Có cơ chế bảo mật khóa chống lại kẻ trộm (mã hóa khóa với mật khẩu). - Có cơ chế chuyển đổi mã hóa một cách tự động và định kỳ.
Hình 2.12: IPSec và các chính sách bảo mật.
2.3.4 Một ví dụ minh họa
Để minh họa việc sử dụng IPSec để xây dựng VPN, hãy xem xét một thiết kế đơn giản trong hình 2.13 gồm hai site: Một ở văn phòng chính và một ở văn phòng chi nhánh. Mạng cũng cung cấp khả năng cho người dùng di động có thể quay số truy cập vào VPN thông qua các ISP địa phương. Sử dụng bộ định tuyến mã hóa để làm cổng nối bảo mật. Lượng truyền bên trong mạng dưới dạng văn bản đơn giản và dùng kỹ thuật bảo mật chống lại sự tấn công từ bên ngoài là tường lửa hay danh sách điều khiển truy cập trên máy chủ. Chỉ có lưu lượng giữa các site hay giữa các người di động và các site là được bảo mật bởi IPSec.
Để bảo mật cho hệ thống, cần phải có cơ chế bảo mật vật lý để đảm bảo tất cả các host trong phạm vi site có đúng các tham số vật lý và mọi ngõ ra bên ngoài đều phải đi qua bộ định tuyến mã hóa. Tất cả các kết nối từ các site bên trong mạng và các site ngoài mạng cần phải được khóa lại với đặc quyền truy cập. Nếu như số lượng site trong mạng tăng lên thì cần phải có một trung tâm làm nhiệm vụ gán các SA và khóa.
Hình 2.13: Ví dụ về IPSec VPN
2.4 Các vấn đề còn tồn đọng trong IPSec
Mặc dù IPSec đã đưa ra các đặc tính cần thiết cho việc bảo mật một VPN thông qua Internet nhưng nó vẫn còn trong giai đoạn phát triển. Tất cả các gói được xử lý theo IPSec sẽ làm tăng kích thước do thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm đi. Điều này có thể giải quyết bằng cách nén nội dung dữ liệu trước khi mã hóa.
- IKE là một công nghệ chưa thực sự khẳng định được khả năng của mình. Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dung lượng khác.
- Việc tính toán nhiều giải thuật phức tạp vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ của một số quốc gia.
2.5 Các giao thức đường hầm
Đường hầm là một trong những khái niệm nền tảng của VPN. Giao thức đường hầm thực hiện việc đóng dữ liệu với các phần tiêu đề tương ứng để truyền qua Internet. Trong chương này giới thiệu về các giao thức đường hầm phổ biến đang tồn tại và sử dụng cho IP-VPN, bao gồm L2F, PPTP, L2TP.