Đăng ký

Xử lý đầu vào với các hệ thống cổng kết nố

Một phần của tài liệu Công nghệ mạng riêng ảo pot (Trang 108 - 109)

- KE: Khoá trao đổi dữ liệu cho trao đổi khoá DifferHelman

3.4.4. Xử lý đầu vào với các hệ thống cổng kết nố

Trên một hệ thống cổng kết nối có IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng tùy thuộc vào SPD để quyết định xem quá trình xử lý IPSec được yêu cầu hay các xử lý khác được thực hiện với gói đó. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SPI đã tồn tại phù hợp với giá trị SPI chứa trong gói dữ liệu. Nếu không có trường hợp nào tìm thấy, có 2 tùy chọn:

1. Hủy bỏ gói dữ liệu mà không báo cho người gửi biết, nhưng ghi vào nhật ký sự kiện nếu được cấu hình.

2. Nếu IKE cũng như yêu cầu các SA đầu vào được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập SA với người gửi gói dữ liệu gốc. Trong trường hợp này, gói dữ liêu gốc được bảo vệ bởi IPSec hoặc ở dạng rõ đều không quan trọng, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu là người gửi phải đáp ứng thỏa thuận IKE, và nó dự tính các gói dữ liệu được hủy bỏ cho đến khi một SA được thiết lập.

Một gói dữ liệu được xử lý thành công bởi IPSec, nó có thể là một quá trình lặp với các bó SA, một quyết định chọn đường phải được thực hiện để làm gì với gói kế tiếp. Nếu gói dữ liệu được dự định chuyển đến Host khác, nó được phân phối qua giao diện thích hợp theo bảng định tuyến. Nếu gói dữ liệu dự định chuyển đến cổng kết nối của nó, dữ liệu tải được phân phối tới tiến trình xử lý cục bộ. Quá trình này được minh họa như trong hình 3.26

Hình 3.26 IPSec – Xử lý đầu vào với các cổng kết nối

Tổng kết chương III

Trong chương III đã trình bày chi tiết về giao thức mạng riêng ảo thông dụng nhất – IPSec, chương này cũng xem xét các cơ sở của IPSec và các liên kết bảo mật - một dạng cơ sở của giao thức IPSec. Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP) là các giao thức IPSec chủ chốt. Trong khi AH bảo vệ toàn bộ gói dữ liệu gốc thì, ESP chỉ bảo vệ phân dữ liệu tải của thông điệp gốc. Tiếp đó ta cũng nghiên cứu các chế độ IPSec – Chế độ Tunnel và chế độ Transport – và các quy tắc thực hiện chúng trong việc bảo vệ gói dữ liệu IP gốc khỏi các truy cập trái phép, sự giả mạo, sự phân tích gói tin và đánh cắp gói tin. Cuối cùng là trình bài về trao đổi khóa Internet(IKE), nó giữ một vài trò quan trọng trong việc quản lý các khóa mật mã. Hai pha IKE được thảo luận. Bốn chế độ thực thi IKE thông dụng cũng được thảo luận một cách ngắn gọn.

Câu hỏi ôn tập

Một phần của tài liệu Công nghệ mạng riêng ảo pot (Trang 108 - 109)

Tải bản đầy đủ (PDF)

(164 trang)