Giao thức bảo mật IPSec cung cấp những tính năng bảo mật cao cấp
như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn. IPSec hoạt động tốt trên cả hai loại mạng VPN là VPN truy cập từ
xa và VPN kết nối point-to-point (Intranet VPN và Extranet VPN). Tất nhiên, nó phải được hỗ trợ cả hai giao diện Tunnel.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu
đề và kích thước của mỗi gói tin, còn Transport chỉ mã hóa kích thước. Chỉ
những hệ thống nào hỗ trợ giao thức IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các
tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router, PC với router, PC với máy chủ hoặc giữa các firewall với nhau.
IPSec cung cấp các dịch vụ bảo mật bằng cách sử dụng IKE (Internet
Key Exchange) để điều khiển sự thỏa thuận của các giao thức và các thuật
toán trên cơ sở các chính sách bảo mật cục bộvà để tạo ra sự mã hóa và các khóa xác nhận được sử dụng bởi IPSec.
IPSec hoạt động ở lớp 3, vì vậy nó chỉ truyền được gói tin IP. Trong khi L2TP hoạt động ở lớp 2 (trong mô hình 7 lớp) nên có thể truyền các gói của
nhiều giao thứ khác nhau như IP, IPX hoặc NETBEUI. Giao thức L2TP có thể được hỗ trợ bởi giao thức IPSec để tăng cường tính bảo mật khi truyền qua mạng.
Tiếp theo ta sẽ tìm hiểu kỹ hơn về IPSec.
IPSec là giao thức hoạt động ở lớp 3, đặt một nhóm các giao thức và các công nghệ như AH (Authentication Header – AH ), ESP (Encapsulating Security Payload), IKE (Internet Key Exchange), DES (Data Encryption Standard), AES (Advanced Encryption Standard) và các kỷ thuật khác vào trong hệ thống đểđảm bảo cung cấp một phương pháp xác thực tin cậy và an toàn cho gói tin IP. IPSec được dùng cho cả IPv4 và IPv6. Là một tiêu chuẩn mở, IPSec cho phép hoạt động được với các thiết bị của nhiều nhà sản xuất
khác nhau và được sử dụng với nhiều loại VPN khác nhau.
Mặc dù IPSec được triển khai chủ yếu cho sự mở rộng WAN trong môi
trường công cộng chia sẻ, tuy nhiên giao thức này có thể được sử dụng cho việc mã hóa và đảm bảo an ninh trong LAN, mạng campus hoặc thậm chí là Intranet VPN. Theo IETF RFC 2401, IPSec được thiết kế để cung cấp khả năng có thể hoạt động liên kết, chất lượng cao cho IPv4 và IPv6. Các dịch vụ
về bảo mật bao gồm điều khiển truy cập, tính toàn vẹn không kết nối, xác thực dữ liệu gốc, mã hóa và bảo mật luồng dữ liệu. Nó có các đặc điểm sau:
4. 6. 3. 1. Đảm bảo tính toàn vẹn của dữ liệu:
IPSec đảm bảo tính bảo mật cho luồng IP bằng cách thêm IPSec tiêu đề
vào gói IP gốc. Đây là những tiêu đề IPSec mới, ví dụ như AH và ESP, có thể được sử dụng tách biệt nhau hoặc kết hợp với nhau tuy thuộc vào mức độ
yêu cầu của bảo mật. Về bản chất, các tiêu đề được thêm vào gói IP gốc nhằm mục đích xác thực gói tin hoặc mã hóa để bảo vệ dữ liệu hoặc cả hai.
Sự kết hợp bảo mật (Security Association – SAs) là một phần quan trọng của quá trình xử lý IPSec khi chúng được định nghĩa một mức độ bảo mật giữa hai thiết bị trong quan hệ ngang hàng (peer-to-peer relationship). Bằng các SA, một thiết bị có thể áp dụng các chính sách bảo mật sẽ được sử dụng và nó nhận ra SA bởi một địa chỉ IP, một chỉ số định dạng giao thức bảo mật và một giá trị thông số bảo mật duy nhất. Có hai loại SA. Trao đổi khóa SA là dạng đầu tiên, dùng để nhận thực giữa các thiết bị ngang hàng, trao đổi khóa,
và kiểm soát khóa sau đó. Dạng thứ hai là IPSec SA được dùng đàm phán và
thiết lập, mỗi một thiết bị sử dụng một phương thức xác thực, một thuật toán hashing và một phương pháp mã hóa.
4. 6. 3. 1. 1. Xác thực tiêu đề (Authentication Header – AH)
AH sử dụng một chức năng băm nhỏ key (keyed-hash), sử dụng tốc độ
mạch tích hợp cho các ứng dụng đặc biệt (Application-specific intergrated circuits – ASICs) để thực hiện chức năng xác thực và toàn vẹn để truyền dữ
liệu. AH xác thực host khởi tạo với host đích trong suốt quá trình thiết lập của sự trao đổi xác nhận key. Có nhiều phương pháp xác thực key, sau đây ta liệt kê một vài trong số đó:
IKE dựa trên ISAKMP/OAKLEY: IKE là giao thức trao đổi key lai (hybrid), nó sử dụng một phần của Oakley và một phần giao thức
khác được gọi là SKEME bên trong ISA(Internet Security Association) và KMP (Key Management Protocol). Các khóa đã
được chia sẻ trước đó một cách thủ công hoặc thông qua sự ủy quyền, và sự trao đổi khóa cũng như chấp nhận được thực hiện bởi IKE. Một một điểm xác thực điểm khác dựa trên quá trình xử
lý IKE và đưa ra một SA. Quá trình này xảy ra trước khi bất kỳ
một IPSec SA nào đàm phán và trước khi dữ liệu có thể đi qua đường link đã được thiết lập.
Perfect Forward Secrecy (PFS) rekeying: Phương pháp này có
tính bảo mật cao hơn thậm chí ngay cả khi khóa bị phá bởi những kẻ phá hoại. Nó tách biệt IKE ban đầu từ quá trình xử lý được sử
dụng để tạo khóa cho IPSec SA. Vì thế khi khóa IKE SA có thể bị phá nhưng nó sẽ không bị lộ khóa bí mật. Nó cho phép khóa này
thay đổi liên tục trong khi phiên làm việc vẫn được duy trì
Để đảm bảo tính toàn vẹn cho dữ liệu khi đi qua mạng công cộng, AH sử
dụng các thuật toán băm ví dụ như Message Digest 5(MD5). Nó áp dụng trên
tiêu đề của gói tin IP ban đầu, nó sẽ giấu các thông tin về địa chỉ IP thực và các thông số khác khi đi qua mạng công cộng. Khi đến đích tiêu đề gói tin IP sẽđược khôi phục và được định tuyến bên trong subnet của mạng đích.