5. Giao thức IP (IPSec ): 1 Khái niệm :
5.5.1.Xử lý hệ thống IPSec/IK E:
Các gói đó được chuyển đến có sử dụng IPSec và IKE. Với bảo mật IP được đặt đúng vị trí, các gói dữ liệu có thể không còn được xử lý, chuyển tiếp hoặc hủy bỏ một cách đơn giản nữa mà phải phụ thuộc vào chính sách bảo mật để xác định nếu quá trình xử lý IPSec bổ sung được yêu cầu và khi nó phải xẩy ra. Mặc dù có sự khác nhau không đáng kể giữa các Platform về cách thức chúng thực hiện IPSec trên các chồng IP riêng biệt của chúng, chức năng thông thường của quá trình xử lý IPSec với các hệ thống Host và Getway có thể được tổng kết lại như sau:
5.5.2. Xử lý IPSec cho đầu ra với các hệ thống máy chủ :
Với IPSec hoạt động, bất kỳ các gói dữ liệu đi ra nào cũng đều phụ thuộc vào cơ sở dữ liệu chính sách bảo mật(SPD) để xác định nếu quá
các gói. Nếu IPSec được yêu cầu, cơ sở dữ liệu liên kết bảo mật(SAD) sẽ được tìm kiếm một SA đã tồn tại cho gói dữ liệu thích hợp với hồ sơ. Nếu không có trường hợp nào được tìm thấy và IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ. Một quá trình thương lượng IKE sẽ được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói này. Cuối cùng, IPSec được áp dụng để các gói được yêu cầu bởi SA à gói dữ liệu được phân phối. Quá trình xử lý này được minh họa như sau :
Hình 1.26 : IPSec – Xử lý đầu ra với hệ thống các Host 5.5.3 Xử lý đầu vào với các hệ thống máy chủ Host :
Với IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng đều phụ thuộc vào SPD để xác định xử lý IPSec được yêu cầu hay các xử lý khác sẽ thực hiện với gói dữ liệu. Nếu IPSec được yêu cầu, SAD được truy cập đến để tìm một SPI đã tồn tại thích hợp với giá trị SPI chứa trong gói. Nếu không có giá trị nào phù hợp, về cơ bản có 2 tùy chọn.
+ Loại bỏ gói tin mà không cho người gửi biết(nhưng có thể ghi nhật ký sự kiện nếu được cấu hình). Tùy chọn này là ngầm định bởi hầu hết các IPSec ngày nay
+ Nếu IKE cũng như yêu cầu các SA nội tuyến được hỗ trợ, một thỏa thuận IKE mới được bắt đầu là kết quả cuối cùng trong việc thiết lập các SA với người gửi của gói dữ liệu gốc. Trong trường hợp này, sẽ không vấn đề gì nếu gói dữ liệu gốc được IPSec bảo vệ hoặc ở dạng rõ, nó chỉ tin tưởng vào chính sách cục bộ.
Tuy nhiên, nó yêu cầu người gửi gói dữ liệu gốc đáp ứng thỏa thuận IKE, và nó dự tính rằng các gói sẽ bị hủy bỏ cho đến khi một SA được thiết lập Cuối cùng, IPSec được áp dụng với các gói được yêu cầu bởi SA và các gói tải được phân phối tới tiến trình cục bộ.
Hình 1.27 : IPSec – Xử lý hướng nội với các hệ thống máy chủ Host 5.5.4 Xử lý đầu ra với các hệ thống cổng kết nối :
Trên một hệ thống cổng kết nối, bất kỳ gói dữ liệu đi ra nào cũng thường tùy thuộc vào SPD của giao diện bảo mật để quyết định phải làm gì với nó. Nếu quyết định là để định tuyến gói dữ liệu, bảng định tuyến sẽ được tra cứu để quyết định nếu gói được phân phối tới tại cả. Nếu không có route được tìm thấy. Quá trình xử lý IPSec sẽ không được thực hiện, nhưng người gửi gói dữ liệu gốc có thể được cho biết về vấn đề này bằng cách dùng các thông điệp không tới được mạng ICMP. Gói dữ liệu sau đó được chuyển tiếp đến SPD của giao diện không bảo mật để quyết định xử lý IPSec được yêu cầu hay xử lý khác được thực hiện với gói dữ liệu.Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SA đã có cho gói nào phù hợp với hồ sơ. Nếu không trường hợp nào được tìm thấy, và IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói dữ liệu này.
Cuối cùng, IPSec được áp dụng cho các gói được yêu cầu bởi SA và gói dữ liệu được phân phối.
Hình 1.28 : IPSec – Xử lý đầu ra với các hệ thống cổng kết nối 5.5.5. Xử lý đầu vào với các hệ thống cổng kết nối :
Trên một hệ thống cổng kết nối có IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng tùy thuộc vào SPD để quyết định xem quá trình xử lý IPSec được yêu cầu hay các xử lý khác được thực hiện với gói đó.
Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SPI đã tồn tại phù hợp với giá trị SPI chứa trong gói dữ liệu. Nếu không có trường hợp nào tìm thấy, có 2 tùy chọn:
- Hủy bỏ gói dữ liệu mà không báo cho người gửi biết, nhưng ghi vào nhật ký sự kiện nếu được cấu hình.
- Nếu IKE cũng như yêu cầu các SA đầu vào được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập SA với người gửi gói dữ liệu gốc. Trong trường hợp này, gói dữ liêu gốc được bảo vệ bởi IPSec hoặc ở dạng rõ đều không quan trọng, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu là người gửi phải đáp ứng thỏa thuận IKE, và nó dự tính các gói dữ liệu được hủy bỏ cho đến khi một SA được thiết lập.
Một gói dữ liệu được xử lý thành công bởi IPSec, nó có thể là một quá trình lặp với các bó SA, một quyết định chọn đường phải được thực hiện để làm gì với gói kế tiếp. Nếu gói dữ liệu được dự định chuyển
định tuyến. Nếu gói dữ liệu dự định chuyển đến cổng kết nối của nó, dữ liệu tải được phân phối tới tiến trình xử lý cục bộ.