Trên một hệ thống cổng kết nối có IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng tùy thuộc vào SPD để quyết định xem quá trình xử lý IPSec được yêu cầu hay các xử lý khác được thực hiện với gói đó. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SPI đã tồn tại phù hợp với giá trị SPI chứa trong gói dữ liệu. Nếu không có trường hợp nào tìm thấy, có 2 tùy chọn:
1. Hủy bỏ gói dữ liệu mà không báo cho người gửi biết, nhưng ghi vào nhật ký sự kiện nếu được cấu hình.
2. Nếu IKE cũng như yêu cầu các SA đầu vào được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập SA với người gửi gói dữ liệu gốc. Trong trường hợp này, gói dữ liêu gốc được bảo vệ bởi IPSec hoặc ở dạng rõ đều không quan trọng, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu là người gửi phải đáp ứng thỏa thuận IKE, và nó dự tính các gói dữ liệu được hủy bỏ cho đến khi một SA được thiết lập.
Một gói dữ liệu được xử lý thành công bởi IPSec, nó có thể là một quá trình lặp với các bó SA, một quyết định chọn đường phải được thực hiện để làm gì với gói kế tiếp. Nếu gói dữ liệu được dự định chuyển đến Host khác, nó được phân phối qua giao diện thích hợp theo bảng định tuyến. Nếu gói dữ liệu dự định chuyển đến cổng kết nối của nó, dữ liệu tải được phân phối tới tiến trình xử lý cục bộ. Quá trình này được minh họa như trong hình 3.26
Hình 3.26 IPSec – Xử lý đầu vào với các cổng kết nối
Tổng kết chương III
Trong chương III đã trình bày chi tiết về giao thức mạng riêng ảo thông dụng nhất – IPSec, chương này cũng xem xét các cơ sở của IPSec và các liên kết bảo mật - một dạng cơ sở của giao thức IPSec. Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP) là các giao thức IPSec chủ chốt. Trong khi AH bảo vệ toàn bộ gói dữ liệu gốc thì, ESP chỉ bảo vệ phân dữ liệu tải của thông điệp gốc. Tiếp đó ta cũng nghiên cứu các chế độ IPSec – Chế độ Tunnel và chế độ Transport – và các quy tắc thực hiện chúng trong việc bảo vệ gói dữ liệu IP gốc khỏi các truy cập trái phép, sự giả mạo, sự phân tích gói tin và đánh cắp gói tin. Cuối cùng là trình bài về trao đổi khóa Internet(IKE), nó giữ một vài trò quan trọng
trong việc quản lý các khóa mật mã. Hai pha IKE được thảo luận. Bốn chế độ thực thi IKE thông dụng cũng được thảo luận một cách ngắn gọn.
Câu hỏi ôn tập
1. Which of the following fields make up an IPSec SA? a. SPI
b. Payload
c. Destination IP Address d. Security Protocol
2. Which of the following databases contain entries that might resemble a firewall rule?
a. SPD b. SPI c. SAP
d. SAD
3. ________ offers confidentiality and data integrity, but not the capability for key management.
a. IKE b. AH c. ESP
d. None of the above
4. Which of the modes listed below is NOT a valid IPSec mode? a. Informational mode
b. Tunnel mode c. Aggressive mode d. Quick mode
5. Which of the following statements is true? a. Main mode is slower than Quick mode.
b. ESP in Transport mode offers higher security than ESP in Tunnel mode.
c. Aggressive mode belongs to IKE Phase II. d. All of the above statements are correct.
Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo
Trong các chương trước chúng ta đã thảo luận về các công nghệ an toàn có thể được dùng để xây dựng mạng riêng ảo. Trong khi các công nghệ đó thường đủ và hiệu quả với các tác vụ đơn lẻ, nhưng có những trường hợp mà một mình các công nghệ đó không đáp ứng được yêu cầu cho một giải pháp VPN đầy đủ. Một trong những trường hợp như vậy là sử dụng chứng chỉ số, xác thực và mã hóa. Chương này sẽ mô tả ngắn gọn một số công nghệ an toàn có thể bổ sung thêm vào một giải pháp mạng riêng ảo hoặc đồng thời tồn tại trong một môi trường mạng riêng ảo dưới hoàn cảnh nào đó.