Với IPSec hoạt động, bất kỳ các gói dữ liệu đi ra nào cũng đều phụ thuộc vào cơ sở dữ liệu chính sách bảo mật(SPD) để xác định nếu quá trình xử lý IPSec được yêu cầu hoặc những xử lý khác được thực hiện với các gói. Nếu IPSec được yêu cầu, cơ sở dữ liệu liên kết bảo mật(SAD) sẽ được tìm kiếm một SA đã tồn tại cho gói dữ liệu thích hợp với hồ sơ. Nếu không có trường hợp nào được tìm thấy và IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ. Một quá trình thương lượng IKE sẽ được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói này. Cuối cùng, IPSec được áp dụng để các gói được yêu cầu bởi SA và gói dữ liệu được phân phối. Quá trình xử lý này được minh họa trong hình 2.23
2.4.2. Xử lý đầu vào với các hệ thống máy chủ Host
Với IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng đều phụ thuộc vào SPD để xác định xử lý IPSec được yêu cầu hay các xử lý khác sẽ thực hiện với gói dữ liệu. Nếu IPSec được yêu cầu, SAD được truy cập đến để tìm một SPI đã tồn tại thích hợp với giá trị SPI chứa trong gói. Nếu không có giá trị nào phù hợp, về cơ bản có 2 tùy chọn.
1. Loại bỏ gói tin mà không cho người gửi biết(nhưng có thể ghi nhật ký sự kiện nếu được cấu hình). Tùy chọn này là ngầm định bởi hầu hết các IPSec ngày nay
2. Nếu IKE cũng như yêu cầu các SA nội tuyến được hỗ trợ, một thỏa thuận IKE mới được bắt đầu là kết quả cuối cùng trong việc thiết lập các SA với người gửi của gói dữ liệu gốc. Trong trường hợp này, sẽ không vấn đề gì nếu gói dữ liệu gốc được IPSec bảo vệ hoặc ở dạng rõ, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu người gửi gói dữ liệu gốc đáp ứng thỏa thuận IKE, và nó dự tính rằng các gói sẽ bị hủy bỏ cho đến khi một SA được thiết lập
Cuối cùng, IPSec được áp dụng với các gói được yêu cầu bởi SA và các gói tải được phân phối tới tiến trình cục bộ. Quá trình xử lý này được minh họa như hình 2.24
Hình 2.25: IPSec – Xử lý hướng nội với các hệ thống máy chủ Host
2.4.3. Xử lý đầu ra với các hệ thống cổng kết nối
Trên một hệ thống cổng kết nối, bất kỳ gói dữ liệu đi ra nào cũng thường tùy thuộc vào SPD của giao diện bảo mật để quyết định phải làm gì với nó. Nếu quyết định là để định tuyến gói dữ liệu, bảng định tuyến sẽ được tra cứu để quyết định nếu gói được phân phối tới tại cả. Nếu không có route được tìm thấy. Quá trình xử lý IPSec sẽ không được thực hiện, nhưng người gửi gói dữ liệu gốc có thể được cho biết về vấn đề này bằng cách dùng các thông điệp không tới được mạng ICMP.
Chúng ta thừa nhận rằng, các hệ thống cổng kết nối hoặc tận dụng các giao thức định tuyến hoặc định nghĩa sự định tuyến mặc định và như vậy một quyết định định tuyến thành công có thể được thực hiện.
Từ phạm vi trên, về bản chất quá trình xử lý là giống như trên các hệ thống Host. Gói dữ liệu sau đó được chuyển tiếp đến SPD của giao diện không bảo mật để quyết định xử lý IPSec được yêu cầu hay xử lý khác được thực hiện với gói dữ liệu. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SA đã có cho gói nào phù hợp với hồ sơ. Nếu không trường hợp nào được tìm thấy, và IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói dữ liệu này. Cuối cùng, IPSec được áp dụng cho các gói được yêu cầu bởi SA và gói dữ liệu được phân phối. Quá trình xử lý này được minh họa như trong hình 2.25
Hình 2.26: IPSec – Xử lý đầu ra với các hệ thống cổng kết nối
2.4.4. Xử lý đầu vào với các hệ thống cổng kết nối
Trên một hệ thống cổng kết nối có IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng tùy thuộc vào SPD để quyết định xem quá trình xử lý IPSec được yêu cầu hay các xử lý khác được thực hiện với gói đó. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SPI đã tồn tại phù hợp với giá trị SPI chứa trong gói dữ liệu. Nếu không có trường hợp nào tìm thấy, có 2 tùy chọn:
1. Hủy bỏ gói dữ liệu mà không báo cho người gửi biết, nhưng ghi vào nhật ký sự kiện nếu được cấu hình.
2. Nếu IKE cũng như yêu cầu các SA đầu vào được hỗ trợ, một sự thỏa thuận IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập SA với người gửi gói dữ liệu
gốc. Trong trường hợp này, gói dữ liêu gốc được bảo vệ bởi IPSec hoặc ở dạng rõ đều không quan trọng, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên, nó yêu cầu là người gửi phải đáp ứng thỏa thuận IKE, và nó dự tính các gói dữ liệu được hủy bỏ cho đến khi một SA được thiết lập.
Hình 2.27: IPSec – Xử lý đầu vào với các cổng kết nối
Một gói dữ liệu được xử lý thành công bởi IPSec, nó có thể là một quá trình lặp với các bó SA, một quyết định chọn đường phải được thực hiện để làm gì với gói kế tiếp. Nếu gói dữ liệu được dự định chuyển đến Host khác, nó được phân phối qua giao diện thích hợp theo bảng định tuyến. Nếu gói dữ liệu dự định chuyển đến cổng kết nối của nó, dữ liệu tải được phân phối tới tiến trình xử lý cục bộ. Quá trình này được minh họa như trong hình 2.27.
TÀI LIỆU THAM KHẢO
[1] Giáo trình Cơ sở An toàn Thông tin – Học viện Kỹ thuật Mật Mã
[2] Kỹ thuật Mạng riêng ảo (VPN) – ThS Trần Công Hùng, Học viện Bưu chính Viễn thông, 07/2002.