2.1 Mục đích sử dụng.
IPSec được dùng để bảo mật dữ liệu khi truyền trên mạng. Người quản trị thiết lập chuỗi chính sách được gọi là IPSec Policy. Những chính sách này bao gồm bộ lọc chỉ rõ loại lưu lượng nào đòi hỏi phải mã hóa, chứ kí số hoặc cả hai. Sau đó mỗi gói máy tính gửi đi được ấn định để tự nhận thấy liệu có phù hợp với điều kiện của chính sách. Tiến trình này trong suốt với người dùng và các ứng dụng bắt đầu truyền dữ liệu. Do IPSec được đóng trong gói IP chuẩn nên nó có thể truyền trên mạng mà không đòi hỏi cấu hình đặc biệt trên thiết bị giữa hai host. IPSec không thể mã hóa một số loại lưu lượng chẳng hạn broadcast, multicast và gói giao thức Kerberos.
2.2 Ưu và nhược điểm khi sử dụng IPSec.2.2.1 Ưu điểm 2.2.1 Ưu điểm
Lợi ích chính của IPSec là nó mã hóa trong suốt hoàn toàn đối với tất cả giao thức lớp 3 của mô hình OSI và cao hơn.
IPSec cung cấp:
- Xác thực lẫn nhau trước và trong quá trình trao đổi.
- Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số của gói. IPSec có 2 chế độ: ESP (Encapsulating Security Payload) – mã hóa dựa trên một hoặc một vài thuật toán nào đó và AH (Authentication Header) – xác thực lưu lượng nhưng không mã hóa nó.
- Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả ESP và AH đều dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP. Nếu gói đã được thay đổi thì chữ kí số sẽ không đính kèm và gói sẽ bị hủy.
SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 49 - Ngăn chặn tấn công: Cả ESP và AH dùng số tuần tự để bất cứ gói nào được capture lại trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng số được sắp xếp theo thứ tự để chắc chắc rằng kẻ tấn công không thể dùng lại hay gửi lại dữ liệu đã được capture để thiết lập phiên làm việc hoặc thu thập thông tin bất hợp pháp. Dùng số tuần tự cũng để bảo vệ tấn công công bằng cách chặn message và sau đó dùng message y hệt để truy nhập bất hợp pháp vào tài nguyên, có thể là vài tháng sau đó.
2.2.2 Nhược điểm
Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.
Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.
Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia.