3.6. Giải pháp mã hóa dữ liệu với IPSec
3.6.2. Giải pháp IPSec trong MobileIP
Giải pháp IPsec [21] cho các đường hầm định tuyến lại (redirection tunnel) gói tin Mobile IP sẽ bảo vệ các gói tin (giữa HA, FA và MN) trước các tấn công thụ động cũng như chủ động. Đồng thời, đường hầm IPsec đó cũng sẽ giúp các gói tin tránh các xung đột khi đi qua các tường lửa tại mạng thường trú cũng như mạng khách.
Các đường hầm Mobile IP bảo vệ bởi IPsec (MIP-IPSec) đảm bảo tính bí mật và xác thực cho các gói tin Mobile IP. Giải pháp IPsec cho Mobile IP dựa trên các cơ sở nhất định:
- Cả FA và HA cần giữ chức năng như là những cổng bảo mật hỗ trợ
IPsec (IPsec supporting security gateway), có khả năng thực hiện mã hóa/giải mã, và lọc gói tin dựa trên xác thực mạnh.
- Tại các mạng ngoài được bảo vệ bởi tường lửa, các FA sẽ là các tường lửa gần nhất với MN. Các tường lửa khác trong mạng ngoài thì cho phép các gói tin được bảo vệ bởi IPsec tới và từ FA đi qua. Đối với các các tường lửa có sử dụng lọc gói tin INGRES, Mobile IP cần sử dụng kênh thông tin nghich (reverse tunneling).
- Các HA sẽ giữ chức năng là các tường lửa phía trong cùng nhất của mạng thường trú của MN. Tương tự, các tường lửa khác trong mạng thường trú cần cho phép các gói tin được bảo vệ bởi IPsec tới và từ HA
đi qua.
Các đường hầm MIP-IPSec giữa MN-HA, HA-FA, FA-MN là các thành phần căn bản đểđảm bảo các yêu cầu bảo mật. Ngoài ra, để tăng thêm tính bảo mật, có thể thiết lập thêm đường hầm IPsec từ trạm kết nối (CH – Correspondent Host) với MN.
a) Đường hầm MN-HA
Đường hầm MIP-IPSec giữa MN-HA có thể được dùng để đảm bảo xác thực xuất xứ dữ liệu cùng với toàn vẹn phi kết nối (connectionless integrity) và bí mật dữ liệu. Việc sử dụng các đường hầm bảo mật này theo cả hai hướng, một MN có thểđược phép khả năng kết nối giống nhưđang ở mạng thường trú.
Tuy nhiên, kết nối đường hầm MN-HA là có chi phí cao, bởi vì các đường hầm MN-HA không nằm trong một các đường hầm của Mobile IP. Do đó, các
đường hầm MN-HA sẽ phải thiết lập riêng cùng với việc phải bổ sung các phần tiêu
đề IP.
b) Đường hầm HA-FA
Đường hầm MIP-IPSec đi từ HA tới FA (và từ FA tới HA nếu có kênh nghịch và địa chỉ COA là địa chỉ FA) có thểđược cài đặt bằng cách thêm khả năng bảo vệ của IPSec vào các kênh Mobile IP đã có.
Các đường hầm bảo mật này có thể được dùng để hỗ trợ xác thực xuất xứ
dữ liệu, toàn vẹn và bí mật dữ liệu. Trong trường hợp này, đường hầm sẽ thiết lập kết nối mạng riêng ảo (VPN-Virtual Private Network) giữa mạng thường trú và mạng khách.
c) Đường hầm MN-FA
Đường hầm MIP-IPSec có thể được dùng theo hai cách nếu không có cơ
chế bảo vệ mức liên kết dữ liệu nào hiện hữu: - Bí mật dữ liệu cho MN trên mạng khách
- Xác thực xuất xứ dữ liệu trong trao đổi MN-FA
Đường hầm MN-FA chỉ tồn tại nếu MN sử dụng địa chỉ COA là địa chỉ của FA. Do đó, đường hầm này có chi phí cao và nên được thay bởi MN-CH hoặc kênh MN-HA IPSec.
d) Thay đổi với các thông điệp Mobile IP
Để MN và FA, HA có thể thương lượng để lựa chọn một đường hầm MIP- IPSec, FA và MN sử dụng hai mở rộng sau:
- Thông điệp mở rộng quảng bá router theo chuẩn ICMP được FA sử
dụng
Hình 44: Mở rộng quảng bá IPSec tại FA
Trong đó
F: đường hầm IPSec cho chiều đi
R: đường hầm IPSec cho chiều ngược lại - Thông điệp mở rộng yêu cầu đăng ký
Hình 45: Mở rộng yêu cầu IPSec tại MN
e) Thủ tục thiết lập đường hầm MIP-IPSec
Quá trình thiết lập các đường hầm MIP-IPSec có thể chia thành 3 bước: - Lựa chọn đường hầm
- Thương lượng các thiết lập bảo mật - Kích hoạt đường hầm
Trong đó, việc lựa chọn đường hầm xảy ra đồng thời với đăng ký Mobile IP; kích hoạt đường hầm xảy ra đồng thời với trong bước trong bước kích hoạt
đường hầm trong Mobile IP chuẩn.Việc thương lượng các thiết lập bảo mật là một bước mới nhưng nó làm phát sinh một phức tạp cần xử lý: nếu thương lượng bảo mật không thỏa mãn, một đường hầm MIP-IPSec có thể bị ngắt ngay cả khi đăng ký MIP thông thường đã thành công.