CHƯƠNG II: CHI TIẾT CẤU TRÚC GIAO THỨC IPSEC
II.6/ HOẠT ĐỘNG CỦA IPSEC:
Ta biết rằng mục đích của IPSec là bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiết và hoạt động của IPSec được chia thành 5 bước chính sau:
Bước 1: A gửi lưu lượng cần bảo vệ cho B
Bước 2: Router A và B thỏa thuận 1 phiên trao đổi IKE Phase 1 IKE
SA <---- IKE phase ---> IKE SA
Bước 3:Router A và B thỏa thuận một phiên trao đổi IKE phase 2
IPSec SA <--- IKE phase --->IPSec SA
Bước 4: Thông tin được truyền dẫn qua đường hầm IPSec Bước 5: Kết thúc đường hầm
Phân tích :
Bước 1: Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec.Ở đây các thiết bị IPSec sẽ
nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường đị chỉ
Bước 2:IKE phase 1---IKE xác thực các đối tác IPSec và một tập các dịch vụ bảo mật
được thỏa thuận và công nhận(thỏa thuận các kết hợp an ninh IKE SA(security association).Trong phase này,thiết lập một kênh truyền thông an toàn để tiến hành thỏa thuận IPSec SA trong phase 2
Bước 3: IKE phase 2---IKE thỏa thuận các tham số IPSec SA và thiết lập các IPSec SA
tương đương ở hai phía.Những thông số an toàn này được sử dụng để bảo vệ dữ liệu và các bản tin trao đổi giữa các điểm đầu cuối,kết quả cuối cùng của 2 bước IKE là một kênh thông tin bảo mật được tạo ra giữa hai phía
Bước 4 :Truyền dữ liệu –dữ liệu đượ truyền giữa các đối tác IPSec dựa trên cơ sở các
thông số bảo mật và các khóa được lưu trữ trong cơ sở dữ liệu SA
Bước 5 :Kết thúc đường hầm IPSec ,kết thúc các SA IPSec do bị xóa hoặc do hết
IPSEC 2012 II.6.2.Ví dụ về hoạt động của IPSec:
Để tóm tắt toàn bộ quá trình hoạt động của IPSec,ta xét một ví dụ như trong hình vẽ
Trong ví dụ này ,B muốn truyền thông tin an toàn đến A.Khi gói dữ liệu gửi tới Router B,router này sẽ kiểm tra chính sách an ninh và nhận ra gói này cần được bảo vệ,chính sách an ninh được cấu hình trước cũng cho biết rằng router A sẽ là điểm cuối phia bên kia dường hầm IPSec.Router B kiểm tra xem đã có IPSec SA nào được thiết lập chưa?nếu chưa thì yêu cầu một quá trình IKE để thiết lập IPSec SA.Nếu hai router đã thỏa thuận một IPSec SA thì IPSec SA có thể được tạo ra tức thời
Trong trường hợp này ,hai router trao đổi các chứng thực số,các chứng thực này phải được ký bởi một CA mà cả hai phía cùng tin tưởng.Khi phiên IKE được thiết lập,hai router có thể thỏa thuận IPSec SA.Khi IPSec SA được thiết lập,hai router sẽ thống nhất được thuật toán mật mã(chẳng hạn DES),thuật toán xác thực(MD5) và một khóa phiên được sử dụng chung.Tới đây Router B có thể mật mã gói tin của B,đặt nó vào trong một IPSec mới,sau đó gửi tới A.Khi router A nhận được gói IPSec,xử lý gói theo yêu cầu,đưa về dạng gói tin ban đầu và chuyển về A.Quá trình phức tạp này được thực hiện hoàn toàn trong suốt với A và B
IPSEC 2012 CHƯƠNG III: MÔ HÌNH THỰC NGHIỆM TÌM HIỂU GIAO THỨC IPSEC