Các chế độ hoạt động của IPSec

Một phần của tài liệu Kỹ thuật mạng riêng ảo và giải pháp nâng cao tính bảo mật cho hệ thống mạng cục bộ tần số vô tuyến điện (Trang 62 - 64)

Chương 1 : TỔNG QUAN

3.2 Đóng gói thơng tin trong IPSec

3.2.3 Các chế độ hoạt động của IPSec

IPSec có hai kiểu cung cấp nhận thực và mã hóa mức cao để thực hiện đóng gói thơng tin, đó là kiểu Transport (truyền tải) và kiểu Tunnel (đường hầm). Sau đây chúng ta sẽ xét đến hai kiểu này trước khi tìm hiểu về các giao thức AH và ESP:

3.2.3.1 Kiểu Transport

Trong kiểu này, vấn đề an ninh được cung cấp bởi các giao thức lớp cao hơn (từ lớp 4 trở lên). Kiểu này bảo vệ phần tải tin của gói nhưng vẫn để phần IP header ban đầu ở dạng bản rõ. Địa chỉ IP ban đầu được sử dụng để định tuyến gói qua Internet.

Hình 3-5: Gói tin IP ở kiểu Transport

Kiểu Transport có ưu điểm là chỉ thêm vào gói IP ban đầu một số ít byte. Nhược điểm là kiểu này cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (ví dụ như phân

tích lưu lượng) dựa trên các thơng tin của IP header. Tuy nhiên nếu được mật mã bởi ESP thì sẽ khơng biết được dữ liệu cụ thể bên trong gói IP là gì. Theo như IETF thì kiểu Transport chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực hiện IPSec.

3.2.3.2 Kiểu Tunnel

Kiểu này bảo vệ tồn bộ gói IP. Gói IP ban đầu (bao gồm cả IP header) được xác thực hoặc mật mã. Sau đó, gói IP đã mã hóa được đóng gói vào một IP header mới. Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP truyền qua Internet.

Hình 3-6: Gói tin IP ở kiểu Tunnel

Trong kiểu Tunnel, tồn bộ gói IP ban đầu được đóng gói và trở thành Payload của gói IP mới. Kiểu này cho phép các thiết bị mạng như router thực hiện xử lý IPSec thay cho các trạm cuối (host). Hình 3-7 là ví dụ: Router A xử lý các gói từ host A, gửi chúng vào đường hầm. Router B xử lý các gói nhận được trong đường hầm, đưa về dạng ban đầu và chuyển hóa chúng tới host B. Như vậy, các trạm cuối khơng cần thay đổi nhưng vẫn có được tính an tồn dữ liệu của IPSec. Ngoài ra, nếu sử dụng kiểu Tunnel, các thiết bị trung gian trong mạng sẽ chỉ có thể nhìn thấy được các địa chỉ hai điểm cuối của đường

hầm (ở đây là các router A và B). Khi sử dụng kiểu Tunnel, các đầu cuối của IP-VPN không cần phải thay đổi ứng dụng hay hệ điều hành.

Computer Computer

IPSec Tunnel

Host B Host A

Router A Router B

Hình 3-7: Thiết bị mạng thực hiện IPSec kiểu Tunnel

Một phần của tài liệu Kỹ thuật mạng riêng ảo và giải pháp nâng cao tính bảo mật cho hệ thống mạng cục bộ tần số vô tuyến điện (Trang 62 - 64)

Tải bản đầy đủ (PDF)

(112 trang)