.2 Xử lý gói tin ở chế độ đường hầm- 123docz.net

Chế độ này cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý IPsec thay cho các trạm cuối (host). Thí dụ trong hình 2.3, bộ định tuyến A xử lý các gói từ trạm A, gửi chúng vào đường hầm. Bộ định tuyến B xử lý gói nhận được trong đường hầm, đưa về dạng ban đầu và chuyển chúng tới trạm B. Như vậy, các trạm cuối không cần thay đổi mà vẫn có được tính an ninh dữ liệu của IPsec. Khi sử dụng chế độ đường hầm, các thiết bị trung gian trong mạng sẽ chỉ nhìn thấy được các địa chỉ hai điểm cuối của đường hầm (trong thí dụ là bộ định tuyến A và B). Khi sử dụng chế độ đường hầm, các đầu cuối IPsec-VPN không cần thay đổi ứng dụng hay hệ điều hành.

2.3.1.3.2 Giao thức xác thực AH

a. Giới thiệu giao thức

Giao thức AH được định nghĩa trong RFC 1826 và sau đó được phát triển trong RFC 2402. AH cung cấp khả năng xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ chống phát lại. Toàn vẹn dữ liệu là kiểm tra những thay đổi của từng gói tin IP, không quan tâm đến vị trí các gói trong luồng lưu lượng. Còn dịch vụ chống

AH cho phép xác thực tiêu các trường tiêu đề của gói IP cũng như gói dữ liệu của các giao thức lớp trên. AH không cung cấp bất kỳ xử lý nào để bảo mật dữ liệu của lớp các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ. Xử lý trong AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp cần yêu cầu cao hơn về nguồn gốc và tính toàn vẹn của dữ liệu, còn tính bảo mật dữ liệu thì không yêu cầu cao.

Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện hàm băm một chiều đối với dữ liệu của gói để tạo ra một đoạn mã xác thực. Đoạn mã này được chèn vào thông tin của gói truyền đi. Khi đó bất cứ thay đổi nào đối với dữ liệu của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng một hàm băm một chiều đối với gói dữ liệu nhận được và đối chiếu với giá trị mã hóa xác thực truyền cùng với gói dữ liệu.

b. Cấu trúc gói tin AH

Các thiết bị sử dụng AH sẽ chèn một tiêu đề AH vào giữa lưu lượng cần quan tâm của gói IP, ở giữa phần tiêu đề IP và tiêu đề lớp 4. Quá trình xử lý chèn tiêu đề AH được minh họa như hình 2.3.

.2 Xử lý gói tin ở chế độ đường hầm

Khuôn dạng thỏa thuận (viết tắt) (Compact Form)

.4 Thí dụ về header From