Giới thiệu về IPsec

a .Tấn công do th́m

e. Virus, Trojan Horse, Worm, mã độc hại

2.3 Một số giải pháp bảo vệ mạng

2.3.1.2 Giới thiệu về IPsec

Giao thức Ipsec được IETF phát triển để thiết lập bảo mật trong mạng IP ở cấp độ gói. IPsec được định nghĩa là một họ giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển truy nhập.

IPsec có hai cơ chế cơ bản để đảm bảo an ninh dữ liệu và xác định tiêu đề xác thực AH (Authentication Header) và đóng gói tải tin an toàn ESP (Encapsulating Security Payload). Cả AH và ESP đều cung cấp phương tiện cho điều khiển truy nhập dựa vào sự phân phối của các khóa mật mã và quản lý các luồng lưu lượng có liên quan đến những giao thức an ninh mạng này.

AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu và dịch vụ tùy chọn chống việc phát lại của các gói IP truyền giữa hai hệ thống. AH không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ. ESP là một giao thức cung cấp tính an ninh của các gói tin được truyền, bao gồm mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết nối của dữ liệu. ESP đảm bảo tính bí mật của thông tin qua việc mật mã gói tin IP. Tất cả lưu lượng ESP đều được mật mã giữa hai hệ thống. Với đặc điểm này ESP có xu hướng được sử dụng nhiều hơn đề tăng tính bảo mật cho dữ liệu.

Các giao thức AH và ESP có thể được áp dụng một cách riêng rẽ hoặc là kết hợp với nhau để cung cấp an ninh. IPsec sử dụng các thuật toán mã hóa xác thực bản tin trên cơ sở hàm băm, MD5 (Message Digest 5) hay SHA-1 để thực hiện chức năng toàn vẹn bản tin; DES hay 3DES để bảo mật mã dữ liệu, chữ ký số RSA và số ngẫu nhiên

IPsec có thể sử dụng giao thức trao đổi khóa IKE (Internet Key Exchange) để xác thực hai bên, thỏa thuận các chính sách bảo mật và xác thực thông qua việc xác định các thuật toán như là thiết lập kênh truyền, trao đổi khóa cho mỗi phiên kết nối và dùng trong mỗi phiên truy nhập. Dùng IPsec để bảo mật dòng dữ liệu có thể tự động kiểm tra tính xác thực của thiết bị bằng chứng thực số giữa hai người trao đổi thông tin qua lại. Việc thương lượng này cuối cùng dẫn tới thiết lập một liên kết an ninh (SA: Security Association) giữa các cặp bảo mật.

Liên kết an ninh SA có chứa tập các chính sách, tham số. Tại mỗi đầu đường hầm IPsec, SA được dùng để xác định loại lưu lượng cần được xử lý IPsec, giao thức an ninh được sử dụng (AH hay là ESP), thuật toán và khóa được sử dụng cho quá trình mật mã và xác thực. Thông tin liên kết an ninh được lưu trong cơ sở dự liệu liên kết an ninh, và khi kết hợp một địa chỉ đích với giao thức an ninh thì có duy nhất một SA.

Khuôn dạng thỏa thuận (viết tắt) (Compact Form)

.4 Thí dụ về header From