CHƯƠNG 1: ĐẶC TRƯNG CỦA CÔNG NGHỆ MẠNG RIÊNG ẢO
1.3 Mạng riêng ảo (VPN – Virtual Private Network)
1.3.3 Các giao thức dùng cho VPN
1.3.3.3 Giao thức bảo mật IP – IPSec
Được phát triển bởi IETF, IPSec là tiêu chuẩn mở để truyền thông tin an toàn xác nhận người sử dụng ở hệ thống mạng công cộng. Đây là giao thức hoạt động ở lớp mạng, cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.
IPSec cho phép thiết lập một đường ngầm bảo mật giữa hai mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đóng vai trò như một kênh truyền bảo mật và các gói dữ có thể truyền một cách an toàn thông qua đường hầm. Các gói tin truyền trong đường ngầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý.
Mặc dù IPSec cung cấp các đặc tính cần thiết cho việc bảo mật VPN thông qua mạng internet nhưng nó vẫn chưa phải là một giao thức hoàn thiện. Tất cả các gói được xử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm xuống. Điều này có thể được giải quyết bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn hóa.
Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính sau:
- Liên kết bảo mật SA (Security Association) - Xác thực tiêu đề AH(Authentication Header)
- Bọc gói bảo mật tải ESP (Encapsulating Security Payload) - Chế độ làm việc
Liên kết bảo mật SA (Security Association)
Để hai bên có thể truyền, nhân dữ liệu đã được bảo mật thì cả hai bên phải cùng thống thuật toán mã hóa, phương thức trao đổi khóa, sau bao lâu thì cả hai bên sẽ cùng thay đổi khóa. Tất cả những thỏa thuận trên đều do SA đảm trách. Việc truyền thông giữa bên gửi và bên nhận đòi hỏi phải có ít nhất một SA và có thể đòi hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA cho nó
Xác thực tiêu đề AH
Xác thực tiêu đề AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu nờn cỏc dữ liệu đều được truyền dưới dạng bản rừ.
AH được chèn giữa tiêu đề IP và nội dung phía sau. Gói dữ liệu không bị thay đổi nội dung khi chèn AH vào
Hình 1.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH
Hình 1.15: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH Bọc gói bảo mật tải ESP
Bọc gói dữ liệu tải được sử dụng để cung cấp tính an toàn cho các gói tin được truyền đi với các chức năng như mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn của dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống.
Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu.
Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nội dung tiếp theo của gói. Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu nên nội dung của gói sẽ bị thay đổi.
Hình 1.16: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP
Hình 1.17: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP Chế độ làm việc
Có hai chế độ làm việc trong IPSec:
- Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói được xử lý
- Chế độ đường hầm (Tunnel mode): toàn bộ gói sẽ được ử lí cho mã hóa xác thực