b)
4.2 Giải pháp thực hiện
1.1.24.Mô hình xư lý IPSec tổng quát
Hình sau mô tả tổng quát cách hoạt động của thiết bị IPSec:
Hình 4-31:Quá trình xử lý IPSec tổng quát từ thiết bị IPSec 1 tới thiết bị IPSec 2.
Để minh họa cho quá trình xử lý này giả sử Alice sử dụng một ứng dụng dữ liệu trên máy tính A1, gửi một gói tin IP cho Bob trên máy tính B1. Trên thiết bị IPSec đã cấu hình tiến hành bảo mật gói tin IPSec từ A1 đến B1. Thông tin này được cập nhật vào bảng SPD outbound ở thiết bị IPSec 1 và SPD outbound ở thiết bị IPSec 2.
1. Khi gói tin IP từ máy tính A1 đến thiết bị IPSec 1, nó sẽ kiểm tra địa chỉ đích và nguồn trong danh sách SPD và phát hiện gói tin cần được bảo vệ IPSec, gói tin này được đưa vào hàng chờ. Sau khi quá trình trao đổi key kết thúc gói tin sẽ được tiến hành xử lý mã hóa IPSec.
2. Do đường ngầm IPSec giữa hai bên chưa tồn tại, quá trình trao đổi IKE được thông bảo bắt đầu tiến hành. Tất cả các gói tin đến thiết bị IPSec 1 trong thời gian trao đổi IKE đều được lưu trong hàng chờ.
3. Thiết bị IPSec 1 sử dụng địa chỉ IP của máy tính A1 như là nguồn và địa chỉ IP của máy tính B1 là điểm đến. Máy tính A sẽ gửi tin nhắn IKE đầu tiên trong chế độ chính, sử dụng UDP cổng nguồn 500 , cổng đích 500 .
4. Thiết bị IPSec 2 nhận được một tin nhắn IKE chế độ chính yêu cầu đàm phán an toàn . Nó sử dụng địa chỉ IP nguồn và địa chỉ IP đích của gói tin UDP để thực hiện một tra cứu chính sách trong bảng SPD inbound (inbound-gói tin đi vào mạng được bảo vệ) nhằm xác định thiết lập bảo mật đồng ý . Khi thiết bị IPSec 2 có một tập tin chế độ chính sách phù hợp, thiết bắt đầu đàm phán chế độ chính.
5. Thiết bị IPSec 1 và thiết bị IPSec 2 bây giờ tiến hành trao đổi nhằm xác thực, khởi tạo key chính. Khi quá trinh đàm phán chế độ chính kết thúc, thiết bị IPSec 1 và thiết bị IPSec 2 hoàn toàn tin tưởng nhau, tiến hành trao đổi key chế độ nhanh.
6. Trong chế độ nhanh, 2 thiết bị IPsec sẽ trao đổi các thông số như SPI, giao thức IPsec, tính toán khóa xác thực, khóa mã hóa IPsec. Kết thúc quá trình trao đổi key, thông tin bảo mật được cập nhật vào mục SA outbound (outbound- gói tin đi ra khỏi mạng bảo vệ )của thiết bị IPSec 1 và mục SA outbound của thiết bị IPSec 2. Đồng thời các thuộc tính khác của đường ngầm cũng được cập nhật vào SA(ví dụ như lifetime).
7. Sau khi quá trình trao đổi key kết thúc, quá trình xử lý mã hóa gói tin IPSec diễn ra:
Thiết bị IPSec 1 sử dụng SA outbound để mã hóa các gói dữ liệu từ máy tính A1 đến máy tính B1. Trước tiên là gói tin trong hàng chờ trước quá trình xử lý IKE.
Thiết bị IPSec 2 sử dụng SA inbound để tiến hành nhận dạng cũng như giải mã các gói dữ liệu từ thiết bị IPSec 1 gửi đến.
8. Sau một khoảng thời gian lifetime được quy định trước, thông tin về SA sẽ bị xóa. Khi đó nếu có một gói tin từ máy tính A gửi ra đến thiết bị IPSec có địa chỉ nguồn là máy tính B, quá trình lại khởi tạo từ bước 1.
1.1.25.Chính sách bảo mật và sự liên kết cơ sở dữ liệu trong IPSec.
IP sec cần một cơ sở dữ liệu nhằm kiểm soát luồng gói tin IP vào và ra. Cơ sở dữ liệu này được gọi là cơ sở dữ liệu chính sách bảo mật (Security Policy Database-SPD). Nó mô tả một cách đơn giản luồng dữ liệu nào cần được xử lý IPSec, luồng nào không.
Cơ sở dữ liệu khác là cơ sở dữ liệu liên kết bảo mật (Security Association Database- SAD) chứa dữ liệu về cấu hình kết nối cũng như định nghĩa bằng cách nào một luồng dữ liệu được xử lý nếu chính sách trong bảng SPD được định nghĩa là APPLY.
SPD có thể được xem là cơ sở dữ liệu bền vững trong khi SAD là cơ sở dữ liệu tạm thời cho mỗi kết nối.
Trong chương trình, tồn tại hai bảng SAD và hai bảng SPD có cấu trúc như sau:
Hình 4-32:Cấu trúc cơ sở dữ liệu trong chương trình
Trong đó, bảng SPD outbound lưu thông tin xử lý gói tin đi ra (từ mạng nội bộ ra mạng Internet), bảng SPD inbound lưu thông tin xử lý gói tin đi vào(từ mạng Internet vào mạng nội bộ).
Khi quá trình trao đổi IKE kết thúc, thông tin chi tiết về đường ngầm sẽ được cập nhật trong bảng SAD outbound với gói tin đi ra và bản SAD inbound với gói tin đi vào. Đồng thời, một liên kết giữa SA mới cập nhật thông tin với mục SPD có chứa địa chỉ nguồn, địa chỉ đích của đường ngầm vừa tạo ra.
Tất cả dữ liệu được yêu cầu trong quá trình xử lý IPSec được lưu trong một cơ sở dữ liệu chung nhất gọi là Database.