Có hai c s d li u liên quan đ n an ninh là:ơ ở ữ ệ ế
- CSDL chính sách an ninh SPD (Security Policy Database) - CSDL liên k t an ninh SAD (Security Association Database)ế
SPD ch nh ra nh ng d ch v an ninh đỉ ữ ị ụ ược đ ngh cho l u lề ị ư ượng IP, ph thu c vàoụ ộ
nh ng y u t nh ngu n, đích, chi u đi ra hay đi vào. Nó ch a đ ng m t danh sách nh ngữ ế ố ư ồ ề ứ ự ộ ữ
l i vào chính sách t n t i riêng r cho l u lố ồ ạ ẽ ư ượng đi vào và đi ra. Các l i vào này có th xácố ể
đ nh m t vài l u lị ộ ư ượng không qua x lý IPSec, m t vài ph i đử ộ ả ược lo i b và còn l i thìạ ỏ ạ
được x lý b i IPSec. Các l i vào này là tử ở ố ương t cho firewall hay b l c gói.ự ộ ọ
SAD ch a thông s v m i SA, gi ng nh các tính toán và khóa AH hay ESP, s trìnhứ ố ề ỗ ố ư ố
t , ki u giao th c và th i gian s ng c a SA. Đ i v i x lý đi ra, m t l i vào SPD tr t iự ể ứ ờ ố ủ ố ớ ử ộ ố ỏ ớ
m t l i vào trong SAD và SAD s quy t đ nh SA nào độ ố ẽ ế ị ượ ử ục s d ng cho gói. Đ i v i x lýố ớ ử
đi vào, SAD được tham kh o đ quy t đ nh gói đả ể ế ị ược x lý nh th nào.ử ư ế
Ho t đ ng trao đ i khóa IKEạ ộ ổ
K t n i IPSec ch đế ố ỉ ược hình thành khi SA đã được thi t l p. Tuy nhiên, b n thânế ậ ả
IPSec không có c ch đ thi t l p liên k t an ninh. Chính vì v y, IETF đã ch n phơ ế ể ế ậ ế ậ ọ ương án chia quá trình thi t l p k t n i IPSec ra thành hai ph n:ế ậ ế ố ầ
- IPSec cung c p vi c x lý m c gói.ấ ệ ử ở ứ
- IKMP (Internet Key Management Protocol) ch u trách nhi m tho thu n các liênị ệ ả ậ
k t an ninh.ế
Sau khi cân nh c m t s phắ ộ ố ương án, trong đó có IKE, SKIP (Simple Key Internet Protocol) và Photuis, IETF đã quy t đ nh ch n IKE là chu n đ c u hình SA cho IPSec.ế ị ọ ẩ ể ấ
M t độ ường h m IPSec-VPN đầ ược thi t l p gi a hai bên qua các bế ậ ữ ước sau đây:
- Bước 1: Quy t đ nh l u lế ị ư ượng nào c n đầ ược quan tâm b o v t i m t giao di nả ệ ạ ộ ệ
yêu c u thi t l p phiên thông tin IPSec.ầ ế ậ
- Bước 2: Thương lượng ch đ chính (Main mode) ho c ch đ linh ho tế ộ ặ ế ộ ạ
(Aggressive modem) s d ng IKE, k t qu là t o ra liên k t an ninh IKE (IKE SA)ử ụ ế ả ạ ế
gi a các bên IPSec.ữ
- Bước 3: Thương lượng ch đ nhanh (Quick mode) s d ng IKE, k t qu là t oế ộ ử ụ ế ả ạ
ra hai IPSec SA gi a các bên IPSec.ữ
- Bước 4: D li u b t đ u truy n qua đữ ệ ắ ầ ề ường h m mã hóa s d ng k thu t đóngầ ử ụ ỹ ậ
gói ESP hay AH ho c c hai.ặ ả
- Bước 5: K t thúc đế ường h m IPSec-VPN (nguyên nhân có th là do IPSec SA k tầ ể ế
thúc, h t h n ho c b xóa).ế ạ ặ ị
M c dù IPSec đã s n sàng đ a ra các đ c tính c n thi t đ đ m b o thi t l p k t n iặ ẵ ư ặ ầ ế ể ả ả ế ậ ế ố
VPN an toàn thông qua Internet, tuy nhiên nó v n còn trong giai đo n phát tri n đ hẫ ạ ể ể ướng t iớ
s hoàn thi n. Sau đây là m t s v n đ đ t ra mà IPSec c n ph i gi i quy t đ h tr t tự ệ ộ ố ấ ề ặ ầ ả ả ế ể ỗ ợ ố
h n cho vi c th c hi n VPN:ơ ệ ự ệ
- T t c các gói đấ ả ược x lý theo IPSec s b tăng kích thử ẽ ị ước do ph i thêm vào cácả
tiêu đ khác nhau, đi u này làm cho thông lề ề ượng hi u d ng c a m ng gi mệ ụ ủ ạ ả
xu ng. V n đ này có th đố ấ ề ể ược kh c ph c b ng cách nén d li u trắ ụ ằ ữ ệ ước khi mã hóa, song các k thu t nh v y v n còn đang đỹ ậ ư ậ ẫ ược nghiên c u và ch a đứ ư ược chu n hóa.ẩ
- Giao th c trao đ i khóa IKE v n là công ngh ch a th c s kh ng đ nh đứ ổ ẫ ệ ư ự ự ẳ ị ược khả
năng mình. Phương th c chuy n khóa th công l i không thích h p cho m ng cóứ ể ủ ạ ợ ạ
s lố ượng l n các đ i tớ ố ượng di đ ng.ộ
- IPSec được thi t k ch đ h tr b o m t cho l u lế ế ỉ ể ỗ ợ ả ậ ư ượng IP, không h tr cácỗ ợ
d ng l u lạ ư ượng khác.
- Vi c tính toán nhi u gi i thu t ph c t p trong IPSec v n còn là m t v n đ khóệ ề ả ậ ứ ạ ẫ ộ ấ ề
đ i v i các tr m làm vi c và máy PC năng l c y u.ố ớ ạ ệ ự ế
- Vi c phân ph i ph n c ng và ph n m m m t mã v n còn b h n ch đ i v iệ ố ầ ứ ầ ề ậ ẫ ị ạ ế ố ớ
THU T NGẬ Ữ VÀ CÁC T VI T T TỪ Ế ẮACK Acknowledgment Tin báo nh nậ ACK Acknowledgment Tin báo nh nậ
AH Authentication Header Tiêu đ xác th cề ự
ATM Asynchronous Transfer Mode Ch đ truy n t i không đ ng bế ộ ề ả ồ ộ
CA Certificate Authority D ch v c p quy n ch ng nh n.ị ụ ấ ề ứ ậ
DES Data Encryption Standard Chu n mã hoá d li uẩ ữ ệ
ESP Encapsulation Security Payload Đóng gói t i tin an toànả
GRE Generic Routing Encapsulation Giao th c đóng gói đ nh tuy n chungứ ị ế
ID Identity Nh n d ngậ ạ
IKE Internet Key Exchange Giao th c trao đ i khóa Internetứ ổ
IP Internet Protocol Giao th c Internetứ
IPX Internet Packet Exchange Giao th c trao đ i gói Internetứ ổ
L2F Layer 2 Forwarding Giao th c chuy n ti p l p 2ứ ể ế ớ
L2TP Layer 2 Tunneling Protocol Giao th c đ nh đứ ị ường h m l p 2ầ ớ
LAC L2TP Access Concentrator B t p trung truy nh p giao th c L2TPộ ậ ậ ứ
LAN Local Area Network M ng c c bạ ụ ộ
LNS L2TP Network Server Máy ch ph c v L2TPủ ụ ụ
NAS Network Access Server Máy ch truy c p m ngủ ậ ạ
NetBEIU NetBIOS Enhanced User
Interface Giao th c ngứ ười dùng m r ng trongở ộ
NetBIOS
OSI Open Systems Interconnection Mô hình liên k t các h th ng mế ệ ố ở
PPP Point to Point Protocol Giao th c đi m - n i - đi mứ ể ố ể
PPTP Point to Point Tunnel Protocol Giao th c đứ ường h m đi m - n i -ầ ể ố
đi mể
PSTN Public Switched Telephone Network
M ng đi n tho i chuy n m ch côngạ ệ ạ ể ạ
c ngộ
QoS Quality of Service Ch t lấ ượng d ch vị ụ
RADIUS Remote Authentication Dial-In User Service
D ch v ngị ụ ườ ử ụi s d ng quay s xácố
th c t xaự ừ
RSA Ch cái đ u c a 3 tác gi làữ ầ ủ ả
Rivest, Shamir, Adleman Thu t toán mã hóa công khaiậ
SA Security Association Liên k t an ninhế
SHA Secure Hash Algorithm Thu t toán phân tách b o m tậ ả ậ
SPI Security Parameters Index Ch s thông s an ninhỉ ố ố
TACACS Terminal Access Controller
Access Control System H th ng đi u khi n truy nh p c a bệ ố ề ể ậ ủ ộ
đi u khi n truy nh p đ u cu iề ể ậ ầ ố
TCP Transmission Control Protocol Giao th c đi u khi n truy n thôngứ ề ể ề
TÀI LI U THAM KH OỆ Ả
1. Giáo trình M NG RIÊNG O – TS. Nguy n Ti n Ban, ThS. Hoàng Tr ng Minh, H cẠ Ả ễ ế ọ ọ
Vi n công ngh B u chính - Vi n thông, 2007.ệ ệ ư ễ
2. Giáo trình M NG MÁY TÍNH – TS. Ph m Th Qu , H c Vi n công ngh B u chínhẠ ạ ế ế ọ ệ ệ ư
- Vi n thông, 2006.ễ
3. VPNs Illustrated: Tunnels, VPNs, and IPSec - By Jon C. Snader, 10/2005.