IPSec là gì? Công dụng và quy trình vận hành của IPSec

1139
21-07-2021
IPSec là gì? Công dụng và quy trình vận hành của IPSec

Trong bài viết gần đây của BizFly Cloud về giao thức L2TP, chúng tôi đã nhắc đến khái niệm về IPSec, giao thức bảo mật thường được sử dụng kết hợp với L2TP trong thiết lập kết nối VPN. Trong bài viết hôm nay chúng ta sẽ cùng tìm hiểu kỹ hơn về giao thức bảo mật này.

IPSec là gì

IPSec là viết tắt của Internet Protocol Security – bảo mật mạng IP, một bộ giao thức tiêu chuẩn được quy định bởi IETF (Internet Engineering Task Force - Nhóm đặc trách kỹ thuật Internet). 

IPSec cung cấp xác thực (authentication), tính toàn vẹn (integrity) và tính bảo mật (confidentiality) cho kết nối qua mạng IP giữa 2 điểm liên lạc. Nó cũng chứa định nghĩa các gói mã hóa, giải mã, xác thực và các giao thức cần thiết để trao đổi khóa an toàn và quản lý khóa.

IPSec là gì

IPSec cung cấp tính xác thực và tính toàn vẹn

Công dụng của IPSec

IPSec có thể được sử dụng cho các công việc như:

  • Mã hóa dữ liệu lớp ứng dụng.
  • Cung cấp bảo mật cho các bộ định tuyến gửi dữ liệu định tuyến qua internet công cộng.
  • Cung cấp xác thực không mã hóa, như xác thực rằng dữ liệu bắt nguồn từ một người gửi đã biết.
  • Bảo vệ dữ liệu mạng bằng cách thiết lập các mạch sử dụng đường hầm IPsec, trong đó tất cả dữ liệu đang được gửi giữa hai điểm cuối được mã hóa, như với kết nối Mạng riêng ảo (VPN).
Công dụng của IPSec

IPSec giúp mã hóa dữ liệu lớp ứng dụng

Các thành phần của IPSec

1. Encapsulating Security Payload (ESP)

ESP cung cấp tính toàn vẹn (integrity), mã hóa (encryption), xác thực (authentication) và chống phát lại dữ liệu (anti-replay) bằng cách mã hóa IP headers và payload cho mỗi gói tin. Tuy nhiên, trong chế độ Transport mode chỉ có payload được mã hóa.

Encapsulating Security Payload (ESP)

2. Authentication Header (AH)

AH cũng cung cấp tính toàn vẹn của dữ liệu, xác thực và chống phát lại như ESP nhưng nó không cung cấp mã hóa. Chống phát lại là bảo vệ chống lại việc truyền các gói tin trái phép, bằng cách đánh số thứ tự các gói tin và dựa vào đó ngăn chặn các hành vi giả mạo gói tin của hacker. Cần lưu ý là anti-replay không giúp bảo vệ tính bí mật của dữ liệu.

Authentication Header (AH)

3. Internet Key Exchange (IKE)

IKE hay trao đổi khóa Internet là một giao thức bảo mật mạng được thiết kế để trao đổi các khóa mã hóa thông qua cầu nối bảo mật (Security Association - SA) giữa 2 thiết bị. Cầu nối bảo mật thiết lập các thuộc tính bảo mật được chia sẻ giữa 2 thực thể mạng để hỗ trợ giao tiếp an toàn. 

Giao thức quản lý khóa (ISAKMP) và cầu nối bảo mật Internet cung cấp một khuôn khổ để xác thực và trao đổi khóa. ISAKMP cho biết cách thiết lập cầu nối bảo mật (SA) và cách kết nối trực tiếp giữa hai máy chủ đang sử dụng IPsec.

IKE cung cấp khả năng bảo vệ nội dung gói tin và cũng là một khung mở để triển khai các thuật toán tiêu chuẩn như SHA và MD5. Thuật toán IPSec tạo ra mã định danh duy nhất cho mỗi gói tin, cho phép thiết bị xác định xem gói tin đó có đúng hay không. Các gói không được phép sẽ bị loại bỏ và không được trao cho người nhận.

Cách vận hành của IPSec

Các chế độ hoạt động

  • Chế độ Tunnel: Trong chế độ Tunnel, toàn bộ gói tin được bảo vệ, bao gồm IP header và payload. IPSec gói gói dữ liệu trong một packet mới, mã hóa nó và thêm một IP header mới. Nó thường được sử dụng trong thiết lập VPN site-to-site.
  • Chế độ Transport: Trong chế độ Transport, IP header gốc vẫn còn và không được mã hóa. Chỉ có payload và ESP trailer được mã hóa mà thôi. Chế độ Transport thường được sử dụng trong thiết lập VPN client-to-site.

Quy trình vận hành của IPSec

IPSec hoạt động theo 5 bước:

  1. Máy chủ kiểm tra xem gói tin gửi đi có nên được truyền bằng IPsec hay không. Các gói tin này được hệ thống gửi gói tin áp dụng một phương thức mã hóa thích hợp. Các gói tin đến cũng được máy chủ kiểm tra xem chúng có được mã hóa đúng cách hay không.
  2. Giai đoạn 1 của IKE bắt đầu trong đó 2 máy chủ (sử dụng IPsec) tự xác thực với nhau để bắt đầu một kênh an toàn. Kênh có 2 chế độ: chế độ chính (Main mode) cung cấp khả năng bảo mật cao hơn và chế độ linh hoạt (Aggressive mode) cho phép máy chủ thiết lập mạch IPsec nhanh hơn. Kênh này sau đó được sử dụng để trao đổi một cách an toàn cách thức mà mạch IP sẽ mã hóa toàn bộ dữ liệu.
  3. Giai đoạn 2 của IKE được tiến hành qua kênh bảo mật, trong đó hai máy chủ thương lượng loại thuật toán mã hóa sẽ sử dụng trong phiên và trao đổi về khóa bí mật sẽ được sử dụng với các thuật toán đó.
  4. Dữ liệu được trao đổi qua đường hầm mã hóa IPsec mới được tạo. Các gói này được mã hóa và giải mã bởi các máy chủ sử dụng IPsec SA.
  5. Khi quá trình giao tiếp giữa các máy chủ hoàn tất hoặc hết phiên thì đường hầm IPsec sẽ được kết thúc bằng cách loại bỏ các khóa của cả hai máy.
Quy trình vận hành IPSec

Phân biệt IPSec và SSL

Cùng là những giao thức bảo mật phổ biến được sử dụng cho kết nối VPN, tuy nhiên IPSec và SSL là hoàn toàn khác nhau và cần phải phân biệt rõ hai giao thức này.

IPSec

SSL

Là một tập hợp các giao thức cung cấp bảo mật cho Giao thức Internet

Là một giao thức an toàn được phát triển để gửi thông tin một cách an toàn qua Internet.

Hoạt động trong lớp Internet của mô hình OSI.

Hoạt động ở giữa lớp truyền tải và lớp ứng dụng của mô hình OSI.

Cấu hình IPSec khá phức tạp

Cấu hình SSL tương đối đơn giản

Dùng trong bảo mật mạng riêng ảo (VPN)

Dùng trong bảo mật giao dịch web

IPSec là một phần của hệ điều hành

SSL là thành phần phục vụ user


Hi vọng bài viết này của chúng tôi đã giúp các bạn hiểu thêm về bộ giao thức IPSec và những ứng dụng của nó. BizFly Cloud sẽ tiếp tục cập nhật những thông tin bổ ích về công nghệ thông tin nói chung và mạng máy tính nói riêng đến các bạn mỗi ngày.

TAGS: IPSec
SHARE