IPSec là gì? Giao thức IPSec hoạt động như thế nào?

Vinh Phạm

1765

21-07-2021

Gần đây chúng tôi đã nhắc đến khái niệm về IPSec, giao thức bảo mật thường được sử dụng kết hợp với L2TP trong thiết lập kết nối VPN. Trong bài viết hôm nay chúng ta sẽ cùng Bizfly Cloud tìm hiểu kỹ hơn về giao thức bảo mật này.

IPSec là gì?

IPSec (Internet Protocol Security – bảo mật mạng IP) là một bộ giao thức mật mã tiêu chuẩn bảo vệ lưu lượng dữ liệu qua mạng Internet Protocol (IP) được quy định bởi IETF (Internet Engineering Task Force - Nhóm đặc trách kỹ thuật Internet). 

IPSec cung cấp xác thực (authentication), tính toàn vẹn (integrity) và tính bảo mật (confidentiality) cho kết nối qua mạng IP giữa 2 điểm liên lạc. Nó cũng chứa định nghĩa các gói mã hóa, giải mã, xác thực và các giao thức cần thiết để trao đổi khóa an toàn và quản lý khóa.

Công dụng của IPSec

IPSec có thể được sử dụng cho các công việc như:

• Mã hóa dữ liệu lớp ứng dụng.
• Cung cấp bảo mật cho các bộ định tuyến gửi dữ liệu định tuyến qua internet công cộng.
• Cung cấp xác thực không mã hóa, như xác thực rằng dữ liệu bắt nguồn từ một người gửi đã biết.
• Bảo vệ dữ liệu mạng bằng cách thiết lập các mạch sử dụng đường hầm IPsec, trong đó tất cả dữ liệu đang được gửi giữa hai điểm cuối được mã hóa, như với kết nối Mạng riêng ảo (VPN).

Các thành phần của IPSec

1. Encapsulating Security Payload (ESP)

ESP cung cấp tính toàn vẹn (integrity), mã hóa (encryption), xác thực (authentication) và chống phát lại dữ liệu (anti-replay) bằng cách mã hóa IP headers và payload cho mỗi gói tin. Tuy nhiên, trong chế độ Transport mode chỉ có payload được mã hóa.

2. Authentication Header (AH)

AH cũng cung cấp tính toàn vẹn của dữ liệu, xác thực và chống phát lại như ESP nhưng nó không cung cấp mã hóa. Chống phát lại là bảo vệ chống lại việc truyền các gói tin trái phép, bằng cách đánh số thứ tự các gói tin và dựa vào đó ngăn chặn các hành vi giả mạo gói tin của hacker. Cần lưu ý là anti-replay không giúp bảo vệ tính bí mật của dữ liệu.

3. Internet Key Exchange (IKE)

IKE hay trao đổi khóa Internet là một giao thức bảo mật mạng được thiết kế để trao đổi các khóa mã hóa thông qua cầu nối bảo mật (Security Association - SA) giữa 2 thiết bị. Cầu nối bảo mật thiết lập các thuộc tính bảo mật được chia sẻ giữa 2 thực thể mạng để hỗ trợ giao tiếp an toàn. 

Giao thức quản lý khóa (ISAKMP) và cầu nối bảo mật Internet cung cấp một khuôn khổ để xác thực và trao đổi khóa. ISAKMP cho biết cách thiết lập cầu nối bảo mật (SA) và cách kết nối trực tiếp giữa hai máy chủ đang sử dụng IPsec.

IKE cung cấp khả năng bảo vệ nội dung gói tin và cũng là một khung mở để triển khai các thuật toán tiêu chuẩn như SHA và MD5. Thuật toán IPSec tạo ra mã định danh duy nhất cho mỗi gói tin, cho phép thiết bị xác định xem gói tin đó có đúng hay không. Các gói không được phép sẽ bị loại bỏ và không được trao cho người nhận.

Cách thức hoạt động của IPSec

IPsec hoạt động theo 4 giai đoạn:

1. Nhận dạng lưu lượng quan tâm. Sau khi một thiết bị mạng nhận được một packet, nó sẽ match với 5-tuple của packet đó với IPsec policy đã configured để xác định xem packet có cần được truyền qua một đường hầm IPsec hay không. Lưu lượng cần được truyền qua đường hầm IPsec được gọi là lưu lượng quan tâm.
2. Đàm phán Security Association (SA) & Key exchange. SA xác định các yếu tố để truyền dữ liệu an toàn giữa các bên giao tiếp. Các yếu tố này bao gồm các giao thức bảo mật, chế độ đóng gói dữ liệu, thuật toán mã hóa và xác thực, và các key được sử dụng để truyền dữ liệu.
Sau khi xác định lưu lượng quan tâm, thiết bị mạng cục bộ bắt đầu thương lượng SA với thiết bị mạng ngang hàng. Trong giai đoạn này, các bên giao tiếp sử dụng giao thức Internet Key Exchange (IKE) để thiết lập IKE SA để xác thực danh tính và trao đổi thông tin chính, sau đó thiết lập IPsec SA để truyền dữ liệu an toàn dựa trên IKE SA.
3. Truyền dữ liệu. Sau khi IPsec SA được thiết lập giữa các bên giao tiếp, chúng có thể truyền dữ liệu qua đường hầm IPsec.
Để đảm bảo tính bảo mật khi truyền dữ liệu, Authentication Header (AH) hoặc Encapsulating Security Payload (ESP) được sử dụng để mã hóa và xác thực dữ liệu. Cơ chế mã hóa đảm bảo tính bảo mật của dữ liệu và ngăn chặn dữ liệu bị chặn trong quá trình truyền. Cơ chế xác thực đảm bảo tính toàn vẹn và độ tin cậy của dữ liệu và ngăn dữ liệu bị giả mạo hoặc giả mạo trong quá trình truyền.
Trong hình dưới đây, IPsec sender sử dụng thuật toán mã hóa và khóa mã hóa để mã hóa một IP packet, tức là nó đóng gói dữ liệu gốc. Sau đó, sender và receiver sử dụng cùng một thuật toán xác thực và khóa xác thực để xử lý các packet được mã hóa nhằm thu được giá trị kiểm tra tính toàn vẹn (integrity check value - ICV). Nếu các ICV thu được ở cả hai đầu đều giống nhau, thì gói tin không bị giả mạo trong quá trình truyền và receiver sẽ giải mã gói tin đó. Nếu các ICV khác nhau, receiver sẽ loại bỏ gói tin.

4. Kết thúc. Đây là bước cuối cùng và nó liên quan đến việc kết thúc kênh bảo mật IPSec. Việc chấm dứt xảy ra khi quá trình trao đổi dữ liệu hoàn tất hoặc phiên đã hết thời gian. Các khóa mật mã cũng bị loại bỏ. Để tiết kiệm tài nguyên hệ thống, đường hầm giữa hai bên liên lạc sẽ tự động được chia nhỏ khi đạt đến khoảng thời gian chờ không hoạt động của đường hầm.

Cách vận hành của IPSec

Các chế độ hoạt động

• Chế độ Tunnel: Trong chế độ Tunnel, toàn bộ gói tin được bảo vệ, bao gồm IP header và payload. IPSec gói gói dữ liệu trong một packet mới, mã hóa nó và thêm một IP header mới. Nó thường được sử dụng trong thiết lập VPN site-to-site.
• Chế độ Transport: Trong chế độ Transport, IP header gốc vẫn còn và không được mã hóa. Chỉ có payload và ESP trailer được mã hóa mà thôi. Chế độ Transport thường được sử dụng trong thiết lập VPN client-to-site.

Quy trình vận hành của IPSec

IPSec hoạt động theo 5 bước:

1. Máy chủ kiểm tra xem gói tin gửi đi có nên được truyền bằng IPsec hay không. Các gói tin này được hệ thống gửi gói tin áp dụng một phương thức mã hóa thích hợp. Các gói tin đến cũng được máy chủ kiểm tra xem chúng có được mã hóa đúng cách hay không.
2. Giai đoạn 1 của IKE bắt đầu trong đó 2 máy chủ (sử dụng IPsec) tự xác thực với nhau để bắt đầu một kênh an toàn. Kênh có 2 chế độ: chế độ chính (Main mode) cung cấp khả năng bảo mật cao hơn và chế độ linh hoạt (Aggressive mode) cho phép máy chủ thiết lập mạch IPsec nhanh hơn. Kênh này sau đó được sử dụng để trao đổi một cách an toàn cách thức mà mạch IP sẽ mã hóa toàn bộ dữ liệu.
3. Giai đoạn 2 của IKE được tiến hành qua kênh bảo mật, trong đó hai máy chủ thương lượng loại thuật toán mã hóa sẽ sử dụng trong phiên và trao đổi về khóa bí mật sẽ được sử dụng với các thuật toán đó.
4. Dữ liệu được trao đổi qua đường hầm mã hóa IPsec mới được tạo. Các gói này được mã hóa và giải mã bởi các máy chủ sử dụng IPsec SA.
5. Khi quá trình giao tiếp giữa các máy chủ hoàn tất hoặc hết phiên thì đường hầm IPsec sẽ được kết thúc bằng cách loại bỏ các khóa của cả hai máy.

Phân biệt IPSec và SSL

Cùng là những giao thức bảo mật phổ biến được sử dụng cho kết nối VPN, tuy nhiên IPSec và SSL là hoàn toàn khác nhau và cần phải phân biệt rõ hai giao thức này.

Hi vọng bài viết này của chúng tôi đã giúp các bạn hiểu thêm về bộ giao thức IPSec và những ứng dụng của nó. BizFly Cloud sẽ tiếp tục cập nhật những thông tin bổ ích về công nghệ thông tin nói chung và mạng máy tính nói riêng đến các bạn mỗi ngày.