IPSec là gì? – osuairportpart150.com

IPSec, viết tắt của Internet Protocol Security, là một bộ giao thức mật mã bảo vệ lưu lượng dữ liệu qua mạng Internet Protocol (IP).

Mạng IP – bao gồm cả World Wide Web – thiếu khả năng mã hoá và bảo vệ quyền riêng tư. VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp một framework cho việc giao tiếp được mã hóa và riêng tư trên web.

Dưới đây là tầm nhìn sâu hơn về IPSec và cách nó hoạt động với những VPN tunnel để bảo vệ dữ liệu qua những mạng ko bảo mật.

Sơ lược về lịch sử của IPSec

lúc Internet Protocol được phát triển vào đầu những năm 80, tính bảo mật ko nằm ở vị trí được ưu tiên cao. Tuy nhiên, lúc số lượng người sử dụng Internet tiếp tục phát triển, nhu cầu bảo mật cao cũng vì thế mà ngày càng tăng.

Để giải quyết nhu cầu này, Cơ quan An ninh Quốc gia đã tài trợ cho sự phát triển của những giao thức bảo mật vào giữa những năm 80, trong chương trình Secure Data Network Systems (Hệ thống mạng dữ liệu bảo mật). Điều này dẫn tới sự phát triển của Security Protocol (Giao thức bảo mật) ở Layer 3 và cuối cùng là Network Layer Security Protocol. Nhiều kỹ sư đã làm việc trong dự án này trong suốt những năm 90 và IPSec đã phát triển nhờ những nỗ lực này. IPSec hiện là một tiêu chuẩn mã nguồn mở và là một phần của IPv4.

Cách thức hoạt động của IPSec

lúc hai máy tính thiết lập kết nối VPN, chúng phải đồng thuận về một tập hợp những giao thức bảo mật và thuật toán mã hóa, đồng thời trao đổi key mật mã để mở khóa và xem dữ liệu đã mã hóa.

Đây là lúc IPSec phát huy vai trò. IPSec làm việc với những VPN tunnel để thiết lập kết nối hai chiều riêng tư giữa những thiết bị. IPSec ko phải là một giao thức đơn lẻ; thay vào đó, đó là một bộ giao thức và tiêu chuẩn hoàn chỉnh, hoạt động cùng nhau để giúp đảm bảo tính bảo mật, toàn vẹn và xác thực của những gói dữ liệu Internet đi qua VPN tunnel.

Đây là cách IPSec tạo một VPN tunnel bảo mật:

• IPSec xác thực dữ liệu để đảm bảo tính toàn vẹn của gói dữ liệu trong quá trình truyền tải.
• IPSec mã hóa lưu lượng truy cập Internet qua những VPN tunnel để ko thể xem dữ liệu.
• IPSec bảo vệ dữ liệu khỏi những cuộc tấn công Replay Attack, mang thể dẫn tới việc đăng nhập trái phép.
• IPSec cho phép trao đổi key mật mã bảo mật giữa những máy tính.
• IPSec cung cấp hai chế độ bảo mật: Tunnel và Transport.

VPN IPSec bảo vệ dữ liệu truyền từ host tới host, mạng tới mạng, host tới mạng và cổng tới gateway (được gọi là chế độ Tunnel, lúc toàn bộ gói IP được mã hóa và xác thực).

Những giao thức IPSec và những thành phần tư vấn

Tiêu chuẩn IPSec chia thành một số giao thức cốt lõi và những thành phần tư vấn.

Giao thức IPSec cốt lõi

– IPSec Authentication Header (AH): Giao thức này bảo vệ địa chỉ IP của những máy tính tham gia vào quá trình trao đổi dữ liệu, để đảm bảo rằng những bit dữ liệu ko bị mất, thay đổi hoặc bị hỏng trong quá trình truyền. AH cũng xác minh rằng người gửi dữ liệu thực sự đã gửi nó, bảo vệ tunnel khỏi sự xâm nhập của những người sử dụng trái phép.

– Encapsulating Security Payload (ESP): Giao thức ESP cung cấp phần mã hóa của IPSec, đảm bảo tính bảo mật của lưu lượng dữ liệu giữa những thiết bị. ESP mã hóa những gói dữ liệu/payload, xác thực payload và nguồn gốc của nó trong bộ giao thức IPSec. Giao thức này xáo trộn lưu lượng truy cập Internet một cách hiệu quả, để bất kỳ ai nhìn vào tunnel cũng đều ko thể thấy bất cứ gì trong đó.

ESP vừa mã hóa vừa xác thực dữ liệu, trong lúc AH chỉ xác thực dữ liệu.

những thành phần tư vấn IPSec

– Security Associations (SA): Security Associations và những chính sách thiết lập những thỏa thuận bảo mật khác nhau, được sử dụng trong trao đổi. những thỏa thuận này mang thể xác định loại mã hóa và thuật toán hash sẽ được sử dụng. Những chính sách này thường linh hoạt, cho phép những thiết bị quyết định cách chúng muốn xử lý mọi thứ.

– Internet Key Exchange (IKE): Để mã hóa hoạt động, những máy tính liên quan tới việc trao đổi thông tin liên lạc riêng tư cần phải chia sẻ key mã hóa. IKE cho phép hai máy tính trao đổi và chia sẻ key mật mã một cách bảo mật lúc thiết lập kết nối VPN.

– Encryption and Hashing Algorithms: Key mật mã hoạt động bằng cách sử dụng giá trị hash, được tạo bằng thuật toán hash. AH và ESP rất chung chung, chúng ko chỉ định một loại mã hóa cụ thể. Tuy nhiên, IPsec thường sử dụng Message Digest 5 hoặc Secure Hash Algorithm 1 để mã hóa.

– Bảo vệ chống lại những cuộc tấn công Replay Attack: IPSec cũng kết hợp những tiêu chuẩn để ngăn việc replay (phát lại) bất kỳ gói dữ liệu nào, một phần của quá trình đăng nhập thành công. Tiêu chuẩn này ngăn chặn tin tặc sử dụng thông tin được replay để tự sao chép thông tin đăng nhập.

IPSec là một giải pháp giao thức VPN hoàn chỉnh và cũng mang thể đóng vai trò như một giao thức mã hóa trong L2TP và IKEv2.

những chế độ Tunneling: Tunnel và Transport

IPSec gửi dữ liệu bằng cách sử dụng chế độ Tunnel hoặc Transport. những chế độ này mang liên quan chặt chẽ tới loại giao thức được sử dụng, AH hoặc ESP.

– Chế độ Tunnel: Trong chế độ Tunnel, toàn bộ gói tin được bảo vệ. IPSec gói gói dữ liệu trong một packet mới, mã hóa nó và thêm một IP header mới. Nó thường được sử dụng trong thiết lập VPN site-to-site.

– Chế độ Transport: Trong chế độ Transport, IP header gốc vẫn còn và ko được mã hóa. Chỉ mang payload và ESP trailer được mã hóa mà thôi. Chế độ Transport thường được sử dụng trong thiết lập VPN client-to-site.

Đối với những VPN, cấu hình IPSec phổ biến nhất mà bạn sẽ thấy là ESP với xác thực ở chế độ Tunnel. Cấu trúc này giúp lưu lượng truy cập Internet di chuyển bảo mật và ẩn danh bên trong VPN tunnel qua những mạng ko bảo mật.

Vậy sự khác lạ giữa chế độ Tunnel và Transport trong IPsec là gì?

Chế độ Tunnel trong IPsec được sử dụng giữa hai router chuyên dụng, với mỗi router hoạt động như một đầu của “đường hầm” ảo thông qua mạng công cùng. Trong chế độ Tunnel, IP header ban đầu chứa đích cuối cùng của gói được mã hóa, cùng với payload gói. Để cho những router trung gian biết nơi chuyển tiếp những gói tin, IPsec thêm một IP header mới. Tại mỗi đầu của đường hầm, những router giải mã những IP header để chuyển những gói tới đích của chúng.

Trong chế độ Transport, payload của mỗi gói được mã hóa, nhưng IP header ban đầu thì ko. Do đó, những router trung gian mang thể xem đích cuối cùng của mỗi gói – trừ lúc sử dụng một giao thức tunnel riêng biệt (chẳng hạn như GRE).

IPsec sử dụng cổng nào?

Cổng mạng là vị trí ảo nơi dữ liệu đi trong máy tính. Cổng là cách máy tính theo dõi những tiến trình và kết nối khác nhau. Nếu dữ liệu đi tới một cổng nhất định, nền tảng sử dụng của máy tính sẽ biết nó thuộc tiến trình nào. IPsec thường sử dụng cổng 500.

IPsec tác động tới MSS và MTU như thế nào?

MSS và MTU là hai phép đo kích thước gói tin. những gói chỉ mang thể đạt tới một kích thước nhất định (tính bằng byte) trước lúc máy tính, router và switch ko thể xử lý chúng. MSS đo kích thước payload của mỗi gói, trong lúc MTU đo toàn bộ gói, bao gồm cả những header. những gói vượt quá MTU của mạng mang thể bị phân mảnh, mang nghĩa là được chia thành những gói nhỏ hơn và sau đó được tập hợp lại. những gói vượt quá MSS chỉ đơn thuần là bị loại bỏ.

Giao thức IPsec thêm một số header và trailer vào những gói, tất cả đều chiếm vài byte. Đối với những mạng sử dụng IPsec, MSS và MTU phải được điều chỉnh cho phù hợp, nếu ko những gói tin sẽ bị phân mảnh và khá trễ. Thông thường, MTU cho một mạng là 1.500 byte. IP header bình thường dài 20 byte và TCP header cũng dài 20 byte, nghĩa là mỗi gói mang thể chứa 1.460 byte payload. Tuy nhiên, IPsec thêm Authentication Header (header xác thực), ESP header và những trailer liên quan. Chúng thêm 50 – 60 byte vào một gói hoặc nhiều hơn.