IPSec là gì? Công dụng và quy trình vận hành của IPSec

Làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền tải các dữ liệu đó? IPSec là một trong những giải pháp khả dụng giúp bảo mật các dữ liệu qua mạng. Vậy IPSec là gì? Cùng Hostify tìm hiểu nhé.

IPSec là gì?

IPSec là viết tắt của Internet Protocol Security – bảo mật mạng IP, một bộ giao thức tiêu chuẩn được quy định bởi IETF (Internet Engineering Task Force – Nhóm đặc trách kỹ thuật Internet). 

IPSec cung cấp xác thực (authentication), tính toàn vẹn (integrity) và tính bảo mật (confidentiality) cho kết nối qua mạng IP giữa 2 điểm liên lạc. Nó cũng chứa định nghĩa các gói mã hóa, giải mã, xác thực và các giao thức cần thiết để trao đổi khóa an toàn và quản lý khóa.

IPSec là gì?
IPSec là gì?

IPsec bao gồm những thành phần nào?

Encapsulating Security Payload (ESP)

ESP cung cấp sự toàn vẹn (integrity), mã hóa (encryption), xác thực (authentication) và chống phát lại dữ liệu (anti-replay) bằng việc mã hóa IP headers và payload cho mỗi gói tin. Tuy vậy, trong chế độ Transport mode chỉ có payload được mã hóa.

Authentication Header (AH)

AH cũng cung cấp tính toàn vẹn của dữ liệu, xác thực và chống phát lại như là ESP nhưng nó không cung cấp mã hóa. Chống phát lại là bảo vệ chống lại việc truyền những gói tin trái phép, bằng cách đánh số thứ tự những gói tin và dựa vào đó ngăn chặn những hành vi giả mạo gói tin của hacker. Cần lưu ý rằng anti-replay không giúp bảo vệ tính bí mật của dữ liệu.

Internet Key Exchange (IKE)

IKE hay trao đổi khóa Internet là một giao thức giúp bảo mật mạng được thiết kế để trao đổi những khóa mã hóa bằng cầu nối bảo mật (Security Association – SA) giữa hai thiết bị. Cầu nối bảo mật thiết lập những thuộc tính bảo mật được chia sẻ giữa hai thực thể mạng để hỗ trợ giao tiếp an toàn.

Giao thức quản lý khóa (hay ISAKMP) và cầu nối bảo mật Internet cung cấp một khuôn khổ để xác thực và trao đổi khóa. ISAKMP cho biết cách thiết lập cầu nối bảo mật (hay SA) và cách kết nối trực tiếp giữa hai máy chủ đang sử dụng IPsec.

IKE cung cấp khả năng bảo vệ nội dung gói tin và cũng là một khung mở để triển khai những thuật toán tiêu chuẩn như là SHA và MD5. Thuật toán IPSec xây dựng mã định danh duy nhất cho mỗi gói tin, cho phép thiết bị xác định xem gói tin đó có đúng hay không. Những gói không được phép sẽ bị loại bỏ và không được trao cho người nhận.

Công dụng của IPSec

IPSec có thể được sử dụng cho các công việc như:

  • Mã hóa dữ liệu lớp ứng dụng.
  • Cung cấp bảo mật cho các bộ định tuyến gửi dữ liệu định tuyến qua internet công cộng.
  • Cung cấp xác thực không mã hóa, như xác thực rằng dữ liệu bắt nguồn từ một người gửi đã biết.
  • Bảo vệ dữ liệu mạng bằng cách thiết lập các mạch sử dụng đường hầm IPsec, trong đó tất cả dữ liệu đang được gửi giữa hai điểm cuối được mã hóa, như với kết nối Mạng riêng ảo (VPN).
IPSec là gì?
Công dụng của IPSec

Cách thức hoạt động của IPSec

IPsec hoạt động theo 4 giai đoạn:

  1. Nhận dạng lưu lượng quan tâm. Sau khi một thiết bị mạng nhận được một packet, nó sẽ match với 5-tuple của packet đó với IPsec policy đã configured để xác định xem packet có cần được truyền qua một đường hầm IPsec hay không. Lưu lượng cần được truyền qua đường hầm IPsec được gọi là lưu lượng quan tâm.
  2. Đàm phán Security Association (SA) & Key exchange. SA xác định các yếu tố để truyền dữ liệu an toàn giữa các bên giao tiếp. Các yếu tố này bao gồm các giao thức bảo mật, chế độ đóng gói dữ liệu, thuật toán mã hóa và xác thực, và các key được sử dụng để truyền dữ liệu.

Sau khi xác định lưu lượng quan tâm, thiết bị mạng cục bộ bắt đầu thương lượng SA với thiết bị mạng ngang hàng. Trong giai đoạn này, các bên giao tiếp sử dụng giao thức Internet Key Exchange (IKE) để thiết lập IKE SA để xác thực danh tính và trao đổi thông tin chính, sau đó thiết lập IPsec SA để truyền dữ liệu an toàn dựa trên IKE SA.

  1. Truyền dữ liệu. Sau khi IPsec SA được thiết lập giữa các bên giao tiếp, chúng có thể truyền dữ liệu qua đường hầm IPsec.

Để đảm bảo tính bảo mật khi truyền dữ liệu, Authentication Header (AH) hoặc Encapsulating Security Payload (ESP) được sử dụng để mã hóa và xác thực dữ liệu. Cơ chế mã hóa đảm bảo tính bảo mật của dữ liệu và ngăn chặn dữ liệu bị chặn trong quá trình truyền. Cơ chế xác thực đảm bảo tính toàn vẹn và độ tin cậy của dữ liệu và ngăn dữ liệu bị giả mạo hoặc giả mạo trong quá trình truyền.

IPsec sender sử dụng thuật toán mã hóa và khóa mã hóa để mã hóa một IP packet, tức là nó đóng gói dữ liệu gốc. Sau đó, sender và receiver sử dụng cùng một thuật toán xác thực và khóa xác thực để xử lý các packet được mã hóa nhằm thu được giá trị kiểm tra tính toàn vẹn (integrity check value – ICV). Nếu các ICV thu được ở cả hai đầu đều giống nhau, thì gói tin không bị giả mạo trong quá trình truyền và receiver sẽ giải mã gói tin đó. Nếu các ICV khác nhau, receiver sẽ loại bỏ gói tin.

  1. Kết thúc. Đây là bước cuối cùng và nó liên quan đến việc kết thúc kênh bảo mật IPSec. Việc chấm dứt xảy ra khi quá trình trao đổi dữ liệu hoàn tất hoặc phiên đã hết thời gian. Các khóa mật mã cũng bị loại bỏ. Để tiết kiệm tài nguyên hệ thống, đường hầm giữa hai bên liên lạc sẽ tự động được chia nhỏ khi đạt đến khoảng thời gian chờ không hoạt động của đường hầm.

Ưu điểm của IPSec

Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo mật.

IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai.

IPSec là gì?
Ưu điểm của IPSec là gì?

IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.

Hạn chế của IPSec

Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.

IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác. Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu. Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia.

Hi vọng bài viết này của chúng tôi đã giúp các bạn hiểu thêm về bộ giao thức IPSec và những ứng dụng của nó. Hostify sẽ tiếp tục cập nhật những thông tin bổ ích về công nghệ thông tin nói chung và mạng máy tính nói riêng đến các bạn mỗi ngày.