25.05.202
1

IPSec
MƠ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG
IPSEC TRONG VPN


Nội dung của bài Trình bày
VPN (Virtual Private Network)
● Tổng quan
● Khái niệm
● Các tính năng, ưu điểm và hạn chế
Giao thức IPSec
● Khái niệm
● Các chế độ đóng gói dữ liệu IP
● Cơ chế làm việc


VPN

IPSEC

TỔNG QUAN

01

04

KHÁI NIỆM

02

05

CHẾ ĐỘ ĐĨNG GĨI
DỮ LIỆU IP

TÍNH NĂNG, ƯU ĐIỂM
&HẠN CHẾ

03

06

CƠ CHẾ LÀM VIỆC

KHÁI NIỆM


01
VPN – VIRTUAL PRIVATE NETWORK

25.05.202
1

TỔNG QUAN


SỰ PHÁT TRIỂN MẠNH MẼ CỦA NỀN CÔNG
NGHIỆP, NHU CẦU TRAO ĐỔI THÔNG TIN,

DỮ LIỆU GIỮA NHỮNG TỔ CHỨC, CÔNG TY…

Internet đã bùng nổ


MỌI NGƯỜI SỬ DỤNG MÁY TÍNH KẾT NỐI
INTERNET THƠNG QUA NHÀ CUNG CẤP DỊCH
VỤ
(ISP – INTERNET SERVICE PROVIDE)

TCP/IP


VỚI INTERNET, NHỮNG DỊCH VỤ NHƯ MUA BÁN
TRỰC TUYẾN, GIÁO DỤC TỪ XA, HAY TƯ VẤN
TRỰC TUYẾN…
ĐÃ TRỞ NÊN DỄ DÀNG

Tuy nhiên


VPN

Đảm bảo an toàn, bảo mật dữ liệu hay quản
lý dịch vụ
Từ đó các nhà khoa học đã nghiêm cứu và đưa ra
một mơ hình mạng mới, nhằm đáp ứng nhu cầu trên
mà vẫn tận dụng cơ sở hạ tầng đang có của
Internet, đó là mơ hình mạng riêng ảo(VPN)



02
KHÁI NIỆM
VPN – VIRTUAL PRIVATE NETWORK


VPN là một công nghệ mạng giúp tạo kết nối
mạng an tồn khi tham gia vào mạng cơng
cộng như Internet hoặc mạng riêng do 1 nhà
cung cấp dịch vụ sở hữu
Mạng riêng ảo là một kết nối mạng triển
khai trên cơ sở hạ tầng mạng cơng cộng với
các chính sách quản lý và bảo mật giống
như mạng cục bộ


MƠ HÌNH MẠNG RIÊNG ẢO
Internet
Đường hầm IPSec
Router A

Host A
IP Header

Router B
IP Header

Data

New IP

Header

ESP
Header

IP
Header

Data
Encrypted

Authentication

ESP
Trailer

ESP
Authentication

Host B
Data


Dù nghe có vẻ khá đơn giản, nhưng trên thực tế
VPN lại được ứng dụng để làm rất nhiều thứ:
•
•
•
•
•


Truy cập vào mạng doanh nghiệp khi ở xa
Truy cập mạng gia đình, dù khơng ở nhà
Duyệt web ẩn danh
Truy cập đến những website bị chặn giới hạn địa lý
Tải tập tin


03
TÍNH NĂNG,ƯU ĐIỂM
&HẠN CHẾ
VPN – VIRTUAL PRIVATE NETWORK


TÍNH NĂNG

TÍNH XÁC THỰC
Để thiết lập một kết nối
VPN thì trước hết cả 2
phía phải xác thực lẫn
nhau để khẳng định
rằng mình đang trao
đổi thơng tin với người
mình mong muốn chứ
khơng phải là 1 người
khác.

TÍNH TỒN VẸN

TÍNH BẢO MẬT


Đảm bảo dữ liệu khơng
bị thay đổi hay đảm
bảo khơng có bất kỳ sự
xáo trộn nào trong quá
trình truyền và trao đổi
dữ liệu.

Người gửi có thể mã
hóa các gói dữ liệu
trước khi truyền qua
mạng công cộng và dữ
liệu sẽ được giải mã ở
phía thu. Vì như vậy
khơng ai có thể đọc
được thơng tin khi cố
tình xâm nhập và bắt
gói tin.


ƯU ĐIỂM

Tiết kiệm chi phí

Tính linh hoạt

Tính mở rộng

VPN có thể giúp các doanh
nghiệp tiết kiệm từ 50%-70%

chi phí đầu tư vào các kết nối
leased line và remote access
truyền thống, chi phí đầu tư
cho hạ tầng truyền thơng và
chi phí hàng tháng đối với
các kết nối site to site.

Tính linh hoạt ở đây khơng
chỉ là linh hoạt trong q
trình vận hành và khai thác
mà nó cịn thực sự mềm dẻo
đối với yêu cầu sử dụng.
Khách hàng có thể sử dụng
kết hợp với các cơng nghệ
sẵn có và cơ sở hạ tầng mạng
của doanh nghiệp trước đó.

Mạng VPN được xây dựng
dựa trên cơ sở hạ tầng mạng
cơng cộng. Vì thế với bất kỳ
doanh nghiệp nào có nhiều
chi nhánh ở xa nhau mà
muốn kết nối với nhau sử
dụng công nghệ mạng riêng
ảo thì điều cần và đủ là các
chi nhánh được kết nối tới
mạng Internet.

Tính bảo mật
Mạng riêng ảo cung cấp chế

độ bảo mật cao nhất nhờ các
cơ chế mã hóa trên nền tảng
mạng riêng ảo. Quản lý các
kết nối dễ dạng thông qua
tên và mật khẩu truy cập vào
hệ thống mạng riêng ảo
trong mạng nội bộ.


HẠN CHẾ

Sự hiểu biết
VPN đòi hỏi sự hiểu biết chi
tiết về vấn đề an ninh mạng,
việc cấu hình và cài đặt phải
cẩn thận, chính xác đảm bảo
tính an tồn trên hệ thống
mạng Internet công cộng.

Độ tin cậy
& hiệu xuất

Bảo mật cá nhân

VPN dựa trên Internet không
phải là dưới sự kiểm sốt trực
tiếp của cơng ty , vì vậy giải
pháp thay thế là hãy sử dụng
một nhà cung cấp dịch vụ
(ISP) tốt và chất lượng.


Việc truy cập từ xa hay nhân viên
kết nối với hệ thống văn phịng
bằng máy tính riêng, nếu họ sử
dụng các ứng dụng khác, ngoài
việc kết nối tới văn phịng làm
việc thì hacker có thể lợi dụng yếu
điểm từ máy tính cá nhân của họ
tấn cơng vào hệ thống của công ty.


04
KHÁI NIỆM
IPSEC – INTERNET PROTOCOL SECURITY


IPSec (Internet Protocol Security) là một giao thức được
IETF phát triển. IPSec được định nghĩa là một giao thức
trong tầng mạng cung cấp các dịch vụ bảo mật, nhận
thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một
tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các
phần thiết bị.


IPSEC HỖ TRỢ 3 TÍNH NĂNG
CHÍNH
IPSec

Tính xác nhận &
Tính ngun vẹn dữ

liệu
(Authentication &
data integrity)

Sự cẩn mật
(Confidentialit
y)

Quản lý khóa
(Key
management)


05

CHẾ ĐỘ
ĐÓNG GÓI
DỮ LIỆU IP

IPSEC – INTERNET PROTOCOL SECURITY


CHẾ ĐỘ GIAO VẬN(TRANSPORT)
Chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa hoặc
chứng thực. IP header khơng bị chỉnh sửa hay mã hóa, nhưng khi chế độ
Authentication header của IPSec được sử dụng thì địa chỉ IP cũng sẽ được mã
hóa bằng cách chia nhỏ thành các gói tin riêng rẽ & độc lập (Hash). Các tầng
giao vận & ứng dụng thường được bảo đảm bơi hàm Hash, vì vậy chúng khơng
thể bị sửa đổi theo bất kỳ cách nào.
Original

Header

AH- kiểu Transport
 

 
Original
Header

ESP- kiểu Transport
 

AH
Payload
Header  
 
Authenticated
 

 

 

ESP
Header  

Payload

Encrypted
 

Authenticated
 


CHẾ ĐỘ ĐƯỜNG HẦM(TUNNEL)
Tồn bộ gói tin IP sẽ được mã hóa hoặc chứng thực. Sau đó nó được gói vào 1
gói tin IP mới với tiêu đề IP mới. Chế độ Tunnel được sử dụng để tạo VPN phục
vụ cho việc liên lạc giữa các mạng(vd giữa các bộ định tuyến), giữa các máy
chủ(vd chat cá nhân), giữa máy chủ và mạng(vd truy cập người sử dụng từ
xa).


06
CƠ CHẾ LÀM
VIỆC

IPSEC – INTERNET PROTOCOL SECURITY


BƯỚC 1: Kích hoạt lưu lượng cần bảo vệ
Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết bị IPSec sẽ
nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ.

Apply IPSec
Bypass IPSec
Discard


BƯỚC 2: Thoả thuận một trao đổi IKE Phase 1
Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE policy),

xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE Phase
1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive mode).