25.05.2021

IPSec
MƠ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG
IPSEC TRONG VPN
download by :


Nội dung của bài Trình bày
VPN (Virtual Private Network)
● Tổng quan
● Khái niệm
● Các tính năng, ưu điểm và hạn chế
Giao thức IPSec
● Khái niệm
● Các chế độ đóng gói dữ liệu IP
● Cơ chế làm việc

download by :


VPN

IPSEC

TỔNG QUAN

01

04

KHÁI NIỆM

02

05

CHẾ ĐỘ ĐĨNG GĨI DỮ
LIỆU IP

TÍNH NĂNG, ƯU ĐIỂM
&HẠN CHẾ

03

06

CƠ CHẾ LÀM VIỆC

KHÁI NIỆM

download by :


01
VPN – VIRTUAL PRIVATE NETWORK

download by :

25.05.2021


TỔNG QUAN


SỰ PHÁT TRIỂN MẠNH MẼ CỦA NỀN CÔNG
NGHIỆP, NHU CẦU TRAO ĐỔI THÔNG TIN, DỮ
LIỆU GIỮA NHỮNG TỔ CHỨC, CÔNG TY…

Internet đã bùng nổ
download by :


MỌI NGƯỜI SỬ DỤNG MÁY TÍNH KẾT NỐI
INTERNET THƠNG QUA NHÀ CUNG CẤP DỊCH VỤ
(ISP – INTERNET SERVICE PROVIDE)

TCP/IP

download by :


VỚI INTERNET, NHỮNG DỊCH VỤ NHƯ MUA BÁN TRỰC
TUYẾN, GIÁO DỤC TỪ XA, HAY TƯ VẤN TRỰC TUYẾN…
ĐÃ TRỞ NÊN DỄ DÀNG

Tuy nhiên

download by :


VPN


Đảm bảo an toàn, bảo mật dữ liệu hay quản lý dịch vụ
Từ đó các nhà khoa học đã nghiêm cứu và đưa ra một mơ hình
mạng mới, nhằm đáp ứng nhu cầu trên mà vẫn tận dụng cơ sở hạ
tầng đang có của Internet, đó là mơ hình mạng riêng ảo(VPN)

download by :


02
KHÁI NIỆM
VPN – VIRTUAL PRIVATE NETWORK

download by :


VPN là một công nghệ mạng giúp tạo kết nối mạng an tồn
khi tham gia vào mạng cơng cộng như Internet hoặc mạng
riêng do 1 nhà cung cấp dịch vụ sở hữu
Mạng riêng ảo là một kết nối mạng triển khai trên cơ
sở hạ tầng mạng công cộng với các chính sách quản lý
và bảo mật giống như mạng cục bộ
download by :


MƠ HÌNH MẠNG RIÊNG ẢO
Internet
Đường hầm IPSec
Router A


Host A
IP Header

Router B
IP Header

Data

New IP
Header

ESP
Header

IP
Header

Data

ESP
Trailer

Encrypted

download byAuthentication
:

ESP
Authentication


Host B
Data


Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được
ứng dụng để làm rất nhiều thứ:
•
•
•
•
•

Truy cập vào mạng doanh nghiệp khi ở xa
Truy cập mạng gia đình, dù khơng ở nhà
Duyệt web ẩn danh
Truy cập đến những website bị chặn giới hạn địa lý
Tải tập tin

download by :


03
TÍNH NĂNG,ƯU ĐIỂM
&HẠN CHẾ
VPN – VIRTUAL PRIVATE NETWORK

download by :


TÍNH NĂNG


TÍNH XÁC THỰC

TÍNH TỒN VẸN

TÍNH BẢO MẬT

Để thiết lập một kết nối VPN
thì trước hết cả 2 phía phải
xác thực lẫn nhau để khẳng
định rằng mình đang trao đổi
thơng tin với người mình
mong muốn chứ khơng phải
là 1 người khác.

Đảm bảo dữ liệu không bị
thay đổi hay đảm bảo khơng
có bất kỳ sự xáo trộn nào
trong q trình truyền và trao
đổi dữ liệu.

Người gửi có thể mã hóa các
gói dữ liệu trước khi truyền
qua mạng công cộng và dữ
liệu sẽ được giải mã ở phía
thu. Vì như vậy khơng ai có
thể đọc được thơng tin khi cố
tình xâm nhập và bắt gói tin.

download by :



ƯU ĐIỂM

Tiết kiệm chi phí
VPN có thể giúp các doanh
nghiệp tiết kiệm từ 50%-70%
chi phí đầu tư vào các kết nối
leased line và remote access
truyền thống, chi phí đầu tư
cho hạ tầng truyền thơng và
chi phí hàng tháng đối với
các kết nối site to site.

Tính linh hoạt

Tính mở rộng

Mạng VPN được xây dựng
Tính linh hoạt ở đây khơng dựa trên cơ sở hạ tầng mạng
chỉ là linh hoạt trong quá cơng cộng. Vì thế với bất kỳ
trình vận hành và khai thác doanh nghiệp nào có nhiều
mà nó cịn thực sự mềm dẻo chi nhánh ở xa nhau mà
đối với yêu cầu sử dụng. muốn kết nối với nhau sử
Khách hàng có thể sử dụng dụng cơng nghệ mạng riêng
kết hợp với các cơng nghệ ảo thì điều cần và đủ là các
sẵn có và cơ sở hạ tầng mạng chi nhánh được kết nối tới
by : đó.

của download

doanh nghiệp trước
mạng Internet.

Tính bảo mật
Mạng riêng ảo cung cấp chế
độ bảo mật cao nhất nhờ các
cơ chế mã hóa trên nền tảng
mạng riêng ảo. Quản lý các
kết nối dễ dạng thông qua
tên và mật khẩu truy cập vào
hệ thống mạng riêng ảo
trong mạng nội bộ.


HẠN CHẾ

Sự hiểu biết

Độ tin cậy
& hiệu xuất

Bảo mật cá nhân

Việc truy cập từ xa hay nhân viên
kết nối với hệ thống văn phịng
VPN dựa trên Internet khơng
VPN địi hỏi sự hiểu biết chi
bằng máy tính riêng, nếu họ sử
phải là dưới sự kiểm soát
tiết về vấn đề an ninh mạng,

dụng các ứng dụng khác, ngồi
trực tiếp của cơng ty , vì vậy
việc cấu hình và cài đặt phải
việc kết nối tới văn phòng làm
giải pháp thay thế là hãy sử
cẩn thận, chính xác đảm bảo
việc thì hacker có thể lợi dụng yếu
dụng một nhà cung cấp dịch
tính an tồn trên hệ thống
điểm từ máy tính cá nhân của họ
vụ (ISP) tốt và chất lượng.
mạng Internet công cộng.
tấn công vào hệ thống của công
ty.
download by :


04
KHÁI NIỆM
IPSEC – INTERNET PROTOCOL SECURITY

download by :


IPSec (Internet Protocol Security) là một giao thức được IETF phát
triển. IPSec được định nghĩa là một giao thức trong tầng mạng
cung cấp các dịch vụ bảo mật, nhận thực, tồn vẹn dữ liệu và điều
khiển truy cập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng
nhau giữa các phần thiết bị.


download by :


IPSEC HỖ TRỢ 3 TÍNH NĂNG
CHÍNH
IPSec

Tính xác nhận &
Tính ngun vẹn dữ liệu
(Authentication &
data integrity)

Sự cẩn mật
(Confidentiality)

Quản lý khóa
(Key management)

download by :


05

CHẾ ĐỘ ĐÓNG
GÓI DỮ LIỆU
IP
IPSEC – INTERNET PROTOCOL SECURITY

download by :



CHẾ ĐỘ GIAO VẬN(TRANSPORT)
Chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa hoặc chứng thực. IP header
khơng bị chỉnh sửa hay mã hóa, nhưng khi chế độ Authentication header của IPSec được sử dụng
thì địa chỉ IP cũng sẽ được mã hóa bằng cách chia nhỏ thành các gói tin riêng rẽ & độc lập (Hash).
Các tầng giao vận & ứng dụng thường được bảo đảm bơi hàm Hash, vì vậy chúng khơng thể bị
sửa đổi theo bất kỳ cách nào.

 

 

AH- kiểu Transport
 

ESP- kiểu Transport
 

Original
Header

Original
Header

AH
Payload
Header  
 
Authenticated
 


 

ESP
Header  

Payload

 

Encrypted
 
Authenticated

download by :


CHẾ ĐỘ ĐƯỜNG HẦM(TUNNEL)
Tồn bộ gói tin IP sẽ được mã hóa hoặc chứng thực. Sau đó nó được gói vào 1 gói tin IP mới với
tiêu đề IP mới. Chế độ Tunnel được sử dụng để tạo VPN phục vụ cho việc liên lạc giữa các
mạng(vd giữa các bộ định tuyến), giữa các máy chủ(vd chat cá nhân), giữa máy chủ và mạng(vd
truy cập người sử dụng từ xa).

download by :


06
CƠ CHẾ LÀM
VIỆC


IPSEC – INTERNET PROTOCOL SECURITY

download by :


BƯỚC 1: Kích hoạt lưu lượng cần bảo vệ
Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết bị IPSec sẽ
nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ.

Apply IPSec
Bypass IPSec
Discard
download
by :


BƯỚC 2: Thoả thuận một trao đổi IKE Phase 1
Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE policy),
xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE Phase
1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive mode).

download by :