Bảo mật An Tồn Thơng Tin trên mạng với IPSec

LỜI NĨI ĐẦU
Trong thực tế hiện nay bảo mật thơng tin đang đóng một vai trị thiết yếu chứ
khơng cịn là “thứ yếu” trong mọi hoạt động liên quan đến việc ứng dụng công
nghệ thông tin. Ơ đây chúng ta muốn nói đến vai trị to lớn của việc ứng dụng
CNTT đã và đang diễn ra sôi động, không chỉ thuần túy là những công cụ
(Hardware, software), mà thực sự đã được xem như là giải pháp cho nhiều vấn đề.
Khởi động từ những năm đầu thập niên 90, với một số ít chun gia về CNTT,
những hiểu biết cịn hạn chế và đưa CNTT ứng dụng trong các hoạt động sản xuất,
giao dịch, quản lý còn khá khiêm tốn và chỉ dừnglại ở mức cơng cụ, và đơi khi ta
cịn nhận thấy những cơng cụ “đắt tiền” này cịn gây một số cản trở, không đem lại
những hiệu quả thiết thực cho những tổ chức sử dụng nó. Và những ai “chộn rộn”
nhất thì lại tự hỏi mình “mua cái thiết bị để làm gì nhỉ ?! Nó khơng sản xuất ra
được sản phẩm, và nó cũng chẳng giúp cơng việc giấy tờ giảm bớt là bao, liệu
chúng ta đã tổn hao một số tiền vơ ích?!..”” . Khơng đâu xa những nước láng
giềng khu vực như Thailand, Singapore, những nền kinh tế mạnh trong khu vực và
đang trên đà phát triển mạnh mẽ. Nhận thức được sự ưu việt của ứng dụng CNTT,
và từ rất sớm họ đã đem CNNT áp dụng vào mọi hoạt động, không chỉ sản xuất,
giao dịch, quản lý mà CNTT được mang đến mọi nhà, mọi người. Và họ cũng học
thành thục những kĩ năng để giải quyết và điều khiển công việc rất sáng tạo từ các
“vũ khí” tân thời này. Đâu đó trong trích đoạn “Con đường Phía trước” của Bill
Gates có nói đến giá trị to lớn của thơng tin trong thế kỉ 21, một kỉ ngun thơng
tin đích thực. Thực thể quý giá “phi vật chất” này, đang dần trở thành một đối
tượng được săn lùng, được kiểm soát gắt gao, và cũng là bệ phóng cho tất cả
những quốc gia muốn phát triển một cách mạnh mẽ, nhanh chóng và “bền vững”.
Cần có những hệ thống mạnh mẽ nhất để kiểm sốt thơng tin, sáng tạo thơng tin và
đem những thơng tin này vào ứng dụng một cách có hiệu quả. Thế giới bước trong
thế kỉ 21 dùng bàn đạp CNTT để tạo lực bẩy và cũng là để dẫn đường cho các hoạt

- Trang 1 -

Bảo mật An Tồn Thơng Tin trên mạng với IPSec
động, cho mọi người xích lại gần nhau hơn, khiến cho những cách biệt Địa Lý
khơng cịn tồn tại, dễ dàng hiểu nhau hơn và trao đổi với nhau những gì có giá trị
nhất, đặc biệt nhất.
Ứng dụng cơng nghệ thơng tin một cách có hiệu quả và “bền vững”, là tiêu chí
hàng đầu của nhiều quốc gia hiện nay, Việt Nam khơng là ngoại lệ. Xét trên bình
diện một doanh nghiệp khi ứng dụng CNTT vào sản xuất, kinh doanh cũng ln
mong muốn có được điều này. Tính hiệu quả là điều bắt buộc, và sự “bền vững”
cũng là tất yếu. Dưới góc nhìn của một chun gia về bảo mật hệ thống, khi triển
khai một hệ thống thông tin và xây dựng được cơ chế bảo vệ chặt chẽ, an tồn,
như vậy là góp phần duy trì tính “bền vững” cho hệ thống thơng tin của doanh
nghiệp đó. Và tất cả chúng ta đều hiểu rằng giá trị thông tin của doanh nghiệp là
tài sản vô giá. Không chỉ thuần túy về vật chất, những giá trị khác không thể đo
đếm được như uy tín của họ với khách hàng sẽ ra sao, nếu những thông tin giao
dịch với khách hàng bị đánh cắp, rồi sau đó bị lợi dụng với những mục đích khác
nhau..Hacker, attacker, virus, worm, phishing, những khái niệm này giờ đây khơng
cịn xa lạ, và thực sự là mối lo ngại hàng đầu của tất cả các hệ thống thông tin
(PCs, Enterprise Networks, Internet, etc..). Và chính vì vậy, tất cả những hệ thống
này cần trang bị những công cụ đủ mạnh, am hiểu cách xử lý để đối phó với những
thế lực đen đáng sợ đó. Ai tạo ra bức tường lửa đủ mạnh này để có thể “thiêu
cháy” mọi ý đồ xâm nhập?! Xin thưa rằng trước hết đó là ý thức sử dụng máy tính
an tồn của tất cả mọi nhân viên trong một tổ chức, sự am hiểu tinh tường của các
Security Admin trong tổ chức đó, và cuối cùng là những công cụ đắc lực nhất
phục vụ cho “cuộc chiến” này.

- Trang 2 -



Bảo mật An Tồn Thơng Tin trên mạng với IPSec

NHẬN XÉT CỦA GIÁO VIÊN
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
………………………………………………........
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
……………………………………………………………………………………………
………........


- Trang 3 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

BẢO MẬT AN TỒN THƠNG TIN TRÊN MẠNG
VỚI IPSec
Như ta đã biết vấn đề bảo mật kết nối trong quá trình truyền tải giữa các dữ liệu
khác nhau là một vấn đề rất quan trọng và nó đặc biệt quan trọng khi các dữ liệu
của chúng ta được truyền qua một mạng chia sẻ giống như mạng internet.
Bài toán đặt ra là làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình
truyền qua mạng? Làm thế nào có thể bảo vệ chống lại các cuộc tấn cơng trong
q trình truyền tải các dữ liệu đó? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật các
dữ liệu qua mạng bằng việc sử dụng IPSec.

1.

IPSec là gì?
IP Sercurity hay cịn gọi là IPSec dựa trên nền tảng chuẩn được cung cấp

một khoá cho phép bảo mật giữa hai thiết bị mạng ngang hàng.
Hay nói cách khác nó là một tập hợp các chuẩn, các nguyên tắc đã được định
nghĩa để kiểm tra, xác thực và mã hóa gói dữ liệu IP để cung cấp cho kênh
truyền dẫn mạng bảo mật.
Thuật ngữ Internet Protocol Security (IPSec). Nó có quan hệ tới một số bộ
giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởi
Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển
IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mơ hình
OSI, như hình vẽ:


- Trang 4 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP.
Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, tồn bộ
mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3. (Đó là lý do tại sao
IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2).
Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực
hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mơ hình OSI). Điều
này tạo ra tính mềm dẻo cho IPSec, giao thức này có thể hoạt động từ tầng 4
với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPsec có một tính
năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của
mơ hình OSI. Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi,
nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên
các tầng trên trong mơ hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mơ
hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởi
vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thể dùng các

- Trang 5 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
dịch vụ kế thừa tính năng bảo mật mà khơng cần phải có sự thay đổi lớn lao
nào. Cũng giống IP, IPSec trong suốt với người dùng cuối, là người mà không
cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt
động.


Vai trò của IPSec

2.

+

Cho phép xác thực hai chiều, trước và trong quá trình truyền tải dữ liệu.

+

Mã hóa đường truyền giữa 2 máy tính khi được gửi qua một mạng.

+

Bảo vệ gói dữ liệu IP và phịng ngự các cuộc tấn cơng mạng không bảo

mật.
+

IPSec bảo vệ các lưu lượng mạng bằng việc sử dụng mã hóa và đánh

dấu dữ liệu.
+ Một chính sách IPSec cho phép định nghĩa ra các loại lưu lượng mà
IPSec sẽ kiểm tra và cách các lưu lượng đó sẽ được bảo mật và mã hóa như
thế nào.

Những Tính Năng của IPSec (IPSec Security Protocol)

3.


-

Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data

integrity). IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực
của người gửi và kiểm chứng bất kỳ sự sửa đổi khơng được bảo vệ trước đó của
nội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảo
vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ.
- Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách
sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy
cập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa
chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe
lén.
- Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba,
Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật

- Trang 6 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
tốn mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa,
IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được
yêu cầu.
- Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và
confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức
IPSec. Những giao thức này bao gồm Authentication Header (AH) và
Encapsulating Security Payload (ESP).
- Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ
IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là

IKE.
- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ đó là chế độ
Transport và chế độ Tunnel được mơ tả ở hình 6-7. Cả AH và ESP có thể làm
việc với một trong hai chế độ này.

4. Cấu trúc bảo mật
IPsec được triển khai (1) sử dụng các giao thức cung cấp mật mã
(cryptographic protocols) nhằm bảo mật gói tin (packet) trong q trình truyền, (2)
phương thức xác thực và (3) thiết lập các thông số mã hoá.
Xây dựng IPSec sử dụng khái niệm về bảo mật trên nền tảng IP. Một sự kết
hợp bảo mật rất đơn giản khi kết hợp các thuật toán và các thơng số (ví như các
khố – keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên
trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp
ứng quá trình giao tiếp. Thực tế lựa chọn các thuật tốn mã hoá và xác thực lại phụ
thuộc vào người quản trị IPsec bởi IPsec bao gồm một nhóm các giao thức bảo
mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP.
Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho
một gói tin outgoing (đi ra ngồi), IPsec sử dụng các thông số Security Parameter
- Trang 7 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
Index (SPI), mỗi quá trình Index (đánh thứ tự và lưu trong dữ liệu – Index ví như
một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB),
theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận
dạng duy nhất của một thoả hiệp bảo mật (tạm dịch từ - security association) cho
mỗi gói tin. Một quá trình tương tự cũng được làm với gói tin đi vào (incoming
packet), nơi IPsec thực hiện quá trình giải mã và kiểm tra các khố từ SADB.
Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và
thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp

bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng
cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có
nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được
các keys được gửi đi trong dữ liệu. Chú ý các chuẩn không miêu tả làm thế nào để
các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.
4.

IPSec làm việc như thế nào:

4.1 IPSec Định nghĩa ra loại lưu lượng cần được bảo vệ và định nghĩa ra các

loại tùy chọn IPSec.
Các chính sách này sẽ được cấu hình trên các chính sách bảo mật cục bộ
hoặc thơng qua các chính sách nhóm trên ID.
4.2 Q trình thỏa thuận sự liên kết bảo mật trong modul khóa trao đổi với

internet: IKE sẽ thỏa thuận với liên kết bảo mật.
Mơdul khóa internet là sự kết hợp của 2 giao thức: Giao thức kết hợp bảo mật
internet và giao thức quản lí khóa. IPSec sử dụng 2 giao thức này để thỏa thuận
một cách tích cực về các yêu cầu bảo mật cho cả 2 phía giữa các máy tính với
nhau. Các máy tính này khơng địi hỏi phải có chính sách giống hệt nhau mà

- Trang 8 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
chúng chỉ cần các chính sách cấu hình các tùy chọn thỏa thuận để cấu hình ra
một yêu cầu chung.
4.3 Quá trình mã hóa gói IP:


Sau khi liên kết bảo mật được thiết lập, IPSec sẽ giám sát tất cả các lượng IP,
so sánh lưu lượng với các điều kiện đã được định nghĩa trên bộ lọc.
4.4 Mã hóa hoặc kí trên các lưu lượng đó:

5. Giao Thức sử dụng trong IPSec (IPSec Protocol)
IPSec Bảo mật kết nối mạng bằng viêc sử dụng 2 giao thức và cung cấp
bảo mật cho các gói tin của cả hai phiên bản IPv4 và IPv6:
IP Authentication Header giúp đảm bảo tính tồn vẹn và cung cấp xác

- Trang 9 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
thực.
IP Encapsulating Security Payload cung cấp bảo mật, và là option bạn có
thể lựa chọn cả tính năng authentication và Integrity đảm bảo tính tồn vẹn dữ
liệu.
Thuật tốn mã hố được sử dụng trong IPsec bao gồm HMAC-SHA1 cho
tính tồn vẹn dữ liệu (integrity protection), và thuật toán TripleDES-CBC và
AES-CBC cho mã mã hố và đảm bảo độ an tồn của gói tin. Tồn bộ thuật
tốn này được thể hiện trong RFC 4305.
5.1 Authentication Header (AH)
AH được sử dụng trong các kết nối khơng có tính đảm bảo dữ liệu. Hơn
nữa nó là lựa chọn nhằm chống lại các tấn cơng replay attack bằng cách sử dụng
công nghệ tấn công sliding windows và discarding older packets. AH bảo vệ quá
trình truyền dữ liệu khi sử dụng IP. Trong IPv4, IP header có bao gồm TOS, Flags,
Fragment Offset, TTL, và Header Checksum. AH thực hiện trực tiếp trong phần
đầu tiên của gói tin IP. dưới đây là mơ hình của AH header.

0 - 7 bit

Next header

8 - 15 bit
Payload
length

16 - 23 bit

24 – 31 bit

RESERVED

Security parameters index (SPI)
Sequence number
Authentication data (variable)

- Trang 10 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
Ý nghĩa của từng phần:
Next header
Nhận dạng giao thức trong sử dụng truyền thơng tin.
Payload length
Độ lớn của gói tin AH.
RESERVED
Sử dụng trong tương lai (cho tới thời điểm này nó được biểu diễn bằng các
số 0).
Security parameters index (SPI)
Nhận ra các thơng số bảo mật, được tích hợp với địa chỉ IP, và nhận dạng các

thương lượng bảo mật được kết hợp với gói tin.
Sequence number
Một số tự động tăng lên mỗi gói tin, sử dụng nhằm chống lại tấn công dạng replay
attacks.
Authentication data
Bao gồm thông số Integrity check value (ICV) cần thiết trong gói tin xác thực.
AH cung cấp tính xác thực, tính nguyên vẹn và khâu lặp cho tồn bộ gói tin bao
gồm cả phần tiêu đề của IP (IP header) và các gói dữ liệu được chuyển trong các
gói tin.

- Trang 11 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
AH khơng cung cấp tính riêng tư, khơng mã hóa dữ liệu như vậy dữ liệu có thể
được đọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi. AH sẽ sử dụng
thuật toán Key AH để đánh dấu gói dữ liệu nhằm đảm bảo tính tồn vẹn của gói
dữ liệu.

- Trang 12 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
Do giao thức AH khơng có chức năng mã hóa dữ liệu nên AH ít được dùng trong
IPSec vì nó khơng đảm bảo tính an ninh.

5.2

Encapsulating Security Payload (ESP)
Giao thức ESP cung cấp xác thực, độ tồn vẹn, đảm bảo tính bảo mật cho


gói tin. ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần
bảo mã hoá và chỉ cần cho authentication. ESP sử dụng IP protocol number là
50 (ESP được đóng gói bởi giao thức IP và trường Protocol trong IP là 50).

0 - 7 bit

8 - 15 bit

16 - 23 bit

24 - 31
bit

Security parameters index (SPI)
Sequence number
Payload data (variable)

Padding (0-255 bytes)
Pad Length

Next
Header

Authentication Data (variable)

Ý nghĩa của các phần:

- Trang 13 -



Bảo mật An Tồn Thơng Tin trên mạng với IPSec
Security parameters index (SPI)
Nhận ra các thơng số được tích hợp với địa chỉ IP.
Sequence number
Tự động tăng có tác dụng chống tấn công kiểu replay attacks.
Payload data
Cho dữ liệu truyền đi
Padding
Sử dụng vài block mã hoá
Pad length
Độ lớn của padding.
Next header
Nhận ra giao thức được sử dụng trong quá trình truyền thông tin.
Authentication data
Bao gồm dữ liệu để xác thực cho gói tin.
Các thuật tốn mã hóa bao gồm DES , 3DES , AES
Các thuật toán để xác thực bao gồm MD5 hoặc SHA-1
ESP cịn cung cấp tính năng anti-relay để bảo vệ các gói tin bị ghi đè lên nó.
ESP trong trạng thái vận chuyển sẽ khơng đánh tồn bộ gói tin mà chỉ đóng gói
phần thân IP. ESP có thể sử dụng độc lập hay kết hợp với AH

- Trang 14 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

Dưới đây là một mơ hình của q trình thực thi ESP trên user data để bảo
vệ giữa 2 IPSec peers.


Bảng so sánh giữa 2 giao thức ESP và AH:

- Trang 15 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

6. Các chế độ IPSec
SAs trong IPSec hiện tại được triển khai bằng 2 chế độ. Được mơ tải ở hình dưới
đó là chế độ Transport và chế độ Tunnel. Cả AH và ESP có thể làm việc với một
trong hai chế độ này:

- Trang 16 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

6.1 Transport Mode
Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport
mode, phần IPSec header được chèn vào giữa phần IP header và phần header
của giao thức tầng trên, như hình mơ tả bên dưới.

AH Transport mode.

- Trang 17 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

ESP Transport mode.


Transport mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn. Tuy
nhiên, nó khơng hiệu quả trong trường hợp ESP có khả năng khơng xác nhận mà
cũng khơng mã hóa phần đầu IP.
6.2. Tunnel Mode
Khơng giống Transport mode, Tunnel mode bảo vệ tồn bộ gói dữ liệu. Tồn bộ
gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header
được chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.

Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới
và phần header nguyên bản, như hình bên dưới.

- Trang 18 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

ESP Tunnel mode

7. Internet Key Exchange ( IKE )

Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắt của
Internet Security Association and Key Management Protocol, IKE giúp các bên
giao tiếp hịa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên
bảo mật IPSec được triển khai. Ngồi việc hịa hợp và thiết lập các tham số bảo
mật và khóa mã hóa, IKE cũng sữa đổi những tham số khi cần thiết trong suốt
phiên làm việc. IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khóa sau
khi một phiên giao dịch hồn thành.
Thuận lợi chính của IKE include bao gồm:
· IKE khơng phải là một cơng nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ

chế bảo mật nào.

- Trang 19 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
· Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bởi vì một lượng lớn
những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít.
Như vậy nếu khơng có giao thức này thì người quản trị phải cấu hình thủ cơng.
Và những chính sách an ninh trên những thiết bị này được gọi là SA (Security
Associate).
Do đó các thiết bị trong q trình IKE sẽ trao đổi với nhau tất cả những SA mà
nó có. Và giữa các thiết bị này sẽ tự tìm ra cho mình những SA phù hợp với
đối tác nhất
Những key được trao đổi trong quá trình IKE cũng được mã hóa và những key
này sẽ thay đổi theo thời gian (generate key) để tránh tình trạng bruteforce của
Attacker.

7.1 IKE Phases
Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình 6-14
trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE,
nó giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được
thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra.

7.1.1 Giai đoạn I của IKE
Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một

- Trang 20 -



Bảo mật An Tồn Thơng Tin trên mạng với IPSec
kênh bảo mật cho sự thiết lập SA. Tiếp đó, các bên thông tin thỏa thuận một
ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật tốn mã hóa, hàm băm, và các
phương pháp xác nhận bảo vệ mã khóa.
Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật
được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật :
· Giá trị Diffie-Hellman
· SPI của ISAKMP SA ở dạng cookies
· Số ngẫu nhiên known as nonces (used for signing purposes)
Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng
cũng cần trao đổi IDs. Sau khi trao đổi các thông tin cần thiết, cả hai bên phát sinh
những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này,
những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳ khóa nào
thơng qua mạng.
7.1.2 Giai đoạn II của IKE
Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết
bằng việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ
khác nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật tốn mã hóa bảo vệ gói
dữ liệu IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giai
đoạn SA.
Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự
thỏa thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn
- Trang 21 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.
Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làm việc
đơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được
hỗ trợ bởi một trường hợp đơn ở giai đoạn I. Điều này làm quá trình giao dịch

chậm chạp của IKE tỏ ra tương đối nhanh hơn.
Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols on
which IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.
7.2 IKE Modes
4 chế độ IKE phổ biến thường được triển khai :
· Chế độ chính (Main mode)
· Chế độ linh hoạt (Aggressive mode)
· Chế độ nhanh (Quick mode)
· Chế độ nhóm mới (New Group mode)
7.2.1 Main Mode
Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua
trình giao dịch. Trong chế độ này, 6 thơng điệp được trao đổi giữa các điểm:
· 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.

- Trang 22 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec
· 2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces.
Những khóa sau này thực hiện một vai trị quan trọng trong cơ chế mã hóa.
· Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với
sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.

7.2.2 Aggressive Mode
Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode
có 6 thơng điệp thì chế độ này chỉ có 3 thơng điệp được trao đổi. Do đó,
Aggressive mode nhanh hơn mai mode. Các thơng điệp đó bao gồm :
· Thơng điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa
chính, và trao đổi nonces cho việc ký và xác minh tiếp theo.
· Thông điệp kế tiếp hồi đáp lại cho thơng tin đầu tiên. Nó xác thực người nhận và

hồn thành chính sách bảo mật bằng các khóa.

- Trang 23 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

· Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên
làm việc).

Cả Main mode và Aggressive mode đều thuộc giai đoạn I.
7.2.3 Quick Mode
Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa
thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát
sinh khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được
thỏa thuận trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được
khởi tạo. Mặt khác, khóa mới được phát sinh bằng các giá trị băm.

- Trang 24 -


Bảo mật An Tồn Thơng Tin trên mạng với IPSec

7.2.4 New Group Mode
New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều
kiện trao đổi Diffie-Hellman key được dễ dàng. Hình 6-18 mơ tả New Group
mode. Mặc dù chế độ này được thực hiện sau giai đoạn I, nhưng nó khơng thuộc
giai đoạn II.

Ngồi 4 chế độ IKE phổ biến trên, cịn có thêm Informational mode. Chế độ

này kết hợp với quá trình thay đổi của giai đoạn II và SAs. Chế độ này cung
cấp cho các bên có liên quan một số thơng tin thêm, xuất phát từ những thất bại
trong quá trình thỏa thuận. Ví dụ, nếu việc giải mã thất bại tại người nhận hoặc

- Trang 25 -