BÁO CÁO BÀI TẬP LỚN CHỦ ĐỀ TÌM HIỀU GIAO THỨC BẢO MẬT IPSEC

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (4.79 MB, 59 trang )

<span class="text_page_counter">Trang 1</span><div class="page_container" data-page="1">

HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG

<b>BÁO CÁO BÀI TẬP LỚN</b>

CHỦ ĐỀ: TÌM HIỀU GIAO THỨC BẢO MẬT IPSEC

Giảng viên hướng dẫn: Vũ Minh MạnhNhóm bài tập 16

Sinh viên thực hiện:

Dương Thùy An – B21DCCN132Tạ Đăng Đạo – B21DCCN209

Nguyễn Duy Hoàng – B21DCCN388Nguyễn Thành Long – B21DCCN498

Hà Nội - 2024

</div><span class="text_page_counter">Trang 2</span><div class="page_container" data-page="2">

<i><small>Bước 4: Truyền tải qua đường hầm IPSec...18</small></i>

<i><small>Bước 5: Chấm dứt đường hầm IPSec...18</small></i>

<small>2. Ưu và khuyết điểm của IPSec:...20</small>

<small>b. Khuyết điểm:...21</small>

</div><span class="text_page_counter">Trang 3</span><div class="page_container" data-page="3">

<b>PHẦN 1. GIỚI THIỆU</b>

<b>1. Thực trạng</b>

<b> </b> Giao thức TCP/IP đóng một vai trò rất quan trọng trong các hệ thống hiện nay. Về nguyên tắc, có nhiều tùy chọn khác nhau về giao thức để triển khai các hệ thống mạng như TCP/IP, TPX/SPX, NetBEUI, Apple talk,… Tuy nhiên TCP/IP là sự lựa chọn gần như bắt buộc do giao thức này được sử dụng làm giao thức nền tảng của mạng Internet.

Vì các gói tin IP thường phải được định tuyến giữa hai thiết bị qua các mạng không xác định, nên bất kỳ thơng tin nào trong đó có thể bị chặn và thậm chí có thể bị thay đổi. Với việc sử dụng internet ngày càng phổ biến cho các ứng dụng quan trọng, giao thức internet nên được chú trọng nhiều hơn về việc nâng cao, cải thiện tính bảo mật đem lại sự an tồn cho người sử dụng.

Nhưng với sự phát triển quá nhanh chóng và phổ biến của mạng internet, số lượng không gian địa chỉ của nó đến thời điểm hiện tại đang dần cạn kiệt vàcông nghệ cũng đã được sinh sản từ nhiều năm trước đó. Điều này dẫn đến việc, khi sử dụng IPv4, chúng ta không thể đảm bảo chắc chắn an ninh thông tin trên các mạng IP. Để khắc phục vấn đề này, nhiều công nghệ khác nhau đã được phát minh ra.

IP Security (IPSec) là một giao thức được chuẩn hoá bởi IETF từ năm 1998 nhằm mục đích nâng cấp các cơ chế mã hố và xác thực thông tin cho chuỗi thông tin truyền đi trên mạng bằng giao thức IP. Hay nói cách khác, IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính tồn vẹn dữ liệu và chứng thực dữ liệu giữa các thiết bị

</div><span class="text_page_counter">Trang 4</span><div class="page_container" data-page="4">

mạngIPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mơ hình OSI.

IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhất trong cả hai phiên bản IPv4 và IPv6. Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc.

IPSec (Internet Protocol Security) là một giao thức được IETF phát triển. IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập. Nó là một tập hợpcác tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.

Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đóng vai trị là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu u cầu an tồn được truyền trên đó. IPSeccũng thực hiện đóng gói dữ liệu các thơng tin để thiết lập, duy trì và hủy bỏ kênh truyền khi khơng dùng đến nữa. Các gói tin truyền trong đường ngầm có khn dạng giống như các gói tin bình thường khác và không làm thay đổi cácthiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, quađó cho phép giảm đáng kể chi phí để triển khai và quản lý.

Công nghệ IPSec là một tổ hợp các giao thức và các thành phần khác

</div><span class="text_page_counter">Trang 5</span><div class="page_container" data-page="5">

nhau cấu tạo nên để cung cấp các dịch vụ bảo mật. Hình dưới đây sẽ thể hiệnmơ hình kiến trúc tổng qt của cơng nghệ IPSec. Nó được cấu tạo từ mộtcặp giao thức cốt lõi có tên là xác thực tiêu đề (AH) và đóng gói tải trọng bảomật (ESP) với khả năng cung cấp tính xác thực và quyền riêng tư cho dữ liệuvà được thêm vào mơ hình gói tin IP dưới dạng các Header. Tuy nhiên,chúng khơng thể tự hoạt động. Chính vì vậy, để hoạt động của IPSec đượcdiễn ra bình thường, những giao thức cốt lõi trên cần đến sự hỗ trợ của mộtsố thành phần, dịch vụ khác như các thuật tốn mã hóa/hàm băm, các chínhsách bảo mật/liên kết bảo mật, hay giao thức trao đổi và quản lý khóa

</div><span class="text_page_counter">Trang 6</span><div class="page_container" data-page="6">

<b>Hình kiến trúc IPSec</b>

<b>Giao thức ESP (ESP Protocol): là một giao thức mật mã và xác thực </b>

thông tin trong IPSec.

</div><span class="text_page_counter">Trang 7</span><div class="page_container" data-page="7">

<b>Giao thức AH (AHProtocol): là giao thức chức năng gần giống ESP. </b>

Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng.

<b>Thuật tốn mật mã (Encryption Algorihm): Định nghĩa các thuật</b>

toán mã hoá và giải mã sử dụng trong IPSec. IPSec chủ yếu dựa vào cácthuật toán mã hoá đối xứng. Hai thuật toán thông thường hay được sử dụngvới IPSec là Message Digest 5 (MD5) và Secure Hash Algorithm 1 (SHA-1). Chúng còn được gọi là các thuật tốn băm vì chúng hoạt động bằng cáchtính tốn một cơng thức được gọi là hàm băm dựa trên dữ liệu đầu vào vàmột khóa.

<b>Thuật toán xác thực (Authentication Algorihm): Định nghĩa các thuật </b>

toán xác thực thông tin sử dụng trong AH và ESP.

<b>Quản lý khố (Key management): Mơ tả các cơ chế quản lý và trao </b>

đổi khoá trong IPSec. Đây là cơ chế trao đổi và quản lý khóa. Để cho hai thiết bị trao đổi thơng tin được mã hóa, chúng cần có khả năng chia sẻ khóa để mở khóa mã hóa. Họ cũng cần một cách để trao đổi thông tin liên kết bảo mật. Trong IPSec, một giao thức được gọi là Internet Key Exchange (IKE) cung cấp những khả năng này.

<b>Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi </b>

trường thực thi IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao thức, cơ chế đều có nhiều chế độ hoạt động khác nhau. Việc xác định một tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là chức năng của miền thực thi. Xét về mặt ứng dụng, IPSec thực chất là một giao

</div><span class="text_page_counter">Trang 8</span><div class="page_container" data-page="8">

thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hố và xác thực gói dữ liệu. Một cách khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần: -Giao thức đóng gói,gồm AH và ESP -Giao thức trao đổi khố IKE (Internet Key Exchange).

<i><b>Chính sách bảo mật Policy (ISAKMP): Được gọi là các chính sách </b></i>

bảo mật, liên kết bảo mật và phương pháp quản lý khóa. Vì IPSec cung cấp sự linh hoạt trong việc cho phép các thiết bị khác nhau quyết định cách chúngmuốn triển khai bảo mật, chúng yêu cầu một số phương tiện để theo dõi các mối quan hệ bảo mật giữa chúng. Điều này được thực hiện trong IPSec bằng cách sử dụng các cấu trúc được gọi là chính sách bảo mật và liên kết bảo mật,và bằng cách cung cấp các cách để trao đổi thông tin liên kết bảo mật.

</div><span class="text_page_counter">Trang 9</span><div class="page_container" data-page="9">

<b>PHẦN II. CHI TIẾT</b>

<b>1. Chế độ làm việc của IPsec</b>

Hiện tại IPSec có hai chế độ làm việc: Transport Mode và Tunel Mode.Cả AH và ESP đều có thể làm việc với một trong hai chế độ này:

<b>a. Kiểu Transport</b>

</div><span class="text_page_counter">Trang 10</span><div class="page_container" data-page="10">

Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP,UDP hoặc ICMP). Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, AH và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được mãhóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói.

</div><span class="text_page_counter">Trang 11</span><div class="page_container" data-page="11">

<b>b. Kiểu Tunnel</b>

Kiểu này bảo vệ toàn bộ gói IP. Gói IP ban đầu (bao gồm cả IP header) được xác thực hoặc mật mã. Sau đó, gói IP đã mã hóa được đóng gói vào một IP header mới. Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP truyền qua Internet. Trong kiểu Tunnel, tồn bộ gói IP ban đầu được đóng gói và trở thành Payload của gói IP mới. Kiểu này cho phép các thiết bị mạng như routerthực hiện xử lý IPSec thay cho các trạm cuối (host).

</div><span class="text_page_counter">Trang 12</span><div class="page_container" data-page="12">

<b>2. Nguyên lý hoạt động của AH</b>

- Là một IPSec header cung cấp xác thực gói tin và kiểm tra tính tồn vẹn.- AH cho phép xác thực và kiểm tra tính tồn vẹn dữ liệu của các gói tin IP truyền giữa 2 hệ thống.

- Là phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi truyền hay khơng. Tuy nhiên các dữ liệu đều truyền dưới dạng bản Plaintext vì AH khơngcung cấp khả năng mã hóa dữ liệu.

<i>Định dạng mào đầu IPsec AH</i>

o <i><b>Next Header: Trường này có độ dài 8 bits để xác định mào đầu </b></i>

tiếp theo sau AH. Giá trị của trường này được lựa chọn từ các tập các giá trị IPProtocol Numbers định nghĩa bởi IANA- Internet Assigned Numbers

o <b> Payload Length: Trường này có độ dài 8 bits để xác định độ dài</b>

của AH khơng có tải.

</div><span class="text_page_counter">Trang 13</span><div class="page_container" data-page="13">

o Reserved: Trường này có độ dài 16 bits dành để dự trữ cho việc

sử dụng trong tương lai. Giá trị của trường này được thiết lập bằng 0 bởi bên gửi và sẽ được loại bỏ bởi bên nhận.

o <i><b>SPI (Security Parameters index): Đây là một số 32 bits bất kì, </b></i>

cùng với địa chỉ đích và giao thức an ninh ESP cho phép nhận dạng duy nhất chính sách liên kết bảo mật SA (xác định giao thức IPSec và các thuật toán nào được dùng để áp dụng cho gói tin) cho gói dữ liệu này. Các giá trị SPI 1-255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía thu khi thiết lập SA.

o <b> Sequence Number: Trường này có độ dài 32 bits, chứa một giá </b>

trị đếm tăng dần (SN), đây là trường khơng bắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào đó. Việc thực hiện SN tùy thuộc phía thu, nghĩa là phía phát ln phải truyền trường này, cịn phía thu có thể khơng cần phải xử lí nó. Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập (Gói đầu tiên truyền đi với SA đó sẽ có SN=1).

o <b>Authentication Data: Trường có độ dài biến đổi chứa một giá </b>

trị kiểm tra tính tồn vẹn ICV (Integrity Check Value) cho gói tin, có độ dài làsố nguyên lần 32 bits. Trường này có thể chứa thêm một phần dữ liệu đệm để đảm bảo độ dài của AH header là số nguyên lần 32 bít (đối với IPV4) hoặc 64 bít (đối với IPV6).

o Xác thực từ đầu cuối đến đầu cuối (End-to-End Authentication): làtrường hợp xác thực trực tiếp giữa hai hệ thống đầu cuối (giữa máy chủ với

</div><span class="text_page_counter">Trang 14</span><div class="page_container" data-page="14">

trạm làm việc hoặc giữa hai trạm làm việc), việc xác thực này có thể diễn ratrên cùng mạng nội bộ hoặc giữa hai mạng khác nhau, chỉ cần hai đầu cuốibiết được khố bí mật của nhau. Trường hợp này sử dụng chế độ vận chuyển(Transport Mode) của AH.

o Xác thực từ đầu cuối đến trung gian (End-to-IntermediateAuthentication): là trường hợp xác thực giữa hệ thống đầu cuối với một thiếtbị trung gian (router hoặc firewall). Trường hợp này sử dụng chế độ đườnghầm (Tunnel Mode) của AH.

Hai chế độ xác thực của AH

</div><span class="text_page_counter">Trang 15</span><div class="page_container" data-page="15">

<i><b>Gói tin IPV6 AH ở chế độ Transport</b></i>

<i>Mào đầu được xác thực trong chế độ IPv6 AH Transport (Phần màu nâu đậm là phần dữ liệu được xác thực).</i>

<i><b>Gói tin IPV6 AH ở chế độ Tunnel</b></i>

</div><span class="text_page_counter">Trang 16</span><div class="page_container" data-page="16">

<i>Mào đầu được xác thực trong chế độ IPv6 AH Tunnel (Phần màu nâu đậm là phần dữ liệu được xác thực). </i>

<i><b>Nguyên tắc hoặt động của AH bao gồm 4 bước</b></i>

B1: AH sẽ đem gói dữ liệu (packet) bao gồm: Payload + IP Header + Key chochạy qua giải thuật Hash 1 chiều và cho ra 1 chuỗi số. và chuỗi số này sẽ đượcgán vào AH Header.

B2: AH Header này sẽ được chèn vào giữa Payload và IP Header và chuyểnsang phía bên kia.

B3: Router đích sau khi nhận được gói tin này bao gồm: IP Header + AHHeader + Payload sẽ được cho qua giải thuật Hash một lần nữa để cho ra mộtchuỗi số.

B4: so sánh chuỗi số nó vừa tạo ra và chuỗi số của nó nếu giống nhau thì nóchấp nhận gói tin.

</div><span class="text_page_counter">Trang 17</span><div class="page_container" data-page="17">

Mơ tả AH xác thực và đảm bảo tính tồn vẹn dữ liệu

<b>3. Nguyên tắc hoặt động của ESP</b>

ESP Header được mơ tả trong RFC 4303, cung cấp mã hóa bảo mật và toànvẹn dữ liệu trên mỗi điểm kết nối IPv6. ESP là một giao thức an toàn cho phépmật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính tồn vẹn của dữliệu. Khác với AH, ESP cung cấp khả năng bí mật của thơng tin thơng quaviệc mã hóa gói tin ở lớp IP, tất cả các lưu lượng ESP đều được mã hóa giữa 2hệ thống, do đó xu hướng sử dụng ESP nhiều hơn AH trong tương lai để làmtăng tính an tồn cho dữ liệu. Sau khi đóng gói xong bằng ESP, mọi thơng tinvà mã hố và giải mã sẽ nằm trong ESP Header. Các thuật toán mã hoá sửdụng trong giao thức như: DES, 3DES, AES. Định dạng của ESP Header nhưsau:

</div><span class="text_page_counter">Trang 18</span><div class="page_container" data-page="18">

Định dạng mào đầu IPsec ESP

ESP thêm một header và Trailer vào xung quanh nội dung của mỗi gói tin.

o SPI (Security Parameters Index): Trường này tương tự như bên AH

o SN (Sequence Number): Trường này tương tự như bên AH

</div><span class="text_page_counter">Trang 19</span><div class="page_container" data-page="19">

o Payload Data: Trường này có độ dài biến đổi chứa dữ liệu mô tả bêntrong

o Next Header. Đây là trường bắt buộc và có độ dài là số nguyên lầnbytes

o Padding: Trường này được thêm vào bởi nếu thuật toán mật mã được sửdụng yêu cầu bản rõ (plaintext) thì padding được sử dụng để điền vàoplaintext (bao gồm các trường Payload Data, Pad Length, Next Headervà Padding) để có kích thước theo u cầu.

o IVC: Giá trị kiểm tra tính tồn vẹn, là trường có độ dài thay đổi đượctính trên các trường ESP trailer, Payload, ESP header. Thực chất cáctrường ESP trailer đã bao gồm kiểm tra tính tồn vẹn (IVC).

<i><b>Gói tin IPv6 ESP ở chế độ Transport</b></i>

</div><span class="text_page_counter">Trang 20</span><div class="page_container" data-page="20">

<i>Hình 15: Mào đầu được mã hóa trong chế độ IPv6 ESP Transport (Phần màunâu đậm là phần dữ liệu được mã hóa).</i>

<i><b>Gói tin IPv6 ESP ở chế độ Tunnel</b></i>

</div><span class="text_page_counter">Trang 21</span><div class="page_container" data-page="21">

<i> Mào đầu được mã hóa trong chế độ IPv6 ESP Tunnel (Phần màu nâu sậm làphần dữ liệu được mã hóa).</i>

<i><b>Nguyên tắc hoạt động</b></i>

Về nguyên tắc hoạt động thì ESP sử dụng mật mã đối xứng để cung cấp sựmật hố dữ liệu cho các gói tin IPSec. Cho nên, để kết nối của cả hai đầu cuốiđều được bảo vệ bởi mã hố ESP thì hai bên phải sử dụng key giống nhau mớimã hoá và giải mã được gói tin. Khi một đầu cuối mã hố dữ liệu, nó sẽ chiadữ liệu thành các khối (block) nhỏ, và sau đó thực hiện thao tác mã hố nhiềulần sử dụng các block dữ liệu và khóa (key). Khi một đầu cuối khác nhậnđược dữ liệu mã hoá, nó thực hiện giải mã sử dụng key giống nhau và quátrình thực hiện tương tự, nhưng trong bước này ngược với thao tác mã hoá.

</div><span class="text_page_counter">Trang 22</span><div class="page_container" data-page="22">

<i> Hình 17: Nguyên tắc hoạt động của ESP Header.</i>

</div><span class="text_page_counter">Trang 23</span><div class="page_container" data-page="23">

Để áp dụng hai mào đầu AH và ESP yêu cầu các bên tham gia phải thỏa thuậnmột khóa chung để sử dụng trong việc kiểm tra an tồn thơng tin.

- Quản lý khóa thủ công:

IPv6 yêu cầu tất cả các thao tác đều có thể cho phép thiết lập thủ cơng khóa bí mật. Cơng nghệ cấu hình bằng tay được cho phép trong IPSec chuẩn và có thể được chấp nhận để cấu hình một hay hai gateway nhưng việc gõ key bằng tay khơng thích hợp trong một số trường hợp số lượng các gateway nhiều và cũng gây ra các vấn đề khơng an tồn trong q trình tạo khóa.

o Giai đoạn 2: xác định dịch vụ được sử dụng bởi IPSec. Chúng đồng ý giao thức IPSec, thuật toán hash, và thuật toán mã hoá. Một SA được tạo ra cho inbound và outbound của mỗi giao thức được sử dụng.

<b>5. Cách thức hoạt động của IPSec</b>

Sau khi tìm hiểu về các giao thức và các thành phần tạo nên côngnghệ IPSec, cũng như các chế độ hoạt động, ta sẽ nói về q trình hoạtđộng của IPSec. Quá trình hoạt động của IPSec được biểu diễn qua năm

</div><span class="text_page_counter">Trang 24</span><div class="page_container" data-page="24">

bước sau:

<i>Hình 2.18: Quá trình hoạt động của IPSec</i>

Quá trình IPSec bắt đầu khi hệ thống máy chủ nhận ra rằng một gói tin cầnđược bảo vệ và nên được truyền bằng các chính sách IPSec. Các gói như vậyđược coi là "các traffic cần quan tâm" cho mục đích IPSec và chúng sẽ đượckích hoạt các chính sách bảo mật. Đối với các gói gửi đi, điều này có nghĩa làq trình mã hóa và xác thực thích hợp sẽ được áp dụng. Khi một gói tin đếnđược xác định là cần quan tâm, hệ thống máy chủ sẽ xác minh rằng nó đãđược mã hóa và xác thực đúng cách.

Trong bước thứ hai này, các máy chủ sử dụng công nghệ IPSec sẽ trao đổivới nhau về tập hợp các chính sách mà họ sẽ sử dụng cho một mạch bảo mật.

</div><span class="text_page_counter">Trang 25</span><div class="page_container" data-page="25">

Chúng cũng tự xác thực với nhau và thiết lập một kênh an toàn để thươnglượng về cách thức mà mạch IPSec sẽ mã hóa hoặc xác thực dữ liệu được gửiqua nó. Q trình thương lượng này xảy ra bằng cách sử dụng chế độ chính(Main Mode) hoặc chế độ linh hoạt (Aggressive Mode).

 <i><b>Với chế độ chính: Máy chủ bắt đầu phiên sẽ gửi các đề xuất chỉ ra các</b></i>

thuật tốn xác thực và mã hóa ưu tiên của nó. Thương lượng tiếp tụccho đến khi cả hai máy chủ đồng ý và thiết lập IKE SA xác định mạchIPSec mà họ sẽ sử dụng. Phương pháp này đem lại độ an toàn và độbảo mật cao hơn chế độ linh hoạt vì nó tạo ra một đường hầm an toànđể trao đổi dữ liệu.

 <i><b>Với chế độ linh hoạt: Máy chủ khởi tạo không cho phép thương lượng</b></i>

và chỉ định IKE SA sẽ được sử dụng. Sự chấp nhận của máy chủ lưutrữ sẽ phản hồi cho xác thực phiên thành cơng. Với phương pháp này,các máy chủ có thể thiết lập mạch IPsec nhanh hơn.

Thiết lập một mạch IPSec qua kênh bảo mật đã được thiết lập trong IKE giaiđoạn 1. Lúc này, các máy chủ IPSec thương lượng về các thuật tốn sẽ đượcsử dụng trong q trình truyền dữ liệu. Các máy chủ cũng đồng ý và trao đổicác khóa mã hóa và giải mã mà họ định sử dụng cho lưu lượng truy cậpđến và đi từ mạng được bảo vệ. Các máy chủ cũng trao đổi các ký tự mãhóa, là các số ngẫu nhiên được sử dụng để xác thực phiên.

<b>Bước 4: Truyền tải qua đường hầm IPsec</b>

Trong bước thứ tư, các máy chủ trao đổi dữ liệu thực tế qua đường hầm antoàn mà họ đã thiết lập. IPSec SA được thiết lập trước đó sẽ được sử dụng để

</div><span class="text_page_counter">Trang 26</span><div class="page_container" data-page="26">

mã hóa và giải mã các gói tin.

<b>Bước 5: Chấm dứt đường hầm trong IPsec</b>

Cuối cùng, đường hầm IPSec được kết thúc. Thông thường, điều này xảy rasau khi một số byte được chỉ định trước đó đã đi qua đường hầm IPSec hoặchết thời gian phiên. Khi một trong hai sự kiện đó xảy ra, các máy chủ sẽ giaotiếp để kết thúc quá trình sử dụng IPSec. Sau khi kết thúc, các máy chủ sẽ xửlý và loại bỏ các khóa cá nhân được sử dụng trong quá trình truyền dữ liệu.

</div><span class="text_page_counter">Trang 27</span><div class="page_container" data-page="27">

<b>PHẦN III: ỨNG DỤNG</b>

<b>1. IPSec làm được gì?</b>

- Bảo vệ kết nối từ các mạng chi nhánh đến mạng trung tâm thông qua Internet.

- Bảo vệ kết nối truy cập từ xa (Remote Access).

- Thiết lập các kết nối Intranet và Extranet.

- Nâng cao tính bảo mật của các giao dịch thương mại điện tử.

</div><span class="text_page_counter">Trang 28</span><div class="page_container" data-page="28">

<b>2. Ưu và khuyết điểm của Ipseca. Ưu điểm</b>

<b> - Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của </b>

một mạng riêng thì tính năng an tồn của IPSec có thể áp dụng cho tồn bộ vào ra mạng riêng đó mà các thành phần khác khơng cần phải xử lý them các công việc liên quan tới bảo mật

- IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai.

-IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che dấu những chi tiết cấu hình phức tạpmà ngưới dung phải thực hiện khi kết nối đến mạng nội bộ từ xa thơng qua internet.

IPsec có thể giúp ngăn chặn hiệu quả nhiều loại tấn công mạng phổ biến, bao gồm:

o Tấn công "man-in-the-middle":

Loại tấn công này xảy ra khi kẻ xâm nhập chặn và thao tác dữ liệu được truyền qua mạng giữa hai bên. IPsec mã hóa dữ liệu, giúp bảo vệ dữ liệu khỏi bị đánh cắp hoặc sửa đổi bởi kẻ xâm nhập, ngay cả khi họ có thể chặn dữ liệu.

o Tấn công giả mạo IP:

</div><span class="text_page_counter">Trang 29</span><div class="page_container" data-page="29">

Trong tấn công này, kẻ xâm nhập giả mạo địa chỉ IP của một thiết bị hợp phápđể truy cập vào mạng hoặc tài nguyên. IPsec xác thực người dùng và thiết bị trước khi cho phép truy cập, giúp ngăn chặn kẻ xâm nhập giả mạo thông tin đăng nhập.

o Tấn công từ chối dịch vụ (DoS):

Mục tiêu của tấn công DoS là làm quá tải mạng hoặc máy chủ bằng cách gửi một lượng lớn lưu lượng truy cập giả mạo. IPsec có thể giúp giảm thiểu tác động của các cuộc tấn cơng DoS bằng cách mã hóa dữ liệu và xác thực người dùng, giúp giảm lượng lưu lượng truy cập giả mạo và tăng hiệu quả sử dụng băng thông.

o Tấn công đánh cắp dữ liệu:

Kẻ xâm nhập có thể đánh cắp dữ liệu nhạy cảm như thơng tin tài chính, thơng tin cá nhân hoặc dữ liệu kinh doanh khi dữ liệu được truyền qua mạng mà khơng được bảo vệ. IPsec mã hóa dữ liệu, giúp bảo vệ dữ liệu khỏi bị đánh cắp, ngay cả khi kẻ xâm nhập có thể truy cập vào mạng.

o Tấn cơng xâm nhập mạng:

Kẻ xâm nhập có thể xâm nhập vào mạng và thực hiện các hành động trái phépnhư cài đặt phần mềm độc hại hoặc đánh cắp dữ liệu. IPsec xác thực người dùng và thiết bị trước khi cho phép truy cập, giúp ngăn chặn kẻ xâm nhập trái phép truy cập vào mạng.

</div>