- Sau đó các gói dữ liệu được xử lý AH hoặc ESP với các thuật toán mã hoá,
xác thực và các khoá được chỉ ra bởi SA.
- Cuối cùng khi kết thúc, đường hầm IPSec bị xoá.
3.4. Xử lý hệ thống IPSec/IKE
Đây là điều quan trọng để hiểu được cách thức các hệ thống xử lý các gói dữ
liệu, lúc các gói đó được chuyển đến có sử dụng IPSec và IKE. Với bảo mật IP
được đặt đúng vị trí, các gói dữ liệu có thể không còn được xử lý, chuyển tiếp hoặc
hủy bỏ một cách đơn giản nữa mà phải phụ thuộc vào chính sách bảo mật để xác
định nếu quá trình xử lý IPSec bổ sung được yêu cầu và khi nó phải xẩy ra. Mặc dù
có sự khác nhau không đáng kể giữa các Platform về cách thức chúng thực hiện
IPSec trên các chồng IP riêng biệt của chúng, chức năng thông thường của quá
trình xử lý IPSec với các hệ thống Host và Getway có thể được tổng kết lại như
sau:
3.4.1. Xử lý IPSec cho đầu ra với các hệ thống máy chủ
Với IPSec hoạt động, bất kỳ các gói dữ liệu đi ra nào cũng đều phụ thuộc vào
cơ sở dữ liệu chính sách bảo mật(SPD) để xác định nếu quá trình xử lý IPSec được
yêu cầu hoặc những xử lý khác được thực hiện với các gói. Nếu IPSec được yêu
cầu, cơ sở dữ liệu liên kết bảo mật(SAD) sẽ được tìm kiếm một SA đã tồn tại cho
gói dữ liệu thích hợp với hồ sơ. Nếu không có trường hợp nào được tìm thấy và
IKE cũng như yêu cầu các SA ngoại tuyến được hỗ trợ. Một quá trình thương
lượng IKE sẽ được bắt đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong
muốn cho gói này. Cuối cùng, IPSec được áp dụng để các gói được yêu cầu bởi SA
và gói dữ liệu được phân phối. Quá trình xử lý này được minh họa trong hình 3.23

Hình 3.23 IPSec – Xử lý đầu ra với hệ thống các Host
3.4.2. Xử lý đầu vào với các hệ thống máy chủ Host
Với IPSec hoạt động, bất kỳ gói dữ liệu đi vào nào cũng đều phụ thuộc vào
SPD để xác định xử lý IPSec được yêu cầu hay các xử lý khác sẽ thực hiện với gói
dữ liệu. Nếu IPSec được yêu cầu, SAD được truy cập đến để tìm một SPI đã tồn tại
thích hợp với giá trị SPI chứa trong gói. Nếu không có giá trị nào phù hợp, về cơ
bản có 2 tùy chọn.

1. Loại bỏ gói tin mà không cho người gửi biết(nhưng có thể ghi nhật ký sự
kiện nếu được cấu hình). Tùy chọn này là ngầm định bởi hầu hết các IPSec ngày
nay
2. Nếu IKE cũng như yêu cầu các SA nội tuyến được hỗ trợ, một thỏa thuận
IKE mới được bắt đầu là kết quả cuối cùng trong việc thiết lập các SA với người
gửi của gói dữ liệu gốc. Trong trường hợp này, sẽ không vấn đề gì nếu gói dữ liệu
gốc được IPSec bảo vệ hoặc ở dạng rõ, nó chỉ tin tưởng vào chính sách cục bộ.
Tuy nhiên, nó yêu cầu người gửi gói dữ liệu gốc đáp ứng thỏa thuận IKE, và nó dự
tính rằng các gói sẽ bị hủy bỏ cho đến khi một SA được thiết lập
Cuối cùng, IPSec được áp dụng với các gói được yêu cầu bởi SA và các gói
tải được phân phối tới tiến trình cục bộ. Quá trình xử lý này được minh họa như
hình 3.24

Hình 3.24 IPSec – Xử lý hướng nội với các hệ thống máy chủ Host
3.4.3. Xử lý đầu ra với các hệ thống cổng kết nối
Trên một hệ thống cổng kết nối, bất kỳ gói dữ liệu đi ra nào cũng thường tùy
thuộc vào SPD của giao diện bảo mật để quyết định phải làm gì với nó. Nếu quyết
định là để định tuyến gói dữ liệu, bảng định tuyến sẽ được tra cứu để quyết định
nếu gói được phân phối tới tại cả. Nếu không có route được tìm thấy. Quá trình xử
lý IPSec sẽ không được thực hiện, nhưng người gửi gói dữ liệu gốc có thể được
cho biết về vấn đề này bằng cách dùng các thông điệp không tới được mạng ICMP.
Chúng ta thừa nhận rằng, các hệ thống cổng kết nối hoặc tận dụng các giao
thức định tuyến hoặc định nghĩa sự định tuyến mặc định và như vậy một quyết
định định tuyến thành công có thể được thực hiện.
Từ phạm vi trên, về bản chất quá trình xử lý là giống như trên các hệ thống
Host. Gói dữ liệu sau đó được chuyển tiếp đến SPD của giao diện không bảo mật
để quyết định xử lý IPSec được yêu cầu hay xử lý khác được thực hiện với gói dữ
liệu. Nếu IPSec được yêu cầu, SAD được truy cập để tìm kiếm một SA đã có cho
gói nào phù hợp với hồ sơ. Nếu không trường hợp nào được tìm thấy, và IKE cũng
như yêu cầu các SA ngoại tuyến được hỗ trợ, một sự thỏa thuận IKE mới được bắt

đầu mà cuối cùng là dẫn đến việc thiết lập các SA mong muốn cho gói dữ liệu này.
Cuối cùng, IPSec được áp dụng cho các gói được yêu cầu bởi SA và gói dữ liệu
được phân phối. Quá trình xử lý này được minh họa như trong hình 3.25

Hình 3.25 IPSec – Xử lý đầu ra với các hệ thống cổng kết nối
3.4.4. Xử lý đầu vào với các hệ thống cổng kết nối
Trên một hệ thống cổng kết nối có IPSec hoạt động, bất kỳ gói dữ liệu đi vào
nào cũng tùy thuộc vào SPD để quyết định xem quá trình xử lý IPSec được yêu cầu
hay các xử lý khác được thực hiện với gói đó. Nếu IPSec được yêu cầu, SAD được
truy cập để tìm kiếm một SPI đã tồn tại phù hợp với giá trị SPI chứa trong gói dữ
liệu. Nếu không có trường hợp nào tìm thấy, có 2 tùy chọn:
1. Hủy bỏ gói dữ liệu mà không báo cho người gửi biết, nhưng ghi vào nhật
ký sự kiện nếu được cấu hình.
2. Nếu IKE cũng như yêu cầu các SA đầu vào được hỗ trợ, một sự thỏa thuận
IKE mới được bắt đầu mà cuối cùng là dẫn đến việc thiết lập SA với người gửi gói
dữ liệu gốc. Trong trường hợp này, gói dữ liêu gốc được bảo vệ bởi IPSec hoặc ở
dạng rõ đều không quan trọng, nó chỉ tin tưởng vào chính sách cục bộ. Tuy nhiên,
nó yêu cầu là người gửi phải đáp ứng thỏa thuận IKE, và nó dự tính các gói dữ liệu
được hủy bỏ cho đến khi một SA được thiết lập.
Một gói dữ liệu được xử lý thành công bởi IPSec, nó có thể là một quá trình
lặp với các bó SA, một quyết định chọn đường phải được thực hiện để làm gì với
gói kế tiếp. Nếu gói dữ liệu được dự định chuyển đến Host khác, nó được phân
phối qua giao diện thích hợp theo bảng định tuyến. Nếu gói dữ liệu dự định chuyển
đến cổng kết nối của nó, dữ liệu tải được phân phối tới tiến trình xử lý cục bộ. Quá
trình này được minh họa như trong hình 3.26

Hình 3.26 IPSec – Xử lý đầu vào với các cổng kết nối

Tổng kết chương III
Trong chương III đã trình bày chi tiết về giao thức mạng riêng ảo thông dụng

nhất – IPSec, chương này cũng xem xét các cơ sở của IPSec và các liên kết bảo
mật - một dạng cơ sở của giao thức IPSec. Xác thực tiêu đề(AH) và đóng gói tải
bảo mật(ESP) là các giao thức IPSec chủ chốt. Trong khi AH bảo vệ toàn bộ gói
dữ liệu gốc thì, ESP chỉ bảo vệ phân dữ liệu tải của thông điệp gốc. Tiếp đó ta
cũng nghiên cứu các chế độ IPSec – Chế độ Tunnel và chế độ Transport – và các
quy tắc thực hiện chúng trong việc bảo vệ gói dữ liệu IP gốc khỏi các truy cập trái
phép, sự giả mạo, sự phân tích gói tin và đánh cắp gói tin. Cuối cùng là trình bài về
trao đổi khóa Internet(IKE), nó giữ một vài trò quan trọng trong việc quản lý các
khóa mật mã. Hai pha IKE được thảo luận. Bốn chế độ thực thi IKE thông dụng
cũng được thảo luận một cách ngắn gọn.
Câu hỏi ôn tập
1.

Which of the following fields make up an IPSec SA?
a. SPI
b. Payload
c. Destination IP Address
d. Security Protocol

2.

Which of the following databases contain entries that might resemble a
firewall rule?
a. SPD
b. SPI
c. SAP
d. SAD

3.


________ offers confidentiality and data integrity, but not the capability
for key management.
a. IKE
b. AH
c. ESP
d. None of the above

4.

Which of the modes listed below is NOT a valid IPSec mode?
a. Informational mode
b. Tunnel mode
c. Aggressive mode
d. Quick mode

5.

Which of the following statements is true?
a. Main mode is slower than Quick mode.
b. ESP in Transport mode offers higher security than ESP in Tunnel
mode.
c. Aggressive mode belongs to IKE Phase II.
d. All of the above statements are correct.