Tải bản đầy đủ (.doc) (24 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Cơ sở dữ liệu

BC Mang VT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (254.71 KB, 24 trang )

Chương I: Giới thiệu chung về IPSEC
1. Giới thiệu chung về mạng riêng ảo(VPN).
• VPN (Virtual Private Network) được định nghĩa như là một mạng kết nối các site
khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách
điều khiển truy nhập và bảo mật như một mạng riêng.
• Tuy được xây dựng trên cơ sở hạ tầng sẵn có của mạng công cộng nhưng VPN lại có
các tính chất riêng của mạng cục bộ như khi sử dụng các đường kênh thuê riêng, đó là
dữ liệu truyền luôn được dữ bí mật và chỉ có thể truy nhập bởi những người sử dụng
được trao quyền.
• Mạng riêng ảo sử dụng các phương pháp mật mã để bảo mật dữ liệu. Dữ liệu đàu ra
được mật mã rồi chuyển vào mạng công cộng như các dữ liệu khác để truyền tới đích
sau đó được giải mã tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong
một đường hầm( tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể nhìn
thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì nó đã được
mật mã.
• Chức năng của VPN: VPN cung cấp 3 chức năng chính là tính xác thực, tính toàn vẹn
và tính bí mật. Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn
nhau để khách hàng khảng định rằng mình đang trao đổi thông tin với người mình mong
muốn chứ không phải một người khác. Tính toàn vẹn đảm bảo dữ liệu không bị thay đổi
hay có bất kì sự xáo trộn nào trong quá trình truyền dẫn. Để đảm bảo tính bí mật của
thông tin, người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng công cộng
và dữ liệu sẽ được giải mã ở phía thu.
• Các mô hình VPN: có 2 mô hình:
- Mô hình dựa trên khách hàng: mô hình chồng lấn: Mô hình chồng lấn còn được triển
khai dưới dạng đường hầm.
Hai công nghệ VPN đường hầm phổ biến là : IPSec( IP sercurity)
GRE ( Generic Routing Encapsulation -
đóng gói định tuyến chung).
- Mô hình dựa trên mạng: mô hình ngang hàng.
2. Giới thiệu chung về IPsec
• Giao thức IPSec được IETF(tổ chức tiêu chuẩn kĩ thuật internet) phát triển để thiết lập


tính bảo mật trong mạng IP ở cấp độ gói. IPSec được định nghĩa là một họ giao thức
trong tầng mạng cung cấp các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển
truy nhập giữa các thiết bị tham gia. Các thiết bị này
c
ó
thể là các host hoặc là các
security gateway (routers, firewalls, VPN concentrator, ...) hoặc là
g
iữa

1
host và
gateway như trong trường hợp remote access VPNs.
• IPSec cho phép một đường hầm bảo mật thiết lập giữa hai mạng riêng và xác thực hai
đầu của đường hầm này. Đường hầm đóng vai trò là một kênh truyền bảo mật giữa hai
đầu và các gói dữ liệu yêu cầu an ninh được truyền trên đó.
• Các giao thức chính sử dụng trong
IPS
ec:
- IP Security Protocol
(IPS
ec
)
o Authentication Header
(AH)
o Encapsulation Security Protocol
(
E
SP)
- Message

E
n
c
ryp
ti
on
o Data Encryption Standard
(D
E
S)
o Triple DES
(3D
E
S)
- Message Integrity (Hash)
Fun
cti
ons
o Hash-based Message Authentication Code
(HMA
C
)
o Message Digest 5
(MD5)
1
o Secure Hash Algorithm-1
(SHA-1)
- Peer
Au
t

h
e
n
ticati
on
o Rivest, Shamir, and Adelman (RSA) Digital
S
i
gnu
t
ur
e
s
o RSA Encrypted
Non
ce
s
- Key
M
a
n
a
g
e
m
e
n
t
o Diffie-Hellman
(D-H)

o Certificate Authority
(
C
A)
- Security
Asso
ciati
on
o Internet Exchange Key
(IK
E
)
o Internet Security Association and Key Management
Pro
t
o
c
o
l
(ISAKMP)
2
Chương II: Đóng gói thông tin IPSec
2.1 Các chế độ hoạt động:
IPSec cung cấp 2 chế độ xác thực và mã hóa mức cao để thực hiện đóng gói
thông tin, đó là chế độ truyền tải( Transport mode) và chế độ đường hầm(tunnel
mode)
2.1.1 Chế độ truyền tải
Trong chế độ truyền tải, vấn đề an ninh được cung cấp bởi các giao thức lớp cao
trong mô hình OSI (từ 4 lớp trở lên). Chế độ này bảo vệ phần tải tin của gói nhưng
vẫn để phần tiêu đề IP ban đầu ở dạng gốc như trong nguyên bản (hình 2.1). Địa chỉ

IP ban đầu này được sử dụng để định tuyến gói qua internet.



Hình 2.1 Xử lý gói tin IP ở chế độ truyền tải
Chế độ truyền tải có ưu điểm: chỉ thêm vào gói tin ban đầu một số ít byte.
Nhược điểm: cho phép các thiết bị trong mạng nhìn thấy địa chỉ
nguồn và đích của gói tin và có thể thực hiện một số xử lý( vd phân tích lưu lượng) dựa
trên các thông tin của tiêu đề IP.
2.1.2 Chế độ đường hầm:
Trong chế độ đường hầm, toàn bộ gói IP ban đầu gồm cả tiêu đề được xác thực
hoặc mật mã, sau đó được đóng gói với một tiêu đề IP mới (hình 2.2). Địa chỉ IP bên
ngoài được sử dụng cho định tuyến gói IP qua internet.
Chế độ này cho phép các thiết bị mạng như bộ định tuyến thực hiện xử lý IPSec thay cho
các trạm cuối (host).
3
Hình 2.2 Xử lý gói tin IP ở chế độ đường hầm.
Ví dụ: Hình 2.3. Bộ định tuyến A xử lý các gói từ trạm A, gửi chúng vào đường hầm.
Bộ định tuyến B xử lý các gói nhận được trong đường hầm, đưa về dạng ban đầu và
chuyển chúng tới trạm B. Như vậy các trạm cuối không cần thay đổi mà vẫn có được
tính an ninh dữ liệu của IPSec. Sử dụng chế độ đường hầm, các thiết bị trung gian trong
mạng sẽ chỉ nhìn thấy được các địa chỉ 2 điểm cuối của đường hầm (A,B).
Hình 2.3 Thiết bị mạng thực hiện IPSec trong chế độ đường hầm
2.2. Giao thức tiêu đề xác thực AH & giao thức đóng gói tải tin an toàn ESP
2.2.1. Giới thiệu:
a) Giới thiệu giao thức AH
Giao thức tiêu đề xác thực AH cung cấp khả năng xác thực nguồn gốc dữ liệu,
kiểm tra tính toàn vẹn dữ liệu và dịch vụ chống phát lại. Toàn vẹn dữ liệu là kiểm tra
những thay đổi của từng gói tin IP không quan tâm đến vị trí các gói trong luồng lưu
lượng. Dịch vụ chống phát lại là kiểm tra sự phát lặp lại một gói tin tới địa chỉ đích

nhiều hơn một lần.
AH cho phép xác thực các trường của tiêu đề IP cũng như dữ liệu của các giao
thức lớp trên. Tuy nhiên, do một số trường của tiêu đề IP thay đổitrong khi truyền và
phía phát không dự đoán trước được giá trị của chúng khi tới phía thu, giá trị của trường
này không bảo vệ được bằng AH. Có thể nói AH chỉ bảo vệ một phần tiêu đề của IP,
Giao thức tiêu đề xác thực AH nhanh hơn giao thức đóng gói tải tin an toàn ESP vì vậy
có thể chọn AH trong trường hợp cần yêu cầu chắc chắn về nguồn gốc và tính toàn vẹn
của dữ liệu, còn tính bảo mật dữ liệu thì không yêu cầu cao.
Giao thức tiêu đề xác thực AH cung cấp chức năng xác thực bằng cách thực hiện
một hàm băm một chiều đối với dữ liệu của gói để tạo ra một đoạn mã xác thực. Đoạn
mã này được chèn vào thông tin của gói truyền đi. Khi đó bất cứ thay đổi nào đối với
nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện
cùng một hàm băm một chiều đối với gói dữ liệu nhận được và đối chiếu với giá trị mã
xác thực truyền cùng với gói dữ liệu.
b) Giới thiệu giao thức ESP
ESP được sử dụng khi có yêu cầu cao về bảo mật của lưu lượng IPSec cần truyền. Nó
cung cấp tính bảo mật dữ liệu bằng việc mật mã hóa các gói tin.
ESP cũng cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, dịch vụ
chống phát lại và một số giới hạn về luồng lưu lượng cần bảo mật.
4
Hoạt động của ESP khác so với AH. ESP đóng gói tất cả hoặc một phần dữ liệu gốc. Do
hỗ trợ khả năng bảo mật nên ESP có xu hướng được sử dụng rộng rãi hơn AH.
Hình 2.5 Cơ chế đóng gói ESP
2.2.2 Cấu trúc gói tin AH:
Các thiết bị sử dụng AH sẽ chèn một tiêu đề vào giữa lưu lượng cần quan tâm của
gói IP, ở giữa phần tiêu đề IP và tiêu đề 4 lớp.
Quá trình xử lý chèn tiêu đề AH được minh họa trên hình 2.4

Hình 2.4 Cấu trúc tiêu đề AH cho gói tin IPSec
5

+Tiêu đề kế tiếp ( Next header ) (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau
AH. Giá trị của trường này được lựa chọn từ tập các giá trị số giao thức IP được định
nghĩa bởi IANA (TCP_6; UDP_ 17).
+Độ dài tải tin (Payload length) (8bit): Xác định độ dài của AH theo đơn vị 32bit (4
Byte).
+Dự phòng (Reserved) (16 bit): trường này dùng để dự trữ sử dụng trong tương lai. Giá
trị của trường này có thể đặt bằng 0 và có tham gia trong việc tính Authentication Data.
+Chỉ số thông minh ( Security Parameter Index) (SPI):
- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESP
cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1÷255
được dành riêng để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía
thu khi thiết lập SA. SPI là trường bắt buộc.
- Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có
SA nào tồn tại.
+ Số thứ tự (Sequence number) (SN):
- Trường 32 bit không dấu chứa một giá trị đếm tăng dần. SN là trưòng bắt buộc
cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào.
việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này,
còn phía thu có thể không cần phải xử lý nó.
- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập
(gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay
được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một
SA mới, và do đó là một khoá mới) trước khi truyền gói thứ 2
32
của một SA.
+ Dữ liệu xác thực (Authentication Data):
Trường này có độ dài biến đổi chứa một một giá trị kiểm tra tính toàn vẹn ICV
(integrity Check Value) cho gói tin. Độ dài của trường này bằng số nguyên lần 32 bit
(hay 4 Byte).
Trường này có thể chứa một phần dữ liệu đệm kiểu tường minh (Explicit padding) để

đảm bảo độ dài của AH header là số nguyên lần 32 bit (đối với IPv4) hoặc 64 bit (đối
với IPv6).
2.2.3 Cấu trúc gói tin ESP:

Khuôn dạng ESP
6
Hình 2.6 Khuôn dạng gói tin ESP
Trong đó:
+ Security Parameter Index (SPI):
- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESP
cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1÷255
được dành riêng để sử dụng trong tương lai. SPI thường được lựa chọn bởi phía
thu khi thiết lập SA. SPI là trường bắt buộc.
- Giá trị SPI 0 được sử dụng cục bộ. Có thẻ sử dụng giá trị này để chỉ ra chưa có
SA nào tồn tại.
+ Sequence number (SN):
- Trường 32 bit không dấu chứa một giá trị đếm tăng dần (SN). SN là trưòng bắt
buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ
thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyền
trường này, còn phía thu có thể không cần phải xử lý nó.
- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiết lập
(gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1). Nếu dịch vụ anti-replay
được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một
SA mới, và do đó là một khoá mới) trước khi truyền gói thứ 2
32
của một SA.
+ Payload Data
Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next header. Payload Data
là trường bắt buộc và có độ dài bằng số nguyên lần Byte.
+ Padding

Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay plaintext) phải là
số nguyên lần khối các Byte (trong mật mã khối) thì Padding field được sử dụng để
thêm vào Plaintext để có kích thước yêu cầu.
7
Padding cần thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4 Byte
để phân biệt rõ ràng với trường Authentication Data.
Ngoài ra padding còn có thể được sử dụng để che dấu độ dài thực của Payload, tuy
nhiên mục dích này phải được cân nhắc vì nó ảnh hưởng tói băng tần truyền dẫn. Bên
gửi có thể thêm 0÷255 Padding Byte.
+ Pad length
Trường này xácđịnh số padding Byte đã thêm vào. Các giá trị hợp lệ là 0÷255. Pad
length là trường bắt buộc.
+ Next header (8bit)
Là một trường bắt buộc. Next header xác định kiểu dữ liệu chứa trong Payload
Data. Giá trị của trường này được lựa chọn từ tập cácgiá trị IP Protocol Numbers định
nghĩa bởi IANA..
+ Authentication Data
Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn ven ICV (integrity
Check Value) tính trên dữ liệu của toàn bộ gói ESP trừ trường Authentication Data. Độ
dài của trường phụ thuộc vào hàm xác thực được lựa chọn. trường này là tuỳ chọn, và
chỉ được thêm vào nếu dịch vụ authentication được lựa chọn cho SA đang xét. Thuật
toán xác thực phải chỉ ra độ dài của ICV và các bước xử lý cũng như các luật so sánh
cần thực hiện để kiểm tra tính toàn vẹn của gói tin.
2.2.4 Hoạt động của AH và ESP trong các chế độ (mode)
AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác nhau
tương ứng với hai mode: Transport mode và Tunnel mode.
+ Transport mode:
Được sử dụng phổ biến cho những kết nối giữa các host hay giữa các thiết bị có
chức năng như những host. Ví dụ, một cổng nối IPSec (đó có thể là bộ định tuyến phần
mềm IOS, FIX Firewall, hay bộ tập trung VPN 3000 của Cisco) có thể xem như là một

host khi được truy nhập bởi một nhà quản lý cấu hình hay những hoạt động điều khiển
khác.
Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ chế bảo
mật cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần IP header luôn
ở dạng “clear”.
Trong Transport mode, AH được chèn vào sau tiêu đề IP và trước các giao thức
lớp trên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn vào trước đó.
+ Tunnel mode:
Được sử dụng giữa các cổng nối như các bộ định tuyến, những FIX Firewwall,
những bộ tập trung. Tunnel mode cũng được sử dụng phổ biến khi một host kết nối tới
8
một trong những cổng nối đó để gia tăng truy nhập tới các mạng được điều khiển bởi
cổng nối đó, như trong trường hợp những người dùng từ xa quay số truy cập tới một bộ
định tuyến hay bộ tập trung.
Hình 2.7: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH
Hình 2.8: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH
9
Hình 2.9: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP
Hình 2.10: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP
Để có thể áp dụng AH và ESP trong chế độ Transport mode và Tunnel mode,
IPSec yêu cầu phải hỗ trợ được cho tổ hợp của transport mode và Tunnel mode. Điều
này được thực hiện bằng các sử dụng Tunnel mode để mã hoá và xác thực các gói và
tiêu đề của nó rồi gắn AH hoặc ESP, hoặc dùng cả hai trong chế độ transport mode để
bảo mật cho tiêu đề mới được tạo ra. AH và ESP không thể sử dụng chung trong Tunnel
10
mode bởi vì ESP đã có cơ chế tuỳ chọn xác thực, tuỳ chọn này nên sử dụng trong
Tunnel mode khi các gói cần phải mã hoá và xác thực.
Chương III : Liên kết an ninh và hoạt động trao đổi khóa
3.1 Liên kết an ninh:
3.1.1Khái niệm:

Khi thiết lập kết nối IPSec, hai bên phải xác định các thuật toán sẽ được sử dụng,
loại dịch vụ cần đảm bảo an ninh. Sau đó thương lượng để chọn các tham số và giải
thuật áp dụng cho bảo mật hay xác thực.
Dịch vụ bảo mật quan hệ giữa hai hay nhiều thực thể để thỏa thuận truyền thông
an toàn được gọi là liên kết an ninh (SA - Security Association).
SA là một kết nối đơn công. Với mỗi cặp truyền thông A và B có ít nhất hai SA
(một từ A tới B và một từ B tới A).
Khi lưu lượng cần truyền hai chiều qua VPN, giao thức trao đổi khóa IKE thiết lập
một cặp SA trực tiếp, sau đó có thể thiết lập thêm nhiều SA khác.
Mỗi SA có một thời gian sống riêng và được nhận dạng duy nhất bởi:
 chỉ số thông số an ninh (SPI),
 địa chỉ IP đích
 chỉ thị giao thức an ninh (AH hay ESP).
Cơ chế quản lý SA của IPSec hiện nay chỉ được định nghĩa cho SA đơn hướng.
3.1.2 Các kiểu liên kết an ninh:
Liên kết an ninh có hai kiểu là truyền tải và đường hầm, phụ thuộc vào chế độ của giao
thức sử dụng.
- SA kiểu truyền tải là một liên kết an n inh giữa 2 trạm, hoặc được yêu cầu giữa
hai hệ thống trung gian dọc trên đường truyền.
- SA kiểu đường hầm là một SA cơ bản được ứng dụng tới một đường hầm IP.
SA giữa hai cổng an n inh là một SA kiểu đường hầm điển hình, giống như một
SA giữa một trạm và một cổng an ninh.
-
3.1.3 Kết hợp các liên kết an ninh:
Đối với kiểu đường hầm, một sốTH điển hình của kết hợp các liên kết an ninh:

Hình 3.1:Kết hợp các SA kiểu đưuòng hầm khi hai điểm cuối trùng nhau
11
Trạm 1
Trạm 1

Cổng an
ninh 1
Cổng an
ninh 1
Cổng an
ninh 2
Cổng an
ninh 2
Trạm 2
Trạm 2
Internet
Liên kết an ninh 1 (đường hầm)
Liên kết an ninh 2 (đường hầm)
Trạm 1
Trạm 1
Cổng an
ninh 1
Cổng an
ninh 1
Cổng an
ninh 2
Cổng an
ninh 2
Trạm 2
Trạm 2
Internet
Liên kết an ninh 1 (Tunnel)
Liên kết an ninh 2 (đường hầm)
Hình 3.2:Kết hợp các SA kiểu đưuòng hầm khi một điểm cuối trùng nhau
3.2. Hoạt động trao đổi khóa

Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với
các dịch vụ bảo mật cần thiết và hoạt động của IPSec có thể chia thành 5 bước chính
như sau:

 A gửi lưu lượng cần bảo vệ tới B
 Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE SA
← IKE Phase → IKE SA
 Router A và B thoả thuận một phiên trao đổi IKE Phase 2
IPSec SA ← IKE Phase → IPSec SA
 Thông tin được truyền dẫn qua đường hầm IPSec
 Kết thúc đường hầm IPSec
bước 1: Lưu lương cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết bị
IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ.
bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch vụ bảo
mật được thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE SAs (Security
associations)). Trong phase này, thiết lập một kênh truyền thông an toàn để tiến hành
thoả thuận IPSec SA trong Phase 2.
bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập các
IPSec SA tương đương ở hai phía. Những thông số an ninh này được sử dụng để bảo vệ
dữ liệu và các bản tin trao đổi giữa các điểm đầu cuối. kết quả cuối cùng của hai bước
IKE là một kênh thông tin bảo mật được tạo ra giữa hai phía.
bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSec dựa trên cơ
sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA.
12
bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc do hết
hạn (time out).
Hình 3.3 Các pha và chế độ trao đổi khóa IKE
Sau đây sẽ trình bày cụ thể hơn về 5 bước hoạt động của IPSec:
Bước 1- Kích hoạt lưu lượng cần bảo vệ.
Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chính sách an

ninh (Security Policy) của một mạng VPN. Chính sách được sử dụng để quyết định lưu
lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở dạng bản rõ (clear text)
không cần bảo vệ). Chính sách sau đó sẽ được thực hiện ở giao diện của mỗi đối tác
IPSec.
Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua
IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản
trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ
liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử
dụng cho luồng lưu lượng.
13
Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access Control Lists) của các
router được sử dụng để biết lưu lượng nào cần mật mã. ALCs định nghĩa bởi các dòng
lệnh.
Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã.
- Lệnh deny : Xác định lưu lưọng phải được gửi đi dưới dạng không mật
mã.
Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bước tiếp
theo: Thoả thuận một trao đổi IKE Phase 1.
Bước 2 – IKE Phase 1
Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE
policy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE
Phase 1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive mode).

Hình 3.4 : IKE Phase 1
Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:
- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao
đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác.
- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared secret
keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác.
Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thực khác.

- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác). Kết quả chính của
chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai
đối tác.
Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn). Hầu hết
mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE; tạo
khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để xác định
14
nhận dạng thông qua một bên thứ ba (third party). Bên nhận gửi trở lại mọi thứ cần thiết
để hoàn thành (complete)việc trao đổi. cuối cùng bên khởi tạo khẳng định (confirm)
việc trao đổi.
 Các tập chính sách IKE
Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet, một
đường hầm an toàn được thiết lập giữa Router A và Router B. Thông qua đường hầm,
các giao thức mật mã, xác thực và các giao thức khác được thoả thuận. Thay vì phải
thoả từng giao thức một, các giao thức được nhóm thành các tập, chính là tập chính sách
IKE (IKE policy set). Các tập chính sách IKE được trao đổi trong IKE Phase 1 ở chế độ
chính và trong trao đổi thứ nhất. Nếu một chính sách thống nhất (matching policy) được
tìm thấy ở hai phía thì chế độ chính tiếp tục. Nếu không tìm thấy chính sách thống nhất
nào thì đường hầm sẽ bị loại bỏ.
Hình 3.5: Tập chính sách IKE
Ví dụ, Router A gửi các tập chính sách IKE Policy 10 và IKE Policy 20 tới Router
B. Router B so sánh với tập chính sách của nó, IKE Policy 15, với các tập chính sách
nhận được từ Router A. Trong trường hợp này, một chính sách thống nhất được tìm
thấy: IKE Policy 10 của Router A và IKE Policy 15 của Router B là tương đương.
Trong nhiều ứng dụng điểm- tới điểm, mỗi bên chỉ cần định nghĩa một tập các
chính sách IKE. Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều chính sách
IKE để đáp ứng nhu cầucủa tất cả các đối tác từ xa.
 Trao đổi khoá Diffie-Hellman
Trao đổi khoá Diffie-Hellman là một phương pháp mật mã khoá công khai cho
phép hai bên thiết lập một khoá bí mật chung qua một môi trường truyền thông an toàn.

Khoá mật mã này sẽ được sử dụng để tạo ra tất cả các khoá xác thực và mã hoá khác.
15
Khi đã hoàn thành viêc htoả thuận các nhóm, khoá bí mật chung SKEYID sẽ được
tính. SKEYID được sử dụng để tạo ra 3 khoá khác SKEYID_a, SKEYID_e,
SKEYID_d. Mỗi khoá có một mục đích riêng: SKEYID_a đựoc sử dụng trong quá trình
xác thực.
SKEYID_e được sử dụng trong quá trình mật mã.
SKEYID_d được sử dụng để tạo ra các khoá cho các kết hợp an ninh không theo
giao thức ISAKMP (non-ISAKMP SAs). Cả bốn khoá trên đều được tính trong IKE
Phase 1.
Khi bước này hoàn thành, các đối tác ngang hàng có cùng một mật mã chia sẻ
nhưng các đối tương này không được xác thực. Qua trình này diễn ra ở quá trình thứ 3,
quá trình xác thực đối tác.
 Xác thực đối tác
Xác thực đối tác là bước trao đổi cuối cùng được sử dụng để xác thực các đối tác
nghĩa là thực hiện kiểm tra xem ai đang ở bên kia của đường hầm. Các thiết bị ở hai đầu
đường hầm VPN phải được xác thực trước khi đường truyền thông được coi là an toàn.
Trao đổi cuối cùng của IKE Phase 1 cómục đích là để xác thực đối tác.
Hình.3.6: Xác thực các đối tác
Ba phương pháp xác thực nguồn gốc dữ liệu:
- Pre-shared keys (Các khoá chia sẻ trước) – một giá trị khoá bí mật được nhập vào bằng
tay để xác định đối tác.
- RSA signatures (Các chữ ký RSA) – sử dụng việc trao đổi các chứng nhận số (digital
certificates) để xác thực đối tác.
- RSA encryption nonces – Các số ngẫu nhiên (nonces_một số ngẫu nhiên được tạo ra
bổi mỗi đối tác) được mã hoá và sau đó được trao đổi giữa các đối tác ngang hàng, 2
nonce được sử dụng trong suốt quá trình xác thực đối tác ngang hàng.
Bước 3 – IKE Phase 2
16
Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được sử dụng

để bảo mật đường hầm IPSec.
Hình 3.7: Thoả thuận các thông số bảo mật IPSec
IKE Phase 2 thức hiện các chức năng sau:
 Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập
chuyển đổi IPSec (IPSec transform sets).
 Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
 Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.
 Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo
ra, làm tăng tính an toàn của đường hầm).
IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode
Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE Phase 1.
IKE Phase 2 thoả thuận một tập chuyển đổi IPSec chung , tạo các khoá bí mật chung sủ
dụng cho các thuật toán an ninh IPSec và thiết lập các SA IPSec. Quick mode trao đổi
các nonce mà được sử dụng để tạo ra khoá mật mã chung mới và ngăn cản các tấn công
“Replay” từ việc tạo ra các SA khong có thật.
Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi SA IPSec cũ
đã hết hạn.
 Các tập chuyển đổi IPSec
Mục đích cuối cùng của IKE Phase 2 là thiết lập một phiên IPSec an toàn giữa các
điểm đầu cuối. Trước khi thực hiện được điều này thì mỗi cặp điểm cuối cần thoả thuận
múc độ an toàn cần thiết (ví dụ, các thuật toán xác thực và mật mã dung trong phiên đó).
Thay vì phải thoả thuận từng giao thức riêng lẻ, các giao thức được nhóm thành các tập,
chính là các tập chuyển đổi IPSec. Các tập chuyển đổi này được trao đổi giữa hai phía
trong Quick Mode. Nếu tìm thấy một tập chuyển đổi tương đương ở hai phía thì quá
trình thiết lập phiên tiếp tục, ngược lại phiên đó sẽ bị loại bỏ.
17
Hình 3.8: tập chuyển đổi IPSec
Ví dụ: Router A gửi IPSec transform set 30 và 40 tới Router B , Router B so sánh
với IPSec transform set 55 của nó và thấy tương đương với IPSec transform set 30 của
Router A, các thuật toán xác thực và mật mã trong các tập chuyển đổi này hình thành

một kết hợp an ninh SA.
 Kết hợp an ninh (SA)
Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị VPN sẽ đưa
thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán xác thức, mật
mã; địa chỉ của đối tác, Chế độ truyền dẫn, thồi gian sống của khoá .v.v. Những thông
tin này được biết đến như là một kết hợp an ninh SA. Một SA là một kết nối logic một
chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua kết nối. Bởi vì hầu hết lưu lượng
là hai chiều nên phải cần hai SA, một cho đầu vào và một cho đầu ra.
Thiết bị VPN sau đó sẽ đánh số SA bằng một số SPI (Security Parameter Index –
chỉ số thông số bảo mật). Thay vì gửi từng thông số của SA qua đường hầm, mỗi phía
chỉ đơn giản chèn số SPI vào ESP Header. Khi bên thu nhận được gói sẽ tìm kiếm địa
chỉ đích và SPI trong cơ sở dữ liệu của nó SAD (Security Association database), sau đó
xử lý gói theo các thuật toán được chỉ định bởi SPI / ra trong SPD
18

Hình 3.9 : Các kết hợp an ninh
IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định nghĩa địa
chỉ IP đối tác đích, giao thức IPSec, số SPI. SPD định nghĩa các dịch vụ bảo mật được
sử dụng cho đối tác SA, các thuật toán mã hoá và xác thực, mode, và thời gian sống của
khoá.
Ví dụ, đối với một kết nối mạng Công ty – Ngân hàng , một đường hầm rất an
toàn được thiết lập giữa hai phía, đường hầm này sử dụng 3DES, SHA, tunnel mode, và
thời hạn của khoá là 28800, giá trị SAD là 192.168.2.1, ESD và SPI là 12. Với người sử
dụng từ xa truy nhập vào e-mail thì đường hầm có mức bảo mật thấp hơn được thoả
thuận, sử dụng DES, MD5, tunnel mode, thời hạn của khoá là 28800, tương ứng với SPI
là 39.
 Thời hạn (lifetime) của một kết hợp an ninh
Vấn đề tương đương với thời hạn của một mật khẩu sử dụng mật khẩu trong máy
tính, thời hạn càng dài thì nguy cơ mất an toàn càng lớn. Các khoá và các SA cũng vậy,
để đảm bảo tính an toàn cao thì các khoá và các SA phải được thay đổi một cách thường

xuyên. Có hai thông số cần được xác định để thay đổi khoá và SA:
Lifetime type- Xác định kiểu tính là theo số Byte hay theo thời gian đã truyền đi.
Duration – Xác định đơn vị tính là Kbs dữ liệu hay giây.
Ví dụ: lifetime là 10000Kbs dữ liệu đã truyền đi hoặc 28800s. Các khoá và SAs
còn hiệu lực cho đến khi lifetime hết hạn hoặc có một nguyên nhân bên ngoài, chẳng
hạn một bên ngắt đường hầm, khi đó khoá và SA bị xoá bỏ.
Bước 4 – Đường hầm mật mã IPSec
19
Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh
IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn.
Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA.
Hình 3.10Đường hầm IPSec được thiết lập
Bước 5 – Kết thúc đường hầm

Hình 3.11: Kết thúc đường hầm
Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết hạn
khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền qua đường
hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec SA mới cần được
thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một
IKE Phase 1 mới. Một hoả thuận thành công sẽ tạo ra các SA và khoá mới. Các SA mới
được thiết lập trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.
20
Chương IV: Một số vấn đề kỹ thuật trong thực hiện VPN trên nền
IPSec

Ipsec sử dụng nhiều giao thức và kỹ thuật đang tồn tại để mã hóa, xác thực dữ liệu và
trao đổi khóa. Ipsec trở thành tiêu chuẩn phổ biến trong các ứng dụng đảm bảo an ninh
thông tin như VPN.
Những kỹ thuật cơ bản liên quan đến việc thực hiện vpn trên nền ipsec
4.1Mật mã

Bản tin mật mã cho phép gửi thông tin qua mạng công cộng mà không sợ bị xâm phạm
dữ liệu
Một số tiêu chuẩn cơ bản để mật mã dữ liệu
Chuẩn mã dữ liệu des ( data encryption standard ) có độ dài khóa 56 bit
DES được IBM phát triển vào năm 1977 áp dụng một khóa 56 bit cho 64 bit dữ liệu và
là một kỹ thuật mật mã mạnh thời điểm đó. Sau này máy tính tốc độ cao hơn đã bẻ gãy des
trong khoảng thời gian ngắn nên des không được sử dụng cho những ứng dụng bảo mật cao.
Kỹ thuật DES_ CBC là một trong rất nhiều phương pháp của DES . CBC (cipher block
chaining ) chế độ chuỗi khối mật mã , yêu cầu một vecter khởi tạo IV để bắt đầu mật mã .
ipsec đảm bảo cả hai phái VPN có một IV hay một khóa bí mật chia sẻ . khóa bí mật chia sẻ
được đặt vào thuật toán mật mã des để mật mã những khối 64 bit do bản rõ chia ra. Bản rõ
được chuyển thành dạng mật mã và đưa tới ESP để truyền qua bên kia. Khi sử lí ngược lại
khóa bí mật chia sẻ được sử dụng để tạo lại bản rõ.
3DES (triple) có độ dài khóa 168 bit
Là phiên bản của des nó thực hiện 3 quá trình mật mã . 3DES sử dụng quá trình đóng
gói , mở gói và một quá trình đóng gói khác với khóa 56 bit khác nhau. Ba quá trình tạo ra tổ
hợp khóa 168 bit, cung cấp phương thức mã hóa mạnh. Tất cả các sản phẩm và phần mềm
CISCO VPN đều hỗ trợ thuật toán mã hóa 3DES với khóa 168 bit và thuật toán DES 56 bit
AES(advanced encryption standard) chuẩn mật mã tiên tiến có độ dài khóa 128 , 192
hoặc 256 bit
AES là chuẩn mã khối tương xứng , được thực hiện trên cả phần cứng và phần mềm .
aes thiết kế để tăng độ dài khóa . độ dài khối dữ liệu của aes là 128 còn độ dài khóa có thể
là 128 ,192, 256bit
Thuật toán cho AES : MARS(IBM), RC6(RSA), twofish( bruce schneier)...
4.2 Toàn vẹn bản tin
Sự toàn vẹn của bản tin được thực hiện nhờ hàm băm toán học để tính toán đặc trưng
của bản tin hay tệp dữ liệu . đặc trưng này được gọi là giản lược bản tin MD(message
digest)và độ dài phụ thuộc hàm băm sử dụng.
Tất cả hoặc một phần của giản lược bản tin được truyền với dữ liệu tới đích , nơi sẽ thực
hiện một hàm băm để tạo giản lược bản tin nhận được. Giản lược bản tin nguồn và đích sẽ

được đối chiếu.
Khi sử dụng giao thức IPSec việc tạo giản lược bản tin được áp dụng với các trường
không biến đổi trong gói tin ip. Các trường biến đổi được thay thế bằng giá trị 0 hoặc giá trị
có thể dự đoán . giản lược bản tin MD sau đó được đặt vào trường dữ liệu xác thực (ICV)
của ah . thiết bị cuối sao chép md từ ah và tách trường dữ liệu xác thực trước khi tính toán
lại MD.
Với giao thức ESP giản lược bản tin được tạo nhờ sử dụng dữ liệu không biến đổi trong
gói tin IP bắt đầu từ tiêu đề ESP kết thúc là phần đuôi ESP. Giá trị MD được tính toán đặt
vào trường ICV tại cuối gói tin . ESP trạm đích không cần tách trường ICV vì nó đặt bên
ngoài phạm vi hàm băm .
21
Có hai thuật toán hỗ trợ toàn vẹn bản tin là MD5 và SHA_1 (secre hash algorithm_1) .
chúng sử dụng cơ chế khóa băm là HMAC( hashed keyed message authenticaiton code)
Mã xác thực bản tin băm HMAC
RFC 2104 trình bày về thuật toán HMAC. Nó được phát triển để làm việc cùng với các
thuật toán băm MD5 và SHA_1. nhiều quá trình xử lí an ninh phức tạp trong chia sẻ dữ liệu
yêu cầu sử dụng khóa bí mật và một cơ chế gọi là mã xác thực bản tin MAC . một bên tạo
MAC sử dụng khóa bí mật , bên nhận tạo lại MAC sử dụng một khóa và so sánh MAC với
nhau.
HMAC phát triển do MD5 và SHA_1 sử dụng khóa bí mật khác nhau dù chúng có
nguyên lí tương tự nhau.
HMAC thêm vào một khóa bí mật cho tiêu chuẩn thuật toán băm tính toán giản lược bản
tin . khóa bí mật được thêm vào theo thể thức cùng độ dài nhưng kết quả giản lược bản tin
sẽ khác nhau khi sử dụng thuật toán khác nhau.
Thuật toán giản lược bản tin MD5
Thực hiện giản lược bất kỳ bản tin hay trường dữ liệu nào thành một mô tả ngắn gọn
128 bit . với HMAC- MD5-96, khóa bí mật có độ dài 128 . với AH và ESP , HMAC chỉ sử
dụng có 96 bit nằm bên trái , đặt chúng vào trường xác thực .bên đích tính toán lại 128 bit
giản lược bản tin nhưng chỉ sử dụng 96 bit nằm bên trái để sử so sánh với giá trị được lưu
trong trường xác thực.

MD5 tạo ra một giản lược bản tin ngắn hơn SHA-1 , được xem là ít an toàn hơn nhưng
kết quả thực hiện tốt hơn. MD5 không có hmac là yếu hơn cho những lựa chọn dịch vụ bảo
mật.
Thuật toán băm an toàn SHA
Được mô tả trong RFC 2404 . SHA -1 tạo ra giản lược bản tin dài 160 bit và sử dụng
khóa bí mật 160 bit.
Giản lược bản tin SHA-1 dài hơn và an toàn hơn so với MD5. cần mức độ an toàn cao
cho toàn vẹn bản tin thì chọn thuật toán HMAC-SHA-1.
4.3 Xác thực các bên
Một trong những sử lý IKE là thực hiện xác thực các bên . quá trình này diễn ra trong
pha một sử dụng thuật toán khóa băm cùng với một trong 3 loại khóa sau :
Khóa chia sẻ trước (pre- shared keys)
Chữ ký số RSA (rsa signatures)
Số ngẫu nhiên mật mã RSA ( rsa-n encrypted nonces)
Khóa chia sẻ trước
Xử lý khóa chia sẻ trước là xử lý thủ công. Người quản trị tại một đầu cuối của ipsec-
vpn đồng ý về khóa được sử dụng , sau đó đặt khóa vào thiết bị là trạm hoặc cổng an ninh
một cách thủ công. Phương pháp này đơn giản không được ứng dụng rộng rãi.
Chữ ký số RSA
Một chứng thực số của người có quyền chứng thực(ca- certificate authority) cung cấp
chữ ký số RSA vào lúc đăng ký. Chữ ký số đảm bảo an ninh hơn là khóa chia sẻ .một khi
cấu hình ban đầu đã được hoàn thành , các bên sử dụng chữ ký số RSA có thể xác thực đối
phương mà không cần sưc can thiệp của người điều hành.
Khi một chữ ký số RSA được yêu cầu , một cặp khóa công cộng và khóa riêng được
sinh ra. Trạm sử dụng khóa riêng tạo ra một chữ ký số và gửi chữ ký số tới bên kia. Bên
nhận sử dụng khóa công cộng từ chữ ký số để phê chuẩn chữ ký số nhận được.
Số ngẫu nhiên mật mã RSA
22
Phương pháp số ngẫu nhiên mật mã rsa sử dụng chuẩn mã rsa với khóa công cộng . nó
yêu cầu mỗi bên tạo ra một số giả ngẫu nhiên và mật mã hóa số này theo khóa công cộng

của bên kia. Quá trình xác thực xảy ra khi mỗi bên giải mã giá trị số ngẫu nhiên của bên kia
với khóa riêng cục bộ, sau đó sử dụng số ngẫu nhiên đã giải mã này để tính toán băm.
4.4 Quản lý khóa
Quản lý khóa là một vấn đề quan trọng khi làm việc với IPSec-VPN. Có 5 khóa cố định
cho mọi bên IPSec quan hệ với nhau:
2 khóa riêng được làm chủ bởi mỗi bên và không bao giờ chia sẻ . chúng được sử dụng
để mật mã bản tin.
2 khóa công cộng được làm chủ bởi mỗi bên và chia sẻ cho mọi người . những khóa này
được sử dụng để kiểm tra chữ ký.
Khóa thứ 5 được sử dụng là khóa bảo mật chia sẻ . cả hai bên sử dụng khóa này cho mật
mã và hàm băm. Đây là khóa được tạo bởi thuật toán diffie- hellman. Trong thực tế , khóa
riêng và khóa công cộng được sử dụng cho nhiều kết nối ipsec do một bên đưa ra. Đối với
một tổ chức nhỏ , toàn bộ những khóa này có thể được quản lý thủ công. Tuy nhiên , khi cố
gắng phân chia xử lý đẻ hỗ trợ cho một số lượng lớn các phiên VPN thì sẽ xuất hiện nhiều
vấn đề cần giải quyết . giao thức diffie- hellman và kỹ thuật chứng thực số thông qua ca là
hai trong số những giải pháp hiệu quả để quản lý khóa một cách tự động.
4.5. Ví dụ thực hiện VPN trên nền IPSec:
Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ như trong hình
vẽ.
Hình 4.1: Quá trình trao đổi thông tin
Trong ví dụ này, B muốn truyền thông an toàn với A. Khi gói dữ liệu tới Router B,
Router này sẽ kiểm tra chính sách an ninh và nhận ra gói này cần được bảo vệ. chính
sách an ninh được cấu hình trước cũng cho biết Router A sẽ là điểm cuối phía bên kia
của đường hầm IPSec. Router B kiểm tra xem đã có IPSec SA nào được thiết lập với
Router A chưa? nếu chưa thì yêu cầu một quá trình IKE để thiết lập IPSec SA. Nếu hai
Router đã thoả thuận được một IPSec SA thì IPSec SA có thể được tạo ra tức thời.
Trong trưòng hợp, hai Router chưa thoả thuận một IKE SA thì đầu tiên chúng phải thoả
thuận một IKE SA trước khi thoả thuận các IPSec SA. Trong quá trình này, hai Router
23
trao đổi các chứng thực số, các chứng thực này phải được ký trước bởi một CA mà hai

phía cùng tin tưởng. Khi phiên IKE đã được thiết lập, hai Router có thể thoả thuận
IPSec SA. Khi IPSec SA đã được thiết lập, hai Router sẽ thống nhất được thuật toán mật
mã (chẳng hạn DES), thuật toán xác thực (chẳng hạn MD5), và một khoá phiên sử dụng
chung. Tới đây, Router B có thể mật mã gói tin của B, đặt nó vào trong một gói IPSec
mới, sau đó gửi tới Router A. Khi Router A nhận gói IPSec, nó tìm kiếm IPSec SA, xử
lý gói theo yêu cầu, đưa về dạng gói tin ban đầu và chuyển tới A. Quá trình phức tạp
này được thực hiện hoàn toàn trong suốt đối với A và B.
4.6 Các vấn đề còn tồn đọng trong IPSec
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật một VPN
thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển để hướng tới hoàn
thiện. Tất cả các gói được sử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm
vào các tiêu đề IPSec làm cho thông lượng của mạng giảm xuống. Điều này có thể được
giải quyết bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn
hóa.
- IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá bằng
tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động.
- IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi.
- Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối với các
trạm làm việc và máy PC cũ.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với
chính phủ một số nước.
- Sử dụng IPSec ở chế độ dường hầm cho phép các nút có thể có những địa chỉ IP
không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng khi
chuyển xuống bảo mật mức Host thì các địa chỉ đó phải được quản lý cẩn thận
sao cho nhận dạng được nhau.
24

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×