IPsec
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (651.64 KB, 17 trang )
ATMMT
ATMMT
-
-
TNNQ
TNNQ
36
36
3. IPsec
3. IPsec
T
T
ổ
ổ
ng quan
ng quan
L
L
à
à
m
m
ộ
ộ
t giao th
t giao th
ứ
ứ
c b
c b
ả
ả
o m
o m
ậ
ậ
t ch
t ch
í
í
nh t
nh t
ạ
ạ
i l
i l
ớ
ớ
p M
p M
ạ
ạ
ng (Network Layer
ng (Network Layer
–
–
OSI) ho
OSI) ho
ặ
ặ
c l
c l
ớ
ớ
p Internet (Internet Layer
p Internet (Internet Layer
–
–
TCP/IP).
TCP/IP).
IPsec l
IPsec l
à
à
y
y
ế
ế
u t
u t
ố
ố
quan tr
quan tr
ọ
ọ
ng đ
ng đ
ể
ể
xây d
xây d
ự
ự
ng m
ng m
ạ
ạ
ng riêng
ng riêng
ả
ả
o (VPN
o (VPN
–
–
Virtual Private Networks).
Virtual Private Networks).
Bao g
Bao g
ồ
ồ
m c
m c
á
á
c giao th
c giao th
ứ
ứ
c ch
c ch
ứ
ứ
ng th
ng th
ự
ự
c, c
c, c
á
á
c giao th
c giao th
ứ
ứ
c mã ho
c mã ho
á
á
,
,
c
c
á
á
c giao th
c giao th
ứ
ứ
c trao đ
c trao đ
ổ
ổ
i kho
i kho
á
á
:
:
–
–
AH (A
AH (A
uthentication header):
uthentication header):
đư
đư
ợ
ợ
c s
c s
ử
ử
d
d
ụ
ụ
ng đ
ng đ
ể
ể
x
x
á
á
c đ
c đ
ị
ị
nh
nh
ngu
ngu
ồ
ồ
n g
n g
ố
ố
c g
c g
ó
ó
i tin IP v
i tin IP v
à
à
đ
đ
ả
ả
m b
m b
ả
ả
o t
o t
í
í
nh to
nh to
à
à
n v
n v
ẹ
ẹ
n c
n c
ủ
ủ
a n
a n
ó
ó
.
.
–
–
ESP (En
ESP (En
capsulating Security Payload):
capsulating Security Payload):
đư
đư
ợ
ợ
c s
c s
ử
ử
d
d
ụ
ụ
ng đ
ng đ
ể
ể
ch
ch
ứ
ứ
ng th
ng th
ự
ự
c v
c v
à
à
mã ho
mã ho
á
á
g
g
ó
ó
i tin IP (ph
i tin IP (ph
ầ
ầ
n payload ho
n payload ho
ặ
ặ
c c
c c
ả
ả
g
g
ó
ó
i tin)
i tin)
.
.
–
–
IKE (In
IKE (In
ternet key exchange):
ternet key exchange):
đư
đư
ợ
ợ
c s
c s
ử
ử
d
d
ụ
ụ
ng đ
ng đ
ể
ể
thi
thi
ế
ế
t l
t l
ậ
ậ
p
p
kho
kho
á
á
b
b
í
í
m
m
ậ
ậ
t cho ngư
t cho ngư
ờ
ờ
i g
i g
ở
ở
i v
i v
à
à
ngư
ngư
ờ
ờ
i nh
i nh
ậ
ậ
n.
n.
ATMMT
ATMMT
-
-
TNNQ
TNNQ
37
37
3. IPsec
3. IPsec
T
T
ổ
ổ
ng quan
ng quan
Ứ
Ứ
ng d
ng d
ụ
ụ
ng c
ng c
ủ
ủ
a IPsec:
a IPsec:
–
–
B
B
ả
ả
o m
o m
ậ
ậ
t k
t k
ế
ế
t n
t n
ố
ố
i gi
i gi
ữ
ữ
a c
a c
á
á
c chi nh
c chi nh
á
á
nh văn phòng
nh văn phòng
qua Internet.
qua Internet.
–
–
B
B
ả
ả
o m
o m
ậ
ậ
t truy c
t truy c
ậ
ậ
p t
p t
ừ
ừ
xa qua Internet.
xa qua Internet.
–
–
Th
Th
ự
ự
c hi
c hi
ệ
ệ
n nh
n nh
ữ
ữ
ng k
ng k
ế
ế
t n
t n
ố
ố
i Intranet v
i Intranet v
à
à
Extranet v
Extranet v
ớ
ớ
i
i
c
c
á
á
c đ
c đ
ố
ố
i t
i t
á
á
c (Partners).
c (Partners).
–
–
Nâng cao t
Nâng cao t
í
í
nh b
nh b
ả
ả
o m
o m
ậ
ậ
t trong thương m
t trong thương m
ạ
ạ
i đi
i đi
ệ
ệ
n t
n t
ử
ử
.
.
ATMMT
ATMMT
-
-
TNNQ
TNNQ
38
38
3. IPsec
3. IPsec
T
T
ổ
ổ
ng quan
ng quan
ATMMT
ATMMT
-
-
TNNQ
TNNQ
39
39
3. IPsec
3. IPsec
T
T
ổ
ổ
ng quan
ng quan
V
V
í
í
d
d
ụ
ụ
minh ho
minh ho
ạ
ạ
:
:
–
–
Khi Alice mu
Khi Alice mu
ố
ố
n giao ti
n giao ti
ế
ế
p v
p v
ớ
ớ
i Bob s
i Bob s
ử
ử
d
d
ụ
ụ
ng IPsec, Alice
ng IPsec, Alice
trư
trư
ớ
ớ
c
c
tiên ph
tiên ph
ả
ả
i ch
i ch
ọ
ọ
n m
n m
ộ
ộ
t t
t t
ậ
ậ
p h
p h
ợ
ợ
p c
p c
á
á
c
c
gi
gi
ả
ả
i
i
thu
thu
ậ
ậ
t mã
t mã
h
h
ó
ó
a v
a v
à
à
c
c
á
á
c thông s
c thông s
ố
ố
,
,
sau đ
sau đ
ó
ó
thông b
thông b
á
á
o cho Bob v
o cho Bob v
ề
ề
l
l
ự
ự
a ch
a ch
ọ
ọ
n c
n c
ủ
ủ
a m
a m
ì
ì
nh.
nh.
–
–
Bob c
Bob c
ó
ó
th
th
ể
ể
ch
ch
ấ
ấ
p nh
p nh
ậ
ậ
n l
n l
ự
ự
a ch
a ch
ọ
ọ
n c
n c
ủ
ủ
a Alice ho
a Alice ho
ặ
ặ
c
c
thương lư
thương lư
ợ
ợ
ng v
ng v
ớ
ớ
i Alice cho m
i Alice cho m
ộ
ộ
t t
t t
ậ
ậ
p h
p h
ợ
ợ
p kh
p kh
á
á
c nhau
c nhau
c
c
ủ
ủ
a c
a c
á
á
c
c
gi
gi
ả
ả
i
i
thu
thu
ậ
ậ
t v
t v
à
à
c
c
á
á
c thông s
c thông s
ố
ố
.
.
–
–
M
M
ộ
ộ
t khi c
t khi c
á
á
c
c
gi
gi
ả
ả
i
i
thu
thu
ậ
ậ
t v
t v
à
à
c
c
á
á
c thông s
c thông s
ố
ố
đư
đư
ợ
ợ
c l
c l
ự
ự
a ch
a ch
ọ
ọ
n,
n,
IPsec thi
IPsec thi
ế
ế
t l
t l
ậ
ậ
p
p
s
s
ự
ự
k
k
ế
ế
t h
t h
ợ
ợ
p
p
b
b
ả
ả
o m
o m
ậ
ậ
t (
t (
Security
Security
Association
Association
-
-
SA) gi
SA) gi
ữ
ữ
a Alice v
a Alice v
à
à
Bob cho ph
Bob cho ph
ầ
ầ
n còn l
n còn l
ạ
ạ
i
i
c
c
ủ
ủ
a
a
phiên l
phiên l
à
à
m vi
m vi
ệ
ệ
c.
c.
ATMMT
ATMMT
-
-
TNNQ
TNNQ
40
40
3. IPsec
3. IPsec
Security Association (SA)
Security Association (SA)
M
M
ộ
ộ
t SA cung c
t SA cung c
ấ
ấ
p c
p c
á
á
c thông tin sau:
c thông tin sau:
–
–
Ch
Ch
ỉ
ỉ
m
m
ụ
ụ
c c
c c
á
á
c thông s
c thông s
ố
ố
b
b
ả
ả
o m
o m
ậ
ậ
t (SPI
t (SPI
-
-
Security
Security
parameters index): l
parameters index): l
à
à
m
m
ộ
ộ
t chu
t chu
ỗ
ỗ
i nh
i nh
ị
ị
phân
phân
32 bi
32 bi
t
t
đư
đư
ợ
ợ
c s
c s
ử
ử
d
d
ụ
ụ
ng đ
ng đ
ể
ể
x
x
á
á
c đ
c đ
ị
ị
nh m
nh m
ộ
ộ
t t
t t
ậ
ậ
p c
p c
ụ
ụ
th
th
ể
ể
c
c
ủ
ủ
a c
a c
á
á
c
c
gi
gi
ả
ả
i thu
i thu
ậ
ậ
t v
t v
à
à
thông s
thông s
ố
ố
d
d
ù
ù
ng trong phiên truy
ng trong phiên truy
ề
ề
n
n
thông. SPI
thông. SPI
đư
đư
ợ
ợ
c bao g
c bao g
ồ
ồ
m trong c
m trong c
ả
ả
AH v
AH v
à
à
ESP đ
ESP đ
ể
ể
ch
ch
ắ
ắ
c ch
c ch
ắ
ắ
n r
n r
ằ
ằ
ng c
ng c
ả
ả
hai đ
hai đ
ề
ề
u s
u s
ử
ử
d
d
ụ
ụ
ng c
ng c
ù
ù
ng c
ng c
á
á
c gi
c gi
ả
ả
i
i
thu
thu
ậ
ậ
t v
t v
à
à
thông s
thông s
ố
ố
.
.
–
–
Đ
Đ
ị
ị
a ch
a ch
ỉ
ỉ
IP đ
IP đ
í
í
ch.
ch.
–
–
Giao th
Giao th
ứ
ứ
c b
c b
ả
ả
o m
o m
ậ
ậ
t: AH hay ESP. IPsec không cho
t: AH hay ESP. IPsec không cho
ph
ph
é
é
p AH hay ESP s
p AH hay ESP s
ử
ử
d
d
ụ
ụ
ng đ
ng đ
ồ
ồ
ng th
ng th
ờ
ờ
i trong c
i trong c
ù
ù
ng
ng
m
m
ộ
ộ
t SA.
t SA.
ATMMT
ATMMT
-
-
TNNQ
TNNQ
41
41
3. IPsec
3. IPsec
C
C
á
á
c phương th
c phương th
ứ
ứ
c c
c c
ủ
ủ
a IPsec
a IPsec
IPsec bao g
IPsec bao g
ồ
ồ
m 2
m 2
phương th
phương th
ứ
ứ
c:
c:
Phương thức Vận chuyển (Transport Mode): sử dụng
Transport Mode khi có yêu cầu lọc gói tin và bảo mật
điểm-tới-điểm. Cả hai trạm cần hỗ trợ IPSec sử dụng
cùng giao thức xác thực và không được đi qua một giao
tiếp NAT nào. Nếu dữ liệu đi qua giao tiếp NAT sẽ bị đổi
địa chỉ IP trong phần header và làm mất hiệu lực của ICV
(Giá trị kiểm soát tính nguyên vẹn)
