1
CHNG 5
BO MT MNG VI IP SECURITY
I- TNG QUAN V IPSec
I.1- Gii thiu
Giao thc TCP/IP óng mt vai trò rt quan trng trong các h thng mng hin nay.
V nguyên tc, có nhiu tùy chn khác nhau v giao thc trin khai các h thng mng như
TCP/IP, IPX/SPX, NetBEUI, Apple talk, …Tuy nhiên, TCP/IP là la chn gn như bt buc
do giao thc này ưc s dng làm giao thc nn tng ca mng Internet.
Vào thi im thit k giao thc này, vn bo mt thông tin chưa tht s ưc quan
tâm, do ó, các giao thc trong b TCP/IP hu như không ưc trang b bt k mt cơ ch
bo mt nào. Cu trúc gói d liu (IP, TCP, UDP và c các giao thc ng dng) ưc mô t
công khai, bt ưc mt gói IP trên mng, ai cng có th phân tích gói c phn d liu
cha bên trong, ó là chưa k hin nay, các công c bt và phân tích gói (Packet capture)
ưc xây dng vi các tính nng mnh và phát hành rng rãi.
Vic b sung các cơ ch bo mt vào mô hình TCP/IP, bt u t giao thc IP là mt
nhu cu cp bách. IP security (IPSec) là mt giao thc ưc chu n hóa bi IETF t nm 1998
nh!m mc ích cung cp các cơ ch mã hóa và xác thc thông tin cho chu"i thông tin truyn
i trên mng b!ng giao thc IP. IPSec ưc thit k như phn m# rng ca giao thc IP, ưc
thc hin thng nht trong c hai phiên bn ca IP và IPv4 và IPv6. $i vi IPv4, vic áp
dng IPSec là mt tùy chn nhưng i vi IPv6, giao thc bo mt này ưc trin khai bt
buc.
Các ng dng in hình ca IPSec bao g%m:
• Kt ni gia các chi nhánh ca mt t chc thông qua mng Internet: b!ng
cách xây dng các mng riêng o VPN (Virtual Private Network) trên nn ca
mng WAN công cng ho&c mng Internet. Các t chc có th kt ni các
mng con # các chi nhánh ca mình li thành mt mng riêng vi chi phí thp
nhưng v'n m bo ưc an tòan. Mô hình này còn ưc gi là mô hình
site-to-site VPN.
• Truy xut t xa thông qua mng Internet: Thc cht ây là mt dng khác ca
VPN (remote access VPN). Vi IPSec, ngưi dùng có th kt ni n h thng
mng ni b ca mình t mt im bt k nào ó trên Interent, m bo truy
xut ưc các tài nguyên ni b mt cách an toàn.
• Nâng cao tính an tòan ca các giao dch thưng mi trên mng Internet, áp
dng cho các website bán hàng qua mng ho&c các dch v thanh tóan qua
Internet. Ngưi dùng thit lp kt ni n các h thng này thông qua các kt
ni có h" tr IPSec, do ó m&c dù thông tin v'n truyn i qua mng Internet
công cng nhưng tính bo mt v'n ưc m bo.
Như vy, ng dng rng rãi nht ca IPSec chính là làm công ngh nn tng trin
khai các mng VPN. Tuy nhiên, IPSec là mt giao thc phc tp, %ng thi còn n cha mt
s vn v tính an toàn, trong khi thc t hin nay còn nhiu gii pháp thit lp VPN khác
(L2TP, MPLS, SSL, …), cho nên vic ng dng IPSec cng còn hn ch.
2
Các ưu im ca IPSec:
-Khi IPSec ưc trin khai trên bc tưng la ho&c b nh tuyn ca mt mng riêng,
thì tính nng an tòan ca IPSec có th áp dng cho tòan b lưu lưng vào ra mng riêng ó
mà các thành phn khác không cn phi x lý thêm các công vic liên quan n bo mt.
-IPSec ưc thc hin bên dưi ca lp TCP và UDP, %ng thi nó hat ng mt
cách trong sut vi các lp này. Do vy, không cn phi thay i phn mm hay cu hình li
các dch v khi IPSec ưc trin khai.
-IPSec có th ưc cu hình hat ng mt cách trong sut i vi các ng dng
u cui, iu này giúp che giu nhng chi tit cu hình phc tp mà ngưi dùng phi thc
hin khi kt ni n mng ni b t xa thông qua mng Internet.
I.2- Kin trúc IPSec
Thi
t b mng
có h tr IPSec
Thi
t b mng
có h tr IPSec
Thi
t b u cui
có h
tr IPSec
M
ng WAN /
Internet
Mng LAN / intranet
Mng LAN / intranet
Tiêu IP
(IP header) Tiêu IPSec
(IPSec header) D
liu ca gói IP
(IP Payload)
Các thành phn ca gói d liu:
Hình 3.5: ng dng ca IPSec
3
IPSec là mt giao thc phc tp, da trên nn ca nhiu k( thut cơ s# khác nhau như mt
mã, xác thc, trao i khóa, …Xét v m&t kin trúc, IPSec ưc xây dng da trên các thành
phn bo mt cơ bn sau ây, m"i thành phn ưc nh ngh)a trong mt tài liu riêng tương
ng (hình 3.6):
-Kin trúc IPSec (RFC 2401): Quy nh cu trúc, các khái nim và yêu cu ca IPSec.
-Giao thc ESP (RFC 2406): Mô t giao thc ESP, là mt giao thc mt mã và xác
thc thông tin trong IPSec.
-Giao thc AH (RFC 2402): $nh ngh)a mt giao thc khác vi chc nng gn ging
ESP. Nhưng vy, khi trin khai IPSec, ngưi s dng có th chn dùng ESP ho&c AH. M"i
giao thc có ưu và nhưc im riêng, s* ưc trình bày trong phn này.
-Thut tóan mt mã: $nh ngh)a các thut tóan mã hóa và gii mã s dng trong
IPSec. IPSec da ch yu vào các gii thut mã hóa i xng.
-Thut tóan xác thc: $nh ngh)a các thut tóan xác thc thông tin s dng trong AH
và ESP.
-Qun lý khóa (RFC 2408): Mô t các cơ ch qun lý và trao i khóa trong IPSec.
-Min thc thi (Domain of Interpretation_DOI): $nh ngh)a môi trưng thc thi
IPSec. Như ã trình bày, IPSec không phi là mt công ngh riêng bit mà s t hp ca
nhiu cơ ch, giao thc và k( thut khác nhau, trong ó m"i cơ ch, giao thc u có nhiu
Kin trúc IPSec
Giao thc ESP Giao thc AH
Thut tóan mt mã
Thut tóan xác thc
DOI
Qun lý khóa
Hình 3.6: Kin trúc IPSec
4
ch hat ng khác nhau. Vic xác nh mt tp các ch cn thit trin khai IPSec
trong mt tình hung c th là chc nng ca min thc thi.
Xét v m&t ng dng, IPSec thc cht là mt giao thc hat ng song song vi IP
nh!m cung cp hai chc nng cơ bn mà IP nguyên thy chưa có, ó là mã hóa và xác thc
gói d liu. Mt cách khái quát, có th xem IPSec là mt t hp g%m 2 thành phn:
-Giao thc óng gói, bao g%m AH và ESP.
-Giao thc trao i khóa IKE (Internet Key Exchange).
I.3- Các dch v ca IPSec
Các dch v ưc cung cp b#i IPSec bao g%m:
• Qun lý truy xut (access control)
• Tòan v+n d liu # ch không kt ni (connectionless integrity)
• Xác thc ngu%n gc d liu (data origin authentication)
• Chng phát li (anti-replay)
• Mã hóa d liu (encryption)
• Bo mt dòng lưu lưng (traffic flow confidentiality)
Vic cung cp các dch v này trong tng tình hung c th ph thuc vào giao thc
óng gói ưc chn dùng là AH hay ESP. Theo ó, nu giao thc ưc chn là AH thì các
dch v mã hóa và bo mt dòng d liu s* không ưc cung cp.
I.4- Hai ch hat ng ca IPSec
IPSec (c AH và ESP) cung cp hai ch làm vic khác nhau:
-Ch vn chuyn (transport mode): cung cp cơ ch bo v cho d liu ca các lp
cao hơn (TCP, UDP ho&c ICMP). , cơ ch này, phn d liu (payload) ca gói IP ưc áp
dng các cơ ch bo v (mt mã ho&c xác thc). Ch này thưng dùng cho các kt ni t
u cui n u cui, ví d t trm làm vic n máy ch ho&c gia hai trm làm vic vi
nhau.
-Ch ưng hm (tunnel mode): cung cp cơ ch bo v # lp IP, ngh)a là gói IP
cùng vi các tiêu ca AH ho&c ESP ưc gói thêm mt ln na b!ng các tiêu mi. Khi
ó, các gói IP gc ưc xem như di chuyn trong mt ưng hm (tunnel) t u này n u
kia ca mng mà các nút trung gian không xen vào ưc. Ch này thưng ưc dùng trong
các SA ni gia hai gateway ca hai mng.
Ch vn chuyn và ch ưng hm s* ưc trình bày riêng trong tng giao thc
AH và ESP.
I.5- Liên kt bo mt
Mc tiêu ca IPSec là cung cp mt cơ ch truyn an tòan m bo tính tòan v+n và
xác thc ca các gói d liu IP. Bn cht IP là mt giao thc không có kt ni, và theo
5
nguyên tc này, các gói IP s* ưc x lý mt cách c lp nhau. Tuy nhiên, khi trin khai
IPSec vi các dch v như mã hóa, xác thc, iu khin truy xut, chng phát li, … thì các
gói IP này cn phi n!m trong mt mi liên quan nào ó, hai u truyn nhn có th áp
dng các cơ ch bo mt lên tòan b dòng d liu mt cách thng nht (cn chú ý r!ng IPSec
hòan tòan trong sut i vi tt c các giao thc phía trên IP).
IPSec nh ngh)a mt khái nim mô t các quan h này, ưc gi liên kt bo mt
SA (Security association). M"i SA ưc xem như mt quan h mt chiu (ơn công) gia hai
u truyn nhn d liu, nh!m mc ích xác nh các thông s bo mt áp dng cho lu%ng d
liu theo chiu ó. Như vy, mt kt ni hai chiu thưng thy gia hai h thng u cui s*
bao g%m 2 SA. M"i SA ch- s dng mt giao thc óng gói nht nh (AH ho&c ESP) ch
không th s dng %ng thi c hai.
M"i SA ưc nhn dng b#i 3 thông s sau ây:
• Security Parameters Index (SPI): là mt chu"i bit ưc gán cho SA có tác
dng phân bit gia SA này vi SA khác. SPI ưc &t trong tiêu ca AH
và ESP. Phía nhn s* chn úng SA tương ng x lý các gói d liu nhn
ưc.
• IP Destination Address: $ây là a ch- u cui ca SA, a ch- này là a ch-
ca thit b mà SA kt thúc ti ó, có th là a ch- ca mt thit b u cui
ho&c ca mt thit b mng (router, firewall, gateway).
• Security Protocol Identifier: Xác nh các thông s bo mt áp dng trên SA,
cho bit SA s dng giao thc xác thc nào (AH hay ESP).
Như vy, trong m"i gói IP ca IPSec, SA ưc nhn dng b!ng t hp g%m a ch-
ích (destination address) và SPI IPSec (c AH và ESP).
Ngòai ra, m"i SA còn cha nhiu thông s, tùy thuc vào tng h thng u cui khác
nhau. Các thông s này có th là:
• Sequence number counter: mt giá tr 32 bit dùng to ra các s th t ca
các gói IP.
• Sequence Counter Overflow: Xác nh các thc x lý khi s th t gói b tràn
(dùng n giá tr ln nht ca 32 bit). Hai cách x lý thưng dùng là to ra mt
s kin giám sát h thng (auditable event) và kt thúc truyn d liu trên SA
hin hành, %ng ngh)a vi vic thit lp mt SA mi.
• Anti-Replay Window: thông s dùng trong dch v chng phát li, có chc
nng xác nh gói IP nhn ưc là gói nguyên thy hay gói phát li.
• AH Information: thông s hat ng cho giao thc óng gói AH, bao g%m
thut tóan xác thc, khóa, thi gian sng ca khóa và các tham s khác.
• ESP Information: thông s hat ng cho giao thc óng gói ESP, bao g%m
thut tóan mã hóa, thut tóan xác thc, khóa, thio gian sng ca khóa, các giá
tr kh#i to ban u cho ESP và các thông s khác.
• Lifetime of This Security Association: Thi gian t%n ti ti a ca SA, ưc xác
nh b!ng thi gian hac s bte d liu ã truyn i trên SA. Ht gii hn này,
SA cn ưc gii t.an và thit lp SA mi.
![Bài giảng Internet và giao thức: Chương 5 - TS. Nguyễn Chiến Trinh [Chuẩn SEO]](https://cdn.tailieu.vn/images/document/thumbnail/2024/20240701/thuyduong0906/135x160/1511719824961.jpg)
![Sổ tay Kỹ năng nhận diện & phòng chống lừa đảo trực tuyến [Mới nhất]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20251017/kimphuong1001/135x160/8271760665726.jpg)
