IPSec (Internet Protocol Security) là gì?

Tên khác:
IPSec,Internet Protocol Security

IPSec (Internet Protocol Security) là một bộ giao thức mật mã bảo quản lưu lượng dữ liệu qua mạng Internet Protocol (IP).

IPSec bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol. Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói Internet Protocol trong quá trình truyền thông tin. IPSec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực, được phát triển bởi Internet Engineering Task Force (IETF).

Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI. IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.

Sơ lược về lịch sử của IPSec

Khi Internet Protocol được phát triển vào đầu những năm 80, tính bảo mật không nằm ở vị trí được ưu tiên cao. Tuy nhiên, khi con số người dùng Internet tiếp tục phát triển, nhu cầu bảo mật cao cũng vì thế mà ngày càng tăng.

Để xử lý nhu cầu này, Cơ quan An ninh Quốc gia đã tài trợ cho sự đi lên của các giao thức bảo mật vào giữa những năm 80, trong chương trình Secure Data Network Systems (Hệ thống mạng dữ liệu bảo mật). Điều này dẫn đến sự phát triển của Security Protocol (Giao thức bảo mật) ở Layer 3 và cuối cùng là Network Layer Security Protocol. Nhiều kỹ sư đã làm việc trong dự án này trong suốt những năm 90 và IPSec đã phát triển nhờ những nỗ lực này. IPSec hiện là một tiêu chuẩn mã nguồn mở và là phần nào của IPv4.

Cách thức hoạt động của IPSec

IPSec làm việc với các VPN tunnel để thiết lập kết nối 2 chiều riêng tư giữa các thiết bị

Khi hai máy tính thiết lập kết nối VPN, chúng phải đồng thuận về một tập hợp các giao thức bảo mật và thuật toán mã hóa, đồng thời trao đổi key mật mã để mở khóa và xem dữ liệu đã mã hóa.

Đây là khi IPSec phát huy vai trò. IPSec làm việc với các VPN tunnel để thiết lập kết nối hai chiều riêng tư giữa các thiết bị. IPSec không phải là một giao thức đơn lẻ; thay vào đó, đó là một bộ giao thức và chỉ tiêu hoàn chỉnh, hoạt động cùng nhau để giúp đảm bảo tính bảo mật, toàn vẹn và xác thực của các gói dữ liệu Internet đi qua VPN tunnel.

Đây là cách IPSec tạo một VPN tunnel bảo mật:

  • IPSec xác thực dữ liệu để đảm bảo tính toàn vẹn của gói dữ liệu trong qui trình truyền tải.

  • IPSec mã hóa lưu lượng truy cập Internet qua các VPN tunnel để không thể xem dữ liệu.

  • IPSec bảo vệ dữ liệu khỏi các cuộc tiến công Replay Attack, cũng có thể có thể dẫn đến việc đăng nhập trái phép.

  • IPSec cấp phép trao đổi key mật mã bảo mật giữa các máy tính.

  • IPSec cung cấp hai chế độ bảo mật: Tunnel và Transport.

VPN IPSec bảo vệ dữ liệu truyền từ host đến host, mạng đến mạng, host đến mạng và cổng đến gateway (được gọi là chế độ Tunnel, khi toàn bộ gói IP được mã hóa và xác thực).

Các chức năng cơ bản của IPSec

Chứng thực

- IPSec bảo vệ các mạng cá nhân và các dữ liệu cá nhân chứa trong đó khỏi tấn công man in the middle, từ khả năng lừa tấn công đến từ những truy cập vào mạng, khỏi những kẻ tấn công thay đổi nội dung của gói dữ liệu.

- IPSec sử dụng một chữ kí số để xác định nhân diện của người gởi thông tin. IPSec có thể dùng kerberos, preshared key, hay các chứng nhận số cho việc chứng nhận.

- Trong đó phương thức xác thực mặc định là Kerberos v5, tuy nhiên đối với các máy tính có kết nối mạng thì không nên dùng Kerberos v5 vì trong suốt quá trình dàn xếp ở chế độ chính , mỗi thành phần ngang cấp ở chế độ chính sẽ gởi phần nhận dạng máy tính của nó ở dạng chưa được mã hoá đến các thành phần khác.

Phần nhận dạng máy tính này không được mã hoá cho đến khi sự mã hoá toàn bộ tải trọng diễn ra trong giai đoạn xác thực của sự dàn xếp với chế độ chính. Mộ kẻ tấn công có thể gởi một gói tin Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thông tin nhận dạng máy tính. Để bảo vệ máy tính được kết nối Internet nên sử dụng sự xác thực chứng nhận.

Đối với tính năng an toàn cải tiến, không nên sử dụng sự xác thực bằng PreshareKey vì nó là một phương thức khá yếu. Bên cạnh đó, PreshareKey được lưu trử ở dạng thuần văn bản. Sự xác thực bằng PresharedKey được cung cấp cho các mục đích liên vận hành và phải tuân thủ các quy tắc IPSec, chỉ nên dùng PreshareKey cho việc kiểm nghiệm.

Toàn vẹn dữ liệu

- Toàn vẹn dữ liệu là đảm bảo gói dữ liệu còn nguyên vẹn trong quá trình lưu thông trên mạng, không bị mất hoặc bị thay đổi.

- IPSec dùng một thuật toán băm (MD5, SHA-1…) để đảm bảo dữ liệu không bị can thiệp vào. Một checksum được gọi là một mã chứng nhận tin nhắn hash được tính toán cho dữ liệu của gói. Một khi gói bị thay đổi trong khi truyền đi thì tin nhắn hash đã được thay đổi sẽ được lưu lại, thay đổi này sẽ bị xóa bởi máy tính nhận.

Bảo mật dữ liệu

- IPSec sử dụng các thuật toán mã hóa (DES, 3DES…) để mã hóa dữ liệu, đảm bảo gói dữ liệu truyền đi sẽ không thể bị giải mã bởi những kẻ tấn công.

Những giao thức IPSec và các phần tử hỗ trợ

Giao thức IPSec cốt lõi

– IPSec Authentication Header (AH) : Giao thức này bảo vệ địa chỉ IP của các máy tính tham gia vào qui trình trao đổi dữ liệu, để đáp ứng rằng các bit dữ liệu tránh bị mất, thay đổi hoặc bị hỏng trong công đoạn truyền. AH cũng xác minh rằng người gửi dữ liệu thực thụ đã gửi nó, bảo vệ tunnel khỏi sự xâm nhập của những người dùng trái phép.

– Encapsulating Security Payload (ESP) : Giao thức ESP cung cấp phần mã hóa của IPSec, đảm bảo tính bảo mật của lưu lượng dữ liệu giữa các thiết bị. ESP mã hóa các gói dữ liệu/payload, xác thực payload và xuất xứ của nó trong bộ giao thức IPSec. Giao thức này đảo lộn lưu lượng truy cập Internet một cách hiệu quả, để bất kỳ ai nhìn vào tunnel cũng đều không thể thấy bất kể gì trong đó.

ESP vừa mã hóa vừa xác thực dữ liệu, trong lúc AH chỉ xác thực dữ liệu.

Các thành phần bổ trợ IPSec

– Security Associations (SA) : Security Associations và các chủ trương thiết lập những thỏa thuận bảo mật khác nhau, được sử dụng trong trao đổi. Các thỏa thuận này còn có thân xác định loại mã hóa và thuật toán hash sẽ có sử dụng. Những chủ trương này thường linh hoạt, cấp phép các thiết bị quyết định cách chúng muốn giải quyết mọi thứ.

– Internet Key Exchange (IKE) : Để mã hóa hoạt động, các máy tính liên quan đến việc trao đổi tin tức liên lạc riêng tư càng phải chia sẻ key mã hóa. IKE cấp phép hai máy tính trao đổi và chia sẻ key mật mã một cách bảo mật khi thiết lập kết nối VPN.

– Encryption and Hashing Algorithms : Key mật mã hoạt động bằng phương pháp sử dụng giá trị hash, được tạo bằng thuật toán hash. AH và ESP rất chung chung, chúng không những định một loại mã hóa cụ thể. Tuy nhiên, IPsec thường sử dụng Message Digest 5 hoặc Secure Hash Algorithm 1 để mã hóa.

– Bảo vệ ngăn chặn các cuộc tiến công Replay Attack : IPSec cũng kết hợp các chỉ tiêu để ngăn việc replay (phát lại) bất kỳ gói dữ liệu nào, một phần của công đoạn đăng nhập thành công. Tiêu chuẩn này ngăn chặn tin tặc sử dụng tin tức được replay để tự sao chép tin tức đăng nhập.

IPSec là một biện pháp giao thức VPN hoàn chỉnh và cũng có thể có thể vào vai trò như một giao thức mã hóa trong L2TP và IKEv2.

Các chế độ Tunneling: Tunnel và Transport

IPSec gửi dữ liệu bằng phương pháp dùng chế độ Tunnel hoặc Transport

IPSec gửi dữ liệu bằng cách sử dụng chế độ Tunnel hoặc Transport. Các chế độ này có liên quan chặt chẽ đến loại giao thức được sử dụng, AH hoặc ESP.

– Chế độ Tunnel : Trong chế độ Tunnel, toàn bộ gói tin được bảo vệ. IPSec gói gói dữ liệu trong một packet mới, mã hóa nó và thêm một IP header mới. Nó thường được sử dụng trong thiết lập VPN site-to-site.

– Chế độ Transport : Trong chế độ Transport, IP header gốc vẫn còn và chưa được mã hóa. Chỉ có payload và ESP trailer được mã hóa mà thôi. Chế độ Transport thường được dùng trong thiết lập VPN client-to-site.

Đối với các VPN, cấu hình IPSec thông dụng nhất mà bạn sẽ thấy là ESP với xác thực ở chế độ Tunnel. Cấu trúc này giúp lưu lượng truy cập Internet di chuyển bảo mật và ẩn danh bên trong VPN tunnel qua các mạng không bảo mật.

Người đăng: hoy
Time: 2020-11-18 15:43:38