Tweet
Bài 2/8: Hai chế độ hoạt động của IPSec – Transport vs Tunnel Mode
Khi sử dụng IPSec, bạn cần quyết định chế độ hoạt động phù hợp với mục tiêu bảo mật của mình. Có hai chế độ chính: Transport Mode và Tunnel Mode. Mỗi chế độ phù hợp với một ngữ cảnh khác nhau, và việc hiểu rõ sự khác biệt giữa chúng là điều bắt buộc cho mọi kỹ sư mạng.
1. Transport Mode – Bảo vệ dữ liệu, giữ nguyên IP header của gói tin nguyên thủy ban đầu.
Ví dụ: Máy chủ A muốn gửi dữ liệu bảo mật đến máy chủ B trong cùng mạng nội bộ.
2. Tunnel Mode – Mã hóa toàn bộ gói tin IP Ví dụ: Chi nhánh tại Hà Nội kết nối về trung tâm dữ liệu tại TP.HCM thông qua Internet, mỗi bên có một router chạy IPSec.
SO SÁNH TRANSPORT VÀ TUNNEL MODE
Trong Transport Mode, chỉ phần payload (dữ liệu) của gói tin IP được mã hóa, trong khi phần tiêu đề IP gốc vẫn được giữ nguyên. Điều này cho phép các thiết bị trung gian (như router) tiếp tục xử lý gói tin như bình thường dựa trên địa chỉ IP đích ban đầu. Transport mode không tạo thêm địa chỉ IP mới và phù hợp nhất với các kết nối giữa hai thiết bị đầu cuối (host-to-host), như giữa hai máy chủ hoặc giữa client và server. Tuy nhiên, vì tiêu đề IP không được mã hóa nên thông tin định tuyến và danh tính của thiết bị vẫn có thể bị lộ nếu đi qua môi trường không tin cậy.
Ngược lại, Tunnel Mode mã hóa toàn bộ gói IP gốc, bao gồm cả phần tiêu đề IP. Sau đó, gói tin mã hóa này sẽ được đóng gói bên trong một gói IP mới có tiêu đề là địa chỉ của các thiết bị VPN gateway (ví dụ như router hoặc firewall hai đầu site-to-site VPN). Cách làm này giúp ẩn hoàn toàn thông tin định danh của hệ thống bên trong, rất phù hợp cho các kết nối VPN site-to-site qua môi trường Internet. Tuy nhiên, Tunnel mode thường không được dùng cho các kết nối giữa thiết bị đầu cuối với nhau vì nó yêu cầu thiết bị đóng vai trò VPN gateway ở hai đầu.
TÓM TẮT BÀI 2 (TRONG TỔNG SỐ 8 BÀI VỀ IPSEC)
Khi sử dụng IPSec, bạn cần quyết định chế độ hoạt động phù hợp với mục tiêu bảo mật của mình. Có hai chế độ chính: Transport Mode và Tunnel Mode. Mỗi chế độ phù hợp với một ngữ cảnh khác nhau, và việc hiểu rõ sự khác biệt giữa chúng là điều bắt buộc cho mọi kỹ sư mạng.
1. Transport Mode – Bảo vệ dữ liệu, giữ nguyên IP header của gói tin nguyên thủy ban đầu.- Cách hoạt động: Chỉ mã hóa phần payload (dữ liệu bên trong) của gói tin IP. Tiêu đề IP gốc vẫn được giữ nguyên.
- Ứng dụng chính: Dùng trong kết nối giữa hai thiết bị đầu cuối (end-to-end), chẳng hạn như giữa hai máy chủ hoặc giữa client và server.
- Lợi ích:
Tốc độ xử lý nhanh hơn.
Giữ nguyên thông tin điều khiển mạng (IP header).
- Nhược điểm:
Không ẩn địa chỉ IP thật – không phù hợp với môi trường công cộng cần che giấu danh tính mạng.
Ví dụ: Máy chủ A muốn gửi dữ liệu bảo mật đến máy chủ B trong cùng mạng nội bộ. 2. Tunnel Mode – Mã hóa toàn bộ gói tin IP- Cách hoạt động: Mã hóa toàn bộ gói tin IP (bao gồm cả tiêu đề IP gốc). Sau đó, gói tin được đóng gói trong một gói IP mới với địa chỉ IP của các thiết bị gateway VPN.
- Ứng dụng chính: Dùng trong VPN site-to-site, kết nối các chi nhánh công ty thông qua Internet.
- Lợi ích:
Ẩn toàn bộ thông tin gốc, bao gồm địa chỉ IP – tăng tính riêng tư.
Bảo vệ hoàn toàn khỏi kẻ nghe lén.
- Nhược điểm:
Tốn tài nguyên hơn một chút do phải tạo thêm tiêu đề IP mới.
Ví dụ: Chi nhánh tại Hà Nội kết nối về trung tâm dữ liệu tại TP.HCM thông qua Internet, mỗi bên có một router chạy IPSec.SO SÁNH TRANSPORT VÀ TUNNEL MODE
Trong Transport Mode, chỉ phần payload (dữ liệu) của gói tin IP được mã hóa, trong khi phần tiêu đề IP gốc vẫn được giữ nguyên. Điều này cho phép các thiết bị trung gian (như router) tiếp tục xử lý gói tin như bình thường dựa trên địa chỉ IP đích ban đầu. Transport mode không tạo thêm địa chỉ IP mới và phù hợp nhất với các kết nối giữa hai thiết bị đầu cuối (host-to-host), như giữa hai máy chủ hoặc giữa client và server. Tuy nhiên, vì tiêu đề IP không được mã hóa nên thông tin định tuyến và danh tính của thiết bị vẫn có thể bị lộ nếu đi qua môi trường không tin cậy.
Ngược lại, Tunnel Mode mã hóa toàn bộ gói IP gốc, bao gồm cả phần tiêu đề IP. Sau đó, gói tin mã hóa này sẽ được đóng gói bên trong một gói IP mới có tiêu đề là địa chỉ của các thiết bị VPN gateway (ví dụ như router hoặc firewall hai đầu site-to-site VPN). Cách làm này giúp ẩn hoàn toàn thông tin định danh của hệ thống bên trong, rất phù hợp cho các kết nối VPN site-to-site qua môi trường Internet. Tuy nhiên, Tunnel mode thường không được dùng cho các kết nối giữa thiết bị đầu cuối với nhau vì nó yêu cầu thiết bị đóng vai trò VPN gateway ở hai đầu.
TÓM TẮT BÀI 2 (TRONG TỔNG SỐ 8 BÀI VỀ IPSEC)- Dùng Transport Mode khi hai thiết bị trực tiếp trao đổi dữ liệu và bạn cần hiệu năng cao.
- Dùng Tunnel Mode khi bạn cần bảo vệ toàn bộ kết nối giữa hai mạng – đặc biệt là qua Internet.