1. Giới thiệu
IPSec là một từ viết tắt của thuật Internet Protocol Security, IPSec bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol. Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói Internet Protocol trong quá trình truyền thông tin. IPSec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực, được phát triển bởi Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.
Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương thích với chuẩn 1825 – 1929. Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309. Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ mới này IP security cũng được viết tắt lại là IPsec.
Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC 1825 – 1829 là ESP còn phiên bản mới là ESPbis.
Mọi giao tiếp trong một mạng trên cơ sở Internet Protocol đều dựa trên các giao thức Internet Protocol. Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức Internet Protocol thì toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3.
Ngoài ra, với IPSec, tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởi vì IPSec được tích hợp chặt chẽ với Internet Protocol, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào. Cũng giống Internet Protocol, IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt động.
2. Các chức năng cơ bản của IPSec
• Chứng thực
– IPSec bảo vệ các mạng cá nhân và các dữ liệu cá nhân chứa trong đó khỏi tấn công man in the middle, từ khả năng lừa tấn công đến từ những truy cập vào mạng, khỏi những kẻ tấn công thay đổi nội dung của gói dữ liệu.
– IPSec sử dụng một chữ kí số để xác định nhân diện của người gởi thông tin. IPSec có thể dùng kerberos, preshared key, hay các chứng nhận số cho việc chứng nhận.
– Trong đó phương thức xác thực mặc định là Kerberos v5, tuy nhiên đối với các máy tính có kết nối mạng thì không nên dùng Kerberos v5 vì trong suốt quá trình dàn xếp ở chế độ chính , mỗi thành phần ngang cấp ở chế độ chính sẽ gởi phần nhận dạng máy tính của nó ở dạng chưa được mã hoá đến các thành phần khác. Phần nhận dạng máy tính này không được mã hoá cho đến khi sự mã hoá toàn bộ tải trọng diễn ra trong giai đoạn xác thực của sự dàn xếp với chế độ chính. Mộ kẻ tấn công có thể gởi một gói tin Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thông tin nhận dạng máy tính. Để bảo vệ máy tính được kết nối Internet nên sử dụng sự xác thực chứng nhận. Đối với tính năng an toàn cải tiến, không nên sử dụng sự xác thực bằng PreshareKey vì nó là một phương thức khá yếu. Bên cạnh đó, PreshareKey được lưu trử ở dạng thuần văn bản. Sự xác thực bằng PresharedKey được cung cấp cho các mục đích liên vận hành và phải tuân thủ các quy tắc IPSec, chỉ nên dùng PreshareKey cho việc kiểm nghiệm.
• Toàn vẹn dữ liệu
– Toàn vẹn dữ liệu là đảm bảo gói dữ liệu còn nguyên vẹn trong quá trình lưu thông trên mạng, không bị mất hoặc bị thay đổi.
– IPSec dùng một thuật toán băm (MD5, SHA-1…) để đảm bảo dữ liệu không bị can thiệp vào. Một checksum được gọi là một mã chứng nhận tin nhắn hash được tính toán cho dữ liệu của gói. Một khi gói bị thay đổi trong khi truyền đi thì tin nhắn hash đã được thay đổi sẽ được lưu lại, thay đổi này sẽ bị xóa bởi máy tính nhận.
• Bảo mật dữ liệu
– IPSec sử dụng các thuật toán mã hóa (DES, 3DES…) để mã hóa dữ liệu, đảm bảo gói dữ liệu truyền đi sẽ không thể bị giải mã bởi những kẻ tấn công.
IPSec là một từ viết tắt của thuật Internet Protocol Security, IPSec bao gồm một hệ thống các giao thức để bảo mật quá trình truyền thông tin trên nền tảng Internet Protocol. Bao gồm xác thực và/hoặc mã hoá (Authenticating and/or Encrypting) cho mỗi gói Internet Protocol trong quá trình truyền thông tin. IPSec cũng bao gồm những giao thức cung cấp cho mã hoá và xác thực, được phát triển bởi Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.
IPsec là một phần bắt bược của IPv6, có thể được lựa chọn khi sử dụng IPv4. Trong khi các chuẩn đã được thiết kết cho các phiên bản IP giống nhau, phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.
Các giao thức IPsec được định nghĩa từ RFCs 1825 – 1829, và được phổ biến năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401 – 2412, nó không tương thích với chuẩn 1825 – 1929. Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec, RFC 4301 – 4309. Cũng không khác nhiều so với chuẩn RFC 2401 – 2412 nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ mới này IP security cũng được viết tắt lại là IPsec.
Sự khác nhau trong quy định viết tắt trong thế hệ được quy chuẩn bởi RFC 1825 – 1829 là ESP còn phiên bản mới là ESPbis.
Mọi giao tiếp trong một mạng trên cơ sở Internet Protocol đều dựa trên các giao thức Internet Protocol. Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức Internet Protocol thì toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3.
Ngoài ra, với IPSec, tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởi vì IPSec được tích hợp chặt chẽ với Internet Protocol, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào. Cũng giống Internet Protocol, IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt động.
2. Các chức năng cơ bản của IPSec
• Chứng thực
– IPSec bảo vệ các mạng cá nhân và các dữ liệu cá nhân chứa trong đó khỏi tấn công man in the middle, từ khả năng lừa tấn công đến từ những truy cập vào mạng, khỏi những kẻ tấn công thay đổi nội dung của gói dữ liệu.
– IPSec sử dụng một chữ kí số để xác định nhân diện của người gởi thông tin. IPSec có thể dùng kerberos, preshared key, hay các chứng nhận số cho việc chứng nhận.
– Trong đó phương thức xác thực mặc định là Kerberos v5, tuy nhiên đối với các máy tính có kết nối mạng thì không nên dùng Kerberos v5 vì trong suốt quá trình dàn xếp ở chế độ chính , mỗi thành phần ngang cấp ở chế độ chính sẽ gởi phần nhận dạng máy tính của nó ở dạng chưa được mã hoá đến các thành phần khác. Phần nhận dạng máy tính này không được mã hoá cho đến khi sự mã hoá toàn bộ tải trọng diễn ra trong giai đoạn xác thực của sự dàn xếp với chế độ chính. Mộ kẻ tấn công có thể gởi một gói tin Internet Key Exchange (IKE) nhằm làm cho thành phần IPSec đáp ứng bị lộ thông tin nhận dạng máy tính. Để bảo vệ máy tính được kết nối Internet nên sử dụng sự xác thực chứng nhận. Đối với tính năng an toàn cải tiến, không nên sử dụng sự xác thực bằng PreshareKey vì nó là một phương thức khá yếu. Bên cạnh đó, PreshareKey được lưu trử ở dạng thuần văn bản. Sự xác thực bằng PresharedKey được cung cấp cho các mục đích liên vận hành và phải tuân thủ các quy tắc IPSec, chỉ nên dùng PreshareKey cho việc kiểm nghiệm.
• Toàn vẹn dữ liệu
– Toàn vẹn dữ liệu là đảm bảo gói dữ liệu còn nguyên vẹn trong quá trình lưu thông trên mạng, không bị mất hoặc bị thay đổi.
– IPSec dùng một thuật toán băm (MD5, SHA-1…) để đảm bảo dữ liệu không bị can thiệp vào. Một checksum được gọi là một mã chứng nhận tin nhắn hash được tính toán cho dữ liệu của gói. Một khi gói bị thay đổi trong khi truyền đi thì tin nhắn hash đã được thay đổi sẽ được lưu lại, thay đổi này sẽ bị xóa bởi máy tính nhận.
• Bảo mật dữ liệu
– IPSec sử dụng các thuật toán mã hóa (DES, 3DES…) để mã hóa dữ liệu, đảm bảo gói dữ liệu truyền đi sẽ không thể bị giải mã bởi những kẻ tấn công.