IPsec là một nhóm các giao thức được sử dụng cùng nhau để thiết lập các kết nối mã hóa giữa các thiết bị. Nó giúp đảm bảo an toàn cho dữ liệu khi gửi qua các mạng công cộng. IPsec thường được dùng để thiết lập VPN, và nó hoạt động bằng cách mã hóa các gói IP, cùng với xác thực nguồn nơi các gói xuất phát.
Trong thuật ngữ “IPsec”, “IP” là viết tắt của “Internet Protocol” (giao thức internet) và “sec” là viết tắt của “secure” (bảo mật). Internet Protocol là giao thức định tuyến chính được dùng trên internet; nó chỉ định nơi dữ liệu sẽ đến bằng các địa chỉ IP. IPsec bảo mật bởi nó thêm mã hóa và xác thực vào quy trình này.
*Mã hóa là quy trình che giấu thông tin bằng cách dùng thuật toán biến đổi dữ liệu để khiến nó trông như ngẫu nhiên. Nói đơn giản thì mã hóa là sử dụng một “mã bí mật” mà chỉ các bên được ủy quyền mới có thể diễn dịch được.
Mạng riêng ảo (VPN) là một kết nối được mã hoá giữa hai hoặc nhiều máy tính. Các kết nối VPN diễn ra trên mạng công cộng, nhưng dữ liệu trao đổi qua VPN vẫn đảm bảo được tính riêng tư bởi đã được mã hoá.
VPN cho phép truy cập và trao đổi dữ liệu mật một cách an toàn thông qua hạ tầng mạng chung, như internet công cộng. Ví dụ, khi nhân viên công ty làm việc từ xa thay vì ngồi ở văn phòng, họ thường sử dụng VPN để truy cập vào các tập tin và ứng dụng của công ty.
Nhiều VPN sử dụng bộ giao thức IPsec để thiết lập và duy trì các kết nối mã hoá đó. Tuy nhiên, không phải mọi VPN đều sử dụng IPsec. Một giao thức khác cho VPN là SSL/TLS, vốn hoạt động trên một lớp khác trong mô hình OSI. (Mô hình OSI là một mô hình tham chiếu giải thích về cách truyền dữ liệu của máy tính)
Người dùng có thể truy cập VPN IPsec bằng cách đăng nhập vào một ứng dụng VPN, hay “ứng dụng khách”. Để làm được điều đó, người dùng cần phải cài đặt ứng dụng đó lên thiết bị.
Đăng nhập vào VPN thường phải dùng mật khẩu. Dù dữ liệu gửi qua VPN đã được mã hoá, nếu mật khẩu người dùng bị lộ, kẻ tấn công có thể đăng nhập vào VPN và đánh cắp dữ liệu mã hoá này. Sử dụng phương thức xác thực hai bước (2FA) có thể giúp tăng cường bảo mật cho VPN IPsec, bởi lúc này, chỉ đánh cắp được mật khẩu là chưa đủ để kẻ tấn công truy cập vào VPN của người dùng.
Kết nối IPsec bao gồm các bước sau:
Trao đổi khoá: khoá là yếu tố cần thiết để mã hoá dữ liệu; khoá là một chuỗi các ký tự ngẫu nhiên, có thể được dùng để “khoá” (mã hoá) và “mở khoá” (giải mã) các tin nhắn. IPsec sẽ trao đổi khoá giữa các thiết bị kết nối vào VPN, để mỗi thiết bị có thể giải mã được tin nhắn trên thiết bị khác.
Packet header và trailer: mọi dữ liệu gửi qua mạng sẽ được tách nhỏ thành các gói (packet). Packet vừa chứa “payload”, hay dữ liệu thực sự đang được gửi đi, và header, hay thông tin về dữ liệu đó để các máy tính nhận được packet biết phải làm gì với chúng. IPsec thêm nhiều header vào các gói dữ liệu, trong các header đó chứa thông tin xác thực và mã hoá. IPsec còn thêm các trailer (bộ dò vết), thứ đi sau payload của mỗi gói thay vì đi trước.
Xác thực: IPsec cung cấp giải pháp xác thực cho mỗi gói, giống như tem xác thực trên một món đồ sưu tầm vậy. Việc này nhằm đảm bảo các gói đến từ một nguồn đáng tin cậy chứ không phải từ kẻ tấn công.
Mã hoá: IPsec mã hoá các payload trong từng gói và IP header của gói (trừ khi bạn dùng chế độ transport thay vì tunnel). Nhờ đó dữ liệu gửi qua IPsec luôn bảo mật và riêng tư.
Truyền tải: các gói IPsec đã mã hoá đi qua một hoặc nhiều mạng đến đích nhờ một giao thức truyền tải. Ở giai đoạn này, lưu lượng dữ liệu IPsec khác với lưu lượng dữ liệu IP thông thường ở chỗ nó thường sử dụng UDP làm giao thức truyển nhận, thay vì TCP. TCP, Transmission Control Protocol (Giao thức điều khiển truyền nhận), thiết lập các kết nối chuyên biệt giữa các thiết bị và đảm bảo mọi gói đến được nơi cần đến. UDP, User Datagram Protocol (Giao thức gói dữ liệu người dùng) không thiết lập các kết nối chuyên biệt đó. IPsec sử dụng UDP bởi nó cho phép các gói IPsec đi qua tường lửa.
Giải mã: vào cuối quy trình giao tiếp, các gói sẽ được giải mã, và các ứng dụng (như trình duyệt) có thể sử dụng được dữ liệu đã nhận.
Trong môi trường mạng, một giao thức là một cách định dạng dữ liệu cụ thể để bất kỳ máy tính nào kết nối vào mạng cũng có thể diễn dịch dữ liệu. IPsec không phải một giao thức mà là một bộ các giao thức. Các giao thức dưới đây góp phần tạo nên IPsec:
Chế độ tunnel của IPsec được sử dụng giữa hai router chuyên biệt, mỗi router đóng vai trò một đầu của một đường hầm (tunnel) ảo đi xuyên qua một mạng công cộng. Trong chế độ tunnel của IPsec, IP header nguyên bản chứa đích đến cuối cùng của gói sẽ được mã hoá cùng với payload. Để thông báo cho các router trung gian biết nơi chuyển các gói đến, IPsec thêm một IP header mới. Tại mỗi đầu của đường hầm, các router sẽ giải mã các IP header để đưa các gói đến đích.
Ở chế độ transport, payload của từng gói được mã hoá, nhưng IP header nguyên bản thì không. Các router trung gian do đó có thể xem được đích đến cuối cùng của mỗi gói – trừ khi một giao thức đường hầm riêng biệt (như GRE) được sử dụng.
Một cổng mạng là vị trí ảo nơi dữ liệu đi vào máy tính của bạn. Máy tính dùng cổng để theo dõi các tiến trình và kết nối khác nhau; nếu dữ liệu đi đến một cổng nhất định, hệ điều hành của máy tính sẽ biết nó thuộc quy trình nào. IPsec thường dùng cổng 500.
MSS và MTU là hai yếu tố liên quan đến kích cỡ gói. Gói chỉ có thể đạt đến một kích cỡ nhất định (đo bằng bytes) trước khi các máy tính, router, và switch không thể xử lý được nữa. MSS đo kích cỡ của mỗi payload của gói, trong khi MTU đo toàn bộ gói, bao gồm các header. Các gói vượt quá MTU của mạng có thể bị phân mảnh, có nghĩa là bị chia thành nhiều gói nhỏ hơn và sau đó ghép lại như ban đầu. Các gói vượt quá MSS sẽ bị huỷ bỏ.
Các giao thức IPsec sẽ thêm nhiều header và trailer vào các gói, tất cả đều chiếm dung lượng nhiều bytes. Để các mạng sử dụng IPsec, hoặc MSS, hoặc MTT, phải được điều chỉnh phù hợp, nếu không các gói sẽ bị phân mảnh và kéo dài thời gian truyền nhận. Thông thường, MTU của một mạng là 1.500 bytes. Một IP header bình thường dài 20 bytes, và một TCP header cũng 20 bytes, có nghĩa mỗi gói có thể chứa payload 1.460 bytes. Tuy nhiên, IPsec thêm vào gói một AH, một header ESP, và các trailer liên quan – tất cả có kích cỡ từ 50 – 60 bytes, hoặc hơn.
Thông tin liên hệ tư vấn:
IPsec VPN | Ssl VPN là gì |
Strongswan là gì | IPSec VPN FortiGate |
L2tp la gì | IPSec toàn tập |
Vpn la gì
|
Pptp là gì |
IPSec là gì? Công dụng và quy trình vận hành của IPSec
PWA là gì và ứng dụng của nó ra sao trong thương mại điện tử?
Ipv6 là gì? Sự khác nhau giữa Ipv4 và Ipv6