IPSec (Internet Protocol Security) là 1 trong những giao thức mật mã bảo vệ tính toàn vẹn, bảo mật và xác thực dữ liệu trên mạng hàng đầu hiện nay. Trong không gian mạng, việc bảo mật thông tin luôn là vấn đề cần thiết và quan trọng, vì vậy nhiều người dùng quan tâm đến giao thức này.
Trong nội dung bài viết dưới đây, chúng ta cùng Mstar Corp tìm hiểu kỹ về khái niệm IPSec là gì và cách thức hoạt động như thế nào nhé.
IPSec là gì?
Nếu bạn quan tâm IPSec là gì, thì đây chính là từ viết tắt của Internet Protocol Security, là giao thức sử dụng để bảo mật dữ liệu khi truyền tải qua public network. IPSec cung cấp tính năng bảo mật cho các giao thức mạng bao gồm phân quyền truy cập, chứng thực và mã hóa dữ liệu.
IPSec là 1 trong những công nghệ bảo mật chủ chốt được sử dụng trong kết nối mạng an toàn trên internet, hoạt động thông qua Port 500. Nhóm giao thức này hoạt động bằng cách mã hóa IP packet cùng việc xác thực nguồn của các packet, thường được sử dụng để thiết lập VPN (Virtual Private Network).
Internet Protocol trong IPSec là 1 routing protocol chính được sử dụng trên internet, chỉ định nơi dữ liệu sẽ đi bằng địa chỉ IP, Nhóm giao thức an toàn vì được thêm mã hóa và xác thực vào quá trình này.
IPSec VPN là gì?
VPN (Virtual Private Network) là kết nối được mã hóa giữa 2 hoặc nhiều máy tính. Kết nối diễn ra qua các public network, tuy nhiên dữ liệu vẫn là riêng tư khi trao đổi qua VPN vì nó được mã hóa.
Virtual Private Network giúp người dùng truy cập và trao đổi dữ liệu an toàn qua cơ sở hạ tầng shared network. Ví dụ: Khi làm việc từ xa, tại nhà nhân viên thường sử dụng VPN để truy cập vào file, app của công ty.
Nhiều VPN sử dụng IPsec protocol để thiết lập và chạy các kết nối mã hóa nhưng không phải tất cả đều sử dụng nhóm giao thức này. Một giao thức khác cho VPN thường được dùng là SSL/ TLS hoạt động ở một lớp khác so với IPSec trong mô hình OSI. Đây là 1 mô hình đại diện trừu tượng của các quá trình là cho internet hoạt động.
Để kết nối với IPsec VPN sử dụng cách nào?
Để kết nối với IPSec VPN người dùng có thể đăng nhập vào ứng dụng VPN hoặc client để truy cập IPSec. Trước đó bạn cần cài đặt ứng dụng trên thiết bị để sử dụng.
Việc đăng nhập VPN thường dựa trên mật khẩu, vì vậy nếu mật khẩu bị xâm phạm thì hacker có thể truy cập vào VPN đánh cắp dữ liệu được mã hóa. Muốn tăng cường bảo mật IPSec VPN người dùng nên sử dụng xác thực 2 yếu tố (2FA), vì chỉ đánh cắp mật khẩu sẽ không cấp quyền quy cập cho hacker nữa.
IPSec có vai trò như thế nào?
IPSec là giao thức cấp độ mạng, hoạt động trên lớp Network Layer của mô hình TCP/ IP, được sử dụng phổ biến để bảo mật kết nối giữa các cổng đầu cuối. IPSec đảm bảo thông tin được truyền tải giữa chúng là bảo mật và an toàn. IPSec là phương tiện quan trọng đối với các công ty và tổ chức để bảo mật mạng và bảo vệ các thông tin quan trọng.
IPSec sở hữu nhiều tính năng bao gồm khả năng kết nối đến nhiều thiết bị mạng, tính linh hoạt, khả năng thiết lập kết nối ảo giữa các trạm khác nhau và tính năng đáng tin cậy. Bên cạnh đó, IPSec cũng hỗ trợ nhiều giao thức khác nhau như giao thức bảo mật AH (Authentication Header) và ESP (Encapsulating Security Payload).
Tuy nhiên việc cài đặt và sử dụng IPSec không đơn giản và đòi hỏi phải có kiến thức chuyên môn về mạng. Đồng thời IPSec có thể gây ra hiệu suất mạng chậm, tăng thời gian xử lý dữ liệu trên một số thiết bị nên cần đánh giá kỹ lưỡng trước khi triển khai IPSec với mạng lớn.
Một số giao thức IPSec và các thành phần hỗ trợ là gì?
Tiêu chuẩn IPSec chia thành một số giao thức cốt lõi và các thành phần hỗ trợ, bao gồm:
Giao thức IPSec cốt lõi
Giao thức IPSec cốt lõi là IPSec Authentication Header (AH) và Encapsulating Security Payload (ESP).
- IPSec Authentication Header (AH): Giao thức IPSec Authentication Header bảo vệ địa chỉ IP của các máy tính tham gia vào quá trình trao đổi dữ liệu. Giao thức đảm bảo các bit dữ liệu không bị thay đổi, mất hoặc hỏng trong quá trình truyền đi. Giao thức cũng xác định người gửi đã thực sự gửi dữ liệu, bảo vệ tinnel khỏi sự xâm nhập của người dùng trái phép.
- Encapsulating Security Payload (ESP): Encapsulating Security Payload cung cấp mã hóa của IPSec, đảm bảo tính bảo mật của lưu lượng dữ liệu giữa các thiết bị. GIao thức ESP mã hóa các gói dữ liệu/ payload, xác thực payload, nguồn gốc của nó trong bộ giao thức IPSec. ESP xáo trộn lưu lượng truy cập internet hiệu quả để đảm bảo bất kỳ ai khi nhìn sẽ không thấy bất cứ thứ gì trong tinnel.
4 thành phần hỗ trợ IPSec
IPSec là 1 giải pháp giao thức VPN hoàn chỉnh, có thể đóng vai trò như một giao thức mã hóa trong IKEv2 và L2TP. Các thành phần hỗ trợ IPSec là Security Associations (SA), Internet Key Exchange (IKE), Encryption and Hashing Algorithms, Bảo vệ chống lại các cuộc tấn công Replay Attack.
- Security Associations (SA): SA và các chính sách thiết lập các thỏa thuận bảo mật khác nhau sử dụng trong trao đổi, thỏa thuận có thể xác định thuật toán hash và loại mã hóa được sử dụng. Các chính sách thường linh hoạt, cho phép thiết bị quyết định cách xử lý mọi thứ.
- Internet Key Exchange (IKE): Key mã hóa cần cho các hoạt động, các máy tính liên quan đến việc trao đổi thông tin liên lạc riêng tư. Internet Key Exchange cho phép 2 máy tính chia sẻ và trao đổi key mật mã một cách bảo mật khi thiết lập kết nối VPN.
- Encryption and Hashing Algorithms: Key mật mã được tạo thành bằng thuật toán hash, hoạt động bằng cách sử dụng giá trị hash. ESP và AH không chỉ định một loại mã hóa cụ thể mà rất chung chung. Tuy nhiên IPSec thường sử dụng Secure Hash Algorithm 1 hoặc Message Digest 5 để mã hóa.
- Bảo vệ chống lại các cuộc tấn công Replay Attack: IPSec kết hợp các tiêu chuẩn để ngăn bất kỳ gói dữ liệu nào replay (phát lại), 1 phần của quá trình đăng nhập thành công. Tiêu chuẩn này ngăn chặn các hacker sử dụng thông tin replay để tự sao chép thông tin đăng nhập.
IPSec có những chế độ hoạt động gì?
Giao thức IPSec có 2 chế độ hoạt động là Transport Mode và Tunnel Mode. Cụ thể:
Transport Mode
Transport Mode là chế độ hoạt động của IPSec được sử dụng để bảo vệ dữ liệu giữa các thiết bị trong 1 mạng tin cây. Trong chế độ, IP Header không bị mã hóa hay thay đổi, chỉ dữ liệu người dùng được bảo vệ và mã hóa. Các kết nối VPN client-to-site sử dụng chế độ Transport Mode.
Tunnel Mode
Chế độ Tunnel Mode thông qua 1 VPN trung gian để bảo vệ dữ liệu giữa 2 mạng không tin cậy. Trong chế độ này, toàn bộ gói tin IP bao gồm cả IP Header và payload sẽ được mã hóa và bảo vệ để đảm bảo tính toàn vẹn của dữ liệu. Các kết nối site-to-site sử dụng chế độ Tunnel Mode.
Các bước hoạt động của IPSec là gì?
Internet Protocol Security là giao thức bảo mật sử dụng các thuật toán mã hóa và xác thực để đảm bảo tính bảo mật cho dữ liệu. Các bước hoạt động của IPSec bao gồm 2 giai đoạn là thiết lập liên lạc và truyền dữ liệu.
Thiết lập liên lạc
IPSec sử dụng giao thức IKE (Internet Key Exchange) trong giai đoạn thiết lập liên lạc để thực hiện trao đổi khóa bảo mật. Trong giai đoạn thiết lập liên lạc, 2 bên cần thiết lập các thông tin như khóa đối xứng, khóa công khai và thuật toán mã hóa, đồng thời xác thực các thông tin để đảm bảo tính toàn vẹn của dữ liệu.
Tất cả dữ liệu gửi qua mạng được phân chia thành các gói tin (packet) chứa cả payload hoặc dữ liệu thực tế. Các gói tin được gửi bao gồm cả các header hoặc thông tin về dữ liệu đó để các thiết bị nhận biết phải làm gì với chúng. IPSec sẽ thích hợp header vào các packet dữ liệu chứa thông tin mã hóa và xác thực.
Lưu ý: MSS và MTU là 2 khái niệm có ảnh hưởng chính đến kích thước các gói tin trong mạng máy tính.
- MSS (Maximum Segment Size): MSS là kích thước lớn nhất của một phân đoạn dữ liệu có thể gửi trên một đường truyền mạng của máy tính. mà một máy tính sẽ đo kích cỡ của mỗi payload của gói.
- MTU (Maximum Transmission Unit): MTU là kích thước lớn nhất của một gói tin dữ liệu có thể truyền tải qua một mạng được đo bằng byte. Maximum Transmission Unit đo toàn bộ gói, bao gồm cả header có kích thước được xác định bởi các yếu tố vật lý như giao thức mạng, đường truyền, thiết bị mạng.
Trong mạng, khi gửi dữ liệu từ máy tính này đến máy tính khác sẽ được chia thành nhiều phân đoạn dữ liệu (segment) có kích thước tối đa là MSS. Các phân đoạn được đóng gói vào các gói tin để truyền đi trên mạng với kích thước tối đa.
Giai đoạn truyền dữ liệu
Dữ liệu được truyền qua đường hầm IPSec sau khi IPSec SA được thiết lập giữa các bên giao tiếp. Các thành phần Authentication Header (AH) hoặc Encapsulating Security Payload (ESP) đóng vai trò mã hóa và xác thực dữ liệu để đảm bảo tính bảo mật khi truyền dữ liệu.
Trong quá trình truyền, cơ chế mã hóa sẽ đảm bảo tính bảo mật và ngăn chặn dữ liệu bị vô hiệu hóa. IPsec sender sử dụng thuật toán và khóa để mã hóa IP packet, đóng gói dữ liệu dốc. Sau đó IPSec sender và receiver sử dụng chung 1 thuật toán và khóa xác thực để phân tích các packet được mã hóa thu integrity check value – ICV (giá trị tính toán toàn vẹn).
Nếu giá trị thu được trùng nhau, có nghĩa là trong quá trình truyền tải gói tin packet không bị giả mạo và IPSec receiver sẽ giải mã gói tin đó. Trong trường hợp ngược lại, giá trị là khác nhau thì IPSec receiver sẽ loại bỏ gói tin.
Hoàn tất quá trình trao đổi dữ liệu (phiên kết nối hết thời gian) các khóa mật mã bị loại bỏ bà đường truyền bảo mật sẽ kết thúc.
So sánh sự khác biệt giữa SSL và IPSec
Mời các bạn tham khảo bảng so sánh sự khác biệt giữa SSL và IPSec:
| Yếu tố | SSL | IPSec |
| Mục đích sử dụng | Bảo vệ kết nối trên internet giữa client và server | Bảo vệ kết nối mạng |
| Cấp độ bảo mật | Cấp độ bảo mật ứng dụng (application-level security) | Cấp độ bảo mật mạng (network-level security) |
| Kiểm soát truy cập | Chứng thực và quyền truy cập của user | Phân quyền và chứng thực quyền truy cập |
| Triển khai | Triển khai hoạt động ở giữa lớp truyền tải và lớp ứng dụng của mô hình OSI | Triển khai hoạt động trong lớp Internet của mô hình OSI |
| Yêu cầu | Không yêu cầu ứng dụng | Cài đặt IPSec trên các thiết bị mạng |
Tác động của IPsec đến MSS và MTU như thế nào?
Các gói tin chỉ có thể đạt đến kích thước nhất định trước khi router, máy tính, switch không thể xử lý chúng. MSS và MTU là 2 phép đo kích thước gói tin (tính bằng byte), trong đó MSS đo kích thước payload của mỗi gói và MTU đo toàn bộ gói bao gồm cả các header.
Việc cấu hình chính xác giá trị MSS, MTU của gói tin Packet rất quan trọng, đảm bảo việc truyền tải dữ liệu ổn định và hiệu quả. Khi các gói vượt quá MTU của mạng có thể bị phân mảnh, tức là chia thành các gói nhỏ hơn, sau đó tập hợp lại. Các gói có kích thước vượt quá MSS bị loại bỏ. Giao thức IPSec thêm một số trailer và header vào các gói (chiếm vài byte). Các mạng sử dụng IPsec, MTU, MSS phải được điều chỉnh cho phù hợp để các gói tin không bị phân mảnh và hơi trễ.
Thông thường, MTU cho 1 mạng là 1.500 byte, IP header thường dài 20 byte, TCP header cũng dài 20byte. Như vậy mỗi gói có thể chứa 1.460 byte payload. Tuy nhiên, IPsec thêm header xác thực (Authentication Header), ESP header và các trailer liên quan, thêm khoảng 50 – 50 byte hoặc nhiều hơn vào 1 gói.
Sự khác biệt giữa chế độ IPsec transport và IPsec tunnel là gì?
So sánh sự khác biệt giữa chế độ IPsec transport và IPsec tunnel:
IPsec tunnel
Chế độ IPsec tunnel được sử dụng 2 bộ router và 1 bộ router hoạt động như 1 đầu của tunnel ảo thông qua public network.
IP header ban đầu trong chế độ IPsec tunnel chứa đích cuối cùng của packet được mã hóa cùng với packet payload. IPsec thêm 1 IP header mới để cho các router trung gian biết nơi chuyển tiếp các packet. Tại mỗi đầu cuối của tunnel, các router giải mã các IP header để chuyển đến đích cuối cùng các packet của chúng.
IPsec transport
Trong IPsec transport, IP header ban đầu không mã hóa, payload của 1 packet được mã hóa. Do đó các router trung gian có thể xem đích cuối cùng của mỗi packet (trừ khi sử dụng 1 tunneling protocol, ví dụ GRE).
Trên đây là các thông tin chi tiết giải thích rõ IPSec là gì và cách thức hoạt động như thế nào cũng như vai trò của nó. Hy vọng nội dung bài viết trên đây sẽ cung cấp những kiến thức cần thiết cho người dùng đang có nhu cầu tìm hiểu. Mọi thắc mắc có liên quan vui lòng liên hệ Mstar Corp hoặc để lại bình luận, chúng tôi luôn sẵn sàng hỗ trợ giải đáp.
