Mạng riêng ảo IPsec là gì? Cách hoạt động của Mạng riêng ảo IPsec như thế nào?

     

Mạng riêng ảo IPsec là gì?

Mạng riêng ảo IPsec còn được gọi là giao thức bảo mật Internet (Internet Protocol Security) hoặc giao thức bảo mật IP (IP Security protocol); xác định kiến trúc cho các dịch vụ bảo mật cho lưu lượng mạng IP. IPsec mô tả khuôn khổ để cung cấp bảo mật ở tầng IP, cũng như bộ các giao thức được thiết kế để cung cấp bảo mật đó, thông qua xác thực và mã hóa các gói mạng IP. Cũng bao gồm trong IPsec là các giao thức xác định các thuật toán mã hóa được sử dụng để mã hóa, giải mã và xác thực các gói; cũng như các giao thức cần thiết để trao đổi khóa bảo mật và quản lý khóa.

Mạng riêng ảo IPsec là gì? Cách hoạt động của Mạng riêng ảo IPsec như thế nào?

Cơ chế của mạng ảo riêng IPsec

Mạng riêng ảo IPsec ban đầu định nghĩa hai cơ chế áp đặt bảo mật trên gói IP: giao thức Encapsulating Security Payload (ESP); xác định phương thức mã hóa dữ liệu trong gói IP và giao thức Header (AH) xác định phương thức ký gói IP. Các Internet Key Exchange (IKE) giao thức được sử dụng để quản lý các khóa mật mã được sử dụng bởi host cho IPsec.

IPsec có thể được sử dụng để bảo vệ dữ liệu mạng

Ví dụ, bằng cách thiết lập các mạch sử dụng đường hầm IPsec, trong đó tất cả dữ liệu được gửi giữa hai điểm cuối được mã hóa, như với kết nối mạng riêng ảo (VPN); để mã hóa dữ liệu lớp ứng dụng; và để cung cấp bảo mật cho các bộ định tuyến gửi dữ liệu định tuyến qua internet công cộng. IPsec cũng có thể được sử dụng để cung cấp xác thực mà không cần mã hóa; ví dụ để xác thực dữ liệu đó bắt nguồn từ một người gửi đã biết.

Lưu lượng truy cập Internet có thể được bảo mật từ máy chủ lưu trữ đến máy chủ mà không sử dụng Mạng riêng ảo IPsec. Ví dụ bằng mã hóa ở lớp ứng dụng (Lớp 7 của mô hình OSI) với HTTP Secure (HTTPS) hoặc ở tầng truyền tải (Lớp 4 của mô hình OSI) với giao thức Bảo mật lớp truyền tải (TLS). Tuy nhiên, khi lưu lượng truy cập sử dụng mã hóa hoặc xác thực ở các lớp cao hơn này, các tác nhân đe dọa vẫn có thể chặn thông tin giao thức có thể hiển thị dữ liệu cần được mã hóa.

Giao thức IPsec

Mạng riêng ảo IPsec được định nghĩa để sử dụng với cả hai phiên bản hiện tại của Giao thức Internet, IPv4 và IPv6. Tiêu đề giao thức IPsec được bao gồm trong tiêu đề IP, nơi chúng xuất hiện dưới dạng phần mở rộng tiêu đề IP khi hệ thống đang sử dụng IPsec.

Các giao thức quan trọng nhất được coi là một phần của Mạng riêng ảo IPsec bao gồm:

Tiêu đề xác thực IP (AH)

Được xác định trong RFC 4302, xác định tiêu đề gói tùy chọn được sử dụng để đảm bảo tính toàn vẹn không kết nối; và xác thực nguồn gốc dữ liệu cho gói IP và để bảo vệ chống lại replay.

Khối lượng bảo mật đóng gói IP (ESP)

Được xác định trong RFC 4303, xác định tiêu đề gói tùy chọn có thể được sử dụng để bảo mật thông qua mã hóa gói; cũng như bảo vệ tính toàn vẹn; xác thực nguồn gốc dữ liệu; kiểm soát truy cập và bảo vệ tùy chọn chống lại replay hoặc phân tích lưu lượng truy cập.

Internet Key Exchange (IKE)

Được định nghĩa trong RFC 7296, “Giao thức trao đổi khóa Internet phiên bản 2 (IKEv2)” là một giao thức được định nghĩa để cho phép máy chủ chỉ định dịch vụ nào sẽ được kết hợp trong gói; các thuật toán mã hóa sẽ được sử dụng để cung cấp các dịch vụ đó và cơ chế chia sẻ khóa được sử dụng với các thuật toán mã hóa đó.

Key Management Protocol (ISAKMP)

Trước đây được định nghĩa riêng của mình, Hiệp hội An ninh Internet và Giao thức Quản lý Khóa (ISAKMP) hiện được chỉ định là một phần của đặc tả giao thức IKE. ISAKMP định nghĩa cách Security Associations (SAs) được thiết lập; và sử dụng để xác định các kết nối trực tiếp giữa hai máy đang sử dụng IPsec. Mỗi SA định nghĩa một kết nối, theo một hướng, từ một máy chủ này đến máy chủ khác; một cặp máy chủ sẽ được xác định bởi hai SA. SA bao gồm tất cả các thuộc tính liên quan của kết nối; bao gồm thuật toán mã hóa đang được sử dụng; chế độ IPsec đang được sử dụng; khóa mã hóa và bất kỳ thông số nào khác liên quan đến việc truyền dữ liệu qua kết nối.

Nhiều giao thức và thuật toán khác sử dụng hoặc được sử dụng bởi IPsec; bao gồm thuật toán mã hóa và chữ ký số; và hầu hết các giao thức liên quan được mô tả trong RFC 6071; Bản đồ tài liệu IP (IPsec) và Internet Key Exchange (IKE).

Tìm hiểu thêm: Mạng riêng ảo L2TP VPN là gì? L2TP mang lại những lợi ích gì cho bạn?

Mạng riêng ảo IPsec hoạt động như thế nào?

Bước đầu tiên

Trong quá trình sử dụng Mạng riêng ảo IPsec xảy ra khi một máy chủ nhận ra rằng một gói tin sẽ được truyền bằng cách sử dụng IPsec. Điều này có thể được thực hiện bằng cách kiểm tra địa chỉ IP của nguồn hoặc đích so với cấu hình chính sách để xác định xem lưu lượng truy cập có nên được coi là “thú vị” cho các mục đích IPsec hay không.

Lưu lượng thú vị kích hoạt chính sách bảo mật cho các gói, có nghĩa là hệ thống gửi gói tin áp dụng mã hóa và / hoặc xác thực thích hợp cho gói. Khi một gói tin đến được xác định là “thú vị”, máy chủ xác minh rằng gói gửi đến đã được mã hóa và / hoặc được xác thực đúng cách.

Bước thứ hai

Trong quy trình IPsec, được gọi là IKE Giai đoạn 1, cho phép hai máy chủ sử dụng IPsec để thương lượng các bộ chính sách mà họ sử dụng cho mạch bảo mật, tự xác thực với nhau và bắt đầu một kênh an toàn giữa hai máy chủ.

IKE Giai đoạn 1 thiết lập một kênh bảo mật ban đầu giữa các máy chủ sử dụng IPsec; kênh bảo mật đó sau đó được sử dụng để thương lượng một cách an toàn cách thức mà mạch IPsec sẽ mã hóa và / hoặc xác thực dữ liệu được gửi qua mạch Mạng riêng ảo IPsec.

Có hai tùy chọn trong giai đoạn IKE 1: Chế độ chính hoặc chế độ Aggressive. Chế độ chính cung cấp bảo mật cao hơn; vì nó thiết lập một đường hầm an toàn để trao đổi các thuật toán và khóa phiên; trong khi chế độ Aggressive cho phép một số dữ liệu cấu hình phiên được chuyển thành văn bản thô nhưng cho phép máy chủ thiết lập mạch IPsec nhanh hơn.

Trong chế độ Chính

Máy chủ khởi tạo phiên gửi một hoặc nhiều đề xuất cho phiên, cho biết các thuật toán mã hóa và xác thực mà nó thích sử dụng; cũng như các khía cạnh khác của kết nối; máy chủ đáp ứng tiếp tục thương lượng cho đến khi hai máy chủ đồng ý và thiết lập một Hiệp hội An ninh IKE (SA); định nghĩa mạch IPsec.

Khi chế độ Aggressive được sử dụng

Máy chủ khởi tạo mạch chỉ định dữ liệu liên kết bảo mật IKE đơn phương và rõ ràng, với máy chủ đáp ứng đáp ứng bằng cách xác thực phiên.

Bước thứ ba

Trong việc thiết lập một mạch IPsec là IKE Giai đoạn 2, chính nó được tiến hành trên thiết lập kênh bảo mật trong giai đoạn IKE 1. Nó yêu cầu hai máy chủ thương lượng và khởi tạo hiệp hội bảo mật cho mạch IPsec mang dữ liệu mạng thực.

Trong giai đoạn thứ hai, hai máy chủ thương lượng loại thuật toán mã hóa để sử dụng trong phiên, cũng như đồng ý về tài liệu khóa bí mật được sử dụng với các thuật toán đó. Các nonces, các số được chọn ngẫu nhiên chỉ được sử dụng một lần để cung cấp sự xác thực phiên và bảo vệ phát lại, được trao đổi trong pha này. Các chủ nhà cũng có thể thương lượng để thực thi bí mật về phía trước hoàn hảo về việc trao đổi trong giai đoạn này.

Bước thứ tư

Bước tiếp theo của kết nối Mạng riêng ảo IPsec là trao đổi dữ liệu thực tế trên đường hầm được mã hóa IPsec mới được tạo ra. Từ thời điểm này, các gói được mã hóa và giải mã bởi hai điểm cuối bằng cách sử dụng thiết lập IPsec SAs trong ba bước trước đó.

Bước cuối cùng là chấm dứt đường hầm IPsec, thường là khi giao tiếp giữa các host hoàn tất, khi session time out hoặc khi một số byte được chỉ định trước đó đã được truyền qua đường hầm IPsec. Khi đường hầm IPsec bị chấm dứt, các host loại bỏ các khóa được sử dụng trên liên kết bảo mật đó.

Các chế độ IPsec VPN và IPsec

Các giao thức IPsec có thể được sử dụng để lắp ráp một kết nối VPN; để mã hóa và / hoặc xác thực tất cả lưu lượng giữa hai hoặc nhiều điểm. Các mạch IPsec, bao gồm cả VPN; có thể được thiết lập để sử dụng hai chế độ:

Chế độ đường hầm:

Thường được sử dụng giữa các cổng mạng bảo mật, chế độ đường hầm IPsec cho phép các máy chủ đứng sau một trong các cổng để giao tiếp an toàn với các máy chủ phía sau cổng khác.

Ví dụ: bất kỳ người dùng hệ thống nào trong văn phòng chi nhánh của doanh nghiệp đều có thể kết nối an toàn với bất kỳ hệ thống nào trong văn phòng chính nếu văn phòng chi nhánh và văn phòng chính có cổng an toàn hoạt động như proxy IPsec cho máy chủ trong văn phòng tương ứng.

Đường hầm IPsec được thiết lập giữa hai máy chủ cổng, nhưng bản thân đường hầm có thể mang lưu lượng từ bất kỳ máy chủ nào bên trong các mạng được bảo vệ. Chế độ đường hầm hữu ích cho việc thiết lập cơ chế bảo vệ tất cả lưu lượng truy cập giữa hai mạng; từ các máy chủ khác nhau ở hai đầu.

Mạng riêng ảo IPsec cho phép một đường hầm được mã hóa trên Internet băng thông rộng công cộng để bảo mật các gói LAN được gửi giữa các địa điểm từ xa.

Chế độ vận chuyển:

Khi hai máy chủ cá nhân thiết lập kết nối IPsec VPN được kết nối trực tiếp, mạch có thể được coi là một ví dụ về một mạch IPsec chế độ vận chuyển.

Ví dụ, một chế độ vận chuyển IPsec mạch có thể được thiết lập để cho phép một kỹ thuật viên hỗ trợ CNTT từ xa để đăng nhập vào một máy chủ từ xa để làm công việc bảo trì. Chế độ vận chuyển IPsec được sử dụng trong trường hợp một máy chủ cần tương tác với một máy chủ khác; hai máy chủ thương lượng mạch IPsec trực tiếp với nhau; và mạch thường bị rách sau khi phiên làm việc hoàn tất.

Triển khai Mạng riêng ảo IPsec

IPsec hỗ trợ nói chung đã được bao gồm trong hầu hết các hệ điều hành chính (và khác) có sẵn từ cuối những năm 1990, bao gồm cả hệ điều hành máy tính để bàn và máy chủ; cũng như bộ định tuyến và các thiết bị bảo mật mạng khác.

Trong khi các hệ thống cũ hơn có thể hỗ trợ một số phiên bản của IPsec; các doanh nghiệp nên triển khai IPsec bằng cách sử dụng các hệ điều hành hiện tại và cập nhật trên các bản vá bảo mật. Ngoài ra, các hệ thống cũ hơn hỗ trợ các phiên bản Mạng riêng ảo IPsec cũ hơn và xuất hiện để cho phép các mạch IP an toàn có thể không thực sự bảo mật dữ liệu.

Hosting miễn phí Zerohost thue-phan-cung

Hosting miễn phí Zerohost thue-phan-cung

Hotline tư vấn miễn phí