IPSec

MÔ PHỎNG VÀ PHÂN TÍCH ỨNG DỤNG

25.05.2021

IPSEC TRONG VPN

 Nội dung của bài Trình bày
VPN (Virtual Private Network)
● Tổng quan
● Khái niệm
● Các tính năng, ưu điểm và hạn chế
Giao thức IPSec
● Khái niệm
● Các chế độ đóng gói dữ liệu IP
● Cơ chế làm việc
 VPN IPSEC
TỔNG QUAN 01 04 KHÁI NIỆM

CHẾ ĐỘ ĐÓNG GÓI DỮ

KHÁI NIỆM 02 05
LIỆU IP

TÍNH NĂNG, ƯU ĐIỂM

03 06 CƠ CHẾ LÀM VIỆC
&HẠN CHẾ
 01
TỔNG QUAN

25.05.2021
VPN – VIRTUAL PRIVATE NETWORK
 SỰ PHÁT TRIỂN MẠNH MẼ CỦA NỀN CÔNG
NGHIỆP, NHU CẦU TRAO ĐỔI THÔNG TIN, DỮ
LIỆU GIỮA NHỮNG TỔ CHỨC, CÔNG TY…

Internet đã bùng nổ
 MỌI NGƯỜI SỬ DỤNG MÁY TÍNH KẾT NỐI
INTERNET THÔNG QUA NHÀ CUNG CẤP DỊCH VỤ
(ISP – INTERNET SERVICE PROVIDE)

TCP/IP
VỚI INTERNET, NHỮNG DỊCH VỤ NHƯ MUA BÁN TRỰC
TUYẾN, GIÁO DỤC TỪ XA, HAY TƯ VẤN TRỰC TUYẾN…
ĐÃ TRỞ NÊN DỄ DÀNG

Tuy nhiên
 VPN

Đảm bảo an toàn, bảo mật dữ liệu hay quản lý dịch vụ

Từ đó các nhà khoa học đã nghiêm cứu và đưa ra một mô hình

mạng mới, nhằm đáp ứng nhu cầu trên mà vẫn tận dụng cơ sở hạ
tầng đang có của Internet, đó là mô hình mạng riêng ảo(VPN)
 02
KHÁI NIỆM
VPN – VIRTUAL PRIVATE NETWORK
VPN là một công nghệ mạng giúp tạo kết nối mạng an toàn
khi tham gia vào mạng công cộng như Internet hoặc mạng
riêng do 1 nhà cung cấp dịch vụ sở hữu

Mạng riêng ảo là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng với các chính sách quản lý
và bảo mật giống như mạng cục bộ
 MÔ HÌNH MẠNG RIÊNG ẢO

Internet

Đường hầm IPSec

Host A Router A Router B Host B

IP Header Data IP Header Data

New IP ESP IP ESP ESP

Data
Header Header Header Trailer Authentication

Encrypted

Authentication
Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được
ứng dụng để làm rất nhiều thứ:

• Truy cập vào mạng doanh nghiệp khi ở xa

• Truy cập mạng gia đình, dù không ở nhà
• Duyệt web ẩn danh
• Truy cập đến những website bị chặn giới hạn địa lý
• Tải tập tin
 03
TÍNH NĂNG,ƯU ĐIỂM
&HẠN CHẾ
VPN – VIRTUAL PRIVATE NETWORK

TÍNH XÁC THỰC
Để thiết lập một kết nối VPN
thì trước hết cả 2 phía phải
xác thực lẫn nhau để khẳng
định rằng mình đang trao đổi
thông tin với người mình
mong muốn chứ không phải
là 1 người khác.
TÍNH NĂNG
TÍNH TOÀN VẸN
Đảm bảo dữ liệu không bị
thay đổi hay đảm bảo không
có bất kỳ sự xáo trộn nào
trong quá trình truyền và trao
đổi dữ liệu.
TÍNH BẢO MẬT
Người gửi có thể mã hóa các
gói dữ liệu trước khi truyền
qua mạng công cộng và dữ
liệu sẽ được giải mã ở phía
thu. Vì như vậy không ai có
thể đọc được thông tin khi cố
tình xâm nhập và bắt gói tin.
 ƯU ĐIỂM
Tiết kiệm chi phí Tính linh hoạt
Tính linh hoạt ở đây không
VPN có thể giúp các doanh
chỉ là linh hoạt trong quá
nghiệp tiết kiệm từ 50%-70%
trình vận hành và khai thác
chi phí đầu tư vào các kết nối
mà nó còn thực sự mềm dẻo
leased line và remote access
đối với yêu cầu sử dụng.
truyền thống, chi phí đầu tư
Khách hàng có thể sử dụng
cho hạ tầng truyền thông và
kết hợp với các công nghệ
chi phí hàng tháng đối với
sẵn có và cơ sở hạ tầng mạng
các kết nối site to site.
của doanh nghiệp trước đó.
Tính mở rộng Tính bảo mật
Mạng VPN được xây dựng
Mạng riêng ảo cung cấp chế
dựa trên cơ sở hạ tầng mạng
độ bảo mật cao nhất nhờ các
công cộng. Vì thế với bất kỳ
cơ chế mã hóa trên nền tảng
doanh nghiệp nào có nhiều
mạng riêng ảo. Quản lý các
chi nhánh ở xa nhau mà
kết nối dễ dạng thông qua
muốn kết nối với nhau sử
tên và mật khẩu truy cập vào
dụng công nghệ mạng riêng
hệ thống mạng riêng ảo
ảo thì điều cần và đủ là các
trong mạng nội bộ.
chi nhánh được kết nối tới
mạng Internet.

Sự hiểu biết
VPN đòi hỏi sự hiểu biết chi
tiết về vấn đề an ninh mạng,
việc cấu hình và cài đặt phải
cẩn thận, chính xác đảm bảo
tính an toàn trên hệ thống
mạng Internet công cộng.
HẠN CHẾ
Độ tin cậy
& hiệu xuất
VPN dựa trên Internet không
phải là dưới sự kiểm soát
trực tiếp của công ty , vì vậy
giải pháp thay thế là hãy sử
dụng một nhà cung cấp dịch
vụ (ISP) tốt và chất lượng.
Bảo mật cá nhân
Việc truy cập từ xa hay nhân viên
kết nối với hệ thống văn phòng
bằng máy tính riêng, nếu họ sử
dụng các ứng dụng khác, ngoài
việc kết nối tới văn phòng làm
việc thì hacker có thể lợi dụng yếu
điểm từ máy tính cá nhân của họ
tấn công vào hệ thống của công
ty.
 04
KHÁI NIỆM
IPSEC – INTERNET PROTOCOL SECURITY
IPSec (Internet Protocol Security) là một giao thức được IETF phát
triển. IPSec được định nghĩa là một giao thức trong tầng mạng
cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều
khiển truy cập. Nó là một tập hợp các tiêu chuẩn mở làm việc cùng
nhau giữa các phần thiết bị.
IPSEC HỖ TRỢ 3 TÍNH NĂNG
CHÍNH
IPSec

Tính xác nhận & Sự cẩn mật Quản lý khóa

Tính nguyên vẹn dữ liệu (Confidentiality) (Key management)
(Authentication &
data integrity)
 05
CHẾ ĐỘ ĐÓNG
GÓI DỮ LIỆU
IP
IPSEC – INTERNET PROTOCOL SECURITY
 CHẾ ĐỘ GIAO VẬN(TRANSPORT)
Chỉ có trọng tải (dữ liệu được truyền) của gói tin IP mới được mã hóa hoặc chứng thực. IP header
không bị chỉnh sửa hay mã hóa, nhưng khi chế độ Authentication header của IPSec được sử dụng
thì địa chỉ IP cũng sẽ được mã hóa bằng cách chia nhỏ thành các gói tin riêng rẽ & độc lập (Hash).
Các tầng giao vận & ứng dụng thường được bảo đảm bơi hàm Hash, vì vậy chúng không thể bị
sửa đổi theo bất kỳ cách nào.

Original AH Payload
AH- kiểu Transport
Header Header  
 
    Authenticated
 
Original ESP Payload
ESP- kiểu Transport
Header Header  
 
    Encrypted
 
Authenticated
 
 CHẾ ĐỘ ĐƯỜNG HẦM(TUNNEL)
Toàn bộ gói tin IP sẽ được mã hóa hoặc chứng thực. Sau đó nó được gói vào 1 gói tin IP mới với
tiêu đề IP mới. Chế độ Tunnel được sử dụng để tạo VPN phục vụ cho việc liên lạc giữa các
mạng(vd giữa các bộ định tuyến), giữa các máy chủ(vd chat cá nhân), giữa máy chủ và mạng(vd
truy cập người sử dụng từ xa).
 06
CƠ CHẾ LÀM
VIỆC
IPSEC – INTERNET PROTOCOL SECURITY
 BƯỚC 1: Kích hoạt lưu lượng cần bảo vệ
Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec. Ở đây, các thiết bị IPSec sẽ
nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn thông qua trường địa chỉ.

Apply IPSec
Bypass IPSec

Discard
 BƯỚC 2: Thoả thuận một trao đổi IKE Phase 1
Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE policy),
xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE Phase
1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive mode).
 BƯỚC 3: Thoả thuận một trao đổi IKE Phase 2

Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec
được sử dụng để bảo mật đường hầm IPSec.

Negotiate IPSec
security parameters
 BƯỚC 4: Đường hầm mật mã IPSec
Sau khi đã hoàn thành IKE Phase 2 đã thiết lập các kết hợp an ninh IPSec SA, lưu
lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn. Quá trình xử
lý gói tin (mã hóa, mật mã, đóng gói) phụ thuộc vào các thông số được thiết lập của
SA.

IPSec Session
 BƯỚC 5: Kết thức đường hầm

Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn.

IPSec Session
SA HẾT HẠN
Khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã
truyền qua đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó
các IPSec SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực
hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase 1 mới. Một hoả thuận
thành công sẽ tạo ra các SA và khoá mới. Các SA mới được thiết lập trước
các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin.
THANK
YOU