IPSec là một nhóm giao các giao thức mạng có khả năng thiết lập các kết nối được mã hóa an toàn. Các kết nối này cho phép người dùng có thể chia sẻ công khai đến các thiết bị xung quanh. Vậy cụ thể IPSec VPN là gì? Hãy cùng BKHOST tìm hiểu bài viết dưới đây để tìm kiếm câu trả lời.
IPSec là gì?
IPSec – Internet Protocol secure là giao thức Internet an toàn được sử dụng để lưu trữ dữ liệu dựa trên địa chỉ IP. Giao thức này sử dụng phương pháp xác thực và quá trình mã hóa giúp ẩn danh các thông tin quan trọng.
IPSec bao gồm một nhóm các giao thức cho phép triển khai các kết nối được mã hóa an toàn giữa nhiều thiết bị với nhau. Đồng thời, IPSec còn có khả năng bảo mật dữ liệu trong quá trình truyền tải qua các mạng công cộng không an toàn. Vì thế mà các nhà cung cấp thường sử dụng IPSec để thiết lập VPN hiệu quả hơn.
VPN là gì? IPSec VPN là gì?
VPN – Virtual Private Network là mạng riêng ảo với kết nối được mã hóa trên nhiều thiết bị máy tính. Do đó, các dữ liệu truyền qua VPN sẽ được lưu trữ ở chế độ quyền riêng tư trên các mạng công cộng.
VPN cho phép người dùng truy cập dữ liệu an toàn vào các cơ sở hạ tầng mạng Internet công cộng. Một số VPN sử dụng bộ giao thức IPSec để triển khai các kết nối được mã hóa. Hoặc có một số VPN khác lại sử dụng giao thức SSL/TLS hoạt động dựa trên mô hình OSI.
Các phương thức kết nối IPSec VPN
IPSec VPN được kích hoạt bằng cách đăng nhập tài khoản gồm tên và mật khẩu vào ứng dụng VPN hoặc máy khách đã được cài đặt sẵn trên thiết bị máy tính. Vì có mức độ bảo mật cao nên ứng dụng VPN còn sử dụng phương thức xác thực hai yếu tố tránh cho việc bị kẻ tấn công đánh cắp mật khẩu.
IPSec hoạt động như thế nào?
Quy trình hoạt động của IPSec:
Trao đổi khóa
Quá trình mã hóa được triển khai dựa trên chìa khóa an toàn là một chuỗi ký tự ngẫu nhiên. Trong đó, chức năng của khóa có thể mã hóa và giải mã tin nhắn giữa các thiết bị kết nối với nhau trên IPSec.
Thêm Packet headers và trailers
Gói là các phần nhỏ được chia ra từ các dữ liệu được truyền qua mạng bao gồm trọng tải, dữ liệu thực, tiêu đề và các thông tin về dữ liệu. IPSec sẽ thực hiện bổ sung một số tiêu đề hay đoạn giới thiệu vào gói dữ liệu giúp cho quá trình xử lý thông tin và mã hóa diễn ra linh hoạt hơn.
Xác thực
IPSec cung cấp xác thực cho từng gói tin đảm bảo rằng nó đến từ những nguồn đáng tin cậy. Đồng thời giúp xác minh chính xác là không phải kẻ tấn công đang truy cập vào dữ liệu.
Mã hóa
IPSec có khả năng mã hóa tải trọng của gói và tiêu đề cho phép các dữ liệu truyền qua mạng một cách an toàn và riêng tư.
Truyền
IPSec sử dụng giao thức truyền tải để gửi các gói tin được mã hóa từ một hoặc nhiều mạng đến các thiết bị đích. Không giống với IP thường, lưu lượng IPSec sử dụng giao thức truyền tải UDP cho phép các gói tin vượt qua tường lửa thay vì TCP.
Giải mã
Đầu cuối của giao tiếp sử dụng cách giải mã các gói và ứng dụng để có thể sử dụng các dữ liệu được phân phối trước đó.
Giao thức được sử dụng trong IPSec
Các giao thức được sử dụng trong IPSec là:
- AH là một giao thức được sử dụng để truyền các gói dữ liệu từ nguồn đáng tin cậy.
- ESP là giao thức bảo mật có khả năng mã hóa tiêu đề IP và tải trọng của gói bằng cách bổ sung tiêu đề riêng hay một đoạn giới thiệu.
- SA là giao thức bảo mật như Internet Key Exchange (IKE) được sử dụng để triển khai các khóa và thuật toán mã hóa.
- IP là giao thức Internet cho phép IPSec chạy và truyền dữ liệu trực tiếp.
IPSec tunnel mode và IPSec transport mode
Một vài đặc điểm của hai chế độ trong IPSec như:
IPSec tunnel mode:
- Dành cho hai bộ định tuyến chuyên dụng. Trong đó, mỗi bộ định tuyến giống như một đường hầm ảo hoạt động trên mạng công cộng.
- Tiêu đề IP ban đầu chứa đích cuối cùng của gói được mã hóa và trọng tải của gói.
- IPSec thực hiện bổ sung thêm một tiêu đề IP khác để thông báo vị trí chuyển các gói tin cho bộ định tuyến.
IPSec transport mode:
- Trọng tải của mỗi gói được mã hóa nhưng không mã hóa tiêu đề IP ban đầu.
- Bộ định tuyến trung gian được cấp quyền xem điểm đến cuối cùng của các gói.
- Nếu một gói sử dụng giao thức GRE thì bộ định tuyến sẽ không thể xem điểm đến cuối cùng của gói đó.
IPSec sử dụng cổng nào?
Thông thường, IPSec sẽ sử dụng cổng mạng 500. Trong đó, cổng mạng là vị trí ảo cho phép các dữ liệu có thể truyền trên thiết bị máy tính. Ngoài ra, cổng cho phép máy tính theo dõi các quá trình và kết nối khác nhau.
IPSec tác động như thế nào đến MSS và MTU?
Thông thường, để đo kích thước gói tin người ta thường sử dụng MSS và MTU. Trong khi MSS chỉ có thể đo kích thước tải trọng của mỗi gói thì MTU có thể đo toàn bộ gói. Nếu các gói vượt giới hạn MTU của mạng thì sẽ bị phân chia thành các gói nhỏ để tập hợp lại. Còn các gói vượt qua MSS thì sẽ bị loại bỏ.
Ví dụ: MTU cho một mạng với 1.500 byte thì tiêu đề IP và TCP sẽ chiếm 20 byte. Tương đương với mỗi gói chứa 1.460 byte trọng tải.
Tổng kết về IPSec
Như vậy, bài viết trên đây chúng tôi đã tổng hợp chi tiết các thông tin về IPSec. Hy vọng qua đây bạn đọc có thể nắm chắc kiến thức về IPSec hơn và biết cách sử dụng IPSec VPN hiệu quả hơn.
Nếu còn có câu hỏi nào liên quan đến IPSec, hãy để lại ở bên bình luận bên dưới, BKHOST sẽ trả lời bạn trong thời gian sớm nhất.
P/s: Bạn cũng có thể truy cập vào Blog của BKHOST để đọc thêm các bài viết chia sẻ kiến thức về lập trình, quản trị mạng, website, domain, hosting, vps, server, email,… Chúc bạn thành công.
- ipsec là gì
- ipsec vpn
- ipsec nat