IPsec là gì? Tìm hiểu cách hoạt động của IPsec

PSec là một bộ giao thức mật mã bảo vệ lưu lượng dữ liệu qua mạng Internet Protocol (IP). Mạng IP – bao gồm cả World Wide Web – thiếu khả năng mã hoá và bảo vệ quyền riêng tư. VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp một framework cho việc giao tiếp được mã hóa và riêng tư trên web. Hãy cùng BKNS tìm hiểu sâu hơn về bộ giao thức này ngay dưới đây nhé.

IPsec là gì?

IPsec là một nhóm giao thức được sử dụng cùng nhau để thiết lập các kết nối được mã hóa giữa các thiết bị. Nó giúp bảo mật dữ liệu được gửi qua public network. Nhóm giao thức này này thường được sử dụng để thiết lập VPN. Nó hoạt động bằng cách mã hóa IP packet cùng với việc xác thực nguồn của các packet.

IPsec là gì?

Trong thuật ngữ “IPsec”, “IP” là viết tắt của “Internet Protocol” và “sec” là “security”. Internet Protocol là một routing protocol chính được sử dụng trên Internet. Nó chỉ định nơi dữ liệu sẽ đi bằng địa chỉ IP. Nhóm giao thức này an toàn vì nó thêm mã hóa và xác thực vào quá trình này.

IPsec VPN là gì?

Virtual private network (VPN) là một kết nối được mã hóa giữa hai hoặc nhiều máy tính. Kết nối VPN diễn ra qua các public network, nhưng dữ liệu trao đổi qua VPN vẫn là riêng tư vì nó được mã hóa.

VPN giúp bạn có thể truy cập và trao đổi dữ liệu bí mật một cách an toàn qua cơ sở hạ tầng shared network. Ví dụ, khi nhân viên làm việc từ xa thay vì ở văn phòng, họ thường sử dụng VPN để truy cập các file và app của công ty.

Nhiều VPN sử dụng IPsec protocol để thiết lập và chạy các kết nối được mã hóa. Tuy nhiên, không phải tất cả các VPN đều sử dụng nhóm giao thức này. Một giao thức khác cho VPN là SSL/TLS, hoạt động ở một lớp khác trong mô hình OSI so với IPsec. (Mô hình OSI là một đại diện trừu tượng của các quá trình là cho Internet hoạt động.

Làm cách nào để người dùng kết nối với IPsec VPN?

Người dùng có thể truy cập IPsec bằng cách đăng nhập vào ứng dụng VPN hoặc “client”. Điều này thường yêu cầu người dùng phải cài đặt ứng dụng trên thiết bị của họ.

Người dùng có thể truy cập IPsec bằng cách đăng nhập vào ứng dụng VPN hoặc “client”

Đăng nhập VPN thường dựa trên mật khẩu. Mặc dù dữ liệu được gửi qua VPN đã được mã hóa, nhưng nếu mật khẩu người dùng bị xâm phạm, những hacker có thể đăng nhập vào VPN và đánh cấp dữ liệu được mã hóa. Sử dụng xác thực hai yếu tố (2FA) có thể tăng cường bảo mật IPsec VPN. Vì chỉ đánh cắp mật khẩu sẽ không cấp cho hacker quyền truy cập nữa.

IPsec hoạt động như thế nào?

Kết nối bộ giao thức này bao gồm các bước sau

Trao đổi key: Key là yếu tố cần thiết để mã hóa, key là một chuỗi ký tự ngẫu nhiên có thể được sử dụng để “lock” (mã hóa) và “unlock” (giải mã) thông điệp. Nhóm giao thức này thiết lập các key với sự trao đổi key giữa các thiết bị được kết nối. Để mỗi thiết bị có thể giải mã tin nhắn của các thiết bị khác.

Header và trailer của packet: Tất cả dữ liệu được gửi qua mạng được chia thành các phần nhỏ hơn gọi là packet. Các packet chứa cả payload hoặc dữ liệu thực tế được gửi bao gồm cả các header hoặc thông tin về dữ liệu đó để các máy tính nhận packet biết phải làm gì với chúng.

IPsec thêm một số header vào các packet dữ liệu chứa thông tin xác thực và mã hóa. Nhóm giao thức này cũng thêm các đoạn trailer, đi sau payload của một packet thay vì trước đó.

Kết nối bộ giao thức này bao gồm 6 bước

Xác thực: IPsec cung cấp xác thực cho mỗi packet, giống như một con dấu xác thực trên một vật phẩm sưu tầm được. Điều này đảm bảo rằng các packet đến từ một nguồn đáng tin và không phải là hacker.

Mã hóa: IPsec mã hóa payload bên mỗi packet và IP header của mỗi packet. Điều này giữ cho dữ liệu được gửi qua nhóm giao thức này một cách an toàn và riêng tư.

Truyền dữ liệu: Các IPsec packet được mã hóa truyền dữ liệu qua một hoặc nhiều mạng đến đích của chúng bằng cách sử dụng một giao thức truyền tải. Ở giai đoạn này, lưu lượng IPsec khác với lưu lượng IP thông thường ở chỗ nó thường sử dụng UDP làm giao thức truyền tải hơn là TCP.

Giải mã: Ở đầu kia của giao tiếp, các packet được giải mã và các app hiện có thể sử dụng dữ liệu được phân phối.

Giao thức nào được sử dụng trong IPsec?

Trong mạng, protocol là một cách định dạng dữ liệu cụ thể để bất kỳ máy tính kết nối mạng nào cũng có thể diễn giải dữ liệu. Nhóm giao thức này không phải là một protocol, mà là một tập hợp các protocol. Các protocol sau tạo nên bộ IPsec:

Giao thức được sử dụng trong IPsec

Authentication Header (AH): protocol AH đảm bảo rằng các data packet đến từ một nguồn đáng tin cậy và dữ liệu không bị giả mạo, giống như một con dấu chống giả mạo trên một sản phẩm tiêu dùng. Các header này không cung cấp bất kỳ mã hóa nào, chúng không giúp che giấu dữ liệu khỏi hacker.

Encapsulating Security Protocol (ESP): ESP mã hóa IP header cho mỗi packet – trừ khi transport data mode được sử dụng. Trong trường hợp này, nó chỉ mã hóa payload. ESP thêm header riêng và một đoạn trailer vào mỗi data packet.

Security Association (SA): SA đề cập đến một số protocol được sử dụng để đàm phán các key và thuật toán mã hóa. Một trong những protocol SA phổ biến nhất là Internet Key Exchange (IKE).

Cuối cùng, mặc dù Internet Protocol (IP) không phải là một phần của IPsec, nhưng nhóm giao thức này chạy trực tiếp trên IP.

Sự khác biệt giữa chế độ IPsec tunnel và IPsec transport là gì?

Chế độ IPsec tunnel được sử dụng giữa hai bộ router chuyên dụng, với một bộ router hoạt động như một đầu của “tunnel” ảo thông qua public network. Trong chế độ IPsec tunnel, IP header ban đầu chứa đích cuối cùng của packet được mã hóa, cùng với packet payload.

Để cho các router trung gian biết nơi chuyển tiếp các packet, IPsec thêm một IP header mới. Tại mỗi đầu cuối của tunnel, các router giải mã các IP header để chuyển các packet đến đích của chúng.

Trong chế độ transport, payload của một packet được mã hóa, nhưng IP header ban đầu thì không. Do đó, các router trung gian có thể xem đích cuối cùng của mỗi packet – trừ khi sử dụng một tunneling protocol (chẳng hạn như GRE).

IPsec sử dụng port nào?

Network port là vị trí ảo, nơi mà dữ liệu được truyền đi trong máy tính. Port là cách máy tính theo dõi các quá trình và kết nối khác nhau, nếu dữ liệu đi đến một port nhất định, hệ điều hành của máy tính sẽ biết nó thuộc tiến trình nào. Nhóm giao thức này thường sử dụng port 500.

Port là cách máy tính theo dõi các quá trình và kết nối khác nhau

IPsec tác động đến MSS và MTU như thế nào?

MSS và MTU là hai phép đo dung lượng packet. Các packet chỉ có thể đạt đến một dung lượng nhất định (tính bằng byte) trước khi máy tính, router và switch không thể xử lý chúng. MSS đo kích thước payload của mỗi packet, trong khi MTU đo toàn bộ packet, bao gồm cả các header.

Các packet vượt quá MTU của mạng có thể bị phân mảnh. Có nghĩa là được chia thành các packet nhỏ hơn và sau đó được tập hợp lại. Các packet vượt quá MSS chỉ đơn giản là bị loại bỏ.

Kết luận

Tới đây thì bạn cũng đã hiểu sâu hơn về IPsec, khái niệm của bộ giao thức này, tầm quan trọng và cách hoạt động của nó. Hy vọng qua bài viết này bạn có thể có thêm nhiều kiến thức bổ ích và biết cách ứng dụng IPSec vào thực tế, chúc bạn thành công!

Cảm ơn bạn đã đón đọc bài viết. Có thể bạn cũng quan tâm đến:

>> Giao thức Point to Point là gì? Các thành phần của giao thức PPP

>> IPv4 và IPv6 – Khái Niệm Và So Sánh Hai Giao Thức Mạng

>> SSH và TELNET – Sự khác biệt giữa 2 giao thức mạng

Theo dõi BKNS thường xuyên hơn tại các nền tảng mạng xã hội:

>> Fanpage: https://www.facebook.com/bkns.vn

>> Youtube: https://www.youtube.com/c/BknsVn1

>> Pinterest: https://www.pinterest.com/bknsvn/

>> LinkedIn: https://www.linkedin.com/company/bkns-vn/