IPSec, viết tắt của Internet Protocol Security, là một bộ giao thức mật mã bảo vệ lưu lượng dữ liệu qua mạng Internet Protocol (IP). Mạng IP – bao gồm cả World Wide Web – thiếu khả năng mã hoá và bảo vệ quyền riêng tư. VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp một framework cho việc giao tiếp được mã hóa và riêng tư trên web. Bài viết này sẽ có cái nhìn sâu hơn về bộ giao thức này, giải thích IPsec là gì và cách hoạt động của bộ giao thức này như thế nào.

IPsec là gì?

IPsec là một nhóm giao thức được sử dụng cùng nhau để thiết lập những liên kết được mã hóa giữa những thiết bị. Nó giúp bảo mật thông tin tài liệu được gửi qua public network. Nhóm giao thức này này thường được sử dụng để thiết lập VPN. Nó hoạt động giải trí bằng cách mã hóa IP packet cùng với việc xác nhận nguồn của những packet .
Trong thuật ngữ “ IPsec ”, “ IP ” là viết tắt của “ Internet Protocol ” và “ sec ” là “ security ”. Internet Protocol là một routing protocol chính được sử dụng trên Internet. Nó chỉ định nơi tài liệu sẽ đi bằng địa chỉ IP. Nhóm giao thức này bảo đảm an toàn vì nó thêm mã hóa và xác nhận vào quy trình này .

IPsec VPN là gì?

Virtual private network (VPN) là một kết nối được mã hóa giữa hai hoặc nhiều máy tính. Kết nối VPN diễn ra qua các public network, nhưng dữ liệu trao đổi qua VPN vẫn là riêng tư vì nó được mã hóa.

VPN giúp bạn hoàn toàn có thể truy vấn và trao đổi tài liệu bí hiểm một cách bảo đảm an toàn qua hạ tầng shared network. Ví dụ, khi nhân viên cấp dưới thao tác từ xa thay vì ở văn phòng, họ thường sử dụng VPN để truy vấn những file và app của công ty .
Nhiều VPN sử dụng IPsec protocol để thiết lập và chạy những liên kết được mã hóa. Tuy nhiên, không phải tổng thể những VPN đều sử dụng nhóm giao thức này. Một giao thức khác cho VPN là SSL / TLS, hoạt động giải trí ở một lớp khác trong quy mô OSI so với IPsec. ( Mô hình OSI là một đại diện thay mặt trừu tượng của những quy trình là cho Internet hoạt động giải trí .

Làm cách nào để người dùng kết nối với IPsec VPN?

Người dùng hoàn toàn có thể truy vấn IPsec bằng cách đăng nhập vào ứng dụng VPN hoặc “ client ”. Điều này thường nhu yếu người dùng phải thiết lập ứng dụng trên thiết bị của họ .
Đăng nhập VPN thường dựa trên mật khẩu. Mặc dù tài liệu được gửi qua VPN đã được mã hóa, nhưng nếu mật khẩu người dùng bị xâm phạm, những hacker hoàn toàn có thể đăng nhập vào VPN và đánh cấp tài liệu được mã hóa. Sử dụng xác nhận hai yếu tố ( 2FA ) hoàn toàn có thể tăng cường bảo mật thông tin IPsec VPN. Vì chỉ đánh cắp mật khẩu sẽ không cấp cho hacker quyền truy vấn nữa .

IPsec hoạt động như thế nào?

Kết nối bộ giao thức này gồm có những bước sau :

Trao đổi key: Key là yếu tố cần thiết để mã hóa, key là một chuỗi ký tự ngẫu nhiên có thể được sử dụng để “lock” (mã hóa) và “unlock” (giải mã) thông điệp. Nhóm giao thức này thiết lập các key với sự trao đổi key giữa các thiết bị được kết nối. Để mỗi thiết bị có thể giải mã tin nhắn của các thiết bị khác.

Header và trailer của packet: Tất cả dữ liệu được gửi qua mạng được chia thành các phần nhỏ hơn gọi là packet. Các packet chứa cả payload hoặc dữ liệu thực tế được gửi bao gồm cả các header hoặc thông tin về dữ liệu đó để các máy tính nhận packet biết phải làm gì với chúng. IPsec thêm một số header vào các packet dữ liệu chứa thông tin xác thực và mã hóa. Nhóm giao thức này cũng thêm các đoạn trailer, đi sau payload của một packet thay vì trước đó.

Xác thực: IPsec cung cấp xác thực cho mỗi packet, giống như một con dấu xác thực trên một vật phẩm sưu tầm được. Điều này đảm bảo rằng các packet đến từ một nguồn đáng tin và không phải là hacker.

Mã hóa: IPsec mã hóa payload bên mỗi packet và IP header của mỗi packet. Điều này giữ cho dữ liệu được gửi qua nhóm giao thức này một cách an toàn và riêng tư.

Truyền dữ liệu: Các IPsec packet được mã hóa truyền dữ liệu qua một hoặc nhiều mạng đến đích của chúng bằng cách sử dụng một giao thức truyền tải. Ở giai đoạn này, lưu lượng IPsec khác với lưu lượng IP thông thường ở chỗ nó thường sử dụng UDP làm giao thức truyền tải hơn là TCP. TCP (Transmission Control Protocol) thiết lập các kết nối chuyên dụng giữa các thiết bị và đảm bảo rằng tất cả các packet đều được truyền đến đích. UDP (User Datagram Protocol) không thiết lập các kết nối chuyên dụng này. Nhóm giao thức này sử dụng UDP vì nó cho phép các IPsec packet vượt qua firewall.

Giải mã: Ở đầu kia của giao tiếp, các packet được giải mã và các app hiện có thể sử dụng dữ liệu được phân phối.

Giao thức nào được sử dụng trong IPsec?

Trong mạng, protocol là một cách định dạng tài liệu đơn cử để bất kể máy tính liên kết mạng nào cũng hoàn toàn có thể diễn giải tài liệu. Nhóm giao thức này không phải là một protocol, mà là một tập hợp những protocol. Các protocol sau tạo nên bộ IPsec :

Authentication Header (AH): protocol AH đảm bảo rằng các data packet đến từ một nguồn đáng tin cậy và dữ liệu không bị giả mạo, giống như một con dấu chống giả mạo trên một sản phẩm tiêu dùng. Các header này không cung cấp bất kỳ mã hóa nào, chúng không giúp che giấu dữ liệu khỏi hacker.

Encapsulating Security Protocol (ESP): ESP mã hóa IP header cho mỗi packet – trừ khi transport data mode được sử dụng. Trong trường hợp này, nó chỉ mã hóa payload. ESP thêm header riêng và một đoạn trailer vào mỗi data packet.

Security Association (SA): SA đề cập đến một số protocol được sử dụng để đàm phán các key và thuật toán mã hóa. Một trong những protocol SA phổ biến nhất là Internet Key Exchange (IKE).

Cuối cùng, mặc dầu Internet Protocol ( IP ) không phải là một phần của IPsec, nhưng nhóm giao thức này chạy trực tiếp trên IP .

Sự khác biệt giữa chế độ IPsec tunnel và IPsec transport là gì?

Chế độ IPsec tunnel được sử dụng giữa hai bộ router chuyên được dùng, với một bộ router hoạt động giải trí như một đầu của “ tunnel ” ảo trải qua public network. Trong chính sách IPsec tunnel, IP header bắt đầu chứa đích sau cuối của packet được mã hóa, cùng với packet payload. Để cho những router trung gian biết nơi chuyển tiếp những packet, IPsec thêm một IP header mới. Tại mỗi đầu cuối của tunnel, những router giải thuật những IP header để chuyển những packet đến đích của chúng .
Trong chính sách transport, payload của một packet được mã hóa, nhưng IP header khởi đầu thì không. Do đó, những router trung gian hoàn toàn có thể xem đích ở đầu cuối của mỗi packet – trừ khi sử dụng một tunneling protocol ( ví dụ điển hình như GRE ) .

IPsec sử dụng port nào?

Network port là vị trí ảo, nơi mà tài liệu được truyền đi trong máy tính. Port là cách máy tính theo dõi những quy trình và liên kết khác nhau, nếu tài liệu đi đến một port nhất định, hệ điều hành quản lý của máy tính sẽ biết nó thuộc tiến trình nào. Nhóm giao thức này thường sử dụng port 500 .

IPsec tác động đến MSS và MTU như thế nào?

MSS và MTU là hai phép đo dung tích packet. Các packet chỉ hoàn toàn có thể đạt đến một dung tích nhất định ( tính bằng byte ) trước khi máy tính, router và switch không hề giải quyết và xử lý chúng. MSS đo size payload của mỗi packet, trong khi MTU đo hàng loạt packet, gồm có cả những header. Các packet vượt quá MTU của mạng hoàn toàn có thể bị phân mảnh. Có nghĩa là được chia thành những packet nhỏ hơn và sau đó được tập hợp lại. Các packet vượt quá MSS chỉ đơn thuần là bị vô hiệu .

Kết luận

Tới đây thì bạn cũng đã hiểu sâu hơn về IPsec, khái niệm của bộ giao thức này, tầm quan trọng và cách hoạt động giải trí của nó. Hy vọng qua bài viết này bạn hoàn toàn có thể có thêm nhiều kiến thức và kỹ năng có ích và biết cách ứng dụng IPSec vào trong thực tiễn, chúc bạn thành công xuất sắc !

5/5 – ( 3 bầu chọn )