Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
1
Mục lục
Lời mở đầu
Chương 1: Tổng quan về VPN
1. Tổng Quan 5
1.1 Định nghĩa VPN 5
1.2 Lợi ích của VPN 6
1.3 Chức năng của VPN 7
2 Định nghĩa “đường hầm” và “mã hoá” 7
2.1 Định nghĩa đường hầm: 7
2.2 Cấu trúc một gói tin IP trong đường hầm: 8
2.3 Mã hoá và giải mã (Encryption/Deccryption): 8
2.4 Một số thuật ngữ sử dụng trong VPN: 8
2.5 Các thuật toán được sử dụng trong mã hoá thông tin 9
3 Các dạng kêt nối mạng riêng ảo VPN 10
3.1 Truy cập VPN (Remote Access VPNs) 10
3.1.1 Một số thành phần chính 11
3.1.2 Thuận lợi chính của Remote Access VPNs: 12
3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác
như: 12
3.2 Site – To – Site VPN 13
3.2.1 Intranet 14
3.2.2 Extranet VPNs (VPN mở rộng) 16
4. VPN và các vấn đề an toàn bảo mật trên Internet. 18
4.1 An toàn và tin cậy. 19
4.2 Hình thức an toàn 20
Chương 2: Giao thức trong VPN
1 Bộ giao thức IPSec (IP Security Protocol): 22
1.1 Cấu trúc bảo mật 22

2 Chứng thực trong VPN 50
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng
mật khẩu. 51
2.2 Challenge Handshare Authentication Protocol (CHAP). 52
3 Firewall 52
3.1 Khái niệm về Firewall. 52
3.2 Các thành phần của Firewall. 53
3.2.1 Bộ lọc gói (Packet Filtering Router). 53
3.2.2 Cổng ứng dụng (Application-level gateway) 55
3.2.3 Cổng vòng (Circuit-level Gateway) 57
3.3 Những hạn chế từ Firewall 58
3.4 Thiết lập chính sách cho Firewall 58
3.5 Một số loại Firewall 59
3.5.1 Screened Host Firewall. 60
3.5.2 Screened-Subnet Firewall 61
3.6 Mô hình kết hợp Firewall với VPN. 62
Chương 4: Cấu hình VPN trên thiết bị Cisco
1. Mô hình Site –to – Site VPN và Extranet VPN 64
1.1 Kịch bản Site – to – site VPN 64
1.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình site – to –site
VPN 64
1.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Site – to – Site VPN 65
2.1 Kịch bản Extranet 65
2.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình Extranet VPN
66
2.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Extranet VPN 66
2 Cấu hình đường hầm (tunnel) 67
2.1 Sự định cấu hình một GRE Tunnel 68
2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, và Đích 68
Khoá luận tốt nghiệp Đại học Công nghệ

Chương 5: Cấu hình VPN trên Widows Server 2003
1. Giới thiệu chung 92
2. Cài đặt VPN Server 92
3. Cấu hình VPN Server 99
3.1. Route and Remote Access Properties 99
3.2. Ports Properties 102
3.3. Remote Access Policies 103
4. Tạo User trên Windows cho phép sử dụng VPN 104
5. VPN Client trên Windows XP 106
6. Quản lý kết nối trên VPN Server 113
Kết luận 115
Tài liệu tham khảo 116
CÁC THUẬT NGỮ VIẾT TĂT 117

Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
4
Lời mở đầu

Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là
sử dụng một kết nối quay số. Các kết nối RAS dial-up làm việc trên các đường
điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt
vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS,
tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài
cần có cho việc truy cập

Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở
rộng, khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông
tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị
đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty …

Lê Anh Hưng K49DB
5
Chương 1

TỔNG QUAN VỀ VPN

1. Tổng Quan

Trong thời đại ngày nay. Internet đã phát triển mạnh mẽ về mặt mô hình
cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được
thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến
người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và
mạng mà người sử dụng đó đang sử dụng. Để làm được điều này người ta sử
dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau.
Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet
service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp
tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng.
Với Internet, những dịch vụ như giáo dục từ xa, mua hang trực tuyến, tư vấn y
tế,và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do Internet có phạm
vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn
trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ.
Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoã mãn những yêu cầu
trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó
chính là mô hình mạng riên ảo (Virtual Private Network – VPN ). Với mô hình
mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính
năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được
sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà
riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy
chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng.
Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối

Hình 1: Mô hình mạng VPN
1.2 Lợi ích của VPN

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và
những mạng leased-line. Những lợi ích đầu tiên bao gồm:
 Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi
truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm
việc chi phí truy cập từ xa từ 60-80%
 Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính
linh hoạt và có thể leo thang những kiến trúc mạng hơn là những
mạng cổ điển, băng cách nào đó nó có thể hoạt động kinh doanh
nhanh chóng và chi phí một cách hiệu quả cho việc kết nối từ xa của
những văn phòng, những vị trí ngoài quốc tế, những người truyền
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
7
thông, những người dùng điện thoại di động, những người hoạt động
kinh doanh bên ngoài như những yêu cầu kinh doanh đã đòi hỏi
 Đơn giản hóa những gánh nặng
 Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng:
Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp
với kết nối hướng những giao thức như là Frame Relay và ATM
 Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với
những người không có quyền truy cập và cho phép truy cập đối với
những người dùng có quyền truy cập
 Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
 Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá
do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa
chỉ bên ngoài Internet
1.3 Chức năng của VPN

2
 PPTP (Point-to-Point Tunneling Protocol)
 L2F (Layer 2 Forwarding)
Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ:
 IP Sec (IP security)
 GRE (Genenic Routing Encapsulation)
2.2 Cấu trúc một gói tin IP trong đường hầm:

Tunnel mode packet

IP AH ESP Header Data
2.3 Mã hoá và giải mã (Encryption/Deccryption):

Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hay
plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được
(cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi
những người dùng không được phép. Giải mã là quá trình ngược lại của mã hoá,
tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng
được phép
2.4 Một số thuật ngữ sử dụng trong VPN:

Hệ thống mã hoá (Crysystem): là một hệ thống để thực hiện mã hoá hay
giải mã, xác thực người dùng, băm (hashing), và các quá trình trao đổi khoá, một
hệ thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc
vào yêu cầu cho một vài loại traffic người dùng cụ thể.
Hàm băm (hashing): là một kỹ thuật toàn vẹn dữ liệu mà sử dụng một công thức
hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và một khoá

thành phần bảo mật trong chứng nhận.

2.5 Các thuật toán được sử dụng trong mã hoá thông tin:

 DES (Data Encryption Security)
 3DES (Triple Data Encryption Security)
 SHA (Secure Hash Algorithm)

AH ( Authentication Header): La giao thức bảo mật giúp xác thực dữ liệu,
bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính
duy nhất của gói tin). AH được nhúng vào trong dữ liệu để bảo vệ.

ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung
cấp sự tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu, và xác thực nguồn gốc dữ
liệu, các dịch vụ “anti-replay”. ESP đóng gói dữ liệu để bảo vệ. Oakley và
Skeme mỗi cái định nghĩa một phương thức để thiết lập một sự trao đổi khoá xác
thực, cái đó bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự mà các
khoá được sử lý và các khoá được sử dụng như thế nào.

ISAKMP (Internet Security Association and Key Management):

IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa
Oakley và trao đổi khoá Skeme bên trong khung ISAKMP (Protocol): Là một
khung giao thức mà định nghĩa các định dạng tải tin, các giao thức triển khai một
giao thức trao đổi khoá và sự trao đổi của một SA (Security Association)

SA (Security Association): Là một tập các chính sách và các khoá được
sử dụng để bảo vệ thông tin. ISAKMP SA là các chính sách chung và các khoá
được sử dụng bởi các đối tượng ngang hang đàm phán trong giao thức này để
bảo vệ thông tin của chúng

Một hướng phát triển khá mới trong remote access VPN là dùng wireless
VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối
không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một
trạm wireless (Wireless terminal) và sau đó về mạng của công ty. Trong cả hai
trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo
mật, còn được gọi là tunnel

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực
ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy.
Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của
công ty. Chính sách này bao gồm: quy trình (Procedure), kỹ thuật, server (such
as Remote Authentication Dial-In User Service [RADIUS], Terminal Access
Controller Access Control System Plus [TACACS+] …).
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
11

3.1.1 Một số thành phần chính

Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.

Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và
hỗ trợ truy cập từ xa bởi người dùng. Hình 3 Thiết lập một non-VPN remote access

Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
13

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể,
điều này gây khó khăn cho quá trính xác nhận. Thêm vào đó, việc nén dữ
liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
3.2 Site – To – Site VPN

Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới
mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng
thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có
một kết nối VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng vài trò
như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho
các site khác. Các Router và Firewall tương thích với VPN, và các bộ tập trung
VPN chuyên dụng đều cung cấp chức năng này.

Hình 5 Site – to – site VPN

Site – to –Site VPN có thể được xem như là Intranet VPN hoặc Extranet
VPN. Nếu chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xem
như là một intranet VPN, ngược lại chúng được xem như một extranet VPN.
Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiể bởi cả hai
(Intranet và Extranet VPN) theo các site tương ứng của chúng. Giải pháp Site –
To – Site VPN không phải là một remote access VPN nhưng nó được thêm vào
đây vì tính chất hoàn thiện của nó.

Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơn

chung như Internet thành một mạng riêng tư của một tập đoàn hay một tổ chức
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
15

gồm nhiều công ty và văn phòng làm việc mà các kết nối này luôn luôn được mã
hoá thông tin

Intranet VPN được sử dụng để kết nối đến các chi nhánh văn phòng của
tổ chức đến Corporate Intranet (Backbone Router) sử dụng campus router (Hình
7)

Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết
lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet
Backbone sẽ rất tốn kém còn tuỳ thuộnc vào lượng lưu thông trên mạng đi trên
nó và phạm vi địa lý của toàn bộ mạng Intranet.

Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế
bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng
kể của việc triển khai mạng Intranet (Hình 1-5)

Hình 7 Thiếp lập Intranet dựa trên VPN

Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 7.

- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình
WAN backbone.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
16

qua cơ sở hạ tầng dùng chung chia sẽ những kết nối.

Không giốn như intranet và Remote Access –based, Extranet không an
toàn cách ly từ bên ngoài (outer-world), Extranet cho phép truy nhập những tài
nguyên mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn như khách
hang, nhà cung cấp, đối tác những người giữ vài trò quan trọng trong tổ chức.

Hình 9 Thiết lập mạng Extranet theo truyền thống

Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng
biệt trên intranet kết hợp lại với nhau để tạo ra một Extranet. Điều này làm cho
khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá
nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng Extranet dễ mở rộng
do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các
kết nối bên ngoài mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết
nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng
Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
18Hình 10: Thiết lập Extranet

Một số thuận lợi của Extranet:

Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối


Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâm
khi trao đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng
riêng ảo VPN.

Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo
ra một đường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối.
Các thông tin dữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển
trong một đường hầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò
muốn đánh cắp thông tin
4.1 An toàn và tin cậy.

Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì
một hệ thống đáng tin cậy được. Thuộc tính này của một hệ thống đựơc viện dẫn
như sự đáng tin cậy được. Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
 Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trong
khoản thời gian. Tính sẵn sang thường đựơc thực hiện qua những
hệ thống phần cứng dự phòng.
 Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiện các
chức năng của nó trong một chu kỳ thời gian. Sự tin cậy khác với
tính sẵn sang , nó được đo trong cả một chu kỳ của thời gian. Nó
tương ứng tới tính liên tục của một dịch vụ.
 Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức
năng của nó chính xác hoặc thực hiện trong trường hợp thất bại
một ứng xử không thiệt hại nào xuất hiện.
 Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự
bảo vệ tất cả các tài nguyên hệ thống
Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn đảm bảo an
toàn ở bất kỳ thời gian nào. Nó đảm bảo không một sự và chạm nào mà không
cảnh báo thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh

thống cần sự bảo vệ chống lại tất cả những sự bảo vệ này.

An toàn thông tin:

Liên quan đến tính dễ bị tổn thương trong phần mềm, phần cứng và sự kết
hợp của phần cứng và phần mềm. Nó có thể được chia vào sự an toàn và truyền
thông máy tính. Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượng
chống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế
điều khiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế
phần cứng, kỹ thuật mã hoá… Sự an toàn truyền thông bảo vệ đối tượng truyền.

An toàn quản trị:

An toàn quản trị liên quan đến tất cả các mối đe doạ mà con người lợi
dụng tới một hệ thống máy tính. Những mối đe doạ này có thể là hoạt động nhân
sự. Sự an toàn nhân sự bao bao trùm việc bảo vệ của những đối tượng chống lại
sự tấn công từ những người dùng uỷ quyền.

Mỗi người dùng của hệ thống có những đặc quyền để truy nhập những tài
nguyên nhất định. Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại
những người dùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
21

dụng những đặc quyền của họ, cho nên sự giáo dục nhận thức rất quan trọng để
nó thực sự là một cơ chế bảo vệ sự an toàn hệ thống. Thống kê cho thấy những
người dùng uỷ quyền có tỷ lệ đe doạ cao hơn cho một hệ thống máy tính so với
từ bên ngoài tấn công. Những thông tin được thống kê cho thấy chỉ có 10% của
tất cả các nguy hại máy tính đựơc thực hiện từ bên ngoài hệ thống, trong khi có
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
22

Chương 2

GIAO THỨC TRONG VPN Trong VPN có 3 giao thức chính để xây dựng lên một “mạng riêng ảo”
hoàn chỉnh đó là
 IP Sec (IP Security)
 PPTP (Point-to-Point Tunneling Protocol)
 L2TP (Layer 2 Tunneling Protocol)
Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược
điểm khác nhau khi triển khai vào mạng VPN
1 Bộ giao thức IPSec (IP Security Protocol):

IPSec thực chất không phải là một giao thức, nó chỉ là một khung của các
tập giao thức chuẩn mở rộng được thiết kế để cung cấp tính xác thực và toàn vẹn
dữ liệu. Giao thức IPSec được làm việc tại tầng Network Layer- Layer 3 của mô
hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được

cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật cho mỗi gói tin. Một
quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi
IPSec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB.

Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group,
và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả
hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó
cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi
có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ
biết được các keys được gửi đi trong dữ liệu. Chú ý các chuẩn không miêu tả
làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.
1.1.1 Hiện trạng

IPSec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng
IPv4. Trong khi các chuẩn đã được thiết kế cho các phiên bản IP giống nhau,
phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.

Các giao thức IPSec được định nghĩa từ RFCs 1825 -1829, và được phổ biến
năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401-2412, nó
không tương thích với chuẩn 1825-1829. Trong tháng 12 năm 2005, thế hệ thứ 3
của chuẩn IPSec, RFC 4301-4309. Cũng không khác nhiều so với chuẩn RFC
2401-2412 nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ
mới này IP security cũng được viết tắt lại là IPSec.
2 Chế độ làm việc của IPSec
2.1 Chế độ chuyển vận (Transport mode)

Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ với
máy khác mà không có sự can thiệp nào của các gateway làm nhiệm vụ an ninh
mạng.
Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin

trong chế độ chuyển vận thì không có điều này. IPSec định ra chế độ đường
hầm để áp dụng cho AH và ESP.

Khi host 1 muốn giao tiếp với host 2, nó có thể sử dụng chế độ đường
hầm để cho phép các gateway bảo mật có thể cung cấp các dịch vụ để đảm bảo
an toàn cho việc liên lạc giữa hai nút mạng trên mạng công cộng.

IPSec cho phép chế độ bảo mật theo nhiều lớp và theo nhiều tuyến truyền.
Trong đó, phần header của gói tin nội tại được hoàn toàn bao bọc bởi phần
header của gói tin được phát đi. Tuy vậy, phải có một điều kiện là các tuyến
truyền không được gối chồng lên nhau.

Đối với việc sử lý luồng dữ liệu truyền đi, tầng IP sẽ tham chiếu đến SPD
(Security Policy Database ) để quyết định các dịch vụ bảo mật cần áp dụng.
Các bộ chọn lọc được lấy ra từ các phần header sử dụng để chỉ ra một cách
thức hoạt động cho SPD. Nếu hoạt động của SPD là áp dụng tính năng bảo mật
thì sẽ có một con trỏ, trỏ đến SA trong SADB ( Security Association Database
) được trả về. Trường hợp SA không có trong SADB thì IKE sẽ được kích
hoạt. Sau đó các phần header AH và ESP được bổ xùng theo cách mà SA định
ra và gói tin sẽ được truyền đi.

Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB
25

Với việc sử lý luồng dữ liệu gửi đến, sau khi nhận được một gói tin, tầng
có nhiệm vụ bảo mật sẽ kiểm tra danh mục các phương thức bảo mật để đưa ra
các hành động sau đây: huỷ bỏ, bỏ qua hoặc áp dụng. Nếu hành động là áp
dụng mà SA không tồn tại thì gói tin sẽ bị bỏ qua. Tuy nhiên, nếu SA có trong
SADB thì gói tin sẽ được chuyển đến tầng tiếp theo để xử lý. Nếu gói tin có