Đồ án tốt nghiệp
MỤC LỤC
MỤC LỤC i
DANH MỤC CÁC HÌNH VẼ ii
DANH MỤC CÁC TỪ VIẾT TẮT iv
LỜI NÓI ĐẦU 1
Chương 1 3
GIỚI THIỆU TỔNG QUAN VỀ TÌNH HÌNH AN NINH MẠNG 3
Chương 2 19
NGHIÊN CỨU VỀ BỘ GIAO THỨC BẢO VỆ GÓI IP-IPSEC 19
Chương 3 50
ỨNG DỤNG IPSEC VÀO VIỆC XÂY DỰNG CÁC MẠNG AN TOÀN 50
3.1.2. Các thành phần của OpenSwan 50
3.2.3.Kiểm tra hoạt động và tính an toàn 64
Vũ Thị Mai Lớp: AT3B

i
Đồ án tốt nghiệp
DANH MỤC CÁC HÌNH VẼ
Hình 1.1:Tấn công SYN 15
Hình 1.2: Tấn công Ping of Death 16
Hình 1.3: Mô hình kiểu tấn công phân tán DDOS 17
Hình 2.1: Kiến trúc bộ giao thức IPSec 21
Hình 2.2 : Tiêu đề AH 24
Hình 2.3 Gói tin IP trước và sau khi xử lý AH trong chế độ Transport 25
Hình 2.4: Khuôn dạng gói tin AH trong chế độ Tunnel 25
Hình 2.5 Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào 28
Hình 2.6 Khuôn dạng ESP 28
Hình 2.7: Gói ESP trong chế độ Transport 29
Hình 2.8: Gói ESP trong chế độ Tunnel 30
Hình 2.9: Hai chế độ IPSec 32

Vũ Thị Mai Lớp: AT3B

iii
Đồ án tốt nghiệp
DANH MỤC CÁC TỪ VIẾT TẮT
CNTT Công nghệ thông tin
IP Internet Protocol
IPSec Internet Protocol Security
DNS Domain Name System
URL Uniform Resource Locator
WPA Wifi Protectedd Access
WEP Wired Equivalent Privacy
TKIP Temporal Key Integrity Protocol
AES Advanced Encryption Standard
SSID Service Set Identifier
FHSS Frequency Hopping Spread Spectrum
IEEE Institute of Electrical and Electronic
Engineers
OFMD Orthogonal Frequency Multiplexing Division
ARP Address Resolution Protocol
DoS Denial of Service
DDoS Distributed Denial of Service
TCP Transmision Control Protocol
VPN Virtual Private Network
ESP Encapsulating Security Payload
AH Authentication Header
SPI Security Paramaters Index
SN Sequence Number
IKE Internet Key Exchange
SAKMP Internet Security Association and Key

Trong đồ án chuyên nghành an toàn thông tin, dưới sự hướng dẫn của
thầy giáo Th.s Nguyễn Thanh Sơn, em đã tiếp cận nghiên cứu đề tài
“Nghiên cứu công nghệ bảo mật gói IP (IPSec) và ứng dụng bảo mật thông
tin trên mạng”. Em đã tìm hiểu về giao thức bảo mật gói IP (IPSec) với các
mục đích, tính năng, cách xác định, triển khai cũng như việc thực thi và
quản lý IPSec trên hệ thống mã nguồn mở Linux, được xem là một công cụ
trong chiến lược xây dựng hệ thống bảo mật một cách vững chắc.
Đề tài gồm 3 chương :
Chương I : Giới thiệu tổng quan về tính hình an ninh mạng
Nội dung chương này sẽ trình bày về các nguy cơ,các mối đe dọa về
việc mất an toàn thông tin và thực trạng về vấn đề bảo mật an ninh
mạng từ đó đưa ra giải pháp phòng chống các kiểu tấn công trên mạng.
Vũ Thị Mai Lớp:
AT3B
1
Đồ án tốt nghiệp
Chương II: Nghiên cứu về bộ giao thức bảo vệ gói IP-IPSEC
Nội dung chương này sẽ trình bày về tổng quan về IPSec,kiến trúc và
nguyên lý hoạt động của bộ giao thức IPSec.
Chương III: Khai thác sử dụng bộ phần mềm bảo mật gói IP theo công
nghệ IPSEC
Giới thiệu về phần mềm OpenSwan và ứng dụng của nó sau đó sẽ triển
khai cài đặt và khai thác sử dụng phần mềm trên hệ điều hành mã nguồn mở
ubuntu
Trong quá trình nghiên cứu và phát triển ứng dụng chắc cũng không
tránh khỏi thiếu sót. Rất mong nhận được sự đóng góp ý kiến của các thầy cô
và các bạn.
Em xin chân thành cảm ơn các thầy, các cô khoa An toàn thông tin –
Học viện mật mã đã tận tình dạy dỗ, truyền đạt cho em nhiều kiến thức quý
báu.

thoại di động và các thiết bị không dây cũng sẽ tăng nhanh
- Những kẻ viết virus chủ yếu sẽ vẫn sử dụng thủ thuật cũ như ảnh sex,
các nhân vật nổi tiếng (trường hợp virus Kournikova) hoặc nhiều mưu
mẹo khác để lừa người nhận e-mail mở file đính kèm chứa mã độc hại
để đánh cắp các thông tin của người dùng như mật khẩu,tài khoản của
người dùng
1.1.2.Các vụ tấn công qua mạng Internet
Ở đây chỉ liệt kê các vụ tấn công nổi tiếng và gây hậu quả nghiêm trọng
1. Cuộc tấn công đầu tiên liên quan đến máy chủ DNS xảy ra vào tháng
01/2001 và mục tiêu đầu tiên là trang Register.com.
2. Vào tháng 02/2001, máy chủ của Cục Tài chính Ireland bị tấn công , thủ
phạm là những sinh viên đến từ trường Maynooth, một trường Đại học tại
Ireland.
Vũ Thị Mai Lớp:
AT3B
3
Đồ án tốt nghiệp
4. Kể từ khi các máy tính dự định cung cấp dịch vụ cho tất cả người dùng
Internet, đã có 2 vụ tấn công nhằm làm sập mạng Internet. Vụ đầu tiên xảy ra
vào tháng 10/2002, làm gián đoạn 9/13 máy chủ. Vụ thứ hai xảy ra vài năm
2007 làm gián đoạn 2 trong số các máy chủ.
5. Trong những tuần đầu của cuộc chiến Nam Ossetia 2008, một tấn công
hướng vào các trang web của chính phủ Georgia có chứa tin nhắn:
“win+love+in+Russia”, gây tình trạng quá tải và đóng cửa nhiều máy chủ ở
Georgia tấn công vào các trang web bao gồm các trang web của tổng thống
Georgia, Mikhail Saakashvili làm các trang web này không thể hoạt động
trong 24 giờ và cả ngân hàng quốc gia của Georgia.
6. Trong năm 2009, xảy ra cuộc phản đối bầu cử tại Iran, các nhà hoạt động
nước ngoài đang tìm cách giúp đỡ phe đối lập tham gia vào các cuộc tấn công
chống lại chính phủ của Iran. Trang web chính thức của chính phủ Iran

để trả lời câu hỏi bảo mật mỗi khi họ muốn lấy lại mật khẩu.
• Cách phòng tránh
- Trước hết, bạn nên kiểm tra chế độ cài đặt riêng tư trên Facebook.
Sau khi đăng nhập, vào Setting > Privacy Setting. Tại đây bạn có
thể giấu thông tin cá nhân không muốn cho người khác xem, ngoại
trừ bạn bè.
- Một lời khuyên hữu ích là không nên chấp nhận thư mời kết bạn
của người lạ vì kẻ tấn công có thể lợi dụng để lấy thông tin của
bạn.
- Mỗi khi tham gia các trò chơi, hoạt động trên mạng, bạn luôn cần
phải cân nhắc có nên chia sẻ thông tin cá nhân của mình với nhà
cung cấp dịch vụ hay không.
- Chỉ giao dịch với các công ty mà chúng ta tin tưởng: hãy tìm hiểu
rõ chính sách thông tin riêng tư của các trang web, dịch vụ chúng
ta sử dụng. Chỉ nên giao dịch, mua bán với những trang web
chúng ta thật sự tin tưởng, có chính sách bảo vệ thông tin nhạy
cảm. Nên sử dụng tính năng duyệt web riêng tư để làm chủ mọi
tình huống.
- Sử dụng tính năng duyệt web riêng tư: Các phiên bản trình duyệt
hiện nay từ IE, Firefox, Safari và Chrome đều kèm theo tính năng
duyệt web riêng tư private browsing. Tên gọi có thể khác nhau
như InPrivate Browsing (IE), Private Browsing (Firefox), nhưng
chúng đều có tính năng tương tự là xóa sạch tất cả thông tin cá
nhân từ lịch sử duyệt, mật khẩu, bộ nhớ đệm… của phiên duyệt
hiện tại miễn là bạn khởi động lại trình duyệt.
 Nguy hiểm từ những kẻ xấu trên mạng xã hội
Vũ Thị Mai Lớp:
AT3B
5
Đồ án tốt nghiệp

thông tin đăng nhập, mật khẩu…
• Cách phòng tránh
Vũ Thị Mai Lớp:
AT3B
6
Đồ án tốt nghiệp
Kiểm tra nguồn thông tin: Nếu nhận được tin nhắn từ nguồn đáng
tin cậy nhưng lại dẫn bạn tới trang yêu cầu cài đặt hoặc cập nhật
phần mềm, hãy lập tức thoát ứng dụng gửi - nhận tin nhắn và liên
lạc với nhà cung cấp dịch vụ để xác thực.Các công ty danh tiếng
sẽ không bao giờ gửi tin nhắn tới điện thoại và yêu cầu cài đặt
hoặc cập nhật phần mềm mới.
 Nguy cơ mất thiết bị, lộ dữ liệu
• Các thiết bị xách tay như laptop hay điện thoại di động rất tiện dụng
nhưng đôi khi có thể làm chúng ta khốn khổ nếu lỡ bị mất hoặc có kẻ
đánh cắp, vì như vậy sẽ coi như mất sạch toàn bộ dữ liệu đã nhọc công
tìm kiếm. Nguy hiểm hơn, những thông tin nhạy cảm có thể bị lọt vào
tay người xấu.
• Cách phòng tránh
- Mã hóa dữ liệu: Để tự bảo vệ mình,hãy sử dụng công cụ mã hóa
dữ liệu mang tên BitLocker của Microsoft (chỉ hỗ trợ Vista và
Windows 7) hoặc TrueCrypt (miễn phí, mã mở) để bảo vệ dữ liệu
của mình trước nguy cơ bị truy cập trái phép.
- Sử dụng mật khẩu đủ mạnh: Kèm với phương án mã hóa dữ
liệu,hãy sử dụng mật khẩu đủ mạnh để tăng cường an ninh. Mật
khẩu càng dài càng tốt, kèm theo ký tự lạ càng an toàn. Ngay cả
khi trên máy có một tài khoản người dùng,vẫn nên tạo mật khẩu
đăng nhập.
- Khóa BIOS: Khi khóa BIOS hay ổ đĩa cứng bằng mật khẩu (hoặc
cả hai), bạn có thể đảm bảo rằng không ai có thể khởi động máy

dàng hơn cập nhật hệ thống lên các bản mới nhất.
- Ngoài ra, có thể dùng tiện ích Secunia Personal Software
Inspector hỗ trợ quét lỗi ứng dụng, đưa ra cảnh báo cần cập nhật.
1.2.Các kiểu tấn công trên mạng và các giải pháp phòng chống
1.2.1.Kĩ thuật bắt gói tin dùng Sniff
Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc
điểm của cơ chế TCP/IP.
Những điều kiện để Sniff xảy ra:
- Sniff có thể hoạt động trong mạng Lan, mạng WAN, mạng WLAN.
- Điều kiện cần chỉ là dùng cùng Subnet Mark khi Sniffer.
- Ngoài ra ta còn cần một công cụ để bắt và phân tích gói tin như:
Cain&Abel, Ettercap, HTTP sniffer.
Vũ Thị Mai Lớp:
AT3B
8
Đồ án tốt nghiệp
1.2.1.1.Các loại Sniff và cơ chế hoạt động
 Active sniff
- Môi trường: chủ yếu hoạt động trong môi trường có các thiết bị chuyển
mạch gói.Phổ biến hiện nay là các dạng mạch sử dụng switch.
- Cơ chế hoạt động: Chủ yếu hiện nay thường dùng cơ chế ARP và
RARP (2 cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng
cách phát đi các gói tin đầu độc, mà cụ thể ở đây là phát đi các gói
thông báo cho máy gởi gói tin là “tôi là người nhận” mặc dù không
phải là “người nhận”.
- Đặc điểm: do phải gởi gói tin đi nên có thể chiếm băng thông
mạng.Nếu sniff quá nhiều máy trong mạng thì lượng gói gởi đi sẽ rất
lớn (do liên tục gởi đi các gói tin giả mạo) có thể dẫn đến nghẽn mạng
hay gây quá tải trên chính NIC của máy đang dùng sniff .
Ngoài ra các sniffer còn dùng một số kỹ thuật để ép dòng dữ liệu đi qua NIC

quả do dùng VLAN và kết hợp thêm các chức năng bảo mật).
- Cách khác: Ngoài ra ta có thể cấu hình SSL, tuy hiệu quả, nhưng chưa
cao vẫn có khả năng bị lấy thông tin.
Đối với người dùng:
- Dùng các công cụ phát hiện Sniff (đã kể trên): Khi có thay đổi về thông
tin arp thì các công cụ này sẽ cảnh báo cho người sử dụng.
- Cẩn trọng với các thông báo từ hệ thống hay trình duyệt web: Do một
số công cụ sniff có thể giả CA (Cain & Abel) nên khi bị sniff hệ thống
hay trình duyệt có thể thông báo là CA không hợp lệ.
- Tắt chức năng Netbios (người dùng cấp cao) để quá trình quét host của
các sniffer không thực hiện được. Tuy nhiên cách này khó có thể áp
dụng thực tế nguyên nhân là do switch có thể đã lưu MAC trong bảng
thông tin của nó thông qua quá trình hoạt động.
 Passive sniff
• Dạng sniff này rất khó phát hiện cũng như phòng chống.
• Thay thế các hub bằng các switch, lúc này các gói tin sẽ không còn
broadcast đi nữa , nhưng lúc này ta lại đứng trước nguy cơ bị sniff dạng
active.
1.2.2.Phishing
Vũ Thị Mai Lớp:
AT3B
10
Đồ án tốt nghiệp
- Nguyên tắc của phishing là bằng cách nào đó “lừa” người dùng gửi
thông tin nhạy cảm như tên, địa chỉ, mật khẩu, số thẻ tín dụng, mã thẻ
ATM… đến kẻ lừa đảo (scammer). Các thực hiện chủ yếu là mô phỏng
lại giao diện trang web đăng nhập (login page) của các website có thật,
kẻ lừa đảo sẽ dẫn dụ nạn nhân (victim) điền các thông tin vào trang đó
rồi truyền tải đến anh ta (thay vì đến server hợp pháp) để thực hiện
hành vi đánh cắp thông tin bất hợp pháp mà người sử dụng không hay

Đồ án tốt nghiệp
Nhìn chung có bốn kiểu tấn công phổ biến sau:
- Vượt qua kiểm tra lúc đăng nhập (authorization by pass).
- Sử dụng câu lệnh SELECT.
- Sử dụng câu lệnh INSERT.
- Sử dụng các stored-procedures.
1.2.3.1.Dạng tấn công vượt qua kiểm tra đăng nhập.
Với dạng tấn công này, tin tặc có thể dễ dàng vượt qua các trang đăng
nhập nhờ vào lỗi khi dùng các câu lệnh SQL thao tác trên cơ sở dữ liệu của
ứng dụng web. Xét một ví dụ điển hình, thông thường để cho phép người
dùng truy cập vào các trang web được bảo mật, hệ thống thường xây dựng
trang đăng nhập để yêu cầu người dùng nhập thông tin về tên đăng nhập và
mật khẩu. Sau khi người dùng nhập thông tin vào, hệ thống sẽ kiểm tra tên
đăng nhập và mật khẩu có hợp lệ hay không để quyết định cho phép hay từ
chối thực hiện tiếp.
Ví dụ, nếu người dùng nhập chuỗi sau vào trong cả 2 ô nhập liệu
username/password của trang login.htm là: ' OR ' ' = ' '. Lúc này, câu truy
vấn sẽ được gọi thực hiện là.
SELECT * FROM T_USERS WHERE USR_NAME ='' OR ''='' and
USR_PASSWORD= '' OR ''=''.
Câu truy vấn này là hợp lệ và sẽ trả về tất cả các bản ghi của T_USERS
và đoạn mã tiếp theo xử lí người dùng đăng nhập bất hợp pháp này như là
người dùng đăng nhập hợp lệ.
1.2.3.2.Dạng tấn công sử dụng câu lệnh SELECT.
Dạng tấn công này phức tạp hơn. Để thực hiện được kiểu tấn công này,
kẻ tấn công phải có khả năng hiểu và lợi dụng các sơ hở trong các thông báo
lỗi từ hệ thống để dò tìm các điểm yếu khởi đầu cho việc tấn công.
Trong các tình huống thông thường, đoạn mã này hiển thị nội dung của
tin có ID trùng với ID đã chỉ định và hầu như không thấy có lỗi. Tuy nhiên,
giống như ví dụ đăng nhập ở trước, đoạn mã này để lộ sơ hở cho một lỗi SQL

13
Đồ án tốt nghiệp
mã tiêm vào dạng: ' ;EXEC xp_cmdshell ‘cmd.exe dir C: '. Lúc này hệ thống
sẽ thực hiện lệnh liệt kê thư mục trên ổ đĩa C:\ cài đặt server. Việc phá hoại
kiểu nào tuỳ thuộc vào câu lệnh đằng sau cmd.exe.
1.2.3.5.Cách phòng chống sql injection.
Để phòng chống ta có hai mức sau:
 Kiểm soát chặt chẽ dữ liệu nhập vào: Để phòng tránh các nguy cơ có
thể xảy ra, hãy bảo vệ các câu lệnh SQL là bằng cách kiểm soát chặt
chẽ tất cả các dữ liệu nhập nhận được từ đối tượng Request (Request,
Request.QueryString,Request.Form,Request.Cookies,Request.ServerVa
riables).
 Thiết lập cấu hình an toàn cho hệ quản trị cơ sở dữ liệu: Cần có cơ chế
kiểm soát chặt chẽ và giới hạn quyền xử lí dữ liệu đến tài khoản người
dùng mà ứng dụng web đang sử dụng. Các ứng dụng thông thường nên
tránh dùng đến các quyền như dbo hay sa. Quyền càng bị hạn chế, thiệt
hại càng ít. Ngoài ra để tránh các nguy cơ từ SQL Injection attack, nên
chú ý loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông điệp chuyển
xuống cho người dùng khi ứng dụng có lỗi. Các thông báo lỗi thông
thường tiết lộ các chi tiết kĩ thuật có thể cho phép kẻ tấn công biết được
điểm yếu của hệ thống.
1.2.4.Tấn công từ chối dịch vụ.
Về cơ bản, tấn công từ chối dịch vụ chỉ là tên gọi chung của cách tấn
công làm cho một hệ thống nào đó bị quá tải không thể cung cấp dịch vụ,
hoặc phải ngưng hoạt động. Tấn công kiểu này chỉ làm gián đoạn hoạt động
của hệ thống chứ rất ít có khả năng thâm nhập hay chiếm được thông tin dữ
liệu của nó.
1.2.4.1.SYN Attack.
Đây là kiểu tấn công mà kẻ tấn công lợi dụng quá trình bắt tay 3 bước
của TCP. Ban đầu Kẻ tấn công gửi các yêu cầu kết nối TCP SYN tới máy

AT3B
15
Đồ án tốt nghiệp
Hình 1.2: Tấn công Ping of Death
1.2.4.3.Tấn công Teardrop
Tất cả các dữ liệu chuyển đi trên mạng từ hệ thống nguồn đến hệ thống
đích đều phải trải qua 2 quá trình sau: dữ liệu sẽ được chia ra thành các mảnh
nhỏ ở hệ thống nguồn, mỗi mảnh đều phải có một giá trị offset nhất định để
xác định vị trí của mảnh đó trong gói dữ liệu được chuyển đi. Khi các mảnh
này đến hệ thống đích, hệ thống đích sẽ dựa vào giá trị offset để sắp xếp các
mảnh lại với nhau theo thứ tự đúng như ban đầu.
Khi các packets này đến đích, hệ thống đích sẽ dựa vào offset của các
gói packets để sắp xếp lại cho đúng với thứ tự ban đầu: packet thứ nhất đến
packet thứ hai đến packet thứ ba.
Trong tấn công Teardrop, một loạt gói packets với giá trị offset chồng
chéo lên nhau được gởi đến hệ thống đích. Hệ thống đích sẽ không thể nào
sắp xếp lại các packets này, nó không điều khiển được và có thể bị crash,
reboot hoặc ngừng hoạt động nếu số lượng packets với giá trị offset chồng
chéo lên nhau quá lớn.
1.2.4.4.Tấn công từ chối dịch vụ kiểu phân tán-DDos.
Hầu hết các cuộc tấn công DDoS nhằm vào việc chiếm dụng băng thông
(bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động. Để
thực hiện thì kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính
mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi
ào ạt các gói tin (packet) với số lượng rất lớn nhằm chiếm dụng tài nguyên và
làm tràn ngập đường truyền của một mục tiêu xác định nào đó.
Vũ Thị Mai Lớp:
AT3B
16
Đồ án tốt nghiệp

17
Đồ án tốt nghiệp
1.2.5.Tấn công theo kiểu đứng giữa(Man-in-the-middle Attack)
1.2.5.1.Cơ chế hoạt động
Trong kiểu tấn công này, khi hai máy tính đang truyền tin với nhau một
cách bình thường, hacker sẽ chặn các gói dữ liệu gửi đi từ hai máy đó, thay
thế bằng những gói dữ liệu khác và gửi chúng đi. Khi đó, hai máy tính bị giả
mạo đều không hay biết gì về việc dữ liệu của chúng bị thay đổi. Kiểu tấn
công này thường được dùng để lấy những thông tin bảo mật của máy tính
1.2.5.2.Cách thức phòng chống
Chúng ta nhận thấy các thông tin quan trọng và những tập tin riêng tư có
thể bị đánh cắp khá dễ dàng. Để phòng ngừa các trường hợp như vậy, chúng
ta không nên tiến hành các hình thức chứng thực username và password dưới
dạng văn bản đơn thuần (không mã hóa) mà nên mã hóa chúng bằng IPSec
hay SSL. Tuy nhiên, không phải lúc nào chúng ta cũng có thể thực hiện được
các giải pháp này và cũng không phải lúc nào các giải pháp đó cũng mang lại
hiệu quả tốt nhất (vẫn có thể bị các chương trình như dsniff hay ettercap bẻ
khoá). Do đó, trong vai trò quản trị mạng, cách tốt nhất là bạn thường xuyên
giám sát các hành động bất thường trong hệ thống của mình để đưa ra hành
động thích hợp.
Vũ Thị Mai Lớp:
AT3B
18
Đồ án tốt nghiệp
Chương 2
NGHIÊN CỨU VỀ BỘ GIAO THỨC BẢO VỆ GÓI IP-IPSEC
2.1.Tổng quan về IPSec
2.1.1.Khái niệm IPSec
IPSec là từ viết tắt của Internet Protocol SECurity. Đây là công nghệ sử
dụng mật mã để cung cấp đồng thời hai dịch vụ xác thực (authentication) và

tin lưu chuyển nào yêu cầu được mã hóa (Encryption), xác nhận (digital
signing), hoặc cả hai. Sau đó, mỗi Packet được Computer gửi đi sẽ được xem
xét có hay không gặp các điều kiện của chính sách. Nếu gặp những điều kiện
này thì các Packet có thể được mã hóa, được xác nhận số theo những quy định
từ Policy. Quy trình này hòa toàn vô hình với User và Application kích hoạt
truyền thông tin trên mạng.
Do IPSEC được chứa bên trong mỗi gói IP chuẩn, cho nên có thể dùng
IPSEC qua Network, mà không yêu cầu những cấu hình đặc biệt trên thiết bị
hoặc giữa 2 Computer. Tuy nhiên, IPSEC không tiến hành mã hóa một vài
loại giao tiếp mạng như: Broadcast, MultiCast, các packet dùng giao thức xác
thực Kerberos.
Thuận lợi chính khi dùng IPSEC, là cung cấp được giải pháp mã hóa cho
tất cả các giao thức hoạt động tại lớp 3 – Network Layer (OSI model), và kể
cả các giao thức lớp cao hơn.
IPSEC có khả năng cung cấp
• Chứng thực 2 chiều trước và trong suốt quá trình giao tiếp. IPSEC quy
định cho cả 2 bên tham gia giao tiếp phải xác định chính mình trong
suốt quy trình giao tiếp.
• Tạo sự tin cậy qua việc mã hóa, và xác nhận số các Packet. IPSEC có 2
chẽ độ Encapsulating Security Payload (ESP) cung cấp cơ chế mã hóa
dùng nhiều thuật toán khác nhau và Authentication Header (AH) xác
nhận các thông tin chuyển giao, nhưng không mã hóa.
• Tích hợp các thông tin chuyển giao và sẽ loại ngay bất kì thông tin nào
bị chỉnh sửa. Cả hai loại ESP và AH đều kiểm tra tính tích hợp của các
thông tin chuyển giao. Nếu một gói tin đã chỉnh sửa, thì các xác nhận
số sẽ không trùng khớp, kết quả gói tin sẽ bị loại. ESP cũng mã hóa địa
chỉ nguồn và địa chỉ đích như một phần của việc mã hóa thông tin
chuyển giao.
Chống lại các cuộc tấn công Replay (thông tin chuyển giao qua mạng sẽ
bị attacker chặn, chỉnh sửa và được gửi đi sau đó đến đúng địa chỉ người

Protoccol
Domain of
Interpretation
AuthenticationHeader
(AH) Protocol
Encryption
Algorithms
Authentication
21