IPSec là gì?
IPSec là hệ thống các quy tắc hoặc giao thức truyền thông dùng để thiết lập kết nối an toàn qua một mạng. Giao thức Internet (IP) là tiêu chuẩn phổ biến giúp xác định cách dữ liệu truyền qua Internet. IPSec bổ sung khả năng mã hóa và xác thực để tăng cường bảo mật giao thức. Ví dụ: IPSec xáo trộn dữ liệu tại nguồn và khôi phục dữ liệu bị xáo trộn tại đích của giao thức này. IPSec cũng xác thực nguồn dữ liệu.
Tại sao IPSec lại quan trọng?
Lực lượng chuyên trách về kỹ thuật liên mạng (IETF) đã phát triển IPSec vào những năm 1990 để đảm bảo tính bảo mật, tính toàn vẹn và tính xác thực của dữ liệu khi truy cập các mạng công cộng. Ví dụ: người dùng kết nối Internet bằng IPSec mạng riêng ảo (VPN) để truy cập từ xa các tệp của công ty. Giao thức IPSec mã hóa thông tin nhạy cảm để ngăn chặn sự giám sát không mong muốn. Máy chủ cũng có thể xác minh rằng các gói dữ liệu nhận được đã được cho phép.
IPSec có những công dụng nào?
Có thể sử dụng IPsec để tiến hành những tác vụ sau:
- Cung cấp bảo mật cho bộ định tuyến khi gửi dữ liệu qua kết nối Internet công cộng.
- Mã hóa dữ liệu ứng dụng.
- Xác thực dữ liệu nhanh chóng nếu dữ liệu được gửi từ một người gửi đã biết.
- Bảo vệ dữ liệu mạng bằng cách thiết lập các đường mạch được mã hóa, được gọi là đường hầm IPsec, thực hiện mã hóa tất cả dữ liệu được gửi giữa hai điểm cuối.
Các tổ chức sử dụng IPSec để bảo vệ khỏi các cuộc tấn công phát lại. Tấn công phát lại hay còn gọi là tấn công xen giữa, là một hành động chặn và thay đổi quá trình truyền dữ liệu đang diễn ra bằng cách định tuyến dữ liệu đến một máy tính trung gian. Giao thức IPSec ấn định một số thứ tự cho mỗi gói dữ liệu và tiến hành kiểm tra để phát hiện dấu hiệu của các gói trùng lặp.
Mã hóa IPSec là gì?
Mã hóa IPSec là một chức năng phần mềm làm nhiễu dữ liệu để bảo vệ nội dung của nó khỏi các bên chưa được cho phép. Dữ liệu được mã hóa bằng khóa mã hóa và cần có khóa giải mã để giải nhiễu thông tin. IPSec hỗ trợ nhiều loại mã hóa khác nhau, bao gồm AES, Blowfish, Triple DES, ChaCha và DES-CBC.
IPSec sử dụng mã hóa không đối xứng và đối xứng để đảm bảo tốc độ và bảo mật trong quá trình truyền dữ liệu. Đối với mã hóa không đối xứng, khóa mã hóa được đặt ở chế độ công khai trong khi khóa giải mã được giữ bí mật. Mã hóa đối xứng sử dụng cùng một khóa công khai để mã hóa và giải mã dữ liệu. IPSec thiết lập kết nối bảo mật với mã hóa bất đối xứng và chuyển sang mã hóa đối xứng để tăng tốc độ truyền dữ liệu.
IPSec hoạt động như thế nào?
Máy tính trao đổi dữ liệu bằng giao thức IPSec thông qua các bước sau.
- Máy tính của người gửi xác định xem việc truyền dữ liệu có yêu cầu bảo vệ IPSec hay không bằng cách xác minh chính sách bảo mật của nó. Nếu có, máy tính bắt đầu truyền dữ liệu IPSec bảo mật với máy tính của người nhận.
- Cả hai máy tính đều thương lượng các yêu cầu để thiết lập kết nối bảo mật. Bao gồm việc đồng ý với nhau về các thông số mã hóa, xác thực và các tham số liên kết bảo mật (SA) khác.
- Máy tính gửi và nhận dữ liệu được mã hóa, xác thực rằng dữ liệu đó đến từ các nguồn đáng tin cậy. Máy tính thực hiện các kiểm tra để đảm bảo nội dung cơ bản là đáng tin cậy.
- Khi quá trình truyền dữ liệu hoàn tất hoặc phiên làm việc đã hết thời gian chờ, máy tính sẽ kết thúc kết nối IPSec.
Các giao thức IPSec là gì?
Giao thức IPSec gửi các gói dữ liệu một cách bảo mật. Gói dữ liệu là một cấu trúc cụ thể định dạng và chuẩn bị thông tin để truyền tải qua mạng. Nó bao gồm một phần đầu, tải trọng và phần đuôi.
- Phần đầu (header) là phần trước đó chứa thông tin hướng dẫn để định tuyến gói dữ liệu đến đúng đích.
- Tải trọng (payload) là một thuật ngữ mô tả thông tin thực tế chứa trong một gói dữ liệu.
- Phần đuôi (trailer) là dữ liệu bổ sung được nối vào phần đuôi của tải trọng để cho biết phần cuối của gói dữ liệu.
Dưới đây là một số giao thức IPSec.
Phần đầu xác thực (AH)
Giao thức phần đầu xác thực (AH) thêm phần đầu có chứa dữ liệu xác thực người gửi và bảo vệ nội dung gói dữ liệu tránh bị các bên chưa được cho phép sửa đổi. Nó cảnh báo người nhận về các thao tác có thể đã thực hiện đối với gói dữ liệu gốc. Khi nhận được gói dữ liệu, máy tính sẽ so sánh hàm băm mật mã từ tải trọng với phần đầu để đảm bảo cả hai giá trị khớp nhau. Hàm băm mật mã là một hàm toán học tóm tắt dữ liệu thành một giá trị độc nhất.
Đóng gói tải trọng bảo mật (ESP)
Tùy thuộc vào chế độ IPSec đã chọn, giao thức đóng gói tải trọng bảo mật (ESP) thực hiện mã hóa toàn bộ gói IP hoặc chỉ riêng tải trọng. ESP thêm phần đầu và phần đuôi vào gói dữ liệu sau khi mã hóa.
Trao đổi khóa Internet (IKE)
Trao đổi khóa Internet (IKE) là một giao thức thiết lập kết nối bảo mật giữa hai thiết bị trên Internet. Cả hai thiết bị đều thiết lập liên kết bảo mật (SA), bao gồm thương lượng các khóa mã hóa và thuật toán để truyền và nhận các gói dữ liệu tiếp theo.
Chế độ IPSec là gì?
IPSec hoạt động ở hai chế độ khác nhau với các mức độ bảo vệ khác nhau.
Đường hầm
Chế độ đường hầm IPSec thích hợp để truyền dữ liệu trên các mạng công cộng vì chế độ này tăng cường khả năng bảo vệ dữ liệu khỏi các bên chưa được cho phép. Máy tính mã hóa tất cả dữ liệu, bao gồm cả tải trọng và phần đầu, đồng thời gắn một phần đầu mới cho dữ liệu đó.
Truyền tải
Chế độ truyền tải IPSec chỉ mã hóa tải trọng của gói dữ liệu và giữ phần đầu IP ở dạng gốc. Phần đầu gói dữ liệu không được mã hóa cho phép các bộ định tuyến xác định địa chỉ đích của mỗi gói dữ liệu. Do đó, truyền tải IPSec được sử dụng trong một mạng gần và đáng tin cậy, chẳng hạn như đảm bảo kết nối trực tiếp giữa hai máy tính.
IPSec VPN là gì?
VPN, hay còn gọi là mạng riêng ảo, là một phần mềm mạng cho phép người dùng duyệt Internet một cách ẩn danh và bảo mật. IPSec VPN là một phần mềm VPN sử dụng giao thức IPSec để tạo các đường hầm được mã hóa trên Internet. Phần mềm này cung cấp mã hóa toàn diện, có nghĩa là dữ liệu bị làm nhiễu tại máy tính và giải nhiễu tại máy chủ nhận.
SSL VPN
SSL là viết tắt của lớp cổng bảo mật. Đó là một giao thức bảo mật bảo vệ lưu lượng truy cập web. SSL VPN là một dịch vụ bảo mật mạng dựa trên trình duyệt sử dụng giao thức SSL tích hợp để mã hóa và bảo vệ giao tiếp mạng.
Sự khác biệt giữa IPSec VPN và SSL VPN là gì?
Cả hai giao thức bảo mật đều hoạt động trên các lớp khác nhau của mô hình liên kết hệ thống mở (OSI). Mô hình OSI xác định cấu trúc phân lớp về cách các máy tính trao đổi dữ liệu như thế nào trên một mạng.
Các giao thức IPSec được áp dụng cho mạng và các lớp truyền tải ở giữa mô hình OSI. Trong khi đó, SSL mã hóa dữ liệu trên lớp ứng dụng trên cùng. Bạn có thể kết nối với SSL VPN từ trình duyệt web nhưng phải cài đặt phần mềm riêng để sử dụng IPSec VPN.
AWS hỗ trợ kết nối IPSec như thế nào?
VPN site-to-site của AWS là một dịch vụ được quản lý toàn phần tạo ra kết nối bảo mật giữa trung tâm dữ liệu hoặc chi nhánh văn phòng của bạn với các tài nguyên AWS của bạn thông qua sử dụng các đường hầm IPSec. Khi sử dụng VPN Site-to-Site, bạn có thể kết nối đến cả Đám mây riêng ảo (VPC) Amazon lẫn Cổng chuyển tiếp AWS, và sử dụng hai đường hầm mỗi kết nối để tăng tính dự phòng. VPN site-to-site của AWS mang lại nhiều lợi ích, chẳng hạn như:
- Xem được về trạng thái mạng cục bộ và mạng từ xa thông qua giám sát hiệu năng.
- Di chuyển bảo mật và dễ dàng các ứng dụng cục bộ sang đám mây AWS.
- Hiệu năng của ứng dụng được cải thiện khi được tích hợp với Trình tăng tốc toàn cầu của AWS.
Bắt đầu sử dụng VPN AWS bằng cách đăng ký tài khoản AWS ngay hôm nay.
Các bước tiếp theo để sử dụng IPSec với AWS
Bắt đầu xây dựng trong bảng điều khiển quản lý AWS.