IPSec là gì?

Lực lượng chuyên trách về kỹ thuật liên mạng (IETF) đã phát triển IPSec vào những năm 1990 để đảm bảo tính bảo mật, tính toàn vẹn và tính xác thực của dữ liệu khi truy cập các mạng công cộng. Ví dụ: người dùng kết nối Internet bằng IPSec mạng riêng ảo (VPN) để truy cập từ xa các tệp của công ty. Giao thức IPSec mã hóa thông tin nhạy cảm để ngăn chặn sự giám sát không mong muốn. Máy chủ cũng có thể xác minh rằng các gói dữ liệu nhận được đã được cho phép.

Mã hóa IPSec là một chức năng phần mềm làm nhiễu dữ liệu để bảo vệ nội dung của nó khỏi các bên chưa được cho phép. Dữ liệu được mã hóa bằng khóa mã hóa và cần có khóa giải mã để giải nhiễu thông tin. IPSec hỗ trợ nhiều loại mã hóa khác nhau, bao gồm AES, Blowfish, Triple DES, ChaCha và DES-CBC. 

IPSec sử dụng mã hóa không đối xứng và đối xứng để đảm bảo tốc độ và bảo mật trong quá trình truyền dữ liệu. Đối với mã hóa không đối xứng, khóa mã hóa được đặt ở chế độ công khai trong khi khóa giải mã được giữ bí mật. Mã hóa đối xứng sử dụng cùng một khóa công khai để mã hóa và giải mã dữ liệu. IPSec thiết lập kết nối bảo mật với mã hóa bất đối xứng và chuyển sang mã hóa đối xứng để tăng tốc độ truyền dữ liệu.

Giao thức IPSec gửi các gói dữ liệu một cách bảo mật. Gói dữ liệu là một cấu trúc cụ thể định dạng và chuẩn bị thông tin để truyền tải qua mạng. Nó bao gồm một phần đầu, tải trọng và phần đuôi.

• Phần đầu (header) là phần trước đó chứa thông tin hướng dẫn để định tuyến gói dữ liệu đến đúng đích. 
• Tải trọng (payload) là một thuật ngữ mô tả thông tin thực tế chứa trong một gói dữ liệu.
• Phần đuôi (trailer) là dữ liệu bổ sung được nối vào phần đuôi của tải trọng để cho biết phần cuối của gói dữ liệu. 

 Dưới đây là một số giao thức IPSec.

Phần đầu xác thực (AH)

Giao thức phần đầu xác thực (AH) thêm phần đầu có chứa dữ liệu xác thực người gửi và bảo vệ nội dung gói dữ liệu tránh bị các bên chưa được cho phép sửa đổi. Nó cảnh báo người nhận về các thao tác có thể đã thực hiện đối với gói dữ liệu gốc. Khi nhận được gói dữ liệu, máy tính sẽ so sánh hàm băm mật mã từ tải trọng với phần đầu để đảm bảo cả hai giá trị khớp nhau. Hàm băm mật mã là một hàm toán học tóm tắt dữ liệu thành một giá trị độc nhất. 

Đóng gói tải trọng bảo mật (ESP)

Tùy thuộc vào chế độ IPSec đã chọn, giao thức đóng gói tải trọng bảo mật (ESP) thực hiện mã hóa toàn bộ gói IP hoặc chỉ riêng tải trọng. ESP thêm phần đầu và phần đuôi vào gói dữ liệu sau khi mã hóa. 

Trao đổi khóa Internet (IKE)

Trao đổi khóa Internet (IKE) là một giao thức thiết lập kết nối bảo mật giữa hai thiết bị trên Internet. Cả hai thiết bị đều thiết lập liên kết bảo mật (SA), bao gồm thương lượng các khóa mã hóa và thuật toán để truyền và nhận các gói dữ liệu tiếp theo. 

VPN, hay còn gọi là mạng riêng ảo, là một phần mềm mạng cho phép người dùng duyệt Internet một cách ẩn danh và bảo mật. IPSec VPN là một phần mềm VPN sử dụng giao thức IPSec để tạo các đường hầm được mã hóa trên Internet. Phần mềm này cung cấp mã hóa toàn diện, có nghĩa là dữ liệu bị làm nhiễu tại máy tính và giải nhiễu tại máy chủ nhận. 

SSL VPN

SSL là viết tắt của lớp cổng bảo mật. Đó là một giao thức bảo mật bảo vệ lưu lượng truy cập web. SSL VPN là một dịch vụ bảo mật mạng dựa trên trình duyệt sử dụng giao thức SSL tích hợp để mã hóa và bảo vệ giao tiếp mạng. 

Sự khác biệt giữa IPSec VPN và SSL VPN là gì?

Cả hai giao thức bảo mật đều hoạt động trên các lớp khác nhau của mô hình liên kết hệ thống mở (OSI). Mô hình OSI xác định cấu trúc phân lớp về cách các máy tính trao đổi dữ liệu như thế nào trên một mạng. 

Các giao thức IPSec được áp dụng cho mạng và các lớp truyền tải ở giữa mô hình OSI. Trong khi đó, SSL mã hóa dữ liệu trên lớp ứng dụng trên cùng. Bạn có thể kết nối với SSL VPN từ trình duyệt web nhưng phải cài đặt phần mềm riêng để sử dụng IPSec VPN.