Chọn MENU

IPSec là gì? Vai trò và cách thức hoạt động của IPSec trong không gian mạng

Trong không gian mạng hiện nay, bảo mật thông tin luôn là một vấn đề cực kỳ quan trọng và cần thiết. Và trong đó, IPSec là một trong những giao thức hàng đầu được sử dụng để đảm bảo tính toàn vẹn, bảo mật và xác thực dữ liệu trên mạng. Tuy nhiên, không phải ai cũng hiểu rõ về khái niệm này. Vậy IPSec là gì? Hãy cùng tìm hiểu trong bài viết ngay sau đây được Viettuans.vn biên soạn!

ipsec-la-gi-1.png
IPSec là gì? Vai trò và cách thức hoạt động của IPSec trong không gian mạng

1. IPSec là gì?

IPSec là gì? Viết tắt của Internet Protocol Security là một giao thức được sử dụng để bảo mật dữ liệu khi truyền tải qua mạng internet. IPSec cung cấp các tính năng bảo mật cho các giao thức mạng bao gồm chứng thực, phân quyền truy cập và mã hóa dữ liệu. 

IPSec là một trong những công nghệ bảo mật chủ chốt được sử dụng để bảo vệ các kết nối mạng tuyệt đối an toàn trên internet, đặc biệt là trong các kết nối VPN (Virtual Private Network). Hiện nay IPSec hoạt động thông qua Port 500.

ip-sec.jpg
IPSec là một giao thức được sử dụng để bảo mật dữ liệu khi truyền tải qua mạng internet

1.1 IPSec VPN là gì?

Chắc hẳn bạn đọc đã nhiều lần nghe đến khái niệm VPN hay còn được gọi là mạng ảo. Virtual private network (VPN) là đường truyền kết nối đã được mã hóa giữa hai hoặc nhiều máy tính. Kết nối VPN diễn ra qua các public network tuy nhiên dữ liệu trao đổi qua VPN luôn được đảm bảo riêng tư và được mã hóa 100%.

VPN hỗ trợ người dùng có thể truy cập và trao đổi dữ liệu nhạy cảm một cách an toàn thông qua cơ sở hạ tầng shared network. Một ví dụ tiêu biểu của việc sử dụng VPN là công việc từ xa, nhân viên công ty thường sử dụng VPN để truy cập các file và app của công ty.

Nhiều VPN sử dụng giao thức IPsec protocol để thiết lập và khởi tạo các kết nối được mã hóa. Tuy nhiên bên cạnh IPSec, VPN cũng sử dụng giao thức SSL/TLS - Một giao thức hoạt động ở một lớp khác trong mô hình OSI.

gif-mui-tenXem thêm: SSL là gì? Cách kiểm tra SSL trên trình duyệt

ipsec-vpn.jpg
VPN sử dụng giao thức IPsec protocol để thiết lập và khởi tạo các kết nối được mã hóa

2. Vai trò của IPSec là gì?

IPSec là một giao thức cấp độ mạng, có nghĩa là nó hoạt động trên lớp Network Layer của mô hình TCP/IP. Nó được sử dụng phổ biến để bảo mật kết nối giữa các cổng đầu cuối, đảm bảo rằng thông tin được truyền tải giữa chúng là an toàn và bảo mật. Đối với các công ty và tổ chức, IPSec là một phương tiện quan trọng để bảo vệ các thông tin quan trọng và bảo mật mạng của họ.

Một số tính năng của IPSec bao gồm tính linh hoạt, khả năng kết nối đến nhiều thiết bị mạng, khả năng thiết lập kết nối ảo giữa các trạm khác nhau, và tính năng đáng tin cậy. Ngoài ra, IPSec cũng hỗ trợ nhiều giao thức khác nhau, bao gồm các giao thức bảo mật ESP (Encapsulating Security Payload) và AH (Authentication Header).

Tuy nhiên, việc cài đặt và sử dụng IPSec có thể khá phức tạp và đòi hỏi kiến thức chuyên môn về mạng. Nó cũng có thể gây ra hiệu suất mạng chậm và tăng thời gian xử lý dữ liệu trên một số thiết bị. Do đó, cần phải đánh giá kỹ lưỡng trước khi triển khai IPSec trong một mạng lớn.

3. Các chế độ hoạt động của IPSec

Giao thức IPSec bao gồm hai chế độ hoạt động khác nhau: Transport Mode và Tunnel Mode.

3.1 Transport Mode

Chế độ Transport Mode được sử dụng để bảo vệ dữ liệu giữa các thiết bị trong một mạng tin cậy. Trong chế độ này, chỉ có dữ liệu người dùng được mã hóa và bảo vệ, IP Header không bị thay đổi hay mã hóa. Transport Mode được sử dụng cho các kết nối VPN client-to-site.

gif-mui-tenCó thể bạn muốn biết: Cách cấu hình VPN Client to Site sử dụng L2TP/IPSEC trên Router Mikrotik

3.2 Tunnel Mode

Chế độ Tunnel Mode được sử dụng để bảo vệ dữ liệu giữa hai mạng không tin cậy thông qua một VPN trung gian. Trong chế độ này, toàn bộ gói tin IP sẽ được mã hóa và bảo vệ, bao gồm cả IP Header và payload, để đảm bảo tính toàn vẹn của dữ liệu. Tunnel Mode được sử dụng cho các kết nối site-to-site.

ipsec-la-gi-2.png
Giao thức IPSec bao gồm hai chế độ hoạt động khác nhau: Transport Mode và Tunnel Mode

4. Cấu trúc chi tiết của IPSec

Giao thức IPSec bao gồm các thành phần sau:

  • Security Associations (SA): Là các cơ chế định danh và xác thực cho các kết nối được bảo mật trong IPSec. SA bao gồm thông tin về cơ chế mã hóa, thuật toán xác thực, địa chỉ IP của người gửi và người nhận.
  • Authentication Header (AH): Là một phần của giao thức IPSec, được sử dụng để cung cấp xác thực và tính toàn vẹn dữ liệu. AH sử dụng thuật toán băm để tạo mã xác thực cho gói tin, đảm bảo rằng gói tin không bị sửa đổi trên đường truyền.
  • Encapsulating Security Payload (ESP): ESP đóng vai trò cung cấp tính toàn vẹn, xác thực và bảo mật cho dữ liệu được truyền trong mạng. Bằng cách sử dụng thuật toán để mã hóa dữ liệu trong gói tin, đảm bảo rằng thông tin chỉ được giải mã bởi duy nhất người nhận chính xác.
  • Internet Key Exchange (IKE): IKE có vai trò thiết lập các SA giữa hai điểm cuối trong mạng. IKE sử dụng các giao thức mã hóa khác nhau để bảo vệ các thông tin định danh và bảo mật trong quá trình thiết lập kết nối IPSec.
  • Key Management: Là quá trình quản lý và phân phối các khóa mã hóa và xác thực cho các kết nối IPSec. Các khóa này được sử dụng để tạo SA và bảo vệ các thông tin nhạy cảm được truyền trong mạng.

gif-mui-tenTìm hiểu thêm: Giao thức mạng protocol là gì? Kiến thức, các loại giao thức mạng Protocol

cau-truc-cua-ipsec.jpg
Mô phỏng cấu trúc chi tiết của IPSec

5. Cách thức hoạt động của IPSec

IPSec (Internet Protocol Security) như đã đề cập tại phần trên là một giao thức bảo mật, sử dụng các thuật toán mã hóa và xác thực để đảm bảo tính bảo mật của dữ liệu. Các bước hoạt động của IPSec bao gồm hai giai đoạn chính: Giai đoạn thiết lập liên lạc và giai đoạn truyền dữ liệu.

5.1 Giai đoạn thiết lập liên lạc

Trong giai đoạn thiết lập liên lạc, IPSec sử dụng giao thức IKE (Internet Key Exchange) để thực hiện trao đổi khóa bảo mật. Trong giai đoạn này, hai bên cần thiết lập các thông tin như thuật toán mã hóa, khóa đối xứng và khóa công khai, và đồng thời xác thực các thông tin này để đảm bảo tính toàn vẹn của dữ liệu.

Tất cả dữ liệu được gửi qua mạng sẽ được phân chia thành các phần nhỏ hơn gọi là packet (gói tin). Các gói tin packet chứa cả payload hoặc dữ liệu thực tế được gửi bao gồm cả các header hoặc thông tin về dữ liệu đó để các thiết bị nhận sẽ biết phải làm gì với chúng. 

IPsec sẽ tích hợp header vào các packet dữ liệu chứa thông tin xác thực và mã hóa.

Viettuans.vn có một số lưu ý về gói tin được truyền dẫn trong mạng:

MSS và MTU là hai khái niệm ảnh hưởng chính đến kích thước gói tin trong mạng máy tính

  • MSS (Maximum Segment Size): Kích thước lớn nhất của một phân đoạn dữ liệu mà một máy tính có thể gửi trên một đường truyền mạng. MSS sẽ đo kích cỡ của mỗi payload của gói.
  • MTU (Maximum Transmission Unit): Kích thước lớn nhất của một gói tin dữ liệu (được đo bằng byte) có thể truyền tải qua một mạng. MTU đo toàn bộ gói, bao gồm cả header. Kích thước MTU được xác định bởi các yếu tố vật lý như đường truyền, giao thức mạng, thiết bị mạng.

Khi gửi dữ liệu từ một máy tính đến một máy tính khác trong mạng, dữ liệu sẽ được chia thành nhiều phân đoạn dữ liệu (segment), mỗi phân đoạn có kích thước tối đa là MSS. Các phân đoạn dữ liệu này sẽ được đóng gói vào các gói tin với kích thước tối đa là MTU để truyền đi trên mạng.

Việc cấu hình chính xác giá trị MTU và MSS của gói tin Packet trong mạng là rất quan trọng để đảm bảo việc truyền tải dữ liệu diễn ra một cách hiệu quả và ổn định. Nếu giá trị MTU được đặt quá thấp, các gói tin sẽ bị chia nhỏ dẫn đến hiện tượng fragmentation và ảnh hưởng đến tốc độ truyền tải dữ liệu. Ngược lại, nếu giá trị MSS của gói tin vượt quá giới hạn đường truyền thì các gói tin sẽ bị hủy bỏ.

gif-mui-tenXem thêm: MTU là gì? Mách bạn cách kiểm tra MTU nhanh nhất

5.2 Giai đoạn truyền dữ liệu

Sau khi IPsec SA được thiết lập giữa các bên giao tiếp, chúng có thể truyền dữ liệu qua đường hầm IPSec. Để đảm bảo tính bảo mật khi truyền dữ liệu, các thành phần của IPSec như Authentication Header (AH) hoặc Encapsulating Security Payload (ESP) đóng vai trò mã hóa và xác thực dữ liệu. 

Cơ chế mã hóa sẽ đảm bảo tính bảo mật của dữ liệu và ngăn chặn dữ liệu bị vô hiệu hóa trong quá trình truyền.

ipsec-la-gi-3.png

Bạn đọc có thể tham khảo hình minh họa trên để hiểu rõ giai đoạn truyền dữ liệu. IPsec sender sử dụng thuật toán và khóa để mã hóa một IP packet, đồng nghĩa với việc đóng gói dữ liệu gốc. Sau đó, IPSec sender và receiver sử dụng chung một thuật toán và khóa xác thực để phân tích các packet được mã hóa nhằm thu được giá trị kiểm tra tính toàn vẹn (integrity check value - ICV). 

Nếu các giá trị ICV thu được từ cả hai bên trùng nhau, gói tin packet không bị giả mạo trong quá trình truyền tải và bên IPSec receiver sẽ giải mã gói tin đó. Ngược lại nếu các giá trị ICV khác nhau, IPSec receiver sẽ loại bỏ gói tin.

Sau khi quá trình trao đổi dữ liệu hoàn tất hay phiên kết nối đã hết thời gian, các khóa mật mã sẽ bị loại bỏ và đường truyền bảo mật IPSec sẽ kết thúc.

gif-mui-tenTham khảo thêm: Hướng dẫn cấu hình VPN Site to Site sử dụng IPsec giữa 2 Router Mikrotik

6. Sự khác biệt giữa SSL và IPSec là gì?

Dưới đây là bảng so sánh sự khác biệt giữa IPSec và SSL, bạn đọc có thể tham khảo:

Yếu tố

IPSec

SSL

Mục đích sử dụng

Bảo vệ kết nối mạng.

Bảo vệ kết nối giữa client và server trên internet.

Cấp độ bảo mật

Bảo mật cấp mạng (network-level security).

Bảo mật cấp ứng dụng (application-level security).

Kiểm soát truy cập

Dựa trên chứng thực và phân quyền truy cập.

Dựa trên chứng thực và quyền truy cập của user.

Triển khai

Hoạt động trong lớp Internet của mô hình OSI.

Hoạt động ở giữa lớp truyền tải và lớp ứng dụng của mô hình OSI.

Yêu cầu

Cần cài đặt phần mềm IPSec trên các thiết bị mạng.

Không yêu cầu ứng dụng.

7. Tổng kết

Thông qua bài viết trên, Viettuans.vn đã tổng hợp đầy đủ các thông tin quan trọng về giao thức bảo mật IPSec là gì, vai trò của giao thức này có vai trò gì trong không gian mạng. Có thể nói IPSec là một giao thức quan trọng trong việc bảo vệ mạng và thông tin, đồng thời là một trong những giải pháp bảo mật mạng hiệu quả nhất hiện nay. Hi vọng rằng bạn đọc đã có đầy đủ các thông tin cần thiết về IPSec và hãy đón đọc những bài viết mới nhất của chúng tôi!

Chia sẻ

Nguyễn Lưu Minh

Chuyên gia của Viettuans.vn với nhiều năm kinh nghiệm trong lĩnh vực thiết bị mạng Networks, System, Security và tư vấn, triển khai các giải pháp CNTT. Phân phối thiết bị mạng, wifi, router, switch, tường lửa Firewall, thiết bị lưu trữ dữ liệu NAS.

0903.209.123
0903.209.123