IPsec là gì? Ảnh hưởng của IPsec với MSS và MTU

Trong thế giới kỹ thuật mạng và bảo mật thông tin, IPsec không chỉ là một từ ngữ khó hiểu mà còn là một phần quan trọng của cơ sở hạ tầng an ninh mạng. Địa chỉ IPsec, viết tắt của "Internet Protocol Security," đại diện cho một nhóm các giao thức quan trọng giúp bảo vệ kết nối giữa các thiết bị. Bài viết này KDATA sẽ đưa bạn qua khái niệm cơ bản của IPsec là gì, vai trò quan trọng của nó trong việc bảo vệ dữ liệu trên mạng công cộng và cách nó ảnh hưởng đến quy trình truyền thông mạng.

IPsec là gì?

IPsec là một nhóm các giao thức được sử dụng để bảo vệ kết nối giữa các thiết bị. IPsec giúp giữ cho dữ liệu được gửi qua các mạng công cộng được bảo mật. Thường được sử dụng để thiết lập các mạng riêng ảo (VPN), IPsec hoạt động bằng cách mã hóa các gói tin IP và xác minh nguồn của các gói tin đó đến từ đâu.

Trong thuật ngữ "IPsec," "IP" đại diện cho "Internet Protocol" và "sec" là viết tắt của "secure" (an toàn). Giao thức Internet Protocol là giao thức định tuyến chính được sử dụng trên Internet; nó chỉ định nơi dữ liệu sẽ đi bằng cách sử dụng địa chỉ IP. IPsec là an toàn vì nó thêm mã hóa và xác minh nguồn vào quá trình này.

*T mã hóa là quá trình che giấu thông tin bằng cách biến đổi dữ liệu theo cách toán học sao cho nó trở nên ngẫu nhiên. Nói một cách đơn giản, mã hóa là việc sử dụng "mã bí mật" mà chỉ những bên được ủy quyền mới có thể giải mã.

Tại sao IPsec quan trọng?

Các giao thức bảo mật như IPsec là cần thiết vì các phương pháp mạng không được mã hóa theo mặc định.

Khi gửi thư thông qua dịch vụ bưu điện, một người thường không viết tin nhắn của mình trên bề mặt của phong bì. Thay vào đó, họ đặt thông điệp của mình bên trong phong bì để không ai xử lý thư giữa người gửi và người nhận có thể đọc tin nhắn của họ. Tuy nhiên, các bộ giao thức mạng như TCP/IP chỉ quan tâm đến việc kết nối và giao hàng, và các tin nhắn được gửi không được giấu diếm. Bất kỳ ai ở giữa đều có thể đọc chúng. IPsec và các giao thức khác mã hóa dữ liệu cơ bản đặt một "phong bì" xung quanh dữ liệu khi nó đi qua các mạng, giữ cho nó an toàn.

VPN là gì? VPN sử dụng IPsec như thế nào?

Một mạng riêng ảo (VPN) là một kết nối được mã hóa giữa hai hoặc nhiều máy tính. Kết nối VPN diễn ra trên các mạng công cộng, nhưng dữ liệu trao đổi qua VPN vẫn riêng tư vì nó được mã hóa.

VPN làm cho việc truy cập và trao đổi dữ liệu mật trên cơ sở hạ tầng mạng chung, chẳng hạn như Internet công cộng, trở nên an toàn. Ví dụ, khi nhân viên làm việc từ xa thay vì ở văn phòng, họ thường sử dụng VPN để truy cập tệp và ứng dụng của công ty.

Nhiều VPN sử dụng bộ giao thức IPsec để thiết lập và chạy các kết nối được mã hóa này. Tuy nhiên, không phải tất cả VPN sử dụng IPsec. Một giao thức khác cho VPN là SSL/TLS, hoạt động ở một tầng khác trong mô hình OSI so với IPsec. (Mô hình OSI là biểu đồ trừu tượng về các quy trình làm cho Internet hoạt động.)

Làm thế nào người dùng kết nối vào một VPN IPsec?

Người dùng có thể truy cập vào một VPN IPsec bằng cách đăng nhập vào ứng dụng VPN, hoặc "client." Điều này thường đòi hỏi người dùng đã cài đặt ứng dụng trên thiết bị của họ.

Việc đăng nhập vào VPN thường dựa trên mật khẩu. Mặc dù dữ liệu gửi qua VPN được mã hóa, nếu mật khẩu người dùng bị đánh cắp, kẻ tấn công có thể đăng nhập vào VPN và đánh cắp dữ liệu đã được mã hóa này. Việc sử dụng xác thực hai yếu tố (2FA) có thể làm tăng cường bảo mật VPN IPsec, vì việc đánh cắp chỉ một mật khẩu không còn đủ để kẻ tấn công có quyền truy cập.

IPsec hoạt động như thế nào?

Các kết nối IPsec bao gồm các bước sau:

Trao đổi khóa:

Khóa là cần thiết cho quá trình mã hóa; một khóa là một chuỗi ký tự ngẫu nhiên có thể được sử dụng để "khóa" (mã hóa) và "mở khóa" (giải mã) các tin nhắn. IPsec thiết lập các khóa thông qua một quá trình trao đổi khóa giữa các thiết bị kết nối, để mỗi thiết bị có thể giải mã các tin nhắn của thiết bị khác.

Header và trailer của gói tin:

Tất cả dữ liệu được gửi qua mạng đều được chia thành các phần nhỏ gọi là gói tin. Gói tin chứa cả dữ liệu thực tế đang được gửi (payload) và các header, hoặc thông tin về dữ liệu đó để máy tính nhận được các gói tin biết phải làm gì với chúng. IPsec thêm vào các header bổ sung cho các gói tin dữ liệu chứa thông tin xác minh và mã hóa. IPsec cũng thêm vào trailer, nằm sau payload của mỗi gói tin thay vì ở trước.

Xác thực:

IPsec cung cấp xác thực cho mỗi gói tin, giống như một con dấu chứng nhận tính xác thực trên một sản phẩm sưu tập. Điều này đảm bảo rằng các gói tin đến từ nguồn tin cậy và không phải từ một kẻ tấn công.

Mã hóa:

IPsec mã hóa các payload bên trong mỗi gói tin và header IP của mỗi gói tin (trừ khi sử dụng chế độ truyền thay vì chế độ đường hầm — xem bên dưới). Điều này giữ cho dữ liệu gửi qua IPsec được bảo mật và riêng tư.

Truyền tải:

Các gói tin IPsec được mã hóa di chuyển qua một hoặc nhiều mạng đến điểm đến của chúng bằng một giao thức truyền tải. Ở giai đoạn này, lưu lượng IPsec khác biệt so với lưu lượng IP thông thường ở chỗ nó thường sử dụng UDP làm giao thức truyền tải, thay vì TCP. TCP, Giao thức Kiểm soát Truyền, thiết lập các kết nối dành riêng giữa các thiết bị và đảm bảo rằng tất cả các gói tin đều đến. UDP, Giao thức Dữ liệu Người dùng, không thiết lập các kết nối dành riêng. IPsec sử dụng UDP vì điều này cho phép các gói tin IPsec đi qua các tường lửa.

Giải mã:

Ở đầu kết nối khác của cuộc trò chuyện, các gói tin được giải mã, và ứng dụng (ví dụ: trình duyệt) bây giờ có thể sử dụng dữ liệu đã được gửi.

Các giao thức nào được sử dụng trong IPsec?

Trong lĩnh vực mạng, một giao thức là một cách cụ thể để định dạng dữ liệu để bất kỳ máy tính nào kết nối mạng có thể hiểu dữ liệu đó. IPsec không phải là một giao thức, mà là một bộ giao thức. Các giao thức sau đây tạo thành bộ giao thức IPsec:

Authentication Header (AH):

Giao thức AH đảm bảo rằng gói tin dữ liệu đến từ nguồn tin cậy và dữ liệu không bị thay đổi, giống như một con dấu chống làm giả mạo trên một sản phẩm tiêu dùng. Những header này không cung cấp bất kỳ mã hóa nào; chúng không giúp giấu diếm dữ liệu khỏi kẻ tấn công.

Encapsulating Security Protocol (ESP):

ESP mã hóa header IP và payload cho mỗi gói tin — trừ khi sử dụng chế độ truyền thay vì chế độ đường hầm, trong trường hợp này nó chỉ mã hóa payload. ESP thêm vào header và trailer riêng cho mỗi gói tin dữ liệu.

Security Association (SA):

SA đề cập đến một số giao thức được sử dụng để đàm phán khóa và thuật toán mã hóa. Một trong những giao thức SA phổ biến nhất là Trao đổi Khóa Internet (IKE).

Cuối cùng, mặc dù Giao thức Internet (IP) không phải là một phần của bộ giao thức IPsec, IPsec chạy trực tiếp trên IP.

Sự khác biệt giữa IPsec tunnel mode và IPsec transport mode (chế độ đường truyền)

IPsec tunnel mode:

• Sử dụng giữa hai router chuyên dụng, mỗi router hoạt động như một đầu cuối của một "đường hầm" ảo qua một mạng công cộng.
• Trong chế độ đường hầm IPsec, header IP gốc chứa địa chỉ đích cuối cùng của gói tin được mã hóa, cùng với dữ liệu payload.
• Để thông báo cho các router trung gian nơi chuyển tiếp các gói tin, IPsec thêm một header IP mới.
• Ở mỗi đầu của đường hầm, các router giải mã các header IP để gửi các gói tin đến địa điểm đích của chúng.

Chế độ truyền IPsec:

• Payload của mỗi gói tin được mã hóa, nhưng header IP gốc không được mã hóa.
• Các router trung gian có thể xem địa chỉ đích cuối cùng của mỗi gói tin — trừ khi sử dụng một giao thức đường hầm riêng biệt (như GRE).

Cổng mà IPsec sử dụng

• IPsec thường sử dụng cổng 500.

Ảnh hưởng của IPsec đối với MSS và MTU

MSS (Maximum Segment Size) và MTU (Maximum Transmission Unit):

• MSS đo kích thước của dữ liệu payload của mỗi gói tin, trong khi MTU đo toàn bộ gói tin bao gồm cả các header.
• IPsec thường thêm vào các header và trailer cho các gói tin, tăng kích thước.
• Đối với mạng sử dụng IPsec, cả MSS và MTU phải được điều chỉnh tương ứng hoặc gói tin sẽ bị phân mảnh và có chút trễ.
• Thường, MTU cho một mạng là 1.500 byte, nhưng IPsec thêm vào 50-60 byte cho mỗi gói tin hoặc nhiều hơn, nên cần điều chỉnh MSS và MTU để tránh tình trạng phân mảnh và trễ truyền.

Như vậy, IPsec không chỉ là một phần khó hiểu của ngôn ngữ kỹ thuật, mà là một công cụ quan trọng đối với việc đảm bảo tính an toàn và bảo mật của thông tin truyền tải qua mạng. Điều này đặt ra những thách thức và cũng mang đến những cơ hội để tối ưu hóa quy trình truyền thông. Bằng cách hiểu rõ hơn về IPsec là gì, chúng ta có thể xây dựng những hệ thống mạng an toàn và tin cậy, đồng thời bảo vệ dữ liệu quan trọng khỏi những rủi ro mạng ngày càng phức tạp.

Mọi người cùng tìm kiếm: mtu là gì, mtu la gi, mtu mss, mtu ipsec