1- Mục đích sử dụng VPN
2- Các thuật ngữ chuyên ngành
3- Đặc điểm.
IPSec - VPN cung cấp cho ta những lợi ích:
         - Data confidentiality
         - Data integrity
         - Data orgin authentication
         - Anti-replay
   3 thành phần chính của IPSec:
         - IKE Internet Key Exchange
                     tham số security ----- (IKE) --------> tham số khác như: mã hóa, hasing, ....
         - ESP Encapsulation Security Payload
                    - cung cấp cơ chế mã hóa dữ liệu trên đường truyền
                    - Ngày nay, ESP có thể đảm bảo cả vai trò "bảo đảm data integrity" ==> VPN không sử dụng AH nữa, mà sử lí luôn trên ESP.
         - AH Authentication Header
                     - là một framework bảo đảm tính toàn vẹn dữ liêu (data integrity) và anti-replay --> đảm bảo dữ liệu đến tay người nhận là nguyên gốc không bị thay đổi trên đường truyền
                     - Thực hiện bằng cách hash



4- Cơ chế truyền dữ liệu của VPN
Có 2 cơ chế truyền dữ liệu của VPN:
          - Transport
          - Tunnel (mặc định)

  • Transport mode:
Thông tin IP header được bảo toàn, các thông tin header của IPSec được chèn thêm vào gói tin:

AH được chèn vào ở giữa mục đích là để bảo toàn gói dữ liệu đến tay người nhận. Ngoài thông tin AH, ta thấy dữ liệu được giữ nguyên không thay đổi.

Mã hóa gói dữ liệu ở layer 3 (IP header + AH + data) thêm vào thông tin ESP bao bọc dữ liệu đã mã hóa và thêm vào IP header
             - Clear IP address
  • Tunnel mode:
Toàn bộ gói tin IP ban đầu được bọc bên trong một IP heaser và các lớp IPSec header khác. 

Tunnel băm luôn cả (IPheader + data) do đó IP header không dễ dàng bị thay đổi

4- Quá trình thiết lập kết nối IPSec:
2 bước thiết lập kết nối:
     - IKE sẽ thiết lập một kếnh truyền an toàn
              + Phase 1
              + Phase 2
     - Thông số của IPSec được trao đổi trên kênh truyền an toàn này

Phase 1: IKE ở phase 1 trao đổi một số thông tin bảo mật như: chứng thực phía đối diện, trao đổi khóa,sau đó tạo ra 1 kênh truyền an toàn.
        => kênh truyền này không trực tiếp dùng truyền dữ liệu mà chỉ được dùng để tran đổi thông số của IPSec.
        => trong kênh truyền này trao đổi: kiểu mã hóa dữ liệu, thuật toán băm, kiểu chứng thực, kiểu trao đổi khóa
        => Khi trao đổi thành công, kênh truyền IKE được thiết lập. IKE được chuyển sang phase 2

Phase 2: (thiết lập được kênh truyền an toàn)
         + dữ liệu được sẽ được trao đổi trên kênh truyền này sử dụng thuật toán bam của AH, thuật toán mã hóa của ESP.
         + đặc biệt, kênh truyền có thời gian sống của nó, khi hết thời gian này nó tự động thiết lập kết nối mới.