(TIỂU LUẬN) đồ án môn học bảo mật THÔNG TIN đề tài IPSEC (TUNNEL)

Tuynhiên, do Internet có phạm vi toàn cầu, không một tổ chức hay chính phủ nào quản lýnên sẽ có rất nhiều khó khăn trong việc bảo mật, đảm bảo an toàn dữ liệu cũng như chấtlượng của các

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM

NHÓM THỰC HIỆN:

Đỗ Chiến Anh Tú – MSSV:1811770070

Vũ Quang Long – MSSV: 1811770020Trần Thành Long – MSSV: 1811770157

TP Hồ Chí Minh, ngày 25 tháng 3 năm 2021

Mục Lục

1.3.2 Sự khác biệt giữa IPSEC (Tunnel Mode và Transport Mode) 12

1.4.2 Các cơ chế bảo vệ được cung cấp bởi giao thức AH 13

1.4.6 Quá trình xử lí của AH với các gói tin Outbound 17

1.4.7 Quá trình xử lí của AH đối với các gói tin Inbound 20

1.4.8 Một số điểm phức tạp trong giao thức AH 231.5 Giao thức ESP (Encapsulating Security Payload) 23

1.5.2 Các cơ chế bảo vệ được cung cấp bởi ESP 23

1.5.4 Vị trí và các mode làm việc của ESP 25

1.5.5 Qúa trình xử lí của ESP đối với các thông điệp Outbound 26

1.5.6 Qúa trình xử lí của ESP đối với các thông điệp Inbound 27

1.5.7 Một số điểm phức tạp trong giao thức ESP 281.6 Quản lý khóa với IKE (Internet Key Exchange) 29

DANH MỤC HÌNH

Hình 9: Minh họa hoạt động của cửa sổ chống phát lại 22

LỜI MỞ ĐẦU

Trong thời đại Internet phát triển rộng khắp như ngày nay, những dịch vụ như đàotạo từ xa, mua hàng trực tuyến, tư vấn y tế trực tuyến đã trở thành hiện thực Tuynhiên, do Internet có phạm vi toàn cầu, không một tổ chức hay chính phủ nào quản lýnên sẽ có rất nhiều khó khăn trong việc bảo mật, đảm bảo an toàn dữ liệu cũng như chấtlượng của các dịch vụ trực tuyến thông qua đường truyền mạng Từ đó, người ta đã đưa

ra mô hình mới nhằm thỏa mãn những yêu cầu trên mà vẫn tận dụng được cơ sở hạtầng mạng vốn có, đó chính là mạng riêng ảo (Virtual Private Network-VPN) Để có thểgửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảomật, VPN cung cấp cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảomật giữa nơi gửi và nơi nhận (Tunnel) giống như một kết nối point-point trên mạngriêng.Và IPSEC (Internet Protocol Security) chính là một trong những giao thức tạo nên

cơ chế “đường ống bảo mật” cho VPN

LỜI CẢM ƠN

Đầu tiên, chúng em xin gửi lời cảm ơn chân thành đến Trường Đại học Công Nghệ

TP Hồ Chí Minh đã đưa môn học bảo mật thông tin vào chương trình giảng dạy Đặcbiệt, em xin gửi lời cảm ơn sâu sắc đến giảng viên bộ môn – thầy Nguyễn Văn Vịnh đãdạy dỗ, truyền đạt những kiến thức quý báu cho em trong suốt thời gian học tập vừaqua Trong thời gian học lớp của thầy, em đã có thêm cho mình nhiều kiến thức bổ ích,tinh thần học tập hiệu quả, nghiêm túc Đây chắc chắn sẽ là những kiến thức quý báu, làhành trang để em có thể vững bước sau này Bộ môn bảo mật thông tin là môn học thú

vị, vô cùng bổ ích và có tính học thuật cao Đảm bảo cung cấp đủ kiến thức của sinh viên.Tuy nhiên, do vốn kiến thức còn nhiều hạn chế và khả năng tiếp thu thực tế còn nhiều

bỡ ngỡ Mặc dù chúng em đã cố gắng hết sức nhưng chắc chắn bài đề tài khó có thểtránh khỏi những thiếu sót và nhiều chỗ còn chưa chính xác, kính mong thầy xem xét vàgóp ý để bài tiểu luận của em được hoàn thiện hơn

Chúng em xin chân thành cảm ơn!

Chương 1 TỔNG QUAN VỀ IPSEC 1.1 Giới thiệu về IPSEC

IPSEC ( Internet Protocol Security) là giao thức ở lớp Network (OSI) được chuẩn hoábởi IETF từ năm 1998, cho phép gửi nhận các gói IP được mã hóa Tùy theo mức độ cầnthiết, IPSEC có thể cung cấp một giải pháp an toàn dữ liệu từ đầu cuối trong bản thâncấu trúc mạng dựa trên hai kiểu dịch vụ mã hóa: AH, ESP Vì vậy vấn đề an toàn đượcthực hiện mà không cần thay đổi các ứng dụng cũng như các hệ thống cuối Các gói mãhóa có khuôn dạng giống như gói tin IP thông thường, nên chúng dễ dàng được địnhtuyến qua mạng Internet mà không phải thay đổi các thiết bị mạng trung gian, qua đócho phép giảm đáng kể các chi phí cho việc triển khai và quản trị

IPSec cung cấp các dịch vụ bảo mật như:

+ Bảo mật(mã hóa) - Confidentiality: Người gửi có thể mã hóa dữ liệu trước khitruyền chúng qua mạng Bằng cách đó, không ai có thể nghe trộm trên đường truyền.Nếu giao tiếp bị ngăn chặn, dữ liệu không thể đọc được

+ Toàn vẹn dữ liệu - Data integrity: Người nhận có thể xác minh các dữ liệu đượctruyền qua mạng Internet mà không bị thay đổi IPSec đảm bảo toàn vẹn dữ liệu bằngcách sử dụng checksums (cũng được biết đến như là một giá trị băm)

+ Xác thực - Authentication: Xác thực đảm bảo kết nối được thực hiện và các đúngđối tượng Người nhận có thể xác thực nguồn gốc của gói tin, bảo đảm, xác thực nguồngốc của thông tin

+ Antireplay protection: xác nhận mỗi gói tin là duy nhất và không trùng lặp

IPSec là một nền(Frame work) kết hợp giao thức bảo mật và cung cấp mạng riêng

ảo với các dữ liệu bảo mật, toàn vẹn và xác thực Làm việc với sự tập hợp của các chuẩn

mở được thiết lập để đảm bảo sự bảo mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, vàchứng thực dữ liệu giữa các thiết bị tham gia vào mạng VPN Các thiết bị này có thể là

các host hoặc là các security gateway (routers, firewalls, VPN concentrator, ) hoặc làgiữa 1 host và gateway như trong trường hợp remote access VPNs.

Application LayerPresentation LayerSession LayerTransport Layer

Network Layer

IPSECData Link LayerPhysical Layer

IPSEC được phát triển với mục đích cung cấp một cơ cấu bảo mật ở Layer 3 trongOSI Và Nó cũng là một phần quan trọng trong hỗ trợ giao thức L2TP( Layer 2 tunnelingprotocol) trong công nghệ mạng riêng ảo VPN

IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhấttrong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳ chọn,nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc

Các giao thức chính sử dụng trong IPSec:

- IP Security Protocol (IPSec):

+ Authentication Header (AH): cung cấp tính toàn vẹn phi kết nối và chứng thựcnguồn gốc dữ liệu cho các gói dữ liệu IP và bảo vệ chống lại các cuộc tấn công replay

+ Encapsulation Security Protocol (ESP): cung cấp tính năng bảo mật, chứng thựcnguồn gốc dữ liệu, tính toàn vẹn phi kết nối và dịch vụ chống replay

- Message Encryption:

+ Data Encryption Standard (DES): Được phát triển bởi IBM DES sử dụng 1 khóa56-bít, đảm bảo hiệu năng mã hóa cao DES là một hệ thống mã hóa khóa đối xứng

+ Triple DES (3DES): là một biến thể của DES 56-bít Hoạt động tương tự như DES,trong đó dữ liệu được chia thành các khối 64 bít 3DES thực thi mỗi khối ba lần, mỗi lầnvới một khóa 56 bít độc lập 3DES cung cấp sức mạnh khóa đáng kể so với DES.

- Message Integrity (Hash) Functions

+ Hash-based Message Authentication Code (HMAC) : là một thuật toán toàn vẹn

dữ liệu đảm bảo tính toàn vẹn của bản tin Tại đầu cuối, bản tin và một khóa chia sẻ bímật được gửi thông qua một thuật toán băm, trong đó tạo ra một giá trị băm Bản tin vàgiá trị băm được gửi qua mạng Hai dạng phổ biến của thuật toán HMAC như sau:Message Digest 5 (MD5) và Secure Hash Algorithm-1,2 (SHA-1,2)

- Peer Authentication:

+ Rivest, Shamir, and Adelman (RSA) Digital Signutures: là một hệ thống mật mãkhóa bất đối xứng Nó sử dụng một chiều dài khóa là 512 bít, 768 bít, 1024 bít hoặc lớnhơn IPsec không sử dụng RSA để mã hóa dữ liệu Chỉ sử dụng RSA để mã hóa trong giaiđoạn xác thực ngang hàng

+ RSA Encrypted Nonces

+ Internet Security Association and Key Management Protocol (ISAKMP)

Hình 1: Sơ đồ kiến trúc IPSec

Destination IP address là địa chỉ IP của nút đích Cơ chế quản lý hiện tại của SA chỉđược định nghĩa cho hệ thống unicast mặc dù nó có thể là địa chỉ broadcast, unicast, haymulticast

Security protocol: mô tả giao thức bảo mật IPSEC, là AH hoặc là ESP SA trong IPSECđược triển khai bằng 2 chế độ đó là Tunnel mode và Transport mode

1.3 Các chế độ hoạt động của IPSec

1.3.1 IPSec (Tunnel)

Là một tập hợp các tiêu chuẩn và giao thức được phát triển ban đầu bởi Lực lượngĐặc nhiệm Kỹ thuật Internet (IETF) để hỗ trợ truyền thông an toàn khi các gói thông tinđược truyền từ một địa chỉ IP qua các ranh giới mạng và ngược lại

IPSec (Tunnel) cho phép triển khai mạng riêng ảo (VPN) mà doanh nghiệp có thể sửdụng để mở rộng phạm vi tiếp cận ngoài mạng của chính mình một cách an toàn chokhách hàng, đối tác và nhà cung cấp

IPSec VPN có thể được phân loại là:

+ Intranet VPNs: Kết nối trụ sở công ty với các văn phòng ở các địa điểm khác

nhau

+ Extranet VPN: Kết nối doanh nghiệp với các đối tác kinh doanh hoặc nhà cung

cấp

+ VPN truy cập từ xa: Kết nối người dùng cá nhân, từ xa, chẳng hạn như giám đốc

điều hành hoặc người làm việc viễn thông với mạng công ty của họ

Hình 2: Mô hình hoạt động của IPSec (Tunnel)

1.3.2 Sự khác biệt giữa IPSEC (Tunnel Mode và Transport Mode)

Tunnel Mode : Bảo vệ dữ liệu trong các tình huống mạng với mạng hoặc giữa các trang.

Nó đóng gói và bảo vệ toàn bộ gói IP Tải trọng bao gồm tiêu đề IP gốc và tiêu đề IP mới

( bảo vệ toàn bộ tải trọng IP bao gồm cả dữ liệu người dùng)

Transport Mode : Bảo vệ dữ liệu trong các kịch bản từ máy chủ đến máy chủ lưu trữ hoặc

đầu cuối Trong chế độ này, IPSec sẽ bảo vệ trọng tải của gói dữ liệu IP gốc bằng cáchloại trừ tiêu đề IP(chỉ bảo vệ các giao thức lớp trên của tải trọng IP( hay còn gọi là dữ liệungười dùng)

1.4 Giao thức AH (Authentication Header)

1.4.1 Giới thiệu

AH cung cấp xác thực nguồn gốc dữ liệu (data origin authentication), kiểm tra tínhtoàn vẹn dữ liệu (data integrity), và dịch vụ chống phát lại (anti-replay service) AH chophép xác thực các trường của IP header cũng như dữ liệu của các giao thức lớp trên, tuynhiên do một số trường của IP header thay đổi trong khi truyền và phía phát có thểkhông dự đoán trước được giá trị của chúng khi tới phía thu, do đó giá trị của các trườngnày không bảo vệ được bằng AH Có thể nói AH chỉ bảo vệ một phần của IP header mà

thôi AH không cung cấp bất cứ xử lý nào về bảo mật dữ liệu của các lớp trên, tất cả đềuđược truyền dưới dạng văn bản rõ AH nhanh hơn ESP, nên có thể chọn AH trong trườnghợp chắc chắn về nguồn gốc và tính toàn vẹn của dữ liệu nhưng tính bảo mật dữ liệukhông cần được chắc chắn

Giao thức AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm mộtchiều (one-way hash function) đối với dữ liệu của gói để tạo ra một đoạn mã xác thực(hash hay message digest) Đoạn mã đó được chèn vào thông tin của gói truyền đi Khi

đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phíathu phát hiện khi nó thực hiện cùng với một hàm băm một chiều đối với gói dữ liệu thuđược và đối chiếu nó với giá trị hash đã truyền đi Hàm băm được thực hiện trên toàn bộgói dữ liệu, trừ một số trường trong IP header có giá trị bị thay đổi trong quá trìnhtruyền mà phía thu không thể dự đoán trước được (ví dụ trường thời gian sống của góitin bị các router thay đổi trên đường truyền dẫn)

1.4.2 Các cơ chế bảo vệ được cung cấp bởi giao thức AH

Tính toàn vẹn thông tin( intergrity): Cơ chế này đảm bảo gói tin nhận được chính làgói tin đã gửi

Xác thực nguồn gốc thông tin : Cơ chế này đảm bảo gói tin được gửi bởi chínhngười gửi ban đầu mà không phải là người khác

Cơ chế chống phát lại (Replay protection) (đây là cơ chế tùy chọn (optional), khôngbắt buộc): Cơ chế này đảm bảo rằng một gói tin không bị phát lại nhiều lần Cơ chế này

là một thành phần bắt buộc đối với bên gửi tuy nhiên bên nhận có thể tùy chọn sử dụnghoặc không sử dụng

1.4.3 Cấu trúc của AH

Hình 3: IP Packet được bảo vệ bởi AHNext header (8 bits): Xác định loại dữ liệu chứa trong tiêu đề AH Sử dụng các quyước của TCP/IP

Payload length (8 bits): Xác định độ dài tiêu đề AH , tính bằng đơn vị từ I( 32 bits)trừ đi 2 đơn vị

Reserved (16 bits): Dành riêng chưa sử dụng, được gán chuỗi bit 0

SPI (security paramaters index) (32 bits): Nhận dạng liên kết SA.Giá trị từ 1 đển 255được giành riêng Giá trị 0 được dùng vào mục đích đặc biệt Ví dụ một cơ chế quản líkhóa có thể sử dụng SPI với giá trị 0 để thể hiện rằng không có một SA nào tồn tại trongquá trình IPSEC đã yêu cầu bộ quản lí khóa tạo một SA mới nhưng SA này vẫn chưa đượckhởi tạo

Sequence number (32 bits): Số thứ tự gói truyền trên SA Thông qua việc theo dõichỉ số này và gửi nó cho bên nhận, bên gửi có thể giúp bên nhận thực hiện việc chốngphát lại (anti-replay) nếu bên nhận muốn

Authentication data: Trường này có kích thước không xác định, không xác địnhtrước, đảm nhiệm vai trò chính của AH Nó bao gồm ICV(intergrity check value: kiểm tra

sự toàn vẹn) Bên nhận sử dụng nó để kiểm tra tính toàn vẹn và tính xác thực của thôngđiệp Trường này có thể được chèn thêm nếu cần thiết để đảm bảo tổng chiều dài của

AH là bội số của 32 bits ( đối với Ipv4) và 64 bits (đối với Ipv6)

1.4.4 Vị trí của AH

Hình 4: Vị trí của AH trong IPv4 và IPv6Trong Ipv4 , AH theo sau tiêu đề của gói tin Ip,tiếp đến là các tiêu đề của các giaothức ở trên ( TCP, UDP , ICMP) hoặc tiêu đề ESP

Trong Ipv6, vị trí của AH cũng tương tự như trên, tuy nhiên trong Ipv6 có thêm cáctiêu đề tùy chọn Vị trí tương quan của các tiêu đề này và AH như sau: Các tiêu đề củacác tùy chọn mở rộng trong Ipv6 đứng trước AH là các tiêu đề hop-by-hop,tiêu đề địnhtuyến (routing header), tiêu đề phân mảnh ( fragment header); Tiêu đề đích tùy chọn( dest

options header) có thể đứng trước hoặc theo sau AH Vị trí tương quan của tiêu đề này với

AH phụ thuộc vào việc quá trình xử lí xác định đối với nó diễn ra trước hay sau khi quátrình xác thực diễn ra

1.4.5 Các mode làm việc trong AH

1.4.5.1 Tunnel ModeĐược sử dụng để kết nối hai network thông qua một tập hợp các gateway bảo mậthoặc một host và một network được bảo vệ bởi một gateway bảo mật AH tunnel chạygiữa các gateway, không phải giữa các host trong hai network được bảo vệ

Hình 5: Mode AH TunnelBởi vì gateway bảo mật phải bảo vệ gói tin giữa những cặp host tùy ý từ hai mạng,nên đóng gói sẽ khác nhau Thay vì chèn AH header giữa IP header và giao thức headerlớp trên, mà gói gọn toàn bộ gói tin bởi prepending IP và AH header

Hình 6: Cơ chế đóng gói AH Tunnel

1.4.6 Quá trình xử lí của AH với các gói tin Outbound

Một khi đã xác định rằng thông điệp gửi đi (outbound message) được bảo vệ bởi

AH, và đã xác định được một SA phù hợp quản lí việc truyền thông điệp này Thông điệpđược chuyển tới quá trình xử lí IPSEC Quá trình này gồm các bước như sau:

- 1: Thêm một khuôn dạng AH vào vị trí thích hợp

- 2: Thêm vào trường next header

- 3: Thêm vào trường SPI bằng giá trị SPI của SA được chọn ở trên

- 4: Tính giá trị sequence number ( giá trị max của trường này là 2^32 -1 ) Nếu giátrị này chưa đạt giá trị max thì chỉ cần tăng sequence number lên một đơn vị Giá trị mớinày được cất vào AH và SAD Ngược lại khi sequence number đã đạt đến giá trị max thì

có thể xáy ra các tình huống như sau: Nếu khóa bí mật giữa các bên của SA đã được thỏathuận, đây là thời điểm thỏa thuận một khóa mới bất kể bên nhận có sử dụng chức năngchống phát lại hay không Thông điệp này có thể được giữ lại hoặc hủy bỏ cho đến khiquá trình thỏa thuận khóa mới diễn ra Nếu khóa của SA được tạo ra thủ công, nghĩa làhai bên thỏa thuận khóa với nhau thông qua một số cách xác định như là qua điện thoạihoặc sử dụng thư và nếu bên gửi biết rằng bên nhận không sử dụng chức năng chốngphát lại thì sequence number đơn giản được reset về giá trị một Đối với việc thỏa thuậnkhóa thủ công, trong trường hợp người nhận sử dụng chức năng chống phát lại, cần phảithỏa thuận một khóa mới Cho tới lúc đó thông điệp chưa được gửi đi và quá trình xử lí

AH lúc này bị treo ( halt)

- 5: Đối với chế độ transport, trường next header được chuyển thành AH

-6: Thêm trường tiêu đề tunnel nếu cần thiết Nếu SA sử dụng chế độ tunnel thìmột tiêu để ip bổ sung được tạo ra và thêm vào thông điệp Địa chỉ nguồn và đích củatiêu đề ip bổ sung này là các đầu cuối của tunnel được xác định bởi SA

Nếu cả tiêu đề bên trong và bên ngoài đều là Ipv4 thì một số trường sau được chép

Flag và Fragment offset Một số trường sau cần phải tính toán lại: Header length, totallength, và header checksum Việc tính toán lại các giá trị này là cần thiết vì các trườngnày thể hiện cho cả outer header và inner header lẫn AH Trường next header được thiếtlập là AH Trường optional không được sao chép Trường TTL được thiết lập giá trị mặcđịnh của hệ thống.Giá trị của cờ DF ( don’t fragment) tùy thuộc vào các policy của hệthống cục bộ Giá trị này có thể được chép từ inner header hoặc được gán giá trị bằng 1

để chống phân mảnh, hoặc gán giá trị bằng 0 để cho phép phân mảnh Các trường củainner header được giữ nguyên ngoại trừ một ngoại lệ: Nếu địa chỉ nguồn của innerheader và outer header là khác nhau có nghĩa là gói tin bên trong đã đi đến địa điểmnguồn của tunnel do đó giá trị TTL( Time to live ) bị giảm và do đó cần phải tính lại giá trịchecksum trong inner header để phản ánh sự thay đổi này

Nếu cả hai tiêu đề đều là Ipv6, một số trường sau được chép từ inner header raouter header: Version và Traffic class Trường Payload length được tính toán lại do tạithời điểm này trường này thể hiện giá trị tổng cộng của inner header , outer header và

AH Trường next header được thiết lập là AH hoặc là giá trị của phần mở rộng tùy chọnđứng trước AH Những trường mở rộng này không thể sao chép một cách thuầntúy.Trường Hop limited được gán giá trị mặc định của hệ thống.Các trường của innerheader được giữ nguyên ngoại trừ một ngoại lệ nếu địa chỉ nguồn của inner header vàouter header khác nhau tức là gói tin inner đã đi đến địa điểm nguồn của tunnel Lúc nàygiá trị Hop-limmited bị giảm đi một đơn vị Điều này dẫn tới việc phải tính toán và cậpnhật lại giá trị của trường checksum trong inner header

Nếu inner header là Ipv4 header và outer header là Ipv6 header hoặc ngược lại thìquá trình xử lí có vài điểm khác biệt.Trường version field được thiết lập là 4 đối với Ipv4header và 6 đối với Ipv6 header Trường Traffic class được chuyển sang TOS, địa chỉnguồn và địa chỉ đích được chuyển đổi sang định dạng phù hợp nếu cần thiết

- 7: Tính toán dữ liệu xác thực Lưu ý rằng toàn bộ thông điệp không được bảo vệbởi AH, bởi vì ip header chứa 3 loại dữ liệu cơ bản sau: Immutable data ( các dữ liệu

không thay đổi trong quá trình truyền), mutable data but predicable ( các dữ liệu thayđổi trong quá trình truyền nhưng có thể dự đoán được) và mutable unpredicable data( các dữ liệu thay đổi trong quá trình truyền và không thể dự đoán trước được) Bảngdưới đây sẽ phân loại các trường này trong Ipv4 header và Ipv6 header Chỉ nhữngtrường chứa immutable data hoặc mutable data but predicable được đưa vào hàm băm

để tính Trong tunnel mode toàn bộ inner header và thông điệp gốc được đưa vào hàmbăm tuy nhiên chỉ những immutable data và mutable data but predicable của outerheader được đưa vào hàm băm Đối với các trường chứa dữ liệu mutable unpredic data

có các hướng giải quyết như sau Không đưa chúng vào hàm băm hoặc thay thế chúngbằng các giá trị zero Trên thực tế người ta áp dụng cách thứ 2 Vì cách làm này đảm bảohàm băm luôn thực hiện trên dữ liệu có chiều dài xác định, đây là cách làm tổng quát Thuật toán băm áp dụng với AH là HMAC-MD5 (sinh ra 128 bits) và HMAC-SHA1(sinh ra 160 bits) Trong AH để đảm bảo cho số lượng byte ngoài biên được phù hợp choquá trình xử lí, AH giảm số lượng bits xuống còn 96 bits Một khi đã thêm trường ICV vào

AH thông điệp đã sẵn sàng

Hình 7: Các lớp của IP Header Fields

- 8: Phân mảnh thông điệp nếu cần thiết Nếu việc thêm AH và đặc biệt thêm cáctiêu đề trong tunnel mode làm kích thước thông điệp quá lớn thì việc phân mảnh là cầnthiết Việc phân mảnh có thể diễn ra tại thời điểm này

Trong tunnel mode địa chỉ nguồn của inner header luôn là địa chỉ khởi tạo củathông điệp, nếu địa chỉ này khác địa chỉ source của outer header thì thông điệp có thể đã

bị phân mảnh trước khi rời khỏi host ban đầu Trong trường hợp đó tunnle header xácthực trên thông điệp đã bị phân mảnh và có thể sẽ bị phân mảnh tại thời điểm này

Hình 8:Tunnel Mode gateway-to-gateway SA

1.4.7 Quá trình xử lí của AH đối với các gói tin Inbound

Khi nhận được một thông điệp có chứa AH, quá trình xử lí ip trước tiên sẽ tống hợpcác phân mảnh thành thông điệp hoàn chỉnh.Sau đó thông điệp này sẽ được chuyển tớiquá trình xử lí IPSEC Quá trình này gồm các bước như sau:

- 1: Xác định inbound SA tương ứng trong SAD Bước này được thực hiện dựa trêncác thông số: SPI, địa chỉ nguồn, giao thức AH SA tương ứng kiểm tra trong gói AH đểxác định xem mode nào được áp dụng transport mode hay tunnel mode hay cả hai Góicũng phải cung cấp một số thông số để giới hạn tầm tác động của SA(ví dụ: port hayprotocol) Nếu đây là tunnel header SA phải so sánh các thông số này trong packer inner

vì các thông số này không được sao chép sang tunnel header Khi SA phù hợp được tìmthấy, quá trình được tiếp tục, ngược lại gói tin sẽ bị hủy bỏ