288                                                      บทที่ 34. ความปลอดภัยของเน็ตเวิร์ค



                           authentication checksum (MAC) ใช้อัลกอริทึมที่กำหนดโดย SA เช่น หาก MAC ถูกสร้างโดยแฮซฟังก์ชัน
                           เราจะเรียกว่า hash MAC หรือ HMAC โดยที่ความยาวจะสามารถปรับเปลี่ยนได้แต่ต้องเป็นจำนวนเท่าของ
                           32 บิต ใน RFC 2402 กำหนดให้อย่างน้อย HMAC-MD5 หรือ HMAC-SHA-1 จะต้องได้รับการพัฒนาในทุก
                           แอพพลิเคชันของ IPSec


                         การทำงานของอัลกอริทึม MAC authentication ทำโดยการนำค่าข้อความและคีย์ เข้ารหัสร่วมกันเพื่อให้ได้
                     เอาท์พุตที่มีค่าแน่นอนหนึ่งค่า ซึ่งเสมือนแฮซฟังก์ชันเรียกว่า message digest (MD) หรือ fingerprint ข้อแตกต่าง

                     คือ แฮซฟังก์ชันเป็นการใช้ MAC ต้องใช้ cryptographic key เพื่อให้ได้เมสเสจไดเจสต์ โดยทั่วไปแล้ว MAC จะ
                     ตรวจสอบความสมเหตุสมผล (validate) ข้อมูลระหว่างผู้รับและผู้ส่งที่ใช้ซีเคร็ทคีย์ร่วมกัน
                         การทำงานของโพรโตคอล AH สามารถทำได้ทั้งในทรานสปอร์ตโหมดและทันเนลลิ่งโหมด การทำงานใน
                     ทรานสปอร์ตโหมดจะเป็นการทำงานในลักษณะที่เป็นการเชื่อมต่อโดยตรงระหว่างเซิร์ฟเวอร์และไคลเอนต์ ซึ่ง
                     เครื่องไคลเอนต์นี้อาจอยู่ในเน็ตเวิร์คเดียวกันหรือไม่ก็ได้ การทำการพิสูจน์ทราบตัวตนของทรานสปอร์ตโหมดนี้
                                                                           book)
                     ทำโดยการใช้คีย์ที่เป็นความลับร่วมกัน ส่วนในทันเนลลิ่งโหมด SA การทำงานของเครื่องสเตชั่นระยะไกล (remote
                     workstation) จะพิสูจน์ตัวตนผ่านไฟร์วอลล์ เพื่อที่จะสื่อสารไปยังเซิร์ฟเวอร์ การทำงานในทันเนลลิ่งโหมดนี้จะมี

                     ประสิทธิภาพมากขึ้น หากทำงานร่วมกับโพรโตคอลของ Encapsulating Security Payload (ESP)

                                                          (partial
                     Encapsulating Security Payload (ESP)

                     การทำงานของการพิสูจน์ทราบตัวตน (authentication) ช่วยทำให้เราสามารถป้องกันแพกเกตของ IP แต่อย่างไร
                     ก็ตามแต่มิได้ป้องกันการดักฟัง (eavesdropping) ระหว่างที่แพกเกตถูกส่งในเน็ตเวิร์ค ซึ่งอาจมีการส่งผ่านไปใน

                     หลายเน็ตเวิร์ค ถือว่าเป็นการเปิดช่องให้ระหว่างทางสามารถที่จะดักดูข้อมูลได้
                         Encapsulating Security Payload (ESP) ถูกออกแบบเพื่อสนับสนุนการรักษาความลับ (confidentiality)
                     ของเมสเสจที่ส่ง โดยข้อมูลที่ถูกเข้ารหัสจะถูกส่งในแพกเกตของ IP ซึ่ง ESP จะประกอบไปด้วยฟิลด์ต่างๆ ตามรูปที่
                     34.11 ดังนี้              only

                                    KKU            Security Parameter Index (SPI)



                                                        Sequence number






                                                      Payload Data (variable)





                                                              Padding (0-255 bytes)


                                                                  Pad Length    Next Header


                                                Authentication data (variable length)




                                                   รูปที่ 34.11: IP Sec ESP Format