Tài liệu Đề tài Ứng dụng IPSec VPN trong việc xây dựng hệ thống mạng Đài TNND thành phố Hồ Chí Minh: Phần I:
ĐẶT VẤN ĐỀ
Giới thiệu bài toán và giải pháp
Đài Tiếng Nói Nhân Dân TP.HCM là cơ quan truyền thông đại chúng, nhiệm vụ của Đài là tuyên truyền chủ trương chính sách của Đảng và nhà nước, nói lên tiếng nói của Đảng bộ và nhân dân TP.HCM. Trong giai đoạn mới hiện nay, việc áp dụng những thành tựu KHKT vào phục vụ công tác là việc tất yếu và là yếu tố mang tính chất sống còn đối với hoạt động của Đài nói riêng và tất cả các nghành nghề nói chung. Đài TNND TP.HCM đã và đang ứng dụng CNTT vào trong hoạt động của mình. Tuy còn trong giai đoạn xây dựng và hoàn thiện từng bước, nhưng việc ứng dụng CNTT đã mang lại những hiệu quả nhất định, hỗ trợ hiệu quả cho việc thực hiện các chương trình phát thanh - một nhiệm vụ mang tính chất chính trị quan trọng của Đài.
Giới thiệu hệ thống :
Trong giai đoạn đầu, Đài TNND TP.HCM đã tiến hành trang bị máy...
68 trang |
Chia sẻ: hunglv | Lượt xem: 1051 | Lượt tải: 0
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Ứng dụng IPSec VPN trong việc xây dựng hệ thống mạng Đài TNND thành phố Hồ Chí Minh, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Phaàn I:
ÑAËT VAÁN ÑEÀ
Giôùi thieäu baøi toaùn vaø giaûi phaùp
Ñaøi Tieáng Noùi Nhaân Daân TP.HCM laø cô quan truyeàn thoâng ñaïi chuùng, nhieäm vuï cuûa Ñaøi laø tuyeân truyeàn chuû tröông chính saùch cuûa Ñaûng vaø nhaø nöôùc, noùi leân tieáng noùi cuûa Ñaûng boä vaø nhaân daân TP.HCM. Trong giai ñoaïn môùi hieän nay, vieäc aùp duïng nhöõng thaønh töïu KHKT vaøo phuïc vuï coâng taùc laø vieäc taát yeáu vaø laø yeáu toá mang tính chaát soáng coøn ñoái vôùi hoaït ñoäng cuûa Ñaøi noùi rieâng vaø taát caû caùc nghaønh ngheà noùi chung. Ñaøi TNND TP.HCM ñaõ vaø ñang öùng duïng CNTT vaøo trong hoaït ñoäng cuûa mình. Tuy coøn trong giai ñoaïn xaây döïng vaø hoaøn thieän töøng böôùc, nhöng vieäc öùng duïng CNTT ñaõ mang laïi nhöõng hieäu quaû nhaát ñònh, hoã trôï hieäu quaû cho vieäc thöïc hieän caùc chöông trình phaùt thanh - moät nhieäm vuï mang tính chaát chính trò quan troïng cuûa Ñaøi.
Giôùi thieäu heä thoáng :
Trong giai ñoaïn ñaàu, Ñaøi TNND TP.HCM ñaõ tieán haønh trang bò maùy tính vaø thieát laäp heä thoáng maïng noäi boä ñeå caûi tieán, naâng cao hieäu quaû coâng taùc nghieäp vuï. Hieän traïng heä thoáng ñang hoaït ñoäng bao goàm:
Moät maïng noäi boä kyõ thuaät (LAN 1): taäp hôïp taát caû caùc maùy tính ñöôïc duøng ñeå thöïc hieän caùc chöông trình phaùt thanh, löu tröõ döõ lieäu phuïc vuï cho vieäc xaây döïng chöông trình, truyeàn döõ lieäu cho boä phaän phaùt soùng. Hieän nay ñeå baûo ñaûm an toaøn cho hoaït ñoäng phaùt thanh, khoâng cho pheùp baát kyø keát noái naøo vôùi maïng beân ngoaøi. ( sô ñoà maïng kyõ thuaät- LAN 1 ñaøi TNND TP.HCM).
Moät maïng noäi boä bieân taäp (LAN 2): taäp hôïp taát caû caùc maùy tính duøng ñeå phuïc vuï cho vieäc bieân taäp caùc chöông trình phaùt thanh, cho pheùp truy caäp Internet thoâng qua moät ñöôøng thueâ bao ADSL chung cho caû maïng. ( sô ñoà maïng bieân taäp LAN 2 ñaøi TNND TP.HCM).
Caû hai maïng ñeàu ñöôïc quaûn lyù taäp trung, coù nhöõng qui ñònh roõ raøng veà chính saùch baûo maät. Vieäc trao ñoåi döõ lieäu giöõa hai maïng hieän ñang ñöôïc thöïc hieän moät caùch thuû coâng thoâng qua caùc thieát bò löu tröõ löu ñoäng.
Maïng noäi boä kyõ thuaät (LAN 1):
Ñaây laø phaàn quan troïng nhaát cuûa heä thoáng, phaûi ñaûm baûo hoaït ñoäng lieân tuïc, oån ñònh, an toaøn. Ñaëc ñieåm cuûa maïng:
Heä ñieàu haønh: Window 2000 server, window 98, Window XP.
Söû duïng caùc phaàn meàm xöû lyù, convert, play caùc file aâm thanh theo daïng chuaån mp3 vaø moät soá phaàn meàm chuyeân duïng cho phaùt thanh.
Döõ lieäu löu tröõ vaø trao ñoåi trong maïng laø caùc file aâm thanh ôû daïng chuaån mp3.
Taát caû caùc maùy tính vaø ngöôøi duøng ñeàu ñöôïc quaûn lyù. Moãi caù nhaân coù nhöõng möùc ñoä quyeàn haïn truy caäp maïng khaùc nhau ñöôïc quy ñònh roõ raøng- chæ ñöôïc truy nhaäp maïng treân 1 maùy coá ñònh.
Yeâu caàu quaûn lyù baûo maät cao. Khoâng ñöôïc keát noái tröïc tieáp ra ngoaøi, keå caû keát noái internet.
Sô ñoà moâ taû maïng kyõ thuaät:
Coù 3 nhoùm chính:
Nhoùm server: laøm nhieäm cuûa domain controller, file server. Server 1 vaø server 2 ñöôïc chia thaønh nhieàu thö muïc, moãi thö muïc coù qui ñònh truy xuaát rieâng. Server 3 duøng ñeå löu tröõ tö lieäu chæ cho pheùp caùc maùy thuoäc nhoùm thu pha truy xuaát ñeå taûi döõ lieäu.
Nhoùm maùy truyeàn aâm: laøm nhieäm vuï truyeàn döõ lieäu ñeán boä phaän phaùt soùng. Chæ coù quyeàn truy xuaát ñeán moät soá thö muïc treân caùc server 1 vaø server 2- chæ ñoïc, taûi döõ lieäu veà khoâng cho pheùp thay ñoåi hoaëc taûi döõ lieäu leân server, khoâng coù quyeàn truy xuaát vaøo server 3.
Nhoùm maùy thu pha: thöïc hieän caùc chöông trình phaùt thanh vaø taûi chuùng leân server. Nhoùm naøy coù quyeàn truy xuaát vaøo server 3, ñöôïc toaøn quyeàn treân nhöõng thö muïc rieâng treân server 1 & 2.
Maïng noäi boä bieân taäp (LAN 2):
Ñaëc ñieåm chung:
Heä ñieàu haønh: Window 2000 server, window 98, Window XP.
Söû duïng caùc phaàn meàm xöû lyù, convert, play caùc file aâm thanh theo daïng chuaån mp3 , caùc öùng duïng vaên phoøng vaø moät soá phaàn meàm khaùc.
Döõ lieäu löu tröõ vaø trao ñoåi trong maïng laø caùc file aâm thanh ôû daïng chuaån mp3 vaø file text.
Taát caû caùc maùy tính vaø ngöôøi duøng ñeàu ñöôïc quaûn lyù. Ña soá user ñeàu bò haïn cheá quyeàn truy nhaäp caùc taøi nguyeân chung trong maïng, keå caû file server.
Cung caáp khaû naêng keát noái internet coù kieåm soaùt.
Yeâu caàu baûo maät cao.
Ñòa chæ maïng 192.168.24.0/24.
Ñòa chæ coång ra internet 192.168.24.2.
Caùc maùy tính trong maïng ñöôïc chia laøm 3 nhoùm chính:
Nhoùm server: moät server laøm Domain controller, file server, kieåm soaùt keát noái internet. File server chæ cho pheùp moät soá user ñaëc bieät truy nhaäp.
Nhoùm maùy haønh chaùnh: Taäp hôïp taát caû caùc maùy cuûa caùc phoøng ban haønh chaùnh (Toå chöùc, taøi vuï…). Khoâng ñöôïc pheùp truy caäp vaøo file server. Döõ lieäu trao ñoåi döôùi daïng file text. Moät soá maùy ñöôïc pheùp truy caäp internet.
Nhoùm maùy bieân taäp: Taäp hôïp taát caû caùc maùy cuûa caùc ban bieân taäp. Ñöôïc pheùp truy caäp internet, moät soá user treân caùc maùy naøy coù quyeàn truy xuaát vaøo file server. Döõ lieäu trao ñoåi döôùi dang file aâm thanh vaø file text.
Sô ñoà maïng bieân taäp
Caùc yeâu caàu phaùt trieån:
Böôùc ñaàu heä thoáng ñaõ hoaït ñoäng toát, ñaùp öùng ñöôïc nhöõng yeâu caàu nghieäp vuï cô baûn. Trong giai ñoaïn saép tôùi heä thoáng caàn ñöôïc hoøan thieän theâm vôùi nhöõng yeâu caàu cuï theå nhö sau:
Keát noái coù kieåm soaùt giöõa hai maïng noäi boä hieän coù.
Cho pheùp moät soá caù nhaân truy caäp töø xa ( Remote Access) vaøo maïng bieân taäp (LAN 2) cuûa Ñaøi.
Thieát laäp moät keát noái giöõa heä thoáng maïng cuûa Ñaøi vôùi moät maïng noäi boä ôû xa (site-to-site).
Yeâu caàu chung:
Baûo ñaûm ñoä an toaøn, ñoä tin caäy cao.
Khoâng gaây xaùo troän heä thoáng hieän coù ñeå traùnh aûnh höôûng ñeán hoaït ñoäng cuûa Ñaøi.
Chuù yù xem xeùt ñeán yeáu toá phöùc taïp veà maët kyõ thuaät vaø tính kinh teá cuûa giaûi phaùp.
Keát noái coù kieåm soaùt 2 maïng noäi boä:
Nhaèm taïo thuaän lôïi hôn trong vieäc trao ñoåi döõ lieäu giöõa 2 maïng noäi boä hieän coù, vieäc hôïp nhaát chuùng thaønh moät heä thoáng chung laø caàn thieát. Vaán ñeà ñaët ra ôû ñaây laø phaûi kieåm soaùt ñöôïc söï truy caäp vaøo phaàn maïng kyõ thuaät.
Sô ñoà moâ taû yeâu caàu
Yeâu caàu cuï theå laø chæ coù moät vaøi tính ôû phaàn maïng kyõ thuaät ñöôïc pheùp truy caäp vaøo ServerBT ñeå trao ñoåi döõ lieäu, caám taát caû nhöõng truy caäp qua laïi khaùc giöõa 2 phaàn maïng cuûa heä thoáng.
Cho pheùp ngöôøi duøng di ñoäng truy xuaát vaøo heä thoáng:
Ñeå naâng cao khaû naêng taùc nghieäp cuûa caùc phoùng vieân, caàn xaây döïng moät cô cheá cho pheùp nhöõng ngöôøi duøng rieâng leû coù theå truy caäp vaøo heä thoáng thoâng qua caùc phöông tieän truyeàn thoâng coâng coäng phoå bieán.
Yeâu caàu cuï theå :
Ñaûm baûo an toaøn cuûa heä thoáng.
Khoâng quaù phöùc taïp ñoái vôùi ngöôøi duøng, yeâu caàu veà thieát bò khoâng cao.
Caàn chuù yù ñeán chi phí thieát laäp vaø duy trì heä thoáng.
Sô ñoà moâ taû yeâu caàu
Keát noái 1 maïng noäi boä ôû xa vôùi heä thoáng:
Do nhu caàu cuûa coâng taùc nghieäp vuï, Ñaøi TNND TP.HCM döï ñònh thieát laäp theâm moät soá cô sôû nhö laø caùc chi nhaùnh, moãi chi nhaùnh coù 1 maïng cuïc boä rieân). Caàn thieát laäp 1 keát noái maïng baûo maät giöõa Ñaøi vaø chi nhaùnh- keát noái site-to-site.
Yeâu caàu cuï theå:
Ñaûm baûo an toaøn cho heä thoáng.
Ñaûm baûo an toaøn cho keát noái.
caàn chuù yù ñeán chi phí xaây döïng cuõng nhö duy trì heä thoáng.
Sô ñoà moâ taû yeâu caàu
Giaûi phaùp thöïc hieän:
Döïa treân cô sôû nhöõng cuï theå ñöôïc neâu ôû treân chuùng ta coù theå chia baøi toaùn thaønh 2 phaàn rieâng bieät coù theå thöïc hieän ñoäc laäp vôùi nhau:
Keát noái 2 maïng noäi boä vaø kieåm soaùt truy caäp giöõa chuùng.
Xaây döïng moät heä thoáng cho pheùp keát noái 1 maïng ôû xa (site-to-site) ñoàng thôøi cho pheùp moät soá ngöôøi duøng coù theå truy caäp töø xa (Remote Access).
Coù raát nhieàu giaûi phaùp ñeå giaûi quyeát yeâu caàu cuûa baøi toaùn, vôùi muïch ñích khaûo saùt nhöõng phöông aùn khaû thi coù theå thöïc hieän vôùi haï taàng cô sôû truyeàn thoâng cuûa nöôùc ta hieän nay, chuùng ta seõ giaûi quyeát baøi toaùn nhö sau:
Duøng Access Control List ñeå keát noái vaø kieåm soaùt truy caäp giöõa 2 maïng noäi boä.
Duøng IPSec VPN ñeå xaây döïng heä thoáng keát noái site-to-site vaø cho pheùp truy caäp töø xa.
Trong phaïm vi ñoà aùn naøy, chuùng ta seõ taäp trung tìm hieåu caùch thieát laäp IPSec VPN – tieàn ñeà cho vieäc giaûi quyeát vaán ñeà chính cuûa baøi toaùn.
Sô ñoà moâ taû heä thoáng vôùi giaûi phaùp thöïc hieän
PHAÀN II
KIEÁN THÖÙC CÔ SÔÛ
Chöông 1:
Toång quan Access List
Access list laø kyõ thuaät baûo maät (security technology) thöôøng ñöôïc söû duïng trong traffic filter vaø firewall. Veà baûn chaát Access list laø 1 danh saùch caùc ñieàu kieän duøng ñeå phaân loaïi caùc packets, cho pheùp chuùng ñi qua hoaëc bò chaën laïi taïi caùc router interface. Access list laø cô sôû ñeå router phaân tích moãi packet ñi ngang qua interface theo 1 höôùng ñaõ ñöôïc chæ ñònh vaø thöïc hieän, coù theå ñöôïc aùp duïng cho caû caùc traffic ra vaø vaøo interface. Coù theå duøng access list ñeå:
Caám (restrict) caùc caäp nhaät ñònh tuyeán (routing updates).
Cung caáp khaû naêng kieåm soaùt traffic.
Cung caáp security cho maïng.
Sô ñoà moâ taû khaû naêng cuûa Access List
Veà cô baûn coù 2 loaïi access list :
Standard access list: cung caáp khaû naêng kieåm soaùt caùc truy caäp taøi nguyeân cuûa router, phaân boá ñònh tuyeán (route distribution) vaø kieåm soaùt caùc packets ñi qua router. Standard access list chæ laøm vieäc vôùi caùc IP packets.
Extended access list: cung caáp khaû naêng laøm vieäc vôùi nhieàu protocol khaùc IP.
I. Standard Access list:
Standard Access List ñöôïc duøng ñeå xaây döïng caùc boä policy aùp duïng cho ñòa chæ IP vaø cho caû network number. Vôùi caùc Policy ñöôïc ñònh nghóa baèng Standard Access List, chuùng ta coù theå ngaên caám vieäc truy xuaát tôùi caùc taøi nguyeân cuûa maïng, xaùc ñònh caùc tuyeán (route) ñöôïc phaân boá vaø cho pheùp, thay ñoåi metric ñònh tuyeán ñeå ñieàu chænh traffic maïng.
Nhöõng caâu leänh caáu hình Standard Access List:
access-list access-list-number [deny|permit] source [source-wildcard] [log]
// khai baùo caùc caâu leänh cuûa access list
access-list access-list-number remark text
// theâm doøng text gôïi nhôù veà chöùc naêng cuûa access list
ip access-group {number | name[in | out]}
// aùp duïng access list cho interface
access-class number | Name [in |out]
Caùc caâu leänh kieåm tra caáu hình Standard Access List:
show ip interface [type number]
show access-list [access-list-number | access-list-name]
show ip access-list [ access-list-number | access-list-name]
Standard access list duøng caùc con soá töø 1 ñeán 99 hoaëc töø 1300 ñeán 1999 ñeå laøm access list number
II. Extended Access List:
Do Standrad Access List chæ coù taùc duïng vôùi IP traffic, coøn ñoái vôùi nhöõng protocol ñaëc bieät nhö TCP, UDP ( specific protocols port numbers) hoaëc nhöõng giao thöùc coù quan heä vôùi IP neân taùc duïng cuûa noù coøn nhieàu haïn cheá. Extended Access List ñöôïc söû duïng ñeå khaéc phuïc nhöõng haïn cheá ñoù.
Extended Access List môû roäng theâm khaû naêng Standard Access List ñeå coù theå xöû lyù theâm caùc loaïi protocol khaùc ngoaøi IP, protocol port vaø ñích ñeán theo ñònh höôùng cuï theå. Vôùi nhöõng khaû naêng ñoù, Extended Access List thöôøng ñöôïc söû duïng cho firewall- ñaëc bieät laø höõu duïng trong vieäc loïc caùc goùi vôùi nhöõng möùc ñoä tin caäy khaùc nhau.
Caùc caáu hình Extended access list:
access-list access-list-number [deny|permit] protocol source [source-wildcard] destination [destination-wildcard] [log | log-input]
// khai baùo caùc caâu leänh cuûa access list
access-list access-list-number [deny|permit] tcp source [source-wildcard] [operatior [port]] destination [destination-wildcard] [operatior [port]] [established] [log | log-input]
// 1 daïng leänh access list vôùi caùc thoâng soá cuûa TCP.
access-list access-list-number remark text
// theâm doøng text gôïi nhôù veà chöùc naêng cuûa access list
ip access-group {number | name[in | out]}
// aùp duïng access list cho interface
access-class number | Name [in |out]
Caùc caâu leänh kieåm tra caáu hình Standard Access List:
show ip interface [type number]
show access-list [access-list-number | access-list-name]
show ip access-list [ access-list-number | access-list-name]
Extended access list duøng caùc con soá töø 100 ñeán 199 hoaëc töø 2000 ñeán 2699 ñeå laøm access list number . Ta coù theå kieåm tra taát caû caùc goùi vôùi TCP hoaëc UDP header, coù theå caám hoaëc cho pheùp caùc dòch vuï theo port number baèng thoâng soá : eq [port number].
III. Aùp duïng Access list:
Maëc duø moãi protocol coù nhöõng qui luaät vaø nhieäm vuï ñaëc tröng rieâng caàn phaûi löu yù khi ta söû duïng traffic filter, nhöng noùi chung vieäc caáu hình Access list bao goàm 2 böôùc cô baûn caàn thöïc hieän:
Taïo Access List : taïo ra boä loïc (filter).
Aùp duïng Access list leân caùc interface cuûa Router : söû duïng caùc boä loïc vöøa taïo ra ñeå loïc (filtering).
Taïo Access List:
Ñeå taïo moät Access List, Chuùng ta phaûi thöïc hieän caùc böôùc sau:
Xaùc ñònh roõ protocol naøo muoán loïc (filter).
Aán ñònh moät caùi teân hoaëc moät con soá ñeå phaân bieät cho Access List.
Ñònh nghóa tieâu chuaån cuûa vieäc loïc goùi- moät Access List coù theå coù nhieàu khai baùo tieâu chuaån loïc phöùc taïp.
Moät soá ñieåm caàn löu yù khi taïo Access List:
Vieäc taïo 1 access list thöïc söï gioáng nhö vieäc laäp trình vôùi 1 chuoãi caùc caâu phaùt bieåu If- then, nghóa laø neáu gaëp 1 ñieàu kieän thì 1 haønh ñoäng ñöôïc thöïc thi, ngöôïc laïi ñieàu kieän tieáp theo seõ ñöôïc xem xeùt.
Caùc tieâu chuaån Access list (Access list criteria) coù theå laø ñòa chæ nguoàn cuûa traffic, ñòa chæ ñích cuûa traffic, nhöõng giao thöùc cuûa caùc lôùp treân cuûa moâ hình OSI hoaëc nhöõng thoâng tin khaùc.
Vôùi moät Access list ñôn, chuùng ta coù theå ñònh nghóa moät tieâu chuaån phöùc taïp baèng caâu leänh phöùc hôïp hoaëc baèng nhöõng caâu leänh rieâng reõ- caùc caâu leänh rieâng reõ cuûa moät Access List coù cuøng teân hoaëc soá nhaän daïng cuûa Access List. Soá löôïng caâu leänh khoâng bò haïn cheá veà soá löôïng, chæ phuï thuoäc vaøo dung löôïng boä nhôù cuûa thieát bò. Tuy nhieân caàn löu yù raèng ñoä phöùc taïp seõ taêng theo soá löôïng caâu leänh, seõ khoù naém roõ vaø quaûn lyù hieäu quaû caùc Access list.
Maëc ñònh khi aùp duïng Access List taát caû caùc packet khoâng ñöôïc cho pheùp seõ bò caám maø khoâng caàn khai baùo, tuy vaäy caâu leänh keát thuùc cuûa caùc Access List laø caâu leänh caám taát caû caùc traffic ( deny all traffic). Caàn chuù yù laø ñoái vôùi haàu heát caùc protocol, neáu chuùng ta ñònh nghóa moät Access List cho 1 filter loïc traffic theo höôùng ñi vaøo maïng thì nhaát thieát phaûi söû duïng caâu leänh cho pheùp caäp nhaät caùc thoâng tin ñònh tuyeán neáu khoâng thì taát caû caùc packet ñeàu bò khoaù do ñaëc tính caám maëc ñònh cuûa Access List.
Moät vaán ñeà nöõa caàn chuù yù khi caáu hình moät Access List laø thöù töï cuûa caùc caâu leänh. Trình töï caùc caâu leänh seõ quyeát ñònh caùch laøm vieäc cuûa Access List, caùc caâu leänh ñaët khoâng ñuùng thöù töï seõ voâ hieäu hoùa taát caû nhöõng caâu leänh sau ñoù. Thoâng thöôøng khi coù caùc caâu leänh cho pheùp ñöôïc thöïc hieän thì caùc caâu leänh s veà au ñoù khoâng coù taùc duïng nöõa thay vaøo ñoù laø tính naêng caám maëc ñònh- Deny all traffic.
Chuùng ta khoâng theå theâm caùc caâu leänh vaøo moät Access List coù saün. Khi caàn boå sung Ta phaûi xoaù Access List cuõ vaø nhaäp laïi.
Aùp duïng caùc Access List leân caùc Router Interface:
Sau khi ñöôïc ñònh nghóa, tuøy theo yeâu caàu thöïc teá caùc Access List seõ ñöôïc khai baùo aùp duïng treân nhöõng interface cuï theå cuûa thieát bò. Moät Access list coù theå ñöôïc aùp duïng cho nhieàu interface vaø moät interface coù theå ñöôïc aùp duïng nhieàu Access List cho nhöõng protocol khaùc nhau.
Khi aùp duïng Access list ngoaøi vieäc choïn Interface, chuùng ta coøn caàn phaûi choïn höôùng cuûa traffic caàn kieåm soaùt. Sô ñoà döôùi ñaây moâ taû logic hoaït ñoäng cuûa access list trong Router:
Minh hoïa veà vieäc aùp duïng access list
Theo löu ñoà treân, khi aùp duïng 1 Access list, ta coù theå duøng noù cho khi Packet vaøo (Inbound) hoaëc khi Packet ra khoûi (Outbound) Router.
Ñoái vôùi moät soá protocol, taïi moät interface Ta phaûi duøng 2 Access List, moãi Access List kieån soaùt traffic theo moät höôùng rieâng. Vôùi moät soá protocol chæ caàn duøng 1 Access List cho caû 2 höôùng.
Moät soá ñieåm caàn chuù yù khi söû duïng Access list:
Khi taïo vaø aùp duïng access list trong heä thoáng caàn löu yù:
Coù theå taïo Access list baèng caùc öùng duïng text editor ôû ngoøai Router, sau ñoù cheùp vaøo Router.
Caùc Extended access list neân ñöôïc ñaët caøng gaàn nôi xuaát phaùt cuûa caùc packet caàn kieåm tra thì hieäu quaû caøng cao.
Caùc Standard Access list neân ñöôïc ñaët gaàn ñích ñeán cuûa caùc Packet nhaèm traùnh vieäc ñaùnh rôùt caùc goùi ngoaøi yù muoán.
Neân ñeå nhöõng caâu leänh quan troïng leân phía tröôùc cuûa access list.
Neân voâ hieäu Access list treân interface tröôùc khi thöïc hieän baát cöù thay ñoåi naøo veà noäi dung cuûa Access list.
Khi caàn boå sung theâm cho Acces list hieän coù chuùng ta phaûi khai baùo laïi toøan boä Access list vôùi nhöõng ñieàu kieän môùi theâm vaøo.
Noùi chung Access list laø moät kyõ thuaät töông ñoái ñôn giaûn nhöng hieäu quaû thöôøng söû duïng ñeå hoã trôï cho coâng taùc baûo maät cuûa maïng nhö: kieåm soaùt traffic maïng, kieåm soaùt vieäc truy caäp thieát bò maïng, öùng duïng trong firewall….
Chöông II:
Toång quan veà maïng rieâng aûo VPN
I. Khaùi nieäm veà VPN:
Maïng rieâng aûo VPN- Virtual Private network laø moät coâng ngheä cho pheùp thöïc hieän caùc giao dòch rieâng tö döïa treân caùc heä thoáng coâng coäng, chaúng haïn nhö Internet, moät caùch an toaøn vaø hieäu quaû.
Virtual Private Network laø moät thuaät ngöõ ñeå chæ moät maïng maùy tính coù caùc ñaëc tính:
Aûo (virtual): vì truyeàn thoâng tin döïa treân keát noái logic, trong thöïc teá moät ñöôøng haàm (tunnel) seõ ñöôïc taïo giöõa hai ñaàu truyeàn tin baèng kyõ thuaät ñoùng goùi vaø maõ hoaù rieâng.
Rieâng (Private): vì cho pheùp ngöôøi duøng (user) truyeàn thoâng tin rieâng tö moät caùch an toaøn, baûo maät trong moäi tröôøng coâng coäng.
Coù theå ñònh nghóa VPN 1 caùch ngaén goïn qua coâng thöùc sau:
VPN= ñònh ñöôøng haàm + baûo maät + caùc thoaû thuaän veà QoS
QoS chaát löôïng dòch vuï ñöôïc cung caáp.
Nhöõng lôïi ích do VPN ñem laïi:
Coâng ngheä maïng rieâng aûo VPN coù nhöõng öu ñieåm ñem laïi nhöõng lôïi ích thöïc söï sau:
Giaûm chi phí ñaàu tö.
Giaûm chi phí quaûn lyù vaø duy trì heäthoáng.
Giaûm chi phí thöôøng xuyeân so vôùi nhöõng heä thoáng khaùc.
Cho pheùp truy caäp deã daøng thoâng qua caùc heä thoáng coâng coäng.
Giaûi quyeát ñöôïc vaán ñeà baûo maät trong moâi tröôøng maïng coâng coäng.
Taêng hieäu quaû söû duïng cuûa baêng thoâng
Khaû naêng phaùt trieån cao
Nhöõng haïn cheá coøn toàn taïi cuûa VPN:
Nhöõng khuyeát ñieåm cuûa VPN coøn toàn taïi cuûa VPN goàm:
Phuï thuoäc Internet.
Thieáu söï hoã trôï ñoái vôùi caùc giao thöùc keá thöøa, do ñöôïc xaây döïngchuû yeáu döïa treân kyõ thuaät IP.
Nhöõng vaàn ñeà caàn quan taâm khi thieát laäp VPN:
Khi löïc choïn giaûi phaùp maïng döïa treân coâng ngheä VPN caàn chuù yù ñeán nhöõng vaán ñeà sau:
Security: neân xem xeùt aùp duïng nhöõng cô cheá baûo maät vaø giaûi thuaät maõ hoùa maïnh nhaèm ñaûm baûo tính an toaøn cuûa döõ lieäu.
Khaû naêng laøm vieäc cuûa caùc thieát bò cuûa caùc nhaø saûn xuaát khaùc nhau, caàn phaûi kieåm tra tröôùc tính töông thích cuûa chuùng ñeå ñaûm baûo heä thoáng hoaït ñoäng oån ñònh.
Neân coù söï quaûn lyù taäp trung.
Giaûi phaùp VPN phaûi deã thöïc hieän vaø caáu hình.
Caùc VPN software ñaëc bieät laø VPN client software phaûi ñôn giaûn, deã hieåu, deã söû duïng ñoái vôùi ngöôøi duøng.
Phaûi coù khaû naêng töông thích cao, coù khaû naêng ñaùp öùng ñöôïc nhöõng yeâu caàu phaùt trieån trong töông lai vôùi nhöõng thay ñoåi toái thieåu veà caáu truùc.
Caàn xem xeùt ñeán hieäu suaát cuûa heä thoáng khi thöïc hieän caùc thuaät toaùn vaø cô cheá maõ hoaù.
Baêng thoâng coù aûnh höôûng quan troïng ñeán hieäu suaát, khaû naêng hieäu duïng vaø ñaûm baûo veà QoS.
Vieäc löïa choïn ISP cuõng laø 1 vieäc quan troïng caàn xem xeùt.
Vì VPN seõ keát noái tröïc tieáp vôùi Internet neân vieäc baûo veä heä thoáng khoûi nhöõng traffic khoâng mong muoán hoaëc khoâng ñöôïc pheùp laø cöïc kyø quan troïng caàn chuù yù ñaëc bieät.
Moät soá thuaät ngöõ lieân quan ñeán VPN:
Tính baûo maät: baûo maät laø nhöõng gì laøm cho VPN trôû neân “aûo” vaø “rieâng”. Nhôø ñoù maø heä thoáng söû duïng caùc taøi nguyeân coâng coäng vaãn coù nhöõng ñaëc tính nhö heä thoáng ñöôïc xaây döïng rieâng bieät, tieát kieäm ñaùng keå veà chi phí. Vieäc ñaûm baûo tính baûo maät cho caùc keát noái VPN ñöôïc thöïc hieän baèng caùch keát hôïp caùc saûn phaåm vaø coâng ngheä vôùi nhau.
Ñöôøng haàm (Tunnel) : caùc ñöôøng haàm chính laø ñaëc tính aûo cuûa VPN, noù laøm cho keát noái trôû neân trong suoát (khoâng thaáy ñöôïc) ñoái vôùi caùc ngöôøi duøng khaùc treân Internet, ñoàng thôøi taïo cho VPN khaû naêng duy trì nhöõng yeâu caàu veà baûo maät vaø quyeàn öu tieân nhö ñaõ ñöôïc aùp duïng trong maïng noäi boä. Nhöõng coâng ngheä ñöôøng haàm phoå bieán cho truy caäp VPN goàm: PPTP, L2TP vaø IPSec.
Maõ hoùa : ñaây laø tính naêng tuøy choïn laøm neân tính “rieâng tö” cuûa VPN. Chæ neân maõ hoùa nhöõng döõ lieäu quan troïng ñeå khoâng aûnh höôûng ñeán toác ñoä xöû lyù cuûa CPU.
Töôøng löûa : Firewall ñöôïc duøng ñeå baûo maät maïng noäi boä choáng laïi caùc cuoäc taán coâng töø beân ngoaøi. Firewall toát coù khaû naêng phaân bieät caùc traffic döïa treân cô sôû ngöôøi duøng, trình öùng duïng hay nguoàn goác.
Ñònh danh ngöôøi duøng (User-Identification) : moïi ngöôøi duøng ñeàu phaûi chòu söï kieåm tra xaùc thöïc ñeå heä thoáng coù theå bieát thoâng tin veà hoï (quyeàn truy caäp, maät khaåu..) vaø phaûi chòu söï uûy quyeàn ñeå baùo cho hoï bieát veà nhöõng gì hoï ñöôïc pheùp laøm. Moät heä thoáng toát coøn thöïc hieän vieäc tính toaùn ñeå theo doõi nhöõng vieäc maø ngöôøi duøng ñaõ laøm nhaèm muïch ñích tíng cöôùc vaø baûo maät. Xaùc thöïc( Authentication), trao quyeàn (Authorization) vaø tính cöôùc (Accouting) ñöôïc goïi laø caùc dòch vuï AAA.
Tính öu tieân: Cho pheùp gaùn theû öu tieân cho 1 traffic cuûa 1 öùng duïng nghieäp vuï quan troïng caàn thöïc hieän tröôùc. Khaû naêng gaùn öu tieân seõ phaûi ñoäc laäp vôùi döõ lieäu truyeàn ñeå ñaûm baûo tính hoaøn haûo thöïc söï cuûa dòch vuï.
II. Caùc loaïi maïng VPN:
Coù theå phaân VPN ra laøm 3 loaïi:
Remote access VPN.
Intranet VPN.
Extranet VPN.
Caùc VPN truy caäp töø xa (Remote Access VPN):
Caùc VPN naøy cung caáp truy caäp tin caäy cho caùc ngöôøi duøng ôû xa nhö caùc nhaân vieân di ñoäng, caùc nhaân vieân ôû xa vaø caùc vaên phoøng chi nhaùnh thuoäc maïng löôùi coâng ty. Ngöôøi duøng coù theå truy caäp caùc taøi nguyeân VPN baát cöù khi naøo neáu caàn.
Ñöôøng truyeàn trong Access VPN coù theå laø töông töï, quay soá, ISDN, caùc ñöôøng thueâ bao soá (SDL), IP di ñoäng vaø caùp ñeå noái caùc ngöôøi duøng di chuyeån, maùy tính töø xa hay caùc vaên phoøng laïi vôùi nhau.
Caùc VPN noäi boä (Intranet VPN):
Cho pheùp caùc vaên phoøng chi nhaùnh ñöôïc lieân keát 1 caùch baûo maät ñeán truï sôû chính cuûa coâng ty.
Coù 2 phöông phaùp söû duïng maïng VPN ñeå keát noái caùc maïng cuïc boä LAN taïi caùc ñieåm cuoái ôû xa:
Duøng caùc ñöôøng keânh thueâ rieâng ñeå keát noái.
Duøng ñöôøng daây quay soá ñeå keát noái.
Duøng VPN ñeå keát noái 2 vò trí töø xa
Caùc VPN môû roäng (Extranet VPN):
Cho pheùp caùc khaùch haøng, caùc nhaø cung caáp vaø caùc ñoái taùc coù theå truy caäp 1 caùch baûo maät ñeán maïng Intranet cuûa coâng ty.
Duøng VPN ñeå keát noái 2 maùy tính töø xa trong cuøng 1 maïng LAN
III. Kieán truùc vaø caùc khoái cuûa VPN
Kieán truùc cuûa 1 maïng VPN:
Hai thaønh phaàn cô baûn taïo neân maïng rieâng aûo VPN laø:
Tieán trình ñònh ñöôøng haàm (Tunneling), cho pheùp laøm “aûo” moät VPN.
Nhöõng dòch vuï baûo maät ña daïng nhaèm giöõ cho döõ lieäu cuûa VPN ñöôïc baûo maät.
Ñònh ñöôøng haàm:
Vieäc taïo ñöôøng haàm laø taïo ra moät keát noái ñaëc bieät giöõa 2 ñieåm cuoái. Ñeå taïo ra 1 ñöôøng haàm.
Ñieåm nguoàn phaûi ñoùng goùi (encapsulate) caùc goùi (Packet) cuûa mình trong caùc goùi IP (IP packet) ñeå truyeàn qua maïng Internet- vieäc ñoùng goùi bao goàm maõ hoaù goùi goác vaø theâm 1 tieâu ñeà IP (IP header) môùi cho goùi.
Taïi ñieåm cuoái ñích, coång noái seõ gôõ boû tieâu ñeà IP vaø giaûi maõ cho goùi vaø chuyeån noù ñeán ñích caàn ñeán.
IP
AH
ESP
header
Data
Goùi kieåu ñöôøng haàm
Goùi goác
Vieäc taïo ñöôøng haàm cho pheùp caùc doøng döõ lieäu vaø thoâng tin ngöôøi duøng keát hôïp ñöôïc truyeàn treân maïng coâng coäng trong moät oáng aûo (virtual pipe), oáng aûo seõ laøm cho vieäc ñònh tuyeán treân maïng trôû neân trong suoát ñoái vôùi ngöôøi duøng.
Thoâng thöôøng ñöôøng haàm ñöôïc ñòng nghóa theo 2 loaïi: ñöôøng haàm tónh (Static tunnel) vaø ñöôøng haàm ñoäng (dynamic tunnel).
Ñöôøng haàm tónh hay coøn goïi laø ñöôøng haàm thöôøng tröïc (pernament) thöôøng ít ñöôïc duøng vì chieám baêng thoâng khi khoâng söû duïng.
Ñöôøng haàm ñoäng coøn goïi laø ñöôøng haàm taïm thôøi thöôøng ñöôïc söû duïng. Khi coù yeâu caàu ñöôøng haàm seõ ñöôïc thieát laäp sau ñoù seõ huûy boû khi khoâng duøng ñeán.
Ngoaøi ra khi noùi ñeán ñöôøng haàm, ta coøn caàn phaûi xem xeùt ñeán caùc ñieåm cuoái cuûa ñöôøng haàm (endpoint), coù 2 loaïi ñieåm cuoái:
Maùy tính ñôn, khi keát noái phaûi chaïy 1 phaàn meàm VPN client.
Maïng LAN vôùi coång noái baûo maät coù theå laøboä ñòng tuyeán hay töôøng löûa.
Caùc ñöôøng haàm VPN
Caùc dòch vuï baûo maät trong VPN:
Maïng VPN caàn ñöôïc cung caáp 4 chöùc naêng giôùi haïn ñeå ñaûm baûoñoä baûo maät cho döõ lieäu. Boán chöùc naêng ñoù laø:
Xaùc thöïc (Authentication ): xaùc ñònh nguoàn göûi döõ lieäu.
Ñieàu khieån truy caäp (Access control): haïn cheá nhöõng truy caäp traùi pheùp vaøo maïng.
Tin caäy (Confidentality): ñaûm baûo ngaên nhöõng ngöôøi khoâng ñöôïc pheùp ñoïc döõ lieäu khi truyeàn treân maïng.
Tính toaøn veïn cuûa döõ lieäu (Data integrity) : ñaûm baûo döõ lieäu khoâng bò thay ñoåi trong quaù trình truyeàn treân maïng.
Vieäc xaùc thöïc ngöôøi duøng vaø duy trì tính toaøn veïn cuûa döõ lieäu phuï thuoäc vaøo caùc tieán trình maät maõ (Cruptographic). Nhöõng tieán trình naøy söû duïng caùc bí maät ñöôïc chia seõ goïi laø khoaù (key) , vieäc quaûn lyù vaø phaân phoái caùc khoùa cuõng taêng tính baûo maät cuûa heä thoáng.
Caùc dòch vuï Xaùc thöïc, maõ hoùa vaøtoaøn veïn döõ lieäu ñöôïc cung caáp taïi lôùp Dta-link vaø lôùp Network cuûa moâ hình OSI. Vieäc phaùt trieån caùc dòch vuï baûo maät taïi caùc lôùp thaáp cuûa moâ hình OSI laøm cho caùc dòch vuï naøy trôû neân trong suoát hôn vôùi ngöôøi duøng.
Coù 2 hình thöùc aùp duïng caùc dòch vuï baûo maät:
Moãi hình thöùc keát noái coù nhöõng öu khuyeát ñieåm khaùc nhau: keát noái ñaàu cuoái- ñaàu cuoái baûo maät hôn keát noái nuùt- nuùt nhöng noù laøm taêng söï phöùc taïp cho ngöôùi duøng vaø coù theå gaây khoù khaên hôn cho vieäc quaûn lyù.
Caùc khoái trong maïng VPN:
Maïng Internet VPN cgoàm caùc thaønh phaán chính sau:
Internet.
Coång noái baûo maät.
Maùy chuû chính saùch baûo maät (secutiry policy server).
Maùy chuû caáp quyeàn CA (certificate authority).
Caùc coång noái baûo maät (security gateway) ñöôïc ñaët giöõa caùc maïng coâng coäng vaø maïng rieâng, ngaên chaën caùc xaâm nhaäp traùi pheùp vaøo maïng rieâng. Chuùng theå cung caáp khaû naêng taïo ñöôøng haàm vaø maõ hoùa döõ lieäu tröôùc khi chuyeån ñeán maïng coäng coäng. Coång noái baûo maät cho maïng VPN goàm 1 trong caùc loaïi sau: boä ñònh tuyeán (Router), töôøng löûa (firewall), phaàn meàm tích hôïp VPN vaø phaàn meàm VPN.
Moät thaønh phaàn quan troïng khaùc cuûa maïng VPN laø maùy chuû chính saùch baûo maät (security policy server). Maùy chuû naøy baûo quaûn caùc danh saùch ñieàu khieån truy caäp vaø caùc thoâng tin khaùc lieân quan ñeán ngöôøi duøng, nhöõng thoâng tin naøy ñöôïc coång noái duøng ñeå xaùc caùc traffic naøo ñöôïc pheùp löu thoâng.
Caùc maùy chuû caáp quyeàn CA ñöôïc ñeå xaùc thöïc caùc khoùa duøng chung ñeå caáp quyeàn cho caùc ngöôøi duøng thuoäc heä thoáng.
III. Caùc giao thöùc trong VPN:
Caùc giao thöùc ñöôøng haàm vaø baûo maät:
Vieäc truyeàn döõ lieäu thoâng qua baát kyø moät phöông tieän naøo cuõng phaûi tuaân theo nhöõng giao thöùc nhaát ñònh. Ñoái vôùi VPN, vieäc baûo veä keânh giao tieáp rieâng ñöôïc thöïc hieän baèng kyõ thuaät maõ hoaù ( ví duï nhö DES hoaëc 3DES) thoâng qua caùc giao thöùc baûo maät. Vieäc maõ hoaù coù theå ñöôïc thöïc hieän taïi caùc taàng khaùc nhau trong kieán truùc OSI.
Boä giao thöùc IP Security (IPSec):
Muïch ñích cuûa boä giao thöùc IPSec laø ñaûm baûo tính bí maât, toaøn veïn vaø xaùc thöïc cuûa thoâng tin treân neàn giao thöùc Internet (IP). Boä giao thöùc IPSec söû duïng keát hôïp moät soá giao thöùc maõ hoaù maïnh coù khaû naêng giaûi quyeát caùc vaán ñeà baûo maät trong caùc maïng truyeàn thoâng döïa treân neàn IP bao goàm:
Internet Key Exchange (IKE): cung caáp moät phöông thöùc trao ñoåi khoùa an toaøn giöõa caùc ñoái taùc. Ñeå laøm vieäc ñoù giao thöùc IKE hoã trôï caùc giaûi thuaät maõ hoaù 3DES, giaûi thuaät chia Tiger, giaûi thuaät chöõ kyù ñieän töû RSA, giaûi thuaät xaùc thöïc MD5….
Encapsulating Security Payload (ESP): söû duïng caùc kyõ thuaät maõ hoaù maïnh (RC5, 3DES, Blowfish…) ñeå ñoùng goùi thoâng tin ñeå sau ñoù chæ coù ngöôøi nhaän thoâng tin coù khoùa bí maät môùi ñoïc ñöôïc. Ngoaøi ra ESP coøn cung caáp khaû naêng che giaáu thoâng tin veà ñòa chæ IP cuûa ngöôøi göûi vaø ngöôøi nhaän.
Authentication Header (AH): giao thöùc naøy gaén caùc döõ lieäu trong caùc goùi (packet) vôùi chöõ kyù ñieän töû cho pheùp ngöôøi nhaän kieåm tra danh tính ngöôøi göûi cuõng nhö tính toaøn veïn cuûa thoâng tin.
IPSec hieän ñang trôû thaønh moät phöông tieän baûo maät giao tieáp chuaån cho caùc nhaø cung caáp.
Giao thöùc PPTP vaø giao thöùc L2TP:
Ngoaøi giao thöùc IPSec, ngöôøi duøng coø coù theå söû duïng 2 giao thöùc khaùc laø PPTP (Point-to-Point Tunneling protocol) vaø L2TP (Layer 2 Tunneling Protocol). Caû hai giao thöùc naøy ñaõ ñöôïc tích hôïp vaøo heä ñieàu haønh Windows.
Giao thöùc PPTP: coù nguoàn goác töø giao thöùc PPP ( Point-to-Point Protocol) duøng trong keát noái maïng Internet qua ñöôøng quay soá Dial-up, ñöôïc xaây döïng döïa treân Microsoft Point-to-Point Encryption (MPPE).
Giao thöùc L2TP: laø chuaån môû ñöôïc tích hôïp giöõa giao thöùcPPTP cuûa Microsoft vaø L2F cuûa Cisco Systems.
Caùc giao thöùc quaûn trò:
Caùc giao thöùc quaûn trò ñöôïc duøng ñeå duy trì quyeàn truy caäp cuaû ngöôøi duøng cuøng vôùi nhöõng thoâng tin baûo maät lieân quan ñeán hoï. Hai hoï giao thöùc khaùc nhau hieän nay ñöôïc söû duïng tuøy theo loaïi maïng VPN caàn quaûn lyù:
Ñoái vôùi maïng quy soá VPN hay keát noái client-LAN duøng ñöôøng haàm PPTP vaø L2TP duøng giao thöùc RADIUS ñeå xaùc thöïc vaø tính cöôùc.
Ñoái vôùi maïng LAN-LAN giao thöù ISAKMP/Oakley ñöôïc söû duïng nhö 1 bieán theå cuûa IPSec.
Nhieàu phöông thöùc xaùc thöïc vaø maõ hoùa söû duïng trong maïng VPN yeâu caàu xaùc ñònh vaø phaân phoái caùc khoùa duøng chung. Ñoái vôùi nhöõng heä thoáng nhoû, vieäc phaân phoái caùc khoùa ñöôïc thöïc hieän baèng tay. Ñoái vôùi nhöõng heä thoáng lôùn thì caàn coù 1 heä thoángtaïo ngaãu nhieân, quaûn lyù vaø phaân phoái khoùa töï ñoäng- key management system.
IV. Maõ hoùa thoâng tin vaø tích hôïp baûo maät trong VPN:
Maõ hoaù thoâng tin:
Hieän nay toàn taïi 2 heä thoáng maõ hoùa döïa treân caùc giaûi thuaät ñoái xöùng (Symmetric) vaø khoâng ñoái xöùng (asymmetric):
Giaûi thuaät Symmetric cho pheùp thoâng tin maõ hoaù vaø giaûi maõ söû duïng moät khoùa baûo maät duy nhaát.
Giaûi thuaät Asymmetric hay coøn goïi laø giaûi thuaät khoùa coâng khai (public-key) cho pheùp thoâng tin ñöôïc maõ hoùa vaø giaûi maõ söû duïng moät caëp khoùa lieân ñôùi, trong ñoù moät khoùa ñöôïc giöõ bí maät vaø moät khoùa coâng khai.
Kích thöôùc khoùa caøng lôùn thì ñoä an toaøn cuûa thoâng tin caøng taêng leân nhöng hieäu suaát xöû lyù thoâng tin caøng giaûm ñi. Tuøy thuoäc vaøo töøng öùng duïng cuï theå, kích thöôùc khoùa coù theå thay ñoåi, ví duï nhö kích thöôùc khoùatrong moät soá giaûi thuaät söû duïng CBC-mode nhö CAST-128 (40-128 bits), RC5 (40-2040 bit), 3DES (192 bit), Blowfish (40-448bit)…
Tích hôïp baûo maät:
VPN cho pheùp tích hôïp nhieàu ñaëc tính baûo maät nhaèm naâng cao möùc ñoä an toøan cho thoâng tin. Hieän coù raát nhieàu giaûi phaùp cho vaán ñeà naøy, ñieån hình laø 3 giaûi phaùp sau:
SSH ( Secure Shell): laø chöông trình baûo maät thay theá cho caùc coâng cuï truy caäp töø xa khaùc nhö telnet,rlogin, ftp vaø caùc coâng cuï khaùc khoâng ñöôïc trang bò tính naêng baûo maät. SSH cung caáp keânh giao tieáp thoâng tin maõ hoaù, ví duï nhö töø moät maùy ôû xa ñeán maùy chuû POP3.
SSL (Secure Sockets Layer): laø giao thöùc duøng ñeå cung caáp khaû naêng maõ hoùa maïnh khi truyeàn döõ lieäu. Caùc giaûi phaùp döïa treân SSL ñöôïc chia thaønh hai loaïi laø keát noái vaø ñöôøng haàm. Keát noái cung caáp söï baûo veä cho moät öùng duïng ñôn leû söû duïng SSL, ñöôøng haàm SSL cho pheùp moät hoaëc nhieàu öùng duïng truyeàn tin baûo maät qua maïng coâng coäng söû duïng SSL hoaëc khoâng.
Giaûi phaùp duøng caùc phaàn meàm truy caäp töø xa cho pheùp ngöôøi duøng töø beân ngoaøi coù theå truy caäp vaøo maïng cuïc boä thoâng qua Internet, qua ñoù ngöôøi duøng truy caäp töø xa coù theå truy xuaát caùc öùng duïng, file vaø caùc taøi nguyeân khaùc trong maïng cuïc boä.
Tuy nhieân, maëc duø SSH, SSL vaø IPSec coù theå cung caáp caùc khaû naêng maõ hoùa thoâng tin töông töï nhau, nhöng thieát laäp VPN söû duïng IPSec coù nhieàu thuaän lôïi hôn. Chaúng haïn nhö : ñoái vôùi nhöõng öùng duïng khaùc nhau chuùng ta caàn môû caùc keát noái vaø ñöôøng haàm SSH vaø SSL khaùc nhau cho töøng öùng duïng trong khi IPSec chæ caàn moät keát noái chung cho taát caû caùc öùng duïng, theâm vaøo ñoù coøn coù khaû naêng che giaáu ñòa chæ IP- ñaây laø moät ñaëc tính caàn thieát trong moät soá tình huoáng ñaëc bieät. Hieän nay trong giao thöùc Internet phieân baûn IPv6, IPSec ñöôïc xem laø moät thaønh phaàn baét buoäc vaø ñöôïc caøi ñaët nhö moät chöùc naêng cô sôû.
V. Ñaùng giaù chung veà VPN:
Toùm laïi VPN laø 1 giaûi phaùp nhanh choùng vaø hieäu quaû hôn veà chi phí so vôùi caùc giaûi phaùp maïng dieän roäng WAN khaùc. Maïng rieâng aûo ñaõ theå hieän söï ñoät phaù coâng ngheä, laøm chuyeån bieán ngaønh coâng nghieäp vaø caùch maïng hoùa caùc dòch vuï do khaùch haøng yeâu caàu. Hieän nay coù nhieàu vaán ñeà trong thöïc teá ñang thuùc ñaåy vieäc khai thaùc VPN 1 caùch roäng raõi, nhöõng thuùc ñaåy naøy coù theå ñöa ñeán söï phaùt trieån vöôït baäc cuûa VPN.
Chöông III:
Toång quan veà giao thöùc IPSec
I. Khaùi nieäm chung veà IPSec:
IPSec- Internet Protocol Security laø moät boä giao thöùc coù chuaån môû ñang ñöôïc toå chöùc Internet Engineering Task Force (IETF) phaùt trieån nhaèm hoã trôï söï trao ñoåi an toaøn caùc goùi döõ lieäu IP. Caùc boä giao thöùc naøy cung caáp khaû naêng xaùc thöïc nguoàn goác, baûo veä söï toaøn veïn vaø tin caäy cuûa döõ lieäu, khaû naêng baûo veä choáng replay. IPSec hoaït ñoäng treân giao thöùc IP vaø söû duïng Internet Key Exchange (IKE) ñeå ñaøm phaùn caùc keát hôïp baûo maät security association (SA) giöõa caùc peer.
IPSec coù theå ñöôïc söû duïng ñoäc laäp nhö laø 1 phöông thöùc baûo maät trong trao ñoåi döõ lieäu hoaëc ñöôïc duøng keøm trong caùc giaûi phaùp maïng khaùc nhö VPN chaúng haïn.
IPSec hoaït ñoäng taïi lôùp thöù 3 (Network layer) cuûa moâ hình OSI :
Application Layer
Presentation Layer
Section Layer
Transport Layer
Network Layer
IPSec
DataLink Layer
Physical Layer
Caùc giao thöùc cuûa IPSec:
Caùc giao thöùc thöôøng gaëp khi laøm vieäc vôùi IPSec goàm:
IPSec (IP Security Protocol): caùc giao thöùc cung caáp traffic security.
Authentication Header (AH).
Encapsulating Security Payload (ESP).
Message Encrytion
Data Encrytion Standard (DES).
Triple DES (3DES).
Message Integrity (Hash) Function.
Hash-based Message Authentication Code (HMAC).
Message Digest 5 (MD5).
Secure Hash Algorithm-1 (SHA-1)
Peer Authentication
Revset, Shamir, and Adelman (RSA) Digital Signatures.
RSA Encrypted Nonces.
Key Management
Deffie- Hellman (D-H).
Certificate Authority (CA).
Security Association
Internet Key Exchange (IKE).
Internet Security Association and Key Management Protocol (ISAKMP).
Moät soá chuù yù khi öùng duïng IPSec:
IPSec hoã trôï High-Level Data-Link Control (HDLC), ATM, Point-to-Point Protocol (PPP), vaø Frame Relay seria encasulation.
IPSec cuõng laøm vieäc vôùi Generic Routing Encapsulation (GRE) vaø IP-in-IP Encapsulation Layer 3 tunneling Protocols.
IPSec khoâng hoã trôï chuaån data-link switching (DLSw), source-route bridging (SRB), hoaëc nhöõng giao thöùc ñöôøng haàm Layer 3 khaùc.
IPSec cuõng khoâng hoã trôï ñöôøng haàm nhieàu ñieåm ( Multipoint tunnel).
IPSec chæ laøm vieäc vôùi unicast IP-datagram, khoâng laøm vieäc vôùi multicast hoaëc broadcast datagram.
IPSec chaäm hôn CiscoEncryption Technology (CET) vì IPSec cung caáp per-packet data authentication.
IPSec cho pheùp thay ñoåi kích thöôùc cuûa caùc packet, töø ñoù chuùng ta coù theå chia nhoû caùc goùi lôùn thaønh caùc goùi nhoû hôn trong quaù trình truyeàn sau ñoù taùi taïo laïi taïi nôi nhaän. Vieäc naøy cuõng laø moät trong nguyeân nhaân laøm cho IPSec chaäm hôn CET.
Khi söû duïng NAT, phaûi thöïc hieän NAT tröôùc khi IPSec ñoùng goùi döõ lieäu.
II. Daïng thöùc cuûa IPSec:
Hoaït ñoäng cuûa IPSec ôû möùc cô baûn ñoøi hoûi phaûi coù caùc phaàn chính sau:
Keát hôïp baûo maät SA (Security Association).
Xaùc thöïc tieâu ñeà AH (Authentication Header).
Boïc goùi baûo maät taûi ESP (encapsulating Security Payload).
Cheá ñoä laøm vieäc
Keát hôïp baûo maät SA:
Security Associations (SAs) laø khaùi nieäm cô sôû neàn taûng cuûa boä giao thöùc IPSec. Ñeå 2 ñaàu coù theåtruyeàn döõ lieäu ñaõ ñöôïc baûo maät (ñöôïc xaùc thöïc vaø maõ hoùa), thì caû 2phaûi cuøng thoáng nhaát veà giaûi thuaät maõ hoùa, caùch chuyeån khoùa vaø thôøi gian ñoåi khoùa- taát caû nhöõng thoâng tin treân ñeàu do SA ñaûm traùch.
Vieäc truyeàn thoâng giöõa beân göûi vaø beân nhaän ñoøi hoûi ít nhaát 1 SA, coù theå nhieàu hôn do caùc giao thöùc cuûa IPSec caàn coù 1 SA rieâng cho töøng giao thöùc, moãi goùi xaùc thöï cuõng caàn 1 SA rieâng vaø moãi goùi maõ hoùa cuõng vaäy. Thaäm chí neáu duøng chung giaûi thuaät cho vieäc xaùc thöïc vaø maõ hoùa cuõng caàn phaûi coù 2 SA khaùc nhau do duøng 2 boä khoùa khaùc nhau.
Moät IPSec SA ñöôïc ñònh nghóa bao goàm:
Giaûi thuaät xaùc thöïc söû duïng cho AH vaø khoùa cuûa noù.
Giaûi thuaät maõ hoùa ESP vaø khoùa cuûa noù.
Daïng thöùc vaø kích thöôùc cuûa boä maät maõ söû duïng trong giaûi thuaät maõ hoùa.
Giao thöùc, giaûi thuaät vaø khoùa söû duïng cho vieäc truyeàn thoâng.
Giao thöùc, giaûi thuaät maõ hoùa, khoùa söû duïng cho vieäc truyeàn thoâng rieâng.
Thôøi gian thay ñoåi khoùa.
Giaûi thuaät xaùc thöïc, kieåu, chöùc naêng söû duïng trong ESP vaø khoùa ñöôïc söû duïng trong giaûi thuaät.
Thôøi gian toàn taïi cuûa khoùa.
Thôøi gian toàn taïi cuûa SA.
Ñòa chæ nguoàn cuûa SA.
Coù theå xem SA nhö 1 keânh baûo maät thoâng qua 1 maïng coâng coäng ñeán 1 ngöôøi hay 1 nhoùm laøm vieäc cuï theå.
Xaùc thöïc tieâu ñeà AH:
Xaùc thöïc tieâu ñeà AH- Authentication Header ñöôïc söû duïng cho caùc dòch vuï xaùc thöïc. AH ñöôïc cheøn vaøo giöõa tieâu ñeà IP vaø noäi dung phía sau, noäi dung cuûa goùi khoâng bò thay ñoåi.
IP Header
AH Header
Payload
Tieâu ñeà xaùc thöïc goàm 5 tröôøng:
Tröôøng tieâu ñeà keá tieáp (Next header Field): nhaän dieän giao thöùc baûo maät.
Chieàu daøi taûi (Payload length): xaùc ñònh chieàu daøi cuûa message theo sau AH Header.
Chæ tham soá baûo maät SPI (Security Parameter Index): thoâng baùo cho thieát bò nhaän goùi bieát hoï giao thöùc baûo maät phía göûi duøng trong truyeàn thoâng.
Soá tuaàn töï (sequence number)
Döõ lieäu xaùc thöïc (Authentication Data): mang thoâng tin veà giaûi thuaät maõ hoùa ñònh nghóa bôûi SPI.
AH cung caáp caùc dòch vuï (service): baûo ñaûm tính toøan veïn cuûa data, xaùc thöïc tính toaøn veïn cuûa data, vaø antireplay. Nhöõng thuaät toaùn xaùc thöïc ñöôïc duøng trong AH laø: HMAC-MD5 vaø HMAC-SHA1.
AH khoâng cung caáp khaû naêng maõ hoaù
Ñònh daïng cuûa AH header
Original IP
Header
Original Layer 4
Header
Data
Original IP
Header
Original Layer 4
Header
Data
IPSec AH
Next Header
Payload length
Reserved
Security Parameters Index (SPI)
Sequence Number Field
Authentication Data (Variable Length- Integral Multi of 32 bits)
Boïc goùi baûo maät taûi ESP:
Boïc goùi baûo maät taûi ESP- Encapsulating Security Payload ñöôïc söû duïng cho vieäc maõ hoùa döõ lieäu. Cuõng nhö AH, tieâu ñeà ESP ñöôïc cheøn vaøo giöõa tieâu ñeà IP vaø noäi dung tieáp theo cuûa goí. Tuy nhieân noäi dung cuûa goùi seõ bò thay ñoåi.
ESP cung caáp theâm khaû naêng tin töôûng trong vieäc xaùc thöïc ngöôøi göûi vaø baûo ñaûm söï toøan veïn döõ lieäu. ESP maõ hoùa noäi dung Datagram baèng caùc thuaät toaùn maõ hoùa cao caáp nhö: DES-CBG, NULL, CAST-128, IDEA vaø 3DES. Theâm vaøo ñoù ESP cuõng söû duïng nhöõng thuaät toaùn xaùc thöïc ñaõ ñöôïc duøng trong AH nhö: HMAC-MD5 vaø HMAC-SHA.
ESP khoâng baûo veä toaøn boä Datagram maø chæ baûo veä payload. Goùi IP packet khi ñöôïc theâm ESP header vaø trailer:
IP Header
ESP Header
Payload
ESP Trailer
ESP Authentication
Ñònh daïng cuûa ESP Header:
Security Parameter Index
Sequence Number
Payload (variable)
Padding
Authentication Data
(variable size)
Pad length
Next Header
ESP header
TCP and Data
ESP trailer
Authentication
Encrypted
Nhö vaäy laø ESP cung caáp khaû naêng maõ hoùa vaø tuøy choïn xaùc thöïc. Vieäc söû duïng ESP seõ laøm giaûm kích thöôùc caùc packet, laøm taêng hieäu quaû xöû lyù.
Cheá ñoä laøm vieäc:
Coù 2 cheá ñoä laøm vieäc trong IPSec:
Cheá ñoä giao vaän (Transport mode): chæ coù ñoaïn lôùp giao vaän trong goùi ñöôïc xöû lyù.
Cheá ñoä ñöôøng haàm (Tunnel mode): toaøn boä goùi seõ ñöôïc xöû lyù- maõ hoùa vaø xaùc thöïc.
Caû 2 cheá ñoä ñeàu coù theå laøm vieäc vôí AH vaø ESP.
Cheá ñoä giao vaän söû duïng cho caû coång noái vaø host, cung caáp cô cheá baûo maät cho caùc giao thöùc lôùp treân. Trong cheá ñoä giao vaän, AH chæù baûo maät choáng laïi vieäc thay ñoåi noäi dung döõ lieäu neân caàn phaûi caàn phaûi coù nhöõng phöông tieän khaùc ñeåñaûm baûo tính rieâng tö cuûa döõ lieäu. ESP ñöôïc duøng baûo maät choáng nghe troäm raát coù hieäu quaû nhöng khoâng baûo maät ñöôïc toaøn veïn traffic.
Trong cheá ñoä ñöôøng haàm, tieâu ñeà IP chöùa ñòa chæ nguoàn vaø ñiaï chæ ñích, trong khi boä xuaát tieâu ñeà IP chöùa caùc ñòa chæ IP khaùc, chaúng haïn nhö ñòa chæ coång noái. AH baûo maät toaøn boä goùi IP bao goàm caû boä phaän tieâu ñeà. ESP cung caáp caùc cô cheá baûo maät cho caùc goùi baèng caùc maõ hoùa toaøn boä goùi.
Ñeå coù theå aùp duïng AH vaø ESP trong cheá ñoä ñöôøng haàm hay cheá ñoä giao vaän, IPSec ñöôïc yeâu caàu phaûi hoã trôï phöông thöùc toå hôïp:
Duøng cheá ñoä ñöôøng haàm ñeå maõ hoùa vaø xaùc thöïc caùc goùi vaø tieâu ñeà roài gaén vaøo AH hoaëc ESP.
Duøng caû AH vaø ESP trong cheá ñoä giao vaän.
III. Quaûn Lyù Khoùa:
Trong truyeàn thoâng söû duïng giao thöùc IPsec ñoøi hoûi phaûi coù chuyeån giao khoùa, vì vaäy caàn phaûi coù cô cheá quaûn lyù khoùa. Coù 2 phöông thöùc chuyeån khoùa:
Chuyeån khoùa baèng tay.
Chuyeån khoùa Internet IKE- Internet Key Exchange
Ñoái vôùi nhöõng maïng chæ coù vaøi VPN peer, coù theå thöïc hieän vieäc phaân boá khoùa baèng tay. Coøn ñoái vôùi caùc maïng lôùn caàn phaûi coù moät phöông thöùc quaûn lyù vaø kieåm soaùt khoùa töï ñoäng. Giao thöùc quaûn lyù chuyeån giao khoùa maëc ñònh trong IPSec laø IKE .
IKE laø keát quaû keát hôïp giöõa baûo maät ISA- Internet Security Association vaø giao thöùc chuyeån giao khoùa ISAKMP. IKE coøn coù 1 teân goïi khaùc laø ISAKMP/Oakley. IKE coù caùc khaû naêng sau:
Cung caáp caùc phuông tieän cho 2 beân thoûa thuaän söû duïng caùc giao thöùc, giaûi thuaät vaø khoùa.
Ñaûm baûo ngay töø luùc ñaàu laø truyeàn thoâng ñuùng ñoái töôïng.
Quaûn lyù caùc khoùa sau khi chuùng ñöôïc chaáp nhaän trong tieán trình thoûa thuaän.
Ñaûm baûo caùc khoùa ñöôïc chuyeån 1 caùch baûo maät.
Caùc cheá ñoä vaø pharse cuûa IKE:
Hoaït ñoäng cuûa IKE goàm 2 giai ñoaïn:
Giai ñoaïn 1- Pharse 1: thieát laäp 1 ñöôøng haàm baûo maät cho caùc hoaït ñoäng ISAKMP.
Giai ñoaïn 2- Pharse 2: laø tieán trình ñaøm phaùn caùc muïch ñích SA.
IKE coøn coù 4 cheá ñoä chuyeån khoùa vaø caøi ñaët caùc ISAKMP do giao thöùc Oakley qui ñònh cho 2 giai ñoaïn:
Cheá ñoä chính (main mode): hoaøn thaønh giai ñoaïn 1 cuûa IKE sau khi ñaõ thieát laäp 1 keânh baûo maät.
Cheá ñoä naêng ñoäng (Aggressivemode): töông töï nhö main mode, nhöng ñôn giaûn vaø nhanh hôn vì noù truyeàn nhaän daïng baûo maät cho taát caû caùc nuùt tröôùc khi ñaøm phaùn ñöôïc 1 keânh baûo maät.
Cheá ñoä nhanh (quick mode): hoaøn thaønh giai ñoaïn 2 cuûa IKE baèng caùch ñaøm phaùn 1 SA cho caùc muïch ñích cuûa vieäc truyeàn thoâng.
Cheá ñoä nhoùm môùi (new group mode): cheá ñoä naøy khoâng thaät söï thuoäc giai ñoaïn 1 hay giai ñoaïn 2. Cheá ñoä nhoùm môùi theo sau ñaøm phaùn cuûa giai ñoaïn 1 vaø ñöa ra 1 cô cheá ñònh nghóa nhoùm rieâng cho chuyeån giao Diffie-Hellman.
Ñeå thieát laäp 1 baûo maät IKE cho 1 nuùt, 1 host hay 1 coång noái caàn ít nhaát 4 yeáu toá:
Moät giaûi thuaät maõ hoùa ñeå baûo maät döõ lieäu.
Moät giaûi thuaät baêm ñeå giaûm döõ lieäu cho baùo hieäu.
Moät phöông thöùc xaùc thöïc cho baùo hieäu döõ lieäu.
Thoâng tin veà nhoùm laøm vieäc qua toång ñaøi.
Ñaøm phaùn SA:
Ñeå thieát laäp 1 SA, beân khôûi taïo phaûi göûi 1 thoâng baùo yeâu caàu thoâng qua quick mode. Moät ñaøm phaùn SA laø keát quaû cuûa 2 SA: 1 höôùng veà (inbound) vaø 1 höôùng ñi khoûi (outbound) beân khôûi taïo. Ñeå traùnh xung ñoät veà SPI, nuùt nhaän phaûi luoân choïn SPI, vaø thoâng baùo cho beân kia bieát . Moãi SPI, keát hôïp vôùi ñòa chæ IP ñích, chæ ñònh 1 SA ñôn duy nhaát. Trong thöïc teá nhöõng SA naøy luoân coù 2 höôùng , chuùng coù danh ñònh veà tham soá, giaûi thuaät, khoùa, baêm laø 1 phaàn trong SPI.
IV. Nhöõng vaán ñeà coøn toàn ñoïng trong IPSec:
Maëc duø IPSec coù nhöõng ñaëc tính caàn thieát cho vieäc baûo maät nhung noù vaãn coøn trong giai ñoaïn phaùt trieån neân coøn moät soá haïn cheá caàn löu yù:
Caùc goùi xöû lyù theo IPSec seõ taêng kích thöôùc laøm thoâng löôïng maïng giaûm xuoáng.
IKE vaãn laø 1 coâng ngheä chöa ñöôïc chöùng minh trong khi phöông thöùc chuyeån khoùa baèng tay laïi khoâng thích hôïp cho maïng coù 1 soá löôïng lôùn caùc ñoái töôïng di ñoäng.
IPSec ñöôïc thieát keá chæ ñeå ñieàu khieån löu löôïng IP maø thoâi.
Vieäc tính toùan cho nhieàu giaûi thuaät trong IPSec laø 1 vaán ñeà ñoái vôùi caùc traïm laøm vieäc vaø PC cuõ.
Chöông IV:
Xaây döïng IPSec VPN döïa treân Router Cisco
I. Giôùi thieäu chung veà giaûi phaùp VPN cuûa Cisco:
Cisco laø 1 coâng ty chuyeân cung caáp thieát bò vaø giaûi phaùp lôùn coù uy tín treân theá giôùi. Ñoái vôùi maïng rieâng aûo VPN, Cisco cuõng coù nhöõng giaûi phaùp vaø thieát bò hoã trôï hieäu quaû. Tuøy theo töøng loaïi VPN maø Cisco coù nhöõng saûn phaåm ñaùp öùng cuï theå.
Site-to-Site VPN: ñaây laø loaïi VPN coù töø 2 endpoint trôû leân. Taïi caùc endpoint coù theå duøng caùc saûn phaåm sau: Router, caùc VPN-enable firewall, caùc thieát bò phaàn cöùng VPN…
Access VPN: coøn goïi laø Remote AccessVPN. Thöôøng duøng: Router, caùc VPN-enable firewall hoaëc caùc VPN concentrator.
Ngoaøi ra Cisco coøn coù 1 giaûi phaùp thieát laäp VPN 1 caùch ñôn giaûn nhanh choùng goïi laø Easy VPN. Vôùi giaûi phaùp Easy VPN, caàn coù 1 Cisco Easy VPN Server ñaët taïi truï sôû chính vaø caùc thieát bò khaùc coù theå laø: Cisco PIX 501 firewall, 3002 hardware VPN client, Cisco VPN client software.
Trong ñieàu kieän khaû naêng hieän taïi, vôùi thieát bò cuûa Cisco coù theå tieáp caän laø caùc Router coù hoã trôï VPN, neân trong phaïm vi luaän vaên naøy chuùng ta seõ taäp trung tìm hieåu veà moâ hình IPSec VPN ñöôïc thieát laäp baèng Router :.
Ñoái vôùi nhöõng maïng chæ coù vaøi VPN peer, coù theå thöïc hieän vieäc phaân phoái khoùa baèng tay. Coøn ñoái vôùi caùc maïng lôùn caàn phaûi coù Certificate Authority (CA) server, khi ñoù ta caàn phaûi caøi ñaët ISAKMP ñeå hoã trôï phöông thöùc khoùa khoùa maø ta ñaõ choïn. Vieäc löïa choïn phöông thöùc phaân phoái khoùa cuõng quyeát ñònh caáu hình xaùc thöïc cuûa caùc peer.
Trong chöông naøy chuùng ta seõ tìm hieåu caùch thieát laäp IPSec VPN treân Router Cisco:
Preshared key caáu hình thuû coâng.
Preshared key vôùi RSA encrypted nonce
Preshared key vôùi RSA encrypted nonce coù CA hoã trôï vieäc xaùc thöïc.
II. Moâ taû quaù trình thieát laäp IPSec VPN tunnel:
Coù theå moâ taû vieäc taïo vaø giôùi haïn IPSec VPN tunnel nhö 1 quaù trình goàm 5 böôùc, caùc endpoint seõ thöïc hieän nhöõng nhieäm vuï khaùc nhau nhaèm thieát laäp keát noái ñöôïc maõ hoùa theo töøng böôùc:
Step 1: user taïi Source khôûi taïo 1 keát noái tôùi heä thoáng ñích Destination . Router taïi Source nhaän ñöôïc traffic nhö laø 1 traffic caàn quan taâm vaø thieát laäp tieán trình IKE vôùi router taïi Destination.
Step 2: Caùc router endpoint duøng IKE ñeå xaùc thöïc töøng IKE peer vaø thoaû thuaän veà IKE SA. Luùc naøy 1 keânh baûo maät ñöôïc thieát laäp ñeå cho pheùp ñaøm phaùn IKE SA- thôøi ñieåm naøy xem nhö IKE pharse I.
Step 3: IKE laïi ñöôïc duøng ñeå ñaøm phaùn IPSec SA giöõa caùc peer. Khi vieäc ñaøm phaùn keát thuùc, caùc IPSec peer coù SA ñaõ ñöôïc thieát laäp vaø chuaån bò truyeàn döõ lieäu- thôøi ñieåm naøy xem nhö IKE pharse II.
Step 4: Ñöôøng haàm ñaõ ñöôïc thieát laäp vaø caùc thoâng tin IPSec SA ñaõ ñöôïc chöùa trong SA database cuûa caû 2 SA peer. Theâm vaøo ñoù, vieäc ñaøm phaùn khoùa ñöôïc tieán haønh ñoái vôùi moãi thoâng soá ñaõ ñöôïc ñaøm phaùn trong suoát pharse II.
Step 5: Caùc keát noái ñöôïc giôùi haïn khi heát thôøi gian hoaëc bò thoaùt töø baát cöù peer naøo- nghóa laø khoâng coù traffic naøo duøng IPSec nöõa.
III. Caùc böôùc thieát laäp VPN vôùi IPSec:
Tröôùc khi tieán haønh thieát laäp IPSec VPN thöïc hieän 1 tieán trình goàm 5 böôùc vôùi nhieàu muïc nhoû caàn thöïc hieän:
Step 1-Thieát laäp IKE policy:
Tröôùc tieân chuùng ta phaûi xaùc ñònh caùc thoâng soá cho IKE policy. IKE policy naøy phaûi ñöôïc thieát laäp gioáng heät nhau taïi caùc ñieåm cuoái cuûa VPN. Caùc thaønh phaàn cuûa IKE policy caàn ñöôïc thieát laäp bao goàm:
Phöông thöùc phaân phoái khoùa: baèng tay hoaëc duøng CA.
Phöông thöùc xaùc thöïc: phuïc thuoäc vaøo phöông thöùc phaân phoái khoùa. Neàu phaân phoái baèng tay thì duøng preshared keys. Phaân phoái duøng CA thì söû duïng RSA (RSA encrypted nonces hoaëc RSA digital signatures).
Ñòa chæ IP vaø hostname cuûa caùc peer.
Caùc thoâng soá IKE policy: caùc thoâng soá naøy ñöôïc ISAKMP duøng ñeå thieát laäp ñöôøng haàm baûo maät cuûa IKE pharse 1. Caùc thoâng soá naøy bao goàm: Caùc thuaät toaùn maõ hoùa (DES/3DES), thuaät toaùn Hash (MD5/SHA-1), phöông thöùc xaùc thöïc (preshared, RSA encryptions, RSA signatures), trao ñoåi khoùa (D-H group 1/D-H group 2) vaø IKE SA lifetime (maëc ñònh laø 86400 giaõy).
Step 2- Thieát laäp IPSec policy:
Sau khi xaùc ñònh caùc thoâng soá IKE policy, chuùng ta caàn phaûi xaùc ñònh caùc thoâng tin veà IPSec policy goàm:
Giao thöùc IPSec ñöôïc duøng: AH hoaëc ESP.
Xaùc thöïc: MD5 hoaëc SHA-1.
Maõ hoùa: duøng DES hoaëc 3DES.
Transform vaø transform set: laø keát hôïp caùc thuaät toaùn maõ hoùa vaø xaùc thöïc (AH-SHA-HMAC / ESP-3DES / ESP-MD5-HMAC).
Chæ ñònh caùc traffic caàn ñöôïc baûo veä: giao thöùc, nguoàn, ñích vaø port.
Thieát laäp SA: baèng tay hoaëc duøng IKE.
Step 3-Kieåm tra caùc caáu hình hieän coù:
Sau khi xaùc ñònh caùc policy cho IKE vaø IPSec, chuùng ta phaûi kieåm tra lai caáu hình hieän coù taïi caùc thieát bò ñeå chaéc chaén raèng khoâng coù tranh chaáp giöõa caáu hình hieän coù vôùi caáu hình saép thöïc hieän.
Step 4-Kieåm tra laïi keát noái maïng tröôùc khi aùp duïng IPSec:
Chuùng ta phaûi luoân ñaûm baûo coù keát noái giöõa caùc SA peer tröôùc khi thöû taïo ra 1 keát noái VPN.
Step 5- Cho pheùp caùc giao thöùc IPSec vaø caùc port cuûa noù:
Neáu coù aùp duïng ACL taïi caùc thieát bò treân ñöôøng ñi cuûa IPSec VPN, chuùng ta phaûi ñaûm baûo caùc ACL naøy cho pheùp IPSec traffic:
UDP port 500: ISAKMP.
Protocol 50:ESP.
Protocol 51: AH.
Sau khi thöïc hieän ñaày ñuû 5 böôùc neâu treân, chuùng ta coù theå baét ñaàu caáu hình caùc thieát bò theo nhöõng policy ñaõ ñöôïc xaùc ñònh ôû böôùc 1 vaø böôùc 2.
IV. Caùc böôùc caáu hình Router Cisco cho IPSec VPN vôùi Preshared Key:
IPSec VPN phaân phoái khoùa baèng tay coù theå söû duïng cho caùc heä thoáng coù soá löôïng peer ít. Luùc naøy ta coù theå caáu hình baèng tay (caáu hình tónh) cho taát caû caùc peer.
Preshared key laø caùc khoùa kyù soá (töông töï nhö password) ñöôïc caáu hình treân töøng Router vaø phaûi ñöôïc saép xeáp 1 caùch chính xaùc ñeå caùc Router coù theå thöông löôïng vieäc keát noái. Khi maïng caøng lôùn, soáù löôïng peer taêng thì vieäc quaûn lyù caùc keát noái VPN duøng Preshared key trôû neân khoù khaên.
Vieäc caáu hình IPSec VPN treân Router vôùi Preshared key goàm 4 böôùc:
Step 1: chuaån bò nhö ñaõ ñöôïc moâ taû ôû treân.
Step 2: Caáu hình IKE (enable IKE, taïo caùc policy vaø xaùc nhaän vieäc caáu hình).
Step 3: Caáu hình IPSec (Xaùc ñòng transform set, taïo caùc Crypto ACL, taïo caùc Crypto map, aùp duïng caùc Crypto map).
Step 4: kieåm tra laïi caùc caáu hình vöøa thöïc hieän, ñieàu chænh laïi neáu phaùt hieän sai soùt.
Step 1- Choïn löïa caùc thoâng soá cuûa IKE vaø IPSec:
Muïch ñích laø laø xaùc ñònh tröôùc caùc thieát laäp caàn thieát taïi moãi peer nhaèm ñaûm baûo khaû naêng thaønh coâng cuûa vieäc ñaøm phaùn cho keát noái. Caùc vieäc phaûi thöïc hieän taïi böôùc naøy goàm:
Xaùc ñònh IKE policy.
Caùc thoâng soá coù theå duøng khi caáu hình IKE:
Xaùc ñònh IPSec policy.
Caùc thoâng soá IPSec caàn löu yù:
Kieåm tra laïi caáu hình hieän taïi.
Kieåm tra laïi keát noái
Ñaûm baûo tính töông thích cuûa caùc ACL.
Step 2- Caáu hình IKE:
Vieäc caáu hình IKE bao goàm:
Enable IKE.
Taïo IKE policy.
Caáu hình Preshared key.
Kieåm tra laïi vieäc caáu hình IKE vöø thöïc hieän.
Ví duï veà caùc thoâng soá caáu hìng IKE:
Key Distribution: ISAKMP.
Authentiction: Preshared Key.
Encrytion Algorithm: 3DES.
Hash Algorithm: MD5.
Diffie-Hellman: 2(1024 bit).
IKE SA Lifetime: 86,400 giaây.
Step 3- Caáu hình IPSec:
Caáu hình IPSec goàm caùc böôùc sau:
Taïo transform set
Caáu hình IPSec SA Lifetime.
Taïo crypto ACL
Taïp crypto map
Aùp duïng Crypto map
Ví duï veà caáu hình IPSec:
Authentication transform: ESP-MD5-HMAC.
Encryption Transform: ESP-3DES.
IPSec SA Lifetime: 3600 giaây.
Step 4- Kieåm tra laïi caáu hình vöøa thöïc hieän:
Caùc caâu leänh coù theå ñöôïc duøng ñeå kieåm tra caáu hình vöøa thöïc hieän:
Show crypto isakmp policy : hieån thò ISAKMP policy ñang ñöôïc caáu hình treân Router.
Show crypto ipsec transform-set : hieån thi caùc transform set.
Show crypto ipsec sa : hieån thò tình traïng cuûa SA.
Show crypto map : hieån thi crypto map hieän söû duïng.
Show crypto dynamic-map : hieån thò dynamic crypto map set.
Debug crypto isakmp : cho pheùp debug caùc IKE event
Debug crypto IPSec : cho pheùp debug caùc IPSec event
Caùc böôùc caáu hình IPSec treân Router
Löu yù:
Vieäc caáu hình phaûi ñöôïc thöïc hieän gioáng nhau taïi caû 2 peer caàn thieát laäp IPSec VPN.
V. Caùc böôùc caáu hình Router duøng RSA nonces:
Trong vieäc caáu hình IPSec baèng tay chuùng ta phaûi ñöa caùc khoùa caàn thieát ñeå thieát laäp keát noái vaøo tröôùc 1 caùch thuû coâng, vieäc naøy khoâng ñöôïc khuyeán khích do khoù quaûn lyù vaø khoâng baûo maät. Coù 1 phöông thöùc ñöôïc söû duïng ñeå thay theá laø duøng RSA encrypted nonce. Phöông thöùc naøy cho pheùp taïo khoùa 1 caùch ngaãu nhieân, caùc khoùa naøy ñöôïc trao ñoåi giöõa caùc peer döïa treân cô cheá trao ñoåi khoùa Diffie-hellman.
Caùc böôùc caáu hình IPSec duøng RSA encrypted nonce cuõng töông töï nhö caáu hình IPSec baèng tay, coù theâm 1 böôùc caáu hình RSA key:
Caùc böôùc caáu hình IPSec VPN coù duøng RSA nonces
Step 1: choïn caùc thoâng soá IKE vaø IPSec.
Step 2: Caáu hình RSA key.
Step 3: Caáu hình IKE (enable IKE, taïo caùc policy vaø xaùc nhaän vieäc caáu hình).
Step 4: Caáu hình IPSec (Xaùc ñòng transform set, taïo caùc Crypto ACL, taïo caùc Crypto map, aùp duïng caùc Crypto map).
Step 5: kieåm tra laïi caùc caáu hình vöøa thöïc hieän, ñieàu chænh laïi neáu phaùt hieän sai soùt
Vieäc caáu hình vaø quûan lyù RSA key goàm caùc böôùc sau:
Leân keá hoaïch thieát laäp vieäc duøng RSA key.
Caáu hình hostname vaø domain name cho Router.
Taïo caùc RSA key.
Nhaäp caùc khoùa RSA coâng coäng cuûa peer.
Kieåm tra laïi vieäc caáu hình khoùa.
Cuoái cuøng laø vieäc quaûn lyù caùc khoùa
Leân keá hoaïch vieäc duøng RSA key:
Cuõng töông töï nhö vieäc leân keá hoaïch cho vieäc caáu hình IPSec, tuy nhieân caàn phaûi chuù yù ñeán vieäc taïo vaø trao ñoåi khoùa.
Caáu hình hostname vaø domain name cho Router:
Phaàn quan troïng cuûa cuûa vieäc xaùc thöïc la øheä thoáng phaûi nhaän daïng ñöoïc chính baûn thaân noù. Ñeå laøm ñöôïc vieäc naøy, chuùng ta phaûi caáu hình hostname vaø domain name cho caùc Router.
Taïo caùc RSA key:
Maëc ñònh caùc ñoâi khoùa RSA khoâng toàn taïi treân Router, chuùng ta phaûi theâm tuøy choïn usage-key vaøo caâu leänh taïo khoùa maõ hoùa vaø khoùa xaùc thöïc:
Crypto key generate rsa usage-key
Caâu leänh treân seõ taïo ra 1 pair khoùa (public hoaëc private) cuûa caëp khoùa.
Nhaäp caùc khoùa RSA coâng coäng:
Sau khi nhaän ñöôïc public key ta phaûi nhaäp khoùa ñoù vaøo Router. Ñeå thöïc hieän vieäc naøy caàn duøng caùc leänh sau:
crypto key pubkey-chain
crypto key pubkey-chain rsa
addressed-key key-address
named-key key-name
key-string
Kieåm tra laïi vieäc caáu hình khoùa:
Sau khi thöïc hieän vieäc caáu hình khoùa, ta phaûi kieåm tra laïi caùc thoâng soá- coù theå duøng caùc leänh sau:
Show crypto key mypubkey rsa: hieån thò caùc public key ñöôïa caøi treân Router.
Show crypto key pubkey-chain rsa: hieån thò taát caû caùc peer ñöôïc caøi khoùa.
Vieäc quaûn lyù khoùa:
Sau ñöôïc taïo vaø caøi ñaët, chæ coù theå xoùa caùc RSA key baèng caâu leänh:
Show crypto key zeroize rsa
VI. Caùc böôùc caáu hình IPSec VPN vôùi CA:
Öu ñieåm cuûa vieäc duøng IPSec VPN vôùi CA laø caùc peer khoâng caàn phaûi trao ñoåi preshared key hoaëc nonce baèng caùch thuû coâng, vì luùc naøy khi 2 peer baét ñaàu ñaøm phaùn IKE chuùng chæ trao ñoåi caùc khoùa coâng coäng (public key), caùc khoùa naøy sau ñoù seõ ñöôïc CA xaùc thöïc. Vieäc quaûn trò seõ trôû neân ñôn giaûn hôn do khoâng caàn phaûi theo doõi caùc khoùa.
Xaùc thöïc Peer duøng CA
Ñeå caáu hình Router cho IPSecVNP coù hoã trôï CA, chuùng ta phaûi hoaøn taát 5 böôùc, moãi böôùc coù nhieàu taùc vuï caàn thöïc hieän.
Choïn caùc thoâng soá IKE vaø IPSec.
Caáu hình Router hoã trôï CA.
Caáu hình IKE duøng RSA signature.
Caáu hình IPSec duøng RSA signature.
Kieåm tra laïi caùc caáu hình ñaõ thöïc hieän.
Coâng vieäc cuï theå cuûa töøng böôùc nhö sau:
Löïa choïn caùc thoâng soá IKE vaø IPSec:
Muïch ñích laø xaùc ñònh tröôùc caùc thieát laäp caàn thieát taïi moãi peer nhaèm ñaûm baûo khaû naêng thaønh coâng cuûa vieäc ñaøm phaùn cho keát noái. Caùc vieäc phaûi thöïc hieän taïi böôùc naøy goàm:
Leân keá hoaïch hoã trôï CA.
Xaùc ñònh IKE policy (pharse 1).
Xaùc ñònh IPSec policy
Kieåm tra laïi caáu hình hieän coù cuûa Router
Kieåm tra laïi caùc keát noái.
Ñaûm baûo söï töông thích cuûa caùc ACL.
Caáu hình Router hoã trôï CA:
Ñeå caáu hình Router hoã trôï CA caàn phaûi thöïc hieän 11 böôùc khaùc nhau, bao goàm caû vieäc caáu hình Router, taïo khoùa, vaø lieân laïc vôùi CA Server.
Caáu hình hostname vaø domain name cho router.
Thieát laäp Date, Time vaø Time zone cho Router.
Add CA Server vaøo Host table cuûa Router.
Taïo ra RSA key pair.
Khai baùo CA.
Xaùc thöïc CA.
Yeâu caàu ñöôïc chöùng nhaän.
Löu laïi caùc caáu hình vöøa thöïc hieän.
Quaûn lyù caùc khoùa chöùa trong NVRAM.
Quaûn lyù caùc khoùa treân Router.
Kieåm tra laò caùc caáu hình CA.
Caáu hình IKE duøng RSA signature:
Caùch caáu hình cuõng töông töï nhö preshared key xaùc thöïc thuû coâng. Ví duï coù theå caáu hình vôùi nhöõng thoâng soá sau:
Key Distribution: ISAKMP.
Authentiction: Preshared Key.
Encrytion Algorithm: 3DES.
Hash Algorithm: MD5.
Diffie-Hellman: 2(1024 bit).
IKE SA Lifetime: 86,400 giaây.
Caáu hình IPSec duøng RSA signature:
Caùc böôùc caáu hình IPSec goàm:
Taïo IPSectransform set.
Caáu hình IPSec SA Lifetime.
Taïo Crypto access list.
Taïo Crypto map.
Aùp duïng Crypto map.
Ví duï veà caùc thoâng soá caáu hình:
Authentication transform: ESP-MD5-HMAC.
Encryption Transform: ESP-3DES.
IPSec SA Lifetime: 3600 giaây.
Kieåm tra laïi caáu hình:
Coù theå duøng caùc leänh sau ñeå kieåm tra laïi caáu hình ñaõ thöïc hieän:
crypto ca identity : Hieån thò caáu hình CA maø Router ñöôïc caáu hình.
Debug crypto pki {callback, message, transaction}: cho pheùp hieån thò callback, transtion hoaëc message giöõa Router vaø CA.
Show crypto ca certificates : Hieån thò thoâng tin veà certificate cuûa SA vaø RAS.
Phaàn III:
Moâ hình giaûi quyeát baøi toaùn
Chöông V:
Xaây döïng moâ hình giaûi quyeát baøi toaùn
Döïa treân giaûi phaùp vaø moâ hình ñaõõ löïa choïn:
Chuùng ta chia vieäc thöïc hieän thaønh 2 phaàn, coù theå thieát laäp ñoäc laäp vôùi nhau:
Phaàn thöù nhaát: thieát laäp keát noái giöõa 2 maïng noäi boä LAN 1 vaø LAN 2.
Phaàn thöù hai: Thieát laäp heä thoáng IPSec VPN.
I. Thieát laäp keát noái coù kieåm soaùt giöõa 2 maïng noäi boä LAN 1 vaø LAN2:
Vôùi yeâu caàu keát noái 2 maïng noäi boä rieâng leû hieän nay laïi thaønh moät heä thoáng hôïp nhaát, coù kieåm soaùt vieäc trao ñoåi döõ lieäu giöõa chuùng vôùi nhau, chuùng ta coù theå aùp duïng moâ hình ñôn giaûn laø duøng moät Router coù thieát laäp Access list nhö sô ñoà phía döôùi:
Tuy nhieân do loaïi Router coù nhieàu module Ethernet interface coù giaù thaønh cao hôn nhieàu so vôùi loaïi Router thöôøng chæ coù 1 Ethernet Interface neân ta coù theå duøng 2 Router thöôøng, 2 Router naøy keát noái vôùi nhau qua Serial Interface:
Vieäc kieåm soaùt traffic giöõa 2 maïng ñöôïc thöïc hieän baèng ACL- Access Control List. Coù theå chia vieäc thöïc hieän thaønh 2 böôùc:
Böôùc 1: Xaây döïng Access list theo yeâu caàu kieåm soaùt traffic.
Böôùc 2: aùp duïng caùc Access list ñaõ ñöôïc xaây döïng ôû böôùc 1 leân caùc interface cuûa Router.
Caùc böôùc thöïc hieän cuï theå
II Caùc böôùc thieát laäp heä thoáng IPSec VPN:
Moâ hình thieát laäp IPSec VPN cho Ñaøi TNND TP.HCM
Döaï treân tính naêng cuûa caùc saûn phaåm Cisco VPN vaø ñieàu kieän haï taàng cô côû Internet taïi Vieät Nam hieän nay, chuùng ta coù theå thieát laäp 1 moâ hình VPN bao goàm:
Söû duïng Router Cisco ñeå thieát laäp caùc Endpoint taïi truï sôû chính TP.HCM vaø cô sôû chi nhaùnh ( ví duï nhö Chi nhaùnh taïi Caàn Thô).
Caùc Router seõ ñöôïc caáu hình IPSec VPN cho pheùp keát noái Site-to-Site ñoàng thôøi cho 1 soá ngöôøi duøng di ñoäng keát noái vaøo maïng taïi truï so83 chính TP.HCM .
Caùc ngöôøi duøng töø xa seõ ñöôïc caøi ñaët VPN client Software ñeå coù theå truy caäp vaøo maïng taïi truï sôû chính TP.HCM.
Ñeå thieát laäp maïng VPN theo moâ hình treân, chuùng ta thöïc hieän caùc coâng vieäc sau:
Baûo maät cho caùc Router ñaët taïi caùc endpoint : TP.HCM vaø Caàn Thô.
Baûo maät cho keát noái site-to-site giöõa TP.HCM vaø Caàn Thô.
Caáu hình hoã trôï CA.
Baûo maät cho caùc keát noái töø xa.
Baûo maät chung cho toaøn heä thoáng.
Caùc coâng vieäc treân ñoøi hoûi phaûi coù söï chuaån bò kyõ löôõng töø khaâu chuaån bò ñeán thöïc hieän.
Caùc böôùc thieát laäp maïng VPN cho Ñaøi TNND TP.HCM
Baûo maät cho caùc router:
Vieäc baûo maät cho caùc router goàm:
Thieát laäp quyeàn truy nhaäp quaûn lyù cho moãi router.
Thieát laäp SSH ñeå voâ hieäu truy caäp telnet, coù theå kieåm soaùt truy caäp router baèng Access list.
Voâ hieäu hoùa caùc dòch vuï khoâng caàn thieát treân töøng router.
Baûo maät cho keát noái site-to-site:
Ñeå baûo maät cho cho keát noái site-to-site caàn thöïc hieän 5 vieäc sau:
Ñònh nghóa caùc thoâng soá caáu hình VPN.
Caáu hình caùc thoâng soá IKE.
Caáu hình caùc thoâng soá IPSec.
Caáu hình caùc ACL (Access Control list).
Taïo vaø aùp duïng caùc Crypto map.
Caáu hình hoã trôï CA
Chuùng ta caàn thöïc hieän moät soá böôùc caáu hình router ñeå hoã trôï CA:
Caáu hình Host Name vaø Domain Name
Caáu hình NTP
Enroll with the CA
Baûo maät Remote Access:
Ñoái vôùi caùc truy caäp töø xa cuûa caùc user ñôn leû thì taïi Router TP.HCM chuùng ta caàn thöïc hieän caùc coâng vieäc sau:
Thieát laäp AAA.
Caáu hình ACLs.
Thieát laäp VPN söû duïng CA.
Ngoaøi ra taïi maùy cuûa ngöôøi duøng töø xa coøn caàn phaûi caøi ñaët phaàn meàm client VPN.
Baûo maät cho toaøn heä thoáng:
Thieát laäp Cisco IOS firewall IDS.
Thieát laäp Authentication Proxy.
Thieát laäp CBAC.
Phaàn IV
Moâ hình minh hoaï
Chöông VI:
Moâ hình minh hoïa:
Thieát laäp IPSec VPN duøng preshared key treân Router Cisco
I. Moâ taû moâ hình:
Moâ hình giaû söû 1 coâng ty coù 2 ñiaï ñieåm: 1 truï sôû chính vaø 1 chi nhaùnh. Muoán taïo 1 keát noái private qua 1 moâi tröôøng truyeàn public ta söû duïng VPN ñeå thöïc hieän nhieäm vuï naøy. Ta taïo 1 keânh rieâng giöõa 2 Router: RA vaø RB, qua moâi tröôøng Internet- do Router R1 giaû laäp laøm ISP. Baát cöù traffic TCPnaøo töø 10.0.1.0/24 ñeán 10.0.2.0/24 ñeàu seõ ñöôïc maõ hoùa vaø göûi ngang qua moäi tröôøng public.
II. Thöïc hieän:
Sau khi ñaõ caáu hình cho caùc Router nhö topo, ta böôùc qua phaàn caáu hình VPN. Vieäc caáu hình VPN goàm nhöõng böôùc sau:
Böôùc 1: Caáu hình IKE
Baät IKE: maëc ñònh IKE ñaõ ñöôïc baät, neáu bò taét ta coù theå môû laïi baèng caâu leänh.
Router(config)#crypto isakmp enable
Taïo IKE policy:
Router(config)#crypto isakmp policy priority
Taïo caùc IKE policy ôû mode config- isakmp: authentication, encryption, hash…
Böôùc 2: Caáu hình IPSec:
Caáu hình transform set:taïo transform set giuùp ta aùp duïng caùc chính saùch baûo maät cho traffic. Coù theå taïo 3 transform trong 1 set, moãi set ñöôïc giôùi haïn: 1 AH vaø 2ESP. Mode maëc ñònh cho transform laø tunnel.
Router(config)#crypto ipsec transform-set name [trans1[trans2 [trans3]]]
Router(cfg-crypto-trans)#
Taïo crypto ACL: thöïc hieän caùc chöùc naêng sau: xaùc ñònh caùc doøng döõ lieäu ñöôïc baûo veä bôûi IPSec, choïn outbound traffic ñöôïc baûo veä
Taïo ACL ñeå xaùc ñònh traffic caàn baûo veä.
Taïo crypto map
Router(config)#crypto map name seq ipsec-manual | ipsec-isakmp
söû duïng caùc sequence no khaùc nhau cho moãi peer, nhieàu peer coù theå xaùc ñònh trong cuøng 1 crypto map.
Aùp crypto map vaøo interface
Cuï theå laø:
Router RA
RA(config)#crypto isakmp enable ßBật crypto isakmp
RA(config)#crypto isakmp policy 100
RA(config-isakmp)#hash md5
RA(config-isakmp)#authentication pre-share ßxác định các phương pháp xác minh
RA(config-isakmp)#exit
RA(config)#crypto isakmp identity address ßxác định cách xác định peer qua địc chỉ chứ không phải qua hostname
RA(config)#crypto isakmp key cisco address 172.30.2.2 ßxác định key cho preshare key của peer
RA(config)#crypto ipsec transform-set mine esp-des ßxác định giải thuật mã hoá là esp-des cho transform-set tên mine
RA(cfg-crypto-trans)#exit
RA(config)#crypto map lee 10 ipsec-isakmp ßtạo crypto map tên lee
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RA(config-crypto-map)#set peer 172.30.2.2 ßxác định peer là interface bên kia
RRA(config-crypto-map)#set transform-set mine ß áp transform set mine vào crypto map lee
RA(config-crypto-map)#match address 110 ßxác định ACL
RA(config-crypto-map)#exit
RA(config)#access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255ßtạo ACL để xác định traffic được mã hoá
RA(config)#int s0/0
RA(config-if)#crypto map lee ßáp cryto map lee vào interface S0/0
Router RB: cấu hình tương tự như RA:
RB(config)#crypto isakmp enable
RB(config)#crypto isakmp policy 100
RB(config-isakmp)#hash md5
RB(config-isakmp)#authentication pre-share
RB(config-isakmp)#exit
RB(config)#crypto isakmp identity address
RB(config)#crypto isakmp key cisco address 172.30.1.2
RB(config)#crypto ipsec transform-set mine esp-des
RB(cfg-crypto-trans)#exit
RB(config)#crypto map lee 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
RB(config-crypto-map)#set peer 172.30.1.2
RB(config-crypto-map)#set transform-set mine
RB(config-crypto-map)#match address 100
RB(config-crypto-map)#exit
RB(config)#access-list 100 permit tcp 10.0.2.0 0.0.0.255 10.0.1.0 0.0.0.255
RB(config)#int s0/0
RB(config-if)#crypto map lee
Chuù yù caùc giaûi thuaät maõ hoùa vaø phöông phaùp xaùc minh phaûi ñöôïc ñoàng boä giöõa 2 beân.
Kieåm tra:
Ta söû duïng leänh Show vaø Debug ñeå kieåm tra:
Duøng telnet service treân 2 PC ôû 2 LAN ñeå telnet qua laïi.
Duøng debug ñeå ghi nhaän treân 2 Router.
Phaàn V:
Keát Luaän
Trong moät khoûang thôøi gian ngaén, vôùi voán kieán thöùc coøn nhieàu haïn cheá chuùng em ñaõ coá gaéng taäp hôïp, nghieân cöùu taøi lieäu, thöû nghieäm ñeå phaùt thaûo neân moät moâ hình öùng duïng, coù theå ñaùp öùng ñöôïc nhöõng yeâu caàu ñaët ra. Moâ hình ñöôïc xaây döïng trong luaän vaên ñaõ ñöa ra phöông thöùc giaûi quyeát 2 vaán ñeà cuï theå:
Kieåm soaùt truy caäp giöõa 2 maïng LAN baèng Access list.
Xaây döïng IPSec VPN cho pheùp keát noái Site-to-Site vaø Remote Access.
Trong moâ hình ñöôïc xaây döïng, thì vieäc öùng duïng Access list ñeå kieåm soaùt truy caäp giöõa 2 maïng LAN laø coù theå ñöa vaøo söû duïng ngay. Vôùi ñieàu kieän khaû naêng hieän taïi vieäc thöïc hieän IPSec VPN chæ döøng laïi ôû möùc xaây döïng moâ hình, vaø tìm hieåu caùch thöùc thieát laäp IPSec VPN preshared key caáu hình treân Router Cisco- 1 phöông thöùc coù nheàu khaû naêng aùp duïng nhaát.
Noùi chung, töø moâ hình ñeán thöïc teá öùng duïng coøn nhieàu vaán ñeà caàn giaûi quyeát, caàn phaûi coù theâm thôøi gian nghieân cöùu taøi lieäu, thöû nghieäm treân nhöõng thieát bò ñeå coù theå aùp duïng 1 caùch thöïc teá hieäu quaû.
Taøi lieâu tham khaûo
CCSP Self-Study CCSP SECUR Exam Certification Guide
Cisco IOS Access Lists - O'Reilly
Sybex CCNA 4.0 Study Guide
CCIE Security Exam CertificationGuide Henry Benjamin
CCSP Cisco Secure VPN Exam Certification Guide
John F. Roland
Mark J. Newcomb
Building a Virtual Private Network Meeta Gupta
Các file đính kèm theo tài liệu này:
- Luan van.doc