Câu Hình IPSEC/VPN Trên Thiêt Bị Cisco

- V ớ i Internet, nh ữ ng d ị ch v ụ nh ư giáo d ụ c t ừ xa, mua hàng tr ự c tuy ế n, t ư v ấ n y t ế , và r ấ t nhi ề u đ i ề u khác đ ã tr ở thành hi ệ n th ự c.Tuy nhiên, do Internet có ph ạ m vi toàn c ầ u và không m ộ t t ổ ch ứ c, chính ph ủ c ụ th ể nào qu ả n lý nên r ấ t khó kh ă n trong.
- T ừ đ ó ng ườ i ta đ ã đư a ra m ộ t mô hình m ạ ng m ớ i nh ằ m tho ả mãn nh ữ ng yêu c ầ u trên mà v ẫ n có th ể t ậ n d ụ ng l ạ i nh ữ ng c ơ s ở h ạ t ầ ng hi ệ n có c ủ a Internet, đ ó chính là mô hình m ạ ng riêng ả o (Virtual Private Network - VPN).
- V ớ i mô hình m ớ i này, ng ườ i ta không ph ả i đầ u t ư thêm nhi ề u v ề c ơ s ở h ạ t ầ ng mà các tính n ă ng nh ư b ả o m ậ t, độ tin c ậ y v ẫ n đả m b ả o, đồ ng th ờ i có th ể qu ả n lý riêng đượ c s ự ho ạ t độ ng c ủ a m ạ ng này.
- Để có th ể g ử i và nh ậ n d ữ li ệ u thông qua m ạ ng công c ộ ng mà v ẫ n b ả o đả m tính an tòan và b ả o m ậ t VPN cung c ấ p các c ơ ch ế mã hóa d ữ li ệ u trên đườ ng truy ề n t ạ o ra m ộ t đườ ng ố ng b ả o m ậ t gi ữ a n ơ i nh ậ n và n ơ i g ử i (Tunnel) gi ố ng nh ư m ộ t k ế t n ố i point-to-point trên m ạ ng riêng.
- Để có th ể t ạ o ra m ộ t đườ ng ố ng b ả o m ậ t đ ó, d ữ li ệ u ph ả i đượ c mã hóa hay che gi ấ u đ i ch ỉ cung c ấ p ph ầ n đầ u gói d ữ li ệ u (header) là thông tin v ề đườ ng đ i cho phép nó có th ể đ i đế n đ ích thông qua m ạ ng công c ộ ng m ộ t cách nhanh chóng.
- VPN cung c ấ p nhi ề u đặ c tính h ơ n so v ớ i nh ữ ng m ạ ng truy ề n th ố ng và nh ữ ng m ạ ng m ạ ng leased-line.Nh ữ ng l ợ i ích đầ u tiên bao g ồ m:.
- Chi phí th ấ p h ơ n nh ữ ng m ạ ng riêng: VPN có th ể gi ả m chi phí khi truy ề n t ớ i 20- 40% so v ớ i nh ữ ng m ạ ng thu ộ c m ạ ng leased-line và gi ả m vi ệ c chi phí truy c ậ p t ừ xa t ừ 60-80%..
- Tính linh ho ạ t cho kh ả n ă ng kinh t ế trên Internet: VPN v ố n đ ã có tính linh ho ạ t và có th ể leo thang nh ữ ng ki ế n trúc m ạ ng h ơ n là nh ữ ng m ạ ng c ổ đ i ể n, b ằ ng cách đ ó nó có th ể ho ạ t độ ng kinh doanh nhanh chóng và chi phí m ộ t cách hi ệ u qu ả cho vi ệ c k ế t n ố i m ở r ộ ng.
- Theo cách này VPN có th ể d ễ dàng k ế t n ố i ho ặ c ng ắ t k ế t n ố i t ừ xa c ủ a nh ữ ng v ă n phòng, nh ữ ng v ị trí ngoài qu ố c t ế ,nh ữ ng ng ườ i truy ề n thông, nh ữ ng ng ườ i dùng đ i ệ n tho ạ i di độ ng, nh ữ ng ng ườ i ho ạ t độ ng kinh doanh bên ngoài nh ư nh ữ ng yêu c ầ u kinh doanh đ ã đ òi h ỏ i..
- Đơ n gi ả n hóa nh ữ ng gánh n ặ ng..
- Nh ữ ng c ấ u trúc m ạ ng ố ng, vì th ế gi ả m vi ệ c qu ả n lý nh ữ ng gánh n ặ ng: S ử d ụ ng m ộ t giao th ứ c Internet backbone lo ạ i tr ừ nh ữ ng PVC t ĩ nh h ợ p v ớ i k ế t n ố i h ướ ng nh ữ ng giao th ứ c nh ư là Frame Rely và ATM..
- T ă ng tình b ả o m ậ t: các d ữ li ệ u quan tr ọ ng s ẽ đượ c che gi ấ u đố i v ớ i nh ữ ng ng ườ i không có quy ề n truy c ậ p và cho phép truy c ậ p đố i v ớ i nh ữ ng ng ườ i dùng có quy ề n truy c ậ p..
- Address Management: cung c ấ p đị a ch ỉ IP h ợ p l ệ cho ng ườ i dùng sau khi gia nh ậ p h ệ th ố ng VPN để có th ể truy c ậ p tài nguyên trên m ạ ng n ộ i b ộ.
- Cisco VPN Concentrator series: Đư a ra nh ữ ng tính n ă ng m ạ nh trong vi ệ c đ i ề u khi ể n truy c ậ p t ừ xa và t ươ ng thích v ớ I d ạ ng site-to-site VPN.
- L2TP ra đờ i sau v ớ i nh ữ ng tính n ă ng đượ c tích h ợ p t ừ L2F..
- L2TP cho phép ng ườ i dùng có th ể k ế t n ố i thông qua các chính sách b ả o m ậ t c ủ a công ty (security policies) để t ạ o VPN hay VPDN nh ư là s ự m ở r ộ ng c ủ a m ạ ng n ộ i b ộ công ty..
- Giao th ứ c m ở r ộ ng này s ử d ụ ng PPP để cho phép truy c ậ p VPN b ở i nh ữ ng ng ườ I s ử d ụ ng t ừ xa..
- GRE tunneling cho phép các giao th ứ c khác có th ể thu ậ n l ợ i trong vi ệ c đị nh tuy ế n cho gói IP..
- Nó không cung c ấ p s ự mã hóa cho các công vi ệ c l ớ n nh ư ng nó d ễ cài đặ t và tri ể n khai và là m ộ t gi ả I pháp truy c ậ p t ừ xa ch ỉ có th ể làm đượ c trên m ạ ng MS.
- H ổ tr ợ cho nh ữ ng ng ườ i có nhi ệ m v ụ c ấ u hình, b ả o trì và qu ả n lý RAS và h ổ tr ợ truy c ậ p t ừ xa b ở i ng ườ i dùng..
- B ằ ng vi ệ c tri ể n khai Remote Access VPNs, nh ữ ng ng ườ i dùng t ừ xa ho ặ c các chi nhánh v ă n phòng ch ỉ c ầ n cài đặ t m ộ t k ế t n ố i c ụ c b ộ đế n nhà cung c ấ p d ị ch v ụ ISP ho ặ c ISP’s POP và k ế t n ố i đế n tài nguyên thông qua Internet.
- Vi ệ c quay s ố t ừ nh ữ ng kho ả ng cách xa đượ c lo ạ i tr ừ , thay vào đ ó, nh ữ ng k ế t n ố i v ớ i kho ả ng cách xa s ẽ đượ c thay th ế b ở i các k ế t n ố i c ụ c b ộ.
- Do đ ây là m ộ t k ế t n ố i mang tính c ụ c b ộ , do v ậ y t ố c độ n ố i k ế t s ẽ cao h ơ n so v ớ i k ế t n ố i tr ự c ti ế p đế n nh ữ ng kho ả ng cách xa..
- Ngoài nh ữ ng thu ậ n l ợ i trên, VPNs c ũ ng t ồ n t ạ i m ộ t s ố b ấ t l ợ i khác nh ư.
- Lan-to-Lan VPN có th ể đượ c xem nh ư là intranet VPN ho ặ c extranet VPN(xem xét v ề m ặ t chính sách qu ả n lý).
- Tính ch ặ t ch ẽ trong vi ệ c truy c ậ p gi ữ a các site có th ể đượ c đ i ề u khi ể n b ở i c ả hai(intranet và extranet VPN) theo các site t ươ ng ứ ng c ủ a chúng.
- VPN không là m ộ t remote access VPN nh ư ng nó đượ c thêm vào đ ây vì tính ch ấ t hoàn thi ệ n c ủ a nó..
- M ặ c dù m ộ t m ạ ng có th ể có nhi ề u thi ế t b ị VPN đ ang v ậ n hành.
- đườ ng h ầ m b ả o m ậ t này có th ể s ử d ụ ng các giao th ứ c PPTP, L2TP, ho ặ c IPSec, m ụ c đ ích c ủ a Lan-to-Lan VPN là k ế t n ố I hai m ạ ng không có đườ ng n ố I l ạ I v ớ I nhau, không có vi ệ c th ỏ a hi ệ p tích h ợ p, ch ứ ng th ự c, s ự c ẩ n m ậ t c ủ a d ữ li ệ u.
- Nh ữ ng thu ậ n l ợ i chính c ủ a Intranet setup d ự a trên VPN theo hình 1-5.
- B ở i vì Internet ho ạ t độ ng nh ư m ộ t k ế t n ố i trung gian, nó d ễ dàng cung c ấ p nh ữ ng k ế t n ố i m ớ i ngang hàng..
- Nh ữ ng b ấ t l ợ i chính k ế t h ợ p v ớ i cách gi ả i quy ế t.
- B ở i vì d ữ li ệ u v ẫ n còn tunnel trong su ố t quá trình chia s ẽ trên m ạ ng công c ộ ng- Internet-và nh ữ ng nguy c ơ t ấ n công, nh ư t ấ n công b ằ ng t ừ ch ố i d ị ch v ụ (denial-of- service), v ẫ n còn là m ộ t m ố i đ e do ạ an toàn thông tin..
- Không gi ố ng nh ư Intranet và Remote Access-based, Extranet không hoàn toàn cách li t ừ bên ngoài (outer-world), Extranet cho phép truy c ậ p nh ữ ng tài nguyên m ạ ng c ầ n thi ế t c ủ a các đố i tác kinh doanh, ch ẳ ng h ạ n nh ư khách hàng, nhà cung c ấ p, đố i tác nh ữ ng ng ườ i gi ữ vai trò quan tr ọ ng trong t ổ ch ứ c..
- S ẽ có nh ữ ng v ấ n đề b ạ n g ặ p ph ả i b ấ t thình lình khi k ế t n ố i m ộ t Intranet vào m ộ t m ạ ng Extranet.
- B ở i vì IPSec đượ c tích h ợ p ch ặ t ch ẽ v ớ i IP, nên nh ữ ng ứ ng d ụ ng có th ể dùng các d ị ch v ụ k ế th ừ a tính n ă ng b ả o m ậ t mà không c ầ n ph ả i có s ự thay đổ i l ớ n lao nào.
- Đ ây là m ộ t tr ườ ng 32 bit dùng nh ậ n d ạ ng giao th ứ c b ả o m ậ t, đượ c đị nh ngh ĩ a b ở i tr ườ ng Security protocol, trong b ộ IPSec đ ang dùng..
- M ặ c dù nó có th ể là đị a ch ỉ broadcast, unicast, hay multicast, nh ư ng c ơ ch ế qu ả n lý hi ệ n t ạ i c ủ a SA ch ỉ đượ c đị nh ngh ĩ a cho h ệ th ố ng unicast..
- Ph ầ n này mô t ả giao th ứ c b ả o m ậ t IPSec, có th ể là AH ho ặ c ESP..
- Gi ố ng nh ư firewall rules và packet filters, nh ữ ng đ i ể m truy c ậ p này đị nh ngh ĩ a l ư u l ượ ng nào đượ c x ữ lý và l ư u l ượ ng nào b ị t ừ ch ố i theo t ừ ng chu ẩ n c ủ a IPSec..
- IPSec c ũ ng dùng c ơ ch ế t ạ o h ầ m để ẩ n đị a ch ỉ IP c ủ a nút ngu ồ n (ng ườ i g ử i) và nút đ ích (ng ườ i nh ậ n) t ừ nh ữ ng k ẻ nghe lén..
- M ộ t ph ầ n quan tr ọ ng n ữ a, IPSec phân ph ố i và ki ể m tra các khóa mã và c ậ p nh ậ t nh ữ ng khóa đ ó khi đượ c yêu c ầ u..
- Nh ữ ng giao th ứ c này bao g ồ m Authentication Header (AH) và Encapsulating Security Payload (ESP)..
- C ả AH và ESP có th ể làm vi ệ c v ớ i m ộ t trong hai ch ế độ này..
- Transport mode có th ể đượ c dùng khi c ả hai host h ỗ tr ợ IPSec.
- Ch ế độ này cho phép nh ữ ng thi ế t b ị m ạ ng, ch ẳ ng h ạ n nh ư router, ho ạ t độ ng nh ư m ộ t IPSec proxy th ự c hi ệ n ch ứ c n ă ng mã hóa thay cho host.
- V ớ i tunnel ho ạ t độ ng gi ữ a hai security gateway, đị a ch ỉ ngu ồ n và đ ích có th ể đượ c mã hóa.
- C ơ ch ế IKE, m ặ c dù không nhanh, nh ư ng hi ệ u qu ả cao b ở vì m ộ t l ượ ng l ớ n nh ữ ng hi ệ p h ộ i b ả o m ậ t th ỏ a thu ậ n v ớ i nhau v ớ i m ộ t vài thông đ i ệ p khá ít..
- Kênh b ả o m ậ t này ph ả i đượ c thi ế t l ậ p tr ướ c khi có b ấ t k ỳ th ỏ a thu ậ n nào x ả y ra..
- Theo sau là nh ữ ng thông tin đượ c dùng để phát sinh khóa bí m ậ t.
- Sau khi trao đổ i các thông tin c ầ n thi ế t, c ả hai bên phát sinh nh ữ ng key riêng c ủ a chính mình s ử d ụ ng chúng để chia s ẽ bí m ậ t.
- Theo cách này, nh ữ ng khóa mã hóa đượ c phát sinh mà không c ầ n th ự c s ự trao đổ i b ấ t k ỳ khóa nào thông qua m ạ ng..
- Đ i ể n hình, s ự th ỏ a thu ậ n có th ể l ặ p l ạ i sau 4-5 phút.
- S ự thay đổ i th ườ ng xuyên các mã khóa ng ă n c ả n các hacker b ẻ gãy nh ữ ng khóa này và sau đ ó là n ộ i dung c ủ a gói d ữ li ệ u..
- Tuy nhiên, nhi ề u s ự thay đổ i ở giai đ o ạ n II c ũ ng có th ể đượ c h ổ tr ợ b ở i m ộ t tr ườ ng h ợ p đơ n ở giai đ o ạ n I.
- Nh ữ ng khóa sau này th ự c hi ệ n m ộ t vai tro quan tr ọ ng trong c ơ ch ế mã hóa..
- Thông đ i ệ p cu ố i cùng dùng để xác nh ậ n ng ườ i g ử i (ho ặ c b ộ kh ở i t ạ o c ủ a phiên làm vi ệ c)..
- Ngoài ra, Quick mode c ũ ng có th ể phát sinh khóa chính m ớ i.
- M ặ c dù ch ế độ này đượ c th ự c hi ệ n sau giai đ o ạ n I, nh ư ng nó không thu ộ c giai đ o ạ n II..
- Ch ế độ này cung c ấ p cho các bên có liên quan m ộ t s ố thông tin thêm, xu ấ t phát t ừ nh ữ ng th ấ t b ạ i trong quá trình th ỏ a thu ậ n.
- ROM : là b ộ nh ớ t ổ ng quát trên m ộ t con chip ho ặ c nhi ề u con.
- Nó còn có th ể n ằ m trên b ả ng m ạ ch b ộ vi x ử lý c ủ a router.
- Flash : b ộ nh ớ Flash n ằ m trên b ả ng m ạ ch SIMM nh ư ng nó có th ể đượ c m ở r ộ ng b ằ ng cách s ử d ụ ng th ẻ PCMCIA (có th ể tháo r ờ i).
- Các file c ấ u hình hay thông tin h ệ th ố ng c ũ ng có th ể đượ c sao chép lên flash.
- RAM : là b ộ nh ớ r ấ t nhanh nh ư ng nó làm m ấ t thông tin khi h ệ th ố ng kh ở i độ ng l ạ i.
- H ầ u h ế t các router đề u có c ổ ng auxiliary, nó t ươ ng t ự nh ư c ổ ng console nh ư ng đặ c tr ư ng h ơ n, đượ c dùng cho k ế t n ố i modem để qu ả n lý router t ừ xa..
- Sau đ ó IOS s ẽ c ấ u hình h ệ th ố ng d ự a trên nh ữ ng thông tin nh ậ n đượ c.
- Sau khi hoàn t ấ t vi ệ c cài đặ t, c ấ u hình th ườ ng s ử d ụ ng nh ấ t đượ c ch ỉ nh s ử a b ằ ng cách dùng giao di ệ n câu l ệ nh (CLI).
- Cisco có 3 mode l ệ nh, v ớ i t ừ ng mode s ẽ có quy ề n truy c ậ p t ớ i nh ữ ng b ộ l ệ nh khác nhau.
- User mode có th ể đượ c nh ậ n ra b ở i ký hi ệ u >.
- Privileged mode có th ể đượ c nh ậ n ra b ở i ký hi ệ u # ngay sau tên router.
- configuration mode, nó có th ể đượ c nh ậ n ra b ở i ký hi ệ u (config)# ngay sau tên router..
- Để thoát kh ỏ i configuration mode, ng ườ i s ủ d ụ ng có th ể gõ end hay nh ấ n t ổ h ợ p phím Ctrl-Z.
- Ký hi ệ u ? c ũ ng có th ể s ử d ụ ng ở gi ữ a câu l ệ nh để xem các tu ỳ ch ọ n ph ứ c t ạ p c ủ a câu l ệ nh.
- Example 4-2 hi ể n th ị cách s ử d ụ ng câu l ệ nh ? v ớ i t ừ ng mode.
- M ỗ i interface c ầ n có nh ữ ng thông s ố ch ắ c ch ắ n nh ư s ự đ óng gói và đị a ch ỉ đượ c cài đặ t tr ướ c khi interface có th ể s ử d ụ ng m ộ t cách đ úng đắ n.
- Và để xoá các cài đặ t transform set dùng l ệ nh d ạ ng no..
- Nh ữ ng transform đượ c đị nh ngh ĩ a cho giao th ứ c b ả o m ậ t IPSec (IPSec Security Protocol) và thu ậ t tóan.
- B ạ n có th ể c ấ u hình nhi ề u transform set và ch ỉ rõ m ộ t hay nhi ề u transform set trong m ụ c crypto map.
- B2: Xóa các transform set trong ch ế độ c ấ u hình gobal mode B3: C ấ u hình l ạ i transform set v ớ i nh ữ ng thay đổ i.
- Tranform set đượ c trao đổ i trong su ố t ch ế độ quick mode trong IKE Phase 2 là nh ữ ng các transform set mà b ạ n c ấ u hình ư u tiên s ử d ụ ng.
- B ạ n có th ể c ấ u hình nhi ề u transform set và có th ể ch ỉ ra m ộ t hay nhi ề u transform set trong m ụ c crypto map.
- C ấ u hình transform set t ừ nh ữ ng b ả o m ậ t thông th ườ ng nh ỏ nh ấ t gi ố ng nh ư trong chính sách b ả o m ậ t c ủ a b ạ n.
- Nh ữ ng transform set đượ c đị nh ngh ĩ a trong m ụ c crypto map đượ c s ử d ụ ng trong trao đổ i IPSec SA để b ả o v ệ d ữ li ệ u đượ c đị nh ngh ĩ a b ở i ACL c ủ a m ụ c crypto map..
- Cisco IOS h ỗ tr ợ giá tr ị th ờ i gian t ồ n t ạ i có th ể áp d ụ ng lên t ấ t c ả các crypto map.
- Giá tr ị c ủ a global lifetime có th ể đượ c ghi đ è v ớ i nh ữ ng m ụ c trong crypto map..
- B ạ n có th ể thay đổ i giá tr ị th ờ i gian t ồ n t ạ i c ủ a IPSec SA b ằ ng câu l ệ nh crypto ipsec security-association lifetime ở ch ế độ global configuration mode.
- B ả n thân th ờ i gian t ồ n t ạ i c ủ a m ỗ i IPSec SA có th ể đượ c c ấ u hình b ằ ng cách s ử d ụ ng crypto map..
- Outbound: Ch ọ n nh ữ ng traffic đượ c b ả o v ệ b ở i IPSec.
- Nh ữ ng traffic còn l ạ i s ẽ đượ c g ử i ở d ạ ng không mã hóa..
- Inbound: N ế u có yêu c ầ u thì inbound access list có th ể t ạ o để l ọ c ra và l ọ ai b ỏ nh ữ ng traffic kho đượ c b ả o v ệ b ở i IPSec..
- Cryto ACLs đượ c đị nh ngh ĩ a để b ả o v ệ nh ữ ng d ữ li ệ u đượ c truy ề n t ả i trên m ạ ng..
- Đ ó là cho phép (permit) ch ỉ nh ữ ng gói d ữ li ệ u đ ánh d ấ u m ớ i đượ c mã hóa và t ừ ch ố i (deny) v ớ i nh ữ ng gói d ữ li ệ u đượ c đ ánh d ấ u m ớ i không đượ c mã hóa.
- Crypto ACLs h ọ at độ ng t ươ ng t ự nh ư extendeds IP ACL đ ó là ch ỉ áp d ụ ng trên nh ữ ng lu ồ ng d ữ li ệ u đ i ra (outbound traffic) trên m ộ t interface..
- Deny Cho bi ế t nh ữ ng lu ồ ng d ữ li ệ u (traffic) t ừ router nào t ớ i router nào là an tòan Source and destination Đ ó là nh ữ ng m ạ ng (network), m ạ ng con.
- Ghi chú: M ặ c dù c ấ u trúc ACL là không đổ i nh ư ng v ề ý ngh ĩ a có khác so v ớ i cryto ACLs.
- Đ ó là ch ỉ cho phép (permit) nh ữ ng gói d ữ li ệ u đượ c đ ánh d ấ u m ớ i đượ c mã hóa và t ừ ch ố i (deny) nh ữ ng gói d ữ li ệ u đượ c đ ánh d ấ u không đượ c mã hóa..
- Hai ACLs khác nhau s ẽ đượ c s ử d ụ ng trong nh ữ ng m ụ c crypto map khác nhau c ủ a nh ữ ng IPSec policy khác nhau..
- Chú ý: Cisco khuy ế n cáo b ạ n nên tránh vi ệ c s ử d ụ ng t ừ khóa any để nh ữ ng đị a ch ỉ n ơ i g ử i và đ ích t ớ i.
- Ph ả i gi ớ i h ạ n nh ữ ng cái c ầ n thi ế t khi mà đị nh ngh ĩ a nh ữ ng gói d ữ li ệ u đượ c b ả o m ậ t trong cryptoACLs

Xem thử không khả dụng, vui lòng xem tại trang nguồn
hoặc xem Tóm tắt