- V ớ i Internet, nh ữ ng d ị ch v ụ nh ư giáo d ụ c t ừ xa, mua hàng tr ự c tuy ế n, t ư v ấ n y t ế , và r ấ t nhi ề u đ i ề u khác đ ã tr ở thành hi ệ n th ự c.Tuy nhiên, do Internet có ph ạ m vi toàn c ầ u và không m ộ t t ổ ch ứ c, chính ph ủ c ụ th ể nào qu ả n lý nên r ấ t khó kh ă n trong. - T ừ đ ó ng ườ i ta đ ã đư a ra m ộ t mô hình m ạ ng m ớ i nh ằ m tho ả mãn nh ữ ng yêu c ầ u trên mà v ẫ n có th ể t ậ n d ụ ng l ạ i nh ữ ng c ơ s ở h ạ t ầ ng hi ệ n có c ủ a Internet, đ ó chính là mô hình m ạ ng riêng ả o (Virtual Private Network - VPN). - V ớ i mô hình m ớ i này, ng ườ i ta không ph ả i đầ u t ư thêm nhi ề u v ề c ơ s ở h ạ t ầ ng mà các tính n ă ng nh ư b ả o m ậ t, độ tin c ậ y v ẫ n đả m b ả o, đồ ng th ờ i có th ể qu ả n lý riêng đượ c s ự ho ạ t độ ng c ủ a m ạ ng này. - Để có th ể g ử i và nh ậ n d ữ li ệ u thông qua m ạ ng công c ộ ng mà v ẫ n b ả o đả m tính an tòan và b ả o m ậ t VPN cung c ấ p các c ơ ch ế mã hóa d ữ li ệ u trên đườ ng truy ề n t ạ o ra m ộ t đườ ng ố ng b ả o m ậ t gi ữ a n ơ i nh ậ n và n ơ i g ử i (Tunnel) gi ố ng nh ư m ộ t k ế t n ố i point-to-point trên m ạ ng riêng. - Để có th ể t ạ o ra m ộ t đườ ng ố ng b ả o m ậ t đ ó, d ữ li ệ u ph ả i đượ c mã hóa hay che gi ấ u đ i ch ỉ cung c ấ p ph ầ n đầ u gói d ữ li ệ u (header) là thông tin v ề đườ ng đ i cho phép nó có th ể đ i đế n đ ích thông qua m ạ ng công c ộ ng m ộ t cách nhanh chóng. - VPN cung c ấ p nhi ề u đặ c tính h ơ n so v ớ i nh ữ ng m ạ ng truy ề n th ố ng và nh ữ ng m ạ ng m ạ ng leased-line.Nh ữ ng l ợ i ích đầ u tiên bao g ồ m:. - Chi phí th ấ p h ơ n nh ữ ng m ạ ng riêng: VPN có th ể gi ả m chi phí khi truy ề n t ớ i 20- 40% so v ớ i nh ữ ng m ạ ng thu ộ c m ạ ng leased-line và gi ả m vi ệ c chi phí truy c ậ p t ừ xa t ừ 60-80%.. - Tính linh ho ạ t cho kh ả n ă ng kinh t ế trên Internet: VPN v ố n đ ã có tính linh ho ạ t và có th ể leo thang nh ữ ng ki ế n trúc m ạ ng h ơ n là nh ữ ng m ạ ng c ổ đ i ể n, b ằ ng cách đ ó nó có th ể ho ạ t độ ng kinh doanh nhanh chóng và chi phí m ộ t cách hi ệ u qu ả cho vi ệ c k ế t n ố i m ở r ộ ng. - Theo cách này VPN có th ể d ễ dàng k ế t n ố i ho ặ c ng ắ t k ế t n ố i t ừ xa c ủ a nh ữ ng v ă n phòng, nh ữ ng v ị trí ngoài qu ố c t ế ,nh ữ ng ng ườ i truy ề n thông, nh ữ ng ng ườ i dùng đ i ệ n tho ạ i di độ ng, nh ữ ng ng ườ i ho ạ t độ ng kinh doanh bên ngoài nh ư nh ữ ng yêu c ầ u kinh doanh đ ã đ òi h ỏ i.. - Đơ n gi ả n hóa nh ữ ng gánh n ặ ng.. - Nh ữ ng c ấ u trúc m ạ ng ố ng, vì th ế gi ả m vi ệ c qu ả n lý nh ữ ng gánh n ặ ng: S ử d ụ ng m ộ t giao th ứ c Internet backbone lo ạ i tr ừ nh ữ ng PVC t ĩ nh h ợ p v ớ i k ế t n ố i h ướ ng nh ữ ng giao th ứ c nh ư là Frame Rely và ATM.. - T ă ng tình b ả o m ậ t: các d ữ li ệ u quan tr ọ ng s ẽ đượ c che gi ấ u đố i v ớ i nh ữ ng ng ườ i không có quy ề n truy c ậ p và cho phép truy c ậ p đố i v ớ i nh ữ ng ng ườ i dùng có quy ề n truy c ậ p.. - Address Management: cung c ấ p đị a ch ỉ IP h ợ p l ệ cho ng ườ i dùng sau khi gia nh ậ p h ệ th ố ng VPN để có th ể truy c ậ p tài nguyên trên m ạ ng n ộ i b ộ. - Cisco VPN Concentrator series: Đư a ra nh ữ ng tính n ă ng m ạ nh trong vi ệ c đ i ề u khi ể n truy c ậ p t ừ xa và t ươ ng thích v ớ I d ạ ng site-to-site VPN. - L2TP ra đờ i sau v ớ i nh ữ ng tính n ă ng đượ c tích h ợ p t ừ L2F.. - L2TP cho phép ng ườ i dùng có th ể k ế t n ố i thông qua các chính sách b ả o m ậ t c ủ a công ty (security policies) để t ạ o VPN hay VPDN nh ư là s ự m ở r ộ ng c ủ a m ạ ng n ộ i b ộ công ty.. - Giao th ứ c m ở r ộ ng này s ử d ụ ng PPP để cho phép truy c ậ p VPN b ở i nh ữ ng ng ườ I s ử d ụ ng t ừ xa.. - GRE tunneling cho phép các giao th ứ c khác có th ể thu ậ n l ợ i trong vi ệ c đị nh tuy ế n cho gói IP.. - Nó không cung c ấ p s ự mã hóa cho các công vi ệ c l ớ n nh ư ng nó d ễ cài đặ t và tri ể n khai và là m ộ t gi ả I pháp truy c ậ p t ừ xa ch ỉ có th ể làm đượ c trên m ạ ng MS. - H ổ tr ợ cho nh ữ ng ng ườ i có nhi ệ m v ụ c ấ u hình, b ả o trì và qu ả n lý RAS và h ổ tr ợ truy c ậ p t ừ xa b ở i ng ườ i dùng.. - B ằ ng vi ệ c tri ể n khai Remote Access VPNs, nh ữ ng ng ườ i dùng t ừ xa ho ặ c các chi nhánh v ă n phòng ch ỉ c ầ n cài đặ t m ộ t k ế t n ố i c ụ c b ộ đế n nhà cung c ấ p d ị ch v ụ ISP ho ặ c ISP’s POP và k ế t n ố i đế n tài nguyên thông qua Internet. - Vi ệ c quay s ố t ừ nh ữ ng kho ả ng cách xa đượ c lo ạ i tr ừ , thay vào đ ó, nh ữ ng k ế t n ố i v ớ i kho ả ng cách xa s ẽ đượ c thay th ế b ở i các k ế t n ố i c ụ c b ộ. - Do đ ây là m ộ t k ế t n ố i mang tính c ụ c b ộ , do v ậ y t ố c độ n ố i k ế t s ẽ cao h ơ n so v ớ i k ế t n ố i tr ự c ti ế p đế n nh ữ ng kho ả ng cách xa.. - Ngoài nh ữ ng thu ậ n l ợ i trên, VPNs c ũ ng t ồ n t ạ i m ộ t s ố b ấ t l ợ i khác nh ư. - Lan-to-Lan VPN có th ể đượ c xem nh ư là intranet VPN ho ặ c extranet VPN(xem xét v ề m ặ t chính sách qu ả n lý). - Tính ch ặ t ch ẽ trong vi ệ c truy c ậ p gi ữ a các site có th ể đượ c đ i ề u khi ể n b ở i c ả hai(intranet và extranet VPN) theo các site t ươ ng ứ ng c ủ a chúng. - VPN không là m ộ t remote access VPN nh ư ng nó đượ c thêm vào đ ây vì tính ch ấ t hoàn thi ệ n c ủ a nó.. - M ặ c dù m ộ t m ạ ng có th ể có nhi ề u thi ế t b ị VPN đ ang v ậ n hành. - đườ ng h ầ m b ả o m ậ t này có th ể s ử d ụ ng các giao th ứ c PPTP, L2TP, ho ặ c IPSec, m ụ c đ ích c ủ a Lan-to-Lan VPN là k ế t n ố I hai m ạ ng không có đườ ng n ố I l ạ I v ớ I nhau, không có vi ệ c th ỏ a hi ệ p tích h ợ p, ch ứ ng th ự c, s ự c ẩ n m ậ t c ủ a d ữ li ệ u. - Nh ữ ng thu ậ n l ợ i chính c ủ a Intranet setup d ự a trên VPN theo hình 1-5. - B ở i vì Internet ho ạ t độ ng nh ư m ộ t k ế t n ố i trung gian, nó d ễ dàng cung c ấ p nh ữ ng k ế t n ố i m ớ i ngang hàng.. - Nh ữ ng b ấ t l ợ i chính k ế t h ợ p v ớ i cách gi ả i quy ế t. - B ở i vì d ữ li ệ u v ẫ n còn tunnel trong su ố t quá trình chia s ẽ trên m ạ ng công c ộ ng- Internet-và nh ữ ng nguy c ơ t ấ n công, nh ư t ấ n công b ằ ng t ừ ch ố i d ị ch v ụ (denial-of- service), v ẫ n còn là m ộ t m ố i đ e do ạ an toàn thông tin.. - Không gi ố ng nh ư Intranet và Remote Access-based, Extranet không hoàn toàn cách li t ừ bên ngoài (outer-world), Extranet cho phép truy c ậ p nh ữ ng tài nguyên m ạ ng c ầ n thi ế t c ủ a các đố i tác kinh doanh, ch ẳ ng h ạ n nh ư khách hàng, nhà cung c ấ p, đố i tác nh ữ ng ng ườ i gi ữ vai trò quan tr ọ ng trong t ổ ch ứ c.. - S ẽ có nh ữ ng v ấ n đề b ạ n g ặ p ph ả i b ấ t thình lình khi k ế t n ố i m ộ t Intranet vào m ộ t m ạ ng Extranet. - B ở i vì IPSec đượ c tích h ợ p ch ặ t ch ẽ v ớ i IP, nên nh ữ ng ứ ng d ụ ng có th ể dùng các d ị ch v ụ k ế th ừ a tính n ă ng b ả o m ậ t mà không c ầ n ph ả i có s ự thay đổ i l ớ n lao nào. - Đ ây là m ộ t tr ườ ng 32 bit dùng nh ậ n d ạ ng giao th ứ c b ả o m ậ t, đượ c đị nh ngh ĩ a b ở i tr ườ ng Security protocol, trong b ộ IPSec đ ang dùng.. - M ặ c dù nó có th ể là đị a ch ỉ broadcast, unicast, hay multicast, nh ư ng c ơ ch ế qu ả n lý hi ệ n t ạ i c ủ a SA ch ỉ đượ c đị nh ngh ĩ a cho h ệ th ố ng unicast.. - Ph ầ n này mô t ả giao th ứ c b ả o m ậ t IPSec, có th ể là AH ho ặ c ESP.. - Gi ố ng nh ư firewall rules và packet filters, nh ữ ng đ i ể m truy c ậ p này đị nh ngh ĩ a l ư u l ượ ng nào đượ c x ữ lý và l ư u l ượ ng nào b ị t ừ ch ố i theo t ừ ng chu ẩ n c ủ a IPSec.. - IPSec c ũ ng dùng c ơ ch ế t ạ o h ầ m để ẩ n đị a ch ỉ IP c ủ a nút ngu ồ n (ng ườ i g ử i) và nút đ ích (ng ườ i nh ậ n) t ừ nh ữ ng k ẻ nghe lén.. - M ộ t ph ầ n quan tr ọ ng n ữ a, IPSec phân ph ố i và ki ể m tra các khóa mã và c ậ p nh ậ t nh ữ ng khóa đ ó khi đượ c yêu c ầ u.. - Nh ữ ng giao th ứ c này bao g ồ m Authentication Header (AH) và Encapsulating Security Payload (ESP).. - C ả AH và ESP có th ể làm vi ệ c v ớ i m ộ t trong hai ch ế độ này.. - Transport mode có th ể đượ c dùng khi c ả hai host h ỗ tr ợ IPSec. - Ch ế độ này cho phép nh ữ ng thi ế t b ị m ạ ng, ch ẳ ng h ạ n nh ư router, ho ạ t độ ng nh ư m ộ t IPSec proxy th ự c hi ệ n ch ứ c n ă ng mã hóa thay cho host. - V ớ i tunnel ho ạ t độ ng gi ữ a hai security gateway, đị a ch ỉ ngu ồ n và đ ích có th ể đượ c mã hóa. - C ơ ch ế IKE, m ặ c dù không nhanh, nh ư ng hi ệ u qu ả cao b ở vì m ộ t l ượ ng l ớ n nh ữ ng hi ệ p h ộ i b ả o m ậ t th ỏ a thu ậ n v ớ i nhau v ớ i m ộ t vài thông đ i ệ p khá ít.. - Kênh b ả o m ậ t này ph ả i đượ c thi ế t l ậ p tr ướ c khi có b ấ t k ỳ th ỏ a thu ậ n nào x ả y ra.. - Theo sau là nh ữ ng thông tin đượ c dùng để phát sinh khóa bí m ậ t. - Sau khi trao đổ i các thông tin c ầ n thi ế t, c ả hai bên phát sinh nh ữ ng key riêng c ủ a chính mình s ử d ụ ng chúng để chia s ẽ bí m ậ t. - Theo cách này, nh ữ ng khóa mã hóa đượ c phát sinh mà không c ầ n th ự c s ự trao đổ i b ấ t k ỳ khóa nào thông qua m ạ ng.. - Đ i ể n hình, s ự th ỏ a thu ậ n có th ể l ặ p l ạ i sau 4-5 phút. - S ự thay đổ i th ườ ng xuyên các mã khóa ng ă n c ả n các hacker b ẻ gãy nh ữ ng khóa này và sau đ ó là n ộ i dung c ủ a gói d ữ li ệ u.. - Tuy nhiên, nhi ề u s ự thay đổ i ở giai đ o ạ n II c ũ ng có th ể đượ c h ổ tr ợ b ở i m ộ t tr ườ ng h ợ p đơ n ở giai đ o ạ n I. - Nh ữ ng khóa sau này th ự c hi ệ n m ộ t vai tro quan tr ọ ng trong c ơ ch ế mã hóa.. - Thông đ i ệ p cu ố i cùng dùng để xác nh ậ n ng ườ i g ử i (ho ặ c b ộ kh ở i t ạ o c ủ a phiên làm vi ệ c).. - Ngoài ra, Quick mode c ũ ng có th ể phát sinh khóa chính m ớ i. - M ặ c dù ch ế độ này đượ c th ự c hi ệ n sau giai đ o ạ n I, nh ư ng nó không thu ộ c giai đ o ạ n II.. - Ch ế độ này cung c ấ p cho các bên có liên quan m ộ t s ố thông tin thêm, xu ấ t phát t ừ nh ữ ng th ấ t b ạ i trong quá trình th ỏ a thu ậ n. - ROM : là b ộ nh ớ t ổ ng quát trên m ộ t con chip ho ặ c nhi ề u con. - Nó còn có th ể n ằ m trên b ả ng m ạ ch b ộ vi x ử lý c ủ a router. - Flash : b ộ nh ớ Flash n ằ m trên b ả ng m ạ ch SIMM nh ư ng nó có th ể đượ c m ở r ộ ng b ằ ng cách s ử d ụ ng th ẻ PCMCIA (có th ể tháo r ờ i). - Các file c ấ u hình hay thông tin h ệ th ố ng c ũ ng có th ể đượ c sao chép lên flash. - RAM : là b ộ nh ớ r ấ t nhanh nh ư ng nó làm m ấ t thông tin khi h ệ th ố ng kh ở i độ ng l ạ i. - H ầ u h ế t các router đề u có c ổ ng auxiliary, nó t ươ ng t ự nh ư c ổ ng console nh ư ng đặ c tr ư ng h ơ n, đượ c dùng cho k ế t n ố i modem để qu ả n lý router t ừ xa.. - Sau đ ó IOS s ẽ c ấ u hình h ệ th ố ng d ự a trên nh ữ ng thông tin nh ậ n đượ c. - Sau khi hoàn t ấ t vi ệ c cài đặ t, c ấ u hình th ườ ng s ử d ụ ng nh ấ t đượ c ch ỉ nh s ử a b ằ ng cách dùng giao di ệ n câu l ệ nh (CLI). - Cisco có 3 mode l ệ nh, v ớ i t ừ ng mode s ẽ có quy ề n truy c ậ p t ớ i nh ữ ng b ộ l ệ nh khác nhau. - User mode có th ể đượ c nh ậ n ra b ở i ký hi ệ u >. - Privileged mode có th ể đượ c nh ậ n ra b ở i ký hi ệ u # ngay sau tên router. - configuration mode, nó có th ể đượ c nh ậ n ra b ở i ký hi ệ u (config)# ngay sau tên router.. - Để thoát kh ỏ i configuration mode, ng ườ i s ủ d ụ ng có th ể gõ end hay nh ấ n t ổ h ợ p phím Ctrl-Z. - Ký hi ệ u ? c ũ ng có th ể s ử d ụ ng ở gi ữ a câu l ệ nh để xem các tu ỳ ch ọ n ph ứ c t ạ p c ủ a câu l ệ nh. - Example 4-2 hi ể n th ị cách s ử d ụ ng câu l ệ nh ? v ớ i t ừ ng mode. - M ỗ i interface c ầ n có nh ữ ng thông s ố ch ắ c ch ắ n nh ư s ự đ óng gói và đị a ch ỉ đượ c cài đặ t tr ướ c khi interface có th ể s ử d ụ ng m ộ t cách đ úng đắ n. - Và để xoá các cài đặ t transform set dùng l ệ nh d ạ ng no.. - Nh ữ ng transform đượ c đị nh ngh ĩ a cho giao th ứ c b ả o m ậ t IPSec (IPSec Security Protocol) và thu ậ t tóan. - B ạ n có th ể c ấ u hình nhi ề u transform set và ch ỉ rõ m ộ t hay nhi ề u transform set trong m ụ c crypto map. - B2: Xóa các transform set trong ch ế độ c ấ u hình gobal mode B3: C ấ u hình l ạ i transform set v ớ i nh ữ ng thay đổ i. - Tranform set đượ c trao đổ i trong su ố t ch ế độ quick mode trong IKE Phase 2 là nh ữ ng các transform set mà b ạ n c ấ u hình ư u tiên s ử d ụ ng. - B ạ n có th ể c ấ u hình nhi ề u transform set và có th ể ch ỉ ra m ộ t hay nhi ề u transform set trong m ụ c crypto map. - C ấ u hình transform set t ừ nh ữ ng b ả o m ậ t thông th ườ ng nh ỏ nh ấ t gi ố ng nh ư trong chính sách b ả o m ậ t c ủ a b ạ n. - Nh ữ ng transform set đượ c đị nh ngh ĩ a trong m ụ c crypto map đượ c s ử d ụ ng trong trao đổ i IPSec SA để b ả o v ệ d ữ li ệ u đượ c đị nh ngh ĩ a b ở i ACL c ủ a m ụ c crypto map.. - Cisco IOS h ỗ tr ợ giá tr ị th ờ i gian t ồ n t ạ i có th ể áp d ụ ng lên t ấ t c ả các crypto map. - Giá tr ị c ủ a global lifetime có th ể đượ c ghi đ è v ớ i nh ữ ng m ụ c trong crypto map.. - B ạ n có th ể thay đổ i giá tr ị th ờ i gian t ồ n t ạ i c ủ a IPSec SA b ằ ng câu l ệ nh crypto ipsec security-association lifetime ở ch ế độ global configuration mode. - B ả n thân th ờ i gian t ồ n t ạ i c ủ a m ỗ i IPSec SA có th ể đượ c c ấ u hình b ằ ng cách s ử d ụ ng crypto map.. - Outbound: Ch ọ n nh ữ ng traffic đượ c b ả o v ệ b ở i IPSec. - Nh ữ ng traffic còn l ạ i s ẽ đượ c g ử i ở d ạ ng không mã hóa.. - Inbound: N ế u có yêu c ầ u thì inbound access list có th ể t ạ o để l ọ c ra và l ọ ai b ỏ nh ữ ng traffic kho đượ c b ả o v ệ b ở i IPSec.. - Cryto ACLs đượ c đị nh ngh ĩ a để b ả o v ệ nh ữ ng d ữ li ệ u đượ c truy ề n t ả i trên m ạ ng.. - Đ ó là cho phép (permit) ch ỉ nh ữ ng gói d ữ li ệ u đ ánh d ấ u m ớ i đượ c mã hóa và t ừ ch ố i (deny) v ớ i nh ữ ng gói d ữ li ệ u đượ c đ ánh d ấ u m ớ i không đượ c mã hóa. - Crypto ACLs h ọ at độ ng t ươ ng t ự nh ư extendeds IP ACL đ ó là ch ỉ áp d ụ ng trên nh ữ ng lu ồ ng d ữ li ệ u đ i ra (outbound traffic) trên m ộ t interface.. - Deny Cho bi ế t nh ữ ng lu ồ ng d ữ li ệ u (traffic) t ừ router nào t ớ i router nào là an tòan Source and destination Đ ó là nh ữ ng m ạ ng (network), m ạ ng con. - Ghi chú: M ặ c dù c ấ u trúc ACL là không đổ i nh ư ng v ề ý ngh ĩ a có khác so v ớ i cryto ACLs. - Đ ó là ch ỉ cho phép (permit) nh ữ ng gói d ữ li ệ u đượ c đ ánh d ấ u m ớ i đượ c mã hóa và t ừ ch ố i (deny) nh ữ ng gói d ữ li ệ u đượ c đ ánh d ấ u không đượ c mã hóa.. - Hai ACLs khác nhau s ẽ đượ c s ử d ụ ng trong nh ữ ng m ụ c crypto map khác nhau c ủ a nh ữ ng IPSec policy khác nhau.. - Chú ý: Cisco khuy ế n cáo b ạ n nên tránh vi ệ c s ử d ụ ng t ừ khóa any để nh ữ ng đị a ch ỉ n ơ i g ử i và đ ích t ớ i. - Ph ả i gi ớ i h ạ n nh ữ ng cái c ầ n thi ế t khi mà đị nh ngh ĩ a nh ữ ng gói d ữ li ệ u đượ c b ả o m ậ t trong cryptoACLs
Xem thử không khả dụng, vui lòng xem tại trang nguồn hoặc xem
Tóm tắt