IPSEC &VPN MỤC LỤC TRANG Mục Lục Trang Tổng quan Chương ipsec IPSec 2 Vai trò IPSec Những tính IPSec .4 Cấu trúc bảo mật 5 Làm việc 6 Giao thức sử dụng .7 Các chế độ 13 IKE 15 Chính sách bảo mật IPSec 21 10 Mối quan hệ chứng IPSec .21 Chương VPN Giới thiệu dạng VPN .22 Các yêu cầu Mạng riêng ảo 33 Bảo mật VPN 39 Khái niệm kỉ thuật đường hầm .55 Cấu hình 60 Tài liệu tham khảo 62 IPSEC &VPN Tổng quan Trong thập kỷ qua, Internet phát triển bùng nổ với tốc độ chóng mặt toàn giới số lượng kĩ thuật Và phát triển khơng có dấu hiệu dừng lại Sự phát triển không đơn giản số lượng lớn thành viên kết nối vào hệ thống Internet mà xâm nhập vào khía cạnh sống đại, vào hoạt động thương mại với quy mô lớn nhỏ khác Ban đầu, tổ chức quan sử dụng Internet để giới thiệu sản phẩm dịch vụ website Cùng với thời gian, phát triển thành thương mại điện tử, hoạt động kinh doanh, giao dịch thực qua mạng internet Bài toán đặt làm để bảo mật an toàn cho liệu trình truyền qua mạng? Làm bảo vệ chống lại cơng q trình truyền tải liệu đó? Sau tìm hiểu bảo mật liệu qua mạng việc sử dụng IPSec Vấn đề phát sinh tính bảo mật hiệu kinh việc truyền tải liệu qua mạng trung gian cơng cơng khơng an tồn Internet Để giải vấn đề này, giải pháp đưa mạng riêng ảo VPNs kết hợp với giao thức bảo mật IPSEC Chính điều động lực cho phát triển mạnh mẽ VPNs ngày CHƯƠNG : IPSEC IPSec gì? - IP Sercurity hay cịn gọi IPSec dựa tảng chuẩn cung cấp khoá cho phép bảo mật hai thiết bị mạng ngang hàng Hay nói cách khác tập hợp chuẩn, nguyên tắc định nghĩa để kiểm tra, xác thực mã hóa gói liệu IP để cung cấp cho kênh truyền dẫn mạng bảo mật -Thuật ngữ Internet Protocol Security (IPSec) Nó có quan hệ tới số giao thức (AH, ESP, FIP-140-1, số chuẩn khác) phát triển Internet Engineering Task Force (IETF) Mục đích việc phát triển IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI, hình vẽ: IPSEC &VPN -Mọi giao tiếp mạng sở IP dựa giao thức IP Do đó, chế bảo mật cao tích hợp với giao thức IP, tồn mạng bảo mật giao tiếp qua tầng (Đó lý IPSec phát triển giao thức tầng thay tầng 2) -Các giao thức bảo mật Internet khác SSL, TLS SSH, thực từ tầng transport layer trở lên (Từ tầng tới tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPSec, giao thức hoạt động từ tầng với TCP, UDP, hầu hết giao thức sử dụng tầng IPsec có tính cao cấp SSL phương thức khác hoạt động tầng mơ hình OSI Với ứng dụng sử dụng IPsec mã (code) không bị thay đổi, ứng dụng bắt buộc sử dụng SSL giao thức bảo mật tầng mơ hình OSI đoạn mã ứng dụng bị thay đổi lớn - Ngồi ra, với IPSec tất ứng dụng chạy tầng ứng dụng mơ hình OSI độc lập tầng định tuyến liệu từ nguồn đến đích Bởi IPSec tích hợp chặt chẽ với IP, nên ứng dụng dùng dịch vụ kế thừa tính bảo IPSEC &VPN mật mà khơng cần phải có thay đổi lớn lao Cũng giống IP, IPSec suốt với người dùng cuối, người mà không cần quan tâm đến chế bảo mật mở rộng liên tục đằng sau chuỗi hoạt động Vai trò IPSec + Cho phép xác thực hai chiều, trước q trình truyền tải liệu + Mã hóa đường truyền máy tính gửi qua mạng + Bảo vệ gói liệu IP phịng ngự công mạng không bảo mật + IPSec bảo vệ lưu lượng mạng việc sử dụng mã hóa đánh dấu liệu + Một sách IPSec cho phép định nghĩa loại lưu lượng mà IPSec kiểm tra cách lưu lượng bảo mật mã hóa Những Tính Năng IPSec (IPSec Security Protocol) -Tính xác nhận Tính nguyên vẹn liệu (Authentication and data integrity) IPSec cung cấp chế mạnh mẽ để xác nhận tính chất xác thực người gửi kiểm chứng sửa đổi khơng bảo vệ trước nội dung gói liệu người nhận Các giao thức IPSec đưa khả bảo vệ mạnh để chống lại dạng công giả mạo, đánh từ chối dịch vụ -Sự cẩn mật (Confidentiality) Các giao thức IPSec mã hóa liệu cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập liệu đường IPSec dùng chế tạo hầm để ẩn địa IP nút nguồn (người gửi) nút đích (người nhận) từ kẻ nghe - Quản lý khóa (Key management) IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bảo mật thuật tốn mã hóa trước suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối kiểm tra khóa mã cập nhật khóa yêu cầu - Hai tính IPSec, authentication and data integrity, confidentiality, cung cấp hai giao thức giao thức IPSec Những giao thức bao gồm Authentication Header (AH) Encapsulating Security Payload (ESP) IPSEC &VPN - Tính thứ ba, key management, nằm giao thức khác, IPSec chấp nhận dịch vụ quản lý khóa mạnh Giao thức IKE - SAs IPSec triển khai chế độ chế độ Transport chế độ Tunnel mơ tả hình 6-7 Cả AH ESP làm việc với hai chế độ Cấu trúc bảo mật -IPsec triển khai sử dụng giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trình truyền, phương thức xác thực thiết lập thơng số mã hố -Xây dựng IPSec sử dụng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kết hợp thuật tốn thơng số (ví khoá – keys) tảng việc mã hoá xác thực chiều Tuy nhiên giao tiếp hai chiều, giao thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật toán mã hoá xác thực lại phụ thuộc vào người quản trị IPsec IPsec bao gồm nhóm giao thức bảo mật đáp ứng mã hoá xác thực cho gói tin IP -Trong bước thực phải định cần bảo vệ cung cấp cho gói tin outgoing (đi ngồi), IPsec sử dụng thông số Security Parameter Index (SPI), trình Index (đánh thứ tự lưu liệu – Index ví danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài địa đích header gói tin, với nhận dạng thoả hiệp bảo mật (tạm dịch từ - security association) cho gói tin Một q trình tương tự làm với gói tin vào (incoming packet), nơi IPsec thực q trình giải mã kiểm tra khố từ SADB -Cho gói multicast, thoả hiệp bảo mật cung cấp cho group, thực cho tồn receiver group Có thể có thoả hiệp bảo mật cho group, cách sử dụng SPI khác nhau, nhiên cho phép thực IPSEC &VPN nhiều mức độ bảo mật cho group Mỗi người gửi có nhiều thoả hiệp bảo mật, cho phép xác thực, người nhận biết keys gửi liệu Chú ý chuẩn không miêu tả làm để thoả hiệp lựa chọn việc nhân từ group tới cá nhân 5.IPSec làm việc nào: IPSec Định nghĩa loại lưu lượng cần bảo vệ định nghĩa loại tùy chọn IPSec -Các sách cấu hình sách bảo mật cục thơng qua sách nhóm ID -Q trình thỏa thuận liên kết bảo mật modul khóa trao đổi với internet: IKE thỏa thuận với liên kết bảo mật -Môdul khóa internet kết hợp giao thức: Giao thức kết hợp bảo mật internet giao thức quản lí khóa IPSec sử dụng giao thức để thỏa thuận cách tích cực yêu cầu bảo mật cho phía máy tính với Các máy tính khơng địi hỏi phải có sách giống hệt mà chúng cần sách cấu hình tùy chọn thỏa thuận để cấu hình yêu cầu chung Quá trình mã hóa gói IP: Sau liên kết bảo mật thiết lập, IPSec giám sát tất lượng IP, so sánh lưu lượng với điều kiện định nghĩa lọc Mã hóa kí lưu lượng đó: IPSEC &VPN 6.Giao Thức sử dụng IPSec - IPSec Bảo mật kết nối mạng viêc sử dụng giao thức cung cấp bảo mật cho gói tin hai phiên IPv4 IPv6: -IP Authentication Header giúp đảm bảo tính tồn vẹn cung cấp xác thực - IP Encapsulating Security Payload cung cấp bảo mật, option bạn lựa chọn tính authentication Integrity đảm bảo tính tồn vẹn liệu -Thuật toán mã hoá sử dụng IPsec bao gồm HMAC-SHA1 cho tính tồn vẹn liệu (integrity protection), thuật toán TripleDES-CBC AES-CBC cho mã mã hố đảm bảo độ an tồn gói tin Tồn thuật tốn thể RFC 4305 6.1 Authentication Header (AH) -AH sử dụng kết nối khơng có tính đảm bảo liệu Hơn lựa chọn nhằm chống lại công replay attack cách sử dụng công nghệ công sliding windows discarding older packets AH bảo vệ trình truyền liệu sử dụng IP Trong IPv4, IP header có bao gồm TOS, Flags, Fragment Offset, TTL, IPSEC &VPN Header Checksum AH thực trực tiếp phần gói tin IP mơ hình AH header - bit Next header - 15 bit 16 - 23 bit Payload length 24 – 31 bit RESERVED Security parameters index (SPI) Sequence number Authentication data (variable) Ý nghĩa phần: Next header Nhận dạng giao thức sử dụng truyền thông tin Payload length Độ lớn gói tin AH RESERVED Sử dụng tương lai (cho tới thời điểm biểu diễn số 0) Security parameters index (SPI) Nhận thơng số bảo mật, tích hợp với địa IP, nhận dạng thương lượng bảo mật kết hợp với gói tin Sequence number Một số tự động tăng lên gói tin, sử dụng nhằm chống lại công dạng replay attacks Authentication data Bao gồm thơng số Integrity check value (ICV) cần thiết gói tin xác thực IPSEC &VPN AH cung cấp tính xác thực, tính ngun vẹn khâu lặp cho tồn gói tin bao gồm phần tiêu đề IP (IP header) gói liệu chuyển gói tin AH khơng cung cấp tính riêng tư, khơng mã hóa liệu liệu đọc chúng bảo vệ để chống lại thay đổi AH sử dụng thuật tốn Key AH để đánh dấu gói liệu nhằm đảm bảo tính tồn vẹn gói liệu Do giao thức AH khơng có chức mã hóa liệu nên AH dùng IPSec khơng đảm bảo tính an ninh IPSEC &VPN 6.2 Encapsulating Security Payload (ESP) -Giao thức ESP cung cấp xác thực, độ tồn vẹn, đảm bảo tính bảo mật cho gói tin ESP hỗ trợ tính cấu hình sử dụng tính cần bảo mã hoá cần cho authentication ESP sử dụng IP protocol number 50 (ESP đóng gói giao thức IP trường Protocol IP 50) - bit - 15 bit 16 - 23 bit 24 31 bit Security parameters index (SPI) Sequence number Payload data (variable) Padding (0-255 bytes) Pad Length Next Header Authentication Data (variable)  Ý nghĩa phần: Security parameters index (SPI) Nhận thơng số tích hợp với địa IP Sequence number Tự động tăng có tác dụng chống cơng kiểu replay attacks Payload data Cho liệu truyền Padding Sử dụng vài block mã hoá 10 IPSEC &VPN giấy chứng nhận Tất thực thể bên có mối quan hệ tin cậy CA Bởi vắng mặt CA khác mơ hình, cấu trúc không hỗ trợ mối quan hệ tin cậy CA Hình 3-7 miêu tả cấu trúc CA đơn Cấu trúc CA đơn phù hợp với tổ chức nhỏ số lượng khách hàng PKI tương đối thấp quản lý khách hàng nhiệm vụ tiêu thụ thời gian b Cấu trúc danh sách tin cậy Vì số lượng khách hàng PKI tổ chức tăng, quản lý xác nhận kiểm tra định danh trở nên phức tạp tiêu tốn nhiều thời gian CA đơn Tình đơn giản cách dùng nhiều CAs cấu trúc Với nhiều Cas, khách hàng PKI đơn yêu cầu gấiy chứng nhận từ nhiều CA Kết là, khách hàng phải lưu trữ danh sách mối liên hệ tin cậy với tất CAs cấu trúc – có tên cấu trúc danh sách tin cậy Hình 3-8 miêu tả cấu trúc danh sách tin cậy 49 IPSEC &VPN Như bạn thấy hình 3-8, cấu trúc không hỗ trợ mối quan hệ tin cậy Ca c Cấu trúc có thứ bậc Cấu trúc có thứ bậc cấu trúc PKI thực phổ biến sử dụng tổ chức có quy mơ lớn Khơng giống cấu trúc trên, mơ hình dựa mối quan hệ tin cậy Cas khác mơ hình Như tên gọi nó, Cas xếp cách có thứ bậc chia xe loại “cấp - cấp ” mối quan hệ tin cậy CA cao xem đỉnh CA xem điểm bắt đầu mơ hình Nó cấp phát giấy chứng nhận kiểm tra định danh CAs cấp Các CAs cấp dưới, xoay vịng, cấp giấy chứng nhận tới cấp chúng khách hàng PKI Tuy nhiên chúng c6áp giấy chứng nhận cho cấp Hình – miêu tả cấu trúc có thứ bậc 50 IPSEC &VPN d Cấu trúc mắt lưới Không giống cấu trúc thứ bậc, cấu trúc mắt lứơi Cas chia sẻ mối qun hệ tin cậy ngang hàng với Cas khác Kết là, chúng cấp phát giầy chứng nhận số lẫn nhau, điều có nghĩa là, mối quan hệ tin cậy Cas hai chiều Các Cas cấp phát giấy chứng nhận tới khách hàng PKi chúng Hình 3-10 miêu tả cấu trúc mắt lưới PKI 51 IPSEC &VPN e Cấu trúc PKI hỗn hợp Các cấu trúc phục vụ cho yêu cầu tổ chức đơn Tuy nhiên, viễn cảnh thực sở hạ tầng PKI trở nên phức tạp tổ chức phải tác động tới tổ chức khác, trương hợp với hầu hết tổ chức ngày vấn đề nằm khả khác cấu trúc PKI tổ chức Ví dụ, tổ chức sử dụng cấu trúc mắt lưới tổ chức khác sử dụng cấu trúc CA đơn Trong tình vậy, cấu trúc hỗn hợp chứng mính hữu ích cho phép tương tác thành công hai tổ chức  Có ba loại cấu trúc hỗn hợp Bao gồm  Cấu trúc danh sách tin cậy mở rộng Trong cấu trúc này, ấtt khách hàng PKI giữ danh sách mở rộng tất điểm tin cậy cấu trúc tổ chức khác thêm vào điểm tin cậy tổ chức chúng Một điểm tin cậy cấu trúc hệ thơng khác có thề CA đơn, nhiều CA, hợac tất Cas tổ chức khác Hình 3-11 miêu tả cấu trúc danh sách tin cậy mở rộng tổ chức 52 IPSEC &VPN  Cấu trúc xác nhận chéo Trong cấu trúc hỗn hợp này, gốc CA sở hạ tầng tổ chức lưu trữ mối quan hệ ngang hàng với Cas gốc tổ chức khác Hình 3-12 miêu tả cấu trúc xác nhận chéo  Cấu trúc CA cầu Không giống cấu trúc xác nhận chéo, mối quan hệ trực tiếp ngang hàng tồn gốc Cas sở hạ tầng tổ chức, thực thể gọi Bridge CA ( BCA) lưu giữ mối quan hệ ngang hàng Cas gốc Hình 313 miêu tả cấu trúc CA cầu 53 IPSEC &VPN IV Khái niệm kỹ thuật đường hầm: Giới thiệu kỹ thuật đường hầm Kỹ thuật đường hầm thành phần quan trọng VPN, cho phép tổ chức tạo mạng riêng internet mạng công cộng khác Mạng riêng ảo không bị xâm nhập “người lạ”, cá nhân, máy tính khơng thuộc tổ chức mạng riêng ảo  Lưu ý: Hiện mạng internet sử dụng rộng rãi khắp nơi Tuy nhiên bên cạnh mạng internet nhiều mạng khác dùng để truyền gói tin khỏang cách xa Đường hầm kỹ thuật đóng gói tịan liệu định dạng giao thức khác Header Đường hầm đính vào gói tin ban đầu sau đựơc truyền thơng qua sở hạ tầng trung gian đến điểm đích Một điểm quan trọng kỹ thuật đường hầm giúp truyền gói tin có giao thức khơng hỗ trợ Nếu gói tin gửi bình thường, mạng truyền dẫn trung gian khơng thể hiểu gói tin đến đâu khơng biết định dạng Đường hầm đính header vào gói tin gốc, phần header cung cấp thông tin lộ trình đích đến gói tin giúp mạng vận chuyển gói tin đến nơi cần đến  Lưu ý: Thuật ngữ đường hầm giống công việc gửi thư Sau bạn viết xong thư, bạn đặt vào bì thư Trên bì thư có địa người nhận Sau 54 IPSEC &VPN bạn gửi thư, đến người nhận theo địa ghi bì thư Người nhận cần mở thư trước đọc Trong kỹ thuật đường hầm thư giống payload ban đầu cịn bì thư giống gói giao thức định tuyến bọc lấy payload Địa thư tương tự thơng tin định tuyến dính vào bì thư Hình 4.1 : trình đường hầm Kỹ thuật đường hầm có nhiều thuận lợi, đọan thấy rõ điều Lợi kỹ thuật đường hầm: a Đơn giản triển khai kỹ thuật dễ dàng : Ý tưởng kỹ thuật đường hầm đơn giản, dễ dàng triển khai kỹ thuật thực tế Hơn không cần thay đổi sở hạ tầng mạng để tương thích với kỹ thuật đường hầm Nhờ tính linh họat cách sử dụng, kỹ thuật đường hầm giải pháp khả thi, hiệu cho tổ chức lớn tổ chức trung bình b Bảo mật : Ngăn chặn xâm nhập bất hợp pháp từ cá nhân vào đường hầm Nhờ liệu bảo đảm an tồn đựơc truyền qua mơi trường truyền tin cơng cộng, an tồn internet c Hiệu mặt kinh tế : Đường hầm dùng mạng công công làm môi trường truyền dẫn liêu Chi phí cho việc cực rẻ so với việc xây dựng đường dây riêng nối từ nơi đến nơi khác khỏang cách dài Bên cạnh tổ chức tiết kiệm khỏan tiền thường niên để quản lý bảo trì giải pháp mắc tiền khác d Không cần quan tâm đến giao thức : Dữ liệu thuộc giao thức không định tuyến, mạng NetBIOS mạng NetBEUI khơng tương thích với giao thức internet TCP IP Do gói tin gửi qua internet Tuy nhiên đường hầm cho phép 55 IPSEC &VPN gửi gói tin khơng IP đến đích cách đóng gói chúng gói tin IP e Tiết kiệm địa IP : Như nói trên, đường hầm cho phép giao thức truyền dẫn, địa IP ghép vào gói tin có địa IP tĩnh Như thay phải mua địa IP tĩnh cho điểm truy cập mạng internet, bạn mua khối nhỏ địa IP tĩnh Khi điểm truy cập mạng thực kết nối VPN, địa IP từ khối mua đính vào gói khơng có địa IP Thực mạng riêng ảo giúp giảm lượng cầu địa IP tĩnh  Lưu ý: Nhằm mục đích giảm chi phí, tiện cho công tác quản trị, điều khiển xếp hệ thống, nhiều tổ chức thực thi địa IP riêng họ Địa không cần phải nhất, tịan cục khơng cần mua từ nhà chức trách InterNIC Hệ thống địa IP địa IP riêng, họat động hiệu mạng riêng tổ chức Tuy nhiên cần địa IP đơn tòan cầu để giao tiếp với mạng khác với mạng công cộng internet Bây bạn có ý tưởng đường hầm để sẵn sàng tìm hiểu thành phần đường hầm Các thành phần kỹ thuật đường hầm : Để triển khai đường hầm hai điểm, cần có bốn thành phần cho đường hầm  Mạng đích : Mạng chứa tài nguyên sử dụng từ xa máy khách ( có tên gọi khác home network )  Nút initiator The máy khách từ xa máy chủ khởi tạo phiên làm việc VPN initiator phần mạng nội người dùng di động, ví dụ laptop  Home agent : Phần mềm nằm điểm truy cập target network HA nhận yêu cầu kiểm tra xem máy chủ yêu cầu có thẩm quyền truy cập khơng Nếi kiểm tra thành cơng, bắt đầu thiết lập đường hầm  Foreign agent : Phần mềm nằm initiator điểm truy cập mạng chứa initiator Initiator sử dụng FA để yêu cầu phiên làm việc VPN từ HA mạng đích Vừa bạn giới thiệu thành phần kỹ thuật đường hầm, phần đề cập cách thức họat động chúng Họat động kỹ thuật đường hầm : Kỹ thuật đường hầm đựơc chia làm hai pha  Pha I : điểm bắt đầu ( hay client từ xa ) yêu cầu thiết lập VPN, yêu cầu kiểm tra bời HA xem tính hợp pháp 56 IPSEC &VPN  Pha II : Dữ liệu truyền đường hầm • • • • • • Trong pha I, trước hết khởi tạo kết nối thiết lập thông số (pha đuợc gọi pha thiết lập đường hầm ) Sau kết nối chấp nhận thông số thiết lập, đường hầm thiết lập Initiator gửi yêu cầu kết nối với FA nằm mạng FA kiểm tra yêu cầu kết nối thông qua tên truy cập mật người dùng Nếu FA xác định initiator thành công, chuyển u cầu đến mạng đích (HA) ( FA thường sử dụng dịch vụ truy cập quay số từ xa (RADIUS) đề xác thực nhận dạng initiator ) Nếu tên đăng nhập mật người dùng không hợp lệ, yêu cầu phiên làm việc VPN bị hủy bỏ Tuy nhiên FA xác thực nhận dạng initiator thành cơng, chuyể u cầu đến mạng đích HA Nếu HA chấp nhận yêu cầu, FA gửi cho ID đăng nhập mật tương ứng HA kiểm tra thông tin liệu nhập Nếu kiểm tra thành công, HA gửi cho FA số đường hầm hồi âm đăng ký Đường hầm thiết lập sau FA nhận hồi âm đăng ký số đường hầm  Chú ý: Nếu hai đầu không sử dụng giao thức đường hầm, cấu hình đường hầm thống mã hóa, thơng số nén, chế bảo trì đường hầm Sau thiết lập xong đường hầm, pha I kêt thúc để chuyển sang pha II bắt đầu truyền liệu : • • Initiator bắt đầu chuyển gói tin tới FA FA tạo header đường hầm gắn vào gói tin Các thơng tin lộ trình gói tin gắn vào, lộ trình khởi tạo từ pha I • FA chuyển gói tin mã hóa tới HA thơng qua đường hầm • Sau nhận gói tin mã hóa, HA gỡ bỏ header đường hầm header chứa giao thức vê lộ trình gói tin Khơi phục lại gói tin ban đầu • Gói tin gốc chuyển đến đích đến mạng Hình 4.2 : Chu trình thiết lập “đường hâm thơng tin 57 IPSEC &VPN Hình 4.3 : Q trình truyền liệu qua đường hầm Tunneled Packet Format Như mô tả trên, trước chuyển tới nơi nhận qua đường hầm, liệu gốc mã hóa FA Gói tin mã hóa gọi gói tin đường hầm Định dạng gói tin đường hầm minh họa hình 4-4 Figure 4-4: Định dạng gói tin đường hầm Một gói tin đường hầm gồm có ba phần :  Header giao thức định tuyến Header chứa địa nơi gửi (FA), nơi nhận (HA) Do truyền dẫn qua internet dựa IP, header thường IP header chuẩn chứa địa IP FA HA liên quan đến việc truyền dẫn  Header gói tin đường hầm Header gồm có năm trường  Lọai giao thức Trường mô tả lọai giao thức gói tin ban đầu  Kiểm tra tổng Trường chứa kiểm tra tổng sử dụng để kiểm tra xem gói tin có bị thay đổi q trình truyền khơng Thơng tin khơng thiết phải có  Khóa Thơng tin dùng để xác định hay xác thực nguồn gửi liệu (initiator)  Số thứ tự Trường chứa số để số thứ tự gói tin dãy gói tin truyền  Source routing Trường chứa thông tin thêm lộ trình Trường khơng thiết phải có  Payload Gói tin gốc gửi từ initiator đến FA Nó bao gồm header ban đầu 58 IPSEC &VPN V:Cấu hình VPN Cấu hình IPSec cho kết nối VPN Ta bảo mật kết nối VPN băng việc sử dụng L2TP/IPSec Thường L2TP khơng mã hóa liệu mà phụ thuộc vào IPSec để bảo mật kết nối VPN Một chứng hợp lệ phải cài đặt VPN Server để hỗ trợ giao thức L2TP/IPSec Trong mơ hình kết nối VPN ta khơng phải tạo sách bảo mật IPSec giống mạng kết nối Internal Thiết kế mơ hình vpn sử dụng cơng nghệ ipsec theo mơ hình site-to-site đơn giản Cấu hình IP thơng số cho router ,switch,Pc hình vẻ Khơng cấu hình định tuyến cho site,cấu hình defaut 59 IPSEC &VPN Headoffice(config)#ip route 0.0.0.0 0.0.0.0 193.168.1.0 Branch(config)#ip route 0.0.0.0 0.0.0.0 194.168.1.0 Cấu hình VPN theo bước sau: Trên router HQ Bước1: Tạo Internet Key Exchange (IKE) key policy Headoffice(config)#crypto isakmp policy Headoffice(config-isakmp)#hash md5 Headoffice(config-isakmp)#authentication pre-share Bước 2: Tạo shared key để sử dụng cho kết nối VPN Headoffice(config)#crypto isakmp key VPNKEY address 194.168.1.2 Bước 3: Quy định lifetime HQ(config)#crypto ipsec security-association lifetime seconds 86400 Bước 4: Cấu hình ACL dãy IP VPN HQ(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255 60 IPSEC &VPN Bước 5: Define the transformations set that will be used for this VPN connection HQ(config)#crypto ipsec transform-set SETNAME esp-3des esp-md5-hmac Bước 6: Tạo cypto-map cho transform, setname HQ(config)#crypto map MAPNAME 10 ipsec-isakmp HQ(config-crypto-map)#set peer 115.114.113.1 (ip router branch) HQ(config-crypto-map)#set transform-set SETNAME ( setname bước 5) HQ(config-crypto-map)#match address 100 (100 : acl-number bước ) Bước 7: Gán vào interface HQ(config)#inter s0/0/0 HQ(config-if)#crypto map MAPNAME (mapname bước 6) Tài liệu tham khảo The Complete Cisco VPN Configuration Guide by Richard Deal ,Cisco Press December 15,2005 http://www.Cisco.com http://compnetworking.about.com/od/vpn/p/ciscovpnclient.htm http://www.vnpro.org http://www.netpro.com 61 ... doanh nghiệp II/ Các yêu cầu Mạng riêng ảo: Một mạng riêng ảo phiên cải tiến chỉnh sửa mạng cá nhân, cho phép bạn nâng cấp mạng LAN mạng nội thiết lập với 32 IPSEC &VPN       Internet mạng. .. VPN kết nối mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ công cộng mạng Internet hay IP backbones riêng Hiểu đơn giản, VPN phần mở rộng mạng riêng (private intranet) sang mạng công cộng... phục cố vấn đề liên quan VPN từ vùng cục hay ứng dụng Một điều quan trọng phần mềm quản lý ghi lai hoạt động hệ thống (logs), điều giúp quản trị mạng 25 IPSEC &VPN        khoanh vùng giải