Cấu Hình IPSEC/VPN Trên Thiết Bị Cisco

Nội dung text: Cấu Hình IPSEC/VPN Trên Thiết Bị Cisco

1. Cấu Hình IPSEC/VPN Trên Thi ết B ị Cisco I. Tổng Quan V ề VPN: Trong th ời đạ i ngày nay, Internet đã phát tri ển m ạnh v ề m ặt mô hình cho đến công ngh ệ, đáp ứng các nhu c ầu c ủa ng ười s ử d ụng. Internet đã được thi ết k ế để k ết n ối nhi ều m ạng khác nhau và cho phép thông tin chuy ển đế n ng ười s ử d ụng m ột cách t ự do và nhanh chóng mà không xem xét đến máy và m ạng mà ng ười s ử d ụng đó đang dùng. Để làm được điều này ng ười ta s ử d ụng m ột máy tính đặ c bi ệt g ọi là router để k ết n ối các LAN và WAN v ới nhau. Các máy tính k ết n ối vào Internet thông qua nhà cung c ấp dịch v ụ (ISP-Internet Service Provider), c ần m ột giao th ức chung là TCP/IP. Điều mà kỹ thu ật còn ti ếp t ục ph ải gi ải quy ết là n ăng l ực truy ền thông c ủa các m ạng vi ễn thông công c ộng. V ới Internet, nh ững d ịch v ụ nh ư giáo d ục t ừ xa, mua hàng tr ực tuy ến, t ư v ấn y t ế, và r ất nhi ều điều khác đã tr ở thành hi ện th ực.Tuy nhiên, do Internet có ph ạm vi toàn c ầu và không m ột t ổ ch ức, chính ph ủ c ụ th ể nào qu ản lý nên r ất khó kh ăn trong
2. Câu Hình IPSEC/VPN Trên Thiêt Bị Cisco
3. vi ệc b ảo m ật và an toàn d ữ li ệu c ũng nh ư trong vi ệc qu ản lý các d ịch v ụ. T ừ đó ng ười ta đã đư a ra m ột mô hình m ạng m ới nh ằm tho ả mãn nh ững yêu c ầu trên mà v ẫn có th ể t ận dụng l ại nh ững c ơ s ở h ạ t ầng hi ện có c ủa Internet, đó chính là mô hình m ạng riêng ảo (Virtual Private Network - VPN). V ới mô hình m ới này, ng ười ta không ph ải đầ u t ư thêm nhi ều v ề c ơ s ở h ạ t ầng mà các tính n ăng nh ư b ảo m ật, độ tin c ậy v ẫn đả m b ảo, đồng th ời có th ể qu ản lý riêng được s ự ho ạt độ ng c ủa m ạng này. VPN cho phép ng ười sử d ụng làm vi ệc t ại nhà, trên đường đi hay các v ăn phòng chi nhánh có th ể k ết n ối an toàn đến máy ch ủ c ủa t ổ ch ức mình b ằng c ơ s ở h ạ t ầng được cung c ấp b ởi m ạng công cộng.[5] Nó có th ể đả m b ảo an toàn thông tin gi ữa các đạ i lý, ng ười cung c ấp, và các đối tác kinh doanh v ới nhau trong môi tr ường truy ền thông r ộng l ớn. Trong nhi ều tr ường h ợp VPN c ũng gi ống nh ư WAN (Wide Area Network), tuy nhiên đặc tính quy ết định c ủa VPN là chúng có th ể dùng m ạng công c ộng nh ư Internet mà đảm b ảo tính riêng t ư và ti ết ki ệm h ơn nhi ều. 1. Định Ngh ĩa VPN: VPN được hi ểu đơn gi ản nh ư là s ự m ở r ộng c ủa m ột m ạng riêng (private network) thông qua các m ạng công c ộng. V ề c ăn b ản, m ỗi VPN là m ột m ạng riêng r ẽ s ử d ụng một m ạng chung (th ường là internet) để k ết n ối cùng v ới các site (các m ạng riêng l ẻ) hay nhi ều ng ười s ử d ụng t ừ xa. Thay cho vi ệc s ử d ụng b ởi m ột k ết n ối th ực, chuyên dụng nh ư đường leased line, m ỗi VPN s ử d ụng các k ết n ối ảo được d ẫn đường qua Internet t ừ m ạng riêng c ủa các công ty t ới các site hay các nhân viên t ừ xa. Để có th ể gửi và nh ận d ữ li ệu thông qua m ạng công c ộng mà v ẫn b ảo đả m tính an tòan và b ảo m ật VPN cung c ấp các c ơ ch ế mã hóa d ữ li ệu trên đường truy ền t ạo ra m ột đường ống bảo mật gi ữa n ơi nh ận và n ơi g ửi (Tunnel) gi ống nh ư m ột k ết n ối point-to-point trên m ạng riêng. Để có th ể t ạo ra m ột đường ống b ảo m ật đó, d ữ li ệu ph ải được mã hóa hay che gi ấu đi ch ỉ cung c ấp ph ần đầ u gói d ữ li ệu (header) là thông tin v ề đường đi cho phép nó có th ể đi đế n đích thông qua m ạng công c ộng m ột cách nhanh chóng. D ữ l ịêu được mã hóa m ột cách c ẩn th ận do đó n ếu các packet b ị b ắt l ại trên đường truy ền công c ộng cũng không th ể đọ c được n ội dung vì không có khóa để gi ải mã. Liên k ết v ới d ữ li ệu được mã hóa và đóng gói được g ọi là k ết n ối VPN. Các đường k ết n ối VPN th ường được g ọi là đường ống VPN (VPN Tunnel).
4. 2. Lợi ích c ủa VPN: VPN cung c ấp nhi ều đặ c tính h ơn so v ới nh ững m ạng truy ền th ống và nh ững m ạng mạng leased-line.Nh ững l ợi ích đầ u tiên bao g ồm: • Chi phí th ấp h ơn nh ững m ạng riêng: VPN có th ể gi ảm chi phí khi truy ền t ới 20- 40% so v ới nh ững m ạng thu ộc m ạng leased-line và gi ảm vi ệc chi phí truy c ập t ừ xa t ừ 60-80%. • Tính linh ho ạt cho kh ả n ăng kinh t ế trên Internet: VPN v ốn đã có tính linh ho ạt và có th ể leo thang nh ững ki ến trúc m ạng h ơn là nh ững m ạng c ổ điển, b ằng cách đó nó có th ể ho ạt độ ng kinh doanh nhanh chóng và chi phí m ột cách hi ệu qu ả cho vi ệc k ết n ối mở r ộng. Theo cách này VPN có th ể d ễ dàng k ết n ối ho ặc ng ắt k ết n ối t ừ xa c ủa nh ững văn phòng, nh ững v ị trí ngoài qu ốc t ế,nh ững ng ười truy ền thông, nh ững ng ười dùng điện tho ại di độ ng, nh ững ng ười ho ạt độ ng kinh doanh bên ngoài nh ư nh ững yêu c ầu kinh doanh đã đòi h ỏi. • Đơ n gi ản hóa nh ững gánh n ặng. • Nh ững c ấu trúc m ạng ống, vì th ế gi ảm vi ệc qu ản lý nh ững gánh n ặng: S ử d ụng một giao th ức Internet backbone lo ại tr ừ nh ững PVC t ĩnh h ợp v ới k ết n ối h ướng nh ững giao th ức nh ư là Frame Rely và ATM. • Tăng tình b ảo m ật: các d ữ li ệu quan tr ọng s ẽ được che gi ấu đố i v ới nh ững ng ười không có quy ền truy c ập và cho phép truy c ập đố i v ới nh ững ng ười dùng có quy ền truy cập.
5. • Hỗ tr ợ các giao th ức m ạn thông d ụng nh ất hi ện nay nh ư TCP/IP • Bảo m ật đị a ch ỉ IP: b ởi vì thông tin được g ửi đi trên VPN đã được mã hóa do đó các điạ ch ỉ bên trong m ạng riêng được che gi ấu và ch ỉ s ử d ụng các đị a ch ỉ bên ngoài Internet. 3. Các thành ph ần c ần thi ết để t ạo k ết n ối VPN: - User Authentication: cung c ấp c ơ ch ế ch ứng th ực ng ười dùng, ch ỉ cho phép ng ười dùng h ợp l ệ k ết n ối và truy c ập h ệ th ống VPN. - Address Management: cung c ấp đị a ch ỉ IP h ợp l ệ cho ng ười dùng sau khi gia nh ập hệ th ống VPN để có th ể truy c ập tài nguyên trên m ạng n ội b ộ. - Data Encryption: cung c ấp gi ải pháp mã hoá d ữ li ệu trong quá trình truy ền nh ằm bảo đả m tính riêng t ư và toàn v ẹn d ữ li ệu. - Key Management: cung c ấp gi ải pháp qu ản lý các khoá dùng cho quá trình mã hoá và gi ải mã d ữ li ệu. 4. Các thành ph ần chính t ạo nên VPN Cisco : a. Cisco VPN Router: s ử d ụng ph ần m ềm Cisco IOS, IPSec h ỗ tr ợ cho vi ệc b ảo m ật trong VPN. VPN t ốI ưu hóa các router nh ư là đòn b ẩy đang t ồn t ạI s ự đầ u t ư c ủa Cisco. Hi ệu qu ả nh ất trong các m ạng WAN h ỗn h ợp. b. Cisco Secure PIX FIREWALL: đư a ra s ự l ựa ch ọn khác c ủa c ổng k ết n ốI VPN khi b ảo m ật nhóm “riêng t ư” trong VPN. c. Cisco VPN Concentrator series: Đư a ra nh ững tính n ăng m ạnh trong vi ệc điều khi ển truy c ập t ừ xa và t ươ ng thích v ớI d ạng site-to-site VPN. Có giao di ện qu ản lý d ễ sử d ụng và m ột VPN client. d. Cisco Secure VPN Client : VPN client cho phép b ảo m ật vi ệc truy c ập t ừ xa t ớI router Cisco và Pix Firewalls và nó là m ột ch ươ ng trình ch ạy trên h ệ điều hành Window. e. Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scanner th ường được s ử d ụng để giám sát và ki ểm tra các v ấn đề b ảo m ật trong VPN. f. Cisco Secure Policy Manager and Cisco Works 2000 cung c ấp vi ệc qu ản lý h ệ th ống VPN r ộng l ớn.
6. 5. Các giao th ức VPN: Các giao th ức để t ạo nên c ơ ch ế đường ống b ảo m ật cho VPN là L2TP, Cisco GRE và IPSec. a. L2TP: - Tr ước khi xu ất hi ện chu ẩn L2TP (tháng 8 n ăm 1999), Cisco s ử d ụng Layer 2 Forwarding (L2F) nh ư là giao th ức chu ẩn để t ạo k ết n ối VPN. L2TP ra đờ i sau v ới nh ững tính n ăng được tích h ợp t ừ L2F. - L2TP là d ạng k ết h ợp c ủa Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft h ỗ tr ợ chu ẩn PPTP và L2TP trong các phiên b ản WindowNT và 2000 - L2TP được s ử d ụng để t ạo k ết n ối độ c l ập, đa giao th ức cho m ạng riêng ảo quay s ố (Virtual Private Dail-up Network). L2TP cho phép người dùng có th ể k ết n ối thông qua các chính sách b ảo m ật c ủa công ty (security policies) để t ạo VPN hay VPDN nh ư là s ự mở r ộng c ủa m ạng n ội b ộ công ty. - L2TP không cung c ấp mã hóa. - L2TP là s ự k ết h ợp c ủa PPP(giao th ức Point-to-Point) v ới giao th ức L2F(Layer 2 Forwarding) c ủa Cisco do đó r ất hi ệu qu ả trong k ết n ối m ạng dial, ADSL, và các m ạng truy c ập t ừ xa khác. Giao th ức m ở r ộng này s ử d ụng PPP để cho phép truy c ập VPN b ởi nh ững ng ườI s ử d ụng t ừ xa.
7. b. GRE: - Đây là đa giao th ức truy ền thông đóng gói IP, CLNP và t ất c ả cá gói d ữ li ệu bên trong đường ống IP (IP tunnel) - Với GRE Tunnel, Cisco router s ẽ đóng gói cho m ỗi v ị trí m ột giao th ức đặ c tr ưng ch ỉ đị nh trong gói IP header, t ạo m ột đường k ết n ối ảo (virtual point-to-point) t ới Cisco router c ần đế n. Và khi gói d ữ li ệu đế n đích IP header s ẽ được m ở ra - Bằng vi ệc k ết n ối nhi ều m ạng con v ới các giao th ức khác nhau trong môi tr ường có m ột giao th ức chính. GRE tunneling cho phép các giao th ức khác có th ể thu ận l ợi trong vi ệc đị nh tuy ến cho gói IP. c. IPSec: - IPSec là s ự l ựa ch ọn cho vi ệc b ảo m ật trên VPN. IPSec là m ột khung bao g ồm b ảo mật d ữ li ệu (data confidentiality), tính tòan v ẹn c ủa d ữ li ệu (integrity) và vi ệc ch ứng th ực d ữ li ệu. - IPSec cung c ấp d ịch v ụ b ảo m ật s ử d ụng KDE cho phép th ỏa thu ận các giao th ức và thu ật tóan trên n ền chính sách c ục b ộ (group policy) và sinh ra các khóa b ảo mã hóa và ch ứng th ực được s ử d ụng trong IPSec. d. Point to Point Tunneling Protocol (PPTP): - Được s ử d ụng tr ện các máy client ch ạy H ĐH Microsoft for NT4.0 và Windows 95+ . Giao th ức này đựơc s ử d ụng để mã hóa d ữ li ệu l ưu thông trên M ạng LAN. Gi ống
8. nh ư giao th ức NETBEUI và IPX trong m ột packet g ửI lên Internet. PPTP d ựa trên chu ẩn RSA RC4 và h ỗ tr ợ b ởI s ự mã hóa 40-bit ho ặc 128-bit. - Nó không được phát tri ển trên d ạng k ết n ốI LAN-to-LAN và gi ới h ạn 255 k ết n ối tớI 1 server ch ỉ có m ột đường h ầm VPN trên m ột k ết n ối. Nó không cung c ấp s ự mã hóa cho các công vi ệc l ớn nh ưng nó d ễ cài đặt và tri ển khai và là m ột gi ảI pháp truy c ập từ xa ch ỉ có th ể làm được trên m ạng MS. Giao th ức này thì được dùng t ốt trong Window 2000. Layer 2 Tunneling Protocol thu ộc v ề IPSec. 6. Thi ết l ập m ột k ết n ối VPN: a. Máy VPN c ần k ết n ối (VPN client) t ạo k ết n ốt VPN (VPN Connection) t ới máy ch ủ cung c ấp d ịch v ụ VPN (VPN Server) thông qua k ết n ối Internet. b. Máy ch ủ cung c ấp d ịch v ụ VPN tr ả l ời k ết n ối t ới
9. c. Máy ch ủ cung c ấp d ịch v ụ VPN ch ứng th ực cho k ết n ối và c ấp phép cho k ết n ối d. Bắt đầ u trao đổ i d ữ li ệu gi ữa máy c ần k ết n ối VPN và m ạng công ty 7. Các d ạng k ết n ối VPN: a. Remote Access VPNs : Remote Access VPNs cho phép truy c ập b ất c ứ lúc nào b ằng Remote, mobile, và các thi ết b ị truy ền thông c ủa nhân viên các chi nhánh k ết n ối đế n tài nguyên m ạng c ủa tổ ch ức. Remote Access VPN mô t ả vi ệc các ng ười dùng ở xa s ử d ụng các ph ần m ềm VPN để truy c ập vào m ạng Intranet c ủa công ty thông qua gateway ho ặc VPN concentrator (b ản ch ất là m ột server). Vì lý do này, gi ải pháp này th ường được g ọi là client/server. Trong gi ải pháp này, các ng ười dùng th ường th ường s ử d ụng các công ngh ệ WAN truy ền th ống để t ạo l ại các tunnel v ề m ạng HO c ủa h ọ. Một h ướng phát tri ển khá m ới trong remote access VPN là dùng wireless VPN, trong đó m ột nhân viên có th ể truy c ập v ề m ạng c ủa h ọ thông qua k ết n ối không dây. Trong thi ết k ế này, các k ết n ối không dây c ần ph ải k ết n ối v ề m ột tr ạm wireless (wireless terminal) và sau đó v ề m ạng c ủa công ty. Trong c ả hai tr ường h ợp, ph ần m ềm client trên máy PC đều cho phép kh ởi t ạo các k ết n ối b ảo m ật, còn được g ọi là tunnel. Một ph ần quan tr ọng c ủa thi ết k ế này là vi ệc thi ết k ế quá trình xác th ực ban đầ u nh ằm để đả m b ảo là yêu c ầu được xu ất phát t ừ m ột ngu ồn tin c ậy. Th ường thì giai đoạn ban đầu này d ựa trên cùng m ột chính sách v ề b ảo m ật c ủa công ty. Chính sách này bao
10. gồm: qui trình (procedure), k ỹ thu ật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+] ). Một s ố thành ph ần chính : - Remote Access Server (RAS) : được đặ t t ại trung tâm có nhi ệm v ụ xác nh ận và ch ứng nh ận các yêu c ầu g ửi t ới. - Quay s ố k ết n ối đế n trung tâm, điều này s ẽ làm gi ảm chi phí cho m ột s ố yêu c ầu ở khá xa so v ới trung tâm. - H ổ tr ợ cho nh ững ng ười có nhi ệm v ụ c ấu hình, b ảo trì và qu ản lý RAS và h ổ tr ợ truy c ập t ừ xa b ởi ng ười dùng. Figure 1-2: The non-VPN remote access setup. - Bằng vi ệc tri ển khai Remote Access VPNs, nh ững ng ười dùng t ừ xa ho ặc các chi nhánh v ăn phòng ch ỉ c ần cài đặt m ột k ết n ối c ục b ộ đế n nhà cung c ấp d ịch v ụ ISP ho ặc ISP’s POP và k ết n ối đế n tài nguyên thông qua Internet. Thông tin Remote Access Setup được mô t ả b ởi hình v ẽ sau :
11. Figure 1-3: The Remote Access VPN setup Nh ư bạn có th ể suy ra t ừ hình 1-3, thu ận l ợi chính c ủa Remote Access VPNs : - Sự c ần thi ết c ủa RAS và vi ệc k ết h ợp v ới modem được lo ại tr ừ. - Sự c ần thi ết h ổ tr ợ cho ng ười dung cá nhân được loại tr ừ b ởi vì k ết n ối t ừ xa đã được t ạo điều ki ện thu ận l ợi b ời ISP - Vi ệc quay s ố t ừ nh ững kho ảng cách xa được lo ại tr ừ , thay vào đó, nh ững k ết n ối với kho ảng cách xa s ẽ được thay th ế b ởi các k ết n ối c ục b ộ. - Gi ảm giá thành chi phí cho các k ết n ối v ới kho ảng cách xa. - Do đây là m ột k ết n ối mang tính c ục b ộ, do v ậy t ốc độ n ối k ết s ẽ cao h ơn so v ới kết n ối tr ực ti ếp đế n nh ững kho ảng cách xa. - VPNs cung c ấp kh ả n ăng truy c ập đế n trung tâm t ốt h ơn b ởi vì nó h ổ tr ợ d ịch v ụ truy c ập ở m ức độ t ối thi ểu nh ất cho dù có s ự t ăng nhanh chóng các k ết n ối đồ ng th ời đến m ạng. Ngoài nh ững thuận l ợi trên, VPNs c ũng t ồn t ại m ột s ố b ất l ợi khác nh ư : - Remote Access VPNs c ũng không b ảo đả m được ch ất l ượng ph ục v ụ.
12. - Kh ả n ăng m ất d ữ li ệu là r ất cao, thêm n ữa là các phân đoạn c ủa gói d ữ li ệu có th ễ đi ra ngoài và b ị th ất thoát. - Do độ ph ức t ạp c ủa thu ật toán mã hoá, protocol overhead t ăng đáng k ể, điều này gây khó kh ăn cho quá trình xác nh ận. Thêm vào đó, vi ệc nén d ữ li ệu IP và PPP-based di ễn ra vô cùng ch ậm ch ạp và t ồi t ệ. - Do ph ải truy ền d ữ li ệu thông qua Internet, nên khi trao đổi các d ữ li ệu l ớn nh ư các gói d ữ li ệu truy ền thông, phim ảnh, âm thanh s ẽ r ất ch ậm. b. Site - To – Site (Lan – To - Lan): - Site-to-site VPN(Lan-to-Lan VPN): được áp d ụng để cài đặt m ạng t ừ m ột v ị trí này k ết n ốI t ớI m ạng c ủa m ột v ị trí khác thông qua VPN. Trong hoàn c ảnh này thì vi ệc ch ứng th ực ban đầ u gi ữa các thi ết b ị m ạng được giao cho ng ười s ử d ụng. N ơi mà có một k ết n ốI VPN được thi ết l ập gi ữa chúng. Khi đó các thi ết b ị này đóng vai trò nh ư là một gateway, và đảm b ảo r ằng vi ệc l ưu thông đã được d ự tính tr ước cho các site khác. Các router và Firewall t ươ ng thích v ớI VPN, và các b ộ t ập trung VPN chuyên d ụng đều cung c ấp ch ức n ăng này. - Lan-to-Lan VPN có th ể được xem nh ư là intranet VPN ho ặc extranet VPN(xem xét v ề m ặt chính sách qu ản lý). N ếu chúng ta xem xét d ướI góc độ ch ứng th ực nó có th ể được xem nh ư là m ột intranet VPN, ng ược l ạI chúng được xem nh ư là m ột extranet VPN. Tính ch ặt ch ẽ trong vi ệc truy c ập gi ữa các site có th ể được điều khi ển b ởi c ả hai(intranet và extranet VPN) theo các site t ươ ng ứng c ủa chúng. Gi ải pháp Site to site
13. VPN không là m ột remote access VPN nh ưng nó được thêm vào đây vì tính ch ất hoàn thi ện c ủa nó. - S ự phân bi ệt gi ữa remote access VPN và Lan to Lan VPN ch ỉ đơn thu ần mang tính ch ất t ượng tr ưng và xa h ơn là nó được cung c ấp cho m ục đích th ảo lu ận. Ví d ụ nh ư là các thi ết b ị VPN d ựa trên ph ần c ứng m ớI(Router cisco 3002 ch ẳng h ạn) ở đây để phân lo ạI được, chúng ta ph ảI áp d ụng c ả hai cách, b ởI vì harware-based client có th ể xu ất hi ện n ếu m ột thi ết b ị đang truy c ập vào m ạng. M ặc dù m ột m ạng có th ể có nhi ều thi ết b ị VPN đang v ận hành. M ột ví d ụ khác nh ư là ch ế độ m ở r ộng c ủa gi ảI pháp Ez VPN b ằng cách dùng router 806 và 17xx. - Lan-to-Lan VPN là s ự k ết n ốI hai m ạng riêng l ẻ thông qua m ột đường h ầm b ảo mật. đường h ầm b ảo m ật này có th ể sử d ụng các giao th ức PPTP, L2TP, ho ặc IPSec, mục đích c ủa Lan-to-Lan VPN là k ết n ốI hai m ạng không có đường n ốI l ạI v ớI nhau, không có vi ệc th ỏa hi ệp tích h ợp, ch ứng th ực, s ự c ẩn m ật c ủa d ữ li ệu. b ạn có th ể thi ết lập m ột Lan-to-Lan VPN thông qua s ự k ết h ợp c ủa các thi ết b ị VPN Concentrators, Routers, and Firewalls. - K ết n ốI Lan-to-Lan được thi ết k ế để t ạo m ột k ết n ốI m ạng tr ực ti ếp, hi ệu qu ả b ất ch ấp kho ảng cách v ật lý gi ữa chúng. Có th ể k ết n ốI này luân chuy ển thông qua internet ho ặc m ột m ạng không được tin c ậy.B ạn ph ảI đả m b ảo v ấn đề b ảo m ật b ằng cách s ử dụng s ự mã hóa d ữ li ệu trên t ất c ả các gói d ữ li ệu đang luân chuy ển gi ữa các m ạng đó. 1. Intranet VPNs: Figure 1-4: The intranet setup using WAN backbone
14. - Intranet VPNs được s ữ d ụng để k ết n ối đế n các chi nhánh v ăn phòng c ủa t ổ ch ức đến Corperate Intranet (backbone router) s ữ d ụng campus router, xem hình bên d ưới : - Theo mô hình bên trên s ẽ r ất t ốn chi phí do ph ải s ữ d ụng 2 router để thi ết l ập được mạng, thêm vào đó, vi ệc tri ển khai, b ảo trì và qu ản lý m ạng Intranet Backbone s ẽ r ất tốn kém còn tùy thu ộc vào l ượng l ưu thông trên m ạng đi trên nó và ph ạm vi đị a lý c ủa toàn b ộ m ạng Intranet. - Ðể gi ải quy ết v ấn đề trên, s ự t ốn kém c ủa WAN backbone được thay th ế b ởi các kết n ối Internet v ới chi phí th ấp, điều này có th ể m ột l ượng chi phí đáng k ể c ủa vi ệc tri ển khai m ạng Intranet, xem hình bên d ưới : Figure 1-5: The intranet setup based on VPN. Nh ững thu ận l ợi chính c ủa Intranet setup d ựa trên VPN theo hình 1-5 : - Hi ệu qu ả chi phí h ơn do gi ảm s ố l ượng router được s ữ d ụng theo mô hình WAN backbone - Gi ảm thi ểu đáng k ể s ố l ượng h ổ tr ợ yêu c ầu ng ười dùng cá nhân qua toàn c ầu, các tr ạm ở m ột s ố remote site khác nhau.
15. - B ởi vì Internet ho ạt độ ng nh ư m ột k ết n ối trung gian, nó d ễ dàng cung c ấp nh ững kết n ối m ới ngang hàng. - K ết n ối nhanh h ơn và t ốt h ơn do v ề b ản ch ất k ết n ối đế n nhà cung c ấp d ịch v ụ, lo ại bỏ v ấn đề v ề kho ảng cách xa và thêm n ữa giúp t ổ ch ức gi ảm thi ểu chi phí cho vi ệc th ực hi ện Intranet. Nh ững b ất l ợi chính k ết h ợp v ới cách gi ải quy ết : - B ởi vì d ữ li ệu v ẫn còn tunnel trong su ốt quá trình chia s ẽ trên m ạng công c ộng- Internet-và nh ững nguy c ơ t ấn công, nh ư t ấn công b ằng t ừ ch ối d ịch v ụ (denial-of- service), v ẫn còn là m ột m ối đe do ạ an toàn thông tin. - Kh ả n ăng m ất d ữ li ệu trong lúc di chuy ễn thông tin c ũng v ẫn r ất cao. - Trong m ột s ố tr ường h ợp, nh ất là khi d ữ li ệu là lo ại high-end, nh ư các t ập tin mulltimedia, vi ệc trao đổ i d ữ li ệu s ẽ r ất ch ậm ch ạp do được truy ền thông qua Internet. - Do là k ết n ối d ựa trên Internet, nên tính hi ệu qu ả không liên t ục, th ường xuyên, và QoS c ũng không được đả m b ảo. 2. Extranet VPNs: - Không gi ống nh ư Intranet và Remote Access-based, Extranet không hoàn toàn cách li t ừ bên ngoài (outer-world), Extranet cho phép truy c ập nh ững tài nguyên m ạng cần thi ết c ủa các đố i tác kinh doanh, ch ẳng h ạn nh ư khách hàng, nhà cung c ấp, đố i tác nh ững ng ười gi ữ vai trò quan tr ọng trong t ổ ch ức. Figure 1-6: The traditional extranet setup.
16. - Nh ư hình trên, m ạng Extranet r ất t ốn kém do có nhi ều đoạn m ạng riêng bi ệt trên Intranet k ết h ợp l ại v ới nhau để t ạo ra m ột Extranet. Ði ều này làm cho khó tri ển khai và qu ản lý do có nhi ều m ạng, đồ ng th ời c ũng khó kh ăn cho cá nhân làm công vi ệc b ảo trì và qu ản tr ị. Thêm n ữa là m ạng Extranet s ẽ d ễ m ở r ộng do điều này s ẽ làm r ối tung toàn bộ m ạng Intranet và có th ể ảnh h ưởng đế n các k ết n ối bên ngoài m ạng. S ẽ có nh ững v ấn đề b ạn g ặp ph ải b ất thình lình khi k ết n ối m ột Intranet vào m ột m ạng Extranet. Tri ển khai và thi ết k ế một m ạng Extranet có th ể là m ột c ơn ác m ộng c ủa các nhà thi ết k ế và qu ản tr ị m ạng. Figure 1-7: The Extranet VPN setup Một s ố thu ận l ợi c ủa Extranet : - Do ho ạt độ ng trên môi tr ường Internet, b ạn có th ể l ựa ch ọn nhà phân ph ối khi l ựa ch ọn và đư a ra ph ươ ng pháp gi ải quy ết tu ỳ theo nhu c ầu c ủa t ổ ch ức.- B ởi vì m ột ph ần Internet-connectivity được b ảo trì b ởi nhà cung c ấp (ISP) nên c ũng gi ảm chi phí b ảo trì khi thuê nhân viên b ảo trì.- D ễ dàng tri ển khai, qu ản lý và ch ỉnh s ữa thông tin. Một s ố b ất l ợi c ủa Extranet : - S ự đe d ọa v ề tính an toàn, nh ư b ị t ấn công b ằng t ừ ch ối d ịch v ụ v ẫn còn t ồn t ại. - T ăng thêm nguy hi ểm s ự xâm nh ập đố i v ới t ổ ch ức trên Extranet. - Do d ựa trên Internet nên khi d ữ li ệu là các lo ại high-end data thì vi ệc trao đổ i di ễn ra ch ậm ch ạp.
17. - Do d ựa trên Internet, QoS(Quality of Service) c ũng không được b ảo đả m th ường xuyên. II. Tìm Hi ểu V ề Giao Th ức IPSec: - Thu ật ng ữ IPSec là m ột t ừ vi ết t ắt c ủa thu ật Internet Protocol Security. Nó có quan h ệ t ới m ột s ố b ộ giao th ức (AH, ESP, FIP-140-1, và m ột s ố chu ẩn khác) được phát tri ển b ởi Internet Engineering Task Force (IETF). M ục đích chính c ủa vi ệc phát tri ển IPSec là cung c ấp m ột c ơ c ấu b ảo m ật ở t ầng 3 (Network layer) c ủa mô hình OSI, nh ư hình 6-1. Figure 6-1: The position of IPSec in the OSI model. - Mọi giao ti ếp trong m ột m ạng trên c ơ s ở IP đề u d ựa trên các giao th ức IP. Do đó, khi m ột c ơ ch ế b ảo m ật cao được tích h ợp v ới giao th ức IP, toàn b ộ m ạng được b ảo mật b ởi vì các giao ti ếp đề u đi qua t ầng 3. ( Đó là lý do tai sao IPSec được phát tri ển ở giao th ức t ầng 3 thay vì t ầng 2). - IPSec VPN dùng các d ịch v ụ được đị nh ngh ĩa trong IPSec để đả m b ảo tính toàn vẹn d ữ li ệu, tính nh ất quán, tính bí m ật và xác th ực c ủa truy ền d ữ li ệu trên m ột h ạ t ầng mạng công c ộng.
18. - Ngoài ra,v ới IPSec t ất c ả các ứng d ụng đang ch ạy ở t ầng ứng d ụng c ủa mô hình OSI đều độ c l ập trên t ầng 3 khi đị nh tuy ến d ữ li ệu t ừ ngu ồn đế n đích. B ởi vì IPSec được tích h ợp ch ặt ch ẽ v ới IP, nên nh ững ứng d ụng có th ể dùng các d ịch v ụ k ế th ừa tính năng b ảo m ật mà không c ần ph ải có s ự thay đổ i l ớn lao nào. C ũng gi ống IP, IPSec trong su ốt v ới ng ười dùng cu ối, là ng ười mà không c ần quan tâm đế n c ơ ch ế b ảo m ật mở r ộng liên t ục đằ ng sau m ột chu ổi các ho ạt động. - IPSec ho ạt độ ng d ựa trên mô hình ngang hàng (peer-to-peer) h ơn là mô hình client/server. Security Association (SA) là m ột qui ước gi ữa hai bên trong đó thúc đẩy các trao đổi gi ữa hai bên giao ti ếp. M ỗi bên giao ti ếp (có th ể là thi ết b ị, ph ần m ềm) ph ải th ống nh ất v ới nhau v ề các chính sách ho ặc các qui t ắc b ằng cách s ẽ dò tìm các chính sách này v ới đố i tác tìm n ăng c ủa nó. Có hai ki ểu SA: ISAKMP SA (còn được bi ết đế n với tên g ọi là IKE SAs) và IPSec SA. - Security Associations (SAs) là m ột khái ni ệm c ơ b ản c ủa b ộ giao th ức IPSec. SA là m ột k ết n ối lu ận lý theo m ột ph ươ ng h ướng duy nh ất gi ữa hai th ực th ể s ử d ụng các dịch v ụ IPSec. • Các giao th ức xác nh ận, các khóa, và các thu ật toán • Ph ươ ng th ức và các khóa cho các thu ật toán xác nh ận được dùng b ởi các giao th ức Authentication Header (AH) hay Encapsulation Security Payload (ESP) c ủa bộ IPSec • Thu ật toán mã hóa và gi ải mã và các khóa. • Thông tin liên quan khóa, nh ư kho ảng th ời gian thay đổ i hay kho ảng th ời gian làm t ươ i c ủa các khóa. • Thông tin liên quan đến chính b ản thân SA bao g ồm đị a ch ỉ ngu ồn SA và kho ảng th ời gian làm t ươ i. • Cách dùng và kích th ước c ủa b ất k ỳ s ự đồ ng b ộ mã hóa dùng, n ếu có. Figure 6-2: A generic representation of the three fields of an IPSec SA.
19. Nh ư hình 6-2, IPSec SA g ồm có 3 tr ường : - SPI (Security Parameter Index). Đây là m ột tr ường 32 bit dùng nh ận d ạng giao th ức b ảo m ật, được đị nh ngh ĩa b ởi tr ường Security protocol, trong b ộ IPSec đang dùng. SPI được mang theo nh ư là m ột ph ần đầ u c ủa giao th ức b ảo m ật và th ường được ch ọn bởi h ệ th ống đích trong su ốt quá trình th ỏa thu ận c ủa SA. - Destination IP address . Đây là địa ch ỉ IP c ủa nút đích. M ặc dù nó có th ể là địa ch ỉ broadcast, unicast, hay multicast, nh ưng c ơ ch ế qu ản lý hi ện t ại c ủa SA ch ỉ được định ngh ĩa cho h ệ th ống unicast. - Security protocol . Ph ần này mô t ả giao th ức b ảo m ật IPSec, có th ể là AH ho ặc ESP. - Chú thích : • Broadcasts có ngh ĩa cho t ất c ả h ệ th ống thu ộc cùng m ột m ạng ho ặc m ạng con. Còn multicasts g ửi đế n nhi ều (nh ưng không ph ải tât c ả) nút c ủa m ột m ạng ho ặc mạng con cho s ẵn. Unicast có ngh ĩa cho 1 nút đích đơn duy nh ất. Bởi vì b ản ch ất theo một chi ều duy nh ất c ủa SA, cho nên 2 SA phải được đị nh ngh ĩa cho hai bên thông tin đầu cu ối, m ột cho m ỗi h ướng. Ngoài ra, SA có th ể cung c ấp các d ịch v ụ b ảo m ật cho một phiên VPN được b ảo v ệ b ởi AH ho ặc ESP. Do v ậy, n ếu m ột phiên c ần b ảo v ệ kép bởi c ả hai AH và ESP, 2 SA ph ải được đị nh ngh ĩa cho mỗi h ướng. Vi ệc thi ết l ập này của SA được g ọi là SA bundle. • Một IPSec SA dùng 2 c ơ s ở d ữ li ệu. Security Association Database (SAD) nắm gi ữ thông tin liên quan đến m ỗi SA. Thông tin này bao g ồm thu ật toán khóa, th ời gian s ống c ủa SA, và chu ỗi s ố tu ần t ự. C ơ s ở d ữ li ệu th ức hai c ủa IPSec SA, Security Policy Database (SPD), n ắm gi ữ thông tin v ề các d ịch v ụ b ảo m ật kèm theo v ới m ột danh sách th ứ t ự chính sách các điểm vào và ra. Gi ống nh ư firewall rules và packet filters, nh ững điểm truy c ập này định ngh ĩa l ưu lượng nào được x ữ lý và l ưu l ượng nào bị t ừ ch ối theo t ừng chu ẩn c ủa IPSec. Bộ IPSec đưa ra 3 kh ả n ăng chính bao g ồm : - Tính xác nh ận và Tính nguyên v ẹn d ữ li ệu (Authentication and data integrity). IPSec cung c ấp m ột c ơ ch ế m ạnh m ẽ để xác nh ận tính ch ất xác th ực c ủa ng ười g ửi và ki ểm ch ứng b ất k ỳ s ự s ữa đổ i không được b ảo v ệ tr ước đó c ủa n ội dung gói d ữ li ệu b ởi ng ười nh ận. Các giao th ức IPSec đưa ra kh ả n ăng b ảo v ệ m ạnh để ch ống lại các d ạng t ấn công gi ả m ạo, đánh h ơi và t ừ ch ối d ịch v ụ. - S ự c ẩn m ật (Confidentiality). Các giao th ức IPSec mã hóa d ữ li ệu b ằng cách s ử dụng k ỹ thu ật mã hóa cao c ấp, giúp ng ăn c ản ng ười ch ưa ch ứng th ực truy c ập d ữ li ệu
20. trên đường đi c ủa nó. IPSec c ũng dùng c ơ ch ế t ạo h ầm để ẩn đị a ch ỉ IP c ủa nút ngu ồn (ng ười g ửi) và nút đích (ng ười nh ận) t ừ nh ững k ẻ nghe lén. - Qu ản lý khóa (Key management). IPSec dùng m ột giao th ức th ứ ba, Internet Key Exchange (IKE), để th ỏa thu ận các giao th ức bao m ật và các thu ật toán mã hóa tr ước và trong su ốt phiên giao d ịch. M ột ph ần quan tr ọng n ữa, IPSec phân ph ối và ki ểm tra các khóa mã và c ập nh ật nh ững khóa đó khi được yêu c ầu. - Hai tính n ăng đầu tiên c ủa b ộ IPSec, authentication and data integrity, và confidentiality, được cung c ấp b ởi hai giao th ức chính c ủa trong b ộ giao th ức IPSec. Nh ững giao thức này bao g ồm Authentication Header (AH) và Encapsulating Security Payload (ESP). - Tính n ăng th ứ ba, key management, n ằm trong b ộ giao th ức khác, được b ộ IPSec ch ấp nh ận b ởi nó là m ột d ịch v ụ qu ản lý khóa m ạnh. Giao th ức này là IKE. - SAs trong IPSec hi ện t ại được tri ển khai b ằng 2 ch ế độ đó là ch ế độ Transport và ch ế độ Tunnel được mô t ả ở hình 6-7. C ả AH và ESP có th ể làm vi ệc v ới m ột trong hai ch ế độ này. Figure 6-7: The two IPSec modes. Transport Mode : - Transport mode b ảo v ệ giao th ức t ầng trên và các ứng d ụng. Trong Transport mode, ph ần IPSec header được chèn vào gi ữa ph ần IP header và ph ần header c ủa giao th ức t ầng trên, nh ư hình mô t ả bên d ưới, AH và ESP s ẽ được đặ t sau IP header nguyên th ủy. Vì v ậy ch ỉ có t ải (IP payload) là được mã hóa và IP header ban đầu là được gi ữ nguyên v ẹn. Transport mode có th ể được dùng khi c ả hai host h ỗ tr ợ IPSec. Ch ế độ transport này có thu ận l ợi là ch ỉ thêm vào vài bytes cho m ỗi packets và nó c ũng cho phép các thi ết b ị trên m ạng th ấy được đị a ch ỉ đích cu ối cùng c ủa gói. Kh ả n ăng này cho
21. phép các tác v ụ x ử lý đặ c bi ệt trên các m ạng trung gian d ựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 s ẽ b ị mã hóa, làm gi ới h ạn kh ả n ăng ki ểm tra của gói. Figure 6-8: IPSec Transport mode—a generic representation. Figure 6-9: AH Transport mode. Figure 6-10: ESP Transport mode.
22. - Transport mode thi ếu m ất quá trình x ữ lý ph ần đầ u, do đó nó nhanh h ơn. Tuy nhiên, nó không hi ệu qu ả trong tr ường h ợp ESP có kh ả n ăng không xác nh ận mà c ũng không mã hóa ph ần đầ u IP. Tunnel Mode : - Không gi ống Transport mode, Tunnel mode b ảo v ệ toàn b ộ gói d ữ li ệu. Toàn b ộ gói d ữ li ệu IP được đóng gói trong m ột gói d ữ li ệu IP khác và m ột IPSec header được chèn vào gi ữa ph ần đầ u nguyên b ản và ph ần đầ u m ới c ủa IP.Toàn b ộ gói IP ban đầ u s ẽ bị đóng gói b ởi AH ho ặc ESP và m ột IP header m ới s ẽ được bao b ọc xung quanh gói d ữ li ệu. Toàn b ộ các gói IP s ẽ được mã hóa và tr ở thành d ữ li ệu m ới c ủa gói IP m ới. Ch ế độ này cho phép nh ững thi ết b ị m ạng, ch ẳng h ạn nh ư router, ho ạt độ ng nh ư m ột IPSec proxy th ực hi ện ch ức n ăng mã hóa thay cho host. Router ngu ồn s ẽ mã hóa các packets và chuy ển chúng d ọc theo tunnel. Router đích s ẽ gi ải mã gói IP ban đầu và chuy ển nó về h ệ th ống cu ối. Vì v ậy header m ới s ẽ có đị a ch ỉ ngu ồn chính là gateway. - Với tunnel ho ạt độ ng gi ữa hai security gateway, đị a ch ỉ ngu ồn và đích có th ể được mã hóa. Tunnel mode được dùng khi m ột trong hai đầ u c ủa k ết n ối IPSec là security gateway và địa ch ỉ đích th ật s ự phía sau các gateway không có h ỗ tr ợ IPSec Figure 6-11: IPSec Tunnel mode—a generic representation. - Trong AH Tunnel mode, ph ần đầ u m ới (AH) được chèn vào gi ữa ph ần header mới và ph ần header nguyên b ản, nh ư hình bên d ưới.
23. Figure 6-12: AH Tunnel mode. Figure 6-13: ESP Tunnel mode. - IKE SA là quá trình hai chi ều và cung c ấp m ột kênh giao ti ếp b ảo m ật gi ữa hai bên. Thu ật ng ữ ‘hai chi ều’ có ý ngh ĩa là khi đã được thi ết l ập, m ỗi bên có th ể kh ởi t ạo ch ế độ QuickMode, Informational và NewGroupMode. IKE SA được nh ận ra b ởi các cookies c ủa bên kh ởi t ạo, được theo sau b ởi các cookies c ủa tr ả l ời c ủa phía đố i tác. Th ứ t ự các cookies được thi ết l ập b ởi phase 1 s ẽ ti ếp t ục ch ỉ ra IKE SA, b ất ch ấp chi ều của nó. Ch ức n ăng ch ủ y ếu c ủa IKE là thi ết l ập và duy trì các SA. Các thu ộc tính sau đây là m ức t ối thi ểu ph ải được th ống nh ất gi ữa hai bên nh ư là m ột ph ần c ủa ISAKMP (Internet Security Association and Key Management Protocol) SA: • Thu ật gi ải mã hóa • Thu ật gi ải b ăm được dùng • Ph ươ ng th ức xác th ực s ẽ dùng • Thông tin v ề nhóm và gi ải thu ật DH - IKE th ực hi ện quá trình dò tìm, quá trình xác th ực, qu ản lý và trao đổi khóa. IKE sẽ dò tìm ra được m ột h ợp đồ ng gi ữa hai đầ u cu ối IPSec và sau đó SA s ẽ theo dõi t ất c ả các thành ph ần c ủa m ột phiên làm vi ệc IPSec. Sau khi đã dò tìm thành công, các thông số SA h ợp l ệ s ẽ được l ưu tr ữ trong c ơ s ở d ữ li ệu c ủa SA. - Thu ận l ợi chính c ủa IKE bao g ồm: • IKE không ph ải là m ột công ngh ệ độ c l ập, do đó nó có th ể dùng v ới b ất k ỳ cơ ch ế b ảo m ật nào. • Cơ ch ế IKE, m ặc dù không nhanh, nh ưng hi ệu qu ả cao b ở vì m ột l ượng l ớn nh ững hi ệp h ội b ảo m ật th ỏa thu ận v ới nhau v ới m ột vài thông điệp khá ít. IKE Phases - Giai đoạn I và II là hai giai đoạn t ạo nên phiên làm vi ệc d ựa trên IKE, hình 6-14 trình bày m ột s ố đặ c điểm chung c ủa hai giai đoạn. Trong m ột phiên làm vi ệc IKE, nó
24. gi ả s ử đã có m ột kênh b ảo m ật được thi ết l ập s ẵn. Kênh b ảo m ật này ph ải được thi ết l ập tr ước khi có b ất k ỳ th ỏa thu ận nào x ảy ra. Figure 6-14: The two IKE phases—Phase I and Phase II. Giai đoạn I c ủa IKE - Giai đoạn I c ủa IKE đầ u tiên xác nh ận các điểm thông tin, và sau đó thi ết l ập m ột kênh b ảo m ật cho s ự thi ết l ạp SA. Ti ếp đó, các bên thông tin th ỏa thu ận m ột ISAKMP SA đồng ý l ẫn nhau, bao g ồm các thu ật toán mã hóa, hàm b ăm, và các ph ươ ng pháp xác nh ận b ảo v ệ mã khóa. - Sau khi c ơ ch ế mã hóa và hàm b ăm đã được đồ ng ý ở trên, m ột khóa chi s ẽ bí mật được phát sinh. Theo sau là nh ững thông tin được dùng để phát sinh khóa bí m ật : • Giá tr ị Diffie-Hellman • SPI c ủa ISAKMP SA ở d ạng cookies • Số ng ẩu nhiên known as nonces (used for signing purposes) - Nếu hai bên đồng ý s ử d ụng ph ươ ng pháp xác nh ận d ựa trên public key, chúng cũng c ần trao đổ i IDs. Sau khi trao đổi các thông tin c ần thi ết, c ả hai bên phát sinh nh ững key riêng c ủa chính mình s ử d ụng chúng để chia s ẽ bí m ật. Theo cách này, nh ững khóa mã hóa được phát sinh mà không c ần th ực s ự trao đổ i b ất k ỳ khóa nào thông qua m ạng. Giai đoạn II c ủa IKE - Trong khi giai đoạn I th ỏa thu ận thi ết l ập SA cho ISAKMP, giai đoạn II gi ải quy ết b ằng vi ệc thi ết l ập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhi ều d ịch v ụ khác nhau th ỏa thu ận. C ơ ch ế xác nh ận, hàm b ăm, và thu ật toán mã hóa b ảo v ệ gói d ữ li ệu IPSec ti ếp theo (s ử d ụng AH và ESP) d ưới hình th ức m ột ph ần c ủa giai đoạn SA.
25. - Sự th ỏa thu ận c ủa giai đoạn x ảy ra th ường xuyên h ơn giai đoạn I. Điển hình, s ự th ỏa thu ận có th ể l ặp l ại sau 4-5 phút. S ự thay đổ i th ường xuyên các mã khóa ng ăn c ản các hacker b ẻ gãy nh ững khóa này và sau đó là n ội dung c ủa gói d ữ li ệu. - Tổng quát, m ột phiên làm vi ệc ở giai đoạn II t ươ ng đươ ng v ới m ột phiên làmvi ệc đơ n c ủa giai đoạn I. Tuy nhiên, nhi ều s ự thay đổ i ở giai đoạn II c ũng có th ể được h ổ tr ợ bởi m ột tr ường h ợp đơn ở giai đoạn I. Điều này làm qua trình giao d ịch ch ậm ch ạp c ủa IKE t ỏ ra t ươ ng đối nhanh h ơn. - Oakley là m ột trong s ố các giao th ức c ủa IKE. Oakley is one of the protocols on which IKE is based. Oakley l ần l ượt đị nh ngh ĩa 4 ch ế độ ph ổ bi ến IKE. IKE Modes 4 ch ế độ IKE ph ổ bi ến th ường được tri ển khai : • Ch ế độ chính (Main mode) • Ch ế độ linh ho ạt (Aggressive mode) • Ch ế độ nhanh (Quick mode) • Ch ế độ nhóm m ới (New Group mode) Main Mode - Main mode xác nh ận và b ảo v ệ tính đồ ng nh ất c ủa các bên có liên quan trong qua trình giao d ịch. Trong ch ế độ này, 6 thông điệp được trao đổ i gi ữa các điểm: • 2 thông điệp đầ u tiên dùng để th ỏa thu ận chính sách b ảo m ật cho s ự thay đổi. • 2 thông điệp k ế ti ếp ph ục v ụ để thay đổ i các khóa Diffie-Hellman và nonces. Nh ững khóa sau này th ực hi ện m ột vai tro quan tr ọng trong c ơ ch ế mã hóa. • Hai thông điệp cu ối cùng c ủa ch ế độ này dùng để xác nh ận các bên giao dịch v ới s ự giúp đỡ c ủa ch ữ ký, các hàm b ăm, và tu ỳ ch ọn v ới ch ứng nh ận. Hình 6-15 mô t ả quá trình giao d ịch trong ch ế độ IKE.
26. Aggressive Mode - Aggressive mode v ề b ản ch ất gi ống Main mode. Ch ỉ khác nhau thay vì main mode có 6 thông điệp thì ch ết độ này ch ỉ có 3 thông điệp được trao đổ i. Do đó, Aggressive mode nhanh h ơn mai mode. Các thông điệp đó bao g ồm : • Thông điệp đầ u tiên dùng để đưa ra chính sách b ảo m ật, pass data cho khóa chính, và trao đổi nonces cho vi ệc ký và xác minh ti ếp theo. • Thông điệp k ế ti ếp h ồi đáp l ại cho thông tin đầ u tiên. Nó xác th ực ng ười nh ận và hoàn thành chính sách b ảo m ật b ằng các khóa. • Thông điệp cu ối cùng dùng để xác nh ận ng ười g ửi (ho ặc b ộ kh ởi t ạo c ủa phiên làm vi ệc).
27. Figure 6-16: Message exchange in IKE Aggressive mode. Cả Main mode và Aggressive mode đều thu ộc giai đoạn I. Quick Mode - Ch ế độ th ứ ba c ủa IKE, Quick mode, là ch ế độ trong giai đoạn II. Nó dùng để th ỏa thu ận SA cho các d ịch v ụ b ảo m ật IPSec. Ngoài ra, Quick mode c ũng có th ể phát sinh khóa chính m ới. N ếu chính sách c ủa Perfect Forward Secrecy (PFS) được th ỏa thu ận trong giai đoạn I, m ột s ự thay đổ i hoàn toàn Diffie-Hellman key được kh ởi t ạo. Mặt khác, khóa m ới được phát sinh b ằng các giá tr ị b ăm. Figure 6-17: Message exchange in IKE Quick mode, which belongs to Phase II. New Group Mode - New Group mode được dùng để th ỏa thu ận m ột private group m ới nh ằm t ạo điều ki ện trao đổ i Diffie-Hellman key được d ễ dàng. Hình 6-18 mô t ả New Group mode. Mặc dù ch ế độ này được th ực hi ện sau giai đoạn I, nh ưng nó không thu ộc giai đoạn II.
28. Figure 6-18: Message exchange in IKE New Group mode. - Ngoài 4 ch ế độ IKE ph ổ bi ến trên, còn có thêm Informational mode. Ch ế độ này kết h ợp v ới quá trình thay đổ c ủa giai đoạn II và SAs. Ch ế độ này cung c ấp cho các bên có liên quan m ột s ố thông tin thêm, xu ất phát t ừ nh ững th ất b ại trong quá trình th ỏa thu ận. Ví d ụ, n ếu vi ệc gi ải mã th ất b ại t ại ng ười nh ận ho ặc ch ữ ký không được xác minh thành công, Informational mode được dùng để thông báo cho các bên khác bi ết. III. Tổng Quan Hệ Điều Hành Cisco IOS: 1. Ki ến trúc h ệ th ống: - Gi ống nh ư là 1 máy tính, router có 1 CPU có kh ả n ăng x ử lý các câu l ệnh d ựa trên n ền t ảng c ủa router. Hai ví d ụ v ề b ộ x ử lý mà Cisco dùng là Motorola 68030 và Orion/R4600. Ph ần m ềm Cisco IOS ch ạy trên Router đòi h ỏi CPU hay b ộ vi x ử lý để gi ải quy ết vi ệc đị nh tuy ến và b ắc c ầu, qu ản lý b ảng đị nh tuy ến và m ột vài ch ức n ăng khác c ủa h ệ th ống. CPU ph ải truy c ập vào d ữ li ệu trong b ộ nh ớ để gi ải quy ết các v ấn đề hay l ấy các câu l ệnh. - Có 4 lo ại b ộ nh ớ th ường dùng trên m ột Router c ủa Cisco là - ROM : là b ộ nh ớ t ổng quát trên m ột con chip ho ặc nhi ều con. Nó còn có th ể nằm trên b ảng m ạch b ộ vi x ử lý c ủa router. Nó ch ỉ đọ c ngh ỉa là d ữ li ệu không th ể ghi lên trên nó. Ph ần m ềm đầ u tiên ch ạy trên m ột router Cisco được g ọi là bootstrap software và th ường được l ưu trong ROM. Bootstrap software được g ọi khi router kh ởi động. - Flash : b ộ nh ớ Flash n ằm trên b ảng m ạch SIMM nh ưng nó có th ể được m ở rộng b ằng cách s ử d ụng th ẻ PCMCIA (có th ể tháo r ời). B ộ nh ớ flash h ầu h ết được s ử dụng để l ưu tr ữ m ột hay nhi ều b ản sao c ủa ph ần m ềm Cisco IOS. Các file c ấu hình hay thông tin h ệ th ống c ũng có th ể được sao chép lên flash. Ở vài h ệ th ống g ần đây, b ộ nh ớ flash còn được s ử d ụng để gi ữ bootstrap software. - Flash memory ch ứa Cisco IOS software image. Đối v ới m ột s ố lo ại, Flash memory có th ể ch ứa các file c ấu hình hay boot image. Tùy theo lo ại mà Flash memory có th ể là EPROMs, single in-line memory (SIMM) module hay Flash memory card: - Internal Flash memory: o Internal Flash memory th ường ch ứa system image. o M ột s ố lo ại router có t ừ 2 Flash memory tr ở lên d ưới d ạng single in-line memory modules (SIMM). N ếu nh ư SIMM có 2 bank thì được g ọi là dual-bank Flash memory. Các bank này có th ể được phân thành nhi ều ph ần logic nh ỏ
29. - Bootflash: o Bootflash th ường ch ứa boot image. o Bootflash đôi khi ch ứa ROM Monitor. - Flash memory PC card hay PCMCIA card: - Flash memory card dùng để g ắn vào Personal Computer Memory Card - International Association (PCMCIA) slot. Card này dùng để ch ứa system image, boot image và file c ấu hình. - Các lo ại router sau có PCMCIA slot: o Cisco 1600 series router: 01 PCMCIA slot. o Cisco 3600 series router: 02 PCMCIA slots. o Cisco 7200 series Network Processing Engine (NPE): 02 PCMCIA slots o Cisco 7000 RSP700 card và 7500 series Route Switch Processor (RSP) card ch ứa 02 PCMCIA slots. - RAM : là b ộ nh ớ r ất nhanh nh ưng nó làm m ất thông tin khi h ệ th ống kh ởi động l ại. Nó được s ử d ụng trong máy PC để l ưu các ứng d ụng đang ch ạy và d ữ li ệu. Trên router, RAM được s ử để gi ữ các b ảng c ủa h ệ điều hành IOS và làm b ộ đệ m. RAM là b ộ nh ớ c ơ b ản được s ử d ụng cho nhu c ầu l ưu tr ữ các h ệ điều hành - ROM monitor, cung c ấp giao di ện cho ng ười s ử dung khi router không tìm th ấy các file image không phù h ợp. - Boot image, giúp router boot khi không tìm th ấy IOS image h ợp l ệ trên flash memory. - NVRAM : Trên router, NVRAM được s ử d ụng để l ưu tr ữ c ấu hình kh ởi độ ng. Đây là file c ấu hình mà IOS đọc khi router kh ởi độ ng. Nó là b ộ nh ớ c ực k ỳ nhanh và liên t ục khi kh ởi độ ng l ại. - Mặc dù CPU và b ộ nh ớ đòi h ỏi m ột s ố thành ph ần để ch ạy h ệ điều hành IOS, router c ần ph ải có các interface khác nhau cho phép chuy ển ti ếp các packet. Các interface nh ận vào và xu ất ra các k ết n ối đế n router mang theo d ữ li ệu c ần thi ết đế n router hay switch. Các lo ại interface th ường dùng là Ethernet và Serial. T ươ ng t ự nh ư là các ph ần m ềm driver trên máy tính v ới c ổng parallel và c ổng USB, IOS c ũng có các driver c ủa thi ết b ị để h ỗ tr ợ cho các lo ại interface khác nhau.
30. - Tất c ả các router c ủa Cisco có m ột c ổng console cung c ấp m ột k ết n ối serial không đồng b ộ EIA/TIA-232. C ổng console có th ể được k ết n ối t ới máy tính thông qua kết n ối serial để làm t ăng truy c ập đầ u cu ối t ới router. H ầu h ết các router đề u có c ổng auxiliary, nó t ươ ng t ự nh ư c ổng console nh ưng đặc tr ưng h ơn, được dùng cho k ết n ối modem để qu ản lý router t ừ xa. - VD: xem màn hình console c ủa m ột router 3640 đã kh ởi độ ng. Chú ý b ộ x ử lý, interface và thông tin b ộ nh ớ được li ệt kê Cisco 3640 Router Console Output at Startup System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Copyright (c) 1999 by Cisco Systems, Inc. C3600 processor with 98304 Kbytes of main memory Main memory is configured to 64 bit mode with parity disabled program load complete, entry point: 0x80008000, size: 0xa8d168 Self decompressing the image : ################################################################## ################################################### [OK] Restricted Rights Legend Use, duplication, or disclosure by the Government is subject to restrictions as set forth in subparagraph (c) of the Commercial Computer Software – Restricted Rights clause at FAR sec. 52.227-19 and subparagraph (c) (1) (ii) of the Rights in Technical Data and Computer Software clause at DFARS sec. 252.227-7013. Cisco Systems, Inc. 170 West Tasman Drive San Jose, California 95134-1706 Cisco Internetwork Operating System Software
31. IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE SOFTWARE (fc2) Copyright (c) 1986-2002 by Cisco Systems, Inc. Compiled Mon 06-May-02 23:23 by pwade Image text-base: 0x60008930, data-base: 0x610D2000 cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of memory. Processor board ID 17746964 R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). 5 Ethernet/IEEE 802.3 interface(s) 1 Serial network interface(s) DRAM configuration is 64 bits wide with parity disabled. 125K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) 16384K bytes of processor board PCMCIA Slot0 flash (Read/Write) System Configuration Dialog Would you like to enter the initial configuration dialog? [yes/no]: - Khi m ột router m ới kh ởi độ ng l ần đầ u, IOS s ẽ ch ạy ti ến trình t ự độ ng cài đặt và ng ười s ử d ụng được nh ắc tr ả l ời 1 vài câu h ỏi. Sau đó IOS s ẽ c ấu hình h ệ th ống d ựa trên nh ững thông tin nh ận được. Sau khi hoàn t ất vi ệc cài đặt, c ấu hình th ường s ử d ụng nh ất được ch ỉnh s ửa b ằng cách dùng giao di ện câu l ệnh (CLI). Còn có m ột s ố cách khác để c ấu hình router bao g ồm HTTP và các ứng d ụng qu ản tr ị m ạng.
32. 2. Cisco IOS CLI: - Cisco có 3 mode l ệnh, v ới t ừng mode s ẽ có quy ền truy c ập t ới nh ững b ộ l ệnh khác nhau - User mode: Đây là mode đầu tiên mà ng ười s ử d ụng truy c ập vào sau khi đă ng nh ập vào router. User mode có th ể được nh ận ra b ởi ký hi ệu > ngay sau tên router. Mode này cho phép ng ười dùng ch ỉ th ực thi được m ột s ố câu l ệnh c ơ b ản ch ẳng hạn nh ư xem tr ạng thái c ủa h ệ th ống. H ệ th ống không th ể được c ấu hình hay kh ởi độ ng lại ở mode này. - Privileged mode: mode này cho phép ng ười dùng xem c ấu hình c ủa h ệ th ống, kh ởi độ ng l ại h ệ th ống và đi vào mode c ấu hình. Nó c ũng cho phép th ực thi t ất c ả các câu l ệnh ở user mode. Privileged mode có th ể được nh ận ra b ởi ký hi ệu # ngay sau tên router. Ng ười s ử d ụng s ẽ gõ câu l ệnh enable để cho IOS bi ết là h ọ mu ốn đi vào Privileged mode t ừ User mode. N ếu enable password hay enabel secret password được cài đặt, ngu ời s ử d ụng c ần ph ải gõ vào đúng m ật kh ẩu thì m ới có quy ền truy c ập vào privileged mode. Enable secret password s ử d ụng ph ươ ng th ức mã hoá m ạnh h ơn khi nó được l ưu tr ữ trong c ấu hình, do v ậy nó an toàn h ơn. Privileged mode cho phép ng ười sử d ụng làm b ất c ứ gì trên router, vì v ậy nên s ử d ụng c ẩn th ận. Để thoát kh ỏi privileged mode, ng ười s ử d ụng th ực thi câu l ệnh disable. - Configuration mode: mode này cho phép ng ười s ử d ụng ch ỉnh s ửa c ấu hình đang ch ạy. Để đi vào configuration mode, gõ câu l ệnh configure terminal t ừ privileged mode. Configuration mode có nhi ều mode nh ỏ khác nhau, b ắt đầ u v ới global configuration mode, nó có th ể được nh ận ra b ởi ký hi ệu (config)# ngay sau tên router. Các mode nh ỏ trong configuration mode thay đổ i tu ỳ thu ộc vào b ạn mu ốn c ấu hình cái gì, t ừ bên trong ngo ặc s ẽ thay đổ i. Ch ẳng h ạn khi b ạn mu ốn vào mode interface, ký hi ệu s ẽ thay đổi thành (config-if)# ngay sau tên router. Để thoát kh ỏi configuration mode, ng ười s ủ d ụng có th ể gõ end hay nh ấn t ổ h ợp phím Ctrl-Z - Chú ý ở các mode, tu ỳ vào tình hu ống c ụ th ể mà câu l ệnh ? t ại các v ị trí s ẽ hi ển th ị lên các câu l ệnh có th ể có ở cùng mức. Ký hi ệu ? c ũng có th ể s ử d ụng ở gi ữa câu lệnh để xem các tu ỳ ch ọn ph ức t ạp c ủa câu l ệnh. Example 4-2 hi ển th ị cách s ử d ụng câu lệnh ? v ới t ừng mode - VD: Using Context-Sensitive Help Router> ? Exec commands: access-enable Create a temporary Access-List entry
33. access-profile Apply user-profile to interface clear Reset functions - Bước ti ếp theo s ẽ h ướng d ẫn b ạn s ử d ụng câu l ệnh thay đổ i mode, xem c ấu hình hệ th ống và c ấu hình password. Màn hình CLI c ủa m ột router 3640 đang ch ạy h ệ điều hành Cisco IOS được hi ển th ị. - Bước 1: Vào enable mode b ằng cách gõ enable và nh ấn phím Enter Router> enable Router# - Bước 2: Để xem phiên b ản c ủa h ệ điều hành IOS đang ch ạy, gõ l ệnh show version Router# show version Cisco Internetwork Operating System Software IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE SOFTWARE (fc2) Copyright (c) 1986-2002 by Cisco Systems, Inc. Compiled Mon 06-May-02 23:23 by pwade Image text-base: 0x60008930, data-base: 0x610D2000 ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT RELEASE SOFTWARE (fc1) Router uptime is 47 minutes System returned to ROM by reload System image file is "slot0:c3640-is-mz.122-10.bin" cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of memory. Processor board ID 17746964
34. R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software. X.25 software, Version 3.0.0. SuperLAT software (copyright 1990 by Meridian Technology Corp). 5 Ethernet/IEEE 802.3 interface(s) 1 Serial network interface(s) DRAM configuration is 64 bits wide with parity disabled. 125K bytes of non-volatile configuration memory. 8192K bytes of processor board System flash (Read/Write) 16384K bytes of processor board PCMCIA Slot0 flash (Read/Write) Configuration register is 0x2002 - Từ màn hình hi ển th ị trên cho ta th ấy, router này đang ch ạy h ệ điều hành Cisco IOS phiên b ản 12.2(10) và b ản sao c ủa nó được l ưu trong th ẻ nh ớ Flash PCMCIA trong slot 0 - Bước 3: Ti ếp theo, c ấu hình tên router thành IOS. Vào configuration mode bằng cách gõ l ệnh configure terminal Router# configure terminal Enter configuration commands, one per line. End with CNTL/Z. Router(config)# hostname IOS IOS(config)# - Chú ý r ằng ký hi ệu s ẽ chuy ển ngay thành IOS sau khi b ạn gõ câu l ệnh hostname. T ất c ả các thay c ấu hình trong Cisco IOS s ẽ th ực thi ngay l ập t ức - Bước 4: Ti ếp theo, b ạn c ần đặ t enable password và enable secret password. Enable secret password được l ưu tr ữ b ằng cách dùng thu ật toán mã hoá r ất m ạnh và được ghi đè lên enable password n ếu nó đã được c ấu hình IOS(config)# enable password cisco IOS(config)# enable secret san-fran
35. IOS(config)# exit IOS# - Để vào enable mode b ạn c ần gõ m ật kh ẩu là san-fran. Câu l ệnh exit s ẽ đưa b ạn quay l ại 1 m ức trong c ấu hình hay thoát kh ỏi mode con hi ện t ại - Bước 5: Sau khi c ấu hình tên router và cài đặt password, b ạn có th ể xem c ấu hình đang ch ạy IOS# show running-config Building configuration Current configuration : 743 bytes ! version 12.2 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname IOS ! enable secret 5 $1$IP7a$HClNetI.hpRdox84d.FYU. enable password cisco ! ip subnet-zero !
36. call rsvp-sync ! interface Ethernet0/0 no ip address shutdown half-duplex ! interface Serial0/0 no ip address shutdown no fair-queue ! interface Ethernet2/0 no ip address shutdown half-duplex ! interface Ethernet2/1 no ip address shutdown half-duplex ! interface Ethernet2/2 no ip address
37. shutdown half-duplex ! interface Ethernet2/3 no ip address shutdown half-duplex ! ip classless ip http server ip pim bidir-enable ! dial-peer cor custom ! line con 0 line aux 0 line vty 0 4 ! end - Bước 6: Màn hình sau khi gõ show running-config sẽ hi ển th ị c ấu hình hi ện th ời đang ho ạt độ ng trong h ệ th ống, tuy nhiên c ấu hình này s ẽ m ất n ếu nh ư h ệ th ống kh ởi độ ng l ại. Để l ưu c ấu hình vào NVRAM, b ạn ch ắc ch ắn ph ải gõ l ệnh IOS# copy running-config startup-config Destination filename [startup-config]? Building configuration
38. [OK] - Bước 7: Để xem c ấu hình được l ưu trong NVRAM, b ạn dùng l ệnh show startup-config - Trong chu ỗi các b ước trên, chú ý interface Ethernet và serial được hi ển th ị trong file c ấu hình. M ỗi interface c ần có nh ững thông s ố ch ắc ch ắn nh ư s ự đóng gói và địa ch ỉ được cài đặt tr ước khi interface có th ể s ử d ụng m ột cách đúng đắ n. Thêm vào đó, định t ưyến IP và b ắc c ầu c ần ph ải được cấu hình. Tham kh ảo vi ệc cài đặt Cisco IOS và hướng d ẫn c ấu hình t ại www.cisco.com cho phiên b ản ph ần mêm c ủa b ạn để tham kh ảo thêm v ề t ất c ả các tu ỳ ch ọn c ấu hình có th ể có và h ướng d ẫn chi ti ết. - Một vài câu l ệnh th ường dùng để qu ản lý h ệ th ống Cisco IOS Command Miêu t ả show interface Hi ển th ị tr ạng thái hi ện t ại và chi ti ết c ấu hình cho t ất cả các interface trong h ệ th ống show processes cpu Hi ển th ị vi ệc s ử d ụng CPU và các ti ến trình đang ch ạy trong h ệ th ống show buffers Xem có bao nhiêu buffers đang được c ấp phát hi ện th ời và s ự ho ạt độ ng cho vi ệc chuy ển ti ếp các packet show memory Xem có bao nhiêu b ộ nh ớ được c ấp phát cho các ch ưc năng khác c ủa h ệ th ống và vi ệc s ử d ụng b ộ nh ớ show diag Hi ển th ị chi ti ết các th ẻ nh ớ trong h ệ th ống show ip route Hi ển th ị b ảng IP route đang s ử d ụng show arp Hi ển th ị đị a ch ỉ MAC ánh x ạ t ừ đị a ch ỉ IP đang dùng trong b ảng ARP
39. 3. IV. Qui Trình C ấu Hình 4 B ước IPSec/VPN Trên Cisco IOS: - Ta có th ể c ấu hình IPSec trên VPN qua 4 b ước sau đây: 1. Chu ẩn b ị cho IKE và IPSec 2. Cấu hình cho IKE 3. Cấu hình cho IPSec
    Cấu hình d ạng mã hóa cho gói d ữ li ệu Crypto ipsec transform-set
    Cấu hình th ời gian t ồn t ại c ủa gói d ữ li ệu và các tùy ch ọn b ảo m ật khác Crypto ipsec sercurity-association lifetime
    Tạo crytoACLs bằng danh sách truy c ập mở r ộng (Extended Access List) Crypto map
    Cấu hình IPSec crypto maps
    Áp d ụng các crypto maps vào các c ổng giao ti ếp (interfaces) Crypto map map-name 4. Ki ểm tra l ại vi ệc th ực hi ện IPSec A. Cấu hình cho mã hóa d ữ li ệu: - Sau đây b ạn s ẽ c ấu hình Cisco IOS IPSec b ằng cách s ử d ụng chính sách b ảo m ật IPSec (IPSec Security Policy) để đị nh ngh ĩa các các chính sách b ảo m ật IPSec (transform set).
40. - Chính sách b ảo m ật IPSec (transform set) là sự k ết h ợp các c ấu hình IPSec transform riêng r ẽ được đị nh ngh ĩa và thi ết k ế cho các chính sách b ảo m ật lưu thông trên m ạng. Trong su ốt quá trình trao đổi ISAKMP IPSec SA nếu xảy ra l ỗi trong quá trình IKE Phase 2 quick mode, thì hai bên s ẽ sử d ụng transform set riêng cho vi ệc b ảo vệ d ữ li ệu riêng c ủa mình trên đường truy ền. Transform set là s ự k ết h ợp c ủa các nhân tố sau: • Cơ ch ế cho vi ệc ch ứng th ực: chính sách AH • Cơ ch ế cho vi ệc mã hóa: chính sách ESP • Ch ế độ IPSec (ph ươ ng ti ện truy ền thông cùng v ới đường h ầm b ảo m ật) - Transform set b ằng v ới vi ệc k ết h ợp các AH transform, ESP transform và ch ế độ IPSec (ho ặc c ơ ch ế đường h ầm bảo m ật ho ặc ch ế độ ph ươ ng ti ện truy ền thông). Transform set gi ới h ạn t ừ m ột cho t ới hai ESP transform và m ột AH transform. Định
41. ngh ĩa Transform set b ằng câu l ệnh cryto ipsec transform-set ở ch ế độ gobal mode. Và để xoá các cài đặt transform set dùng l ệnh d ạng no. - Cú pháp c ủa l ệnh và các tham s ố truy ền vào nh ư sau: crypto ipsec transform-set transform-set-name transform1 [transform2 [transform3]] - Các tham s ố của l ệnh crypto ipsec transform-set Tham s ố Ý ngh ĩa transform-set-name Ch ỉ đị nh tên c ủa Transform được t ạo hay được thay đổi transform1, transform2, transform3 Ch ỉ t ừ 3 transform tr ở lên. Nh ững transform được đị nh ngh ĩa cho giao th ức b ảo m ật IPSec (IPSec Security Protocol) và thu ật tóan - Bạn có th ể c ấu hình nhi ều transform set và ch ỉ rõ m ột hay nhi ều transform set trong m ục crypto map. Định ngh ĩa các transform set trong m ục crypto map được s ử dụng trong trao đổi IPSec SA để b ảo v ệ d ữ li ệu được đinh ngh ĩa b ởi ACL c ủa m ục crypto map. Trong su ốt quá trình trao đổi, c ả hai bên s ẽ tìm ki ếm các transform set gi ống nhau ở c ả hai phiá. Khi mà các transform set được tìm th ấy, nó s ẽ được s ử d ụng để b ảo v ệ d ữ li ệu trên đường truy ền nh ư là m ột ph ần c ủa các IPSec Sa ở c ả 2 phía. - Khi mà ISAKMP không được s ử d ụng để thi ết l ập các Sa, m ột transform set riêng r ẽ s ẽ được s ử d ụng. Transform set đó s ẽ không được trao đổ i. - Thay đổi c ấu hình Transform set: B1: Xóa các tranform set t ừ crypto map B2: Xóa các transform set trong ch ế độ c ấu hình gobal mode B3: C ấu hình l ại transform set v ới nh ững thay đổ i B4: Gán transform set v ới crypto map B5: Xóa c ơ s ở d ữ li ệu SA (SA database) B6: Theo dõi các trao đổi SA và ch ắc ch ắn nó h ọat độ ng t ốt
42. - Cấu hình cho vi ệc trao đổ i transform: - Tranform set được trao đổ i trong su ốt ch ế độ quick mode trong IKE Phase 2 là nh ững các transform set mà b ạn cấu hình ưu tiên s ử d ụng. B ạn có th ể c ấu hình nhi ều transform set và có th ể ch ỉ ra m ột hay nhi ều transform set trong m ục crypto map. C ấu hình transform set t ừ nh ững b ảo m ật thông th ường nh ỏ nh ất gi ống nh ư trong chính sách bảo m ật c ủa b ạn. Nh ững transform set được đị nh ngh ĩa trong m ục crypto map được s ử dụng trong trao đổ i IPSec SA để b ảo v ệ d ữ li ệu được định ngh ĩa b ởi ACL c ủa m ục crypto map. - Trong su ốt quá trình trao đổi m ỗi bên s ẽ tìm ki ếm các transform set gi ống nhau ở cả hai bên nh ư minh h ọa ở hình trên. Các transform set c ủa Router A được so sánh v ới một transform set c ủa Router B và c ứ ti ếp t ục nh ư th ế. Router A transform set 10, 20, 30 được so sánh v ới transform set 40 c ủa Router B. N ếu mà không tr ả v ể k ết qu ả đúng thì t ất c ả các transform set c ủa Router A sau đó s ẽ được so sánh v ới transform set ti ếp theo c ủa Router B. Cu ối cùng transform set 30 c ủa Router A gi ống v ới transform set 60 của Router B. Khi mà transform set được tìm th ấy, nó s ẽ được ch ọn và áp d ụng cho
43. vi ệc b ảo v ệ đường truy ền nh ư là m ột ph ần c ủa IPSec SA c ủa c ả hai phía. IPSec ở m ỗi bên s ẽ ch ấp nh ận m ột transform duy nh ất được ch ọn cho m ỗi SA. B. Cấu hình th ời gian t ồn t ại c ủa IPSec trong quá trình trao đổi: - IPSec SA được đị nh ngh ĩa là th ời gian t ồn t ại c ủa IPSec SA tr ước khi th ực hi ện lại quá trình trao đổi ti ếp theo. Cisco IOS h ỗ tr ợ giá tr ị th ời gian t ồn t ại có th ể áp d ụng lên t ất c ả các crypto map. Giá tr ị c ủa global lifetime có th ể được ghi đè v ới nh ững m ục trong crypto map. - Bạn có th ể thay đổ i giá tr ị th ời gian t ồn t ại c ủa IPSec SA b ằng câu l ệnh crypto ipsec security-association lifetime ở ch ế độ global configuration mode. Để tr ả v ề giá tr ị m ặc đị nh ban đầ u s ử d ụng d ạng câu l ệnh no . C ấu trúc và các tham s ố c ủa câu l ệnh được đị nh ngh ĩa nh ư sau: cryto ipsec security-association lifetime {seconds seconds | kilobytes kilobytes}
44. Câu l ệnh Tham s ố seconds seconds Ch ỉ đị nh kh ỏang th ời gian t ồn t ại c ủa IPSec SA. M ặc đị nh là 3600 giây (m ột gi ờ) kilobytes kilobytes Ch ỉ đị nh dung l ượng trong l ưu thông IPSec gi ữa 2 bên s ử d ụng để đưa SA tr ước khi SA h ết h ạn. Giá tr ị m ặc đị nh 4,608,000 KB - Cisco khuy ến cáo b ạn nên s ử d ụng các giá tr ị m ặc đị nh. B ản thân th ời gian t ồn tại c ủa m ỗi IPSec SA có th ể được c ấu hình b ằng cách s ử d ụng crypto map. - Định ngh ĩa Crypto Access Lists: -Crypto access list (Crypto ACLs) được s ử d ụng để đị nh ngh ĩa nh ững l ưu thông (traffic) nào được s ử d ụng hay kho s ử d ụng IPSec.
45. - Crypto ACLs th ực hi ện các ch ức n ăng sau: • Outbound: Ch ọn nh ững traffic được b ảo v ệ b ởi IPSec. Nh ững traffic còn l ại sẽ được g ửi ở d ạng không mã hóa. • Inbound: N ếu có yêu c ầu thì inbound access list có th ể t ạo để l ọc ra và l ọai bỏ nh ững traffic kho được b ảo v ệ b ởi IPSec. C. Tạo cryto ACLs bằng danh sách truy c ập mở r ộng (Extends access list): - Cryto ACLs được đị nh ngh ĩa để b ảo v ệ nh ững d ữ li ệu được truy ền t ải trên m ạng. Danh sach truy c ập mở r ộng (Extended IP ACLs) sẽ ch ọn nh ững lu ồng d ữ li ệu (IP traffic) để mã hóa b ằng cách s ử d ụng các giao th ức truy ền t ải (protocol), địa ch ỉ IP (IP address), m ạng (network), m ạng con (subnet) và c ổng dịch v ụ (port). M ặc dù cú pháp ACL và extended IP ACLs là gi ống nhau, ngh ĩa là ch ỉ có s ự khác bi ệt chút ít trong crypto ACLs. Đó là cho phép (permit) ch ỉ nh ững gói d ữ li ệu đánh d ấu m ới được mã hóa và t ừ ch ối (deny) v ới nh ững gói d ữ li ệu được đánh d ấu m ới không được mã hóa. Crypto ACLs h ọat độ ng t ươ ng t ự nh ư extendeds IP ACL đó là ch ỉ áp d ụng trên nh ững lu ồng d ữ li ệu đi ra (outbound traffic) trên m ột interface.
46. - Cú pháp câu lệnh và các tham s ố được đị nh ngh ĩa cho d ạng c ơ b ản c ủa danh sách extended IP ACL nh ư sau: access-list access-list-number { permit | deny } protocol source Source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log] Access-list access-list-number Tham S ố command Permit Tất c ả các lu ồng d ữ li ệu (traffic IP)sẽ được đánh d ấu để được b ảo v ệ b ằng cryto ph ải s ử d ụng chính sách b ảo m ật (policy) li ệt kê cho phù h ợp v ới các mục trong crypto map (crypto map entry) Deny Cho bi ết nh ững lu ồng d ữ li ệu (traffic) từ router nào t ới router nào là an tòan Source and destination Đó là nh ững m ạng (network), m ạng con (subnet) ho ặc là máy tr ạm (host) - Ghi chú: M ặc dù c ấu trúc ACL là không đổi nh ưng v ề ý ngh ĩa có khác so v ới cryto ACLs. Đó là ch ỉ cho phép (permit) nh ững gói d ữ li ệu được đánh d ấu m ới được mã hóa và t ừ ch ối (deny) nh ững gói d ữ li ệu được đánh d ấu không được mã hóa. - Bất c ứ lu ồng d ữ li ệu nào đến (traffic inbound) không được b ảo v ệ sẽ được đánh dấu permit trong crypto ACL c ủa m ục crypto map gi ống nh ư IPSec s ẽ h ủy b ỏ gói tin đó. Gói tin b ọ h ủy b ỏ b ởi vì lu ồng d ữ li ệu đã được b ảo v ệ b ằng IPSec. - Nếu b ạn th ực s ự mu ốn d ữ li ệu t ới n ơi nh ận là s ự k ết h ợp c ủa ch ỉ m ột d ạng b ảo mật IPSec (ch ỉ ch ứng th ực-authentication) và nh ững d ữ li ệu khác t ới n ơi nh ận là s ự k ết hợp c ủa nhi ều d ạng b ảo m ật khác (c ả ch ứng th ực và mã hóa) thì b ạn ph ải t ạo hai crypto ACLs khác nhau để đị nh ngh ĩa hai d ạng c ủa d ữ li ệu g ửi đi. Hai ACLs khác nhau s ẽ được s ử d ụng trong nh ững m ục crypto map khác nhau c ủa nh ững IPSec policy khác nhau. - Chú ý: Cisco khuy ến cáo b ạn nên tránh vi ệc s ử d ụng t ừ khóa any để nh ững địa ch ỉ nơi g ửi và đích t ới. Câu l ệnh permit any any rất d ễ x ảy ra l ỗi b ởi vì t ất c ả các
47. lu ồng d ữ li ệu g ửi đi (outbound traffic) s ẽ được b ảo v ệ và t ất cả s ẽ được g ử t ới n ơi nh ận phù h ợp trong crypto map entry. Sau đó t ất c ả dữ li ệu g ửi t ới (inbound packet) mà thi ếu sự b ảo v ệ c ủa IPSec s ẽ b ị b ỏ đi, bao g ồm c ả các gói d ữ li ệu cho giao th ức đị nh tuy ến (routing protocol), NTP, echo, echo response và nhiều cái khác. - Ph ải gi ới h ạn nh ững cái c ần thi ết khi mà định ngh ĩa nh ững gói d ữ li ệu được b ảo mật trong cryptoACLs. N ếu c ần ph ải s ử d ụng t ừ khóa any trong câu l ệnh permit, c ần ph ải m ở đầ u câu l ệnh v ới m ột chu ỗi các câu l ệnh deny để l ọc các lu ồng d ữ li ệu đi ra mà bạn không mu ốn b ảo v ệ. D. Cấu hình IPSec crypto maps: E. Áp d ụng các crypto maps vào các c ổng giao ti ếp (interfaces): V. Cách Th ức Truy C ập Vào Thi ết B ị M ạng (Telnet/SNMP): VI. .