Đề tài Nghiên cứu mạng riêng ảo và xây dựng hệ thống site-To-site VPN cho công ty TNHH Thành Đạt

ec transform sets).  Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations). - 37 -  Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.  Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra, làm tăng tính an toàn của đường hầm). IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE Phase 1. IKE Phase 2 thoả thuận một tập chuyển đổi IPSec chung , tạo các khoá bí mật chung sủ dụng cho các thuật toán an ninh IPSec và thiết lập các SA IPSec. Quick mode trao đổi các nonce mà được sử dụng để tạo ra khoá mật mã chung mới và ngăn cản các tấn công “Replay” từ việc tạo ra các SA khong có thật. Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi SA IPSec cũ đã hết hạn.  Các tập chuyển đổi IPSec Mục đích cuối cùng của IKE Phase 2 là thiết lập một phiên IPSec an toàn giữa các điểm đầu cuối. Trước khi thực hiện được điều này thì mỗi cặp điểm cuối cần thoả thuận múc độ an toàn cần thiết (ví dụ, các thuật toán xác thực và mật mã dung trong phiên đó). Thay vì phải thoả thuận từng giao thức riêng lẻ, các giao thức được nhóm thành các tập, chính là các tập chuyển đổi IPSec. Các tập chuyển đổi này được trao đổi giữa hai phía trong Quick Mode. Nếu tìm thấy một tập chuyển đổi tương đương ở hai phía thì quá trình thiết lập phiên tiếp tục, ngược lại phiên đó sẽ bị loại bỏ. Hình 2.20: tập chuyển đổi IPSec - 38 - Ví dụ: Router A gửi IPSec transform set 30 và 40 tới Router B , Router B so sánh với IPSec transform set 55 của nó và thấy tương đương với IPSec transform set 30 của Router A, các thuật toán xác thực và mật mã rong các tập chuyển đổi này hình thành một kết hợp an ninh SA.  Kết hợp an ninh (SA) Khi một tập chuyển đổi đã được thống nhất giữa hai bên, mỗi thiết bị VPN sẽ đưa thông tin này vào một cơ sở dữ liệu. Thông tin này bao gồm các thuật toán xác thức, mật mã; địa chỉ của đối tác, Chế độ truyền dẫn, thồi gian sống của khoá .v.v. Những thông tin này được biết đến như là một kết hợp an ninh SA. Một SA là một kết nối logic một chiều cung cấp sự bảo mật cho tất cả lưu lượng đi qua kết nối. Bởi vì hầu hết lưu lượng là hai chiều nên phải cần hai SA, một cho đầu vào và một cho đầu ra. Thiết bị VPN sau đó sẽ đánh số SA bằng một số SPI (Security Parameter Index – chỉ số thông số bảo mật). Thay vì gửi từng thông số của SA qua đường hầm, mỗi phía chỉ đơn giản chèn số SPI vào ESP Header. Khi bên thu nhận được gói sẽ tìm kiếm địa chỉ đích và SPI trong cơ sở dữ liệu của nó SAD (Security Association database), sau đó xử lý gói theo các thuật toán được chỉ định bởi SPI / ra trong SPD Hình 2.21 : Các kết hợp an ninh - 39 - IPSec SA là một sự tổ hợp của SAD và SPD. SAD được sử dụng để định nghĩa địa chỉ IP đối tác đích, giao thức IPSec, số SPI. SPD định nghĩa các dịch vụ bảo mật được sử dụng cho đối tác SA, các thuật toán mã hoá và xác thực, mode, và thời gian sống của khoá. Ví dụ, đối với một kết nối mạng Công ty – Ngân hàng , một đường hầm rất an toàn được thiết lập giữa hai phía, đường hầm này sử dụng 3DES, SHA, tunnel mode, và thời hạn của khoá là 28800, giá trị SAD là 192.168.2.1, ESD và SPI là 12. Với người sử dụng từ xa truy nhập vào e-mail thì đường hầm có mức bảo mật thấp hơn được thoả thuận, sử dụng DES, MD5, tunnel mode, thời hạn của khoá là 28800, tương ứng với SPI là 39.  Thời hạn (lifetime) của một kết hợp an ninh Vấn đề tương đương với thời hạn của một mật khẩu sử dụng mật khẩu trong máy tính, thời hạn càng dài thì nguy cơ mất an toàn càng lớn. Các khoá và các SA cũng vậy, để đảm bảo tính an toàn cao thì các khoá và các SA phải được thay đổi một cách thường xuyên. Có hai thông số cần được xác định để thay đổi khoá và SA: Lifetime type - Xác định kiểu tính là theo số Byte hay theo thời gian đã truyền đi. Duration – Xác định đơn vị tính là Kbs dữ liệu hay giây. Ví dụ: lifetime là 10000Kbs dữ liệu đã truyền đi hoặc 28800s. Các khoá và SAs còn hiệu lực cho đến khi lifetime hết hạn hoặc có một nguyên nhân bên ngoài, chẳng hạn một bên ngắt đường hầm, khi đó khoá và SA bị xoá bỏ. Bước 4 – Đường hầm mật mã IPSec Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm an toàn. Lưu lượng được mật mã và giải mã theo các thuật toán xác định trong IPSec SA. - 40 - Hình 2.22: Đường hầm IPSec được thiết lập Bước 5 – Kết thúc đường hầm Hình 2.23: Kết thúc đường hầm Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết hạn khi lượng thời gian chỉ ra dã hết hoặc một số lượng Byte nhất định đã truyền qua đường hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec SA mới cần được thiết lập, một IKE Phase 2 mới sẽ được thực hiện, và nếu cần thiết thì sẽ thoả thuận một IKE Phase 1 mới. Một hoả thuận thành công sẽ tạo ra cacSA và khoá mới. Các SA mới được thiết lập trước các SA cũ hết hạn để đảm bảo tính liên tục của luồng thông tin. - 41 - 2.3.3. Ví dụ về hoạt động của IPSec Để tóm tắt toàn bộ quá trình hoạt động của IPSec, ta xét một ví dụ như trong hình vẽ. Hinh 2.24: Quá trình trao đổi thông tin Trong ví dụ này, B muốn truyền thông an toàn với A. Khi gói dữ liệu tới Router B, Router này sẽ kiểm tra chính sách an ninh và nhận ra gói này cần được bảo vệ. Chính sách an ninh được cấu hình trước cũng cho biết Router A sẽ là điểm cuối phía bên kia của đường hầm IPSec. Router B kiểm tra xem đã có IPSec SA nào được thiết lập với Router A chưa? nếu chưa thì yêu cầu một quá trình IKE để thiết lập IPSec SA. Nếu hai Router đã thoả thuận được một IPSec SA thì IPSec SA có thể được tạo ra tức thời. Trong trưòng hợp, hai Router chưa thoả thuận một IKE SA thì đầu tiên chúng phải thoả thuận một IKE SA trước khi thoả thuận các IPSec SA. Trong quá trình này, hai Router trao đổi các chứng thực số, các chứng thực này phải được ký trước bởi một CA mà hai phía cùng tin tưởng. Khi phiên IKE đã được thiết lập, hai Router có thể thoả thuận IPSec SA. Khi IPSec SA đã được thiết lập, hai Router sẽ thống nhất được thuật toán mật mã (chẳng hạn DES), thuật toán xác thực (chẳng hạn MD5), và một khoá phiên sử dụng chung. Tới đây, Router B có thể mật mã gói tin của B, đặt nó vào trong một gói IPSec mới, sau đó gửi tới Router A. Khi Router A nhận gói IPSec, nó tìm kiếm IPSec SA, xử lý gói theo yêu cầu, đưa về dạng gói tin ban đầu và chuyển tới A. Quá trình phức tạp này được thực hiện hoàn toàn trong suốt đối với A và B. - 42 - 2.3.4. Các vấn đề còn tồn đọng trong IPSec Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mật một VPN thông qua mạng Internet nhưng nó vẫn còn trong giai đoạn phát triển để hướng tới hoàn thiện. Tất cả các gói được sử lý theo IPSec sẽ làm tăng kích thước gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lượng của mạng giảm xuống. Điều này có thể được giải quyết bằng cách nén dữ liệu trước khi mã hóa, nhưng điều này chưa được chuẩn hóa. - IKE vẫn là công nghệ chưa được chứng minh. Phương thức chuyển khoá bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động. - IPSec được thiết kế chỉ để điều khiển lưu lượng IP mà thôi. - Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối với các trạm làm việc và máy PC cũ. - Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số nước. Sử dụng IPSec ở chế độ dường hầm cho phép các nút có thể có những địa chỉ IP không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác. Nhưng khi chuyển xuống bảo mật mức Host thì các địa chỉ đó phải được quản lý cẩn thận sao cho nhận dạng được nhau. - 43 - CHƯƠNG 3: TỔNG QUAN VỀ HỆ ĐIỀU HÀNH CISCO ISO 3.1. Kiến trúc hệ thống - CPU (đơn vị xử lý trung tâm): thực thi các câu lệnh của hệ điều hành để thực hiện các nhiệm vụ như: khởi động hệ thống, định tuyến, điều khiển các cổng giao tiếp mạng. CPU là một bộ vi xử lý. Trong các router lớn có thể có nhiều CPU. - RAM: Được sử dụng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển mạch nhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gói dữ liệu. Toàn bộ nội dung trên RAM sẽ bị xóa khi tắt điện. - Flash: Bộ nhớ flash được sử dụng để lưu toàn bộ phần mềm hệ điều hành Cisco IOS. Mặc định là router tìm IOS của nó trong flash. Ta có thể nâng cấp hệ điều hành bằng cách chép phiên bản mới hơn vào flash. Đối với hầu hết các router, IOS được chép lên RAM trong quá trình khởi động router. Còn một số router thì IOS có thể chạy trực tiếp trên flash mà không cần chép lên RAM. - NVRAM (Non-volative Random-acess Memory): Là bộ nhớ RAM không bị mất thông tin, được sử dụng để lưu tập tin cấu hình. Trong một số thiết bị có NVRAM và flash riêng, NVRAM được thực thi nhờ flash. Trong một số thiết bị, flash và NVRAM là cùng 1 bộ nhớ. Trong cả 2 trường hợp, nội dung của NVRAM vẫn được lưu giữ khi tắt điện. - Bus: Phần lớn các router đều có bus hệ thống và CPU bus. Bus hệ thống được sử dụng để thông tin liên lạc giữa CPU với các cổng giao tiếp và các khe mở rộng. Loại bus này vận chuyển các gói dữ liệu đi và đến các cổng giao tiếp. CPU sử dụng CPU bus để truy xuất các thành phần của router thông qua bộ nhớ trên router. Loại bus này vận chuyển dữ liệu và các câu lệnh đi và đến các địa chỉ của ô nhớ tương ứng. - ROM (Read-Only Memory): Là nơi lưu đoạn mã của chương trình kiểm tra khi khởi động. Nhiệm vụ chính của ROM là kiểm tra phần cứng của router khi khởi động, sau đó chép phần mềm Cisco IOS từ flash vào RAM. Nội dung - 44 - của ROM không thể xóa được. Ta chỉ có thể nâng cấp ROM bằng cách thay chip ROM mới. - Các cổng giao tiếp: Là nơi router kết nối với bên ngoài. Router có 3 loại cổng: LAN, WAN và console/AUX. Cổng LAN thường là cổng Ethenet hoặc Token Ring. Các cổng này có thể gắn cố định trên router hoặc dưới dạng card rời. Cổng WAN có thể là cổng serial, ISDN, cổng tích hợp đơn vị kênh CSU (Channel Service Unit). Tương tự như cổng giao tiếp LAN, các cổng giao tiếp WAN cũng có thể cố định trên router hoặc ở dạng card rời. Cổng console/AUX là cổng nối tiếp, chủ yếu được sử dụng để cấu hình router. Hai cổng này không phải là loại cổng để kết nối mạng mà là để kết nối vào máy tính thông qua modem hoặc thông qua cổng COM trên máy tính để thực hiện cấu hình router. - Nguồn điện: Cung cấp điện cho các thành phần của router. Một số router lớn có thể sử dụng nhiều bộ nguồn hoặc nhiều card nguồn. Còn ở một số router nhỏ, nguồn điện có thể là bộ phận nằm ngoài router. 3.2. Cisco IOS CLI Cisco có 3 chế độ lệnh, với từng chế độ sẽ có quyền truy cập với những bộ lệnh khác nhau. - Chế độ người dùng: Đây là chế độ đầu tiên mà người sử dụng truy cập vào sau khi đăng nhập vào router. Chế độ người dùng có thể được nhận ra bởi ký hiệu “>” ngay sau tên router. Chế độ này chỉ cho phép thực thi một số câu lệnh hiển thị các thông tin cơ bản của router như xem trạng thái của hệ thống. Hệ thống không thể được cấu hình hay khởi động ở chế độ này. - Chế độ đặc quyền: Chế độ này cho phép người dùng xem cấu hình của hệ thống, khởi động lại hệ thống và đi vào chế độ cấu hình. Nó cũng cho phép thực thi tất cả các câu lệnh ở chế độ người dùng. Chế độ này có thể được nhận ra bởi ký hiệu “#” ngay sau tên router. Để chuyển từ chế độ người dùng sang chế độ đặc quyền thì ta dùng lệnh enable tại dấu nhắc “>”. Nếu mật mã đã được cài đặt thì - 45 - ta phải gõ đúng mật khẩu thì mới có quyền truy cập vào chế độ đặc quyền. Chế độ này cho phép người sử dụng làm bất cứ gì trên router, vì vậy nên sử dụng cẩn thận. Để thoát khỏi chế độ đặc quyền, người dùng thực thi câu lệnh disable. - Chế độ cấu hình: chế độ này cho phép người dùng chỉnh sửa cấu hình đang chạy. Để vào chế độ cấu hình, ta gõ lệnh configure terminal từ chế độ đặc quyền. Chế độ cấu hình lại có nhiều chế độ nhỏ khác nha, bắt đầu với chế độ cấu hình toàn cục, nó được nhận ra bởi ký hiệu “(config)#” ngay sau tên router. Các chế độ nhỏ trong chế độ cấu hình thay đổi tùy thuộc vào bạn muốn cấu hình cái gì, từ bên trong dấu “(..)” sẽ thay đổi. Ví dụ: vào chế độ cổng giao tiếp thì ký hiệu sẽ là “(config-if)#”. Để thoát khỏi chế độ cấu hình, người dùng có thể gõ end hay nhấn tổ hợp phím Ctrl-Z. Chú ý: ở các chế độ, tùy tình huống cụ thể mà câu lệnh “?” tại các vị trí sẽ hiển thị lên các câu lệnh có thể có ở cùng mức. Ký hiệu này cũng có thể sử dụng ở giữa câu lệnh để xem các tùy chọn phức tạp của câu lệnh. 3.3. Các đặc điểm của phần mềm Cisco IOS Cisco cung cấp rất nhiều loại IOS cho các loại sản phẩm mạng khác nhau. Để tối ưu hóa phần mềm IOS cho nhiều loại thiết bị, Cisco đã phát triển nhiều loại phần mềm Cisco IOS. Mỗi loại phần mềm IOS phù hợp với từng loại thiết bị, với mức dung lượng bộ nhớ và với nhu cầu của khách hàng. Mặc dù có nhiều phần mềm IOS khác nhau cho nhiều loại thiết bị với nhiều đặc tính khác nhau nhưng cấu trúc lệnh cấu hình cơ bản thì vẫn giống nhau. Do đó kỹ năng cấu hình và xử lý sự cố của bạn có thể ứng dụng cho nhiều loại sản phẩm khác nhau Tên của Cisco IOS được quy ước chia ra thành 3 phần như sau: - Phần thứ nhất thể hiện loại thiết bị mà phần mềm IOS này có thể sử dụng được - Phần thứ hai thể hiện các đặc tính của phần mềm IOS - Phần thứ ba thể hiện nơi chạy phần mềm IOS trên router và cho biết phần mềm này được cung cấp dưới dạng nén hay không nén. - 46 - Thông thường các phiên bản IOS mới thì có thêm nhiều đặc tính mới, do đó nó cũng sẽ đòi hỏi thêm nhiều bộ nhớ. Ta có thể dùng lệnh show version để kiểm tra phần mềm IOS hiện tại và dung lượng flash còn trống. Hoặc dùng lệnh show flash để xem dung lượng của bộ nhớ flash 3.4. Hoạt động của phần mềm Cisco IOS Thiết bị Cisco IOS có 3 chế độ hoạt động sau: + ROM monitor + Boot ROM + Cisco IOS Thông thường trong quá trình khởi động của router, một trong các chế độ hoạt động trên được tải lên RAM để chạy. Người quản trị hệ thống có thể cài đặt giá trị cho thanh ghi để điều khiển chế độ khởi động mặc định của router. Chế độ ROM monitor thực hiện quá trình bootstrap và kiểm tra phần cứng. Chế độ này được sử dụng để khôi phục lại hệ thống khi bị lỗi nghiêm trọng hoặc khi người quản trị mạng bị mất mật mã. Chúng ta chỉ có thể truy cập vào chế độ ROM monitor bằng đường kết nối vật lý trực tiếp vào cổng console trên router. Ngoài ra chúng ta không thể truy cập vào chế độ này bằng bất kỳ cổng nào khác. Khi router ở chế độ Boot ROM, chỉ có phần chức năng của Cisco IOS là hoạt động được. Chế độ boot ROM cho phép bạn chép được lên bộ nhớ flash nên chế độ này thường được sử dụng để thay thế phần mềm Cisco IOS trong flash. Ta dùng lệnh copy tftp flash để chép phần mềm IOS trên TFTP server vào bộ nhớ flash trên router. Router muốn hoạt động bình thường thì phải chạy được toàn bộ phần mềm IOS trong flash. Ở một số thiết bị, phần mềm IOS được chạy trực tiếp từ flash. Tuy nhiên, hầu hết các Cisco router đều chép phần mềm IOS lên RAM rồi chạy từ RAM. Một số phần mềm IOS lưu trong flash dưới dạng nén và được giải nén khi chép lên RAM. - 47 - 3.5. Quy trình cấu hình 4 bước IPSec/VPN trên Cisco IOS Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây: 3.5.1. Chuẩn bị cho IKE và IPSec - Chỉ rõ lưu lượng cần được bảo vệ (permit) và lưu lượng không cần bảo vệ (deny). - Thiết lập các chính sách sẽ sử dụng để bảo vệ kết nối giữa 2 đối tác, bao gồm : kiểu xác thực (khóa dùng chung, mã hóa RSA, hoặc chữ ký RSA), các thuật toán mã hóa (DES, 3DES, AES), các giao thức (AH và ESP), khóa trao đổi Diffe-Hellman,... 3.5.2. Cấu hình cho IKE Phase 1 a) IKE Phase 1 : Quản lý việc kết nối Định nghĩa các chính sách IKE Phase 1: Để tạo một IKE Phase 1 quản lý việc kết nối, bạn cần phải chỉ ra các chính sách sẽ chỉ rõ cách mà kết nối này được bảo vệ. Nếu tất cả các đối tác có nhiều chính sách giống nhau, bạn chỉ cần một chính sách để áp dụng cho tất cả các đối tác. Tuy nhiên nếu có 2 đối tác với 2 chính sách khác nhau thì phải tạo 2 chính sách riêng rẽ. Để tạo một chính sách IKE Phase 1, ta sử dụng lệnh sau: Router(config)# crypto isakmp policy priority_# Trong đó : priority_# có thể là từ 1 đến 10.000. Tham số này là rất quan trọng vì nó quyết định chính sách nào sẽ được sử dụng, khi đó các đối tác sẽ so sánh từ cao đến thấp tham số này để quyết định. Chính sách đầu tiên mà đối tác chấp nhận sẽ được sử dụng. Nếu không có chính sách thống nhất nào được tìm thấy giữa 2 đối tác thì việc kết nối dữ liệu an toàn sẽ không được thiết lập. Cú pháp đầy đủ để định nghĩa IKE Phase 1 cho quản lý kết nối: Router(config)# cryto isakmp policy priority_# Router(config-isakmp)#authentication {rsa-sig | rsa-encr | pre-shre} Router(config-isakmp)#encrytion {des | 3des | aes | aes 192 | aes 256} Router(config-isakmp)#hash {md5 | sha} Router(config-isakmp)#group {1 | 2 | 5} Router(config-isakmp)#lifetime #_of_seconds - 48 - b) Xác thực đối tác IKE Phase 1 Có nhiều cách để xác thực đối tác IKE Phase 1, sau đây là một số cách xác thực thường dùng: + Nhận dạng bằng kiểu: địa chỉ (address), tên đối tác (hostname), đặc trưng của đối tác (dn). Cú pháp : Router(config)# crypto isakmp identity {address | hostname | dn} + Xác thực với khóa chung: Cú pháp: Router(config)#crypto isakmp key the_key address IP_address_of_peer hoặc: Router(config)# crypto isakmp key the_key hostname hostname_of_peer 3.5.3. Cấu hình cho IKE Phase 2 a) Cấu hình dạng mã hóa cho gói dữ liệu - Sau đây ta sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các chính sách bảo mật IPSec (transform set). - Transform set là sự kết hợp của các nhân tố sau: + Cơ chế cho việc chứng thực : chính sách AH + Cơ chế cho việc mã hóa: chính sách ESP + Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo mật) - 49 - Hình 3.1: cấu hình transform sets - Transform set bằng với việc kết hợp các AH transform, ESP transform và chế độ IPSec (hoặc cơ chế đường hầm bảo mật hoặc chế độ phương tiện truyền thông). Transform set giới hạn từ một cho tới hai ESP transform và một AH transform. - Cú pháp Router(config)#crypto ipsec transform-set transform-set-name transform1 [transform2[transform3] ] trong đó: transform-set-name : chỉ định tên của transform được tạo hay được thay đổi transform1, transform2, transform3 : Những transform được định nghĩa cho giao thức bảo mật IPSec (IPSec Security Protocol) và thuật toán. - Bạn có thể cấu hình nhiều transform set và chỉ rõ một hay nhiều transform set trong mục crypto map. Định nghĩa các transform set trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi - 50 - ACL của mục crypto map. Trong suốt quá trình trao đổi, cả 2 bên sẽ tìm kiếm các transform set giống nhau ở cả 2 phía. Khi mà các transform set được tìm thấy, nó sẽ được sử dụng để bảo vệ dữ liệu trên đường truyền như là một phần của các IPSec SA ở cả 2 phía. - Khi ISAKMP không được sử dụng để thiết lập các SA, một transform set riêng rẽ sẽ được sử dụng. Transform set đó sẽ không được trao đổi. - Thay đổi cấu hình Transform set: B1: Xóa các transform set từ crypto map B2: Xóa các transform set trong chế độ cấu hình global B3: Cấu hình lại transform set với những thay đổi B4: Gán transform set với crypto map B5: Xóa cơ sở dữ liệu SA (SA database) B6: Theo dõi các trao đổi SA và chắc chắn nó hoạt động tốt - Cấu hình cho việc trao đổi transform: Hình 3.2 Cấu hình cho việc trao đổi transform - Transform set được trao đổi trong suốt chế độ quick mode trong IKE phase 2 là các transform set mà bạn cấu hình ưu tiên sử dụng. Bạn có thể cấu - 51 - hình nhiều transform set và có thể chỉ ra một hay nhiều transform set trong mục crypto map. Những transform set được định nghĩa trong mục crypto map được sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi ACL của mục crypto map. Trong suốt quá trình trao đổi mỗi bên sẽ tìm kiếm các transform set giống nhau ở cả 2 bên như minh họa ở hình trên. Các transform set của Router A được so sánh với một transform set của Router B và cứ tiếp tục như thế. Router A transform set 10, 20, 30 được so sánh với transform set 40 của router B. Nếu không trả về kết quả đúng thì tất cả các transform set của router A sau đó sẽ được so sánh với transform set tiếp theo của router B. Cuối cùng transform set 30 của router A giống với transform set 60 của router B. Khi transform set được tìm thấy, nó sẽ được chọn và áp dụng cho việc bảo vệ đường truyền như là một phần của IPSec SA của cả 2 phía. IPSec ở mỗi bên sẽ chấp nhận một transform duy nhất được chọn cho mỗi SA. b) Cấu hình thời gian tồn tại của gói dữ liệu và các tùy chọn bảo mật khác - IPSec SA được định nghĩa là thời gian tồn tại của IPSec SA trước khi thực hiện lại quá trình trao đổi tiếp theo. Cisco IOS hỗ trợ giá trị thời gian tồn tại có thể áp dụng lên tất cả các crypto map. Giá trị của global lifetime có thể được ghi đè với những mục trong crypto map. Hình 3.3 Cấu hình thời gian tồn tại của IPSec - Cấu trúc và các tham số của câu lệnh được định nghĩa như sau: - 52 - cypto ipsec security-association lifetime {seconds seconds|kilobytes kilobytes} Trong đó: sconds seconds : chỉ định khoảng thời gian tồn tại của IPSec SA. Mặc định là 3600 giây (1 giờ) kilobytes kilobytes : chỉ định dung lượng trong lưu thông IPSec giữa 2 bên sử dụng để đưa SA trước khi SA hết hạn. Giá trị mặc định 4.608.000 KB - Cisco khuyến cáo nên sử dụng các giá trị mặc định. Bản thân thời gian tồn tại của mỗi IPSec SA có thể được cấu hình bằng cách sử dụng crypto map. - Để trả về giá trị mặc định ban đầu sử dụng dạng câu lệnh no. c) Tạo crypto ACLs bằng danh sách truy cập mở rộng (Extends access list) - Crypto ACLs được định nghĩa để bảo vệ những dữ liệu được truyền tải trên mạng. Danh sách truy cập mở rộng (Extend IP ACLs) sẽ chọn những luồng dữ liệu (IP traffic) để mã hóa bằng cách sử dụng các giao thức truyền tải (protocol), địa chỉ IP (IP address), mạng (network), mạng con (subnet) và cổng dịch vụ (port). Mặc dù cú pháp ACL và extend IP ACLs là giống nhau, nghĩa là chỉ có sự khác biệt chút ít trong crypto ACLs. Đó là cho phép (permit) chỉ những gói dữ liệu đánh dấu mới được mã hóa và từ chối (deny) với những gói dữ liệu được đánh dấu mới không được mã hóa. Crypto ACLs hoạt động tương tự như extends IP ACL đó là chỉ áp dụng trên những luồng dữ liệu đi ra (outbound traffic) trên một interface. Hình 3.4 Tạo Crypto ACLs sử dụng Access list mở rộng - 53 - - Cú pháp câu lệnh và các tham số được định nghĩa cho dạng cơ bản của danh sách extend IP ACL như sau: access-list access-list-number { permit | deny} protocol source Source-wildcard destination destination-wildcard [precedence precedence] [tos tos] [log] Trong đó : access-list-number : tham số Permit : cho biết lưu lượng cần được bảo vệ Deny : cho biết lưu lượng không cần được bảo vệ d) Cấu hình IPSec crypto maps Một crypto map liên kết tất cả các thành phần của IKE Phase 2 để xây dựng những kết nối dữ liệu cần được bảo vệ với các đối tác ở xa. Nó chứa các thông tin sau: + Tên hoặc địa chỉ của đối tác từ xa. + Lưu lượng cần được bảo vệ, được chỉ ra trong crypto ACL + Transform set được dùng để bảo vệ lưu lượng + Thời gian sống lifetime của gói dữ liệu Một số nguyên tắc khi tạo Crypto map : + Nó phải chứa địa chỉ IP của đối tác + Nó phải chứa phương thức thỏa thuận : có thể tạo bằng tay hoặc ISAKMP/IKE động + Nó phải chứa lưu lượng cần được bảo vệ + Crypto ACLs tránh sự trùng lặp giữa các mục khác nhau của Crypto map (Đây là vấn đề thường gặp trong trường hợp tạo nhiều kết nối IPSec với nhiều đối tác). + Ít nhất một transform set thống nhất phải tồn tại trên các đối tác. Một Crypto map có thể có một hoặc nhiều mục. Chúng ta nên có nhiều mục trong Crypto map khi gặp các trường hợp sau: + Khi cần kết nối tới nhiều đối tác. - 54 - + Khi muốn nhiều kiểu bảo mật khác nhau tới cùng một đối tác hoặc với các đối tác khác nhau. + Khi sử dụng ISAKMP tạo bằng tay. Trong trường hợp này, Crypto ACL yêu cầu bạn chỉ rõ lưu lượng được bảo vệ có thể chỉ có trạng thái permit trong đó. Nếu bạn cần nhiều trạng thái permit, bạn cần một Crypto map riêng biệt cho mỗi trạng thái permit. Để tạo một Crypto map, ta dùng lệnh sau: Router(config)# crypto map name_of_crypto_map sequence_# {ipsec-isakmp | ipsec-manual | cisco} trong đó : name_of_crypto_map : tên của Crypto map. Tên này phải là duy nhất trong tất cả các tên của Crypto map trên router của bạn. sequence_# : xác định mục cụ thể cho crypto map. Router sử dụng những số thứ tự này để quyết định những tham số dùng để bảo vệ cho những đối tác riêng biệt. Số thứ tự này là rất quan trọng vì router xử lý chúng theo trình tự từ thấp đến cao : Mục cần bảo mật cao nhất nên có số thứ tự thấp nhất và mục cần bảo mật thấp nhất nên có số thứ tự cao nhất. ipsec-isakmp : phương thức này sử dụng ISAKMP/IKE để thỏa thuận các tham số bảo mật, bao gồm thông tin về khóa ipsec-manual : phương thức này yêu cầu bạn cấu hình bằng tay các tham số ISAKMP/IKE, bao gồm xác thực gói tin và các khóa mã hóa được sử dụng (chỉ nên dùng khi side đối tác không hỗ trợ ISAKMP/IKE) cisco : phương thức này sử dụng công nghệ cũ của Cisco VPN gọi là Cisco Encryption Technology (CET). Cisco đã thay thế CET với IPSec e) Áp dụng các Crypto maps vào các cổng giao tiếp: Sau khi đã tạo Crypto map, ta cần phải kích hoạt nó trên một cổng của router. Với crypto maps, chỉ có một crypto map có thể được kích hoạt trên một cổng của router. Tuy nhiên bạn có thể có nhiều crypto map giống hoặc khác nhau được kích hoạt trên các cổng khác nhau của router. Để kích hoạt crypto map trên một cổng, ta sử dụng lệnh sau: - 55 - Router(config)# interface type [slot_#/]port_# Router(config-if)#crypto map name_of_the_crypto_map Xác nhận việc cấu hình một Crypto map : Router# show crypto map [{interface interface_name] | tag crypto_map_name}] Lệnh này sẽ hiển thị cấu hình Crypto map của bạn. Trong đó : Interface_name : cổng mà crypto map được kích hoạt trên đó. Crypto_map_name : tên của crypto map 3.6. Kiểm tra lại việc thực hiện IPSec - Kiểm tra IKE Phase 1 Router# show crypto isakmp sa Kết quả : ISAKMP/IKE Mode State Chú thích MM_NO_STATE quản lý SA đã được tạo ra trên router, nhưng vẫn chưa được thỏa thuận giữa các đối tác. MM_SA_SETUP Các đối tác thỏa thuận thành công chính sách IKE. MM_KEY_EXCH Trao đ ổi DH xảy ra và một khóa bảo mật dùng chung được tạo ra IKE Phase 1 chế độ chính MM_KEY_AUTH Xác nhận thành công và IKE Phase 2 có thể bắt đầu. - 56 - ISAKMP/IKE Mode State Chú thích AG_NO_STATE Quản lý SA đã được tạo ra nhưng chưa được thỏa thuận giữa các đối tác. AG_INIT_EXCH Các đối tác thỏa thuận thành công chính sách IKE và trao đổi DH xảy ra với 1 khóa bảo mật chung được tạo ra. IKE Phase 1 chế độ nhanh AG_AUTH Xác nhận thành công và IKE Phase 2 có thể bắt đầu. IKE Phase 2 Quick Mode QM_IDLE Thiết lập thành công một kết nối với đối tác từ xa - Kiểm tra IKE Phase 2 Router# show crypto ipsec sa Nếu kết nối thành công ta sẽ thấy được số gói tin được đóng gói và mã hóa - Sử dụng lệnh debug để sửa lỗi : Sau đây là một số lệnh cơ bản : + debug crypto engine : dùng để khắc phục quá trình mã hóa và giải mã bởi router + debug crypto isakmp : Xử lý các kết nối IKE Phase 1 + debug crypto key-exchange : Xử lý các vấn đề trao đổi khóa + debug crypto pki transactions : Xử lý khóa PKI + debug crypto ipsec : Xử lý các kết nối IKE Phase 2 - 57 - CHƯƠNG 4: ỨNG DỤNG XÂY DỰNG HỆ THỐNG SITE-TO-SITE VPN CHO CÔNG TY TNHH THÀNH ĐẠT 4.1. Giới thiệu Công ty TNHH Thành Đạt là nhà phân phối chuyên nghiệp các sản phẩm Công nghệ thông tin-tin học viễn thông, máy văn phòng, thiết bị ngân hàng, thiết bị an ninh, thiết bị giáo dục, …Dịch vụ tư vấn thiết kế, lắp đặt, triển khai các dự án công nghệ thông tin (tổng đài điện thoại, hệ thống mạng LAN, WAN,…).Chuyển giao công nghệ trong lĩnh vực điện tử tin học, viễn thông… Sửa chữa bảo hành, bảo trì bảo dưỡng các sản phẩm điện, điện tử-tin học, điện lạnh…Lắp ráp, mua bán, cung cấp vật tư thiết bị điện tử tin học, viễn thông, máy văn phòng, phần mềm ứng dụng, thiết bị ngân hang, giáo dục, an ninh… Trong quá trình hoạt động của mình, công ty không ngừng phát triển lớn mạnh, mở rộng tầm hoạt động với nhiều chi nhánh, hợp tác với các đối tác trong và ngoài nước để làm chủ và đi đầu các công nghệ mới nhất trong lĩnh vực Công nghệ, đặc biệt là công nghệ thông tin, internet và thương mại điện tử. Công ty có trụ sở chính tại số 12-T18-TT Cầu Diễn – Thành phố Hà Nội. 4.2. Khảo sát hiện trạng hệ thống Qua quá trình khảo sát trụ sở chính của công ty ở Hà Nội và một chi nhánh của công ty ở TP Hồ Chí Minh, ta thu được kết quả như sau: Ở Hà Nội : + Đã có kết nối mạng nội bộ trong công ty + Số lượng máy tính : 93 máy tính (dùng hệ điều hành Windows XP) + Có 04 máy chủ : Database server, Mail server, Web server, Backup server sử dụng hệ điều hành Linux. + Đường kết nối Internet hiện tại là đường thuê bao ADSL 4Mbps của VDC, tốc độ tối đa: Download/Upload là 4096 Kbps/640 Kbps, với cước trọn gói là 1.818.181 VNĐ/tháng, được cấp 01 IP tĩnh (miễn phí) + Các thiết bị mạng hiện có gồm :01 modem ADSL, 01 Switch Planet 16 cổng RJ45, 06 Switch Planet 24 cổng RJ45. Ở TP Hồ Chí Minh: + Cũng đã có kết nối mạng nội bộ - 58 - + Số lượng máy tính : 86 (cài đặt hệ điều hành Windows XP) + Cũng có 04 máy chủ: Database server, Mail server, Web server, Backup server, sử dụng hệ điều hành Linux + Đường kết nối internet hiện tại là đường thuê bao ADSL 4Mbps của VDC, tốc độ tối đa: Download/Upload là 4096 Kbps/640Kbps, cước trọn gói là 1.818.181 VNĐ/tháng, được cấp 01 IP tĩnh (miễn phí) + Các thiết bị mạng hiện có gồm :01 modem ADSL, 01 Switch Planet 16 cổng RJ45, 06 Switch Planet 24 cổng RJ45. 4.3. Sơ đồ hiện trạng hệ thống Hình 4.1: Sơ đồ hiện trạng hệ thống mạng ở Hà Nội Vì sơ đồ hệ thống của trụ sở ở Hà Nội và chi nhánh ở TP Hồ Chí Minh là tương đồng nhau nên ta chỉ cần xét sơ đồ hệ thống mạng ở Hà Nội như hình 4.1 để thấy được hiện trạng hệ thống mạng của chi nhánh. - 59 - Đánh giá hệ thống: + Sơ đồ mạng được mô phỏng một cách khái quát căn cứ vào kết quả khảo sát hiện trạng hệ thống mạng ở Hà Nội và chi nhánh ở TP Hồ Chí Minh. + Các thiết bị sử dụng trong hệ thống khá đạt yêu cầu về chất lượng cũng như các tính năng cần thiết cho mục đích sử dụng của công ty. + Hệ thống mạng nội bộ đã được lắp đặt đạt tiêu chuẩn + Đường truyền ADSL tốc độ cao và khá đảm bảo, ổn định + Các nhân viên có trình độ chuyên môn đáp ứng được nhu cầu sử dụng Tuy nhiên vẫn còn tồn tại một số vấn đề về bảo mật : + Nguy cơ mất mát thông tin từ ngoài Internet: Mạng của công ty đã kết nối đến Internet, nhưng không có một thiết bị bảo mật nào bảo vệ hệ thống khỏi các nguy cơ xâm nhập từ bên ngoài vào. Những hacker có thể sử dụng virus dưới dạng Trojan để truy cập vào hệ thống ăn cắp hoặc phá hoại thông tin. Trong khi đó, các nhân viên của công ty thường xuyên phải trao đổi với nhau qua Mail, Web chia sẻ,…trên mạng Internet, do đó khả năng dữ liệu bị tấn công là rất cao, mất an toàn thông tin. + Nguy cơ mất mát thông tin từ bên trong hệ thống : Với các Switch hiện tại (của hãng Planet), những người trong hệ thống mạng có thể dễ dàng dùng các chương trình nghe lén (sniffer) để lấy cắp các thông tin được truyền đi trong mạng và nguy cơ mất mát thông tin từ trong hệ thống là nguy cơ ngày càng cao trong các hệ thống mạng hiện nay. Chi phí cho hệ thống mạng ở Hà Nội: + Các thiết bị: STT Thiết bị Đơn giá Số lượng Thành tiền 1 Modem ADSL 100$ 1 100$ 2 Switch Planet 16 cổng 40$ 1 40$ 3 Switch Planet 24 cổng 60$ 6 360$ 4 Máy chủ IBM 3.000$ 4 12.000$ 5 Tổng tiền 12.500$ - 60 - Cước phí mạng hàng tháng : 1.818.181 VNĐ 4.4 Giải pháp Từ hiện trạng hệ thống đã khảo sát ở trên và những yêu cầu mới đặt ra về chat luong duong truyen va an toàn thông tin, ta có thể đưa ra 2 giải pháp sau: 4.4.1 Sử dụng dịch vụ Internet Leased line Đây là kênh thuê riêng có tốc độ tải xuống và tải lên ngang bằng nhau tại mọi thời điểm, đảm bảo độ an toàn, tin cậy cao. Tuy nhiên chi phí lắp đặt và cước phí hàng tháng là rất cao, chưa kể những chi phí khác phát sinh (bảo trì,khắc phục sự cố,). Có thể tham khảo bảng giá dưới đây để thấy rõ điều đó: Cước tính theo lưu lượng STT Tốc độ (Kbps) Cước thuê cổng (VNĐ/tháng) Cước l/lượng (VNĐ/Mb) Cước tối đa (VNĐ/tháng) 1 64 3,000,000 540 10,485,000 2 128 3,750,000 540 15,761,000 3 192 4,500,000 540 20,913,000 4 256 5,250,000 540 26,066,000 5 320 6,000,000 540 30,410,000 6 384 6,750,000 540 34,755,000 7 448 7,500,000 540 39,250,000 8 512 8,250,000 540 43,746,000 9 576 9,000,000 540 48,141,000 10 640 9,750,000 540 52,536,000 11 704 10,500,000 540 56,930,000 12 768 11,250,000 540 61,841,000 13 832 12,000,000 540 65,126,000 14 892 12,750,000 540 68,412,000 15 960 13,500,000 540 71,698,000 16 1024 15,000,000 540 74,984,000 17 1088 15,200,000 540 77,492,000 18 1152 16,059,000 540 80,001,000 19 1216 16,588,000 540 82,510,000 - 61 - Bảng giá trên là của VDC cung cấp có hiệu lực bắt đầu từ tháng 11 năm 2005, áp dụng cho các doanh nghiệp và các mức cước trên chưa bao gồm thuế GTGT. Sơ đồ hệ thống leased-line tổng quát: Hình 4.2: Sơ đồ leased-line kết nối 2 chi nhánh Xét trụ sở ở Hà Nội khi sử dụng đường leased-line 128Kbps, ta có sơ đồ hệ thống mạng như sau: Hình 4.3: Sơ đồ hệ thống mạng ở Hà Nội sử dụng đường Leased-line - 62 - Chi phí cho việc lắp đặt hệ thống sẽ như sau: + Các thiết bị: STT Thiết bị Đơn giá Số lượng Thành tiền 1 Router Cisco 2.200$ 1 2.000$ 2 Switch CAT 2950 16 cổng 800$ 1 800$ 3 Switch CAT 2950 24 cổng 1.300$ 6 7.800$ 4 Máy chủ IBM 3.000$ 4 12.000$ 5 Modem Leased-line 600$ 1 600$ 6 Tông tiền 23.200$ + Chi phí lắp đặt : 3.000.000 VNĐ + Cước trọn gói hàng tháng : 15.761.000 VNĐ 4.4.2 Thiết lập mạng riêng ảo VPN Từ Hiện trạng hệ thống đã khảo sát ở trên và các loại VPN đã tìm hiểu ở phần lý thuyết, ta có thể áp dụng cấu hình site-to-site VPN cho công ty, cụ thể là Intranet VPN cho 2 chi nhánh trên. Hình 4.4: Sơ đồ VPN kết nối 2 chi nhánh - 63 - Xét trụ sở ở Hà Nội sử dụng thuê bao ADSL 4Mbps, sơ đồ sẽ như sau: Hình 4.5: Sơ đồ hệ thống mạng ở Hà Nội khi sử dụng VPN Chi phí cho việc lắp đặt hệ thống sẽ như sau: + Các thiết bị: STT Thiết bị Đơn giá Số lượng Thành tiền 1 Router Cisco 2.200$ 1 2.000$ 2 Switch CAT 2950 16 cổng 800$ 1 800$ 3 Switch CAT 2950 24 cổng 1.300$ 6 7.800 4 Máy chủ IBM 3.000$ 4 12.000$ 5 Card WIC-ADSL 70$ 1 70$ 6 Tổng tiền 22.670$ Tổng chi phí cho các thiết bị : 22.670$ (tương đương 362.720.000 VNĐ) + Chi phí lắp đặt : 400.000 VNĐ + Cước trọn gói hàng tháng : 1.818.181 VNĐ - 64 - Về vấn đề bảo mật, giải pháp này bảo mật dựa trên những cơ chế sau + Thiết lập tài khoản và mật khẩu chỉ dành cho những người có đặc quyền đăng nhập vào router. Đồng thời các tài khoản và mật khẩu này cũng có thể được mã hóa bằng những thuật toán mã hóa mạnh nhằm tăng tính bảo mật. + Thiết lập danh sách điều khiển truy cập ACLs để cho phép hay không cho phép một lưu lượng qua router. + Dữ liệu được trao đổi ngầm trong đường hầm VPN sẽ được mã hóa bằng những thuật toán phức tạp và được giải mã ở phía thu. Như vậy không một ai có thể truy cập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được. + Địa chỉ IP cũng được bảo mật vì thông tin được gửi đi trên VPN đã được mã hóa, do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet. 4.5 Lựa chọn giải pháp Dựa trên những phân tích nêu trên có thể thấy về mặt chất lượng và bảo mật thông tin thì giải pháp leased-line đáp ứng tốt yêu cầu, nhưng về tài chính thì lại quá lớn (cụ thể là cước phí thuê bao mạng leased-line hàng tháng) , nhất là đối với công ty có nhiều chi nhánh như công ty TNHH Thành Đạt. Với giải pháp site-to-site VPN : chất lượng đường truyền khá tốt và ngày càng được cải thiện hơn; dữ liệu được truyền trong đường hầm VPN cũng rất an toàn; chi phí để lắp đặt, vận hành và khai thác hệ thống VPN lại thấp, phù hợp với công ty có nhiều chi nhánh như công ty TNHH Thành Đạt. Từ đó có thể thấy ứng dụng site-to-site VPN cho công ty TNHH Thành Đạt là giải pháp khả thi vì nó đảm bảo một số yêu cầu : chi phí thấp, hiệu quả cao, bảo mật khá an toàn, phù hợp với tình hình hoạt động của công ty hiện nay cũng như mở rộng về sau. - 65 - 4.5 Ứng dụng cấu hình site-to-site VPN cho hệ thống : 4.5.1 Mô hình hệ thống Hình 4.6: Mô hình hệ thống mạng 4.5.2 Các bước cấu hình - Bước 1: Cấu hình cho Router R: Xem phụ lục trang 68 - Bước 2 Cấu hình cho Router HN : Xem phụ lục trang 68 - Bước 3: Cấu hình cho Router HCM : Xem phụ lục trang 70 - Bước 4 : Kiểm tra lại việc thực hiện IPSec VPN + Kiểm tra trên Router HN Hình 4.7: Kiểm tra IKE phase 1 trên Router ở Hà Nội - 66 - Hình 4.8: Kiểm tra IKE phase 2 trên Router ở Hà Nội + Kiểm tra trên Router HCM Hình 4.9: Kiểm tra IKE phase 1 trên Router ở TP Hồ Chí Minh - 67 - Hình 4.10: Kiểm tra IKE phase 2 trên Router ở TP Hồ Chí Minh - 68 - KẾT LUẬN Công nghệ mạng riêng ảo VPN cho phép tận dụng cơ sở hạ tầng mạng công cộng (Internet) để xây dựng mạng WAN riêng, với những ưu điểm về mặt giá thành, phạm vi không hạn chế, linh hoạt trong triển khai và mở rộng mạng. Ngày nay, VPN đã rất hữu ích và sẽ càng hữu ích trong tương lai. Các chuẩn đã được thi hành, điều đó sẽ cải tiến khả năng liên vận hành và quản lý. Chất lượng mạng trên các VPN cũng sẽ được cải thiện, cho phép cung cấp các ứng dụng mới như hội nghị truyền hình, điện thoại IP, các dịch vụ đa phương tiện. Đề tài này đã tìm hiểu một số vấn đề kỹ thuật liên quan đến việc thực hiện VPN, nội dung gồm những vấn đề chính sau: - Các khái niệm cơ bản, đặc điểm của các giao thức đường hầm PPTP, L2TP và IPSec. Trong đó, IPSec đáp ứng được tốt các nhu cầu cao về an toàn dữ liệu, là giải pháp chính cho bảo mật các VPN của các tổ chức, công ty. - Các thành phần cơ bản của mạng VPN : các yêu cầu về các thiết bị phần cứng, phần mềm để xây dựng một mạng VPN. Một điều thuận lợi là hiện nay do sự phát triển của công nghệ nên các thiết bị phần cứng và phần mềm được tích hợp nhiều chức năng, dễ sử dụng và dễ quản lý. Hơn nữa cơ sở hạ tầng mạng công cộng ngày một hoàn thiện nên việc xây dựng mạng VPN dễ dàng hơn và chất lượng của VPN cũng tốt hơn, đáp ứng được các dịch vụ mới. - Giao thức bảo mật IPSec : bảo mật IP ở cấp độ gói, thực hiện 2 quá trình chính là xác thực mà mật mã. Phần này giới thiệu một số thuật toán xác thực mật mã thường được sử dụng trong VPN như MD, SHA, MAC...,DES, AES, DH và hoạt động cơ bản của IPSec để tạo ra đường hầm bảo mật giữa 2 thiết bị đầu cuối. - Một số khái niệm tổng quan về hệ điều hành Cisco IOS: Ciso IOS là hệ điều hành được cài trên các Cisco router. Để có thể thiết lập một mạng VPN, đòi hỏi người lập trình mạng phải nắm vững kiến thức về Cisco IOS và các câu lệnh cấu hình, cụ thể phần này đã giới thiệu quy trình cấu hình 4 bước IPSec/VPN trên Cisco router và các câu lệnh cơ bản để cấu hình IPSec/VPN. - 69 - Sau khi đã tìm hiểu một cách tổng quan về mạng riêng ảo VPN, em đã nắm vững được một số vấn đề cơ bản nêu trên, từ đó ứng dụng cấu hình Site – to – Site VPN cho công ty TNHH Thành Đạt. Mặc dù Site – to – Site VPN chưa được sử dụng rộng rãi như Remote Access VPN, nhưng ngày càng có nhiều công ty, tổ chức sử dụng Site-to-Site VPN do những ưu điểm sau : - Giảm được chi phí kết nối cũng như số nhân viên kỹ thuật hỗ trợ mạng. - Dễ mở rộng và bảo trì hệ thống mạng - Cho phép lựa chọn giải pháp phù hợp với nhu cầu của mỗi công ty. Cuối cùng, do VPN liên quan đến nhiều giao thức và thuật toán phức tạp và thời gian nghiên cứu đề tài còn hạn hẹp nên phạm vi của đề tài khó có thể đề cập hết, em rất mong nhận được những ý kiến đóng góp của thầy cô và các bạn. Em xin chân thành cảm ơn Thái Nguyên, tháng 6 năm 2009 Sinh viên: Hoàng Đăng Huy - 70 - TÀI LIỆU THAM KHẢO Tài liệu tiếng việt: [1]. Khương Anh (chủ biên), Nguyễn Hồng Sơn (hiệu đính), Giáo trình hệ thống mạng máy tính CCNA 1,2; Nhà xuất bản Lao động – Xã hội Trang Web [1]. WWW.CISCO.NETACAD.NET [2]. WWW.SUPPORT.VNN.VN [3]. WWW.EBOOK.EDU.VN [4]. [5]. [6]. [7]. - 71 - PHỤ LỤC 1. Cấu hình cho Router R : Router(config)# hostname R R (config)#interface s1/0 R (config)#ip address 10.1.1.2 255.255.255.252 R (config-if)#clock rate 64000 R (config-if)#no shutdown R (config-if)#exit R (config)#interface s1/1 R (config-if)#ip address 10.2.2.1 255.255.255.252 R(config-if)#clock rate 64000 R(config-if)#no shutdown R(config-if)#exit R(config)#router eigrp 101 R(config-router)#network 10.1.1.0 0.0.0.3 R(config-router)#network 10.2.2.0 0.0.0.3 R#copy running-configure startup-config 2. Cấu hình cho router HN: Router(config)# hostname HN HN (config)#interface fa2/0 HN (config)#ip address 192.168.1.1 255.255.255.0 HN (config-if)#clock rate 64000 HN (config-if)#no shutdown HN (config-if)#exit - 72 - HN (config)#interface s1/1 HN (config-if)#ip address 10.1.1.1 255.255.255.252 HN(config-if)#clock rate 64000 HN(config-if)#no shutdown HN(config-if)#exit HN(config)#router eigrp 101 HN(config-router)#network 10.1.1.0 0.0.0.3 HN(config-router)#network 192.168.1.0 0.0.0.255 HN(config-router)#exit HN (config)#crypto isakmp enable HN (config)#crypto isakmp policy 10 HN (config-isakmp)#authentication pre-share HN (config-isakmp)#encryption aes 256 HN (config-isakmp)#hash sha HN (config-isakmp)#group 5 HN (config-isakmp)#lifetime 3600 HN (config-isakmp)#end HN (config)#crypto isakmp key 12345 address 10.2.2.2 HN (config)#cryto ipsec transform-set 50 esp-aes 256 esp-sha-hmac HN(cfg-crypto-trans)#exit HN(config)#cryto ipsec security-association lifetime seconds 1800 HN (config)#access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.3.0 0.0.0.255 HN (config)#cryto map HUY 10 ipsec-isakmp - 73 - HN(config-cryto-map)#match address 101 HN(config-cryto-map)#set peer 10.2.2.2 HN(config-cryto-map)#set pfs group5 HN(config-cryto-map)#set transform-set 50 HN(config-cryto-map)#set security-association lifetime seconds 900 HN(config-cryto-map)#exit HN(config)#interface s1/1 HN(config-if)#cryto map HUY HN#copy running-configure startup-config 3. Cấu hình cho router HCM: Router(config)# hostname HCM HCM (config)#interface fa2/0 HCM (config)#ip address 192.168.3.1 255.255.255.0 HCM (config-if)#clock rate 64000 HCM (config-if)#no shutdown HCM (config-if)#exit HCM (config)#interface s1/1 HCM (config-if)#ip address 10.2.2.2 255.255.255.252 HCM(config-if)#clock rate 64000 HCM(config-if)#no shutdown HCM(config-if)#exit HCM(config)#router eigrp 101 HCM(config-router)#network 10.2.2.0 0.0.0.3 HCM(config-router)#network 192.168.3.0 0.0.0.255 - 74 - HCM (config)#crypto isakmp enable HCM (config)#crypto isakmp policy 10 HCM (config-isakmp)#authentication pre-share HCM (config-isakmp)#encryption aes 256 HCM (config-isakmp)#hash sha HCM (config-isakmp)#group 5 HCM (config-isakmp)#lifetime 3600 HCM (config-isakmp)#end HCM (config)#crypto isakmp key 12345 address 10.1.1.1 HCM (config)#cryto ipsec transform-set 50 esp-aes 256 esp-sha-hmac HCM (cfg-crypto-trans)#exit HCM (config)#cryto ipsec security-association lifetime seconds 1800 HCM (config)#access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 HCM (config)#cryto map HUY 10 ipsec-isakmp HCM (config-cryto-map)#match address 101 HCM (config-cryto-map)#set peer 10.1.1.1 HCM (config-cryto-map)#set pfs group5 HCM (config-cryto-map)#set transform-set 50 HCM (config-cryto-map)#set security-association lifetime seconds 900 HCM (config-cryto-map)#exit HCM (config)#interface s1/1 HCM (config-if)#cryto map HUY HCM#copy running-configure startup-config - 75 - DANH MỤC HÌNH ẢNH Trang Hình 1.1: Mạng VPN điển hình...........................................................................4 Hình 1.2: Mô hình mạng Remote Access VPN...................................................6 Hình 1.3: Mô hình mạng Intranet VPN...............................................................8 Hình 1.4: Mô hình mạng Extranet VPN..............................................................9 Hình 1.5: Đặc trưng của máy khách VPN.........................................................11 Hình 2.1: Kiến trúc của PPTP...........................................................................14 Hình 2.2: Bọc gói PPTP/GRE...........................................................................16 Hình 2.3: Cấu trúc gói dữ liệu trong đường hầm PPTP....................................16 Hình 2.4: Các thành phần cơ bản của một VPN sử dụng PPTP........................18 Hình 2.5: Kiến trúc của L2TP...........................................................................21 Hình 2.6: Bọc gói L2TP....................................................................................22 Hình 2.7: Cấu trúc dữ liệu trong đường hầm L2TP...........................................23 Hình 2.8: Các thành phần cơ bản của L2TP......................................................24 Hình 2.9: Đóng bao gói tin L2TP......................................................................26 Hình 2.10: Khung giao thức được sử dụng trong IPSec....................................28 Hình 2.11: Khuôn dạng gói AH.........................................................................29 Hình 2.12: Khuôn dạng gói ESP........................................................................30 Hình 2.13: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH.......................31 Hình 2.14: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP......................31 Hình 2.15: 5 bước hoạt động của IPSec............................................................32 - 76 - Hình 2.16: IKE Phase 1.....................................................................................33 Hình 2.17: Tập chính sách IKE..........................................................................34 Hình 2.18: Xác thực các đối tác.........................................................................36 Hình 2.19: Thỏa thuận các thông số bảo mật IPSec..........................................36 Hình 2.20: Tập chuyển đổi IPSec......................................................................37 Hình 2.21: Các kết hợp an ninh.........................................................................38 Hình 2.22: Đường hầm IPSec được thiết lập.....................................................40 Hình 2.23: Kết thúc đường hầm.........................................................................40 Hình 2.24: Quá trình trao đổi thong tin..............................................................41 Hình 3.1: Cấu hình transform sets.....................................................................49 Hình 3.2: Cấu hình cho việc trao đổi transform................................................50 Hình 3.3: Cấu hình thời gian tồn tại của IPSec.................................................51 Hình 3.4: Tạo Crypto ACLs sử dụng access list mở rộng.................................52 Hình 4.1: Sơ đồ hiện trạng hệ thống mạng ở Hà Nội........................................58 Hình 4.2: Sơ đồ leased-line kết nối 2 chi nhánh................................................61 Hình 4.3: Sơ đồ hệ thống mạng ở Hà Nội sử dụng đường leased-line..............61 Hình 4.4: Sơ đồ VPN kết nối 2 chi nhánh.........................................................62 Hình 4.5: Sơ đồ hệ thống mạng ở Hà Nội khi sử dụng VPN.............................63 Hình 4.6: Mô hình hệ thống mạng.....................................................................65 Hình 4.7: Kiểm tra IKE phase 1 trên Router ở Hà Nội......................................65 Hình 4.8: Kiểm tra IKE phase 2 trên Router ở Hà Nội......................................66 Hình 4.9: Kiểm tra IKE phase 1 trên Router ở TP Hồ Chí Minh......................66 Hình 4.10: Kiểm tra IKE phase 2 trên Router ở TP Hồ Chí Minh....................67 - 77 - NHẬN XÉT CỦA GIÁO VIÊN HƯỚNG DẪN ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… ……………………………………………………………………………… Thái Nguyên, tháng 6 năm 2009 Giáo viên hướng dẫn - 78 -