ĐỒ ÁN IP SET VPN

Tìm hiểu một cách tổng quan về mạng riêng ảo VPN, em đã nắm vững được một số vấn đề cơ bản nêu trên, từ đó ứng dụng cấu hình Site – to – Site VPN chưa được sử dụng rộng rãi như Remote Access VPN, nhưng ngày càng có nhiều công ty, tổ chức sử dụng SitetoSite VPN do những ưu điểm sau :Giảm được chi phí kết nối cũng như số nhân viên kỹ thuật hỗ trợ mạng.Dễ mở rộng và bảo trì hệ thống mạngCho phép lựa chọn giải pháp phù hợp với nhu cầu của mỗi công ty.

-* -CHƯƠNGI:TỔNG QUAN VỀ VPN:

15

16

1.3 Các thành phần cần thiết để tạo kết nối VPN: 17

1.4 Các thành phần chính tạo nên VPN Cisco:

L2TP:

GRE:

IPSEC:

Internet VPNs:

CHƯƠNG IV: QUI TRÌNH CẤU HÌNH 4 BƯỚC IPSEC/VPN TRÊN CISCO IOS:

Cấu hình thời gian tồn tại của IPSec trong quá trình trao đổi: Tạo cryto ACLs bằng danh sách truy cập mở rộng (Extends access list):

MỤC TIÊU ĐỒ ÁN

*

Tìm hiểu một cách tổng quan về mạng riêng ảo VPN, em đã nắm vững được một sốvấn đề cơ bản nêu trên, từ đó ứng dụng cấu hình Site – to – Site VPN chưa được sử dụngrộng rãi như Remote Access VPN, nhưng ngày càng có nhiều công ty, tổ chức sử dụng Site-to-Site VPN do những ưu điểm sau :

- Giảm được chi phí kết nối cũng như số nhân viên kỹ thuật hỗ trợ mạng

- Dễ mở rộng và bảo trì hệ thống mạng

- Cho phép lựa chọn giải pháp phù hợp với nhu cầu của mỗi công ty

Em xin chân thành cảm ơn thầy Th.s Nguyễn Đức Quang đã tận tình hướng dẫn emhoàn thành đồ án này

CẤU TRÚC ĐỒ ÁN

TỪ NGỮ CHUYÊN NGÀNH

Internet Security Association Key Management Protocol: ISAKMP

Cisco Secure Intrusion Detection System: CSIDS

PHỤ LỤC BẢNG(TÊN BẢNG……….TRANG)

PHỤ LỤC HÌNH ẢNH

L2TP:

Debug ISAKMP giữa R3và R1:

Định nghĩa VPN:

Mạng riêng ảo - VPN (Virtual Private Network) về cơ bản là một mạng cục bộ sửdụng hệ thống mạng công cộng sẵn có như Internet để kết nối các văn phòng cũng như nhânviên ở xa Một VPN (mạng riêng ảo) sử dụng các kết nối ảo được thiết lập trong môi trườngInternet từ mạng riêng của công ty tới các văn phòng và nhân viên cách xa về địa lý Để cóthể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo mật,VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mậtgiữa nơi gửi và nơi nhận (Tunnel), giống như một kết nối point -to- point trên mạng riêng

Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi, chỉcung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đếnđích thông qua mạng công cộng một cách nhanh chóng Dữ liệu được mã hóa một cách cẩnthận, do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc đượcnội dung vì không có khóa để giải mã

Hình 1.1: Mạng VPN điển hình 1.2

Lợi ích của VPN:

VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạngleased-line Một số lợi ích của VPN:

a Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 40% so với những mạng thuộc mạng leased-line và giảm chi phí truy cập từ xa

20-từ 60-80%

b Tính linh hoạt cho khả năng kinh tế trên Internet: không chỉ linh hoạt trong quátrình vận hành và khai thác mà VPN còn thực sự mềm dẻo đối với yêu cầu sửdụng Khách hàng có thể sử dụng kết nối T1, T3 giữa các văn phòng và nhiềukiểu kết nối khác cũng có thể được sử dụng để kết nối các văn phòng nhỏ, cácđối tượng di động Nhà cung cấp dịch vụ VPN có thể cung cấp nhiều lựa chọncho khách hàng: 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 ,…Có khả năng mởrộng cao: Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng(Internet), bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Vàmạng VPN dễ dàng gỡ bỏ khi có nhu cầu Khả năng mở rộng băng thông là khimột văn phòng, chi nhánh yêu cầu băng thông lớn hơn thì nó có thể được nângcấp dễ dàng

c Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những ngườikhông có quyền truy cập và cho phép truy cập đối với những người dùng cóquyền truy cập Bên cạnh đó, địa chỉ IP cũng được bảo mật vì thông tin được gửi

đi trên VPN đã được mã hóa do đó các điạ chỉ bên trong mạng riêng được chegiấu và chỉ sử dụng các địa chỉ bên ngoài Internet

d Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP

e Đáp ứng các nhu cầu thương mại: Các sản phẩm dịch vụ VPN tuân theo chuẩnchung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưngquan trọng hơn là để sản phẩm của nhiều nhà cung cấp khác nhau có thể làm việcvới nhau

1.3 Các thành phần cần thiết để tạo kết nối VPN:

a User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phépngười dùng hợp lệ kết nối và truy cập hệ thống VPN

b Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gianhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.

c Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằmbảo đảm tính riêng tư và toàn vẹn dữ liệu

d Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mãhoá và giải mã dữ liệu

1.4

Các thành phần chính tạo nên VPN Cisco

a Cisco VPN Router: sử dụng phần mềm Cisco IOS, IPSec hỗ trợ cho việc bảo mậttrong VPN VPN tốI ưu hóa các router như là đòn bẩy đang tồn tạI sự đầu tư củaCisco Hiệu quả nhất trong các mạng WAN hỗn hợp

b Cisco Secure PIX FIREWALL: đưa ra sự lựa chọn khác của cổng kết nốI VPNkhi bảo mật nhóm “riêng tư” trong VPN

c Cisco VPN Concentrator series: Đưa ra những tính năng mạnh trong việc điềukhiển truy cập từ xa và tương thích vớI dạng site-to-site VPN Có giao diện quản

lý dễ sử dụng và một VPN client

d Cisco Secure VPN Client : VPN client cho phép bảo mật việc truy cập từ xa tớIrouter Cisco và Pix Firewalls và nó là một chương trình chạy trên hệ điều hànhWindow

e Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scannerthường được sử dụng để giám sát và kiểm tra các vấn đề bảo mật trong VPN

f Cisco Secure Policy Manager and Cisco Works 2000 cung cấp việc quản lý hệthống VPN rộng lớn

- Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2Forwarding (L2F) như là giao thức chuẩn để tạo kết nối VPN L2TP ra đời sauvới những tính năng được tích hợp từ L2F.

- L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point TunnelingProtocol (PPTP) Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bảnWindowNT và 2000

- L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay

số (Virtual Private Dail-up Network) L2TP cho phép người dùng có thể kết nốithông qua các chính sách bảo mật của công ty (security policies) để tạo VPN hayVPDN như là sự mở rộng của mạng nội bộ công ty

- L2TP không cung cấp mã hóa

- L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và cácmạng truy cập từ xa khác Giao thức mở rộng này sử dụng PPP để cho phép truycập VPN bởi những ngườI sử dụng từ xa

b GRE:

- Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bêntrong đường ống IP (IP tunnel)

- Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưngchỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tớiCisco router cần đến Và khi gói dữ liệu đến đích IP header sẽ được mở ra

- Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường

có một giao thức chính GRE tunneling cho phép các giao thức khác có thể thuậnlợi trong việc định tuyến cho gói IP

c IPSec:

IPSec là sự lựa chọn cho việc bảo mật trên VPN IPSec là một khung bao gồm bảomật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu (integrity) và việc chứng thực dữliệu

- IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức

và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo

mã hóa và chứng thực được sử dụng trong IPSec

d Point to Point Tunneling Protocol (PPTP):

- Được sử dụng trện các máy client chạy HĐH Microsoft for NT4.0 và Windows95+ Giao thức này đựơc sử dụng để mã hóa dữ liệu lưu thông trên Mạng LAN.Giốngnhư giao thức NETBEUI và IPX trong một packet gửI lên Internet PPTPdựa trên chuẩn RSA RC4 và hỗ trợ bởI sự mã hóa 40-bit hoặc 128-bit

- Nó không được phát triển trên dạng kết nốI LAN-to-LAN và giới hạn 255 kết nốitớI 1 server chỉ có một đường hầm VPN trên một kết nối Nó không cung cấp sự

mã hóa cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giảIpháp truy cập từ xa chỉ có thể làm được trên mạng MS Giao thức này thì đượcdùng tốt trong Window 2000 Layer 2 Tunneling Protocol thuộc về IPSec

c Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối và cấp phép cho kết nối

d Bắt đầu trao đổi dữ liệu giữa máy cần kết nối VPN và mạng công ty

Hình 1.2:Mô hình mạng Remote Access VPN

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xatruyền thống như:

- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quátrình kết nối từ xa được các ISP thực hiện.

- Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối

- khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độcao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng

hỗ trợ mức thấp nhất của dịch vụ kết nối

- Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn nhữngnhược điểm cố hữu đi cùng như:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

- Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân phát khôngđến nơi hoặc mất gói Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thứctăng một cách đáng kể

b Site-to-Site VPN

- Site-to-site VPN(Lan-to-Lan VPN):được áp dụng để cài đặt mạng từ một vị trínày kết nốI tớI mạng của một vị trí khác thông qua VPN Trong hoàn cảnh này thìviệc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng Nơi

mà có một kết nốI VPN được thiết lập giữa chúng Khi đó các thiết bị này đóngvai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trướccho các site khác Các router và Firewall tương thích vớI VPN, và các bộ tậptrung VPN chuyên dụng đều cung cấp chức năng này

- Lan-to-Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN(xemxét về mặt chính sách quản lý) Nếu chúng ta xem xét dướI góc độ chứng thực nó

có thể được xem như là một intranet VPN, ngược lạI chúng được xem như là mộtextranet VPN Tính chặt chẽ trong việc truy cập giữa các site có thể được điềukhiển bởi cả hai(intranet và extranet VPN) theo các site tương ứng của chúng.Giải pháp Site to site

VPN không là một remote access VPN nhưng nó được thêm vào đây vì tính chấthoàn thiện của nó

- Sự phân biệt giữa remote access VPN và Lan to Lan VPN chỉ đơn thuần mangtính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận Ví

dụ như là các thiết bị VPN dựa trên phần cứng mớI(Router cisco 3002 chẳng hạn)

ở đây để phân loạI được, chúng ta phảI áp dụng cả hai cách, bởI vì harware-basedclient có thể xuất hiện nếu một thiết bị đang truy cập vào mạng Mặc dù mộtmạng có thể có nhiều thiết bị VPN đang vận hành Một ví dụ khác như là chế độ

mở rộng của giảI pháp Ez VPN bằng cách dùng router 806 và 17xx

- Lan-to-Lan VPN là sự kết nốI hai mạng riêng lẻ thông qua một đường hầm bảomật đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặcIPSec, mục đích của Lan-to-Lan VPN là kết nốI hai mạng không có đường nốI lạIvớI nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu

bạn có thể thiết lập một Lan-to-Lan VPN thông qua sự kết hợp của các thiết bịVPN Concentrators, Routers, and Firewalls.

- Kết nốI Lan-to-Lan được thiết kế để tạo một kết nốI mạng trực tiếp, hiệu quả bấtchấp khoảng cách vật lý giữa chúng Có thể kết nốI này luân chuyển thông quainternet hoặc một mạng không được tin cậy.Bạn phảI đảm bảo vấn đề bảo mậtbằng cách sử dụng sự mã hóa dữ liệu trên tất cả các gói dữ liệu đang luân chuyểngiữa các mạng đó

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mởrộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫnđảm bảo tính mềm dẻo

Hình 1.3: Mô hình mạng Intranet VPNNhững ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạngthông qua một hay nhiều nhà cung cấp dịch vụ)

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó

có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đườngcông cộng – mạng Internet

- Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đicùng như:

- Vì dữ liệu được truyền “ngầm” qua mạng Internet nên vẫn còn những mối đe dọa

về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

- Khi truyền dẫn khối lượng lớn dữ liệu, với yêu cầu truyền dẫn tốc độ cao và đảmbảo thời gian thực là thách thức lớn trong môi trường Internet

 Extranet VPN

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mởrộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khảnăng điều khiển truy nhập tới những nguồn tài nguyên mạngcần thiết để mở rộng những đốitượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

Hình 1.4: Mô hình mạng Extranet VPN

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhàcung cấp và các đối tác qua một cơ sở hạ tầng công cộng Sự khác nhau giữa một VPN cục

bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuốicủa VPN

Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí thấp hơn nhiều so với mạng truyền thống

- Dễ thiết lập, bảo trì và dễ thay đổi đối với mạng đang hoạt động

Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hộitrong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi công tyhơn

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảmđược số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vậnhành của toàn mạng

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn nhữngnhược điểm đi cùng như

Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫntồn tại

- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫntốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet.Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

CHƯƠNG II: TÌM HIỂU VỀ GIAO THỨC IPSEC

Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security Nó có quan

hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởiInternet Engineering Task Force (IETF) Mục đích chính của việc phát triển IPSec là cungcấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI, như hình 6-1

Figure 6-1: The position of IPSec in the OSI model.

Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP Do đó, khimột cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vìcác giao tiếp đều đi qua tầng 3 (Đó là lý do tai sao IPSec được phát triển ở giao thức tầng 3thay vì tầng 2).

IPSec VPN dùng các dịch vụ được định nghĩa trong IPSec để đảm bảo tính toàn vẹn

dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạngcông cộng.với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đềuđộc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích Bởi vì IPSec được tích hợpchặt chẽ với IP, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo mật màkhông cần phải có sự thay đổi lớn lao nào Cũng giống IP, IPSec trong suốt với người dùngcuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau mộtchuổi các hoạt động

IPSec hoạt động dựa trên mô hình ngang hàng (peer-to-peer) hơn là mô hìnhclient/server Security Association (SA) là một qui ước giữa hai bên trong đó thúc đẩy cáctrao đổi giữa hai bên giao tiếp Mỗi bên giao tiếp (có thể là thiết bị, phần mềm) phải thốngnhất với nhau về các chính sách hoặc các qui tắc bằng cách sẽ dò tìm các chính sách này vớiđối tác tìm năng của nó Có hai kiểu SA: ISAKMP SA (còn được biết đến với tên gọi là IKESAs) và IPSec SA

Security Associations (SAs) là một khái niệm cơ bản của bộ giao thức IPSec SA làmột kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụIPSec

- Các giao thức xác nhận, các khóa, và các thuật toán

- Phương thức và các khóa cho các thuật toán xác nhận được dùng bởi các giaothức Authentication Header (AH) hay Encapsulation Security Payload (ESP) của

bộ IPSec

- Thuật toán mã hóa và giải mã và các khóa

- Thông tin liên quan khóa, như khoảng thời gian thay đổi hay khoảng thời gianlàm tươi của các khóa

- Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ nguồn SA và khoảngthời gian làm tươi.

Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng, nếu có

Figure 6-2: A generic representation of the three fields of an IPSec SA.

Như hình 6-2, IPSec SA gồm có 3 trường :

- SPI (Security Parameter Index) Đây là một trường 32 bit dùng nhận dạng giaothức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đangdùng SPI được mang theo như là một phần đầu của giao thức bảo mật và thườngđược chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA

- Destination IP address Đây là địa chỉ IP của nút đích Mặc dù nó có thể là địa chỉbroadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ đượcđịnh nghĩa cho hệ thống unicast

- Security protocol Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặcESP

Chú thích :

Broadcasts có nghĩa cho tất cả hệ thống thuộc cùng một mạng hoặc mạng con Cònmulticasts gửi đến nhiều (nhưng không phải tât cả) nút của một mạng hoặc mạng con chosẵn Unicast có nghĩa cho 1 nút đích đơn duy nhất Bởi vì bản chất theo một chiều duy nhấtcủa SA, cho nên 2 SA phải được định nghĩa cho hai bên thông tin đầu cuối, một cho mỗihướng Ngoài ra, SA có thể cung cấp các dịch vụ bảo mật cho một phiên VPN được bảo vệbởi AH hoặc ESP Do vậy, nếu một phiên cần bảo vệ kép bởi cả hai AH và ESP, 2 SA phảiđược định nghĩa cho mỗi hướng Việc thiết lập này của SA được gọi là SA bundle

- Một IPSec SA dùng 2 cơ sở dữ liệu Security Association Database (SAD) nắmgiữ thông tin liên quan đến mỗi SA Thông tin này bao gồm thuật toán khóa, thời

gian sống của SA, và chuỗi số tuần tự Cơ sở dữ liệu thức hai của IPSec SA,Security Policy Database (SPD), nắm giữ thông tin về các dịch vụ bảo mật kèmtheo với một danh sách thứ tự chính sách các điểm vào và ra Giống như firewallrules và packet filters, những điểm truy cập này định nghĩa lưu lượng nào được

xữ lý và lưu lượng nào bị từ chối theo từng chuẩn của IPSec

Bộ IPSec đưa ra 3 khả năng chính bao gồm :

- Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity).IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của ngườigửi và kiểm chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dunggói dữ liệu bởi người nhận Các giao thức IPSec đưa ra khả năng bảo vệ mạnh đểchống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ

- Sự cẩn mật (Confidentiality) Các giao thức IPSec mã hóa dữ liệu bằng cách sửdụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữliệu

trên đường đi của nó IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn(người gửi) và nút đích (người nhận) từ những kẻ nghe lén

- Quản lý khóa (Key management) IPSec dùng một giao thức thứ ba, Internet KeyExchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóatrước và trong suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối vàkiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu

- Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, vàconfidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thứcIPSec Những giao thức này bao gồm Authentication Header (AH) vàEncapsulating Security Payload (ESP)

- Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSecchấp nhận bởi nó là một dịch vụ quản lý khóa mạnh Giao thức này là IKE

- SAs trong IPSec hiện tại được triển khai bằng 2 chế độ đó là chế độ Transport vàchế độ Tunnel được mô tả ở hình 6-7 Cả AH và ESP có thể làm việc với mộttrong hai chế độ này

Figure 6-7: The two IPSec modes.

2.1

Transport Mode :

- Transport mode bảo vệ giao thức tầng trên và các ứng dụng Trong Transportmode, phần IPSec header được chèn vào giữa phần IP header và phần header củagiao thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ được đặt sau IPheader nguyên thủy Vì vậy chỉ có tải (IP payload) là được mã hóa và IP headerban đầu là được giữ nguyên vẹn Transport mode có thể được dùng khi cả hai host

hỗ trợ IPSec Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗipackets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuốicùng của gói Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạngtrung gian dựa trên các thông tin trong IP header Tuy nhiên các thông tin Layer 4

sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói

Figure 6-8: IPSec Transport mode—a generic representation.

Figure 6-9: AH Transport mode.

Figure 6-10: ESP Transport mode.

- Transport mode thiếu mất quá trình xữ lý phần đầu, do đó nó nhanh hơn Tuynhiên, nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận màcũng không mã hóa phần đầu IP

2.2

Tunnel Mode :

- Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu Toàn bộgói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec headerđược chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Toàn bộ gói IPban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọcxung quanh gói dữ liệu Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệumới của gói IP mới Chế độ này cho phép những thiết bị mạng, chẳng hạn nhưrouter, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay chohost Router nguồn sẽ mã hóa các packets và chuyển chúng dọc theo tunnel.Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối Vì vậyheader mới sẽ có địa chỉ nguồn chính là gateway

- Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thểđược mã hóa Tunnel mode được dùng khi một trong hai đầu của kết nối IPSec làsecurity gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợIPSec

Figure 6-11: IPSec Tunnel mode—a generic representation.

- Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần headermới và phần header nguyên bản, như hình bên dưới

Figure 6-12: AH Tunnel mode.

Figure 6-13: ESP Tunnel mode.

- IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật giữa haibên Thuật ngữ ‘hai chiều’ có ý nghĩa là khi đã được thiết lập, mỗi bên có thểkhởi tạo chế độ QuickMode, Informational và NewGroupMode IKE SA đượcnhận ra bởi các cookies của bên khởi tạo, được theo sau bởi các cookies của trảlời của phía đối tác Thứ tự các cookies được thiết lập bởi phase 1 sẽ tiếp tục chỉ

ra IKE SA, bất chấp chiều của nó Chức năng chủ yếu của IKE là thiết lập và duytrì các SA Các thuộc tính sau đây là mức tối thiểu phải được thống nhất giữa hai

bên như là một phần của ISAKMP (Internet Security Association and KeyManagement Protocol) SA:

• Thuật giải mã hóa

• Thuật giải băm được dùng

• Phương thức xác thực sẽ dùng

• Thông tin về nhóm và giải thuật DH

- IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý và trao đổi khóa IKE

sẽ dò tìm ra được một hợp đồng giữa hai đầu cuối IPSec và sau đó SA sẽ theo dõitất cả các thành phần của một phiên làm việc IPSec Sau khi đã dò tìm thànhcông, các thông số SA hợp lệ sẽ được lưu trữ trong cơ sở dữ liệu của SA

- Thuận lợi chính của IKE bao gồm:

• IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơchế bảo mật nào

• Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bở vì một lượng lớnnhững hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp khá ít

2.3 IKE Phases

- Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình 6-14trình bày một số đặc điểm chung của hai giai đoạn Trong một phiên làm việcIKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn Kênh bảo mật này phảiđược thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra

Figure 6-14: The two IKE phases—Phase I and Phase II.

2.4 Giai đoạn I của IKE

- Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập mộtkênh bảo mật cho sự thiết lạp SA Tiếp đó, các bên thông tin thỏa thuận mộtISAKMP SA đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và cácphương pháp xác nhận bảo vệ mã khóa

- Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mậtđược phát sinh Theo sau là những thông tin được dùng để phát sinh khóa bí mật :

• Giá trị Diffie-Hellman

• SPI của ISAKMP SA ở dạng cookies

• Số ngẩu nhiên known as nonces (used for signing purposes)

- Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúngcũng cần trao đổi IDs Sau khi trao đổi các thông tin cần thiết, cả hai bên phátsinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật Theo cáchnày, những khóa mã hóa được phát sinh mà không cần thực sự trao đổi bất kỳkhóa nào thông qua mạng

2.5 Đoạn II của IKE

- Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giảiquyết bằng việc thiết lập SAs cho IPSec Trong giai đoạn này, SAs dùng nhiềudịch vụ khác nhau thỏa thuận Cơ chế xác nhận, hàm băm, và thuật toán mã hóabảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phầncủa giai đoạn SA ự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn

I Điển hình, sự thỏa thuận có thể lặp lại sau 4-5 phút Sự thay đổi thường xuyêncác mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dungcủa gói dữ liệu

- Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làmviệcđơn của giai đoạn I Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được

hổ trợ bởi một trường hợp đơn ở giai đoạn I Điều này làm qua trình giao dịchchậm chạp của IKE tỏ ra tương đối nhanh hơn

- Oakley là một trong số các giao thức của IKE Oakley is one of the protocols onwhich IKE is based Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.

2.6 IKE Modes

4 chế độ IKE phổ biến thường được triển khai :

• Chế độ chính (Main mode)

• Chế độ linh hoạt (Aggressive mode)

• Chế độ nhanh (Quick mode)

• Chế độ nhóm mới (New Group mode)

2.7 Main Mode

- Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong quatrình giao dịch Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:

• 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi

• 2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và nonces.Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa

• Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịchvới sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận

Hình 6-15 mô tả quá trình giao dịch trong chế độ IKE

2.8 Aggressive Mode

- Aggressive mode về bản chất giống Main mode Chỉ khác nhau thay vì mainmode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi Do đó,Aggressive mode nhanh hơn mai mode Các thông điệp đó bao gồm :

• Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóachính, và trao đổi nonces cho việc ký và xác minh tiếp theo

• Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên Nó xác thực người nhận

và hoàn thành chính sách bảo mật bằng các khóa

• Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo củaphiên làm việc)

Figure 6-16: Message exchange in IKE Aggressive mode Cả Main mode và

Aggressive mode đều thuộc giai đoạn I.

2.9 Quick Mode

- Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II Nó dùng đểthỏa thuận SA cho các dịch vụ bảo mật IPSec Ngoài ra, Quick mode cũng có thểphát sinh khóa chính mới Nếu chính sách của Perfect Forward Secrecy (PFS)được thỏa thuận trong giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman keyđược khởi tạo Mặt khác, khóa mới được phát sinh bằng các giá trị băm

Figure 6-17: Message exchange in IKE Quick mode, which belongs to Phase II.

3.0 New Group Mode

- New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điềukiện trao đổi Diffie-Hellman key được dễ dàng Hình 6-18 mô tả New Groupmode Mặc dù chế độ này được thực hiện sau giai đoạn I, nhưng nó không thuộcgiai đoạn II

Figure 6-18: Message exchange in IKE New Group mode.

- Ngoài 4 chế độ IKE phổ biến trên, còn có thêm Informational mode Chế độ nàykết hợp với quá trình thay đổ của giai đoạn II và SAs Chế độ này cung cấp chocác bên có liên quan một số thông tin thêm, xuất phát từ những thất bại trong quátrình thỏa thuận Ví dụ, nếu việc giải mã thất bại tại người nhận hoặc chữ kýkhông được xác minh thành công, Informational mode được dùng để thông báocho các bên khác biết

CHƯƠNG III: TỔNG QUAN HỆ ĐIỀU HÀNH CISCO IOS3.1 Kiến trúc hệ thống

- CPU (đơn vị xử lý trung tâm): thực thi các câu lệnh của hệ điều hành để thực hiệncác nhiệm vụ như: khởi động hệ thống, định tuyến, điều khiển các cổng giao tiếpmạng CPU là một bộ vi xử lý Trong các router lớn có thể có nhiều CPU

- RAM: Được sử dụng để lưu bảng định tuyến, cung cấp bộ nhớ cho chuyển mạchnhanh, chạy tập tin cấu hình và cung cấp hàng đợi cho các gói dữ liệu Toàn bộnội dung trên RAM sẽ bị xóa khi tắt điện

- Flash: Bộ nhớ flash được sử dụng để lưu toàn bộ phần mềm hệ điều hành CiscoIOS Mặc định là router tìm IOS của nó trong flash Ta có thể nâng cấp hệ điềuhành bằng cách chép phiên bản mới hơn vào flash Đối với hầu hết các router,IOS được chép lên RAM trong quá trình khởi động router Còn một số router thìIOS có thể chạy trực tiếp trên flash mà không cần chép lên RAM

- NVRAM (Non-volative Random-acess Memory): Là bộ nhớ RAM không bị mấtthông tin, được sử dụng để lưu tập tin cấu hình Trong một số thiết bị có NVRAM

và flash riêng, NVRAM được thực thi nhờ flash Trong một số thiết bị, flash vàNVRAM là cùng 1 bộ nhớ Trong cả 2 trường hợp, nội dung của NVRAM vẫnđược lưu giữ khi tắt điện

- Bus: Phần lớn các router đều có bus hệ thống và CPU bus Bus hệ thống được sửdụng để thông tin liên lạc giữa CPU với các cổng giao tiếp và các khe mở rộng.Loại bus này vận chuyển các gói dữ liệu đi và đến các cổng giao tiếp CPU sửdụng CPU bus để truy xuất các thành phần của router thông qua bộ nhớ trênrouter Loại bus này vận chuyển dữ liệu và các câu lệnh đi và đến các địa chỉ của

ô nhớ tương ứng

- ROM (Read-Only Memory): Là nơi lưu đoạn mã của chương trình kiểm tra khikhởi động Nhiệm vụ chính của ROM là kiểm tra phần cứng của router khi khởiđộng, sau đó chép phần mềm Cisco IOS từ flash vào RAM Nội dung của ROMkhông thể xóa được Ta chỉ có thể nâng cấp ROM bằng cách thay chip ROM mới

- Các cổng giao tiếp: Là nơi router kết nối với bên ngoài Router có 3 loại

• cổng: LAN, WAN và console/AUX Cổng LAN thường là cổng Ethenet hoặcToken Ring Các cổng này có thể gắn cố định trên router hoặc dưới dạng cardrời

• Cổng WAN có thể là cổng serial, ISDN, cổng tích hợp đơn vị kênh CSU(Channel Service Unit) Tương tự như cổng giao tiếp LAN, các cổng giao tiếpWAN cũng có thể cố định trên router hoặc ở dạng card rời

• Cổng console/AUX là cổng nối tiếp, chủ yếu được sử dụng để cấu hình router.Hai cổng này không phải là loại cổng để kết nối mạng mà là để kết nối vàomáy tính thông qua modem hoặc thông qua cổng COM trên máy tính để thựchiện cấu hình router

- Nguồn điện: Cung cấp điện cho các thành phần của router Một số router lớn cóthể sử dụng nhiều bộ nguồn hoặc nhiều card nguồn Còn ở một số router nhỏ,nguồn điện có thể là bộ phận nằm ngoài router

3.2 Cisco IOS CLI

Cisco có 3 chế độ lệnh, với từng chế độ sẽ có quyền truy cập với những bộ lệnh khácnhau

- Chế độ người dùng: Đây là chế độ đầu tiên mà người sử dụng truy cập vào saukhi đăng nhập vào router Chế độ người dùng có thể được nhận ra bởi ký hiệu “>”ngay sau tên router Chế độ này chỉ cho phép thực thi một số câu lệnh hiển thị cácthông tin cơ bản của router như xem trạng thái của hệ thống Hệ thống không thểđược cấu hình hay khởi động ở chế độ này.

- Chế độ đặc quyền: Chế độ này cho phép người dùng xem cấu hình của hệ thống,khởi động lại hệ thống và đi vào chế độ cấu hình Nó cũng cho phép thực thi tất

cả các câu lệnh ở chế độ người dùng Chế độ này có thể được nhận ra bởi ký hiệu

“#” ngay sau tên router Để chuyển từ chế độ người dùng sang chế độ đặc quyềnthì ta dùng lệnh enable tại dấu nhắc “>” Nếu mật mã đã được cài đặt thì ta phải

gõ đúng mật khẩu thì mới có quyền truy cập vào chế độ đặc quyền Chế độ nàycho phép người sử dụng làm bất cứ gì trên router, vì vậy nên sử dụng cẩn thận

Để thoát khỏi chế độ đặc quyền, người dùng thực thi câu lệnh disable

- Chế độ cấu hình: chế độ này cho phép người dùng chỉnh sửa cấu hình đang chạy

Để vào chế độ cấu hình, ta gõ lệnh configure terminal từ chế độ đặc quyền Chế

độ cấu hình lại có nhiều chế độ nhỏ khác nha, bắt đầu với chế độ cấu hình toàncục, nó được nhận ra bởi ký hiệu “(config)#” ngay sau tên router Các chế độ nhỏtrong chế độ cấu hình thay đổi tùy thuộc vào bạn muốn cấu hình cái gì, từ bêntrong dấu “( )” sẽ thay đổi Ví dụ: vào chế độ cổng giao tiếp thì ký hiệu sẽ là

“(config-if)#” Để thoát khỏi chế độ cấu hình, người dùng có thể gõ end hay nhấn

tổ hợp phím Ctrl-Z

Chú ý: ở các chế độ, tùy tình huống cụ thể mà câu lệnh “?” tại các vị trí sẽ hiển thị

lên các câu lệnh có thể có ở cùng mức Ký hiệu này cũng có thể sử dụng ở giữa câu lệnh để xem các tùy chọn phức tạp của câu lệnh.

Các đặc điểm của phần mềm Cisco IOS

Cisco cung cấp rất nhiều loại IOS cho các loại sản phẩm mạng khác nhau Để tối ưuhóa phần mềm IOS cho nhiều loại thiết bị, Cisco đã phát triển nhiều loại phần mềm CiscoIOS Mỗi loại phần mềm IOS phù hợp với từng loại thiết bị, với mức dung lượng bộ nhớ vàvới nhu cầu của khách hàng

Mặc dù có nhiều phần mềm IOS khác nhau cho nhiều loại thiết bị với nhiều đặc tínhkhác nhau nhưng cấu trúc lệnh cấu hình cơ bản thì vẫn giống nhau Do đó kỹ năng cấu hình

và xử lý sự cố của bạn có thể ứng dụng cho nhiều loại sản phẩm khác nhau

Tên của Cisco IOS được quy ước chia ra thành 3 phần như sau:

- Phần thứ nhất thể hiện loại thiết bị mà phần mềm IOS này có thể sử dụng được

- Phần thứ hai thể hiện các đặc tính của phần mềm IOS

- Phần thứ 3 thể hiện thể hiện nơi chạy phần mềm IOS trên router và cho biết phầnmềm này được cung cấp dưới dạng nén hay không nén

Thông thường các phiên bản IOS mới thì có thêm nhiều đặc tính mới, do đó nó cũng

sẽ đòi hỏi thêm nhiều bộ nhớ Ta có thể dùng lệnh show version để kiểm tra phần mềm IOShiện tại và dung lượng flash còn trống Hoặc dùng lệnh show flash để xem dung lượng của

bộ nhớ flash

Hoạt động của phần mềm Cisco IOS

Thiết bị Cisco IOS có 3 chế độ hoạt động sau:

để điều khiển chế độ khởi động mặc định của router

Chế độ ROM monitor thực hiện quá trình bootstrap và kiểm tra phần cứng Chế độnày được sử dụng để khôi phục lại hệ thống khi bị lỗi nghiêm trọng hoặc khi người quản trịmạng bị mất mật mã Chúng ta chỉ có thể truy cập vào chế độ ROM monitor bằng đường kếtnối vật lý trực tiếp vào cổng console trên router Ngoài ra chúng ta không thể truy cập vàochế độ này bằng bất kỳ cổng nào khác

Khi router ở chế độ Boot ROM, chỉ có phần chức năng của Cisco IOS là hoạt độngđược Chế độ boot ROM cho phép bạn chép được lên bộ nhớ flash nên chế độ này thườngđược sử dụng để thay thế phần mềm Cisco IOS trong flash Ta dùng lệnh copy tftp flash đểchép phần mềm IOS trên TFTP server vào bộ nhớ flash trên router.

Router muốn hoạt động bình thường thì phải chạy được toàn bộ phần mềm IOS trongflash Ở một số thiết bị, phần mềm IOS được chạy trực tiếp từ flash Tuy nhiên, hầu hết cácCisco router đều chép phần mềm IOS lên RAM rồi chạy từ RAM Một số phần mềm IOSlưu trong flash dưới dạng nén và được giải nén khi chép lên RAM

CHƯƠNG IV: QUY TRÌNH CẤU HÌNH 4 BƯỚC IPSEC/VPN TRÊN CISCO IOS

Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây:

4.1 Chuẩn bị cho IKE và IPSec

- Chỉ rõ lưu lượng cần được bảo vệ (permit) và lưu lượng không cần bảo vệ (deny)

- Thiết lập các chính sách sẽ sử dụng để bảo vệ kết nối giữa 2 đối tác, bao gồm :kiểu xác thực (khóa dùng chung, mã hóa RSA, hoặc chữ ký RSA), các thuật toán

mã hóa (DES, 3DES, AES), các giao thức (AH và ESP), khóa trao đổi Hellman,

Diffe-Cấu hình cho IKE Phase 1

a IKE Phase 1 : Quản lý việc kết nối

Định nghĩa các chính sách IKE Phase 1: Để tạo một IKE Phase 1 quản lý việc kếtnối, bạn cần phải chỉ ra các chính sách sẽ chỉ rõ cách mà kết nối này được bảo vệ Nếu tất cảcác đối tác có nhiều chính sách giống nhau, bạn chỉ cần một chính sách để áp dụng cho tất

cả các đối tác Tuy nhiên nếu có 2 đối tác với 2 chính sách khác nhau thì phải tạo 2 chínhsách riêng rẽ Để tạo một chính sách IKE Phase 1, ta sử dụng lệnh sau:

Router(config)# crypto isakmp policy priority_#

Trong đó : priority_# có thể là từ 1 đến 10.000 Tham số này là rất quan trọng vì nóquyết định chính sách nào sẽ được sử dụng, khi đó các đối tác sẽ so sánh từ cao đến thấptham số này để quyết định Chính sách đầu tiên mà đối tác chấp nhận sẽ được sử dụng Nếukhông có chính sách thống nhất nào được tìm thấy giữa 2 đối tác thì việc kết nối dữ liệu antoàn sẽ không được thiết lập.

Cú pháp đầy đủ để định nghĩa IKE Phase 1 cho quản lý kết nối: Router(config)#cryto isakmp policy priority_#

Router(config-isakmp)#authentication {rsa-sig | rsa-encr | pre-shre}

isakmp)#encrytion {des | 3des | aes | aes 192 | aes 256} isakmp)#hash {md5 | sha}

Router(config-Router(config-isakmp)#group {1 | 2 | 5} Router(config-isakmp)#lifetime

#_of_seconds

b thực đối tác IKE Phase 1

Có nhiều cách để xác thực đối tác IKE Phase 1, sau đây là một số cách xác thựcthường dùng:

- Nhận dạng bằng kiểu: địa chỉ (address), tên đối tác (hostname), đặc trưng của đốitác (dn)

Cú pháp :

Router(config)# crypto isakmp identity {address | hostname | dn}

- Xác thực với khóa chung: Cú pháp:

Router(config)#crypto isakmp key the_key address IP_address_of_peer

hoặc: Router(config)# crypto isakmp key the_key hostname

hostname_of_peer

Cấu hình cho IKE Phase 2

a Cấu hình dạng mã hóa cho gói dữ liệu

- Sau đây ta sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính sách bảo mậtIPSec (IPSec Security Policy) để định nghĩa các chính sách bảo mật IPSec(transform set).

- Transform set là sự kết hợp của các nhân tố sau:

• Cơ chế cho việc chứng thực : chính sách AH

• Cơ chế cho việc mã hóa: chính sách ESP

• Chế độ IPSec (phương tiện truyền thông cùng với đường hầm bảo mật)

Hình 3.1: cấu hình transform sets

- Transform set bằng với việc kết hợp các AH transform, ESP transform và chế độIPSec (hoặc cơ chế đường hầm bảo mật hoặc chế độ phương tiện truyền thông).Transform set giới hạn từ một cho tới hai ESP transform và một AH transform

cho giao thức bảo mật IPSec (IPSec Security Protocol) và thuật toán.

- Bạn có thể cấu hình nhiều transform set và chỉ rõ một hay nhiều transform settrong mục crypto map Định nghĩa các transform set trong mục crypto map được

sử dụng trong trao đổi IPSec SA để bảo vệ dữ liệu được định nghĩa bởi

ACL của mục crypto map Trong suốt quá trình trao đổi, cả 2 bên sẽ tìm kiếm cáctransform set giống nhau ở cả 2 phía Khi mà các transform set được tìm thấy, nó sẽ được sửdụng để bảo vệ dữ liệu trên đường truyền như là một phần của các IPSec SA ở cả 2 phía

- Khi ISAKMP không được sử dụng để thiết lập các SA, một transform set

riêng rẽ sẽ được sử dụng Transform set đó sẽ không được trao đổi

- Thay đổi cấu hình Transform set:

B1: Xóa các transform set từ crypto map

B2: Xóa các transform set trong chế độ cấu hình global

B3: Cấu hình lại transform set với những thay đổi

B4: Gán transform set với crypto map

B5: Xóa cơ sở dữ liệu SA (SA database)

B6: Theo dõi các trao đổi SA và chắc chắn nó hoạt động tốt

- Cấu hình cho việc trao đổi transform: