Bài giảng Xây dựng hệ thống Firewall: Bài 5 - Cao đẳng Nghề CNTT iSPACE

Bài 4 đề cập đến việc triển khai hệ thống VPN trên Cisco IOS. Bài này giúp người học biết triển khai một hệ thống VPN với cơ chế bảo mật thông qua giao thức IPSec, biết ứng dụng bài học vào thực tiễn xây dựng hệ thống VPN an toàn cho doanh nghiệp.

Trang 2

@Email: fit@ispace.edu.vn

Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG

Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL

Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS

Bài 4: BẢO MẬT LAYER 2

Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS

2

Trang 3

Giới thiệu IPsec và đặc điểm IPsec

Triển khai site – to – site IPsec VPN

Cấu hình IPsec site – to – site VPN sử dụng SDM

Cấu hình cisco Easy VPN và Easy VPN Server với SDM

Triển khai cisco VPN Client

Câu hỏi bài tập

Triển khai hệ thống Ipsec VPN site- to – site bằng dòng lệnh và sử dụng

giao diện SDM

3

Trang 4

Trình bày được các thành phần của IPSec và đặc điểm của

IPSec VPN.

Triển khai Site-to-Site IPSec VPN.

Cấu hình IPSec Site-to-Site VPN sử dụng SDM.

Cấu hình được Cisco Easy VPN Server với SDM.

Triển khai được Cisco VPN Client.

4

Trang 5

Môi trường khóa công khai

Tổng quan về giao thức IPSec và cách thức hoạt động của IPSec

5

Trang 6

Hỗ trợ sẳn trong các phiên bản phần mềm Cisco IOS 11.3 T trở

về sau.

Hỗ trợ trong các phiên bản Firewall PIX 5.0 và sau đó

6

Trang 7

Tính năng bảo mật IPsec:

IPsec là chuẩn duy nhất trong lớp 3 cung cấp tính năng : Bảo mật

Chứng thực Toàn vẹn dữ liệu

7

Trang 8

o Cung cấp việc mã hóa , xác thực và bảo mật dữ liệu Authentication Header (AH):

o Cung cấp khung cho việc xác thực và bảo mật dữ liệu

8

Trang 9

IPsec Headers :

Ipsec ESP cung cấp những tính năng:

Xác thực và toàn vẹn dữ liệu ( MD5 – SHA 1 – HMAC ) Bảo mật ( DES , 3DES , ASE ) chỉ với ESP

9

Trang 10

Peer Authentication:

Peer phương pháp xác thực:

Đặt Username – Password Mật khẩu một lần (OTP) Sinh trắc học

Khóa biết trước Chứng chỉ số

10

Trang 11

Internet Key Exchange:

IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai.

IKE sửa đổi những tham số khi cần thiết trong suốt phiên làm việc

IKE cũng đảm nhiệm việc xoá bỏ những

SA và các khóa sau khi một phiên giao dịch hoàn thành

11

Trang 12

IKE Phases:

Giai đoạn 1:

Xác thực các thông điệp Thiết lập kênh đàm phán giữa SA Thông tin thỏa thuận các thuật toán Giai đoạn 1.5:

Chứng thực VPN client Bật chế độ cấu hình Giai đoạn 2:

Thiết lập SAs cho Ipsec Giao dịch nhanh

12

Trang 14

IKE Modes:

14

Trang 15

Được định nghĩa trong RFC 3947 Đóng gói trong gói tin thông qua giao thức UDP

15

Trang 16

IPsec NAT Traversal :

Cần NAT Traversal với IPsec qua TCP/UDP : NAT Traversal phát hiện

NAT Traversal quyết định Đóng gói các gói tin thông qua UDP Các thông tin : IP và PORT nằm trong gói UDP

16

Trang 17

Mode cấu hình :

17

Các Mode sử dụng để

đẩy các thông số cấu hình

cho IPsec VPN Client

Trang 18

Easy VPN:

18

Trang 20

ESP và AH:

IP protocol : ESP và AH ESP sử dụng port 50

AH sử dụng port 51 Ipsec modes :

Sử dụng 2 mode : Tunnel hoặc Transport Tunnel mode : Tạo ra header mới cho IP

20

Trang 21

ESP và AH Header:

ESP cho phép mã hóa và xác thực gói tin ban đầu

AH xác thực toàn bộ gói tin và không cho mã hóa

21

Trang 22

AH Authentication and Integrity:

22

Trang 24

Tunnel and Transport Mode:

24

Trang 25

Xác thực thông tin và kiểm tra tính toàn vẹn dùng Hash:

MAC dùng để xác thực thông báo và kiểm tra tính toàn vẹn Phương pháp dùm hàm băm rất thông dụng và hầu hết được dùng kiểm tra toàn vẹn của dữ liệu

25

Trang 26

Hàm băm:

MD5: được sử dụng phổ biến với giá trị băm dài 128bit SHA-1: cho giá trị băm dài 160 bit nhưng với Ipsec chỉ sử dụng 96 bit đầu tiên

SHA-1 có thời gian tính toán lâu hơn MD5 nhưng nó bảo mật hơn

26

Trang 27

Mã hóa đối xứng và bất đối xứng:

Thuật toán đối xứng :

Mã hóa bằng key bí mật

Mã hóa và giải mã sử dụng chung 1 key

Thông thường được dùng

mã hóa thông tin

VD : DES, 3DES , AES…

Thuật toán bất đối xứng

Mã hóa bằng key công cộng

Trang 30

Symmetric Encryption: DES

DES là thuật toán mã hóa đối xứng Block cipher : kích thước khối 64 bit , chiều dài khóa 56 bit DES được ứng dụng mã hóa khối dữ liệu

30

Trang 31

Symmetric Encryption: 3DES

Tổng độ dài khóa 168 bit 3DES sử dụng 2 khóa khác nhau làm chiều dài khóa tăng lên Thông thường: mã hóa , giải mã , mã hóa

31

Trang 32

Symmetric Encryption: AES

Trước đây được gọi là : ‘Rijndael’

Là thuật toán sau DES và 3DES AES làm việc với khối dữ liệu 128 bit và chiều dài khóa có thể là

128 192 hoặc 256 bit AES dùng 2 thuật toán khác nhau cho mã hóa và giải mã

32

Trang 33

Asymmetric Encryption: RSA

Trên cơ sở trao đổi khóa Diffie- Hellman Khóa công khai để mã hóa dữ liệu và xác minh chữ ký số Khóa bí mật dùng để giải mã dữ liệu và tạo ký với chữ ký điện tử

Là thuật toán tốt cho việc truyền dữ liệu

33

Trang 34

Trao đổi key Diffie-Hellman:

Deffie – Hellman: khởi tạo và trao đổi khóa an toàn giữa hai thành phần qua một kênh không an toàn.

34

Trang 35

Trao đổi key Diffie-Hellman:

35

Trang 37

X.509 v3 Certificate:

37

Trang 38

PKI Credentials :

Sơ sở hạ tầng khóa công khai PKI :

Tạo ra chứng chỉ khóa công khai Phân phối chứng chỉ

Thu hồi chứng chỉ Quản lý chứng chỉ

38

Trang 39

Tổng quan

Các bước hoạt động

Cấu hình IPSec

Cấu hình site – to – site IPSec áp dụng cấu hình VPN

Cấu hình site – to – site IPSec interface ACL

39 Các bước hoạt động và triển khai, cấu hình mô hình site–to– site IPSec

VPN

Trang 40

IPSec có thể thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là các người dùng

40

Trang 41

Tống quan:

IPSec cung cấp dịch vụ bảo mật sử dụng IKE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử dụng trong IPSec

IPSec chưa phải là giao thức bảo mật đường hầm mang tính chất tuyệt đối vì còn tồn tại nhiều nhược điểm.

41

Trang 42

Diễn ra qua 5 bước:

42

Trang 44

Bước 2:

Router A và B khởi tạo phiên IKE Phase 1

44

Trang 45

Bước 2 (tt ):

Thực hiện trao đổi khóa theo thuật toán Diffie-Hellman

45

Trang 48

Thiết lập transform set:

48

Trang 49

Bước 4 :

Phiên IPSec được hình thành, lúc này các SA đã tạo ra ở bước 3

sẽ được trao đổi giữa 2 bên, và sau đó chế độ bảo mật sẽ được

áp dụng cho các dữ liệu truyền trong đường hầm IPSec

49

Trang 50

Bước 5 :

Giải phóng đường hầm IPSec

SA hết thời gian sống Gói truyền dữ liệu vượt quá ngưỡng.

Việc giải phóng này mang tính chất là việc hủy đi các SA

50

Trang 51

Cấu hình Site-to-Site IPsec Phase 1:

51

Trang 52

Cấu hình Site-to-Site IPsec Phase 2:

52

Trang 53

Cấu hình Site-to-Site Ipsec VPN:

53

Trang 54

Cấu hình Site-to-Site IPsec : Interface ACL

IKE : sử dụng UDP port 500 ESP và AH : sử dụng port 50 và 51 NAT cho phép :

UDP cổng 4500 TCP ( đã được cấu hình )

54

Trang 55

Cấu hình Site-to-Site IPsec : Interface ACL

Bảo đảm các port 50 , 51 và UDP 500 không bị cấm tại các interface sử dụng IPSec

55

Router1#show access-lists

access-list 102 permit ahp host 172.16.172.10 host 172.16.171.20

access-list 102 permit esp host 172.16.172.10 host 172.16.171.20

access-list 102 permit udp host 172.16.172.10 host 172.16.171.20 eq isakmp

Trang 56

Tổng quan

Các bước hoạt động

Cấu hình IPSec

Cấu hình Site-to-Site IPSec áp dụng cho VPN

Cấu hình Site-to-Site IPSec Interface ACL

56 Cách cấu hình của mô hình site – to – site IPSec VPN dùng Cisco SDM

Trang 57

Cisco Router and SDM:

57

Trang 58

Cisco Router and SDM:

SDM có một số công cụ dựa trên web để quản lý Cung cấp các trình thuật thông minh để cho phép triển khai nhanh hơn và dễ dàng hơn , đặc biệt không đòi hỏi nhiều kiến thức về Cisco IOS CLI

Chứa nhiều tính năng và tích hợp nhiều công cụ cho người dùng cấp cao :

ACL biên tập VPN

Cisco IOS CLI

58

Trang 60

Giới thiệu giao diện VPN SDM:

60

Trang 61

IPSec sử dụng Winzard để cấu hình Các thành phần khác được tạo ra bởi VPN Winzard Một số thành phần như PKI phải được cấu hình trước khi winzard có thể sử dụng

61

Trang 62

Chính sách nhóm cho Easy VPN

Cơ sở hạ tầng khóa công khai cho IKE xác thực bằng cách dùng chứng chỉ số

Trang 63

Cấu hình Site-to-Site VPN Wizard:

63

Trang 64

Cấu hình Site-to-Site VPN Wizard:

64

Trang 65

Quick setup:

65

Trang 66

Quick setup (tt):

66

Trang 67

Step-by-Step Setup:

Nhiều bước được sử dụng để cấu hình VPN:

Xác định các cài đặt: interface, địa chỉ IP, các thông tin xác thực.

Xác định các đề xuất IKE: ưu tiên, thuật toán mã hóa, HMAC, chứng thực, Diffie-Hellman

Xác định biến đổi IPSec: thuật toán mã hóa, HMAC, phương thức hoạt động

Xác định lưu lượng truy cập: nguồn đơn và mạng con đích, ACL

Kiểm tra lại và hoàn thành việc cấu hình.

67

Trang 68

Connection settings:

68

Trang 71

Option 1: Single source and Destination subnet

71

Trang 75

Kiểm tra cấu hình đã generate:

75

Trang 76

Kiểm tra cấu hình đã generate (tt):

76

Trang 77

Kiểm tra cấu hình Tunnel Operation:

77

Trang 78

Theo dõi Tunnel Operation:

78

Trang 79

Advanced Monitoring:

79

show crypto isakmp sa

show crypto ipsec sa router#

router#

Trang 80

Giới thiệu Cisco Easy VPN

Các bước hoạt động của Cisco Easy VPN Server

Cấu hình Cisco Easy VPN

80 Các bước hoạt động và cấu hình Cisco Easy VPN và Easy VPN server với

Cisco SDM

Trang 81

Giới thiệu Cisco Easy VPN:

Cisco Easy VPN có hai chứ năng chính:

Đơn giản hóa cấu hình phía Client Tập trung cấu hình Server và tự động đẩy cấu hình cho Client

Để có thể đạt được hai mục tiêu trên:

Chế độ IKE có chức năng tải một số thông số cấu hình cho phía client

Client được cấu hình sẵn với một tập hợp các chính sách IKE

và IPSec

81

Trang 82

Tổng quan Cisco Easy VPN:

Easy VPN Server: Cho phép các thiết bị định tuyến Cisco IOS, Cisco PIX Pirewall, Cisco VPN hoạt động như VPN thiết bị đầu cuối trong mạng VPN site - to - site hoặc truy cập từ xa trong đó các văn phòng từ xa có thể sử dụng Cisco Easy VPN Remote

Easy VPN Remote: Cho phép các thiết bị định tuyến Cisco IOS, Cisco PIX Pirewall, Cisco VPN, phần cứng client hoặc phần mềm Client hoạt động từ xa thông qua VPN client.

82

Trang 83

Truy cập từ xa dùng Cisco Easy VPN:

83

Trang 84

Các bước kết nối Cisco Easy VPN :

Kết nối thông qua 7 bước : Bước 1 : VPN Client khởi tạo IKE Phase 1 Bước 2 : VPN Client thiết lập ISAKMP SA Bước 3 : Easy VPN Server chấp nhận đề nghị SA Bước 4 : Easy VPN Server khởi tạo một username và password Bước 5 : Mode cấu hình được bắt đầu

Bước 6 : Quá trình RRI được bắt đầu Bước 7 : IPSec nhanh chóng hoàn thiện kết nối

84

Trang 87

Bước 3:

Easy VPN Server tìm kiếm cho phù hợp:

Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được chấp nhận

Xét đề nghị an toàn nhất là luôn luôn được liệt kê trên cùng một danh sách cùa Easy VPN Server

Các SA ISAKMP thiết lập thành công Thiết bị kết thúc xác thực và bắt đầu xác thực user

87

Trang 88

Tất cả Easy VPN Server được cấu hình để thực thi xác thực User

88

Trang 89

Nhớ rằng địa chỉ IP chỉ cần thiết cho 1 nhóm, còn các thông số khác là tùy chọn.

89

Trang 90

90

Trang 92

Cấu hình Easy VPN sử dụng SDM:

Cấu hình Easy VPN Server đòi hỏi những việc sau:

Cấu hình 1 user đặc quyền Cấu hình cho phép bí mật AAA cho phép sử dụng dữ liệu Local Cấu hình Ease VPN Server sử dụngWizard Easy VPN Server Wizard bao gồm:

Lựa chọn interface để chấm dứt Ipsec Các chính sách IKE

Sử dụng: local, RADIUS, TACACS+

User xác thực dùng Radius

92

Trang 97

Starting the Easy VPN Server:

97

Trang 107

Local Group Policies:

107

Trang 113

Review Generated Configuration:

113

Trang 114

Review Generated Configuration (tt):

114

Trang 116

Verify Easy VPN Server Configuration (tt):

116

Trang 118

Advanced Monitoring:

118

show crypto isakmp sa

show crypto ipsec sa router#

router#

Trang 119

Tổng quan

Cài đặt Cisco VPN Client Tạo một kết nối với User Cấu hình và chứng thực tài khoản người dùng Cấu hình Tunnel

Kích hoạt chức năng sao lưu máy chủ Cấu hình kết nối với Internet thông qua mạng dial-up

Các tác vụ cấu hình Cisco VPN Client

Sử dụng Cisco VPN Client để thiết lập kết nối VPN và kiểm

tra trạng thái hoạt động.

119 Các bước cấu hình và triển khai Cisco VPN Client

Trang 120

Sử dụng Cisco VPN Client để thiết lập kết nối VPN và kiểm

tra trạng thái kết nối :

Quá trình cài đặt : Tải phiên bản mới nhất của Cisco VPN Client CCO Hủy bỏ tất cả những phiên bản trước của Cisco VPN Client

Quá trình cài đặt : Bật VPN Client Tạo và cấu hình kết nối VPN Kiểm tra các kết nối VPN

120

Trang 121

Cài đặt Cisco VPN Client:

121

Trang 124

Tạo kết nối (tt):

Chứng thực:

Tạo nhóm Mutual chứng thực Đăng ký CA

Trang 126

Cấu hình Transparent Tunneling :

Sử dụng cấu hình mặc định NAT- T cho phép IPSec và IKE qua cổng UDP 4500

126

1.

2.

Trang 128

Kết nối dial-up:

128

Trang 129

Trình bày các thành phần của IPSec và đặc điểm của IPSec

VPN.

Triển khai Site-to-Site IPSec VPN.

Các bước cấu hình IPSec Site-to-Site VPN sử dụng SDM.

Các bước cấu hình được Cisco Easy VPN Server với SDM.

Trình bày cách triển khai Cisco VPN Client.

129

Trang 130

Sử dụng giao thức bảo mật cho Tunnel VPN: IPSec

Cấu hình Site-to-Site IPSec VPN

Cấu hình Cisco Easy VPN.

Kết luận:

Bài học này rất hay giúp triển khai một hệ thống VPN với cơ chế bảo

mật thông qua giao thức IPSec.

Ứng dụng bài học vào thực tiễn xây dựng hệ thống VPN an toàn cho

DN.

130

Trang 131

@Email: fit@ispace.edu.vn 131

Định dạng
Số trang	131
Dung lượng	4,48 MB