IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai. IKE sửa đổi những tham số khi cần thiết trong suốt phiên là[r]
Trang 1@Email: fit@ispace.edu.vn
http://fit.ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG
FIREWALL
1
Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin
fit@ispace.edu.vn
Trang 2Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL
Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS
Trang 3@Email: fit@ispace.edu.vn
Giới thiệu IPsec và đặc điểm IPsec
Triển khai site – to – site IPsec VPN
Cấu hình IPsec site – to – site VPN sử dụng SDM
Cấu hình cisco Easy VPN và Easy VPN Server với SDM
Triển khai cisco VPN Client
Câu hỏi bài tập
Triển khai hệ thống Ipsec VPN site- to – site bằng dòng lệnh và sử dụng
giao diện SDM
3
Trang 4Trình bày được các thành phần của IPSec và đặc điểm của
IPSec VPN.
Triển khai Site-to-Site IPSec VPN.
Cấu hình IPSec Site-to-Site VPN sử dụng SDM.
Cấu hình được Cisco Easy VPN Server với SDM.
Triển khai được Cisco VPN Client.
Trang 5@Email: fit@ispace.edu.vn
Tống quan IPSec
Internet Key Exchange
Các chức năng IKE
ESP và AH
Hàm băm
Mã hóa
Môi trường khóa công khai
Tổng quan về giao thức IPSec và cách thức hoạt động của IPSec
5
Trang 6IPsec là gì ?
IPsec là một chuẩn của IETF sử dụng cơ chế mã hóa trong lớp mạng
Chứng thực gói tin IP Kiểm tra tính toàn vẹn của mỗi gói tin Đảm bảo tính “riêng tư” (Bí mật) với mỗi gói tin Chuẩn mở đảm bảo tính bảo mật khi kết nối riêng tư Ứng dụng trong các mô hình mạng từ nhỏ đế lớn
Hỗ trợ sẳn trong các phiên bản phần mềm Cisco IOS 11.3 T trở
về sau.
Hỗ trợ trong các phiên bản Firewall PIX 5.0 và sau đó
Trang 7@Email: fit@ispace.edu.vn
Tính năng bảo mật IPsec:
IPsec là chuẩn duy nhất trong lớp 3 cung cấp tính năng : Bảo mật
Chứng thực Toàn vẹn dữ liệu
7
Trang 8IPsec Protocols:
IPsec sử dụng ba giao thức chính để tạo ra một khung bảo mật Internet Key Exchange (IKE):
o Cung cấp khung thỏa thuận những thông số bảo mật
o Tạo ra các khóa xác thực Encapsulating Security Payload (ESP):
o Cung cấp việc mã hóa , xác thực và bảo mật dữ liệu Authentication Header (AH):
o Cung cấp khung cho việc xác thực và bảo mật dữ liệu
Trang 9@Email: fit@ispace.edu.vn
IPsec Headers :
Ipsec ESP cung cấp những tính năng:
Xác thực và toàn vẹn dữ liệu ( MD5 – SHA 1 – HMAC ) Bảo mật ( DES , 3DES , ASE ) chỉ với ESP
9
Trang 10Peer Authentication:
Peer phương pháp xác thực:
Đặt Username – Password Mật khẩu một lần (OTP) Sinh trắc học
Khóa biết trước Chứng chỉ số
Trang 11@Email: fit@ispace.edu.vn
Internet Key Exchange:
IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai.
IKE sửa đổi những tham số khi cần thiết trong suốt phiên làm việc
IKE cũng đảm nhiệm việc xoá bỏ những
SA và các khóa sau khi một phiên giao dịch hoàn thành
11
Trang 12IKE Phases:
Giai đoạn 1:
Xác thực các thông điệp Thiết lập kênh đàm phán giữa SA Thông tin thỏa thuận các thuật toán Giai đoạn 1.5:
Chứng thực VPN client Bật chế độ cấu hình Giai đoạn 2:
Thiết lập SAs cho Ipsec
Trang 13@Email: fit@ispace.edu.vn
IKE Modes :
4 chế độ IKE phổ biến thường được triển khai :
Chế độ chính (Main mode) Chế độ linh hoạt (Aggressive mode) Chế độ nhanh (Quick mode)
Chế độ nhóm mới (New Group mode)
13
Trang 14IKE Modes:
Trang 15@Email: fit@ispace.edu.vn
Tính năng khác IKE :
Phát hiện mất kết nối tới PER ( DPD ) :
Chức năng mang tính 2 chiều Gửi những thông điệp định kỳ PEER thực hiện gửi lại nếu không coi là mất kết nối
IKE Keepalives được gửi đi sau khoảng thời gian 10s NAT Traversal :
Được định nghĩa trong RFC 3947 Đóng gói trong gói tin thông qua giao thức UDP
15
Trang 16IPsec NAT Traversal :
Cần NAT Traversal với IPsec qua TCP/UDP :
NAT Traversal phát hiện NAT Traversal quyết định Đóng gói các gói tin thông qua UDP Các thông tin : IP và PORT nằm trong gói UDP
Trang 17@Email: fit@ispace.edu.vn
Mode cấu hình :
17
Các Mode sử dụng để
đẩy các thông số cấu hình
cho IPsec VPN Client
Trang 18Easy VPN:
Trang 19@Email: fit@ispace.edu.vn
User Authentication:
19
Cho phép phương thức
AAA hoạt động đối với việc
xác thực user
Trang 20ESP và AH:
IP protocol :
ESP và AH ESP sử dụng port 50
AH sử dụng port 51
Ipsec modes :
Sử dụng 2 mode : Tunnel hoặc Transport Tunnel mode : Tạo ra header mới cho IP