Giới thiệu về VPN

I. Giới thiệu:
Công nghệ VPN cung cấp một phưong thức giao tiếp an toàn giữa các mạng riêng dựa trên hạ tầng mạng công cộng (Internet). VPN thường được dùng để kết nối các văn phòng chi nhánh (branch-office), các người dùng từ xa (mobile users) về văn phòng chính.

cisco.jpg

Giới thiệu các trang web hỗ trợ học tập miễn phí tốt nhất!

Giải pháp VPN của Cisco dựa trên một vài sản phẩm khác nhau, bao gồm Pix Firewall, Cisco routers, VPN 3000/5000 Concentrator. Các protocol được dùng trong VPN bao gồm DES (Data Encryption Standard), Triple Des (3DES), IP Security (IPSec) và Internet key Exchange (IKE).

1.1. IPSec:

– Protocol IPSec bao gồm 4 thành phần: thành phần mã hóa (Encryption), Security Association (làm nhiệm vụ trao đổi khóa), Data Integrity (tạm dịch: đảm bảo toàn vẹn dữ liệu) và Origin Authentication ( kiểm tra nguồn gốc dữ liệu).
– Cả hai giải thuật DES và 3DES đều được dùng cho việc mã hóa nêu trên. Chi tiết về DES xin xem mục 1.2. Chỉ có đầu gởi (sender) và đầu nhận (receiver) có thể đọc được dữ liệu.
– Security Association (SA) thường được quản lý bời IKE.
– SA thường có thể dùng pre-share-key, RSA encryption hoặc các RSA signatures.
– SA có thể được cấu hình không cần dùng IKE nhưng cách này ít được dùng.
– Nhiệm vụ của thành phần Data Integrity là đảm bảo dữ liệu đã không bị thay đổi khi đi từ nguồn tới đích. Thành phần Data Integrity này dùng các giải thuật hash như Encapsulating Security payload (ESP), Authentication Header (AH), Message-Digest 5 (MD5) hoặc Secure Hash Algorithm 1 (SHA-1). Khi áp dụng ESP hoặc AH vào một gói IP, gói IP này có thể ( mặc dù không phải là luôn luôn) bị thay đổi.
– Origin Authentication là một option của IPSec. Thành phần này dùng digital signatures hoặc digital certificate.

1.2.DES

– DES được dùng như một phương thức mã hóa dữ liệu dùng khóa riêng (private-key). Có hơn 72,000,000,000,000,000 khóa có thể dùng. Mỗi message có có một khóa mới được chọn ngẫu nhiên. Khóa riêng (private-key) của đầu gởi (sender) và đầu nhận (receiver) phải giống nhau.
– Giải thuật DES áp dụng khóa 56 bit cho mỗi block dữ liệu 64-bit. Quá trình mã hóa có thể hoạt động ở vài chế độ và bao gồm 16 lượt thao tác (operations). Mặc dù quá trình này đã là rất phức tạp, một vài công ty còn dùng 3DES, nghĩa là áp dụng DES ba lần. 3DES thì khó crack hơn là DES. Phương thức để crack DES có thể được tìm thấy trong quyển sách “Cracking DES: Secrets of Encryption Resesarch” của nhà xuất bản O’ Reilly’s.
– Trong tương lai, DES sẽ không được xem là chuẩn nữa. Cisco có kế hoạch hỗ trợ AES (Advance Encryption Standard) vào cuối năm 2001.

1.3.Triple DES

– 3DES dùng khóa có chiều dài là 168-bit.

1.4.IKE
– IKE chịu trách nhiệm trao đổi khóa giữa hai VPN peers.
– IKE hỗ trợ 3 kiểu kiểm tra đăng nhập (authentication): dùng khóa biết trước (pre-share keys), RSA và RSA signature.
– IKE dùng hai protocol là Oakley Key Exchange và Skeme Key Exchange trong ISAKMP.
– Cơ chế pre-shared key thường được dùng trong những hệ thống nhỏ. Hạn chế của cơ chế này là việc yêu cầu cấu hình bằng tay (manual) cho mỗi đầu của kết nối VPN. Ngoài ra, cơ chế này được xem là không có khả năng mở rộng (scale).
– Cả hai kiểu kiểm tra đăng nhập còn lại RSA dùng public-key.

II. Các ví dụ cấu hình VPNs.

Cấu hình Router- Router VPN dùng 3DES và IKE cơ chế khóa biết trước (pre-share key)

1. Topology
E0-(HQ-Router)-s0—–(Internet)——s0-(Remotesite1)—E0

Sơ đồ địa chỉ:
HeadQuater: E0: 10.1.1.1/24
HeadQuater: S0: 134.50.10.1/24
RemoteSite: S0 64.107.35.1/24
RemoteSite: E0: 172.16.1.0/24

2. Các bước cấu hình:

Bước 1: Cấu hình hostname

Router(config)# hostname hq-vpn-rtr

Bước 2: Cấu hình khóa ISAKMP và địa chỉ của router đầu xa. Giai đoạn 1 của quá trình trao đổi key (phase 1) sẽ thiết lập đối tác (peer) của kết nối VPN. Sau khi khóa được trao đổi xong, một kênh riêng (tunnel) sẽ được thiết lập.

Hq-vpn-rtr(config)# crypto isakmp key vnpro address 64.107.35.1

Bước 3: Cấu hình ISAKMP. Trong chính sách ISAKMP này, bạn sẽ cấu hình các kiểu kiểm tra đăng nhập (authentication), hash và các giá trị định nghĩa thời gian hiệu lực của các khóa (lifetimes value). Hầu hết các thông số trong ISAKMP này là có giá trị mặc định và ta chỉ cần cấu hình cho những thông số khác với giá trị mặc định.

Hq-vpn-rtr(config)# crypto isakmp policy 10
Hq-vpn-rtr(config-isakmp)# encryption 3des
Hq-vpn-rtr(config-isakmp)# authentication pre-share

Bước 4: cấu hình access-list để chỉ ra loại traffic nào sẽ được mã hóa:

Hq-vpn-rtr(config)# access-list 100 permit ip 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255

Bước 5: cấu hình transform-set. Trong bước này, bạn có thể chỉ ra các kiểu mã hóa và kiểu tổ hợp hash. Có nhiều chọn lựa cho các kiểu mã hóa của IPSec (DES, 3DES hoặc null); chọn lựa protocol (ESP, AH) và kiểu hash (SHA-1 hay MD5).

Hq-vpn-rtr(config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

Bước 6: Cấu h ình crypto-map:

Do ở bước trên, bạn có thể định nghĩa nhiều transform-set. Bước này sẽ chỉ ra tranform-set được dùng. Tên của crypto map trong trường hợp này la netcg.

Hq-vpn-rtr(config)# crypto map netcg 10 ipsec-isakmp
Hp-vpn-rtr(config-crypto-map)# set peer 64.107.35.1
Hp-vpn-rtr(config-crypto-map#set tranform-set vnpro
Hp-vpn-rtr(config-crypto-map# match address 100

Bước 7: cấu hình interface bên trong của router. Chú ý là nên cấu hình các interface descriptions.

Hq-vpn-rtr(config)# interface f0/1
Hq-vpn-rtr(config-if)# description Inside network
Hq-vpn-rtr(config-if)# ip address 10.1.1.1 255.255.255.0

Bước 8: cấu hình interface outside:

Hq-vpn-rtr(config)# interface s0/0
Hq-vpn-rtr(config-if)# description outside network
Hq-vpn-rtr(config-if)# ip addresss 134.50.10.1 255.255.255.252
Hq-vpn-rtr(config-if)# crypto map netcg

Cấu hình RemoteSite:

Router(config)#hostname site1-rtr-vpn
site1-rtr-vpn(config)# crypto isakmp key vnpro address 134.50.10.1
site1-rtr-vpn(config)# crypto isakmp policy 10
site1-rtr-vpn(config-isakmp)# encryption 3des
site1-rtr-vpn(config-isakmp)# authentication pre-share
site1-rtr-vpn(config)# access-list 100 permit ip 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
site1-rtr-vpn (config)# crypto ipsec tranform-set vnpro esp-3des esp-sha-hmac

site1-rtr-vpn (config)# crypto map netcg 10 ipsec-isakmp
site1-rtr-vpn (config-crypto-map)# set peer 134.50.10.1
site1-rtr-vpn (config-crypto-map)# set transform-set netcg
site1-rtr-vpn (config-crypto-map)# match address 100

site1-rtr-vpn (config)# interface F0/1
site1-rtr-vpn (config-if)# description inside network
site1-rtr-vpn (config-if)# ip address 172.16.1.1 255.255.255.0

site1-rtr-vpn (config)# interface s0/0
site1-rtr-vpn (config-if)# description outside network
site1-rtr-vpn (config-if)# ip address 64.107.35.1 255.255.255.252
site1-rtr-vpn (config-if)# crypto map netcg

Để kiểm tra kết nối VPN, bạn nên dùng phép thử ping mở rộng (extended ping)

Giới thiệu các trang web hỗ trợ học tập miễn phí tốt nhất!

 

Leave a Reply

Please log in using one of these methods to post your comment:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: