ĐỒ ÁN TRIỂN KHAI GIẢI PHÁP VPN TRÊN FIREWALL CISCO ASA

Luận Văn Group hỗ trợ viết luận văn thạc sĩ,chuyên đề,khóa luận tốt nghiệp, báo cáo thực
tập, Assignment, Essay
Zalo/Sdt 0967 538 624/ 0886 091 915 Website:lamluanvan.net
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
KHOA VIỄN THÔNG II
_____________
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
CHUYÊN NGÀNH: ĐIỆN TỬ - TRUYỀN THÔNG
HỆ ĐẠI HỌC CHÍNH QUY
NIÊN KHÓA: 2013-2018
Đề tài:
TRIỂN KHAI GIẢI PHÁP VPN TRÊN FIREWALL
CISCO ASA
Mã số đề tài: 17 N13DCVT045
Sinh viên thực hiện: NGUYỄN THANH TÀI
MSSV: N13DCVT045
Lớp: D13CQVT01-N
Giáo viên hướng dẫn: TRẦN ĐÌNH THUẦN
12/2017
TP.HCM – 2017

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
KHOA VIỄN THÔNG II
_____________
ĐỒ ÁN
TỐT NGHIỆP ĐẠI HỌC
CHUYÊN NGÀNH: ĐIỆN TỬ - TRUYỀN THÔNG
HỆ ĐẠI HỌC CHÍNH QUY
NIÊN KHÓA: 2013-2018
Đề tài:
TRIỂN KHAI GIẢI PHÁP VPN TRÊN FIREWALL
CISCO ASA
Mã số đề tài: 17 N13DCVT045
NỘI DUNG:
- CHƯƠNG I: TỔNG QUAN VỀ VPN VÀ CÁC GIAO THỨC BẢO MẬT TRONG
VPN
- CHƯƠNG II: TỔNG QUAN VỀ FIREWALL
- CHƯƠNG III: TRIỂN KHAI VPN TRÊN FIREWALL CISCO ASA 5520
VÀ DEMO KẾT QUẢ
Sinh viên thực hiện: NGUYỄN THANH TÀI
MSSV: N13DCVT045
Lớp: D13CQVT01-N
Giáo viên hướng dẫn: TRẦN ĐÌNH THUẦN

MỤC LỤC
LỜI MỞ ĐẦU ...................................................................................................... 1
CHƯƠNG I: TỔNG QUAN VỀ VPN VÀ CÁC GIAO THỨC BẢO MẬT
TRONG VPN ....................................................................................................... 2
1.1. Tổng quan về VPN ......................................................................................... 2
1.1.1. Định nghĩa về VPN.................................................................................. 2
1.1.2. Tìm hiểu về “đường hầm” và “mã hóa/giải mã” ..................................... 3
1.1.3. Tính năng của VPN ................................................................................. 3
1.1.4. Đặc điểm của VPN .................................................................................. 3
1.1.5. Phân loại VPN ......................................................................................... 4
1.1.5.1. Remote Access VPN ............................................................................ 4
1.1.5.2. Site to Site VPN ................................................................................... 5
1.2. Các giao thức tiêu biểu được sử dụng trong VPN.......................................... 6
1.2.1. Giao thức PPTP (Point-to-Point Tunneling Protocol) ............................. 6
1.2.2. Giao thức L2TP (Layer 2 Tunneling Protocol) ....................................... 7
1.2.3. Giao thức IPSec ..................................................................................... 10
1.2.3.1. Tổng quan về IPSec ........................................................................... 10
1.2.3.2. Các thuật toán bảo mật được sử dụng trong IPSec ............................ 10
1.2.3.3. Giao thức trao đổi khóa Internet Key Exchange (IKE)...................... 16
1.2.3.4. Giao thức bảo mật Authentication Header (AH) ............................... 16
1.2.3.5. Giao thức bảo mật Encapsulaton Secutity Payload (ESP) ................. 17
1.2.3.6. Các chế độ hoạt động của IPSec ........................................................ 18
1.2.3.7. Quá trình hoạt động của IPSec........................................................... 19
CHƯƠNG II: TỔNG QUAN VỀ FIREWALL .............................................. 21
2.1. Giới thiệu về Firewall................................................................................... 21
2.2. Các phân vùng trong Firewall ...................................................................... 21
2.3. Phân loại Firewall......................................................................................... 23
2.3.1. Firewall cứng ......................................................................................... 23
2.3.2. Firewall mềm......................................................................................... 24
2.4. Các dạng Firewall......................................................................................... 24
2.4.1. Firewall lọc gói tin tĩnh (Static Packet Filtering Firewall).................... 24
i

2.4.2. Firewall lớp ứng dụng (Proxy Firewall)............................................................. 25
2.4.3. Firewall kiểm tra trạng thái (Stateful Packet Inspection Firewall)......... 27
2.4.4. Firewall thế hệ mới (Next-Generation Firewall-NGFW) ........................... 28
CHƯƠNG III: TRIỂN KHAI VPN TRÊN FIREWALL CISCO ASA 5520
VÀ DEMO KẾT QUẢ.......................................................................................................................29
3.1. Mô hình triển khai................................................................................................................. 29
3.2. Vấn đề được đặt ra................................................................................................................ 30
3.3. Cách giải quyết vấn đề........................................................................................................ 30
3.3.1. Cấu hình địa chỉ IP cho các thiết bị...................................................................... 31
3.3.2. Triển khai IPSec VPN Site-to-Site........................................................................ 32
3.3.3. Triển khai IPSec VPN Client-to-Site................................................................... 35
3.3.4. Cấu hình NAT các dịch vụ....................................................................................... 37
3.3.5. Cấu hình đường dự phòng ........................................................................................ 39
KẾT LUẬN................................................................................................................................................40
PHỤ LỤC
DANH MỤC TỪ VIẾT TẮT
TÀI LIỆU THAM KHẢO
ii

MỤC LỤC HÌNH
Hình 1.1: Mô hình kết nối VPN .................................................................................................2
Hình 1.2: Cấu trúc gói tin điều khiển kết nối PPTP........................................................6
Hình 1.3: Cấu trúc dữ liệu đường hầm PPTP.....................................................................7
Hình 1.4: Cấu trúc bản tin điều khiển L2TP.......................................................................8
Hình 1.5: Cấu trúc dữ liệu đường hầm L2TP.....................................................................8
Hình 1.6: Quá trình thực hiện kết nối L2TP........................................................................9
Hình 1.7: Khung giao thức IPSec...........................................................................................10
Hình 1.8: Cơ chế mã hóa đối xứng........................................................................................11
Hình 1.9: Các chế độ hoạt động của thuật toán DES..................................................12
Hình 1.10: Nguyên lý hoạt động của 3DES........................................................................12
Hình 1.11: Cách thức hoạt động của mã hóa bất đối xứng ........................................13
Hình 1.12: Ví dụ về cơ chế hoạt động của HMAC.........................................................14
Hình 1.13: Cơ chế hoạt động RSA Signature.....................................................................15
Hình 1.14: Cấu trúc gói tin được bảo mật bằng giao thức AH ................................17
Hình 1.15: Cấu trúc AH Header.................................................................................................17
Hình 1.16: Cấu trúc gói tin bảo mật bằng giao thức ESP ...........................................17
Hình 1.17: Cấu trúc bản tin trong chế độ Tunnel và Transport...............................19
Hình 2.1: Các phân vùng trên Firewall ...............................................................................22
Hình 2.2: Phân chia các vùng theo vật lý...........................................................................23
Hình 2.3: Phân chia các vùng theo luận lý........................................................................23
Hình 2.4: Firewall lọc gói tin tĩnh..........................................................................................25
Hình 2.5: Các bước hoạt động của Firewall lớp ứng dụng......................................26
Hình 3.1: Sơ đồ triển khai VPN trên Firewall Cisco ASA......................................29
Hình 3.2: Sơ đồ Demo VPN trên Firewall Cisco ASA bằng GNS3..................29
Hình 3.3: Quy hoạch địa chỉ cho các vùng mạng..........................................................30
iii

LỜI MỞ ĐẦU
LỜI MỞ ĐẦU
Thế giới đang trong giai đoạn bước vào “Cuộc cách mạng công nghiệp 4.0”, bản
chất cuộc cách mạng công nghiệp lần này dựa trên nền tảng tự động hóa, tích hợp các
công nghệ tiên tiến nhằm tối ưu cho việc sản xuất thông minh và hỗ trợ đời sống hàng
ngày, ba trụ cột chính trong cuộc cách mạng này là Kỹ thuật số, Công nghệ sinh học,
Vật lý. Xu hướng trong cuộc cách mạng công nghiệp 4.0 đó là kết nối với các hệ thống
thực tại ảo, Interenet of Things. Việc kết nối mọi thiết bị thông qua môi trường mạng
đặt ra một thách thức lớn cho các quốc gia trước tình hình phức tạp của an ninh mạng
hiện nay. Hiện tại có rất nhiều cách đảm bảo an toàn thông tin, nhưng cách thức phổ
biến và hiệu quả nhất là sử dụng Firewall dùng để phòng chống các cuộc tấn công và
kiểm soát lưu lương trao đổi qua nó. Bên cạnh đó, Firewall sử dụng chung với một số
giao thức bảo mật giúp nó có khả năng thiết lập kết nối an toàn thông qua môi trường
Internet phức tạp đó là VPN. VPN gần như đã trở thành một thuật ngữ rất quen thuộc
với mọi người hiện nay ngay cả đối với những người ít có kinh nghiệm về kỹ thuật
này, việc tạo kết nối VPN đối với họ giờ đây có thể thực hiện dễ dàng ngay cả trên một
chiếc Smartphone. Tuy nhiên, cách thức tạo kết nối bảo mật trong VPN thì không phải
ai cũng hiểu rõ về nó. Dựa trên cơ sở này, em quyết định chọn đề tài “Triển khai giải
pháp VPN trên Firewall Cisco ASA” nhằm có được cái nhìn cụ thể về cách cấu hình
một thiết bị Firewall, Router nói chung và ASA nói riêng. Đề tài được chia làm 3
chương bao gồm:
Chương I: Tổng quan về VPN và các giao thức bảo mật trong VPN
Chương II: Tổng quan về Firewall
Chương III: Triển khai VPN trên Firewall Cisco ASA 5520 và demo kết quả
Em xin cám ơn thầy cô của Học viện Công nghệ Bưu chính Viễn thông đã tạo điều
kiện cho em trong suốt quá trình học tập tại học viện cơ sở. Em xin gửi lời cám ơn
chân thành và sâu sắc nhất đến thầy Trần Đình Thuần đã trực tiếp tận tình hướng
dẫn, góp ý cho em trong suốt thời gian thực hiện bài đồ án tốt nghiệp này. Bài đồ án
này còn nhiều điểm thiếu sót, kính mong quý thầy cô góp ý để giúp em hoàn thiện tốt
hơn trong tương lai. Em xin chân thành cám ơn.
Tp. Hồ Chí Minh, tháng 12 năm
2017
Sinh viên thực hiện

Nguyễn Thanh Tài
SVTH: NGUYỄN THANH TÀI LỚP: D13CQVT01-N Trang 1

CHƯƠNG I: TỔNG QUAN VỀ VPN VÀ CÁC GIAO THỨC BẢO MẬT TRONG VPN
CHƯƠNG I: TỔNG QUAN VỀ VPN VÀ CÁC GIAO THỨC BẢO MẬT
TRONG VPN
1.1.Tổng quan về VPN
Internet với vai trò là nền tảng cơ sở để phát triển một nền công nghiệp mới hết
sức tiềm năng, đó là nền công nghiệp IoT - Internet of Things, mọi thiết bị sẽ kết nối
và được quản lý thông qua Internet do đó vấn đề đảm bảo an toàn thông tin mạng hiện
nay được đặt lên hàng đầu. Tuy nhiên, do Internet có phạm vi mang tính toàn cầu và
không thể quản lý hoàn toàn vì vậy rất khó khăn trong việc đảm bảo an toàn dữ liệu
khi truyền qua môi trường Internet. Một giải pháp đã được đưa ra nhằm đáp ứng yêu
cầu cấp thiết này đó là mô hình mạng riêng ảo (VPN-Virtual Private Network).
1.1.1. Định nghĩa về VPN
Mạng riêng ảo VPN là việc mở rộng một mạng riêng (Private Network) trên cơ sở
mạng Internet nhưng vẫn đảm bảo việc dữ liệu vẫn được an toàn, việc này giúp mở
rộng phạm vi của các mạng riêng mà không bị hạn chế về mặt địa lý. Việc sử dụng
một đường kết nối vật lý thật đắt đỏ như đường Leased line không còn, mỗi VPN sử
dụng một đường kết nối ảo đến các văn phòng chi nhánh khác hoặc từ các người dùng
di động từ xa kết nối về trụ sở văn phòng.
Hình 1.1: Mô hình kết nối VPN

1.1.2. Tìm hiểu về “đường hầm” và “mã hóa/giải mã”
Đường hầm: Là một khái niệm trong VPN, nó cung cấp một kết nối có tính chất ảo
điểm-điểm giữa người gửi và nhận thông qua mạng trung gian là Internet, một số thuật
toán mã hóa, hàm băm và các bước xác thực giúp dữ liệu an toàn khi qua đường hầm.
Mã hóa/giải mã: Nhằm đảm bảo dữ liệu chỉ có thể được đọc bởi người có quyền,
dữ liệu được truyền đi cần thiết phải được mã hóa. Các cơ chế mã hóa sẽ giúp biến đổi
dữ liệu từ dạng có thể đọc được sang một dạng vô nghĩa. Giải mã là cách nhằm khôi
phục dữ liệu vô nghĩa này trở lại thành dạng có thể đọc được. Trong VPN, song song
với việc mã hóa còn sử dụng cùng với các cơ chế hàm băm để chứng thực bản tin.
1.1.3. Tính năng của VPN
VPN kết hợp với các giao thức bảo mật cung cấp cho ta 3 tính năng chính đó là:
➢Tính bảo mật (Confidentiality): Việc sử dụng thuật toán mã hóa ở phía gửi và giải
mã ở phía thu giúp cho việc bảo mật của dữ liệu được đảm bảo
➢Tính toàn vẹn (Integrity): Đảm bảo dữ liệu không bị thay đổi hoặc xảy ra lỗi làm
ảnh hưởng đến cấu trúc dữ liệu trong quá trình truyền dẫn qua mạng Internet.
Trong VPN thường dùng các hàm băm để xác minh tính toàn vẹn của dữ liệu
➢Tính xác thực (Authentication): Cần xác thực đối tác trước khi truyền dữ liệu để
xác nhận được nguồn gửi dữ liệu, nó góp phần bảo vệ khỏi các cuộc tấn công dựa
trên việc giả mạo địa chỉ của phía gửi
Bên cạnh đó VPN còn cung cấp một số tính năng khác như:
➢Chống trùng lặp: Cho phép phát hiện và loại bỏ các gói tin bị lặp lại giúp ngăn
ngừa các hành động giả mạo
➢Cung cấp cơ chế AAA: Được sử dụng cho việc xác thực các kết nối VPN truy
nhập từ xa, tài khoản sẽ được xác thực ở một server hoặc chính thiết bị thực hiện
kết nối VPN ở trụ sở
1.1.4. Đặc điểm của VPN
Ưu điểm:
VPN mang lại rất nhiều lợi ích cho người sử dụng như:
➢Đảm bảo tính bảo mật, toàn vẹn, xác thực của dữ liệu do chúng sẽ được đóng gói
bằng các header khác nhau và được mã hóa bằng các thuật toán

➢Tiết kiệm chi phí triển khai, không có giá quá cao như một kênh truyền Leased
Line hoặc đường truyền Metro Ethernet để kết nối với các trụ sở. Tiết kiệm chi phí
cho các thiết bị bảo mật chuyên dụng
➢VPN giờ đây dễ dàng triển khai và sử dụng thông qua giao diện người dùng
➢Có thể vượt rào cản IP đối với một số trang web, quốc gia thông qua VPN
➢Có tính năng mở rộng kết nối mạng từ trụ sở chính đến các chi nhánh đặt xa nhau
hoặc đặt ở các quốc gia khác nhau mà không gặp rào cản về khoảng cách địa lí,
sẵn sàng kết nối các mạng riêng lại với nhau thông qua Internet
Nhược điểm:
➢Việc tăng cường bảo mật đồng nghĩa giá thành dịch vụ tăng (đối với remote VPN)
➢Việc sử dụng các thuật toán mã hóa phức tạp làm gia tăng kích thước dữ liệu nên
ảnh hưởng băng thông sử dụng cho kết nối VPN, do đó ảnh hưởng đến các kết nối
khác dùng chung đường truyền
➢Cần thiết phải có các chuyên viên kỹ thuật xử lý khi có sự cố xảy ra và thiết lập
các chính sách riêng cho đường kết nối VPN
1.1.5. Phân loại VPN
VPN được gọi chung cho các loại kênh truyền ảo nhưng tùy thuộc vào mô hình kết
nối, mục đích sử dụng mà chúng có tên gọi khác nhau. Hiện tại VPN có thể được chia
làm 2 loại chính đó là:
➢Remote Access VPN
➢Site to Site VPN (LAN to LAN VPN)
1.1.5.1. Remote Access VPN
Remote Access VPN hay còn được gọi là mạng quay số ảo (VPDN- Virtual
Private Dial-up Network), nó là một kết nối xuất phát từ người dùng bên ngoài đến
mạng nội bộ bên trong thông qua môi trường Internet. Khi một người dùng muốn kết
nối VPN từ một vị trí cách xa để xử dụng tài nguyên của máy chủ, nó và máy chủ
VPN phải tiến hành xác thực lẫn nhau trước khi tiến hành truyền dẫn dữ liệu.
Khi một doanh nghiệp muốn triển khai Remote Access VPN trong mạng nội bộ
với số lượng người dùng lớn và trên một quy mô rộng, cần phải thiết lập một NAS
(Network Access Server) để quản lý người truy nhập ở đầu cuối. Khi thông qua môi
trường Internet việc khởi tạo kết nối ban đầu với ISP thay vì máy chủ quản lý truy

nhập (NAS). Sau đó, quá trình xác thực được diễn ra giữa máy chủ VPN và người
dùng.
Ưu điểm:
➢Nổi bật nhất đó là tính tiện dụng và có thể kết nối về trụ sở mọi nơi có Internet
➢Số lượng kết nối rất lớn và có thể mở rộng mà không tốn chi phí triển khai thêm
thiết bị
➢Quá trình cấu hình kết nối tất cả đều được ISP hoặc nhà cung cấp dịch vụ thứ 3
tiến hành, người dùng không cần thiết phải am hiểu về Remote Access VPN
Nhược điểm:
➢Vì là một kết nối động nên khi truy nhập VPN bằng đường truyền mạng không an
toàn vẫn có khả năng rò rỉ dữ liệu
➢Chưa có khả năng quản lý các dịch vụ trên đường truyền
➢Do là các kết nối từ xa nên băng thông được cấp cho mỗi kết nối sẽ thấp, nhưng độ
phức tạp của các thuật toán mã hóa nên việc truyền các gói dữ liệu có kích thước
lớn qua kết nối này sẽ rất chậm
1.1.5.2. Site to Site VPN
Site to Site VPN hay còn được gọi là LAN to LAN VPN thường được sử dụng
trong các doanh nghiệp, thường dùng để kết nối các chi nhánh về trụ sở chính hoặc
giữa các chi nhánh. Tùy theo chính sách quản lý và người dùng đầu cuối mà ta có thể
phân Site to Site VPN thành Intranet VPN và Extranet VPN.
Ưu điểm:
➢Có khả năng mở rộng cao và linh hoạt do là một kết nối ngang hàng sẵn sàng kết
nối các mạng riêng lại với nhau
➢Chi phí rẻ do có triển khai trên đường truyền Internet thay vì các đường Leased
Line giữa các trụ sở, loại bỏ vấn đề về rào cản địa lý trong hệ thống
➢Đảm bảo 3 tiêu chí về an toàn dữ liệu (Bảo mật, toàn vẹn, xác thực)
Nhược điểm:
➢Cần hỗ trợ từ bộ phận kỹ thuật để các thông số VPN giống nhau ở các đầu kết nối
➢Chưa có cơ chế bảo vệ đường hầm khỏi các cuộc tấn công mạng
➢Phụ thuộc vào chất lượng Internet giữa 2 đầu kết nối
➢Việc dữ liệu trong đường hầm không thể kiểm soát bởi Firewall

1.2. Các giao thức tiêu biểu được sử dụng trong VPN
Có nhiều giao thức khác nhau được tạo ra nhằm tạo nên một kết nối VPN an toàn
và tối ưu, một số giao thức VPN phổ biến hiện này đó là:
➢L2F (Layer 2 Forwarding)
➢PPTP (Point-to-Point Tunneling Protocol)
➢L2TP (Layer 2 Tunneling Protocol)
➢GRE (Generic routing encapsulation)
➢SSL (Secure Sockets Layer)
➢IPSec (Internet Protocol Security)
1.2.1. Giao thức PPTP (Point-to-Point Tunneling Protocol)
Đây là một giao thức đường hầm khá cũ và phổ biến, được phát triển Microsoft
dựa trên giao thức PPP (Point to Point Protocol). PPTP dùng để tạo kết nối người dùng
từ xa (remote client), nó hoạt động ở lớp 2 trong mô hình OSI. Quá trình xác thực diễn
ra trong lúc tạo kết nối PPTP giữa máy khách và máy chủ và các giao thức sử dụng
tương tự như các giao thức dùng trong PPP
Ưu điểm của giao thức này là tốc độ nhanh hơn hẳn so với các giao thức VPN
khác, đáp ứng được yêu cầu của người dùng chú trọng về tốc độ truyền hơn là an toàn
về thông tin. Rất dễ dàng khi tiến hành triển khai và sử dụng. Nhược điểm nghiêm
trọng nhất của giao thức này đó là tính bảo mật, nó là một trong những giao thức VPN
kém bảo mật nhất. Không nên sử dụng giao thức này trừ khi là cách duy nhất. Muốn
khắc phục nhược điểm này cần kết hợp IPSec nhưng điều này sẽ làm giảm tốc độ của
kết nối này.
Máy khách PPTP sử dụng TCP port cấp phát động và server PPTP sử dụng TCP
port 1723. Kết nối này có chức năng truyền các bản tin điều khiển để duy trì kết nối
của đường hầm PPTP. PPTP truyền liên tục các bản tin PPTP Echo-Request, PPTP
Echo-Reply để phát hiện lỗi kết nối giữa máy khách PPTP và server. Bản tin điều
khiển bao gồm các phần: IP header, TCP header và thông tin điều khiển PPTP.
Data link
Header
IP TCP
PPTP
Control
Message
Data link
Trailer
Hình 1.2:Cấu trúc gói tin điều khiển kết nối PPTP

Nội dung cụ thể của bản tin điều khiển PPTP sẽ được mô tả trong RFC 2637. Sau
khi kết nối đã hình thành, dữ liệu sẽ được đóng gói nhiều cấp độ trước khi truyền qua
đường hầm.
Data
link
Header
IP
Header
GRE
Header
PPP
Header
Encrypted PPP
Payload (IP Datagram,
IPX Datagram,
NetBEUI Frame)
Data link
Trailer
Hình 1.3:Cấu trúc dữ liệu đường hầm PPTP
Quá trình đóng gói khung PPP và GRE: Phần tải tin của PPP sẽ được mã hóa và
đóng gói với PPP header để tạo thành khung PPP. Khung PPP sau đó được đóng gói
với GRE header. Phần tải tin là kết quả của việc đóng gói GRE và PPP, sau đó sẽ được
đóng gói với IP header chứa IP nguồn và đích thích hợp cho người dùng PPTP và
server.
Quá trình đóng gói lớp Data link: gói tin IP sẽ được đóng gói lần cuối với header
và trailer của tầng Data link của cổng vật lý ngõ ra. Ví dụ, khi gói tin IP được truyền
trên cổng Ethernet, gói tin IP sẽ được đóng gói với Ethernet header và Ethernet trailer.
1.2.2. Giao thức L2TP (Layer 2 Tunneling Protocol)
Microsoft và Cisco cùng nhau kết hợp hai giao thức PPTP và L2F để tạo thành
L2TP. L2TP mang tất cả các đặc tính nổi bật của hai giao thức này. L2TP sử dụng
UDP để điều khiển đường hầm và truyền dữ liệu, L2TP có thể sử dụng UDP port 1701
giống như L2F để truyền tải gói tin. L2TP không cung cấp khả năng mã hóa dữ liệu,
để có thể mã hóa dữ liệu thì cần kết hợp sử dụng với giao thức IPSec ESP. Cơ chế xác
thực trong quá trình tạo đường hầm L2TP giống cơ chế của kết nối PPP. Việc sử dụng
đường hầm L2TP giúp các thiết bị truy nhập từ xa có thể tạo một đường hầm ảo đến
mạng trong doanh nghiệp. NAS của ISP có chức năng vận chuyển các bản tin, các bản
tin nhận được từ người dùng từ xa sẽ được đóng gói trong bản tin L2TP và được
chuyển tiếp qua đường hầm.
Ưu điểm:
➢L2TP thừa hưởng tính năng của 2 giao thức PPTP và L2F về mặt tốc độ truyền tải
➢Tương thích với nhiều thiết bị, quá trình cài đặt triển khai dễ dàng
➢Hỗ trợ công nghệ Frame Relay, ATM giúp nó thông dụng hơn 2 giao thức trước
➢Đường hầm hỗ trợ nhiều kết nối cùng một lúc, cho phép nhiều người truy nhập

➢Bảo mật cao hơn do có khả năng kết hợp với giao thức IPSec
Nhược điểm:
➢Chậm hơn giao thức PPTP và L2F do sử dụng IPSec để mã hóa và đóng gói dữ
liệu
➢Có thể gặp vấn đề khi truyền tải qua Firewall do sử dụng UDP để truyền tải gói tin
➢Cơ bản giao thức này không cung cấp khả năng bảo vệ dữ liệu mà cần có giao
thức bảo mật khá đi kèm theo do đó sẽ ảnh hưởng tốc độ kết nối.
L2TP duy trì đường hầm và quản lý lưu lượng thông qua một kết nối UDP. IPSec
sẽ được sử dụng làm giao thức bảo mật cho đường hầm này.
Data IPSec IPSec
IPSec
Data
IP UDP L2TP ESP
link ESP ESP link
Header Header Message Auth
Header Header Trailer Trailer
Trailer
Hình 1.4:Cấu
Encrypted
trúc bản tin điều khiển L2TP
Phía trong bản tin điều khiển L2TP có một trường Next-Received tương tự như
trường TCP Acknowledgment, trường Next-Sent tương tự như trường TCP Sequence
Number được dùng để duy trì thứ tự của các bản tin điều khiển, các gói tin không đúng
thứ tự sẽ bị loại bỏ. L2TP hỗ trợ nhiều kết nối trên một đường hầm, Tunnel ID và Call
ID nằm trong bản tin điều khiển L2TP và L2TP header của dữ liệu đường hầm dùng để
xác định đường hầm và nhận dạng kết nối trong đường hầm đó.
Data IPSec IPSec
IPSec
Data
IP UDP L2TP PPP PPP ESP
link ESP ESP link
Header Header Header Header Payload Auth
Header Header Trailer Trailer
Trailer
Encrypted
Authenticated
Hình 1.5:Cấu trúc dữ liệu đường hầm L2TP
Dữ liệu đường hầm được đóng gói thông qua nhiều cấp độ:
➢Đóng gói L2TP: phần tải tin PPP được đóng gói với PPP Header và L2TP Header
➢Đóng gói UDP: gói tin L2TP đã được đóng gói tiếp tục được đóng gói với UDP
Header với cổng nguồn và cổng đích là 1701
➢Đóng gói IPSec: dựa trên các chính sách của IPSec, bản tin UDP được mã hóa và
đóng gói với IPSec ESP Header. IPSec ESP Trailer được thêm vào nhằm đạt được

kích thước gói tin yêu cầu trước khi tiến hành băm. Phần băm chính là IPSec
Authentication Trailer sẽ được đóng vào bên trong bản tin nhằm xác thực dữ liệu.
➢Đóng gói IP: Gói tin IPSec được đóng gới với IP Header chứa địa chỉ IP nguồn và
đích của máy người dùng và máy chủ
➢Đóng gói lớp Data link: quá trình đóng gói tại giai đoạn này tương tự như trong
giao thức PPTP, tùy theo môi trường vật lý gói tin sẽ được truyền dẫn mà phần
header và trailer được đóng gói sẽ có tính chất khác nhau.
Hình 1.6: Quá trình thực hiện kết nối L2TP
Quá trình thực hiện kết nối trong L2TP tương tự như L2F và trải qua các bước sau:
➢Người dùng từ xa khởi tạo một kết nối điểm-điểm đến ISP NAS. NAS chấp nhận
và việc trao đổi các gói tin LCP diễn ra.
➢Sau khi người dùng từ xa và NAS thỏa thuận về LCP, NAS tiến hành xác thực
người dùng bằng giao thức CHAP và PAP.
➢NAS và máy chủ đường hầm sẽ xác thực với nhau và trao đổi các bản tin điều
khiển về việc thiết lập đường hầm.
➢Khi đường hầm được tạo, phiên hoạt động sẽ được trao đổi giữa người dùng, NAS
và máy chủ
➢NAS quảng bá thông tin về LCP và xác thực CHAP/PAP cho máy chủ đường hầm.
Nếu không đúng với thỏa thuận, kết nối sẽ bị ngắt và thông báo sẽ được gửi

➢Quá trình trao đổi các gói tin giữa người dùng và máy chủ đường hầm xảy ra như
thể không có sự can thiệt của thiết bị NAS trung gian.
1.2.3. Giao thức IPSec
1.2.3.1. Tổng quan về IPSec
IPSec là từ viết tắt của Internet Protocol Security. IPSec hoạt động tại tầng
Network Layer trong mô hình OSI, IPSec cũng có thể hoạt động tại tầng Transport do
có khả năng kiểm soát cổng dịch vụ. IPSec cung cấp một số tính năng như:
➢Bảo mật dữ liệu: sử dụng thuật toán mã hóa để bảo mật dữ liệu
➢Toàn vẹn dữ liệu: sử dụng các hàm băm để xác thực dữ liệu
➢Xác thực dữ liệu: Xác thực đối tác trước khi tiến hành kết nối bằng các giao thức
trao đổi khóa
➢Chống trùng lặp: Xác nhận gói tin nhận được là duy nhất và không xảy ra sự lặp
lại
Hình 1.7: Khung giao thức IPSec 1.2.3.2. Các thuật toán
bảo mật được sử dụng trong IPSec
Nhằm đảm bảo an toàn cho dữ liệu khi truyền qua đường kết nối VPN các thuật
toán mã hóa sẽ được áp dụng, các thuật toán này đều có tham gia vào trong các quá
trình thiết lập và trao đổi thông tin trong IPSec. Các thuật toán mã hóa được chia làm 2
loại là mã hóa đối xứng (Symmetric Encryption) và mã hối bất đối xứng (Asymmetric
Encryption).

a) Mã hóa dối xứng
Nhiệm vụ chính của thuật toán mã hóa đối xứng là biến đổi dữ liệu dưới dạng đọc
được thành dạng không thể đọc. Trong mã hóa đối xứng khóa dùng để mã hóa và giải
mã cùng chung một khóa bí mật, người gửi và người nhận chia sẻ khóa bí mật này với
nhau. Các thuật toán mã hóa đối xứng thường sử dụng là DES, 3DES và AES, chiều
dài các khóa từ 40 đến 256 bit.
Hình 1.8:Cơ chế mã hóa đối xứng
Các ưu điểm nổi bật của thuật toán này là:
➢Loại mã hóa này đơn giản dễ thực hiện, người dùng chỉ cần xác định loại thuật
toán và chia sẻ khóa bí mật còn lại chỉ cần tiến hành mã hóa và giải mã bản tin.
➢Vì thuật toán không quá phức tạp nên việc mã hóa và giải mã diễn ra nhanh hơn so
với mã hóa bất đối xứng.
➢Sử dụng ít tài nguyên để xử lý trong quá trình mã hóa và giải mã
➢Việc khóa bị bẻ gãy chỉ ảnh hưởng đến người gửi và người nhận sử dụng khóa đó
Nhược điểm chung của các thuật toán này:
➢Do quá đơn giản nên dễ dàng bị bẻ gãy bởi một số phương thức tấn công
➢Việc trao đổi khóa khi sử dụng mã hóa đối xứng không đảm bảo an toàn
Thuật toán DES là một thuật toán bảo mật tốt nhưng dễ bị tấn công bằng hình thức
vét cạn do độ dài khóa ngắn. DES dễ dàng triển khai và hoạt động, khóa trong DES có
độ dài 64 bit nhưng chỉ có 56 bit được sử dụng để mã hóa 64 bit dữ liệu, 8 bit còn lại
dùng để phát hiện lỗi sai trong quá trình mã hóa. Kỹ thuật DES-CBC là một trong các
phương pháp của thuật toán này. CBC (Cipher Block Chaining – chuỗi khối mã) yêu
cầu một Vec-tơ khởi tạo để bắt đầu mã hóa hoặc giải mã gói tin.

Hình 1.9: Các chế độ hoạt động của thuật toán DES
Bên cạnh đó còn có thuật toán khác là 3DES, 3DES được xây dựng dựa trên DES,
dữ liệu sẽ được trải qua 3 quá trình mã hóa xen lẫn giải mã. Thuật toán mã hóa 3DES
sử dụng 3 key khác nhau để mã hóa bản tin do đó nó tiêu tốn nhiều tài nguyên của máy
khi xử lý. Độ dài key trong 3DES là 192 bit nhưng thật sự chỉ có độ 168 bit hoặc 112
bit, do đó có tình bảo mật cao hơn DES nhưng tốc độ xử lý không thua kém nhiều so
với DES, 3DES được xem như một trong những thuật toán mã hóa được tin cậy nhất.
Kích thước gói tin sau khi mã hóa sẽ gấp 3 lần kích thước ban đầu.
Hình 1.10: Nguyên lý hoạt động của 3DES
Thuật toán sử dụng khối dữ liệu và key có độ dài thay đổi trong các thuật toán mã
hóa bất đối xứng là AES. AES sử dụng khóa có độ dài 128, 192 hoặc 256 bit để mã
hóa 128, 192 hoặc 256 bit khối dữ liệu. Sau 10 năm được ứng dụng thuật toán vẫn
chưa phát hiện bất kì lỗi bảo mật nào, độ dài khối dữ liệu và khóa có thể dễ dàng tăng
kích thước theo bội số 32 bit.

b) Mã hóa bất đối xứng
Mã hóa đối xứng hay còn gọi là mã hóa khóa công khai, loại mã hóa này có cơ chế
giúp phía nhận và gửi có thể mã hóa và giải mã mà không cần trao đổi khóa bí mật. Cơ
chế này là việc sử dụng cặp khóa có quan hệ với nhau là khóa công khai (public key)
và khóa bí mật (private key). Chiều dài khóa thường dài từ 512-4096 bit, đối với mã
hóa bất đối xứng, ta có thể sử dụng với nhiều cách thức tùy thuộc và mục đích người
dùng.
Hình 1.11: Cách thức hoạt động của mã hóa bất đối xứng
Mã hóa bất đối xứng hoạt động theo hai nguyên tắc chính:
➢Public Key (Mã hóa) + Private Key (Giải mã) = Bảo mật
➢Private Key (Mã hóa) + Public Key (Giải mã) = Xác thực
Khi dùng để mã hóa dữ liệu, khóa công khai của phía đối tác sẽ dùng để mã hóa
bản tin, chỉ có khóa bảo mật trong cùng cặp khóa mới có thể giải mã bản tin. Trong
việc xác thực nguồn gốc dữ liệu, phía gửi sẽ dùng chính khóa bảo mật của mình để mã
hóa bản tin, chỉ có khóa công khai đã chia sẻ mới có khả năng giải mã. Các đặc điểm
của mã hóa bất đối xứng bao gồm:
➢Giải quyết vấn đề an toàn khi chia sẻ khóa
➢Cung cấp thêm cơ chế xác thực và đảm bảo toàn vẹn bản tin
➢Cung cấp cơ chế không thể bác bỏ giúp chứng thực người gửi (chữ ký số)
➢Là thuật toán dùng để xác thực người dùng phổ biến nhất hiện nay
➢Tốn nhiều tài nguyên xử lý làm tốc độ xử lý chậm hơn so với mã hóa đối xứng
➢Cần xác thực khóa công khai có thuộc tổ chức đáng tin cậy

c) Các hàm băm
Hàm băm là hàm một chiều có ứng dụng xác thực tính toàn vẹn của bản tin. Các
hàm băm được sử dụng trong IPSec là MD5, SHA và nhằm nâng cao khả năng bảo
mật chúng được sử dụng chung với hàm băm mật mã HMAC.
HMAC được trình bày trong RFC 2104, HMAC hoạt động cùng với các hàm băm
hiện tại đó là MD5 và SHA. Quá trình trao đổi dữ liệu cần một khóa bí mật để mã hóa
phần bản tinh sau khi băm nhằm tăng cường tính bảo mật. Khóa bảo mật này đều được
người gửi và nhận biết, cơ chế này có thể tăng cường độ xác thực của bản tin cũng như
chống được kiểu tấn công Man-in-the-middle.
Hình 1.12: Ví dụ về cơ chế hoạt động của HMAC
Một bên sẽ tiến hành tạo mã xác thực bản tin là MAC (Message Authentication
Code) dựa trên dữ liệu gốc sau khi băm và sau đó dùng khóa bí mật đã trao đổi để mã
hóa phần MAC này sau đó đính kèm vào dữ liệu gốc. Khi bên nhận tiếp nhận bản tin
sẽ tiến hành tách phần dữ liệu ra khỏi MAC, tạo một bản tin xác thực MAC từ dữ liệu
gốc, phần MAC còn lại sẽ được giải mã bởi khóa và được so sánh với bản tin xác thực
vừa mới được tạo để kiểm tra.
MD5 là một hàm mã hóa một chiều theo chuẩn RFC 1321, thuật toán này dùng để
tạo ra một chuỗi 128 bit từ một chuỗi dữ liệu có độ dài bất kì. MD5 có nhiều lỗ hỏng
bảo mật nghiêm trọng. MD5 được cho là kém an toàn hơn so với SHA-1 nhưng nó
thực hiện đơn giản hơn, có thể khắc phục nhược điểm bảo mật này bằng cách sử dụng
cùng với hàm băm HMAC.

SHA được mô tả trong RFC 2404, SHA có 5 giải thuật đó là SHA-1 (trả lại bản tin
dài 160 bit), SHA-224 (trả lại bản tin dài 224 bit), SHA-256 (trả lại bản tin dài 256
bit), SHA-384 (trả lại bản tin dài 384 bit), SHA-512 (trả lại bản tin dài 512 bit). Bốn
thuật toán sau thường được gọi là SHA-2, SHA-1 được sử dụng rộng rải trong nhiều
giao thức trong đó có IPSec. SHA-1 được coi như giải thuật thay thế MD5, nhưng
SHA-1 không an toàn tuyệt đối do đó nó thường được dùng chung với HMAC.
d) Xác thực đối tác
Preshared key: là một phương thức xác thực đối tác ngang hàng, một khóa bí mật
sẽ được chia sẻ cho mỗi bên. Đây là một phương pháp đơn giản nhưng kém bảo mật
hơn so với giao thức xác thực đối tác còn lại.
RSA Signature (chữ ký số): Trước hết, RSA là một thuật toán mã hóa bất đối
xứng, độ dài key thường từ 512-2048 bit, dựa trên các thuật toán phức tạp nên tốc độ
xử lý rất chậm. RSA chậm hơn rất nhiều so với DES và thường dùng để làm giao thức
chứng thực đối tác. RSA Signature dùng khóa bí mật để mã hóa bản tin và giải mã bởi
chính khóa công khai của tổ chức đó cho nên đảm bảo an ninh hơn so với xác thực đối
tác bằng phương pháp Preshared key. Thông thường chữ ký số sẽ được quản lý bởi
một phía đối tác thứ 3 đáng tin cậy.
Hình 1.13: Cơ chế hoạt động RSA Signature
Cơ chế hoạt động RSA Signature theo các bước như bản tin gốc sẽ được băm ra
sau đó mã hóa với khóa bí mật (Private key) và đính kèm cùng với bản tin gốc sau đó
được truyền cho bên nhận. Tại bên nhận sẽ dùng khóa Public mà bên gửi đã trao đổi
trước đó để giải mã và so sánh với mẫu bản tin gốc được băm sau khi nhận. Nếu giống
nhau thì đối tác được xác thực.

1.2.3.3. Giao thức trao đổi khóa Internet Key Exchange (IKE)
IKE là giao thức thực hiện chức năng trao đổi khóa giữa các bên tham gia vào tiến
trình thiết lập VPN, đồng thời quản lý chính sách được trao đổi, IKE sử dụng UDP
port 500 để giao tiếp. Có 2 giao thức nhỏ được sử dụng trong IKE đó là ISAKMP và
Oakley. ISAKMP dùng để thiết lập thỏa thuận, chính sách được dùng, Oakley dùng
thuật toán trao đổi khóa Diffie-Hellman để trao đổi khóa xác thực đối tác qua môi
trường mạng không an toàn. Các thông tin được trao đổi gồm cách thức mã hóa, xác
thực, cách trao đổi khóa xác thực đối tác, thời gian làm mới khóa, thông tin chữ ký số,
thời gian duy trì kết nối. Tất cả các thông tin này gọi là thông số liên kết bảo mật
Security Associations (SA). Có 2 giai đoạn IKE trao đổi thông tin tương ứng với 2 loại
thông số liên kết bảo mật SA được trao đổi đó là ISAKMP SA (IKE SA) và IPSec SA.
Cấu trúc dữ liệu SA bao gồm 3 trường:
➢Security Parameter Index (SPI): chứa thông tin bộ giao thức được chọn để hoạt
động trong suốt quá trình kết nối. Phần này sẽ được đính kèm theo gói tin lúc trao
đổi dữ liệu diễn ra
➢Destination IP Address: Địa chỉ IP đích của liên kết, đây là địa chỉ IP của đối tác
➢Security Protocol: Loại giao thức bảo mật được sử dụng trong IPSec đó là ESP
hoặc AH hoặc có thể là cả hai
1.2.3.4. Giao thức bảo mật Authentication Header (AH)
Giao thức AH được mô tả trong RFC 1826 và RFC 2402. AH cung cấp khả năng
xác thực nguồn gốc dữ liệu, xác thực tính toàn vẹn của dữ liệu. AH cho phép xác thực
nội dung toàn bộ phần tải tin và một phần IP Header. AH không cung cấp tính năng
mã hóa bản tin do đó dữ liệu truyền đi ở dưới dạng đọc được và tốc độ xử lý cao hơn
so với giao thức cũng được sử dụng trong IPSec đó là ESP.
Cơ chế hoạt động của AH khá đơn giản, phần tải tin của dữ liệu, một phần IP
Header cần xác thực và có thể kèm theo một khóa đã chia sẻ được đi qua một hàm băm
một chiều, sản phẩm thu được là một đoạn chuỗi số dùng để hình thành một AH
Header và sẽ được chèn vào bên trong gói tin và truyền đi. Khi bên nhận tiến hành tách
các trường của dữ liệu, thực hiện tương tự quá trình băm như phía gửi, sản phẩm thu
được so sánh với dữ liệu trong trường AH nếu giống nhau thì gói tin sẽ được chấp
nhận.

IP Header AH Data
Hình 1.14: Cấu trúc gói tin được bảo mật bằng giao thức AH
Vị trí của trường AH nằm trong 2 chế độ hoạt động của IPSec khác nhau.
Next
Length
Security Parameters Sequence Authentication Data
Header Index (SPI) Number (Hash Checksum)
Hình 1.15: Cấu trúc AH Header
Các trường trong AH gồm có:
➢Next Header: Xác định giao thức truyền dẫn, xác định giao thức lớp trên được bảo
vệ, giá trị nằm trong dãy số IP protocol.
➢Length: Xác định chiều dài của AH Header
➢Security Parameters Index: Dùng để để xác định rõ liên kết bảo mật nào được sử
dụng trong quá trình liên kết.
➢Sequence Number: Cung cấp khả năng chống lặp lại cho các bản tin liên kết.
➢Authentication Data: Chứa giá trị kiểm tra tính toàn vẹn (Integrity Check Value-
ICV), giá trị này giúp xác thực độ toàn vẹn của dữ liệu. Tại phía nhận sẽ thực hiện
các hàm băm sau đó so sánh với giá trị này để xác nhận tính toàn vẹn của bản tin.
1.2.3.5. Giao thức bảo mật Encapsulaton Secutity Payload (ESP)
ESP được mô tả trong RFC 1827, RFC 2408 và RFC 4303. Giao thức này cung
cấp khả năng bảo mật cho dữ liệu, xác thực nguồn gốc dữ liệu cũng như tính toàn vẹn
và cuối cùng là khả năng chống lặp lại. Khi so sánh với AH, ESP vượt trội hơn về tính
bảo mật dữ liệu, có thể sử dụng ESP kết hợp cùng với AH. Tùy theo chế độ hoạt động
của ESP mà phần bản tin được mã hóa và xác thực có phần khác nhau.
IP ESP
Data
ESP ESP
Header Header Trailer Authentication
Hình 1.16: Cấu trúc gói tin bảo mật bằng giao thức ESP
Trong đó cấu trúc phần ESP Header, ESP Trailer và ESP Authentication gồm các
trường nhỏ sau:
➢ESP Header:
• Security Parameters Index (SPI): Thông số để phía nhận xác định loại liên kết bảo
mật nào được sử dụng truyền dẫn.

• Sequence Number: Cung cấp khả năng chống lặp lại cho các bản tin liên kết. Khi
tính năng chống lặp lại được khởi động, sự thỏa thuận về liên kết bảo mật mới sẽ
diễn ra trước khi con số này vượt giá trị cực đại.
➢ESP Trailer:
• Padding: Có giá trị từ 0 đến 255 byte được thêm vào nhằm đảm bảo gói tin được
mã hóa có đủ kích thước.
• Padding Length: Chỉ thị độ dài của trường Padding, trường này nhằm để phía thu
biết được độ dài Padding để loại bỏ sau khi đã giải mã gói tin
• Next Header: Xác định loại của tải tin như là UDP hay TCP
➢ESP Authentication: Chứa giá trị kiểm tra tính toàn vẹn (Integrity Check Value-
ICV), được biết đến như mã xác thực bản tin (MAC). Phía nhận tính toán lại giá trị
ICV và so sánh với giá trị ICV này, giá trị này được tính dựa trên các trường ESP
Header, Data, ESP Trailer.
1.2.3.6. Các chế độ hoạt động của IPSec
Trong chế độ Transport, đối với AH không tạo IP Header mới mà nó được chèn
nằm giữa phần Data và IP Header do đó nó mang tính chất xác thực cho phần Data.
Đối với ESP, các trường ESP Header, ESP Trailer và ESP Authentication lần lượt
được chèn vào trong quá trình băm và mã hóa cũng chỉ mang tính chất bảo mật cho
phần Data của dữ liệu. Lợi thế của chế độ này đó là kích thước của gói tin so với ban
đầu thay đổi ít hơn so với trong chế độ Tunnel.
Chế độ Tunnel khác với Transport ở chỗ toàn bộ gói dữ liệu bao gồm cả phần IP
Header sẽ được mã hóa và xác thực, do đó phần AH hoặc ESP Header sẽ đứng trước
phần dữ liệu gốc. Toàn bộ dữ liệu bao gồm cả phần IP Header sẽ được đóng trong một
gói tin khác, có một trường mới đó là New IP Header đó thường là IP của Gateway
Tunnel đầu gửi. Chế độ Tunnel được sử dụng cho VPN hai network hoặc giữa các
host. Kích thước gói tin lớn hơn so với trong chế độ Transport

Hình 1.17: Cấu trúc bản tin trong chế độ Tunnel và Transport
Trong quá trình xử lý, khi phía thu nhận được bản tin, nó sẽ tiến hành tách bỏ phần
New IP Header, giải mã phần dữ liệu nhận được, loại bỏ phần ESP Header và sử dụng
IP Header gốc để định tuyến bản tin đến người nhận cuối cùng.
1.2.3.7. Quá trình hoạt động của IPSec
IPSec hoạt động qua các quá trình sau:
Interesting traffic: Dựa vào access-list hoặc các chính sách nhằm lọc ra các lớp
mạng hoặc máy tính thỏa điều kiện để tham gia vào kết nối.
IKE Phase 1: Tiến hành trao đổi các chính sách nhằm thiết lập một kênh truyền
an toàn, có hai chế độ trong giai đoạn này đó là Main mode và Aggressive mode. Main
mode sử dụng 6 bản tin để thỏa thuận thông số, trong khi đó Aggressive mode chỉ sử
dụng 3 bản tin để trao đổi.
Thông tin chính được trao đổi trong quá trình này gồm:
➢Các thuật toán bảo mật tham gia vào quá trình tạo kết nối (mã hóa, băm)
➢Chứng thực đối tác bằng Preshare-key hoặc RSA Signature
➢Nhóm khóa Diffie-Hellman sử dụng
Tunnel được thiết lập trong giai đoạn này có tính chất 2 chiều. Các bản tin được
phát đi và nhận vào bởi cả hai phía và so sánh, bộ chính sách giống nhau sẽ được chọn
làm chuẩn giao tiếp giữa hai bên.
IKE Phase 2: Vì một đường kết nối an toàn đã được tạo trong giai đoạn 1 nên nội
dung bản tin trong giai đoạn 2 không còn tập trung ở việc tạo kết nối. Giai đoạn này
tiến hành trao đổi thông số bảo mật cho IPSec dể mã hóa dữ liệu, các thông tin trao đổi
trong giai đoạn này gồm giao thức băm, giao thức mã hóa để bảo vệ cho dữ liệu, chế
độ hoạt động của đường hầm (mặc định là ở chế độ Tunnel) và thời gian duy trì đường

hầm. Các thông số trong giai đoạn này được truyền qua Tunnel đã được bảo vệ bởi
việc trao đổi trong quá trình IKE Phase 1. Định kỳ thỏa thuận lại các thông số chính
sách bảo mật, thời gian trao đổi thỏa thuận lại các chính sách trong giai đoạn này diễn
ra thường xuyên hơn so với Phase 1 vì đảm bảo dữ liệu luôn luôn an toàn. Giai đoạn
này còn được gọi là Quick Mode và có 3 bản tin, Tunnel trong giai đoạn này có tính
chất 1 chiều.
Data transfer: Sau khi Tunnel ở Phase 2 đã được thiết lập, dữ liệu đã có thể được
truyền qua đường Tunnel này và được xử lý theo như các tham số IPSec đã thỏa thuận.
Bên cạnh việc truyền dữ liệu, giữa hai đối tác còn định kỳ trao đổi các bản tinh thông
qua Informational Mode. Chế độ này giúp các bên liên quan duy trì và thông báo các
lỗi kết nối.
Tunnel Termination: Các liên kết IPSec SA sẽ được kết thúc khi bị xóa bỏ hoặc
hết thời gian quy định giữa 2 bên. Nếu muốn tiếp tục truyền dữ liệu, quá trình trao đổi
các liên kết bảo mật lại tiếp tục được thực hiện nhằm tạo một liên kết mới, các khóa
bảo mật cũ sẽ không còn tác dụng với liên kết mới này.

CHƯƠNG II: TỔNG QUAN VỀ FIREWALL
2.1.Giới thiệu về Firewall
Các kỹ sư bảo mật phải bảo vệ các nguồn dữ liệu quan trọng trong doanh nghiệp,
do đó các máy tính cần có sự bảo vệ khỏi môi trường mạng bên ngoài. Để làm được
việc này mô hình mạng được chia thành vùng tin cậy và vùng không tin cậy, với cách
thức phổ biến và hiệu quả Firewall thường dùng để phân tách giữa các miền này.
Firewall nằm giữa vùng biên tin cậy và vùng không tin cậy của hệ thống mạng do đó
mọi lưu lượng khi di chuyển giữa hai vùng này bắt buộc phải đi qua Firewall. Firewall
có thể là một thiết bị phần cứng hoặc một phần mềm hoặc đó là một hệ thống.
Yêu cầu đối với mọi loại Firewall đó là bản thân nó miễn nhiễm với mọi cuộc tấn
công nếu không những người dùng phá hoại từ phía vùng không tin cậy sẽ chiềm lấy
quyền kiểm soát Firewall và thay thế các chính sách bảo mật gây nguy hiểm và ảnh
hưởng đến hệ thống. Cần phải xây dựng hệ thống bảo mật với nhiều lớp và kết hợp
nhiều Firewall cùng lúc, cho phép kiểm soát tốt hơn các dữ liệu trao đổi, cách ly được
vùng bị tấn công không cho các cuộc tấn công lây lan ra toàn bộ hệ thống.
Ưu điểm:
➢Hoạt động chính là lọc gói tin, không can thiệp vào cấu trúc dữ liệu
➢Bảo vệ khỏi việc để lộ người dùng và ứng dụng quan trọng, bảo vệ khỏi việc khai
thác các lỗ hỏng giao thức, các dữ liệu độc hại.
➢Nếu thiết kế phù hợp, việc thực hiện các chính sách trở nên đơn giản, có khả năng
mở rộng cao và khả năng bảo mật mạnh mẽ.
➢Firewall làm đơn giản hóa trong quản lý bảo mật bằng cách quản lý tập trung tại
một số điểm trong mạng thay vì phải quản lý tại nhiều điểm truy nhập như trước.
Nhược điểm:
➢Firewall không đủ phân loại hết tất cả thông tin và phân tích nội dung của bản tin.
➢Việc cấu hình sai các chính sách trong Firewall sẽ ảnh hưởng đến toàn bộ hệ thống
➢Một số ứng dụng mặc định không thể an toàn khi đi qua Firewall, Firewall chỉ có
thể bảo vệ và phân loại các lưu lượng trực tiếp qua nó và qua đường hầm bí mật
➢Firewall có thể gây ra hiện tượng tắc nghẽn vì mọi lưu lượng đều phải đi qua nó
2.2. Các phân vùng trong Firewall

Trong trường hợp người dùng trong vùng tin cậy muốn truy nhập ra Internet và
người dùng ngoài Internet có thể truy nhập được một số dịch vụ nhất định do công ty
cung cấp, cần phải phân cấp nhiều hơn là 2 vùng trên firewall. Web server thường đặt
tại phía trong vùng bảo mật, người dùng bên ngoài có thể chiếm lấy quyền truy nhập
vào toàn bộ vùng tin cậy phía trong. Giải pháp đặt ra là web server này sẽ được đặt
trong một vùng bảo mật riêng, vùng này nằm giữa vùng tin cậy và vùng không tin cậy
và thường được gọi là vùng phi quân sự (DMZ).
Hình 2.1: Các phân vùng trên Firewall
Trusted (Inside): Vùng này nằm trong vùng mạng nội bộ, nơi có người sử dụng và
dữ liệu quan trọng đối với công ty, vùng này có độ bảo mật cao nhất.
DMZ: Vùng chứa các server thường là các server Web, Mail, DNS…, đây là vùng
mà công ty muốn người dùng bên ngoài Internet có thể truy cập vào sử dụng mà không
gây ảnh hưởng đến bất kỳ cấu trúc hệ thống nào bên trong vùng Inside, sẽ có các chính
sách bảo mật đặc biệt được áp dụng lên vùng này. Vùng này có mức độ bảo mật nằm
giữa mức vùng Inside và Outside.
Untrusted (Outside): Vùng mạng nằm bên ngoài, vùng này có mức độ bảo mật
thấp nhất so với các vùng còn lại. Các host xuất phát từ vùng này mặc định sẽ bị cấm
tất cả các dịch vụ truy nhập vào 2 vùng còn lại, nếu muốn cần phải có các chính sách
nhất định cho phép để thông qua Firewall
Trên thực tế Firewall dùng để phân chia các vùng bảo mật theo hai cách: Phân chia
vật lý và phân chia luận lý.

Phân chia vật lý yêu cầu mỗi cổng của Firewall kết nối đến một lớp mạng riêng.
Việc phân chia dạng này yêu cầu nhiều phân cứng hơn và nhiều chi phí hơn. Nhưng
ngược lại việc phân chia này lại đem lài độ bảo mật cao hơn.
Hình 2.2: Phân chia các vùng theo vật lý
Firewall cũng có thể phân chia các vùng theo một cách luận lý. Trong trường hợp
này các vùng tồn tại trên cùng một thiết bị vật lý nhưng được phân chia luận lý bằng
các VLAN khác nhau. Việc phân chia này có phần kém bảo mật hơn, vì Firewall có
thể bị vượt qua bởi việc cấu hình sai hoặc bởi chính lỗ hỏng về việc phân chia luận lý
trên cổng của chính nó.
Hình 2.3: Phân chia các vùng theo luận lý
2.3. Phân loại Firewall
2.3.1. Firewall cứng
Là một thiết bị vật lý, Firewall cứng hoạt động theo cơ chế lọc gói tin để phân tích
các header nhằm xác định nguồn và đích của chúng. Các thông tin này sẽ được so sánh
với các chính sách đã thiết lập để đưa ra quyết định chuyển tiếp dữ liệu hay bỏ chúng.
Việc cập nhập một chính sách bảo mật mới sẽ ảnh hưởng đến toàn bộ hệ thống.
Các đặc điểm của Firewall cứng như:
➢Tốc độ xử lý nhanh, việc xử lý bằng phần cứng thích hợp với việc phản hồi nhanh
các thông tin do đó có thể quản lý nhiều dữ liệu hơn.

➢Mỗi Firewall có một hệ điều hành riêng do đó giảm được các nguy cơ về bảo mật,
thêm vào đó tăng độ an toàn và kiểm soát hệ thống.
➢Firewall cứng hoạt động ở lớp 3, 4 (Network, Transport) trong mô hình OSI do đó
không linh động trong việc lọc nội dung gói tin nhưng việc này đã được khắc phục
trong các loại Firewall thế hệ mới.
➢Chi phí triển khai thiết bị tốn kém hơn Firewall mềm, muốn có thêm tính năng cần
chi trả thêm các module kèm theo nhưng với vị trí mở rộng có giới hạn.
2.3.2. Firewall mềm
Loại Firewall này rất phổ biến, nó được thiết lập ngay trên các máy chủ hoặc máy
tính cá nhân, chúng theo dõi các yêu cầu kết nối và đưa ra quyết định. Firewall mềm
giúp bảo vệ máy tính khỏi các truy nhập bên ngoài nhằm đoạt quyền kiểm soát.
Firewall này còn có khả năng chống được các loại Trojan hoặc e-mail worm. Ngoài
Firewall mềm được cài đặt trên các hệ điều hành, ta có thể lựa chọn một số Firewall do
các nhà cung cấp với khả năng bảo mật cao hơn. Một số đặc điểm của Firewall mềm:
➢Firewall mềm cho phép người sử dụng toàn quyền thiết lập các lưu lượng đi qua
với giao diện thiết lập thân thiện với người sử dụng, là loại Firewall phổ biến nhất,
rẻ và rất dễ để cài đặt
➢Liên tục được các nhà cung cấp cập nhập đáp ứng các lỗ hỏng bảo mật mới
➢Hoạt động linh động, có thể can thiệp vào quá trình hoạt động từ lớp 3 trở lên
➢Firewall mềm chỉ có thể bảo vệ máy tính mà nó được cài đặt do đó cần phải cài
đặt trên tất cả các máy tính có trong mạng
➢Firewall mềm sử dụng tài nguyên chung của máy nên ít nhiều có ảnh hưởng đến
khả năng xử lý của máy tính. Tốc độ xử lý và phản hồi lại các cuộc tấn công chậm
hơn so với Firewall cứng
2.4. Các dạng Firewall
2.4.1. Firewall lọc gói tin tĩnh (Static Packet Filtering Firewall)
Loại Firewall này phân tích luồng dữ liệu dựa trên các header của gói tin, cho phép
loại bỏ hoặc cho phép các gói tin nhận được. Việc cho phép hay không hoàn toàn phụ
thuộc vào các chính sách người dùng cấu hình một cách thủ công. Các trường trong
gói tin được phân tích đó là địa chỉ IP nguồn, port nguồn, địa chỉ IP đích, port đích,
loại giao thức IP sử dụng.

Loại Firewall này hoạt động tại lớp 3 và lớp 4 trong mô hình OSI, nó tiến hành
phân tích và so sánh từng gói tin với các chính sách liệu có phù hợp và sau đó đưa ra
quyết định chuyển tiếp hay loại bỏ gói tin một cách độc lập. Tuy nhiên nó không kiểm
tra các trường của gói tin như sequences number, trường TCP ACK.
Hình 2.4: Firewall lọc gói tin tĩnh
Ưu điểm:
➢Là loại Firewall phổ biến, xuất hiện trên hầu hết các thiết bị; router, switch, các
loại Firewall mặc định trên hệ điều hành đều có sẵn Firewall dạng này
➢Hoạt động dựa trên các quy luật thiết lập đơn giản do đó ít ảnh hưởng đến hiệu
suất hệ thống do chỉ phân tích các header
➢Đáp ứng được yêu cầu mức độ bảo mật ở các lớp thấp trong mô hình OSI. Đảm
nhiệm hầu hết nhiệm vụ của các loại Firewall đầu cuối người dùng
Nhược điểm:
➢Không có khả năng chống lại các cuộc tấn công giả mạo IP do không kiểm tra
trường sequence number của gói tin
➢Không có khả năng lọc các nội dung gói tin mà chỉ dừng lại ở các header
➢Khá dễ dàng trong việc khai thác các lỗ hỏng trên Firewall
2.4.2. Firewall lớp ứng dụng (Proxy Firewall)
Firewall này hoạt động như một gateway hoặc cầu nối giữa máy khách và server.
Hoạt động tại tầng 3, 4, 5, 7 trong mô hình OSI. Máy khách sẽ gửi các yêu cầu của
tầng ứng dụng đến proxy thay vì địa chỉ của các server khác. Proxy server sẽ đóng vai
trò thay thế máy khách chuyển tiếp yêu cầu của máy khách đến một server thực thi.
Khi server trả lời các yêu cầu, Firewall sẽ phân tích nội dung và quyết định việc cần

làm. Sau khi kiểm tra, nếu Firewall quyết định cung cấp quyền truy nhập thì nó sẽ gửi
trả thông tin về cho máy khách. Để tăng tốc khả năng chuyển tiếp dữ liệu Firewall loại
này có khả năng ghi nhớ các thông tin đã chuyển đổi vào bộ nhớ cache.
Hình 2.5: Các bước hoạt động của Firewall lớp ứng dụng
Vì hoạt động với yêu cầu của các ứng dụng, nó có thể lọc luồng dữ liệu dựa trên
địa chỉ IP, loại ứng dụng yêu cầu, và nội dung các dữ liệu được trả về từ server.
Firewall tiến hành phân tích chi tiết và toàn diện kết nối giữa máy khách và server.
Luồng dữ liệu sẽ được xác nhận hợp lệ với các tiêu chuẩn được đặt ra từ lớp 3 đến lớp
7, và được chuẩn hóa phù hợp với các yêu cầu này.
Ưu điểm:
➢Cung cấp khả năng kiểm soát, phân tích và cảnh báo các loại giao thức mà nó hỗ
trợ
➢Khiến việc tấn công giả mạo và DoS khó thực hiện hơn vì bản tin hacker nhận
được không phải trực tiếp từ mục tiêu tấn công
➢Kiến trúc mạng bên trong hoàn toàn được bảo vệ vì Firewall không cho phép trao
đổi trực tiếp giữa vùng bên trong và bên ngoài
Nhược điểm:
➢Tiến hành xử lý các gói tin trên một phần mềm không phải phần cứng
➢Hỗ trợ một lượng nhỏ ứng dụng, và một số protocol nhất định. Các ứng dụng mới
sử dụng proxy cần phải được được thiết lập cho phép thông qua Firewall
➢Sử dụng nguồn tài nguyên của máy tính vì phải xử lý các yêu cầu của dịch vụ lớp
ứng dụng. Việc này có thể dẫn đến hiện tượng nghẽn mạng xảy ra tại Firewall
➢VPN có thể sẽ không hoạt động khi đi qua Proxy Firewall vì việc thay đổi địa chỉ
IP trong quá trình truyền tải

2.4.3. Firewall kiểm tra trạng thái (Stateful Packet Inspection Firewall)
Đây là dạng Firewall cho phép chủ động theo dõi trạng thái kết nối, loại Firewall
này thực hiện 2 việc chính:
➢Phân loại lưu lượng thông tin bằng cách kiểm tra port, giao thức được sử dụng
➢Theo dõi trạng thái lưu lượng bằng cách giám sát mọi hoạt động của các kết nối
cho đến khi kết nối đó được đóng
Loại Firewall này dần thay thế các loại Firewall thế hệ cũ, nó hoạt động từ lớp 3
đến lớp 7 trong mô hình OSI. Loại Firewall này kiểm soát cùng lúc nhiều gói tin vào
và ra thông qua nó. Việc này cho phép quản lý truy nhập vì chúng có khả năng cung
cấp hoặc từ chối truy cập không mong muốn dựa trên port và protocol, đồng thời lịch
sử gói tin được lưu trong bảng trạng thái. Khi nhận một gói tin, chúng sẽ tiến hành
kiểm tra bảng trạng thái để biết được kết nối này có được thiết lập chưa hay yêu cầu
này được thực hiện bởi các host nằm bên trong vùng của Firewall. Nếu không nằm
trong hai trường hợp này thì gói tin bắt buộc phải xét qua các chính sách bảo mật trước
khi đi vào vùng bên trong. Do đó Firewall không cần kiểm soát từng gói tin một mà
chỉ những gói tin không có trong bảng trạng thái, việc này giúp làm giảm được tài
nguyên sử dụng trong quá trình hoạt động. Các gói tin thường sẽ phải đi lên đến lớp
cao nhất trong mô hình OSI đó là Application trước khi có quyết định chuyển tiếp hay
loại bỏ gói tin.
Ưu điểm:
➢Là phòng tuyến đầu tiên trước khi muốn xâm nhập vào bên trong bên cạnh đó có
khả năng giúp tăng cường lọc gói tin, tăng khả năng kiểm soát hệ thống
➢Có khả năng chống lại các cuộc tấn công DoS vì nó có thể kiểm soát toàn bộ hoạt
động từ lớp 3 đến lớp 7
➢Cấu hình đơn giản và ít phụ thuộc vào hiểu biết của người dùng về các giao thức
Nhược điểm
➢Vì phải theo dõi nhiều gói tin cùng lúc nên yêu cầu nhiều tài nguyên hơn trong quá
trình xử lý
➢Vì quản lý cùng lúc nhiều lớp do đó sẽ gây khó khăn trong việc triển khai các kết
nối thỏa chính sách được đưa ra

➢Loại Firewall này gặp khó khăn trong việc quản lý các giao thức động như SIP và
H.323
2.4.4. Firewall thế hệ mới (Next-Generation Firewall-NGFW)
NGFW là loại Firewall thế hệ thứ 3 và được tích hợp nhiều chức năng của các
công nghệ Firewall trước đó như Firewall lớp ứng dụng, kiểm soát trạng thái, hệ thống
phát hiện xâm nhập (IPS). Một số tính năng mới như kiểm soát lưu lượng TLS/SSL
được mã hóa, lọc web, QoS, kiểm tra phòng chống virus, tích hợp cơ chế chứng thực
bên thứ 3 (LDAP, RADIUS, AD). Với các ứng dụng và các loại malware mới, những
Firewall thế hệ cũ chỉ thường dựa trên IP và cổng để ngăn chặn giờ đây không còn tác
dụng. NGFW được tạo ra nhằm đáp ứng sự phát triển của các ứng dụng cũng như các
loại malware này. Việc hoạt động từ lớp 3 đến lớp 7 mang lại sự bảo vệ toàn diện cho
người sử dụng.
Một số điểm chú ý của NGFW
➢Khả năng xác nhận danh tính, cho phép giới hạn và giám sát các truy nhập vào các
dữ liệu quan trọng. Với NGFW người quản lý sẽ có thể kiểm soát người dùng,
nhóm người dùng và dịch vụ hiệu quả
➢Kiểm soát, nhận dạng các ứng và cho người dùng biết được các ứng dụng đang
được sử dụng trong hệ thống mạng, bằng cách này ta có thể tăng cường các chính
sách bảo mật tại lớp ứng dụng mà không cần phụ thuộc vào cổng và loại giao thức
➢NGFW có tích hợp hệ thống chống xâm nhập (IPS), việc này đảm bảo an toàn cho
môi trường mạng bên trong bằng cách phân tích kiểm tra các gói tin đi qua

CHƯƠNG III: TRIỂN KHAI VPN TRÊN FIREWALL CISCO ASA 5520 VÀ
DEMO KẾT QUẢ
CHƯƠNG III: TRIỂN KHAI VPN TRÊN FIREWALL CISCO ASA 5520
VÀ DEMO KẾT QUẢ
3.1. Mô hình triển khai
Hình 3.1:Sơ đồ triển khai VPN trên Firewall Cisco ASA
Hình 3.2:Sơ đồ Demo VPN trên Firewall Cisco ASA bằng GNS3
Các PCA và PCB là các Router Cisco được dùng giải lập để kiểm tra ping giữa các
vùng. Host1, Host2, Web/FTP Server và Remote Client là các máy ảo VMWare được
kết nối vào trong bài lab GNS3 này.

DEMO KẾT QUẢ
3.2.Vấn đề được đặt ra
➢Cấu hình địa chỉ IP cho các thiết bị như trong hình và phân vùng bảo mật cho ASA
(Các switch chỉ có tác dụng đấu nối nhiều thiết bị vào cùng interface)
➢Triển khai IPSec VPN Site-to-Site để các máy tình trong vùng INSIDE có thể giao
tiếp với máy tính trong vùng BRANCH qua một kết nối bảo mật trên đường kết
nối đến ISP1
➢Triển khai IPSec VPN Client-to-Site để các máy Remote Client có thể giao tiếp
với vùng DMZ và vùng INSIDE
➢Cấu hình NAT một số dịch vụ trong vùng DMZ ra ngoài vùng OUTSIDE đảm bảo
các máy tính ngoài OUTSIDE có thể sử dụng dịch vụ này
➢Cấu hình để có một đường dự phòng thông qua ISP2 khi host ISP1 không khả
dụng
3.3. Cách giải quyết vấn đề
Phân vùng Địa chỉ lớp mạng
Mức độ
Ghi chú
bảo mật
Vùng đặt các máy nội bộ
Inside 192.168.190.0/24 100
của công ty có mức độ bảo
mật cao nhất cần được bảo
vệ
Vùng đặt các máy chủ dịch
DMZ 192.168.40.0/24 50
vụ mà công ty cần public ra
ngoài Internet, vùng độc lập
với Inside
1.1.1.0/24 Địa chỉ lớp mạng của các
2.2.2.0/24 ISP mà doanh nghiệp kết
3.3.3.0/24 nối
Địa chỉ IP thật của các
Outside
191.168.200.0/24
0
Remote Client khi kết nối
đến các ISP
Địa chỉ IP local của các
172.16.20.0/24 Romte Client sau khi kết
nối VPN đến công ty
172.16.10.0/24
Địa chỉ IP các chi nhánh
(Branch) của công ty
Hình 3.3: Quy hoạch địa chỉ cho các vùng mạng

DEMO KẾT QUẢ
3.3.1. Cấu hình địa chỉ IP cho các thiết bị
Cấu hình cơ bản ASA:
ASA(config)# interface g0
ASA(config-if)#no shutdown
ASA(config-if)#nameif inside
ASA(config-if)#ip address 192.168.190.100 255.255.255.0
ASA(config-if)#exit
ASA(config)#interface g1
ASA(config-if)#security-level 50
ASA(config-if)#nameif dmz
ASA(config-if)#exit
ASA(config-if)#nameif outside
ASA(config-if)#exit
ASA(config-if)#nameif backup
ASA(config-if)#exit
ASA(config)#route outside 0 0 1.1.1.2
Default-route trong trường hợp này chỉ dùng để kết nối thông qua ISP1 mà chưa
có khả năng dự phòng sang ISP2. Cấu hình dự phòng đường truyền thông qua ISP2 sẽ
được tiến hành trong phần sau và default-route này sẽ thay đổi sao cho tương ứng.
Cấu hình cơ bản ISP1:
ISP1(config)#interface g1/0
ISP1(config-if)#no shutdown

DEMO KẾT QUẢ
ISP1(config-if)#ip address 1.1.1.2 255.255.255.0
ISP1(config-if)#int g2/0
ISP1(config-if)#interface f0/1
Cấu hình cơ bản ISP2:
ISP2(config)#interface g2/0 ISP2(config-if)#no
shutdown ISP2(config-if)#ip address 2.2.2.2
255.255.255.0 ISP2(config)#interface g1/0
ISP2(config-if)#no shutdown ISP2(config-if)#ip
address 3.3.3.2 255.255.255.0 Cấu hình cơ bản
Branch:
Branch(config)#interface g1/0
Branch(config-if)#no shutdown
Branch(config-if)#ip address 3.3.3.3 255.255.255.0
Branch(config)#int g2/0
Branch(config-if)#no shutdown Branch(config-if)#ip
address 172.16.10.100 255.255.255.0 Branch(config-
if)#exit
Branch(config)#ip route 0.0.0.0 0.0.0.0 3.3.3.1 Default-route tại branch sẽ được
thay đổi khi ta cấu đường đự phòng trong phần
sau
3.3.2. Triển khai IPSec VPN Site-to-Site
Cấu hình trên ASA Firewall
Chính sách trong Phase 1 gồm có:
➢Authentication: pre-share key
➢Encryption: 3DES

DEMO KẾT QUẢ
➢Hash: MD5
➢Lifetime: 86400s
➢DH group: group 2
➢Key: cisco
Trong ASA Firewall 8.4(2) thì IPSec có thể cấu hình theo 2 loại đó là IKEv1 hoặc
IKEv2, trong bài demo này sẽ được sử dụng IKEv.
Cách cấu hình các chính sách cho IKE Phase 1 trên ASA:
ASA(config)#crypto ikev1 policy 1 ASA(config-
ikev1-policy)#encryption 3des ASA(config-ikev1-
policy)#hash md5 ASA(config-ikev1-policy)#
authentication pre-share ASA(config-ikev1-
policy)#group 2 ASA(config-ikev1-policy)#lifetime
86400 ASA(config-ikev1-policy)#exit
ASA(config)# tunnel-group 3.3.3.3 type ipsec-l2l
ASA(config)#tunnel-group 3.3.3.3 ipsec-attributes
ASA(config-tunnel-ipsec)#ikev1 pre-shared-key cisco
ASA(config)#exit
Việc cấu hình Tunnel group trong Phase 1 này có tác dụng chứng thực đối tác
ngang hàng (3.3.3.3 là địa chỉ IP của router Branch) trước khi trao đổi chính sách với
phương thức sử dụng trong bài đó là pre-shared-key cùng khóa sử dụng là cisco.
Cấu hình chính sách trong Phase 2:
ASA(config)#object network inside_network ASA(config-network-
object)#subnet 192.168.190.0 255.255.255.0 ASA(config-
network-object)#exit
ASA(config)#object network branch_network ASA(config-
network-object)#subnet 172.16.10.0 255.255.255.0
ASA(config-network-object)#exit
ASA(config)#access-list vpn_network permit ip object inside_network object
branch_network

DEMO KẾT QUẢ
ASA(config)#crypto ipsec ikev1 transform-set ESP-MD5-3DES esp-md5-hmac
esp-3des
Phía trên là cách cấu hình lọc traffic được quyền di chuyển qua kết nối VPN.
Trong trường hợp này chỉ có các traffic có nguồn từ lớp mạng trong vùng inside ASA
và đích là lớp mạng của Branch mới có quyền này. Đồng thời, ta quy định các chính
sách trao đổi trong Phase 2 dùng để bảo mật cho các traffic này. Chính sách trong
Phase 2 gồm:
➢Encryption: 3DES
➢Hash: MD5-HMAC
➢Protocol: ESP
➢Mode: Tunnel (Mặc định)
Cấu hình crypto map:
ASA(config)#crypto map inside_branch 1 match address vpn_network
ASA(config)#crypto map inside_branch 1 set peer 3.3.3.3 ASA(config)#crypto
map inside_branch 1 set ikev1 transform-set ESP-MD5-3DES ASA(config)#crypto
ikev1 enable outside
ASA(config)#crypto map inside_branch interface outside
Ta tiến hành tạo một crypto map để tổng hợp các chính sách bảo mật đã thỏa thuận
trong IKE Phase 1 và 2 sau đó tiến hành thêm các chính sách này vào cổng sẽ thực
hiện kết nối VPN.
Cấu hình trên Branch
Cấu hình IKE Phase 1 trên Branch:
Branch(config)#crypto isakmp enable
Branch(config)#crypto isakmp policy 1
Branch(config-isakmp)#encryption 3des
Branch(config-isakmp)#hash md5
Branch(config-isakmp)#authentication pre-share
Branch(config-isakmp)#group 2 Branch(config-
isakmp)#lifetime 86400 Branch(config-
isakmp)#exit

DEMO KẾT QUẢ
Branch(config)# crypto isakmp key cisco address 1.1.1.1
Các chính sách được cấu hình trong Phase 1 tương tự như ASA, key xác thực đối
tác trong trường hợp này cũng là cisco nhưng địa chỉ IP đối tác là ASA.
Phân loại traffic được phép và chính sách dùng trong Phase 2:
Branch(config)# ip access-list extended vpn_network Branch(config-ext-
nacl)#permit ip 172.16.10.0 0.0.0.255 192.168.190.0 0.0.0.255 Branch(config-
ext-nacl)#exit
Branch(config)#crypto ipsec transform-set ESP-MD5-3DES esp-md5-hmac esp-
3des
Tạo crypto map và gán vào cổng kết nối:
Branch(config)#crypto map branch_inside 1 ipsec-isakmp
Branch(config-crypto-map)#set peer 1.1.1.1
Branch(config-crypto-map)#set transform-set ESP-MD5-3DES
Branch(config-crypto-map)#match address vpn_network
Branch(config-crypto-map)#exit
Branch(config)#interface g1/0
Branch(config-if)#crypto map branch_inside
3.3.3. Triển khai IPSec VPN Client-to-Site
IPSec VPN Client-to-Site cũng trải qua 2 giai đoạn giống như Site-to-Site, bộ
chính sách có thể quy định trong các giai đoạn này có thể giống hoặc khác. Trong bài
demo này sẽ sử dụng lại các chính sách được dùng trong Site-to-Site để thực hiện hết
nối. Bộ chính sách này bao gồm:
➢Authentication: pre-share key
➢Encryption: 3DES
➢Hash: MD5
➢Lifetime: 86400s
➢DH group: group 2
➢Key: cisco

DEMO KẾT QUẢ
Đặc biệt đối với các Client sau khi kết nối VPN cần cấp IP local để có thể giao tiếp
với các máy tính nằm bên trong ASA do đó cần cấu hình pool client để cấp địa chỉ.
Hiệu chỉnh các chính sách khác trong Phase 1:
ASA(config)#ip local pool client_ip 172.16.20.1-172.16.20.100 mask
255.255.255.0
ASA(config)#group-policy client_vpn internal ASA(config)#group-
policy client_vpn attributes ASA(config-group-policy)#default-
domain value nguyenthanhtai.vpn ASA(config-group-
policy)#address-pools value client_ip ASA(config-group-
policy)#exit
ASA(config)#tunnel-group remote_vpn type remote-access
ASA(config)#tunnel-group remote_vpn general-attributes
ASA(config-tunnel-general)#default-group-policy client_vpn
ASA(config-tunnel-general)#exit
ASA(config)#tunnel-group remote_vn ipsec-attributes
ASA(config-tunnel-ipsec)#ikev1 pre-shared-key 0 cisco
ASA(config-tunnel-ipsec)#exit
ASA(config)#username tai password 123
Việc xác thực trải qua 2 giai đoạn, đầu tiên cần xác thực đối tác (peer) tạo Tunnel
này, thứ hai là xác thực người dùng tham gia vào kết nối này. Ta có thể dùng xác thực
qua AAA, LDAP hoặc Local, bài demo sử dụng xác thực Local do ASA đảm nhiệm.
Trong Phase 2 của bài cũng sử dụng lại bộ chính sách ESP-MD5-3DES, trong
Client-to-Site không thể xác định địa chỉ của Client do đó ta cần tạo một chính sách
động crypto dynamic-map để áp dụng các chính sách này lên kết nối.
Cấu hình Dynamic-map trên ASA cho Client:
ASA(config)#crypto dynamic-map dynamic_map 10 set ikev1 transform-set ESP-
MD5-3DES
ASA(config)#crypto map inside_branch 10 ipsec-isakmp dynamic dynamic_map

ĐỒ ÁN TRIỂN KHAI GIẢI PHÁP VPN TRÊN FIREWALL CISCO ASA

ĐỒ ÁN TRIỂN KHAI GIẢI PHÁP VPN TRÊN FIREWALL CISCO ASA

Recommended

Recommended

More Related Content

Similar to ĐỒ ÁN TRIỂN KHAI GIẢI PHÁP VPN TRÊN FIREWALL CISCO ASA

Similar to ĐỒ ÁN TRIỂN KHAI GIẢI PHÁP VPN TRÊN FIREWALL CISCO ASA (20)

More from lamluanvan.net Viết thuê luận văn

More from lamluanvan.net Viết thuê luận văn (20)

ĐỒ ÁN TRIỂN KHAI GIẢI PHÁP VPN TRÊN FIREWALL CISCO ASA