Vpn Qos trên router cisco

VPN , QoS trên Router Cisco
Chương I: Cấu Hình IPSEC/VPN Trên Thiết Bị Cisco
I. Tổng Quan Về VPN:
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hình cho đến
công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế để kết nối
nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng một cách tự do
và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đó đang dùng.
Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là router để kết
nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua nhà cung
cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức chung là TCP/IP. Điều
mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn
thông công cộng.
Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn
y tế, và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên, do Internet có phạm vi
toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn trong
việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ. Từ đó người ta
đã đưa ra một mô hình mạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận
dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo
(Virtual Private Network - VPN). Với mô hình mới này, người ta không phải đầu tư
thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo,
đồng thời có thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người
sử dụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối an
toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công
cộng.[5] Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các
đối tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều
trường hợp VPN cũng giống như WAN (Wide Area Network), tuy nhiên đặc tính quyết
định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm bảo tính
riêng tư và tiết kiệm hơn nhiều.
I.1. Định Nghĩa VPN:
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network)
thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng
một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ)
hay nhiều người sử dụng từ xa.
Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi
VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới
cá site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng
mà vẫn đảm bảo được tính an toàn và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu
trên đường truyền tạo ra ống bảo mật giữ nơi nhận và nơi gửi (Tunnel) giống như một kết
nối point-to-point trên mạng riêng.
SVTH: Nguyễn Đình Hiếu – Võ Quốc Toàn – Nguyễn Công Yên – Lớp 07N
1

Hình 1.1. Mỗi VPN có thể có một mạng LAN chung tại toà nhà trung tâm của một
công ty, các mạng Lan khác tại các văn phòng từ xa hay các nhân viên
làm việc tại nhà,... kết nối tới
I.2. Lợi ích của VPN:
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thống và những mạng
mạng leased-line.Những lợi ích đầu tiên bao gồm:
• Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi truyền tới 20-
40% so với những mạng thuộc mạng leased=line và giảm việc chi phí truy cập từ xa từ 60-
80%.
• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linh hoạt
và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển, bằng cách đó nó có
thể hoạt động kinh doanh nhanh chóng và chi phí một cách hiệu quả cho việc kết nối mở
rộng.
• Đơn giản hóa những gánh nặng.
• Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sử dụng
một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kết nối hướng những giao
thức như là Frame Rely và ATM.
• Tăng tình bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người
không có quyền truy cập và cho phép truy cập đối với những người dùng có quyền truy cập.
• Hỗ trợ các giao thức mạn thông dụng nhất hiện nay như TCP/IP
• Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã hóa do đó
các địa chỉ bên trọng mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài
Internet.
I.3. Các thành phần cần thiết để tạo kết nối VPN:
- User Authentication: cung cấp cơ chế chứng thực người dùng, chỉ cho phép người
dùng hợp lệ kết nối và truy cập hệ thống VPN.
2

- Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia
nhập hệ thống VPN để có thể truy cập tài nguyên mạng nội bộ.
- Data Encryption: cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm
bảo đảm tính riêng tư và toàn vẹn dữ liệu.
- Key Management: cung cấp giải pháp quản lý các khoá dùng cho quá trình mã
hoá và giải mã dữ liệu.
I.4. Các thành phần chính tạo nên VPN Cisco:
a. Cisco VPN Router: sử dụng phần mềm Cisco IOS, IPSec hỗ trợ cho việc bảo
mật trong VPN. VPN tốI ưu hóa các router như là đòn bẩy đang tồn tạI sự đầu tư của
Cisco. Hiệu quả nhất trong các mạng WAN hỗn hợp.
b. Cisco Secure PIX FIREWALL: đưa ra sự lựa chọn khác của cổng kết nốI VPN
khi bảo mật nhóm “riêng tư” trong VPN.
c. Cisco VPN Concentrator series: Đưa ra những tính năng mạnh trong việc
điều khiển truy cập từ xa và tương thích vớI dạng site-to-site VPN. Có giao diện quản lý
dễ sử dụng và một VPN client.
d. Cisco Secure VPN Client : VPN client cho phép bảo mật việc truy cập từ xa
tới Router Cisco và Pix Firewalls và nó là một chương trình chạy trên hệ điều hành
Window.
e. Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure
Scanner thường được sử dụng để giám sát và kiểm tra các vấn đề bảo mật trong VPN.
f. Cisco Secure Policy Manager and Cisco Works 2000 cung cấp việc quản lý
hệ thống VPN rộng lớn.
I.5. Các giao thức VPN:
Các giao thức để tạo nên cơ chế đường ống bảo mật cho VPN là L2TP, Cisco GRE
và IPSec.
a. L2TP:
- Trước khi xuất hiện chuẩn L2TP (tháng 8 năm 1999), Cisco sử dụng Layer 2
Forwarding (L2F) như là giao thức chuẩn để tạo kết nối VPN. L2TP ra đời sau với những
tính năng được tích hợp từ L2F.
- L2TP là dạng kết hợp của Cisco L2F và Mircosoft Point-to-Point Tunneling
Protocol (PPTP). Microsoft hỗ trợ chuẩn PPTP và L2TP trong các phiên bản
WindowNT và 2000.
- L2TP được sử dụng để tạo kết nối độc lập, đa giao thức cho mạng riêng ảo quay số
(Virtual Private Dail-up Network). L2TP cho phép người dùng có thể kết nối thông qua
các chính sách bảo mật của công ty (security policies) để tạo VPN hay VPDN như là sự
mở rộng của mạng nội bộ công ty.
-L2TP không cung cấp mã hóa.
- L2TP là sự kết hợp của PPP(giao thức Point-to-Point) với giao thức L2F(Layer 2
Forwarding) của Cisco do đó rất hiệu quả trong kết nối mạng dial, ADSL, và các mạng
truy cập từ xa khác. Giao thức mở rộng này sử dụng PPP để cho phép truy cập VPN bởi
những người sử dụng từ xa.
b. GRE:
- Đây là đa giao thức truyền thông đóng gói IP, CLNP và tất cả cá gói dữ liệu bên
trong đường ống IP (IP tunnel)
- Với GRE Tunnel, Cisco router sẽ đóng gói cho mỗi vị trí một giao thức đặc trưng
3

chỉ định trong gói IP header, tạo một đường kết nối ảo (virtual point-to-point) tới Cisco
router cần đến. Và khi gói dữ liệu đến đích IP header sẽ được mở ra
- Bằng việc kết nối nhiều mạng con với các giao thức khác nhau trong môi trường
có một giao thức chính. GRE tunneling cho phép các giao thức khác có thể thuận lợi trong
việc định tuyến cho gói IP.
c. IPSec:
- IPSec là sự lựa chọn cho việc bảo mật trên VPN. IPSec là một khung bao gồm bảo
mật dữ liệu (data confidentiality), tính tòan vẹn của dữ liệu (integrity) và việc chứng thực
dữ liệu.
- IPSec cung cấp dịch vụ bảo mật sử dụng KDE cho phép thỏa thuận các giao thức
và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và
chứng thực được sử dụng trong IPSec.
d. Point to Point Tunneling Protocol (PPTP):
- Được sử dụng trện các máy client chạy HĐH Microsoft for NT4.0 và Windows
95+. Giao thức này được sử dụng để mã hóa dữ liệu lưu thông trên LAN. Giống như giao
thức NETBEUI và IPX trong một packet gửI lên Internet. PPTP dựa trên chuẩn RSA RC4
và hỗ trợ bởI sự mã hóa 40-bit hoặc 128-bit.
- Nó không được phát triển trên dạng kết nốI LAN-to-LAN và giới hạn 255 kết nối
tớI 1 server chỉ có một đường hầm VPN trên một kết nối. Nó không cung cấp sự mã hóa
cho các công việc lớn nhưng nó dễ cài đặt và triển khai và là một giảI pháp truy cập từ xa
chỉ có thể làm được trên mạng MS. Giao thức này thì được dùng tốt trong Window 2000.
Layer 2 Tunneling Protocol thuộc về IPSec.
I.6. Thiết lập một kết nối VPN:
a. Máy VPN cần kết nối (VPN client) tạo kết nốt VPN (VPN Connection) tới máy
chủ cung cấp dịch vụ VPN (VPN Server) thông qua kết nối Internet.
b. Máy chủ cung cấp dịch vụ VPN trả lời kết nối tới
c. Máy chủ cung cấp dịch vụ VPN chứng thực cho kết nối và cấp phép cho kết nối
d. Bắt đầu trao đổi dữ liệu giữa máy cần kết nối VPN và mạng công ty
I.7. Các dạng kết nối VPN:
a. Remote Access VPNs :
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và
các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của
tổ chức.
Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN
để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản
chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong giải
pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo
lại các tunnel về mạng HO của họ.
Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN,
trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây.
Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless
(wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm
client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel.
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu
nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn
ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm:
qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User
4

Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]
…).
Một số thành phần chính :
- Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và
chứng nhận các yêu cầu gửi tới.
- Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở
khá xa so với trung tâm.
- Hổ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hổ trợ
truy cập từ xa bởi người dùng.
- Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi
nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc
ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông tin Remote Access
Setup được mô tả bởi hình vẽ sau :
Hình 1.2. Mô tả thông tin Remote Access Setup
Ngoài những thuận lợi, VPNs cũng tồn tại một số bất lợi khác như :
- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ.
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thễ
đi ra ngoài và bị thất thoát.
- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này
gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn
ra vô cùng chậm chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các
gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm
b. Site - To - Site (Lan - To - Lan):
- Site-to-site VPN(Lan-to-Lan VPN):được áp dụng để cài đặt mạng từ một vị trí
này kết nốI tớI mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc
chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có một kết
nối VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng vai trò như là một
gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác. Các
router và Firewall tương thích vớI VPN, và các bộ tập trung VPN chuyên dụng đều cung
5

cấp chức năng này.
- Lan-to-Lan VPN có thể được xem như là intranet VPN hoặc extranet VPN(xem
xét về mặt chính sách quản lý). Nếu chúng ta xem xét dướI góc độ chứng thực nó có thể
được xem như là một intranet VPN, ngược lạI chúng được xem như là một extranet
VPN. Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiển bởi cả hai
(intranet và extranet VPN) theo các site tương ứng của chúng. Giải pháp Site to site VPN
không là một remote access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của
nó.
- Sự phân biệt giữa remote access VPN và Lan to Lan VPN chỉ đơn thuần mang
tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận. Ví dụ như là
các thiết bị VPN dựa trên phần cứng mớI(Router cisco 3002 chẳng hạn) ở đây để phân loại
được, chúng ta phảI áp dụng cả hai cách, bởI vì harware-based client có thể xuất hiện nếu
một thiết bị đang truy cập vào mạng. Mặc dù một mạng có thể có nhiều thiết bị VPN đang
vận hành. Một ví dụ khác như là chế độ mở rộng của giảI pháp Ez VPN bằng cách dùng
router 806 và 17xx.
- Lan-to-Lan VPN là sự kết nốI hai mạng riêng lẻ thông qua một đường hầm bảo
mật. đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec,
mục đích của Lan-to-Lan VPN là kết nốI hai mạng không có đường nốI lạI vớI nhau,
không có việc thỏa hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu. bạn có thể thiết lập một
Lan-to-Lan VPN thông qua sự kết hợp của các thiết bị VPN Concentrators,
Routers, and Firewalls.
- Kết nối Lan-to-Lan được thiết kế để tạo một kết nốI mạng trực tiếp, hiệu quả bất
chấp khoảng cách vật lý giữa chúng. Có thể kết nốI này luân chuyển thông qua internet
hoặc một mạng không được tin cậy.Bạn phảI đảm bảo vấn đề bảo mật bằng cách sử dụng sự
mã hóa dữ liệu trên tất cả các gói dữ liệu đang luân chuyển giữa các mạng đó.
I.7.1. Intranet VPNs:
- Intranet VPNs được sữ dụng để kết nối đến các chi nhánh văn phòng của tổ chức
đến Corperate Intranet (backbone router) sử dụng campus router, xem hình bên dưới :
Hình 1.3. Thiết lập mạng nội bộ bằng cách sử dụng WAN.
- Theo mô hình bên trên sẽ rất tốn chi phí do phải sữ dụng 2 router để thiết lập được
mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất
6

tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của
toàn bộ mạng Intranet.
- Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các
kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển
khai mạng Intranet, xem hình bên dưới :
Hình 1.4. Các thiết lập mạng nội bộ dựa trên VPN
Những thuận lợi chính của Intranet setup dựa trên VPN
- Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô hình WAN
backbone
- Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu, các
trạm ở một số remote site khác nhau.
- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những
kết nối mới ngang hàng
- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại
bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực
hiện Intranet.
7

Những bất lợi chính kết hợp với cách giải quyết :
- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công
cộngInternet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-
service), vẫn còn là một mối đe doạ an toàn thông tin.
- Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao.
- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin
mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet.
- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và
QoS cũng không được đảm bảo.
I.7.2. Extranet VPNs:
- Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn
cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng
cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác
những người giữ vai trò quan trọng trong tổ chức.
Hình 1.5. Các thiết lập hệ thống Extranet
- Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên
Intranet kết hợp lại với nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và
quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì
và quản trị. Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn
bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng. Sẽ có những vấn
đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai
và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị
mạng.
Một số thuận lợi của Extranet :
8

- Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa
chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.- Bởi vì một phần
Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi
thuê nhân viên bảo trì.- Dễ dàng triển khai, quản lý và chỉnh sữa thông tin.
Một số bất lợi của Extranet :
- Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn
ra chậm chạp.
- Do dựa trên Internet, QoS(Quality of Service) cũng không được bảo đảm thường
xuyên.
II. Các đặc điểm của một mạng riêng ảo:
An ninh là trọng tâm của bất kỳ thiết kế VPN. VPNs có thể sử dụng kỹ thuật mã
hóa tiên tiến và đường hầm để thiết lập an toàn, end-to-end, các kết nối mạng riêng
trên mạng của bên thứ ba, chẳng hạn như Internet hay Extranet. Nền tảng của mạng
riêng ảo an toàn được dựa trên chứng thực, đóng gói, và mã hóa. Bằng cách thựchiện
tốt an ninh, triển khai thành công VPN đáp ứng được ba mục tiêu:
Tính xác thực: xác thực bảo đảm rằng một tin nhắn xuất phát từ một nguồn
đáng tin cậy và đi vào một điểm đến đáng tin cậy. Người sử dụng nhận dạng cung cấp
cho người dùng một sự tự tin bên người sử dụng các thiết lập liên lạc với ai là người sử
dụng nghĩ rằng bên là. VPN sử dụng các công nghệ đang làm cho uy tín của một số
phương pháp để thiết lập bản sắc của đảng ở đầu kia của một mạng. Chúng bao gồm
mật khẩu, giấy chứng nhận kỹ thuật số, thẻ thông minh, và sinh trắc học.
Bảo mật dữ liệu: Một trong những mối quan tâm an ninh truyền thống đang
bảo vệ dữ liệu từ chuẩn khác. Như một tính năng thiết kế, bảo mật dữ liệu nhằm bảo vệ
các nội dung tin nhắn không bị chặn bởi các nguồn không được thẩm định hoặc trái
phép. VPN đạt được bí mật sử dụng cơ chế đóng gói và mã hóa
Toàn vẹn dữ liệu: Vì bạn không thể kiểm soát, nơi dữ liệu có đi du lịch và
những người đã nhìn thấy hoặc xử lý dữ liệu bạn gửi hoặc nhận được trong khi hành
trình dữ liệu trên Internet, luôn có khả năng rằng dữ liệu đã được sửa đổi. Đảm bảo
tính toàn vẹn dữ liệu mà không giả mạo hoặc thay đổi xảy ra cho dữ liệu trong khi nó
đi giữa nguồn và đích. VPNs thường sử dụng một trong ba công nghệ để đảm bảo toàn
vẹn dữ liệu: một chiều hàm băm, tin nhắn mã xác thực (MAC), hoặc chữ ký số.
II.1.ENCAPSULATION:
Kết hợp khả năng bảo mật dữ liệu thích hợp vào một VPN đảm bảo rằng chỉ có
các nguồn dự định và các điểm đến có khả năng thông dịch các tin nhắn nội dung ban
đầu.Đóng gói là một trong những thành phần chính của mật mã.
Tunneling là truyền tải dữ liệu thông qua một mạng công cộng để các nút định
tuyến trong mạng công cộng là không biết rằng truyền là một phần của một mạng
riêng. Tunneling cho phép sử dụng mạng công cộng (ví dụ, mạng Internet) để mang dữ
liệu trên danh nghĩa của người sử dụng như là mặc dù người dùng đã truy cập vào một
mạng riêng.
Tunneling là quá trình đặt toàn bộ gói trong gói tin khác và gửi composite, gói
dữ liệu mới qua mạng. Trong hình, nguồn gói bên ngoài và điểm đến địa chỉ được
phân công giao diện đường hầm "và thể định tuyến chung trên mạng. Khi một gói tin
9

composite đạt tới điểm đến giao diện đường hầm, các gói dữ liệu bên trong được chiết
xuất.
Hình 1.6. Sự phân công giao diện đường hầm
Nhà cung cấp giao thức: Các giao thức thông tin là di chuyển hơn.
Giao thức đóng gói: Các giao thức (GRE, IPsec, L2F, PPTP, L2TP) được bọc xung
quanh các dữ liệu ban đầu. Không phải tất cả các giao thức cung cấp cùng một mức độ
an ninh.
Vận tải tâp tin giao thức: Các dữ liệu gốc (IPX, AppleTalk, IPv4, IPv6).PPP mang
thông điệp đến thiết bị VPN mà sau đó tin nhắn được gói gọn trong một đóng gói định
tuyến chung (GRE) gói tin.
Hình 1.7. Đường đi của một tập tin qua mạng Iternet kết nối VPN
Đường hầm giao thức khác nhau về các tính năng mà họ hỗ trợ, những vấn đề mà
họ nhằm mục đích để giải quyết, và số lượng an ninh mà họ cung cấp cho các dữ liệu
mà họ vận chuyển. Khóa học này tập trung vào việc sử dụng IPsec và IPsec với GRE.
10

Khi được sử dụng một mình, IPsec cung cấp một đàn hồi, mạng riêng cho IP chỉ
unicast. IPsec sử dụng kết hợp với GRE khi hỗ trợ cho IP multicast, năng động, giao
thức định tuyến IGP, hoặc giao thức IP không được yêu cầu. Hình cho thấy một ví
dụ về an toàn truy cập từ xa VPN.
Hình 1.8. Mô hình truy cập an toàn từ xa của VPN
IPsec có hai chế độ mã hóa:
• Tunnel Mode
• Transport Mode
Hình thức Tunnel
mã hóa tiêu đề và tải trọng của mỗi gói tin trong khi chế độ vận chuyển chỉ mã hóa tải
trọng. Chỉ có hệ thống được tuân thủ IPsec có thể tận dụng chế độ vận chuyển. Ngoài
ra, tất cả các thiết bị phải sử dụng một khóa chung và các tường lửa của mỗi mạng
phải được thiết lập với các chính sách an ninh tương tự như rất. IPsec có thể mã hóa
dữ liệu giữa các thiết bị khác nhau, bao gồm router với router, firewall với router, PC
với router, và máy tính đến máy chủ.
GRE bao quanh
header IP và tải trọng của các gói dữ liệu đóng gói với một tiêu đề GRE sử dụng.
Network thiết kế phương pháp đóng gói để ẩn IP header của gói dữ liệu như một phần
của gói gọn trọng tải-GRE. Bằng cách ẩn thông tin, các nhà thiết kế riêng biệt, hoặc
"đường hầm", dữ liệu từ một mạng khác mà không làm thay đổi mạng lưới cơ sở hạ
tầng thông thường nằm bên dưới.
Tunneling trong Site-to-Site VPN :
Trong một-to-site VPN trang web, GRE cung cấp khuôn khổ cho bao bì giao
thức hành khách để vận chuyển qua giao thức vận chuyển (thường là IP-based). vận
chuyển này bao gồm thông tin về loại gói tin được đóng gói và thông tin về kết nối
giữa máy chủ và khách.
11

Site-to-site VPN cũng có thể dùng IPsec trong chế độ đường hầm là giao thức
đóng gói. IPsec hoạt động tốt trên cả hai truy cập từ xa và trang web-to-site VPN. Để
sử dụng IPsec, cả hai giao diện đường hầm phải hỗ trợ IPsec.
Tunneling: Remote-Access:
Trong một mạng VPN truy cập từ xa, đường hầm thường được sử dụng giao
thức PPP và liên kết. Khi giao tiếp được thiết lập qua mạng giữa các máy chủ và hệ
thống truy cập từ xa, PPP là giao thức tàu sân bay.Truy cập từ xa VPN cũng có thể sử
dụng các giao thức được liệt kê dưới đây. Mỗi giao thức sử dụng các cấu trúc cơ bản
của PPP:
• Layer 2 Forwarding (L2F): phát triển bởi Cisco Systems, L2F sử dụng
bất kỳ chương trình xác thực được hỗ trợ bởi PPP. Tuy nhiên, L2F
không hỗ trợ mã hóa.
• Point-to-Point Tunneling Protocol (PPTP): Diễn đàn PPTP, một tập
đoàn bao gồm US Robotics, Microsoft, 3Com, Ascend, và ECI chính,
Viễn thông, tạo PPTP. PPTP hỗ trợ 40-bit và mã hóa 128-bit và sử dụng
bất kỳ chương trình xác thực được hỗ trợ bởi PPP.
• Layer 2 Tunneling Protocol (L2TP): L2TP là sản phẩm của sự hợp tác
giữa các thành viên của Diễn đàn PPTP, Cisco Systems, và Internet
Engineering Task Force (IETF). Nó là sự kết hợp của PPTP và L2F giao
thức. Cả hai-to-site VPN trang web và truy cập từ xa VPN có thể sử
dụng L2TP là một giao thức đường hầm. Tuy nhiên, do sự thiếu bảo mật
cố hữu trong giao thức L2TP, nó thường được thực hiện cùng với IPsec
và được gọi là L2TP/IPSec. Một phiên bản mới của giao thức được phát
hành vào năm 2005 và được gọi là L2TPv3.
II.2.ENCRYPTION:
Mật mã là quá trình lấy tất cả các dữ liệu mà một máy tính được đưa vào một
máy tính khác và mã hóa các dữ liệu vào một biểu mẫu rằng chỉ có máy tính đích dự
định sẽ có thể giải mã.
Các phương pháp chính của mã hóa là đối xứng-key (hoặc bí mật quan trọng)
và mã hóa bất đối xứng (hay khóa công khai) mã hóa.
Thuật toán mã hóa đối xứng: mã hóa khóa đối xứng, còn gọi là bí mật khoá
mật mã, các kĩ thuật khi mà máy tính sử dụng để mã hóa thông tin trước khi thông
tin được gửi qua mạng tới một máy tính khác mã hóa khóa đối xứng. yêu cầu một
người nào đó biết được máy tính sẽ được nói chuyện với nhau để người có thể cấu
hình cho các phím trên mỗi máy tính. Symmetric-key mã hóa là một mã bí mật, hoặc
quan trọng, rằng mỗi của hai máy tính phải biết để giải mã thông tin.
Ví dụ, người gửi sẽ tạo ra một thông điệp được mã hoá để gửi cho một người
12

nhận bức thư trong đó mỗi tin nhắn được thay thế bằng chữ đó là hai chữ xuống từ ban
đầu trong bảng chữ cái, "A" trở thành "C", và "B" trở thành "D." Trong trường hợp
này, những bí mật từ, trở thành UGETGV. Người gửi đã nói với người nhận rằng chìa
khóa bí mật là "Shift bởi 2." Khi người nhận nhận được thông báo 'UGETGV', các giải
mã máy tính người nhận tin nhắn bằng cách dịch chuyển trở lại và tính toán hai 'bí
mật'. Bất cứ ai nhìn thấy tin nhắn chỉ thấy tin nhắn được mã hóa, mà hình như vô
nghĩa trừ khi người đó biết khóa bí mật. Hạn chế của-khoá mật mã đối xứng là nó liên
quan đến việc trao đổi khóa bí mật trên Internet rất không an toàn
Hình 1.9.Thuật toán mã hóa đối xứng
Bất đối xứng Mật mã: giới thiệu vào năm 1976, mã hóa bất đối xứng sử dụng
các phím khác nhau để mã hóa và giải mã. Biết một trong các phím không cho phép
một hacker để suy ra chìa khóa thứ hai và giải mã thông tin. Một trong những chìa
khóa mã hóa tin nhắn, trong khi một chìa khóa giải mã thông điệp thứ hai. Nó không
thể mã hóa và giải mã với cùng một phím. Công khoá mật mã sử dụng một sự kết hợp
của một khóa riêng và khóa công khai một. Chỉ có người gửi biết khoá riêng. Người
gửi cho một khóa công khai đến người nhận nào mà người gửi với người mà ông muốn
giao tiếp. Để giải mã một thông điệp được mã hóa, người nhận phải sử dụng khóa công
khai, cung cấp bởi người gửi có nguồn gốc, và người nhận riêng của khóa riêng.
Ví dụ của một hộp thư đã bị khóa với một khe mail giúp giải thích mã hóa khóa
công cộng. Một khe mail tiếp xúc và dễ tiếp cận cho công chúng. Các địa chỉ đường
phố của khe mail đại diện cho các khóa công khai. Bất cứ ai biết địa chỉ đường phố có
thể vào địa chỉ và đặt một tin nhắn thông qua khe. Tuy nhiên, chỉ có người có chìa
khóa để các khe mail (của tư nhân khoá mật mã bất đối xứng) có thể mở hộp thư và
đọc tin nhắn.
Hình 1.10. Thuật toán bất đối xứng mật mã
II.2.1.Thuật toán mã hóa đồng bộ:
13

Key thuật toán đối xứng có thể được chia thành các thuật toán mã hóa dòng và
mật mã khối. Dòng mật mã mã hóa các bit của thông điệp một lần, và mật mã khối có
một số bit và mã hóa chúng như một đơn vị duy nhất. Một mã hóa khối hoạt động trên
các nhóm có độ dài cố định của các bit, được gọi là khối, với một sự chuyển đổi
unvarying.
Khi mã hóa, một thuật toán mã hóa khối có thể kéo dài, ví dụ, một khối 128-bit
của bản rõ như đầu vào, và sản lượng một chút tương ứng 128-block của bản mã. Việc
chuyển đổi chính xác được kiểm soát bằng cách sử dụng một đầu vào thứ hai chìa
khóa bí mật. Giải mã cũng tương tự như: các thuật toán giải mã mất, trong ví dụ này,
một khối 128-bit của bản mã cùng với khóa bí mật, và sản lượng khối 128-bit ban đầu
của chữ thô. Mặt khác, thuật toán mã hóa dòng chữ số cá nhân hoạt động trên cùng
một lúc và chuyển đổi các thay đổi trong quá trình mã hóa.
Hình 1.11. Quá trình giải mã của một khối
Symmetric Encryption: DES
DES là một thuật toán mã hóa đã được chọn là một quan chức Tiêu chuẩn xử lý
thông tin Liên bang (FIPS) cho Hoa Kỳ năm 1976. Vì lý do này, DES đã trở thành
triển khai thực hiện rộng rãi quốc tế. Các thuật toán ban đầu gây tranh cãi, với các
thành phần phân loại và một độ dài khóa tương đối ngắn. DES do đó đã bị giám sát
học tập căng thẳng và thúc đẩy sự hiểu biết hiện đại về mật mã khối và thám mã của
họ.
Một số tài liệu đề cập đến DES là thuật toán mã hóa dữ liệu (DEA).DES là một
thuật toán mã hóa khối mã hóa. Các thuật toán DES có độ dài một chuỗi cố định của
các bit thô và biến đổi nó thông qua một loạt các hoạt động phức tạp vào một bitstring
mã có độ dài tương tự và trả về mã hóa khối có cùng kích thước. Cho rằng bạn có 64
bit, bạn có 2 ^ 64 kết hợp có thể.
DES chỉ đơn giản là sắp xếp lại các bit vào các kết hợp nào cần các thủ tục
ngược lại để giải mã những chữ thô.DES sử dụng một chìa khóa để tùy chỉnh sự
chuyển đổi, để giải mã chỉ có thể được thực hiện bởi những người biết chính cụ thể
được sử dụng để mã hóa. Điều quan trọng bề ngoài là bao gồm 64 bit, tuy nhiên, chỉ có
56 trong số này thực sự được sử dụng bởi thuật toán. Tám bit được sử dụng chỉ duy
14

nhất để kiểm tra tính chẵn lẻ, và sau đó bỏ đi. Do đó độ dài của khóa là 56 bit, và nó
thường được trích dẫn như vậy.
DES là bây giờ được coi là không an toàn cho nhiều ứng dụng, chủ yếu là do
kích thước 56 bit chính-DES được các phím quá nhỏ. DES đã bị phá vỡ trong vòng 24
giờ. Ngoài ra còn có một số kết quả phân tích để chứng minh những điểm yếu trong lý
thuyết mật mã này. Thuật toán được cho là an toàn trong các hình thức Triple DES
(3DES), mặc dù có lý thuyết rằng các cuộc tấn công phá vỡ 3DES. Trong những năm
gần đây, các thuật toán mã hóa đã được thay thế bởi AES.
Mã hóa đối xứng: 3DES
3DES, hoặc Triple DES, là một thuật toán mã hóa khối được hình thành từ các
thuật toán mã hóa DES. 3DES được phát triển bởi Walter Tuchman (lãnh đạo của
nhóm phát triển DES tại IBM) vào năm 1978 và được quy định trong FIPS PUB 46-3;.
Có nhiều cách để sử dụng DES ba lần không phải tất cả những cách là 3DES và không
phải tất cả những cách như an toàn là 3DES.3DES được định nghĩa là thực hiện một
mã hóa DES, sau đó một giải mã DES, và sau đó một mã hóa DES một lần nữa. Trong
quá trình tiến hóa từ DES để 3DES, việc bỏ qua các bước rõ ràng giữa đôi DES cần
phải được giải thích.2DES được kết xuất không hiệu quả do một loại tấn công được
gọi là-in-the-tấn công trung đáp ứng. The-in-the-tấn công trung đáp ứng là một tìm
kiếm sức mạnh vũ phu được thực hiện từ cả hai đầu của khóa 2DES.
Các hoạt động đầu tiên mã hóa văn bản gốc với tất cả các phím DES có thể, và
giải mã thứ hai văn bản mật mã sản phẩm với tất cả các phím DES có thể trong khi tìm
kiếm trận. Khi kết hợp được tìm thấy, kẻ tấn công có cả phím trong Double DES. Để
vượt qua cuộc tấn công này, một DES thứ ba hoạt động đã được bổ sung. Vì vậy, trong
khi 3DES có chiều dài chính của 168 bit (ba 56-bit DES phím), chiều dài của nó chính
hiệu quả từ một điểm bảo mật của xem là chỉ 112 bit
Symmetric Encryption: AES
AES, thường được gọi là mã hóa Rijndael (phát âm là "Rhine dahl") là một thuật
toán mã hóa khối được chấp nhận như một tiêu chuẩn mã hóa bởi chính phủ Hoa Kỳ.
AES dự kiến sẽ được sử dụng rộng rãi trên toàn thế giới và phân tích, như là trường
hợp với "người tiền nhiệm của AES, DES. Cũng như, AES là an toàn hơn và nhanh
hơn 3DES.thuật toán mã hóa được phát triển bởi hai nhà mật mã học người Bỉ, Joan
Daemen và Vincent Rijmen, và nộp cho quá trình lựa chọn AES dưới tên "Rijndael
kích cỡ." AES không phải là chính xác giống như bản gốc các Rijndael vì Rijndael hỗ
trợ lớn hơn nhiều khối và chính . AES có kích thước khối không đổi của 128 bit và
phím kích thước một của 128, 192, hay 256 bit, trong khi Rijndael có thể được chỉ
định với các phím và kích thước khối trong bất kỳ bội số của 32 bit, với tối thiểu là
128 bit và tối đa là 256 bit.
II.2.2.Thuật toán mã hóa bất đồng bộ:
15

Hai thuật toán bất đối xứng được sử dụng để IPsec là Diffie-Hellman (DH) và
RSA. Thiết bị Cisco sử dụng RSA và Diffie-Hellman mỗi khi một đường hầm IPsec
mới được thành lập. RSA xác nhận thiết bị từ xa trong khi Diffie-Hellman trao đổi các
phím được sử dụng cho mã hóa . Các Hiệp hội Internet Security (ISA) thực hiện những
giao thức này trong phần cứng chuyên biệt để đảm bảo thiết lập đường hầm nhanh và
mã hóa thông qua tổng thể cao.RSA (đặt tên theo nhà thiết kế Rivest, Shamir, và
Adelman) là một thuật toán mã hóa và khóa công khai là thuật toán đầu tiên được biết
để phù hợp với ký cũng như mật mã. RSA là một trong những tiến bộ lớn đầu tiên
trong mật mã khoá công khai.Mật mã hóa khóa công cộng là tính toán chuyên sâu. Để
đạt được sự kết hợp tốt nhất về hiệu suất và tính năng, DH kết hợp mật mã hóa khóa
công cộng với mật mã hóa khóa bí mật. Chìa khóa thỏa thuận DH được phát minh vào
năm 1976 trong sự hợp tác giữa Whitfield Diffie và Martin Hellman và là người đầu
tiên thực hiện phương pháp để thiết lập một bí mật chia sẻ qua một kênh thông tin liên
lạc không được bảo vệ.
Hình 1.12. Mã hóa đối xứng 3DES
Các DH thuật toán khóa công khai nói rằng nếu người dùng A và B trao đổi khóa
công cộng của người dùng và tính toán được thực hiện trên tin trọng điểm cá nhân của
họ và trên các khóa công khai của các peer khác, kết quả cuối cùng của quá trình này
là một trọng điểm được chia sẻ giống hệt nhau. Các phím được chia sẻ được sử dụng
để mã hóa và giải mã dữ liệu
An ninh không phải là một vấn đề với việc trao đổi chính DH. Mặc dù ai đó có
thể biết khóa công khai của người sử dụng, những bí mật được chia sẻ không thể được
tạo ra bởi vì không bao giờ trở thành khóa riêng nào kiến thức.Với Diffie-Hellman,
mỗi peer và tư nhân tạo ra một cặp khóa công cộng. Chìa khóa tư nhân được tạo bởi
peer từng được giữ bí mật và không bao giờ chia sẻ. Các khoá công khai được tính từ
khóa riêng của từng peer và được trao đổi trên kênh không an toàn. Mỗi peer kết hợp
khoá công khai của các peer khác với khóa riêng của mình và tính bí mật được chia sẻ
cùng một số. Các số bí mật được chia sẻ là sau đó chuyển đổi thành một khóa bí mật
được chia sẻ. Bí mật chính là không bao giờ chia sẻ trao đổi trên kênh không an toàn.
16

Hình 1.13. Diffie-Hellman Key Exchange
II.2.3.Tính bảo toàn dữ liệu
Đảm bảo tính toàn vẹn dữ liệu mà không giả mạo hoặc thay đổi xảy ra với dữ
liệu giữa các dữ liệu của nguồn và đích.VPNs thường sử dụng một trong ba công nghệ
để đảm bảo tính toàn vẹn:
• Một chiều hash chức năng: Một hàm băm tạo ra một chiều dài cố định
Giá trị sản xuất dựa trên một chiều dài đầu vào tập tin tùy ý. Ý tưởng là nó
rất dễ dàng để tính giá trị hash của một tập tin nhưng toán học rất khó để tạo
ra một tập tin đó sẽ băm để giá trị đó. Để xác nhận tính toàn vẹn của một tập
tin, người nhận một phép tính giá trị hash của một tập tin nhận được và so
sánh giá trị tính toán với giá trị băm được gửi bởi người gửi. Vì vậy, người
nhận có thể yên tâm rằng người gửi có tập tin tại thời điểm người nhận ra
giá trị băm. Ví dụ về các thuật toán băm được MD5, Secure Hash Algorithm
1 (SHA-1), và RIPE-MD-160.
• Thông báo-mã xác thực (Mac): Mac thêm một chìa khóa để hash chức
năng. người gửi A tạo ra một tập tin, tính toán một MAC dựa trên một khóa
chia sẻ với người nhận, và sau đó gắn thêm các MAC vào tập tin. Khi người
nhận nhận được các tập tin, người nhận tính toán một MAC mới và so sánh
nó với MAC nối.
• Chữ ký kỹ thuật số: Một chữ ký số công cộng chủ yếu là chìa khóa mật
mã học trong đảo ngược. Một người gửi kỹ thuật số "dấu hiệu" một tài liệu
với khóa riêng của người gửi và người nhận có thể xác minh chữ ký bằng
cách sử dụng khoá công khai của người gửi. Một chữ ký kỹ thuật số cũng
tương tự như một con dấu sáp ngày một lá thư. Bất cứ ai cũng có thể mở và
đọc các bức thư, nhưng các con dấu xác nhận sáp người gửi.
II.2.4.Chứng Thực
Các phương pháp chứng thực:
• Tên đăng nhập và mật khẩu: Sử dụng định sẵn tên người dùng và mật
khẩu cho người dùng khác nhau hoặc các hệ thống
• Một Thời gian Password (OTP) (Pin / Tân): Một phương pháp xác thực
mạnh hơn so với tên người dùng và mật khẩu, phương pháp này sử dụng
mật khẩu mới được tạo ra cho mỗi chứng thực
• Sinh trắc học: Sinh trắc học thường đề cập đến công nghệ được sử dụng để
đo lường và phân tích các đặc điểm cơ thể con người như dấu vân tay, võng
17

mạc mắt và irises, mô hình giọng nói, mô hình mặt, tay và đo lường, đặc
biệt là cho các mục đích xác thực.
• Trước khi chia sẻ phím: phương pháp này sử dụng một chìa khóa bí mật
có giá trị, cách thủ công được nhập vào mỗi peer, và sau đó được sử dụng để
xác thực các bạn đồng trang lứa.
• Giấy chứng nhận kỹ thuật số: Sử dụng việc trao đổi giấy chứng nhận kỹ
thuật số để xác thực các bạn đồng trang lứa.
Hình 1.14. Chứng thực an ninh VPN
 Peer authentication methods: + Username and PassWord
+ OTP(Pin/Tan)
+ Biometric
+ Preshared Keys
+ Digital certificates
III. Tìm Hiểu Về Giao Thức IPSec:
IPsec cung cấp một cơ chế để truyền dữ liệu an toàn qua mạng IP, đảm bảo giữ bí
mật, toàn vẹn, và tính xác thực của thông tin liên lạc dữ liệu trên mạng không được
bảo vệ như Internet. IPsec bao gồm một bộ các giao thức và không ràng buộc với bất
kỳ mã hóa cụ thể, chứng thực các thuật toán, kỹ thuật sinh khóa, hoặc hiệp hội bảo mật
(SA). IPsec cung cấp các quy tắc trong khi các thuật toán mã hóa hiện tại cung cấp,
chứng thực, quản lý chủ chốt, và như vậy.IPsec hành vi tại tầng mạng, bảo vệ và xác
nhận các gói tin IP giữa các thiết bị IPsec (đồng nghiệp), chẳng hạn như Cisco PIX
Firewalls, Adaptive Security Apliances (ASA), Cisco router, Cisco Secure VPN
Client, và các sản phẩm tương thích IPsec khác.IPsec là một Internet Engineering Task
Force (IETF) tiêu chuẩn (RFC 2401-2412) định nghĩa như thế nào một VPN có thể
được tạo qua mạng IP. IPsec cung cấp các chức năng an ninh thiết yếu sau:
• Dữ liệu bảo mật: IPsec bảo đảm bí mật bằng cách sử dụng mật mã. Mã hóa dữ
liệu ngăn chặn các bên thứ ba từ việc đọc dữ liệu, đặc biệt là dữ liệu được truyền qua
mạng công cộng hoặc mạng không dây. Người gửi có thể mã hóa IPsec gói trước khi
truyền các gói tin trên mạng và ngăn chặn bất cứ ai không nghe hoặc xem các thông
18

tin liên lạc (nghe trộm). Nếu chặn, dữ liệu không thể được giải mã. Mã hóa được cung
cấp bằng cách sử dụng thuật toán mã hóa bao gồm DES, 3DES và AES.
• Toàn vẹn dữ liệu: IPsec đảm bảo rằng dữ liệu đến không thay đổi tại điểm đến;
có nghĩa là, dữ liệu đó không phải là thao tác tại bất kỳ điểm dọc theo con đường
truyền thông. IPsec đảm bảo toàn vẹn dữ liệu bằng cách sử dụng băm. băm là một
kiểm tra dự phòng đơn giản. Giao thức IPsec cho biết thêm lên những thành phần cơ
bản của tin nhắn (thường là số byte) và cửa hàng tổng giá trị. IPsec thực hiện một hoạt
động tổng kiểm tra trên dữ liệu nhận được và so sánh kết quả với checksum thực. Nếu
số tiền phù hợp, dữ liệu được coi là không thao tác. toàn vẹn dữ liệu được cung cấp
thông qua các Hash Message Authentication dựa trên Mã (HMAC) chức năng. Hỗ trợ
các chức năng bao gồm HMAC Message Digest 5 (MD5) và Secure Hash Algorithm 1
(SHA-1).
• Dữ liệu xác thực nguồn gốc: thu IPsec có thể xác thực nguồn gốc của các gói
IPsec. Xác thực bảo đảm rằng các kết nối được thực sự thực hiện với đối tác truyền
thông mong muốn. IPsec xác thực người dùng (người) và các thiết bị có thể thực hiện
truyền thông độc lập. Chất lượng của chứng thực nguồn gốc dữ liệu phụ thuộc vào các
dịch vụ toàn vẹn dữ liệu được cung cấp.
• Anti-replay: Anti-replay bảo vệ xác minh rằng mỗi gói dữ liệu là duy nhất,
không trùng lặp. gói IPsec được bảo vệ bằng cách so sánh các số thứ tự của các gói tin
nhận được và trượt một cửa sổ trên máy chủ đích, hoặc cổng an ninh. Một gói có số
thứ tự là trước khi cửa sổ trượt được coi là muộn, hoặc là một bản sao. Hậu và bản sao
các gói tin bị bỏ rơi.
Các tiêu chuẩn IPsec cung cấp một phương pháp để quản lý xác thực và bảo vệ
dữ liệu giữa nhiều đồng nghiệp tham gia vào chuyển dữ liệu an toàn. IPsec bao gồm
một giao thức cho các phím trao đổi được gọi là Internet Key Exchange (IKE) và hai
giao thức IP IPsec, Encapsulating Security Payload (ESP) và Authentication Header
(AH).
Trong thuật ngữ đơn giản, IPsec cung cấp các đường hầm an toàn giữa hai Peer ,
chẳng hạn như hai thiết bị định tuyến. người gửi gói tin xác định những gì cần bảo vệ
và sẽ được gửi thông qua các đường hầm an toàn và sau đó xác định các thông số cần
thiết để bảo vệ các gói tin nhạy cảm bằng cách xác định các đặc tính của các đường
hầm. Sau đó, khi các peer IPsec thấy như một gói tin nhạy cảm, các peer IPsec thiết
lập các đường hầm an toàn thích hợp và gửi gói tin thông qua các đường hầm tới các
peer từ xa.
Chính xác hơn, những đường hầm là các thỏa hiệp an ninh (SA) s). thiết lập giữa
hai IPsec Peer từ xa. Các thỏa hiệp an ninh xác định mà các giao thức và các thuật
toán nên được áp dụng cho các gói tin nhạy cảm và xác định vật liệu keying sẽ được
sử dụng do hai đồng nghiệp. Thỏa hiệp an ninh mang tính một chiều và được thành
lập bởi các giao thức bảo mật đang được sử dụng (AH hoặc ESP).
19

Hình 1.15.Các tính năng an ninh của Ipse
IPsec sử dụng ba giao thức chính để tạo ra một khuôn khổ an ninh:
• IKE: Cung cấp một khuôn khổ cho việc đàm phán của các thông số thiết lập
bảo mật và chứng thực các phím. IPsec sử dụng thuật toán mã hóa đối xứng để bảo
vệ dữ liệu, đó là hiệu quả hơn và dễ dàng hơn để thực hiện trong phần cứng hơn các
loại khác của các thuật toán. Các thuật toán này cần có một phương pháp an toàn của
các trao đổi quan trọng để đảm bảo bảo vệ dữ liệu. Các giao thức IKE cung cấp khả
năng để trao đổi khóa an toàn.
• AH: Các IP Authentication Header (AH) cung cấp tính toàn vẹn và xác thực
nguồn gốc không kết nối dữ liệu cho các IP datagrams và bảo vệ chống lại các tùy
chọn replay. AH được nhúng vào trong các dữ liệu cần được bảo vệ. ESP đã thay thế
giao thức AH và AH không còn được sử dụng thường xuyên trong IPsec.
• ESP: Encapsulating Security Payload (ESP) cung cấp một khuôn khổ cho việc
mã hoá, xác thực, và dữ liệu bảo đảm. ESP cung cấp dịch vụ bảo mật dữ liệu, chứng
thực dữ liệu tùy chọn, và chống lại các dịch vụ. ESP đóng gói dữ liệu cần bảo vệ. Hầu
hết các triển khai IPsec sử dụng giao thức ESP.
IPsec Headers
IPsec cung cấp xác thực, tính toàn vẹn, và mã hóa thông qua chèn của một hoặc
cả hai tiêu đề cụ thể, AH hoặc ESP, vào IP datagram.AH cung cấp chứng thực và kiểm
tra tính toàn vẹn trên IP datagram. Xác thực thành công có nghĩa là các gói tin được,
quả thật vậy, gửi của người gửi rõ ràng. Liêm có nghĩa là gói tin đã không được thay
đổi trong quá trình vận chuyển.Các tiêu đề ESP cung cấp thông tin cho biết mật mã của
các nội dung tải trọng datagram. Các tiêu đề ESP cũng cung cấp chứng thực và kiểm
tra tính toàn vẹn. AH và ESP được sử dụng giữa hai máy. Những máy trạm có thể
được kết thúc hoặc cổng.
AH và ESP là giải pháp đòi hỏi phải có cách dựa trên các tiêu chuẩn để đảm bảo
dữ liệu từ các sửa đổi và được đọc bởi một bên thứ ba. IPsec có một sự lựa chọn của
encryptions khác nhau (Data Encryption Standard [DES], Triple Data Encryption
Standard
[3DES],
và
20

Advanced Encryption Standard [AES]) để người dùng có thể lựa chọn sức mạnh của
bảo vệ dữ liệu của họ.IPsec cũng có một số phương pháp băm để lựa chọn (Hash
Message Authentication dựa trên Mã [HMAC], Message Digest 5 [MD5], và Secure
Hash Algorithm 1 [SHA-1]), mỗi cấp độ khác nhau cho bảo vệ.
Hình 1.16. IPsec Headers
III.1. IKE Protocol
Để thực hiện một giải pháp VPN với mã hoá, nó là cần thiết để periodicaly thay
đổi các phím mã hóa. Không thay đổi các phím này làm cho mạng dễ bị tấn công
brute-lực lượng. IPsec giải quyết vấn đề của suseptability với Internet Key Exchange
(IKE) giao thức, trong đó sử dụng hai giao thức khác để xác thực một đồng đẳng và
tạo ra các phím. Các giao thức IKE sử dụng chìa khóa trao đổi DH sinh các khóa đối
xứng được sử dụng bởi hai đồng nghiệp IPsec. IKE cũng quản lý việc đàm phán của
các thông số an ninh khác, chẳng hạn như dữ liệu được bảo vệ, sức mạnh của các
phím, phương pháp băm được sử dụng, và liệu các gói tin được bảo vệ từ replay. IKE
sử dụng UDP port 500. IKE thương lượng một hiệp hội bảo mật (SA), là một thỏa
thuận giữa hai đồng nghiệp tham gia vào một cuộc trao đổi IPsec, và bao gồm tất cả
các tham số được yêu cầu để thiết lập truyền thông thành công.
• Internet Security Association và Key Management Protocol
(ISAKMP): ISAKMP là một khung giao thức định nghĩa cơ chế thực
hiện một giao thức trao đổi khóa và đàm phán một chính sách an ninh.
ISAKMP có thể được thực hiện trong bất kỳ giao thức vận tải. Các tài
liệu tham khảo cho ISAKMP là RFC 2408.
• SKEME: Một giao thức trao đổi chính định nghĩa làm thế nào để lấy
được chứng thực keying vật chất với những đồ uống quan trọng nhanh
chóng.
• Oakley: Một giao thức trao đổi chính định nghĩa làm thế nào để có
được chứng thực keying vật chất. Cơ chế cơ bản đối với Oakley là DH
thuật toán trao đổi khoá. Các tài liệu tham khảo là RFC 2412: Các Oakley
Key Xác định Nghị định thư.
21

IKE được thực hiện trong hai giai đoạn để thành lập một kênh giao tiếp an toàn
giữa hai đồng nghiệp:
IKE Giai đoạn 1: Giai đoạn 1 là việc đàm phán ban đầu của SAS giữa hai đồng
nghiệp IPsec. Tùy chọn, giai đoạn 1 cũng có thể bao gồm xác thực, trong đó mỗi peer
có thể xác minh căn cước của người kia. Này cuộc đối thoại giữa hai đồng nghiệp
IPsec có thể bị áp dụng nghe trộm mà không có tổn thương đáng kể của các phím được
phát hiện bởi các bên thứ ba. Giai đoạn 1 SAS là hai hướng; dữ liệu có thể được gửi và
nhận được bằng cách sử dụng phím vật liệu tương tự được tạo ra. IKE Giai đoạn 1 diễn
ra trong hai chế độ: chế độ chính hoặc chế độ hung hăng. Các chế độ này được giải
thích trong đoạn văn sau đây.
IKE Giai đoạn 1,5 (tùy chọn): Để thêm người tham gia xác thực VPN (khách
hàng), bạn có thể sử dụng một giao thức gọi là Extended Authentication (Xauth) cung
cấp xác thực người dùng của các đường hầm IPsec trong giao thức IKE. Ngoài ra, bạn
có thể trao đổi các thông số khác giữa các đồng nghiệp. Chế độ cấu hình được sử dụng
để cung cấp các thông số như địa chỉ IP và Domain Name System (DNS) địa chỉ cho
khách hàng.
IKE Giai đoạn 2: Giai đoạn 2 SAS được đàm phán bởi quá trình IKE
(ISAKMP) thay mặt cho các dịch vụ khác như IPsec cần nguyên liệu chính cho hoạt
động. Do SAS được sử dụng bởi IPsec là unidirectional, chìa khóa trao đổi riêng biệt là
cần thiết cho dữ liệu được chảy theo hướng chuyển tiếp và đảo ngược hướng. Hai đồng
nghiệp đã thoả thuận về biến đổi bộ, phương pháp băm, và các thông số khác trong các
giai đoạn 1 đàm phán. Hình thức nhanh là phương pháp được sử dụng cho giai đoạn 2
cuộc đàm phán SA.
Để thiết lập một kênh giao tiếp an toàn giữa hai đồng nghiệp, giao thức IKE sử
dụng ba phương thức hoạt động:
Main Mode:
Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên
quan trong qua trình giao dịch. Trong chế độ này, 6 thông điệp được trao
đổi giữa các điểm:
• 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật
cho sự thayđổi.
• 2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-
Hellman và nonces. Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã
hóa.
• Hai thông điệp cuối cùng của chế độ này dùng để xác nhận
các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.
Aggressive Mode:
- Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main
mode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive
22

mode nhanh hơn mai mode. Các thông điệp đó bao gồm :
• Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa
chính, và trao đổi nonces cho việc ký và xác minh tiếp theo.
• Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người
nhận và hoàn thành chính sách bảo mật bằng các khóa.
• Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của
phiên làm việc).
Quick Mode:
- Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa
thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh
khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận trong
giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt khác, khóa
mới được phát sinh bằng các giá trị băm.
Hình 1.17. Mô hình thiết lập kênh giao thức an toàn
III.2. AH & ESP Protocol
23

• ESP chỉ bảo vệ phần dữ liệu của gói tin. Giao thức này có thể tùy chọn
cũng cung cấp cho xác thực của dữ liệu được bảo vệ.
• AH: Các phần khác của IPsec được hình thành bởi các giao thức AH
(giao thức IP 51). Các AH không bảo vệ dữ liệu theo nghĩa thông thường bằng
cách ẩn các dữ liệu nhưng bằng cách thêm một con dấu giả mạo hiển nhiên cho
dữ liệu. Giao thức này cũng bảo vệ các trường trong header IP mang dữ liệu, bao
gồm các lĩnh vực địa chỉ của header IP. Giao thức AH không nên sử dụng một
mình khi được yêu cầu bảo mật dữ liệu.
Ipsec có hai phương pháp để chuyển tiếp dữ liệu trên mạng, là chế độ
tunnel và chế độ transport :
Chế Độ Tunnel: Tunnel thức hoạt động bằng cách đóng gói và bảo vệ toàn bộ
một gói IP. Bởi vì hầm thức đóng gói hoặc ẩn IP header của gói tin, một tiêu đề IP mới
phải được thêm vào cho gói dữ liệu để được thành công chuyển tiếp. Các thiết bị mã
hóa tự của riêng các địa chỉ IP được sử dụng trong tiêu đề mới này. Các địa chỉ này có
thể được quy định trong cấu hình của router Cisco IOS.
Chế Độ Transport: Bởi vì gói tin mở rộng có thể là một mối quan tâm trong
thời gian chuyển tiếp các gói tin nhỏ, một phương pháp chuyển tiếp thứ hai là cũng có
thể. Hình thức vận chuyển IPsec hoạt động bằng cách chèn các header ESP giữa
header IP và giao thức kế tiếp hoặc lớp Giao thông vận tải của gói tin. Cả hai địa chỉ IP
của các nút mạng hai có lưu lượng truy cập đang được bảo vệ bằng IPsec có thể nhìn
thấy. Hình thức này của IPsec đôi khi có thể dễ bị phân tích lưu lượng. Tuy nhiên, vì
không có IP header bổ sung thêm, kết quả là mở rộng gói ít hơn.
Hình
1.18. Ipsec
chuyển
tiếp dữ liệu
trên mạng
ESP & AH Header
Bạn có thể đạt được chứng thực bằng cách áp dụng AH một hàm băm khóa một
chiều để gói tin, tạo ra một hash hoặc tin nhắn tiêu hóa. hash được kết hợp với văn bản
và sau đó lây truyền qua đường. Thay đổi trong bất kỳ một phần của gói xảy ra trong
thời gian quá cảnh được phát hiện do người nhận khi người nhận thực hiện chức năng
24

băm một chiều trên cùng một gói tin nhận được và so sánh giá trị của thư tiêu hóa mà
người gửi đã cung cấp. Băm một chiều cũng liên quan đến việc sử dụng một chìa khóa
đối xứng giữa hai hệ thống, có nghĩa là xác thực được bảo đảm. ESP cung cấp bảo mật
bởi mã hóa các tải trọng. Các thuật toán mặc định cho Ipsec là 56-bit DES. Cisco sản
phẩm cũng hỗ trợ việc sử dụng mã hóa mạnh mẽ hơn 3DES cho bản thân mình. ESP
Các thuật toán mã hóa bởi không cung cấp chứng thực hoặc đảm bảo tính toàn vẹn dữ
liệu. ESP mã hóa với một dịch vụ xác thực và toàn vẹn dữ liệu có thể đạt được theo hai
cách.
Chứng thực các định dạng ESP.
ESP lồng nhau trong AH.
Với thực ESP, IPsec mã hóa tải trọng bằng cách sử dụng một chìa khóa đối xứng,
sau đó tính toán một giá trị xác thực cho các dữ liệu mã hóa sử dụng một khóa đối
xứng thứ hai và HMAC-SHA1 hoặc MD5 thuật toán HMAC. Các giá trị xác thực ESP
được nối vào cuối của gói tin. người nhận giá trị của tính xác thực riêng của mình cho
các dữ liệu được mã hóa bằng cách sử dụng chìa khóa đối xứng thứ hai và cùng một
thuật toán. người nhận so sánh kết quả với giá trị xác thực truyền. Nếu các giá trị phù
hợp, người nhận sau đó giải mã phần mật mã của gói với trọng đối xứng đầu tiên và
chất chiết xuất từ dữ liệu gốc.Một gói ESP có thể được lồng nhau trong một gói tin
AH. Trước tiên, tải trọng được mã hóa. Tiếp theo, các tải trọng được mã hóa được gửi
thông qua một thuật toán hash: MD5 hoặc SHA-1. băm này cung cấp chứng thực
nguồn gốc và sự toàn vẹn dữ liệu cho các trọng tải dữ liệu.
Hình 1.19.1. ESP lồng nhau trong AH
Một gói ESP có thể được lồng nhau trong một gói tin AH. Trước tiên, tải trọng
được mã hóa.Tiếp theo, các tải trọng được mã hóa được gửi thông qua một thuật toán
hash: MD5 hoặc SHA-1. băm này cung cấp chứng thực nguồn gốc và sự toàn vẹn dữ
liệu cho các trọng tải dữ liệu.
25

Hình 1.19.2. ESP lồng nhau trong AH
AH authentication & integrity
Các bước thực hiện một phiên AH:
Bước 1: Các tiêu đề IP và tải trọng dữ liệu được băm.
Bước 2: hash được sử dụng để xây dựng một tiêu đề AH, được nối vào các gói dữ
liệu gốc.
Bước 3: Các gói tin mới được chuyển đến các router peer IPsec.
Bước 4: Các router peer băm tiêu đề IP và tải trọng dữ liệu.
Bước 5: Các router peer chất chiết xuất từ các băm truyền từ tiêu đề AH.
Bước 6: Các router peer so sánh hai băm. Các băm chính xác phải phù hợp. Ngay
cả khi một chút thay đổi trong các gói tin truyền đi, sản lượng băm vào gói nhận được
sẽ thay đổi và AH header sẽ không phù hợp.
ESP FEATURE:
Giữa hai cổng an ninh, các tải trọng ban đầu là bảo vệ tốt bởi vì toàn bộ bản gốc
datagram IP được mã hóa. An ESP header và trailer được thêm vào tải trọng được mã
hóa. Với ESP xác thực, mã hóa các IP datagram và ESP tiêu đề hoặc trailer được bao
gồm trong quá trình băm. Ngoái, một tiêu đề IP mới được nối vào mặt trước của tải
trọng thực. Địa chỉ IP mới được sử dụng để định tuyến các gói tin qua mạng Internet.
Khi cả hai ESP xác thực và mã hóa được lựa chọn, mã hóa được thực hiện đầu
tiên trước khi xác thực. Căn cứ để tự chế biến này là để tạo điều kiện nhanh chóng
phát hiện và từ chối hoặc không có thật gói tái hiện lại bằng nút nhận. Trước khi giải
mã các gói tin, người nhận có thể xác nhận các gói tin inbound.
Hình thức vận chuyển là chế độ mặc định cho IPsec. Hình thức vận chuyển chỉ
bảo vệ các tải trọng của gói và giao thức lớp cao hơn, nhưng rời khỏi địa chỉ IP gốc
không được bảo vệ. Địa chỉ IP gốc được sử dụng để định tuyến các gói tin qua mạng
Internet. Hình thức ESP vận tải được sử dụng giữa hai máy.
26

Khi thức IPsec đường hầm được sử dụng, IPsec mã hóa tiêu đề IP và tải trọng
này. Hình thức đường hầm cung cấp sự bảo vệ của một gói tin IP bằng cách xử lý toàn
bộ các gói tin như là một AH hoặc ESP payload. Với chế độ đường hầm, một gói tin
IP được đóng gói toàn bộ với một AH hoặc ESP tiêu đề và một tiêu đề IP bổ sung.
Hình thức ESP đường hầm được sử dụng từ một máy chủ lưu trữ và bảo mật gateway
hoặc giữa hai cổng an ninh. Cho-to-gateway ứng dụng cổng, thay vì tải IPsec trên tất
cả các máy tính tại văn phòng và doanh nghiệp từ xa, nó được dễ dàng hơn để có các
cổng an ninh thực hiện các IP-in-IP được mã hóa và đóng gói.
Hình
1.20. Giao thức ESP
3 trường của Ipsec SA :
- SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận dạng giao
thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đang dùng.
SPI được mang theo như là một phần đầu của giao thức bảo mật và thường được chọn bởi hệ
thống đích trong suốt quá trình thỏa thuận của SA.
- Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ
broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định
nghĩa cho hệ thống unicast.
- Security protocol. Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặc
ESP.
Chú thích :
• Broadcasts có nghĩa cho tất cả hệ thống thuộc cùng một mạng hoặc mạng
con. Còn multicasts gửi đến nhiều (nhưng không phải tât cả) nút của một mạng hoặc
mạng con cho sẵn. Unicast có nghĩa cho 1 nút đích đơn duy nhất. Bởi vì bản chất theo một
chiều duy nhất của SA, cho nên 2 SA phải được định nghĩa cho hai bên thông tin
đầu cuối, một cho mỗi hướng. Ngoài ra, SA có thể cung cấp các dịch vụ bảo mật cho
một phiên VPN được bảo vệ bởi AH hoặc ESP.
27

• Một IPSec SA dùng 2 cơ sở dữ liệu. Security Association Database (SAD) nắm
giữ thông tin liên quan đến mỗi SA. Thông tin này bao gồm thuật toán khóa, thời gian
sống của SA, và chuỗi số tuần tự.
Bộ IPSec đưa ra 3 khả năng chính bao gồm :
- Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity).
IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm
chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người
nhận.
- Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử
dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên
đường đi của nó.
- Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key
Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và
trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các
khóa mã và cập nhật những khóa đó khi được yêu cầu.
Transport Mode :
Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport
mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao
thức tầng trên, như hình mô tả bên dưới, AH và ESP sẽ được đặt sau IP header nguyên
thủy. Vì vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ
nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. Chế độ
transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép
các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Khả năng này cho phép
các tác vụ xử lý đặc biệt trên các mạng trung gian dựa trên các thông tin trong IP
header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra gói.
Transport mode thiếu mất quá trình xữ lý phần đầu, do đó nó nhanh hơn. Tuy nhiên,
nó không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã
hóa phần đầu IP.
Tunnel Mode :
- Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ
gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được
chèn vào giữa phần đầu nguyên bản và phần đầu mới của IP.Toàn bộ gói IP ban đầu sẽ
bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ
liệu. Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế
độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec
proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các packets
và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và chuyển nó
về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn chính là gateway.
- Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể
28

được mã hóa. Tunnel mode được dùng khi một trong hai đầu của kết nối IPSec là
security gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSec.
- IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật giữa hai
bên. Thuật ngữ ‘hai chiều’ có ý nghĩa là khi đã được thiết lập, mỗi bên có thể khởi tạo chế
độ QuickMode, Informational và NewGroupMode. IKE SA được nhận ra bởi các cookies
của bên khởi tạo, được theo sau bởi các cookies của trả lời của phía đối tác. Thứ tự các
cookies được thiết lập bởi phase 1 sẽ tiếp tục chỉ ra IKE SA, bất chấp chiều của nó. Chức
năng chủ yếu của IKE là thiết lập và duy trì các SA. Các thuộc tính sau đây là mức tối
thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP (Internet Security
Association and Key Management Protocol) SA:
• Thuật giải mã hóa
• Thuật giải băm được dùng
• Phương thức xác thực sẽ dùng
• Thông tin về nhóm và giải thuật DH
- IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý và trao đổi khóa. IKE
sẽ dò tìm ra được một hợp đồng giữa hai đầu cuối IPSec và sau đó SA sẽ theo dõi tất cả các
thành phần của một phiên làm việc IPSec. Sau khi đã dò tìm thành công, các thông số SA
hợp lệ sẽ được lưu trữ trong cơ sở dữ liệu của SA.
- Thuận lợi chính của IKE bao gồm:
• IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với
bất kỳ cơ chế bảo mật nào.
• Cơ chế IKE, mặc dù không nhanh, nhưng hiệu quả cao bở vì một
lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thông điệp
khá ít.
Giai đoạn I của IKE
- Giai đoạn I của IKE đầu tiên xác nhận các điểm thông tin, và sau đó thiết lập một
kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên thông tin thỏa thuận một ISAKMP SA
đồng ý lẫn nhau, bao gồm các thuật toán mã hóa, hàm băm, và các phương pháp xác nhận
bảo vệ mã khóa.
- Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí
mật được phát sinh. Theo sau là những thông tin được dùng để phát sinh khóa bí mật :
• Giá trị Diffie-Hellman
• SPI của ISAKMP SA ở dạng cookies
• Số ngẩu nhiên known as nonces (used for signing purposes)
Giai đoạn II của IKE:
29

- Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết
bằng việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ khác
nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật toán mã hóa bảo vệ gói dữ liệu
IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn SA.
- Sự thỏa thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn I. Điển hình, sự thỏa
thuận có thể lặp lại sau 4-5 phút. Sự thay đổi thường xuyên các mã khóa ngăn cản các
hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu.
- Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làmviệc
đơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hổ trợ bởi
một trường hợp đơn ở giai đoạn I. Điều này làm qua trình giao dịch chậm chạp của IKE tỏ
ra tương đối nhanh hơn.
- Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols on
which IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE.
IKE Modes:
4 chế độ IKE phổ biến thường được triển khai :
• Chế độ chính (Main mode)
• Chế độ linh hoạt (Aggressive mode)
• Chế độ nhanh (Quick mode)
• Chế độ nhóm mới (New Group mode)
Main Mode :
- Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua
trình giao dịch. Trong chế độ này, 6 thông điệp được trao đổi giữa các điểm:
• 2 thông điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi.
•2 thông điệp kế tiếp phục vụ để thay đổi các khóa Diffie-Hellman và
nonces. Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã
hóa.
• Hai thông điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch
với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận.
Aggressive Mode:
- Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main
mode có 6 thông điệp thì chết độ này chỉ có 3 thông điệp được trao đổi. Do đó, Aggressive
mode nhanh hơn mai mode. Các thông điệp đó bao gồm :
30

• Thông điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa
chính, và trao đổi nonces cho việc ký và xác minh tiếp theo.
• Thông điệp kế tiếp hồi đáp lại cho thông tin đầu tiên. Nó xác thực người
nhận và hoàn thành chính sách bảo mật bằng các khóa.
• Thông điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của
phiên làm việc).
Quick Mode :
- Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa
thuận SA cho các dịch vụ bảo mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh
khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận trong
giai đoạn I, một sự thay đổi hoàn toàn Diffie-Hellman key được khởi tạo. Mặt khác, khóa
mới được phát sinh bằng các giá trị băm.
IV. Tổng quan hệ điều hành Cisco IOS:
IV.1. Kiến trúc hệ thống:
- Giống như là 1 máy tính, router có 1 CPU có khả năng xử lý các câu lệnh dựa
trên nền tảng của router. Hai ví dụ về bộ xử lý mà Cisco dùng là Motorola 68030 và
Orion/R4600. Phần mềm Cisco IOS chạy trên Router đòi hỏi CPU hay bộ vi xử lý để
giải quyết việc định tuyến và bắc cầu, quản lý bảng định tuyến và một vài chức năng
khác của hệ thống. CPU phải truy cập vào dữ liệu trong bộ nhớ để giải quyết các vấn đề
hay lấy các câu lệnh.
- Có 4 loại bộ nhớ thường dùng trên một Router của Cisco là :
• ROM : là bộ nhớ tổng quát trên một con chip hoặc nhiều con. Nó còn có thể
nằm trên bảng mạch bộ vi xử lý của router. Nó chỉ đọc nghỉa là dữ liệu không thể ghi
lên trên nó. Phần mềm đầu tiên chạy trên một router Cisco được gọi là bootstrap
software và thường được lưu trong ROM. Bootstrap software được gọi khi router
khởi động.
• Flash : bộ nhớ Flash nằm trên bảng mạch SIMM nhưng nó có thể được mở
rộng bằng cách sử dụng thẻ PCMCIA (có thể tháo rời). Bộ nhớ flash hầu hết được sử
dụng để lưu trữ một hay nhiều bản sao của phần mềm Cisco IOS. Các file cấu hình
hay thông tin hệ thống cũng có thể được sao chép lên flash. Ở vài hệ thống gần đây,
bộ nhớ flash còn được sử dụng để giữ bootstrap software.
• RAM : là bộ nhớ rất nhanh nhưng nó làm mất thông tin khi hệ thống khởi
động lại. Nó được sử dụng trong máy PC để lưu các ứng dụng đang chạy và dữ liệu.
Trên router, RAM được sử để giữ các bảng của hệ điều hành IOS và làm bộ đệm.
RAM là bộ nhớ cơ bản được sử dụng cho nhu cầu lưu trữ các hệ điều hành
• NVRAM : Trên router, NVRAM được sử dụng để lưu trữ cấu hình khởi
31

động. Đây là file cấu hình mà IOS đọc khi router khởi động. Nó là bộ nhớ cực kỳ
nhanh và liên tục khi khởi động lại.
- Mặc dù CPU và bộ nhớ đòi hỏi một số thành phần để chạy hệ điều hành IOS, router
cần phải có các interface khác nhau cho phép chuyển tiếp các packet. Các interface nhận
vào và xuất ra các kết nối đến router mang theo dữ liệu cần thiết đến router hay switch. Các
loại interface thường dùng là Ethernet và Serial. Tương tự như là các phần mềm driver
trên máy tính với cổng parallel và cổng USB, IOS cũng có các driver của thiết bị để hỗ trợ
cho các loại interface khác nhau.
VD: xem màn hình console của một router 3640 đã khởi động. Chú ý bộ xử lý,
interface và thông tin bộ nhớ được liệt kê :
Cisco 3640 Router Console Output at Startup
System Bootstrap, Version 11.1(20)AA2, EARLY
DEPLOYMENT RELEASE SOFTWARE (fc1)
Copyright (c) 1999 by Cisco Systems, Inc.
C3600 processor with 98304 Kbytes of main memory
Main memory is configured to 64 bit mode with
parity disabled program load complete, entry
point: 0x80008000, size: 0xa8d168
Self decompressing the image :
#################################
################## [OK] Restricted
Rights Legend
Use, duplication, or disclosure by the Government is
subject to restrictions as set forth in subparagraph
(c) of the Commercial Computer Software - Restricted
Rights clause at FAR sec. 52.227-19 and
subparagraph (c) (1) (ii) of the Rights in Technical
Data and Computer
Software clause at
DFARS sec.
252.227-7013.
Cisco Systems,
Inc.
170 West Tasman Drive
San Jose, California 95134-1706
Cisco Internetwork Operating System Software
32

IOS (tm) 3600 Software (C3640-IS-M),
Version 12.2(10), RELEASE SOFTWARE
(fc2)
Copyright (c) 1986-2002 by Cisco Systems, Inc.
Compiled Mon 06-May-02 23:23 by pwade
Image text-base: 0x60008930, data-base: 0x610D2000
cisco 3640 (R4700) processor (revision 0x00)
with 94208K/4096K bytes of memory.
Processor board ID 17746964
R4700 CPU at 100Mhz,
Implementation 33, Rev
1.0 Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by
Meridian Technology Corp). 5
Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
DRAM configuration is 64 bits wide with parity disabled.
125K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
16384K bytes of processor board PCMCIA Slot0 flash (Read/Write)
--- System Configuration Dialog ---
Would you like to enter the initial configuration dialog? [yes/no]:
- Khi một router mới khởi động lần đầu, IOS sẽ chạy tiến trình tự động cài đặt và
người sử dụng được nhắc trả lời 1 vài câu hỏi. Sau đó IOS sẽ cấu hình hệ thống dựa trên
những thông tin nhận được. Sau khi hoàn tất việc cài đặt, cấu hình thường sử dụng nhất
được chỉnh sửa bằng cách dùng giao diện câu lệnh (CLI). Còn có một số cách khác để cấu
hình router bao gồm HTTP và các ứng dụng quản trị mạng.
VI.2. Cisco IOS CLI:
Cisco có 3 mode lệnh, với từng mode sẽ có quyền truy cập tới những bộ lệnh khác nhau
- User mode: Đây là mode đầu tiên mà người sử dụng truy cập vào sau khi đăng
nhập vào router. User mode có thể được nhận ra bởi ký hiệu > ngay sau tên router. Mode
33

này cho phép người dùng chỉ thực thi được một số câu lệnh cơ bản chẳng hạn như xem
trạng thái của hệ thống. Hệ thống không thể được cấu hình hay khởi động lại ở mode này.
- Privileged mode: mode này cho phép người dùng xem cấu hình của hệ thống,
khởi động lại hệ thống và đi vào mode cấu hình. Nó cũng cho phép thực thi tất cả các
câu lệnh ở user mode. Privileged mode có thể được nhận ra bởi ký hiệu # ngay sau tên
router. Người sử dụng sẽ gõ câu lệnh enable để cho IOS biết là họ muốn đi vào
Privileged mode từ User mode. Nếu enable password hay enabel secret password được
cài đặt, nguời sử dụng cần phải gõ vào đúng mật khẩu thì mới có quyền truy cập vào
privileged mode.
- Configuration mode: mode này cho phép người sử dụng chỉnh sửa cấu hình đang
chạy. Để đi vào configuration mode, gõ câu lệnh configure terminal từ privileged mode.
Configuration mode có nhiều mode nhỏ khác nhau, bắt đầu với global
configuration mode, nó có thể được nhận ra bởi ký hiệu (config)# ngay sau tên router. Các
mode nhỏ trong configuration mode thay đổi tuỳ thuộc vào bạn muốn cấu hình cái gì, từ
bên trong ngoặc sẽ thay đổi. Chẳng hạn khi bạn muốn vào mode interface, ký hiệu sẽ thay
đổi thành (config-if)# ngay sau tên router. Để thoát khỏi configuration
mode, người sủ dụng có thể gõ end hay nhấn tổ hợp phím Ctrl-Z.
Chú ý ở các mode, tuỳ vào tình huống cụ thể mà câu lệnh. tại các vị trí sẽ hiển thị
lên các câu lệnh có thể có ở cùng mức. Ký hiệu. cũng có thể sử dụng ở giữa câu
lệnh để xem các tuỳ chọn phức tạp của câu lệnh. Example 4-2 hiển thị cách sử dụng câu
lệnh với từng mode .
VD: Using Context-Sensitive Help:
Router>?
Exec commands:
access-enable Create a temporary Access-List entry
access-profile Apply user-profile to interface
clear Reset functions
…
- Bước tiếp theo sẽ hướng dẫn bạn sử dụng câu lệnh thay đổi mode, xem cấu hình hệ
thống và cấu hình password. Màn hình CLI của một router 3640 đang chạy hệ điều hành
Cisco IOS được hiển thị.
- Bước 1: Vào enable mode bằng cách gõ enable và nhấn phím Enter
Router> enable
34

Router#
- Bước 2: Để xem phiên bản của hệ điều hành IOS đang chạy, gõ lệnh show
version
Router# show version
Cisco Internetwork Operating System Software
IOS (tm) 3600 Software (C3640-IS-M), Version 12.2(10), RELEASE
SOFTWARE (fc2)
Copyright (c) 1986-2002 by Cisco Systems, Inc.
Compiled Mon 06-May-02 23:23 by pwade
Image text-base: 0x60008930, data-base: 0x610D2000
ROM: System Bootstrap, Version 11.1(20)AA2, EARLY DEPLOYMENT
RELEASE SOFTWARE
(fc1)
Router uptime is 47 minutes
System returned to ROM by reload
System image file is "slot0:c3640-is-mz.122-10.bin"
cisco 3640 (R4700) processor (revision 0x00) with 94208K/4096K bytes of
memory.
Processor board ID 17746964
R4700 CPU at 100Mhz, Implementation 33, Rev 1.0 Bridging software.
X.25 software, Version 3.0.0.
SuperLAT software (copyright 1990 by Meridian
Technology Corp). 5 Ethernet/IEEE 802.3 interface(s)
1 Serial network interface(s)
DRAM configuration is 64 bits wide with parity disabled.
125K bytes of non-volatile configuration memory.
8192K bytes of processor board System flash (Read/Write)
16384K bytes of processor board PCMCIA Slot0 flash (Read/Write)
Configuration register is 0x2002
- Từ màn hình hiển thị trên cho ta thấy, router này đang chạy hệ điều hành Cisco
35

IOS phiên bản 12.2(10) và bản sao của nó được lưu trong thẻ nhớ Flash PCMCIA trong
slot 0
- Bước 3: Tiếp theo, cấu hình tên router thành IOS. Vào configuration mode bằng
cách gõ lệnh configure terminal
Router# configure terminal
Enter configuration commands, one per line. End
with CNTL/Z. Router(config)# hostname IOS
IOS(config)#
- Chú ý rằng ký hiệu sẽ chuyển ngay thành IOS sau khi bạn gõ câu lệnh
hostname. Tất cả các thay cấu hình trong Cisco IOS sẽ thực thi ngay lập tức
- Bước 4: Tiếp theo, bạn cần đặt enable password và enable secret password. Enable
secret password được lưu trữ bằng cách dùng thuật toán mã hoá rất mạnh và được ghi đè
lên enable password nếu nó đã được cấu hình
IOS(config)# enable password cisco
IOS(config)# enable secret san-fran
IOS(config)# exit
IOS#
- Để vào enable mode bạn cần gõ mật khẩu là san-fran. Câu lệnh exit sẽ đưa bạn
quay lại 1 mức trong cấu hình hay thoát khỏi mode con hiện tại
- Bước 5: Sau khi cấu hình tên router và cài đặt password, bạn có thể xem cấu hình
đang chạy
IOS# show running-config
Building configuration...
Current configuration : 743 bytes
!
version 12.2
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname IOS
!
36

enable secret 5 $1$IP7a$HClNetI.hpRdox84d.FYU.
enable password cisco
!
ip subnet-zero
!
call rsvp-sync
!
interface Ethernet0/0
no ip address
shutdown
half-duplex
!
interface Serial0/0
no ip address
shutdown
no fair-queue
!
no ip address
shutdown
half-duplex
!
no ip address
shutdown
half-duplex
!
no ip address
shutdown
half-duplex
!
no ip address
shutdown
half-duplex
!
ip classless
ip http server
ip pim bidir-enable
37

!
dial-peer cor custom
!
line con 0
line aux 0
line vty 0 4
!
end
- Bước 6: Màn hình sau khi gõ show running-config sẽ hiển thị cấu hình hiện thời
đang hoạt động trong hệ thống, tuy nhiên cấu hình này sẽ mất nếu như hệ thống khởi động
lại. Để lưu cấu hình vào NVRAM, bạn chắc chắn phải gõ lệnh.
IOS# copy running-config startup-config
Destination filename
[startup-config]?
Building
configuration...
[OK]
- Bước 7: Để xem cấu hình được lưu trong NVRAM, bạn dùng lệnh show startup-
config
- Trong chuỗi các bước trên, chú ý interface Ethernet và serial được hiển thị trong
file cấu hình. Mỗi interface cần có những thông số chắc chắn như sự đóng gói và địa chỉ
được cài đặt trước khi interface có thể sử dụng một cách đúng đắn. Thêm vào đó, định tưyến
IP và bắc cầu cần phải được cấu hình. Tham khảo việc cài đặt Cisco IOS và hướng dẫn cấu
hình tại www.cisco.com cho phiên bản phần mêm của bạn để tham khảo thêm về tất cả các
tuỳ chọn cấu hình có thể có và hướng dẫn chi tiết.
- Một vài câu lệnh thường dùng để quản lý hệ thống
Cisco IOS Command Miêu tả
Show interface Hiển thị trạng thái hiện tại và chi tiết cấu hình cho
tất cả các interface trong hệ thống
Show processes cpu Hiển thị việc sử dụng CPU và các tiến trình đang
chạy trong hệ thống
Show buffers Xem có bao nhiêu buffers đang được cấp phát
hiện thời và sự hoạt động cho việc chuyển tiếp các
packet
38

Show memory Xem có bao nhiêu bộ nhớ được cấp phát cho các
chưc năng khác của hệ thống và việc sử dụng bộ nhớ
Show diag Hiển thị chi tiết các thẻ nhớ trong hệ thống
Show ip route Hiển thị bảng IP route đang sử dụng
Show arp Hiển thị địa chỉ MAC ánh xạ từ địa chỉ IP đang
dùng trong bang ARP
V. Qui trình cấu hình 4 bước IPsec / VPN trên Cisco IOS:
- Ta có thể cấu hình IPSec trên VPN qua 4 bước sau đây:
1. Chuẩn bị cho IKE và IPSec
2. Cấu hình cho IKE
3. Cấu hình cho IPSec
Cấu hình dạng mã hóa cho gói dữ liệu
Crypto ipsec transform-set
Cấu hình thời gian tồn tại của gói dữ liệu và các tùy chọn bảo mật khác
Crypto ipsec sercurity-association lifetime
Tạo crytoACLs bằng danh sách truy cập mở rộng (Extended Access
List)
Crypto map
Cấu hình IPSec crypto maps
Áp dụng các crypto maps vào các cổng giao tiếp (interfaces)
Crypto map map-name
4. Kiểm tra lại việc thực hiện IPSec:
4.1. Cấu hình cho mã hóa dữ liệu:
- Sau đây bạn sẽ cấu hình Cisco IOS IPSec bằng cách sử dụng chính
sách bảo mật IPSec (IPSec Security Policy) để định nghĩa các các chính sách
bảo mật IPSec (transform set).
39

Vpn Qos trên router cisco

Recommended

Recommended

More Related Content

What's hot

What's hot (19)

Viewers also liked

Viewers also liked (20)

Similar to Vpn Qos trên router cisco

Similar to Vpn Qos trên router cisco (20)

More from laonap166

More from laonap166 (20)

Vpn Qos trên router cisco