Câu Hình IPSEC/VPN Trên Thiêt Bị Cisco

Chia sẻ: Timgikhongbiet Timgikhongbiet | Ngày: | Loại File: PDF | Số trang:46

1
1.510
lượt xem
867
download

Câu Hình IPSEC/VPN Trên Thiêt Bị Cisco

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Vi mô hình mi này, ng i ta không phi dâu t thêm nhiêu vê c$ s h tâng mà các tính nang nh bo mat, do tin cay van dm bo, dông thi có the qun lý riêng d c s hot dong c a mng này. VPN cho phép ng i s dng làm viec ti nhà, trên d ng di hay các van phòng chi nhánh có the kêt nôi an toàn dên máy ch c a to ch c mình bang c$ s h tâng d c cung câp bi mng công cong.[5] Nó có the dm bo an toàn thông tin gia các di lý, ng i cung...

Chủ đề:
Lưu

Nội dung Text: Câu Hình IPSEC/VPN Trên Thiêt Bị Cisco

  1. C u Hình IPSEC/VPN Trên Thi t B Cisco I. T ng Quan V VPN: Trong th i i ngày nay, Internet ã phát tri n m nh v m t mô hình cho n công ngh , áp ng các nhu c u c a ngư i s d ng. Internet ã ư c thi t k k tn i nhi u m ng khác nhau và cho phép thông tin chuy n n ngư i s d ng m t cách t do và nhanh chóng mà không xem xét n máy và m ng mà ngư i s d ng ó ang dùng. làm ư c i u này ngư i ta s d ng m t máy tính c bi t g i là router k tn i các LAN và WAN v i nhau. Các máy tính k t n i vào Internet thông qua nhà cung c p d ch v (ISP-Internet Service Provider), c n m t giao th c chung là TCP/IP. i u mà k thu t còn ti p t c ph i gi i quy t là năng l c truy n thông c a các m ng vi n thông công c ng. V i Internet, nh ng d ch v như giáo d c t xa, mua hàng tr c tuy n, tư v n y t , và r t nhi u i u khác ã tr thành hi n th c.Tuy nhiên, do Internet có ph m vi toàn c u và không m t t ch c, chính ph c th nào qu n lý nên r t khó khăn trong
  2. Câu Hình IPSEC/VPN Trên Thiêt Bị Cisco
  3. vi c b o m t và an toàn d li u cũng như trong vi c qu n lý các d ch v . T ó ngư i ta ã ưa ra m t mô hình m ng m i nh m tho mãn nh ng yêu c u trên mà v n có th t n d ng l i nh ng cơ s h t ng hi n có c a Internet, ó chính là mô hình m ng riêng o (Virtual Private Network - VPN). V i mô hình m i này, ngư i ta không ph i u tư thêm nhi u v cơ s h t ng mà các tính năng như b o m t, tin c y v n m b o, ng th i có th qu n lý riêng ư c s ho t ng c a m ng này. VPN cho phép ngư i s d ng làm vi c t i nhà, trên ư ng i hay các văn phòng chi nhánh có th k t n i an toàn n máy ch c a t ch c mình b ng cơ s h t ng ư c cung c p b i m ng công c ng.[5] Nó có th m b o an toàn thông tin gi a các i lý, ngư i cung c p, và các i tác kinh doanh v i nhau trong môi trư ng truy n thông r ng l n. Trong nhi u trư ng h p VPN cũng gi ng như WAN (Wide Area Network), tuy nhiên c tính quy t nh c a VPN là chúng có th dùng m ng công c ng như Internet mà m b o tính riêng tư và ti t ki m hơn nhi u. 1. nh Nghĩa VPN: VPN ư c hi u ơn gi n như là s m r ng c a m t m ng riêng (private network) thông qua các m ng công c ng. V căn b n, m i VPN là m t m ng riêng r s d ng m t m ng chung (thư ng là internet) k t n i cùng v i các site (các m ng riêng l ) hay nhi u ngư i s d ng t xa. Thay cho vi c s d ng b i m t k t n i th c, chuyên d ng như ư ng leased line, m i VPN s d ng các k t n i o ư c d n ư ng qua Internet t m ng riêng c a các công ty t i các site hay các nhân viên t xa. có th g i và nh n d li u thông qua m ng công c ng mà v n b o m tính an tòan và b o m t VPN cung c p các cơ ch mã hóa d li u trên ư ng truy n t o ra m t ư ng ng b o m t gi a nơi nh n và nơi g i (Tunnel) gi ng như m t k t n i point-to-point trên m ng riêng. có th t o ra m t ư ng ng b o m t ó, d li u ph i ư c mã hóa hay che gi u i ch cung c p ph n u gói d li u (header) là thông tin v ư ng i cho phép nó có th i n ích thông qua m ng công c ng m t cách nhanh chóng. D l êu ư c mã hóa m t cách c n th n do ó n u các packet b b t l i trên ư ng truy n công c ng cũng không th c ư c n i dung vì không có khóa gi i mã. Liên k t v i d li u ư c mã hóa và óng gói ư c g i là k t n i VPN. Các ư ng k t n i VPN thư ng ư c g i là ư ng ng VPN (VPN Tunnel).
  4. 2. L i ích c a VPN: VPN cung c p nhi u c tính hơn so v i nh ng m ng truy n th ng và nh ng m ng m ng leased-line.Nh ng l i ích u tiên bao g m: • Chi phí th p hơn nh ng m ng riêng: VPN có th gi m chi phí khi truy n t i 20- 40% so v i nh ng m ng thu c m ng leased-line và gi m vi c chi phí truy c p t xa t 60-80%. • Tính linh ho t cho kh năng kinh t trên Internet: VPN v n ã có tính linh ho t và có th leo thang nh ng ki n trúc m ng hơn là nh ng m ng c i n, b ng cách ó nó có th ho t ng kinh doanh nhanh chóng và chi phí m t cách hi u qu cho vi c k t n i m r ng. Theo cách này VPN có th d dàng k t n i ho c ng t k t n i t xa c a nh ng văn phòng, nh ng v trí ngoài qu c t ,nh ng ngư i truy n thông, nh ng ngư i dùng i n tho i di ng, nh ng ngư i ho t ng kinh doanh bên ngoài như nh ng yêu c u kinh doanh ã òi h i. • ơn gi n hóa nh ng gánh n ng. • Nh ng c u trúc m ng ng, vì th gi m vi c qu n lý nh ng gánh n ng: S d ng m t giao th c Internet backbone lo i tr nh ng PVC tĩnh h p v i k t n i hư ng nh ng giao th c như là Frame Rely và ATM. • Tăng tình b o m t: các d li u quan tr ng s ư c che gi u i v i nh ng ngư i không có quy n truy c p và cho phép truy c p i v i nh ng ngư i dùng có quy n truy c p.
  5. • H tr các giao th c m n thông d ng nh t hi n nay như TCP/IP • B o m t a ch IP: b i vì thông tin ư c g i i trên VPN ã ư c mã hóa do ó các i ch bên trong m ng riêng ư c che gi u và ch s d ng các a ch bên ngoài Internet. 3. Các thành ph n c n thi t t o k t n i VPN: - User Authentication: cung c p cơ ch ch ng th c ngư i dùng, ch cho phép ngư i dùng h p l k t n i và truy c p h th ng VPN. - Address Management: cung c p a ch IP h p l cho ngư i dùng sau khi gia nh p h th ng VPN có th truy c p tài nguyên trên m ng n i b . - Data Encryption: cung c p gi i pháp mã hoá d li u trong quá trình truy n nh m b o m tính riêng tư và toàn v n d li u. - Key Management: cung c p gi i pháp qu n lý các khoá dùng cho quá trình mã hoá và gi i mã d li u. 4. Các thành ph n chính t o nên VPN Cisco: a. Cisco VPN Router: s d ng ph n m m Cisco IOS, IPSec h tr cho vi c b o m t trong VPN. VPN t I ưu hóa các router như là òn b y ang t n t I s u tư c a Cisco. Hi u qu nh t trong các m ng WAN h n h p. b. Cisco Secure PIX FIREWALL: ưa ra s l a ch n khác c a c ng k t n I VPN khi b o m t nhóm “riêng tư” trong VPN. c. Cisco VPN Concentrator series: ưa ra nh ng tính năng m nh trong vi c i u khi n truy c p t xa và tương thích v I d ng site-to-site VPN. Có giao di n qu n lý d s d ng và m t VPN client. d. Cisco Secure VPN Client : VPN client cho phép b o m t vi c truy c p t xa t I router Cisco và Pix Firewalls và nó là m t chương trình ch y trên h i u hành Window. e. Cisco Secure Intrusion Detection System(CSIDS) và Cisco Secure Scanner thư ng ư c s d ng giám sát và ki m tra các v n b o m t trong VPN. f. Cisco Secure Policy Manager and Cisco Works 2000 cung c p vi c qu n lý h th ng VPN r ng l n.
  6. 5. Các giao th c VPN: Các giao th c t o nên cơ ch ư ng ng b o m t cho VPN là L2TP, Cisco GRE và IPSec. a. L2TP: - Trư c khi xu t hi n chu n L2TP (tháng 8 năm 1999), Cisco s d ng Layer 2 Forwarding (L2F) như là giao th c chu n t o k t n i VPN. L2TP ra i sau v i nh ng tính năng ư c tích h p t L2F. - L2TP là d ng k t h p c a Cisco L2F và Mircosoft Point-to-Point Tunneling Protocol (PPTP). Microsoft h tr chu n PPTP và L2TP trong các phiên b n WindowNT và 2000 - L2TP ư c s d ng t o k t n i c l p, a giao th c cho m ng riêng o quay s (Virtual Private Dail-up Network). L2TP cho phép ngư i dùng có th k t n i thông qua các chính sách b o m t c a công ty (security policies) t o VPN hay VPDN như là s m r ng c a m ng n i b công ty. - L2TP không cung c p mã hóa. - L2TP là s k t h p c a PPP(giao th c Point-to-Point) v i giao th c L2F(Layer 2 Forwarding) c a Cisco do ó r t hi u qu trong k t n i m ng dial, ADSL, và các m ng truy c p t xa khác. Giao th c m r ng này s d ng PPP cho phép truy c p VPN b i nh ng ngư I s d ng t xa.
  7. b. GRE: - ây là a giao th c truy n thông óng gói IP, CLNP và t t c cá gói d li u bên trong ư ng ng IP (IP tunnel) - V i GRE Tunnel, Cisco router s óng gói cho m i v trí m t giao th c c trưng ch nh trong gói IP header, t o m t ư ng k t n i o (virtual point-to-point) t i Cisco router c n n. Và khi gói d li u n ích IP header s ư c m ra - B ng vi c k t n i nhi u m ng con v i các giao th c khác nhau trong môi trư ng có m t giao th c chính. GRE tunneling cho phép các giao th c khác có th thu n l i trong vi c nh tuy n cho gói IP. c. IPSec: - IPSec là s l a ch n cho vi c b o m t trên VPN. IPSec là m t khung bao g m b o m t d li u (data confidentiality), tính tòan v n c a d li u (integrity) và vi c ch ng th c d li u. - IPSec cung c p d ch v b o m t s d ng KDE cho phép th a thu n các giao th c và thu t tóan trên n n chính sách c c b (group policy) và sinh ra các khóa b o mã hóa và ch ng th c ư c s d ng trong IPSec. d. Point to Point Tunneling Protocol (PPTP): - ư c s d ng tr n các máy client ch y H H Microsoft for NT4.0 và Windows 95+ . Giao th c này ơc s d ng mã hóa d li u lưu thông trên M ng LAN. Gi ng
  8. như giao th c NETBEUI và IPX trong m t packet g I lên Internet. PPTP d a trên chu n RSA RC4 và h tr b I s mã hóa 40-bit ho c 128-bit. - Nó không ư c phát tri n trên d ng k t n I LAN-to-LAN và gi i h n 255 k t n i t I 1 server ch có m t ư ng h m VPN trên m t k t n i. Nó không cung c p s mã hóa cho các công vi c l n nhưng nó d cài t và tri n khai và là m t gi I pháp truy c p t xa ch có th làm ư c trên m ng MS. Giao th c này thì ư c dùng t t trong Window 2000. Layer 2 Tunneling Protocol thu c v IPSec. 6. Thi t l p m t k t n i VPN: a. Máy VPN c n k t n i (VPN client) t o k t n t VPN (VPN Connection) t i máy ch cung c p d ch v VPN (VPN Server) thông qua k t n i Internet. b. Máy ch cung c p d ch v VPN tr l i k t n i t i
  9. c. Máy ch cung c p d ch v VPN ch ng th c cho k t n i và c p phép cho k t n i d. B t u trao i d li u gi a máy c n k t n i VPN và m ng công ty 7. Các d ng k t n i VPN: a. Remote Access VPNs : Remote Access VPNs cho phép truy c p b t c lúc nào b ng Remote, mobile, và các thi t b truy n thông c a nhân viên các chi nhánh k t n i n tài nguyên m ng c a t ch c. Remote Access VPN mô t vi c các ngư i dùng xa s d ng các ph n m m VPN truy c p vào m ng Intranet c a công ty thông qua gateway ho c VPN concentrator (b n ch t là m t server). Vì lý do này, gi i pháp này thư ng ư c g i là client/server. Trong gi i pháp này, các ngư i dùng thư ng thư ng s d ng các công ngh WAN truy n th ng t o l i các tunnel v m ng HO c a h . M t hư ng phát tri n khá m i trong remote access VPN là dùng wireless VPN, trong ó m t nhân viên có th truy c p v m ng c a h thông qua k t n i không dây. Trong thi t k này, các k t n i không dây c n ph i k t n i v m t tr m wireless (wireless terminal) và sau ó v m ng c a công ty. Trong c hai trư ng h p, ph n m m client trên máy PC u cho phép kh i t o các k t n i b o m t, còn ư c g i là tunnel. M t ph n quan tr ng c a thi t k này là vi c thi t k quá trình xác th c ban u nh m m b o là yêu c u ư c xu t phát t m t ngu n tin c y. Thư ng thì giai o n ban u này d a trên cùng m t chính sách v b o m t c a công ty. Chính sách này bao
  10. g m: qui trình (procedure), k thu t, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…). M t s thành ph n chính : - Remote Access Server (RAS) : ư c t t i trung tâm có nhi m v xác nh n và ch ng nh n các yêu c u g i t i. - Quay s k t n i n trung tâm, i u này s làm gi m chi phí cho m t s yêu c u khá xa so v i trung tâm. - H tr cho nh ng ngư i có nhi m v c u hình, b o trì và qu n lý RAS và h tr truy c p t xa b i ngư i dùng. Figure 1-2: The non-VPN remote access setup. - B ng vi c tri n khai Remote Access VPNs, nh ng ngư i dùng t xa ho c các chi nhánh văn phòng ch c n cài t m t k t n i c c b n nhà cung c p d ch v ISP ho c ISP’s POP và k t n i n tài nguyên thông qua Internet. Thông tin Remote Access Setup ư c mô t b i hình v sau :
  11. Figure 1-3: The Remote Access VPN setup Như b n có th suy ra t hình 1-3, thu n l i chính c a Remote Access VPNs : - S c n thi t c a RAS và vi c k t h p v i modem ư c lo i tr . - S c n thi t h tr cho ngư i dung cá nhân ư c lo i tr b i vì k t n i t xa ã ư c t o i u ki n thu n l i b i ISP - Vi c quay s t nh ng kho ng cách xa ư c lo i tr , thay vào ó, nh ng k t n i v i kho ng cách xa s ư c thay th b i các k t n i c c b . - Gi m giá thành chi phí cho các k t n i v i kho ng cách xa. - Do ây là m t k t n i mang tính c c b , do v y t c n i k t s cao hơn so v i k t n i tr c ti p n nh ng kho ng cách xa. - VPNs cung c p kh năng truy c p n trung tâm t t hơn b i vì nó h tr d ch v truy c p m c t i thi u nh t cho dù có s tăng nhanh chóng các k t n i ng th i n m ng. Ngoài nh ng thu n l i trên, VPNs cũng t n t i m t s b t l i khác như : - Remote Access VPNs cũng không b o m ư c ch t lư ng ph c v .
  12. - Kh năng m t d li u là r t cao, thêm n a là các phân o n c a gói d li u có th i ra ngoài và b th t thoát. - Do ph c t p c a thu t toán mã hoá, protocol overhead tăng áng k , i u này gây khó khăn cho quá trình xác nh n. Thêm vào ó, vi c nén d li u IP và PPP-based di n ra vô cùng ch m ch p và t i t . - Do ph i truy n d li u thông qua Internet, nên khi trao i các d li u l n như các gói d li u truy n thông, phim nh, âm thanh s r t ch m. b. Site - To – Site (Lan – To - Lan): - Site-to-site VPN(Lan-to-Lan VPN): ư c áp d ng cài t m ng t m t v trí này k t n I t I m ng c a m t v trí khác thông qua VPN. Trong hoàn c nh này thì vi c ch ng th c ban u gi a các thi t b m ng ư c giao cho ngư i s d ng. Nơi mà có m t k t n I VPN ư c thi t l p gi a chúng. Khi ó các thi t b này óng vai trò như là m t gateway, và m b o r ng vi c lưu thông ã ư c d tính trư c cho các site khác. Các router và Firewall tương thích v I VPN, và các b t p trung VPN chuyên d ng u cung c p ch c năng này. - Lan-to-Lan VPN có th ư c xem như là intranet VPN ho c extranet VPN(xem xét v m t chính sách qu n lý). N u chúng ta xem xét dư I góc ch ng th c nó có th ư c xem như là m t intranet VPN, ngư c l I chúng ư c xem như là m t extranet VPN. Tính ch t ch trong vi c truy c p gi a các site có th ư c i u khi n b i c hai(intranet và extranet VPN) theo các site tương ng c a chúng. Gi i pháp Site to site
  13. VPN không là m t remote access VPN nhưng nó ư c thêm vào ây vì tính ch t hoàn thi n c a nó. - S phân bi t gi a remote access VPN và Lan to Lan VPN ch ơn thu n mang tính ch t tư ng trưng và xa hơn là nó ư c cung c p cho m c ích th o lu n. Ví d như là các thi t b VPN d a trên ph n c ng m I(Router cisco 3002 ch ng h n) ây phân lo I ư c, chúng ta ph I áp d ng c hai cách, b I vì harware-based client có th xu t hi n n u m t thi t b ang truy c p vào m ng. M c dù m t m ng có th có nhi u thi t b VPN ang v n hành. M t ví d khác như là ch m r ng c a gi I pháp Ez VPN b ng cách dùng router 806 và 17xx. - Lan-to-Lan VPN là s k t n I hai m ng riêng l thông qua m t ư ng h m b o m t. ư ng h m b o m t này có th s d ng các giao th c PPTP, L2TP, ho c IPSec, m c ích c a Lan-to-Lan VPN là k t n I hai m ng không có ư ng n I l I v I nhau, không có vi c th a hi p tích h p, ch ng th c, s c n m t c a d li u. b n có th thi t l p m t Lan-to-Lan VPN thông qua s k t h p c a các thi t b VPN Concentrators, Routers, and Firewalls. - K t n I Lan-to-Lan ư c thi t k t o m t k t n I m ng tr c ti p, hi u qu b t ch p kho ng cách v t lý gi a chúng. Có th k t n I này luân chuy n thông qua internet ho c m t m ng không ư c tin c y.B n ph I m b o v n b o m t b ng cách s d ng s mã hóa d li u trên t t c các gói d li u ang luân chuy n gi a các m ng ó. 1. Intranet VPNs: Figure 1-4: The intranet setup using WAN backbone
  14. - Intranet VPNs ư c s d ng k t n i n các chi nhánh văn phòng c a t ch c n Corperate Intranet (backbone router) s d ng campus router, xem hình bên dư i : - Theo mô hình bên trên s r t t n chi phí do ph i s d ng 2 router thi t l p ư c m ng, thêm vào ó, vi c tri n khai, b o trì và qu n lý m ng Intranet Backbone s r t t n kém còn tùy thu c vào lư ng lưu thông trên m ng i trên nó và ph m vi a lý c a toàn b m ng Intranet. - Ð gi i quy t v n trên, s t n kém c a WAN backbone ư c thay th b i các k t n i Internet v i chi phí th p, i u này có th m t lư ng chi phí áng k c a vi c tri n khai m ng Intranet, xem hình bên dư i : Figure 1-5: The intranet setup based on VPN. Nh ng thu n l i chính c a Intranet setup d a trên VPN theo hình 1-5 : - Hi u qu chi phí hơn do gi m s lư ng router ư c s d ng theo mô hình WAN backbone - Gi m thi u áng k s lư ng h tr yêu c u ngư i dùng cá nhân qua toàn c u, các tr m m t s remote site khác nhau.
  15. - B i vì Internet ho t ng như m t k t n i trung gian, nó d dàng cung c p nh ng k t n i m i ngang hàng. - K t n i nhanh hơn và t t hơn do v b n ch t k t n i n nhà cung c p d ch v , lo i b v n v kho ng cách xa và thêm n a giúp t ch c gi m thi u chi phí cho vi c th c hi n Intranet. Nh ng b t l i chính k t h p v i cách gi i quy t : - B i vì d li u v n còn tunnel trong su t quá trình chia s trên m ng công c ng- Internet-và nh ng nguy cơ t n công, như t n công b ng t ch i d ch v (denial-of- service), v n còn là m t m i e do an toàn thông tin. - Kh năng m t d li u trong lúc di chuy n thông tin cũng v n r t cao. - Trong m t s trư ng h p, nh t là khi d li u là lo i high-end, như các t p tin mulltimedia, vi c trao i d li u s r t ch m ch p do ư c truy n thông qua Internet. - Do là k t n i d a trên Internet, nên tính hi u qu không liên t c, thư ng xuyên, và QoS cũng không ư c m b o. 2. Extranet VPNs: - Không gi ng như Intranet và Remote Access-based, Extranet không hoàn toàn cách li t bên ngoài (outer-world), Extranet cho phép truy c p nh ng tài nguyên m ng c n thi t c a các i tác kinh doanh, ch ng h n như khách hàng, nhà cung c p, i tác nh ng ngư i gi vai trò quan tr ng trong t ch c. Figure 1-6: The traditional extranet setup.
  16. - Như hình trên, m ng Extranet r t t n kém do có nhi u o n m ng riêng bi t trên Intranet k t h p l i v i nhau t o ra m t Extranet. Ði u này làm cho khó tri n khai và qu n lý do có nhi u m ng, ng th i cũng khó khăn cho cá nhân làm công vi c b o trì và qu n tr . Thêm n a là m ng Extranet s d m r ng do i u này s làm r i tung toàn b m ng Intranet và có th nh hư ng n các k t n i bên ngoài m ng. S có nh ng v n b n g p ph i b t thình lình khi k t n i m t Intranet vào m t m ng Extranet. Tri n khai và thi t k m t m ng Extranet có th là m t cơn ác m ng c a các nhà thi t k và qu n tr m ng. Figure 1-7: The Extranet VPN setup M t s thu n l i c a Extranet : - Do ho t ng trên môi trư ng Internet, b n có th l a ch n nhà phân ph i khi l a ch n và ưa ra phương pháp gi i quy t tuỳ theo nhu c u c a t ch c.- B i vì m t ph n Internet-connectivity ư c b o trì b i nhà cung c p (ISP) nên cũng gi m chi phí b o trì khi thuê nhân viên b o trì.- D dàng tri n khai, qu n lý và ch nh s a thông tin. M t s b t l i c a Extranet : -S e d a v tính an toàn, như b t n công b ng t ch i d ch v v n còn t n t i. - Tăng thêm nguy hi m s xâm nh p i v i t ch c trên Extranet. - Do d a trên Internet nên khi d li u là các lo i high-end data thì vi c trao i di n ra ch m ch p.
  17. - Do d a trên Internet, QoS(Quality of Service) cũng không ư c b o m thư ng xuyên. II. Tìm Hi u V Giao Th c IPSec: - Thu t ng IPSec là m t t vi t t t c a thu t Internet Protocol Security. Nó có quan h t i m t s b giao th c (AH, ESP, FIP-140-1, và m t s chu n khác) ư c phát tri n b i Internet Engineering Task Force (IETF). M c ích chính c a vi c phát tri n IPSec là cung c p m t cơ c u b o m t t ng 3 (Network layer) c a mô hình OSI, như hình 6-1. Figure 6-1: The position of IPSec in the OSI model. - M i giao ti p trong m t m ng trên cơ s IP u d a trên các giao th c IP. Do ó, khi m t cơ ch b o m t cao ư c tích h p v i giao th c IP, toàn b m ng ư c b o m t b i vì các giao ti p u i qua t ng 3. ( ó là lý do tai sao IPSec ư c phát tri n giao th c t ng 3 thay vì t ng 2). - IPSec VPN dùng các d ch v ư c nh nghĩa trong IPSec m b o tính toàn v n d li u, tính nh t quán, tính bí m t và xác th c c a truy n d li u trên m t h t ng m ng công c ng.
  18. - Ngoài ra,v i IPSec t t c các ng d ng ang ch y t ng ng d ng c a mô hình OSI u c l p trên t ng 3 khi nh tuy n d li u t ngu n n ích. B i vì IPSec ư c tích h p ch t ch v i IP, nên nh ng ng d ng có th dùng các d ch v k th a tính năng b o m t mà không c n ph i có s thay i l n lao nào. Cũng gi ng IP, IPSec trong su t v i ngư i dùng cu i, là ngư i mà không c n quan tâm n cơ ch b o m t m r ng liên t c ng sau m t chu i các ho t ng. - IPSec ho t ng d a trên mô hình ngang hàng (peer-to-peer) hơn là mô hình client/server. Security Association (SA) là m t qui ư c gi a hai bên trong ó thúc y các trao i gi a hai bên giao ti p. M i bên giao ti p (có th là thi t b , ph n m m) ph i th ng nh t v i nhau v các chính sách ho c các qui t c b ng cách s dò tìm các chính sách này v i i tác tìm năng c a nó. Có hai ki u SA: ISAKMP SA (còn ư c bi t n v i tên g i là IKE SAs) và IPSec SA. - Security Associations (SAs) là m t khái ni m cơ b n c a b giao th c IPSec. SA là m t k t n i lu n lý theo m t phương hư ng duy nh t gi a hai th c th s d ng các d ch v IPSec. • Các giao th c xác nh n, các khóa, và các thu t toán • Phương th c và các khóa cho các thu t toán xác nh n ư c dùng b i các giao th c Authentication Header (AH) hay Encapsulation Security Payload (ESP) c a b IPSec • Thu t toán mã hóa và gi i mã và các khóa. • Thông tin liên quan khóa, như kho ng th i gian thay i hay kho ng th i gian làm tươi c a các khóa. • Thông tin liên quan n chính b n thân SA bao g m a ch ngu n SA và kho ng th i gian làm tươi. • Cách dùng và kích thư c c a b t kỳ s ng b mã hóa dùng, n u có. Figure 6-2: A generic representation of the three fields of an IPSec SA.
  19. Như hình 6-2, IPSec SA g m có 3 trư ng : - SPI (Security Parameter Index). ây là m t trư ng 32 bit dùng nh n d ng giao th c b o m t, ư c nh nghĩa b i trư ng Security protocol, trong b IPSec ang dùng. SPI ư c mang theo như là m t ph n u c a giao th c b o m t và thư ng ư c ch n b i h th ng ích trong su t quá trình th a thu n c a SA. - Destination IP address. ây là a ch IP c a nút ích. M c dù nó có th là a ch broadcast, unicast, hay multicast, nhưng cơ ch qu n lý hi n t i c a SA ch ư c nh nghĩa cho h th ng unicast. - Security protocol. Ph n này mô t giao th c b o m t IPSec, có th là AH ho c ESP. - Chú thích : • Broadcasts có nghĩa cho t t c h th ng thu c cùng m t m ng ho c m ng con. Còn multicasts g i n nhi u (nhưng không ph i tât c ) nút c a m t m ng ho c m ng con cho s n. Unicast có nghĩa cho 1 nút ích ơn duy nh t. B i vì b n ch t theo m t chi u duy nh t c a SA, cho nên 2 SA ph i ư c nh nghĩa cho hai bên thông tin u cu i, m t cho m i hư ng. Ngoài ra, SA có th cung c p các d ch v b o m t cho m t phiên VPN ư c b o v b i AH ho c ESP. Do v y, n u m t phiên c n b o v kép b i c hai AH và ESP, 2 SA ph i ư c nh nghĩa cho m i hư ng. Vi c thi t l p này c a SA ư c g i là SA bundle. • M t IPSec SA dùng 2 cơ s d li u. Security Association Database (SAD) n m gi thông tin liên quan n m i SA. Thông tin này bao g m thu t toán khóa, th i gian s ng c a SA, và chu i s tu n t . Cơ s d li u th c hai c a IPSec SA, Security Policy Database (SPD), n m gi thông tin v các d ch v b o m t kèm theo v i m t danh sách th t chính sách các i m vào và ra. Gi ng như firewall rules và packet filters, nh ng i m truy c p này nh nghĩa lưu lư ng nào ư c x lý và lưu lư ng nào b t ch i theo t ng chu n c a IPSec. B IPSec ưa ra 3 kh năng chính bao g m : - Tính xác nh n và Tính nguyên v n d li u (Authentication and data integrity). IPSec cung c p m t cơ ch m nh m xác nh n tính ch t xác th c c a ngư i g i và ki m ch ng b t kỳ s s a i không ư c b o v trư c ó c a n i dung gói d li u b i ngư i nh n. Các giao th c IPSec ưa ra kh năng b o v m nh ch ng l i các d ng t n công gi m o, ánh hơi và t ch i d ch v . - S c n m t (Confidentiality). Các giao th c IPSec mã hóa d li u b ng cách s d ng k thu t mã hóa cao c p, giúp ngăn c n ngư i chưa ch ng th c truy c p d li u
  20. trên ư ng i c a nó. IPSec cũng dùng cơ ch t o h m n a ch IP c a nút ngu n (ngư i g i) và nút ích (ngư i nh n) t nh ng k nghe lén. - Qu n lý khóa (Key management). IPSec dùng m t giao th c th ba, Internet Key Exchange (IKE), th a thu n các giao th c bao m t và các thu t toán mã hóa trư c và trong su t phiên giao d ch. M t ph n quan tr ng n a, IPSec phân ph i và ki m tra các khóa mã và c p nh t nh ng khóa ó khi ư c yêu c u. - Hai tính năng u tiên c a b IPSec, authentication and data integrity, và confidentiality, ư c cung c p b i hai giao th c chính c a trong b giao th c IPSec. Nh ng giao th c này bao g m Authentication Header (AH) và Encapsulating Security Payload (ESP). - Tính năng th ba, key management, n m trong b giao th c khác, ư c b IPSec ch p nh n b i nó là m t d ch v qu n lý khóa m nh. Giao th c này là IKE. - SAs trong IPSec hi n t i ư c tri n khai b ng 2 ch ó là ch Transport và ch Tunnel ư c mô t hình 6-7. C AH và ESP có th làm vi c v i m t trong hai ch này. Figure 6-7: The two IPSec modes. Transport Mode : - Transport mode b o v giao th c t ng trên và các ng d ng. Trong Transport mode, ph n IPSec header ư c chèn vào gi a ph n IP header và ph n header c a giao th c t ng trên, như hình mô t bên dư i, AH và ESP s ư c t sau IP header nguyên th y. Vì v y ch có t i (IP payload) là ư c mã hóa và IP header ban u là ư c gi nguyên v n. Transport mode có th ư c dùng khi c hai host h tr IPSec. Ch transport này có thu n l i là ch thêm vào vài bytes cho m i packets và nó cũng cho phép các thi t b trên m ng th y ư c a ch ích cu i cùng c a gói. Kh năng này cho
Đồng bộ tài khoản