Bài giảng Xây dựng hệ thống firewall - Bài 5: Triển khai hệ thống VPN trên Cisco IOS

TÓM LƯỢC BÀI HỌC Sử dụng giao thức bảo mật cho Tunnel VPN: IPSec Cấu hình Site-to-Site IPSec VPN Cấu hình Cisco Easy VPN. Kết luận: Bài học này rất hay giúp triển khai một hệ thống VPN với cơ chế bảo mật thông qua giao thức IPSec. Ứng dụng bài học vào thực tiễn xây dựng hệ thống VPN an toàn cho DN.

pdf131 trang | Chia sẻ: vutrong32 | Lượt xem: 1289 | Lượt tải: 0download
Bạn đang xem trước 20 trang tài liệu Bài giảng Xây dựng hệ thống firewall - Bài 5: Triển khai hệ thống VPN trên Cisco IOS, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL 1 Trường Cao đẳng Nghề CNTT iSPACE Khoa Mạng Và An Ninh Thông Tin fit@ispace.edu.vn TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS Bài 4: BẢO MẬT LAYER 2 Bài 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL 2 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn BÀI 5: TRIỂN KHAI HỆ THỐNG VPN TRÊN CISCO IOS Giới thiệu IPsec và đặc điểm IPsec Triển khai site – to – site IPsec VPN Cấu hình IPsec site – to – site VPN sử dụng SDM Cấu hình cisco Easy VPN và Easy VPN Server với SDM Triển khai cisco VPN Client Câu hỏi bài tập Triển khai hệ thống Ipsec VPN site- to – site bằng dòng lệnh và sử dụng giao diện SDM 3 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn MỤC TIÊU BÀI HỌC Trình bày được các thành phần của IPSec và đặc điểm của IPSec VPN. Triển khai Site-to-Site IPSec VPN. Cấu hình IPSec Site-to-Site VPN sử dụng SDM. Cấu hình được Cisco Easy VPN Server với SDM. Triển khai được Cisco VPN Client. 4 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Tống quan IPSec Internet Key Exchange Các chức năng IKE ESP và AH Hàm băm Mã hóa Môi trường khóa công khai Tổng quan về giao thức IPSec và cách thức hoạt động của IPSec 5 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn IPsec là gì ? IPsec là một chuẩn của IETF sử dụng cơ chế mã hóa trong lớp mạng Chứng thực gói tin IP Kiểm tra tính toàn vẹn của mỗi gói tin Đảm bảo tính “riêng tư” (Bí mật) với mỗi gói tin Chuẩn mở đảm bảo tính bảo mật khi kết nối riêng tư Ứng dụng trong các mô hình mạng từ nhỏ đế lớn Hỗ trợ sẳn trong các phiên bản phần mềm Cisco IOS 11.3 T trở về sau. Hỗ trợ trong các phiên bản Firewall PIX 5.0 và sau đó 6 Giới thiệu IPsec và đặc điểm IPsec TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Tính năng bảo mật IPsec: IPsec là chuẩn duy nhất trong lớp 3 cung cấp tính năng : Bảo mật Chứng thực Toàn vẹn dữ liệu 7 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec IPsec Protocols: IPsec sử dụng ba giao thức chính để tạo ra một khung bảo mật Internet Key Exchange (IKE): o Cung cấp khung thỏa thuận những thông số bảo mật o Tạo ra các khóa xác thực Encapsulating Security Payload (ESP): o Cung cấp việc mã hóa , xác thực và bảo mật dữ liệu Authentication Header (AH): o Cung cấp khung cho việc xác thực và bảo mật dữ liệu 8 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec IPsec Headers : Ipsec ESP cung cấp những tính năng: Xác thực và toàn vẹn dữ liệu ( MD5 – SHA 1 – HMAC ) Bảo mật ( DES , 3DES , ASE ) chỉ với ESP 9 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Peer Authentication: Peer phương pháp xác thực: Đặt Username – Password Mật khẩu một lần (OTP) Sinh trắc học Khóa biết trước Chứng chỉ số 10 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Internet Key Exchange: IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai. IKE sửa đổi những tham số khi cần thiết trong suốt phiên làm việc IKE cũng đảm nhiệm việc xoá bỏ những SA và các khóa sau khi một phiên giao dịch hoàn thành 11 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec IKE Phases: Giai đoạn 1: Xác thực các thông điệp Thiết lập kênh đàm phán giữa SA Thông tin thỏa thuận các thuật toán Giai đoạn 1.5: Chứng thực VPN client Bật chế độ cấu hình Giai đoạn 2: Thiết lập SAs cho Ipsec Giao dịch nhanh 12 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec IKE Modes : 4 chế độ IKE phổ biến thường được triển khai : Chế độ chính (Main mode) Chế độ linh hoạt (Aggressive mode) Chế độ nhanh (Quick mode) Chế độ nhóm mới (New Group mode) 13 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec IKE Modes: 14 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Tính năng khác IKE : Phát hiện mất kết nối tới PER ( DPD ) : Chức năng mang tính 2 chiều Gửi những thông điệp định kỳ PEER thực hiện gửi lại nếu không coi là mất kết nối IKE Keepalives được gửi đi sau khoảng thời gian 10s NAT Traversal : Được định nghĩa trong RFC 3947 Đóng gói trong gói tin thông qua giao thức UDP 15 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec IPsec NAT Traversal : Cần NAT Traversal với IPsec qua TCP/UDP : NAT Traversal phát hiện NAT Traversal quyết định Đóng gói các gói tin thông qua UDP Các thông tin : IP và PORT nằm trong gói UDP 16 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Mode cấu hình : 17 Các Mode sử dụng để đẩy các thông số cấu hình cho IPsec VPN Client TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Easy VPN: 18 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec User Authentication: 19 Cho phép phương thức AAA hoạt động đối với việc xác thực user TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec ESP và AH: IP protocol : ESP và AH ESP sử dụng port 50 AH sử dụng port 51 Ipsec modes : Sử dụng 2 mode : Tunnel hoặc Transport Tunnel mode : Tạo ra header mới cho IP 20 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec ESP và AH Header: ESP cho phép mã hóa và xác thực gói tin ban đầu AH xác thực toàn bộ gói tin và không cho mã hóa 21 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec AH Authentication and Integrity: 22 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec ESP Protocol: Cung cấp bảo mật và mã hóa Cung cấp tính toàn vẹn và có xác thực 23 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Tunnel and Transport Mode: 24 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Xác thực thông tin và kiểm tra tính toàn vẹn dùng Hash: MAC dùng để xác thực thông báo và kiểm tra tính toàn vẹn Phương pháp dùm hàm băm rất thông dụng và hầu hết được dùng kiểm tra toàn vẹn của dữ liệu 25 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Hàm băm: MD5: được sử dụng phổ biến với giá trị băm dài 128bit SHA-1: cho giá trị băm dài 160 bit nhưng với Ipsec chỉ sử dụng 96 bit đầu tiên SHA-1 có thời gian tính toán lâu hơn MD5 nhưng nó bảo mật hơn 26 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Mã hóa đối xứng và bất đối xứng: Thuật toán đối xứng : Mã hóa bằng key bí mật Mã hóa và giải mã sử dụng chung 1 key Thông thường được dùng mã hóa thông tin VD : DES, 3DES , AES Thuật toán bất đối xứng Mã hóa bằng key công cộng Mã hóa và giải mã sử dụng 2 key khác nhau. Được sử dụng trong chữ ký số . VD : RSA 27 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Kích thước khóa: Kích thước khóa đối xứng so với khóa bất đối xứng : 28 Symmetric Key Length Asymmetric Key Length 80 1024 112 2048 128 3072 192 7680 256 15,360 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Cấp độ bảo mật với các thuật toán mã hóa: 29 Security Level Work Factor Algorithms Weak O(240) DES, MD5 Legacy O(264) RC4, SHA-1 Baseline O(280) 3DES Standard O(2128) AES-128, SHA-256 High O(2192) AES-192, SHA-384 Ultra O(2256) AES-256, SHA-512 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Symmetric Encryption: DES DES là thuật toán mã hóa đối xứng Block cipher : kích thước khối 64 bit , chiều dài khóa 56 bit DES được ứng dụng mã hóa khối dữ liệu 30 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Symmetric Encryption: 3DES Tổng độ dài khóa 168 bit 3DES sử dụng 2 khóa khác nhau làm chiều dài khóa tăng lên Thông thường: mã hóa , giải mã , mã hóa 31 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Symmetric Encryption: AES Trước đây được gọi là : ‘Rijndael’ Là thuật toán sau DES và 3DES AES làm việc với khối dữ liệu 128 bit và chiều dài khóa có thể là 128 192 hoặc 256 bit AES dùng 2 thuật toán khác nhau cho mã hóa và giải mã 32 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Asymmetric Encryption: RSA Trên cơ sở trao đổi khóa Diffie- Hellman Khóa công khai để mã hóa dữ liệu và xác minh chữ ký số Khóa bí mật dùng để giải mã dữ liệu và tạo ký với chữ ký điện tử Là thuật toán tốt cho việc truyền dữ liệu 33 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Trao đổi key Diffie-Hellman: Deffie – Hellman: khởi tạo và trao đổi khóa an toàn giữa hai thành phần qua một kênh không an toàn. 34 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Trao đổi key Diffie-Hellman: 35 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec Certificate Authority : Tạo ra sự an toàn và tin tưởng trong quá trình trao đổi dữ liệu trong phạm vi cá nhân và công cộng Thẩm tra danh tính người dùng , các thông tin liên quan đến người sử dụng chứng chỉ số Cấp phát và thu hồi các chứng chỉ số hết hạn 36 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec X.509 v3 Certificate: 37 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Giới thiệu IPsec và đặc điểm IPsec PKI Credentials : Sơ sở hạ tầng khóa công khai PKI : Tạo ra chứng chỉ khóa công khai Phân phối chứng chỉ Thu hồi chứng chỉ Quản lý chứng chỉ 38 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Tổng quan Các bước hoạt động Cấu hình IPSec Cấu hình site – to – site IPSec áp dụng cấu hình VPN Cấu hình site – to – site IPSec interface ACL 39 Các bước hoạt động và triển khai, cấu hình mô hình site–to– site IPSec VPN TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Tổng quan IPSec: Đây là giao thức chuẩn của IETF để phục vụ cho việc mã hóa trong VPN Lợi điểm lớn nhất của IPSec là giao thức này có thể thiết lập VPN một cách tự động và thích hợp với các chính sách bảo mật tập trung IPSec có thể thiết lập một VPN dựa trên cơ sở các máy tính mà không phải là các người dùng 40 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Tống quan: IPSec cung cấp dịch vụ bảo mật sử dụng IKE cho phép thỏa thuận các giao thức và thuật tóan trên nền chính sách cục bộ (group policy) và sinh ra các khóa bảo mã hóa và chứng thực được sử dụng trong IPSec IPSec chưa phải là giao thức bảo mật đường hầm mang tính chất tuyệt đối vì còn tồn tại nhiều nhược điểm. 41 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Diễn ra qua 5 bước: 42 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Bước 1 : A và B hình thành tuyến lưu thông dữ liệu lý tưởng dựa trên các cấu hình định tuyến trước đó Tuyến lưu thông này sẽ được tạo đường hầm IPSec trong suốt quá trình kết nối về sau này. 43 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Bước 2: Router A và B khởi tạo phiên IKE Phase 1 44 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Bước 2 (tt ): Thực hiện trao đổi khóa theo thuật toán Diffie-Hellman 45 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Bước 2 (tt ): Cuối cùng xác thực Peer, cách xác thực có thể là dùng Preshared keys, thuật toán RSA hay dùng RSA mã hóa Nonces 46 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Bước 3 : Router khởi tạo phiên IKE Phase 2 áp dụng IPSec cho các SA Định kỳ thảo luận lại IPSec SAs để đảm bảo tính an toàn 47 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Thiết lập transform set: 48 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Bước 4 : Phiên IPSec được hình thành, lúc này các SA đã tạo ra ở bước 3 sẽ được trao đổi giữa 2 bên, và sau đó chế độ bảo mật sẽ được áp dụng cho các dữ liệu truyền trong đường hầm IPSec 49 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Bước 5 : Giải phóng đường hầm IPSec SA hết thời gian sống Gói truyền dữ liệu vượt quá ngưỡng. Việc giải phóng này mang tính chất là việc hủy đi các SA 50 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Cấu hình Site-to-Site IPsec Phase 1: 51 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Cấu hình Site-to-Site IPsec Phase 2: 52 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Cấu hình Site-to-Site Ipsec VPN: 53 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Cấu hình Site-to-Site IPsec : Interface ACL IKE : sử dụng UDP port 500 ESP và AH : sử dụng port 50 và 51 NAT cho phép : UDP cổng 4500 TCP ( đã được cấu hình ) 54 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Site-to-Site IPSec VPN Cấu hình Site-to-Site IPsec : Interface ACL Bảo đảm các port 50 , 51 và UDP 500 không bị cấm tại các interface sử dụng IPSec 55 Router1#show access-lists access-list 102 permit ahp host 172.16.172.10 host 172.16.171.20 access-list 102 permit esp host 172.16.172.10 host 172.16.171.20 access-list 102 permit udp host 172.16.172.10 host 172.16.171.20 eq isakmp TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Tổng quan Các bước hoạt động Cấu hình IPSec Cấu hình Site-to-Site IPSec áp dụng cho VPN Cấu hình Site-to-Site IPSec Interface ACL 56 Cách cấu hình của mô hình site – to – site IPSec VPN dùng Cisco SDM TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Cisco Router and SDM: 57 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Cisco Router and SDM: SDM có một số công cụ dựa trên web để quản lý Cung cấp các trình thuật thông minh để cho phép triển khai nhanh hơn và dễ dàng hơn , đặc biệt không đòi hỏi nhiều kiến thức về Cisco IOS CLI Chứa nhiều tính năng và tích hợp nhiều công cụ cho người dùng cấp cao : ACL biên tập VPN Cisco IOS CLI 58 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Tính năng Cisco SDM: Tích hợp định tuyến và bảo mật An toàn cơ sở hạ tầng mạng hiện có một cách dễ dàng và chi phí rẻ Sử dụng Cisco TAC và ICSA để bảo mật các cấu hình 59 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Giới thiệu giao diện VPN SDM: 60 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Site - to - site VPN: VPN wizard sử dụng hai nguồn để tạo ra kết nối VPN Người dùng nhập vào theo step by step winzard SDM VPN cung cấp một số tính năng sẵn có : Hai chính sách IKE IPSec sử dụng Winzard để cấu hình Các thành phần khác được tạo ra bởi VPN Winzard Một số thành phần như PKI phải được cấu hình trước khi winzard có thể sử dụng 61 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Site - to - site VPN (tt): 62 Hai thành phần chính : IPSec IKE Hai thành phần tùy chọn : Chính sách nhóm cho Easy VPN Cơ sở hạ tầng khóa công khai cho IKE xác thực bằng cách dùng chứng chỉ số TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Cấu hình Site-to-Site VPN Wizard: 63 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Cấu hình Site-to-Site VPN Wizard: 64 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Quick setup: 65 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Quick setup (tt): 66 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Step-by-Step Setup: Nhiều bước được sử dụng để cấu hình VPN: Xác định các cài đặt: interface, địa chỉ IP, các thông tin xác thực. Xác định các đề xuất IKE: ưu tiên, thuật toán mã hóa, HMAC, chứng thực, Diffie-Hellman Xác định biến đổi IPSec: thuật toán mã hóa, HMAC, phương thức hoạt động Xác định lưu lượng truy cập: nguồn đơn và mạng con đích, ACL Kiểm tra lại và hoàn thành việc cấu hình. 67 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Connection settings: 68 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM IKE Proposals 69 1. 2. 3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Transform Set: 70 1. 2. 3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Option 1: Single source and Destination subnet 71 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Option 2: Using an ACL 72 1. 2. 3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Option 2: Using an ACL (tt) 73 1. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Option 2: Using an ACL (tt) 74 2. 3. 1. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Kiểm tra cấu hình đã generate: 75 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Kiểm tra cấu hình đã generate (tt): 76 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Kiểm tra cấu hình Tunnel Operation: 77 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Theo dõi Tunnel Operation: 78 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Site-to-Site IPSec VPN dùng Cisco SDM Advanced Monitoring: 79 show crypto isakmp sa show crypto ipsec sa router# router# TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Giới thiệu Cisco Easy VPN Các bước hoạt động của Cisco Easy VPN Server Cấu hình Cisco Easy VPN 80 Các bước hoạt động và cấu hình Cisco Easy VPN và Easy VPN server với Cisco SDM TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Giới thiệu Cisco Easy VPN: Cisco Easy VPN có hai chứ năng chính: Đơn giản hóa cấu hình phía Client Tập trung cấu hình Server và tự động đẩy cấu hình cho Client Để có thể đạt được hai mục tiêu trên: Chế độ IKE có chức năng tải một số thông số cấu hình cho phía client Client được cấu hình sẵn với một tập hợp các chính sách IKE và IPSec 81 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Tổng quan Cisco Easy VPN: Easy VPN Server: Cho phép các thiết bị định tuyến Cisco IOS, Cisco PIX Pirewall, Cisco VPN hoạt động như VPN thiết bị đầu cuối trong mạng VPN site - to - site hoặc truy cập từ xa trong đó các văn phòng từ xa có thể sử dụng Cisco Easy VPN Remote Easy VPN Remote: Cho phép các thiết bị định tuyến Cisco IOS, Cisco PIX Pirewall, Cisco VPN, phần cứng client hoặc phần mềm Client hoạt động từ xa thông qua VPN client. 82 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Truy cập từ xa dùng Cisco Easy VPN: 83 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Các bước kết nối Cisco Easy VPN : Kết nối thông qua 7 bước : Bước 1 : VPN Client khởi tạo IKE Phase 1 Bước 2 : VPN Client thiết lập ISAKMP SA Bước 3 : Easy VPN Server chấp nhận đề nghị SA Bước 4 : Easy VPN Server khởi tạo một username và password Bước 5 : Mode cấu hình được bắt đầu Bước 6 : Quá trình RRI được bắt đầu Bước 7 : IPSec nhanh chóng hoàn thiện kết nối 84 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Bước 1: Chia sẻ key, hoạt động ở mức tích cực. Sử dụng chứng chỉ số, tiến hành chính thức. 85 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Bước 2: VPN client nỗ lực để thiết lập một SA giữa những địa chỉ IP bằng cách gửi nhiều ISAKMP đến Easy VPN Server Để giảm cấu hình bằng tay tại máy VPN Client, có sự kết hợp giữa ISAKMP với một số điều sau đây: Các thuật toàn mã hóa và hàm băm Phương pháp xác thực Diffie-Hellman 86 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Bước 3: Easy VPN Server tìm kiếm cho phù hợp: Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được chấp nhận Xét đề nghị an toàn nhất là luôn luôn được liệt kê trên cùng một danh sách cùa Easy VPN Server Các SA ISAKMP thiết lập thành công Thiết bị kết thúc xác thực và bắt đầu xác thực user 87 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Bước 4: Nếu Easy VPN Server cấu hình cho Xauth, VPN Client chờ đợi thách thức cho Username / Password: Người dùng nhập vào Username / Password Thông tin User/ Password được đối tượng kiểm tra và xác thực bằng AAA Tất cả Easy VPN Server được cấu hình để thực thi xác thực User 88 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Bước 5: Nếu Easy VPN cho biết xác thực thành công, VPN Client sẽ yêu cầu những tham số còn lại từ Easy VPN Server: Khởi động chế độ cấu hình Các thông số hệ thống còn lại (địa chỉ IP, DNS, Tunnel .) được tải về cho VPN Client. Nhớ rằng địa chỉ IP chỉ cần thiết cho 1 nhóm, còn các thông số khác là tùy chọn. 89 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Bước 6 : RRI nên được sử dụng khi các điều kiện sau xảy ra : Nhiều hơn một máy VPN Server Địa chỉ IP tĩnh được sử dụng với một số Client RRI đảm bảo việc tạo ra Static Router Phân phối lại các tuyến đường tĩnh vào một IGP cho phép các máy chủ tìm thấy Easy VPN Server thích hợp cho việc kết nối với Client. 90 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Bước 7 : Sau khi các thông số được cấu hình đã được công nhận bởi VPN Client IPSec quick mode nhanh chóng được bắt đầu đàm phán thành lập IPSec SA Sau khi thành lập IPSec SA kết nối VPN đã hoàn tất. 91 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Cấu hình Easy VPN sử dụng SDM: Cấu hình Easy VPN Server đòi hỏi những việc sau: Cấu hình 1 user đặc quyền Cấu hình cho phép bí mật AAA cho phép sử dụng dữ liệu Local Cấu hình Ease VPN Server sử dụngWizard Easy VPN Server Wizard bao gồm: Lựa chọn interface để chấm dứt Ipsec Các chính sách IKE Sử dụng: local, RADIUS, TACACS+ User xác thực dùng Radius 92 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM VPN Wizards: 93 1. 2. 3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Enabling AAA: 94 2. 1. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Local User Management: 95 1. 2. 3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Enable AAA Messagebox: 96 1. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Starting the Easy VPN Server: 97 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Select Interface for Terminating IPSec: 98 1. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM IKE Proposals: 99 1. 2. 3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Transform Set: 100 3. 2. 1. 4. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Option 1: Local Router Configuration: 101 1. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Option 2: External Location via RADIUS 102 1. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Option 2: External Location via RADIUS (tt) 103 3. 1. 2. 4. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Option 1: Local User Database 104 2. 3. 1. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Option 1: Local User Database – Adding Users 105 1. 2. 3. 4. 5. 6. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Option 2: External User Database via RADIUS 106 2. 3. 1. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Local Group Policies: 107 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM General Parameters: 108 1. 2. 3A. 3B. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Domain Name System: 109 1. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Split Tunneling: 110 1. 3. 4. 2. 5. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Advanced Options: 111 1. 2. 3. 4. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Xauth Options: 112 1. 2. 3. 4. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Review Generated Configuration: 113 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Review Generated Configuration (tt): 114 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Verify Easy VPN Server Configuration: 115 1. 3. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Verify Easy VPN Server Configuration (tt): 116 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Monitoring Easy VPN Server: 117 1. 2. 3. 5. 4. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Cấu hình Easy VPN và Easy VPN Server với Cisco SDM Advanced Monitoring: 118 show crypto isakmp sa show crypto ipsec sa router# router# TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Tổng quan Cài đặt Cisco VPN Client Tạo một kết nối với User Cấu hình và chứng thực tài khoản người dùng Cấu hình Tunnel Kích hoạt chức năng sao lưu máy chủ Cấu hình kết nối với Internet thông qua mạng dial-up Các tác vụ cấu hình Cisco VPN Client Sử dụng Cisco VPN Client để thiết lập kết nối VPN và kiểm tra trạng thái hoạt động. 119 Các bước cấu hình và triển khai Cisco VPN Client TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Sử dụng Cisco VPN Client để thiết lập kết nối VPN và kiểm tra trạng thái kết nối : Quá trình cài đặt : Tải phiên bản mới nhất của Cisco VPN Client CCO Hủy bỏ tất cả những phiên bản trước của Cisco VPN Client Quá trình cài đặt : Bật VPN Client Tạo và cấu hình kết nối VPN Kiểm tra các kết nối VPN 120 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Cài đặt Cisco VPN Client: 121 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Tạo kết nối: 122 2. 1. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Tạo kết nối (tt): 123 4. 6. 3. 5. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Tạo kết nối (tt): Chứng thực: Tạo nhóm Mutual chứng thực Đăng ký CA 124 1. 2. 3. 4. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Mutual Group Authentication: 125 1. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Cấu hình Transparent Tunneling : Sử dụng cấu hình mặc định NAT- T cho phép IPSec và IKE qua cổng UDP 4500 126 1. 2. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Bật chức năng backup: Danh sách được sử dụng khi máy chủ VPN không hoạt động được 127 1. 2. 3. TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Triển khai Cisco VPN Client Kết nối dial-up: 128 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn Câu hỏi ôn tập Trình bày các thành phần của IPSec và đặc điểm của IPSec VPN. Triển khai Site-to-Site IPSec VPN. Các bước cấu hình IPSec Site-to-Site VPN sử dụng SDM. Các bước cấu hình được Cisco Easy VPN Server với SDM. Trình bày cách triển khai Cisco VPN Client. 129 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn TÓM LƯỢC BÀI HỌC Sử dụng giao thức bảo mật cho Tunnel VPN: IPSec Cấu hình Site-to-Site IPSec VPN Cấu hình Cisco Easy VPN. Kết luận: Bài học này rất hay giúp triển khai một hệ thống VPN với cơ chế bảo mật thông qua giao thức IPSec. Ứng dụng bài học vào thực tiễn xây dựng hệ thống VPN an toàn cho DN. 130 TRƯỜNG CAO ĐẲNG NGHỀ CNTT iSPACE Website: @Email: fit@ispace.edu.vn HỎI - ĐÁP 131

Các file đính kèm theo tài liệu này:

  • pdflesson05_4702.pdf
Tài liệu liên quan