Chapter 16.1 VPN và IPSEC

root

Leader IT/Architect
Dec 31, 2012
1,153
72
48
I. VPN
1. Khái niệm:
- Là 1 kết nối riêng trên 1 hạ tầng mạng chung
- Kỹ thuật để xây dựng đường hầm thì người ta sử dụng giao thức để xây dựng như:
  • pptp
  • L2tp
  • Gre
  • Vlan
  • MPLS
  • IPsec
  • Vitual link của OSPF
2. Các mô hình triển khai VPN
- Gồm 6 kiểu
2.1 Hub and spoke
- Ưu điểm: Việc triển khai đơn giản, nhẹ nhàng
- Nhược điểm: Con hub chịu tại nhiều , performance không tốt




2.2 Full mesh
- Ta có công thức tính số đường hầm VPN cần xây dựng khi dùng Full mesh n(n-1) / 2. Ví dụ cty có 4 chi nhánh thì cần 6 đường hầm, cty có 10 chi nhánh thì cần xây dựng 45 đường hầm VPN
- Ưu điểm: Tối ưu hóa đường truyền, tính backup cao
- Nhược điểm: Tốn công triển khai, khó quản lý, scability không tốt




2.3 Patial mesh
- Dựa trên mô hình hub and spoke nhưng khác ở chỗ là người ta sẽ xem traffix từ các chi nhánh nào cần liên lạc VPN nhiều thì sẽ xây dựng riêng cho chi nhánh đó 1 đường VPN
- Ví dụ như mô hình dưới đây, traffic giữa VPN giữa R2 và R3 nhiều thì admin sẽ thực hiện xây dựng 1 đường hầm VPN giữa R2 và R3 để tang performance



2.4 DMVPN(dynamic multipoint VPN)
- Xây xây dựa trên mô hình Hub and Spoke
- Sau đó người ta sẽ nhúng chức năng DMVPN này vào. DMVPN sẽ có chức năng là nếu:

  • R2 và R3 có traffic VPN thì tự động R2 và R3 sẽ đàm phán và xây dựng 1 đường hầm DMVPN
  • Khi cuộc nói chuyện giữa R2 và R3 kết thúc thì đường hầm này cũng tự nhiên mất đi
- Ưu điểm: Kết hợp ưu điểm giữa Hub and spoke và ưu điểm của Full mesh



2.5 DMVPN dual hub
- Xây dựng dựa trên mô hình DMVPN nhưng có thêm 2 con hub để dự phòng



2.6 DMVPN dual hub and dual cloud
- Xây dựng dựa trên mô hình số 5 nhưng nó tăng tính dự phòng ISP


3. Remote VPN:
- Remote VPN bao gồm:
- Site-to-site
- Client-to-site:
  • Cisco Easy VPN: là 1 software của Cisco dùng để quay VPN
  • Web VPN: Linh động hơn, sử dụng được trên cả smart phone…
 
II. IPSEC
1. Khái niệm:
- IPSEC là 1 bộ công cụ nó cho phép sử dụng các chức năng
  • Encryption: Mã hóa
  • Integrity: Kiểm tra tính toàn vẹn
  • Authentication: Chứng thực
2. Header IPSEC
- Header IPsec có 2 loại header
  • AH: authentication và integrity
  • ESP: Ngày xưa ESP chỉ đảm nhận vai trò encryption.
=> Nhưng hiện nay ESP đảm nhiệm cả vai trò encryption, Authentication, integrity.

Có 2 kiểu đóng header IPSEC
- Transport mode:
  • Mã hóa toàn bộ data, nhưng ko mã hóa IP header
  • Dùng trong mạng LAN
- Tunnel mode:
  • Chèn bên ngoài gói, mã hóa toàn bộ gói tin,
  • Vì IP header cũng bị mã nên Router không đọc được để định tuyến nên cần tạo ra 1 new IP header
  • Dùng site-to-site để gói tin di chuyển trên internet


3. Encryption:
- Mã hóa đối xứng: Mã hóa bằng key nào thì giả mã bằng key đó sử dụng các thuật toán như: DES, 3DES, AES
- Mã hóa bất đối xứng: Gồm 2 key, mã hóa bằng key này thì mã hóa bằng key kia. Các thuật toán được sử dụng như là: RSA, SEAL
  • Key private: Key này không share cho ai
  • Key Public: Key này được public cho mọi người
4. Digital Signiture
- Mã hóa bằng Private key của chính nó
5. Diffie hell-man exchange
- Làm nhiệm vụ trao đổi khóa
- Gồm các group như:
  • DH1(768 bit)
  • DH2(1024 bit)
  • DH5(1536 bit)
  • DH7(163 bit)
  • ...
6. Data integrity
- Thuật toàn HASH dùng mã hóa 1 chiều, đầu vào dữ liệu giống nhau thì kết quả HASH giống nhau
- HASH được dùng để kiểm tra tính toàn vẹn của dữ liệu. Có 2 loại
  • MD5
  • SHA: có sha1, sha256…
- VD: thường dùng trong việc kiểm tra tính toàn vẹn của email, check sum md5, sha các phần mềm …
7. Authentication
- Để chứng thực có những cách sau
  • Pre-share key: 2 bên có cùng key (sử dụng diffie helleman để trao đổi key)
  • RSA signatures: Hay dùng là CA(với Microsoft có sẵn trên CA, với Cisco có 1 con cứng RSA), chứng thực dựa vào 1 server CA có 2 loại:
    • CA của ISP
    • CA do minh dựng
  • RSA encrypted nonces: hay là OTP (one time password)
 

About us

  • Securityzone.vn là một trang web chuyên về an ninh mạng và công nghệ thông tin. Trang web này cung cấp các bài viết, tin tức, video, diễn đàn và các dịch vụ liên quan đến lĩnh vực này. Securityzone.vn là một trong những cộng đồng IT lớn và uy tín tại Việt Nam, thu hút nhiều người quan tâm và tham gia. Securityzone.vn cũng là nơi để các chuyên gia, nhà nghiên cứu, sinh viên và người yêu thích an ninh mạng có thể trao đổi, học hỏi và chia sẻ kiến thức, kinh nghiệm và giải pháp về các vấn đề bảo mật trong thời đại số.

Quick Navigation

User Menu