Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Cho hỏi về IPSec

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Cho hỏi về IPSec

    Mình hiện đang làm đề tài về IPSec, thì có gặp một câu hỏi của giáo viên phản biện như thế này:
    Tại sao lại sử dụng IPSec,có các giao thức nào khác có thể thay thế cho IPSec hay không? Nếu có thì liệu IPSec có phải giải pháp tốt nhất hay không?
    Mong mọi người có thể giúp đỡ. Deadline đang tới gần :-SS

  • #2
    Chào bạn,

    - IPSec sử dụng key đối xứng nên dễ thực hiện hơn.
    - Có PKI (public key infrastructure) thế được cho IPsec. PKI dùng 1 cặp key: key private để giải mã, key public dùng để mã hóa. Dùng một CA để cấp chứng chỉ cho cả 2 phía.
    + Hoặc dùng SSL là dạng lai giữa thuật toán đối xứng và bất đối xứng PKI. Dùng một CA để cấp chứng chỉ cho 1 bên (chứng chỉ thường được cấp cho server, router. Còn đối với client thì không cần chứng chỉ)
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      Thanks bạn nhiều lắm.
      Vậy bạn có biết giải pháp nào là tốt nhất hiện nay hay không?
      Mình có đọc một bài báo nói rằng SSL hiện đang dần thay thế IPSec, vậy bạn có biết những ưu điểm chính của SSL so với IPSec là gì không?

      Comment


      • #4
        Chào bạn,

        SSL có thể kết hợp với HTTP tạo thành dạng HTTPs. Do dùng HTTP nên hỗ trợ hầu hết trên mọi trình duyệt mà không cần phải cài đặt nhiều.
        Và router hay ASA cũng có thể hỗ trợ cho bạn dạng web VPN này, đối với router yêu cầu IOS dòng cao một chút.
        Phạm Minh Tuấn

        Email : phamminhtuan@vnpro.org
        Yahoo : phamminhtuan_vnpro
        -----------------------------------------------------------------------------------------------
        Trung Tâm Tin Học VnPro
        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
        Tel : (08) 35124257 (5 lines)
        Fax: (08) 35124314

        Home page: http://www.vnpro.vn
        Support Forum: http://www.vnpro.org
        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
        - Phát hành sách chuyên môn
        - Tư vấn và tuyển dụng nhân sự IT
        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

        Network channel: http://www.dancisco.com
        Blog: http://www.vnpro.org/blog

        Comment


        • #5
          Mình cũng có mấy câu hỏi mong mọi người giúp đỡ và thảo luận, hơi mắc và hơi khó hiểu.
          1. VPN IPSec dạng Site-t0-Site có chạy Transport Mode mà không cần hỗ trợ bởi giao thức nào khác được không? Nếu được thì gói tin sẽ được encap như thế nào? Nếu không thì cần tích hợp với giao thức nào? Và Transport Mode theo mình biết thì hỗ trợ VPN giữa các PC, tại sao lại vậy? 2 PC thông qua mạng Internet có thể dùng Transport Mode nói chuyện với nhau ko?
          2. VPN IPSec dùng Tunnel Mode cùng với GRE Tunnel nữa thì khuôn dạng gói tin này ra sao, và nó di chuyển như thế nào qua mạng công cộng? (Theo mình biết thì trường hợp này có tới 3 IP Header, 1 của gói tin gốc từ LAN và 2 được thêm vào bởi GRE và Gateway, vậy IP Header GRE đóng vai trò gì @@)
          3. Trong cấu hình có câu lệnh crypto isakmp key [key].... thì key này dùng để làm gì, dùng trong cả hmac và mã hóa gói tin hay một trong hai?
          4. Khi nào dùng NAT-T và khi nào không cần dùng NAT-T với VPN IPSec? (Vấn đề này hầu như xuất hiện trong module ISCW tại VnPro chỉ mang tính lý thuyết). VPN Site-to-Site làm sao LAN có thể ra Internet?
          Rất cám ơn mọi người đã đọc.
          Last edited by xenoxone; 13-12-2009, 02:00 AM.

          Comment


          • #6
            Up Top ai giúp mình với :(

            Comment


            • #7
              Tại sao lại sử dụng IPSec
              ---> Người giảng viên đó hỏi đúng.
              có các giao thức nào khác có thể thay thế cho IPSec hay không?
              ---> Có
              Nếu có thì liệu IPSec có phải giải pháp tốt nhất hay không?
              -----> Không cũng đúng mà có củng đúng
              Mong mọi người có thể giúp đỡ.
              ----> Me có thể giúp
              Deadline đang tới gần
              -----> không phải chuyện của me :)
              --------------------
              Muốn me giúp bạn, bạn nghiêm túc trả lời những câu hỏi sau
              keep in mind this: tất cả những technology đều có những uu thế nhất định trong những môi trưòng nhất định.
              1) Bạn dùng IPSec đê làm gì?
              2) Bạn có thể xác định được những policy về IT của cty không
              3) Những thiết bị trong cty
              4) personel trong cty: trình độ IT
              Nói túm lại là bạn phải định nghĩa đươc môi trường ( business model + policy + infrastructure) sau đó mới xét là IPSec có tác dụng gì tới môi trường đó (cần thiết? tối ưu? có lựa chọn khác? ). Còn nói khơi khơi thì bạn trả lời răng nó cũng đúnh cả.
              Thương Nhất Là Mẹ,
              Hận Nhất Là Thời Gian.

              Comment


              • #8
                Originally posted by homeless View Post
                Tại sao lại sử dụng IPSec
                ---> Người giảng viên đó hỏi đúng.
                có các giao thức nào khác có thể thay thế cho IPSec hay không?
                ---> Có
                Nếu có thì liệu IPSec có phải giải pháp tốt nhất hay không?
                -----> Không cũng đúng mà có củng đúng
                Mong mọi người có thể giúp đỡ.
                ----> Me có thể giúp
                Deadline đang tới gần
                -----> không phải chuyện của me :)
                --------------------
                Muốn me giúp bạn, bạn nghiêm túc trả lời những câu hỏi sau
                keep in mind this: tất cả những technology đều có những uu thế nhất định trong những môi trưòng nhất định.
                1) Bạn dùng IPSec đê làm gì?
                2) Bạn có thể xác định được những policy về IT của cty không
                3) Những thiết bị trong cty
                4) personel trong cty: trình độ IT
                Nói túm lại là bạn phải định nghĩa đươc môi trường ( business model + policy + infrastructure) sau đó mới xét là IPSec có tác dụng gì tới môi trường đó (cần thiết? tối ưu? có lựa chọn khác? ). Còn nói khơi khơi thì bạn trả lời răng nó cũng đúnh cả.
                Hơ bạn này nói gì vậy :( Không thấy trả lơi giúp mình :( Nếu bạn trả lời cho câu hỏi của chủ top thì người ta đã nói là đang làm đề tài mà, chắc còn đang đi học nên mới nói vậy. Làm sao trả lời được câu hỏi của bạn. Mình nghĩ câu hỏi mang tính lý thuyết nhiều hơn là liên quan đến vấn đề việc làm.

                Comment


                • #9
                  Originally posted by xenoxone View Post
                  Mình cũng có mấy câu hỏi mong mọi người giúp đỡ và thảo luận, hơi mắc và hơi khó hiểu.
                  1. VPN IPSec dạng Site-t0-Site có chạy Transport Mode mà không cần hỗ trợ bởi giao thức nào khác được không? Nếu được thì gói tin sẽ được encap như thế nào? Nếu không thì cần tích hợp với giao thức nào? Và Transport Mode theo mình biết thì hỗ trợ VPN giữa các PC, tại sao lại vậy? 2 PC thông qua mạng Internet có thể dùng Transport Mode nói chuyện với nhau ko?
                  2. VPN IPSec dùng Tunnel Mode cùng với GRE Tunnel nữa thì khuôn dạng gói tin này ra sao, và nó di chuyển như thế nào qua mạng công cộng? (Theo mình biết thì trường hợp này có tới 3 IP Header, 1 của gói tin gốc từ LAN và 2 được thêm vào bởi GRE và Gateway, vậy IP Header GRE đóng vai trò gì @@)
                  3. Trong cấu hình có câu lệnh crypto isakmp key [key].... thì key này dùng để làm gì, dùng trong cả hmac và mã hóa gói tin hay một trong hai?
                  4. Khi nào dùng NAT-T và khi nào không cần dùng NAT-T với VPN IPSec? (Vấn đề này hầu như xuất hiện trong module ISCW tại VnPro chỉ mang tính lý thuyết). VPN Site-to-Site làm sao LAN có thể ra Internet?
                  Rất cám ơn mọi người đã đọc.
                  Chào bạn,
                  Bạn về xem bài kĩ lại và tham khảo bài này của mình.



                  Transport mode thường dùng để kiểm tra tính toàn vẹn 2 đầu IP Public của router trong dạng site-site. Transport mode chỉ là cái tên bao gồm cho nhiều bước hành động đối với gói tin, nếu không có các bước và các phương pháp xử lí gói tin thì không có cái tên Transport mode rồi.

                  Encap và đóng gói ra sao đã có chi tiết hết trong bài.

                  Thường hỗ trợ cho Host trong Lan(private) hoặc router-router (Public IP)là transport mode vì nó không đóng thêm IP mới vào gói tin.

                  2 máy qua Internet có thể nói chuyện với nhau được khi nó có 2 cái IP public rồi dùng transport mode để kiểm tra tính toàn vẹn và đúng người gửi.

                  GRE thực ra chỉ là đóng thêm 1 IP header và GRE header vào trước gói tin để giúp cho IPsec Vpn có thể sử dụng hỗ trợ định tuyến động. Lúc này bạn cứ coi nguyên gói tin IPsec tunnel hay transport là một gói data, còn GRE là IP header của gói data.
                  Nếu dùng transport mode thì chỉ 2 IP header. Tunnel mode thì có 3 IP header tổng cộng.

                  "Crypto isakmp key" là key bí mật do 2 bên chi công ty quy định với nhau, dùng cho pha 1 để hash -> kiểm tra tính toàn vẹn, chứng thực đúng người gửi cho gói tin. Dựa vào pha 1 hoàn thành mới có thể làm tiếp các pha khác.

                  NAT-T dùng khi thiết bị NAT thấy gói tin AH hoặc GRE không hợp lệ vì không phải layer4 sau phần IP layer.

                  Các thầy trong Vnpro dạy kĩ, phần lab NAT-T bạn có thể ở lại làm thêm.
                  Last edited by phamminhtuan; 14-12-2009, 03:13 AM.
                  Phạm Minh Tuấn

                  Email : phamminhtuan@vnpro.org
                  Yahoo : phamminhtuan_vnpro
                  -----------------------------------------------------------------------------------------------
                  Trung Tâm Tin Học VnPro
                  149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                  Tel : (08) 35124257 (5 lines)
                  Fax: (08) 35124314

                  Home page: http://www.vnpro.vn
                  Support Forum: http://www.vnpro.org
                  - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                  - Phát hành sách chuyên môn
                  - Tư vấn và tuyển dụng nhân sự IT
                  - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                  Network channel: http://www.dancisco.com
                  Blog: http://www.vnpro.org/blog

                  Comment


                  • #10
                    Originally posted by xenoxone View Post
                    Hơ bạn này nói gì vậy :( Không thấy trả lơi giúp mình :( Nếu bạn trả lời cho câu hỏi của chủ top thì người ta đã nói là đang làm đề tài mà, chắc còn đang đi học nên mới nói vậy. Làm sao trả lời được câu hỏi của bạn. Mình nghĩ câu hỏi mang tính lý thuyết nhiều hơn là liên quan đến vấn đề việc làm.
                    Hihihi, em nói chắc là chưa gõ nên bác chưa hiễu. Để em nói lại lần lửa. em theo chủ nghĩa CISCO nên dùng top-down approach hay còn gọi tên khác là business driven solution. Em hiểu bác đang lam đề tài, nhưng không phải làm đề tài là nói gì cũng được đâu bác. Ví dụ bác nói là IPSec tốt, còn thầy/giang viên nói không vì không thấy cần thiết cho mô hình kinh danh của hầu hết các danh nghiệp VN và cho bạn 0 điểm, ai thiệt hại o đây ( vi1 du thoi).

                    Nếu bạn không xác định được môi trường để ung dụng thì đề tài IPSec là vô nghĩa.

                    Tôi thành thật khuyên bạn nên nghỉ nghiêm túc về môi trường ứng dụng của IPSec. trưóc khi bình luận về nó.

                    ví dụ như ứng dụng IPSec trong enterprise company hay cụ thể hơn IPSec trong lỉnh vực IT cua ngân hàng VN. Hay IPSec trong hạ tầng IT cho bộ giáo duc, bộ Y tế, cơ quan chính phủ, etc.
                    Thương Nhất Là Mẹ,
                    Hận Nhất Là Thời Gian.

                    Comment


                    • #11
                      Originally posted by homeless View Post
                      Hihihi, em nói chắc là chưa gõ nên bác chưa hiễu. Để em nói lại lần lửa. em theo chủ nghĩa CISCO nên dùng top-down approach hay còn gọi tên khác là business driven solution. Em hiểu bác đang lam đề tài, nhưng không phải làm đề tài là nói gì cũng được đâu bác. Ví dụ bác nói là IPSec tốt, còn thầy/giang viên nói không vì không thấy cần thiết cho mô hình kinh danh của hầu hết các danh nghiệp VN và cho bạn 0 điểm, ai thiệt hại o đây ( vi1 du thoi).

                      Nếu bạn không xác định được môi trường để ung dụng thì đề tài IPSec là vô nghĩa.

                      Tôi thành thật khuyên bạn nên nghỉ nghiêm túc về môi trường ứng dụng của IPSec. trưóc khi bình luận về nó.

                      ví dụ như ứng dụng IPSec trong enterprise company hay cụ thể hơn IPSec trong lỉnh vực IT cua ngân hàng VN. Hay IPSec trong hạ tầng IT cho bộ giáo duc, bộ Y tế, cơ quan chính phủ, etc.
                      Bác này lạ nhỉ @@ Mình có hỏi mấy câu kia đâu @@ mình cũng ko fải chủ topic, mình hỏi những câu của mình phía trên (4 câu) hoàn toàn trên khía cạnh lý thuyết @@
                      @ Anh Tuấn: Em đã đọc bài của anh, rất hay. Em muốn hỏi thêm là site-to-site nếu dùng Tunnel mode nữa (GRE Tunnel) và kết hợp IPSec thì gói tin từ Gateway đi ra sẽ có 3 IP Header, đầu tiên của Gateway, sau đó của Tunnel và cuối cùng là LAN đúng không ạ? và dùng Site-to-Site (Không dùng DMVPN với mGRE) như vậy thì IP Header Tunnel đóng vai trò gì?
                      "2 máy qua Internet có thể nói chuyện với nhau được khi nó có 2 cái IP public rồi dùng transport mode để kiểm tra tính toàn vẹn và đúng người gửi."
                      Cái này em cũng chưa rõ lắm, bây giờ đa số các máy đi ra ngoài Internet đều dùng IP động, vậy là nó phải chạy theo Site-to-Site qua Gateway?
                      Cảm ơn anh vì những thông tin bổ ích.
                      Last edited by xenoxone; 14-12-2009, 09:23 PM.

                      Comment


                      • #12
                        Originally posted by xenoxone View Post
                        Bác này lạ nhỉ @@ Mình có hỏi mấy câu kia đâu @@ mình cũng ko fải chủ topic, mình hỏi những câu của mình phía trên (4 câu) hoàn toàn trên khía cạnh lý thuyết @@
                        @ Anh Tuấn: Em đã đọc bài của anh, rất hay. Em muốn hỏi thêm là site-to-site nếu dùng Tunnel mode nữa (GRE Tunnel) và kết hợp IPSec thì gói tin từ Gateway đi ra sẽ có 3 IP Header, đầu tiên của Gateway, sau đó của Tunnel và cuối cùng là LAN đúng không ạ? và dùng Site-to-Site (Không dùng DMVPN với mGRE) như vậy thì IP Header Tunnel đóng vai trò gì?
                        "2 máy qua Internet có thể nói chuyện với nhau được khi nó có 2 cái IP public rồi dùng transport mode để kiểm tra tính toàn vẹn và đúng người gửi."
                        Cái này em cũng chưa rõ lắm, bây giờ đa số các máy đi ra ngoài Internet đều dùng IP động, vậy là nó phải chạy theo Site-to-Site qua Gateway?
                        Cảm ơn anh vì những thông tin bổ ích.
                        Chào bạn,

                        Như mình đã nói ở trên Tunnel kết hợp GRE thì bao gồm những header của Tunnel + header của GRE.

                        Do đó, Từ Lan ra bên ngoài site khác sẽ bao gồm 3 header IP:
                        + IP header của Lan (Private)----Source và dest IP nằm trong câu lệnh ACL chọn traffic cần mã hóa. Tức là 2 Lan của 2 chi nhánh.
                        + IP header của cổng out nơi bạn đặt crypto vào. Với source là IP cổng out, dest là IP nằm bên peer trong câu lệnh Router(config)#crypto isakmp key 0 111 address). (thường sẽ là IP public)
                        + IP tunnel do bạn đặt trong Interface tunnel.



                        2 máy có IP Public, ý mình ở đây tương tự như 2 router có Ip public dùng mode transport. Vì mode Transport không đóng thêm IP nào khác, nên 2 máy trên Internet muốn thông nhau mà dùng mode trasport thì trước hết cần phải có IP public. Muốn vậy thì modem dùng mode bridge để cấp thẳng IP public xuống PC.
                        Còn nếu dùng NAT để cấp IP Public cho PC thì có thể thiết bị NAT không thấy được layer 4. Do layer 4 đã bị AH/ESP header che mất. Do đó, ta lại phải bật NAT-T trên thiết bị NAT mà có gói tin(header có ESP/AH) đi qua.
                        Phạm Minh Tuấn

                        Email : phamminhtuan@vnpro.org
                        Yahoo : phamminhtuan_vnpro
                        -----------------------------------------------------------------------------------------------
                        Trung Tâm Tin Học VnPro
                        149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                        Tel : (08) 35124257 (5 lines)
                        Fax: (08) 35124314

                        Home page: http://www.vnpro.vn
                        Support Forum: http://www.vnpro.org
                        - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                        - Phát hành sách chuyên môn
                        - Tư vấn và tuyển dụng nhân sự IT
                        - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                        Network channel: http://www.dancisco.com
                        Blog: http://www.vnpro.org/blog

                        Comment


                        • #13
                          từ trong ra có IP LAN-->IP Tunnel-->IP Gateway chứ anh, nếu IP Tunnel nằm ngoài cùng thì gói tin đi ra ngoài Internet định tuyến kiểu gì nhỉ? mà không dùng GRE thì vẫn chạy Site to Site bình thường, vay co GRE để làm gì? Vì thông thường vẫn có trường hợp dùng GRE+IPsec cho Site to Site, trong khi Site to Site là định tuyến tĩnh (không tính DMVPN), vậy có fải GRE Tunnel trong trường hợp này là thừa?

                          Comment


                          • #14
                            Originally posted by xenoxone View Post
                            từ trong ra có IP LAN-->IP Tunnel-->IP Gateway chứ anh, nếu IP Tunnel nằm ngoài cùng thì gói tin đi ra ngoài Internet định tuyến kiểu gì nhỉ? mà không dùng GRE thì vẫn chạy Site to Site bình thường, vay co GRE để làm gì? Vì thông thường vẫn có trường hợp dùng GRE+IPsec cho Site to Site, trong khi Site to Site là định tuyến tĩnh (không tính DMVPN), vậy có fải GRE Tunnel trong trường hợp này là thừa?
                            Chào bạn,

                            Cái bên trên mình không cung cấp hình nên bạn khó hình dung.

                            Mình diễn diễn xuôi theo chiều từ trái qua phải, bạn thì hiểu ngược từ phải qua trái.
                            Ở trên mình ghi
                            "Tunnel kết hợp GRE thì bao gồm những header của Tunnel + header của GRE"
                            Và đương nhiên là header GRE phải nằm ở giữa, vì IP tunnel mình đặt kiểu nào cũng được, thì làm sao định tuyến ra Internet được. Mục đích chính của nó là dùng IP (hay interface tunnel) này để định tuyến động cho các giao thức định tuyến như OSPF, EIGRP, RIP, ...
                            Tức sau khi gói tin đến site bên. Bên kia đã gỡ header tunnel ra rồi dùng header của GRE để hỗ trợ cho định tuyến động. Còn IP LAN bên trong nữa thì chứa data chính xác đến người nhận.




                            Phạm Minh Tuấn

                            Email : phamminhtuan@vnpro.org
                            Yahoo : phamminhtuan_vnpro
                            -----------------------------------------------------------------------------------------------
                            Trung Tâm Tin Học VnPro
                            149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
                            Tel : (08) 35124257 (5 lines)
                            Fax: (08) 35124314

                            Home page: http://www.vnpro.vn
                            Support Forum: http://www.vnpro.org
                            - Chuyên đào tạo quản trị mạng và hạ tầng Internet
                            - Phát hành sách chuyên môn
                            - Tư vấn và tuyển dụng nhân sự IT
                            - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

                            Network channel: http://www.dancisco.com
                            Blog: http://www.vnpro.org/blog

                            Comment


                            • #15
                              giup em một số câu hỏi về ipsec nha !!!

                              Hiện nay em đang làm đồ án học phần về ipsec có một số câu hỏi cần thầy giúp đỡ

                              câu 1 : việc áp dụng ipsec vào bảo mật trên mạng internet hiện nay như thế nào?
                              câu 2 : ưu nhược điểm khi triển khai ipsec?
                              câu 3 : cho biết một số dich vụ hay web nào đó có sử dụng ipsec và tai sao lại chon ipsec để sử dụng mà không dùng cái khác...

                              Rất mong sự giúp đỡ của thầy và các bạn góp ý...........

                              Comment

                              Working...
                              X