Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

xin hỏi về transform-set ?

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • xin hỏi về transform-set ?

    Em đang tự học về VPN chua hiểu lắm về khái niêm transform-set xin mọi người giúp đỡ.
    Em đọc trong tài liệu thấy nói rằng trong IKE Phase 1 thì 2 bên sẽ trao đổi các policy, thiết lập DH key và xác thực .Trong IKE Phase 2 thương lượng các tham số IPsec Security(IPsec transform-set). E nghĩ rằng trasform-set đc tạo ra từ các tham số trong viện trao đổi policy từ Phase 1 chứ tại sao lại phải cấu hình transform-set trên 2 peer

  • #2
    Chào bạn,

    Thì đúng như bạn nói, hai bên có thương lượng với nhau đó.

    Cái mình cấu hình để 2 bên có nhiều điều kiện thương lượng với nhau hơn. Nếu không đạt được điều kiện tối thiểu đó thì khỏi thương lượng nữa. (để trong trường hợp 1 ông thì cực kỳ cảnh giác, 1 ông thì lơ là, 2 bên bắt tay nhau bạn nghĩ có nên không)

    Khi thương lượng thì 2 bên sẽ chọn thuật toán mã hóa tốt nhất. Vì thế bạn thấy trasform-set nó có thể ghi nhiều option thuật toán mã hóa phía sau.
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

    Comment


    • #3
      Thông tin transform set dùng để định nghĩa cách thức sử dụng VPN cho 2 bên ( giải thuật mã hóa dữ liệu, có sử dụng xác thực nguồn gốc sinh ra dữ liệu hay không) và yêu cầu giống nhau trên 2 bên khi tham gia kết nối.
      Ví dụ:
      crypto ipsec transform-set MYSET esp-3des esp-sha-hmac

      Dòng lệnh trên cho biết : sử dụng giao thức esp cho VPN, mã hóa dữ liệu bằng thuật toán 3des, dùng giải thuật hash sha cho việc xác thực nguồn gốc dữ liệu. Lưu ý: MYSET chỉ là tên đặt và có thể khác nhau ở hai bên.

      Link sau có thể có nhiều kiến thức hay cho bạn: http://vnpro.org/forum/showthread.php/38826-Ipsec-vpn
      Lâm Văn Tú
      Email :
      cntt08520610@gmail.com
      Viet Professionals Co. Ltd. (VnPro)
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel: (08) 35124257 (5 lines)
      Fax (08) 35124314
      Tập tành bước đi....


      Comment


      • #4
        Originally posted by phamminhtuan View Post
        Chào bạn,

        Thì đúng như bạn nói, hai bên có thương lượng với nhau đó.

        Cái mình cấu hình để 2 bên có nhiều điều kiện thương lượng với nhau hơn. Nếu không đạt được điều kiện tối thiểu đó thì khỏi thương lượng nữa. (để trong trường hợp 1 ông thì cực kỳ cảnh giác, 1 ông thì lơ là, 2 bên bắt tay nhau bạn nghĩ có nên không)

        Khi thương lượng thì 2 bên sẽ chọn thuật toán mã hóa tốt nhất. Vì thế bạn thấy trasform-set nó có thể ghi nhiều option thuật toán mã hóa phía sau.
        Vậy có phải tranform-set đc tạo lên từ việc thương lượng các policy từ Phase1 dúng không ah.

        Comment


        • #5
          Originally posted by tinhtv View Post
          Vậy có phải tranform-set đc tạo lên từ việc thương lượng các policy từ Phase1 dúng không ah.
          Chào bạn,

          IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán,tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng . Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:

          - Tính bảo mật dữ liệu – Data confidentiality
          - Tính toàn vẹn dữ liệu – Data Integrity
          - Tính chứng thực nguồn dữ liệu – Data origin authentication
          - Tính tránh trùng lặp gói tin – Anti-replay

          Các giao thức của IPSec

          Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:

          - IKE (Internet Key Exchange)
          - ESP (Encapsulation Security Payload)
          - AH (Authentication Header)

          IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần. Sau khi trao đổi xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra.

          SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA

          Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa của các attacker.


          IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley.
          - ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA
          - Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
          Giao thức IKE dùng UDP port 500.

          Các giai đoạn (phase) hoạt động của IKE

          http://vnpro.org/forum/showthread.php/38826-Ipsec-vpn
          B1: Cấu hình chính sách IKE (chính sách pha 1)

          SAIGON(config)#crypto isakmp policy 10
          SAIGON(config-isakmp)#hash md5
          SAIGON(config-isakmp)#encryption des
          SAIGON(config-isakmp)#group 2
          SAIGON(config-isakmp)#authentication pre-share

          B2: Xác định thông tin key và peer
          SAIGON(config)#crypto isakmp key 0 vnpro123 address 151.1.1.1

          B3:Cấu hình chính sách IPSec (chính sách pha 2)
          SAIGON(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des
          Phạm Minh Tuấn

          Email : phamminhtuan@vnpro.org
          Yahoo : phamminhtuan_vnpro
          -----------------------------------------------------------------------------------------------
          Trung Tâm Tin Học VnPro
          149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
          Tel : (08) 35124257 (5 lines)
          Fax: (08) 35124314

          Home page: http://www.vnpro.vn
          Support Forum: http://www.vnpro.org
          - Chuyên đào tạo quản trị mạng và hạ tầng Internet
          - Phát hành sách chuyên môn
          - Tư vấn và tuyển dụng nhân sự IT
          - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

          Network channel: http://www.dancisco.com
          Blog: http://www.vnpro.org/blog

          Comment

          Working...
          X