VPN dùng IPSec hoặc VPN sử dụng PPTP, L2TP.

RE: VPN over IPSec

Cám ơn câu trả lời của ban.
Mình đang muốn tìm hiểu về giao thức IPSec và sau đó ứng dụng nó vào VPN

RE: VPN over IPSec

IPSec là tập hợp các chuẩn mở kết hợp với nhau để đảm bảo dữ liệu trao đổi giữa hai đầu thiết bị được bảo mật, toàn vẹn (integrity) và được xác thực. Các thiết bị này có thể là các hosts, routers, firewalls, VPN concentrator…IPSec có thể bảo về nhiều dòng dữ liệu giữa thiết bị ở hai đầu hoặc một thiết bị gateway cũng có thể hỗ trợ nhiều đường hầm tunnel với nhiều thiết bị khác nhau.

Một số điểm cần lưu ý khi bạn dự định triển khai IPSec:
- IPSec hỗ trợ HDLC, ATM, Point-to-Point và Frame relay
- IPSec hỗ trợ Generic Encapsulation (GRE) và IP-in-IP (IpinIP). IPSec không hỗ trợ DLSw, SRB (Source-route- Bridging) hoặc các giao thức tunneling Layer 3 khác.
- IPSec không hỗ trợ multipoint tunnel.
- IPSec chỉ hoạt động vớI unicast IP. Ipsec không làm việc với multicast hoặc các gói IP broadcast.
- IPSec chậm hơn Cisco Encryption Technology (CET) bởi vì IPSec thực hiện xác thực cho từng gói tin.
- IPSec hỗ trợ việc phân mảnh gói tin và tái lập các gói tin IPSec. Đây cũng là nguyên nhân làm IPSec chậm hơn CET.
Khi dùng NAT, hãy đảm bảo là NAT diễn ra trước quá trình đóng gói IPSec để Ipsec sẽ hoạt động trên các địa chỉ thật .

Một số giao thức được đề cập trong phần này:

IP Security Protocol (IPSec)
— Authentication Header (AH)
— Encapsulating Security Payload (ESP)
• Message Encryption
— Data Encryption Standard (DES)
— Triple DES (3DES)
• Message Integrity (Hash) Functions
— Hash-based Message Authentication Code (HMAC)
— Message Digest 5 (MD5)
— Secure Hash Algorithm-1 (SHA-1)
• Peer Authentication
— Rivest, Shamir, and Adelman (RSA) Digital Signatures
— RSA Encrypted Nonces
• Key Management
— Diffie-Hellman (D-H)
— Certificate Authority (CA)
• Security Association
— Internet Key Exchange (IKE)
— Internet Security Association and Key Management Protocol (ISAKMP)

Các giao thức IPSec

Các giao thức mà IPSec dùng để đảm bảo tính bảo mật của dữ liệu là AH (Authentication Header) và ESP (Encapsulation Security Payload). Hai giao thức được xem là thuần túy IPSec và được phát triển chỉ cho IPSec. Ta có thể dùng AH và ESP một cách độc lập trên một kết nốI IPSec hoặc có thể kết hợp việc sử dụng cả hai.

IKE và IPSec sẽ cố gắng bắt tay để thống nhất các cơ chế mã hoá và xác thực giữa hai đầu kết nối. Quá trình bắt tay này sẽ dẫn đến kết quả là SA giữa hai thiết bị sẽ được thiết lập. IKE SAs là quá trình hai chiều nhưng IPSec SA là một chiều và phải được thiết lập bởi mỗi đầu của kết nối VPN. Hai đầu của kết nối VPN phải có SA giống nhau để thiết lập một giao tiếp an toàn. Thông tin kết hợp với mỗi SA sẽ được lưu trữ trong cơ sở dữ liệu SA. MỗI SA được gán một chỉ số SPI. Chỉ số SPI này, khi được kết hợp với địa chỉ IP đích, giao thức (AH hoặc ESP) sẽ phân biệt duy nhất một SA.

Quá trình thiết lập các SA là then chốt trong hoạt động của IPSec. SA sẽ được bắt tay một lần ở đầu phiên làm việc IPSec và định kỳ trong suốt phiên IPSec sẽ được tái thiết lập khi có một vài điều kiện nào đó được thoã mãn. Để tránh việc phảI thiết lập, các SA đã được thiết lập trước đó giữa hai đầu thiết bị có thể được sử dụng. Đây là thời điểm mà hai giao thức AH và ESP được đưa vào sử dụng. Hai giao thức này đơn giản là một phương tiện để chỉ ra các đặc điểm bảo mật nào sẽ được dùng cho một gói tin đi từ đầu này sang đầu kia. Cả hai giao thức này đều thêm vào các trường mới vào giữa gói tin IP và layer 4 TCP/UDP. Thành phần quan trọng trong mỗi header thêm vào này là chỉ số SPI, chỉ số này cho phép thiết bị đích (của kênh IPSec) các thông tin cần thiết để xác thực và giải mã gói tin.

(nguồn: Cisco Press CCSP Exam Guide - chương 2).

cho mình hỏi: mình đang làm đề tài" Nghiên cứu mạng Vpn dựa trên IPSEC" thì mình phải làm về những phần nào và phần demo của nó thì mình cần những gì ? mong bạn chỉ giúp mình. mình mới nhận đề tài này,vẫn đang trong quá trình tìm hiểu.

Chào bạn, một số phần bạn có thể tham khảo như sau:
I.CÔNG NGHỆ IP SECURITY (IPSec)

1. Khái quát: (IPSec là gì?,Kiến trúc IPSec,Các dịch vụ IPSec,Ưu khuyết điểm IPSec...)
2. Các chế độ hoạt động của IPSec: Transport Mode,Tunnel Mode
3. Các giao thức chính của IPSec: Giao thức xác thực AH,Giao thức đóng gói ESP

II.: CÔNG NGHỆ MẠNG RIÊNG ẢO (VPN)
1. VPN là gì?, Các thành phần cần thiết để tạo kết nối VPN?
2. Các giao thức VPN: L2TP,GRE,IPSec,PPTP
3. Các dạng kết nối VPN: Remote Access VPN,Site-to-site VPN,Dynamic VPN...

III.AN TOÀN DỮ LIỆU TRONG VPN VỚI CÔNG NGHỆ IPSEC

1. Mã hoá: mật mã,hệ thống mật mã khoá đối xứng,bất đối xứng, Thuật toán trao đổi khoá Diffie-Hellman
2. Xác thực thông tin: các hàm băm
3. Quản lý khoá trong IPSec
4. Thiết lập IPSec/VPN

IV. Các bài lab demo trên các thiêt bị thật

Chúc bạn làm tốt!!

vâng cám ơn anh admin nhiều nha, một hướng đi thật cụ thể. e đang cố gắng đọc các bài ở mục VPN của forum nó thật hay .

à mà anh admin min, ở phần DEMO ý, thiết bị thật thì hơi khó kiếm, có giải pháp nào khác không ạ ? mà DEMO trên thiết bị thật mình sử dụng các lệnh cấu hình cho các thiết bị đó hay là sao a ?

Hi bạn. Bạn vẫn có thể demo trên thiết bị ảo. Sử dụng GNS 3 vẫn được nếu như thầy (cô) cho phép. Không thì bạn có thể đến VnPro thuê lab (có nhiều ưu đãi cho sinh viên). Hiện VnPro đang triển khai khóa học VPN, nếu muốn tìm hiểu kỹ và có kiến thức chuyên sâu về VPN, IPSec VPN (cái này rất cần cho thực tế triển khai mạng doanh nghiệp) và đặt biệt là dễ dàng làm một đồ án hoàn hảo thì đăng ký tham gia bạn nhé.

Có thắc mắc có thể post lên hoặc mail cho mình. hihi.^^

e cũng muốn học để có kiến thức vừa để làm đề tài này ổn ổn một chút ,nhưng chết cái e ở ngoài HN anh admin ơi. ước gì VnPro ở ngoài nì thì tốt quá .
đành phải tự tìm tài liệu và mày mò thồi, hơi lâu những cố gắng chắc sẽ ok thui. cám ơn anh nhiều nha. có gì ko hiểu e post lên a biết thì trả lời giùm e nha.

Ok bạn. Bạn tìm hiểu các bài về VPN trên diễn đàn, dựa vào đó phát triển lên là cũng OK rùi. Cần tài liệu mình gửi mail sau. Có gì post hoặc email nhé. Chúc bạn hoàn thành tốt đồ án.

anh admin ơi,e thấy anh post bài về VPN với IPSEC trên diễn đàn khá nhiều, toàn những bài hay nhưng ko được liền mạch , a có thể gom lại hoặc a gửi mail các tài liệu đó cho e được ko? để cho dễ đọc và tìm hiểu dễ ràng hơn. nếu được e cảm ơn a nhiều.
mail của em: tungduydo@yahoo.com

Chào bạn,

Bài này khá liền mạch và đầy đủ, bạn xem nhé



Cám ơn bạn

demo

anh admin noi qua demo tren gns3 di