Tên gọi "Mạng riêng ảo” có ý nghĩa như sau: "Mạng Riêng” vì nó mang ý nghĩa chỉ có công ty thiết lập nên nó thì mới sử dụng được nó. Nên việc phân chia địa chỉ và định tuyến cũng độc lập với các mạng khác. Còn “ảo” ở đây là muốn nói đến môi trường mà VPN hoạt động là dựa vào mạng công cộng.Lợi ích của VPN
- Chi phí thấp: chi phí thiết lập mạng VPN thấp hơn so với các mạng WAN truyền thống như Frame Relay, ATM, Leased Line
- Tăng cường tính bảo mật cho hệ thống: sử dụng các giao thức đóng gói, các thuật toán mã hóa và các phương pháp chứng thực để bảo mật dữ liệu trong quá trình truyền.
- Tính mở rộng và linh động: VPN đã xóa bỏ rào cảng về mặt địa lý cho hệ thống mạng, sẵn sàng kết nối các mạng riêng lại với nhau một cách dễ dàng thông qua môi trường Internet.
Các mode hoạt động của VPN:
Mode hoạt động của VPN là khái niệm dùng để chỉ sự qui định các đóng gói dữ liệu trong quá trình truyền giữa các thiết bị. VPN có hai mode hoạt động là Transport và Tunnel
- Transports mode: Dữ liệu (Layer4 Payload) được mã hóa sẽ nằm trong ESP header và ESP sẽ chèn vào giữa Layer 2 header và layer 3 header
- Tunnel mode: Dữ liệu sẽ được mã hóa và đóng gói thành 1 IP Header mới với source và des IP mới.
Hình 2.2: so sánh IP header của Tunnel mode và Transport mode
Phân loại VPN:
VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộc vào mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp. Công nghệ VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN
- Site-to-Site VPN: là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site.
Site-to-Site VPN hay còn gọi là LAN-to-LAN VPN sử dụng kết nối dạng tunnel mode giữa các Gateway. Gateway có thể là các Router hay Firewall router hỗ trợ VPN.
- Remote Access VPN: Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. Cũng có thể áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty.
Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server.
VPN là giải pháp thiết kế mạng khá hay, VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS
Khái quát về IPSEC
IPSec – Internet Protocol security: là giao thức cung cấp những kỹ thuật để bảo vệ dữ liệu, sao cho dữ liệu được truyền đi an toàn từ nơi này sang nơi khác. IPSec VPN là sự kết hợp để tạo ra một mạng riêng an toàn phục vụ cho việc truyền dữ liệu bảo mật
IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data-Link như các giao thức dùng trong VPN khác như L2TP, PPTP.
Hình 2.3: IPSEC hoạt động lớp network
IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán,tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng . Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:
- Tính bảo mật dữ liệu – Data confidentiality
- Tính toàn vẹn dữ liệu – Data Integrity
- Tính chứng thực nguồn dữ liệu – Data origin authentication
- Tính tránh trùng lặp gói tin – Anti-replay
Các giao thức của IPSec
Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:
- IKE (Internet Key Exchange)
- ESP (Encapsulation Security Payload)
- AH (Authentication Header)
IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần. Sau khi trao đổi xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra.
SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA
Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa của các attacker.
IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley.
- ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA
- Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
Giao thức IKE dùng UDP port 500.
Các giai đoạn (phase) hoạt động của IKE
Giai đoạn hoạt động của IKE cũng được xem tương tự như là quá trình bắt tay trong TCP/IP. Quá trình hoạt động của IKE được chia ra làm 2 phase chính: Phase 1 và Phase 2, cả hai phase này nhằm thiết lập kênh truyền an toàn giữa 2 điểm. Ngoài phase 1 và phase 2 còn có phase 1,5 tùy chọn.
Hình 2.4: Các phase hoạt động của IKE
IKE phase 1:
Đây là giai đoạn bắt buộc phải có. Pha này thực hiện việc chứng thực và thỏa thuận các thông số bảo mật, nhằm cung cấp một kênh truyền bảo mật giữa hai đầu cuối. Các thông số sau khi đồng ý giữa 2 bên gọi là SA, SA trong pha này gọi là ISAKMP SA hay IKE SA.
Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.
Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:
- Thuật toán mã hóa: DES, 3DES, AES
- Thuật toán hash: MD5, SHA
- Phương pháp chứng thực: Preshare-key, RSA
- Nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
- 2 message đầu dùng để thỏa thuận các thộng số của chính sách bảo mật
- 2 message tiếp theo trao đổi khóa Diffire-Hellman
- 2 message cuối cùng thực hiện chứng thực giữa các thiết bị
Aggressive mode: sử dụng 3 message
- Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
- Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa được chấp nhận và chứng thực bên nhận
- Message cuối cùng sẽ chứng thực bên vửa gửi.
Phase 1.5
Đây là phase không bắt buộc (optional). Phase 1 cung cấp cơ chế chứng thực giữa 2 đầu cuối tạo nên một kênh truyền bảo mật.
Phase 1.5 sử dụng giao thức Extended Authentication (Xauth). Phase này thường sử dụng trong Remote Access VPN
IKE phase 2
Đây là phase bắt buộc, đến phase này thì thiết bị đầu cuối đã có đầy đủ các thông số cần thiết cho kênh truyền an toàn. Qua trình thỏa thuận các thông số ở phase 2 là để thiết lập IPSec SA dựa trên những thông số của phase 1. Quick mode là phương thức được sử dụng trong phase 2.
Các thông số mà Quick mode thỏa thuận trong phase 2:
- Giao thức IPSec: ESP hoặc AH
- IPSec mode: Tunnel hoặc transport
- IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định hoặc được chỉ định.
- Trao đổi khóa Diffie-Hellman
IPSec SA của phase 2 hoàn toàn khác với IKE SA ở phase 1, IKE SA chứa các thông số để tạo nên kênh truyền bảo mật, còn IPSec SA chứa các thông số để đóng gói dữ liệu theo ESP hay AH, hoạt động theo tunnel mode hay transport mode
Các chức năng khác của IKE giúp cho IKE hoạt động tối ưu hơn bao gồm:
- Dead peer detection ( DPD ) and Cisco IOS keepalives là những chức năng bộ đếm thời gian. Nghĩa là sau khi 2 thiết bị đã tạo được VPN IPsec với nhau rồi thì nó sẽ thường xuyên gửi cho nhau gói keepalives để kiểm tra tình trạng của đối tác. Mục đích chính để phát hiện hỏng hóc của các thiết bị. Thông thường các gói keepalives sẽ gửi mỗi 10s
- Hỗ trợ chức năng NAT-Traversal: Chức năng này có ý nghĩa là nếu trên đường truyền từ A tới B nếu có những thiết bị NAT or PAT đứng giữa thì lúc này IPSec nếu hoạt động ở chế độ tunel mode và enable chức năng NAT- Trasersal sẽ vẫn chuyển gói tin đi được bình thường.
Lưu ý : Chức năng NAT-T bắt đầu được Cisco hỗ trợ tự phiên bản IOS Release 122.2(13)T
Nguyên nhân tại sao phải hỗ trợ chức năng NAT-T thì các packet mới tiếp tục đi được?
Khi thực hiện quá trình mã hóa bằng ESP thì lúc này các source IP, port và destination IP, port đều đã được mã hóa và nằm gọn tron ESP Header. Như vậy khi tất cả các thông tin IP và Port bị mã hóa thì kênh truyền IPSec không thể diễn ra quá trình NAT.
Hình 2.5: PAT lỗi do tầng 4 bị mã hoá trong gói ESPDo đó NAT Traversal ra đời trong quá trình hoạt động của IKE nhằm phát hiện và hỗ trợ NAT cho Ipsec.
Các dữ liệu sẽ không bị đóng gói trực tiếp bởi giao thức IP mà nó sẽ đóng gói thông qua giao thức UDP. Và lúc này các thông tin về IP và Port sẽ nằm trong gói UDP này.
Hình 2.6: NAT Travesal giúp hỗ trợ các gói tin đã được mã hoá có thể đi qua các thiết bị PAT
Giao thức GRE
GRE - Generic Routing Encapsulation là giao thức được phát triển đầu tiên bởi Cisco, với mục đích chính tạo ra kênh truyền ảo (tunnel) để mang các giao thức lớp 3 thông qua mạng IP.
Cơ chế hoạt động của GRE
Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức IPSec hoạt động ở Tunnel mode. Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi trường trung gian.
GRE chèn ít nhất 24 byte vào đầu gói tin, trong đó 20 byte là IP header mới dùng để định tuyến, còn 4 byte là GRE header. Ngoài ra GRE còn có thể tùy chọn thêm 12 byte mở rộng để cung cấp tính năng tin cậy như: checksum, key chứng thực, sequence number.
Hình 2.7: Cấu trúc gói tin được đóng gói thêm GRE headerHai byte đầu tiên trong phần GRE header là GRE flag 2-byte. Phần bày chứa các cờ dùng để chỉ định những tính năng tùy chọn của GRE
- Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thỉ phần checksum được thêm vào sau trường Protocol type của GRE header.
- Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp dụng, đây như dạng password ở dạng clear text. Khi một thiết bị tạo nhiều tunnel đến nhiều thiết bị đích thì key này được dùng để xác định các thiết bị đích.
- Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE header.
Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE đóng gói và truyền qua kênh truyền.
Khi gói tin đi qua tunnel nó sẽ được thêm GRE header như trên và sau khi tới đầu bên kia của kênh truyền, gói tin sẽ được loại bỏ GRE header để trả lại gói tin ban đầu.
GRE over IPSec
GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật cho kênh truyền.
Khi IPSec kết hợp với GRE sẽ cung cấp khả năng định tuyến động trên kênh truyền, do đó tạo ra khả năng mở rộng hệ thống mạng rất lớn.
Cơ chế hoạt động của GRE over IPSec
GRE over IPSec là sự kết hợp giữa GRE và IPSec. Lúc này các gói tin GRE sẽ được truyền thông qua kênh truyền bảo mật do IPSec thiết lập. Điều này được thực hiện thông qua việc IPSec sẽ đóng gói gói tin GRE bởi các thông tin bảo mật của mình.
GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode
Hình 2.8: Cấu trúc gói tin GRE trong Tunnel và Transport mode
Như hình trên phần IP packet ban đầu sẽ được bao bọc bởi GRE header, sau đó IPSec sẽ thêm thông tin IPSec header để cung cấp những tính năng bảo mật cho gói tin GRE rồi truyền đi. Khi gói tin đến đầu bên kia của kênh truyền, nó sẽ được thao tác ngược lại để phục hồi gói tin ban đầu.
Cấu hình GRE over IPSec
Cấu hình kênh truyền GRE
Mỗi interface tunnel bao gồm các thông số
+ IP address
+ Tunnel source address
+ Tunnel destination address
+ Tunnel mode
Hình 2.9: Cấu hình GRE trên thiết bị router CiscoI. IPSec VPN Site-to-Site
Hình 3.1: Mô hình IPSEC hai site SAIGON và VUNGTAU
5.2. Yêu cầu:
Thực hiện IPSec- VPN giữa hai chi nhánh (hai site) đảm bảo hai site phải giao tiếp được với nhau qua IPSec Tunnel.
5.3. Các bước cấu hình:
- Cấu hình chính sách ISAKMP/IKE phase 1
- Cấu hình IPSec Transform-set( ISAKMP/IKE phase 2)
- Tạo Access control list ACL
- Cấu hình crypto map
- Đưa crypto map lên interface
5.4. Triển khai chi tiết:
Bước 1: Cấu hình cơ bản trên từng Router:
-Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên
R2(config)#hostname ISP
ISP(config)#interface s0/0
ISP(config-if)#ip address 150.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
ISP(config)#interface s0/1
ISP(config-if)#ip address 151.1.1.2 255.255.255.0
ISP(config-if)#no shutdown
Hình 5.3 – Cấu hình các interface trên router ISP-Router SAIGON và VUNGTAU, cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
R1(config)#hostname SAIGON
SAIGON(config)#interface s0/0
SAIGON(config-if)#ip address 150.1.1.1 255.255.255.0
SAIGON(config-if)#no shutdown
SAIGON(config)#interface loopback 1
SAIGON(config-if)#ip address 192.168.1.1 255.255.255.0
SAIGON(config)#ip route 0.0.0.0 0.0.0.0 150.1.1.2
Hình 5.4 – Cấu hình các interface trên router SAIGONR3(config)#hostname VUNGTAU
VUNGTAU(config)#interface s0/0
VUNGTAU(config-if)#ip address 151.1.1.1 255.255.255.0
VUNGTAU(config-if)#no shutdown
VUNGTAU(config)#interface loopback 2
VUNGTAU(config-if)#ip address 192.168.2.1 255.255.255.0
VUNGTAU(config)#ip route 0.0.0.0 0.0.0.0 151.1.1.2
Hình 5.5 – Cấu hình Các interface trên router VUNGTAUBước 2: Cấu hình ISAKMP/IKE phase 1
Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
- Phương pháp chứng thực
- Thuật toán hash
- Thuật toán mã hóa
- Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
Trên router SAIGON:
SAIGON(config)#crypto isakmp policy 10
SAIGON(config-isakmp)#hash md5 // thuật toán hash
SAIGON(config-isakmp)#encryption des // thuật toán mã hoá
SAIGON(config-isakmp)#group 2 // số nhóm (version) Diffie-Hellman
SAIGON(config-isakmp)#authentication pre-share // Phương thức chứng thực
SAIGON(config)#crypto isakmp key 0 VPN123 address 151.1.1.1 // Xác định thông tin key và peer
Kết quả khi “ show crypto isakmp policy”:
Hình 5.6 – Cấu hình IKE policy trên router SAIGON
Trên router VUNGTAU:
VUNGTAU(config)#crypto isakmp policy 10
VUNGTAU(config-isakmp)#hash md5
VUNGTAU(config-isakmp)#encryption des
VUNGTAU(config-isakmp)#group 2
VUNGTAU(config-isakmp)#authentication pre-share
VUNGTAU(config)#crypto isakmp key 0 VPN123 address 150.1.1.1
Kết quả khi “ show crypto isakmp policy”:
Hình 5.7- Cấu hình IKE policy trên router VUNGTAUBước 3: Cấu hình chính sách IPSec (IKE phase 2)
Thiết lập IPSec SA dựa trên những thông số của phase 1
SAIGON(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des //chọn giao thức ESP để đóng gói dữ liệu
SAIGON(config)#crypto ipsec security-association lifetime seconds 1800 //thời gian tồn tại của IPSec SA
VUNGTAU(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des
VUNGTAU(config)#crypto ipsec security-association lifetime seconds 1800
Bước 4: Tạo Access control list ACL
Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ
SAIGON(config)#access-list 100 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255
VUNGTAU(config)#access-list 100 permit ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
Bước 5: Cấu hình Crypto map
SAIGON(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
SAIGON(config-crypto-map)#set peer 151.1.1.1
SAIGON(config-crypto-map)#set transform-set MYSET
SAIGON(config-crypto-map)#match address 100
VUNGTAU(config)#crypto map MYMAP 10 ipsec-isakmp
% NOTE: This new crypto map will remain disabled until a peer
and a valid access list have been configured.
VUNGTAU(config-crypto-map)#set peer 150.1.1.1
VUNGTAU(config-crypto-map)#set transform-set MYSET
VUNGTAU(config-crypto-map)#match address 100
Bước 6: Đưa crypto map vào interface
SAIGON(config)#interface s0/0
SAIGON(config-if)#crypto map MYMAP
VUNGTAU(config)#interface s0/0
VUNGTAU(config-if)#crypto map MYMAP
5.5. Kiểm tra:
1. Kiểm tra kết nối giữa 2 LAN 192.168.1.0/24 và 192.168.2.0/24
Hình 5.16- Kiểm tra kết nối giữa 2 LAN thành công 1/2
Như vậy 2 LAN .168.1.0/24 và 192.168.2.0/24 đã có thể giao tiếp được với nhau.
Hình 5.17 - Kiểm tra kết nối giữa 2 LAN thành công 2/2
2. Kiểm tra crypto map:
3. Kiểm tra ISAKMP SA:
4. Kiểm tra IPSec SA:
SSL VPN (WEB VPN)
Định nghĩa:
SSL VPN, hay còn gọi là Web VPN cung cấp một sự hỗ trợ về phần mềm cisco cho việc truy cập từ xa tới mạng công ty từ bất cứ nơi đâu trên internet. Truy cập từ xa được cung cấp thông qua SSL (Secure Socket Layer) được enable trên VPN Gateway.Cho phép user thiết lập kết nối thông qua trình duyệt web do đó những user từ bất cứ hệ điều hành nào như Unix, Window, MAC hay tới những user từ quán Internet cũng có thể truy cập đến công ty mà không phải cài bất cứ soft nào như Cisco-vpn-client chẳng hạn. Ứng dụng sẽ được cài thẳng vào router, khi người dùng dù ở bất kì nơi đâu miễn có một đường truyền Internet thì khi người dùng truy cập vào địa chỉ bên ngoài của Gateway VPN [outside interface], router này sẽ đổ soft VPN-client xuống cho người dùng cài đặt. Hầu hết cống việc của người dùng chỉ nhấn yes, hay ok.
SSL-VPN của CISCO có 3 mode:
+ Clientless: người dùng chỉ có thể truy cập HTTP, Share file, tất cả truy cập đều thông qua giao diện web.
Vd: Người dùng sẽ truy cập tới http://192.1.1.2 [IP của router hoặc firewall]
+ Thin client: người dùng có thể remote desktop, telnet, POP3, SMTP, SSH, IMAP, các ứng dụng port tĩnh.
Dùng cơ chế TCP port forwarding, nhưng nhớ client phải cài java. Port forwarding java applet.
+ Tunnel mode: Truy cập tất cả các tài nguyên qua kết nối nhưng ta cũng có thể hạn chế quyền của người dùng, vd: FTP mode passive, active, SQLnet, voice, …
Khi đăng nhập web VPN, client sẽ tải về soft, gói cài đặt nằm trong flash hoặc disk của router. Quá trình cài đặt hầu như dễ dàng, chỉ yes và OK.
Phải cài Java hoặc ActiveX
Default mã hóa của trình duyệt là 3DES hoặc RC4.
Các IOS nào hỗ trợ SSL VPN:
Các router hỗ trợ: 877, 1811, 1841, 2801, 2811, 2821, 2851, 3725, 3745, 3825, 3845, 7200 7301.
Nói chung là IOS 1800, 2800, 3700, 3800, 7200, and 7301
IOS: Advantage Security image- 12.4(6)T hoặc lớn hơn.
Nếu cấu hình bằng SDM thì dùng bản 2.3 trở lên.
Cisco IOS SSL VPN có các bản licence cho 10, 25, 100 user kết nối đồng thời. Đối với ASA là 2 mặc định. Nếu router thì không hạn chế, chỉ phụ thuộc vào performance nhưng thiếu các tính năng cao cấp hơn.
SSL- VPN của ASA nếu có liscence thì có thêm chức năng CSD (Cisco Secure Desktop). User logon vào sẽ kiểm tra trojan, virus, service pack. Nếu thỏa thì cho vào, còn không thì Drop.
Ngoài ra nó còn tạo profile làm việc mới cho user. Do đó khi người dùng đăng nhập bị lấy pass thì cũng không xem được vì thông tin của người dùng đã được mã hóa. Sau khi disconnect thì file cache sẽ được xóa hết, thông tin xóa hết.
Cấu Hình SSL VPN Tunnel mode.
Bài này mình sẽ cấu hình với IOS 7200.Cisco IOS Software, 7200 Software (C7200-ADVSECURITYK9-M), Version 12.4(11)T, RELEASE SOFTWARE (fc2)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2006 by Cisco Systems, Inc.
Bước 1: format disk0:
GatewayVPN#format disk0:
Format operation may take a while. Continue? [confirm]
Format operation will destroy all data in "disk0:". Continue? [confirm]
Format: Drive communication & 1st Sector Write OK...
Writing Monlib sectors.
.................................................. .................................................. .................................................
Monlib write complete
Format: All system sectors written. OK...
Format: Total sectors in formatted partition: 130883
Format: Total bytes in formatted partition: 67012096
Format: Operation completed successfully.
Format of disk0 complete
Bước 2: Bỏ phần mềm client vào Disk0: hoặc vào flash
GatewayVPN#ping 192.168.10.50Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.10.50, timeout is 2 seconds:
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 4/14/36 ms
Nếu dùng Flash để lưu SSL-client
GatewayVPN#copy tftp: flash:
Address or name of remote host []? 192.168.10.50
Source filename []? sslclient-win-1.1.4.176.pkg
Destination filename [sslclient-win-1.1.4.176.pkg]? sslclient-win-1.1.4.176.pkg
Accessing tftp://192.168.10.50/sslclient-win-1.1.4.176.pkg...
Loading sslclient-win-1.1.4.176.pkg from 192.168.10.50 (via FastEthernet0/0): !
Nếu dùng Disk0: để lưu SSL-client, trong bài này mình sẽ dùng disk0: lưu SSL-client.
GatewayVPN#copy tftp: disk0:
Address or name of remote host [192.168.10.50]?
Source filename [sslclient-win-1.1.4.176.pkg]?
Destination filename [sslclient-win-1.1.4.176.pkg]?
Accessing tftp://192.168.10.50/sslclient-win-1.1.4.176.pkg...
Loading sslclient-win-1.1.4.176.pkg from 192.168.10.50 (via FastEthernet0/0): !!
[OK - 415956 bytes]
415956 bytes copied in 4.052 secs (102654 bytes/sec)
Bước 3:cài đặt soft SSL-Client vào Flash hoặc Disk của router.
Đối với Disk0:
GatewayVPN(config)#webvpn install svc disk0:/sslclient-win-1.1.4.176.pkg
SSLVPN Package SSL-VPN-Client : installed successfully
Đối với Flash.
GatewayVPN(config)#webvpn install svc flash:sslclient-win-1.1.4.176.pkg
SSLVPN Package SSL-VPN-Client : installed successfully
Bước 4: Cấu hình SSL VPN (Web VPN)
1. Cấu hình cơ bản:
GatewayVPN(config)#ip http server
GatewayVPN(config)#ip http secure-server
% Generating 1024 bit RSA keys, keys will be non-exportable...[OK]
GatewayVPN(config)#aaa new-model
GatewayVPN(config)#aaa authentication login default local #Tránh việc console timeout dẫn đến thiếu quyền truy cập đến Exec.
GatewayVPN(config)#aaa authentication login webvpn local # tạo danh sách chứng thực bằng local cho client, ở đây ta có thể dùng chứng thực bằng RADIUS.
GatewayVPN(config)#ip local pool pool-ssl 10.1.1.50 10.1.1.254 # Pool cung cấp IP cho WEB-VPN-client
GatewayVPN(config)#username tuan password 123456 # định nghĩa webvpn chứng thực username, password.
2. Cấu hình SSL.
a. Cấu hình gateway
GatewayVPN(config)#webvpn gateway gateway-vpn # định nghĩa interface mà WEBVPN theo dõi, khi này IOS sẽ sinh tự động certificate từ chính bản thân nó.
GatewayVPN(config-webvpn-gateway)#ip address 192.1.1.2 port 443 # Virtual Gateway Ipaddr, địa chỉ client sẽ kết nối tới web VPN server
GatewayVPN(config-webvpn-gateway)#inservice # Enable webvpn gateway
b.Cấu hình webcontext và policy:
GatewayVPN(config)#webvpn ?
context Specify webvpn context
GatewayVPN(config)#webvpn context ssl-client # định nghĩa những cấu hình liên quan tới webvpn, tương đương với tunnel group của ASA.
GatewayVPN(config-webvpn-context)#gateway gateway-vpn # kết hợp context và gateway.
GatewayVPN(config-webvpn-context)#aaa authentication list webvpn # chứng thực aaa, local đã tạo ở trên.
GatewayVPN(config-webvpn-context)#inservice #Bring context to inservice
*Apr 27 11:22:55.523: %SSLVPN-5-UPDOWN: sslvpn context : ssl-client changed state to UP
c.Cấu hình chính sách nhóm:
GatewayVPN(config-webvpn-context)#policy group CLIENT
#svc-enabled Enabled to run tunnel-mode
GatewayVPN(config-webvpn-group)#functions svc-enabled #Kích hoạt chức năng SVC
GatewayVPN(config-webvpn-group)#svc address-pool pool-ssl # Phân phối địa chỉ của pool-ssl để sử dụng SVC
GatewayVPN(config-webvpn-group)#svc split ?
#dns Domain resolved via the tunnel
#include Traffic to be sent over SSLVPN tunnel
GatewayVPN(config-webvpn-group)#svc split include 192.168.20.0 255.255.255.0 # định nghĩa mạng cần được bảo vệ, nếu không cấu hình mặc định là 0.0.0.0, đồng nghĩa với việc tất cả các mạng đều được bảo vệ.
GatewayVPN(config-webvpn-context)#default-group-policy CLIENT # áp policy này vào context.
Chú ý:
Tạo một connected vào router cho pool-ssl cung cấp cho Client. Nếu không có connected nào cho pool-sll thì client kết nối đến sẽ GatewayVPN sẽ không đẩy soft xuống cho client được. Ở đây ta dùng loopback.
GatewayVPN(config)#int loopback 10
GatewayVPN(config-if)#ip add 10.1.1.1 255.255.255.0
SSL-client và show run.
http://www.4shared.com/file/101972984/9aaa8f2a/SSL-Client_va_show_run.html
Soft SSL-VPN.
http://www.4shared.com/file/101973206/894ec8a/Soft-SSL-VPN.html
Tài liệu đọc thêm và cấu hình SSL-VPN bằng SDM.
http://www.4shared.com/file/101973735/bc7b2c18/WebVPN.html
IOS 7200
http://rapidshare.com/files/17035078/c7200-advsecurityk9-mz.124-11.T.bin
Nhiều tác giả-Nguồn từ VNPRO dot ORG
0 nhận xét:
Đăng một Nhận xét