TÌM HIỂU QUA VỀ VPN VÀ IPSEC

By /

I. VPN
1. Khái niệm:
– Là 1 kết nối riêng trên 1 hạ tầng mạng chung
– Kỹ thuật để xây dựng đường hầm thì người ta sử dụng giao thức để xây dựng như:

  • pptp
  • L2tp
  • Gre
  • Vlan
  • MPLS
  • IPsec
  • Vitual link của OSPF

2. Các mô hình triển khai VPN
– Gồm 6 kiểu
2.1 Hub and spoke
– Ưu điểm: Việc triển khai đơn giản, nhẹ nhàng
– Nhược điểm: Con hub chịu tại nhiều , performance không tốt

[​IMG]

2.2 Full mesh
– Ta có công thức tính số đường hầm VPN cần xây dựng khi dùng Full mesh n(n-1) / 2. Ví dụ cty có 4 chi nhánh thì cần 6 đường hầm, cty có 10 chi nhánh thì cần xây dựng 45 đường hầm VPN
– Ưu điểm: Tối ưu hóa đường truyền, tính backup cao
– Nhược điểm: Tốn công triển khai, khó quản lý, scability không tốt

[​IMG]

2.3 Patial mesh
– Dựa trên mô hình hub and spoke nhưng khác ở chỗ là người ta sẽ xem traffix từ các chi nhánh nào cần liên lạc VPN nhiều thì sẽ xây dựng riêng cho chi nhánh đó 1 đường VPN
– Ví dụ như mô hình dưới đây, traffic giữa VPN giữa R2 và R3 nhiều thì admin sẽ thực hiện xây dựng 1 đường hầm VPN giữa R2 và R3 để tang performance

[​IMG]

2.4 DMVPN(dynamic multipoint VPN)
– Xây xây dựa trên mô hình Hub and Spoke
– Sau đó người ta sẽ nhúng chức năng DMVPN này vào. DMVPN sẽ có chức năng là nếu:

  • R2 và R3 có traffic VPN thì tự động R2 và R3 sẽ đàm phán và xây dựng 1 đường hầm DMVPN
  • Khi cuộc nói chuyện giữa R2 và R3 kết thúc thì đường hầm này cũng tự nhiên mất đi

– Ưu điểm: Kết hợp ưu điểm giữa Hub and spoke và ưu điểm của Full mesh

[​IMG]

2.5 DMVPN dual hub
– Xây dựng dựa trên mô hình DMVPN nhưng có thêm 2 con hub để dự phòng

[​IMG]

2.6 DMVPN dual hub and dual cloud
– Xây dựng dựa trên mô hình số 5 nhưng nó tăng tính dự phòng ISP

[​IMG]

3. Remote VPN:
– Remote VPN bao gồm:
– Site-to-site
– Client-to-site:

  • Cisco Easy VPN: là 1 software của Cisco dùng để quay VPN
  • Web VPN: Linh động hơn, sử dụng được trên cả smart phone…

II. IPSEC 
1. Khái niệm:
– IPSEC là 1 bộ công cụ nó cho phép sử dụng các chức năng

  • Encryption: Mã hóa
  • Integrity: Kiểm tra tính toàn vẹn
  • Authentication: Chứng thực

2. Header IPSEC
– Header IPsec có 2 loại header

  • AH: authentication và integrity
  • ESP: Ngày xưa ESP chỉ đảm nhận vai trò encryption.

=> Nhưng hiện nay ESP đảm nhiệm cả vai trò encryption, Authentication, integrity.

Có 2 kiểu đóng header IPSEC
– Transport mode:

  • Mã hóa toàn bộ data, nhưng ko mã hóa IP header
  • Dùng trong mạng LAN

– Tunnel mode:

  • Chèn bên ngoài gói, mã hóa toàn bộ gói tin,
  • Vì IP header cũng bị mã nên Router không đọc được để định tuyến nên cần tạo ra 1 new IP header
  • Dùng site-to-site để gói tin di chuyển trên internet

 

[​IMG]

3. Encryption:
– Mã hóa đối xứng: Mã hóa bằng key nào thì giả mã bằng key đó sử dụng các thuật toán như: DES, 3DES, AES
 Mã hóa bất đối xứng: Gồm 2 key, mã hóa bằng key này thì mã hóa bằng key kia. Các thuật toán được sử dụng như là: RSA, SEAL

  • Key private: Key này không share cho ai
  • Key Public: Key này được public cho mọi người

4. Digital Signiture
– Mã hóa bằng Private key của chính nó
5. Diffie hell-man exchange
– Làm nhiệm vụ trao đổi khóa
– Gồm các group như:

  • DH1(768 bit)
  • DH2(1024 bit)
  • DH5(1536 bit)
  • DH7(163 bit)

6. Data integrity
– Thuật toàn HASH dùng mã hóa 1 chiều, đầu vào dữ liệu giống nhau thì kết quả HASH giống nhau
– HASH được dùng để kiểm tra tính toàn vẹn của dữ liệu. Có 2 loại

  • MD5
  • SHA: có sha1, sha256…

– VD: thường dùng trong việc kiểm tra tính toàn vẹn của email, check sum md5, sha các phần mềm …
7. Authentication
– Để chứng thực có những cách sau

  • Pre-share key: 2 bên có cùng key (sử dụng diffie helleman để trao đổi key)
  • RSA signatures: Hay dùng là CA(với Microsoft có sẵn trên CA, với Cisco có 1 con cứng RSA), chứng thực dựa vào 1 server CA có 2 loại:
    • CA của ISP
    • CA do minh dựng
  • RSA encrypted nonces: hay là OTP (one time password)

Leave a Comment

Your email address will not be published. Required fields are marked *

Scroll to Top