IKE giúp các bên giao tiếp hòa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai. IKE sửa đổi những tham số khi cần thiết trong suốt phiên là[r]
(1)@Email: fit@ispace.edu.vn
http://fit.ispace.edu.vn
MÔN HỌC: XÂY DỰNG HỆ THỐNG FIREWALL
1 Trường Cao đẳng Nghề CNTT iSPACE
(2)Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG
Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS
Bài 4: BẢO MẬT LAYER 2
(3)@Email: fit@ispace.edu.vn
Giới thiệu IPsec đặc điểm IPsec Triển khai site – to – site IPsec VPN
Cấu hình IPsec site – to – site VPN sử dụng SDM
Cấu hình cisco Easy VPN Easy VPN Server với SDM Triển khai cisco VPN Client
Câu hỏi tập
Triển khai hệ thống Ipsec VPN site- to – site dòng lệnh sử dụng giao diện SDM
(4)Trình bày thành phần IPSec đặc điểm IPSec VPN.
Triển khai Site-to-Site IPSec VPN.
(5)@Email: fit@ispace.edu.vn
Tống quan IPSec
Internet Key Exchange Các chức IKE
ESP AH Hàm băm Mã hóa
Mơi trường khóa cơng khai
Tổng quan giao thức IPSec cách thức hoạt động IPSec
(6)IPsec ?
IPsec chuẩn IETF sử dụng chế mã hóa lớp mạng
Chứng thực gói tin IP
Kiểm tra tính tồn vẹn gói tin
Đảm bảo tính “riêng tư” (Bí mật) với gói tin Chuẩn mở đảm bảo tính bảo mật kết nối riêng tư Ứng dụng mơ hình mạng từ nhỏ đế lớn
Hỗ trợ sẳn phiên phần mềm Cisco IOS 11.3 T trở về sau.
(7)@Email: fit@ispace.edu.vn
Tính bảo mật IPsec:
IPsec chuẩn lớp cung cấp tính : Bảo mật
Chứng thực
Toàn vẹn liệu
(8)IPsec Protocols:
IPsec sử dụng ba giao thức để tạo khung bảo mật Internet Key Exchange (IKE):
o Cung cấp khung thỏa thuận thông số bảo mật o Tạo khóa xác thực
Encapsulating Security Payload (ESP):
o Cung cấp việc mã hóa , xác thực bảo mật liệu
Authentication Header (AH):
(9)@Email: fit@ispace.edu.vn
IPsec Headers :
Ipsec ESP cung cấp tính năng:
Xác thực tồn vẹn liệu ( MD5 – SHA – HMAC ) Bảo mật ( DES , 3DES , ASE ) với ESP
(10)Peer Authentication:
Peer phương pháp xác thực: Đặt Username – Password Mật lần (OTP) Sinh trắc học
(11)@Email: fit@ispace.edu.vn
Internet Key Exchange:
IKE giúp bên giao tiếp hòa hợp tham số bảo mật khóa xác nhận trước khi phiên bảo mật IPSec triển khai.
IKE sửa đổi tham số cần thiết trong suốt phiên làm việc
IKE đảm nhiệm việc xoá bỏ SA khóa sau phiên giao dịch hoàn thành
(12)IKE Phases:
Giai đoạn 1:
Xác thực thông điệp
Thiết lập kênh đàm phán SA Thơng tin thỏa thuận thuật tốn Giai đoạn 1.5:
Chứng thực VPN client Bật chế độ cấu hình Giai đoạn 2:
(13)@Email: fit@ispace.edu.vn IKE Modes :
4 chế độ IKE phổ biến thường triển khai :
Chế độ (Main mode)
Chế độ linh hoạt (Aggressive mode) Chế độ nhanh (Quick mode)
Chế độ nhóm (New Group mode)
(14)(15)@Email: fit@ispace.edu.vn
Tính khác IKE :
Phát kết nối tới PER ( DPD ) :
Chức mang tính chiều Gửi thơng điệp định kỳ
PEER thực gửi lại không coi kết nối
IKE Keepalives gửi sau khoảng thời gian 10s NAT Traversal :
Được định nghĩa RFC 3947
Đóng gói gói tin thơng qua giao thức UDP
(16)IPsec NAT Traversal :
Cần NAT Traversal với IPsec qua TCP/UDP :
NAT Traversal phát NAT Traversal định
Đóng gói gói tin thông qua UDP
(17)@Email: fit@ispace.edu.vn
Mode cấu hình :
17 Các Mode sử dụng để
(18)(19)@Email: fit@ispace.edu.vn
User Authentication:
19 Cho phép phương thức
(20)ESP AH:
IP protocol :
ESP AH
ESP sử dụng port 50 AH sử dụng port 51
Ipsec modes :
20