BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP HCM ĐỒ ÁN CHUYÊN NGÀNH NGHIÊN CỨU VÀ TRIỂN KHAI IPSEC VPN Ngành: CÔNG NGHỆ THÔNG TIN Chuyên ngành: AN TỒN THƠNG TIN Giảng viên hướng dẫn: DƯƠNG MINH CHIẾN Sinh viên thực hiện: MSSV LỚP Phạm Thái Tài 1811061542 18DTHE3 Nguyễn Anh Tài 1811061999 18DTHE2 TP Hồ Chí Minh, 2021 BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC CÔNG NGHỆ TP.HCM KHOA CÔNG NGHỆ THÔNG TIN BÁO CÁO ĐỒ ÁN CHUYÊN NGÀNH ĐỀ TÀI: NGHIÊN CỨU VÀ TRIỂN KHAI IPSEC VPN Ngành: CÔNG NGHỆ THƠNG TIN Chun ngành: AN TỒN THƠNG TIN Sinh viên thực hiện: MSSV LỚP Phạm Thái Tài 1811061542 18DTHE3 Nguyễn Anh Tài 1811061999 18DTHE2 Giảng viên hướng dẫn: CHIẾN TP Hồ Chí Minh, 2021 ` DƯƠNG MINH LỜI CAM ĐOAN Tơi xin thay mặt nhóm cam kết báo cáo hoàn thành dựa kết nghiên cứu tơi thành viên nhóm kết nghiên cứu chưa dùng cho báo cáo cấp khác TP.HCM, ngày tháng 12 năm 2021 Thay mặt nhóm Phạm Thái Tài ` LỜI NÓI ĐẦU Ở thời điểm thấy hầu hết thứ sống hàng ngày lại, làm việc, học hành, giao tiếp, giải trí, … Internet đóng vai trị quan trọng gần thiếu Nhiều năm trước khái niệm Internet nhiều người cịn xa lạ, thứ khác Các cơng ty, doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày trở nên phổ biến Không vậy, nhiều doanh nghiệp triển khai đội ngũ bán hàng đến tận người dùng Do để kiểm sốt, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp, công ty triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả hỗ trợ truy cập, truy xuất thông tin từ xa Tuy nhiên việc truy xuất sở liệu từ xa địi hỏi cao vấn đề an tồn, bảo mật VPN – Vitual Private Network đời lựa chọn hàng đầu hầu hết doanh nghiệp tổ chức muốn đảm bảo chắn độ an tồn tính bảo mật toàn hệ thống, giải pháp tiết kiệm chi phí đầu tư sở hạ tầng mạng VPN xây dựng sở hạ tầng có sẵn mạng Internet Với giá hợp lý dễ sử dụng, VPN giúp doanh nghiệp tiếp xúc tồn cầu cách nhanh chóng hiệu so với giải pháp mạng WAN, LAN Tuy nhiên, song song với tiện ích khơng thể phủ nhận mà mạng mang tới, người dùng cịn đối mặt với hàng loạt nguy mà nguy hàng đầu bị đánh cắp thơng tin, thay đổi thơng tin truyển tải cách có chủ đích Câu hỏi đặt làm để bảo mật an toàn cho liệu trình truyền qua mạng? Làm bảo vệ chống lại cơng q trình truyền tải liệu đó? IPSec giải pháp khả dụng sau tìm hiểu bảo mật liệu qua mạng Internet việc sử dụng giao thức IPSec Là sinh viên chun ngành An tồn thơng tin, với kiến thức học với mong muốn tìm hiểu, nghiên cứu sâu giao thức IPSec VPN nhóm chúng em chọn đề tài “IPSEC VPN” để làm đề tài báo cáo đồ án chuyên ngành ` LỜI CẢM ƠN Sau trình học tập, nghiên cứu nỗ lực nhóm đặc biệt hướng dẫn tận tình Thầy Dương Minh Chiến mà nhóm em hồn thành đề tài tiến độ Em xin bày tỏ lòng biết ơn chân thành tới Thầy Dương Minh Chiến hướng dẫn, bảo nhóm em suốt q trình thực đề tài Trong trình thực đề tài, cố gắng song thời gian khả có hạn nên chúng em khơng thể tránh khỏi thiếu xót Vì vậy, chúng em mong nhận thông cảm, bảo giúp đỡ từ thầy để hồn thiện đề tài cách tốt ` MỤC LỤC CHƯƠNG TỔNG QUAN VỀ VPN .1 1.1 Lịch sử phát triển 1.2 Định nghĩa VPN 1.3 Các thành phần cấu thành nên VPN 1.3.1 VPN Client 1.3.2 VPN Server 1.3.3 IAS Server 1.3.4 Firewall 1.3.5 Giao thức Tunneling 1.4 Lợi ích hạn chế việc sử dụng VPN 1.4.1 Lợi ích 1.4.2 Hạn chế 1.5 Chức VPN .6 1.6 Phân loại VPN 1.6.1 Mạng VPN truy cập từ xa (Remote Access VPN) 1.6.2 Mạng VPN cục (Intranet VPN) 1.6.3 Mạng VPN mở rộng (Extranet VPN) .8 1.7 Các giao thức sử dụng VPN 1.7.1 Bộ giao thức IPSEC 1.7.2 Giao thức PPTP (Potint-to-Point Tunneling Protocol) 10 1.7.3 Giao thức đường hầm lớp (Layer Tunneling Protocol) 11 1.7.4 Secure Socket Tunneling Protocol (VPN-SSTP) 13 CHƯƠNG IPSEC VPN .15 2.1 Bộ giao thức IPSec .15 2.1.1 Kiến trúc IPSec 15 2.1.2 Giao thức AH (Authentication Header) 16 2.1.3 Giao thức ESP (Encapsulating Security Payload) 19 2.1.4 Các chế độ làm việc .22 2.2 Triển khai IPSec 26 2.2.1 Cách IPSec bảo mật lưu lượng .26 2.2.2 Ràng buộc miền giá trị 27 2.2.3 Cách Policy làm việc .28 2.3 Triển khai IPSec với Pre-Shared Keys 29 2.3.1 Giới thiệu Pre-Shared Keys 29 2.3.2 Giao thức Kerberos Certifiacate 29 2.4 Đánh giá hệ thống VPN sử dụng IPSec tính hiểu 30 2.4.1 Ưu điểm nhược điểm 30 2.4.2 Ứng dụng IPSec .31 2.4.3 Tính .31 CHƯƠNG VPN IPSEC TRÊN MÔI TRƯỜNG LINUX 32 3.1 Giới thiệu VPN IPSec áp dụng Linux 32 3.2 So sánh Tunnel mode Transport mode .33 CHƯƠNG TRIỂN KHAI VPN IPSEC .35 4.1 Demo 1: Cấu hình IPSec VPN site to site trình giả lập GNS3 .35 4.1.1 Mơ hình triển khai 35 4.1.2 Các bước tiến hành thực mơ hình 36 4.2 Demo 2: Cấu hình IPSec VPN mơi trường Linux 43 DANH MỤC HÌNH ẢN Hình 1-1 Mơ hình VPN Hình 1-2 Mơ hình mạng VPN truy cập từ xa Hình 1-3 Mơ hình VPN cục Hình 1-4 Mơ hình mạng VPN mở rộng Hình 2-1 Kiến trúc IPSEC 15 Hình 2-2 Cấu trúc gói tin AH 17 Hình 2-3 Thành phần chứng thực AH 18 Hình 2-4 Quá trình tạo gói tin AH 18 Hình 2-5 Cấu trúc gói tin ESP 19 Hình 2-6 Quá trình thực thi ESP 20 Hình 2-7 So sánh AH ESP .22 Hình 2-8 Cấu trúc gói tin IPsec chế độ Transport Mode 23 Hình 2-9 Cấu trúc gói tin IPsec chế độ Tunnel Mode .23 Hình 2-10 Trước sau thêm AH IPv4 25 Hình 2-11 Ứng dụng IPSec 31 Hình 3-1 Sơ đồ phân cấp chức VPN IPSec 33 Hình 3-2 Biểu đồ luồng liệu VPN sử dụng IPSec 33 Hình 3-3 So sánh phương thức Tunnel Transport .34 Hình 3-4 Hoạt động phương thức đường hầm .35 Hình 4-1 Mơ hình triển khai IPSec VPN site to site GNS3 36 Hình 4-2 Cấu hình gateway Bà Rịa 36 Hình 4-3 Cấu hình gateway HCM 37 Hình 4-4 Cấu hình BR_PC .37 Hình 4-5 Cấu hình HCM_PC 37 Hình 4-6 Cấu hình sách ISAKMP/IKE phase cho gateway BR .38 Hình 4-7 Cấu hình sách ISAKMP/IKE phase cho gateway HCM 38 Hình 4-8 Cấu hình IPSec Transform-set phase cho gateway BR 38 Hình 4-9 Cấu hình IPSec Transform-set phase cho gateway HCM 38 Hình 4-10 Cấu hình Crypto Map gateway BR 39 Hình 4-11 Cấu hình Crypto Map gateway HCM 39 Hình 4-12 Đưa Crypto Map lên Interface gateway BR .39 Hình 4-13 Đưa Crypto Map lên Interface gateway HCM 40 Hình 4-14 PC BR ping tới PC HCM 40 Hình 4-15 PC HCM ping tới PC BR 40 Hình 4-16 Crypto Map gateway BR 40 Hình 4-17 Crypto Map gateway HCM 41 Hình 4-18 ISAKMP SA gateway BR 41 Hình 4-19 ISAKMP SA gateway HCM 41 Hình 4-20 IPSec SA gateway BR .42 Hình 4-21 IPSec SA gateway HCM 43 DANH MỤC BẢN Bảng 2.1 Policy làm việc 29 khơng tương thích với chúng trở lại dạng liên lạc không bảo mật khơng thể liên lạc với Ví dụ cách thức policy làm việc với Bảng áp dụng cho policy mặc định với rule mặc định Nếu bạn áp policy với rule máy A request ESP cho HTTP máy B require AH cho HTTP sau hai máy khơng thể thỏa thuận kết hợp bảo mật Xác thực Kerberos thiết lập mặc định cho tất policy mặc định Giao thức Kerberos làm việc với máy tính hệ thống Active Directory máy khơng thành viên hệ thống máy tính khác khơng thể thỏa thuận xác thực Nếu máy B thay đổi để sử dụng certificate cho xác thực lưu lượng IP khơng thể thiết lập kết hợp bảo mật Có thể cấu hình lại cho máy B yêu cầu giao thức Kerberos certificates Khi thỏa phương pháp xác thực xác thực thực Nếu bạn thiết lập policy Secure Server (Require Security) máy tính khơng thể liên lạc với máy khơng cài đặt IPSec Chẳng hạn, máy tính cần truy cập server chạy Microsoft SQL Server khơng có IPSec hệ thống bị fail Nếu bạn thiết lập policy Server (Request Security) máy tính quay liên lạc khơng bảo mật với máy tính khơng có policy Policy IPSec thiết lập để bảo mật lưu lượng cần bảo mật cho phép thực liên lạc 2.3 Triển khai IPSec với Pre-Shared Keys 2.3.1 Giới thiệu Pre-Shared Keys Định nghĩa Pre-Share Key (PSK): Là phương thức sử dụng cho việc xác thực kênh IPSec Nếu PreShare-Key (PSK) sử dụng IKE để xác thực, người tham gia hai bên phải cấu hình với Pre-Shared Key trong tính nâng cao Pre-Shared Key cấu hình cách đơn giản, sử dụng môi trường VPN nhỏ Một hay nhiều khóa cấu hình dùng để chứng thực để nhận dạng thiết bị Hạn chế Pre-Shared Key Pre-Shared keys không bảo mật giao thức Kerberos certificate cất đoạn clear text policy IPSec Nếu người công giành quyền truy cập admin vào policy thấy Preshared key Preshared key không dùng tốt cho cấu hình nhiều máy 2.3.2 Giao thức Kerberos Certifiacate Hai phương pháp khác cho việc xác thực hai host dùng IPSec là:  Giao thức Kerberos: lưu lượng máy tình hệ thống 29 domain việc dùng giao thức Kerberos mặc định phương pháp xác thực đơn giản cho IPSec khơng địi hỏi cấu hình Giao thức Kerberos thành phần Active Directory thành phần cấu trúc enterprise domain Tuy nhiên, client không hỗ trợ giao thức Kerberos client không thành phần kiến trúc Active Directory sử dụng Preshared key X.509 certificate  Certificate: Dùng certificate từ CA đáng tin cậy xem phương pháp xác thực hai host IPSec cho phép doanh nghiệp liên lạc với Bạn dùng certificate để enable Windows Routing and Remote Access service để giao tiếp bảo mật Internet với router lớp hỗ trợ IPSec Tuy nhiên, certificate phức tạp Preshare keys giao thức Kerberos nên chúng đòi hỏi nhiều việc thiết lập admin Certificate thành phần giải pháp PKI 2.4 Đánh giá hệ thống VPN sử dụng IPSec tính hiểu 2.4.1 Ưu điểm nhược điểm Ưu điểm  Khi IPSec triển khai firewall định tuyến mạng riêng, tính an tồn IPSec áp dụng cho tồn vào mạng riêng mà thành phần khác không cần phải xử lý thêm công việc liên quan đến bảo mật  IPSec thực bên lớp TCP UDP, đồng thời hoạt động suốt lớp Do không cần phải thay đổi phần mềm hay cấu hình lại dịch vụ IPSec triển khai  IPSec cấu hình để hoạt động cách suốt ứng dụng đầu cuối, điều giúp che giấu chi tiết cấu hình phức tạp mà người dùng phải thực kết nối đến mạng nội từ xa thông qua mạng Internet Hạn chế  Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kĩ thuật nghiên cứu chưa chuẩn hóa  IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác 30  Việc tính tốn nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu  Việc phân phối phần cứng phần mềm mật mã bị hạn chế phủ số quốc gia 2.4.2 Ứng dụng IPSec - Bảo vệ kết nối từ mạng chi nhánh đến mạng trung tâm thông qua Internet - Bảo vệ kết nối truy cập từ xa (Remote Access) - Thiết lập kết nối Intranet Extranet - Nâng cao tính bảo mật giao dịch thương mại điện tử Hình 2-15 Ứng dụng IPSec 2.4.3 Tính Để thực chức bảo mật liệu VPN, IPSec cung cấp tính sau:  Sự bảo mật liệu (Data Confidentiality): Đảm bảo liệu an tồn, tránh kẻ cơng phá hoại cách thay đổi nội dung đánh cắp liệu quan trọng Việc bảo vệ liệu thực thuật tốn mã hóa DES, 3DES AES Tuy nhiên, tính tùy chọn IPSec  Sự toàn vẹn liệu (Data Integrity): Đảm bảo liệu không bị thay đổi suốt q trình trao đổi Data Integrity thân khơng cung cấp an tồn liệu Nó sử dụng thuật toán băm (hash) để kiểm tra liệu bên gói tin có bị thay đổi 31 hay khơng Những gói tin bị phát bị thay đổi bị loại bỏ Những thuật toán băm: MD5 SHA-1  Chứng thực nguồn liệu (Data Origin Authentication): Mỗi điểm cuối VPN dùng tính để xác định đầu phía bên có thực người muốn kết nối đến hay khơng Lưu ý tính khơng tồn mà phụ thuộc vào tính tồn vẹn liệu Việc chứng thực dựa vào kĩ thuật: Pre-Shared Key, RSA-Encryption, RSA-Signature  Tránh trùng lặp (Anti-replay): Đảm bảo gói tin khơng bị trùng lặp việc đánh số thứ tự, gói tin trùng bị loại bỏ Đây tính tùy chọn CHƯƠNG VPN IPSEC TRÊN MÔI TRƯỜNG LINUX 3.1 Giới thiệu VPN IPSec áp dụng Linux Lịch sử phát triển IPSec Linux phiên FreeS/Wan tiếp dự án KAME phát triển IPSec cho OpenBSD FreeBSD Nếu áp dụng IPSec có sử dụng phương tiện hỗ trợ phần mềm đặt Server, Gateway thiết bị chuyên dụng vấn đề đơn giản nhiều Bên cạnh với việc sử dụng cơng cụ hỗ trợ việc triển khai khơng vấp phải vấn đề khác biệt hệ điều hành tốn nhiều thời gian vào việc quản lý Tuy nhiên thực tế việc triển khai IPSec với phương thức tương đối tốn khơng phải người có nhu cầu sử dụng IPSec có khả đáp ứng Vì triển khai IPSec hệ thống Linux sử dụng công cụ phần mềm IPSec túy, đáp ứng nhu cầu cá nhân quy mơ khơng lớn Trong thực tế phiên Linux không hỗ trợ sẵn công cụ cho IPSec người sử dụng IPSec thường phải tự cài đặt phiên hỗ trợ IPSec hệ thống Vấn đề quan trọng IPSec chế chuyển khóa IKE, có chương trình sau hỗ trợ việc chuyển khóa :  Pluto (OpenSwan)  Isakmpd (OpenBSD)  Racoon (KAME project) Có mơ hình triển khai IPSec hình thức vận chuyển (transport mode) đường hầm (tunnel mode) Trong phần dưới sẽ trình bày chi tiết biểu đồ phân cấp chức năng, biểu đồ luồng liệu việc triển khai VPN với IPSec môi trường Linux  Sơ đồ phân cấp chức năng: 32 Hình 3-16 Sơ đồ phân cấp chức VPN IPSec  Biểu đồ luồng liệu VPN-IPSec: Hình 3-17 Biểu đồ luồng liệu VPN sử dụng IPSec 3.2 So sánh Tunnel mode Transport mode 33 Hình 3-18 So sánh phương thức Tunnel Transport Trong phương thức đường hầm, IPSec sử dụng để bảo vệ gói tin IP đóng gói hồn tồn sau đầu tin IP gọi tới Đầu tin IPSec nằm trước đầu tin IP gốc, đầu tin IP gắn vào trước đầu tin IPSec Có thể nói tồn gói tin IP gốc bảo vệ đóng gói gói tin IP khác Ta thấy khác hai phương thức IPSec, phương thức đường hầm bảo vệ gói tin IP gốc cách toàn (header and all) phương thức vận chuyển khơng Do thứ tự header khác nhau: - Đối với phương thức vận chuyển thứ tự là: đầu tin IP, đầu tin IPSec (AH and/or ESP), tải IP (bao gồm đầu tin vận chuyển) - Còn phương thức đường hầm: đầu tin IP mới, đầu tin IPSec (AH and/or ESP), đầu tin IP cũ, tải IP Hình mơ tả chi tiết định dạng gói tin qua tầng mơ hình Network-toNetwork: 34 Hình 3-19 Hoạt động phương thức đường hầm CHƯƠNG TRIỂN KHAI VPN IPSEC 4.1 Demo 1: Cấu hình IPSec VPN site to site trình giả lập GNS3 4.1.1 Mơ hình triển khai 35 Hình 4-20 Mơ hình triển khai IPSec VPN site to site GNS3  Hai router Bà Rịa TP Hồ Chí Minh đóng vai trị router gateway chi nhánh công ty Bà Rịa HCM, dùng thiết lập VPN site to site  Hai router BR_PC HCM_PC đóng vai trò PC mạng nội (LAN) chi nhánh dùng để kiểm tra kết nối site to site VPN chi nhánh sau thiết lập VPN 4.1.2 Các bước tiến hành thực mơ hình Bước 1: Cấu hình cho Router  Trên router gateway Bà Rịa: Hình 4-21 Cấu hình gateway Bà Rịa  Trên router gateway HCM: 36 Hình 4-22 Cấu hình gateway HCM  Trên BR_PC: Hình 4-23 Cấu hình BR_PC  Trên HCM_PC: Hình 4-24 Cấu hình HCM_PC Bước 2: Cấu hình sách ISAKMP/IKE phase ISAKMP (Internet Security Association and Key Management Protocol) sử dụng để thương lượng key thông số security nhằm để thiết lập kênh giao tiếp an toàn bao gồm: - Thuật tốn hash - Thuật tốn mã hóa - Số nhóm khóa (version) Diffle-Hellman - Phương thức chứng thực - Xác định thông tin key peer  Trên router gateway Bà Rịa: 37 Hình 4-25 Cấu hình sách ISAKMP/IKE phase cho gateway BR Ở sử dụng thuật tốn hash md5, thuật tốn mã hóa des với số nhóm khóa Diffle-Hellman group Phương thức chứng thực pre-share cuối xác thực thông tin key peer Và thực tương tự cho router gateway HCM  Trên router gateway HCM: Hình 4-26 Cấu hình sách ISAKMP/IKE phase cho gateway HCM Bước 3: Cấu hình IPSec Transform-set (ISAKMP/IKESA phase 2) Mục đích IKE SA phase sử dụng cho việc thỏa thuận IPSec SA để thiết lập IPSec Tunnel bao gồm chức năng: - Thiết lập thông số IPSec SA dựa IKE SA phase - Trao đổi định kỳ IPSec SA đảm bảo độ an tồn  Trên router gateway BR: Hình 4-27 Cấu hình IPSec Transform-set phase cho gateway BR Ở lựa chọn giao thức ESP để đóng gói liệu, đồng thời thiết lập thời gian tồn IPSec SA Thực tương tự cho gateway HCM  Trên router gateway HCM: Hình 4-28 Cấu hình IPSec Transform-set phase cho gateway HCM Bước 4: Tạo Access Control List ACL Xác định luồng liệu cho qua tunnel mã hóa 38  Trên router gateway BR: CNBR (config)# access-list 100 permit ip 192.168.1.0 0.0.0.255 10.16.3.0 0.0.0.255  Trên router gateway HCM: CNHCM (config)# access-list 100 permit ip 10.16.3.0 0.0.0.255 192.168.1.0 0.0.0.255 Bước 5: Cấu hình Crypto Map Crypto Map tập hợp tồn thông tin định nghĩa bước bao gồm peer address, ACL, transform-set Một vài lưu ý Cypto Map - Chỉ dùng Crypto Map Interface - Có thể sử dụng Crypto Map cho nhiều Interface khác  Trên router gateway BR: Hình 4-29 Cấu hình Crypto Map gateway BR  Trên router gateway HCM: Hình 4-30 Cấu hình Crypto Map gateway HCM Bước 6: Đưa Crypto Map lên Interface  Trên router gateway BR: Hình 4-31 Đưa Crypto Map lên Interface gateway BR  Trên router gateway HCM: 39 Hình 4-32 Đưa Crypto Map lên Interface gateway HCM Bước 7: Kiểm tra  Kiểm tra kết nối LAN 192.168.1.0/24 10.3.16.0/24 sau thiết lập site to site Hình 4-33 PC BR ping tới PC HCM Hình 4-34 PC HCM ping tới PC BR  Kiểm tra Crypto Map với lệnh #show crypto map Hình 4-35 Crypto Map gateway BR 40 Hình 4-36 Crypto Map gateway HCM  Kiểm tra ISAKMP SA với lệnh #show crypto isakmp sa Hình 4-37 ISAKMP SA gateway BR Hình 4-38 ISAKMP SA gateway HCM  Kiểm tra IPSec SA với lệnh #show crypto ipsec sa 41 Hình 4-39 IPSec SA gateway BR 42 Hình 4-40 IPSec SA gateway HCM 4.2 Demo 2: Cấu hình IPSec VPN mơi trường Linux 43 ... Security) No policy assigned No IPSec No IPSec No IPSec No communication Client (Respon d Only) No IPSec No IPSec IPSec IPSec Server No IPSec (Request Security) IPSec IPSec IPSec Secure No Server communication... thức đường hầm CHƯƠNG TRIỂN KHAI VPN IPSEC 4.1 Demo 1: Cấu hình IPSec VPN site to site trình giả lập GNS3 4.1.1 Mơ hình triển khai 35 Hình 4-20 Mơ hình triển khai IPSec VPN site to site GNS3  Hai... 32 3.1 Giới thiệu VPN IPSec áp dụng Linux 32 3.2 So sánh Tunnel mode Transport mode .33 CHƯƠNG TRIỂN KHAI VPN IPSEC .35 4.1 Demo 1: Cấu hình IPSec VPN site to site trình