(Hình 4.1)
• Bước 1: Cấu hình Interesting traffic
Đầu tiền chúng ta cần định nghĩa traffic mà chúng ta quan tâm và traffic này sẽ được mã hóa. Bằng cách sử dụng ACL chứng ta có thể xác định được traffic nào cần được quản lý bởi ASA. Trong hình trên, chúng ta muốn tất cả các traffic giữa mạng
192.168.1.0/24 và 192.168.2.0/24 được mã hóa
Một vấn đề quan trọng phải xem xét là trong trường hợp sử dụng NAT trên firewall cho các truy cập Internet thông thường. Bởi vì IPSec không làm việc với NAT, chúng ta cần phải loại trừ traffic IPSec khỏi NAT. Sử dụng NAT 0 để giải quyết vấn đề này.
• Bước 2: Cấu hình Phase 1 (ISAKMP)
Cách thức hoạt động của Phase 1 được sử dụng để thiết lập kênh giao tiếp bảo mật cho việc truyền dữ liệu. Ở phase 1, các VPN peer trao đổi key bí mật, xác thực nhau, thương lượng các chính sách bảo mật IKE… Trong phase này chúng ta cấu hình isakmp policy, phải trùng với policy đã được cấu hình ở peer bên kia. Isakmp policy này nói cho các peer khác tham số bảo mật nào phải được sử dụng trong VPN (như là giao thức mã hóa, thuật toán hash, phương thức chứng thực, DH, lifetime) như sau
Một vài ISAKMP POLICY có thể được cấu hình để đáo ứng một vài yêu cầu khác nhau từ các peer khác nhau. Chỉ số ưu tiên xác định duy nhất mỗi Policy.
Những tham số sau có thể được sử dụng để tạo một ISAKMP Policy mạnh Mã hóa: AES
Hash: sha
Chứng thực: Pre-share Nhóm: 2 hoặc 5
Lifetime: 3600 (SA sẽ hết hạn và được thương lượng lại trong 1 giờ)
Điều tiếp theo ta cần xác định là pre-shared key và loại VPN (SITE-to-Site, Remote Access hay WebVPN). Được cấu hình bởi câu lẹnh tunnel-group
Cấu hình:
Sau khi đường hầm bảo mật được thiết lập trong phase 1, bước tiếp theo là thiết lập VPN thương lượng các tham số bảo mật IPSec, cái mã sẽ được sử dụng để bảo vệ dữ liệu trong đường hầm. Điều này được thực hiện trong Phase 2 của IPSec. Trong Phase này các chức năng sau sẽ được thực hiện:
Thương lượng các tham số bảo mật IPSec và tập các biến đổi ÍPSec Thiết lập các IPSec SA
Thương lượng lại các IPSec SA theo giai đoạn để đảm bảo tính bảo mật
Mục tiêu của IKE Phase 2 là thiết lập phiên kết nối IPSec một cách bảo mật giữa các peer. Trước khi điều đó xảy ra, mỗi bên thương lượng mức độ bảo mật (mã hóa và thuật toán xác thực cho phiên). Các giao thức được nhóm thành các sets và được gọi là transform sets. Tập IPSec transform được trao đổi giữa các peer và chúng phải giống nhau giữa các peer để phiên có thể được thiết lập
Định dạng câu lệnh cấu hình một transform set:
Những transform sau (giao thức/thuật toán) có thể được sử dụng trong transform1 và transform2
Transform Mô tả
Esp-des ESP transform sử dụng DES 56
bits
Esp-3des ESP transform sử dụng 3DES
168 bits
Esp-aes Esp transform sử dụng AES-
128
Esp-aes-192 Esp transform sử dụng AES-
192
Esp transform sử dụng AES- 256
Esp-md5-hmac Esp transform sử dụng HMAC-
MD5 cho chứng thực
Esp-sha-hmac Esp transform sử dụng HMAC-
SHA cho chứng thực
Esp-null Esp không mã hóa
Bảng 4.1 : Các Trasform
Một số chú hữu ích khi bạn chọn Transform protocols
Để cung cấp tính bảo mật (mã hóa) thì sử dụng transform cho việc mã hóa ESP như là 5 ESP đầu tiền trong bảng
Để chứng thực thì sử dụng MD5-HMAC hay SHA-HMAC SHA là mạnh hơn MD5 nhưng chậm hơn
Sau khi cấu hình transform set trên cả 2 IPSEc peer, chúng ta cần phải cấu hình crypto map, cái mà chứa tất cả các tham số Phase 2 IPSec. Sau đó Crypto map được áp dụng vào interface firewall (thường là Outside) nơi mà IPSec sẽ được thiết lập
Tham số seq-num trong crypto map được sử dụng để chỉ ra nhiều entries map cùng tên cho mỗi trường hợp khi mà chúng ta có nhiều hơn 1 IPSec peer trên firewall (ví dụ ASA trong mô hình hub-and-spoke)
Hoàn thành cấu hình cho cả 2 firewall đối với việc thiết lập Phase 2
Bước 4 : Kiểm tra dữ liệu đã được mã hóa
- Kiểm tra đường hầm đã được thiết lập ?
Câu lệnh show crypto isakmp sa kiểm tra SA được thiết lập hay chưa ? Trạng thái của đường hầm up hay down hay đang chạy.
- Kiểm tra dữ liệu có được mã hóa?
Câu lệnh show crypto ipsec sa xác nhận việc dữ liệu có được mã hóa và giải mã thành công hay không?
Bảng 4.2: Thông tin dữ liệu được mã hóa
(Hình 4.2)
- Nhiều câu lệnh cấu hình tương tự như cấu hình Site-to-Site VPN, đặc biệt là IKE Phase 1 và Phase 2. Tương tự địa chỉ IP Pool phải được cấu hình trên firewall cho việc cấp phát động địa chỉ cho remote user
- Bước 1: Cấu hình IP Pool
Định dạng câu lệnh như sau:
Trong ví dụ này chúng ta muốn chỉ định địa chỉ cho remote user từ dải 192.168.20.0/24
- Bước 2: Mã hóa traffic và không NAT:
- Tương tự như Site-to-Site VPN, chúng ta cần xác định ACL từ Internal đến remote user (192.168.20.0/24) để loại bỏ khỏi NAT
- Bước 3: Cấu hình Group Policy
Group policy cho phép bạn phân tách các remote user theo cách khác nhau thành các nhóm với các thuộc tính khác nhau. Ví dụ người quản trị hệ thống được chỉ định trong nhóm có truy cập fulltime 24h, trong khi remote user bình thường được chỉ định vào một nhóm khác có quyền truy cập từ 9h sáng đến 5h chiều. Group policy cũng cung cấp địa chỉ DNS hoặc WINS server, lọc kết nối, thời gian timeout
Cú pháp như sau:
Gỉa sử rằng tất cả các remote user sẽ cùng một group policy có tên gọi là
“company-cpn-policy” như được cấu hình như trên. Policy này chỉ định địa chỉ DNS và
WINS server để phân giải tên miền trong internal domain và hostname. Nó được thiết lập thời gian timeout là 30 phút.
- Bước 4: Cấu hình username cho việc chứng thực Remote Access
Khi một remote user kết nối bằng VPN Client, thì sẽ được yêu cầu nhập thông tin username và password trên màn hình đăng nhập để chứng thực với firewall. Vì lẽ đó chúng ta cần tạo ra usernames và password cho việc chứng thực này
Cú pháp: Ví dụ cấu hình:
- Bước 5: Cấu hình Phase 1 (ISAKMP Policy)
Tương tự nhue Site-to-Site VPN
- Bước 6: Cấu hình Phase 2 (IPSec Parameters)
Bước này cũng tương tự như Site-to-Site VPN
- Bước 7: Cấu hình Tunnel Group cho Remote Access
Việc cấu hình Tunnel Group là trái tim của Remote Access VPN. Nó kết hợp với nhau Group Policy được cấu hình trước đó, IP pool, pre-shared key
Cú pháp:
Group name là rất quan trọng bởi vì chúng ta sẽ phải chỉ định chính xác cùng tên khi cấu hình VPN client Software
- Bước 8: Cấu hình VPN Client software
Hình 4.3: Bước 8 cấu hình client sortware
Sau khi cài đặt VPN Client, bật ứng dụng và chọn “New” để tạo một đối tượng kết nối mới
Hình 4.4 cài đặt VPN client
Tên của kết nối là vpn và miêu tả. Trong textbox Host đánh ip public mặt ngoài của ASA . Nhập các thông tin username/password của Group phải giống như tunnel-group
namevà pre-shared-key từ bước 7. Trong ví dụ cấu hình này, Group Authentication
Name là “vpnclient” và password (pre-shared-key) là “groupkey123”. Sau đó save để lưu cấu hình
Hình 4.5: Lưu cấu hình cài đặt VPN client
Sau khi lưu cấu hình cài đặt, trở lại Connection Entries Tab và chọn Connect để khởi tạo kết nối Remote Access VPN
Hình 4.6: khởi tạo kết nối Remote Access VPN
Sau khi khởi tạo kết nối VPN, remote user sẽ được yêu cầu nhập thông tin username/password trên màn hình đăng nhập để chứng thực với firewall
Hình 4.7 Đăng nhập để chứng thực
Sau khi chứng thực thành công với firewall. Một đường hầm bảo mật Remote Access được thiết lập. Nếu bạn vào CMD rồi ipconfig /all trên máy tính của remote user, bạn sẽ thấy địa chỉ ip thuộc dải 192.168.20.0/25 được chỉ định tới interface VPN ảo. Điều này cho phép remote user có toàn quyền truy cập đến mạng Corporate LAN
Cisco ASA Firewall là thành phần quan trọng trong ất cứ hệ thống mạng nào và thường một vài dịch vụ quan trọng trong doanh nghiệp phụ thuộc vào khả năng sẵn sàng của Firewall. Vì lẽ đó tính dự phòng của Firewall phải được tích hợp
- Trong chương này chúng ta sẽ miêu tả năng chịu lỗi của firewall với chế độ Active/Standby. Đây là cách thức cấu hình phổ biến nhất trong hầu hết hệ thống mạng. ASA cũng cung cấp chế độ chịu lỗi kiểu Active/Active
- Mô hình Active/Standby
Trong mô hình Active/Standby, một trong hai firewall được chỉ định đóng vai trò làm Active để giải quyết tất cả các traffic và các chức năng bảo mật. Firewall còn lại duy trì chế độ chờ và tự động đảm nhiệm giải quyết tất cả các traffic nếu Firewall Active bị lỗi Chức năng chịu lỗi của stateful firewall đẩy các thông tin về trạng thái kết nối từ
firewall Active đến firewall Standby. Say đó chức năng chịu lỗi sẽ hoạt động, thông tin của kết như nhau có sẵn tại firewall standby, cái tự động trở thành active mà không ngắt kết nối của bất cứ user nào. Thông tin về tình trạng kết nối được đồng bộ giữa active và standby bao gồm dải địa chỉ global pool, tình trạng kết nối và thông tin bảng NAT và tình trạng các kết nối TCP/UDP và rất nhiều chi tiết khác
Hình 4.8 Mô hình Active/Standby
Mô hình mạng ở trên chỉ ra cặp firewall giữ chức năng failover theo chế độ
Active/Standby. Cổng Interface “inside” được kết vào cùng một Internal Switch và “Outside” kết nối vào cùng một External Switch. Một cable chéo kết nối giữa hai thiết bị Firewall như là LAN Failover Link. Trong suốt quá trình hoạt động bình thường, tất cả các traffic được đẩy thông qua Firewall Active, nơi mà xử lý tất cả các giao tiếp inbound và outbound. Nếu sự kiện Active Firewall bị lỗi (ví dụ như interface bị down hay firewall bị lỗi) thì Standby Firewall sẽ đảm nhiệm bằng cách nhận địa chỉ Ip của Active Firewall để mà tất cả các traffic sẽ tiếp tục được đi qua mà không có sự giám đoạn. Tất các các thông tin về tình trạng kết nối được đồng bộ thông qua một kết nối Lan gọi là LAN Failover Link để cho Standby Firewall biết được tình trạng của Active Firewall
Yêu cầu
Một vài yêu cầu về phần cứng và phần mềm cho cả hai firewall để có thể chạy chức năng failover
Phải cùng nền tảng hệ điều hành Phải cùng cấu hình phần cứng
Phải cùng dung lượng Flash và Ram
Phải cùng chức năng bản quyền (loại mã hóa, số lượng context , số lượng VPN peers)
Phải có bản quyền phần mềm để chạy chức năng failover