3 Firewall
3.6 Mô hình kết hợp Firewall với VPN
Như chúng ta đã biết tường lửa là một thiết bị bao gồm cả hai phần cứng
và phần mềm được đặt giữa một mạng tin cậy cần được bảo vệ tới mạng không
tin cậy bên ngoài như mạng công cộng Internet bảo vệ mạng riêng ảo VPN của
một công ty hay một tập đoàn thoát khỏi sự nguy hiểm đến từ các mạng không
tin cậy cũng như những người dùng không hợp pháp có tình truy nhập vào mạng để khai thác tài nguyên thông tin.
Các luồng trao đổi thông tin dữ liệu và những yêu cầu truy nhập giữa hai
mạng máy tính đều phải đi qua Firewall
Một mạng riêng ảo VPN cung cấp những phiên kết nối an toàn dựa trên
cơ sở hạ tầng mạng công cộng Internet, do đó mạng riêng ảo VPN sẽ làm giảm
chi phí xây dựng cơ sở hạ tầng một mạng máy tính cũng như giá thành truy cập
từ xa bằng việc sử dụng tài nguyên, cơ sở hạ tầng mạng công cộng Internet dùng chung bởi nhiều người dùng.
Công nghệ mạng riêng ảo VPN đã cho phép những công ty xây dựng
những mạng Intranet để liên kết các trụ sở, chi nhánh văn phòng tới mạng tập đoàn. VPN được sử dụng kết hợp với Firewall để cung cấp sự bảo vệ an toàn toàn diện hơn cho một tổ chức.
Hình 51: Mô hình kết hợp Firewall và VPN
Sự truy nhập tài nguyên mạng tập đoàn được điều khiển bởi Firewall, qua đó thiết lập được sự tin tưởng giữa người dùng và mạng. Tuy nhiên dữ liệu
truyền giữa người dùng và mạng tập đoàn vẫn tiềm ẩn những mối nguy hiểm như: Rò rỉ, mất cắp hay thay đổi thông tin bởi người dùng bất hợp pháp khi các
luồng thông tin đi ngang qua mạng công cộng Internet. Do đó VPN được tạo ra để cung cấp sự an toàn dữ liệu riêng tư giữa hai vị trí mạng. Như vậy việc sử
dụng kết hợp giữa hai công nghệ Firewall và mạng riêng ảo VPN là một giải
CẤU HÌNH VPN TRÊN THIẾT BỊ CISCO
Chương này giải thích những công việc cơ bản cho sự cấu hình IP-base, site – to – site và Extranet Virtual Private Networks (VPNs) trên một Cisco IOS VPN gateway sử dụng gói định tuyến chung (GRE) và những giao thức IPSec tunneling. Cơ bản về bảo mật, sự truyển đổi địa chỉ mạng (NAT), sự mã hoá, và sự mở rộng danh sách truy nhập cơ bản cho traffic filtering được cấu hình.
1. Mô hình Site –to – Site VPN và Extranet VPN 1.1 Kịch bản Site – to – site VPN
Hình 52
1.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình site – to –site VPN VPN
1.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Site – to – Site VPN
2.1 Kịch bản Extranet
2.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình Extranet VPN
Hình 55
2 Cấu hình đường hầm (tunnel)
Tunneling cung cấp một cách đóng gói những gói ở trong một giao thức
truyển tải. Tunneling thì được thực hiện như một giao diện ảo để cung cấp một
giao diện đơn giản cho sự cấu hình. Giao diện Tunnel thì không bị ràng buộc
riêng biệt tới những giao thức “passenger” hoặc “transport”, nhưng đúng hơn, nó
là một cấu trúc cái mà đã được thiết kế để cung cấp những dịch vụ cần thiết để
thực thi bất kỳ sự đóng gói Point – to – Point chuẩn nào lên lược đồ. Vì những
tunnel là những liên kết Point – to – Point, bạn phải định hình một đường hầm
riêng biệt cho mỗi liên kết
Tunneling có ba thành phần chính sau đây:
Passenger Protocol, đây là một giao thức bạn đang đóng gói
(Apple Talk, Banyan VINES, Connectionless Network Service [CLNS], DECnet, IP, hoặc Internetwork Packet Exchange [IPX]).
Carrier Protocol, như giao thức đóng gói lộ trình chung (GRE) hoặc giao thức IPSec.
Transport Protocol, như IP, là giao thức sử dụng để mang theo giao
thức được đóng gói
Sơ đồ: Minh họa thuật ngữ và khái niệm xuyên đường hầm
Hình 56 Mục này bao gồm những chủ đề sau:
GRE có khả năng điều khiển sự truyền tải của đa giao thức và lưu lượng
IP multicast giữa hai địa điểm, Nơi mà chỉ có duy nhất nào có kết nối IP unicast. Sự quan trọng của việc sử dụng những đường hầm trong một môi trường mạng
riêng ảo VPN là cơ bản dựa trên thực tế mà sự mã hoá IPSec chỉ làm việc duy
nhất trên những khung IP unicast. Tunneling cho phép cả sự mã hoá và sự truyền
tải của lưu lượng đa giao thức ngang qua VPN một khi những gói đang có trong đường hầm xuất hiện tới mạng IP như một khung IP unicast giữa những đầu cuối đường hầm. Nếu tất cả các kết nối phải đi xuyên qua gateway router, những đường hầm cũng cho phép sử dụng sự định vị mạng riêng xuyên qua một nhà cung cấp dịch vụ mà không cần chạy đặc tính NAT (Network Address
Translation).
Sự dư thừa của mạng là một sự xem xet quan trọng trong quyết định để sử
dụng những đường hầm GRE Tunnel, IPSec Tunnel, hoặc những đường hầm mà sử dụng IPSec thông qua GRE. GRE có thể được sử dụng kết hợp với IPSec để đi qua lộ trình cập nhật giữa các vị trí trên một IPSec VPN. GRE đóng gói gói
tin hoàn toàn là dạng text, khi đó IPSec (trong transport hoăc tunnel mode) mã hoá gói tin. Luồng gói này của IPSec qua GRE cho phép cập nhật định tuyến, mà
nói chung là multicast, để được đi qua một liên kết được mã hoá. IPSec một
mình không thể làm được điều này, bởi vì nó không được hỗ trợ multicast.
Những đường hầm GRE thừa đang được sử dụng được bảo vệ bởi IPSec từ một Remote Router đến những Headquater Router thừa. Những giao thức định tuyến có thể được thuê để phác hoạ “Primary” và “Secondary” Headquater Router. Ở trên sự mất mát của kết nối tới Router chính, những giao thức định
tuyến sẽ khám phá lỗi và tuyến đến Gateway thứ hai, điều đó cung cấp độ dư
thừa mạng.
Thật quan trọng để chú ý rằng nhiều hơn một Router phải được thuê tại
HQ-SANJOSE để cung cấp dư thừa cho mạng. Cho sự dư thừa mạng VPN, vị trí
từ xa cần phải được định hình với hai đường hầm GRE, một để làm Router HQ- SANJOSE VPN chính, và cái còn lại để sao lưu.
Trong mục này bao gồm những bước cơ bản để định hình một GRE
tunnel và bao gồm những công việc sau:
Sự cấu hình giao diện đường hầm, Nguồn, và Đích
Kiểm tra giao diện đường hầm, Nguồn, và Đích
2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, và Đích
Để cấu hình một GRE tunnel giữa Headquater router và Remote office router. Chúng ta cần phải cấu hình một giao diện, nguồn, và đích trên Headquater router và remote office router. Để làm được điều này, cần hoàn
thành những bước sau đây bắt đầu trong chế độ cấu hình chung (global configuration mode).
Lệnh Mục đích Bước 1 Hq-sanjose(config)# interface
tunnel 0
Hq-sanjose(config-if)# ip address 172.17.3.3 255.255.255.0
Chỉ rõ một tunnel interface
number đưa vào chế độ cấu hình interface, và cấu hình địa chỉ IP
và subnet mask cho tunnel interface. Trong ví dụ này, IP address và subnet mask 172.17.3.3 255.255.255.0 cho
tunnel interface 0 trên headquarter router.
Bước 2 Hq-sanjose(config-if) # tunnel source 172.17.2.4 255.255.255.0
Chỉ rõ địa chỉ nguồn của tunnel
interface và subnet mask. Ở đây
sử dụng địa chỉ IP và subnet mask của T3 serial interface 1/0 của
headquarter router.
Bước 3 Hq-sanjose(Config-if)# tunnel
destination 172.24.2.5
255.255.255.0
Chỉ rõ địa chỉ tunnel interface đích. Ở đây sử dụng địa chỉ IP và subnet mask của T3 serial
interface 1/0 của remote office
router.
Bước 4 Hq-sanjose(config-if)# tunnel mode gre ip
Cấu hình GRE như một kiểu
tunnel. GRE thì mặc định đường
hầm encapsulation mode, vì vậy
lênh này thì không nhất thiết bắt
buộc. Bước 5 Hq-sanjose(config)# interface
tunnel 0
Hq-sanjose(config-if)# no shut
%LINK-3-UPDOWN: Interface Tunnel0, changed state
to up
Tunnel interface được kích hoạt
Bước 6 Hq-sanjose(config-if)# exit
Hq-sanjose(config)# ip route 10.1.4.0 255.255.255.0 tunnel 0
Thoát khỏi chế độ cấu hình toàn cục và cấu hình giao thông từ
mạng remote office xuyên qua
đường hầm. Ở đây cấu hình giao thông từ remote office Fast
Cấu hình trên Remote office router cũng được thực hiện theo những bước
trên trong chế độ cấu hình GRE.
2.1.2 Kiểm tra giao diện đường hầm, Nguồn, và Đích
Để kiểm tra cấu hình. Đưa vào lệnh Show interfaces tunnel 0 trong mode
EXEC để xem trạng thái tunnel interface, những địa chỉ IP đã được cấu hình, và kiểu đóng gói, trạng thái của interface.
Hq-sanjose# show interfaces tunnel 0
Tunnel0 is up, line protocol is up Hardware is Tunnel
Internet address is 172.17.3.3/24
MTU 1514 bytes, BW 180 Kbit, DLY 500000 usec, reliablility 255/255, txload 1/255, rxload 1/255 Encapsulation TUNNEL, loopback not set Keepalive set (10 sec)
Tunnel source 172.17.2.4, destination 172.24.2.5
Tunnel protocol/transport GRE/IP, key disabled, sequencing disabled Checksumming of packets disabled, fast tunneling enabled
Last input never, output 00:10:44, output hang never Last clearing of "show interface" counters never Queueing strategy:fifo
Output queue 0/0, 0 drops; input queue 0/75, 0 drops 5 minute input rate 0 bits/sec, 0 packets/sec
5 minute output rate 0 bits/sec, 0 packets/sec 0 packets input, 0 bytes, 0 no buffer
Received 0 broadcasts, 0 runts, 0 giants, 0 throttles
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 29 packets output, 2348 bytes, 0 underruns
0 output errors, 0 collisions, 0 interface resets
0 output buffer failures, 0 output buffers swapped out
2.2 Cấu hình một IPSec Tunnel:
IPSec có thể đã được cấu hình trong tunnel mode hoặc transport mode.
IPSec tunnel mode có thể đã được sử dụng như một sự thay thế đến mộ GRE
tunnel, hoặc phối hợp với một GRE tunnel. Trong IPSec tunnel mode, toàn bộ
gói dữ liệu nguyên bản được mã hoá, và nó trở thành trọng tải (payload) trong
một gói tin IP mới. Trong chế độ này cho phép một thiết bị mạng, như một router, được hoạt động như một IPSec proxy. Cái đó, router thực hiệnsự mã hoá trên nhân danh host. Router nguồn mã hoá những gói và chuyển chúng dọc theo
đường hầm IPSec. Router dích giải mã gói dữ liệu nguyên bản và đẩy nó vif tới
hệ thống nơi đến. Tunnel mode bảo vệ chống lại sự phân tích lưu lượng; với
tunnel mode, một kẻ tấn công có thể xác định điểm cuối đường hầm và không phải nguồn và đích đến thật của gói tin truyền qua đường hầm, dù chúng cúng giống như đầu cuối đường hầm (Tunnel endpoints).
Trong IPSec transport mode, chỉ IP payload là được mã hoá, và những
header IP nguyên bản được để lại nguyên vẹn không thay đổi. (Như sơ đồ 3-6). Chế độ này có lợi thế của việc chỉ duy nhất thêm một ít byte tới mỗi gói tin. Nó
cũng cho phép những thiết bị trên mạng công cộng nhìn thấy được nguồn và
đích đến cuối cùng của gói tin. Với khả năng này, bạn có thể cho phép sử lý đặc
biệt trong mạng trung gian dựa trên thông tin trong IP header. Tuy nhiên, Layer 4 Header sẽ được mã hoá, giới hạn sự kiểm tra của gói tin, không may, bởi
chuyển qua IP header trong dạng dễ hiểu, transport mode cho phép một kẻ tấn công được thực hiện phân tích lưu lượng.
Hình 57
3 Cấu hình NAT (Network Address Translation).
Chú ý: NAT thì được sử dụng nếu bạn có những vùng địa chỉ riêng tương phản
trong kịch bản Extranet. Nếu bạn không có những vùng địa chỉ riêng, sử
dụng đến STEP3 - Cấu hình sự mã hoá trong IPSec
………...…
NAT (Network Address Translation) cho phép liên kết những mạng IP
riêng với những địa chỉ mà không phải duy nhất toàn cầu được kết nối tới
Internet bở việc dịch những địa chỉ đó thành vùng địa chỉ có thể định tuyến toàn cầu. NAT thì được cấu hình trên Router tại viền của một domain gốc (được tham
chiếu tới như mạng ở trong) và một mạng công cộng như Internet (được tham
tuyến liên vùng không phân lớp (CIDR).
Trong mục này chỉ duy nhất giải thích làm thế nào để cấu hình Static translation để dịch những địa chỉ IP bên trong thành những địa chỉ IP duy nhất
toàn cầu trước khi gửi những gói tin tới một mạng bên ngoài, bao gồm những
công việc sau đây:
Cấu hình Satic Inside Source Address Translation
Kiểm tra cấu hình Satic Inside Source Address Translation
Static translation thiết lập một ánh xạ one – to – one giữa địa chỉ cục bộ
bên trong và một địa chỉ toàn cầu bên trong. Static translation thì hữu ích khi
một host bên trong phải có thể tiếp cận đựơc bởi một địa chỉ cố định từ bên ngoài.
NAT sử dụng những định nghĩa theo sau:
Inside local address - Địa chỉ IP được gán tới host trên mạng bên
trong. Địa chỉ IP thì không phải là một địa chỉ hợp pháp được gán
bởi trung tâm thông tin mạng (NIC) hoặc nhà cung cấp dịch vụ.
Inside global address - Một địa chỉ IP hợp pháp (được gán bởi NIC
hoặc nhà cung cấp dịch vụ) cái mà xuất hiện một hoặc nhiều địa
chỉ IP cục bộ tới mạng bên ngoài.
Outside local address - Địa chỉ IP của một host bên ngoài như nó
xuất hiện tới mạng bên trong. Không tất yếu phải là một địa chỉ
hợp pháp, nó được chỉ định từ không gian địa chỉ trên mạng bên trong.
Outside global address - Địa chỉ IP được gán tới host trên mạng
bên ngoài bởi người sở hữu host. Địa chỉ là địa chỉ được chỉ đinh
từ một địa chỉ toàn cầu hoăc không gian mạng
Sơ đồ hình 58 minh hoạ một Router mà biến đổi một địa chỉ nguồn bên trong một mạng tới địa chỉ nguồn bên ngoài mạng.
Hình 58
3.1 Cấu hình Static Inside Source Address Translation
Để cấu hình Static Inside Source Address Translation, hoàn thành những bước cấu hình sau đây bắt đầu trong global configuration mode.
Lệnh Mục đích Bước 1 Hq-sanjose(config)# ip nat
inside source static 10.1.6.5 10.2.2.2
Thiết lập sự chuyển đổi tĩnh giữa
một địa chỉ inside local và một địa
chỉ inside global. Ở đây chuyển đổi địa chỉ inside local 10.1.6.5 (server) thành địa chỉ inside global 10.2.2.2
Bước 2 Hq-sanjose(config)#interface fastethernet 0/1
Chỉ rõ giao diện bên trong. Ở đây là giao diện được xác định là Fast Ethernet interface 0/1 trên headquarter router
Bước 3 Hq-sanjose(config-if)# ip nat inside
Đánh dấu giao diện như đã được kết
nối tới bên trong
Bước 4 Hq-sanjose(config-if)#
interface serial 2/0
Chỉ rõ giao diện bên ngoài. Ở đây
chỉ rõ giao diện serial 2/0 trên headquarter router
Bước 5 Hq-sanjose(config-if)# ip nat outside
Đánh dấu giao diện được kết nối ra
bên ngoài
Bước 6 Hq-sanjose(config-if)# exit
Hq-sanjose(config)#
Trở về cấu hình trong chế độ toàn cục
Đánh vào lệnh show ip nat translation verbose trong mode EXEC
để xem sự dịch chuyển địa chỉ toàn cầu và cục bộ và để xác thực
sự biến đổi đã được cấu hình.
Hq-sanjose# show ip nat translations verbose
Pro Inside global Inside local Outside local Outside global
--- 10.2.2.2 10.1.6.5 --- --- create 00:10:28, use 00:10:28, flags: static
Đánh vào lệnh Show running-config trong mode EXEC để xem
những interface bên trong và bên ngoài, sư biến đổi địa chỉ global
và local, và xác thực sự biến đổi tĩnh đã được cấu hình. Hq-sanjose# show running-config
interface FastEthernet0/1 ip address 10.1.6.5 255.255.255.0 no ip directed-broadcast ip nat inside interface serial2/0 ip address 172.16.2.2 255.255.255.0 ip nat outside
ip nat inside source static 10.1.6.5 10.2.2.2
4 Cấu hình sự mã hoá và IPSec.
IPSec là một khung tiêu chuẩn mở, được phát triển bởi IETF (Internet
Engineering Task Fore),mà cung cấp tính bí mật dữ liệu, sự toàn vẹn dữ liệu, và chứng thực dữ liệu giữa thiết bị ngang hang. IPSec cung cấp những dịch vụ bảo
mật này tại lớp IP; nó sử dụng IKE để điều khiển sự điều chỉnh của những giao thức và thuật toán dựa trên chính sách cục bộ, và phát sinh những chìa khoá mã hoá và quyền xác thực được sử dụng bởi IPSec. IPSec có thể được sử dụng để
bảo vệ một hoặc nhiều luồng dữ liệu giữa hai host, giữa hai gateway bảo mật,
hoặc giữa một gateway bảo mật và một host.