FireWall ASA

LỜI CẢM ƠN
Trước tiên, em xin gởi lời cảm ơn chân thành tới thầy hướng dẫn đồ
án tốt nghiệp của em, Ths. Phan Thanh Toản, người đã tạo mọi điều kiện,
động viên và giúp đỡ em hoàn thành tốt kỳ đồ án này. Trong suốt quá
trình nghiên cứu thầy đã hướng dẫn, giúp đỡ và động viên em rất nhiều.
Sự hiểu biết sâu sắc cũng như kinh nghiệm của thầy chính là tiền đề giúp
em đạt được những thành tựu và kinh nghiệm quý báo.
Xin cám ơn khoa Viễn Thông II của Học viện công nghệ bưu chính
viễn thông đã tạo điều kiện thuận lợi cho em làm việc trên khoa để có thể
tiến hành tốt cho đồ án của em.
Em cũng xin gởi lời cảm ơn đến bạn bè và gia đình đã luôn bên em,
cổ vũ và động viên em những lúc khó khăn để em vượt qua và hoàn thành
tốt đồ án này.
Một lần nữa em xin chân thành cảm ơn thầy cô của trường Học viên
công nghệ Bưu Chính Viễn Thông, đặc biệt là thầy Phan Thanh Toản
người đã tận tình hướng dẫn em. Cuối cùng em xin gởi lời chúc đến quý
thầy cô cùng các bạn sinh viên của trường được dồi dào sức khỏe và thành
công trong công việc.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Lương Hồng Toàn
i
MỤC LỤC
LỜI CẢM ƠN ............................................................................................................................ i

MỤC LỤC ................................................................................................................................. ii
DANH MỤC HÌNH .................................................................................................................. v
DANH MỤC BẢNG ............................................................................................................... vii
LỜI MỞ ĐẦU ........................................................................................................................... 1
CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG.............................................................. 2
1.1 Tình hình an ninh mạng trên Thế giới và Việt Nam những năm gần đây ................... 2
1.2 Mục tiêu an ninh mạng ................................................................................................ 3
1.3 Các yếu tố đảm bảo an toàn thông tin mạng................................................................ 3
1.3.1 Tính bí mật của thông tin (Confidentiality) ........................................................ 3
1.3.2 Tính toàn vẹn thông tin (Integrity) ..................................................................... 3
1.3.3 Tính khả dụng của thông tin (Availability) ........................................................ 3
1.4 Các tác nhân gây ra mất an toàn mạng ........................................................................ 4
1.4.1 Các phần mềm phá hoại và phương thức tấn công ............................................. 4
1.4.2 Virus ................................................................................................................... 4
1.4.3 Worm (Sâu) ........................................................................................................ 4
1.4.4 Trojan horse ........................................................................................................ 4
1.4.5 Tấn công từ chối dịch vụ DoS ............................................................................ 4
1.4.6 Tấn công từ chối dịch vụ phân tán DdoS ........................................................... 5
1.4.7 Tấn công giả danh (Spoofing acttack) ................................................................ 5
1.4.8 Tấn công xen giữa (Man-in-the-middle attack) .................................................. 5
1.4.9 Tấn công phát lại ................................................................................................ 5
1.5 Chính sách an ninh mạng ............................................................................................ 6
1.5.1 Chính sách quản lý truy cập ............................................................................... 6
1.5.2 Chính sách lọc .................................................................................................... 6
1.5.3 Chính sách định tuyến ........................................................................................ 7
1.5.4 Chính sách Remote-access/VPN ........................................................................ 7
1.5.5 Chính sách vùng DMZ ....................................................................................... 7
CHƯƠNG 2: TỔNG QUAN VỀ VPN VÀ CÁC CÔNG NGHỆ VPN ..................................... 8
2.1 Tổng quan về VPN ...................................................................................................... 8
2.1.1 Khái niệm ........................................................................................................... 8
2.1.2 Chức năng của VPN: .......................................................................................... 8
2.1.3 Những ưu điểm và nhược điểm của VPN........................................................... 9
2.1.4 Các thành phần cần có cho kết nối VPN .......................................................... 10
ii
2.1.5 Đường hầm và bảo mật: ................................................................................... 10
2.1.6 Chúng ta hình dung như thế nào về đường hầm? ............................................. 10
2.2 Các mô hình mạng riêng ảo VPN .............................................................................. 10
2.2.1 Mục tiêu đặt ra đối với mạng riêng ảo .............................................................. 10
2.2.2 Giới thiệu về mô hình VPN client to Site (Remote access VPN ) ................... 11
2.2.2.1 Ưu điểm và Nhược điểm của VPN truy cập từ xa ............................................ 11
2.2.3 Giới thiệu về mô hình VPN Site to Site (LAN to LAN) .................................. 12
2.2.3.1 Mạng VPN cục bộ (Intranet) ............................................................................ 12
2.2.3.2 VPN mở rộng (Extranet VPN) ......................................................................... 13
2.4 Các giao thức của VPN ............................................................................................. 13
2.4.1 Giới thiệu về giao thức PPTP ........................................................................... 13
2.4.1.1 Nguyên tắc hoạt động của PPTP ...................................................................... 14
2.4.1.2 Các cơ chế xác thực của kết nối PPP ................................................................ 14
2.4.2 Giới thiệu về giao thức L2F.............................................................................. 15
2.4.3 Giới thiệu về giao thức L2TP ........................................................................... 16
2.4.4 Giao thức IPsec ................................................................................................. 18
2.4.4.1 Giao thức bảo mật IP (IPsec) ............................................................................ 19
2.4.4.2 Mã hóa bản tin .................................................................................................. 21
2.4.4.3 Nhận thực đối tác (peer authentication) ........................................................... 24
2.4.4.4 Quản lý khóa ..................................................................................................... 24
2.4.4.5 Cơ chế hoạt động Internet Key Exchange ........................................................ 25
2.4.4.6 Các chế độ hoạt động........................................................................................ 26
2.4.4.7 Ưu điểm và nhược điểm của IPsec ................................................................ 29
CHƯƠNG 3: TỔNG QUAN VỀ FIREWALL VÀ CÁC KỸ THUẬT TRÊN
FIREWALL ............................................................................................................................ 31
3.1 Tổng quan về firewall: ............................................................................................... 31
3.1.1 Khái niệm: ........................................................................................................ 31
3.1.2 Mục đích của việc tạo ra bức tường lửa .......................................................... 31
3.2 Phân loại Firewall ...................................................................................................... 32
3.2.1 Firewall cứng .................................................................................................... 32
3.2.2 Firewall mềm .................................................................................................... 33
3.2.3 Chức năng của Firewall .................................................................................... 33
3.2.4 Những hạn chế của firewall .............................................................................. 33
3.3 Kiến trúc chung của Firewall..................................................................................... 34
3.4 Cơ chế làm việc của firewall ..................................................................................... 35
3.4.1 Tường lửa lọc gói (Packet Filtering) ................................................................ 35
3.4.2 Tường lửa lớp ứng dụng (Application – Proxy Gateway) ................................ 36
iii
3.4.3 Tường lửa kiểm soát trạng thái (Statefull Inspection Firewall-SIF) ................ 37
3.5 Các kỹ thuật trên Firewall ......................................................................................... 38
3.5.1 Acess Control List (ACL)................................................................................. 38
3.5.2 NAT .................................................................................................................. 39
3.6 Sơ lượt đôi nét về Firewall Cisco ASA ..................................................................... 40
3.6.1 Dòng sản phẩm ASA Cisco Firewall ................................................................ 40
3.6.2 Giới thiệu dòng sản phẩm Firewall Cisco ASA 5520 ...................................... 41
CHƯƠNG 4: TRIỂN KHAI VPN TRÊN CISCO ASA 5520 ............................................. 44
4.1 Mô hình giả lập ASA trên GNS3 để thực hiện kết nối VPN ..................................... 44
4.2 Chuẩn bị: ................................................................................................................... 44
4.3 Giả định vấn đề .......................................................................................................... 45
4.4 Giải quyết vấn đề ....................................................................................................... 45
KẾT LUẬN ............................................................................................................................. 66
TÀI LIỆU THAM KHẢO...................................................................................................... 73
iv
DANH MỤC HÌNH
Hình 1.1: Cảnh báo hàng năm Cisco 2010-2013 ........................................................................ 2

Hình 1.2: Cuộc khảo sát thực tế về các mối đe doạ từ bên ngoài ............................................... 2
Hình 1.3: Tính năng quan trọng cần được bảo đảm trong an ninh hệ thống .............................. 3
Hình 1.4: Tấn công xen giữa (Man-in-the-middle attack).......................................................... 5
Hình 1.5: Tấn công phát lại ........................................................................................................ 6
Hình 1.6: Các lớp bảo mật tường lửa ......................................................................................... 6
Hình 2.1: Mô hình thiết lập kết nối VPN ................................................................................... 8
Hình 2.2: Hình ảnh minh họa cho chức năng chống tấn công lặp lại cho VPN ......................... 9
Hình 2.3: Đường hầm và mã hóa.............................................................................................. 10
Hình 2.4: Mô hình VPN client to site ....................................................................................... 11
Hình 2.5: Kết nối VPN theo mô hình site to site ...................................................................... 12
Hình 2.6: Mô hình Site to Site intranet ..................................................................................... 12
Hình 2.7: Mô hình Site to Site Extranet VPN .......................................................................... 13
Hình 2.8: Gói tin PPTP ............................................................................................................. 14
Hình 2.9: Dữ liệu đường ngầm PPTP ....................................................................................... 14
Hình 2.10: Mô hình kết nối VPN chạy giao thức L2F ............................................................. 15
Hình 2.11: Mô hình VPN chạy giao thức L2TP ....................................................................... 16
Hình 2.12 Quy trình đóng gói dữ liệu và xử lý data trong đường hầm .................................... 16
Hình 2.13 Nguyên tắc hoạt động của L2TP ............................................................................. 17
Hình 2.14: Mô hình OSI và IPSec nằm ở tầng Network .......................................................... 18
Hình 2.15: Các thành phần của Ipsec ....................................................................................... 19
Hình 2.16: Cấu trúc gói tin AH ................................................................................................ 19
Hình 2.17: Cấu trúc gói tin ESP ............................................................................................... 20
Hình 2.18: Sự khác nhau giữa 2 gói tin thu được từ hai giao thuwscAH và ESP .................... 21
Hình 2.19: Mã hóa khóa bí mật hay đối xứng .......................................................................... 21
Hình 2.20: Mã hóa không đối xứng .......................................................................................... 22
Hình 2.21: Sơ đồ mã hóa 3DES ............................................................................................... 23
Hình 2.22: Quá trình trao đổi của IKE ..................................................................................... 25
Hình 2.23: Chế độ Tunnel mode và Transport mode ............................................................... 26
Hình 2.24: Gói tin transport Mode và Tunnel Mode ................................................................ 26
Hình 2.25: Hình ảnh minh họa cho việc thiết lập đường hầm .................................................. 27
Hình 2.26: Các nguyên tắc hoạt động của Ipsec....................................................................... 27
Hình 2.27: Ví dụ thực tế về quá trình thực hiện IPsec VPN .................................................... 28
Hình 3.1: Mô hình cơ bản về việc sử dụng Firewall trong mạng ............................................. 31
Hình 3.2: mô hình Firewall cứng.............................................................................................. 33
Hình 3.3: Mô hình Firewall mềm. ............................................................................................ 33
Hình 3.4: Mô tả luồng dữ liệu vào ra giữa internet và intranet ................................................ 33
Hình 3.5: Kiến trúc 3 vùng cơ bản của Firewall ...................................................................... 34
Hình 3.6: Công nghệ firewall Packet – Filtering ...................................................................... 36
Hình 3.7: Tường lửa lớp ứng dụng ........................................................................................... 37
Hình 3.8: Tường lửa kiểm soát trạng thái................................................................................. 37
Hình 3.9: Sơ đồ điều khiển truy cập mạng bằng ACL ............................................................. 38
Hình 3.10: Các dòng sản phẩm của ASA ................................................................................. 40
Hình 3.11: Firewall cisco ASA 5520 ....................................................................................... 41
Hình 3.12: Mặt trước Firewall Cisco ASA 5510, 5520, 5540 .................................................. 42
v
Hình 3.13: Port trên sản phẩm Firewall Cisco ASA 5520........................................................ 43
Hình 4.1: Mô hình triển khai thiết lập kết nối VPN trên ASA ................................................. 44
Hình 4.2: Mô hình logic thiết lập kết nối VPN được giả lập bằng GNS3 ................................ 44
Hình 4.3: Ping thành công tới địa chỉ 1.1.1.1 ........................................................................... 47
Hình 4.4: Ping tới địa chỉ mạng nội bộ nhưng không thành công ............................................ 47
Hình 4.5: Ping thành công tới địa chỉ 192.168.3.2 sau khi thiết lập kết nối VPN ................... 49
Hình 4.6: Ping 192.168.4.2 và tracert để tìm đường đi tới đích ............................................... 49
Hình 4.7: Thông tin từ “show crypto ikev1 sa detail” .............................................................. 50
Hình 4.8a: Thông tin từ “show crypto ipsec sa detail” ............................................................. 50
Hình 4.8b: Thông tin từ “show crypto ipsec sa detail”(tiếp theo) ............................................ 50
Hình 4.9: Kết quả thu được từ lệnh “Show vpn-sessiomdb l2l” .............................................. 51
Hình 4.10: Kết quả thu được từ lệnh “show crypto isakmp sa detail” ..................................... 51
Hình 4.11a: Kết quả thu được từ lệnh “show crypto ipsec sa detail” trên gateway ................. 52
Hình 4.11b: Kết quả thu được từ lệnh “show crypto ipsec sa detail” trên gateway (tiếp theo) 52
Hình 4.12: Kết quả thu được từ việc dùng wireshark ............................................................... 53
Hình 4.13a: Tiến hành phân tích một gói tin trong wireshark .................................................. 53
Hình 4.13b: Tiến hành phân tích một gói tin trong wireshark (tiếp theo) ................................ 54
Hình 4.14 Lưu đường dẫn và ip máy cài đặt ASDM trên tftp .................................................. 55
Hình 4.15: Tiến hành đưa ASDM vào ASA ............................................................................. 55
Hình 4.16: Nhập username và pass để đăng nhập vào ASDM ................................................. 55
Hình 4.17: Giao diện ASDM .................................................................................................... 56
Hình 4.18: Chọn cổng muốn bật IPsec VPN ............................................................................ 56
Hình 4.19: Hợp thoại tạo Pool Ip để cấp cho Client................................................................. 57
Hình 4.20a: Tạo group policy tại tab Server ............................................................................ 57
Hình 4.20b: Tạo group policy tại tab Split Tunneling.............................................................. 58
Hình 4.21a: Add ipsec remote access Connection profile ........................................................ 59
Hình 4.21b: Add ipsec remote access Connection profile tại tab IKE authentication ............. 59
Hình 4.22: Add user account .................................................................................................... 60
Hình 4.23: Client thực hiện quay VPN với Group: REMOTE-VPN và Host là IP của ASA .. 61
Hình 4.24: Đăng nhập vào kết nối VPN ................................................................................... 61
Hình 4.25: Client VPN thành công sẽ được ASA cấp 1 IP VPN ............................................. 61
Hình 4.26: Kết quả của lệnh “show crypto ikev1 sa” ............................................................... 62
Hình 4.27: Bắt gói tin bằng phần mềm wireshark .................................................................... 63
Hình 4.28: Phân tích một gói tin trong wireshark .................................................................... 64
Hình 4.29: Truy cập thành công từ vùng outside vào vùng dmz.............................................. 64
Hình 4.30: Đường đi từ outside vào vùng dmz ........................................................................ 65
vi
DANH MỤC BẢNG
Bảng 2.1: Bảng so sánh giữa AH và ESP. ................................................................................ 21
Bảng 2.2: Mô ta đặc điểm của DES ......................................................................................... 22
Bảng 2.3 Mô tả đặc điểm của 3DES ......................................................................................... 23
Bảng 2.4 Đặc điểm của AES .................................................................................................... 24
Bảng 2.5: Mô tả các thuật toán trong transform ....................................................................... 24
Bảng 3.1: So sánh các tính năng nổi bật của các dòng ASA thế hệ mới .................................. 41
Bảng 3.2: Giá Firewall asa 5520 .............................................................................................. 41
Bảng 3.3: Các tính năng trên ASA 5520 .................................................................................. 42
Bảng 4.1: Ba phân vùng chính trên ASA ................................................................................. 45
Bảng 4.2: Phân quyền cho từng phân vùng .............................................................................. 45
Bảng 4.3: Các tham số được sử dụng ở Phase1 ........................................................................ 46
Bảng 4.4: Các tham số được sử dụng ở Phase 2 ....................................................................... 46
vii
LỜI MỞ ĐẦU
LỜI MỞ ĐẦU
Như chúng ta đã biết, Internet cho phép chúng ta truy cập tới mọi nơi trên thế
giới thông qua một số dịch vụ. Ngồi trước máy tính chúng ta có thể biết được thông tin
trên toàn cầu, nhưng cũng chính vì thế mà hệ thống máy tính của chúng ta có thể bị xâm
nhập vào bất kỳ lúc nào mà chúng ta không hề được biết trước. Do vậy việc bảo vệ hệ
thống là một vấn đề chúng ta đáng phải quan tâm chính vì thế người ta đã đưa ra khái
niệm Firewall để giải quyết vấn đề này.
Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng
tăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, một tỉnh,
một nước mà còn mở rộng ra toàn thế giới. Một công ty có thể có nhiều chi nhánh, có
các đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tin
với nhau.Vì thế người ta đã nghiên cứu ra những công nghệ mới, đó là giải pháp mạng
riêng ảo được thực thi trên nền internet và đó cũng là một khái niệm bảo mật không xa
lạ khi được tích hợp trên những dòng sản phẩm firewall hiện nay và ASA firewall là một
ví dụ điển hình.
Trên cơ sở đó, em quyết định chọn hướng nghiên cứu đồ án của mình là “Triển
khai giải pháp VPN kết hợp Firewall đảm bảo an ninh hạ tầng mạng”
Mục đích của đồ án là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực
hiện VPN trên thiết bị Firewall
Bố cục của đồ án gồm 4 chương:
 Chương 1: Tổng quan về an ninh mạng
 Chương 2: Tổng quan về VPN và các công nghệ VPN
 Chương 3: Tổng quan về Firewall và các kỹ thuật trên Firewall
 Chương 4: Triển khai giải pháp VPN kết hợp Firewall để đảm bảo an ninh cho
hạ tầng mạng
Công nghệ VPN không phải là một vấn đề mới mẻ trên thế giới và cũng đang được
triển khai rộng rãi ở Việt Nam. Tuy nhiên để có thể triển khai được một cách hoàn chỉnh
thì còn có rất nhiều khó khăn phải giải quyết, đồ án chỉ dừng lại ở mức độ nghiên cứu
lý thuyết và có những phân tích cơ bản.
Em xin gửi lời cảm ơn đến Học Viện Công Nghệ Bưu Chính Viễn Thông, các thầy
trong khoa Viễn Thông đã tạo điều kiện giúp đỡ em trong quá trình học tập. Và đặc biệt
em xin bày tỏ lòng kính trọng và biết ơn sâu sắc đến Ths. Phan Thanh Toản người đã
tận tình hướng dẫn và chỉ bảo em trong quá trình nghiên cứu, xây dựng và hoàn thành
đồ án.
Mặc dù nhận được rất nhiều sự giúp đỡ của thầy hướng dẫn, các thầy trong khoa
viễn thông, nhưng đồ án vẫn còn nhiều chỗ cần phải đầu tư phân tích kĩ. Vì vậy em mong
nhận được những phản hồi từ phía các Thầy. Em xin chân thành cảm ơn!
TP Hồ Chí Minh, tháng 12 năm 2016
Sinh viên thực hiện
Lương Hồng Toàn
SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 1

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG
1.1 Tình hình an ninh mạng trên Thế giới và Việt Nam những năm gần đây
Hình 1.1: Cảnh báo hàng năm Cisco 2010-2013
Hình 1.2: Cuộc khảo sát thực tế về các mối đe doạ từ bên ngoài
Thông tin lấy từ “Cisco 2016 Annual Security Report”
 Một số thông tin an ninh trong nước những năm gần đây:
Theo ghi nhận của Techcrunch vào cuối năm 2014, có hơn 730.000 camera giám sát
trên toàn cầu bị theo dõi và bị chia sẻ công khai trên website Insecam.com. Đáng chú ý,
trong danh sách này có hơn 700 camera có nguồn gốc từ Việt Nam và đến nay còn hơn 100
camera. Việc truy cập trái phép có thể diễn ra khá đơn giản bởi rất nhiều người giữ nguyên
tài khoản và mật khẩu mặc định.
Trong điều phối ứng cứu, năm 2015, Trung tâm đã ghi nhận 31.585 sự cố, gồm sự cố
Phishing (lừa đảo), Deface (thay đổi giao diện trang web) và Malware (tấn công bằng mã
độc). Ngoài ra, có tới 1.451.997 lượt địa chỉ IP của Việt Nam nằm trong mạng botnet (mạng
lưới những máy tính bị điều khiển từ xa). So với năm 2014, số lượng sự cố xảy ra năm 2015
tăng 159, 6%.
Cuối tháng 9-2016, 25.000 camera an ninh đã bị khai thác để làm thành mạng lưới botnet
(máy tính ma) nhằm thực hiện cuộc tấn công DDoS vào các website. Bằng hình thức này,
tin tặc đã làm tê liệt những trang web, dịch vụ của các cơ quan chính phủ, ngân hàng trực
tuyến trên nhiều quốc gia.

1.2 Mục tiêu an ninh mạng

Việc phát triển ngày càng tăng của mạng internet do sự thuận tiện mà nó đem lại cho
con người tuy nhiên cũng kéo theo nhiều mối nguy hiểm rình rập của những hacker mạng.
Đảm bảo cho người dùng được an toàn khi làm việc trên mạng là mục tiêu hàng đầu của an
ninh mạng:
+ Bảo đảm mạng nội bộ không bị xâm nhập trái phép.
+ Các tài liệu và thông tin quan trọng không bị rò rỉ và bị mất.
+ Các dịch vụ được thực hiện nhanh chóng không bị trì trệ hoặc không thực hiện.
+ Các cuộc mua bán trên mạng diễn ra đúng với yêu cầu người dùng.
+ Người dùng làm việc trên mạng không bị mạo danh, lừa đảo.
1.3 Các yếu tố đảm bảo an toàn thông tin mạng
Hình 1.3: Tính năng quan trọng cần được bảo đảm trong an ninh hệ thống
Một hệ thống mạng nếu hội tụ đủ 3 yếu tố trên thì vấn đề an ninh hạ tầng mạng được đảm
bảo tốt hơn.
1.3.1 Tính bí mật của thông tin (Confidentiality)
− Một số loại thông tin chỉ có giá trị đối với một đối tượng xác định khi chúng không phổ
biến cho các đối tượng khác. Tính bí mật của thông tin là tính giới hạn về đối tượng được
quyền truy xuất đến thông tin. Đối tượng truy xuất có thể là con người, là máy tính hoặc
phần mềm, kể cả phần mềm phá hoại như virus, worm, spyware…
− Ví dụ: các thông tin về chính trị và quân sự luôn được xem là các thông tin nhạy cảm nhất
đối với các quốc gia và được xử lý ở mức bảo mật cao nhất. Các thông tin về hoạt động và
chiến lược kinh doanh của doanh nghiệp, thông tin cá nhân v.v… đều có nhu cầu được giữ
bí mật ở từng mức độ.
1.3.2 Tính toàn vẹn thông tin (Integrity)
− Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thay đổi thông
tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm. Tính toàn
vẹn được xét trên 2 khía cạnh: toàn vẹn về nội dung và toàn vẹn về nguồn gốc.
− Ví dụ: Một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ quan quan trọng của chính
phủ, có ghi chú rằng nguồn tin từ người phát ngôn của cơ quan đó. Tuy nhiên, nếu tin đó
thật sự không phải do người phát ngôn công bố mà được lấy từ một kênh thông tin khác,
không xét đến việc nội dung thông tin có đúng hay không, ta nói rằng nguồn gốc thông tin
đã không được bảo toàn.
1.3.3 Tính khả dụng của thông tin (Availability)
− Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thống tồn tại nhưng
không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệ thống thông tin nào.
Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệu quả, có khả năng phục
hồi nhanh chóng nếu có sự cố xảy ra.
− Ví dụ: các thông tin về quản lý nhân sự của một công ty được lưu trên máy tính, được bảo
vệ một cách chắc chắn bằng nhiều cơ chế đảm bảo thông tin không bị tiết lộ hay thay đổi.
Tuy nhiên, khi người quản lý cần những thông tin này thì lại không truy xuất được vì lỗi hệ
thống. Khi đó, thông tin hoàn toàn không sử dụng được và ta nói tính khả dụng của thông
tin không được đảm bảo.

1.4 Các tác nhân gây ra mất an toàn mạng

 Tác nhân có cấu trúc
Các tác nhân này gây ra bởi những hacker có trình độ cao, những hacker này hoạt động một
mình hay theo nhóm với mục đích là sử dụng hoặc phát triển các công cụ tinh vi để xâm
nhập vào các công ty. Những hacker này thường được thuê bởi các tổ chức tội phạm, các
công ty đối thủ của nhau… Và có khả năng gây phá hoại nặng nề cho hệ thống mạng.
 Tác nhân không cấu trúc
Các tác nhân này gây ra bởi những hacker sử dụng những công cụ như bẻ khóa (password
cracker), các chương trình sinh số credit tự động…Đa phần là là do muốn biểu diễn khả
năng của mình hơn là gây phá hoại cho hệ thống mạng.
 Tác nhân xuất phát từ bên ngoài
Những tác nhân này bao gồm cả tác nhân có cấu trúc và không cấu trúc và nó có nguồn gốc
xuất phát từ bên ngoài mạng nội bộ (công ty). Những tác nhân này có thể chứa những ý
định phá hoại hoặc đơn giản là những lỗi hệ thống (về phần cứng/phần mềm) gây ra những
tác nhân này.
 Tác nhân xuất phát từ bên trong
Những tác nhân này gây ra phần lớn là từ các nhân viên trong tổ chức và gây ra nhiều điều
đáng ngại hơn so với các nhân viên từ bên ngoài. Thực tế cho thấy rằng, phần lớn các cuộc
tấn công đều xuất phát từ bên trong mạng nội bộ của công ty.
1.4.1 Các phần mềm phá hoại và phương thức tấn công
Có nhiều phương thức tấn công, nhưng thông thường khi tấn công vào một hệ thống, kẻ tấn
công sẽ sử dụng các loại phần mềm phá hoại như: Virus, Worms, Trojan,
1.4.2 Virus
 Là phần mềm ẩn, kích thước nhỏ và được gắn vào một tập tin chủ nào đó, thông thường là
các tập tin thực thi được, nhờ đó virus mới có khả năng phá hoại và lan truyền sang các máy
khác
 Virus lan truyền giữa các máy tính thông qua việc sao chép các tập tin có nhiễm virus từ
đĩa mềm, đĩa CD, đĩa flash, USB, hoặc thông qua các tập tin gởi kèm theo e-mail. Phạm vi
phá hoại của virus là rất lớn. Thông thường nhất, các virus thường gây ra mất mát dữ liệu,
hư hỏng phần mềm và hư hỏng cả hệ điều hành.
1.4.3 Worm (Sâu)
 Là loại phần mềm độc có cơ chế hoạt động và tầm phá hoại gần giống như virus. Điểm khác
nhau cơ bản giữa worm và virus là worm có khả năng tự sao chép thông qua mạng (trong
khi virus phải nhờ vào thao tác sao chép của người sử dụng) và tự tồn tại như một chương
trình độc lập (trong khi virus phải gắn vào một tập tin khác).
1.4.4 Trojan horse
 Một dạng phần mềm độc hoạt động núp dưới danh nghĩa một phần mềm hữu ích khác, và
sẽ thực hiện các hành vi phá hoại hệ thống khi chương trình giả danh được kích hoạt bởi
người sử dụng. Trojan không có khả năng tự sao chép như worm (mà phải giả dạng thành
một phần mềm có ích hoặc được gắn vào một phần mềm thực thi khác để được cài đặt vào
máy), không có khả năng tự thực thi như virus (mà chỉ thực hiện khi người sử dụng khởi
động chương trình).
 Ví dụ, một cuộc tấn công mạng sẽ gửi một e-mail với một liên kết có mục đích để tải về
một bài hát iTunes miễn phí. Trojan này sau đó sẽ bắt đầu một kết nối đến một máy chủ
web bên ngoài và bắt đầu một cuộc tấn công một khi người dùng cố gắng để tải về các bài
hát miễn phí rõ ràng.
1.4.5 Tấn công từ chối dịch vụ DoS
 Đây là kiểu tấn công không nhằm vào mục đích chiếm quyền truy xuất vào hệ thống để ăn
cắp thông tin mà chỉ nhằm vào mục đích ngăn chặn hoạt động bình thường của hệ thống,
đặc biệt là các hệ thống phục vụ trên mạng công cộng như Web Server, Mail Server…Chúng
tận dụng các điểm yếu của giao thức, các sơ hở về bảo mật của hệ thống (cấu hình firewall),

các lỗ hổng của phần mềm,…hay dựa vào lưu lượng mạng được phép lưu thông của hệ
thống do đó từ chối dịch vụ rất khó loại bỏ trong hệ thống mạng.
 Có hai kỹ thuật thường dùng đế gây ra tấn công từ chối dịch vụ là:
+ Ping of death: gửi các gói tin liên tục với số lượng các gói dữ liệu ICMP đến một mạng
nào đó, chiếm toàn bộ băng thông kết nối và do đó gây tắc nghẽn mạng.
+ Buffer-overflow: tấn công vào các máy chủ bằng cách nạp dữ liệu vượt quá giới hạn của
bộ đệm (buffer) trên máy chủ, gây ra lỗi hệ thống.
1.4.6 Tấn công từ chối dịch vụ phân tán DdoS
 Là phương thức tấn công dựa trên nguyên tắc của từ chối dịch vụ nhưng có mức độ nguy
hiểm cao hơn do huy động nhiều máy tính cùng tấn công vào một hệ thống duy nhất. Các
máy tính này xuất phát từ nhiều nguồn khác nhau.
 Kẻ tấn công sẽ huy động nhiều máy tính trên mạng tham gia từ chối dịch vụ phân tán bằng
cách cài đặt phần mềm điều khiển từ xa lên các máy tính này. Sau đó, kẻ tấn công sẽ sử
dụng các máy tính này đồng loạt tấn công từ chối dịch vụ vào mục tiêu trên hệ thống, gây
cho mục tiêu không hoạt động bình thường được.
1.4.7 Tấn công giả danh (Spoofing acttack)
Đây là một dạng tấn công bằng cách giả danh một đối tượng khác (một người sử dụng,
một máy tính với một địa chỉ IP xác định hoặc một phần mềm nào đó) để thực hiện các
hành vi như là giả danh địa chỉ e-mail của một người khác để gửi mail đến một người thứ
ba, có thể giả danh địa chỉ IP của máy khác để gửi dữ liệu với IP nguồn không phải của
mình đến máy tính khác, hoặc cũng có thể là giả danh một phần mềm như phần mềm logon
trên máy tính để ăn cắp thông tin của phần mềm bị giả danh.
1.4.8 Tấn công xen giữa (Man-in-the-middle attack)
− Đây là phương thức tấn công bằng cách xen vào giữa một thủ tục đang diễn ra, thường xảy
ra trên mạng IP, nhưng cũng có thể xảy ra trong nội bộ một máy tính.
− Trên mạng, kẻ tấn công bằng một cách nào đó xen vào một kết nối, đặc biệt ở giai đoạn
thiết lập kết nối giữa người dùng với máy chủ, và thông qua đó nhận được những thông tin
quan trọng của người dùng. Tấn công xen giữa đặc biệt phổ biến trên mạng không dây
(wireless network) do đặc tính dễ xâm nhập của môi trường không dây
Hình 1.4: Tấn công xen giữa (Man-in-the-middle attack)

1.4.9 Tấn công phát lại
Trong phương thức tấn công này, các gói dữ liệu lưu thông trên mạng được chặn bắt và
sau đó phát lại (replay). Trong môi trường mạng, thông tin xác thực giữa người dùng và
máy chủ được truyền đi trên mạng. Đây là nguồn thông tin thường bị tấn công nhất. Nếu
khi phát lại, máy chủ chấp nhận thông tin này thì máy tấn công có khả năng truy xuất vào
máy chủ với quyền của người dùng trước đó.

Hình 1.5: Tấn công phát lại

1.5 Chính sách an ninh mạng
 Như hình bên dưới cho thấy, các bức tường lửa được chia thành bốn thành phần riêng biệt.
Hình 1.6: Các lớp bảo mật tường lửa

 Lớp toàn vẹn vật lý của tường lửa: chủ yếu là liên quan tới các quyền truy cập vật lý vào
tường lửa, chẳng hạn như thông qua một kết nối cứng là cổng console.
 Lớp cấu hình tường lửa tĩnh: chủ yếu là liên quan tới truy cập vào các phần mềm tường lửa
được cấu hình tĩnh đang chạy. Tại lớp này, chính sách bảo mật cần tập trung vào việc xác
định các hạn chế sẽ được yêu cầu để hạn chế truy cập quản trị, bao gồm cả bản cập nhật
phần mềm thực hiện và cấu hình tường lửa.
 Lớp thứ ba là cấu hình tường lửa động, trong đó bổ sung các cấu hình tĩnh bằng việc có liên
quan tới cấu hình động của tường lửa thông qua việc sử dụng các công nghệ như giao thức
định tuyến, lệnh ARP, giao diện và tình trạng thiết bị, kiểm toán, nhật ký, và các lệnh tránh.
 Lớp lưu lượng mạng qua tường lửa: có liên quan tới chức năng như ACL và thông tin dịch
vụ proxy. Các chính sách an ninh ở lớp này có trách nhiệm xác định các yêu cầu như chúng
liên quan đến lưu lượng đi qua tường lửa.
1.5.1 Chính sách quản lý truy cập
− Chính sách này dùng để xác định các phương pháp cho phép và cách truy cập quản lý tường
lửa. Chính sách này có xu hướng giải quyết sự toàn vẹn vật lý tường lửa và lớp bảo mật cấu
hình tường lửa tĩnh
− Ngoài ra, các chính sách quản lý truy cập cần xác định các yêu cầu đối với các giao thức
quản lý như Network Time Protocol (NTP), syslog, TFTP, FTP, Simple Network
Management Protocol (SNMP), và bất kỳ giao thức khác có thể được sử dụng để quản lý
và duy trì thiết bị.
1.5.2 Chính sách lọc
− Các chính sách lọc cần phải chỉ và xác định chính xác các loại lọc mà nó phải được sử dụng
và nơi lọc được áp dụng. Chính sách này có xu hướng để giải quyết cấu hình tường lửa tĩnh
và chi tiết trong lớp lưu lượng mạng qua tường lửa.
− Ví dụ, một chính sách lọc tốt cần phải yêu cầu cả hai lối vào và đi ra bộ lọc được thực hiện
với các bức tường lửa. Với một DMZ, tùy thuộc vào hướng của lưu lượng mà có các yêu
cầu lọc khác nhau và nó là vai trò của các chính sách lọc để xác định những yêu cầu.

1.5.3 Chính sách định tuyến

Với thiết kế ngày càng phức tạp hơn cũng như sử dụng ngày càng tăng của các bức
tường lửa trong mạng nội bộ, tường lửa có thể dễ dàng trở thành một phần của cơ sở hạ tầng
định tuyến.Chính sách này có xu hướng để giải quyết các lớp cấu hình tường tĩnh lửa và
cấu hình động tường lửa. Trong hầu hết trường hợp, các chính sách định tuyến nên ngăn
cấm firewall một cách rõ ràng từ việc chia sẻ bảng định tuyến mạng nội bộ với bất kỳ nguồn
bên ngoài. Tương tự như vậy, các chính sách định tuyến cần xác định các trường hợp trong
đó các giao thức định tuyến động và tuyến đường tĩnh là phù hợp. Các chính sách cũng nên
xác định bất kỳ cơ chế bảo mật giao thức cụ thể cần phải được cấu hình, (ví dụ, việc sử
dụng thuật toán băm để đảm bảo chỉ các nút được chứng thực có thể vượt qua dữ liệu định
tuyến).
1.5.4 Chính sách Remote-access/VPN
Hầu hết các thị trường tường lửa lớn có thể phục vụ như là điểm kết thúc cho VPN, và
do đó chính sách remote-access/VPN cần thiết xác định các yêu cầu về mức độ mã hóa và
xác thực rằng một kết nối VPN sẽ yêu cầu. Trong nhiều trường hợp, các chính sách VPN
kết hợp với chính sách mã hóa của tổ chức xác định phương pháp VPN tổng thể sẽ được sử
dụng. Chính sách này có xu hướng để giải quyết các lớp cấu hình tường lửa tĩnh và lưu
lượng mạng qua tường lửa.
Các chính sách remote-access/VPN cũng cần xác định các giao thức sẽ được sử dụng:
IP Security, Layer 2 Tunneling Protocol, hoặc Point-to-Point Tunneling Protocol. Trong
hầu hết trường hợp, IPsec được sử dụng riêng biệt. Giả sử IPsec, chính sách remote-
access/VPN cần phải yêu cầu sử dụng của các preshared keys, chứng thực mở rộng, với
việc sử dụng giấy chứng nhận, mật khẩu một lần, và Public Key Infrastructure cho môi
trường an toàn nhất.
Cuối cùng, các chính sách remote-access/VPN cần xác định các loại truy cập và các
nguồn lực sẽ được cung cấp để kết nối từ xa và các loại kết nối từ xa sẽ được cho phép.
1.5.5 Chính sách vùng DMZ
Các chính sách DMZ là một văn bản diện rộng để xác định tất cả các yếu tố của không
chỉ chính DMZ mà còn các thiết bị trong DMZ. Mục tiêu của chính sách DMZ là xác định
các tiêu chuẩn và yêu cầu của tất cả các thiết bị các kết nối và lưu lượng giao thông vì nó
liên quan đến DMZ. Chính sách này có xu hướng để giải quyết các lớp cấu hình tường lửa
tĩnh và lưu lượng mạng qua tường lửa.
Do sự phức tạp của môi trường DMZ điển hình, các chính sách DMZ có khả năng sẽ là
một tài liệu nhiều trang. Để giúp đảm bảo rằng các chính sách DMZ thiết thực và hiệu quả,
điển hình là ba tiêu chuẩn cần được xác định rộng rãi cho tất cả các thiết bị liên quan đến
DMZ, kết nối, và lưu lượng giao thông:
+ Trách nhiệm quyền sở hữu.
+ Yêu cầu cấu hình an toàn.
+ Yêu cầu hoạt động và kiểm soát thay đổi.

CHƯƠNG 2: TỔNG QUAN VỀ VPN VÀ CÁC CÔNG NGHỆ VPN
2.1 Tổng quan về VPN

2.1.1 Khái niệm
Mạng riêng ảo VPN là một mạng riêng sử dụng hệ thống mạng công cộng (Internet,
Mega WAN…) hoạt động như một mạng cục bộ kết hợp với các giải pháp bảo mật trên
đường truyền để kết nối các văn phòng chi nhánh, người dùng lưu động từ xa kết nối về
văn phòng chính một cách an toàn thay vì dùng kết nối thật khá phức tạp và tốn chi phí
như đường dây thuê bao số (lease line).
 Phân tích thuật ngữ VPN:
− Network: là một mạng cho phép kết nối giữa các thiết bị đầu cuối với nhau.
− Virtual: cho biết đây là một kết nối luận lý (logical connection) giữa các thiết bị thông qua
môi trường mạng công cộng (internet)
− Private: Đây là một mạng độc lập,việc phân chia địa chỉ và định tuyến cũng độc lập với các
mạng khác hoạt động bằng địa chỉ private chứ không phải ip public
Hình 2.1: Mô hình thiết lập kết nối VPN
2.1.2 Chức năng của VPN:

− Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau
để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn.
− Tính toàn vẹn: Người nhận có thể kiểm tra rằng dữ liệu đã được truyền qua mạng Internet
mà không có sự thay đổi nào
− Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng công
cộng và dữ liệu sẽ được giải mã ở phía thu
− Chống tấn công lặp lại: nghĩa là khi một gói tin VPN đã được gửi đi thì gói tin đó sẽ không
còn hợp lệ khi gửi tiếp lần thứ 2 trong VPN session đó.

Hình 2.2: Hình ảnh minh họa cho chức năng chống tấn công lặp lại cho VPN
 Khái niệm về chất lượng dịch vụ:
VPN cung cấp các thỏa thuận về chất lượng dịch vụ QoS những thỏa thuận bao gồm định
ra một giới hạn trên cho phép về độ trễ của gói trung bình trên mạng
VPN = định đường hầm + bảo mật + các thỏa thuận QoS
2.1.3 Những ưu điểm và nhược điểm của VPN
 Ưu điểm:
− Giảm thiểu chi phí triển khai và duy trì hệ thống:
+ VPN giảm thiểu tối đa phí thuê đường truyền thay vào đó là sự tận dụng lại hệ thống
mạng Internet có sẵn.
+ Phí bảo trì rất rẻ, việc thuê hạ tầng có sẵn của các công ty dịch vụ Internet thì chi phí duy
trì sẽ không còn đáng lo ngại.
+ Với việc sử dụng dịch vụ của nhà cung cấp, chúng ta chỉ phải quản lý các kết nối đầu cuối
tại các chi nhánh mạng không phải quản lý các thiết bị chuyển mạch trên mạng.
− An toàn trong giao dịch, an toàn thông tin tính toàn vẹn và xác thực
Việc trao đổi thông tin trong VPN sử dụng cơ chế giấu đi, các dữ liệu sẽ được mã hóa và
thông tin dữ liệu được bảo bọc bởi gói tin Header (phần đầu gói tin ghi địa chỉ đầu - cuối
của gói tin) và truyền đi nhanh chóng qua các tunnel dựa vào Internet.
− VPN đáp ứng tốt việc chia sẻ gói tin và dữ liệu trong một thời gian dài.
− Truy cập mọi lúc mọi nơi. VPN không làm ảnh hưởng đến bất kì một dịch vụ truyền thông
nào của internet.
− Cải thiện kết nối và có khả năng mở rộng.
Với xu thế toàn cầu hóa, một công ty có thể có nhiều chi nhánh tại nhiều quốc gia khác
nhau. Việc tập trung quản lý thông tin tại tất cả các chi nhánh là cần thiết. VPN có thể dễ
dàng kết nối hệ thống mạng giữa các chi nhánh và văn phòng trung tâm thành một mạng
LAN với chi phi thấp.
− Các mạng kết nối với nhau trong suốt. Nghĩa là Router gateway từ mạng LAN này sẽ ping
thấy được Router gateway của mạng LAN bên kia khi thiết lập xong kết nối VPN mà không
cần quan tâm đến có bao nhiêu con Router trung gian giữa kết nối VPN đó.
 Nhược điểm:
− VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài đặt phải cẩn
thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet công cộng.
− Độ tin cậy và hiệu xuất của một VPN dựa trên Internet, sự quá tải hay nghẽn mạng có thể
ảnh hưởng xấu đến chất lượng truyền tin trong mạng, vì vậy giải pháp thay thế là hãy sử
dụng một nhà cung cấp dịch vụ (ISP) tốt và chất lượng.
− Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp khác nhau không
phải lúc nào cũng tương thích do các vấn đề về tiêu chuẩn công nghệ VPN
− Do sự hạn chế về băng thông kênh truyền. Giải pháp thay thế cho VPN là Direct access
− Vấn đề bảo mật cá nhân kém, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ
thống văn phòng bằng máy tính xách tay, máy tính riêng, nếu máy tính của họ thực hiện
hàng loạt các ứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì hacker (kẻ tấn

công, tin tặc) có thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệ thống
của công ty
2.1.4 Các thành phần cần có cho kết nối VPN
 User Authentication: cung cấp cơ chế chứng thực người dùng chỉ cho phép người dùng hợp
lệ kết nối và truy cập hệ thống VPN.
 Address Management: cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống
VPN để có thể truy cập tài nguyên trên mạng nội bộ
 Data Encryption: cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhầm bảo đảm
tính riêng tư và toàn vẹn dữ liệu.
 Key Management: cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải
mã dữ liệu
2.1.5 Đường hầm và bảo mật:

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn
và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền, tạo ra một đường
ống bảo mật giữa nơi nhận và nơi gửi gọi là Tunnel.
Hình 2.3: Đường hầm và mã hóa

− Đường hầm cung cấp các kết nối logic, điểm tới điểm qua mạng IP không hướng kết nối.
Điều này giúp cho việc sử dụng các ưu điểm các tính năng bảo mật. Các giải pháp đường
hầm cho VPN là sử dụng mã hóa để bảo vệ dữ liệu không bị xem trộm bởi bất cứ những ai
không được phép và để thực hiện đóng gói đa giao thức nếu cần thiết. Mã hóa được sử dụng
để tạo kết nối đường hầm để dữ liệu chỉ có thể được đọc bởi người nhận và người gửi.
 Mã hóa chắc chắn rằng bản tin chỉ có thể đọc được bởi người nhận. Khi mà càng có nhiều
thông tin lưu thông trên mạng thì sự cần thiết đối với việc mã hóa thông tin càng trở nên
quan trọng. Mã hóa sẽ biến đổi nội dung thông tin thành một văn bản vô nghĩa trên đường
truyền và giải mã để khôi phục văn bản mật mã thành nội dung thông tin có thể dùng được
cho người nhận.
2.1.6 Chúng ta hình dung như thế nào về đường hầm?
− Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp header (tiêu đề) chứa
thông tin định tuyến có thể truyền qua hệ thống mạng trung gian theo những "đường ống"
riêng.
− Khi gói tin được truyền đến đích, chúng được tách lớp header và chuyển đến các máy trạm,
cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử
dụng chung một giao thức đường hầm.
 Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu
cuối này được gọi là giao diện Tunnel, nơi gói tin đi vào và đi ra trong mạng.
2.2 Các mô hình mạng riêng ảo VPN
2.2.1 Mục tiêu đặt ra đối với mạng riêng ảo
 Mục tiêu đặt ra đối với công nghệ VPN là thoả mãn ba yêu cầu cơ bản sau:
− Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động vào mạng
nội bộ của công ty.

− Nối liền các chi nhánh, văn phòng di động.

− Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc
các đối tượng bên ngoài khác.
 Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm hai loại:
− Mạng VPN Client to Site
− Mạng VPN Site to Site (hay LAN to LAN)
 Mạng VPN cục bộ (Intranet VPN)
 Mạng VPN mở rộng (Extranet VPN)
2.2.2 Giới thiệu về mô hình VPN client to Site (Remote access VPN )
Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những văn phòng dùng
mạng diện rộng có dung lượng nhỏ rất thích hợp với loại hình VPN truy nhập từ xa.
Truy nhập VPN từ xa cho phép mở rộng mạng lưới của một tổ chức tới người sử dụng của
họ thông qua chia sẻ cơ sở hạ tầng công cộng, trong khi mạng lưới của tổ chức vẫn giám
sát được tất cả những người dùng.
Cấu trúc VPN này là phương tiện thông qua một cơ sở hạ tầng công cộng chung sử dụng
đường dây ISDN (mạng đa dịch vụ), Mobile IP (di động IP), DSL (đường dây thuê bao số)
và điện thoại cáp.
Hình 2.4: Mô hình VPN client to site

Theo như mô hình kết nối VPN client to Site (Hình 2.4) Remote User truy cập vào mạng
của LAN sẽ phải sử dụng Cisco VPN Client (được cài đặt trên máy user). Loại VPN này
cho phép remote User thiết lập kết nối bảo mật IPSec VPN qua Internet đến LAN của công
ty. Phần mềm này cho phép chúng ta thiết lập kết nối đến LAN của công ty.
Sau khi VPN được thiết lập giữa remote user và ASA firewall, user sẽ được chỉ định địa chỉ
private IP từ một pool được định nghĩa trước, và sau đó cho phép remote user truy cập vào
LAN.
Ví dụ:
Topo mạng trên ASA firewall bảo vệ mạng Corporate LAN và remote User với VPN
client thiết lập kết nối bảo mật đến ASA. IP với dải 192.168.20.0/24 sẽ được cấp phát cho
VPN Client để liên lạc với mạng nội bộ 192.168.1.0/24. Một khi Remote Access VPN được
thiết lập, remote user mặc định sẽ không có khả năng truy cập bất cứ cái gì ngoài internet
ngoài trừ mạng Corporate LAN.
2.2.2.1 Ưu điểm và Nhược điểm của VPN truy cập từ xa

 Ưu điểm
− Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của tổ chức bởi vì
tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet.
− Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng VPN chỉ cần kết nối qua
mạng băng rộng luôn hiện hành.
− Triển khai đơn giản cho phép người dùng mới mà không tăng chi phí cho cơ sở hạ tầng.
− Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối
từ xa được các ISP thực hiện.
 Nhược điểm
− VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
− Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi
hoặc mất gói.
− Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể. Giao thức
đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi truyền và giải mật mã khi nhận
được thông tin. Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh hưởng đến một số ứng dụng.
2.2.3 Giới thiệu về mô hình VPN Site to Site (LAN to LAN)
Hình 2.5: Kết nối VPN theo mô hình site to site

− Kết nối VPN Site to Site (hay LAN to LAN) được sử dụng để kết nối các site các chi nhánh
của cty lại với nhau, trong đó mỗi site có cả địa chỉ mạng riêng được quản lý sao cho không
xảy ra xung đột ip.
− Theo như hình minh họa (Hình 2.5) Bằng việc cấu hình Site-to-Site IPSec VPN giữa hai
thiết bị ASA firewall, chúng ta có thể thiết lập một đường hầm bảo mật qua kết nối Internet,
và đẩy các traffic của LAN vào trong đường hầm này.
− Kết quả là host trong mạng 192.168.1.0/24 có thể truy cập trực tiếp đến các host trong mạng
192.168.2.0/24 và ngược lại. Đường hầm IPSec được thiết lập kết nối giữa hai địa chỉ IP
Public của 2 Firewall ASA là 100.100.100.1 và 200.200.200.1
2.2.3.1 Mạng VPN cục bộ (Intranet)
VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một
công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng
chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các địa điểm
có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty.
Remote
office
POP
Home
device1
device3 device2 1
office
Internet/ POP
IP-VPN
Remote
office Headquarters
POP
device3 device2 1
device1
Hình 2.6: Mô hình Site to Site intranet

 Ưu điểm
− Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN backbone

− Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở
một số remote site khác nhau.
− Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối
mới ngang hàng.
− Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn
đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện
Intranet.
 Nhược điểm
− Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công cộng Internet và
những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ.
− Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao.
− Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin mulltimedia,
việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet.
2.2.3.2 VPN mở rộng (Extranet VPN)
Extranet cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh
doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan
trọng trong tổ chức
Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại
với nhau để tạo ra một Extranet. Thêm nữa là mạng Extranet sẽ khó mở rộng do điều này
sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng.
Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và
quản trị mạng.
Remote
office
Business
Partner
POP
Home
device1
device3 device2 1
office
Internet/ POP
IP-VPN
Remote
office Headquarters
POP
Supplier
device1
device3 device2 1
Customer
Hình 2.7: Mô hình Site to Site Extranet VPN

 Ưu điểm
− Do hoạt động trên môi trường Internet, chúng ta có thể lựa chọn nhà phân phối khi lựa chọn
và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.
− Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm
chi phí bảo trì khi thuê nhân viên bảo trì.
− Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
− Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại.
− Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm
chạp.
Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên.
2.4 Các giao thức của VPN
2.4.1 Giới thiệu về giao thức PPTP
− PPTP sử dụng một kênh điều khiển qua giao thức TCP và đường hầm GRE để đóng gói các
gói dữ liệu PPP, sử dụng các loại xác thực như PAP, CHAP.
− PPTP thiết lập đường hầm nhưng không cung cấp mã hóa, nó mã hóa bằng cách sử dụng
giao thức Microsoft Point-to-Point Encrytion để tạo ra một VPN an toàn.

− PPTP sử dụng PPP để thực hiện:

+ Thiết lập và kết nối vật lý
+ Xác thực người dùng
+ Tạo các gói dữ liệu PPP
2.4.1.1 Nguyên tắc hoạt động của PPTP
PPTP đóng gói các khung dữ liệu của giao thức PPP vào các IP datagram để truyền qua
mạng IP internet. PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo,
duy trì, kết thúc đường ngầm; và một phiên bản của giao thức GRE để đóng gói các khung
PPP. Phần tải tin của khung PPP có thể được mật mã hoặc giải nén.
Hình 2.8: Gói tin PPTP

2.4.1.2 Các cơ chế xác thực của kết nối PPP
− PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản
và không có bảo mật.
− CHAP là giao thức xác thực mạnh hơn, sử dụng phương pháp bắt tay ba bước để hoạt động,
và chống lại các tấn công quay lại bằng cách sử dụng các giá trị bí mật duy nhất và không
thể đoán và giải được.
 Duy trì đường hầm bằng kết nối điều khiển PPTP
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCP
được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành riêng 1723).
Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí cuộc gọi PPTP được sử
dụng để duy trì đường ngầm PPTP.
Các bản tin này bao gồm các bản tin PPTP Echo - Request và PPTP Encho - Reply định
kỳ để phát hiện các lỗi kết nối giữa PPTP client và PPTP server. Các gói của kết nối điều
khiển PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP và các header,
trailer của lớp đường truyền dữ liệu.
 Đóng gói dữ liệu đường ngầm PPTP
Đóng gói khung PPP: Dữ liệu đường ngầm PPTP được đóng gói thông qua nhiều mức.
Hình 2.9: Dữ liệu đường ngầm PPTP

Phần tải của khung PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo
ra khung PPP. Sau đó được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE,
giao thức này cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP.

 Quá trình xử lí gói tin dữ liệu

Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP server sẽ thực hiện các
bước sau:
− Bước 1: Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
− Bước 2: Xử lý và loại bỏ IP Header.
− Bước 3: Xử lý và loại bỏ GRE Header và PPP Header.
− Bước 4: Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết).
− Bước 5: Xử lý phần Payload để nhận hoặc chuyển tiếp.
 Ưu điểm:
− Là giải pháp được xây dựng trên nền tảng MS (các sản phẩm được sử dụng rộng rãi).
− PPTP tạo ra nhiều kết nối giữa các khách hàng mà không yêu cầu dịch vụ đặc biệt ISP.
− PPTP phù hợp trên nhiều hệ điều hành thông dụng (Microsoft, Nortel Network).
− PPTP hỗ trợ các dịch vụ IP, mã hóa các gói tin RC4 (56 bit hoặc 128 bit), sử dụng port 1723
và các giao thức GRE.
− Bảo mật yếu so với L2TP và IPsec, do sử dụng mã hóa với khóa mã phát sinh từ password
của user, và rất dễ bị tấn công khi password được truyền trong môi trường không an toàn
để chứng thực
− Phải cấu hình bộ định tuyến và máy chủ truy cập từ xa trong trường hợp sử dụng giải pháp
định tuyến.
− Yếu kém về bảo mật do sử dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người
dùng.
2.4.2 Giới thiệu về giao thức L2F
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên
giao thức PPP. L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một
đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet
Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE,
cho phép nó có thể làm việc ở môi trường vật lý khác. Bởi vì GRE không sử dụng như giao
thức đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường
khác. Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực. Có hai mức xác
thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ở cổng nối của
mạng riêng sau khi kết nối được thiết lập.
Coperation Network
Remote
Service provider
Access NAS
PSTN/ISDN backbone
Client
Home Gateway
Hình 2.10: Mô hình kết nối VPN chạy giao thức L2F
 Ưu điểm:
− Được cung cấp bởi nhiều nhà cung cấp dịch vụ ISP
− Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như: ATM, IPX, NetBEUI, Frame Relay
− Cho phép thiết lập đường hầm đa giao thức
− Không có mã hóa
− Yếu trong việc xác thực người dùng
− Thực hiện L2F dựa trên ISP. Nếu trên ISP không hổ trợ L2F thì không thể triển khai được
− Không có điều khiển luồng cho đường hầm

2.4.3 Giới thiệu về giao thức L2TP
M an g i n t r an et cu a I SP
D i al
con n ect i on LAC LAS
NAS
Mang rieng
user
L2TP VPN Tunnle

Computer
Ngu oi d u n g
tu xa Ket noi PPP
Hình 2.11: Mô hình VPN chạy giao thức L2TP

 Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F. PPTP do
Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công ty này đã hợp tác cùng kết hợp 2
giao thức lại và đăng ký chuẩn hoá tại IETF.
 L2TP kế thừa những tính năng nổi bật của PPTP và L2F:
+ L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều khiển và hệ
điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet cũng không cần triển khai
thêm các phần mềm chuyên biệt.
+ L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với
một địa chỉ IP chưa đăng ký (hoặc riêng tư).
 Phân tích gói tin
Hình 2.12 Quy trình đóng gói dữ liệu và xử lý data trong đường hầm
− Đóng gói L2TP: Phần tải PPP ban đầu được đóng gói với một PPP header và một L2TP
header.
− Đóng gói UDP: Gói L2TP sau đó được đóng gói với một UDP header, các địa chỉ nguồn và
đích được đặt bằng 1701.
− Đóng gói IPSec: Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đóng gói với
ESP IPSec header và ESP IPSec Trailer, IPSec Authentication Trailer.
− Đóng gói IP: Gói IPSec được đóng gói với IP header chứa địa chỉ IP ngưồn và đích của
VPN client và VPN server.
− Đóng gói lớp liên kết dữ liệu
 Nguyên tắc hoạt động của L2TP

M an g i n t r an et c u a I SP
D i al
c on n ec t i on LAC LAS
NA S
Mang rieng
user
L2TP VPN Tunnle

Computer
Ngu oi d u n g
Yêu cầu kết yêu cầu chứng
tu xa nối (1) thực (2a) Ket noi PPP
Chấp nhận
(2b)
chuyển tiếp tới LAC(3)
Chấp nhận kết nối

thiết lập kết nối (4)
(5)
Bản tin khai báo và Chứng thực

Trao đổi dữ liệu thông tin chứng thực người dùng(6)
Hình 2.13 Nguyên tắc hoạt động của L2TP

− Bước 1: Người dùng từ xa gửi yêu cầu kết nối đến NAS gần nhất của nó, và bắt đầu khởi
tạo một kết nối PPP với nhà ISP cuối.
− Bước 2: NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối (dùng phương
pháp xác nhận PPP bằng PAP, CHAP)
− Bước 3: Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của mạng
đích.
− Bước 4: Kế tiếp, LAC thiết lập một đường hầm LAC-LNS thông qua mạng trung gian giữa
hai đầu cuối. Đường hầm trung gian có thể là ATM, Frame Relay, hoặc IP/UDP.
− Bước 5: Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một Call ID (CID)
đến kết nối và gửi một thông điệp thông báo đến LNS. Thông báo xác định này chứa thông
tin có thể được dùng để xác nhận người dùng. Thông điệp cũng mang theo LCP options
dùng để thoả thuận giữa người dùng và LAC.
− Bước 6: LNS dùng thông tin đã nhận được từ thông điệp thông báo để xác nhận người dùng
cuối
− Bước 7: Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua đường hầm.
 Ưu điểm:
− Là giải pháp chung không phụ thuộc nền, hổ trợ nhiều kỹ thuật mạng, có thể hổ trợ giao
thức khác thông qua liên kết non-IP của mạng WAN
− Không yêu cầu bổ sung cấu hình của user từ xa ISP
− Cho phép kiểm soát chứng thực người dùng hổ trợ kiểm soát luồng và gói dữ liệu bị loại bỏ
khi quá tải trên đường hầm nên thao tác nhanh hơn L2F
− Cho phép người dùng với địa chỉ IP chưa được đăng ký có thể truy cập từ xa thông qua
mạng công cộng.
− Tăng cường bảo mật bằng cách mã hóa data dựa trên Ipsec trong suốt đường hầm và khả
năng chứng thực gói của IPsec
− Chậm hơn PPTP và L2F vì sử dụng Ipsec để chứng thực từng gói nhận được
− Mặc dù được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình them bộ định tuyến
và máy chủ phục vụ truy cập từ xa
2.4.4 Giao thức IPsec

 Giới thiệu:
Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security. Nó có quan hệ
tới một số bộ giao thức (AH, ESP, và một số chuẩn khác) được phát triển bởi IETF. Mục
đích chính của việc phát triển IP Sec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network
layer) của mô hình OSI, như hình:
Hình 2.14: Mô hình OSI và IPSec nằm ở tầng Network

IPSec được dùng để bảo mật dữ liệu khi truyền trên mạng. Người quản trị sẽ cấu hình
IPSec bằng cách thiết lập các luật giao tiếp giữa các máy. Các luật này được gọi là IPSec
Policy. Chúng xác định loại giao thức nào sẽ được mã hóa, loại nào sẽ được chữ kí số
(digital sign), và loại nào sẽ dùng cả hai phương pháp trên. Tiến trình này trong suốt với
người dùng và các ứng dụng bắt đầu truyền dữ liệu. Do IPSec được đóng trong gói IP chuẩn
nên nó có thể truyền trên mạng mà không đòi hỏi cấu hình đặc biệt trên thiết bị giữa hai
host.
IP SEC cung cấp các khả năng bảo mật sau:
 Chứng thực lẫn nhau trước và cả trong khi hai hệ thống giao tiếp với nhau.
 Bảo đảm tính bí mật cho các gói (packet): IP SEC bao gồm hai loại gói chính là
Encapsulating Security Payload (ESP): mã hóa, chứng thực (kí số) và Authentication
Header (AH): chỉ chứng thực (kí số) mà không mã hóa.
 Bảo toàn việc truy cập: Khi một gói được gửi đến, hệ thống sẽ kiểm tra các các ký số,
nếu ký số không trùng, quá trình chứng thực không thành công. Hệ thống sẽ tự động
xóa bỏ packet đó ngay tại tầng IP. ESP sẽ mã hóa các địa chỉ nguồn và địa chỉ đích và
đặt trong phần payload của gói.
 Ngăn chặn kiểu tấn công dùng lại: (Replay attack): Cả ESP và AH đều sử dụng các
chuỗi số thay đổi. Giả sử có một attacker bắt được gói IP SEC, giả dạng gói đó để tìm
cách thâm nhập vào hệ thống. Khi đó, chuỗi số mà attacker dùng sẽ không được hệ
thống chấp nhận.
IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau như
mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa trên các
thành phần cơ bản sau đây:

Hình 2.15: Các thành phần của Ipsec
2.4.4.1 Giao thức bảo mật IP (IPsec)

a) Giao thức xác thực AH của IPSec
 Giới thiệu:
Xác thực tiêu đề AH: là một trong những giao thức bảo mật IPSec đảm bảo tính toàn
vẹn cho header gói tin và dữ liệu cũng như việc chứng thực người dùng. IPSec dùng thuật
toán HMAC thường là HMAC-MD5 hay HMAC-SHA1, giá trị mã xác thực sau khi băm
được đưa vào gói tin và gửi cho phía nhận, ở phía nhận thu sẽ so sánh giá trị băm ở phía
phát có giống với kết quả mình băm ra hay không, qua đó đảm bảo tính toàn vẹn của gói
tin. Tuy nhiên IPSec không đảm bảo tính toàn vẹn cho toàn bộ các header IP, vì một số
trường trong header IP có thể thay đổi trong quá trình truyền, ví dự như trường TTL (Time-
to-Live). Vì vậy, nếu thực hiện tính giá trị băm cho tất cả các trường của header IP thì sẽ
gây ra hiện tượng sai khác giá trị băm ở nơi nhận với giá trị băm ở bên gửi, dẫn đến quá
trình xác thực không thành công.
Giao thức AH cung cấp xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu, và
dịch vụ chống phát lại.
AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. AH chỉ bảo vệ một
phần của IP header mà thôi. AH không cung cấp bất cứ xử lý nào về bảo mật dữ liệu của
các lớp trên, tất cả đều được truyền dưới dạng văn bản rõ. AH nhanh hơn ESP, nên có thể
chọn AH trong trường hợp chắc chắn về nguồn gốc và tính toàn vẹn của dữ liệu nhưng tính
bảo mật dữ liệu không cần được chắc chắn.
Hình 2.16: Cấu trúc gói tin AH

 Ý nghĩa của từng trường:
− Next header (8 Bits): Nhận dạng giao thức sử dụng truyền thông tin, các định dạng dữ liệu
chứa trong tiêu đề AH
− Payload leghth (8 Bits): Độ lớn của gói tin AH tính bằng đơn vị (32 Bits) và trừ đi 2 đơn
vị. Ví dụ: toàn bộ chiều dài tiêu đề AH là 6 thì chiều dài vùng Payoad là 4.

− RESERVED (16 Bits): Sử dụng trong tương lai.

− Security paramaters index (SPI – 32 Bits): Nhận ra các thông số bảo mật, được tích hợp với
địa chủ IP. Giá trị 1-255 được dành riêng, giá trị 0 sử dụng cho mục đích đặc biệt, các giá
trị khác dùng gắn cho SPI.
− Sequence number (32 Bits): đây là một giá trị luôn tăng và cho phép cung cấp dịch vụ
antireplay cho một SA. Thông tin này không nhất thiết được dùng bởi bên nhận nhưng nó
phải bao gồm thiết bị gửi. Chỉ số này được khởi động về 0 khi SA được thiết lập. Nếu dịch
vụ antireplay được dùng, chỉ số này không bao giờ được phép lặp lại.Bởi vì bên gửi không
biết bên nhận có dùng dịch vụ antireplay hay không, SA sẽ được hủy và một SA mới sẽ
được tái thiết lập sau khi có 232 gói tin được truyền.
− Authentication data (chiều dài không xác định): trường này chứa nhiều giá trị Integrity
Check Value (ICV) cho gói tin.Trường này phải là một số nguyên bội số của 32 và có thể
chứa các giá trị đệm (padding) để lấp đầy các bit trống cho đủ 32 bits. Giá trị ICV này được
dùng các giải thuật như Message Authentication Code (MACs). MACs được dựa trên các
giải thuật mã hóa đối xứng như DES và 3DES hoặc các hàm Hash như MD5 hoặc SHA-1.
Khi tính choán chỉ số ICV, dùng trong MAC làm giá trị này khó bị bẻ gãy. Nếu các giá trị
này không trùng, gói tin sẽ bỏ qua. Điều này giúp đảm bảo các gói tin không bị thay đổi
trong quá trình truyền.
b) Giao thức ESP
Đóng gói tải bảo mật-ESP: Đây là giao thức được dùng phổ biến trong việc thiết lập
IPSec có tác dụng xác thực, mã hóa và đảm bảo tính trọn vẹn dữ liệu thông qua các thuật
toán mã hóa khối như DES, 3DES, AES
ESP là giao thức đầu tiên trong hai giao thức quan trọng tạo nên chuẩn IPSec. Nó cung
cấp tính nguyên vẹn, xác thực, bảo mật dữ liệu. ESP được sử dụng để mã hóa payload của
gói tin IP.
ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần mã hóa hay chỉ
cần xác thực.
Hình 2.17: Cấu trúc gói tin ESP

 Ý nghĩa các thành phần:
− Security paramaters index (SPI – 32Bits): nhận ra các thông số được tích hợp với địa chỉ
IP, nhận dạng liên kết SA.
− Sequence number (32 Bits): tương tự AH
− Payload data (độ dài bất kì): Đây là gói tin IP hoặc một phần của gói tin ban đầu tùy thuộc
vào chế độ (mode) của IPSec đang được dùng. Khi dùng Tunnel Mode, trường hợp này
chứa toàn bộ gói tin IP ban đầu. Trong Transport Mode, nó chỉ bao gồm phần giao thức các
lớp bên trên của gói tin ban đầu. Chiều dài của payload luôn là một số nguyên của bytes.
− Padding (độ dài bất kì) và Pad Length (8 Bits): Dữ liệu chèn vào độ dài của nó.
− Next Header (8 Bits): Nhận ra giao thức được sử dụng trong quá trình truyền thông tin. Nếu
là TCP giá trị là 6, nếu là UDP giá trị là 17 khi dùng Transport Mode, khi dùng Tunnel
Mode là 4

− Authentication (Bội số của 32): Bao gồm dữ liệu xác thực cho gói tin, được tính trên toàn
bộ gói tin ESP trừ phần Authentication data. Các thuật toán mã hóa bao gồm DES, 3DES,
AES. Các thuật toán xác thực bao gồm MD5 hoặc SHA-1. ESP còn cung cấp tính năng anti-
replay để bào vệ các gói tin không bị chỉnh sửa.
Hình 2.18: Sự khác nhau giữa 2 gói tin thu được từ hai giao thuwscAH và ESP
Bảo mật AH ESP
Chỉ số lớp 3 trong giao thức IP 51 50
Toàn vẹn dữ liệu Có Có
Xác thực dữ liệu Có Có
Mã hóa dữ liệu Không Có
Chống tấn công phát lại Có Có
Tương thích với NAT Không Có
Bảo vệ gói IP Có Không
Bảo vệ dữ liệu Không Có
Bảng 2.1: Bảng so sánh giữa AH và ESP.
 ESP có tác dụng xác thực (Authentication), mã hóa (Encrytion) và đảm bảo tính trọn
vẹn dữ liệu (Securing of data). Đây là giao thức được dùng phổ biến trong việc thiết lập
IP Sec.
 AH có tác dụng xác thực, AH thì thường ít được sử dụng vì nó đã có trong giao thức
ESP.
2.4.4.2 Mã hóa bản tin

a) Mã hóa đối xứng:
Hình 2.19: Mã hóa khóa bí mật hay đối xứng

− Thuật toán mã hóa đối xứng sử dụng một khóa chung còn được gọi là secret key, để mã hóa
và giải mã. Khóa này cần chia sẻ trước (pre-shared) cho bên truyền và bên nhận. Vì secret
key được bảo vệ bởi sender và receiver nên có thể chọn thuật toán mã hóa sử dụng key với
độ dài ngắn hơn và làm cho việc tính toán nhanh hơn.
− Chiều dài khoá từ 40÷168 bit.

− Thông thường, thuật toán đối xứng tính toán đơn giản hơn thuật toán bất đối xứng và có thể
tăng tốc bằng phần cứng chuyên dụng. Nếu cần mã hóa lượng dữ liệu lớn, người ta chọn
thuật toán đối xứng.
− Thách thức khi sử dụng thuật toán đối xứng là việc quản lý khóa. Secret key cần được trao
đổi bằng kênh an toàn cho sender và receiver trước khi truyền dữ liệu. Thuật toán này mã
hoá và giải mã rất nhanh, phù hợp với một khối lượng lớn thông tin. Một số thuật toán đối
xứng như DES, 3DES, AES…
− DES là thuật toán mã hóa yếu nhất (sử dụng key 56 bit) và AES là thuật toán mã hóa mạnh
nhất (sử dụng 128,192,256 bit mã hóa). 3DES là sự lựa chọn mã hóa tầm trung sử dụng 168
bit mã hóa
b) Mã hóa bất đối xứng
Thuật toán bất đối xứng sử dụng các khóa khác nhau để mã hóa và giải mã và không
dùng đến pre-shared key. Vì cả 2 bên truyền và nhận không có shared secret key nên cần
dùng khóa có độ dài rất lớn để ngăn chặn tấn công.
Các thuật toán này tiêu tốn nhiều tài nguyên và tính toán chậm. Thực tế, thuật toán bất
đối xứng thường tính toán chậm hơn hàng trăm hoặc hàng nghìn lần so với thuật toán đối
xứng. Do đó nó thường được sử dụng để mã hoá các khoá phiên, một lượng dữ liệu nhỏ.
Một số thuật toán sử dụng mã hoá khoá công cộng như RSA, Diffie-Hellman.
Hình 2.20: Mã hóa không đối xứng

 Thuật toán mã hóa DES
DES Characteristics
Description Data Encryption Standard
Timeline Standardized 1976
Type of Algorithm Symmetric
Key size (in bits) 56 bits
Speed Medium
Time to crack (Asuming a computer Days (6.4 days by the
could try 255 keys per second COPACABANA machine, a
specialized cracking device)
Resource Consumption Medium
Bảng 2.2: Mô ta đặc điểm của DES
 Thuật toán mã hóa 3DES
Thuật toán mã hoá 3DES là một biến thể phụ của DES, như ta đã biết DES vẫn tồn tại nhiều
nhược điểm như: Có thể bẽ gãy bằng những máy có mục đích đặc biệt để tìm ra khóa.

3DES Characteristics
Description Triple Data Encryption Standard
Timeline Standardized 1977
Key size (in bits) 112 and 168 bits
Speed Low
Time to crack (Asuming a 4.6 Billion years with current
computer could try 255 keys per technology
second
Resource Consumption Medium
Bảng 2.3 Mô tả đặc điểm của 3DES
− Mô tả 3DES:Thuật toán mã hoá 3DES gồm 3 chìa khoá 56 bit, tức là toàn bộ chiều dài khoá
là 168 bit. Trong khi mã hoá riêng tư, chúng ta đơn giản là nhập toàn bộ 168 bit khoá đơn
là vào mỗi 3 chìa khoá cá nhân.
Hình 2.21: Sơ đồ mã hóa 3DES

− Thủ tục mã hoá cũng tương tự DES nhưng nó được lặp lại 3 lần tức là tăng lên 3 lần DES.
Dữ liệu được mã hoá với chìa khoá đầu tiên, và được giải mã với chìa khoá 2, sau đó mã
hoá lần nữa với chìa khoá thứ 3 để thu được dữ liệu mã hoá cuối cùng.
− DES, 3DES, AES: Tất cả đây là những thuật toán mã hóa được hỗ trợ bởi CiscoFirewall
ASA. DES là yếu nhất (sử dụng khóa mã hóa 56-bit), và AES là mạnh nhất (sử dụng
128,192, hoặc 256 bit mã hóa). 3DES là một sự lựa chọn giữa, nó sử dụng khóa mã hóa
168-bit.
− Ưu và nhược điểm của 3DES:
+ Ưu điểm: Khác với DES, thuật toán mã hoá 3DES được mã hoá 3 lần DES với kích cỡ
không gian khoá 168 bit cho nên an toàn hơn rất nhiều so với DES.
+ Nhược điểm: Vì 3DES sử dụng 3 lần mã hoá DES cho nên tốc độ mã hoá sẽ chậm hơn
rất nhiều so với DES.
 AES (Advanced Encryption Standard)
Một khóa 128, 192 hoặc 256 bits có thể được sử dụng để mã hóa các data blocks có kích
thước 128, 192 hoặc 256 bits. Rijndael được thiết kế để dễ dàng tăng kích thước block hoặc
key theo bội số của 32 bits và việc sử dụng tài nguyên tính toán cũng được tối ưu hóa.
AES Characteristics
Description Advanced Encryption Standard
Timeline Official Standard since 2001
Key size (in bits) 128, 192, 256 bits
Speed High
Time to crack (Asuming a computer 149 Trillion years

could try 255 keys per second
Resource Consumption Low
Bảng 2.4 Đặc điểm của AES
 Các thuật toán trong transform :
Transform Mô tả
Esp-des ESP transform sử dụng DES 56 bits
Esp-3des ESP transform sử dụng 3DES 168 bits
Esp-aes Esp transform sử dụng AES-128
Esp-aes-192 Esp transform sử dụng AES-192
Esp-aes-256 Esp transform sử dụng AES-256
Esp-md5-hmac Esp transform sử dụng HMAC-MD5 cho chứng thực
Esp-sha-hmac Esp transform sử dụng HMAC-SHA cho chứng thực
Esp-none ESP không chứng thực
Esp-null Esp không mã hóa
Bảng 2.5: Mô tả các thuật toán trong transform
2.4.4.3 Nhận thực đối tác (peer authentication)
Các phương pháp xác thực:
 Pre-shared key: một giá trị khóa bảo mật (secret key) được đưa vào mỗi peer (thiết bị ngang
hàng), được sử dụng để xác thực ngang hàng.
 RSA vừa có tính xác thực vừa có tính mã hóa
+ Mã hoá RSA privacy: Giả định rằng người A muốn gửi cho người B một bản tin m, A
tạo một văn bản dạng mã hoá c tạo bởi (c=me mod n), e và n là khoá công cộng của người
B. Người A gửi c cho người B. Để giải mã, người B thực hiện m=cd mod n; Mối liên hệ
giữa e và d đảm bảo rằng người B khôi phục đúng n. Vì chỉ người B biết d, do vậy chỉ người
B có thể giải mã.
+ Xác thực RSA: Giả định người A muốn gửi cho người B bản tin m theo cái cách mà
người B được đảm bảo rằng bản tin là tin cậy và được gửi từ người A. người A tạo một
dạng chữ ký số hoá s bởi công thức: s=md mod n, d và n là khoá riêng của người A. Người
A gửi m và s cho người B. Để xác minh lại chữ ký số, người B dùng công thức m=se mod
n dựa trên bản tin m nhận được, e và n là khóa công cộng của người A.
Vì thế, mã hoá và xác thực có thể được sử dụng mà không cần phải chia sẻ khoá riêng,
mỗi người chỉ dùng khoá công cộng của người khác và khoá riêng của chính mình. Bất kỳ
người nào có thể gửi một bản tin đã mã hoá hoặc xác minh lại bản tin đã được xác nhận chữ
ký số, bằng cách chỉ dùng khoá chung, nhưng chỉ người nào đó có được khoá riêng đúng
thì có thể giải mã hoặc xác thực bản tin.
2.4.4.4 Quản lý khóa
Diffie-Hellman (gọi tắt là DH) được dùng để tạo ra 1 key chia sẻ. Đây là giao thức tạo
public key và được sử dụng bởi IKE để thiết lập key phiên kết nối
ISAKMP/IKE không có tiến trình chia sẻ key an toàn khi đi qua mạng không an toàn,
thay vì đó những thiết bị sẽ dùng DH cho mục đích ngăn chặn kẻ xấu thấy được key đang
chia sẻ giữa các thiết bị. Mỗi group sẽ có giá trị riêng, số bit càng cao thì càng an toàn và
khó khăn trong việc tìm được key đang chia sẻ.
IKE không những trao đổi khóa một cách bí mật mà còn thực hiện xác thực các IPSec ngang
hàng, thương lượng các tham số IPSec (thuật toán mã hóa để bảo mật dữ liệu, thuật toán
băm để giảm dữ liệu cho báo hiệu, phương thức xác thực cho báo hiệu…).
− Kết hợp bảo mật SA (Security Accsociation):
+ Security Associations (SAs) là một khái niệm cơ bản của bộ giao thức IP Sec. SA là một
kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ
IPSec.

+ Để 2 bên có thể truyền dữ liệu đã bảo mật (dữ liệu đã được xác thực, mã hóa hoặc cả hai),
cả 2 bên phải cùng thống nhất sử dụng giải thuật mã hóa, làm cách nào để chuyển khóa, và
các vấn đề liên quan đến key (thời gian sống, bao lâu thì key được thay đổi…). Tất cả các
thỏa thuận trên được SA đảm trách.
+ IP Sec SA gồm có 3 trường:
 SPI – Security Parameter Index: Đây là một trường 32 bit dùng nhận dạng giao
thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IP Sec đang
dùng. SPI được mang theo như là một phần đầu của giao thức bảo mật và thường
được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA.
 Destination IP address: Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ
broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được
định nghĩa cho hệ thống unicast.
 Security protocol: Phần này mô tả giao thức bảo mật IP Sec, có thể là AH hoặc
ESP.
+ Bởi vì bản chất theo một chiều duy nhất của SA, cho nên 2 SA phải được định nghĩa cho
hai bên thông tin đầu cuối, một cho mỗi hướng. Ngoài ra, SA có thể cung cấp các dịch vụ
bảo mật cho một phiên kết nối được bảo vệ bởi AH hoặc ESP. Do vậy, nếu một phiên cần
bảo vệ kép bởi cả hai AH và ESP, 2 SA phải được định nghĩa cho mỗi hướng.
2.4.4.5 Cơ chế hoạt động Internet Key Exchange
 Giao thức IKE thiết kế ra để cung cấp 5 khả năng:
− Cung cấp những phương tiện cho hai bên về sự đồng ý những giao thức, thuật toán và những
chìa khoá để sử dụng.
− Đảm bảo trao đổi khoá đến đúng người dùng.
− Quản lý keys sau khi được chấp nhận.
− Đảm bảo rằng sự điều khiển và trao đổi khoá an toàn.
− Cho phép chứng thực giữa các đối tượng ngang hang.
 Cơ chế hoạt động của IKE
Giao thức IKE sẽ có chức năng trao đổi key giữa các thiết bị tham gia VPN và trao đổi
chính sách an ninh giữa các thiết bị.
Host A Host B
Router A Router B
Computer Computer
IKE pha 1
Chế độ chính
Thương lượng Thương lượng
chính sách chính sách
Trao đổi Trao đổi

Diffie-Hellman Diffie-Hellman
Kiểm tra nhận Kiểm tra nhận

dạng các bên dạng các bên
.
Hình 2.22: Quá trình trao đổi của IKE
− Trao đổi thứ nhất: Các thuật toán mật mã và xác thực sử dụng để bảo vệ các trao đổi IKE
sẽ được thỏa thuận giữa các đối tác.
− Trao đổi thứ hai: Sử dụng trao đổi Diffie-Hellman để tạo khóa bí mật chia sẻ, trao đổi các
số ngẫu nhiên để khẳng định nhận dạng của mỗi đối tác. Khóa bí mật chia sẻ được sử dụng
để tạo ra tất cả các khóa bí mật và xác thực khác.
− Trao đổi thứ ba: xác minh nhận dạng các bên (xác thực đối tác). Kết quả chính của chế độ
chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối tác.

2.4.4.6 Các chế độ hoạt động

Sender Receiver
Securit y Gat eway Securit y Gat eway
Tunnel mode
Transport mode
Hình 2.23: Chế độ Tunnel mode và Transport mode

 Transports mode :
Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ với máy khác mà
không có sự can thiệp nào của các gateway. Chỉ những dữ liệu chúng ta giao tiếp các gói
tin được mã hoá hoặc xác thực. Trong quá trình Routing, IP header đều không bị chỉnh sữa
hay mã hoá. Tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể chỉnh
sửa (ví dụ như port number). Transport mode sử dụng trong tình huống giao tiếp host -to -
host.
Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport mode,
phần IPsec header được chèn vào giữa phần IP header và phần header của giao thức tầng
trên
Transport mode thiếu mất quá trình xử lý phần đầu, do đó nó nhanh hơn. Tuy nhiên, nó
không hiệu quả trong trường hợp ESP có khả năng không xác nhận mà cũng không mã hóa
phần đầu IP.
Dữ liệu Layer4 Payload được mã hóa sẽ nằm trong ESP header và ESP sẽ chèn vào giữa
Layer 2 header và layer 3 header
 Tunnel mode:
Không giống Transport mode, Tunnel mode bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói dữ
liệu IP được đóng gói trong một gói dữ liệu IP khác và một IP Sec header được chèn vào
giữa phần đầu nguyên bản và phần đầu mới của IP.
Dữ liệu sẽ được mã hóa và đóng gói thành 1 IP Header mới với source và destination
IP mới.
Origina Original TC Data
l Packet IP Header P
Hình 2.24: Gói tin transport Mode và Tunnel Mode

 Nguyên tắc hoạt động của Ipsec
Hình 2.25: Hình ảnh minh họa cho việc thiết lập đường hầm
Hình 2.26: Các nguyên tắc hoạt động của Ipsec

*Giai đoạn 1: Đàm phán và tạo tunnel (đường ngầm dữ liệu):
 Hai hệ thống khi giao tiếp với nhau, trước tiên, chúng sẽ trao đổi với nhau phương thức
Authentication.
 Việc đàm phát sẽ thông qua module Internet Key Exchange (IKE). IKE là sự kết hợp
của hai giao thức: Internet Security Association and Key Management Protocol
(ISAKMP) và Oakley Key Determination Protocol.
 Nếu các phương thức khác nhau (ví dụ một bên dùng mã hóa Kerberos, một bên dùng
chuỗi text) thì việc đàm phán sẽ kết thúc không thành công. Lưu ý là khi hai hệ thống
sử dụng chuỗi nhưng có nội dung khác nhau thì cũng được coi là hai phương thức đàm
phát khác nhau. Khi đã không thành công, việc kết nối của hai hệ thống coi như kết
thúc.
 Lúc này, dùng chương trình bắt gói để theo dõi, ta chỉ có thể thấy được các gói ISAKMP
mà sẽ không thấy được các gói chứa dữ liệu AH, và ESP
 Khi việc đàm phán thành công, IKE sẽ tạo ra một tunnel để dùng cho việc trao đổi giữ
liệu giữa hai hệ thống.
*Giai đoạn 2: Trao đổi dữ liệu:
Trong giai đoạn này, hai hệ thống sẽ sử dụng “đường ngầm” đã tạo ra ở giai đoạn một
để trao đổi giữ liệu. Trong giai đoạn này, Một module nữa là IP SEC Driver nằm ngay
trong tầng Network sẽ chịu trách nhiệm mã hóa các dữ liệu được truyền đi.
 Các bước tiến hành bởi các thiết bị IPSec:
 Interesting Traffic: Các thiết bị IPSec nhận lưu lượng truy cập để bảo vệ.
 Giai đoạn 1(ISAKMP/IKE): Các thiết bị IPSec đàm phán về một chính sách an ninh IKE và
thiết lập một kênh an toàn để liên lạc.
 Giai đoạn 2 (IPSec): Các thiết bị IPSec đàm phán về một chính sách bảo mật IPSec để bảo
vệ dữ liệu.
 Data Transfer: Dữ liệu được chuyển giao một cách an toàn.
 IPSEc Tunnel Terminated: IPSec SA chấm dứt khi thời gian hoặc một khối lượng dữ liệu
nhất định đạt được.
Server
1 7 2 .1 6 .0 .4 /2 4
R1 R2
G2/0 G1/0 G1/0 G2 /0

10.0.0.1/24 23.0.0.1/30 43.0.0.2/30 1 7 2 .1 6 .0 .2 /2 4
user
Hình 2.27: Ví dụ thực tế về quá trình thực hiện IPsec VPN
 Interesting Traffic: Thiết bị IPSec nhận biết được luồng dữ liệu cần bảo vệ
Sau khi R1 được cấu hình để mã hóa và bảo vệ traffic từ mạng 10.0.0.0/24 đi đến
172.16.0.0/24, R1 sẽ chờ đợi cho traffic đến. Nếu traffic đến R1 có source là 10.0.0.0/24 và
đi đến 172.16.0.0/24 (ví dụ: một user truy cập vào server) thì R1 biết nó cần phải mã hóa
và bảo vệ traffic này trước khi gửi đi. Tuy nhiên, vì 2 router chưa thiết lập bất cứ VPN
tunnel nào, nên R1 trước hết phải tiến hành thương lượng với R2. Trong trường hợp này,
R1 là thiết bị khởi tạo VPN.
 Thiết lập IKE Phase 1: Thiết bị IPSec thương lượng các chính sách bảo mật IKE và thiết
lập một kênh bảo mật cho liên lạc giữa các IPSec Peer. Bước này sẽ bao gồm các quá trình:
 Thương lượng IKE Phase 1 Policy
 Trao đổi key
 Chứng thực VPN peer
Thương lượng IKE Phase 1 Policy: Trước tiên 2 router sẽ thương lượng IKE Phase 1
Tunnel. Quá trình này có thể được thực hiện ở Main mode hoặc Aggressive mode.
Aggressive mode đơn giản hơn và nhanh hơn chế độ Main Mode (vì số messege để trao đổi
của Aggressive mode-3messenge nhỏ hơn Main Mode-6messenge), nhưng không an toàn
bằng Main Mode nên hầu hết các VPN đều mặc định sử dụng Main mode.
Để IKE Phase 1 tunnel được thiết lập thành công thì có 5 chính sách (gọi chung là IKE
Phase 1 policy) mà 2 VPN gateway phải đồng ý với nhau.
+ Thuật toán băm: Có thể là MD5 hoặc SHA.
+ Thuật toán mã hóa: Có thể là DES, 3DES, hoặc AES với chiều dài key khác nhau (key
càng dài càng tốt).
+ Nhóm khóa Diffie-Hellman (DH): cho biết chiều dài key sẽ dùng cho quá trình trao đổi
key, group 1 dùng 768 bit, group 2 dùng 1024 bit, và group 5 dùng 1536 bit.
+ Kiểu chứng thực: Dùng để chứng thực VPN peer ở phía bên kia tunnel. Có thể sử dụng
pre-shared key (PSK) hoặc chữ ký số RSA.
+ Lifetime: Sau bao lâu thì IKE Phase 1 tunnel sẽ bị hủy bỏ. Mặc định là 1 ngày, hay 86400s.
Đây là tham số duy nhất mà không cần phải giống chính xác giữa các VPN peers. Nếu tất
cả các tham số khác giống nhau nhưng lifetime khác nhau thì VPN peers sẽ dùng lifetime
nhỏ nhất. Lifetime ngắn hơn được xem là an toàn hơn, vì kẻ tấn công sẽ không có nhiều
thời gian để tìm ra key dùng trong tunnel.
Trao đổi key: Sau khi đã đồng ý với IKE Phase 1 policy của VPN peer, 2 thiết bị sẽ tiến
hành trao đổi key bằng thuật toán DH (DH key exchange). Hai thiết bị sẽ sử dụng DH group
đã đồng ý với nhau trong quá trình thương lượng, và kết quả quá trình trao đổi key sẽ có
key giống nhau giữa các VPN peer, và key này có thể dùng cho các thuật toán đối xứng
(như AES).
Chứng thực VPN peer: Bước cuối cùng của IKE Phase 1 là chứng thực VPN peer ở phía
bên kia. Các VPN gateway sẽ chứng thực lẫn nhau bằng phương pháp mà chúng đã đồng ý
ở bước 1 (PSK hoặc chữ ký số RSA). Nếu chứng thực thành công thì IKE Phase 1 tunnel
sẽ được thiết lập giữa 2 VPN gateway. Tunnel này có tính chất 2 chiều vì các VPN peers
chỉ sử dụng một session key để mã hóa và giải mã cả inbound và outbound traffic.
 Thiết lập IKE Phase 2 tunnel
IKE Phase 1 Tunnel là Management Tunnel cho phép 2 Router có thể trao đổi trực tiếp
với nhau một cách an toàn. IKE Phase 1 Tunnel không dùng để mã hóa và bảo vệ gói tin của
user, để làm việc này thì các VPN gateway sẽ tạo ra Tunnel khác chỉ dành riêng cho việc
mã hóa các gói tin của user. Tunnel này được gọi là IKE Phase 2 Tunnel, hay IPsec Tunnel.
Với IKE Phase 1 Tunnel đã được thiết lập, IKE Phase 2 Tunnel tiến hành thương lượng
và thiết lập dựa trên những thông số của Phase 1 và toàn bộ các trao đổi và thương lượng
của IKE Phase 2 tunnel đều được thực hiện một cách an toàn vì IKE Phase 1 tunnel đã bảo
vệ các traffic này. IKE Phase 2 Tunnel được thiết lập ở Quick Mode. Các thông số mà Quick
mode thỏa thuận trong phase 2:
+ Giao thức IPSec: ESP hoặc AH
+ IPSec Mode: Tunnel - tạo 1 IP Header mới cho mỗi gói tin hoặc Transport - không tạo 1
IP Header mới cho mỗi gói tin.
+ Thuật toán băm: Có thể là MD5 hoặc SHA.
+ Thuật toán mã hóa: Có thể là DES, 3DES, hoặc AES với chiều dài key khác nhau (key
càng dài càng tốt).
+ IPSec SA lifetime: dùng để thỏa thuận lại IPSec SA sau một khoảng thời gian mặc định
hoặc được chỉ định.
+ Trao đổi khóa Diffie-Hellman
Chú ý: IKE Phase 2 policy (bao gồm mã hóa, hash) còn được gọi là transform set. Mã
hóa và hash của IKE Phase 2 dùng cho traffic của user, trong khi mã hóa và hash của IKE
Phase 1 dùng cho management traffic của VPN mà 2 router thương lượng và trao đổi trực
tiếp với nhau. Tương tự như IKE Phase 1, lifetime của IKE Phase 2 không nhất thiết phải
giống hoàn toàn giữa các VPN peers. Nếu lifetime của IKE Phase 2 khác nhau thì VPN
peers sẽ sử dụng lifetime nhỏ hơn.
 Data Tranfer: Sau khi IKE Phase 2 tunnel được thiết lập xong thì router đã có thể tiến
hành mã hóa traffic của user và gửi các traffic này đến cho VPN peer ở phía bên kia. Data
được truyền bảo mật giữa các IPSer peer dựa vào tham số IPSec và các key đã được thương
lượng ở các Phase trước.
 IPSec tunel Terminated: IPSec VPN sẽ bị ngắt kết nối khi timeout.
2.4.4.7 Ưu điểm và nhược điểm của IPsec
− Ưu điểm:
+ Lợi ích chính của IPSec là nó mã hóa trong suốt hoàn toàn đối với tất cả giao thức lớp 3
của mô hình OSI và cao hơn.
+ IPSec cung cấp:
 Xác thực lẫn nhau trước và trong quá trình trao đổi.
 Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số của gói.
IPSec có 2 chế độ: ESP (Encapsulating Security Payload) – mã hóa dựa trên một
hoặc một vài thuật toán nào đó và AH (Authentication Header) – xác thực lưu lượng
nhưng không mã hóa nó.
+ Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả ESP và AH đều
dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP. Nếu gói đã được thay đổi thì chữ kí
số sẽ không đính kèm và gói sẽ bị hủy.
+ Ngăn chặn tấn công: Cả ESP và AH dùng số tuần tự để bất cứ gói nào được capture lại
trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng số được sắp xếp theo thứ tự để chắc
chắc rằng kẻ tấn công không thể dùng lại hay gửi lại dữ liệu đã được capture để thiết lập
phiên làm việc hoặc thu thập thông tin bất hợp pháp. Dùng số tuần tự cũng để bảo vệ tấn

công công bằng cách chặn message và sau đó dùng message y hệt để truy nhập bất hợp pháp
vào tài nguyên, có thể là vài tháng sau đó.
− Nhược điểm
+ Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề
khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này
có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy
vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
+ IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu
lượng khác.
+ Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với
các trạm làm việc và máy PC năng lực yếu.
+ Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính
phủ một số quốc gia.

CHƯƠNG 3: TỔNG QUAN VỀ FIREWALL VÀ CÁC KỸ THUẬT TRÊN FIREWALL
CHƯƠNG 3: TỔNG QUAN VỀ FIREWALL VÀ CÁC KỸ THUẬT TRÊN

FIREWALL
3.1 Tổng quan về firewall:
3.1.1 Khái niệm:
− Tường lửa (Firewall) là một thuật ngữ dùng mô tả những thiết bị hay phần mềm có nhiệm
vụ lọc những thông tin đi vào hay đi ra một hệ thống mạng hay máy tính theo những quy
định đã được cài đặt trước đó để bảo vệ một mạng máy tính chống lại sự truy nhập bất hợp
pháp từ các (mạng) máy tính khác. Firewall bao gồm các cơ cấu nhằm:
+ Ngăn chặn truy nhập bất hợp pháp.
+ Cho phép truy nhập sau khi đó kiểm tra tính xác thực của thực thể yêu cầu truy nhập.
− Thông thường Firewall được đặt giữa mạng bên trong (Intranet) của một doanh nghiệp, tổ
chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin, ngăn chặn sự
truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập từ bên trong (Intranet)
tới một số địa chỉ nhất định trên Internet.
− Nhìn chung bức tường lửa có những thuộc tính sau:
+ Thông tin giao lưu được theo hai chiều.
+ Chỉ những thông tin thoả mãn nhu cầu bảo vệ cục bộ mới được đi qua.
3.1.2 Mục đích của việc tạo ra bức tường lửa
*Tại sao cần Firewall?
Nếu máy tính của chúng ta không được bảo vệ bởi tường lửa, khi kết nối Internet, tất cả
các giao thông ra vào mạng đều được cho phép, vì thế hacker, trojan, virus có thể truy cập
và lấy cắp thông tin cá nhân của chúng ta trên máy tính. Chúng có thể cài đặt các đoạn mã
để tấn công file dữ liệu trên máy tính bất cứ lúc nào. Chúng có thể sử dụng máy tính cuả
ta để tấn công một máy tính của gia đình hoặc doanh nghiệp khác kết nối Internet.
Hình 3.1: Mô hình cơ bản về việc sử dụng Firewall trong mạng

 Mục tiêu của việc sử dụng tường lửa là tạo ra những kết nối an toàn từ vùng mạng bên trong
ra bên ngoài hệ thống, cũng như đảm bảo không có những truy cập trái phép từ bên ngoài
vào những máy chủ và thiết bị bên trong hệ thống mạng
 Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet và Internet.
Cụ thể là:
+ Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
+ Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).
+ Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
+ Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
+ Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
+ Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng.

 Xác thực quyền truy cập

Firewall có thể xác thực quyền truy cập bằng nhiều cơ cấu xác thực khác nhau. Thứ
nhất, firewall có thể yêu cầu username và password của người dùng khi người dùng truy
cập (thường được biết đến như là extended authentication hoặc xauth). Sau khi firewall xác
thực xong người dùng, firewall cho phép người dùng thiết lập kết nối và sau đó không hỏi
username và password lại cho các lần truy cập sau (thời gian firewall hỏi lại username và
password phụ thuộc vào cách cấu hình của người quản trị). Thứ hai, firewall có thể xác thực
người dùng bằng certificates và public key. Thứ ba, firewall có thể dùng pre-shared keys
(PSKs) để xác thực người dùng.
 Hoạt động như một thiết bị trung gian
Khi user thực hiện kết nối trực tiếp ra bên ngoài sẽ đối mặt với vô số nguy cơ về bảo
mật như bị virus tấn công, nhiễm mã độc hại… do đó việc có một thiết bị trung gian đứng
ra thay mặt user bên trong để thực hiện kết nối ra bên ngoài là cần thiết để đảm bảo an toàn.
Firewall được cấu hình để thực hiện chức năng này và firewall được ví như một proxy trung
gian.
 Bảo vệ tài nguyên
Nhiệm vụ quan trọng nhất của một firewall là bảo vệ tài nguyên khỏi các mối đe dọa
bảo mật. Việc bảo vệ này được thực hiện bằng cách sử dụng các quy tắc kiểm soát truy cập,
kiểm tra trạng thái gói tin, dùng application proxies hoặc kết hợp tất cả để bảo vệ tài nguyên
khỏi bị truy cập bất hợp pháp hay bị lạm dụng. Tuy nhiên, firewall không phải là một giải
pháp toàn diện để bảo vệ tài nguyên của chúng ta.
 Ghi nhận và báo cáo các sự kiện
Ta có thể ghi nhận các sự kiện của firewall bằng nhiều cách nhưng hầu hết các firewall
sử dụng hai phương pháp chính là syslog và proprietaty logging format. Bằng cách sử dụng
một trong hai phương pháp này, chúng ta có thể dễ dàng báo cáo các sự kiện xẩy ra trong
hệ thống mạng.
3.2 Phân loại Firewall
3.2.1 Firewall cứng
Điển hình là các tường lửa mạng, thiết bị mở rộng này được đặt giữa máy tính hoặc
mạng và cáp hoặc modem DSL. Nhiều hãng và nhà cung cấp dịch vụ Internet (ISP) đưa ra
các thiết bị “router” trong đó cũng bao gồm các tính năng tường lửa. Tường lửa phần cứng
được sử dụng có hiệu quả trong việc bảo vệ nhiều máy tính mà vẫn có mức bảo mật cao cho
một máy tính đơn. Nếu chúng ta chỉ có một máy tính phía sau tường lửa, hoặc nếu chúng ta
chắc chắn rằng tất cả các máy tính khác trên mạng được cập nhật các bản vá miễn phí về
virus, worm và các mã nguy hiểm khác thì chúng ta không cần mở rộng sự bảo vệ của một
phần mềm tường lửa. Tường lửa phần cứng có ưu điểm trong việc phân chia các thiết bị
đang chạy trên hệ điều hành riêng, vì vậy chúng cung cấp khả năng chống lại các tấn
công.Một số loại Firewall cứng như: ASA, PIX, Fortinet, Juniper…
 Đặc điểm của Firewall cứng:
 Hoạt động ở tầng Network và tầng Transport
 Tốc độ xử lý
 Tính bảo mật cao
 Tính linh hoạt thấp
 Khả năng nâng cấp thấp.
 Không kiểm tra được nội dung gói tin
Tuy nhiên hiện nay cũng có rất nhiều những firewall cứng có thể tích hợp nhiều chức
năng. Ngoài làm chức năng tường lửa bảo mật, chúng còn kém theo các module khác như
routing, vpn

Hình 3.2: mô hình Firewall cứng

3.2.2 Firewall mềm
Một vài hệ điều hành có tường lửa kèm theo, nếu hệ điều hành của chúng ta không có
thì cũng dễ dàng kiếm được từ một số cửa hàng máy tính hay hãng phần mềm hoặc các
nhà cung cấp dịch vụ Internet.Một số Firewall mềm như ISA server, Zone Alarm, Norton,
ForFront firewall,…
 Đặc điểm:
 Hoạt động ở tầng Application
 Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.
 Có thể kiểm tra được nội dung của gói tin (thông qua các từ khóa).
Hình 3.3: Mô hình Firewall mềm.
3.2.3 Chức năng của Firewall

 Kiểm soát luồng thông tin giữa Intranet và Internet
 Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong (Intranet) và mạng
Internet. Cụ thể là:
+ Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra Internet).
+ Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet vào Intranet).
Hình 3.4: Mô tả luồng dữ liệu vào ra giữa internet và intranet

 Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
 Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
 Kiểm soát người sử dụng và việc truy nhập của người sử dụng.
 Kiểm soát nội dung thông tin thông tin lưu chuyển trên mạng
3.2.4 Những hạn chế của firewall
 Firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và
phân tích nội dung tốt hay xấu của nó.
 Firewall chỉ có thể ngăn chặn sự xâm nhập của những nguồn thông tin không mong muốn
nhưng phải xác định rõ các thông số địa chỉ
 Firewall không bảo vệ được các tấn công đi vòng qua nó. Ví dụ như thiết bị modems, tổ
chức tin cậy, dịch vụ tin cậy (SSL/SSH).

 Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack).
Khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
 Firewall không thể bảo vệ chống lại việc truyền các chương trình hoặc file nhiễm virus
3.3 Kiến trúc chung của Firewall
Hình 3.5: Kiến trúc 3 vùng cơ bản của Firewall
 Firewall chuẩn bao gồm một hay nhiều các thành phần sau đây:
 Inside network: đây là vùng nằm phía sau Firewall và là vùng mạng nội bộ bên trong có
mức bảo mật cao nhất. Bình thường, các host ở vùng này sẽ có quyền truy nhập đến tất cả
các host ở các vùng khác (Outside/ DMZ) vì thiết bị Firewall mặc định cho phép gói tin đi
từ vùng có mức bảo mật cao đến vùng có mức bảo mật thấp hơn.
 Outside network: đây là vùng nằm phía ngoài mạng nội bộ và là vùng có mức độ bảo mật
thấp nhất. Bình thường, nếu không có sự cho phép của Firewall thì các host ở vùng này sẽ
không có quyền truy cập vào vùng có mức bảo mật cao hơn như vùng inside.
 DMZ (vùng phi quân sự): nếu chúng ta có tài nguyên mạng cần công khai đến user vùng
outside network như Web Server, FTP Server…ta có thể đặt tài nguyên đó vào 1 mạng riêng
rẽ phía sau Firewall, được gọi là vùng DMZ. Firewall cho phép giới hạn truy cập đến vùng
DMZ. Vùng DMZ chỉ bao gồm Public Server, nếu bị tấn công thì chỉ có Server Public bị
ảnh hưởng và không ảnh hưởng đến vùng Inside Network.
+ DMZ là một vùng mạng trung lập giữa mạng nội bộ và mạng internet.
+ DMZ là nơi chứa các thông tin cho phép người dùng từ internet truy xuất vào và chấp
nhận các rủi ro tấn công từ internet.
+ Các dịch vụ thường được triển khai trong vùng DMZ là: Mail, Web, FTP
+ Có hai cách thiết lập vùng DMZ:
- Đặt DMZ giữa 2 firewall, một để lọc các thông tin từ internet vào và một để kiểm tra các
luồng thông tin vào mạng cục bộ.
- Sử dụng Router có nhiều cổng để đặt vùng DMZ vào một nhánh riêng tách rời với mạng
cục bộ
+ Mục đích khi thiết lập một vùng DMZ là né sự tấn công từ bên ngoài và từ trong mạng
nội bộ
 Security Level trên Firewall

Security Level được gán cho interface (hoặc vật lý hay logical sub-interfaces) và nó cơ
bản một số từ 0-100 chỉ định như thế nào tin cậy interface liên quan đến một interface khác
trên thiết bị. Mức độ bảo mật cao hơn thì interface càng đáng tin cậy hơn (và do đó các
mạng kết nối phía sau nó) được coi là, liên quan đến interface khác. Vì mỗi interface firewall
đại diện cho một mạng cụ thể (hoặc khu vực an ninh), bằng cách sử dụng mức độ bảo mật,
chúng ta có thể chỉ định mức độ tin tưởng khu vực an ninh của chúng ta. Các quy tắc chính
cho mức độ bảo mật là một interface (hoặc zone) với một mức độ bảo mật cao hơn có thể
truy cập vào một interface với một mức độ bảo mật thấp hơn. Mặt khác, một interface với
một mức độ bảo mật thấp hơn không thể truy cập vào một interface với một mức độ bảo
mật cao hơn, mà không có sự cho phép rõ ràng của một quy tắc bảo mật (Access Control
List - ACL).
Một số mức độ bảo mật điển hình:
− Security Level 0: Đây là mức độ bảo mật thấp nhất và nó được gán mặc định
interface bên ngoài của firewall. Đó là mức độ bảo mật ít tin cậy nhất và phải được
chỉ định phù hợp với mạng (interface) mà chúng ta không muốn nó có bất kỳ truy
cập vào mạng nội bộ của chúng ta. Mức độ bảo mật này thường được gán cho
interface kết nối với Internet. Điều này có nghĩa rằng tất cả các thiết bị kết nối
Internet không thể có quyền truy cập vào bất kỳ mạng phía sau firewall, trừ khi rõ
ràng cho phép một quy tắc ACL.
− Security Level 1 đến 99: Những mức độ bảo mật có thể được khu vực bảo mật vòng
ngoài (ví dụ như khu vực DMZ, khu vực quản lý,...).
− Security Level 100: Đây là mức độ bảo mật cao nhất và nó được gán mặc định
interface bên trong của tường lửa. Đây là mức độ bảo mật đáng tin cậy nhất và phải
được gán cho mạng (interface) mà chúng ta muốn áp dụng bảo vệ nhiều nhất từ các
thiết bị an ninh.Mức độ bảo mật này thường được gán cho interface kết nối mạng
nội bộ công ty đằng sau nó.
3.4 Cơ chế làm việc của firewall
3.4.1 Tường lửa lọc gói (Packet Filtering)
Tường lửa lọc gói kiểm tra luồng dữ liệu đến tại tầng vận chuyển (Transport Layer) của
mô hình OSI (Open System Interconnection). Nó phân tích các gói tin IP (IP Packet) và so
sánh chúng với những quy tắc được đặt trước trong danh sách điều khiển truy cập (Access
Control List - ACL). Nó kiểm tra những thành phần sau của gói tin:
+ Địa chỉ ip nguồn (Source IP Address).
+ Cổng nguồn (Source Port).
+ Địa chỉ ip đích (Destination IP Address).
+ Cổng đích (Destination Port).
+ Giao thức (Protocol).

Hình 3.6: Công nghệ firewall Packet – Filtering

Ngoài ra tường lửa lọc gói là đọc tất cả các thông tin trong tiêu đề của các gói dữ liệu
IP luân chuyển qua bức tường lửa, và dựa trên các thông tin này để quyết định chấp nhận
(accept) hay loại bỏ gói dữ liệu (drop).
 Chú ý:
+ Tường lửa lọc gói chỉ phân tích tiêu đề của gói IP, không phân tích nội dung gói và do đó
không có khả năng ngăn chặn truy xuất theo nội dung dữ liệu.
+ Tường lửa lọc gói hữu ích trong các trường hợp muốn ngăn chặn một hoặc một số cổng
xác định nào đó, từ chối một hoặc một số địa chỉ IP xác định hoặc một giao thức xác định
nào đó (ví dụ ICMP). Trong thực tế, các tấn công xâm nhập thường được thực hiện thông
qua các cổng khác với các cổng dịch vụ phổ biến (như SSH port 22, Telnet port 23, FTP
port 21, SNMP port 161…)
 Ưu điểm:
 Tốc độ xử lý nhanh: vì nó làm việc ở các tầng rất thấp (trong mô hình tham chiếu OSI hoặc
TCP/IP) nên thời gian xử lý gói tin rất ít.
 Hoạt động trong suốt với người sử dụng và các ứng dụng, người sử dụng chỉ không truy
nhập được vào các vùng đã bị khóa.
 Ít tốn kém vì nhiều thiết bị hoặc phần mềm an ninh thường có thêm tính năng này.
 Có khả năng ngăn chặn các tấn công từ chối dịch vụ.
 Không kiểm soát được dữ liệu từ lớp 4 trở nên: Nhiều ứng dụng mới (như ứng dụng đa
phương tiện - Multimedia Application) tạo ra nhiều kết nối trên những cổng bất kỳ mà
không xác định cổng sẽ sử dụng cho đến khi kết nối được thiết lập. ACL được cấu hình một
cách thủ công nên rất khó hỗ trợ được những ứng dụng kiểu này.
 Không hỗ trợ tính năng xác thực người dùng.
 Không ngăn chặn được các tấn công lợi dụng các điểm yếu trong giao thức TCP/IP, ví dụ
như tấn công bằng cách giả mạo địa chỉ.
 Mức an ninh thấp, thiết lập luật phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết chi
tiết về các dịch vụ Internet
3.4.2 Tường lửa lớp ứng dụng (Application – Proxy Gateway)
Hoạt động của tường lửa lớp ứng dụng tương tự như tường lửa lọc gói, tức là cũng dựa
trên việc phân tích các gói dữ liệu IP để quyết định có cho phép đi xuyên qua bức tường lửa
hay không. Điểm khác là nó hoạt động ở layer 7 trong mô hình OSI và có khả năng phân
tích cả nội dung của gói dữ liệu IP (phần Data Payload), do đó cho phép thiết lập các quy
tắc lọc gói phức tạp hơn. Ví dụ, có thể chấp nhận lưu lượng HTTP đi qua bức tường lửa,
tuy nhiên với những gói nào có chứa nội dung trùng với mẫu định trước thì chặn lại.
Do đặc tính của tường lửa lớp ứng dụng can thiệp trực tiếp vào tất cả các gói dữ liệu đi
qua nó, nên nhìn dưới góc độ truy xuất mạng, bức tường lửa lớp ứng dụng trực tiếp thực
hiện các giao dịch với mạng bên ngòai thay cho các máy tính bên trong.
Kỹ thuật này có ích trong các trường hợp cần quản lý nội dung truy cập của người sử
dụng hoặc để nhận dạng dấu hiệu của một số loại phần mềm độc (Virus, Worm, Trojan…),
ví dụ ngăn chặn người sử dụng tải các tập tin hình ảnh hoặc phim với kích thước lớn.
Hình 3.7: Tường lửa lớp ứng dụng
 Ưu điểm:
 Có khả năng lọc nội dung nên có thể đưa ra quyết định dựa trên nội dung kiểm soát được.
 Cung cấp cơ chế xác thực tốt, trong nhiều trường hợp chúng được tích hợp với cơ sở dữ liệu
người sử dụng của máy chủ, cho phép quản trị viên tận dụng được các nhóm và người sử
dụng sẵn có, giảm phiền toái về mật khẩu.
 Khả năng lọc gói chậm, hiệu năng kém. Khi mà tất cả các luồng vào và ra đều bị kiểm soát
kỹ lưỡng ở tầng ứng dụng nên sẽ chậm hơn so với tường lửa lọc gói, và có thể dẫn đến hiệu
ứng nút cổ chai đối với mạng.
 Dễ bị tấn công DdoS nếu khả năng hoạt động kém.
 Khả năng trong suốt với người dùng cuối hạn chế do loại này thường là 1 ứng dụng được
cài lên 1 hệ điều hành.
3.4.3 Tường lửa kiểm soát trạng thái (Statefull Inspection Firewall-SIF)
Tường lửa kiểm soát trạng thái là sự kết hợp giữa hiệu năng và mức độ an ninh. Nó tổng
hợp tính năng của 2 loại tường lửa trên và hoạt động từ tầng thứ 3-Network cho đến tầng
thứ 7-Application trong mô hình OSI.
Giống tường lửa lọc gói tin, hoạt động ở tầng mạng, lọc gói tin đi/đến dựa trên tham số:
địa chỉ nguồn, địa chỉ đích, cổng nguồn, cổng đích.
Tường lửa kiểm soát trạng thái bắt chước tường lửa lớp ứng dụng, đưa gói tin lên tầng
ứng dụng và kiểm tra xem nội dung dữ liệu phù hợp với các luật trong chính sách an ninh
của hệ thống.
Hình 3.8: Tường lửa kiểm soát trạng thái

Tường lửa kiểm sóat trạng thái cho phép thiết lập các quy tắc lọc gói phức tạp hơn so
với tường lửa lọc gói, tuy nhiên không mất quá nhiều thời gian cho việc phân tích nội dung
của tất cả các gói dữ liệu như trường hợp tường lửa lớp ứng dụng. Tường lửa kiểm soát
trạng thái theo dõi trạng thái của tất cả các kết nối đi qua nó và các gói dữ liệu liên quan
đến từng kết nối. Theo đó, chỉ các các gói dữ liệu thuộc về các kết nối hợp lệ mới được chấp
nhận chuyển tiếp qua tường lửa, các gói khác đều bị loại bỏ tại đây.
 Ưu điểm:
 Hoạt động độc lập và trong suất với người dùng, ít ảnh hưởng đến hiệu năng của mạng.
 Bảo mật hơn, kiểm soát được các giao thức ở tầng ứng dụng.
 Khả năng ghi nhật ký (loging) tốt hơn so với công nghệ lọc gói tin.
 Thiết lập các quy tắc bảo mật phức tạp hơn so với tường lửa lọc gói, danh sách các quy tắc
càng dài thì dẫn đến giảm hiệu năng của mạng.
3.5 Các kỹ thuật trên Firewall
3.5.1 Acess Control List (ACL)
Đây là một trong những công cụ để quản trị và điều khiển truy cập. Cisco ASA có khả
năng lọc gói và xác minh tính hợp pháp và đúng đắn của các gói tin đến Interface của nó
bằng cách sử dụng bảng trạng thái và kết hợp với các chính sách truy cập cấu hình(ACL).
Hình 3.9: Sơ đồ điều khiển truy cập mạng bằng ACL

ASA sẽ duy trì bảng trạng thái để xác minh các chính sách bảo mật được áp dụng cho
các gói. Nếu các gói tin đến ASA không phù hợp với bảng trạng thái sẽ bị loại bỏ. Bảng
trạng thái đóng vai trò như một bộ nhớ ngắn hạn cho các thiết bị kết nối đang hoạt động, nó
còn mô tả môi trường của thiết bị, lưu lượng truy cập của thiết bị. Cisco ASA theo dõi các
thuộc tính kết nối khác nhau tùy thuộc vào các giao thức. TCP và UDP được theo dõi theo
mặc định, nhưng ICMP và ESP chỉ theo dõi khi được cấu hình.
Mỗi phát biểu cho phép hoặc từ chối trong ACL được gọi là một Access Control Entry
(ACE). Những ACE này có thể phân loại những gói tin bằng cách kiểm tra những header
từ lớp 2 đến lớp 4 để được một nhóm những tham số.
+ Thông tin header lớp 2.
+ Thông tin giao thức lớp 3 như là ICMP, TCP, hoặc UDP (Ping, TELNET, SSH, FTP…).
+ Thông tin header lớp 3 như là địa chỉ IP nguồn và đích.
+ Thông tin lớp 4 như là port nguồn và port đích TCP hoặc UDP.
Sau khi một ACL đã được cấu hình thích hợp, chúng ta có thể áp dụng nó trên một
Interface để lọc lưu lượng.
Thiết bị bảo mật ASA có thể lọc những gói tin trong cả chiều inbound và outbound trên
một Interface. Khi một inbound ACL được áp dụng đối với một Interface, thiết bị bảo mật
phân tích những gói tin dựa vào những ACE sau khi nhận chúng. Nếu một gói tin được cho
phép bởi ACL, Firewall tiếp tục xử lý gói tin và cuối cùng đưa gói tin ra Interface đi ra
ngoài. Nếu một gói tin bị từ chối bởi ACL, thiết bị bảo mật loại bỏ gói tin và tạo ra một
thông báo syslog cho biết một sự kiện xảy ra.
 Những loại ACL thông dụng được cấu hình trên ASA

+ Standard ACLs: Standard ACLs được sử dụng để nhận ra những gói tin dựa trên những
địa chỉ ip đích của chúng. Tuy nhiên chúng không thể được áp dụng đối với một Interface
để lọc lưu lượng.
+ Extended ACLs: có thể phân loại những gói tin dựa trên những thuộc tính: những địa chỉ
ip nguồn và ip đích, những giao thức lớp 3, những cổng nguồn và cổng đích TCP hoặc UDP,
những loại ICMP khác nhau đối với những gói tin ICMP (như telnet, SSH…). Một extended
ACL có thể được dùng để Interface lọc gói tin, phân loại QOS gói tin, nhận dạng gói tin đối
với mã hoá nat và vpn, và ipv6 ACLs
 Cấu hình:
+ Bước 1: Tạo access control list
+ Bước 2: Gán access control list vào Interface
 Tạo ACL:
access-list id [line line-num][extended] {deny | permit}
protocol source_addr source_mask [operator port [port] destination_addr
destination_mask [operator port [port]
 Gán ACL vào Interface
access-group access-list {in | out} Interface Interface_name
3.5.2 NAT
Là hình thức chuyển đổi địa chỉ IP nguồn (Ip Privite) của các lưu lượng lưu thông trên
mạng nội bộ thành địa chỉ IP public trên Internet với các mục đích khác nhau như giảm sự
cạn kiệt về tài nguyên IPv4, che giấu địa chỉ IP trong LAN, giúp quản trị mạng lọc các gói
tin từ một địa chỉ IP và cho phép hay cấm truy cập đến 1 port cụ thể.
NAT cũng có thể coi như một Firewall cơ bản. Để thực hiện được công việc đó, NAT
duy trì một bảng thông tin về mỗi gói tin được gửi qua. Khi một PC trên mạng kết nối đến
1 website trên internet, header của địa chỉ ip nguồn được thay đổi và thay thế bằng địa chỉ
IP public mà đã được cấu hình sẵn trên NAT server, sau khi có gói tin trở về NAT dựa vào
bảng record mà nó đã lưu về các gói tin, thay đổi địa chỉ IP đích thành địa chỉ của PC trong
mạng và chuyển tiếp đi. Thông qua cơ chế đó, người quản trị mạng có khả năng lọc các gói
tin được gửi đến hay gửi từ một địa chỉ IP và cho phép hay cấm truy cập đến một port cụ
thể.
 Các kỹ thuật NAT:
 NAT tĩnh
+ Là hình thức ánh xạ một địa chỉ inside local thành một địa chỉ outside local. Vì vậy kỹ
thuật này không nhằm tiết kiệm địa chỉ IP mà chỉ có mục đích ánh xạ một IP trong LAN ra
một IP Public để ẩn IP nguồn trước khi đi ra Internet làm giảm nguy cơ bị tấn công trên
mạng.
+ NAT tĩnh có nhược điểm là nếu trong LAN có bao nhiêu IP muốn đi ra Internet thì ta phải
có từng đó IP Public để ánh xạ. Do vậy phương án NAT tĩnh chỉ được dùng với các máy
chủ thuộc vùng DMZ với nhiệm vụ Public các Server này lên Internet.
 NAT động
+ NAT động (Dynamic NAT) là một giải pháp tiết kiệm IP Public thay cho NAT tĩnh. Thay
vì ánh xạ từng IP cố định trong LAN ra từng IP Public cố định. LAN động cho phép NAT
cả dải IP trong LAN ra một dải IP Public cố định ra bên ngoài.
+ Những người bên ngoài không thế tìm được IP của một host chỉ định trong LAN vì tại
thời điểm tiếp theo host này có thể nhận một IP public trong pool hoàn toàn khác (vì NAT
động sẽ gán ngẫu nhiên một IP trong list pool được cấu hình sẵn).
+ Ví dụ: hệ thống LAN trong công ty có 100 IP nội bộ, nếu muốn 100 IP này truy cập
Internet thì theo phương án NAT tĩnh công ty sẽ phải thuê từ ISP 100 IP Public. Điều này
quá tốn kém, giải pháp NAT động cho phép chỉ cần thuê từ ISP 10 ip public nếu tại cùng
một thời điểm chỉ có 10 IP trong LAN truy cập Internet. Tuy nhiên giải pháp NAT động

vẫn có hạn chế vì nếu tại một thời điểm công ty cần 20 IP trong LAN truy cập Internet thì
10 IP truy cập sau sẽ phải đợi đến khi nào có IP rỗi (các IP trước không chiếm dụng IP
Public nữa) thì mới có thể truy cập internet được. Chính vì thế giải pháp NAT động ít khi
được sử dụng.
 PAT (Port-Address Translation)
Còn được gọi là NAT-port, cho phép chúng ta chuyển đổi nhiều địa chỉ cục bộ thành
một địa chỉ toàn cục, với việc kết hợp giữa địa chỉ IP và Port cho phép sự định danh sự khác
nhau khi nhiều địa chỉ cục bộ được ánh xạ với một địa chỉ toàn cục có thể là địa chỉ trên
cổng hoặc một địa chỉ đại diện, làm tăng khả năng bảo mật. Thiết bị bảo mật sẽ tạo sẽ bảng
translation dựa vào thông tin layer 4 trong header (thông tin về port) để phân biệt các host
sử dụng chung 1 địa chỉ Global IP.
3.6 Sơ lượt đôi nét về Firewall Cisco ASA
3.6.1 Dòng sản phẩm ASA Cisco Firewall
Hình 3.10: Các dòng sản phẩm của ASA

Feature Cisco asa Cisco asa Cisco asa Cisco asa Cisco
5505 5510 5520 5540 asa 5550
Users/Nodes 10, 50, or Unlimited Unlimited Unlimited Unlimite
unlimited d
Firewall Up to 150 Up to 300 Up to 450 Up to 650 Up to 1.2
throughput Mbps Mbps Mbps Mbps Gbps
Maximum firewall Up to 150 • Up to 150 • Up to • Up to Not
and IPS Mbps with Mbps with 225 Mbps 500 Mbps available
throughput AIP-SSC-5 AIP-SSM-10 with AIP- with AIP-
• Up to 300 SSM-10 SSM-20
Mbps with • Up to • Up to
AIP-SSM-20 375 Mbps 650 Mbps
with AIP- with AIP-
SSM-20 SSM-40
• Up to
450 Mbps
with AIP-
SSM-40

3DES/AES VPN Up to 100 Up to 170 Up to 225 Up to 325 Up to

throughput Mbps Mbps Mbps Mbps 425
Mbps
IPSec VPN Peers 10; 25 250 750 5000 5000
Premium 2/25 2/250 2/750 2/2500 2/5000
AnyConnect VPN
Peers*(Included/Ma
ximum)
New 10,000; 50,000; 280,000 400,000 650,000
Connections/Secon 25,000 130,000*
d
Integrated 8-port Fast 5 Fast 4 Gigabit 4 Gigabit 8 Gigabit
Network Ethernet Ethernet Ethernet, Ethernet, Ethernet,
Ports switch ports; 2 1 Fast 1 Fast 4 SFP
(including 2 Gigabit Ethernet Ethernet Fiber,
PoE ports) Ethernet + 3 1 Fast
Fast Ethernet Ethernet
ports*
Virtual Interfaces 3 (no trunking 50/100 150 200 400
(VLANs) support)/20
(with trunking
support)*
Bảng 3.1: So sánh các tính năng nổi bật của các dòng ASA thế hệ mới
3.6.2 Giới thiệu dòng sản phẩm Firewall Cisco ASA 5520
Hình 3.11: Firewall cisco ASA 5520
Bảng 3.2: Giá Firewall asa 5520

Bảng 3.3: Các tính năng trên ASA 5520

*Chú thích:
 1Beginning with Cisco ASA Software v7.1, SSL VPN (Web VPN) capability requires a
license. Systems include 2 SSL VPN users by default for evaluation and remote
management purposes
 2Beginning with Cisco ASA Software v7.2.3, the ASA 5510 Security Plus license enables
2 10/100/1000 interfaces and 3 10/100 interfaces
 3Licensed features
 4A/S = Active/Standby; A/A = Active/Active
 53 (2 regular zones and 1 restricted zone that can only communicate with 1 other zone)
6
Supported in a future ASA software release
Đặt tính thiết kế của dòng sản phẩm Firewall Cisco ASA 5520, 5510, 5540 là giống nhau
chỉ khác nhau về các thông số trên từng tính năng và khả năng hỗ trợ.
Hình 3.12: Mặt trước Firewall Cisco ASA 5510, 5520, 5540
 Đèn Power chỉ trạng thái nguồn điện
 Đèn Status chỉ trạng thái hoạt động của máy

 Đèn Active chỉ trang thái các hoạt động được cấu hình
 Đèn Flash chỉ trạng thái hoạt động của bộ nhớ Flash
 Đèn VPN để chỉ trang thái kết nối VPN
Hình 3.13: Port trên sản phẩm Firewall Cisco ASA 5520
 Power supply: Nơi cắm nguồn
 Console port: Cổng cắm dây console
 AUX port: Cổng truy cập bằng capble AUX
 Compact Flash: Khe gắn thẻ nhớ Flash
 10/100 out-of-band management port: cổng kết nối quản lý thiết bị
 Port 10/100/1000 Gigabit: Kết nối vào hệ thống cho tốc độ lên tới 1Gbps
 USB 2.0 port: Cổng giao tiếp USb

CHƯƠNG 4: TRIỂN KHAI VPN TRÊN CISCO ASA 5520

4.1 Mô hình giả lập ASA trên GNS3 để thực hiện kết nối VPN
VPN Site - to - Site
1.1.1.0/30
2.2.2.0/30
10.10.10.0/24 I SP1
Outside1
DMZ
Outside2 Gateway
3.3.3.0/30
Switch1
I nside
Web Server
192.168.3.0/24
I SP2
192.168.4.0/24
VPN Client-to Site
192.168.1.0/24
Host3
Host1 Host2 VPN-Client
Hình 4.1: Mô hình triển khai thiết lập kết nối VPN trên ASA
Hình 4.2: Mô hình logic thiết lập kết nối VPN được giả lập bằng GNS3
4.2 Chuẩn bị:
 Phần mềm GNS3 version 0.8.6 phiên bản này được xem là ổn định nhất, không bị lỗi port
khi dùng một thời gian.
 IOS ASA version 8.4 và Router 3725
 Phần mềm tạo máy ảo VMware Workstation

 3 máy ảo chạy hệ điều hành windows

 1 máy chạy Windows Server 2008R2
 Phần mềm hổ trợ cấu hình ASA trên giao diện web ASDM-647
4.3 Giả định vấn đề
 Đặt địa chỉ IP và phân vùng cho ASA và các Router khác
 Tiến hành định tuyến cơ bản cho sơ đồ mạng trên (ở đây em dùng giao thức định tuyến
RIPv2) để bước đầu xác định được đường đi của route trước khi thiết lập kết nối VPN để
kiểm tra sự khác biệt giữa trước và sau khi thiết lập kết nối VPN.
 Cấu hình VPN Site – To – Site trên Firewall ASA và Router. So sánh sự khác biệt về cấu
hình giữa 2 thiết bị khác nhau cùng tạo ra một kết nối chung.
 Cấu hình VPN Client – to – Site kết nối tới mạng Inside bằng giao diện WEB thông qua
phần mềm ASDM. Như vậy, tạo nên sự đa dạng về mặt cấu hình. Từ đó có thể so sánh và
rút ra được cách thức cấu hình nào tối ưu và trực quan nhất. Với việc cài đặt phần mềm
Adaptive Security Device Manager (ASDM) cung cấp giao diện cho người quản trị. Đơn
giản hóa việc cấu hình một số tính năng thay vì phải dùng giap diện dòng lệnh hơi phức tạp
Tuy nhiên hạn chế là việc cấu hình, giám sát và quản lý chỉ trên một thiết bị, hơi thiếu tính
chuyên nghiệp. Không mềm dẻo trong việc cấu hình và kiểm soát lỗi.
 Thiết lập Web – Server trong vùng DMZ, tạo chính sách để các user thực hiện VPN có thể
truy cập được Web và mạng nội bộ cũng có thể truy cập
4.4 Giải quyết vấn đề
Theo sơ đồ trên, hệ thống mạng gồm 3 vùng chính được sắp xếp theo độ bảo mật giảm
dần:
Vùng mạng Lớp địa chỉ IP Security Mô tả cụ thể

level
Mạng bên trong 192.168.4.0/24 100 Mạng nội bộ tin cậy. Mức
(Inside Network) bảo mật cao nhất
Vùng Phi Quân Sự 10.10.10.0/24 50 Đặt các Server quảng bá ra
(DMZ – Internet (Web Server) Mức
Demilitarized Zone) độ bảo mật xếp sau Inside
Network
Mạng bên ngoài Outside1: 192.168.3.0/24 0 Mạng không tin cậy. Mức
(Outside Network) Outside2: 192.168.1.0/24 độ bảo mật thấp nhất
Bảng 4.1: Ba phân vùng chính trên ASA
Việc kiểm tra các gói tin ra vào hệ thống mạng là vô cùng quan trọng, đóng vai trò quyết định
trong việc phát hiện và ngăn chặn các cuộc tấn công vào hệ thống. Do đó để tăng cường bảo
mật an toàn cho hệ thống mạng chúng ta cần xây dựng các quy định kiểm tra, bao gồm:
Vùng mạng Hành động Giao thức Miêu tả
Mạng nội bộ Allow HTTP Cho phép truy cập Web
(Inside Network) Server, File Server…
Allow HTTP Cho phép truy cập Web
Server trong vùng DMZ
Mạng bên ngoài Allow VPN Cho phép VPN từ vùng mạng
(Outside Network) không tin cậy (0) vào vùng
mạng tin cậy (100)
Deny ICMP Cấm Ping (ICMP) trên tất cả
các cổng giao tiếp ASA
Bảng 4.2: Phân quyền cho từng phân vùng

Parameters Head Office Branch

Key distribution method Manual or ISAKMP IKEv1 ISAKMP
Encryption algorithm DES, 3DES or AES 3DES 3DES
Hash algorithm MD5 or SHA-1 MD5 MD5
Authetication method Pre-shared keys or RSA Pre-share Pre-Share
Key Exchange DH Group 1,2,5,7 Group 2 Group 2
IKE SA Lifetime 86400seconds or less 86400 86400
ISAKMP Key Cisco123 Cisco123
Bảng 4.3: Các tham số được sử dụng ở Phase1
Parameters Head Office Branch
Transform Set ESP-AES-256-SHA ESP-AES-256-SHA
Peer IP address 2.2.2.1(outside1) 3.3.3.1 1.1.1.1 (cho kết nối L2L)
(outside2)
Network to be encrypted 192.168.4.0/24 192.168.3.0/24
Crypt map name TO_BRANCH TO_CENTRAL
SA-Establishment Ipsec – IKEv1 Ipsec – ISAKMP
Bảng 4.4: Các tham số được sử dụng ở Phase 2
Bước 1: Đặt địa chỉ Ip cho từng phân vùng trên ASA
ASA (config) # interface g0
ASA (config-if) # ip add 1.1.1.1 255.255.255.252
ASA (config-if) #no shut
ASA (config-if) #security level 0
ASA (config-if) #nameif outside1

ASA (config-if) #nameif outside2

ASA (config-if) #nameif inside

ASA (config-if) #nameif dmz
Tiến hành định tuyến cho hệ thống mạng:

ASA (config) # route outside1 0 0 1.1.1.2 5
ASA (config) # route outside2 0 0 3.3.3.2 10

Lưu ý: Khác với Router Cisco, Khi trỏ default route đến nhiều Router khác nhau, nhất định
cần phải cấp cho nó chỉ số AD (Administration distance) chỉ số này càng nhỏ thì độ ưu tiên
càng cao. Dùng trong trường hợp đường backup.
ASA (config-router) # network 1.1.1.0

ASA (config-router) # network 3.3.3.0
ASA (config-router) # version 2
ASA (config-router) # default-information originate // quảng bá tuyến default route vào
những con chạy Ripv2 bên trong
ASA (config) # int g2
ASA (config-if) # rip authentication mode md5 // thực hiện quá trình xác thực trong RIP
ASA (config-if) # rip authentication key admin key_id 10
Sử dụng định tuyến RIP đối với những router còn lại là một điều dễ dàng. Sau khi định tuyến
xong ta thu được kết quả như sau:
Hình 4.3: Ping thành công tới địa chỉ 1.1.1.1
Hình 4.4: Ping tới địa chỉ mạng nội bộ nhưng không thành công
Như trên hình thì ta chỉ ping được tới địa chỉ ping 1.1.1.1. Khi dùng lênh Traceroute ta được
đường đi như trên, để ý đường đi này để so sánh với đường đi sau khi thiết lập kết nối VPN để
đưa ra nhận xét.
Việc truy nhập vào mạng nội bộ cần phải viết thêm chính sách trên ASA (Chính sách được viết
sẽ trình bày ở phần sau).
 Thiết lập kết nối VPN Site –to – Site giữa ASA và Router Gateway
Chúng ta sẽ sử dụng các thông tin sau cho VPN tunnel:
o IKE Phase 1 policies
+ Encryption: 3DES
+ Hash: MD5
+ Authentication: pre-shared-key
+ DH group: 2
+ Pre-shared-key: cisco123
+ Lifetime: 86400s

o IKE Phase 2 policies

+ Encryption: AES 256
+ Hash: SHA1
+ PFS: Group5
+ Lifetime: 86400s
o Địa chỉ IP public của ASA1 là 1.1.1.1 (cổng outside1), địa chỉ IP public của Router là
2.2.2.1
o Hai network sẽ được bảo vệ bởi VPN tunnel là 192.168.4.0/24 và 192.168.3.0/24.
 Trước tiên ta sẽ bật IKE trên interface outside1 và cấu hình IKE Phase 1 policies.
ASA1(config)# crypto ikev1 enable outside1
ASA1(config)# crypto ikev1 policy 2
ASA1(config-ikev1-policy)# authentication pre-share
ASA1(config-ikev1-policy)# encryption 3des
ASA1(config-ikev1-policy)# hash md5
ASA1(config-ikev1-policy)# group 2
ASA1(config-ikev1-policy)# lifetime 86400
 Tiếp theo ta sẽ cấu hình pre-shared-key để chứng thực VPN peer ở Phase 1:
ASA1 (config) # tunnel-group 2.2.2.1 type ipsec-l2l
ASA1 (config) # tunnel-group 2.2.2.1 ipsec-attributes
ASA1 (config-tunnel-ipsec) # ikev1 pre-shared-key cisco123
 Bước kế tiếp ta sẽ cấu hình crypto ACL (ACL quy định traffic nào sẽ được bảo vệ bởi
VPN tunnel) và transform set. Crypto ACL và transform set sau đó sẽ được tham chiếu
đến trong crypto map:
ASA1(config)# object network INSIDE_NETWORK

ASA1(config-network-object)# subnet 192.168.4.0 255.255.255.0
ASA1(config)# object network REMOTE_NETWORK
ASA1(config-network-object)# subnet 192.168.3.0 255.255.255.0
ASA1(config)# access-list VPN_TRAFFIC extended permit ip object INSIDE_NETWORK
object REMOTE_NETWORK
ASA1 (config)# crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-
hmac
 Tiếp theo ta sẽ cấu hình crypto map để tham chiếu đến crypto ACL và transform set, đồng
thời để set địa chỉ IP của VPN peer:
ASA1(config)# crypto map TO_BRANCH 1 match address VPN_TRAFFIC

ASA1(config)# crypto map TO_BRANCH 1 set pfs group5
ASA1(config)# crypto map TO_BRANCH 1 set peer 2.2.2.1
ASA1(config)# crypto map TO_BRANCH 1 set ikev1 transform-set ESP-AES-256-SHA
ASA1(config)# crypto map TO_BRANCH 1 set security-association lifetime seconds 1800
 Bước cuối cùng, ta sẽ áp crypto map đã cấu hình vào interface outside1. Ta phải đảm
bảo ASA1 có route đến mạng 192.168.3.0/24 trỏ ra interface outside1 thì crypto map mới
được kích hoạt, và khi đó traffic mới được mã hóa và bảo vệ bởi VPN tunnel:
ASA1 (config) # crypto map TO_BRANCH interface outside1

 Đứng trên Router cấu hình VPN
R2(config)# crypto isakmp enable

R2(config)# crypto isakmp policy 11
R2(config-isakmp)# encryption 3des
R2(config-isakmp)# hash md5
R2(config-isakmp)# authentication pre-share
R2(config-isakmp)# group 2
R2(config-isakmp)# lifetime 86400
R2(config)# crypto isakmp key cisco123 address 1.1.1.1
R2(config)# ip access-list extended VPN_TRAFFIC
R2(config-ext-nacl)# permit ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
R2(config)# ip access-list extended NAT_TRAFFIC
// Không NAT những traffic sẽ đi qua VPN tunnel
R2 (config-ext-nacl) # deny ip 192.168.3.0 0.0.0.255 192.168.4.0 0.0.0.255
// Những traffic còn lại (truy cập Internet) sẽ được NAT
R2 (config-ext-nacl) # permit ip 192.168.3.0 0.0.0.255 any
R2(config)# crypto ipsec transform-set ESP-AES-256-SHA esp-aes 256 esp-sha-hmac
R2(config)# crypto map TO_CENTRAL 1 ipsec-isakmp
R2(config-crypto-map)# set peer 1.1.1.1
R2(config-crypto-map)# set security-association lifetime seconds 1800
R2(config-crypto-map)# set transform-set ESP-AES-256-SHA
R2(config-crypto-map)# set pfs group5
R2(config-crypto-map)# match address VPN_TRAFFIC
R2(config)# interface f0/0
R2(config-if)# crypto map TO_CENTRAL
Hình 4.5: Ping thành công tới địa chỉ 192.168.3.2 sau khi thiết lập kết nối VPN
Hình 4.6: Ping 192.168.4.2 và tracert để tìm đường đi tới đích

Xem thông tin tunnel của Phase 1 bằng lệnh show crypto ikev1 sa detail
Hình 4.7: Thông tin từ “show crypto ikev1 sa detail”

Xem thông tin tunnel của Phase 2 bằng lệnh show crypto ipsec sa detail
Hình 4.8a: Thông tin từ “show crypto ipsec sa detail”
Hình 4.8b: Thông tin từ “show crypto ipsec sa detail”(tiếp theo)

Xem thông tin tóm tắt tunnel của cả Phase 1 và Phase 2 bằng lệnh show vpn-sessiondb l2l
Hình 4.9: Kết quả thu được từ lệnh “Show vpn-sessiomdb l2l”
Các lệnh kiểm tra trên router: show crypto isakmp sa detail để xem thông tin về tunnel của
Phase 1, và show crypto ipsec sa detail để xem thông tin về tunnel của Phase 2 (IPsec
tunnel).
Hình 4.10: Kết quả thu được từ lệnh “show crypto isakmp sa detail”

Hình 4.11a: Kết quả thu được từ lệnh “show crypto ipsec sa detail” trên gateway
Hình 4.11b: Kết quả thu được từ lệnh “show crypto ipsec sa detail” trên gateway (tiếp theo)

 Dùng Wireshark để bắt gói tin
Hình 4.12: Kết quả thu được từ việc dùng wireshark
Hình 4.13a: Tiến hành phân tích một gói tin trong wireshark

Hình 4.13b: Tiến hành phân tích một gói tin trong wireshark (tiếp theo)
 Pha này sử dụng một trong 2 mode để thiết lập SA: Main mode và Aggressive mode.
 Sercurity Association (SA): SA là một kết nối giữa hai đồng nghiệp IPSec. Mỗi ngang hàng
IPSec duy trì một cơ sở dữ liệu SA, trong bộ nhớ của nó có chứa các thông số SA. SA là
duy nhất xác định bởi địa chỉ peer IPSec, giao thức bảo mật, và chỉ số tham số bảo mật
(SPI).
 Các thông số bảo mật bắt buộc phải thỏa thuận trong phase 1 này là:
+ Thuật toán mã hóa: DES, 3DES, AES
+ Thuật toán hash: MD5, SHA
+ Phương pháp chứng thực: Preshare-key, RSA
+ Nhóm khóa Diffie-Hellman (version của Diffie-Hellman)
 Main mode sử dụng 6 message để trao đổi thỏa thuận các thông số với nhau:
+ 2 message đầu dùng để thỏa thuận các thông số của chính sách bảo mật
+ 2 message tiếp theo trao đổi khóa Diffie-Hellman
+ 2 message cuối cùng thực hiện chứng thực giữa các thiết bị
 Aggressive mode cũng giống như main mode nhưng chỉ sử dụng 3 message
+ Message đầu tiên gồm các thông số của chính sách bảo mật, khóa Diffie-Hellman
+ Message thứ 2 sẽ phản hồi lại thông số của chính sách bảo mật được chấp nhận, khóa
được chấp nhận và chứng thực bên nhận
+ Message cuối cùng sẽ chứng thực bên vửa gửi.
Vì vậy: Aggressive mode nhanh hơn main mode
− Quick mode:
Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuận SA cho các dịch vụ bảo
mật IPSec. Ngoài ra, Quick mode cũng có thể phát sinh khóa chính mới. Nếu chính sách
của Perfect Forward Secrecy (PFS) được thỏa thuận trong giai đoạn I, một sự thay đổi hoàn
toàn Diffie-Hellman key được khởi tạo. Mặt khác, khóa mới được phát sinh bằng các giá trị
băm.
4.5 Cấu hình IPSEC-VPN client-to-site trên ASA

Cấu hình VPN Client-to-Site bằng giao diện web:

 Cách thức để tạo ra giao diện Web
 Bước 1: Đặt địa chỉ IP để đảm bảo user nội ping và interface ASA ping thấy nhau
 Bước 2: Trên User mở phần mêm TFTP và làm như hình:
Hình 4.14 Lưu đường dẫn và ip máy cài đặt ASDM trên tftp
 Thực hiện lệnh:
Hình 4.15: Tiến hành đưa ASDM vào ASA

 Click chọn “ Run ASDM” và nhập Username password để như hình dưới
Hình 4.16: Nhập username và pass để đăng nhập vào ASDM

Hình 4.17: Giao diện ASDM
 Các bước cấu hình VPN Client-to-Site (Vừa thực hiện bằng giao diện Web vừa chỉ ra
lệnh tương ứng)
 Bước 1: Bật IPsec VPN trên cổng sẽ tiếp nhận kết nối này. Ở đây chính là cổng outside2.
Trên ASDM, vào Configuration > Remote Access VPN > Network (Client) Access >
IPsec(IKEv1) Connection Profiles, và check vào cổng mà ta muốn bật IPsec VPN.
Hình 4.18: Chọn cổng muốn bật IPsec VPN

 Pharse1 Policies: Cấu hình chính sách IKEV1
ASA(config)# crypto ikev1 policy 10

ASA(config-ikev1-policy)# authentication pre-share
ASA(config-ikev1-policy)# encryption 3des
ASA(config-ikev1-policy)# hash md5
ASA(config-ikev1-policy)# group 2
ASA(config-ikev1-policy)# lifetime 86400
ASA(config)# crypto ikev1 enable outside2 // Enable chính sách này trên interface
outside2
ASA(config)# crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set
ikev1 transform-set ESP-AES-128-SHA ESP-AES-128-MD5 ESP-AES-192-SHA ESP-
AES-192-MD5 ESP-AES-256-SHA ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-
MD5 ESP-DES-SHA ESP-DES-MD5
ASA(config)# crypto map outside2_map 65535 ipsec-isakmp dynamic
SYSTEM_DEFAULT_CRYPTO_MAP
ASA(config)# crypto map outside2_map interface outside2
 Chú ý rằng khi tham chiếu đến dynamic crypto map thì ta nên để sequence number cao để
cho nó có độ ưu tiên kém hơn. Chỉ những entries cụ thể, như site-to-site VPN, thì ta mới
để sequence number thấp. Ngoài ra, trong thực tế ta không nên dùng những policies mặc
định của ASA, mà nên chỉ định cụ thể những policies sử dụng các thuật toán mạnh (như
AES, SHA…) để đảm bảo an toàn cho kết nối VPN.

 Bước 2: Tạo pool IP để cấp cho các client remote VPN

Group Policies, chọn Add. Giả sử ta sẽ tạo một group policy mới tên là VPNGroup. Ở
phần General, mục Banner ta có thể để tùy ý “CHUC BUOI BAO CAO TOT NGHIEP
THANH CONG”. Sau đó ta bỏ dấu check Inherit ở mục Address Pools và chọn Select. Ở
cửa sổ mới ta chọn Add và nhập các thông tin về pool địa chỉ sẽ cấp cho user khi họ kết
nối vào. Chọn OK. Tiếp theo click Assign  OK
Hình 4.19: Hợp thoại tạo Pool Ip để cấp cho Client

Tiếp theo ta mở rộng phần More Options, bỏ dấu check Inherit ở mục Tunneling Protocols
và chọn IPsec IKEv1. Sang phần Servers, ta bỏ dấu check Inherit ở mục DNS Servers và
nhập địa chỉ IP của DNS server mà ta sẽ cấp cho client
Hình 4.20a: Tạo group policy tại tab Server

Sang phần Advanced, ở phần Split Tunneling, ta lần lượt bỏ dấu check Inherit ở các mục
Policy và Network List, và chọn là Tunnel Network List Below và
USER_SPLIT_TUNNELING . Ý nghĩa của cấu hình này đó là chỉ gửi các traffic có
destination IP được permit trong ACL USER_SPLIT_TUNNELING qua VPN tunnel.
Những traffic còn lại sẽ được gửi đi trực tiếp mà không thông qua tunnel. Cuối cùng
chọn OK.
Hình 4.20b: Tạo group policy tại tab Split Tunneling

Cấu hình tương đương:
ASA(config)# access-list USER_SPLIT_TUNNELING standard permit 192.168.6.0
255.255.255.0
ASA(config)# access-list USER_SPLIT_TUNNELING standard permit 10.10.10.0
255.255.255.0
ASA(config)# ip local pool IPSec-Pool 10.0.0.2-10.0.0.20 mask 255.255.255.0
ASA(config)# group-policy VPNGroup internal
ASA(config)# group-policy VPNGroup attributes
ASA(config-group-policy)# banner value CHUC BUOI BAO CAO TOT NGHIEP
THANH CONG
ASA(config-group-policy)# dns-server value 10.10.10.2
ASA(config-group-policy)# vpn-tunnel-protocol ikev1
ASA(config-group-policy)# split-tunnel-policy tunnelspecified
ASA(config-group-policy)# split-tunnel-network-list value USER_SPLIT_TUNNELING
ASA(config-group-policy)# default-domain value PTIT.COM
ASA(config-group-policy)# address-pools value IPSec-Pool
− Bước 3: Cấu hình connection profile (tunnel group) cho kết nối của user.
IPsec(IKEv1) Connection Profiles, chọn Add. Ở phần Basic, ta nhập các thông tin như
hình dưới (có thể chọn pre-shared-key là một giá trị bất kỳ, miễn sao phải giống nhau giữa
ASA và VPN client):

Hình 4.21a: Add ipsec remote access Connection profile
Sang phần Advanced, mở rộng mục IPsec, chọn IKE Authentication và check vào ô Send
“Enter Username and Password” cho phép ngoài pre-shared-key ra thì ASA sẽ tiếp tục
chứng thực user bằng username và password.
Hình 4.21b: Add ipsec remote access Connection profile tại tab IKE authentication

Cấu hình tương ứng bằng CLI:
ASA1(config)# tunnel-group VPNGroup type remote-access

ASA1(config)# tunnel-group VPNGroup general-attributes
ASA1(config-tunnel-general)# default-group-policy VPNGroup
ASA1(config)# tunnel-group VPNGroup ipsec-attributes
ASA1(config-tunnel-ipsec)# ikev1 pre-shared-key *****
ASA1(config-tunnel-ipsec)# ikev1 radius-sdi-xauth
− Bước 4: Tạo user account trên local database của ASA để chứng thực user.
Trên ASDM, vào Configuration > Remote Access VPN > AAA/Local Users > Local
Users, chọn Add, sau đó nhập thông tin username và password của user. Ta cũng có thể
check vào ô No ASDM, SSH, Telnet or Console access nếu không muốn user được quyền
ASDM, Telnet hoặc SSH vào thiết bị.
Hình 4.22: Add user account
− Cấu hình tương ứng bằng CLI:
ASA1(config)# username dev-user1 password e2P4j5Y8vpykRKBC encrypted

ASA1(config)# username dev-user1 attributes
ASA1(config-username)# group-lock value VPNGroup
ASA1(config-username)# service-type remote-access

Hình 4.23: Client thực hiện quay VPN với Group: REMOTE-VPN và Host là IP của ASA
 Login bằng user/pass local trên ASA
Hình 4.24: Đăng nhập vào kết nối VPN
Hình 4.25: Client VPN thành công sẽ được ASA cấp 1 IP VPN

Hình 4.26: Kết quả của lệnh “show crypto ikev1 sa”
Các ví dụ ACL dưới đây sẽ cung cấp cho chúng ta một hình dung tốt hơn của lệnh cấu
hình:
ciscoasa(config)# access-list DMZ_IN extended permit ip any any
ciscoasa(config)# access-group DMZ_IN in interface DMZ
Các lệnh cấu hình trên sẽ cho tất cả các lưu lượng mạng thông qua tường lửa
ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0 255.255.255.0
192.168.6.0 255.255.255.0
ciscoasa(config)# access-list INSIDE_IN extended deny tcp 192.168.1.0 255.255.255.0 host
10.10.10.0 eq 80
ciscoasa(config)# access-list INSIDE_IN extended permit ip any any
ciscoasa(config)# access-group INSIDE_IN in interface inside
Ví dụ trên sẽ từ chối tất cả lưu lượng truy cập TCP từ 192.168.6.0/24 mạng nội bộ của
chúng ta với 3.3.3.0/24 mạng bên ngoài. Ngoài ra, nó sẽ từ chối kết nối HTTP (port80) từ nội
bộ của chúng ta mạng lưới các máy chủ bên ngoài 3.3.3.0/24.Tất cả các kết nối khác sẽ được
cho phép từ bên trong.
ciscoasa(config)# access-list OUTSIDE_IN extended permit tcp any host 10.10.10.2 eq 80
ciscoasa(config)# access-group OUTSIDE_IN in interface outside
Lệnh cấu hình ACL trên sẽ cho phép bất kỳ máy chủ trên Internet để truy cập vào máy chủ
Web Server (10.10.10.2).
Chú ý: địa chỉ 10.10.10.2 là địa chỉ công cộng toàn cầu của máy chủ web của chúng ta.
ASA(config)# access-list ACL1 extended permit/deny icmp any any echo
ASA(config)# access-list ACL1 extended permit/deny icmp any any echo-reply
ASA(config)# access-list ACL1 extended permit tcp any any eq 53 (port này của dns nhé)
ASA(config)# access-list ACL1 extended permit udp any any eq 53
ASA(config)# access-group ACL1 in interface dmz
ASA(config)#
ASA(config)# access-list ACL2 extended permit/ deny icmp any any echo
ASA(config)# access-list ACL2 extended permit/deny icmp any any echo-reply
ASA(config)# access-list ACL2 extended permit tcp any any eq 53
ASA(config)# access-list ACL2 extended permit udp any any eq 53
ASA(config)# access-list ACL2 extended permit tcp any 3.3.3.0 255.255.255.252 eq 80
ASA-1(config)# access-list ACL2 extended permit tcp any 10.10.10.0 255.255.255.0 eq 21

ASA-1(config)# access-group ACL2 in interface outside
NAT PORT
ASA-1(config)# object network INSIDE-NAT
ASA-1(config-network-object)# subnet 192.168.6.0 255.255.255.0
ASA-1(config-network-object)# nat (inside,outside2) dynamic interface
ASA-1(config)# object network DMZ-NAT

ASA-1(config-network-object)# host 10.10.10.2
ASA-1(config-network-object)# nat (dmz,outside2) static 3.3.3.254
Hình 4.27: Bắt gói tin bằng phần mềm wireshark

Hình 4.28: Phân tích một gói tin trong wireshark
Hình 4.29: Truy cập thành công từ vùng outside vào vùng dmz

Hình 4.30: Đường đi từ outside vào vùng dmz

DANH MỤC VIẾT TẮT
KẾT LUẬN
 Sau quá trình tìm hiểu và nghiên cứu, đồ án em đã đạt được các kết quả như
sau:
 Nắm vững được những kiến thức cơ bản về VPN, biết cách xây dựng một kết nối
VPN, không chỉ trên Router cisco mà còn trên Firewall một thiết bị bảo mật rất
tốt cho an ninh hạ tầng mạng
− Đã hiểu rõ được thế nào là Firewall bản chất của Firewall là như thế nào.
− Chức năng của Firewall trong việc bảo mật mạng máy tính. Tính năng của từng
vùng trên firewall và ứng dụng điều này vào hệ thống demo.
− Những thành phần chính hình thành nên một Firewall.
− Tìm hiểu được an toàn và bảo mật mạng.
− Các yêu cầu về Firewall của doanh nghiệp nói chung cũng như các doanh nghiệp
nhỏ nói riêng.
− Tìm hiểu được các chính sách bảo mật của Firewall (Firewall ASA) trên công
nghệ của Cisco.
 Tuy nhiên còn gặp một số khó khăn như sau:
− Chưa tiếp cận được thực tế để có giải pháp Firewall nào để đề ra cách triển khai
hệ thống chính xác.
− Việc triển khai và tìm hiểu chưa có nhiều điều kiện thực tế, nhiều vấn đề chỉ mới
tham khảo qua tài liệu.
 Trên cơ sở những thuận lợi và khó khăn khi thực hiện đồ án, em xin đưa ra
hướng phát triển nhằm từng bước hoàn thiện đồ án:
− Tìm hiểu thêm các kỹ thuật trong Firewall sâu hơn nữa đặc biệt là Firewall ASA.
− Mở rộng tìm hiểu các thiết bị Firewall khác chẳng hạn như fortigate, cyberoam,
paloalto, pfsense những thiết bị tầm trung, phù hợp với nhiều doanh nghiệp thay
vì dùng ASA chi phí khá đắc.
− Xây dựng một mô hình Firewall có tính thực tiễn cao, có thể triền khai và áp
dụng được ngoài thực tế. Hoặc thiết kế VPN cho phép chạy IPv6.
− Mở rộng nghiên tìm hiểu công nghệ mới có khả năng thay thế VPN trong tương
lai là “ DirectAccess” bởi những tính năng mới tối ưu hơn. Chẳng hạn như:
+ DirecAccess Client có thể nhận biết khi nào máy tính được kết nối trực tiếp với
mạng công ty, khi nào kết nối được thực hiện từ xa.
+ DirectAccess Client thực hiện xác thực thiết bị thông qua quá trình khởi động
Xác thực với server, và xác thực người dùng thông qua quá trinhg logon của user
Người dùng có thể xác thực với smart card hoặc các thiết bị sinh trắc học.
+ DirectAccess hổ trợ chạy đồng thời nhiều giao thức như IPv4, IPv6
SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N


Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt
3DES Triple DES Thuật toán mã 3DES
AAA Authentication, Authorization and Nhận thực, trao quyền và thanh toán
Accounting
ACK Acknowledge Chấp nhận
ACL Acess Control List Danh sách điều khiển truy nhập
AH Authentication Header Giao thức tiêu đề xác thực
ARP Address Resolution Protocol Giao thức phân giải địa chỉ
ASA Adaptive Security Appliance
CA Certificate Authority Thẩm quyền chứng nhận
CHAP Challenge - Handshake Giao thức nhận thực đòi hỏi bắt tay ba
Authentication Protocol bước
DDoS Distributed Denial-of-Service Từ chối dịch vụ
DES Data Encryption Standard Thuật toán mã DES
DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman
DMZ Demilitarized Zone Vùng phi quan sự
DNS Domain Name System Hệ thông tên miền
DoS Denial of Service Từ chối dịch vụ
ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin
FTP File Transfer Protocol Giao thức truyền tập tin
GRE Generic Routing Encapsulation Đóng gói định tuyến chung
HMAC Hashed-keyed Message Mã nhận thực bản tin băm
Authenticaiton Code
ICMP Internet Control Message Protocol Giao thức bản tin điều khiển Internet
ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn
IETF Internet Engineer Task Force
IKE Internet Key Exchange Giao thức trao đổi khóa
IKMP Internet Key Management Giao thức quản lí khóa qua Internet
Protocol
IP Internet Protocol Giao thức liên mạng
IPSec IP Security Protocol Giao thức an ninh Internet

ISA Internet Security and Acceleration

ISAKMP Internet Security Association and Giao thức kết hợp an ninh và quản lí khóa
Key Management Protocol qua Internet
ISP Internet Service Provider Nhà cung cấp dịch vụ Internet
IV Initial Vector Véc tơ khởi tạo
L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2
L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2
LAC L2TP Access Concentrator
LAN Local Area Network Mạng máy tính cục bộ
LNS L2TP Network Server
MAC Message Authentication Code Mã nhận thực bản tin
MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5
NAS Network Access Server Máy chủ truy nhập mạng
NAT Network Address Translation
NTP Network Time Protocol Giao thức đồng bộ thời gian mạng
OSI Open Systems Interconnection Mô hình tham chiếu kết nối các hệ thống
mở
OSPF Open Shortest Path First Giao thức định tuyến OSPF
PAP Password Authentication Protocol Giao thức nhận thực khẩu lệnh
PAT Port Address Translation Dịch địa chỉ cổng
PIX Private Internet eXchange
PKI Public Key Infrastructure Cơ sở hạn tầng khóa công cộng
PPP Point-to-Point Protocol Giao thức điểm tới điểm
PPTP Point-to-Point Tunneling Protocol Giao thức đường ngầm điểm tới điểm
RADIUS Remote Authentication Dial-in Dịch vụ nhận thực người dùng quay số từ
User Service xa
RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực
RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa công
cộng
SAD SA Database Cơ sở dữ liệu SA
SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1
SN Sequence Number Số thứ tự

SNMP Simple Network Management Giao thức quản lý thiết bị mạng

Protocol
SPI Security Parameter Index Chỉ số thông số an ninh
TCP Transmission Control Protocol Giao thức điều khiển truyền tải
UDP User Data Protocol Giao thức dữ liệu người sử dụng
VPN Virtual Private Network Mạng riêng ảo
WAN Wide Area Network Mạng diện rộng




TÀI LIỆU THAM KHẢO
TÀI LIỆU THAM KHẢO
[1] Cisco ASA 5500 Series Configuration Guide using the CLI 8.4, Cisco Systems, Inc.
Released: January 31, 2011 Updated: October 31, 2012
[2] Cisco Security Appliance Command Line Configuration Guide, Cisco Systems, Inc.
[3] CCNP Security FIREWALL 642-618 Official Cert Guide 5-2012, David Hucaby,
Dave Garneau and Anthony Sequeira
[4] Bài giảng An ninh mạng, Học viện Công Nghệ Bưu Chính Viễn Thông HCM.
[5] http://www.pcworld.com.vn/articles/cong-nghe/an-ninh-
mang/2016/07/1249200/san-bay-tan-son-nhat-va-noi-bai-bi-hack-boi-tin-tac/.html
[6] http://congnghe.nld.com.vn/an-toan-thong-tin/nhieu-camera-an-ninh-tai-viet-
nam-bi-tan-cong-ddos-20161004101948597.html

FireWall ASA

Uploaded by

Document Information

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

FireWall ASA

Uploaded by

Copyright:

Available Formats

LỜI CẢM ƠN

Sinh viên thực hiện

Lương Hồng Toàn

LỜI CẢM ƠN ............................................................................................................................ i

Hình 1.1: Cảnh báo hàng năm Cisco 2010-2013 ........................................................................ 2

Lương Hồng Toàn

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 1

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

Hình 1.1: Cảnh báo hàng năm Cisco 2010-2013

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 2

1.2 Mục tiêu an ninh mạng

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 3

1.4 Các tác nhân gây ra mất an toàn mạng

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 4

Hình 1.4: Tấn công xen giữa (Man-in-the-middle attack)

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 5

Hình 1.5: Tấn công phát lại

Hình 1.6: Các lớp bảo mật tường lửa

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 6

1.5.3 Chính sách định tuyến

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 7

CHƯƠNG 2: TỔNG QUAN VỀ VPN VÀ CÁC CÔNG NGHỆ VPN

2.1 Tổng quan về VPN

Hình 2.1: Mô hình thiết lập kết nối VPN

2.1.2 Chức năng của VPN:

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 8

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 9

2.1.5 Đường hầm và bảo mật:

Hình 2.3: Đường hầm và mã hóa

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 10

− Nối liền các chi nhánh, văn phòng di động.

Hình 2.4: Mô hình VPN client to site

2.2.2.1 Ưu điểm và Nhược điểm của VPN truy cập từ xa

Hình 2.5: Kết nối VPN theo mô hình site to site

Hình 2.6: Mô hình Site to Site intranet

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 12

Hình 2.7: Mô hình Site to Site Extranet VPN

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 13

− PPTP sử dụng PPP để thực hiện:

Hình 2.8: Gói tin PPTP

Hình 2.9: Dữ liệu đường ngầm PPTP

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 14

 Quá trình xử lí gói tin dữ liệu

− Không có điều khiển luồng cho đường hầm

L2TP VPN Tunnle

Hình 2.11: Mô hình VPN chạy giao thức L2TP

 Nguyên tắc hoạt động của L2TP

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 16

L2TP VPN Tunnle

chuyển tiếp tới LAC(3)

Chấp nhận kết nối

Bản tin khai báo và Chứng thực

Hình 2.13 Nguyên tắc hoạt động của L2TP

2.4.4 Giao thức IPsec

Hình 2.14: Mô hình OSI và IPSec nằm ở tầng Network

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 18

Hình 2.15: Các thành phần của Ipsec

2.4.4.1 Giao thức bảo mật IP (IPsec)

Hình 2.16: Cấu trúc gói tin AH

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 19

− RESERVED (16 Bits): Sử dụng trong tương lai.

Hình 2.17: Cấu trúc gói tin ESP

SVTH: LƯƠNG HỒNG TOÀN LỚP: D12CQVT01-N Trang 20

2.4.4.2 Mã hóa bản tin