Chapter 16.1 VPN và IPSEC

I. VPN
1. Khái niệm:
- Là 1 kết nối riêng trên 1 hạ tầng mạng chung
- Kỹ thuật để xây dựng đường hầm thì người ta sử dụng giao thức để xây dựng như:

• pptp
• L2tp
• Gre
• Vlan
• MPLS
• IPsec
• Vitual link của OSPF
• …

2. Các mô hình triển khai VPN
- Gồm 6 kiểu
2.1 Hub and spoke
- Ưu điểm: Việc triển khai đơn giản, nhẹ nhàng
- Nhược điểm: Con hub chịu tại nhiều , performance không tốt
2.2 Full mesh
- Ta có công thức tính số đường hầm VPN cần xây dựng khi dùng Full mesh n(n-1) / 2. Ví dụ cty có 4 chi nhánh thì cần 6 đường hầm, cty có 10 chi nhánh thì cần xây dựng 45 đường hầm VPN
- Ưu điểm: Tối ưu hóa đường truyền, tính backup cao
- Nhược điểm: Tốn công triển khai, khó quản lý, scability không tốt2.3 Patial mesh
- Dựa trên mô hình hub and spoke nhưng khác ở chỗ là người ta sẽ xem traffix từ các chi nhánh nào cần liên lạc VPN nhiều thì sẽ xây dựng riêng cho chi nhánh đó 1 đường VPN
- Ví dụ như mô hình dưới đây, traffic giữa VPN giữa R2 và R3 nhiều thì admin sẽ thực hiện xây dựng 1 đường hầm VPN giữa R2 và R3 để tang performance2.4 DMVPN(dynamic multipoint VPN)
- Xây xây dựa trên mô hình Hub and Spoke
- Sau đó người ta sẽ nhúng chức năng DMVPN này vào. DMVPN sẽ có chức năng là nếu:

• R2 và R3 có traffic VPN thì tự động R2 và R3 sẽ đàm phán và xây dựng 1 đường hầm DMVPN
• Khi cuộc nói chuyện giữa R2 và R3 kết thúc thì đường hầm này cũng tự nhiên mất đi

- Ưu điểm: Kết hợp ưu điểm giữa Hub and spoke và ưu điểm của Full mesh2.5 DMVPN dual hub
- Xây dựng dựa trên mô hình DMVPN nhưng có thêm 2 con hub để dự phòng2.6 DMVPN dual hub and dual cloud
- Xây dựng dựa trên mô hình số 5 nhưng nó tăng tính dự phòng ISP3. Remote VPN:
- Remote VPN bao gồm:
- Site-to-site
- Client-to-site:

• Cisco Easy VPN: là 1 software của Cisco dùng để quay VPN
• Web VPN: Linh động hơn, sử dụng được trên cả smart phone…

II. IPSEC
1. Khái niệm:
- IPSEC là 1 bộ công cụ nó cho phép sử dụng các chức năng

• Encryption: Mã hóa
• Integrity: Kiểm tra tính toàn vẹn
• Authentication: Chứng thực

2. Header IPSEC
- Header IPsec có 2 loại header

• AH: authentication và integrity
• ESP: Ngày xưa ESP chỉ đảm nhận vai trò encryption.

=> Nhưng hiện nay ESP đảm nhiệm cả vai trò encryption, Authentication, integrity.

Có 2 kiểu đóng header IPSEC
- Transport mode:

• Mã hóa toàn bộ data, nhưng ko mã hóa IP header
• Dùng trong mạng LAN

- Tunnel mode:

• Chèn bên ngoài gói, mã hóa toàn bộ gói tin,
• Vì IP header cũng bị mã nên Router không đọc được để định tuyến nên cần tạo ra 1 new IP header
• Dùng site-to-site để gói tin di chuyển trên internet

3. Encryption:
- Mã hóa đối xứng: Mã hóa bằng key nào thì giả mã bằng key đó sử dụng các thuật toán như: DES, 3DES, AES
- Mã hóa bất đối xứng: Gồm 2 key, mã hóa bằng key này thì mã hóa bằng key kia. Các thuật toán được sử dụng như là: RSA, SEAL

• Key private: Key này không share cho ai
• Key Public: Key này được public cho mọi người

4. Digital Signiture
- Mã hóa bằng Private key của chính nó
5. Diffie hell-man exchange
- Làm nhiệm vụ trao đổi khóa
- Gồm các group như:

• DH1(768 bit)
• DH2(1024 bit)
• DH5(1536 bit)
• DH7(163 bit)
• ...

6. Data integrity
- Thuật toàn HASH dùng mã hóa 1 chiều, đầu vào dữ liệu giống nhau thì kết quả HASH giống nhau
- HASH được dùng để kiểm tra tính toàn vẹn của dữ liệu. Có 2 loại

• MD5
• SHA: có sha1, sha256…

- VD: thường dùng trong việc kiểm tra tính toàn vẹn của email, check sum md5, sha các phần mềm …
7. Authentication
- Để chứng thực có những cách sau

• Pre-share key: 2 bên có cùng key (sử dụng diffie helleman để trao đổi key)
• RSA signatures: Hay dùng là CA(với Microsoft có sẵn trên CA, với Cisco có 1 con cứng RSA), chứng thực dựa vào 1 server CA có 2 loại:
  • CA của ISP
  • CA do minh dựng
• RSA encrypted nonces: hay là OTP (one time password)