Announcement

**phamminhtuan** · 12-12-2009, 05:25 AM

Chào bạn,

- IPSec sử dụng key đối xứng nên dễ thực hiện hơn.
- Có PKI (public key infrastructure) thế được cho IPsec. PKI dùng 1 cặp key: key private để giải mã, key public dùng để mã hóa. Dùng một CA để cấp chứng chỉ cho cả 2 phía.
+ Hoặc dùng SSL là dạng lai giữa thuật toán đối xứng và bất đối xứng PKI. Dùng một CA để cấp chứng chỉ cho 1 bên (chứng chỉ thường được cấp cho server, router. Còn đối với client thì không cần chứng chỉ)

**chickenspy** · 12-12-2009, 04:13 PM

Thanks bạn nhiều lắm.
Vậy bạn có biết giải pháp nào là tốt nhất hiện nay hay không?
Mình có đọc một bài báo nói rằng SSL hiện đang dần thay thế IPSec, vậy bạn có biết những ưu điểm chính của SSL so với IPSec là gì không?

**phamminhtuan** · 12-12-2009, 04:48 PM

Chào bạn,

SSL có thể kết hợp với HTTP tạo thành dạng HTTPs. Do dùng HTTP nên hỗ trợ hầu hết trên mọi trình duyệt mà không cần phải cài đặt nhiều.
Và router hay ASA cũng có thể hỗ trợ cho bạn dạng web VPN này, đối với router yêu cầu IOS dòng cao một chút.

**xenoxone** · 12-12-2009, 10:47 PM

Mình cũng có mấy câu hỏi mong mọi người giúp đỡ và thảo luận, hơi mắc và hơi khó hiểu.
1. VPN IPSec dạng Site-t0-Site có chạy Transport Mode mà không cần hỗ trợ bởi giao thức nào khác được không? Nếu được thì gói tin sẽ được encap như thế nào? Nếu không thì cần tích hợp với giao thức nào? Và Transport Mode theo mình biết thì hỗ trợ VPN giữa các PC, tại sao lại vậy? 2 PC thông qua mạng Internet có thể dùng Transport Mode nói chuyện với nhau ko?
2. VPN IPSec dùng Tunnel Mode cùng với GRE Tunnel nữa thì khuôn dạng gói tin này ra sao, và nó di chuyển như thế nào qua mạng công cộng? (Theo mình biết thì trường hợp này có tới 3 IP Header, 1 của gói tin gốc từ LAN và 2 được thêm vào bởi GRE và Gateway, vậy IP Header GRE đóng vai trò gì @@)
3. Trong cấu hình có câu lệnh crypto isakmp key [key].... thì key này dùng để làm gì, dùng trong cả hmac và mã hóa gói tin hay một trong hai?
4. Khi nào dùng NAT-T và khi nào không cần dùng NAT-T với VPN IPSec? (Vấn đề này hầu như xuất hiện trong module ISCW tại VnPro chỉ mang tính lý thuyết). VPN Site-to-Site làm sao LAN có thể ra Internet?
Rất cám ơn mọi người đã đọc.

**xenoxone** · 13-12-2009, 12:19 PM

Up Top ai giúp mình với :(

**homeless** · 13-12-2009, 05:55 PM

Tại sao lại sử dụng IPSec
---> Người giảng viên đó hỏi đúng.
có các giao thức nào khác có thể thay thế cho IPSec hay không?
---> Có
Nếu có thì liệu IPSec có phải giải pháp tốt nhất hay không?
-----> Không cũng đúng mà có củng đúng
Mong mọi người có thể giúp đỡ.
----> Me có thể giúp
Deadline đang tới gần
-----> không phải chuyện của me :)
--------------------
Muốn me giúp bạn, bạn nghiêm túc trả lời những câu hỏi sau
keep in mind this: tất cả những technology đều có những uu thế nhất định trong những môi trưòng nhất định.
1) Bạn dùng IPSec đê làm gì?
2) Bạn có thể xác định được những policy về IT của cty không
3) Những thiết bị trong cty
4) personel trong cty: trình độ IT
Nói túm lại là bạn phải định nghĩa đươc môi trường ( business model + policy + infrastructure) sau đó mới xét là IPSec có tác dụng gì tới môi trường đó (cần thiết? tối ưu? có lựa chọn khác? ). Còn nói khơi khơi thì bạn trả lời răng nó cũng đúnh cả.

**xenoxone** · 13-12-2009, 08:10 PM

Originally posted by homeless View Post

Tại sao lại sử dụng IPSec
---> Người giảng viên đó hỏi đúng.
có các giao thức nào khác có thể thay thế cho IPSec hay không?
---> Có
Nếu có thì liệu IPSec có phải giải pháp tốt nhất hay không?
-----> Không cũng đúng mà có củng đúng
Mong mọi người có thể giúp đỡ.
----> Me có thể giúp
Deadline đang tới gần
-----> không phải chuyện của me :)
--------------------
Muốn me giúp bạn, bạn nghiêm túc trả lời những câu hỏi sau
keep in mind this: tất cả những technology đều có những uu thế nhất định trong những môi trưòng nhất định.
1) Bạn dùng IPSec đê làm gì?
2) Bạn có thể xác định được những policy về IT của cty không
3) Những thiết bị trong cty
4) personel trong cty: trình độ IT
Nói túm lại là bạn phải định nghĩa đươc môi trường ( business model + policy + infrastructure) sau đó mới xét là IPSec có tác dụng gì tới môi trường đó (cần thiết? tối ưu? có lựa chọn khác? ). Còn nói khơi khơi thì bạn trả lời răng nó cũng đúnh cả.

Hơ bạn này nói gì vậy :( Không thấy trả lơi giúp mình :( Nếu bạn trả lời cho câu hỏi của chủ top thì người ta đã nói là đang làm đề tài mà, chắc còn đang đi học nên mới nói vậy. Làm sao trả lời được câu hỏi của bạn. Mình nghĩ câu hỏi mang tính lý thuyết nhiều hơn là liên quan đến vấn đề việc làm.

**phamminhtuan** · 14-12-2009, 02:06 AM

Originally posted by xenoxone View Post

Mình cũng có mấy câu hỏi mong mọi người giúp đỡ và thảo luận, hơi mắc và hơi khó hiểu.
1. VPN IPSec dạng Site-t0-Site có chạy Transport Mode mà không cần hỗ trợ bởi giao thức nào khác được không? Nếu được thì gói tin sẽ được encap như thế nào? Nếu không thì cần tích hợp với giao thức nào? Và Transport Mode theo mình biết thì hỗ trợ VPN giữa các PC, tại sao lại vậy? 2 PC thông qua mạng Internet có thể dùng Transport Mode nói chuyện với nhau ko?
2. VPN IPSec dùng Tunnel Mode cùng với GRE Tunnel nữa thì khuôn dạng gói tin này ra sao, và nó di chuyển như thế nào qua mạng công cộng? (Theo mình biết thì trường hợp này có tới 3 IP Header, 1 của gói tin gốc từ LAN và 2 được thêm vào bởi GRE và Gateway, vậy IP Header GRE đóng vai trò gì @@)
3. Trong cấu hình có câu lệnh crypto isakmp key [key].... thì key này dùng để làm gì, dùng trong cả hmac và mã hóa gói tin hay một trong hai?
4. Khi nào dùng NAT-T và khi nào không cần dùng NAT-T với VPN IPSec? (Vấn đề này hầu như xuất hiện trong module ISCW tại VnPro chỉ mang tính lý thuyết). VPN Site-to-Site làm sao LAN có thể ra Internet?
Rất cám ơn mọi người đã đọc.

Chào bạn,
Bạn về xem bài kĩ lại và tham khảo bài này của mình.

IPsec - Vietnamese Professional

http://vnpro.org/forum/showthread.php?p=123348#post123348

Implementing Secure Converged Wide Area Networks

Transport mode thường dùng để kiểm tra tính toàn vẹn 2 đầu IP Public của router trong dạng site-site. Transport mode chỉ là cái tên bao gồm cho nhiều bước hành động đối với gói tin, nếu không có các bước và các phương pháp xử lí gói tin thì không có cái tên Transport mode rồi.

Encap và đóng gói ra sao đã có chi tiết hết trong bài.

Thường hỗ trợ cho Host trong Lan(private) hoặc router-router (Public IP)là transport mode vì nó không đóng thêm IP mới vào gói tin.

2 máy qua Internet có thể nói chuyện với nhau được khi nó có 2 cái IP public rồi dùng transport mode để kiểm tra tính toàn vẹn và đúng người gửi.

GRE thực ra chỉ là đóng thêm 1 IP header và GRE header vào trước gói tin để giúp cho IPsec Vpn có thể sử dụng hỗ trợ định tuyến động. Lúc này bạn cứ coi nguyên gói tin IPsec tunnel hay transport là một gói data, còn GRE là IP header của gói data.
Nếu dùng transport mode thì chỉ 2 IP header. Tunnel mode thì có 3 IP header tổng cộng.

"Crypto isakmp key" là key bí mật do 2 bên chi công ty quy định với nhau, dùng cho pha 1 để hash -> kiểm tra tính toàn vẹn, chứng thực đúng người gửi cho gói tin. Dựa vào pha 1 hoàn thành mới có thể làm tiếp các pha khác.

NAT-T dùng khi thiết bị NAT thấy gói tin AH hoặc GRE không hợp lệ vì không phải layer4 sau phần IP layer.

Các thầy trong Vnpro dạy kĩ, phần lab NAT-T bạn có thể ở lại làm thêm.

**homeless** · 14-12-2009, 09:28 AM

Originally posted by xenoxone View Post

Hơ bạn này nói gì vậy :( Không thấy trả lơi giúp mình :( Nếu bạn trả lời cho câu hỏi của chủ top thì người ta đã nói là đang làm đề tài mà, chắc còn đang đi học nên mới nói vậy. Làm sao trả lời được câu hỏi của bạn. Mình nghĩ câu hỏi mang tính lý thuyết nhiều hơn là liên quan đến vấn đề việc làm.

Hihihi, em nói chắc là chưa gõ nên bác chưa hiễu. Để em nói lại lần lửa. em theo chủ nghĩa CISCO nên dùng top-down approach hay còn gọi tên khác là business driven solution. Em hiểu bác đang lam đề tài, nhưng không phải làm đề tài là nói gì cũng được đâu bác. Ví dụ bác nói là IPSec tốt, còn thầy/giang viên nói không vì không thấy cần thiết cho mô hình kinh danh của hầu hết các danh nghiệp VN và cho bạn 0 điểm, ai thiệt hại o đây ( vi1 du thoi).

Nếu bạn không xác định được môi trường để ung dụng thì đề tài IPSec là vô nghĩa.

Tôi thành thật khuyên bạn nên nghỉ nghiêm túc về môi trường ứng dụng của IPSec. trưóc khi bình luận về nó.

ví dụ như ứng dụng IPSec trong enterprise company hay cụ thể hơn IPSec trong lỉnh vực IT cua ngân hàng VN. Hay IPSec trong hạ tầng IT cho bộ giáo duc, bộ Y tế, cơ quan chính phủ, etc.

**xenoxone** · 14-12-2009, 08:01 PM

Originally posted by homeless View Post

Hihihi, em nói chắc là chưa gõ nên bác chưa hiễu. Để em nói lại lần lửa. em theo chủ nghĩa CISCO nên dùng top-down approach hay còn gọi tên khác là business driven solution. Em hiểu bác đang lam đề tài, nhưng không phải làm đề tài là nói gì cũng được đâu bác. Ví dụ bác nói là IPSec tốt, còn thầy/giang viên nói không vì không thấy cần thiết cho mô hình kinh danh của hầu hết các danh nghiệp VN và cho bạn 0 điểm, ai thiệt hại o đây ( vi1 du thoi).

Nếu bạn không xác định được môi trường để ung dụng thì đề tài IPSec là vô nghĩa.

Tôi thành thật khuyên bạn nên nghỉ nghiêm túc về môi trường ứng dụng của IPSec. trưóc khi bình luận về nó.

ví dụ như ứng dụng IPSec trong enterprise company hay cụ thể hơn IPSec trong lỉnh vực IT cua ngân hàng VN. Hay IPSec trong hạ tầng IT cho bộ giáo duc, bộ Y tế, cơ quan chính phủ, etc.

Bác này lạ nhỉ @@ Mình có hỏi mấy câu kia đâu @@ mình cũng ko fải chủ topic, mình hỏi những câu của mình phía trên (4 câu) hoàn toàn trên khía cạnh lý thuyết @@
@ Anh Tuấn: Em đã đọc bài của anh, rất hay. Em muốn hỏi thêm là site-to-site nếu dùng Tunnel mode nữa (GRE Tunnel) và kết hợp IPSec thì gói tin từ Gateway đi ra sẽ có 3 IP Header, đầu tiên của Gateway, sau đó của Tunnel và cuối cùng là LAN đúng không ạ? và dùng Site-to-Site (Không dùng DMVPN với mGRE) như vậy thì IP Header Tunnel đóng vai trò gì?
"2 máy qua Internet có thể nói chuyện với nhau được khi nó có 2 cái IP public rồi dùng transport mode để kiểm tra tính toàn vẹn và đúng người gửi."
Cái này em cũng chưa rõ lắm, bây giờ đa số các máy đi ra ngoài Internet đều dùng IP động, vậy là nó phải chạy theo Site-to-Site qua Gateway?
Cảm ơn anh vì những thông tin bổ ích.

**phamminhtuan** · 15-12-2009, 03:38 PM

Originally posted by xenoxone View Post

Bác này lạ nhỉ @@ Mình có hỏi mấy câu kia đâu @@ mình cũng ko fải chủ topic, mình hỏi những câu của mình phía trên (4 câu) hoàn toàn trên khía cạnh lý thuyết @@
@ Anh Tuấn: Em đã đọc bài của anh, rất hay. Em muốn hỏi thêm là site-to-site nếu dùng Tunnel mode nữa (GRE Tunnel) và kết hợp IPSec thì gói tin từ Gateway đi ra sẽ có 3 IP Header, đầu tiên của Gateway, sau đó của Tunnel và cuối cùng là LAN đúng không ạ? và dùng Site-to-Site (Không dùng DMVPN với mGRE) như vậy thì IP Header Tunnel đóng vai trò gì?
"2 máy qua Internet có thể nói chuyện với nhau được khi nó có 2 cái IP public rồi dùng transport mode để kiểm tra tính toàn vẹn và đúng người gửi."
Cái này em cũng chưa rõ lắm, bây giờ đa số các máy đi ra ngoài Internet đều dùng IP động, vậy là nó phải chạy theo Site-to-Site qua Gateway?
Cảm ơn anh vì những thông tin bổ ích.

Chào bạn,

Như mình đã nói ở trên Tunnel kết hợp GRE thì bao gồm những header của Tunnel + header của GRE.

Do đó, Từ Lan ra bên ngoài site khác sẽ bao gồm 3 header IP:
+ IP header của Lan (Private)----Source và dest IP nằm trong câu lệnh ACL chọn traffic cần mã hóa. Tức là 2 Lan của 2 chi nhánh.
+ IP header của cổng out nơi bạn đặt crypto vào. Với source là IP cổng out, dest là IP nằm bên peer trong câu lệnh Router(config)#crypto isakmp key 0 111 address). (thường sẽ là IP public)
+ IP tunnel do bạn đặt trong Interface tunnel.

2 máy có IP Public, ý mình ở đây tương tự như 2 router có Ip public dùng mode transport. Vì mode Transport không đóng thêm IP nào khác, nên 2 máy trên Internet muốn thông nhau mà dùng mode trasport thì trước hết cần phải có IP public. Muốn vậy thì modem dùng mode bridge để cấp thẳng IP public xuống PC.
Còn nếu dùng NAT để cấp IP Public cho PC thì có thể thiết bị NAT không thấy được layer 4. Do layer 4 đã bị AH/ESP header che mất. Do đó, ta lại phải bật NAT-T trên thiết bị NAT mà có gói tin(header có ESP/AH) đi qua.

**xenoxone** · 16-12-2009, 05:19 PM

từ trong ra có IP LAN-->IP Tunnel-->IP Gateway chứ anh, nếu IP Tunnel nằm ngoài cùng thì gói tin đi ra ngoài Internet định tuyến kiểu gì nhỉ? mà không dùng GRE thì vẫn chạy Site to Site bình thường, vay co GRE để làm gì? Vì thông thường vẫn có trường hợp dùng GRE+IPsec cho Site to Site, trong khi Site to Site là định tuyến tĩnh (không tính DMVPN), vậy có fải GRE Tunnel trong trường hợp này là thừa?

**phamminhtuan** · 17-12-2009, 07:46 AM

Originally posted by xenoxone View Post

từ trong ra có IP LAN-->IP Tunnel-->IP Gateway chứ anh, nếu IP Tunnel nằm ngoài cùng thì gói tin đi ra ngoài Internet định tuyến kiểu gì nhỉ? mà không dùng GRE thì vẫn chạy Site to Site bình thường, vay co GRE để làm gì? Vì thông thường vẫn có trường hợp dùng GRE+IPsec cho Site to Site, trong khi Site to Site là định tuyến tĩnh (không tính DMVPN), vậy có fải GRE Tunnel trong trường hợp này là thừa?

Chào bạn,

Cái bên trên mình không cung cấp hình nên bạn khó hình dung.

Mình diễn diễn xuôi theo chiều từ trái qua phải, bạn thì hiểu ngược từ phải qua trái.
Ở trên mình ghi
"Tunnel kết hợp GRE thì bao gồm những header của Tunnel + header của GRE"
Và đương nhiên là header GRE phải nằm ở giữa, vì IP tunnel mình đặt kiểu nào cũng được, thì làm sao định tuyến ra Internet được. Mục đích chính của nó là dùng IP (hay interface tunnel) này để định tuyến động cho các giao thức định tuyến như OSPF, EIGRP, RIP, ...
Tức sau khi gói tin đến site bên. Bên kia đã gỡ header tunnel ra rồi dùng header của GRE để hỗ trợ cho định tuyến động. Còn IP LAN bên trong nữa thì chứa data chính xác đến người nhận.

**dkm061** · 13-02-2012, 07:15 AM

giup em một số câu hỏi về ipsec nha !!!

Hiện nay em đang làm đồ án học phần về ipsec có một số câu hỏi cần thầy giúp đỡ

câu 1 : việc áp dụng ipsec vào bảo mật trên mạng internet hiện nay như thế nào?
câu 2 : ưu nhược điểm khi triển khai ipsec?
câu 3 : cho biết một số dich vụ hay web nào đó có sử dụng ipsec và tai sao lại chon ipsec để sử dụng mà không dùng cái khác...

Rất mong sự giúp đỡ của thầy và các bạn góp ý...........

Announcement

Cho hỏi về IPSec

Cho hỏi về IPSec

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment