<span class='text_page_counter'>(1)</span><div class='page_container' data-page=1>

<b>@Email: </b>

<b>MÔN HỌC: XÂY DỰNG HỆ THỐNG </b>

<b>FIREWALL</b>

1

Trường Cao đẳng Nghề CNTT iSPACE

</div>
<span class='text_page_counter'>(2)</span><div class='page_container' data-page=2>

<b>Bài 1: CÁC NGUYÊN TẮC BẢO MẬT MẠNG. </b>

<b>Bài 2: BẢO MẬT MẠNG SỬ DỤNG CISCO IOS FIREWALL </b>

<b>Bài 3: BẢO MẬT MẠNG SỬ DỤNG CISCO IPS</b>

<b>Bài 4: BẢO MẬT LAYER 2</b>

</div>
<span class='text_page_counter'>(3)</span><div class='page_container' data-page=3>

<b>@Email: </b>

<b>Giới thiệu IPsec và đặc điểm IPsec</b>

<b>Triển khai site – to – site IPsec VPN</b>

<b>Cấu hình IPsec site – to – site VPN sử dụng SDM</b>

<b>Cấu hình cisco Easy VPN và Easy VPN Server với SDM</b>

<b>Triển khai cisco VPN Client</b>

<b>Câu hỏi bài tập</b>

Triển khai hệ thống Ipsec VPN site- to – site bằng dòng lệnh và sử dụng

giao diện SDM

</div>
<span class='text_page_counter'>(4)</span><div class='page_container' data-page=4>

<b>Trình bày được các thành phần của IPSec và đặc điểm của </b>

<b>IPSec VPN.</b>

<b>Triển khai Site-to-Site IPSec VPN.</b>

</div>
<span class='text_page_counter'>(5)</span><div class='page_container' data-page=5>

<b>@Email: </b>

<b>Tống quan IPSec</b>

<b>Internet Key Exchange</b>

<b>Các chức năng IKE </b>

<b>ESP và AH</b>

<b>Hàm băm </b>

<b>Mã hóa </b>

<b>Mơi trường khóa cơng khai</b>

Tổng quan về giao thức IPSec và cách thức hoạt động của IPSec

</div>
<span class='text_page_counter'>(6)</span><div class='page_container' data-page=6>

<b>IPsec là gì ?</b>

IPsec là một chuẩn của IETF sử dụng cơ chế mã hóa trong lớp

mạng

Chứng thực gói tin IP

Kiểm tra tính tồn vẹn của mỗi gói tin

Đảm bảo tính “riêng tư” (Bí mật) với mỗi gói tin

Chuẩn mở đảm bảo tính bảo mật khi kết nối riêng tư

Ứng dụng trong các mơ hình mạng từ nhỏ đế lớn

Hỗ trợ sẳn trong các phiên bản phần mềm Cisco IOS 11.3 T trở

về sau.

</div>
<span class='text_page_counter'>(7)</span><div class='page_container' data-page=7>

<b>@Email: </b>

<b>Tính năng bảo mật IPsec:</b>

IPsec là chuẩn duy nhất trong lớp 3 cung cấp tính năng :

Bảo mật

Chứng thực

Toàn vẹn dữ liệu

</div>
<span class='text_page_counter'>(8)</span><div class='page_container' data-page=8>

<b>IPsec Protocols:</b>

IPsec sử dụng ba giao thức chính để tạo ra một khung bảo mật

Internet Key Exchange (IKE):

o

Cung cấp khung thỏa thuận những thông số bảo mật

o

Tạo ra các khóa xác thực

Encapsulating Security Payload (ESP):

o

Cung cấp việc mã hóa , xác thực và bảo mật dữ liệu

Authentication Header (AH):

</div>
<span class='text_page_counter'>(9)</span><div class='page_container' data-page=9>

<b>@Email: </b>

<b>IPsec Headers :</b>

Ipsec ESP cung cấp những tính năng:

Xác thực và tồn vẹn dữ liệu ( MD5 – SHA 1 – HMAC )

Bảo mật ( DES , 3DES , ASE ) chỉ với ESP

</div>
<span class='text_page_counter'>(10)</span><div class='page_container' data-page=10>

<b>Peer Authentication:</b>

Peer phương pháp xác thực:

Đặt Username – Password

Mật khẩu một lần (OTP)

Sinh trắc học

</div>
<span class='text_page_counter'>(11)</span><div class='page_container' data-page=11>

<b>@Email: </b>

<b>Internet Key Exchange:</b>

IKE giúp các bên giao tiếp hịa hợp các

tham số bảo mật và khóa xác nhận trước

khi một phiên bảo mật IPSec được triển

khai.

IKE sửa đổi những tham số khi cần thiết

trong suốt phiên làm việc

IKE cũng đảm nhiệm việc xoá bỏ những

SA và các khóa sau khi một phiên giao

dịch hoàn thành

</div>
<span class='text_page_counter'>(12)</span><div class='page_container' data-page=12>

<b>IKE Phases:</b>

Giai đoạn 1:

Xác thực các thông điệp

Thiết lập kênh đàm phán giữa SA

Thông tin thỏa thuận các thuật toán

Giai đoạn 1.5:

Chứng thực VPN client

Bật chế độ cấu hình

Giai đoạn 2:

</div>
<span class='text_page_counter'>(13)</span><div class='page_container' data-page=13>

<b>@Email: </b>

<b>IKE Modes :</b>

4 chế độ IKE phổ biến thường được triển khai :

Chế độ chính (Main mode)

Chế độ linh hoạt (Aggressive mode)

Chế độ nhanh (Quick mode)

Chế độ nhóm mới (New Group mode)

</div>
<span class='text_page_counter'>(14)</span><div class='page_container' data-page=14></div>
<span class='text_page_counter'>(15)</span><div class='page_container' data-page=15>

<b>@Email: </b>

<b>Tính năng khác IKE :</b>

Phát hiện mất kết nối tới PER ( DPD ) :

Chức năng mang tính 2 chiều

Gửi những thông điệp định kỳ

PEER thực hiện gửi lại nếu không coi là mất kết nối

IKE Keepalives được gửi đi sau khoảng thời gian 10s

NAT Traversal :

Được định nghĩa trong RFC 3947

Đóng gói trong gói tin thơng qua giao thức UDP

</div>
<span class='text_page_counter'>(16)</span><div class='page_container' data-page=16>

<b>IPsec NAT Traversal :</b>

Cần NAT Traversal với IPsec qua TCP/UDP :

NAT Traversal phát hiện

NAT Traversal quyết định

Đóng gói các gói tin thơng qua UDP

</div>
<span class='text_page_counter'>(17)</span><div class='page_container' data-page=17>

<b>@Email: </b>

<b>Mode cấu hình :</b>

17

Các Mode sử dụng để

</div>
<span class='text_page_counter'>(18)</span><div class='page_container' data-page=18></div>
<span class='text_page_counter'>(19)</span><div class='page_container' data-page=19>

<b>@Email: </b>

<b>User Authentication:</b>

19

Cho phép phương thức

</div>
<span class='text_page_counter'>(20)</span><div class='page_container' data-page=20>

<b>ESP và AH:</b>

IP protocol :

ESP và AH

ESP sử dụng port 50

AH sử dụng port 51

Ipsec modes :

</div>

<!--links-->
HỆ THỐNG KIẾN THỨC HÓA HỌC VÀ ANH NGỮ ĐỂ THEO HỌC CÁC TRƯỜNG ĐẠI HỌC QUỐC TẾ

• 28
• 1
• 12