Quản Trị Mạng - Trong bài viết dưới đây, chúng tôi sẽ trình bày 1 số bước cơ bản để thiết lập, cấu hình chế độ site to site VPN với hệ thống Cisco ASA. Hiện tại, những khái niệm và ứng dụng của VPN mang lại cho người sử dụng có rất nhiều, điển hình có thể kể đến là: site to site, remote access IPSec, client-less, SSL, DMVPN... và sẽ rất khó khăn để đề cập cụ thể đến 1 thành phần bất kỳ. Do vậy, chúng tôi sẽ cố gắng đề cập đến những thông tin và các bước cấu hình, thiệt lập cơ bản nhất về VPN, thiết lập site to site VPN từ CLI với miêu tả cụ thể cho từng bước. Bên cạnh đó, phương pháp thiết lập VPN qua ASDM sử dụng VPN wizard vô cùng đơn giản và dễ dàng. Đó cũng là lý do tại sao chúng ta tập trung chủ yếu vào phần CLI.
Trước khi bắt đầu, chúng ta hãy tham khảo qua một số thông tin có liên quan đến VPN. Là cụm từ viết tắt của Virtual Private Network, về cơ bản đây là kết nối từ 1 vị trí này tới vị trí khác để hình thành mô hình mạng LAN với những dịch vụ hỗ trợ như email, intranet... chỉ được truy cập khi người dùng khai báo đúng các thông tin đã được thiết lập sẵn. Và nhìn chung, có 2 loại mô hình VPN phổ biến hiện nay:
- Remote access: hay còn gọi là Remote access VPN hoặc easy VPN, dành cho những người dùng có nhu cầu đơn giản. Cách thức làm việc chung là chỉ cần cài đặt phần mềm client trên máy tính cá nhân, PC hoặc laptop, qua đó người sử dụng sẽ thiết lập kết nối tới máy tính tại văn phòng làm việc, đăng nhập bằng thông số username và password đã được gán quyền trước đó. Sau khi tunnel đã được thay thế, người dùng có thể làm việc và truy cập tới server trực tiếp như khi ở văn phòng, giao thức kết nối tunnel này được xây dựng dựa trên IPSec hoặc SSL.
- Site to site: hệ thống này thường được sử dụng giữa các chi nhánh của 1 tổ chức hoặc mạng lưới công ty nào đó. Tại đây, bạn phải sử dụng 1 thiết bị hỗ trợ VPN như Cisco ASA hoặc router của Cisco. Người sử dụng có thể cấu hình cả 2 thiết bị để thiết lập hệ thống tunnel lẫn nhau, và toàn bộ mô hình của công ty hoặc văn phòng sẽ sử dụng qua tunnel tại cùng 1 thời điểm (trong khi các kết nối truy cập VPN từ xa chỉ có thể được thực hiện trên PC đã được thiết lập tunnel sẵn) để truy cập tới các nguồn tài nguyên trong cùng 1 hệ thống.
Quá trình thiết lập tunnel thông thường được chia làm 2 giai đoạn. Giả sử, trong bài thử nghiệm của chúng ta sẽ áp dụng dựa trên tình huống sau: trong 1 công ty có 100 người sử dụng, hệ thống server với mô hình mạng LAN để dùng cho những dịch vụ như email, intranet, và sử dụng thiết bị Cisco ASA 5520 làm Internet gateway.
Địa chỉ của mạng LAN tại đây là 10.0.0.0/24, thông số gateway (ASA) có địa chỉ bên trong 10.0.0.254 và bên ngoài là 1.1.1.1. Hiện tại, công ty này đã mở thêm chi nhánh với 10 người sử dụng, văn phòng này có thêm 10 máy tính cá nhân và không trang thị thêm bất cứ server nào, có kết nối Internet và dùng ASA 5510 với vai trò của thiết bị bảo mật. Địa chỉ LAN của văn phòng này là 192.168.0.0/24, gateway (ASA) với địa chỉ IP bên trong là 192.168.0.254, bên ngoài là 1.1.1.2.
Mô hình tổng quan của hệ thống mạng
Và yêu cầu từ phía ban lãnh đạo là muốn các máy tính tại chi nhánh kết nối được tới trụ sở văn phòng qua mô hình site to site VPN.
Bắt đầu:
Bây giờ là thời điểm chúng ta cần thực hiện 1 số thao tác thiết lập, cụ thể như sau:
- Các địa chỉ thường xuyên sử dụng được khởi tạo trong danh sách cho phép truy cập.
- Danh sách này sẽ được truy cập qua các traffic VPN từ giao thức NAT (NAT0).
- Cơ chế chuyển đổi thiết lập IPSec sẽ đảm nhận nhiệm vụ mã hóa IPSec.
- Hệ thống map chuyển đổi sẽ khởi tạo các tunnel thật sự dành cho IPSec.
- Chính sách isakmp khởi tạo các thiết lập cần thiết cho yêu cầu từ hệ thống ở bước 1.
- Các nhóm tunnel thiết lập thuộc tính dành cho tunnel.
Để đảm bảo hệ thống hoạt động ổn định và không gặp lỗi trong quá trình thiết lập, các bạn hãy cố gắng đáp ứng được những yêu cầu trên. Tiếp đó là việc kiểm tra giao thức NAT và các danh sách đã được đề cập.
Interesting traffic:
1 điểm cần chú ý khi tạo tunnel VPN, các bạn cần phải “thông báo” với ASA về những traffic được gửi qua tunnel này – được gọi chung là interesting traffic, chúng ta có thể tạo được phần này bằng cách dùng access – list. Trên 1 hệ thống site to site VPN thì người dùng phải thiết lập được cả 2 phía của tunnel, đồng thời chúng ta cũng phải cẩn thận khi tạo access – list tương ứng. Cụ thể, trên phần site đầu tiên, ASA sẽ nhận được yêu cầu từ phía hệ thống rằng tunnel traffic sẽ được chuyển từ trụ sở văn phòng chính tới chi nhánh. Còn với site còn lại, ASA sẽ đảm nhận nhiệm vụ ngược lại, đó là chuyển tunnel traffic từ chi nhánh về trụ sở chính.
Cấu trúc lệnh cơ bản như sau:
access-list VPN_cryptomap extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0
Chúng ta có thể thấy rằng danh sách access – list này được tạo trên trụ sở, văn phòng chính, và có nhiệm vụ thông báo với ASA rằng các luồng traffic từ địa chỉ 10.0.0.0 tới 192.168.0.0 sẽ được cho vào tunnel. Còn lại toàn bộ các traffic khác sẽ không được xếp vào danh sách này, và tiếp tục tiến trình bình thường bằng cách đi thẳng qua ASA. Tiếp theo là phần access – list được sử dụng tại chi nhánh:
access-list VPN_cryptomap extended permit ip 192.168.0.0 255.255.255.0 10.0.0.0 255.255.255.0
Các bạn cần lưu ý 1 lần nữa rằng cách thức di chuyển và lựa chọn traffic được đảo ngược với những phần traffic đặc biệt, được truyền tải từ văn phòng chi nhánh tới trụ sở chính trong trường hợp này. Trên đây chỉ là một phần của khái niệm cơ bản về interesting traffic, bản thân hệ thống ASA sẽ lựa chọn những traffic dựa trên tùy chọn của người dùng và cho phép hoạt động như bình thường. Bên cạnh đó, chúng ta cũng sẽ phải khởi tạo những thao tác, hành động tương ứng trong khi thiết lập cơ chế map chuyển đổi.
NAT0:
Kể từ khi kết nối trực tiếp hệ thống mạng tại trụ sở chính tới văn phòng chi nhánh, thì phần lớn chúng ta không cần phải thực hiện quá trình NAT toàn bộ lưu lượng traffic giữa các địa điểm trên. Nếu muốn thiết lập một số mô hình NAT để kết nối Internet thì chúng ta phải bỏ qua những traffic cần đi qua tunnel khỏi bị NAT. Để thực hiện bước này, chúng ta phải sử dụng access – list lần nữa:
access-list Inside_nat0_outbound extended permit ip 10.0.0.0 255.255.255.0 192.168.0.0 255.255.255.0
Cũng tương tự như những phần interesting traffic đã được lựa chọn tại thời điểm này. Đồng thời, chúng ta cũng sẽ phải thông báo với ASA những gì cần làm với traffic được lưu thông qua đây. Trong trường hợp này thì các bạn sẽ phải tạo 1 mệnh đề mới để làm quá trình NAT0 – nghĩa là không thực hiện NAT tại bước này:
nat (Inside) 0 access-list Inside_nat0_outbound
Lưu ý rằng tại đây chúng ta sử dụng mệnh đề NAT như bình thường để kết nối tới phần giao diện điều khiển bên ngoài. Sau đó, cung cấp 1 số bất kỳ để khởi tạo và định nghĩa từng phần khác nhau của tunnel, trong trường hợp này chúng ta sử dụng số 0 để thông báo với ASA rằng hiện tại không cần phải sử dụng giao thức NAT. Tại đây, chúng ta cần phải tham khảo danh sách các access – list đã được khởi tạo trước đó.
Giờ đây, tất cả những traffic chúng ta lựa chọn trong danh sách access – list sẽ không phải trải qua quá trình NAT qua ASA nữa. Và áp dụng cú pháp lệnh tương tự như trên đối với hệ thống ở chi nhánh:
access-list Inside_nat0_outbound extended permit ip 192.168.0.0 255.255.255.0 10.0.0.0 255.255.255.0
nat (Inside) 0 access-list Inside_nat0_outbound
Lưu ý rằng chúng ta cần thay đổi những sự lựa chọn để tham chiếu tới phần trụ sở chính.
Tiếp theo, đây là bước thực hiện có thể gây ra nhầm lẫn với hầu hết chúng ta, vì bộ biến đổi với chức năng chính là khởi tạo và định nghĩa cơ chế mã hóa của hệ thống, hoặc tại phần IPSec. Tại thời điểm này chúng ta vẫn chưa thực hiện việc mã hóa như phần trên đã định nghĩa. Cả 2 phía sẽ cùng tham khảo về cách thức mã hóa ở những tầng lớp khác nhau, và do vậy cần phải được thực hiện cùng nhau. Ví dụ, nếu bạn tiến hành mã hóa với key A thì cũng sẽ phải giải mã với cùng giá trị key đó, nếu không thì người sử dụng sẽ không thể đọc được nội dung của tin nhắn.
Tại bước này, người quản trị có thể tự khởi tạo bộ biến đổi chức năng, nhưng ASA hầu hết đã được tích hợp sẵn những thành phần này. Cú pháp cơ bản tại bước này như sau:
crypto IPSec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto IPSec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto IPSec transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto IPSec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
Khi lần đầu tiên nhìn vào phần mã này, thì có thể các bạn sẽ thấy thừa và không cần thiết, nhưng 1 điểm cần lưu ý rằng phần IPSec của cơ chế chuyển đổi mà đã được khởi tạo bằng tên.