Em đang tự học về VPN chua hiểu lắm về khái niêm transform-set xin mọi người giúp đỡ.
Em đọc trong tài liệu thấy nói rằng trong IKE Phase 1 thì 2 bên sẽ trao đổi các policy, thiết lập DH key và xác thực .Trong IKE Phase 2 thương lượng các tham số IPsec Security(IPsec transform-set). E nghĩ rằng trasform-set đc tạo ra từ các tham số trong viện trao đổi policy từ Phase 1 chứ tại sao lại phải cấu hình transform-set trên 2 peer

Chào bạn,

Thì đúng như bạn nói, hai bên có thương lượng với nhau đó.

Cái mình cấu hình để 2 bên có nhiều điều kiện thương lượng với nhau hơn. Nếu không đạt được điều kiện tối thiểu đó thì khỏi thương lượng nữa. (để trong trường hợp 1 ông thì cực kỳ cảnh giác, 1 ông thì lơ là, 2 bên bắt tay nhau bạn nghĩ có nên không)

Khi thương lượng thì 2 bên sẽ chọn thuật toán mã hóa tốt nhất. Vì thế bạn thấy trasform-set nó có thể ghi nhiều option thuật toán mã hóa phía sau.

Thông tin transform set dùng để định nghĩa cách thức sử dụng VPN cho 2 bên ( giải thuật mã hóa dữ liệu, có sử dụng xác thực nguồn gốc sinh ra dữ liệu hay không) và yêu cầu giống nhau trên 2 bên khi tham gia kết nối.
Ví dụ:
crypto ipsec transform-set MYSET esp-3des esp-sha-hmac

Dòng lệnh trên cho biết : sử dụng giao thức esp cho VPN, mã hóa dữ liệu bằng thuật toán 3des, dùng giải thuật hash sha cho việc xác thực nguồn gốc dữ liệu. Lưu ý: MYSET chỉ là tên đặt và có thể khác nhau ở hai bên.

Link sau có thể có nhiều kiến thức hay cho bạn: http://vnpro.org/forum/showthread.php/38826-Ipsec-vpn

Chào bạn,

Thì đúng như bạn nói, hai bên có thương lượng với nhau đó.

Cái mình cấu hình để 2 bên có nhiều điều kiện thương lượng với nhau hơn. Nếu không đạt được điều kiện tối thiểu đó thì khỏi thương lượng nữa. (để trong trường hợp 1 ông thì cực kỳ cảnh giác, 1 ông thì lơ là, 2 bên bắt tay nhau bạn nghĩ có nên không)

Khi thương lượng thì 2 bên sẽ chọn thuật toán mã hóa tốt nhất. Vì thế bạn thấy trasform-set nó có thể ghi nhiều option thuật toán mã hóa phía sau.
Vậy có phải tranform-set đc tạo lên từ việc thương lượng các policy từ Phase1 dúng không ah.

Vậy có phải tranform-set đc tạo lên từ việc thương lượng các policy từ Phase1 dúng không ah.

Chào bạn,

IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán,tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng . Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:

- Tính bảo mật dữ liệu – Data confidentiality
- Tính toàn vẹn dữ liệu – Data Integrity
- Tính chứng thực nguồn dữ liệu – Data origin authentication
- Tính tránh trùng lặp gói tin – Anti-replay

Các giao thức của IPSec

Để trao đổi và thỏa thuận các thông số để tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức:

- IKE (Internet Key Exchange)
- ESP (Encapsulation Security Payload)
- AH (Authentication Header)

IKE là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật với nhau như: mã hóa thế nào, mã hóa bằng thuật toán gì, bau lâu trao đổi khóa 1 lần. Sau khi trao đổi xong thì sẽ có được một “hợp đồng” giữa 2 đầu cuối, khi đó IPSec SA (Security Association) được tạo ra.

SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA

Trong quá trình trao đổi khóa thì IKE dùng thuật toán mã hóa đối xứng, những khóa này sẽ được thay đổi theo thời gian. Đây là đặc tính rất hay của IKE, giúp hạn chế trình trạng bẻ khóa của các attacker.

IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley.
- ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA
- Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật.
Giao thức IKE dùng UDP port 500.
Các giai đoạn (phase) hoạt động của IKE

http://vnpro.org/forum/showthread.php/38826-Ipsec-vpn
B1: Cấu hình chính sách IKE (chính sách pha 1)
SAIGON(config)#crypto isakmp policy 10
SAIGON(config-isakmp)#hash md5
SAIGON(config-isakmp)#encryption des
SAIGON(config-isakmp)#group 2
SAIGON(config-isakmp)#authentication pre-share

B2: Xác định thông tin key và peer
SAIGON(config)#crypto isakmp key 0 vnpro123 address 151.1.1.1

B3:Cấu hình chính sách IPSec (chính sách pha 2)
SAIGON(config)#crypto ipsec transform-set MYSET esp-md5-hmac esp-des