Làm thế nào để phân biệt VPN giữa Router hay VPN giữa Firewall?

[caonguyen]

Bạn nào có thể giải thích rõ cho mình về ưu và khuyết điểm khi áp dụng giải pháp VPN giữa Firewall(Ví dụ như Firewall của CheckPoint, Cisco, netscreen, Proventia M series của ISS) so với các giải pháp VPN trên các Router của Cisco?

[cvo15303]

caonguyen mến!
Anh đã có 1 câu hỏi rất hay.Hứa hẹn nhiều tranh luận nóng bỏng sẽ xảy ra ở đây đấy!
Mình thật sự hiểu biết ít nên chỉ đóng góp chung chung thôi,k đi vào chi tiết.
cvo nghĩ thế này:
1.Các Firewall sẽ làm chức năng VPN server tốt hơn là router.Nhiệm vụ chính của Router là định tuyến.Công việc này đòi hỏi một khả năng process khá lớn.Trong khi đó,encap,encrypt,deencrypt và deencap đều là những việc nặng nhọc.
Bắt router đảm nhiệm cả 2,sợ rằng nó sẽ quá tải!
2.Thật ra,có thể tách riêng cả 2 ra cho 2 router thực hiện.Nhưng trong thực tế,đứng trên góc độ kinh tế,rất ít nơi có tiền để đầu tư kiểu này,đúng k?
3.Với tên gọi và đặc thù riêng,Firewall sẽ chia cắt và quản lý hệ thống hiệu quả hơn Router.Các Policy sẽ đa dạng và đơn giản hơn trong việc cấu hình so với các Crypto ACL.
4.Anh có bao giờ thử cấu hình 1 VPN Tunnel giữa Router Cisco và các dòng FW cứng chưa?Hay là giữa những dòng FW cứng với nhau?Em nghĩ tùy hiện trạng thiết bị,đôi khi phải chọn những sự kết hợp này đó!
Chút nhận xét riêng,mong mọi người chỉ giáo thêm
Trân trọng

[TGA_Certificationteam]

Hi Cvo..

Nếu gắn cái AIM mod vô thì Router cũng encrypt = hardware thôi.

Cấu hình VPN giữa các vendor khác nhau đều được, miển là các vendor đó có support loại Key và loại Encryption nhất định.

Cấu hình thì chia làm nhiều loại, nhưng tiêu biểu là Site-to-site và client-to-site.

[caonguyen]

Trên nguyên tắc về VPN thì có 2 loại VPN như Client-to-site và site-to-site

Theo mình nghĩ như thế này khi sử dụng Router như một VPN-Server thì mô hình sẽ như sau

VPN-Server ->firewall -> Lan

thì những nguy cơ về bảo mật có thể xảy ra đối với dữ liệu trên VPN, chính sách mình thiết lập trên firewall cũng ảnh hưởng đến VPN thiết lập trên Router, chẳng hạn như dòng dữ liệu đó mình cho phép trên VPN nhưng đến firewall lại bị block lại gấy kho khăn không ít cho người quản trị cấu hình lại firewall và Router

Nếu dùng VPN trên firewall mình có thể định hướng các chính sách cho firewall dễ dàng, dùng các phương pháp để xác thực người truy cập tự xa ( Đối với VPN Client -to site ) trên VPN uyển chuyển hơn như trên firewall của CheckPoint có thể dùng xác thực bằng RSA, Ikey, hay xác thực bằng password thông thường, RADIUS ... còn xác thực của pix firewall thì mình không rõ lằm

Đó là những suy nghĩ của mình về vấn đề này tuy nhiên mình cảm thấy vẫn chưa thỏa đáng lắm mong rằng mọi ngưởi đóng góp thêm để cùng nhau tiến bộ

Best regards,

:wink:

[Helix]

Cho mình hỏi một chút về mô hình VPN Client-to-site và site-to-site:

- Với mô hình Client-to-site thường thấy: các client remote (có thể là VPDN, hay Cisco VPN client) truy cập vào Pix.
- Mô hình site-to-site kết nối giữa các PIX Firewall với nhau

Vậy kết nối VPN giữa Router- PiX thuộc mô hình gì? Có phải là tùy thuộc vào cấu hình trên thiết bị mà xác định được mô hình? Nếu được xin đưa ra ví dụ cấu hình cụ thể.

Xin cảm ơn mọi lời chỉ dẫn.

[Saigon,Vietnam]

To caonguyen,

>Làm thế nào để phân biệt VPN giữa Router hay VPN giữa Firewall?
Không hiểu rõ ý bạn lắm, VPN giữa hai routers hoặc hai firewalls dều dòi hỏi a form of encapsulation or encryption cho payload to get thru a tunnel. Diểm khác nhau là bạn sẽ configure trên routers nếu dùng routers và ngược lại bạn sẽ configure trên firewalls.

>Bạn nào có thể giải thích rõ cho mình về ưu và khuyết điểm khi áp dụng giải pháp VPN giữa Firewall(Ví dụ như Firewall của CheckPoint, Cisco, netscreen, Proventia M series của ISS) so với các giải pháp VPN trên các Router của Cisco?

Câu hỏi thực sự làm lúng túng không ít CCSPs cũng như candidates vì bao gồm các topics rải rác trong cả 4 courses của CCSP ngoại trừ IDS. Vì vấn dề bạn nêu hơi bao quát nên câu trả lời khó di vào chi tiết rõ ràng!
Sẽ cố gắng hết sức nêu ra vài diểm nổi bật mà thôi:
1. Cần phân biệt fireware và VPN là hai functions khác nhau cho dù bạn cũng thấy có các software, devices integrated các functions này vào routing, IDS....as well!
2. Về performance, hardware device không bị delay hay lệ thuộc vào embedded resources.
3. Về tính bảo mật, hardware firewalls (PIX) hoặc router firewalls hoạt dộng dộc lập trên OS của routers hoặc PIX nên không phụ thuộc vào OS mà nó run on top (UNIX, WINDOWS...). Lỗ hổng của WINDOWS sẽ ãnh hưởng các firewalls run trên stations/servers.
4. Nếu topologies của bạn là dể run VPN giửa hai main sites hoặc main site và large branch offices, bạn sẽ cần site-to-site VPN. Routers có thể dùng là 2600 trở lên khi main sites của bạn MAINLY terminate this kind of site-to-site VPN.
5. Nếu topologies của bạn là dể run VPN giửa main site hoăc branch office to SOHO's bạn sẽ cần client-to-site VPN. Tại SOHO's, các Cisco SW clients, 827H, PIX501, 506, HW 3002 dược dề nghị! Tại main office nếu MAINLY terminate remote access, Concentrators dược ultimize!
6. PIX dược dề nghị khi companies muốn control more security issues then depend on ISPs.

To cvo15303,

>Các Firewall sẽ làm chức năng VPN server tốt hơn là router.
Có lẽ cvo15303 muốn nói: Các Firewall sẽ làm chức năng FIREWALL tốt hơn là router?
3662, 7120, 7200,7400 là các routers tuyệt vời, handle vừa routing, VPN terminating. Either by SW or HW!

To Helix,

> Vậy kết nối VPN giữa Router- PiX thuộc mô hình gì?
Cả 3 mô hình khác nhau:
Client-to-Site == router bé (800, 1700) and PIX nhớn (515E....)
Site-to-site == router nhớn (2500, 2600...) and PIX nhớn (515E...)
Site-to-client == PIX nhỏ (501, 506) and router nhớn (2600...)

> Có phải là tùy thuộc vào cấu hình trên thiết bị mà xác định được mô hình?
Routers và PIX dều phải configure thích hợp với topologies thì mới run theo ý muốn.

thân,