Quản trị mạng – Trong hướng dẫn này chúng tôi sẽ giới thiệu cho các bạn cách tìm địa chỉ IP cũng như địa chỉ MAC trên máy tính Windows 7 và MAC OS X.

Có đến hàng tỉ máy tính liên kết với nhau thông qua mạng Internet. Do có nhiều thiết bị truyền thông và trao đổi thông tin với nhau như vậy nên mỗi thiết bị phải có một nhận dạng duy nhất để các thông tin được chuyển đến đúng địa chỉ đích.

Chúng ta có thể hình dung, dịch vụ bưu điện sử dụng địa chỉ nhà của bạn để phân phối thư đến hòm thư của bạn, các máy tính sử dụng địa chỉ IP (Internet Protocol) và địa chỉ MAC (Media Access Control) để phân biệt giữa các thiết bị trong mạng với nhau. Việc tìm kiếm thông tin này trên máy tính của bạn hết sức đơn giản và nó rất hữu dụng khi máy tính nằm trong một mạng nào đó. Dưới đây là cách thức thực hiện.

Sử dụng Windows 7

1. Kích Start, All Programs, Accessories, Command Prompt

Tìm địa chỉ IP bằng lệnh ipconfig

2. Trong cửa sổ lệnh, đánh ipconfig /all và kích Return.

3. Cửa sổ nhắc lệnh sẽ trả về cho bạn các thông tin về adapter mạng trong máy tính. Bạn có thể tìm kiếm các thông tin về adapter được kết nối với mạng. Cho ví dụ, có thể tìm thông tin mạng đối với adapter không dây bằng cách quan sát phần 'Ethernet Adapter Wireless Network Connection'.

4. Để tìm địa chỉ IP của máy tính, tìm kiếm mục 'IPv4 Address' hoặc 'IP Address'. Dòng này sẽ hiển thị địa chỉ IP cho hệ thống của bạn; thông thường dãy số được sử dụng để hiển thị địa chỉ IP có dạng 192.168.1.1.

5. Để tìm địa chỉ MAC của máy tính, hãy quan sát mục 'Physical Address'. Dòng này sẽ hiển thị địa chỉ MAC của Active Directory, địa chỉ này sẽ có dạng một chuỗi ký tự và số, được đặt cách nhau bởi dấu gạch ngang.

Sử dụng Mac OS X

1. Kích menu Apple ở góc trên bên trái màn hình.

2. Kích System Preferences. Trong menu System Preferences, chọn Network.

3. Trong cửa sổ Network, chọn adapter mạng mà bạn quan tâm. Địa chỉ IP của bạn sẽ xuất hiện ở panel bên phải cửa sổ.

Địa chỉ MAC sẽ được liệt kê ở phía dưới menu Wi-Fi

4. Để tìm địa chỉ MAC của máy tính cho adapter, kích nút Advanced.... Địa chỉ MAC của bạn sẽ xuất hiện ở phía dưới cửa sổ.

Quản Trị Mạng HD

Đọc Tiếp…

Nói thêm về các lệnh trong Windows để phân tích hệ thống trong trường hợp bị tấn công.

Trong bài trước, chúng ta đã xem xét một số công cụ dòng lệnh hữu ích trong Windows, bao gồm WMIC, net, openfiles, netstat và find. Lần này, chúng ta sẽ làm tròn số lên một danh sách 10 thứ tốt nhất bằng cách chỉ ra thêm 5 lệnh hữu ích và phân tích xem bằng cách nào các chuyên gia an toàn thông tin có thể sử dụng các lệnh này để làm tốt hơn công việc của mình.

Tương tác với các tiến trình bằng tasklist

Trong bài trước, chúng ta đã thấy lệnh WMIC có thể cho ta nhìn thấy những  thú vị  bên trong các tiến trình (processes) đang hoạt động. Lệnh tasklist cũng có một số tính năng hay có thể xem xét, tách ra một số thuộc tính của tiến trình mà WMIC không làm được.

Khi chạy nó không kèm tham số, lệnh tasklist chỉ ra danh sách toàn bộ các tiến trình đang chạy, hiển thị tên của chúng, số hiệu PID và các thông kê khác. Để có một đầu ra phong phú hơn nữa, ta có thể chạy như sau:

C:\> tasklist /svc 

Lệnh này cho ta thấy những dịch vụ nào đang chạy bên trong mỗi tiến trình (process). Nhiều người dùng windows không hiểu mối quan hệ giữa các dịch vụ và các tiến trình, cho rằng chúng hoàn toàn khác nhau trong khi thực chất chúng là một thực thể liên quan. Trong thực tế, mỗi dịch vụ trên máy chạy Windows đều chạy  bên trong một tiến trình, và một số tiến trình  còn có nhiều dịch vụ sống bên trong. Bởi thế, có một tới nhiều mối quan hệ giữa các tiến trình và dịch vụ mà lệnh tasklist có thể khám phá

Một câu thần chú hữu ích khác của lệnh tasklist là:

C:\> tasklist /m 

Tham số “m” ở đây có nghĩa “modules”, hay là cách mà tasklist chỉ ra các DLLs, các thư viện mã lệnh được tải bởi các tiến trình khi chúng thực thi mệnh lệnh trên máy. Khi được khởi động theo cách này, tasklist chỉ ra từng DLL đang được tải vào tất cả các tiến trình đang chạy. Nó cung cấp cho người dùng một lượng lớn thông tin về những gì đang xảy ra trên máy của họ tại một thời điểm cho trước. Trong khi phân tích đầu ra  là một công việc đáng nản lòng, thì những thông tin này rất hữu ích cho những nhà nghiên cứu malware để xác định bản chất các tiến trình đang chạy trên máy. Khi sử dụng Google search đối với những processes và DLLs cụ thể, có thể nhận được các mô tả malware từ các  trang của nhà sản xuất phần mềm chống virus, mà trong đó chỉ ra các động cơ tấn công cùng các mẫu vật malware đó.

Lệnh reg để phân tích chi tiết registry.

Lệnh reg cho chúng ta tương tác với registry của máy bằng dòng lệnh. Thay vì sử dụng lệnh giao diện đồ họa cồng kềnh regedit để định vị thanh ghi registry, người chuyên nghiệp chỉ cần mở giao diện dòng lệnh Windows và dùng lệnh reg để đọc và cập nhật thanh ghi registry. Tuy thế, lệnh reg không cho phép duyệt thanh ghi registry một cách tương tác, người dùng cần phải biết đường dẫn đầy đủ tới các registry keys mà họ muốn xem hay thay đổi. Dù vậy, khi có đường dẫn thì sử dụng lệnh reg là cách dễ nhất để thay đổi nội dung registry.

Để xem thiết lập của một reistry key cho trước, ta dùng lựa chọn “query” của lệnh reg như sau:

C:\> reg query hklm\software\microsoft\windows\currentversion\run

Khóa thanh ghi này kiểm soát các phần mềm tự khởi động khác nhau của Windows tại thời điểm boot máy và tiếp sau khi người dùng đăng nhập vào hệ thống. Nhiều loại malware thay đổi khóa này để chắc chắn rằng chúng sẽ được khởi động khi máy khởi động lại

Để xuất ra những khóa (keys) riêng biệt hoặc toàn bộ một phân khúc của thanh ghi ra thành tệp để phân tích hoặc cài đặt trên hệ thống riêng biệt, lệnh reg hỗ trợ chức năng “reg export”   Ngoài khả năng đọc và xuất các thiết lập thanh ghi, lệnh reg có thể cập nhật các thiết lập này. Lệnh “reg add” sẽ cập nhật giá trị của các khóa đang có, hoặc tạo khóa mới nếu chúng chưa tồn tại. Lệnh “reg import” có thể nhập nhiều khóa cùng lúc.

Dùng ipconfig để phân tích DNS.

Phần lớn những người dùng Windows thực sự đều quen biết lệnh ipconfig, thường được dùng để chỉ ra các thiết lập về Mạng của máy chạy Windows. Tuy nhiên, có những tính năng hữu ích cụ thể của ipconfig mà khá nhiều người không biết –  là chức năng rất có ích để những người chuyên về an ninh biết về những năng lực của botnets hôm nay. Lệnh ipconfig có thể hiển thị DNS cache của máy tại chỗ như sau:

C:\> ipconfig /displaydns 

Kết xuất của lệnh cho ta một loạt những tên miền được cache tạm, các địa chỉ ip của chúng và time to live (tính bằng giây) của các bản ghi DNS. Nếu người dùng chạy lặp lệnh này, họ có thể thấy time to live giảm dần cho tới khi các bản ghi (records) quá hạn, hoặc được làm tươi lại. Giám sát DNS cache và giá trị time to live (TTL)  đóng một vai trò quan trọng khi điều tra fast-flux botnets, bởi botnets này sẽ sử dụng các DNS records với TTLs nhỏ để buộc phải thường xuyên cập nhật và gây rối người điều tra khi xác định vị trí server back-end quan trọng của hacker Phải thừa nhận rằng, ipconfig không có nhiều lựa chọn thú vị như những lệnh khác được giới thiệu trong bài này như tasklist và reg. Tuy nhiên việc sử dụng lệnh này là cực kỳ hữu ích.

Chạy lặp với vòng lặp FOR /R.

Đôi khi người quản trị hay chuyên gia an ninh muốn chạy một lệnh lặp đi lặp lại, có thể với khoảng cách thời gian 5 giây để có thể quan sát sự thay đổi kết xuất. Để đạt mục đích này, chúng ta có thể trông chờ vào lòng lặp FOR của Windows. Windows hỗ trợ 5 loại vòng lặp khác nhau, có thể thay đổi thông qua file integers, tên file, tên thư mục, nội dung của file và chuỗi. Chúng ta sẽ tập trung vào những vòng lặp đơn giản nhất, đặc biệt là biến FOR /L, với các vòng lặp được chỉ ra thông qua integer vì chúng có thể được dùng để tạo các lệnh chạy liên tục. Cú pháp của vòng lặp FOR /R như sau:

C:\> for /L %[var] in ([start],[step],[stop]) do [command] 

Biến [var] là biến iterator, là một ký tự đơn có thể nhận các giá trị nguyên khác nhau  tại mỗi bước của vòng lặp ,  Bạn sẽ gán giá trị ban đầu của biến, giá trị tăng dần của từng bước trong toàn bộ vòng lặp, và giá trị tối đa của nó. Cũng cần chỉ ra lệnh cần chạy tại từng bước của vòng lặp. Để minh họa, ta sẽ xem dòng lệnh sau:

C:\> for /L %i in (1,1,10) do @echo %i 

Vòng lặp này sử dụng %i là biến với giá trị ban đầu là 1. Cứ mỗi lần lặp lại của vòng lặp, %i sẽ tăng thêm 1, cho tới khi bằng 10. Khi đó, trong quá trình lặp, ta có thể in giá trị của biến thay đổi ra màn hình bằng lệnh echo. Ký hiệu @ báo cho hệ thống biết là không in bản thân câu lệnh (command) ra màn hình, như thế ta sẽ có kết xuất đẹp hơn. Chúng ta chỉ cần bảo hệ thống đếm từ 1 đến 10.

Giờ chúng ta sẽ cùng xem cách thức dùng lệnh này để làm cho lệnh tasklist chạy liên tục:

C:\> for /L %i in (1,0,2) do @tasklist

Với lệnh này, chúng ta lệnh cho máy khởi động vòng lặp với biến bắt đầu bằng 1, số đếm bằng không, cho tới khi đạt giá trị bằng 2. Vòng lặp này sẽ đếm hoài không ngừng nghỉ, cho tới khi chúng ta gỏ CTRL-C để dừng nó lại. Như vậy chúng ta chỉ việc chạy lệnh tasklist tại mỗi lần lặp.

Để thêm vào một đoạn chờ vài giây giữa từng lần lặp, chúng ta chỉ cần ping chính máy của mình (172.0.0.1) nhiều lần tại mỗi lần lặp của toàn bộ vòng lặp, bằng cách thêm dòng “& ping –n 6 127.0.0.1 >nul” như sau:

C:\> for /L %i in (1,0,2) do @tasklist & ping –n 6 127.0.0.1 > nul

Do dòng lệnh của Windows không có chức năng cài sẵn là “ngủ” để chờ một khoảng trễ cho trước, chúng ta có thể dùng lệnh ping để tạo khỏng trễ này. Lệnh trên đây sẽ ping địa chỉ localhost sáu lần (-n 6), tạo ra một quãng trễ 5 giây ( cú ping đầu tiên sẽ xảy ra ngay lập tức, các lần ping sau sẽ lần lượt thực hiện cứ 1 giây một lần ping cho hết 5 lần là 5 giây). Chúng ta hướng kết xuất của lệnh ping ra nul để chúng không xuất hiện trên màn hình. Kết quả là ta có lệnh tasklist chạy cứ 5 giây một lần. Kỹ thuật này có thể được áp dụng để chạy lặp tất cả những lệnh mà chúng ta đã xem xét , giúp người dùng có thể khảo sát kỹ lưỡng hơn kết xuất. Có những cú pháp phức tạp hơn có thể thậm chí phân tích kết xuất của lệnh nhằm cho phép tạo các scripts phân tích hệ thống chi tiết, tuy nhiên những cú pháp này nằm ngoài giới hạn của loại bài viết này.

Khởi động giao diện đồ họa Quản trị bằng dòng lệnh.

Trong khi chế độ dòng lệnh của Windows có nhiều công cụ mạnh mẽ, thì đôi khi công cụ giao diện đồ họa GUI có thể làm tốt hơn dòng lệnh. Tuy nhiên, nhớ lại những vùng tối tăm nơi mà Microsoft đã chôn vùi những controls khác nhau trong GUI của nó là một công việc khiến ta hoang mang .

May thay, người dùng không cần thiết đào bới  toàn bộ GUI để tìm những gì họ cần, thay vào đó họ có thể dựa vào các command-line shortcuts. Ví dụ như, thay vì chuẩn bị khởi động menu để tìm và chạy GUI quản trị người dùng tại chỗ, ta có thể nhảy về dấu nhắc lệnh gần nhất và gõ:

C:\> lusrmgr.msc

Có một loạt các GUI controls có thể được chạy trực tiếp từ dòng lệnh theo cách này, chúng giúp tiết kiệm nhiều thời gian. Đây là một vài controls yêu thích:

• Secpol.msc: Đây là hệ quản trị chính sách an ninh tại chỗ, được dùng để cấu hình hàng trăm thiết lập an ninh cho máy.
• Services.msc: Đây là lệnh chạy các dịch vụ bàn điều khiển GUI (control panel)
• Control: Lệnh này xổ lên toàn bộ các công cụ có trên bàn điều khiển control panel
• Taskmgr.exe: Lệnh này khởi động Task Manager
• Explorer.exe: Để kích hoạt trình duyệt tệp Windows bằng tay, ta chạy lệnh này.
• Eventvwr.msc: Lệnh này chạy Windows Event Viewer, rất tiện cho phân tích log.

Kết luận:

Đầu tiên, có vẻ như những lệnh Windows được trình bày trong bài tối nghĩa và khó nhớ. Tuy vậy, nếu thực hành siêng năng, những công cụ dòng lệnh Windows có thể giúp những người quản trị và chuyên viên an ninh vận dụng thêm nhiều quyền năng với máy tính chạy Windows của họ, cấu hình chúng an toàn hơn và phân tích chúng chi tiết hơn khi bị tấn công.

Đọc Tiếp…

Fortigate Firewall and Route

Fortigate Firewall and Route

I. Mô hình:

• Fortinet: IP Local (Port40): 172.16.1.0/24
• IPWan(Port37): 113.161.102.132/29
• GW: 172.16.1.254
• Giả lập user VPN_Client quay kết nối vào hệ thống mạng.

II. Cấu hình FG:

1. Thiết lập các thông số interface:

2. Cấu hình đối tượng range IP khi quay VPN:

3. Cấu hình user và group để xác thực:

4. Add user vào group và cấu hình như sau:

5.  Cấu hình SSL: add đối tượng add

6. Cấu hình portal trong SSL:

7. Cấu hình các ứng dụng thêm trong Full Access:

8. Cấu hình Policy:

• Policy2: dùng để xác thực SSL_VPN
• Policy1: để local ra internet, Policy 4,5: cho client truy cập mạng local.
• Policy3: cấu hình cho client ra internet khi quay VPN thành công

9. Cấu hình policy xác thực VPN:

10. Cấu hình cho mạng nội bộ ra internet:

11. Cấu hình client ra net khi đã qua VPN thành công:

12. Cấu hình policy client truy cập mạng nội bộ:

13. Cấu hình Route:

14. Theo dõi hệ thống SSL VPN:

Vào trang web: https://113.161.102.132:10443

Quan sát event log của FG:

Đọc Tiếp…

Mạng riêng ảo VPN và những giá trị thiết thực

Mạng riêng ảo, hoặc gọi là Mạng nội bộ ảo, hay tên tiếng Anh là Virtual Private Network (VPN) là một mạng nội bộ để nối tât cả các máy tính, thiết bị mạng… trong một công ty, tổ chức lại với nhau, bất kể các thiết bị đó có ở cách xa nhau về mặt địa lý. Thông qua mạng riêng ảo, các mạng máy tính của các đơn vị thành viên trong doanh nghiệp có thể ghép lại với nhau, tạo thành một hệ thống mạng máy tính duy nhất, an toàn hiệu quả, chia sẽ được mọi dữ liệu tài nguyên và quản lý tập trung.

Doanh nghiệp nào nên sử dụng VPN?

Nếu bạn thuộc một trong hai trường hợp sau thì hãy nên lập kế hoạch để triển khai VPN luôn:

1. Đối với các doanh nghiệp, tổ chức có nhiều chi nhánh ở cách xa nhau thì việc sử dụng VPN là hết sức cần thiết và an toàn. Ví dụ các đơn vị logistic, nhà máy, chuỗi nhà hàng/khách sạn, văn phòng đại diện…
2. Đối với doanh nghiệp, tổ chức có nhân viên làm việc từ xa (chẳng hạn ở nhà), nhưng vẫn cần phải truy cập vào hệ thống máy tính trung tâm, tương tác với các nhân viên khác ở công ty thì bắt buộc phải sử dụng VPN. Ví dụ các đơn vị xây lắp, thiết kế nội thất, thi công công trình, kinh doanh bất động sản

Cân nhắc áp dụng hai hình thức triển khai VPN:

Mạng riêng ảo VPN có 2 dạng triển khai chính, tương ứng với 2 trường hợp sử dụng ở trên. Đó là

Site to Site: kết nối 2 văn phòng với nhau. Lúc này, mọi nhân viên, thiết bị ở cả 2 văn phòng có thể trao đổi mọi thông tin với nhau.

Client to Site: kết nối 1 văn phòng với 1 nhân viên. Lúc này, nhân viên, thiết bị ở  văn phòng và nhân viên làm việc từ xa có thể trao đổi mọi thông tin với nhau

Một số thiết bị VPN

Có nhiều hãng cung cấp thiết bị phần cứng VPN, và cũng có nhiều phần mềm VPN khác nhau, có phí hoặc miễn phí:

Phần cứng: của Cisco, Draytek, Fortigate…

Phần mềm: chạy trên nền hệ điều hành Windows, Linux/Unix như pfSense, OpenVPN…

VPN site to site IPSEC

2.Yên cầu

Cấu hình VPN cho phép 2 LAN ở router  danang và router  quangnam liên lạc được với nhau.

3.Cấu hình:

1. Cấu hình  cơ bản trên các router

-Router ISP: chỉ cấu hình hostname và IP của các interface như mô hình trên

– Router danang: cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.

danang(config)#ip route 0.0.0.0 0.0.0.0 192.168.1.2

– Router quangnam: cấu hình hostname và ip theo mô hình, sau đó cấu hình default route.
quangnam(config)#ip route 0.0.0.0 0.0.0.0 192.168.2.1

 b.Cấu hình VPN theo các bước sau:

Trên router danang

Bước1: Tạo Internet Key Exchange (IKE) key policy.

Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)

danang (config)#crypto isakmp policy 9

danang (config-isakmp)#hash md5                   thuật toán hash

danang (config-isakmp)#encryption des           thuật toán mã hoá

danang (config-isakmp)#group 2                  số nhóm (version) Diffie-Hellman

danang (config-isakmp)#authentication pre-share       Phương pháp chứng thực

Bước 2: Tạo shared key để sử dụng cho kết nối VPN

danang (config)#crypto isakmp key VPNKEY address 192.168.2.2    (ip của router quangnam)  Xác định thông tin key và peer

Kết quả khi “ show crypto isakmp policy”:

                                                                    Cấu hình IKE policy trên router danang

Bước3: Quy định lifetime

danang (config)#crypto ipsec security-association lifetime seconds 86400

Bước4: Cấu hình ACL dãy IP có thể VPN.

Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ

danang (config)#access-list 100 permit ip 30.0.0.0  0.0.0.255  10.0.0.0   0.0.0.255

cho phép mạng lan danang vpn sang mạng lan quangnam

Bước 5:  Define the transformations set that will be used for this VPN connection Cấu hình chính  sách IPSec

danang (config)#crypto ipsec transform-set danang esp-3des esp-md5-hmac

chọn giao thức ESP để đóng gói dữ liệu

Bước 6:  Tạo cypto-map cho các transform, setname

danang (config)#crypto map MAPNAME 10 ipsec-isakmp

danang (config-crypto-map)#set peer  192.168.2.2   (ip của router quangnam)

danang (config-crypto-map)#set transform-set danang  ( setname ở bước 5)
danang (config-crypto-map)#match address 100  (100 : acl-number ở bước 4 )

Bước7: Đưa crypto map vào interface

danang (config)#inter f0/0

danang (config-if)#crypto map MAPNAME  (mapname ở bước 6)

Trên router quangnam

Bước1: Tạo Internet Key Exchange (IKE) key policy.

Ở bước này ta quy định các thông số bảo mật của ISAKMP SA gồm:
– Phương pháp chứng thực
– Thuật toán hash
– Thuật toán mã hóa
– Số nhóm khóa Diffie-Hellman (version của Diffie-Hellman)

quangnam (config)#crypto isakmp policy 9

quangnam (config-isakmp)#hash md5                   thuật toán hash

quangnam (config-isakmp)#encryption des           thuật toán mã hoá

quangnam (config-isakmp)#group 2        số nhóm (version) Diffie-Hellman

quangnam (config-isakmp)#authentication pre-share       Phương pháp chứng thực

Bước 2: Tạo shared key để sử dụng cho kết nối VPN

quangnam (config)#crypto isakmp key VPNKEY address 192.168.1.1    (ip của router danang)  Xác định thông tin key và peer

Bước3: Quy định lifetime

quangnam (config)#crypto ipsec security-association lifetime seconds 86400

Bước4: Cấu hình ACL dãy IP có thể VPN.

Xác định luồng dữ liệu nào sẽ được mã hoá bảo vệ

quangnam (config)#access-list 100 permit ip 10.0.0.0   0.0.0.255  30.0.0.0  0.0.0.255

cho phép mạng lan quangnam vpn sang mạng lan danang

Bước 5:  Define the transformations set that will be used for this VPN connection Cấu hình chính  sách IPSec

quangnam (config)#crypto ipsec transform-set danang esp-3des esp-md5-hmac

chọn giao thức ESP để đóng gói dữ liệu

Bước 6:  Tạo cypto-map cho các transform, setname

quangnam (config)#crypto map MAPNAME 10 ipsec-isakmp

quangnam (config-crypto-map)#set peer  192.168.1.1   (ip của router danang)

quangnam (config-crypto-map)#set transform-set danang  ( setname ở bước 5)

quangnam (config-crypto-map)#match address 100  (100 : acl-number ở bước 4 )

Bước7: Đưa crypto map vào interface

quangnam (config)#inter f0/0

quangnam (config-if)#crypto map MAPNAME  (mapname ở bước 6)

VPN client to site IPSEC

Cấu hình VPN client-to-site trên router vpn:

1. Bật chứng thực AAA trên Router  sử dụng phương thức chứng thực local

routervpn(config)#username hoa password 123  dùng đăng nhập vào router vpn

routervpn(config)#aaa new-model

routervpn(config)#aaa authentication login default local none

2. Tạo IP pool cho VPN client sử dụng để kết nối VPN:

routervpn(config)#ip local pool vpnclient 172.16.1.20 172.16.1.40

cấp ip cho vpn client

4. Cấu hình Group Authorization (nhóm thẩm định với VPN Server):

routervpn(config)#aaa authorization network vpnauth local

5. Tạo 1 IKE Policy và Group (sử dụng pre-share key và dùng AES để mã hóa với 256 bit)

routervpn(config)# crypto isakmp policy 10

routervpn(config-isakmp)#authentication pre-share

routervpn(config-isakmp)#encryption aes 256

routervpn(config-isakmp)#group 2

6. Tạo ISAKMP group là ttggroup và password 1234:

routervpn(config)#crypto isakmp client configuration group ttggroup

routervpn(config-isakmp-group)#key 1234

routervpn(config-isakmp-group)#pool vpnclient      (pool giong ten voi bc 2)

routervpn(config-isakmp-group)#netmask 255.255.255.0

7. Cấu hình IPSec Transform sử dụng thuật toán mã hóa 3DES và SHA-HMAC để đảm bảo tính toàn vẹn dữ liệu:

routervpn(config)# crypto ipsec transform-set key1 esp-3des esp-sha-hmac

8. Tạo 1 Dynamic Crypto Map:

routervpn(config)#crypto dynamic-map mymap 10

routervpn(config-crypto-map)#set transform-set key1 ( giong ten voi bc 7)

routervpn(config-crypto-map)#reverse-route

routervpn(config)#crypto map mymap client configuration address respond

routervpn(config)#crypto map mymap isakmp authorization list vpnauth (giong bc 4)

routervpn(config)#crypto map mymap 10 ipsec-isakmp dynamic mymap

9. Cấu hình user chứng thực

routervpn(config)# aaa authentication login vpnauth local  (giong bc 4)

routervpn(config)# username hoapro password 12345  tên đăng nhập cho client

routervpn(config)#crypto map mymap client authentication list vpnauth (giong bc 4,8)

routervpn(config)#int f0/1 gán lên cổng  ra ngoài internet của router mới chạy được

routervpn(config-if)#crypto map mymap

10. Cài đặt VPN Client :

Thế này là kết nối thành công:

Lưu ý : Nếu sử dụng thiết bị thật thì có thể dùng phần mềm cisco VPN Client

Kiểm tra hoạt động VPN:

Code:

#show crypto isakmp sa

#show crypto ipsec sa

Đọc Tiếp…