Nghiên cứu và triển khai hệ thống mạng sử dụng công nghệ VPN

người dùng và cơ sở cấu hình của giao thức điểm – điểm PPP Point-to-PointProtocol để thiết lập các khóa mã1.4.2 Giao thức đường hầm lớp 2- L2TP Hình 1-5 Giao thức L2TP Đây là giao thức

MỤC LỤC

DANH MỤC HÌNH VẼ

THÔNG TIN KẾT QUẢ NGHIÊN CỨU

1 Thông tin chung

Tên đề tài: Nghiên cứu và triển khai hệ thống mạng sử dụng công nghệ VPNSinh viên thực hiện: Lê Đức Anh

Mã sinh viên: 1721050277 Lớp: DCCTMMA

Hệ đào tạo: Chính Quy

- Nắm rõ được khái niệm, tác dụng của VPN

- Biết cách triển khai dịch vụ VPN

- Triển khai mô hình VPN thực tế

MỞ ĐẦU

1 Tổng quan tình hình nghiên cứu thuộc lĩnh vực của đề tài

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trêntoàn thế giới cả về số lượng và về kĩ thuật Và sự phát triển đó không có dấu hiệu sẽdừng lại Sự phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nốivào hệ thống Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộcsống hiện đại, vào các hoạt động thương mại với quy mô lớn nhỏ khác nhau

Cùng với sự phát triển đó thì các vấn đề về bảo mật, bảo vệ các nguồn thôngtin quan trọng được lưu trên hệ thống được coi trọng hơn Hơn nữa, cùng với xuhướng toàn cầu hóa, chi phí bổ sung cho thông tin liên lạc, truyền tải dữ liệu giữacác chi nhánh trên khắp nơi tăng cao Người ta thấy rằng có thể giảm chi phí nàybằng cách sử dụng mạng Internet, từ đó có thể tăng lợi nhuận của tổ chức

2 Tính cấp thiết, ý nghĩa khoa học và thực tiễn của đề tài

Một điều phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữliệu qua mạng trung gian công cộng không an toàn như Internet Để giải quyết vấn

đề này, một giải pháp đưa ra là mạng riêng ảo (VPN) Chính điều này là động lựccho sự phát triển mạnh mẽ của VPN như ngày nay

Vì vậy việc nghiên cứu và triển khai hệ thống mạng sử dụng công nghệ VPN trở nên cần thiết đối với mỗi tổ chức, cá nhân , đặc biệt là đối tượng doanh nghiệp, đối tượng cần kết nối riêng tư và bảo mật nhất

CHƯƠNG 1 TỔNG QUAN VỀ CÔNG NGHỆ VPN1.1 Lịch sử hình thành và phát triển

Bắt nguồn từ yêu cầu của hộ khách (client), mong muốn có thể kết nối mộtcách có hiệu quả các tổng đài thuê bao (PBX) lại với nhau, thông qua mạng diệnrộng WAN PBX hệ thống điện thoại nhóm (group telephone) hoặc mạng cục bộLAN trước kia sử dụng dây thuê bao riêng cho việc tổ chức mạng chuyên dung đểthực hiện nối thông

Năm 1975, viễn thông Pháp (France telecom) đã đưa ra một loại nghiệp vụđược gọi là Colisee, cung cấp dịch vụ dây chuyên dụng loại chuyển mạch cho các

hộ khách thương mại loại lớn Kết cấu của nó là lấy tổng đài chuyển tiếp E 10 N3của Alcatel làm cơ sở thông qua dây thuê chung, nối các bộ phận của công ty lớnđến thiết bị tập trung này, đặt tại Paris Colisee có thể cung cấp phương án gọi sốchuyên dụng cho hộ khách Căn cứ lượng nghiệp vụ mà đưa ra cước phí và nhiềutính năng quản lý khác (như quản lý hóa đơn nợ chi tiết, chất lượng và thống kêlượng nghiệp vụ…) Mạng dây chuyên dùng loại hình cùng hưởng thụ này chính làhình thức đầu tiên của VPN, chủ yếu là dùng để nối thông tổng đài thuê bao, cungcấp dịch vụ chuyển mạch âm thoại và quản lý mạng lưới cho hộ khách Nhưngphạm vi bao phủ của VPN lấy tổng đài làm cơ sở để thực hiện này rất hẹp, chủngloại tính năng nghiệp vụ cung cấp không nhiều, có thể tiếp nhập PBX mà không thểtiếp nhập hộ dùng chỉ có một đôi dây, nên không thực sự linh hoạt

Bắt đầu từ năm 1985, ba công ty viễn thông đường dài cỡ lớn của Mỹ làAT&T, MCI và Sprint đã lần lượt đưa ra nghiệp vụ mạng chuyên dùng ảo, có tênriêng là SDN (Software Defined Network – mạng được định nghĩa bằng phầnmềm), Vnet và VPN, đây được coi như là một phương tiện tương đối rẻ tiền dùng

để thay thế cho dây chuyên dùng Do chi phí VPN rẻ hơn dây thuê dùng đối với các

hộ khách có lượng nghiệp vụ không bằng nhau, được áp dụng các ưu đãi về cướcphí với mức độ khác nhau, nên nhiều hộ khách có mạng chuyên dùng lớn đều bắtđầu chuyển sang áp dụng nghiệp vụ VPN Khoảng năm 1988, trên mặt nghiệp vụVPN, ba công ty nói trên đã triển khai một cuộc chiến quyết liệt về giá cả, làm chomột số xí nghiệp vừa và nhỏ cũng có thể sử dụng VPN Và có thể tiết kiệm đượcđến 30% tiền cước phí sử dụng Đã kích thích sự phát triển nhanh chóng của dịch

vụ này tại Mỹ Hiện nay VPN không chỉ dùng cho nghiệp vụ đàm thoại mà còn cóthể dùng cho nghiệp vụ dữ liệu

Sự phát triển toàn cầu hóa của kinh tế cũng kéo theo sự phát triển nhanhchóng của VPN trên toàn cầu Sự hình thành của một số tổ chức thương mại tầm cỡ

thế giới và liên minh kinh tế có tính khu vực, như liên minh Châu Âu chẳng hạn,làm cho tỷ trọng thương mại quốc tế hóa tăng lên rất nhiều, từ đó cũng dẫn đến sựtăng trưởng nhu cầu dịch vụ viễn thông quốc tế Một số liên minh và công ty đaquốc gia cần có mạng lưới toàn cầu phức tạp nối liền với chất lượng cao các bộ máythương mại trên toàn thế giới của họ lại với nhau và phải có sự phục vụ kịp thời vềmặt quản lý và bảo dưỡng Do mạng lưới quốc tế áp dụng VPN có thể thỏa mãn mộtcách có hiệu quả nhu cầu của số hộ khách này Và so với đường dây trong nước, cóthể tiết kiệm chi phí truyền dẫn còn rõ rệt hơn, đối với các hộ khách lớn như công tyhay tập đoàn đa quốc gia càng có tính hấp dẫn, những tổ chức này ồ ạt chuyển từcác mạng chuyên dùng đã được thiết lập sang sử dụng VPN Một số hộ kháchthương mại lớn còn liên kết lại với nhau hình thành hiệp hội hộ dùng VPN, nhưhiệp hội dùng VPN châu Âu (EVUA), và có ảnh hưởng tương đối lớn, mục đích lànhằm có thể đạt được tỷ lệ tính năng trên giá thành tốt nhất trong việc sử dụngnghiệp vụ VPN Nhờ có những ảnh hưởng đó, nghiệp vụ VPN quốc tế (IVPN) haycòn gọi là VPN toàn cầu (GPN), đã phát triển nhanh chóng.

1.2 Tổng quan về VPN

VPN là một đường hầm vận chuyển giao thông mạng riêng từ một hệ thống ởđầu này đến hệ thống ở đầu kia qua mạng chung ( như mạng internet ) mà không đểgiao thông nhận biết có những hộp trung gian giữa 2 đầu, hoặc không để cho nhữnghộp trung gian nhận biết chúng đang chuyển những gói tin qua mạng đã được mãhóa đi qua đường hầm Định đường hầm (tunneling ) là một cơ chế dùng cho việcđóng gói (encapsulate ) một giao thức vào trong một giao thức khác Trong ngữcảnh internet, định đường hầm cho phép những giao thức như: IPX, AppleTalk và

IP được mã hóa, sau đó đóng gói trong IP Tương tự, trong ngữ cảnh VPN, địnhđường hầm che giấu giao thức lớp mạng nguyên thủy bằng cách mã hóa gói dữ liệu

và chứa gói mã hóa vào trong một vỏ bọc IP(IP envelope) Vỏ bọc IP này thực ra làmột gói IP, sau đó sẽ được chuyển đi một cách bảo mật qua mạng internet Tại bênnhận, sau khi nhận được gói trên sẽ tiến hành gỡ bỏ vỏ bọc bên ngoài và giải mãthông tin dữ liệu trong gói này và phân phối đến thiết bị truy cập thích hợp, chẳnghạn như 1 bộ định tuyến Một ứng dụng điển hình của VPN là cung cấp 1 kênh antoàn từ đầu mạng giúp cho những văn phòng chi nhánh hoặc văn phòng ở xa hoặcnhững người làm việc từ xa có thể dùng internet truy cập vào tài nguyên công tymột cách bảo mật và thoải mái như đang sử dụng máy tính cục bộ trong mạng côngty

Hình 1-1 Mô hình VPN cơ bản

1.3 Cấu trúc của VPN

Tất cả các VPN đều cho phép truy cập bảo mật qua các mạng công cộng bằng cách sử dụng những dịch vụ bảo mật, bao gồm việc định đường hầm (tunneling) và các biện pháp mã hóa dữ liệu

Hình 1-1 Cấu trúc của một VPN

1.3.1 Tính bảo mật

Bảo mật là những gì làm cho VPN trở nên có tính “ảo” và “riêng” Để cạnhtranh và nhiều lý do khác, việc bảo mật thông tin và các quá trình trao đổi thông tincủa công ty trở nên có tính chất sống còn, đó là nguyên nhân các giải pháp WAN vàđường truyền kênh thuê riêng được sử dụng 1 cách phổ biến như hiện nay Như vậy,yêu cầu của VPN là phải bảo mật như đường dây thuê riêng, đồng thời mang lạinhững ưu điểm về chi phí mà không cần phải bỏ những tính riêng tư của mạng Do

đó, cần kết hợp các sản phẩm và công nghệ với nhau để đảm bảo bảo mật cho cáckết nối VPN

Hình 1-2 Bảo mật trong VPN

1.3.2 Đường hầm

Các đường hầm (tunnel) chính là đặc tính ảo của VPN, nó làm cho một kếtnối dường như một dòng lưu lượng duy nhất trên đường dây Đồng thời còn tạo choVPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như đã áp dụngtrong mạng nội bộ, bảo đảm cho vai trò kiểm soát dòng lưu chuyển dữ liệu Đườnghầm củng làm cho VPN có tính riêng tư

Các loại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm có giaothức định đường hầm điểm - điểm PPTP (Point to Point Tunneling Protocol),chuyển tiếp lớp 2 – L2F (Layer 2 Forwarding) hoặc giao thức định đường hầm lớp 2– L2TP (Layer 2 Tunneling Protocol) Các mạng VPN nội bộ và mở rộng dànhriêng có thể sử dụng những công nghệ như bảo mật IP – Ipsec (IP security) hoặc bọcgói định tuyến chung GRE (Generic Route Encapsulation) để tạo nên các đườnghầm ảo thường trực

Hình 1-3 Đường hầm trong VPN

1.3.3 Mã hóa

Mã hóa (encryption) là tính năng tùy chọn nó cũng đóng góp vào đặc điểm

“riêng tư” của VPN Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quan trọng đặc biệt, còn bình thường thì không cần vì việc mã hóa có thể ảnh hưởng xấu đến tốc độ, tăng gánh nặng cho bộ xử lý

1.4 Sơ lược về các giao thức dùng cho VPN

Hiện nay có 3 giao thức chính dùng để xây dựng VPN là:

1.4.1 Giao thức đường hầm điểm- điểm PPTP

người dùng và cơ sở cấu hình của giao thức điểm – điểm PPP (Point-to-PointProtocol) để thiết lập các khóa mã

1.4.2 Giao thức đường hầm lớp 2- L2TP

Hình 1-5 Giao thức L2TP

Đây là giao thức chuẩn của IETF (Internet Enginneerring Task Force) sửdụng kĩ thuật khóa công cộng (public key technology) để thực hiện việc xác thựcngười dùng và có thể hoạt động thông qua một môi trường truyền thông đa dạnghơn so với PPTP Một điểm đáng lưu ý là L2TP (Layer 2 Tunneling Protocol) khôngthể sử dụng để thực hiện việc mã hóa

1.4.3 Giao thức bảo mật IPsec

Hình 1-6 Giao thức IPSec

Đây là giao thức chuẩn của IETF dùng để cung cấp việc mã hóa Lợi điểmlớn nhất của Ipsec (IP security) là giao thức này có thể được sử dụng để thiết lậpmột VPN một cách tự động và thích hợp với chính sách bảo mật tập trung và có thể

sử dụng và có thể sử dụng để thiết lập một VPN dựa trên cơ sở các máy tính màkhông phải là các người sử dụng

Để xây dựng một VPN bảo mật, chúng ta có thể dùng 2 cách sau:

Cách 1: Có thể dùng PPTP một cách độc lập vì bản thân PPTP có thể cung cấp mộtVPN bảo mật Dùng cách này ta sẽ giảm thiểu được chi phí và việc quản lý sẽ ítphức tạp

Cách 2: Kết hợp giữa L2TP và IPSec để cung cấp một VPN bảo mật, cách này thíchhợp cho những công ty đòi hỏi tính bảo mật mạng cao, mặc dù phương pháp này sẽgây tốn kém và việc quản lý mạng sẽ có độ phức tạp hơn so với cách trên

1.5 Ưu điểm của VPN

1.5.1 Ưu điểm

- Bảo mật: VPN mã hóa tất cả dữ liệu trên đường hầm VPN

- Tiết kiệm chi phí: Sự xuất hiện của VPN đã làm cho những cuộc quay sốđường dài tốn kém hay đường dây thuê bao không còn cần thiết nữa đối vớinhững tổ chức sử dụng VPN”đóng gói” dữ liệu 1 cách an toàn qua mạnginternet

- Nhanh chóng: những tổ chức có văn phòng chi nhánh hay những người làmviệc từ xa có thể truy cập dữ liệu của văn phòng công ty chính từ bất kì địađiểm nào trên thế giới mà không phải tốn kém nhiều bằng cách kết nối vàomạng internet thông qua nhà cung cấp dịch vụ địa phương

- Có nhiều lý do cho việc thiết lập VPN cho việc truy xuất từ xa, nhưng đặcbiệt hấp dẫn nhất tới những người quan tâm là khả năng tiết kiệm giá thành

- Trong những tổ chức lớn, điều này gây ra một sự khác biệt lớn về giá thành.Khi một tổ chức đưa công ty lên mạng của mình, số lượng đường truyền thuê

sẽ tăng theo số mũ Trong mạng WAN truyền thống, điều này có thể giới hạntính linh hoạt cho sự phát triển, VPN thì không

- Sử dụng VPN, các khách hàng nhận được sự thiết lập kết nối Internet tốc độcao và thiết lập cấu hình trong thời gian ngắn hơn những dịch vụ tương tự

- Số lượng kết nối đồng thời lớn

- Băng thông không bị hạn chế, chỉ phụ thuộc vào tốc độ đường truyềninternet mà bạn sử dụng

- Mọi giao thông qua VPN điều được mã hóa bất chấp nhu cầu có cần mã hóahay không Việc này có chiều hướng gây nên tắt nghẽn cổ chai

- Không cung cấp sự bảo vệ bên trong mạng – VPN kết thúc ở đầu mạng

- Một khi nhân viên đã vào bên trong mạng, dữ liệu không còn được mã hóanữa Hơn nữa, các VPN không thể giới hạn nhân viên thoát khỏi sự truy cậpthoải mái bất kì server nào trên mạng nội bộ

1.6 Các mô hình VPN

Hình 1-7 Các mô hình VPN

Mô hình client -Server

Các VPN này cung cấp truy cập tin cậy cho những người dùng đầu xa nhưcác nhân viên di động, các nhân viên ở xa và các văn phòng chi nhánh thuộcmạng lưới của công ty

Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềmVPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPNconcentrator (bản chất là một server) Vì lý do này, giải pháp này thường đượcgọi là Client/Server Trong giải pháp này, người dùng thường sử dụng các côngnghệ WAN truyền thống để tạo lại các Tunnel về trung tâm của họ, việc cấu hìnhcũng như xác thực gần như trong suốt với người dùng, họ đơn giản chỉ cần cung

cấp thông tin xác thực thông qua phần mềm Client để máy chủ tiến hành việcchứng thực User nên còn được gọi là Easy VPN (Theo Cisco)

Hình 1-8 Mô hình Remote Access VPN qua Internet

Thuận lợi chính của Remote Access VPN

- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

- Sự cần thiết hỗ trợ cho người dùng cá nhân được giảm thiểu bởi vì kết nối từ

xa đã được tạo điều kiện thuận lợi bởi ISP

- Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kếtnối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

- Giảm giá thành chi phí cho các kết nối với khoảng cách xa

- Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn sovới kết nối trực tiếp đến những khoảng cách xa

- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch

vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kếtnối đồng thời đến mạng

Hạn chế của Remote Access VPN

- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữliệu có thể đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể,điều này gây khó khăn cho quá trình xác nhận Thêm vào đó, việc nén dữliệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớnnhư các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

- Mặc định, người dùng Remote Access VPN khi kết nối tới VPN Server sẽkhông thể đi ra Internet trực tiếp từ máy của mình Tất cả các gói tin đều

sẽ được mã hóa đi trong Tunnel tới VPN Server, và nếu VPN Server chophép gói tin này thì mới ra được Internet Tuy nhiên, Cisco đã cung cấpcho người dùng công nghệ Split Tunneling để cải thiện việc này Bản chấtcủa Split Tunneling là tạo ra một ACL trong đó định nghĩa ra lớp mạngnào sẽ được bảo vệ bằng đường hầm IPSec, những gói tin mang địa chỉnguồn, đích khác với ACL này được hiểu là không mã hóa và không đưavào Tunnel

Hoạt động của Remote Access VPN

Tại server: Router server được cấu hình một dải địa chỉ để cấp xuống choRemote user khi có yêu cầu, đồng thời các chính sách bảo mật, xác thực ngườidùng có thể được sử dụng trên ngay Router server bằng cách tạo ra các username

và password trực tiếp Chuyên dụng hơn, với những VPN lớn số người dùng truycập có thể lên tới hàng ngàn, ngươi ta đưa việc xác thực người dùng này cho mộtbên thứ ba có thể là máy chủ Terminal Access Controller Access Control Service(TACACS), Remote Access Dial-In

User Service (RADIUS), hay dùng một server chứng thực đơn giản nhưAAA Router Server sẽ trỏ đến các server chứng thực này đề lấy thông tin

Tại Remote User: Người dùng sử dụng phần mềm quay số VPN đếnServer nhập username và password nếu có sẵn trên server VPN hay gửi yêu cầucung cấp chứng thực người dùng tới các server chứng thực nói trên, sau khiRemote user được cung cấp chứng thực, Remote user sẽ dùng nó kết nối tớiServer VPN, lúc này Server VPN đẩy cấu hình VPN cho User cấp địa chỉ IP theodải thiết lập của nó để thực hiện kết nối VPN

Các bước thiết lập đường hầm Remote Access VPN:

Bước 1:

- Chia sẻ key, hoạt động ở mức tích cực

- Sử dụng chứng chỉ số, tiến hành chính thức

Hình 1-9 Bước 1 trong thiết lập đường hầmBước 2:

- VPN client nỗ lực để thiết lập một SA giữa những địa chỉ IP bằng cáchgửi nhiều ISAKMP đến Easy VPN Server

- Để giảm cấu hình bằng tay tại máy VPN Client ,có sự kết hợp giữaISAKMP với một số điều sau đây :

- Các thuật toán mã hóa và hàm băm

- Phương pháp xác thực

- Diffie-Hellman

Hình 1-1-10 Bước 2 trong thiết lập đường hầmBước 3

- Easy VPN Server tìm kiếm cho phù hợp :

- Xét đề nghị đầu tiên phù hợp với danh sách máy chủ được chấp nhận

- Xét đề nghị an toàn nhất là luôn luôn được liệt kê trên cùng một danh sáchcùa Easy VPN Server

- Các SA ISAKMP thiết lập thành công

- Thiết bị kết thúc xác thực và bắt đầu xác thực user

Hình 1-11 Bước 3 trong thiết lập đường hầmBước 4:

- Nếu Easy VPN Server cấu hình cho Xauth , VPN Client chờ đợi cách thứccho Username / Password :

- Người dùng nhập vào Username / Password

- Thông tin User/ Pass được đối tượng kiểm tra và xác thực bằng AAA

- Tất cả Easy VPN Server được cấu hình để thực thi xác thực User

- RRI nên được sử dụng khi các điều kiện sau xảy ra :

- Nhiều hơn một máy VPN Server

- Địa chỉ IP tĩnh được sử dụng với một số Client

- RRI đảm bảo việc tạo ra Static Router

- Phân phối lại các tuyến đường tĩnh vào một IGP cho phép các máy chủtìm thấy Easy

- VPN Server thích hợp cho việc kết nối với Client

Hình 1-12 Bước 6 trong thiết lập đường hầmBước 7:

Sau khi các thông số được cấu hình đã được công nhận bởi VPN Client IPSec quick mode nhanh chóng được bắt đầu đàm phán thành lập IPSec

-SA - Sau khi thành lập IPSec -SA kết nối VPN đã hoàn tất

1.7 Mô hình VPN nội bộ

Intranet VPN được sử dụng để kết nối các chi nhánh văn phòng đến trụ sởchính của tổ chức thông qua hệ thống các Router trong mạng WAN của tổ chức đó.Việc thiết lập Intranet VPN này rất tốn kém vì phải sử dụng các Router riêng đểhình thành mạng WAN, đồng thời việc quản lí và bảo trì sẽ phức tạp tùy thuộc vàolượng lưu thông trên mạng và phạm vi địa lý của cả tổ chức, cách dùng mạng WANnày thường áp dụng cho các tổ chức có ít chi nhánh và nằm trong những khu vựcđịa lí nhỏ hẹp liền kế nhau

Hình 1-13Intranet VPN dùng trong mạng nội bộ

Để tiết kiệm được chi phí đáng kể khi sử dụng Intranet VPN người tathường sử dụng các mạng công cộng Internet thể thiết lập kết nối giữa các chinhánh với nhau, điều này cũng mang đến thuận lợi trong việc quản lí và bảo trì,thay vì dùng WAN, người ta sử dụng Internet, do đó có sự tham gia quản lí và bảotrì của các ISP, chưa kể đến việc backup VPN cũng dễ dàng hơn nhiều, thay vì phảiđầu tư các Router phục vụ backup, các tổ chức chỉ cần đăng kí vào Internet qua mộtISP khác Ngoài ra, Internet cũng xóa bỏ tối đa ảnh hưởng của địa lý đến các kết nốiVPN so với WAN

Tuy nhiên, như vậy không có nghĩa là sử dụng mạng Internet không bộc lộ nhữngđiểm yếu nhất định Vì dữ liệu truyền đi vẫn trong Tunnel nhưng là của một mạngcông cộng, sẽ không tránh khỏi những cuộc tấn công của các Hacker, tiêu biểu làtấn công từ chối dịch vụ DoS (Deny of Service) Mặt khác, đối với một số dữ liệuMultimedia như các tín hiệu hình ảnh, âm thanh khi truyền qua đường Internet sẽrất chậm chạp trong khi đó, Internet lại là một môi trường kết nối ít được đảm bảo

về QoS cũng như việc mất gói dữ liệu rất dễ xảy ra

Mô hình VPN mở rộng

Hình 1-14 Extranet VPN

Không giống như Intranet, Extranet cho phép truy xuất tài nguyên mạng cầnthiết của các đối tác kinh doanh như khách hàng, nhà cung cấp, đối tác giữ vai tròquan trọng trong tổ chức Thực chất Extranet là một sự mở rộng của Intranet, khi đóbao gồm rất nhiều Intranet kết hợp với nhau giữa các tổ chức có mối liên kết nhấtđịnh Cũng như ở trên, sự kết nối này là khác phức tạp và tốn kém Extranet là mộtmạng rất dễ mở rộng Nhưng việc mở rộng này cũng là một vấn đề lớn, nó có thểảnh hưởng đến các kết nối trong toàn mạng, làm rối tung các Intranet hiện có, thêmmột Intranet VPN vào Extranet cần có sự đồng thuận của tất cả các Intranet còn lại

Có nhiều vấn đề đột biến xảy ra khi thêm vào một mạng Intranet Do đó, Extranet

dễ mở rộng về phương diện một tổ chức có quan hệ rộng và lâu dài, nhưng đôi khicũng là ác mộng đối với những kỹ sư thiết kế và quản trị VPN

Hiện nay các Extranet cũng sử dụng mạng Internet để giảm đi các bất lợi trên.Extranet VPN là một mạng rất khó quản lí, vì vậy chi phí thuê đội quản lí cũng sẽgiảm nếu có sự tham gia trung chuyển của các ISP Các mối đe dọa xâm nhập trênExtranet có mức độ cao hơn trên Intranet vì độ lớn và phức tạp của nó

CHƯƠNG 2 BẢO MẬT HỆ THỐNG VPN2.1 Các giao thức hoạt động trên hệ thống VPN

2.1.1 Giao thức IPSec

Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giaothức IPSec Họ giao thức IPSec đầu tiên, cho xác thực, mã hóa các gói dữ liệu IP,được chuẩn hóa thành các RFC từ 1825 đến 1829 vào năm 1995 Họ giáo thứcnày mô tả kiến trúc cơ bản của IPSec bao gồm 2 loại tiêu đề được sử dụng tronggói IP Gói IP là đơn vị dữ liệu cơ sở trong mang IP IPSec định nghĩa 2 loại tiêu

đề cho các gói IP để điều khiển quá trình xác thực và mã hóa: một là xác thựctiêu đề IP-AH (IP Authentication Header) điều khiển việc xác thực và hai là bọcgói bảo mật tải ESP (Encapsulation Security Payload) cho mục đích mã hóa

Hình 2-1Giao thức IPSecIPSec được phát triển nhắm vào họ giao thức IP kế tiếp IPv6, nhưng doviệc chấp nhận IPv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSecđã được thay đổi cho phù hợp vói IPv4 nhưng đối với IPv6 thì có sẵn IPSec

2.1.2 Dạng giao thức của IPSec

Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính đó là:

- Kết hợp bảo mật SA (Security Association)

- Xác thực tiêu đề AH (Authentication Header)

- Bọc gói bảo mật tải ESP (Encapsulation Security Payload) - Chế độ là việc

Kết hợp bảo mật SA

Để 2 bên có thể truyền dữ liệu đã được bảo mật ( dữ liệu đã được xác thực hoặcđược mã hóa hoặc cả hai) cả 2 bên phải cùng thống nhất giải thuật mã hóa, làm cáchnào để chuyển khóa và chuyển khóa nếu như cần Cả 2 bên cũng cần phải thoãithuận bao lâu thì sẽ thay đổi khóa một lần Tất cả các thoãi thuận trên là do SA đảmtrách Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất 1 SA và có thể đòihỏi nhiều hơn vì mỗi giao thức đòi hỏi phải có 1 SA cho riêng nó Do đó một góiđược xác thực đòi hỏi 1 SA, một gói được mã hóa yêu cầu phải có 1 SA Thậm chínếu cùng dùng chung một giải thuật cho xác thực và mã hóa thì cũng cần phải có 2

SA khac nhau do sử dụng những bộ khóa khác nhau

Hình 2-2 IPSec SA

Một IPSec SA mô tả các vấn đề sau

- Giải thuật xác thực sử dụng cho AH và khóa của nó

- Giải thuật mã hóa ESP và khóa của nó

- Dạng thức và kích thước của bộ mật mã sử dụng trong giải thuật mã hóa

- Giao thức, giải thuật, khóa sử dụng cho việc truyền thông

- Giao thức, giải thuật mã hóa, khóa sử dụng cho việc truyền thông riêng

- Bao lâu thì khóa được thay đổi

- Giải thuật xác thực, kiểu, chức năng sử dụng trong ESP và khóa được sửdụng bởi giải thuật đó

0 7 8 15 16 23 24 31

Next Header Payload length RESERVED

Security Parameter Index (SPI)

Sequence Number

Authentication data

- Thời gian sống của khóa

- Thời gian sống của SA

- Địa chỉ nguồn SA

Có thể xem SA như một kênh bảo mật thông qua một mạng công cộng đến mộtngười hay một nhóm làm việc cụ thể

Xác thực tiêu đề AH

Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sửdụng cho các dịch vụ xác thực AH được chèn vào giữa tiêu đề IP và nội dungphía sau, không làm thay đổi nội dung gói dữ liệu

Xác thực tiêu đề gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field),chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security ParameterIndex), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data).Hai khái niệm mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận gói biết

họ giao thức bảo mật mà phía gởi dùng trong truyền thông, hai là dữ liệu xácthực mạng thông tin về giải thuật mã hóa được định nghĩa bởi SPI

Hình 2-3 Cấu trúc gói tin AHHMAC kết hợp với MD5, HMAC kết hợp với SHA-l lả giải thuật mã hóađược chọn làm những phương thức mặc định cho việc tính toán tổng kiểm tra(checksum) Các mặc định này là kết quả của những thay đổi IPSec để cải thiện

cơ chế xác thực bởi vì mặc định trước đó MD5 được phát hiện là không tránhđược các tấn công đụng độ

Thủ tục sử dụng cho các phương thức này (HMAC-MD5 hay l) giống nhau Tuy nhiên SHA-l có chức năng băm hơn MD5 Trong cả 2 trườnghợp, giải thuật hoạt động trên những khối dữ liệu 64 byte Phương thức HMAC-MD5 sinh ra bộ xác thực 128 bit trong khi HMAC-SHA-l sinh ra bộ xác thực

HMAC-SHA-Security Parameter Index (SPI)

Sequence Number

160 bit Bởi vì chiều dài mặc định của xác thực được định nghĩa trong AH chỉ

có 96 bit nên các giá trị thực sinh ra phải được chia nhỏ trước khi lưu vào trongtrường xác thực của AH

Khi nhận gói dữ liệu, đầu nhận sẽ tính toán giá trị bộ xác thực của riêng nó là

128 bit hay 160 bit (tùy theo là sử dụng loại nào), chia nhỏ nó ra tùy theo chiều dàiđược chỉ định trong trường hợp xác thực và so sánh giá trị của nó với giá trị xácthực nhận được Khi mà cả 2 giống nhau thì dữ liệu không bị thay đổi trên đườngtruyền Do có thể có cuộc tấn công bằng cách chặn một loại các gói và sau đó phátlại chúng vào thời điểm sau nên AH cung cấp dịch vụ chống phát lại để ngăn chặncác tấn công dựa trên cách thức trên

Bọc gói bảo mật tải ESP

Bọc gói bảo mật tải (Encapsulating Security Payload) được sử dụng cho việcmã hóa dữ liệu Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề

IP và nội dung tiếp theo của gói Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu nênnội dung của gói sẽ bị thay đổi

Giống như tiêu đề AH, ESP gồm có SPI để chỉ cho bên nhận biết cơ chế bảomật thích hợp cho việc sử lý gói Số tuần tự trong tieu đề ESP là bộ điếm sẽ tăngmỗi khi một gói được gới đến cùng một địa chỉ và sử dụng cùng SPI

Payload data Padding

Pad Length Next Header Authentication data

Hình 2-4 Cấu trúc gói tin ESPESP có thể hỗ trợ bất kì giao thức mã hóa nào Người dùng có thể dùngnhững giao thức khác nhau cho mỗi kết nối truyền thông Tuy nhien IPSec quy

định mật mã DESCBC (DES with Cipher Block Chaining) là giá trị mặc định đểđảm bảo tính hoạt động liên mạng

Sử dụng ESP yêu cầu khóa DES 56 bit Để sử dụng một chuỗi các từ mã,một vector 64 bit được khởi động và dữ liệu được xử lý theo từng khối 64 bit ESP cũng có thể sử dụng cho mục đích xác thực Trường xác thực ESP, mộttrường tùy chọn trong tiêu đề ESP, bao gồm một kiểm tra tổng mã hóa Độ dàicủa tổng kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng

Chế độ làm việc

Có 2 chế độ làm việc trong IPSec:

- Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói làđược xử lý

Chế độ giao vận sử dụng cho cả cổng nối và host, cung cấp cơ chế giaothức bảo mật cho các lớp trên Trong chế độ giao vận, AH được chèn vào sautiêu đề IP và trước giao thức lớp trên (TCP, UDP hay ICMP) hoặc trước bất kìtiêu đề IPSec đã được chèn vào trước đó

Chế độ đường hầm (Tunnel mode): toàn bộ gói sẽ được xử lý cho mã hóaxác thực

Hình 2-5 Chế độ đường hầmTrong chế độ đường hầm tiêu đề IP chứa địa chỉ nguồn và địa chỉ đích,trong khi bộ xuất tiêu đề IP chứa các địa chỉ khác (chẳng hạn như địa chỉ củacổng nối) AH bảo mật toàn bộ gói IP bao gồm cả bộ nhập tiêu đề IP

Cần chú ý là AH và ESP không thể sử dụng chung trong chế độ đường hầm Lý do

là ESP đã có riêng tùy chọn xác thực, tùy chọn này nên sử dụng trong chế độ đườnghầm khi các gói cần phải mã hóa và xác thực

2.1.3 Quản lý khóa

Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giaokhóa do đó đòi hỏi phải có cơ chế quản lý khóa Có 2 phương thức để chuyểnkhóa đó là chuyển khóa bằng tay và chuyển khóa Internet IKE (Internet KeyExchange) Cà 2 phương thức này không thể thiếu trong IPSec Giao thứcchuyển giao khóa mặc định trong IPSec là IKE là kết quả của kết hợp bảo mậtInternet ISA (Internet Security Association) và giao thức chuyển khóa ISAKMP.IKE còn có một tên gọi khác là ISAKMP/Oakley

IKE có các khả năng sau:

- Cung cấp các phương tiện cho 2 bên thỏa thuận sử dụng giao thức, giảithuật và khóa

- Đảm bảo ngay từ lúc bắt đầu chuyển khóa là truyền thông đúng đốitượng

- Quản lý các khóa sau khi chúng được chấp nhận trong tiến trình chấpnhận trong tiến trình thỏa thuận

- Đảm bảo các khóa được chuyển 1 cách bảo mật

Chuyển khóa tương tự như quản lý kết hợp (Internet Association) Khicần tạo một SA cần phải chuyển khóa Do đó cấu trúc của IKE bọc chúng lại vớinhau và chuyển chúng đi như một gói thích hợp

Các chế độ của Oakley và các pha của ISAKMP

Theo định nghĩa nguyên thủy trong ISAKMP thì IKE hoạt động 2 giai đoạn.Giai đoạn 1 thiết lập 1 đường hầm bảo mật cho các hoạt động ISAKMP diễn ratrên đó Giai đoạn 2 là tiến trình đàm phán các mục đích SA

Oakley đưa ra 3 chế độ chuyển khóa và cài đặt các ISAKMP SA: hai cho giaiđoạn 1 của ISAKMP và một cho giai đoạn 2

- Chế độ chính (Main mode): hoàn thành giai đoạn 1 của ISAKMP sau khiđã thiết lập 1 kênh bảo mật

Hình 2-6 Các chế độ Main Mode

- Chế độ năng động (Aggressive mode): một cách khác để hoàn thành giaiđoạn 1 của ISAKMP Nó đơn giản hơn và nhanh hơn chế độ chính,nhưng không bảo mật nhận dạng cho việc đàm phán giữa các nút, bỡi vì

nó truyền nhận dạng của chúng trước khi đàm phán được 1 kênh bảo mật

Hình 2-7 Chế độ Aggressive mode

- Chế độ nhanh (Quick mode): hoàn thành giai đoạn 2 của ISAKMP bằng cách

đàm phán 1 SA cho các mục đích của việc truyền thông

Hình 2-8Chế độ Quick modeIKE cũng còn 1 chế độ khác đó là chế độ nhóm mới Chế độ này khôngthực sự là của giai đoạn 1 hay giai đoạn 2 Chế độ nhóm mới theo sau đàm pháncảu giai đoạn và đưa ra 1 cơ chế định nghĩa nhóm riêng cho chuyển giao

Đàm phần SA

Để thiết lập một SA bên khởi tạo gởi một thông báo chế độ nhanh thôngqua yêu cầu một SA mới của ISAKMP SA Một đàm phán SA là kết quả của 2SA: một hướng về (inbound) đến bên khởi tạo và một hướng đi (outbound) Đểtránh xung đột về SPI, nút nhận phải luôn chọn SPI Do đó trong chế độ nhanhbên phát thông báo cho bên đáp ứng biết SPI sẽ sử dụng và bên đáp ứng sẽ theoSPI đã được chọn Mỗi SPI, kết hợp với địa chỉ IP đích, chỉ định 1 IPSec SAđơn duy nhất Tuy nhiên trên thực tế những SA này luôn có 2 hướng về và đi,chúng có danh định về tham số, giải thuật, khóa, băm là một phần trong SPI

2.1.4 Sử dụng IPSec

Có 3 nơi trang bị phần mềm IPSec là: cổng nối bảo mật, Client di động(mobile client) và các host Tuy nhiên, không phải tất cả các thiết bị điều cần phảicài đặt phần mềm IPSec mà tùy theo yêu cầu thiết kế mạng Ví dụ cần tạo kết nốiLan-Lan VPN thì cổng nối bảo mật IPSec là đủ Nếu cần cho các trạm làm việc từ

xa quay số truy cập vào mạng thông qua các ISP thì phần mềm client IPSec cần cài

trên máy tính của các đối tượng di động Nếu muốn tạo một VPN mà tất cả các máytính có thể liên lạc với các máy tính thông qua giao thức IPSec thì cần phải cài đặtphần mềm IPSec trên tất cả các máy tính.

Các cổng bảo mật

Cổng nối bảo mật (security gateway) là một thiết bị mạng chẳng hạn như

bộ định tuyến hay tường lửa, chia cắt và bảo mật mạng bên trong chống lại xâmnhập không được cho phép từ bên ngoài Sử dụng IPSec trên cổng nối bảo mậtlàm cho lưu lượng qua cổng nối bảo mật bị thắt nút cổ chai trước khi ra bênngoài

Hình 2-10 Cấu trúc SASau đây là một số đặc tính và khả năng mà một cổng nối bảo mật phải có:

- Hỗ trợ các kết nối mạng cho văn bản đơn giản hoặc văn bản đã đượcmã hóa

- Chiều dài của từ khóa phải không phụ thuộc vào mật độ thông tintruyền trên lớp liên kết dữ liệu

- Các yêu cầu đối với một phần mềm client IPSec:

- Tương thích với các công cụ IPSec khác

- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoạt động `

- Hỗ trợ tải SA về

- Hàm băm xử lý được các địa chỉ IP động

- Có cơ chế bảo mật khóa chống lại kẻ trộm

- Có cơ chế chuyển đổi mã một cách tự động và định kỳ

- Chặn hoàn toàn các lưu lượng không IPSec

Các vấn đề còn tồn đọng trong IPSec

Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết cho việc bảo mậtmột VPN thông qua Internet nhưng nó vẫn còn trong giai đoạn phát triển Tất cảcác gói được xử lý theo IPSec sẽ làm tăng kích thước do thêm vào các tiêu đềIPSec làm cho thông lượng của mạng giảm xuống Điều này có thể giải quyếtbằng cách nén nội dung dữ liệu trước khi mã hóa, nhưng điều này chưa đượcchuẩn hóa

IKE vẫn là công nghệ chưa được chứng minh Phương thức chuyển khóabằng tay lại không thích hợp cho mạng có một số lượng lớn các đối tượng diđộng IPSec chỉ được thiết kế để điều khiển lưu lượng IP mà thôi

Việc tính toán cho nhiều giải thuật trong IPSec vẫn còn là một vấn đề đốivới các trạm làm việc và máy PC cũ

Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chếđối với chính phủ một số nước

Sử dụng IPSec ở chế độ đường hầm cho phép các nút có thể có những địachỉ IP không hợp lệ nhưng vẫn có thể liên lạc được với các nút khác Nhưng khichuyển xuống bảo mật mức host thì các địa chỉ IP đó phải được quản lý cẩn thậnsao cho nhận dạng được nhau

2.1.5 Giao thức PPP

PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng củamạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng Thuận lợilớn nhất của PPP là nó có thể điều khiển bất kỳ DTE hoặc DCE nào baogồm: EIA/TIA-232-C và ITU-T V.35 Một điểm độc đáo nữa của PPP là nó khônghạn chế tỷ lệ truyền dữ liệu Trong khi truyền dữ liệu bị hạn chế bởi giao diệnDTE/DCE đang dung Ngoài việc đóng gói các dữ liệu theo giao thức IP, khôngtheo giao thức IP và việc truyền nó qua một loạt các điểm liên kết, PPP cũng chịutrách nhiệm về các chức năng sau:

- Chỉ định và quản trị các gói IP thành các gói không IP

- Cấu hình và kiểm tra các liên kết đã thiết lập

- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu

- Phát hiện lỗi trong khi truyền dữ liệu

- Dồn kênh các giao thức mạng lớp hai

- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ PPP thực hiện các chức năng này theo ba chuẩn:

- Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm

- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ củagiao thức kiểm soát liên kết(Link Control Protocol – LCP)

Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗi trong khi truyền theo dạng của giao thức kiểm soát mạng (Network Control Protocol - NCP) thích hợp

Quá trình thực hiện PPP

Giao thức PPP được sử dụng để đóng gói các gói tin thành các khung PPP và gửi

dữ liệu trên các kết nối điểm - điểm Có năm bước cần tiến hành trong quátrình thương

- Sau khi các gói dữ liệu đã được đóng gói, Node nguồn (hoặc khởi tạo) gửikhung LPC qua kết nối điểm - điểm tới Node đích

- Các tham số này thường được dùng để cấu hình liên kết bằng việc chỉ rõcác tham số và kiểm tra liên kết đã được thiết lập

- Sau khi Node đích chấp nhận yêu cầu kết nối và một liên kết được thiết lậpthành công, các tham số lựa chọn được thương lượng nếu đã chỉ rõ bởi cácLCP

- Node nguồn sau đó gửi khung NCP để lựa chọn và cấu hình giao thức tầngmạng

- Sau khi giao thức tầng mạng yêu cầu được cấu hình thì cả hai bắt đầu traođối dữ liệu

Hình 2-11 Thiết lập liên kết PPP và trao đổi dữ liệu

Khi một liên kết PPP đã được thiết lập, nó tồn tại cho đến khi LCP hoặc NCP rahiệu kết thúc liên kết Liên kết cũng có thể được kết thúc trong trường hợp nó bị lỗihoặc người dùng can thiệp vào.

Định dạng gói PPP

Hình 2-12 Định dạng của một Frame PPP điển hình

- Flag: Trường này xác định điểm bắt đầu và kết thúc của một khung Độ dàicủa trường này là 1 byte

- Address: Vì nó sử dụng các liên kết điểm - điểm PPP không sử dụng các địachỉ của các Node riêng lẻ Vì thế, các trường này chứa chuỗi nhị phân là

11111111, đây là một địa chỉ Broadcast chuẩn Độ dài của trường này là 1byte

- Control: Trường này chứa chuỗi nhị phân là 00000011 Nó biểu thịrằng, Frame đang mang dữ liệu người dùng là một Frame không tuần

tự Độ dài của trường này là 1 byte

- Protocol: Trường này xác định giao thức mà dữ liệu được đóng góitrong trường dữ liệu của Frame Giao thức trong trường này được chỉ rõtheo số đã gán trong RFC 3232 Độ dài của trường này là 2 byte Tuynhiên, trường này có thể thương lượng để là 1 byte nếu cả hai đồng ý

- Data: Trường này chứa thông tin đang được trao đổi giữa Node nguồn

và đích Độ dài của trường này có thay đổi, độ dài tối đa có thể lên đến 1500byte

FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra tínhchính xác của thông tin đã nhận trong trường dữ liệu Thông thường, độ dài củatrường này là 2 byte Tuy nhiên, việc thực thi PPP có thể thương lượng một FCS 4byte để cải thiện việc phát hiện lỗi

Kiểm soát liên kết PPP

Ngoài việc trao đổi thành công dữ liệu giữa hai Node, PPP cũng chịu tráchnhiệm kiểm soát liên kết đã thiết lập giữa 2 thực thể truyền thông cuối PPP

sử dụng LCP cho chức năng này, trong đó LCP chịu trách nhiệm về các chứcnăng sau:

- Hỗ trợ việc thiết lập liên kết

- Cấu hình liên kết đã thiết lập để thoả mãn các yêu cầu của các nhóm truyềnthông

- Duy trì hiệu suất của liên kết PPP đã thiết lập

- Kết thúc liên kết nếu việc trao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất.LCP dựa trên kiểm soát liên kết gồm bốn pha: Thoả thuận và khởitạo liên kết; Xác định chuẩn liên kết; Thoả thuận giao thức tầng mạng Sauđây ta sẽ mô tả chi tiết bốn pha trong kiểm soát liên kết

- Thoả thuận và khởi tạo liên kết: Trước khi việc trao đổi dữ liệu dựa trên PPPgiữa Node nguồn và đích được cho phép, LCP phải khởi tạo một kết nốigiữa hai thực thể cuối và thoả thuận các tham số cấu hình LCP sử dụng cácFrame khởi tạo liên kết cho chức năng này Khi mỗi thực thể cuối phảnhồi lại bằng Frame cấu hình ACK của nó, pha này kết thúc

- Xác định tiêu chuẩn liên kết: Đây là pha tuỳ chọn trong đó tiêu chuẩn củaliên kết đã thiết lập được xác định cho các liên kết khác nhau đã sẵn sàng choviệc thoả thuận các giao thức tầng mạng

- Thoả thuận giao thức tầng mạng: Trong pha này, ưu tiên giao thức tầng mạngcủa dữ liệu đã được đóng gói trong trường Protocol của Frame PPPđược thoả thuận

- Kết thúc liên kết: Đây là pha cuối cùng của LCP và Server để kết thúcliên kết đã thiết lập giữa hai thực thể cuối Việc kết thúc liên kết có thểtheo trình tự hoặc đột xuất Kết thúc đúng trình tự là kết thúc sau khi việctrao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất hay do yêu cầu của thựcthể cuối Kết thúc liên kết đột xuất có thể làm mất dữ liệu Frame kết thúcliên kết dữ liệu được trao đổi giữa các nhóm có liên quan trước khi liên kếtđược giải phóng Ngoài Frame thiết lập và kết thúc liên kết, PPP sử dụng mộtloại Frame thứ ba gọi là Frame duy trì liên kết Các Frame này như tên

gọi của nó, được trao đổi trong trường hợp có vấn đề liên quan đến liênkết, thường được dùng để quản trị và debug các liên kết dựa trên PPP

Mặc dù không được dùng trong VPN ngày nay, tuy nhiên công nghệ PPP là cơ

sở của các giao thức đường hầm khác được dùng rộng khắp trong VPN Thực tế,tất cả các giao thức đường hầm thông dụng đều dựa trên PPP và đóng gói FramePPP vào trong gói IP hoặc các gói dữ liệu khác để truyền qua mạng khôngđồng nhất

2.1.6 Dạng thức của PPTP

PPP và PPTP

PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/IPrất phổ biến hiện nay Làm việc ở lớp 2 trong mô hình OSI PPP bao gồm cácphương thức đóng tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp.PPP đặc biệt định nghĩa 2 bộ giao thức: giao thức điều khiển liên kết LCP (LinkControl Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối; một loạt các giaothức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập và cấuhình các giao thức lớp mạng khác nhau

Giao thức định đường hầm điểm-điểm PPTP (Point-to-Point TunnelingProtocol) được đưa ra đầu tiên bởi một nhóm các công ty, nhóm này bao gồm:3Com, Aseend comm, Microsoft, ECI Telematicsunication và US Robotic Ý tưởng

cơ sở cho giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợidụng lợi ít của cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa Client vàmạng riêng Người dùng xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địaphương là có thể tạo một đường hầm bảo mật tới mạng riêng của họ

Hình 2-13 Giao thức PPTP

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữliệu) trong khi IPSec chạy ở lớp thứ 3 Bằng cách hỗ trợ việc truyền dữ liệu ở lớpthứ 2 PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khiIPSec chỉ có thể truyền các gói IP trong đường hầm

PPTP dựa trên PPP để tạo ra kết nối giữa khách hàng và máy chủ truy cập mạng.PPTP sử dụng PPP để thực thi các chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực các người dùng

- Tạo ra gói dữ liệu PPP

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP đểđóng gói các gói truyền trong đường hầm

Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa 2 loại gói:gói điều khiển và gói dữ liệu và gán chúng vào 2 kênh riêng Sau đó PPTP phântách các kênh điều khiển và kênh dữ liệu thành luồng điều khiển với giao thức TCP

và luồng dữ liệu với giao thức IP Kết nối TCP được tạo bởi giữa Client PPTP vàmáy chủ PPTP được sử dụng để chuyển thông báo điều khiển

PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền đi

Cơ chế này làm giảm tối thiểu kích thước dữ liệu phải truyền lại do mất gói

Đường hầm

PPTP cho phép người dùng và các ISP có thể tạo ra nhiều đường hầm khácnhau Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tínhcủa mình nếu như có cài Client PPTP, hay tại máy chủ của ISP nếu như máy tínhcủa họ chỉ có ISP phải hỗ trợ PPTP Việc phân chia như vậy là kết quả của việc chiađường hầm thành 2 lớp: tự nguyện và bắt buộc

Xác thực và mã hóa

Các Client PPTP được xác thực cũng tương tư như các Client RAS được xácthực từ máy chủ PPP Công cụ RAS của Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khảu củangười dùng

PAP và CHAP có khuyết điểm là cả 2 dựa trên mật khẩu lưu tại máy đầu xa

và máy cục bộ Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mậtkhẩu sẽ bị thay đổi Với PAP và CHAP không thể gán các đặc quyền truy cập mạng

khác nhau cho những người dùng khác nhau tại cùng một máy tính từ xa Bởi vì khicấp quyền đã được gán cho một máy tính thì mọi người dùng tại máy tính đó điều

có đặc quyền truy cập mạng

Hình 2-14 Mã hóa gói trong PPTP

Đường hầm kết nối LAN-LAN

Đường hầm kết nối LAN-LAN diễn ra giữa 2 máy chủ PPTP, giống nhưIPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên do trong kiếntrúc PPTP không có hệ thống quản lý khóa nên việc cấp quyền và xác thực đượcđiều khiển bởi CHAP hoặc thông qua MS-CHAP Để tạo đường hầm giữa 2 site,máy chủ PPTP tại một site sẽ được xác thực bởi PPTP ở site kia Khi đó máy chủPPTP trở thành Client PTP của PPTP ở đầu bên kia và ngược lại, do đó một đườnghầm tự nguyện được tạo ra giữa 2 site

2.1.7 Sử dụng PPTP

Do đặc điểm chủ yếu của PPTP là cung cấp phương thức quay số truy cậpbảo mật vào VPN nên các bộ phận của PPTP VPN được tổ chức có hơi khác với

IPSec VPN Điều quan trọng nhất trong PPTP là việc định nghĩa điểm kết thúc củađường hầm Bởi vì một trong các điểm kết thúc này có thể nằm ở thiết bị của nhàcung cấp dịch vụ Internet, cấu hình này đòi hỏi phải có hợp tác giữa ISP và ngườiquản lý mạng trong việc xác thực người dùng.

Máy chủ PPTP

Một máy chủ PPTP có 2 vai trò chính là: nó đóng vai trò là điểm kết thúc củađường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng Máychủ PPTP chuyển các gói đến các máy đích bằng các xử lý gói PPTP để có được địachỉ mạng của máy tính đích

Thiết lập một máy chủ PPTP tại site mang lại một ít giới hạn đặc biệt nếu như máychủ PPTP nằm sau tường lửa PPTP được thiết kế sau cho chỉ có một cổng TCP/IPđược sử dụng để chuyển dữ liệu di, cổng đó là 1723 Sự khiếm khuyết của cấu hìnhcổng này có thể làm cho tường lửa dể bị tấn công hơn Nếu như tường lửa được cấuhình để lọc gói thì phải thiết lập cho nó cho phép GRE đi qua

Phần mềm Client PPTP

Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hayphần mềm nào cho các Client, chỉ cần kết nối chuẩn PPP là đủ Nếu như các thiết bịcủa ISP không hỗ trợ PPTP thì một Client Windows NT (hoặc các phần mềm tươngtự) vẫn có thể tạo kết nối bảo mật bằng cách: đầu tiên quay số kết nối với ISP bằngPPP, sau đó quay số lần nữa thông qua cổng PPTP ảo được thiết lập ở Client

Máy chủ truy cập mạng NAS

NAS còn có tên gọi khác là máy chủ truy cập từ xa (Remote Access Server)hay bộ tập trung truy cập (Access Concentrator), cung cấp khả năng truy cập đườngdây dựa trên phần mềm và có khả năng tính cước, chạy trên nền rất mạnh và có khảnăng chiu đựng lỗi tại ISP POP NAS của ISP được thiết kế cho phép một số lượnglớn người dùng có thể quay số truy cập vào cùng 1 lúc Nếu một ISP cung cấp dịch

vụ PPTP thì cần phải cài một NAS cho phép PPTP để hỗ trợ cho các Client PPTPchạy trên các nền khác nhau

2.1.8 Khả năng áp dụng thực tế

PPTP là một giải pháp tạm thời bởi vì hầu hết các nhà cung cấp điều có kế hoạch thay thế PPTP bằng L2TP khi mà giao thức đã được chuẩn hóa PPTP thích hợp cho quay số truy cập với một lượng người dùng giới hạn hơn là cho VPN kết nối LAN-LAN Khi sử dụng PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền quản lý phải chia sẻ cho ISP Nên sẽ có các tính năng sau:

Dễ thi hành

Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lậpcác giao thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ.Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sửdụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổsung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói tinPPP theo khuôn dạng PPTP

Tạo đường hầm đa giao thức

Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạo đườnghầm chỉ cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thểtạo đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép

Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ

Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽđược máy chủ gán cho một địa chỉ IP Địa chỉ này có thể là một phần trong dải địa

chỉ IP của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng

IP của tổ chức đó Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (lànhững địa chỉ được cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệthống mạng) trên hệ thống mạng riêng Cơ quan thẩm quyền Internet AssignedNumbers (IANA) sẽ thiết lập các khối địa chỉ IP không đăng ký để sử dụng trên cácmạng riêng hoặc Intranet và các hệ thống mạng này không cho phép các truy cậpInternet hay các truy cập qua Router Nếu một công ty có sử dụng một tập các địachỉ không đăng ký khi một RAS Client sử dụng giao thức PPTP để thiết lập kết nối,

sẽ được cung cấp một địa chỉ trong số địa chỉ đó và truy cập tới mạng nội bộ củacông ty Nếu một người sử dụng ở xa quay số kết nối tới ISP và cố gắng truy cậptới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ phải mở ramột cổng nào đó cho người sử dụng vào mạng cục bộ, điều này có thể tạo ra lỗhỗng Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thể vào mạng cục bộ

2.1.9 Giao thức L2TP

Giao thức định đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) là sựkết hợp giữa 2 giao thức, đó là PPTP và chuyển tiếp lớp 2 – L2F (Layer 2Forwarding) PPTP do

Microsoft đưa ra còn L2F do Cisco khởi xướng 2 công ty này đã hợp táccùng kết hợp 2 giao thức lại và đăng ký chuẩn hóa tại IETF

Hình 2-15 Giao thức L2TP