55 CHƯƠNG 3 CÔNG NGHỆ VPN MỤC TIÊU Học xong chương này sinh viên có thể o Trình bày được khái niệm, lợi ích của công nghệ VPN o Trình bày được nguyên lý hoạt động của VPN o Triển khai, cài đặt, cấu hì[.]
Trang 1CHƯƠNG 3: CÔNG NGHỆ VPN
MỤC TIÊU
Học xong chương này sinh viên có thể:
o Trình bày được khái niệm, lợi ích của công nghệ VPN
o Trình bày được nguyên lý hoạt động của VPN
o Triển khai, cài đặt, cấu hình được công nghệ VPN cho doanh nghiệp
o Tư vấn cho khách hàng triển khai công nghệ VPN
o Rèn luyện khả năng tư duy logic
3.1 Tổng quan về VPN
3.1.1 Khái niệm
Mạng riêng ảo hay còn được gọi với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng VPN có thể được định nghĩa như là một dịch vụ mạng
ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng với mục đích tiết
kiệm chi phí cho các kết nối điểm - điểm Hai đặc điểm quan trọng của công nghệ VPN
là “riêng” và “ảo” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private) VPN có
thể xuất hiện tại bất cứ lớp nào trong mô hình OSI, VPN là sự cải tiến cơ sở hạ tầng
mạng WAN, làm thay đổi và làm tăng tính chất của mạng cục bộ cho mạng WAN
Trang 2Hình 3.1: Mô hình VPN
3.1.2 Lợi ích của VPN
- VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê
đường truyền và giảm chi phí phát sinh cho nhân viên ở xa nhờ vào việc họ truy cập vào hệ thống mạng nội bộ thông qua các điểm cung cấp dịch vụ ở địa phương POP (Point of Presence), hạn chế thuê đường truy cập của nhà cung cấp đến giá thành cho
việc kết nối Lan – to – Lan giảm đi đáng kể so với việc thuê đường Leased - line
- Giảm chi phí quản lý và hỗ trợ: Với việc sử dụng dịch vụ của nhà cung cấp,
chúng ta chỉ phải quản lý các kết nối đầu cuối tại các chi nhánh mạng, đồng thời tận
dụng cơ sở hạ tầng của mạng Internet và đội ngũ kỹ thuật của nhà cung cấp dịch vụ
- VPN đảm bảo an toàn thông tin, tính toàn vẹn và xác thực: Dữ liệu truyền trên
mạng được mã hóa bằng các thuật toán và được truyền trong các đường hầm (Tunnel)
nên thông tin có độ an toàn cao
- VPN dễ dàng kết nối các chi nhánh thành mạng nội bộ: VPN có thể dễ dàng kết
nối hệ thống mạng giữa các chi nhánh của một công ty và văn phòng trung tâm thành
một mạng LAN với chi phí thấp
- VPN hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP: thông tin
được gửi đi trên VPN đã được mã hóa do đó các địa chỉ trên mạng riêng được che giấu
và chỉ sử dụng các địa chỉ bên ngoài Internet
3.1.3 Chức năng của VPN
VPN cung cấp 3 chức năng chính:
- Sự tin cậy (Confidentiality) : Người gửi có thể mã hóa các gói dữ liệu trước khi truyền chúng ngang qua mạng nên không ai có thể truy nhập thông tin mà không được phép
- Tính toàn vẹn dữ liệu (Data Integrity) : Người nhận có thể kiểm tra rằng dữ liệu
đã được truyền qua mạng internet mà không có sự thay đổi nào
- Xác thực nguồn gốc (Origin authentication) : Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin
Trang 33.1.4 Các thành phần cần thiết tạo nên kết nối VPN
- User authentication: cung cấp cơ chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối vào hệ thống VPN
- Address management : cung cấp địa chỉ IP hợp lệ cho người dùng sau khi gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ
- Data Encryption : cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền nhằm đảm bảo tính riêng tư và toàn vẹn dữ liệu
- Key Management : cung cấp giải pháp quản lý các khóa dùng cho quá trình mã hóa và giải mã dữ liệu
Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote Access hay kết nối ngang hàng Site-to-Site), một số thành phần nhất định cần thiết để hình thành VPN:
- Phần mềm máy trạm cho mỗi người dùng xa
- Các thiết bị phần cứng riêng biệt, ví dụ như: Bộ trung tâm (VPN Concentrator) hoặc tường lửa (Secure PIX Firewall)
- Các máy chủ VPN sử dụng cho dịch vụ quay số
- Máy chủ truy cập NAS (Network Access Server) dùng cho các người dùng VPN
ở xa truy nhập
- Trung tâm quản lý mạng và chính sách VPN
3.1.5 Phân loại VPN
3.1.5.1 VPN Remote Access
Hình 3.2: VPN Remote Access
Trang 4VPN Remote Access: Hay cũng được gọi là Virtual Private Dial - up Network
(VPDN), đây là dạng kết nối User – to – Lan áp dụng cho các công ty mà các nhân viên
có nhu cầu kết nối tới mạng riêng (Private network) từ các địa điểm từ xa
Mỗi công ty có thể cài đặt một mạng kiểu Remote – Access diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP (Enterprise Service Provider) ESP cài đặt một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ
Một đặc điểm quan trọng của VPN Remote Access là: cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội bộ trong công ty để làm việc
Để thực hiện được VPN Remote Access cần :
- Có 01 VPN Getway (có 01 IP Public) Đây là điểm tập trung xử lý khi VPN Client quay số truy cập vào hệ thống VPN nội bộ
- Các VPN Client kết nối vào mạng Internet
3.1.5.2 VPN Site-to-Site
Hình 3.3: VPN Site - to – Site
VPN Site - to – Site: Bằng việc sử dụng một thiết bị chuyên dụng và cơ chế bảo
mật diện rộng, mỗi công ty có thể tạo kết nối với rất nhiều các site qua một mạng công cộng như Internet
Các mạng VPN Site – To – Site có thể thuộc hai dạng:
Trang 5- Intranet: Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở
xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở
mạng trung tâm
- Extranet: Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người
sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định
Về mặt kiến trúc thì Intranet và Extranet tương tự nhau, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng
So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng
là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm Việc
để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống
Để thực hiện được VPN Site-to-Site cần:
- Có 02 VPN Getway ( Mỗi VPN Getway có 01 IP Public) Đây là điểm tập trung
xử lý khi VPN Getway phía bên kia quay số truy cập vào
3.2 Một số giao thức mã hóa trong VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương ứng để truyền qua Internet Giao thức đường hầm là cốt lõi của giải pháp VPN và hiện
có 4 giao thức đường hầm được sử dụng trong VPN đó là :
- Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding)
Trang 6- Giao thức đường hầm điểm – điểm : PPTP (Point to point Tunneling protocol)
- Giao thức đường hầm lớp 2 : L2TP (Layer 2 tunneling protocol)
- Giao thức bảo mật IP : IPSec (Internet Protocol Security)
- Giao thức GRE (Generic Routing Encapsulation)
3.2.1 Giao thức định hướng lớp 2 : L2F ( Layer 2 Forwarding)
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP ( Point to Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet L2F cho phép đóng gói các PPP trong L2F, định hướng hầm ở lớp liên kết dữ liệu
3.2.1.1 Cấu trúc gói của L2F
Key Data Checksums
Hình 3.4: Khuôn dạng gói của L2F
3.2.1.2 Ưu nhược điểm của L2F
- Ưu điểm :
+ Cho phép thiết lập đường hầm đa giao thức + Được cung cấp bởi nhiều nhà cung cấp
- Nhược điểm:
+ Không có mã hóa + Yếu trong việc xác thực người dùng
Trang 7+ Không có điều khiển luồng cho đường hầm
3.2.2 Thực hiện L2F
L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền qua một mạng L2F sử dụng các thiết bị:
- NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (Remote client) và Gateway home
- Tunnel: Định hướng đường đi giữa NAS và Home Gateway
- Home Gateway: Ngang hàng với NAS
- Kết nối: Là một kết nối PPP trong đường hầm Trong CLI, một kết nối L2F được xem như là một phiên
- Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm Trong trường hợp này thì Home gateway là điểm đích
Hình 3.5: Mô hình L2F
Hoạt động của L2F
Hoạt động của L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và phiên làm việc Ví dụ minh họa hoạt động của L2F:
- Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP
Trang 8- Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol)
- NAS sử dụng cơ sở dữ liệu cục bộ liên quan đến vùng (Domain Name) hay nhận thực Radius để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F
- Nếu có người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của Gateway đích
- Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa có đường hầm nào Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới Gateway đích để chống lại sự tấn công bởi những kẻ thứ ba
- Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiên PPP từ người sử dụng ở xa tới Home Gateway Kết nối này được thiết lập như sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và NAS Home Gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng
- Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm
- Tại Home Gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới mạng công ty
3.2.2 Giao thức đường hầm điểm điểm - PPTP
Giao thức đường hầm điểm – điểm PPTP được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum Nhóm này bao gồm 3 công ty: Ascend, Microsoft, ECI Telematicsunication và US Robotic Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho
Trang 9phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, TBEUI Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn
đó là mã hoá điểm – điểm MPPE (Microsoft Point – to – Point Encryption) để sử dụng cho PPTP
3.2.2.1 PPP và PPTP
PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/IP rất phổ biến hiện nay Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp Đặc biệt PPP định nghĩa hai bộ giao thức: giao thức điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau
PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm – điểm từ máy gửi đến máy nhận Để việc truyền dữ liệu có thể diễn ra thì mỗi PPP phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu
Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực Đây là giai đoạn tùy chọn trong PPP, tuy nhiên, nó luôn luôn được cung cấp bởi các ISP Việc xác thực được thực hiện bởi PAP hay CHAP
Với PAP mật khẩu dược gửi qua kết nối dưới dạng văn bản đơn giản và không
có bảo mật để tránh khỏi bị tấn công thử và lỗi CHAP là một phương thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge value) duy nhất và không thể đoán trước được CHAP phát ra giá trị thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình thế bị tấn công
PPTP sử dụng PPP để thực hiện các chức năng sau:
- Thiết lập và kết thúc kết nối vật lý
- Xác thực người dùng
Trang 10- Tạo các gói dữ liệu PPP
PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa 2 loại gói: Gói điều khiển; Gói dữ liệu và gán chúng vào 2 kênh riêng là kênh điều khiển và kênh dữ liệu Sau đó PPTP phân tách các kênh điều khiển và kênh
dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sử dụng để truyền thông báo điều khiển
Các gói dữ liệu là dữ liệu thường của người dùng Các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa client PPTP
và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết
bị, thông tin cấu hình giữa hai đầu đường hầm
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client PPTP và máy chủ PPTP Phần mềm client có thể nằm ở máy người dùng từ xa hay nằm tại máy chủ của ISP
Đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền
đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói
3.2.2.2 Cấu trúc gói của PPTP
- Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung PPP, đóng gói các GRE, đóng gói lớp liên kết dữ liệu
Cấu trúc gói dữ liệu đã được đóng gói Tiêu đề
liên kết
dữ liệu
Tiêu
đề IP
Tiêu đề GRE
Tiêu
đề PPP
Tải PPP được mã hóa (IP, IPX, NETBEUI)
Phần đuôi liên kết dữ liệu