Đồ án tốt nghiệp : Giới thiệu các giao thức và vấn đề bảo mật của VPN

Intranet VPNs: The intranet setup using WAN backbone - Intranet VPNs duoc sit dung để kết nối đến các chỉ nhánh văn phòng của tô chức đên Corperate Intranet backbone router sit dung

BỘ GIÁO DỤC & ĐÀO TẠO

TRƯỜNG ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP.HCM

KHOA ĐIỆN - ĐIỆN TỬ

NGÀNH ĐIỆN TỬ VIỄN THÔNG

LUẬN VĂN TÓT NGHIỆP

ĐÈ TÀI:

GIOI THIEU CAC GIAO THUC VA VAN DE

BAO MAT CUA VPN

GVHD: V6 thi Bich Ngoc SVTH : Tran Minh Tu

MSSV : 02DHDT251 LỚP :02DT0I1

“THUỜNE Bố CN

THƯ VIÊN

TP.Hồ Chí Minh 7-2007

ĐẠI HỌC KỸ THUẬT CÔNG NGHỆ TP HCM CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM

KHOA ĐIỆN ~ ĐIỆN TỬ Độc lập — Tự do - Hạnh phúc

eo ok ie eo —————————

Ngày tháng năm:

PHIẾU CHẤM ĐỒ ÁN TỐT NGHIỆP (Dành cho người hướng dẫn) 1 Họ tên sinh viên: <- 5 —

Ngày sinh: 1 IS)

VN 021) ) 8n ¬

°kNÐ\ o0 08

“NV (o0 110117

5 Tổng quát về bản thuyết minh: S8 0007 Số chương: - -c-c+c<s+ Số bảng số liệu: .-. -csccscsesrerrre Số hình vẽ: - 5-5-5 cscscsss Số tài liệu tham khảo: .-. Phan mềm tính toán:

6 Tổng số về các bản vẽ:

Số bắn vẽ: bẩn A1 ban A2 khổ khác

Số bản vẽ tay: Số bản vẽ trên máy tính s s5ssscezersrs

7 Những ưu điểm chính của Đ.A.T.N:

9 ĐO ĐÓ G060 6 00000600 0000000000006 000000000000 0 640.0 0Á Đo Đó ĐỀ Đ Đ ĐÔ ĐỀ 9 9.0 000 000 00000000 0000000100 0 00009000 0009000 00 0200400000 090 00900960009009090000090090545940000066090000880 08

ÔÔỒÔỒÔỒÔÔỒỒÔÔỒÔỞÓỎỒÓỒ,,., ố ố ố ố ỔỐỐỐ.ỐỒỐỒ.ỐỐỘ.Ố.ẮÔ.ÚỐ.Ố.Ố.Ố.ỐO,OO | †?ia

ÔÔởÔỒÔỒÔỒÔ Ô .ố ố.ố.ố.Ố.ỐốỐốỐốỐ : ca

TT có LG nnnnnnnnnnninnnnnnninnnnnnnnnnnnnnnnndenannaa

9 Để nghị: Được bảo vệ [_] Bổ sung thêm để bảo vệ L_] Không được bảo vệ L_]

10 3 câu hỏi sinh viên phải trả lời trước Hội đồng:

CHỮ KÝ & HỌ TÊN

LOI NOI DAU

Trong xã hội ngày nay, thông tin chính là sức mạnh dẫn tới thành công Vì vậy yêu câu về kĩ thuật truyền thông rất cao Bên cạnh đó, sự phát triển của các công ty

đa quốc gia đòi hỏi không chỉ về hiệu quá truyền thông mà an toàn đữ liệu cũng

được đưa lên hàng đâu

Giải pháp mạng riéng ao VPN (Virtual Private Network) dugc st dung VPN là

một mạng dùng để kết nối các LAN thông qua Internet, giúp mở rộng hệ thống

mạng nội bộ với chi phí thấp và độ an toàn thông tin cao

Nội dung đề tài xin được giới thiệu về mạng VPN với các phần chính:

_ Giới thiệu chung về mạng VPN

_ Kết cầu của mot VPN

_ Các giao thức được sử dụng trong VPN

Chương Ì Giới thiệu chung về mạng VPN

Chương 1: GIỚI THIỆU CHUNG VẺ MẠNG VPN

mật của dữ liệu

Với lợi điểm này, VPN cũng cung cấp kết nối, bảo mật cho những: đối tượng di

đông (mobile worker) bởi đặc tính của việc đánh số các kết nối quay số mà các ISP

cung câp cho các khách hàng tại các POP của họ

Hình dưới đây mô tả sự vận chuyên thông tin của các VPN một cách an toàn thông qua kết nôi của các remote user, chi nhánh văn phòng — branch office, và các đôi tác — business partner đên một mạng mở rộng công ty

Do dữ liệu được truyền trên hệ thong mạng công cộng nên vấn đề bảo mật và

an toàn thông tin được đặt lên hàng đầu Vì vậy VPN được thiết kế với các thành

phần chính sau:

- User Authentication (chimg thuc nguwéi ding): day 1a co chế xác thực nhằm chỉ cho phép những người sử dụng hợp lệ truy cập vào hệ thống mạng

Chương 1 Giới thiệu chung về mạng VPN

- Address Management (quan ly dia chi): cung cap dia chi IP hợp lệ cho người dùng sau khi gia nhập hệ thông VPN đề có thê truy cập tài nguyên trên

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote,

mobile, và các thiệt bị truyền thông của nhân viên các chi nhánh kêt nôi đên tài

nguyên mạng của tô chức

Remote Access VPN m6 ta việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (ban chat là một server) Vì lý do này, giải pháp này thường được

gọi là client/server Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyện thông để tạo lại các tunnel về mạng của họ

Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây Trong thiết kế này, các kết nối không dây cần phải kết nối về một

trạm wireless (wireless terminal) và sau đó vê mạng của công ty Trong cả hai

trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm dé đảm báo là yêu cầu được xuất phát từ một nguồn tin cậy Thường

thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty

Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+] )

Một số thành phan chính của Remote access VPN :

- Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận

và chứng nhận các yêu câu gửi tới

- Quay số kết nôi đên trung tâm, điêu này sẽ làm giảm chi phí cho một sô yêu câu ở khá xa so với trung tâm

—_——— =—

Chương ] Giới thiệu chung về mạng VPN

- Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ

trợ truy cập từ xa bởi người dùng

Remote Office

The non-VPN remote access setup

- Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc

các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch

vu ISP hoadc ISP’s POP và kết nối đến tài nguyên thông qua Internet Thông tin

Remote Access Setup được mô tả bởi hình vẽ sau :

fiomotn

The Remote Access VPN setup

s* Thuận lợi chinh cia Remote Access VPNs :

Chương Ì Giới thiệu chung về mạng VPN

- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

- Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa

đã được tạo điêu kiện thuận lợi bời ISP

- Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết

nôi với khoảng cách xa sẽ được thay thê bởi các kêt nôi cục bộ

- Giảm giá thành chi phí cho các kết nối với khoảng cách xa

- Do đây là một kết nối man ø tính cục bộ, do vậy tôc độ nôi kêt sẽ cao hơn so

với kêt nôi trực tiêp đên những khoảng cách xa

- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ

dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng

* Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như:

- Remote Access VPNs cũng còn thiếu sót trong chất lượng phục vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thê đi ra ngoài và bị thât thoát

_ 7 Do d6 phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể,

điêu này gây khó khăn cho quá trình xác nhận Thêm vào đó, việc nén dữ liệu IP

và PPP-based diễn ra khá chậm chạp

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các đữ liệu lớn

như các gói dữ liệu truyện thông, phim ảnh, âm thanh sẽ rât chậm

2 Site - To — Site (Lan — To - Lan):

- Site-to-site VPN (Lan-to-Lan VPN) được áp dụng để cài đặt mạng từ một

vị trí này kết nối tới mạng của một vị trí khác thông qua VPN Trong hoàn cảnh này thì việc chứng thực ban đầu giữa các thiết bị mạng được giao cho người sử

dụng Nơi mà có một kết nối VPN được thiết lập giữa chúng Khi đó các thiết bị

này đóng vai trò như là một gateway, và đảm bảo rằng việc lưu thông đã được dự

tính trước cho các site khác.Các router và Firewall tương thích với VPN, và các

bộ tập trung VPN chuyên dụng đều cung cấp chức năng này.

Chương Giới thiệu chung về mạng VPN

là một extranet VPN Tính chặt chẽ trong việc truy cập giữa các site có thê được điều khiển bởi cả hai(intranet và extranet VPN) theo các site tương ứng của chúng Giải pháp Site to site VPN không là một remote access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện của nó

- Sự phân biệt giữa remote access VPN và Lan to Lan VPN chỉ đơn thuần

mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận

Ví dụ như là các thiết bị VPN dựa trên phần cứng mớiI(Router cisco 3002 chang

hạn) ở đây để phân loại duoc, ching ta phal 4p dung ca hai cach, bél vi harware-

based client có thể xuất hiện nếu một thiết bị đang truy cập vào mạng Mặc dù một

mạng có thể có nhiều thiết bị VPN đang vận hành Một ví dụ khác như là chế độ mở

rộng của giải pháp Ez VPN bằng cách dùng router 806 và 17xx

- Lan-to-Lan VPN là sự kết nối hai mạng riêng lẻ thông qua một đường ham bảo mật đường hầm bảo mật này có thê sử đụng các giao thức PPTP, L2TP,

hoặc IPSec, mục đích của Lan-to-Lan VPN là kết nối hai mạng không có đường nối lạ! với nhau, không có việc thỏa hiệp tích hợp, chứng thực, sự cân mật của

đữ liệu bạn có thể thiết lập một Lan-to-Lan VPN thông qua sự kết hợp của các

thiết bị VPN Concentrators, Routers, and Firewalls

- Kết nối Lan-to-Lan được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng Có thể kết nối này luân chuyển thông

qua internet hoặc một mạng không được tin cậy.Bạn phải đảm bảo vân đề bảo mật bằng cách sử dụng sự mã hóa đữ liệu trên tất cả các gói dữ liệu đang luân chuyển giữa các mạng đó

—— -nn -nnnnnnnnnnnn======= ————<—_——_

Chương | Giới thiệu chung về mạng VPN

a Intranet VPNs:

The intranet setup using WAN backbone

- Intranet VPNs duoc sit dung để kết nối đến các chỉ nhánh văn phòng của tô chức đên Corperate Intranet (backbone router) sit dung campus router

- Theo mô hình bên trên sẽ rat tốn chỉ phí do phải sữ dụng 2 router để thiết lập

được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone

sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa

lý của toàn bộ mạng Intranet

- Đề giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi

các kêt nôi Internet với chỉ phí thâp, điều này có thê một lượng chi phi đáng kê của

việc triên khai mạng Intranet, xem hình bên dưới :

Chương l1 Giới thiệu chung về mạng VPN

The intranet setup based on VPN

+* Những thuận lợi chính của Intranet setup dựa trên VPN :

- Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô hình WAN backbone

- Giảm thiêu đáng kê sô lượng hồ trợ yêu câu người dùng cá nhân qua toàn câu,

các trạm ở một sô remote site khác nhau

- Bởi vì Internet hoạt động như một kết nối trung gian, nó đễ dàng cung cấp

những kêt nôi mới ngang hàng

- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ,

loại bỏ vân đê vê khoảng cách xa và thêm nữa giúp tô chức giảm thiêu chi phí cho

việc thực hiện Intranet

+ Những bất lợi chính kết hợp với cách giải quyết :

- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công

cộng- Internet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of- service), vân còn là một môi de doa an toàn thông tin

———=

Chương Ì Giới thiệu chung về mạng VPN

- Khả năng mật đữ liệu trong lúc đi chuyển thông tin cũng vẫn rất cao

- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin

mullimedia, việc trao đôi dữ liệu sẽ rât chậm chap do được truyền thông qua Internet

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên,

và Qo5 cũng không được đảm bảo

b Extranet VPNs:

- Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài

nguyên mạng cần thiết của các đối tác kinh doanh, chăng hạn như khách hàng, nhà

cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức

The traditional extranet setup

- Nhu hinh trén, mang Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet Điều này làm cho khó triển khai

và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bao trì và quản trị Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thê ảnh hưởng đến các kết nối bên ngoài mạng Sẽ

có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng

Extranet Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các

nhà thiết kế và quản trị mạng

Chương Giới thiệu chung về mạng VPN

The Extranet VPN setup

% Một số thuận lợi của Extranet :

- Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi

lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chỉ phí

bảo trì khi thuê nhân viên bảo trì.- Dễ dàng triển khai, quản lý và chỉnh sữa thông tin

s% Một sô bât lợi của Extranet :

- Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

- Do dựa trên Internet nên khi dữ liệu là các loai high-end data thi viéc trao đổi

dién ra cham chap

- Do dựa trên Internet, QoS(Quality of Service) cũng không được bảo đảm thường xuyên

eee es

H Các giao thức trong VPN:

1 Point — to — Point Tunneling Protocol (PPTP)

Giao thức định đường hầm điểm điểm PPTP được đưa ra bởi PPTP forum (gồm các công ty 3Com, Ascend comm, Microsoft, ECI Telematicunication va US Robotic) PPTP tách các chức năng chung và tiéng cuia remote access, lợi dụng Internet để tạo kết nối bảo mật giữa client và server

2 Layer 2 Forwarding (L2F)

Layer 2 Forwarding (L2F) là giao thức được phát triển bởi Cisco System cùng lúc với sự phát triển PPTP của Microsoft Đây là một giao thức cho phép các remote host có thê truy xuất đến mạng Intranet của một tổ chức thông qua cơ sở hạ tầng mạng công cộng với tính bảo mật và khả năng quản lý chặt chẽ

Cũng như với PPTP, L2F cho phép bảo mật mạng truy xuất cá nhân thông qua

hạ tầng mạng công cộng bằng việc xây dựng một tunnel thông qua mạng công cộng giữa client và host Bởi vì là một giao thức lớp 2, L2F có thể được dùng cho các giao thức khác ngoài IP như IPX, NetBEUI

3 Layer 2 Tunneling Protocol (L2TP)

L2TP là sự kết hợp của PPTP và L2F Giao thức này so với PPTP có nhiều đặc

tính và an toàn hơn L2TP sử dụng ỦDP như là một phương thức đóng gói cho cả sự

duy trì tunnel cũng như dữ liệu người dùng Trong khi PPTP dùng MPPE cho việc

mã hóa, L2TP lại dựa vào một giải pháp bảo mật hơn, đó là các gói L2TP được bảo

vệ bởi IPsec's ESP sử dụng transport mode L2TP có thể được đặt vào trong một gói IPsec, đây là việc kết hợp các ưu điểm bảo mật của IPsec và các lợi ích của sự

chứng thực user, việc gán địa chỉ tunnel và cấu hình, hỗ trợ đa giao thức với PPP

L2TP cung cấp sự linh hoạt, mềm dẻo, và giải pháp kinh tế của remote access cũng như sự kết nối nhanh chóng point-to-point của PPTP

4 IP security (IPsec)

Cấu trúc IPsec cung cấp một framework cho việc bảo mật tại lớp IP cho cả

IPv4 va IPv6 Bang viéc cung cấp sự bảo mật tại lớp này, các giao thức thuộc các

lớp cao hơn như transport, application có thể sử dụng sự bảo mật IPsec mà không cần thêm bất cứ sự thay đổi nào Trong quá trình mã hóa và chứng thực dữ liệu,

IPsec sử dụng một trong hai hoặc cả hai giao thức sau để bạo mật thông tin:

-Xác thực tiêu đề IP-AH( IP Authentication Header) điều khiển việc xác

thực

-Bọc gói bảo mật tải ESP (Encapsulating Security Payload) cho mục đích

mã hóa

Chương 2: CÁC THÀNH PHÀN CÁU TRÚC VPN

I VPN hardware (phan cig VPN)

VPN hardware bao gdm các thành phần chính là: VPN server, VPN client va

các thiệt bị phân cứng khác nhu router va các bộ tập trung

1.VPN server:

VPN server là các thiết bị mạng chuyên dùng cho việc vận hành server

software Dựa vào các nhu cầu của tổ chức, mạng có thể có một hoặc nhiều VPN

server Bởi vì một VPN server phải cung cấp các dịch vụ cho các remote VPN client

cũng như: local VPN client, chúng luôn luôn phải hoạt động và sẵn sàng chấp nhận

các yêu cầu của client

Các chức năng chính của VPN server:

-Lắng nghe các yêu cầu kết nối VPN

-Sắp xếp các yêu câu và thông sô kết nỗi chăng hạn như mã hóa và các cơ

chê chứng thực

-Chứng thực và cấp quyền cho các VPN client

-Chấp nhận dữ liệu từ client hoặc forward đữ liệu được yêu cầu bởi client

-Đóng vai trò như một điểm cuối của VPN tunnel và VPN connection

Các VPN server có thê có hai hoặc nhiều card mạng Một hoặc nhiều card

mạng trong số này được dùng cho việc kết nối server với mạng Intranet của tô chức,

còn cái khác được dùng để kết nối đến Internet Trong một sô trường hợp, các VPN

server cũng có thể đóng vai trò như các VPN gateway hoặc các router

2.VPN client

VPN client là những máy ở đầu xa hoặc nội bộ mà bắt đầu một kết nối VPN

đến một VPN server và đăng nhập đến một remote network sau khi chúng đã được

chứng thực tại remote-network đầu cuối Chỉ sau khi login thành công thì VPN

server và VPN client mới có thể giao tiếp được với nhau Thông thường, một VPN

client dựa trên phần mềm Tuy nhiên, nó cũng có thể là một thiết bị phần cứng

chuyên dụng Một VPN hardware router với tính năng định tuyến cuộc gọi theo yêu

cầu (dial-on-demand routing) mà quay số đến một VPN hardware router khác là một

ví dụ về thiết bị VPN hardware chuyên dùng

Với việc gia tăng khả năng làm việc di động của mạng, rất nhiều user (VPN

client) có thể có các roaming profile Cac user nay có thể dùng một VPN dé giao

tiếp một cách an toàn đến mạng Intranet của tổ chức đó Các VPN client profile cụ

thê được trình bày như hình dưới dây, bao gồm:

ll <<

-Remote administrators: những người sử dụng mạng công cộng kết nối

đên một remote site đê quản lý, điêu khiên, troubleshoot hay câu hình các dịch

3.VPN routers, các bộ tập trung và các Gateway

Trong trường hợp thiết lập một mạng VPN nhỏ, VPN server có thể làm nhiệm

vụ định tuyến Tuy nhiên, thực tế này không hiệu quả trong trường hợp các VPN lớn cần phải tiếp nhận một số lượng lớn các yêu cầu Lúc này cần phải có một thiết bị định tuyến VPN riêng biệt Thông thường, một router là một điểm cuối của một private network trir phi có một firewall ở phía sau nó Vai trò của một VPN router là tạo ra các remote part trên mang intranet duoc phép truy cập Vì vậy, router chịu

trách nhiệm chính cho việc tìm tất cả các đường đi và chọn đường ngắn nhất có thể

được để đến mạng đích (destination network) Mặc dù các router thông thường có thể được dùng trong VPN nhưng các chuyên gia đề nghị nên dùng các router đã được tối ưu hóa Những router này, ngoài việc định tuyến còn cung cấp tính bảo

mật, sự co giãn va QoS

—— ——=====

Chương 2 Các thành phần cấu trúc VPN

Giống như các hub được dùng trong các mạng truyền thống, các bộ tập trung

VPN được dùng để thiết lập một remote access VPN qui mô nhỏ, bên cạnh việc tăng

dung lượng và thông lượng của VPN, những thiết bị này còn cung cấp tính sẵn sàng

thực thi cao, sự mã hóa cấp cao và khả năng chứng thực

Các IP gateway chuyên các giao thức non-IP thành IP và ngược lại Kết quả là những gateway này cho phép một private network hỗ trợ giao dịch trên nén IP Những thiết bị này cũng có thê là các thiết bị mạng chuyên dụng hay các giải pháp dựa trên phần mềm Đối với các thiết bị phần cứng, IP gateway thông thường được

bổ sung tại các rìa của organization’s intranet Con đối với các giải pháp phan mém,

IP gateway được cài đặt trên mỗi server và được dùng để chuyển đổi traffic từ các

giao thức non-IP sang IP và ngược lại

Il VPN software:

1 VPN server software

Các hệ điều hành của Microsoft như Windows 2000, các phiên bản của Windows NT, Novell’s Netware, Linux là những hệ điều hành thường được cài đặt lên một VPN server Nói cách khác, bất kỳ máy nào mà có những hệ điều hành

mạng — Network Operating Systems (NOSs) và được dùng để phục vụ cho các yêu

cầu của VPN client đều đựoc xem là VPN server

2 VPN client software

Bất kỳ máy tính nối mạng nào đưa ra một yêu cầu tới một VPN server đều

được xem là một VPN client Các hệ điều hành như Windows 95/98 hay bất kỳ hệ

điều hành nào mà cư trú trên một VPN client đầu được cho là một VPN client

software Cần chú ý một điều là các VPN client không thể là các thiết bị phần cứng riêng biệt giống như VPN server Tuy nhiên, trong trường hợp dial-on-demand routing, VPN hardware có thể có một built-in VPN client (VPN client được gắn sẵn bên trong)

3 Các trình ứng dụng và công cụ quản lý VPN

Đây là những trình ứng dụng và công cụ dùng cho việc quản lý thiết lập VPN

Các trình ứng dụng này được dùng để quản lý, điều hành, cấu hình và xử lý sự cố

(troubleshoot problems) Novell’s Border Manager va Cisco Secure Policy Manager

là các công cụ quản lý VPN nỗi tiếng

II Cơ sở hạ tầng bảo mật của tổ chức mạng:

Cơ sở hạ tầng bảo mật của một tổ chức mạng cũng là một yếu tố quan trọng

trong toàn bộ kiến trúc VPN Một cơ sở thiết kế và kế hoạch bảo mật tốt có thể bảo

vệ được mạng intranet của một tô chức tránh khỏi các thảm họa về sau Một hạ tầng

bảo mật VPN thường bao gồm tất cả hoặc là sự kết hợp của một số trong các cơ chế bảo mật dưới đây:

——==

Chương 2 Các thành phần cấu trúc VPN

-Firewalls

-Network Address Translation (NAT)

-Authentication servers and databases

trong mạng Firewall có thể quản lý các địa chỉ IP, các công, kiểu gói tin, các kiểu

ứng dụng, và kế cả đữ liệu chứa đựng bên trong gói tin Hình đưới đây mô tả vị trí của firewall trong thiết kế tổng thể của mang Intranet

Vi tri cia firewall trong m6t mang intranet

2 Network Address Translation (NAT):

Vị trí của NAT trong một mang intranet

Các thiết bị dựa trên NAT cho phép chúng ta kết nối đến các resource và network từ xa mà không cần để lộ địa chỉ IP của các host bên trong một private

network hay một intranet Như mô tả ở hình trên đây, NAT cũng được thực thi tai

rìa của một intranet và mọi giao tiếp đều được định tuyến thông qua chúng Ngoài việc cung cấp cơ sở bảo mật, NAT cũng cho phép chúng ta tiết kiệm các địa chỉ IP

3 Authentication Servers and Databases:

Ll]

Remote Access Dial-In User Services (RADIUS) va Terminal Access Controller Access Control System (TACACS) 1a nhing cach phổ biến nhất dùng

cho chứng thực server và database Chúng cung cấp các cơ chế mạnh mẽ dùng cho

việc phân quyền và chứng thực từ xa Những thiết bị này thường được đặt trong

phần đầu của một organization”s intranet và nhận mọi yêu cầu chứng thực từ nhà

Corporate Network

Vi tri cia RADIUS/ TACACS trong mot mang intranet

Khi một RADIUS hay TACACS server nhận được một yêu cầu chứng thực thì

nó sẽ chứng thực nếu như thông tin đó được lưu trữ bên trong intranet Ngược lại, sự

truy vấn sẽ được chuyển tới một trung tâm cơ sở dữ liệu được dành dé lưu trữ thông

tin liên quan đến remote users Nhờ vào việc nhận các query phản hồi, RADIUS hay

TACACS server liên lạc đồng thời đến Network Access Server (NAS) tai ISP dé

thiết lập một kết nối VPN hoặc từ chối yêu cầu kết nối Bằng cách này, một tổ chức

có thể áp dụng việc điều khiển hoàn toàn lên tất cả các truy cập của remote access

bất chấp sự hiện diện của nhà cung cấp dịch vụ intranet trung gian

4 AAA Architecture

Authentication Authorization Accouting (AAA) là một cơ chế chứng thực phổ

biến được thực hiện trong hầu hết tất cả các tình huống remote access cũng như

local access Co ché bảo mật này có thể được thực hiện như là một kỹ thuật bổ sung

cho RADIUS/ TACACS, bởi vì điều này làm tăng thêm một lớp trong việc chứng

thực

AAA cung cập câu trả lời cho hâu hệt các câu hỏi cơ bản liên quan đên remote

access, đó là các câu hỏi sau:

- Ai dang truy cap vao mang?

- Dịch vụ và tài nguyên nao user được phép truy cập vào?

- User activities la gi và chúng được thực hiện khi nào?

Khi một NAS đặt tại IPS và nhận được một yêu cầu kết nối từ xa, nó sẽ uy nhiệm yêu cầu đó đến AAA server đặt tại điểm cuối của tổ chức Server này sẽ

chứng thực cho client đó, và trong trường hợp chứng thực thành công nó sẽ xác định

tài nguyên và địch vụ mà user đó được phép truy cập Nếu user cố găng truy cập đến

SE SS

cling IPsec Security Associations (SAs)

IPsec cung cấp sự mã hóa va chứng thực đữ liệu giữa các thành phần trong

VPN như sau:

-Client to server -Client to router -Firewall to router -Router to router

Chương 3: CÁC GIAO THỨC TRONG VPN

I Giới thiệu về kỹ thuật tunneling

1 Khái niệm Tunneling là thành phần quan trọng nhất trong kỹ thuật VPN Nó cho phép một tô chức tạo ra các mạng ảo thông qua Internet và các mạng công cộng khác

Các mạng ảo này không thê truy cập bởi những người ngoài - các user không phải là thành phân cua organization’s intranet

Tunneling là kỹ thuật đóng gói toàn bộ data packet (dữ liệu của gói) trong một

packet của giao thức khác Nói cách khác, phần header của tunneling protocol được

gắn vào gói tin nguyên thủy, sau đó gói tin tổng hợp được chuyển đến destination node hoặc network thông qua mạng trung gian Đối với những gói data nguyên thủy (hay còn gọi là payload) không có giao thức hỗ trợ sẽ được gắn thêm một header để trở thành tuaneled packet và được truyền trên tunnel đến mạng đích Header này sẽ cung cấp thông tin routing cần thiết để packet có thể deliver thành công thông qua internet Hình dưới đây mô tả quá trình xử lý của tunnel:

thông trên internet trong một đường dân logic Đường dân này gọi là tunnel Sau khi

nhận được tunneled packet, receiver sẽ chuyên packet đó trở vê định dạng nguyên

thủy của nó

2 Các quá trình hoạt động của Tunnel Technology Quá trình hoạt động của Tunnel Technology được chia thành 2 phase (pha):

-Phase 1: là pha thiết lập tunnel Initiator node (node bắt đầu) yêu cầu

một VPN session và được chứng thực bởi HA tương ứng (HA: Home Agent, là giao

—==-e===m=======—==—

Chương 4 Vấn để bảo mật trong VPN diện phân mêm lưu trú tai network access node (router) trong mang dich HA sẽ nhan va ching thyc incoming requests để xác nhận những request từ các host được

ủy thác Dựa vào sự chứng thực ban đầu HA sẽ cho phép thiết lập tunnel) Một yêu cầu kết nối sẽ được bắt đầu và các thông số session được thỏa thuận Nếu request đó được chấp nhận và các thông số session được thỏa thuận thành công, một tunnel sẽ được thiết lập giữa hai điểm cuối giao tiếp

Các bước thiết lập tunnel:

e Sender sẽ gửi yêu cầu kết nối đến FA (Foreign Agent, là giao diện phần

mêm lưu tri tai initiator node cũng như tại network access node Initiator

node sử dụng FA đê yêu cầu mot VPN session tir HA tai mang dich)

e FA sẽ chứng thực yêu cầu kết nối bằng việc xác nhận giá trị của login name và password được cung cấp bởi user (Thông thường FA sử dụng các dich vu cua RADIUS đề chứng thực sự đồng nhất của initiator node.)

e Nếu login name và password không đúng thì yêu cầu tạo VPN session

sẽ bị từ chối Ngược lại, nêu FA chứng thực thành công sự đồng nhất của

initiator, FA sẽ forward yêu cầu kết nối đến HA của mạng đích

e© Nếu request được chấp nhận bởi HA, FA sẽ gửi login ID đã được mã hóa và password tương ứng với nó

e_ HA xác nhận thông tin đã được cung cấp Nếu sự xác nhận thành công,

HA sẽ gửi Registry Reply cùng với tunnel number dén FA

e_ Một tunnel sẽ được thiết lập khi FA nhận được Registry Reply và tunnel number

sensor O Das, Go mmme

Quá trình thiết lập tunnel -Phase 2: (data transfer phase) truyền dữ liệu trên tunnel Sau khi thiết lập tunnel, việc trao đôi đữ liệu trong data transfer phase diễn ra như sau:

e Sender bat đầu forward các data packet đến FA

e FA sẽ tạo tunnel header và gắn nó vào mỗi data packet Thông tin

header của một giao thức định tuyên (mà đã được thỏa thuận ở Phase 1) được găn lên packet

———————e—————=nnnnennsnn==========e.m

Van dé bao mat trong VPN Chuong 4

a

e FA forward g6i di liệu đã được mã hóa dén HA bang viéc str dung tunnel number

e Khi nhận được thông tin đã được mã hóa, HA sẽ gỡ bỏ tunnel header và

thông tin định tuyên, trả lại định dạng nguyên thủy của gói tin

e Dữ liệu nguyên thủy sẽ được forward đến destination node cần đến

trong mạng

Phase ll

Quá trình chuyển đữ liệu bên trong tunnel

3 Tunneled packet format Trước khi được deliver dén mạng đích thông qua tunnel, các gói dữ liệu được

mã hóa bởi FA tạo thành tunneled packet Định dạng của tunneled packet được trình

bày như hình dưới đây:

Dinh dang cua tunneled packet

Một tunneled packet bao gồm ba phần:

-Routing protocol header: chia dia chi nguồn (FA) và địa chỉ đích (HA) Bởi vì việc trao đôi thông tin trên Internet chủ yêu là dựa trên IP, header này chứa địa chỉ IP của FA và HA

-Tunnel packet header: chira 5 trường sau:

e Protocol type: trudng nay xác định giao thức của gói dữ liệu

NN

Chương 4 Vấn để bảo mật trong VPN

————————————————————————————————— xăm

e Checksum: chira checksum ding đề kiêm tra thử xem gói dữ liệu

có bị corrupt (hư) trong suốt quá trình truyền hay không Thông tin này là

một tùy chọn

e Key: théng tin nay dùng để nhận dạng hoặc chứng thực source

hiện tại của đữ liệu

e Sequence number: trudng nay chira số thứ tự của gói tin trong chuôi dữ liệu đang được truyên

e Source routing: chứa các thông tin định tuyến Trường này là

một tùy chọn

-Payload: là gói dữ liệu nguyên thủy cần gửi đến đích

4 Các loại tunnel

-Volunfary tunnel: cũng được biết như là end-/o-end funnel, voluntary tunnel

được tạo ra từ yêu cầu của một client Kết quả là initiator node hoạt động như một

tunnel endpoint Vì vậy, một tunnel riêng biệt được tạo ra cho mỗi cặp giao tiếp

Sau khi việc giao tiếp giữa hai đầu cuối được thông qua, tunnel sẽ được kết thúc

Hình sau đây mô tả một voluntary tunnel

Voluntary tunnel

Trong trường hợp một remote client sử dụng một kết nối đial-up, client đó

trước tiên sẽ thiết lập một kết nối đial-up đến internetwork Đây là bước mở đầu cho

việc thiết lập tunnel và nó không được thiết lập bởi tunneling protocol Chi sau khi

một kết nối dial-up được thiết lap, initiator node mdi cé thể thiết lập tunnel đến

destination node đã được định trước Tuy nhiên, trường hợp đơn giản hơn là khi

client là một thành phần thường xuyên của local network Trong trường hợp này,

client được sẵn sàng để kết nối đến internetwork Vì vậy không cân phải thiết lập

một kết nối dial-up riêng biệt đến internetwork

-Compulsory tunnel: không giống như voluntary tunnel được yêu cầu và tạo

ra bởi clinet node, compulsory tunnel được tạo ra và câu hình bởi một thiết bị trung

gian Network Attached Storages (NASs) hay dial-up server là các thiết bị trung

gian Được gọi là compulsory tunnel boi vi initiator node bắt buộc phải dùng tunnel

mà được tạo ra bởi các thiết bị trung gian

mạng LAN buộc phải kết nối đến thiết bị trung gian Các thiết bị này thường được

đặt tại ISP°s POP Sau khi kết nối được thiết lập thành công, thiết bị trung gian này

sẽ tạo ra tunnel

Bởi vì initiator node không góp phần tạo ra và cầu hình tunnel, nó không hoạt

động như một tunnel endpoint Trong trường hợp này, các thiết bị trung gian chịu

trách nhiệm của các tunnel endpoint Cũng vậy, không giống như voluntary tunnel,

các tunnel riêng biệt được đặt trong từng cặp của các node giao tiếp, còn

compulsory tunnel có thể được chia sẻ bởi các đa giao tiếp (multiple

communication) Két quả là tunnel không được kết thúc cho tới khi giao tiếp cuối

Một tunnel riêng biệt được cung

Một tunnel được kết thúc khi việc

trao đôi dữ liệu giữa hai điêm cuôi

được hoàn tât

Tunnel không được kết thúc cho tới khi cặp giao tiếp cuôi cùng hoàn tât

việc trao đôi dữ liệu

Dữ liệu trao đôi giữa hai điêm cuôi

nhanh hơn

Dữ liệu trao đôi giữa hai điêm cuôi

chậm bởi vì tunnel bị chia sẽ bởi multiple communications

Chương 4 Vấn để bảo mật trong VPN

—————m=

-Carrier ptotocol: là các giao thức được dùng đề định tuyên tunneled

packet đến destination được định trước thông qua mạng liên kết chung Các

tunneled packet được đóng gói bên trong các packet của giao thức này Bởi vì phải định tuyến các packet thông qua một mạng liên kết chung hỗn tạp, chẳng hạn như Internet, giao thức này cân phải được hỗ trợ một cách rộng rãi Kết quả là nếu như tunnel được tạo ra thông qua Internet, carrier protocol được dùng chủ yếu là IP Tuy nhiên, trong trường hợp các private intranet, các giao thức định tuyến tự nhiên cũng có thể đáp ứng như cac carrier protocol

-Encapsulating protocol: những giao thức này được dung để đóng gói payload Hơn nữa, encapsulating protocol cũng chịu trách nhiệm cho việc tạo,

duy trì và kết thúc một tunnel Hiện nay, PPTP, L2TP, IPsec là những giao

thức phổ biến nhất được dùng trong các encapsulating protocol

-Passenger protocol: giao thức này dùng để đóng gói dữ liệu dé vận chuyển trên Internet thông qua tunnel PPP và SLIP (Serial Line Internet Protocol) duoc dùng chu yéu trong passenger protocol

Packat Hesder Payload

Protocol Protocol Ò Prdiocol

Sự sắp xếp định dạng tunneled packet lên tunneling protocol

IH Point-To-Point Tunneling Protocol (PPTP)

1 Co ban vé Point-to-Point Protocol (PPP) PPP là giao thức đóng gói dùng để vận chuyển network traffic thông qua các kết nối serial point-to-point Thuận lợi lớn nhất của PPP là có thể hoạt động trên bất

kỳ các thiết bị Data Terminal Equipment (DTE) hay Data Connection Equipment (DCE) PPP cung cấp các kết nối router — to — router, router — to — host, host — to~

host, được sử dụng phổ biến cho các liên kết Internet trên các đường dây quay sỐ

-Quá trình hoạt động của PPP:

Chương 4 Vấn để bảo mật trong VPN

Quá trình hoạt động của PPP

e Client gửi gói tin yêu cầu kết nối đến Server

e Khi kết nói được thiết lập Client gửi thông tin về User và Password của người dùng đề Server kiêm tra quyên của Client

e Sau khi xác thực được người dùng Client và server sẽ thực hiện truyền

đữ liệu

-Các thành phần trong gói dữ liệu của PPP:

Gồm sáu trường tạo thành:

e Flag: trường này xác định bắt đầu và kết thúc một frame, có độ dài là một byte

e Address: bởi vì sử dụng các liên kết point-to-point, PPP khéng dùng

địa chỉ của các node cá nhân Vì vậy, trường này chứa một chuỗi các bít: 11111111,

đây là một địa chỉ broadcast chuân, có độ dài một byte

e Control: trường này chứa chuỗi nhị phân 00000011 để diễn tả các

frame mang đữ liệu của các user là các frame không liên tục Chiều dài của trường

la 1 byte

e Protocol: trường này xác định giao thức của dữ liệu được đóng gói trong khung dữ liệu Giao thức trong trường này được chỉ định trên các số được gán trong RFC 3232 Độ dài của trường này là hai byte

se Data: trường này chứa thông tin cần trao đổi giữa các source và

đestination no đe, có độ dài thay đôi và có thê dài tới 1500 byte

_>_—=AR=xRS— ————————===n-n========—=-

e FCS (Frame Check Sequence): trudéng này chứa check sequence giúp

cho người nhận xác nhận độ chính xác của thông tin nhận được trong trường Data Thông thường độ dài của trường này là hai byte Tuy nhiên, PPP có thể sắp xếp một FCS 4-byte với mục đích tăng cường việc dò lỗi

Gói dữ liệu PPP

2 Point-to-Point Tunneling Protocol (PPTP)

PPTP là một giao thức cho phép trao đổi thông tin an toàn từ một client đến một server bằng việc tạo một VPN thong qua mạng dựa trên TCP/IP Điểm mạnh của PPTP là khả năng cung cấp theo yéu cau (provide on demand), hé tro da giao thức (multi-protocol) trên hạ tầng mạng hiện tại như Internet Khả năng này cũng cho phép một công ty sử dụng Internet để thiết lập một mạng riêng ảo mà không phải tốn một đường dây thuê riêng (lease line)

2.1 Vai tré cua PPP trong PPTP:

PPTP là một sự mở rộng của PPP bởi vì PPTP không thay đổi kỹ thuật PPP cơ bản Nó chỉ vạch ra một cách mới của việc vận chuyên PPP traffic thong qua mang công cộng Cũng giống như PPP, PPTP không hỗ trợ multiple connection PPTP chỉ

hỗ trợ các kết nối point-to-point Ngoài ra, PPP đáp ứng các chức năng sau đây

trong PPTP transaction:

e_ Thiết lập và kết thúc các kết nối vật

e Xác thực người dùng các phương pháp mã hóa để tạo thành các datagram và

bảo vệ data vận chuyên giữa các nhóm phức tạp

PPP cũng có thể sử dụng cleartext, mật mã hoặc các cơ chế chứng thực của

Microsoft-encrypted đê chứng thực client Hình dưới đây mô tả vai trò của PPP

trong PPTP:

Chương 4 Vấn để bảo mật trong VPN

Ba chirc nang cia PPP trong PPTP transaction

2.2 Cac thanh phan cia PPTP transaction

Bất kỳ việc thực hiện PPTP transaction nào cũng it nhất gồm ba thành phần như trong hình dưới đây Những thành phân này là:

< PPTP Tainel >

(TCP Connection + PPTP Control Connection + IP Datageams)

Ba thanh phan cia PPTP transaction

eee | Packet after encapsulation by the Local Medium

Viéc van chuyén PPTP packet trên môi trường mạng

e PPTP client: một PPTP client là một nút mạng hỗ trợ PPTP và có thê

yêu cầu nút mạng khác một VPN session Nếu kết nối được yêu cầu từ một remote server, PPTP client buộc phải dùng các dich vu cua mét ISP’s NAS Đề làm điều này, client đó phải được kết nối đến một modem được dùng để thiết lập một đial-up PPP connection tới ISP PPTP client cũng phải được kết nối đến một thiết bị VPN

để có thể tạo tunnel đến thiết bị VPN trên remote network Con đối với các yêu cầu

VPN session từ một local server thì không cần phải có một kết noi dén ISP’s NAS

Ca client va server đều được kết nối vật lý trên cùng một LAN, việc đòi hỏi thiết lập một kết nối đến ISP°s NAS là không cần thiết Lúc này client chỉ cần một đial-up session đến thiết bị VPN trên server Bởi vì các yêu câu định tuyến của các PPTP packet dùng cho remote requesf và local request khác nhau nên các packet liên quan đến hai yêu cầu này cũng được xử lý khác nhau Các PPTP packet đến local server được đặt trên bộ trung chuyển vật lý đính kèm (physical medium attached) đến bộ

chuyên đổi mạng (network adapter) của PPTP client Ngược lai, cac PPTP packet dén remote server được định tuyến thông qua bộ trung chuyển vật lý đính kèm đến

một thiết bi vién thong (telecommunication device) nhu router

e PPTP server: là các nút mạng hỗ trợ PPTP và có thé dap ung cac yéu cầu cho cdc VPN session tir nhitng node khac — remote hoac local Để đáp ứng các

remofe request, những server này cũng phải hỗ trợ khả năng định tuyến Một

Remote Access Server (RAS) hay bất cứ hệ điều hành mạng — Network Operating

-.>————————=======

cầu VPN session cùng một lúc là rất cao, các server này cần phải có khả năng hỗ trợ

nhiều client cùng một lúc Cũng vậy, các PPTP client không bị hạn chế bởi các NOS

của Microsoft Vì vậy, PPTP NAS phái có khả năng điều khiển một đải rộng các

client bao gém Microsoft’s Windows-based client, Unix machines, Apple’s

Macintosh client Tuy nhiên điều quan trọng là các client này hỗ trợ khả năng kết

control duge thiết lap dya trén IP address cia PPTP client va server Sau khi diéu

khiển kết nối được thiết lập, các message điều khiển và quản lý được trao đôi giữa

các nhóm giao tiếp Những message này chịu trách nhiệm cho việc duy trì, quản lý

Chương 4 Van dé bao mat trong VPN

Các thông điệp diéu khién PPTP (PPTP control message):

Đáp ứng từ PPTPserver đến Start-Control- Connection-Request message của client

Đáp ứng từ PPTP server đến Outgoing- Call-Request message của client

Echo-Request Cơ chế keep-alive từ client cũng như

server, dùng đê yêu câu duy trì kêt nôi

Echo-Reply Đáp ứng đến Echo-Request message từ

điêm đôi diện cho phép duy trì kêt nôi

Chương 4 Vấn để bảo mật trong VPN

Như được mô tả trong hình dưới đây, các PPTP control message được đóng gói trong các TCP datagram Vì vậy sau khi một kết nối PPP được thiết lập với

remote server hay client, một kết nối TCP cũng được thiết lập Sau đó kết nối này

được dùng để trao đổi các PPTP control message

PPTP control trong TCP datagram

e PPTP Data tunneling and Processing:

MO6t PPTP data packet trai qua nhiều giai đoạn đóng gói như sau:

+ Đóng gói dữ liệu (Encapsulation of data): thông tin ban đầu (payload) được mã hóa rồi sau đó được đóng gói bên trong một PPP frame Một PPP header sẽ

được thêm vào frame đó

+ Đóng gói PPP frames (Encapsulation of PPP frames): frame PPP tong

hợp được déng gdéi trong m6t modified Generic Routing Encapsulation (GRE)

Modified GRE chứa một trường ACK 4-byte va mét bit ACK tuong ứng cho biết sự hiện diện của trường ACK Hơn nữa trường Key trong GRE frame duge thay bằng

một trường dài 2 byte được gọi là Payload length và một trường 2 byte khác được

gọi là Call ID PPTP thiết lập trường này khi tạo ra PPTP tunnel

+ Đóng gói GRE packet (Encapsulation of GRE packet): ké dén, một IP

header được thém vao trong PPP frame IP header nay chira dia chi IP nguồn là PPTP client và đích là server

+ Đóng gói lớp Data Link (Data Link Layer Encapsulation): bởi vì như

chúng ta đã biết, PPTP là một giao thức tunnel lớp 2 Vì vậy, Data Link layer header

và trailer đóng vai trò quan trọng trong tunneling data Trước khi được đặt lên phương tiện truyền thông, Data Link layer đặt header và trailer của nó lên datagram Nếu datagram đó phải đi qua một local PPTP tunnel nó sẽ được đóng gói với một

LAN-technology (Ethernet) header va trailer Còn ngược lại, nếu tunnel được thuê

qua một WAN link, một lần nữa header và trailer của PPP sẽ được gắn vào trong datagram

PERS [paw | S| le] RE”? | Re"

Qua trinh xi ly cia PPTP data tunneling Khi PPTP data được chuyển đến đích thành công, phía nhận sẽ phải xử lý

tunneled packet dé trich ra (extract) dtr ligu ban đầu Quá trình của PPTP-tunneled

data extraction là sự đảo ngược một cách chính xác của PPTP data tunneling Để

khôi phục lại đữ liệu ban đầu, recipient PPTP node phải theo các bước sau đây:

+ Phía nhận sẽ xứ lý và remove Data Link header và trailer

Catalink | Hane | Honda | eS | or

a PPTP data encryption and compression:

Để mã hóa dữ liệu, PPTP sử dụng quá trình mã hóa RSA “shared-secret” Nó được xem là shared-secret bởi vì cả hai đầu cuối kết nối có chung mã khóa Với việc thực thi RSA, mật mã chung chính là user password PPTP sử dụng PPP encryption

và PPP compression Giao thức điều khiển nén CCP (Compression Control Protocol) được dùng để sắp xếp sự mã hóa được sử dung Username va password co

gia tri đối với server và được cung cấp bởi client Một mã khóa được tạo ra bằng

việc sử dụng một mớ lộn xộn các passwork được lưu trữ trong cả server và client Chuẩn RSA RC4 duoc dùng dé tao ra session key 40-bit dựa trên password của

client Key này sau đó sẽ được dùng để mã hóa và giải mã tất cả các dữ liệu được

trao đôi gitta PPTP client và server Dữ liệu trong các PPP packet được mã hóa PPP

_ —— -——==nnnn========mr

Chương 4 Vấn để bảo mật trong VPN

packet chứa block của đữ liệu được mã hóa rỗi được nhôi vào trong một IP

datagram lớn hơn

b Authentication:

PPTP hỗ trợ các cơ chế chứng thực của Microsoft sau đây:

® PAP (Password Authentication Protocol): là giao thức chứng thực đơn giản

và phổ biến nhất Nó cũng được dùng để chứng thực các kết nôi PPP Tuy nhiên, giao thức này gửi user ID.và password thông qua đường truyền mà không được mã hóa Vì vậy PAP không bảo vệ được thông tin tránh khỏi sự tấn công bằng playback hoặc repeated trial Một lỗ hông (loophole) khác nữa của PAP là các đầu cudi giao tiếp được chứng thực chỉ một lần — tại lúc thiết lập kết nối Bởi vậy, nếu hacker tấn công vào kết nối thành công một lần thì sẽ không phải lo lắng về sự chứng thực về

sau Vì các lý do này, PAP được coi là giao thức chứng thực ít phức tạp nhất và

không phải là cơ chế chứng thực được ưa chuộng trong VPN

e MS-CHAP (Microsoft Challenge Handshake Authentication Protocol) 1a

một phiên bản của CHAP theo yêu cầu của Microsoft, được dùng cho chứng thực

PPP Bởi vì mạnh tương đương với CHAP, nên chức năng của MS-CHAP cũng hơi

giống như CHAP Điểm khác biệt chính giữa hai giao thức đó là CHAP dựa trên

thuật toán RSA MD5, còn MS-CHAP dựa trên RŠA RC4 va DES (Data Encryption Standard) Trén thực tế MS-CHAP chỉ được phat triển cho các sản phẩm của

Microsoft (Windows 9x và các phiên bản khác của Windows NT), nó không được

hỗ trợ cho các nền sản phẩm khác

c Access control:

Sau khi một remote PPTP client được chứng thực thành công, các truy xuất

của nó đến các tài nguyên bên trong mạng có thể bị giới hạn nhằm mục đích tăng cường bảo mật Mục đích này được thực hiện bởi việc thi hành các cơ chế điều

khiển truy xuất như:

thực, điều khiển truy xuất, mã hóa mà còn tăng thêm tính bảo mật mạng

——-Ỷ ợợ————————nn.nn==========—n

Chương 4 Vấn để bảo mật trong VPN

+ Ưu điểm và nhược điểm của PPTP

-Ưu điểm:

e PPTP 1a giao thức được phát triển bởi Microsoft nên được sử dụng một cach

rộng rãi

e PPTP có thê hỗ trợ các giao thức non-IP

ePPTP được hỗ trợ bởi nhiều platform khác nhu Unix, Linux, Apple’s

Macintosh

- Nhược điểm:

e PPTP là giao thức có tính bảo mật yếu

e PPTP phụ thuộc vào platform

e PPTP yêu cầu việc cấu hình toàn diện trên cả PPTP server cũng như PPTP client

s Mặc dù là một giải pháp VPN, nhưng Routing and Remoet Access Server (RRAS) cũng cần phải được câu hình trong trường hợp dùng giải pháp định tuyến quay sô theo yêu câu (Dial-on-Demand roouting)

Nhược điểm lớn nhất liên quan đến PPTP là cơ chế bảo mật yếu, bởi vì PPTP sử dụng cơ chế mã hóa đối xứng (symmetric encryption) trong đó các khóa nhận được

từ password của người dùng

II Layer 2 forwarding (L2F)

1 Giới thiệu tổng quát:

Như đã giới thiệu trong chương 1, L2F là giao thức được phát triển bởi Cisco

Cũng giống như PPTP, L2F cho phép truy xuất đến mạng cá nhân thông qua cơ sở

hạ tầng mạng công cộng nhờ các tunnel giữa client và host Điều khác nhau giữa

PPTP và L2F đó là L2F không phụ thuộc vào IP, nó có thể làm việc với Các giao thức mạng khác như Frame Relay, ATM, FDDI Dịch vụ này chỉ yêu cầu khả năng quay số nội hạt nên giảm giá thành sử dụng cho người dùng nhưng vẫn cung cấp

cùng mức độ cho việc thành lập sự bảo mật trong private network

L2F tunnel tir ISP’s POP dén gateway cia private network

Một L2F tunnel hỗ trợ được nhiều kết nối đồng thời trong cùng một tunnel

Nói đơn giản hơn, nhiều remote user có thê truy xuất đến một private intranet bằng

việc sử dụng một kết nối dial-up, đó là một hạn chế của PPTP L2F có thể làm được

điều này bởi vì nó định nghĩa các kết nối bên trong tunnel, nơi đó mỗi kết nối đại diện cho một single PPP stream Hon nữa, các stream nay cũng có thể bắt nguồn từ

một hoặc nhiều remote user Bởi vì một tunnel có thể hỗ trợ nhiều kết nối đồng thời

nên chỉ yêu cầu một số ít các kết nối từ remote site đến ISP và từ ISP?S POP đến

gateway cua private network Điều này đặc biệt thuận lợi trong việc giảm giá thành

cho user

L2F dùng PPP cho việc chứng thực client như PPTP Tuy nhiên, L2F cũng hỗ

trợ TACACS+ và RADIUS cho việc chứng thực Việc chứng thực của L2F bao gồm hai mức độ: đầu tiên là khi remote user kết nối đến ISP°s POP, thứ hai là khi kết nối dugc dén organization’s intranet gateway

2 Quá trình xử lý L2E

Khi một remote đial-up client bắt đầu một kết nối đến một host đặt trong một

private intranet, các quá trình sau đây được xử lý một cách tuần tự:

1 Remote user bắt đầu một PPP connection đến ISP của nó Nếu remote user

là một thành phần của một LAN, user này có thể dùng ISDN hoặc các liên kết khác

để kết nối đến ISP Ngược lại, nếu user không phải là thành phần của intranet sẽ cần

phải sử dụng các dịch vụ dựa trên PSTN

2 Nếu NAS tại ISP°'s POP chấp nhận yêu cầu kết nối, kết nối PPP sẽ được

thiệt lập giữa NAS và user

3 User sẽ được chứng thực tại đầu cuối ISP CHAP hoặc PAP có thể được dùng đê chứng thực

4 Nếu hiện tại không có tunnel đến gateway của mạng đích được yêu cầu, một tunnel sẽ được bắt đầu

5 Sau khi một tunnel được thiết lập thành công, một ID phức hợp duy nhất (multiplex ID-MID) sẽ được chỉ định đến kết nối Một message thông báo cũng sẽ

được gửi đến network”s gateway cua host Message nay sé thông báo dén gateway yêu cầu két ndi tir remote user

6 Gateway cé thé chap nhận hoặc từ chối yêu cầu kết nối Nếu yêu cầu bị từ chối, user sẽ được thông báo về việc không thực hiện yêu cầu và kết nối đial-up bị

Ss

kết thúc Ngược lại, nêu yêu câu được châp nhận, host gateway sẽ gửi thông báo bắt

đầu thiết lập kết nối đến remote client Đáp ứng này cũng có thể bao gồm thông tin

chứng thực được sử dụng bởi gateway để chứng thực remote user

7 Sau khi user được chứng thực bởi host network gateway, một giao diện ảo

(virtual intreface) được thiết lập giữa hai điểm cuôi

3 L2F tunneling

Khi một remote user được chứng thực và yêu cầu kết nối được chấp nhận, một

tunnel được thiết lap gitta ISP’s NAS va network’s gateway cua remote host

Quá trình xử lý data cia L2F tunneling

Sau khi một tunnel giữa hai điểm cuối được tạo ra, các frame lớp 2 có thê được

trao đôi trên tunnel như sau:

- Remote user chuyển các frame bình thường (normal frame) đến NAS đặt tại |

ISP |

- POP sẽ gỡ thông tin lớp 2 hoặc các transparency byte va gắn thêm L2F header

và trailer lên frame Sau đó ftame mới được đóng gói sẽ được chuyển đến mạng | đích thông qua tunnel |

- Host network gateway sẽ nhận các tunnel packet này, gỡ bỏ L2F header và

trailer va forward những frame này đên destination node bên trong intranet

- Destination node xử lý các frame nhận được dưới dạng các non-tunneled

L2F str dung MPPE ( Microsoft Point-to-Point Encryption) cho myc dich ma

hóa cơ bản Tuy nhiên, MPPE không là một safe bet (biện pháp an toàn) chống lại

các kỹ thuật hacking được tăng cường hiện nay Kết quả là L2F cũng sử dụng sự mã

hóa dựa trên Internet Protocol Security (IPsec) để đảm bảo dữ liệu được bảo vệ

trong suốt quá trình vận chuyên

b L2F data authentication:

Như đã giới thiệu ở phần trên, L2F authentication được thiết lập ở hai cấp độ:

cấp độ thứ nhất là việc chứng thực L2F xảy ra khi một remote user quay sô đến

ISP’s POP Tai đây, quá trình thiết lập tunnel chỉ bắt đầu sau khi user được chứng

thực Cấp độ thứ hai được thực hiện bởi host network”s gateway, tunnel sẽ không

được thiết lập giữa hai điểm cuối (NAS và chính nó) cho tới khi chứng thực được

remote user

Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP cho mục đích chứng thực, nghĩa là L2F sử dụng PAP dé chứng thực một remote

client khi một L2F gateway nhận được một yêu cầu kết nối Ngoài ra L2F cũng sử

dụng các cơ chế chứng thực sau đây để tăng cường bảo mật đữ liệu:

-CHAP (Challenge Handshake Authentication Protocol): CHAP dugc

phát triển để giải quyết vấn đề gửi password dưới dạng cleartext trong khi sử dụng

PAP Trong CHAP, khi một client được yêu cầu xác minh, nó sẽ phản hồi với một

mớ giá trị lộn xộn (hash value) được xuất phát từ thuật toán MDS Nếu một giá trị

tương tự được tính toán tại server bằng cách sử dụng quá trình tương tự được theo

sau bởi client thì client đó được chứng thực thành công Thông thường, các cleartext

password không bị thay đổi trong suốt quá trình xử ly Không như chứng thực PAP,

chỉ chứng thực một lần khi thiết lập kết nối, CHAP buộc phải chứng thực nhiều lần

trong một session, điều này sẽ gây khó khăn đối với các hacker muốn tấn công vào

trong giao tiép

-EAP (Extensible Authentication Protocol): khéng giống như PAP va

CHAP được thực hiện khi cấu hình LCP, trong suốt quá trình thiết lập kết nối PPP,

EAP được thực hiện sau LCP phase, khi việc chứng thực PPP được thực hiện Điều

này cho phép thay đổi nhiều thông số kết nối và có thê được xem như thông tin

chứng thực

L2F cũng sử dụng SPAP (Shiva Password Authentication Protocol) để chứng thực SPAP là giao thức độc quyên dùng để mã hóa password và có thê tăng cường

chức năng bảo mật như việc thay đổi các password và hỗ trợ các cơ chế callback

Ngoài các cơ chế chứng thực được đề cập ở trên, L2F cũng sử dụng RADIUS

(Remote Access Dial-in User Service) va TACACS (Terminal Access Controller

Access Control Service) nhu 1a cac dich vy chimg thu bổ sung Cả hai dịch vụ này

SS