Ths Công Nghệ Mạng Riêng Ảo Vpn.doc

LỜI NÓI ĐẦU Đồ án tốt nghiệp đại học LỜI NÓI ĐẦU Ngày nay, với sự phát triển nhanh chóng của khoa học công nghệ đặc biệt là Công nghệ thông tin và truyền thông thì vấn đề đảm bảo an ninh cho dữ liệu k[.]

LỜI NÓI ĐẦU

Ngày nay, với sự phát triển nhanh chóng của khoa học công nghệ đặc biệt làCông nghệ thông tin và truyền thông thì vấn đề đảm bảo an ninh cho dữ liệu khi truyềnqua các hệ thống mạng là vấn đề mang tính chất tất yếu

Đối với với các tổ chức có phạm vi hoạt động rộng khắp, doanh nghiệp có nhiềuchi nhánh, các công ty đa quốc gia trong quá trình hoạt động luôn phải trao đổi thôngtin với khách hàng, đối tác, nhân viên của họ Chính vì vậy đòi hỏi phải luôn nắm bắtđược thông tin mới nhất, chính xác nhất, đồng thời phải đảm bảo độ tin cậy cao giữacác chi nhánh của mình trên khắp thế giới, cũng như với các đối tác và khách hàng.Khi đó việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các côngviệc quản lý hoạt động của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả.Với VPN, các doanh nghiệp sẽ giảm được chi phí cho vận hành, duy trì quản lýđơn giản, khả năng mở rộng tại các vùng địa lí khác nhau một cách linh hoạt và khônghạn chế Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các giải phápthực hiện VPN của doanh nghiệp, ví dụ như giao thức đường hầm sử dụng, các thuậttoán mã hóa đi kèm và độ phức tạp của các thuật toán mã hóa này…nhưng không phụthuộc vào kiến trúc cơ sở hạ tầng của mạng viễn thông

Có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế Vớichi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệuquả hơn so với các giải pháp mạng diện rộng WAN

Để có thể hoàn thành được đồ án tốt nghiệp này, em đã được học hỏi nhữngkiến thức quý báu từ các thầy, cô giáo Trường Đại học Bách Khoa Hà Nội trong suốtnăm năm đại học Em vô cùng biết ơn sự dạy dỗ, chỉ bảo tận tình của các thầy, các côtrong thời gian học tập này

Em xin bày tỏ lòng biết ơn tới thầy Bùi Việt Khôi đã tận tình chỉ bảo và

định hướng cho em nghiên cứu đề tài này Thầy đã cho em những lời khuyên quantrọng trong suốt quá trình làm đồ án

Cuối cùng, em xin cảm ơn gia đình và bạn bè luôn tạo điều kiện thuận lợi, độngviên và giúp đỡ em trong suốt thời gian học tập, cũng như quá trình nghiên cứu, hoànthành đồ án này

Hà Nội, tháng 5 năm 2011

Sinh viênNguyễn Quang Đạo

MỞ ĐẦU

Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc

tế thì nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thông tin, vừa giải quyếtđược những khó khăn về kinh tế

Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng côngcộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng

Với đề tài: “Công nghệ mạng riêng ảo VPN”trong Đồ án Tốt nghiệp của mình,

em hy vọng có thể góp phần tìm hiểu Công nghệ VPN, đồng thời góp phần phổ biếnrộng rãi kỹ thuật VPN

Mục đích của đồ án là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đếnviệc thực hiện VPN Nội dung tìm hiểu của đồ án gồm 5 chương sẽ lần lượt trình bàycác vấn đề cơ bản nhất của mạng VPN

Chương 1: Giới thiệu tổng quan về mạng VPN Chương này nêu một số khái

niệm tổng quan, các đặc điểm của VPN, từ đó làm cơ sở để phân loại các mạng VPN;trình bày về các khối chức năng cơ bản của VPN, đưa ra các thuận lợi và khó khăn khi

sử dụng các loại hình VPN đó, ưu điểm của nó để có thể trở thành một giải pháp cókhả năng phát triển mạnh trên thị trường

Chương 2: Các giao thức đường hầm trong VPN Đây là chương trọng tâm

giới thiệu về các giao thức, các đặc điểm và hoạt động của các giao thức đường hầmL2F, PPTP, L2TP, và IPSec được sử dụng trong VPN.Ở đây chỉ trình bày một cáchkhái quát nhất về hai giao thức đường hầm hiện đang tồn tại và các sản phẩm tươngđối phổ biến trên thị trường là PPTP và L2TP ,tập trung trọng tâm vào giao thức bảomật IP - Sec

Chương 3: Xây dựng mạng VPN Trình bày các thành phần mạng cơ bản của

VPN, các vấn đề cần chú ý khi xây dựng VPN Phần này cũng trình bày ví dụ về thiếtlập một phiên trao đổi thông tin trong VPN để từ đó tìm hiểu về các thiết bị, thành tố

để xây dựng mạng VPN

Chương 4: Triển khai VPN trên hệ thống Windows Server 2008 Chương này

thực hiện mô phỏng mạng VPN – Site to Site trên hệ thống Windows Sever

Chương 5 : Xây dựng mạng VPN trên Router Cisco Chương này thực hiện

mô phỏng mạng VPN - Site to Site trên các thiết bị router của Cisco

CHƯƠNG 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN làmột kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranhkhi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet.Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểutin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN)

Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cungcấp dịch vụ viễn thông Mỗi mạch thuê riêng hoạt động như một đường dây trong mộtmạng cục bộ Tính riêng tư của Trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽđảm bảo không có một ai sử dụng cùng mạch thuê riêng đó Khách hàng của mạngriêng ảo loại này tin tưởng vào nhà cung cấp dịch vụ để duy trì tính toàn vẹn và bảomật của dữ liệu truyền trên mạng Các mạng riêng xây dựng trên các đường dây thuêthuộc dạng “Trusted VPN”

Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữliệu Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng (vídụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải mã dữliệu tại phía thu Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm(tunnel) bảo mật từ nguồn tới đích Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đótrên đường truyền thì cũng không có khả năng đọc được vì dữ liệu đã được mật mã.Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử dụng

cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của cáccông ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên Internet Khinói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet

1.1 Định nghĩa

Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở

hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mậtgiống như mạng cục bộ

Mạng riêng

(LAN)

Mạng riêng(LAN)

Hình 1.1: Mô hình VPN

Các thuật ngữ dùng trong VPN như sau:

Virtual - nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết

nối khi lưu lượng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng với nhiềumôi trường khác nhau và có khả năng chịu đựng những khuyết điểm của mạngInternet Khi có yêu cầu kết nối thì nó được thiết lập và duy trì bất chấp cơ sở hạ tầngmạng giữa những điểm đầu cuối

Private - nghĩa là dữ liệu truyền luôn luôn được giữ bí mật và chỉ có thể bị truy

cập bởi những nguời sử dụng được trao quyền Điều này rất quan trọng bởi vì giaothức Internet ban đầu TCP/IP - không được thiết kế để cung cấp các mức độ bảo mật

Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng VPN

Network - là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những

trạm hay những node để mang dữ liệu Sử dụng tính riêng tư, công cộng, dây dẫn, vôtuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền mạng.Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng được

sử dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà công nghệVPN chưa có được sức mạnh và khả năng cạnh tranh lớn Trong thời gian gần đây, do

sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự cótính mới mẻ VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, cácvăn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung một mạngcông cộng

so với phương thức thuê kênh riêng Mặt khác VPN còn đảm bảo cho sự an toàn sốliệu trong quá trình truyền thông và khả năng mở rộng hoạt động rộng lớn ngay cả tạinhững vùng địa lí phức tạp.

Trong thực tế, khái niệm mạng riêng ảo không phải là một khái niệm mới Côngnghệ mạng riêng ảo đã xuất hiện vào những năm 80 của thế kỷ trước Tuy nhiên, trongđiều kiện hạn chế về các mạng chuyển mạch gói (ví dụ như X.25, Frame Relay, ATM)hay chuyển mạch kênh thì VPN vẫn chưa có ứng dụng rộng rãi Trong điều kiện hiệnnay, khi Internet trở nên phổ biến trên toàn cầu và các giao ngày một phát triển vàhoàn thiện đã tạo nên một động lực lớn thúc đẩy sự phát triển của các kỹ thuật VPN.Các yếu tố thúc đẩy sự phát triển của thị trường VPN có thể được mô tả một cách tómtắt như trong hình 1.2

Các yếu tố thúc đẩy

sự phát triển thị trường IP-VPN

Sự phân tán và di động của lực lượng lao động

Chi phí cao khi

sử dụng mạng riêng

Tương tác trực tiếp giữa khách hàng và nhà cung cấp

Tích hợp các ứng dụng thương mại Internet

Nội bật là các ứng dụng băng thông cao

IP-VPN

Hình 1.2: Các yếu tố thúc đẩy sự phát triển của thị trường VPN

1.3 Chức năng và ưu điểm của VPN

1.3.1 Chức năng

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tínhtoàn vẹn (Integrity) và tính bảo mật (Confidentiality)

a) Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mìnhmong muốn chứ không phải là một người khác

b) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

c)Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, không

một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu có lấy được thìcũng không đọc được.

1.3.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPNkhông chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùnglưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khaiExtranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí chocông việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WANriêng Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm:

-Tiết kiệm chi phí (cost saving)

-Tính mềm dẻo (flexibility)

-Khả năng mở rộng (scalability)

- Giảm thiểu các hỗ trợ kỹ thuật.

- Giảm thiểu các yêu cầu về thiết bị

- Đáp ứng các nhu cầu thương mại

1.4 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc diđộng vào mạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động

- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấpdịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm hailoại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

- Mạng VPN kết nối các chi nhánh ở xa (Intranet VPN)

- Mạng VPN kết nối với các đối tác ,khách hàng (Extranet VPN)

1.4.1 IP – VPN truy nhập từ xa

Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những vănphòng dùng mạng diện rộng có dung lượng nhỏ rất thích hợp với loại hình VPN truynhập từ xa Truy nhập VPN từ xa cho phép mở rộng mạng lưới của một tổ chức tớingười sử dụng của họ thông qua chia sẻ cơ sở hạ tầng công cộng, trong khi mạng lướicủa tổ chức vẫn giám sát được tất cả những người dùng Truy nhập từ xa là phươngthức đầu tiên sử dụng VPN Nó cung cấp phương thức truy nhập an toàn tới những

ứng dụng của tổ chức cho những người sử dụng ở xa, những nhân viên luôn di chuyển,văn phòng nhánh và những đối tác thương mại Cấu trúc VPN này là phương tiệnthông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN (mạng số đadịch vụ), dial (quay số), tương tự, Mobile IP (di động IP), DSL (đường dây thuê baosố) và điện thoại cáp Cấu trúc VPN này được quan tâm đến ở khắp mọi nơi vì nó cóthể thiết lập tại bất kì thời điểm nào và bất kể đâu thông qua Internet.

IPSec Client

ISDN Modem

DSL

Chuyển mạch DSLAM

DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSL

a) Intranet VPN

Một tổ chức có thể dùng VPN không chỉ để kết nối các site trực thuộc tổ chức

mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ xa hoặc là cácvăn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở hạtâng chia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạng FrameRelay, ATM, hoặc kênh điểm tới điểm Tuy nhiên khi sử dụng VPN thì sẽ có những

ưu điểm sau đây: Giảm bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet; dể dàng

mở rộng site mới, và vấn đề an toàn dữ liệu được đảm bảo hơn Với khả năng này,Intranet VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí cácnhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu haycác Router

Internet/

IP-VPN

device1 device3 device2 1

Remote office

device1 device3 device2 1

Remote

Home office

POP

POP

POP

Hình 1.4: Intranet VPN b) Extranet VPN

Extranet VPN được sử dụng khi một tập đoàn không chỉ muốn tương tác vớicác văn phòng ở xa của mình mà cả với các site trực thuộc khách hàng của họ, cácnguồn cung cấp và các thực thể khác liên quan đến các giao dịch hay trao đổi thôngtin Các thực thể này thường được gọi là các mạng đối tác Để hỗ trợ các thông tin này,các Tunnel VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thểriêng khác nhau Các chức năng VPN như điều khiển truy nhập, nhận thực và các dịch

vụ an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyêncần thiết cho kinh doanh Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet,

vì thế VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điềukhiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet

Internet/

IP-VPN

device1 device3 device2 1

Remote office

device1 device3 device2 1

Remote

Home office

POP

POP

POP

Business Partner

Customer

Supplier

Hình 1.5: Extranet VPN

TỔNG KẾT CHƯƠNG I

Chương này đã đưa ra khái niệm và giới thiệu chung về công nghệ VPN Đây làmột công nghệ không mới, nhưng với sự phát triển mạnh mẽ của mạng Internet trêntoàn cầu thì thị trường VPN sẽ rất phát triển Với các tổ chức có mạng lưới rộng khắp,

sử dụng công nghệ này sẽ rất hiệu quả trong truyền thông giữa các thành viên của hãng

ở các vùng địa lí khác nhau, đảm bảo phát triển các văn phòng mới một cách mềm dẻo,

dễ dàng tiếp cận với khách hàng một cách trực tiếp và điều quan trọng là tính an toànthông tin

Theo cấu trúc cơ bản, có 2 loại VPN: Site-to-Site VPN và Remote VPN Trong

đó Site-to-Site bao gồm 2 mô hình là: Intranet VPN được sử dụng để kết nối các mạngLAN văn phòng ở xa của một tổ chức; Extranet VPN được sử dụng cho các ứng dụngkết nối trực tuyến tới khách hàng của tổ chức Từ những khái niệm được trình bày ta

có thể nhận ra rằng đối tượng và phạm vi kết nối của Extranet VPN có phần rộng hơnIntranet VPN Do đối tượng kết nối luôn thay đổi và khó có thể đảm bảo trước nên yêucầu bảo mật cũng cao hơn Remote VPN được ứng dụng cho những người làm việclưu động hoặc những văn phòng ở xa dung lượng nhỏ

Chương tiếp theo trình bày về các giao thức đường hầm đang tồn tại sử dụngcho VPN

CHƯƠNG 2

CÁC GIAO THỨC ĐƯỜNG HẦM TRONG VPN

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và antoàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm Một giao thứcđường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tươngứng để truyền qua Internet Giao thức đường hầm là cốt lõi của giải pháp VPN Cónhiều giao thức đường hầm, việc sử dụng giao thức đường hầm nào để đóng gói dữliệu liên quan đến các phương pháp xác thực và mật mã được dùng Có 4 giao thứcđường hầm trong VPN như sau:

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)

- Giao thức đường hầm điểm - điểm - PPTP (Point to Point Tunneling protocol)

- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)

- Giao thức bảo mật IP - IPSec (Internet Protocol Security)

Trước hết ta phân biệt 2 giao thức đầu tiên là PPTP và L2F PPTP là giao thức

do nhiều công ty hợp tác phát triển L2F là do Cisco phát triển độc lập PPTP và L2Fđều được phát triển dựa trên giao thức PPP (Point - to - Point Protocol) PPP là mộtgiao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói dữ liệu liên mạng IP và

hỗ trợ đa giao thức lớp trên Trên cơ sở PPTP và L2F, IETF đã phát triển giao thứcđường ngầm L2TP Hiện nay giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F

Trong các giao thức đường hầm nói trên, IPSec là giải pháp tối ưu về mặt antoàn dữ liệu IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất Ngoài ra,IPSec còn có tính linh hoạt cao: Không bị ràng buộc bởi bất cứ thuật toán xác thực,mật mã nào, đồng thời có thể sử dụng IPSec cùng với các giao thức đường hầm khác

để làm tăng tính an toàn cho hệ thống

Mặc dù có những ưu điểm vượt trội so với các giao thức đường hầm khác vềkhả năng đảm bảo an toàn dữ liệu, IPSec cũng có một số nhược điểm Thứ nhất, IPSec

là một khung tiêu chuẩn mới và còn đang được tiếp tục phát triển, do đó số lượng cácnhà cung cấp sản phẩm hỗ trợ IPSec chưa nhiều Thứ hai, để tận dụng khả năng đảmbảo an toàn dữ liệu của IPSec thì cần phải sử dụng một cơ sở hạ tầng khóa công khaiPKI (Public Key Infrastructure) phức tạp để giải quyết vấn đề như chứng thực số haychữ ký số

Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện,nên các sản phẩm hỗ trợ chúng tương đối phổ biến PPTP có thể triển khai với một hệthống mật khẩu đơn giản mà không cần sử dụng PKI Ngoài ra PPTP và L2TP còn cómột số ưu điểm khác so với IPSec như khả năng hỗ trợ đa giao thức lớp trên Vì vậy,trong khi IPSec còn đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi Cụthể PPTP và L2TP thường được sử dụng trong các ứng dụng truy nhập từ xa

2.1 Giao thức định hướng lớp 2 - L2F

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triểndựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp cho dịch vụquay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng côngcộng như Internet L2F là giao thức được phát triển sớm nhất, là phương pháp truyềnthống để cho những người sử dụng ở xa truy cập vào một mạng công ty thông quathiết bị truy cập từ xa

L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữliệu

2.1.1 Cấu trúc gói của L2F

1bit 1bi

t

1bit 1bit

KeyDataCkecksums

Hình 2.1: Khuôn dạng gói của L2F

Trong đó:

F: Trường “Offset” có mặt nếu bit này được thiết lập.

K: Trường “Key” có mặt nếu bít này được thiết lập.

P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập.

S: Trường “Sequence” có mặt nếu bít này được thiết lập.

Reserved: luôn được đặt là: 00000000.

Version : Phiên bản chính của L2F dùng để tạo gói 3 bit này luôn là 111.

Protocol : Xác định giao thức đóng gói L2F.

Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.

Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel) Client ID: Giúp tách đường hầm tại những điểm cuối.

Length: chiều dài của gói (tính bằng Byte) không bao gồm phần checksum Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu.

Trường này có khi bít F=1

Key: Trường này được trình bày nếu bit K được thiết lập Đây là một phần của

quá trình nhận thực

Checksum: Kiểm tra tổng của gói Trường checksum có nếu bít C=1

2.1.2 Ưu nhược điểm của L2F

Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức

- Được cung cấp bởi nhiều nhà cung cấp

Nhược điểm:

- Không có mã hoá

- Yếu trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm

2.1.3 Thực hiện L2F

L2F đóng gói những gói ở lớp 2 và trong trường `11 là đóng gói PPP, truyềnxuyên qua một mạng L2F sử dụng các thiết bị:

NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và

gateway home Hệ thống ERX hoạt động như NAS

Tunnel: Định hướng đường đi giữa NAS và home gateway Một đường hầm

gồm một số kết nối

Home gateway: Ngang hàng với NAS.

Kết nối (connection): Là một kết nối PPP trong đường hầm Trong CLI, một kết

nối L2F được xem như là một phiên

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm Trong

trường hợp này thì Home gateway là điểm đích

Remote

User

RADIUS Server

gateway

Data Tunnel

Mạng riêng Mạng của ISP

Hình 2.2: Mô hình đặc trưng L2F 2.1.4 Hoạt động của L2F

Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và phiênlàm việc Ta xem xét ví dụ minh hoạ hoạt động của L2F:

1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nốiPPP tới ISP

2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kếtLCP (Link Control Protocol)

3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) haynhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F

4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉcủa gateway đích (home gateway)

5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa

có đường hầm nào Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tớigateway đích để chống lại tấn công bởi những kẻ thứ ba

6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéodài phiên PPP từ người sử dụng ở xa tới home gateway Kết nối này được thiết lập nhưsau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP,như đã thoả thuận bởi đầu cuối người sử dụng và NAS Home gateway chấp nhận kếtnối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng

7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đónggói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm

8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói đượchướng tới mạng công ty

2.1.5 Quản lý L2F

Khi hệ thống đã thiết lập những điểm đích, những đường hầm tunnel, và nhữngphiên kết nối ta phải điều khiển và quản lý lưu lượng L2F như sau:

- Ngăn cản tạo những điểm đích, những đường hầm tunnel, những phiên mới

- Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường hầmtunnel, những phiên

- Có khả năng kiểm tra tổng UDP

- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào của nhữngđường hầm và những kết nối

Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiêntới điểm đích đó; sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các phiên trongđường hầm đó Ví dụ, sự kết thúc ở điểm đích đóng tất cả các đường hầm và phiên tớiđiểm đích đó

L2F cung cấp các lệnh để thực hiện các chức năng Ví dụ

L2F checksum: mục đích để kiểm tra toàn vẹn dữ liệu của các khung L2F sử

dụng kiểm tra tổng UDP, ví dụ host 1(config)#l2f checksum

L2F destruct-timeout: sử dụng để thiết lập thời gian rỗi, giá trị thiết lập trong dải

10 -:- 3600 giây, ví dụ host1 (config)#l2f destruct-timeout 1200

2.2 PPTP (Point - to - Point Tunneling Protocol)

Giao thức đường hầm điểm - điểm PPTP được đưa ra đầu tiên bởi một nhóm cáccông ty được gọi là PPTP Forum Nhóm này bao gồm 3 công ty: Ascend comm.,Microsoft, ECI Telematicsunication và US Robotic Ý tưởng cơ sở của giao thức này

là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầngInternet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng.Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là cóthể tạo đường hầm bảo mật tới mạng riêng của họ

PPTP đóng gói các khung dữ liệu của giao thức PPP vào các IP datagram đểtruyền qua mạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi là kếtnối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường hầm; và một phiên bản củagiao thức GRE (Generic Routing Encapsulation - đóng gói định tuyến chung) để đónggói các khung PPP Phần tải tin của khung PPP có thể được mật mã hoặc/và giải nén

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng giaothức đường hầm PPTP) và PPTP server (VPN server sử dụng PPTP) PPTP client cóthể được nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng (Network AccessServer - NAS) để thiết lập kết nối IP

Việc xác thực trong quá trình thiết lập kết nối VPN trên giao thức PPTP sửdụng các cơ chế xác thực của kết nối PPP, ví dụ EAP (Extensible AuthenticationProtocol: giao thức nhận thực mở rộng), CHAP (Challenge - HandshakeAuthentication Protocol: giao thức nhận thực đòi hỏi bắt tay), PAP (PasswordAuthentication Protocol: giao thức nhận thực khẩu lệnh) PPTP cũng thừa hưởng việcmật mã hoặc/ và nén phần tải tin của PPP Mật mã phần tải PPP sử dụng MPPE(Microsoft Point - to - Point Encryption: mật mã điểm tới điểm của Microsoft) (vớiđiều kiện xác thực sử dụng giao thức EAP - TLS (EAP - Transport Level Security:EAP - an ninh mức truyền tải) hoặc MS - CHAP của Microsoft) MPPE chỉ cung cấpmật mã mức truyền dẫn, không cung cấp mật mã đầu cuối đến đầu cuối Nếu cần sửdụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IPgiữa các đầu cuối sau khi đường ngầm PPTP đã được thiết lập Máy chủ PPTP làmáy chủ VPN sử dụng giao thức PPTP với một giao diện nối với Internet và mộtgiao diện khác nối với Intranet.

2.2.1 Kiến trúc của PPTP

Giải thuật mã hóa

Giải thuật xác thực

Bọc gói định tuyến chung

Hình 2.3: Kiến trúc của PPTP

a) PPP và PPTP

PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/IP rấtphổ biến hiện nay Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồmcác phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp.Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điều khiển liên kết LCP (LinkControl Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối; Giao thức điều khiểnmạng NCP (Network Control Protocol) cho việc thiết lập và cấu hình các giao thức lớpmạng khác nhau

PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-điểm

từ máy gửi đến máy nhận Để viêc truyền thông có thể diễn ra thì mỗi PPP phải gửigói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu

Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực Đây

là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi các ISP.Việc xác thực được thực hiện bởi PAP hay CHAP

Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không cóbảo mật để tránh khỏi bị tấn công thử và lỗi CHAP là một phương thức xác thực mạnhhơn, CHAP sử dụng phương thức bắt tay 3 chiều CHAP chống lại các vụ tấn côngquay lại bằng cách sử dụng các giá trị thách đố (challenge value) duy nhất và khôngthể đoán trước được CHAP phát ra giá trị thách đố trong suốt và sau khi thiết lập xongkết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình thế bị tấn công

PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng vàmáy chủ truy cập mạng PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người dùng

- Tạo các gói dữ liệu PPP

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP đểđóng các gói truyền trong đường hầm

Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói:Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển và kênh

dữ liệu Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệu thànhluồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP Kết nối TCPđược tạo giữa client PPTP và máy chủ PPTP được sử dụng để truyền thông báo điềukhiển

Các gói dữ liệu là dữ liệu thông thường của người dùng Các gói điều khiển đượcgửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu giữa clientPPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thông tin quản

lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa clientPPTP và máy chủ PPTP Phần mềm client có thể nằm ở máy người dùng từ xa haynằm ở tại máy chủ của ISP

Mạng riêng đựoc bảo vệ

Gói dữ liệu IP,IPX, NETBEUI

Tiêu đề GRE Tiêu đề môi trường khung

Tiêu đề IP Tiêu đề phân phối môi trường

Khung Ethernet Gói tải PPP

Truy cập từ xa của ISP Mạng riêng ảo VPN

Hình 2.4: Các giao thức dùng trong một kết nối PPTP

Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client

và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệu được đónggói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giámsát tốc độ dữ liệu truyền trong đường hầm

PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường truyềntrong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào? Ethernet,Frame Relay hay kết nối PPP?

Hình 2.5 : Bọc gói PPTP/ GRE

PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền đi

Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói

b) Cấu trúc gói của PPTP

* Đóng gói dữ liệu đường hầm PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khungPPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu

Cấu trúc gói dữ liệu đã được đóng gói

Tiêu đề IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được

mã hoá(IP, IPX, NETBEUI)

Phần đuôi liên kết dữ liệu

Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận

32 bit

- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường nhậndạng cuộc gọi 16 bit Trường nhận dạng cuộc goi Call ID được thiết lập bởi PPTPclient trong quá trình khởi tạo đường hầm PPTP

- Một trường xác nhận dài 32 bit được thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạngIP

+ Đóng gói các gói GRE

Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói vớimột tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server

+ Đóng gói lớp liên kết dữ liệu

Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô hìnhOSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần kếtthúc (Trailer) của lớp liên kết dữ liệu Ví dụ, Nếu IP datagram được gửi qua giao diệnEthernet thì sẽ được đóng gói với phần Header và Trailer Ethernet Nếu IP datagramđược gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói với phầnHeader và Trailer của giao thức PPP

- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.

- Xử lý phần payload để nhận hoặc chuyển tiếp

Tiêu đề

IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được

mã hoá (IP, IPX, NETBEUI)

Phần đuôi liên kết

- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao diện

ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụng NDIS(Network Driver Interface specification)

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu vàcung cấp PPP header Phần mào đầu PPP này chỉ bao gồm trường mã số giao thức PPP(PPP protocol ID field), không có các trường flag và FCS (frame check sequence) Giảđịnh trưòng địa chỉ và điều khiển đã được thoả thuận ở giao thức điều khiển đườngtruyền LCP (Link Control Protocol) trong quá trình kết nối PPP

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phầnmào đầu GRE Trong GRE header, trường Call ID đựoc đặt giá trị thích hợp để xácđịnh đường hầm

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi gói kếtquả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử dụng NDIS

NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer.

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện chophần cứng quay số

c) Đường hầm

PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác nhau.Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tính củamình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP)

Có hai lớp đường hầm: đường hầm tự nguyên và đường hầm bắt buộc

Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng Khi sử dụngđường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thôngqua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bìnhthường Đường hầm tự nguyện thường được sư dụng để cung cấp tính riêng tư và toànvẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet

Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốtđối với người dùng Điểm kết thúc của đường hầm bắt buộc nằm ở máy chủ truy cập

từ xa Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông quaRAS

Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truycập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đường hầm tựnguyện Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thìđường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn chophép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và được các sitetrong VPN mà thôi)

Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểm kếtnối Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc.Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùngnằm ngoài đường hầm nên dễ bị tấn công

Đường hầm bắt buộc

Hình 2.8 : Đường hầm bắt buộc và đường hầm tự nguyện

Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó là:các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng vàtính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài (token)hay thẻ thông minh (smart card)

d) Xác thực người dùng quay số từ xa (RADIUS)

RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu client/server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của cácngười dùng trong các phiên làm việc RADIUS client/server sử dụng máy chủ truy cậpmạng NAS để quản lý kết nối người dùng Ngoài chức năng của máy chủ truy cậpmạng nó còn có một số chức năng cho RADIUS client NAS sẽ nhận dạng người dùng,thông in về mật khẩu rồi chuyển đến máy chủ RADIUS Máy chủ RADIUS sẽ trả lạitrạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho NAS để cung cấpdịch vụ cho người dùng RADIUS tạo một cơ sở dữ liệu tập trung về người dùng, cácloại dịch vụ sẵn có, một dải modem đa chủng loại Trong RADIUS thông tin ngườidùng được lưu trong máy chủ RADIUS

RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng cho mụcđích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay đổi dữ liệungười dùng Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người dùng từ máy chủ

RADIUS Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó cần phảilưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thức đường hầmđược sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trongđường hầm được sử dụng.

Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và cấpquyền:

- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm

- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm và cốgắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm

- Xác thực tại hai đầu của đường hầm

Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều khiểntiến trình truy cập mạng Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ thuộc cáchRADIUS trả lời xác thực Tuỳ chọn thứ ba có độ tin cậy cao và làm việc tốt nếu như

sử dụng máy chủ Proxy RADIUS

e) Xác thực và mã hoá

Các client PPTP được xác thực cũng tương tự như các client RAS được xác thực

từ máy chủ PPP Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP MS-CHAP sửdụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người dùng PAP vàCHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu xa và tại máy cục

bộ Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu sẽ thay đổi.Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khác nhau cho nhữngngười dùng khác nhau tại cùng một máy tính ở xa Bởi vì khi cấp quyền đã được gáncho một máy tính thì mọi người dùng tại máy tính đó đều có đặc quyền truy cập mạngnhư nhau

Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft –MPPE (Microsoft point-to-Point Encryption) Phương thức này dựa trên chuẩn RSARC4, giao thức điều khiển nén CCP (Compression Control Protocol) được sử dụng bởiPPP để thoả hiệp việc mã hoá MS-CHAP được dùng để kiểm tra tính hợp lý ngườidùng đầu cuối tại tên miền Windows NT

IP, IPX, NETBEUI

PPP

GRE

PPP GRE PPP

Hình 2.9: Mã hoá gói trong PPTP

Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ cóthể cài đặt một phần mềm nâng cấp lên 128 bit MPPE mã hoá các gói PPP tại clienttrước khi chuyển chúng vào đường hầm PPTP nên các gói được bảo mật từ trạm làmviệc đến máy chủ PPTP Việc thay đổi khoá phiên có thể được thoả thuận lại sau mỗigói hay sau một số gói

f) Đường hầm kết nối LAN-LAN

Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối vàomột mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN khôngđược hỗ trợ Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truy cập từ xa(Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợ đường hầm kếtnối LAN-LAN Kể từ đó các nhà cung cấp khác cũng đã cung cấp các máy chủ tươngthích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN

Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như IPSecdùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên, do kiến trúc PPTP không

có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều khiển bởi CHAPhoặc thông qua MS-CHAP Để tạo đường hầm giữa hai site, máy chủ PPTP tại mỗisite sẽ được xác thực bởi PPTP ở site kia Khi đó máy chủ PPTP trở thành client PPTPcủa máy chủ PPTP ở đầu bên kia và ngược lại, do đó một đường hầm tự nguyện đượctạo ra giữa hai site

Máy chủ

Computer Computer

Mạng riêng đựoc bảo vệ

Máy chủ PPTP

Hình 2.10 : Đường hầm kết nối LAN-LAN

Do đường hầm PPTP có thể được đóng gói bởi bất kỳ giao thức mạng nào được

hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài nguyên tạisite kia dựa trên quyền truy cập của họ Điều này có nghĩa là cần phải có site quản lý

để đảm bảo người dùng tại một site có quyền truy cập vào site kia Trong Windows

NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết lập một mối quan hệ tin cậygiữa các miền để cho phép người dùng truy cập vào tài nguyên của các site

2.2.2 Sử dụng PPTP

Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng dùngcho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, và PPTPclient

Máy chủ mạng PPTP

Mạng riêng

được bảo vệ

Mạng riêng được bảo vệ

Kết nối LAN-LAN

Client PPTP

Client PPTP

Bộ tập trung truy cập mạng PPTP

Kết nối Client -LAN NAS

Hình 2.11: Các thành phần cơ bản của một VPN sử dụng PPTP

Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người củacông ty quản lý nhưng NAS phải do ISP hỗ trợ

2.2.2.1 Máy chủ PPTP

Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết nối củađường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng Máy chủPPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địa chỉ mạngcủa máy tính đích

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP Lọcgói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào Internet,mạng riêng hay cả hai

Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như máychủ PPTP nằm sau tường lửa PPTP được thiết kế sau cho chỉ có một cổng TCP/IP(1723) được sử dụng để chuyển dữ liệu đi Sự khiếm khuyết của cấu hình cổng này cóthể làm cho tường lửa dễ bị tấn công hơn Nếu như tường lửa được cấu hình để lọc góithì phải thiết lập nó cho phép GRE đi qua

Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năngtương tự máy chủ PPTP được gọi là chuyển mạch đường hầm Mục đích của chuyểnmạch đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộngđường hầm từ mạng của ISP đến mạng riêng Chuyển mạch đường hầm có thể được sửdụng tại tường lửa làm tăng khả năng quản lý truy cập từ xa vào tài nguyên của mạngnội bộ, nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP hoặc têncủa người dùng từ xa

2.2.2.2 Phần mềm client PPTP

Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phầnmềm nào cho các client, chỉ cần một kết nối PPP chuẩn Nếu như các thiết bị của ISPkhông hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự) vẫn có thể tạokết nối bảo mật bằng cách: đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay sốmột lần nữa thông qua cổng PPTP ảo được thiết lập ở client

Client PPTP đã có sẵn ở Win NT, Win 9x và các hệ điều hành sau này Khi chọnclient PPTP cần phẩi so sánh các chức năng của nó với máy chủ PPTP đã có Khôngphải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu công cụ này thìkhông thể tận dụng được ưu điểm mã hoá trong RRAS

2.2.2.3 Máy chủ truy cập mạng RAS

Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa(Remote Access Server) hay bộ tập trung truy cập (Access Concentrator) NAS cungcấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tính cước và cókhả năng chịu đựng lỗi tại ISP POP NAS của ISP được thiết kế cho phép một sốlượng lớn người dùng có thể quay số truy cập vào cùng một lúc

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP,

để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh.Trong truờng hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máychủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm,điểm kết thúc còn lại là máy chủ tại đầu mạng riêng

2.2.3 Khả năng áp dụng trong thực tế của PPTP

PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế hoạch thaythế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá PPTP thích hợp choquay số truy cập với số lượng người dung giới hạn hơn là cho VPN kết nối LAN–LAN Một vấn đề của PPTP là xử lý xác thực quyền người dùng thông qua Windows

NT hay thông qua RADIUS Máy chủ PPTP cũng qua tải với một số lượng người dùngquay số truy cập hay một lưu lượng lớn dữ liệu truyền qua, mà điều này là một yêu cầucủa kết nối LAN – LAN Khi sử dụng VPN PPTP mà có hỗ trợ thiết bị của ISP thì một

số quyền quản lý phải chia sẻ cho ISP Tính bảo mật của PPTP không mạnh bằngIPSec Tuy nhiên, quản ý bảo mật trong PPTP lại đơn giản hơn

2.3 L2TP (Layer Two Tunneling Protocol)

Để tránh việc hai giao thức đường hầm không tương thích cùng tồn tại gây khókhăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức L2F và PPTPthành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng thời cóthể sử dụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F L2TP được

mô tả trong khuyến nghị RFC 2661

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay, hoặcATM Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa Khi truyền qua mạng

IP, các khung L2TP được đóng gói như các bản tin UDP, L2TP có thể được sử dụngnhư một giao thức đường ngầm thông qua Internet hoặc các mạng riêng Intranet L2TPdùng các bản tin UDP qua mạng IP cho các dữ liệu đường ngầm cũng như các dữ liệubảo dưỡng đường ngầm Phần tải của khung PPP đã đóng gói có thể được mật mã,nén Tuy nhiên mật mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP(chứ không phải MPPE như đối với PPTP) Cũng có thể tạo kết nối L2TP không mật

mã IPSec Tuy nhiên, đây không phải là kết nối VPN vì dữ liệu riêng được đóng góibởi L2TP không được mật mã Các kết nối L2TP không mật mã có thể sử dụng tạmthời để sửa lỗi các kết nối L2TP dùng IPSec

L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao thứcđường ngầm L2TP và IPSec) L2TP client có thể được nối trực tiếp tới mạng IP đểtruy nhập tới L2TP server hoặc gián tiếp thông qua việc quay số tới máy chủ truy nhậpmạng (Network Access Server - NAS) để thiết lập kết nối IP Việc xác thực trong quátrình hình thành đường ngầm L2TP phải sử dụng các cơ chế xác thực như trong cáckết nối PPP như EAP, MS-CHAP, CHAP, PAP Máy chủ L2TP là máy chủ VPN sử

dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác nối vớimạng Intranet Các dữ liệu đường ngầm và dữ liệu duy trì đường ngầm có cùng cấutrúc gói.

2.3.1 Duy trì đường hầm bằng bản tin điều khiển L2TP

Không giống PPTP, việc duy trì đường hầm L2TP không được thực hiện thôngqua một kết nối TCP riêng biệt Các lưu lượng điều khiển và duy trì cuộc gọi được gửi

đi như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP serverđều sử dụng cổng UDP 1701)

Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram.UDP datagram lại được mật mã bởi IPSec ESP như trên hình 2.12

Data link Trailer

IPSec ESP Header

Data link

Header

IP Header

UDP Header

IPSec ESP Trailer

L2TP Message

IPSec ESP Auth Trailer

Encryption by IPSec

Hình 2.12: Bản tin điều khiển L2TP

Vì kết nối TCP không được sử dụng, L2TP dùng thứ tự bản tin để đảm bảo việctruyền các bản tin L2TP Trong bản tin điều khiển L2TP, trường Next-Received(tương tự như TCP Acknowledgment) và Next-Sent (tương tự như TCP SequenceNumber) được sử dụng để duy trì thực tự các bản tin điều khiển Các gói không đúngthứ tự bị loại bỏ Các trường Next-Sent và Next-Received cũng có thể được sử dụng

để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường hầm

L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường hầm Trong bản tin điều khiểnL2TP và phần tiêu đề L2TP của dữ liệu đường hầm có một mã số đường hầm (TunnelID) để xác định đường hầm, và một mã số cuộc gọi (Call ID) để xác định cuộc gọitrong đường hầm đó

2.3.2 Đường hầm dữ liệu L2TP

Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói Hình2.11 chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên nên IPSec

Data link Trailer

IPSec ESP Header

Data link

Header HeaderIP HeaderUDP

PPP Payload (IP datagram, IPX datagram, NetBEUI Frame)

L2TP Header

IPSec ESP Auth Trailer

IPSec ESP Trailer

PPP Header

Encryption Authenticated by IPSec ESP auth trailer

Hình 2.13: Đóng bao gói tin L2TP

a) Đóng gói L2TP: phần tải PPP ban đầu được đóng gói với một PPP Header

và một L2TP Trailer

b) Đóng gói UDP: gói L2TP sau đó được đóng gói với một UDP Header, các

địa chỉ cổng nguồn và đích được đặt bằng 1701

c) Đóng gói IPSec: tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và

đóng gói với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer

d) Đóng gói IP: gói IPSec được đóng gói với IP Header chứa địa chỉ IP nguồn

và đích của VPN client và VPN server

e) Đóng gói lớp đường truyền dữ liệu: để truyền đi được trên đường truyền

LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với phần Header và Trailertương ứng với kỹ thuật lớp đường truyển dữ liệu của giao diện vật lý đầu ra Ví dụ, khicác IP datagram được gửi vào một giao diện Ethernet, IP datagram sẽ được đóng góivới Ethernet Header và Trailer Khi các IP datagram được gửi trên đường truyền WANđiểm tới điểm (chẳng hạn đường dây điện thoại ISDN), IP datagram được đóng gói vớiPPP Header và Trailer

2.3.3 Xử lý dữ liệu đường hầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hay L2TPserver sẽ thực hiện các bước sau:

- Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu

- Xử lý và loại bỏ IP Header

- Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP Header

- Dùng IPSec ESP Header để giải mã phần gói đã mật mã

- Xử lý UDP Header và gửi gói L2TP tới L2TP

- L2TP dùng chỉ số đường hầm và chỉ số cuộc gọi trong L2TP Header để xácđịnh đường hầm L2TP cụ thể

- Dùng PPP Header để xác định PPP Payload và chuyển tiếp nó tới đúng giaothức để xử lý

2.3.4 Sơ đồ đóng gói L2TP trên nền IPSec

Hình 2.14 là sơ đồ đóng gói L2TP qua kiến trúc mạng từ một VPN client thôngqua một kết nối VPN truy nhập từ xa sử dụng một modem tương tự

Bắt đầu gói ở đây

IPSec ESP Header

IPSec

L2TP Header

UDP Header

PPP Payload (IP datagram, IPX datagram, NetBEUI Frame)

PPP Header

PPP

Header

IP Header

IPSec ESP Trailer

IPSec ESP Auth Trailer

PPP Trailer

Cấu trúc gói tin cuối cùng

Hình 2.14: Sơ đồ đóng gói L2TP

Các bước sau mô tả quá trình đó:

- Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giaodiện ảo đại diện cho kết nối VPN sử dụng NDIS bằng giao thức thích hợp

- NDIS đưa các gói tới NDISWAN, tại đây có thể nen và cung cấp PPPHeader chỉ bao gồm trường chỉ số PPP Protocol Các trương Flag hay FCS khôngđược thêm vào

- NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP Framevới một L2TL Header Trong L2TP Header, chỉ số đường ngầm và chỉ số cuộc gọiđược thiết lập với các giá trị thịch hợp để xác định đường ngầm

- Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin đểgửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địachỉ IP của VPN client và VPN server

- Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDP Headerthích hợp IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách IPSec hiệnthời Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã phần bảntin UDP của gói IP sử dụng các ESP Header và Trailer phù hợp IP Header ban đầuvới Protocol field được đặt là 50 được thêm vào phía trước của gói ESP Giao thứcTCP/IP sau đó gửi gói thu được tới giao diện đại diện cho kết nối quay số tới local ISP

sử dụng NDIS

- NDIS gửi số tới NDISWAN NDISWAN cung cấp PPP Header và Trailer

và gửi khung PPP thu được tới cổng AN thích hợp đại diện cho phần cứng dial-up

2.4 Giao thức IPSEC cho IP – VPN

2.4.1 Khái niệm về IPSec

IPSec (Internet Protocol Security) là một giao thức được IETF phát triển IPSecđược định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhậnthực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợp các tiêu chuẩn mở làmviệc cùng nhau giữa các phần thiết bị

Một cách chung nhất, IPSec cho phép một đường hầm bảo mật thiết lập giữa 2mạng riêng và nhận thực hai đầu của đường hầm này Các thiết bị giữa hai đầu đườnghầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộtập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật Đường hầmđóng vai trò là một kênh truyền bảo mật giữa hai đầu và các gói dữ liệu yêu cầu antoàn được truyền trên đó IPSec cũng thực hiện đóng gói dữ liệu các thông tin để thiếtlập, duy trì và hủy bỏ kênh truyền khi không dùng đến nữa Các gói tin truyền trongđường hầm có khuôn dạng giống như các gói tin bình thường khác và không làm thayđổi các thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua

đó cho phép giảm đáng kể chi phí để triển khai và quản lý

IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH(Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSecphải hỗ trợ ESP và có thể hỗ trợ AH:

- AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu

và dịch vụ tùy chọn chống phát lại của các gói IP truyền giữa hai hệ thống AH khôngcung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ

- ESP là một giao thức cung cấp tính an toàn của các gói tin được truyềnbao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kếtnối của dữ liệu ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói tin

IP Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống Với đặc điểm này thì xuhướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu

- Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào sựphân phối của các khóa mật mã và quản lý các luồng giao thông có liên quan đếnnhững giao thức an toàn này

Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau đểcung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách chúngcung cấp các dịch vụ là khác nhau Đối với cả hai giao thức AH và ESP này, IPSeckhông định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó là một khungchuẩn để sử dụng các thuật toán theo tiêu chuẩn công nghiệp IPSec sử dụng các thuậttoán: Mã nhận thực bản tin trên cơ sở băm (HMAC), thuật toán MD5 (Message Digest 5),thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản tin; Thuật toán DES, 3DES đểmật mã dữ liệu; Thuật toán khóa chia sẻ trước, RSA chữ ký số và RSA mật mã giá trị

ngẫu nhiên (Nonces) để nhận thực các bên Ngoài ra các chuẩn còn định nghĩa việc sửdụng các thuật toán khác như IDEA, Blowfish và RC4.

IPSec có thể sử dụng giao thức IKE (Internet Key Exchange) để xác thực haiphía và làm giao thức thương lượng các chính sách bảo mật và nhận thực thông quaviệc xác định thuật toán được dùng để thiết lập kênh truyền, trao đổi khóa cho mỗiphiên kết nối, dùng trong mỗi phiên truy cập Mạng dùng IPSec để bảo mật các dòng

dữ liệu có thể tự động kiểm tra tính xác thực của thiết bị bằng giấy chứng nhận số củahai người dùng trao đổi thông tin qua lại Việc thương lượng này cuối cùng dẫn đếnthiết lập kết hợp an ninh (SAs) giữa các cặp bảo mật, kết hợp an ninh này có tính chấthai chiều trực tiếp Thông tin kết hợp an ninh được lưu trong cơ sử dữ liệu liên kế anninh, và mỗi SA được ấn định một số tham số an ninh trong bảng mục lục sao cho khi

kết hợp một địa chỉ đích với giao thức an ninh (ESP hoặc AH) thì có duy nhất một SA.

2.4.2 Khung giao thức IPSec

IPSec là khung của các chuẩn mở, được phát triển bởi IETF

Hình 2.15: Khung giao thức được sử dụng trong IPSec

Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec

- Giao thức bảo mật IP (IPSec)

+ AH (Authentication Header)

+ ESP (Encapsulation Security Payload)

- Mã hoá bản tin

+ DES (Data Encryption Standard)

+ 3 DES (Triple DES)

- Các chức năng toàn vẹn bản tin

+ HMAC (Hash – ased Message Authentication Code)

+ MD5 (Message Digest 5)

+ SHA-1 (Secure Hash Algorithm -1)

- Nhận thực đối tác (peer Authentication)

+ Rivest, Shamir, and Adelman (RSA) Digital Signatures

+ RSA Encrypted Nonces

- Quản lý khoá

+ DH (Diffie- Hellman)

+ CA (Certificate Authority)

- Kết hợp an ninh

+ IKE (Internet Key Exchange)

+ ISAKMP (Internet Security Association and Key Management Protocol) IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảomật, toàn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng Những điểm nganghàng có thể là những cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến,những tường lửa, những bộ tập trung VPN …) hay có thể giữa một host và một cổngnối bảo mật, như trong VPN truy cập từ xa

Hai giao thức chính của IPSec là AH (Authentication Header) và ESP(Encapsulation Security Payload )

- AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IPtruyền giữa hai hệ thống Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay đổitrong khi truyền không Do AH không cung cấp khả năng mật mã dữ liệu nên các dữliệu đều được truyền dưới dạng bản rõ

- ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc

dữ liệu, kiểm tra tính toàn vẹn dữ liệu ESP đảm bảo tính bí mật của thông tin thôngqua việc mật mã ở lớp IP Tất cả các lưu lượng ESP đều được mật mã giữa hai hệthống

2.4.2.1 Giao thức AH

Khuôn dạng AH

Security Parameters Index (SPI)Sequence Number

- Payload length (8bit): Xác định độ dài của AH theo đơn vị 32bit (4 Byte)

- Reserved (16 bit): trường này dùng để dự trữ sử dụng trong tương lai Giá trịcủa trường này có thể đặt bằng 0 và có tham gia trong việc tính Authentication Data

- Security Parameter Index (SPI):

+ SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESPcho phép nhận dạng duy nhất SA cho gói dữ liệu này Các giá trị SPI từ 1÷255 đượcdành riêng để sử dụng trong tương lai SPI thường được lựa chọn bởi phía thu khi thiếtlập SA SPI là trường bắt buộc

+ Giá trị SPI 0 được sử dụng cục bộ Có thể sử dụng giá trị này để chỉ ra chưa

có SA nào tồn tại

- Sequence number (SN):

+ Trường 32 bit không dấu chứa một giá trị đếm tăng dần SN là trường bắtbuộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thể nào.Việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này, cònphía thu có thể không cần phải xử lý nó

+ Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiếtlập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1) Nếu dịch vụ anti-replayđược lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới,

và do đó là một khoá mới) trước khi truyền gói thứ 232 của một SA

- Authentication Data:

Trường này có độ dài biến đổi chứa một một giá trị kiểm tra tính toàn vẹn ICV(integrity Check Value) cho gói tin Độ dài của trường này bằng số nguyên lần 32 bit(hay 4 Byte)

Trường này có thể chứa một phần dữ liệu đệm kiểu tường minh (Explicitpadding) để đảm bảo độ dài của AH header là số nguyên lần 32 bit (đối với IPv4) hoặc

64 bit (đối với IPv6)

2.4.2.2 Giao thức ESP

Khuôn dạng ESP

Hình 2.17: Khuôn dạng gói ESP

Trong đó:

- Security Parameter Index (SPI):

+ SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESPcho phép nhận dạng duy nhất SA cho gói dữ liệu này Các giá trị SPI từ 1÷255 đượcdành riêng để sử dụng trong tương lai SPI thường được lựa chọn bởi phía thu khi thiếtlập SA SPI là trường bắt buộc

+ Giá trị SPI 0 được sử dụng cục bộ Có thể sử dụng giá trị này để chỉ ra chưa

có SA nào tồn tại

- Sequence number (SN):

+ Trường 32 bit không dấu chứa một giá trị đếm tăng dần (SN) SN là trườngbắt buộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thểnào Việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyền trường này,còn phía thu có thể không cần phải xử lý nó

+ Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiếtlập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1) Nếu dịch vụ anti - replayđược lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiết lập một SA mới,

và do đó là một khoá mới) trước khi truyền gói thứ 232 của một SA

- Payload Data

Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next header PayloadData là trường bắt buộc và có độ dài bằng số nguyên lần Byte

- Padding

Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay plaintext)phải là số nguyên lần khối các Byte (trong mật mã khối) thì Padding field được sửdụng để thêm vào Plaintext để có kích thước yêu cầu.

Padding cần thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4Byte để phân biệt rõ ràng với trường Authentication Data

Ngoài ra padding còn có thể được sử dụng để che dấu độ dài thực của Payload,tuy nhiên mục đích này phải được cân nhắc vì nó ảnh hưởng tới băng tần truyền dẫn.Bên gửi có thể thêm 0÷255 Padding Byte

- Pad length

Trường này xác định số padding Byte đã thêm vào Các giá trị hợp lệ là 0÷255.Pad length là trường bắt buộc

- Next header (8bit)

Là một trường bắt buộc Next header xác định kiểu dữ liệu chứa trong PayloadData Giá trị của trường này được lựa chọn từ tập các giá trị IP Protocol Numbers địnhnghĩa bởi IANA

2.4.2.3 Hoạt động của AH và ESP trong các chế độ (mode)

AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác nhau

tương ứng với hai mode: Transport mode và Tunnel mode

- Transport mode:

Được sử dụng phổ biến cho những kết nối giữa các host hay giữa các thiết bị

có chức năng như những host Ví dụ, một cổng nối IPSec (đó có thể là bộ định tuyếnphần mềm IOS, FIX Firewall, hay bộ tập trung VPN 3000 của Cisco) có thể xem như

là một host khi được truy nhập bởi một nhà quản lý cấu hình hay những hoạt độngđiều khiển khác

Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ chếbảo mật cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần IP headerluôn ở dạng “clear”

Trong Transport mode, AH được chèn vào sau tiêu đề IP và trước các giao thứclớp trên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn vào trước đó

- Tunnel mode:

Được sử dụng giữa các cổng nối như các bộ định tuyến, những FIX Firewwall,những bộ tập trung Tunnel mode cũng được sử dụng phổ biến khi một host kết nối tớimột trong những cổng nối đó để gia tăng truy nhập tới các mạng được điều khiển bởicổng nối đó, như trong trường hợp những người dùng từ xa quay số truy cập tới một

bộ định tuyến hay bộ tập trung

IPv4 Sau khi thêm AH (Transport mode)

Trước khi thêm AH

Xác thực (Trừ các trường biến đổi ở tiêu đề mới)

Hình 2.18: Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

Tiêu đề

IP gốc

Hop-nối-Hop, đích định tuyến, phân mảnh AH tuỳ chọnĐích TCP Dữ liệu

Tiêu đề

IP gốc Các tiêu đề phụ (nếu có) TCP Dữ liệu

Trước khi thêm AH

IPv6

IPv6

Sau khi thêm AH (Transport mode)

Xác thực (trừ các trường biến đổi)

Tiêu đề

IP mới

Các tiêu đề phụ (nếu có) AH

Tiêu đề

IP gốc Tiêu đề phụ (nếu có) TCP Dũ liệu

Sau khi thêm AH (Tunnel mode) IPv6

Xác thực (trừ các trường biến đổi ở tiêu đề IP mới)

Hình 2.19: Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH

IPv4 Sau khi thêm ESP (Transport mode)

Trước khi thêm ESP

Cấp quyền ESP Được mã hoá

Hình 2.20: Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

Tiêu đề

IP gốc

Hop-nối-Hop, đích định tuyến, phân mảnh ESP

Đích tuỳ chọn TCP Dữ liệu

Tiêu đề

IP gốc

Các tiêu đề phụ (nếu có) TCP Dữ liệu

Trước khi thêm ESP

IPv6

IPv6

Sau khi thêm ESP (Transport mode)

Tiêu đề

IP mới Các tiêu đề phụ mới ESP Tiêu đề IP gốc Tiêu đề phụ (nếu có) TCP Dữ liệu

Sau khi thêm ESP (Tunnel mode) IPv6

Phần đuôi ESP

Cấp quyền ESP

Được xác thực Được mã hoá

Phần đuôi ESP

Cấp quyền ESP Được mã hoá

Được xác thực

Hình 2.21: Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP

Để có thể áp dụng AH và ESP trong chế độ Transport mode và Tunnel mode,IPSec yêu cầu phải hỗ trợ được cho tổ hợp của transport mode và Tunnel mode Điềunày được thực hiện bằng các sử dụng Tunnel mode để mã hoá và xác thực các gói vàtiêu đề của nó rồi gắn AH hoặc ESP, hoặc dùng cả hai trong chế độ transport mode đểbảo mật cho tiêu đề mới được tạo ra AH và ESP không thể sử dụng chung trongTunnel mode bởi vì ESP đã có cơ chế tuỳ chọn xác thực, tuỳ chọn này nên sử dụngtrong Tunnel mode khi các gói cần phải mã hoá và xác thực

2.4.3 Hoat động của IPSec

Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn vớicác dịch vụ bảo mật cần thiết và hoạt động của IPSec có thể chia thành 5 bước chínhnhư sau:

 A gửi lưu lượng cần bảo vệ tới B

 Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE SA

← IKE Phase → IKE SA

 Router A và B thoả thuận một phiên trao đổi IKE Phase 2 IPSec SA ← IKE Phase → IPSec SA

 Thông tin được truyền dẫn qua đường hầm IPSec

 Kết thúc đường hầm IPSec

Hình 2.22: 5 bước hoạt động của IPSec

Bước 1: Lưu lượng cần được bảo vệ khởi tạo quá trình IPSec Ở đây, các thiết

bị IPSec sẽ nhận ra đâu là lưu lượng cần được bảo vệ chẳng hạn qua trường địa chỉ

Bước 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch vụbảo mật được thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE SAs(Security associations)) Trong phase này, thiết lập một kênh truyền thông an toàn đểtiến hành thoả thuận IPSec SA trong Phase 2

Bước 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lập cácIPSec SA tương đương ở hai phía Những thông số an ninh này được sử dụng để bảo

vệ dữ liệu và các bản tin trao đổi giữa các điểm đầu cuối Kết quả cuối cùng của haibước IKE là một kênh thông tin bảo mật được tạo ra giữa hai phía

Bước 4: Truyền dữ liệu – Dữ liệu được truyền giữa các đối tác IPSec dựa trên

cơ sở các thông số bảo mật và các khoá được lưu trữ trong cơ sở dữ liệu SA

Bước 5: Kết thúc đường hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc dohết hạn (time out)

Sau đây sẽ trình bày cụ thể hơn về 5 bước hoạt động của IPSec:

Bước 1 - Kích hoạt lưu lượng cần bảo vệ.

Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chínhsách an ninh (Security Policy) của một mạng VPN Chính sách được sử dụng để quyếtđịnh lưu lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở dạng bản rõ

(clear text) không cần bảo vệ) Chính sách sau đó sẽ được thực hiện ở giao diện của

mỗi đối tác IPSec

Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec,cho qua IPSec, hoặc huỷ gói dữ liệu Đối với mọi gói dữ liệu được bảo vệ bởi IPSec,người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu.Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và cácthuật toán được sử dụng cho luồng lưu lượng

Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access Control Lists) của các

router được sử dụng để biết lưu lượng nào cần mật mã ALCs định nghĩa bởi các dònglệnh

Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã

- Lệnh Deny : Xác định lưu lượng phải được gửi đi dưới dạng

không mật mã

Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bướctiếp theo: Thoả thuận một trao đổi IKE Phase 1

Bước 2 – IKE Phase 1

Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKEpolicy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác

IKE Phase 1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive

- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác.

- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (sharedsecret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đốitác Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thựckhác

- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác) Kết quả chính của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối tác

Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn) Hầu hếtmọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE;tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để xácđịnh nhận dạng thông qua một bên thứ ba (third party) Bên nhận gửi trở lại mọi thứcần thiết để hoàn thành (complete) việc trao đổi Cuối cùng bên khởi tạo khẳng định(confirm) việc trao đổi

 Các tập chính sách IKE

Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet,một đường hầm an toàn được thiết lập giữa Router A và Router B Thông qua đườnghầm, các giao thức mật mã, xác thực và các giao thức khác được thoả thuận Thay vìphải thoả từng giao thức một, các giao thức được nhóm thành các tập, chính là tậpchính sách IKE (IKE policy set) Các tập chính sách IKE được trao đổi trong IKEPhase 1 ở chế độ chính và trong trao đổi thứ nhất Nếu một chính sách thống nhất(matching policy) được tìm thấy ở hai phía thì chế độ chính tiếp tục Nếu không tìmthấy chính sách thống nhất nào thì đường hầm sẽ bị loại bỏ

Hình 2.24: Tập chính sách IKE

Ví dụ, Router A gửi các tập chính sách IKE Policy 10 và IKE Policy 20 tớiRouter B Router B so sánh với tập chính sách của nó, IKE Policy 15, với các tậpchính sách nhận được từ Router A Trong trường hợp này, một chính sách thống nhất