Mạng riêng ảo VPN (Virtual Private Network) được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được chi phí và thời gian.Vậy mạng riêng ảo VPN là gì? Kỹ thuật và cách xây dựng nó như thế nào? Bài báo cáo về Mạng riêng ảo dưới đây sẽ giúp các bạn hiểu hơn về Mạng riêng ảo – VPN.
Trang 1N06_Mạng riêng ảo VPNMẠNG RIÊNG ẢO – VPN
Trịnh Thị MếnSinh viên Viện Đại Học Mở Hà NộiĐịnh Công,Hoàng Mai, Hà Nộitrinhmen1108@gmail
com
Trần Anh TuấnSinh viên Viện Đại Học Mở Hà NộiĐịnh Công,Hoàng Mai, Hà Nộituan2900@gmail.com
1
Trang 2Tóm tắt: Mạng riêng ảo VPN (Virtual
Private Network) được thiết kế cho những tổ
chức có xu hướng tăng cường thông tin từ xa
vì địa bàn hoạt động rộng (trên toàn quốc
hay toàn cầu) Tài nguyên ở trung tâm có thể
kết nối đến từ nhiều nguồn nên tiết kiệm
được chi phí và thời gian.Vậy mạng riêng ảo
VPN là gì? Kỹ thuật và cách xây dựng nó
như thế nào? Bài báo cáo về Mạng riêng ảo
dưới đây sẽ giúp các bạn hiểu hơn về Mạng
Internet) để kết nối các địa điểm hoặc người sử
dụng từ xa với một mạng LAN ở trụ sở trung
tâm Thay vì dùng kết nối thật khá phức tạp như
đường dây thuê bao số, VPN tạo ra các liên kết
ảo được truyền qua Internet giữa mạng riêng
của một tổ chức với địa điểm hoặc người sử
dụng ở xa
Nhưng về bản chất, mạng riêng ảo VPN là
công nghệ cung cấp một phương thức giao tiếp
an toàn giữa các mạng riêng dựa vào kỹ thuật
gọi là tunnelling để tạo ra một mạng riêng trên
nền Internet Nó là quá trình đặt toàn bộ gói tin
vào trong một lớp header chứ thông tin định
tuyến có thể truyền qua mạng trung gian
Hình 1.1: Mô hình VPN
1.2 Lịch sử phát triển
Khái niệm đầu tiên về VPN được AT&Tđưa ra khoảng cuối thập niên 80, lúc này VPNđược biết đến như là “ mạng được định nghĩabởi phần mềm” (Software Defined Network –SDN) SDN là mạng WAN với khoảng cách xa,
nó được thiết lập dành riêng cho người dùng.SDN dựa vào cơ sở dữ liệu truy nhập để phânloại truy nhập vào mạng ở gần hoặc ở xa Dựavào thông tin, gói dữ liệu sẽ được định tuyếnđến đích thông qua cơ sở hạ tầng chuyển mạchcông cộng
Thế hệ thứ 2 của VPN xuất hiện cùng với
sự ra đời của công nghệ X25 và ISDN vào đầuthập kỷ 90 Trong một thời gian, giao thức X25qua mạng ISDN được thiết lập như là một giaothức của VPN, tuy nhiên, tỉ lệ sai lỗi trong quátrình truyền dẫn vượt quá sự cho phép Do đóthế hệ thứ hai của VPN nhanh chóng bị lãngquên trong 1 thời gian ngắn Sau thế hệ thứ 2,thị trường VPN bị chậm lại cho đến khi côngnghệ Frame Relay và công nghệ ATM ra đời -thế hệ thứ 3 của VPN dựa trên hai công nghệnày Những công nghệ này dựa trên khái niệmchuyển mạch kênh ảo
Trong thời gian gần đây, thương mại điện
tử đã trở thành một phương thức thương mạihữu hiệu, những yêu cầu của người dùng mạngVPN cũng rõ ràng hơn Người dùng mongmuốn một giải pháp mà có thể dễ dàng đượcthực hiện, thay đổi, quản trị, có khả năng truynhập trên toàn cầu và có khả năng cung cấp bảomật ở mức cao, từ đầu đến cuối Thế hệ gần đây(thế hệ thứ 4) của VPN là IP-VPN, IP-VPN đãđáp ứng được tất cả những yêu cầu này bằngcách ứng dụng công nghệ đường hầm
.3 Chức năng, ưu điểm, nhược điểm
1.3.1 Chức năng
VPN cung cấp ba chức năng chính đó là:tính xác thực (Authentication), tính toàn vẹn(Integrity) và tính bảo mật (Confidentiality)
- Tính xác thực: Để thiết lập một kết nối
VPN thì trước hết cả hai phải xác thực lẫnnhau để khẳng định rằng mình đang traođổi thông tin với người mình muốn chứkhông phải là một người khác
Trang 3- Tính toàn vẹn: Đảm bảo dữ liệu không bị
thay đổi hay đảm bảo không có bất kỳ sự
xáo trộn nào trong quá trình truyền dẫn
- Tính bảo mật: Người gửi có thể mã hóa
các gói dữ liệu trước khi truyền qua mạng
công cộng và dữ liệu sẽ được giải mã ở
phía thu Bằng cách làm như vậy, không
một ai có thể truy nhập thông tin mà không
được phép Thậm chí nếu có lấy được thì
cũng không đọc được
1.3.2 Ưu điểm
VPN mang lại lợi ích thực sự và tức thời
cho công ty Có thể dùng VPN để đơn giản hóa
việc truy cập đối VPN với các nhân viên làm
việc và người dùng lưu động, mở rộng Intranet
đến từng văn phòng, chi nhánh, thậm chí triển
khai Extranet đến tận khách hàng và các đối tác
chủ chốt và điều quan trọng là những công việc
trên đều có chi phí thấp hơn nhiều so với việc
mua thiết bị và đường dây cho mạng WAN
riêng
- Giảm chi phí thường xuyên: VPN cho
phép tiết kiệm 60% chi phí so với thuê
bao đường truyền và giảm đáng kể tiền
cước gọi đến các nhân viên làm việc ở
xa Giảm được cước phí đường dài khi
truy cập VPN cho các nhân viên làm
việc ở xa nhờ vào việc họ truy cập vào
mạng thông qua các điểm kết nối
POP(Point of Presence) ở địa phương,
hạn chế gọi đường dài đến các modem
tập trung
- Giảm chi phí đầu tư: Sẽ không tốn chi
phí đầu tư cho máy chủ, bộ định tuyến
cho mạng đường trục và các bộ chuyển
mạch phục vụ cho việc truy cập bởi vì
các thiết bị này do các nhà cung cấp
dịch vụ quản lý và làm chủ Công ty
cũng không phải mua, thiết lập cấu hình
hoặc quản lý các nhóm modem phức
tạp
- Truy cập mọi lúc, mọi nơi: Các Client
của VPN cũng có thể truy cập tất cả các
dịch vụ như: www, e-mail, FTP …
cũng như các ứng dụng thiết yếu khác
mà không cần quan tâm đến những
phần phức tạp bên dưới
- Khả năng mở rộng: Do VPN sử dụng
môi trường và các công nghệ tương tự
Internet cho nên với một Internet VPN,
các văn phòng, nhóm và các đối tượng
di động có thể trở nên một phần củamạng VPN ở bất kỳ nơi nào mà ISPcung cấp một điểm kết nối cục bộ POP.1.3.3 Nhược điểm
Với những ưu điểm như trên thì VPN đang
là lựa chọn số 1 cho các doanh nghiệp Tuynhiên VPN không phải không có nhược điểm,mặc dù không ngừng được cải tiến, nâng cấp và
hỗ trợ nhiều công cụ mới, tăng tính năng bảomật nhưng dường như đó vẫn là một vấn đề khálớn của VPN
Vì sao vấn đề bảo mật lại lớn như vậy đốivới VPN? Một lý do là VPN đưa các thông tin
có tính riêng tư và quan trong qua một mạngchung có độ bảo mật rất kém (thường làInternet) Lý do bị tấn công của VPN thì có vài
lý do sau: sự tranh đua giữa các công ty, sựtham lam muốn chiếm nguồn thông tin, sự trảthù, cảm giác mạnh
Khả năng quản lý cũng là vấn đề khó khăncủa VPN Cũng với lý do là chạy ngang quamạng Internet nên khả năng quản lý kêt nối
“end to end” từ phía một nhà cung cấp đơn lẻ làđiều không thể thực hiện được Vì thế nhà cungcấp dịch vụ (ISP) không thể cung cấp chấtlượng 100% như cam kết với nhau các bản thỏathuận về các thông số mạng, đảm bảo chấtlượng dịch vụ cho khách hàng Tuy nhiên cáccam kết này cũng không đảm bảo 100%
- Nối liền các chi nhánh, văn phòng diđộng
- Khả năng điều khiển được quyền truynhập của khách hàng, các nhà cung cấpdịch vụ hoặc các đối tượng bên ngoàikhác
Dựa vào những yêu cầu cơ bản trên, mạngriêng ảo VPN được chia làm 2 loại Thứ nhất làcác mạng có thể kết nối hai mạng với nhau, nóđược biết đến như một mạng kết nối LAN toLAN VPN, hay mạng kết nối site to site VPN.Thứ hai, một VPN truy cập từ xa có thể kết nốingười dùng từ xa tới mạng
Trang 41.4.1 Mạng VPN truy nhập từ xa (Remote
Access)
Các VPN truy nhập từ xa cung cấp khả
năng truy nhập từ xa Tại mọi thời điểm, các
nhân viên, chi nhánh văn phòng di động có khả
năng trao đổi, truy nhập vào mạng của công ty
Kiểu VPN truy nhập từ xa là kiểu VPN điển
hình nhất Bởi vì, những VPN này có thể thiết
lập bất kể thời điểm nào, từ bất cứ nơi nào có
mạng Internet
VPN truy nhập từ xa mở rộng mạng công
ty tới những người sử dụng thông qua cơ sở hạ
tầng chia sẻ chung, trong khi những chính sách
mạng công ty vẫn duy trì Chúng có thể dùng để
cung cấp truy nhập an toàn từ những thiết bị di
động, những người sử dụng di động, những chi
nhánh và bạn hàng của công ty Những kiểu
VPN này được thực hiện thông qua cơ sơ hạ
tầng công cộng bằng cách sử dụng công nghệ
ISDN, quay số, IP di động, DSL, công nghệ cáp
và thường yêu cầu một vài kiểu phần mềm
client chạy trên mạng máy tính của người sử
dụng
Hình 1.2: Mô hình VPN truy nhập từ xa
Theo mô hình trên có thể thấy được các ưu
điểm của Remote Access VPN:
- Mạng VPN truy nhập từ xa không cần
sự hỗ trợ của nhân viên mạng bởi vì
quá trình kết nối từ xa được các ISP
thực hiện
- Giảm được các chi phí cho kết nối từ
khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi cáckết nối cục bộ thông qua mạng Internet
- Cung cấp dịch vụ kết nối giá rẻ chonhững người sử dụng ở xa
- Bởi vì các kết nối truy nhập là nội bộnên các Modem kết nối hoạt động ở tốc
độ cao hơn so với các truy nhập khoảngcách xa
- VPN cung cấp khả năng truy nhập tốthơn đến các site của công ty bởi vìchúng hỗ trợ mức thu nhập thấp nhấtcủa dịch vụ kết nối
Mặc dù có nhiều ưu điểm nhưng mạngVPN truy nhập từ xa vẫn còn những nhượcđiểm cố hữu đi cùng như:
- Mạng VPN truy nhập từ xa không hỗtrợ các dịch vụ đảm bảo QoS
- Nguy cơ mất dữ liệu cao Hơn nữa,nguy cơ các gói có thể bị phân phátkhông đến nơi hoặc mất gói
- Bởi vì thuật toán mã hóa phức tạp nêntiêu đề giao thức tăng một cách đángkể
- Do phải truyền dữ liệu thông quaInternet, nên khi trao đổi các dữ liệulớn như các gói dữ liệu truyền thông,phim ảnh, âm thanh sẽ rất chậm
1.4.2 Mạng VPN điểm nối điểm (Site to Site)
Đây là cách kết nối nhiều văn phòng trụ sở
xa nhau thông qua các thiết bị chuyên dụng vàmột đường truyền được mã hóa ở qui mô lớnhoạt động trên nền Internet Site to Site VPNgồm 2 loại:
a Mạng VPN cục bộ (Intranet VPN)
Đây là kiểu kết nối Site to Site VPN Cácchi nhánh có riêng một Sever VPN và kết nốilại với nhau thông qua Internet Và các chinhánh này sẽ kết nối lại với nhau thành mộtmạng riêng duy nhất (Intranet VPN) và kết nốimạng LAN to LAN
Những ưu điểm chính của mạng cục bộ dựatrên giải pháp VPN :
- Các mạng lưới cục bộ hay toàn bộ cóthể được thiết lập ( với điều kiện mạngthông qua một hay nhiều nhà cung cấpdịch vụ)
- Giảm được số nhân viên kỹ thuật hỗ trợtrên mạng đối với những nơi xa
Trang 5- Bởi vì những kết nối trung gian được
thông qua mạng Internet nên nó có thể
dễ dàng thiết lập thêm một liên kết
ngang cấp mới
- Tiết kiệm chi phí thu được từ những lợi
ích đạt được bằng cách sử dụng đường
hầm VPN thông qua Internet kết hợp
với công nghệ chuyển mạch tốc độ
cao.Ví dụ như công nghệ Frame Relay,
ATM
Tuy nhiên mạng cục bộ dựa trên giải pháp
VPN cũng có những nhược điểm đi cùng như :
- Bởi vì dữ liệu được truyền “ngầm” qua
mạng công cộng – Internet – cho nên
vẫn còn những mối “đe dọa” về mức độ
bảo mật dữ liệu và mức độ chất lượng
dịch vụ (QoS)
- Khả năng các gói dữ liệu bị mất trong
khi truyền dẫn vẫn còn khá cao
- Trường hợp truyền dẫn khối lượng lớn
dữ liệu, như là đa phương tiện, với yêu
cầu truyền dẫn tốc độ cao và đảm bảo
thời gian thực là thách thức lớn trong
môi trường Internet
b Mạng VPN mở rộng (Extranet VPN)
Khi một công ty có quan hệ mật thiết với
công ty khác ( ví dụ như : một đối tác, nhà cung
cấp hay khách hàng) họ có thể xây dựng một
extranet VPN nhằm kết nối LAN to LAN và
cho phép các công ty này cùng làm việc, trao
đổi trong một môi trường chia sẻ riêng biệt ( tất
nhiên vẫn trên nền Internet)
Các VPN mở rộng cung cấp một đường
hầm bảo mật giữa các khách hàng, các nhà cung
cấp và các đối tác qua một cơ sở hạ tầng công
cộng Kiểu VPN này sử dụng các kết nối luôn
luôn được bảo mật và được cấu hình như một
VPN Site – to – Site Sự khác nhau giữa một
dựa trên mạng Internet nên có nhiều cơ
hội trong việc cung cấp dịch vụ và lựa
chọn giải pháp phù hợp với các nhu cầucủa mỗi công ty hơn
- Bởi vì các kết nối Internet được nhàcung cấp dịch vụ Internet bảo trì, nêngiảm được số lượng nhân viên hỗ trợmạng, do vậy giảm được chi phí vậnhành của toàn mạng
Bên cạnh những ưu điểm ở trên giải phápmạng VPN mở rộng cũng còn những nhượcđiểm đi cùng như :
- Khả năng bảo mật thông tin, mất dữliệu trong khi truyền qua mạng côngcộng vẫn tồn tại
- Truyền dẫn khối lượng lớn dữ liệu, như
là đa phương tiện, với yêu cầu truyềndẫn tốc độ cao và đảm bảo thời gianthực, là thách thức lớn trong môitrường Internet
- Làm tăng khả năng rủi ro đối với cácmạng cục bộ của công ty
1.5 Phương thức hoạt động của VPN
Hầu hết các VPN đều dựa vào kỹ thuật gọi
là Tunneling để tạo ra một mạng riêng trên nềnInternet
Tennelling là kỹ thuật sử dụng một hệthống mạng trung gian( thường là mạngInternet) để truyền dữ liệu từ mạng máy tính nàyđến một mạng máy tính khác nhưng vẫn duy trìđược tính riêng tư và toàn vẹn dữ liệu Dữ liệutruyền sau khi được chia nhỏ thành những framehay packet (gói tin) theo các giao thức truyềnthông sẽ được bọc thêm 1 lớp header chứanhững thông tin định tuyến giúp các packet cóthể truyền qua các hệ thống mạng trung giantheo những đường riêng (tunnel) Khi packetđược truyền đến đích, chúng được tách lớpheader và chuyển đến các máy trạm cuối cùngcần nhận dữ liệu Để thiết lập kết nối tunnel,máy client và server phải sử dụng chung mộtgiao thức (tunnel protocol)
Kỹ thuật Tunneling yêu cầu 3 giao thứckhác nhau:
- Giao thức truyền tải ( Carrier Protocol)
là giao thức được sử dụng bởi mạng cóthông tin đang đi qua
- Giao thức mã hóa dữ liệu(Encapsulating Protocol ) là giao thức(như GRE, IPSec, L2F, PPTP, L2TP)được bọc quanh gói dữ liệu gốc
Trang 6- Giao thức gói tin (Passenger Protocol)
là giao thức của dữ liệu gốc được
truyền đi ( như IPX, NetBeui, IP)
Người dùng có thể đặt một gói tin sử dụng
giao thức không được hỗ trợ trên Internet (như
NetBeui) bên trong một gói IP và gửi nó an
toàn qua Internet Hoặc họ có thể đặt một gói
tin dùng địa chỉ IP riêng (không định tuyến) bên
trong một gói khác dùng địa chỉ IP chung (định
tuyến) để mở rộng một mạng riêng trên
Trong VPN loại này, giao thức mã hóa
định tuyến GRE (Generic Routing
Encapsulation) cung cấp cơ cấu “ đóng gói”
giao thức gói tin (Passenger Protocol) Nó bao
gồm thông tin về loại gói tin mà bạn đang mã
hóa và thông tin về kết nối giữa máy chủ với
máy khách Nhưng IPSec trong cơ chế Tunnel,
thay vì dùng GRE, đôi khi lại đóng vai trò là
giao thức mã hóa IPSec hoạt động tốt trên cả
hai loại mạng VPN truy cập từ xa và điểm – nối
– điểm Tất nhiên, nó phải được hỗ trợ cả hai
giao diện Tunnel
Hình 1.3: Kỹ thuật Tunnelling trong VPN điểm
- nối - điểm
Trong mô hình trên, gói tin được chuyển từ
một máy tính ở văn phòng chính qua máy chủ
truy cập tới router (tại đây giao thức mã hóaGRE diễn ra), qua Tunnel để tới máy tính củavăn phòng từ xa
II.2 Kỹ thuật tunneling trong VPN truy cập
từ xa
Với loại VPN này, Tunneling thường dùnggiao thức điểm - nối – điểm PPP (Point – to –Point Protocol) Là một phần của TCP/IP PPPđóng vai trò truyền tải cho các giao thức IP kháckhi liên hệ trên mạng giữa máy chủ và máy truycập từ xa Nói tóm lại, kỹ thuật Tunneling chomạng VPN truy cập từ xa phụ thuộc vào PPP.Các giao thức dưới đây được thiết lập dựatrên cấu trúc cơ bản của PPP và dùng trongmạng VPN truy cập từ xa
2.2.1 Giao thức chuyển tiếp lớp 2 – L2F
Giao thức lớp 2 - L2F do Cisco phát triểnđộc lập và được phát triển dựa trên giao thứcPPP (Point – to – Point Protocol) L2F cung cấpgiải pháp cho dịch vụ quay số ảo bằng cáchthiết lập một đường hầm bảo mật thông qua cơ
sở hạ tầng công cộng như Internet L2F là giaothức được phát triển sớm nhất, là phương pháptruyền thống để cho những người sử dụng ở xatruy cập vào một mạng công ty thông qua thiết
bị truy cập từ xa L2F cho phép đóng gói cácPPP trong khuôn dạng L2F và định đường hầm
ở lớp liên kết dữ liệu
a Nguyên tắc hoạt động của L2F
Giao thức chuyển tiếp L2F đóng gói nhữnggói tin lớp 2, sau đó truyền chúng đi qua mạng
Hệ thống sử dụng L2F gồm các thành phầnsau:
- Máy trạm truy nhập mạng NAS: hướnglưu lượng đến và đi giữa các máy khách
ở xa và Home Gateway Một hệ thốngERX có thể hoạt động như NAS
- Đường hầm: định hướng đường đi giữaNAS và Home Gateway Một đườnghầm gồm một sô kết nối
- Kết nối: là một kết nối PPP trongđường hầm Trong LCP, một kết nốiL2F được xem như một phiên
- Điểm đích: là điểm kết thúc ở đầu xacủa đường hầm Trong trường hợp nàythì Home Gateway là đích
Trang 7Quá trình hoạt động của giao thức đường
hầm chuyển tiếp là một quá trình tương đối
phức tạp Một người sử dụng ở xa quay số tới
hệ thống NAS và khởi đầu một kết nối PPP tới
ISP Với hệ thống NAS và máy trạm có thể trao
đổi các gói giao thức điều khiển liên kết NAS
sử dụng cơ sở dữ liệu cục bộ liên quan tới điểm
tên miền để quyết định xem người sử dụng có
hay không yêu cầu dịch vụ L2F
Nếu người sử dụng yêu cầu L2F thì quá
trình tiếp tục, NAS thu nhận địa chỉ của
Gateway đích Một đường hầm được thiết lập từ
NAS tới Gateway đích nếu giữa chúng chưa có
đường hầm nào Sự thành lập đường hầm bao
gồm giai đoạn xác thực từ ISP tới Gateway đích
để chống lại sự tấn công bởi kẻ thứ ba Một kết
nối PPP mới được tạo ra trong đường hầm, điều
này có tác động kéo dài phiên PPP mới được
tạo ra từ người sử dụng ở xa tới Home
Gateway Kết nối này được lập theo một quy
trình như sau:
- Home Gateway tiếp nhận các lựa chọn
và tất cả thông tin xác thực PAP/CHAP
như thỏa thuận bởi đầu – cuối người sử
dụng và NAS
- Home Gateway chấp nhận kết nối hay
thỏa thuận lại LCP và xác thực lại
người sử dụng
- Khi NAS tiếp nhận lưu lượng dữ liệu từ
người sử dụng, nó đóng gói lưu lượng
vào trong các khung L2F và hướng
chúng vào trong đường hầm
- Tại Home Gateway khung được tách bỏ
và dữ liệu đóng gòi được hướng tới
mạng một doanh nghiệp hay người
dùng
Khi hệ thống đã thiết lập điểm đích đường
hầm và những phiên kết nối, ta phải điều khiển
và quản lý lưu lượng L2F bằng cách:
- Ngăn cảm tạo những đích đến, đường
hầm và các phiên mới
- Đóng và mở lại tất cả hay chọn lựa
những điểm đích, đường hầm và phiên,
có khả năng kiểm tra tông UDP
- Thiết lập thời gian rỗi cho hệ thống và
lưi giữ cơ sở dữ liệu vào các đường
hầm kết nối
b Những ưu điểm và nhược điểm của L2F
Mặc dù L2F yêu cầu mở rộng xử lý với các
LCP và phương pháp tùy chọn khác nhau, nó
được dùng rộng rãi hơn so với PPTP bởi vì nó
là một giải pháp chuyển hướng khung ở cấpthấp Nó cũng cung cấp một nền tảng giải phápVPN tốt hơn PPTP đối với mạng doanhnghiệp
Những thuận lợi của việc triển khai giảipháp L2F như sau:
- Nâng cao bảo mật cho quá trình giaodịch
- Có nền tảng độc lập
- Không cần những sự lắp đặt đặc biếtvới ISP
- Hỗ trợ một phạm vi rộng rãi các côngnghệ mạng như ATM, IPX, NetBeui vàFrame Relay
Những khó khăn của việc triển khai L2Fbao gồm:
- L2F yêu cầu cấu hình và hỗ trợ hơn
- Thực hiện L2F dựa trên ISP Nếu trênISP không hỗ trợ L2F thì không thểtriển khai L2F được
2.2.2 Giao thức đường hầm điểm nối điểm – PPTP
Giao thức này được nghiên cứu và pháttriển bởi công ty chuyên về thiết bị công nghệviễn thông Trên cơ sở của giao thức này là táchcác chức năng chung và riêng của việc truynhập từ xa, dựa trên cơ sở hạ tầng Internet cósẵn để tạo kết nối đường hầm giữa người dùng
và mạng riêng ảo Người dùng ở xa có thể dùngphương pháp quay số tới các nhà cung cấp dịch
vụ Internet để có thể tạo đường hầm riêng đểkết nối việc truy nhập tới mạng riêng ảo củangười dùng đó Giao thức PPTP được xây dựngdựa trên nền tảng của PPP, nó có thể cung cấpkhả năng truy nhập tạo đường hầm thông quaInternet đến các site đích PPTP sử dụng giaothức đóng gói tin định tuyến chung GRE được
mô tả để đóng lại và tách gói PPP Giao thứcnày cho phép PPTP linh hoạt trong xử lý cácgiao thức khác
a Nguyên tắc hoạt động của PPTP
PPP là giao thức truy nhập vào Internet vàcác mạng IP phổ biến hiện nay Nó làm việc ởlớp liên kết dữ liệu trong mô hình OSI, PPPbao gồm các phương thức đóng gói, tách gói
IP, là truyền đi trên chỗ kết nối điểm tới điểm
từ máy này sang máy khác
Trang 8PPTP đóng gói tin và khung dữ liệu của
giao thức PPP vào các gói tin IP để truyền qua
mạng IP PPTP dung kết nối TCP để khởi tạo
và duy trì, kết thúc đường hầm và dùng một
gói định tuyến chung GRE để đóng gói các
khung PPP Phần tải của khung PPP có thể
được mã hóa và nén lại
PPTP sử dụng PPP để thực hiện các chức
năng thiết lập và kêt thúc kết nối vật lý, xác
định người dùng và tạo các gói dữ liệu PPP
PPTP có thể tồn tại một mạng IP giữa
PPTP khách và PPTP chủ của mạng PPTP
khách có thể được đấu nối trực tiếp tới máy
chủ thông qua truy cập mạng NAS để thiết lập
kết nối IP Khi kết nối được thực hiện có nghĩa
là người dùng đã được xác nhận Đó là giai
đoạn tùy chọn trong PPP, tuy nhiên nó luôn
luôn được cung cấp nởi ISP Việc xác thực
trong quá trình thiết lập kết nối dựa trên PPTP
sử dụng các cơ chế xác thực của kết nối PPP
Một số cơ chế xác thực được sử dụng là:
- Giao thức xác thực mở rộng EAP
- Giao thức xác thực có thử thách bắt tay
CHAP
- Giao thức xác định mật khẩu PAP
Giao thức PAP hoạt động trên nguyên tắc
mật khẩu được gửi qua kết nối dưới dạng văn
bản đơn giản và không có bảo mật
CHAP là giao thức mạnh hơn, sử dụng
phương pháp bắt tay ba chiều để hoạt động, và
chống lại các tấn công quay lại bằng cách sử
dụng các giá trị bí mật duy nhất, không thể
đoán và giải được
PPTP cũng được các nhà phát triển công
nghệ dựa vào việc mật mã và nén phần tải tin
của PPP Để mật mã phần tải tin PPP có thể sử
dụng phương thức mã hóa điểm tới điểm
MPPE MPPE chỉ cung cấp mật mã trong lúc
truyền dữ liệu trên đường truyền không cung
cấp mật mã tại các thiết bị đầu cuối tới đầu
cuối Nếu cần sử dụng mật mã đầu cuối đến
đầu cuối thì có thể dùng giao thức IPSec
để bảo mật lưu lượng IP giữa các đầu cuối sau
khi đường hầm PPTP được thiết lập
Khi PPP được thiết lập kết nối, PPTP sử
dụng quy luật đóng gói của PPP để đóng gói
các gói truyền trong đường hầm Để có thể dựa
trên những ưu điểm của kết nối tạo bởi PPP,
PPTP định nghĩa hai loại gói là điều khiển và
dữ liệu, sau đó gắn chúng vào hai kênh riêng là
kênh điều khiển và kênh dữ liệu PPTP tách các
kênh điều khiển và kênh dữ liệu thành những
luồng điều khiển với giao thức điều khiển
truyền dữ liệu TCP và luồng dữ liệu với giaothức IP Kết nối TCP tạo ra giữa các máy khách
và máy chủ được sử dụng để truyền thông báođiều khiển
Các gói dữ liệu thông thường của ngườidùng Các gói điều khiển được đưa vào theomột chu kì để lấy thông tin và trạng thái kết nối
và quản lý báo hiệu giữa máy khách PPTP vàmáy chủ PPTP Các gói điều khiển cũng đượcdùng để gửi các thông tin quản lý thiết bị, thôngtin cấu hình giữa hai đầu đường hầm
Kênh điều khiển được yêu cầu cho việcthiết lập một đường hầm giữa các máy khách vàmáy chủ PPTP Máy chủ PPTP là một Server
có sử dụng giao thức PPTP với một giao diệnđược nối với Internet và một giao diện khác nốivới Intranet, còn phần mềm client có thể nằm ởmáy người dùng từ xa hoặc tại các máy chủISP
b Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP
Kết nối điều khiển PPTP là kết nối giữađịa chỉ IP của máy khách PPTP và địa chỉ máychủ Kết nối điều khiển PPTP mang theo cácgói tin điều khiển và quản lý được sử dụng đểduy trì đường hầm PPTP Các bản tin này baogồm PPTP yêu cầu phản hồi và PPTP đáp lạiphản hồi định kì để phát hiện các lỗi kết nốigiữa các máy trạm và máy chủ PPTP Các góitin của kết nối điều khiển PPTP bao gồm tiêu
đề IP, trạm và máy chủ PPTP Các gói tin củakết nối điều khiển PPTP bao gồm tiêu đề IP,tiêu đề TCP bản tin điều khiển PPTP và tiêu
đề, phần cuối của lớp liên kết dữ liệu
Tiêu
đề liênkêt dữ liệu
Tiêu
đề IP
TiêuđềTCP
Bản tin điều khiển PPTP
Phầncuối củaliên kết
dữ liệuHình 2.1: Gói dữ liệu kết nối điều khiển
Trang 9Dữ liệu đường hầm PPTP được đóng gói
thông qua các mức được mô tả theo mô hình:
Tiê
u đềPPP
Tiêu đềPPP được
mã hóa
Phần đuôi liên kết dữliệu
Hình 2.2: Mô hình đóng gói dữ liệu đường hầm
PPTP
Phần tải của khung PPP ban đầu được mã
hóa và đóng gói với phần tiêu đề của phiên bản
giao thức GRE sửa đổi
GRE là giao thức đóng gói chung, cung
cấp cơ chế đóng gói dữ liệu để định tuyến qua
mạng IP Đối với PPTP, phần tiêu đề của GRE
được sửa đổi một số điểm đó là:
- Một trường xác nhận dài 32 bit được
thêm vào
- Một bit xác nhận được sử dụng để chỉ
định sự có mặt của trường xác nhận 32
bit
- Trường chỉ số cuộc gọi được thiết lập
bởi máy trạm PPTP trong qua trính
khởi tạo đường hầm
Đóng gói IP
Trong khi truyền tải phần tải PPP và các
tiêu đề GRE sau đó được đóng gói với một tiêu
đề IP chứa các thông tin địa chỉ nguồn và đích
thích hợp cho máy trạm và máy chủ PPTP
Đóng gói lớp liên kết dữ liệu
Để có thể truyền qua mạng LAN hay
WAN thì gói tin IP cuối cùng được đóng gói
với một tiêu đề và phần cuối của lớp liên kết dữ
liệu ở giao diện vật lý đầu ra Như trong mạng
LAN thì nếu gói tin IP được gửi qua giao diện
Ethernet, nó sẽ được gói với phần tiêu đề và
đuôi Ethernet Nếu gói tin IP được gửi qua
đường truyền WAN điểm tới điểm nó sẽ được
đóng gói với phần tiêu đề và đuôi của giao thức
PPP
Sơ đồ đóng gói trong giao thức PPTP
Quá trình đóng gói PPTP từ một máy trạm
qua kết nối truy nhập VPN từ xa sử dụng
modem được mô phỏng theo hình dưới đây:
Hình 2.3: Sơ đồ đóng gói PPTP
- Các gói tin IP, IPX, hoặc khungNetBEUI được đưa tới giao diện ảo đạidiện cho kết nối VPN bằng các giaothức tương ứng sử dụng đặc tả giaodiện thiết bị mạng NDIS
- NDIS đưa gói tin dữ liệu tớiNDISWAN, nơi thực hiện việc mã hóa
và nèn dữ liệu, cũng như cung cấp tiêu
đề PPP, phần tiêu đề PPP này chỉ gồmtrường mã số giao thức PPP không cótrường Flags và trường chuỗi kiêm rtrakhung (FCS) Giả định trường địa chỉ
và điều khiển được thỏa thuận ở mứcđiều khiển đường truyền (LCP) trongqua trình kết nối PPP
- NDISWAN gửi dữ liệu tới giao thứcPPTP, nơi đóng gói khung PPP vớiphần tiêu đề GRE Trong tiêu đề GRE,trường chỉ số cuộc gọi được đặt giá trịthích hợp xác định đường hầm
- Giao thức PPTP sau đó sẽ gửi gói tinvừa tạo ra tới TCP/IP
- TCP/IP đóng gói dữ liệu đường hầmPPTP với tiêu đề IP sau đó gửi kết quảtới giao diện đại diện cho kết nối quay
số tới ISP cục bộ NDIS
- NDIS gửi gói tin tới NDISWAN, cungcấp các tiêu đề và đuôi PPP
- NDISWAN gửi khung PPP kết quả tớicổng WAN tương ứng đại diện chophần cứng quay số
d Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP
Trang 10Khi nhận được dữ liệu đường hầm PPTP,
máy trạm và máy chủ PPTP, sẽ thực hiện các
bước sau:
- Xử lý và loại bỏ gói phần tiêu đề và
đuôi của lớp liên kết dữ liệu hay gói tin
- Xử lý và loại bỏ tiêu đề IP
- Xử lý và loại bỏ tiêu đề GRE và PPP
- Giải mã và nén phần tải tin PPP
- Xử lý phần tải tin để nhận hoặc chuyển
tiếp
e Triển khai VPN dựa trên PPTP
Khi triển khai VPN dựa trên giao thức
PPTP yêu cầu hệ thống toosithieeru phải có
các thành phần thiết bị như sau:
- Một máy chủ truy nhập mạng dùng cho
phương thức quay số truy nhập bảo mật
Máy chủ PPTP có hai chức năng chính,
đóng vai trò là điểm kết nối của đường hầm
PPTP và chuyển các gói tin đến từng đường
hầm mạng LAN riêng Máy chủ PPTP chuyền
các gói tin đến máy đích bằng cách sử lý gói
tin PPTP để có thể được địa chỉ mạng của máy
đích Máy chủ PPTP cũng có khả năng lọc gói,
bằng cách sử dụng cơ chế lọc gói PPTP máy
chủ có thể ngăn cấm, chỉ có thể cho phép truy
nhập vào Internet, mạng riêng hay truy nhập cả
hai
Thiết lập máy chủ PPTP tại site mạng có
thể hạn chế nếu như máy chủ PPTP nằm sau
tường lửa PPTP được thiết kế sao cho chỉ có
một cổng TCP 1723 được sử dụng để chuyển
dữ liệu đi Nhược điểm của cấu hình cổng này
có thể làm cho bức tường lửa dễ bị tấn công.Nếu như bức tường được cấu hình để lọc góitin thì cần phải thiết lập nó cho phép GRE điqua
Phần mền Client PPTP
Các thiết bị của ISP đã hỗ trợ PPTP thìkhông cần phần cứng hay phần mền bỏ sungnào cho các máy trạm, chỉ cần một kết nối PPPchuẩn nếu như các thiết bị của ISP không hỗtrợ PPTP thì một phần mềm ứng dụng Clientvẫn có thể tạo liên kết nối bảo mật bằng các đầutiên quay số kết nối tới ISP bằng PPP, sau đóquay số một lần nữa thoogn qua cổng PPTP ảođược thiết lập ở máy trạm
kế cho phép một số lượng lớn người dùng cóthể truy nhập vào cũng một lúc Nếu một ISPcung cấp dịch vụ PPTP thì cấn phải cài mộtNAS cho phép PPTP để hỗ trợ các client chạytrên các hệ điều hành khác nhau Trong trườnghợp này máy chủ ISP trở thành một điểm cuốicủa đường hầm, điểm cuối còn lại máy chủ tạiđầu mạng riêng
f Một số ưu nhược điểm và khả năng ứng dụng của PPTP
Ưu điểm của PPTP là được thiết kế để hoạtđộng ở lớp 2 trong khi IPSec chạy ở lớp 3 của
mô hình Ói Việc hỗ trợ truyền dữ liệu ở lớp 2,PPTP có thể lan truyền trong đường hầm bằngcác giao thức khác IP trognn khi IPSec chỉ cóthể truyền các gói tin IP trong đường hầm.PPTP là một giải pháp tạm thời vì hầu hếtcác nhà cung cấp dịch vụ đều có kế hoạch thayđổi PPTP bằng L2TP khi giao thức này đã được
mã hóa PPTP thích hợp cho việc quay số truynhập với số lượng người dùng giới hạn hơn làVPN kết nối LAN-LAN Một vấn đề của PPTP
là xử lý xác thực người thông qua hệ điều hành.Máy chủ PPTP cũng quá tải với một số lượngngười dùng quay số truy nhập hay một lưulượng lớn dữ liệu truyền qua, điều này là một
