Mạng riêng ảo và bảo mật trong mạng riêng ảo

Mục đích của luận văn “Mạng Riêng Ảo và Bảo mật trong Mạng Riêng Ảo” là tìm hiểu những vấn đề cơ bản về bộ giao thức TCP/IP, tổng quan về mạng riêng ảo – VPN, các giao thức bảo mật đượ

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN THANH QUỲNH

MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG

MẠNG RIÊNG ẢO

LUẬN VĂN THẠC SĨ

Hà Nội – 2011

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

NGUYỄN THANH QUỲNH

MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG

Mục lục

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT 1

MỞ ĐẦU 5

CHƯƠNG 1 – GIAO THỨC TCP/IP VÀ MẠNG RIÊNG ẢO 6

1.1 Internet 6

1.2 Giao thứ c TCP/IP 6

1.2.1 Lớ p Truy nhâ ̣p ma ̣ng 9

1.2.2 Lớ p Liên ma ̣ng 9

1.2.3 Lớ p Giao vâ ̣n 9

1.2.4 Lớ p Ứng dụng 10

1.2.5 Nhận xét 11

1.3 Tổng quan về Mạng Riêng Ảo 11

1.3.1 Khái niệm 11

1.3.2 Tính năng và ưu điểm c ủa mạng riêng ảo 11

1.3.2.1 Các tính năng của mạng riêng ảo 11

1.3.2.2 Ưu điểm của mạng riêng ảo 12

1.3.3 Một số loa ̣i ma ̣ng riêng ảo 12

1.3.3.1 Mạng riêng ảo truy nhập từ xa 13

1.3.3.2 Mạng riêng ảo nội bộ 14

1.3.3.3 Mạng riêng ảo mở rô ̣ng 15

1.4 Kết luận 16

CHƯƠNG 2 - BẢO MẬT TRONG MẠNG RIÊNG ẢO 17

2.1 Khái niệm bảo mật 17

2.2 Giao thứ c PPTP 18

2.2.1 Khái niệm 18

2.2.2 Các cơ chế làm việc của PPTP 18

2.2.3 Hoạt động của PPTP 25

2.2.4 Nhận xét 26

2.3 Giao thứ c L2TP 27

2.3.1 Khái niệm 27

2.3.2 Các cơ chế làm việc của L2TP 27

2.3.3 Hoạt động của giao thức L2TP 32

2.3.4 Nhận xét 33

2.4 Giao thứ c IPSec 34

2.4.1 Khái niệm 34

2.4.2 Chế độ đóng gói dữ liệu IP của IPSec 36

2.4.2.1 Các chế độ đóng gói 36

2.4.2.2 Giao thứ c tiêu đề xác thực AH 38

2.4.2.3 Giao thứ c đóng gói an toàn tải tin ESP 42

2.4.3 Các cơ chế làm việc của IPSec 46

2.4.4 Giao thứ c bảo mâ ̣t IPSec 54

2.4.4.1 Mật mã dữ liê ̣u 54

2.4.4.2 Toàn vẹn dữ liệu 55

2.4.4.3 Nhận thực 57

2.4.4.3 Quản lý khóa 58

2.5 Kết luận 59

CHƯƠNG 3 – MÔ PHỎNG ĐƯỜNG HẦM IPSec VPN QUA INTERNET 60

3.1 Một số loa ̣i Router hỗ trơ ̣ kết nối IPSec VPN 60

3.2 Mô phỏng mô hình IP -VPN Site-to-Site 60

3.2.1 Giớ i thiê ̣u phầ n mềm mô phỏng GNS 3/Graphical Network Senulator60 3.2.2 Mô hình mô phỏng 60

3.2.3 Các bước cấu hình thiết bi ̣ 62

3.2.3.1 Cấu hình SiteA 62

3.2.3.2 Cấu hình SiteB 63

3.2.3.3 Cấu hình ISP 65

3.2.4 Thực hiê ̣n Ping giữa 2 Site và phân tích gói tin 66

3.2.4.1 Thực hiện ping 66

3.2.4.2 Thực hiện phân tích gói tin 67

3.2.4.3 So sánh với một bản tin không được mã hóa bất kỳ 68

3.3 Kết luận 70

3.4 Lợi ích phần mềm mang la ̣i 70

3.5 Một số mô hình VPN thực tế tại các cơ quan, tổ chức 71

3.5.1 Triển khai VPN thực tế tại Cty TNHH Máy tính NÉT – NETCOM 71

3.5.2 Triển khai thực tế tại Bộ Công Thương 73

KẾT LUẬN 75

TÀI LIỆU THAM KHẢO 77

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT

Authorization and Accounting

Nhận thực, trao quyền và thanh toán

Subscriber Line

Công nghệ truy nhập đường dây thuê bao số không đối xứng

Authentication Protocol

Giao thức nhận thực đòi hỏi bắt tay

Equipment

Thiết bị truyền thông dữ liệu

Diffie-Hellman

Identifier

Nhận dạng kết nối lớp liên kết dữ liệu

Protocol

Giao thức xác thực mở rộng

Payload

Giao thức đóng gói an toàn tải tin

Kỹ thuật chuyển mạch gói nhanh

Encapsulation

Đóng gói định tuyến chung

Force

Cơ quan tiêu chuẩn kỹ thuật cho Internet

Protocol

Giao thức quản lí khóa qua Internet

ISAKMP Internet Security Association

and Key Management Protocol

Giao thức kết hợp an ninh và quản

lí khóa qua Internet

Code

Mã nhận thực bản tin

Interconnnection

Kết nối hệ thống mở

Protocol

Giao thức nhận thực khẩu lệnh

Network cộng

Dial-in User Service

Dịch vụ nhận thực người dùng quay số từ xa

Protocol

Giao thức phân giải địa chỉ ngược

IETF đưa ra

khóa công cộng

Protocol

Giao thức truyền thư đơn giản

Protocol

Giao thức điều khiển truyền tải

TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường

MỞ ĐẦU

Hiện nay, mạng Internet đã trở nên phổ biến trên toàn thế giới Internet không chỉ phục vụ cho Giáo dục, Khoa ho ̣c, Kinh doanh, Viễn thông mà nó còn thể hiện rõ nét một vấn đề đó là: một đất nước có thực sự phát triển và hiện đại hay không là nhờ vào sự phát triển hạ tầng cũng như ứng dụng CNTT vào thực tế Vì thế vai trò của nó là quá lớn, nhưng để ti ̀m hiểu nó ứng dụng thế nào vào thực tế

mà các Doanh nghiệp hiện nay đang ứng dụng thì có lẽ chúng ta phải bỏ ra công sức không nhỏ và cũng không phải dễ dàng Vậy trong đề tài này tôi xin phép được giới thiệu một Công nghệ mà nhiều Doanh nghiệp , đặc biê ̣t là những doanh nghiê ̣p có nhiều chi nhánh đang ứng dụng Và đó là Công nghê ̣ M ạng riêng ảo chạy trên nền tảng Internet

Mục đích của luận văn “Mạng Riêng Ảo và Bảo mật trong Mạng Riêng Ảo” là tìm hiểu những vấn đề cơ bản về bộ giao thức TCP/IP, tổng quan về mạng riêng

ảo – VPN, các giao thức bảo mật được ứng dụng trong mạng VPN và đặc biệt nhấn mạnh kết quả mô phỏng mô hình đường hầm VPN IPSec site-to-site, nội dung khoá luận như sau:

Chương 1, giới thiệu tổng quan về Internet, bộ giao thức TCP/IP Trong đó nêu

rõ chức năng của từng phân lớp của TCP/IP Đi vào giới thiệu lịch sử phát triển của mạng VPN, các chức năng và ưu điểm của mạng VPN Đặc biệt, nhấn mạnh

về một số loại mạng VPN thường vẫn được ứng dụng và triển khai hiện nay như: Mạng VPN truy cập từ xa, mạng VPN site-to-site

Chương 2, đề cập tới các giao thức bảo mật được sử dụng trong mạng VPN như

giao thức đường hầm điểm – điểm PPTP, giao thức đường hầm lớp 2 L2TP Đặc biệt, chương này đã đi sâu vào giao thức IPSec, là giao thức được sử dụng cho mạng IP-VPN Và IP-VPN cũng là mạng mà luận văn này đề cập tới Các thuật toán mã hoá, toàn vẹn dữ liệu, nhận thực và quản lý khoá được trình bày khá chi tiết trong chương này

Chương 3, thực hiện mô phỏng đường hầm IP-VPN site-to-site sử dụng giao

thức bảo mật IPSec Dùng lệnh ping để kiểm tra đường đi của gói tin đồng thời thực hiện bắt gói tin trên đường đi và phân tích offline gói tin bắt được Qua đó đưa ra một số kết luận và tham vấn cho các khách hàng có nhu cầu sử dụng kết nối mạng VPN đồng thời khẳng định được về độ tin cậy của IPSec VPN

CHƯƠNG 1 – GIAO THỨC TCP/IP VÀ MẠNG RIÊNG ẢO

1.1 Internet

Internet là mô ̣t hê ̣ thống toàn cầu của các ma ̣ng máy tính được kết nối Các máy tính và các mạng máy tính trao đ ổi thông tin sử dụng giao thức TCP /IP – Transmission Control Protocol /Internet Protocol để liên lạc với nhau Các máy tính được kết nối nhờ mạng viễn thông và Internet có thể được sử dụng để gửi nhâ ̣n thư điê ̣n tử (email), truyền nhâ ̣n các tâ ̣p tin và truy câ ̣p thông tin trên ma ̣ng toàn cầu

1.2 Giao thư ́ c TCP/IP

Giao thức TCP/IP trở thành giao thức mạng phổ biến nhất nhờ sự phát triển không ngừng của mạng Internet Các mạng máy tính của các cơ quan, tổ chức, công ty hầu hết đều sử dụng TCP/IP làm giao thức mạng nhờ tính dễ mở rộng và qui hoạch của nó Đồng thời, do sự phát triển của mạng Internet nên nhu cầu kết nối ra Internet và sử dụng TCP/IP đã trở nên thiết yếu cho mọi đối tượng

Sự ra đời của họ giao thức TCP/IP gắn liền với sự ra đời của Internet mà tiền thân là mạng ARPAnet (Advanced Research Projects Agency) do Bộ Quốc phòng Mỹ tạo ra Đây là bộ giao thức được dùng rộng rãi nhất vì tính mở của nó Điều đó có nghĩa là bất cứ máy nào dùng bộ giao thức TCP/IP đều có thể nối được vào Internet Hai giao thức được dùng chủ yếu ở đây là TCP (Transmission Control Protocol) và IP (Internet Protocol) Chúng đã nhanh chóng được đón nhận và phát triển bởi nhiều nhà nghiên cứu và các hãng công nghiệp máy tính với mục đích xây dựng và phát triển một mạng truyền thông mở rộng khắp thế giới mà ngày nay chúng ta gọi là Internet Phạm vi phục vụ của Internet không còn dành cho quân sự như ARPAnet nữa mà nó đã mở rộng lĩnh vực cho mọi loại đối tượng sử dụng, trong đó tỷ lệ quan trọng nhất vẫn thuộc về giới nghiên cứu khoa học và giáo dục

Khái niệm giao thức (protocol) là một khái niệm cơ bản của mạng thông tin máy tính Có thể hiểu một cách khái quát rằng đó chính là tập hợp tất cả các qui tắc cần thiết (các thủ tục, các khuôn dạng dữ liệu, các cơ chế phụ trợ ) cho phép các thao tác trao đổi thông tin trên mạng được thực hiện một cách chính xác và

an toàn Có rất nhiều họ giao thức đang được thực hiện trên mạng thông tin máy tính hiện nay như IEEE 802.X dùng trong mạng cục bộ, CCITT X25 dùng cho mạng diện rộng và đặc biệt là họ giao thức chuẩn của ISO (tổ chức tiêu chuẩn

hóa quốc tế) dựa trên mô hình tham chiếu bảy tầng cho việc nối kết các hệ thống

mở Gần đây, do sự xâm nhập của Internet vào Việt nam, chúng ta được làm quen với họ giao thức mới là TCP/IP mặc dù chúng đã xuất hiện từ hơn 20 năm trước đây

TCP/IP - Transmission Control Protocol/ Internet Protocol là một họ giao thức cùng làm việc với nhau để cung cấp phương tiện truyền thông liên mạng được hình thành từ những năm 70

Đến năm 1981, TCP/IP phiên bản 4 mới hoàn tất và được phổ biến rộng rãi cho toàn bộ những máy tính sử dụng hệ điều hành UNIX Sau này Microsoft cũng đã đưa TCP/IP trở thành một trong những giao thức căn bản của hệ điều hành Windows 9x mà hiện nay đang sử dụng Đến năm 1994, một bản thảo của phiên bản IPv6 được hình thành với sự cộng tác của nhiều nhà khoa học thuộc các tổ chức Internet trên thế giới để cải tiến những hạn chế của IPv4

Khác với mô hình ISO/OSI tầng liên mạng sử dụng giao thức kết nối mạng

"không liên kết" (connectionless) IP, tạo thành hạt nhân hoạt động của Internet Cùng với các thuật toán định tuyến RIP, OSPF, BGP, tầng liên mạng IP cho phép kết nối một cách mềm dẻo và linh hoạt các loại mạng "vật lý" khác nhau như: Ethernet, Token Ring , X.25 Giao thức trao đổi dữ liệu "có liên kết" (connection - oriented) TCP được sử dụng ở tầng vận chuyển để đảm bảo tính chính xác và tin cậy việc trao đổi dữ liệu dựa trên kiến trúc kết nối "không liên kết" ở tầng liên mạng IP

Các giao thức hỗ trợ ứng dụng phổ biến như truy nhập từ xa (telnet), chuyển tệp (FTP), dịch vụ World Wide Web (HTTP), thư điện tử (SMTP), dịch vụ tên miền (DNS) ngày càng được cài đặt phổ biến như những bộ phận cấu thành của các hệ điều hành thông dụng như UNIX (và các hệ điều hành chuyên dụng cùng

họ của các nhà cung cấp thiết bị tính toán như AIX của IBM, SINIX của Siemens, Digital UNIX của DEC), Windows9x/NT, Novell Netware,

Hình 1.1 Mô hình OSI và mô hình kiến trúc TCP/IP

Như vậy, TCP tương ứng với lớp 4 cộng thêm một số chức năng của lớp 5 trong họ giao thức chuẩn ISO/OSI Còn IP tương ứng với lớp 3 của mô hình OSI Trong cấu trúc bốn lớp của TCP/IP, khi dữ liệu truyền từ lớp ứng dụng cho đến lớp vật lý, mỗi lớp đều cộng thêm vào phần điều khiển của mình để đảm bảo cho việc truyền dữ liệu được chính xác Mỗi thông tin điều khiển này được gọi

là một header và được đặt ở trước phần dữ liệu được truyền Mỗi lớp xem tất cả các thông tin mà nó nhận được từ lớp trên là dữ liệu, và đặt phần thông tin điều khiển header của nó vào trước phần thông tin này Việc cộng thêm vào các header ở mỗi lớp trong quá trình truyền tin được gọi là encapsulation Quá trình nhận dữ liệu diễn ra theo chiều ngược lại: mỗi lớp sẽ tách ra phần header trước khi truyền dữ liệu lên lớp trên

Mỗi lớp có một cấu trúc dữ liệu riêng, độc lập với cấu trúc dữ liệu được dùng

ở lớp trên hay lớp dưới của nó Sau đây là giải thích một số khái niệm thường gặp Stream là luồng s ố liệu được truyền trên cơ sở đơn vị là Byte Số liệu được trao đổi giữa các ứng dụng dùng TCP được gọi là stream, trong khi dùng UDP, chúng được gọi là message

Mỗi gói số liệu TCP được gọi là segment còn UDP định nghĩa cấu trúc dữ liệu của nó là packet Lớp Internet xem tất cả các dữ liệu như là các khối và gọi

là datagram Bộ giao thức TCP/IP có thể dùng nhiều kiểu khác nhau của lớp mạng dưới cùng, mỗi loại có thể có một thuật ngữ khác nhau để truyền dữ liệu

Phần lớn các mạng kết cấu phần dữ liệu truyền đi dưới dạng các packets hay

là các frames

Hình 1.2 Cấu trúc dữ liệu tại các lớp của TCP/IP

1.2.1 Lơ ́ p Truy nhâ ̣p ma ̣ng

Lớp Truy nhập mạng/Network Access Layer là lớp thấp nhất trong cấu trúc phân bậc của TCP/IP Những giao thức ở lớp này cung cấp cho hệ thống phương thức để truyền dữ liệu trên các tầng vật lý khác nhau của mạng Nó định nghĩa cách thức truyền các khối dữ liệu (datagram) IP Các giao thức ở lớp này phải biết chi tiết các phần cấu trúc vật lý mạng ở dưới nó (bao gồm cấu trúc gói số liệu, cấu trúc địa chỉ ) để định dạng được chính xác các gói dữ liệu sẽ được truyền trong từng loại mạng cụ thể

So sánh với cấu trúc OSI/OSI, lớp này của TCP/IP tương đương với hai lớp Datalink, và Physical Chức năng định dạng dữ liệu sẽ được truyền ở lớp này bao gồm việc nhúng các gói dữ liệu IP vào các frame sẽ được truyền trên mạng

và việc ánh xạ các địa chỉ IP vào địa chỉ vật lý được dùng cho mạng

1.2.2 Lơ ́ p Liên mạng

Lớp Liên mạng/Internet Layer là lớp ở ngay trên lớp Network Access trong cấu trúc phân lớp của TCP/IP Internet Protocol là giao thức trung tâm của TCP/IP và là phần quan trọng nhất của lớp Internet IP cung cấp các gói lưu chuyển cơ bản mà thông qua đó các mạng dùng TCP/IP được xây dựng

1.2.3 Lơ ́ p Giao vâ ̣n

Trách nhiệm của tầng giao vận là kết hợp các khả năng truyền thông điệp

trực tiếp (end-to-end) không phụ thuộc vào mạng bên dưới, kèm theo kiểm soát lỗi (error control), phân mảnh (fragmentation) và điều khiển lưu lượng Việc

truyền thông điệp trực tiếp hay kết nối các ứng dụng tại tầng giao vận có thể được phân loại như sau:

 Định hướng kết nối (connection-oriented), ví dụ TCP

 Phi kết nối (connectionless), ví dụ UDP

Tầng giao vận có thể được xem như một cơ chế vận chuyển thông thường, nghĩa là trách nhiệm của một phương tiện vận tải là đảm bảo rằng hàng hóa/hành khách của nó đến đích an toàn và đầy đủ Tầng giao vận cung cấp dịch

vụ kết nối các ứng dụng với nhau thông qua việc sử dụng các cổng TCP và

UDP Do IP chỉ cung cấp dịch vụ phát chuyển nỗ lực tối đa (best effort

delivery), tầng giao vận là tầng đâu tiên giải quyết vấn đề độ tin cậy

Ví dụ, TCP là một giao thức định hướng kết nối Nó giải quyết nhiều vấn đề

độ tin cậy để cung cấp một dòng byte đáng tin cậy (reliable byte stream):

 Dữ liệu đến đích đúng thứ tự

 Sửa lỗi dữ liệu ở mức độ tối thiểu

 Dữ liệu trùng lặp bị loại bỏ

 Các gói tin bị thất lạc/loại bỏ được gửi lại

 Có kiểm soát tắc nghẽn giao thông dữ liệu

1.2.4 Lơ ́ p Ứng du ̣ng

Tầng ứng dụng là nơi các chương trình mạng thường dùng nhất làm việc nhằm liên lạc giữa các nút trong một mạng Giao tiếp xảy ra trong tầng này là tùy theo các ứng dụng cụ thể và dữ liệu được truyền từ chương trình, trong định dạng được sử dụng nội bộ bởi ứng dụng này, và được đóng gói theo một giao thức tầng giao vận

Do bộ giao thức TCP/IP không có tầng nào nằm giữa ứng dụng và các tầng giao vận, tầng ứng dụng trong bộ TCP/IP phải bao gồm các giao thức hoạt động như các giao thức tại tầng trình diễn và tầng phiên của mô hình OSI Việc này thường được thực hiện qua các thư viện lập trình

Dữ liệu thực để gửi qua mạng được truyền cho tầng ứng dụng, nơi nó được đóng gói theo giao thức tầng ứng dụng Từ đó, dữ liệu được truyền xuống giao thức tầng thấp tại tầng giao vận

Hai giao thức tầng thấp thông dụng nhất là TCP và UDP Mỗi ứng dụng sử dụng dịch vụ của một trong hai giao thức trên đều cần có cổng Hầu hết các ứng dụng thông dụng có các cổng đặc biệt được cấp sẵn cho các chương trình phục

vụ (server)(HTTP - Giao thức truyền siêu văn bản dùng cổng 80; FTP - Giao thức truyền tệp dùng cổng 21, v.v ) trong khi các trình khách (client) sử dụng các cổng tạm thời (ephemeral port)

1.2.5 Nhận xét

Khi mạng Internet xuất hiện cũng đồng nghĩa với rất nhiều các ứng dụng đa phương tiện khác phát triển theo Trong các ứng dụng chạy trên nền tảng bộ giao thức TCP/IP như Video Conferencing, FTP hay Webmail Thì bên cạnh đó một ứng dụng đã ngày càng được biết đến, được ứng dụng rộng rãi đó là mạng riêng ảo/VPN-Virtual Private Network VPN đã mang lại nhiều lợi ích cho nhiều doanh nghiệp, nhiều tổ chức thông qua sự tiện lợi, dễ dùng, rất bảo mật và đặc biệt là rất tiết kiệm chi phí của nó Chúng ta có thể tìm hiểu chi tiết hơn về mạng riêng ảo tại mục 1.3 dưới đây

1.3 Tổng quan về Ma ̣ng Riêng Ảo

Thuật ngữ Mạng Riêng Ảo/Virtual Private Network hay VPN là một công nghệ đã được ứng dụng rất phổ biến hiện nay Nhiều doanh nghiệp đã tận dụng được cơ sở hạ tầng mạng Internet sẵn có để triển khai mạng VPN và phát triển nhiều ứng dụng khác nhau trên nền tảng VPN này

1.3.1 Khái niệm

Mạng Riêng Ảo được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ

Hình 1.3 Mô hình mạng riêng ảo

1.3.2 Tính năng va ̀ ưu điểm của mạng riêng ảo

1.3.2.1 Các tính năng của mạng riêng ảo

Mạng riêng ảo hỗ trợ các tính năng sau: tính xác thực, tính toàn vẹn và tính bảo mật

Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía phải

xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác

Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền và trao đổi dữ liê ̣u

Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền

qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Vì như vậy không ai

có thể đọc được thông tin khi cố tình xâm nhập và bắt gói tin

1.3.2.2 Ưu điểm của mạng riêng ảo

Mạng riêng ảo mang lại lợi ích thực sự cho các doanh nghiệp Mạng riêng

ảo không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng di động, mở rộng đến từng văn phòng, chi nhánh, mà còn có thể triển khai mạng riêng ảo Extranet đến tận khách hàng và các đối tác quan trọng Những lợi lợi thực sự mà mạng riêng ảo mang lại như: Tính tiết kiệm chi phí, tính mềm dẻo, khả năng mở rộng cùng nhiều ưu điểm khác

Tính tiết kiệm chi phí: VPN có thể giúp các doanh nghiệp tiết kiệm từ 50% -

70% chi phí đầu tư vào các kết nối leased line và remote access truyền thống, giảm đáng kể các chi phí đầu tư cho hạ tầng truyền thông và chi phí hàng tháng đối với các kết nối site to site

Tính linh hoạt: Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận

hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sử dụng kết hợp với các công nghệ sẵn có và cơ sở hạ tầng mạng của doanh nghiệp trước đó

Khả năng mở rộng: Mạng VPN được xây dựng dựa trên cơ sở hạ tầng mạng

công cộng Vì thế với bất kỳ doanh nghiệp nào có nhiều chi nhánh ở xa nhau mà muốn kết nối với nhau sử dụng công nghệ mạng riêng ảo thì điều cần và đủ là các chi nhánh được kết nối tới mạng Internet

Tính bảo mật: Mạng riêng ảo cung cấp chế độ bảo mật cao nhất nhờ các cơ chế

mã hóa trên nền tảng mạng riêng ảo (mã hóa, xác nhận truy cập và bảo mật hệ thống) Quản lý các kết nối dễ dạng thông qua tên và mật khẩu truy cập vào hệ thống mạng riêng ảo trong mạng nội bộ

1.3.3 Mô ̣t số loa ̣i ma ̣ng riêng ảo

Dựa vào cộng nghệ hoặc dựa vào mô hình, cấu trúc của từng tổ chức mà có thể phân loại mạng riêng ảo thành các loại khác nhau Và nếu dựa vào kiến trúc của doanh nghiệp chúng ta có thể phân loại mạng riêng ảo thành ba loại sau:

- Mạng riêng ảo truy nhập từ xa (Remote Access VPN)

- Mạng riêng ảo cục bộ (Intranet VPN)

- Mạng riêng ảo mở rộng (Extranet VPN)

1.3.3.1 Mạng riêng ảo truy nhâ ̣p từ xa

Các mạng riêng ảo truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của công ty Vì thế khi nhân viên đi công tác xa tại bất

cứ đâu đều có thể truy nhập vào mạng của công ty bất cứ lúc nào, có thể nói đây

là một sự tiện lợi rất riêng của mạng riêng ảo truy nhập từ xa Mạng riêng ảo

truy nhập từ xa hay cũng được gọi là Mạng quay số riêng ảo (Virtual Private

Dial-up Network) hay VPDN, đây là dạng kết nối User-to-Lan áp dụng cho các

công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa và bằng các thiết bị khác nhau

Khi VPN được triển khai, các nhân viên chỉ việc kết nối Internet thông qua các ISPs và sử dụng các phần mềm VPN phía khách để truy cập mạng công ty của họ Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thương mại Các Truy Cập từ xa VPN đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (third-party) Với Truy cập từ xa VPN, các nhân viên di động và nhân viên làm việc ở nhà chỉ phải trả chi phí cho cuộc gọi nội bộ

để kết nối tới ISP và kết nối tới mạng riêng của công ty, tổ chức Các thiết bị phía máy chủ VPN có thể là Cisco Routers, PIX Firewalls hoặc VPN Concentrators, phía client là các phần mềm VPN hoặc Cisco Routers

Hình 1.4 Mô hình truy nhập từ xa – nhân viên di động

1.3.3.2 Mạng riêng ảo nội bô ̣

Các mạng riêng ảo nội bộ đƣợc sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một doanh nghiệp Mạng riêng ảo liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng mạng công cộng Internet sẵn có và các kết nối đƣợc mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn vào các nguồn dữ liệu tại trụ sở chính

Nhƣợc điểm:

 Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công cộng-Internet-và những nguy cơ tấn công, nhƣ tấn công bằng từ chối dịch

vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin

 Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao

 Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet

 Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo

1.3.3.3 Mạng riêng ảo mơ ̉ rô ̣ng

Khi một công ty có một mối quan hệ mật thiết với một công ty khác (ví dụ như: một đối tác, nhà hỗ trợ hay khách hàng), họ có thể xây dựng một mạng extranet VPN để kết nối kiểu mạng Lan với mạng LAN và cho phép các công ty đó có thể làm việc trong một môi trường có chia sẻ tài nguyên

Hình 1.6 Mô hình mạng VPN mở rộng

Ưu điểm:

 Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức.- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.- Dễ dàng triển khai, quản lý và chỉnh sữa thông tin

Nhược điểm:

 Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

 Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

 Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp

 Do dựa trên Internet, chất lượng dịch vụ - QoS(Quality of Service) cũng không được bảo đảm thường xuyên

1.4 Kết luận

Chương này đã giới thiệu về các vấn đề cơ bản của mạng Internet, bộ giao thức TCP/IP, các phân lớp trong mô hình Và đặc biệt đưa ra mô hình so sánh giữa TCP/IP và IOS Tổng quan về mạng riêng ảo, các loại mạng riêng ảo, ưu điểm cũng như nhược điểm của từng loại mạng riêng ảo Các tính năng của nó đồng thời chúng ta cũng quan tâm tới khả năng bảo mật của mạng riêng ảo Và

để chi tiết hơn về các giao thức bảo mật của mạng riêng ảo chúng ta cùng đi tới chương 2 để nghiên cứu xem khả năng bảo mật của mạng riêng ảo của gì đa dạng, phức tạp và các giao thức trong mạng riêng ảo được vận sụng như thế nào

CHƯƠNG 2 - BẢO MẬT TRONG MẠNG RIÊNG ẢO

2.1 Khái niệm bảo mật

Thế nào là bảo mật thông tin

Thông tin là một loại tài sản cũng giống như các tài sản khác của một doanh nghiệp Thông tin có một giá trị đặc biệt trong hầu hết tất cả mọi hoạt động, vì vậy thông tin cần phải được bảo vệ thích hợp Bảo vệ thông tin khỏi sự “mất cắp” cũng chính là bảo vệ sự phát triển liên tục và bền vững của doanh nghiệp Đảm bảo cho doanh nghiệp tối thiểu hóa được các thiệt hại khi có rủi ro xẩy ra, đồng thời tối đa được các lợi nhuận thu được từ các hoạt động kinh doanh

Thông tin có thể được lưu trữ ở dưới nhiều dạng khác nhau như in viết trên giấy, trên ổ cứng máy vi tính, trên film hoặc thông qua các cuộc đàm thoại,… Bất kể thông tin tồn tại dưới dạng nào, khi thông tin được lưu trữ , được chia sẻ thì chúng phải được bảo mật một cách phù hợp

Bảo mật thông tin nhằm mục đích

Thông tin tin cậy: Đảm bảo thông tin chỉ được truy xuất bởi những người có chức năng

Thông tin trung thực: Đảm bảo các phương pháp xử lý thông tin chính xác, an toàn và trọn vẹn

Thông tin sẵn sàn: Đảm bảo những người có chức năng có thể truy cập thông tin mọi lúc, mọi nơi khi có yêu cầu

Bảo mật thông tin chỉ mang lại lợi ích thiết thực khi chúng ta xây dựng một qui trình kiểm soát chặc chẽ và hoàn chỉnh bao gồm các chính sách, các thủ tục,

cơ cấu tổ chức… Các qui trình này phải được xây dựng đáp ứng được nhu cầu bảo mật cho từng đối tượng cụ thể

Tại sao cần bảo mật thông tin

Thông tin cũng giống như các tài sản khác như hệ thống máy tính, thiết bị sản xuất, văn phòng, nhà xưởng,… là những tài sản quan trọng của doanh nghiệp Thông tin trung thực, tin cậy và sẵn sàn là những yếu tố cần thiết để duy trì khả năng cạnh tranh, khả năng thu lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp Thông tin có thể bị mất cấp từ nhiều nguyên nhân khác nhau như: hệ thống máy tính bị hư, động đất, lũ lụt, sống thần, tình báo công nghiệp,…Bên cạnh đó còn có những nguyên nhân khác như : hệ thống máy tính

bị virus tấn công, bị hacker tấn công

Nhiều hệ thống thông tin chưa được chú trọng đến công tác bảo mật Điều này rất nguy hiểm Việc bảo mật hệ thống thông tin có hiệu quả khi kết hợp chặc chẽ giữa các biện pháp kỹ thuật với các biện pháp quản lý hành chính Phải xác định được cái gì, nơi nào cần được bảo mật Ai tham gia vào thực hiện quá trình bảo mật này? Đồng thời cần phải tham khảo thêm ý kiến của các công ty tư vấn bên ngoài như thế nào? Xây dựng hệ thống bảo mật thông tin sẽ hiệu quả hơn nếu có sự kết hợp chặt chẽ trong giai đoạn thiết kế, thiết lập

và tách gói PPP, giao thức này cho phép PPTP trở nên mềm dẻo hơn trong việc

xử lý các giao thức khác không phải IP như: IPX

Vì giao thức PPTP hoạt động dựa trên giao thức PPP (giao thức điểm – điểm) do đó nó cũng sử dụng PAP, CHAP để xác thực PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point Encryption) để sử dụng cho PPTP Một ưu điểm của PPTP được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói

IP trong đường hầm

2.2.2 Các cơ chế làm việc của PPTP

hóa

Giải thuật xác thực

Bọc gói tin định tuyến

Hình 2.1 Mô hình PPTP

Giao thức PPP và PPTP

Giao thức PPP đã trở thành giao thức quay số truy cập vào Internet và các

mạng TCP/IP rất phổ biến hiện nay, giao thức PPP làm việc ở lớp liên kết dữ

liệu trong mô hình OSI, nó bao gồm các phương thức đóng gói, tách gói cho các

loại gói dữ liệu khác nhau để truyền nối tiếp Hơn nữa, PPP định nghĩa hai bộ

giao thức: giao thức điều khiển liên kết - LCP (Link Control Protocol) cho việc

thiết lập, cấu hình và kiểm tra kết nối; Giao thức điều khiển mạng NCP

(Network Control Protocol) cho việc thiết lập và cấu hình các giao thức lớp

mạng khác nhau Giao thức PPP có thể đóng các gói IP, IPX, NETBEUI và

truyền đi trên kết nối điểm-điểm từ máy gửi đến máy nhận Để việc truyền thông

có thể diễn ra thì mỗi PPP phải gửi gói LCP để kiểm tra cấu hình và kiểm tra

liên kết dữ liệu Khi một kết nối PPP được thiết lập thì người dùng thường đã

được xác thực Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn

được cung cấp bởi các ISP Việc xác thực được thực hiện bởi PAP hay CHAP

Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và

không có bảo mật để tránh khỏi bị tấn công CHAP là một phương thức xác thực

mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều CHAP chống lại các vụ

tấn công phát lại bằng cách sử dụng các giá trị “challenge value” duy nhất và

không thể đoán trước được CHAP phát ra giá trị thách đố trong suốt và sau khi

thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình

thế bị tấn công PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa

khách hàng và máy chủ truy cập mạng PPTP sử dụng PPP để thực hiện các

chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người dùng

- Tạo các gói dữ liệu PPP

Sau khi giao thức PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói: Gói điều khiển; Gói dữ liệu và gán chúng vào 2 kênh riêng là kênh điều khiển và kênh dữ liệu Sau đó PPTP phân tách các kênh điều khiển và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng để trưyền thông báo điều khiển Các gói

dữ liệu là dữ liệu thông thường của người dùng Các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa máy khách PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa máy khách PPTP và máy chủ PPTP Phần mềm client có thể nằm ở máy người dùng từ xa hay nằm ở tại máy chủ của ISP

Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa máy khách và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm Giao thức PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường truyền trong gói tin để biết gói dữ liệu được truyền trong đường hầm theo phương thức nào, Ethernet, Frame Relay hay kết nối PPP

Môi trường truyền IP GRE PPP PPP Payload

Hình 2.2 Gói tin PPTP

Giao thức đường hầm điểm – điểm PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói

Trường gói tin của PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói

khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu Dưới đây là trường của gói tin PPTP

Hình 2.3 Trường gói tin PPTP

Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo

ra khung PPP Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE

Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit

- Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường nhận dạng cuộc gọi 16 bit Trường nhận dạng cuộc gọi Call ID được thiết lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP

- Một trường xác nhận dài 32 bit được thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết

dữ liệu trong mô hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu

đề (Header) và phần kết thúc (Trailer) của lớp liên kết dữ liệu Ví dụ, Nếu IP datagram được gửi qua giao diện Ethernet thì sẽ được đóng gói với phần Header

và Trailer Ethernet Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói với phần Header và Trailer của giao thức PPP Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ thực hiện các bước xử lý:

- Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu

- Xử lý và loại bỏ IP Header

- Xử lý và loại bỏ GRE Header và PPP Header

- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết

- Xử lý phần dữ liệu để nhận hoặc chuyển tiếp

- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN)

sử dụng NDIS (Network Driver Interface specification)

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và cung cấp PPP header Phần mào đầu PPP này chỉ bao gồm trường mã số giao thức PPP (PPP protocol ID field), không có các trường flag và FCS (frame check sequence) Giả định trưòng địa chỉ và điều khiển đã được thoả thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần mào đầu GRE Trong GRE header, trường Call ID đựoc đặt giá trị thích hợp để xác định đường hầm

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử dụng NDIS

- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số

Đường hầm: Giao thức PPTP cho phép người dùng và nhà cung cấp dịch vụ

ISP có thể tạo ra nhiều loại đuờng hầm khác nhau Người dùng có thể tự ấn định điểm kết thúc của đường hầm ở ngay tại máy tính của mình nếu có cài phần mềm PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP) Có hai lớp đường hầm: Đường hầm tự nguyện và đường hầm bắt buộc Đường hầm

tự nguyện: được tạo ra theo yêu cầu của người dùng Khi sử dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình thường Đường hầm tự nguyện thường được sử dụng để cung cấp tính riêng tư

và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet

Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ truy cập từ xa Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông qua RAS Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đường hầm tự nguyện Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và được các site trong VPN mà thôi)

Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểm kết nối Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng nằm ngoài đường hầm nên dễ bị tấn công Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng và tính cước dựa vào

số điện thoại, các phương thức xác thực khác như thẻ bài (token) hay thẻ thông minh (smart card)

Dịch vụ xác thực người dùng quay số vào từ xa (Remote Authentication Dial In User Service - RADIUS): Dịch vụ xác thực người dùng quay số vào từ

xa sử dụng kiểu máy khách/máy chủ để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các người dùng trong các phiên làm việc RADIUS client/server sử dụng máy chủ truy cập mạng NAS để quản lý kết nối người dùng Ngoài chức năng của máy chủ truy cập mạng nó còn có một số chức năng cho RADIUS client NAS sẽ nhận dạng người dùng, thông in về mật khẩu rồi chuyển đến máy chủ RADIUS Máy chủ RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho NAS để cung cấp dịch vụ cho người dùng RADIUS tạo một cơ sở dữ liệu tập trung về người dùng, các loại dịch vụ sẵn có, một dải modem đa chủng loại Trong RADIUS thông tin người dùng được lưu trong máy chủ RADIUS

RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng cho mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay đổi dữ liệu người dùng Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người dùng từ máy chủ RADIUS Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó cần phải lưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng

Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và cấp quyền: Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm và cố gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm Xác thực tại hai đầu của đường hầm Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều khiển tiến trình truy cập mạng Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ thuộc cách RADIUS trả lời xác thực Tuỳ chọn thứ ba có

độ tin cậy cao và làm việc tốt nếu như sử dụng máy chủ Proxy RADIUS

Xác thực và mã hoá: Các máy khách PPTP được xác thực cũng tương tự như

các máy khách RAS được xác thực từ máy chủ PPP Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người dùng PAP và CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu xa và tại máy cục bộ Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu sẽ thay đổi Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khác nhau cho những người dùng khác nhau tại cùng một máy tính ở xa Bởi vì khi cấp quyền đã được gán cho một máy tính thì mọi người dùng tại máy tính đó đều có đặc quyền truy cập mạng như nhau

Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft – MPPE (Microsoft point-to-Point Encryption) Phương thức này dựa trên chuẩn RSA RC4, giao thức điều khiển nén CCP (Compression Control Protocol) được

sử dụng bởi PPP để thoả hiệp việc mã hoá MS-CHAP được dùng để kiểm tra tính hợp lý người dùng đầu cuối tại tên miền Windows NT Một khoá luân phiên

40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ có thể cài đặt một phần mềm nâng cấp lên 128 bit MPPE mã hoá các gói PPP tại client trước khi chuyển chúng vào đường hầm PPTP nên các gói được bảo mật từ trạm làm việc đến máy chủ PPTP Việc thay đổi khoá phiên có thể được thoả thuận lại sau mỗi gói hay sau một số gói

Đường hầm LAN-LAN: Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho

việc quay số kết nối vào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN không được hỗ trợ Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truy cập từ xa (Routing and Remote Access Server) cho

NT server 4.0 thì mới hỗ trợ đường hầm kết nối LAN-LAN Kể từ đó các nhà cung cấp khác cũng đã cung cấp các máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN

Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên, do kiến trúc PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều khiển bởi CHAP hoặc thông qua MS-CHAP Để tạo đường hầm giữa hai site, máy chủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia Khi đó máy chủ PPTP trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại,

do đó một đường hầm tự nguyện được tạo ra giữa hai site

LAN_01 LAN_02

Đường hầm

Hình 2.4 Đường hầm kết nối LAN-LAN

Do đường hầm PPTP có thể được hỗ trợ đóng gói bởi bất kỳ giao thức mạng nào

hỗ trợ như: IP, IPX, NETBEUI, người dùng tại một site có thể truy cập vào tài nguyên tại site kia dựa trên quyền truy cập của họ Điều này có nghĩa là cần phải

có site quản lý để đảm bảo người dùng tại một site có quyền truy cập vào site kia Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết lập một mối quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vào tài nguyên của các site

2.2.3 Hoạt động của PPTP

Có thể nói để có một mạng riêng ảo được thiết kế theo công nghệ thì hệ thống cần có: một máy chủ truy cập mạng dùng cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, và máy khách được cài đặt PPTP Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người của công ty quản lý nhưng NAS phải do ISP hỗ trợ

Máy chủ PPTP: Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò

là điểm kết nối của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địa chỉ mạng của máy tính đích Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào Internet , mạng riêng hay cả hai Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như máy chủ PPTP nằm sau tường lửa PPTP được thiết kế sau cho chỉ có một cổng TCP/IP (1723) được sử dụng để chuyển dữ liệu đi Sự khiếm khuyết của cấu hình cổng này có thể làm cho tường lửa dễ bị tấn công hơn Nếu như tường lửa được cấu hình để lọc gói thì phải thiét lập nó cho phép GRE đi qua Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng tương tự máy chủ PPTP được gọi là chuyển mạch đường hầm Mục đích của chuyển mạch

đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rông đường hầm từ mạng của ISP đến mạng riêng Chuển mạch đường hầm có thể được sử dụng tại tường lửa làm tăng khả năng quản lý truy cập từ xa vào tài nguyên của mạng nội bộ, nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP hoặc tên của người dùng từ xa

Phần mềm dành cho máy khách của PPTP: Nếu như các thiết bị của ISP đã

hỗ trợ PPTP thì không cần phần cứng hay phần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn Nếu như các thiết bị của ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự) vẫn có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở client Client PPTP đã có sẵn ở Win

NT, Win 9x và các hệ điều hành sau này Khi chọn client PPTP cần phẩi so sánh các chức năng của nó với máy chủ PPTP đã có Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu công cụ này thì không thể tận dụng được ưu điểm mã hoá trong RRAS

Máy chủ truy cập mạng RAS: Máy chủ truy cập mạng NAS còn có tên gọi

khác là Máy chủ truy cập từ xa (Remote Access Server) hay bộ tập trung truy cập (Access Concentrator) NAS cung cấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tính cước và có khả năng chịu đựng lỗi tại ISP POP NAS của ISP được thiết kế cho phép một số lượng lớn người dùng có thể quay

số truy cập vào cùng một lúc

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP,

để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh Trong truờng hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm, điểm kết thúc còn lại là máy chủ tại đầu mạng riêng

2.2.4 Nhận xét

Giao thức PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều

có kế hoạch thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá PPTP thích hợp cho quay số truy cập với số lượng người dùng giới hạn hơn là cho VPN kết nối LAN–LAN Một vấn đề của PPTP là xử lý xác thực quyền người dùng thông qua Windows NT hay thông qua RADIUS Máy chủ PPTP cũng qúa tải với một số lượng người dùng quay số truy cập hay một lưu lượng lớn dữ liệu trưyền qua, mà điều này là một yêu cầu của kết nối LAN – LAN Khi

sử dụng VPN PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền quản lý phải

chia sẻ cho ISP Tính bảo mật của PPTP không mạnh bằng IPSec Tuy nhiên,

quản ý bảo mật trong PPTP lại đơn giản hơn

2.3 Giao thư ́ c L2TP

2.3.1 Khái niệm

L2TP là giao thức đường hầm lớp 2, được viết tắt bởi layer 2 tunnel

protocol Giao thức đường hầm lớp 2 - L2TP là sự kết hợp giữa hai giao thức

PPTP và L2F – giao thức chuyển tiếp lớp 2 PPTP do Microsoft đưa ra còn L2F

do Cisco khởi xướng Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và

đăng ký chuẩn hoá tại IETF Giống như PPTP, L2TP là giao thức đường hầm,

nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2 Một điểm

khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho

phép nó có thể làm việc ở môi trường vật lý khác Bởi vì GRE không sử dụng

như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều

khiển trong môi trường khác Nhưng nó cũng hỗ trợ TACACS+ và RADIUS

cho việc xác thực Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi

thiết lập đường hầm, Sau đó là ở cổng nối của mạng riêng sau khi kết nối được

thiết lập

Giao thức L2TP mang đặc tính của hai giao thức PPTP và L2F Tuy nhiên,

L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F

Nó cho phép L2TP truyền thông qua nhiều môi trường khác nhau như X.25,

Frame Relay, ATM Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho

UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải

sử dụng IP làm giao thức đường hầm Một mạng ATM hay frame Relay có thể

áp dụng cho đường hầm L2TP Do L2TP là giao thức ở lớp 2 nên nó cho phép

người dùng sử dụng các giao thức điều khiển một cách mềm dẻo không chỉ là IP

mà có thể là IPX hoặc NETBEUI Cũng giống như PPTP, L2TP cũng có cơ chế

xác thực PAP, CHAP hay RADIUS Mặc dù Microsoft đã làm cho PPTP trở nên

cách chọn lựa phổ biến khi xây dựng VPN bằng cách hỗ trợ giao thức này sẵn có

trong hệ điều hành Windows nhưng công ty cũng có kế hoạch hỗ trợ thêm L2TP

trong Windows NT 4.0 và Windows 98

2.3.2 Các cơ chế làm việc của L2TP

Các thành phần chức năng của L2TP bao gồm: giao thức điểm-điểm,

đường hầm, hệ thống xác thực và mã hoá L2TP có thể sử dụng quản lý khoá để

tăng thêm độ bảo mật

PPP Giải thuật mã

hóa

Giải thuật xác thực

DOI

Quản Lý khóa Giao thức ESP

Giao thức AH

Hình 2.5 Cơ chế làm việc của L2TP

Giao thức PPP và L2TP: Hoạt động của giao thức L2TP cũng dựa trên PPP để

tạo kết nối quay số giữa máy khách và máy chủ truy cập mạng NAS L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực ban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấp nhận người dùng và sẵn sàng đóng vai trò là điểm kết thúc của đường hầm cho người dùng đó Sau khi đường hầm được thiết lập, L2TP sẽ đóng các gói PPP rồi truyền lên môi trường mà ISP gán cho đường hầm đó L2TP có thể tạo nhiều đường hầm giữa NAS của ISP và máy chủ mạng, và gán nhiều phiên làm việc cho đường hầm L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên làm việc và chèn vào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc nào?

Ta có thể thực hiện chọn và gán một phiên làm việc của người dùng vào một đường hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, với cách này cho phép gán các người dùng khác nhau vào các môi truờng đường hầm tuỳ theo chất lượng dịch vụ Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo điều khiển và thông báo dữ liệu Thông báo điều khiển có chức năng điều khiển việc thiết lập, quản lý và giải phóng phiên làm việc trên đường hầm Thông báo điều khiển cũng cho ta biết tốc độ truyền và tham số của

bộ đệm dùng để điều khiển luồng các gói PPP trong một phiên làm việc Tuy nhiên, L2TP truyền cả hai loại thông báo này trên cùng gói dữ liệu UDP và chung trên một luồng

Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSI nên trong thông báo dữ liệu L2TP bao gồm tiêu đề môi trường để chỉ ra đường hầm làm việc trong môi trường nào? Tuỳ thuộc vào ISP mà môi trường có thể là Ethernet, X.25, Frame Relay, ATM, hay liên kết PPP L2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung truy cập L2TP_ LAC (L2TP

Access Concentrator)) và máy chủ của mạng riêng (hay máy chủ mạng L2TP _LNS ( L2TP network Server) )

Cấu trúc gói dữ liệu L2TP: Thông qua giao thức lớp 2 L2TP ta xét các mức

đóng gói dữ liệu của giao thức này như dưới đây

Đóng gói L2TP Phần tải PPP ban đầu được đóng gói với một PPP header và một L2TP header

Đóng gói UDP Gói L2TP sau đó được đóng gói với một UDP header, các địa chỉ nguồn và đích được đặt bằng 1701

Đóng gói IPSec Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đóng gói với ESP IPSec header và ESP IPSec Trailer, IPSec Authentication Trailer

Đóng gói IP Gói IPSec được đóng gói với IP header chứa địa chỉ IP ngưồn và đích của VPN client và VPN server

Đóng gói lớp liên kết dữ liệu Do đường hầm L2TP hoạt động ở lớp 2 của mô hình OSI- lớp liên kết dữ liệu nên các IP datagram cuối cùng sẽ được đóng gói với phần header và trailer tương ứng với kỹ thuật ở lớp đường truyền dữ liệu của giao diện vật lý đầu ra Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet thì IPdatagram này sẽ được đóng gói với Ethernet header và Ethernet Trailer Khi các IP datagram được gửi trên đường truyền WAN điểm-tới-điểm (chẳng hạn đường dây điện thoại hay ISDN, ) thì IPdatagram được đóng gói với PPP header và PPP trailer

Giao thức IPSec hỗ trợ việc xử lý dữ liệutrong đường hầm L2TP: Khi nhận

được dữ liệu từ đường hầm L2TP trên nền IPSec, thì mày khách L2TP hay máy chủ L2TP sẽ thực hiện các bước sau:

- Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu

- Xử lý và loại bỏ IP header

- Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP header

- Dùng IPSec ESP header để giải mã phần gói đã mật mã

- Xử lý UDP header và gửi gói L2TP tới lớp L2TP

- L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đường hầm L2TP cụ thể

- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giao

thức để xử lý

Đường hầm L2TP: Giao thức lớp 2 - L2TP sử dụng những lớp đường hầm

tương tự như PPTP, tuỳ theo người dùng sử dụng là client PPP hay client L2TP

mà việc lựa chon đường hầm có thể là tự nguyện hoặc có thể là bắt buộc Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mục đích cụ thể Khi sử dụng đường hầm tự nguyện thì người dùng có thể đồng thời mở đường hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất kỳ trên Internet dựa vào giao thức TCP/IP Điểm kết thúc của đường hầm tự nguyện nằm ở máy tính người dùng Đường hầm tự nguyện thường được sử dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet thông qua mạng Internet Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từ phía nguời dùng và không cho phép người dùng lựa chọn Do đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng đầu cuối Đường hầm bắt buộc định trước điểm kết thúc, nằm ở LAC của ISP vì thế kiểu đường hầm này điều khiển truy cập tốt hơn so với đường hầm tự nguyện Nếu như vì tính bảo mật mà không cho người dùng truy cập vào Internet công cộng nhưng vẫn cho phép dùng Internet để truy nhập VPN

Ưu điểm của đường hầm bắt buộc là một đường hầm có thể hỗ trợ nhiều kết nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm việc Một khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người dùng nằm ngoài đường hầm nên đẽ bị tấn công Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm cho người dùng, nhưng điều này gây lãng phí tài nguyên mạng Có cách khác cho phép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đường hầm động Những đường hầm động này được thiết lập trong L2TP bằng cách kết nối với máy chủ RADIUS

Để RADIUS có thể điều khiển việc thiết lập một đường hầm thì nó cần phải lưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng Sử dụng máy chủ RADIUS để thiết lập đường hầm bắt buộc có một số ưu điểm như: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng Tính cước có thể dựa trên

số điện thoại hoặc các phương thức xác thực khác

Xác thực và mã hóa trong L2TP: Giao thức lớp 2 – L2TP xác thực người dùng

diễn ra trong 3 giai đoạn: Giai đoạn 1 diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 tuỳ chọn diễn ra ở máy chủ của mạng riêng Trong giai đoạn đầu, ISP sử dụng

số điện thoại của người dùng hoặc tên người dùng để xác định dịch vụ L2TP

được yêu cầu và khởi tạo kết nối đường hầm đến máy chủ mạng riêng Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đường hầm và khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủ của mạng riêng Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2

Giai đoạn 2, máy chủ của mạng riêng quyết định chấp nhận hay từ chối cuộc gói Cuộc goi từ ISP chuyển đến có thể mạng thông tin CHAP, PAP hay bất kỳ thông tin xác thực nào, máy chủ sẽ dựa vào các thông tin này để quyết định chấp nhận hay từ chối Sau khi cuộc gọi được chấp nhận thì máy chủ có thể khởi động giai đoạn thứ 3 của quá trình xác thực (tại lớp PPP), đây là giai đoạn tuỳ chọn bước này xem như máy chủ xác thực một người dùng quay số truy cập vào thẳng máy chủ Kết quả của 3 giai đoạn này cho phép người dùng, ISP và máy chủ của mạng riêng xác định được tính chính xác của cuộc gọi nhưng vẫn chưa bảo mật cho dữ liệu Để việc xác thực trong L2TP hiệu quả thì cần phải phân phối khoá Mặc dù phân phối bằng tay có thể khả thi trong một số trường hợp nhưng về cơ bản thì cần phải có một giao thức quản lý khoá

Đường hầm kết nối LAN-LAN: Trước tiên sử dụng giao thức lớp 2 - L2TP là

để quay số truy cập VPN sử dụng client PPP, nhưng L2TP cũng thích hợp cho kết nối LAN-LAN trong VPN Đường hầm kết nối LAN-LAN được thiết lập giữa hai máy chủ L2TP nhưng ít nhất một trong 2 máy chủ phải có kết nối tới ISP để khởi tạo phiên làm việc PPP Hai máy chủ đóng vai trò vừa là LAC, vừa

là LNS và có thể khởi tạo hay kết thúc đường hầm khi cần

Internet

LAN_01 LAN_02

Đường hầm

Hình 2.6 Đường hầm kết nối LAN-LAN

Quản lý khoá: Khi hai đối tượng muốn chuyển giao dữ liệu một cách bảo mật

và khả thi thì cần phải đảm bảo chắc chắn rằng cả hai bên xử lý dữ liệu như nhau Cả hai bên phải cùng sử dụng chung giải thuật mã hoá, cùng chiều dài từ khoá, cùng chung một khoá dữ liệu Điều này được xử lý thông qua bảo mật kết hợp SA

2.3.3 Hoạt động của giao thức L2TP

Chức năng chính của giao thức L2TP là quay số truy cập VPN thông qua Internet nên các thành phần của L2TP bao gồm: bộ tập trung truy cập mạng, máy chủ L2TP, và các L2TP client Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một đường hầm, LAC và LNS LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm việc của công ty còn LAC thì thường được hỗ trợ của ISP Các thành phần cơ bản của L2TP như: một máy chủ truy cập mạng dùng cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ L2TP, và máy khách được cài đặt L2TP Các máy chủ L2TP có thể đặt tại mạng của công ty và do một nhóm người của công ty quản lý nhưng NAS phải do ISP hỗ trợ

Máy chủ mạng L2TP: Máy chủ L2TP có hai chức năng chính là: đóng vai trò

là điểm kết thúc của đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng và ngược lại Máy chủ chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP để có được địa chỉ mạng của máy tính đích Không giống như máy chủ PPTP, máy chủ L2TP không có khả năng lọc các gói Chức năng lọc gói trong L2TP được thực hiện bởi tường lửa.Tuy nhiên trong thực tế, người

ta tích hợp máy chủ mạng và tường lửa Việc tích hợp này mang lại một số ưu điểm hơn so với PPTP, đó là:

- L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như trong PPTP Chương trình quản lý có thể tuỳ chọn cổng để gán cho tường lửa, điều này gây khó khăn cho kẻ tấn công khi cố gắng tấn công vào một cổng

đã biết trong khi cổng đó có thể đã thay đổi

- Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP nên việc thiết lập tường lủa sẽ đơn giản hơn Do một số tường lửa không hỗ trợ GRE nên chúng tương thích với L2TP hơn là với PPTP

Phần mềm client L2TP: Nếu như các thiết bị của nhà cung cấp dịch vụ ISP đã

hỗ trợ L2TP thì không cần phần cứng hay phần mềm nào cho các máy khách, chỉ cần kết nối chuẩn PPP là đủ Tuy nhiên, với các thiết lập trên thì không sử dụng được mã hoá của IPSec Do vậy ta nên sử dụng các client tương thích L2TP cho L2TP VPN Một số đặc điểm của phần mềm client L2TP:

- Tương thích với các thành phần khác của IPSec như: máy chủ mã hoá, giao thức chuyển khoá, giải thuật mã hoá,…

- Đưa ra một chỉ báo rõ ràng khi IPSec đang hoat động

- Hỗ trợ tải SA về

- Hàm băm (hashing) xử lý được các địa chỉ IP động

- Có cơ chế bảo mật khoá (mã hoá khoá với mật khẩu)

- Có cơ chế chuyển đổi mã hoá một cách tự động và định kỳ

- Chặn hoàn toàn các lưu lượng không IPSec

Bộ tập trung truy cập mạng: Một ISP cung cấp dịch vụ L2TP cần phải cài một

NAS cho phép L2TP để hỗ trợ cho các client L2TP chạy trên các nền khác nhau như Unix, Windows, Macintosh Các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ trợ L2TP vào máy chủ truy cập của họ, điều này đòi hỏi tất cả người dùng phải được cài đặt client L2TP tại máy của họ Điều này cho phép người dùng có thể sử dụng dịch vụ của nhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt địa lý

2.3.4 Nhận xét

Việc lựa chọn một nhà cung cấp dịch vụ L2TP có thể thay đổi tuỳ theo yêu cầu thiết kế mạng Nếu thiết kế một VPN đòi hỏi mã hoá đầu cuối-đầu cuối thì cần cài các client tương thích L2TP tại các host từ xa và thoả thuận với ISP là sẽ

xử lý mã hoá từ máy đầu xa đến tận máy chủ của mạng VPN Nếu xây dựng một mạng với múc độ bảo mật thấp hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó đi trong đường hầm trên Inernet thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữ liệu chỉ từ đoạn LAC đến LNS của mạng riêng

L2TP là một thế hệ giao thức quay số truy cập mới của VPN Nó phối hợp những đặc tính tốt nhất của PPTP và L2F Hầu hết các nhà cung cấp sản phẩm PPTP đều đưa ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạng khác như Frame Relay, ATM đã làm cho nó thêm phổ biến L2TP cho phép một lượng lớn client từ xa được kết nối vào VPN hay cho các kết nối LAN-LAN có dung lượng lớn L2TP có cơ chế điều khiển luồng để làm giảm tắc nghẽn trên đường hầm L2TP L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS Mỗi đường hầm có thể gán cho một ngưòi dùng xác định, hoặc một nhóm các người dùng và gán cho các môi trường khác nhau tuỳ theo thuộc tính chất lượng phục vụ QoS của người dùng

2.4 Giao thư ́ c IPSec

2.4.1 Khái niệm

Thuật ngữ IPSec là một từ viết tắt của Internet Protocol Security Nó có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF) Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng sẽ được bảo mật bởi vì các giao tiếp đều đi qua tầng 3 Đó là lý do tai sao IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2

Ngoài ra, với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích Bởi

vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào Cũng giống IP, IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuổi các hoạt động Liên kết an ninh IPSec/IPSec Security Associations Security Associations (SAs) là một khái niệm cơ bản của bộ giao thức IPSec SA là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec

Các giao thức xác nhận, các khóa, và các thuật toán Phương thức và các khóa cho các thuật toán xác nhận được dùng bởi các giao thức Authentication Header (AH) hay Encapsulation Security Payload (ESP) của bộ IPSec.Thuật toán mã hóa và giải mã và các khóa Thông tin liên quan khóa, như khoảng thời gian thay đổi hay khoảng thời gian làm tươi của các khóa Thông tin liên quan đến chính bản thân SA bao gồm địa chỉ nguồn SA và khoảng thời gian làm tươi

IPSec SA gồm có 3 trường:

SPI (Security Parameter Index) Đây là một trường 32 bit dùng nhận dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đang dùng SPI được mang theo như là một phần đầu của giao thức bảo mật và thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA Destination IP address Đây là địa chỉ IP của nút đích Mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast

Security protocol Phần này mô tả giao thức bảo mật IPSec, có thể là giao thức tiêu đề xác thực AH hoặc có thể là giao thức đóng gói an toàn tải tin ESP

Chú thích: Broadcasts có nghĩa cho tất cả hệ thống thuộc cùng một mạng hoặc mạng con Còn multicasts gửi đến nhiều (nhưng không phải tât cả) nút của một mạng hoặc mạng con cho sẵn Unicast có nghĩa cho 1 nút đích đơn duy nhất

Bở vì bản chất theo một chiều duy nhất của SA, cho nên 2 SA phải được định nghĩa cho hai bên thông tin đầu cuối, một cho mỗi hướng Ngoài ra, SA có thể cung cấp các dịch vụ bảo mật cho một phiên VPN được bảo vệ bởi AH hoặc ESP Do vậy, nếu một phiên cần bảo vệ kép bởi cả hai AH và ESP, 2 SA phải được định nghĩa cho mỗi hướng Việc thiết lập này của SA được gọi là SA bundle

Một IPSec SA dùng 2 cơ sở dữ liệu Security Association Database (SAD) nắm giữ thông tin liên quan đến mỗi SA Thông tin này bao gồm thuật toán khóa, thời gian sống của SA, và chuỗi số tuần tự Cơ sở dữ liệu thức hai của IPSec SA, Security Policy Database (SPD), nắm giữ thông tin về các dịch vụ bảo mật kèm theo với một danh sách thứ tự chính sách các điểm vào và ra Giống như firewall rules và packet filters, những điểm truy cập này định nghĩa lưu lượng nào được xữ lý và lưu lượng nào bị từ chối theo từng chuẩn của IPSec

IPSec hỗ trợ 3 tính năng chính bao gồm:

• Tính xác nhận và Tính nguyên vẹn dữ liệu (Authentication and data integrity) IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận Các giao thức IPSec đưa ra khả năng bảo

vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ

• Sự cẩn mật (Confidentiality) Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén

• Quản lý khóa (Key management) IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu

Hai tính năng đầu tiên của bộ IPSec, xác thực, toàn vẹn và bảo mật dữ liệu được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec Những giao thức này bao gồm: Giao thức tiêu đề xác thực/Authentication Header (AH) và và