Tìm hiểu chuyên đề giao thức bảo mật trên VPN

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng màvẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hoá dữ liệu trên đườngtruyền, tạo ra một đường ống tunnel bảo mật

lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoã mãn những yêucầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính là môhình mạng riêng ảo (Virtual Private Network – VPN) Với mô hình mới này, người ta khôngphải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật và độ tin cậy vẫn đượcđảm bảo, đồng thời có thể quản lý riêng được sự hoạt động của mạng này VPN cho phépngười sử dụng làm việc tại nhà riêng, trên đường đi hoặc các văn phòng chi nhánh có thể kếtnối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng côngcộng Nó cũng có thể đảm bảo an toàn thông tin giữa các đại lý, nhà cung cấp và các đối táckinh doanh với nhau trong môi trường truyền thông rộng lớn Trong nhiều trường hợp, VPNcũng giống như WAN (Wire Area Network), tuy nhiên đặc tính quyết định của VPN là chúng

có thể dùng mạng công cộng như Internet mà vẫn đảm bảo tính riêng tư và tiết kiệm chi phí

1.1.1 Định nghĩa VPN

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (Private Network)thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một hạtầng mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) haynhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng, mỗi VPN sửdụng các kết nối ảo được thiết lập qua Internet từ mạng riêng của các Công ty tới các chinhánh hay các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng màvẫn bảo đảm tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hoá dữ liệu trên đườngtruyền, tạo ra một đường ống (tunnel) bảo mật giữa nơi gửi và nơi nhận Để có thể tạo ra mộtđường ống bảo mật đó, dữ liệu phải được mã hoá, chỉ cung cấp phần đầu gói dữ liệu (header)

là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cáchnhanh chóng Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị xem lén trên

đường truyền công cộng thì cũng không thể đọc được nội dung vì không có khoá để giải mã.Các đường kết nối VPN thường được gọi là đường ống VPN (tunnel).

 Tính linh hoạt trong kết nối

 Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những ngườikhông có quyền truy cập

 Hỗ trợ các giao thức mạng thông dụng nhất hiện nay là TCP/IP

 Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá, do đó cácđịa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoàiInternet

1.1.3 Các chức năng cơ bản của VPN:

VPN cung cấp 4 chức năng chính:

 Sự tin cậy và bảo mật (confidentiality): Người gửi có thể mã hoá các gói dữ liệu trướckhi truyền chúng ngang qua mạng Bằng cách này, không một ai có thể truy nhậpthông tin mà không được phép, mà nếu như có lấy được thông tin thì cũng không thểđọc được vì thông tin đã được mã hoá

 Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữ liệu đượctruyền qua mạng Internet mà không có sự thay đổi nào

 Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốccủa gói dữ liệu, đảm bảo và công nhận nguồn thông tin

 Điều khiển truy nhập (Access Control): VPN có thể phân biệt giữa những người dùnghợp lệ và trái phép bằng nhiều cách như dựa vào chính sách bảo mật, sự chứng thực

1.2 VPN và các vấn đề an toàn bảo mật trên Internet

Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internet ngàycàng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo đó là vấn đềlàm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng công cộng nhưInternet Hàng năm sự rò rỉ và mất cắp thông tin, dữ liệu đã gây thiệt hại rất lớn về kinh tếtrên toàn thế giới Các tin tặc luôn tìm mọi cách để nghe trộm, đánh cắp thông tin và dữ liệunhạy cảm như: mã thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế nhạy cảm củacác tổ chức hay cá nhân

Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo mậtthông tin trên Internet như thế nào?

Câu trả lời là để các tổ chức, doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổithông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN

Thực chất, công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra mộtđường hầm (tunnel), mã hoá và chứng thực dữ liệu giữa hai đầu kết nối Các thông tin dữ liệu

sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đường hầm riêng biệt,qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin

1.2.1 An toàn và tin cậy

Sự an toàn của một hệ thống mạng là một phần trong các tiêu chí đánh giá một hệthống đáng tin cậy Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

 Tính sẵn sàng: Khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong khoảng thời gianngắn Tính sẵn sàng thường được thực hiện thông qua những hệ thống phần cứng dựphòng

 Sự tin cậy: Định nghĩa năng lực của hệ thống khi thực hiện các chức năng của nó trongmột chu kỳ thời gian Sự tin cậy khác với tính sẵn sàng, sự tin cậy tương ứng tới tínhliên tục của một dịch vụ nào đó

 Sự an toàn: Khái niệm an toàn chỉ ra tính vững chắc của một hệ thống trước các nguy

cơ tiềm ẩn, ví dụ các cuộc tấn công từ chối dịch vụ, sự xâm nhập trái phép vào hệthống thông qua các lỗ hổng bảo mật

 Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cả các tàinguyên hệ thống

Một hệ thống mạng đáng tin cậy ở mức cao nhất nghĩa là hệ thống luôn đảm bảo được

sự an toàn tại bất kỳ thời điểm nào

1.2.2 Các hình thức an toàn

Sự an toàn của hệ thống mạng phụ thuộc vào tất cả những thành phần của nó Có ba

 An toàn phần cứng: Sự an toàn về mặt vật lý, bảo vệ phần cứng của hệ thống khỏi

những mối đe doạ vật lý bên ngoài như sự phá họa làm mất mát thông tin, các sự cốliên quan đến nguồn cung cấp, các yếu tố môi trường có thể làm hỏng phần cứng Tất

cả những yếu tố trên cần phải được tính đến và thực hiện các biện pháp phòng ngừa

 An toàn thông tin: An toàn thông tin nghĩa là thông tin được bảo vệ, các hệ thống và

những dịch vụ có khả năng chống lại những tai hoạ, các lỗi và sự tác động khôngmong đợi, các thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất Hệ thống cómột trong các đặc điểm sau là không an toàn:

- Các thông tin dữ liệu trong hệ thống bị người không được quyền truy nhập tìmcách lấy và sử dụng (thông tin bị rò rỉ)

- Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thôngtin bị xáo trộn hoặc mất mát)

 An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe doạ mà con người

làm tổn hại đến một hệ thống mạng Những mối đe doạ này có thể xuất phát cả từ bênngoài lẫn bên trong của một tổ chức, doanh nghiệp

1.3 Định nghĩa “đường hầm” và “mã hoá”

Chức năng chính của một mạng riêng ảo (VPN) là cung cấp sự bảo mật thông tin bằngcách mã hoá và chứng thực qua một đường hầm (tunnel)

1.3.1 Đường hầm và cấu trúc gói tin

Cung cấp các kết nối logic, vận chuyển các gói dữ liệu đã được mã hoá bằng mộtđường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tin vì dữ liệu sau khi

mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữa người gửi và người nhận, do

đó sẽ tránh được sự nhòm ngó, xem trộm thông tin Các giao thức định đường hầm được sửdụng trong VPN như sau:

 L2F (Layer 2 Forwarding): Được Cisco phát triển

 PPTP (Point-to-Point Tunneling Protocol): Được PPTP Forum phát triển, giao thứcnày hỗ trợ mã hóa 40 bit và 128 bit

 L2TP (Layer 2 Tunneling Protocol): Là sản phẩm của sự hợp tác giữa các thành viênPPTP Forum, Cisco và IETF L2TP kết hợp các tính năng của cả PPTP và L2F

 IPSec (IP Security): Được phát triển bởi IETF Mục đích chính của việc phát triểnIPSec là cung cấp một cơ cấu bảo mật ở lớp 3 (network layer) trong mô hình OSI

 GRE (Generic Routing Encapsulation): Đây là giao thức truyền thông đóng gói IP vàcác dạng gói dữ liệu khác bên trong đường ống Giống như IPSec, GRE hoạt động ởtầng 3 của mô hình tham chiếu OSI, tuy nhiên GRE không mã hóa thông tin

1.3.2 Mã hoá và giải mã (Encryption/Decryption):

Mã hóa là quá trình biến đổi nội dung thông tin nguyên bản ở dạng đọc được (cleartext hay plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vìvậy nó không có khả năng đọc được hay khả năng sử dụng bởi những người dùng khôngđược phép Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi văn bản đã mã hoáthành dạng đọc được bởi những người dùng được phép

1.3.3 Một số thuật ngữ sử dụng trong VPN:

- Hệ thống mã hoá (CryptoSystem): Là một hệ thống để thực hiện mã hoá hay giải mã,

xác thực người dùng, băm (hashing) và các quá trình trao đổi khoá, một hệ thống mã hoá

có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào yêu cầu cho một vàiloại traffic cụ thể

- Hàm băm (hashing): Là một kỹ thuật đảm bảo tính toàn vẹn dữ liệu, nó sử dụng một

công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và một khoámật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố định Bản tin haykhoá và hash di chuyển trên mạng từ nguồn tới đích Ở nơi nhận, việc tính toán lại hashđược sử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi trong khi truyền trênmạng

- Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng hay quá

trình truy cập hệ thống máy tính hoặc kết nối mạng Xác thực đảm bảo chắc chắn rằng cánhân hay một tiến trình là hợp lệ

- Cho phép (Authorization): Là hoạt động kiểm tra thực thể nào đó có được phép thực

hiện những quyền hạn cụ thể nào

- Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy ngẫu nhiên

hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban đầu để thiết lập vàthay đổi một cách định kỳ sự hoạt động trong một hệ thống mật mã Quản lý khoá là sựgiám sát và điều khiển tiến trình nhờ các khoá được tạo ra Các công việc chính có thể làcất giữ, bảo vệ, biến đổi, tải lên, sử dụng hay loại bỏ

- Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ được tin tưởng để bảo

mật quá trình truyền tin giữa các thực thể mạng hoặc người dùng bằng cách tạo ra và gáncác chứng nhận số như các chứng nhận khoá công cộng cho mục đích mã hoá Một CAđảm bảo cho sự liên kết giữa các thành phần bảo mật trong chứng nhận

- IKE (Internet Key Exchange): Là giao thức chịu trách nhiệm trao đổi khóa giữa hai

điểm kết nối VPN IKE hỗ trợ ba kiểu xác thực là dùng khóa biết trước (pre-share key),RSA và RSA signature IKE lại dùng hai giao thức là Oakley Key Exchange (mô tả kiểutrao đổi chìa khoá) và Skeme Key Exchange (định nghĩa kỹ thuật trao đổi chìa khoá), mỗigiao thức định nghĩa một cách thức để thiết lập sự trao đổi khoá xác thực, bao gồm cấutrúc tải tin, thông tin mà các tải tin mang, thứ tự các khoá được xử lý và các khoá được sử

- AH (Authentication Header): Là giao thức bảo mật giúp xác thực dữ liệu, bảo đảm tính

toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất của gói tin)

AH được nhúng vào trong dữ liệu để bảo vệ

- ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự tin cậy

của dữ liệu, đảm bảo tính toàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu ESP đóng gói

dữ liệu để bảo vệ

1.4 Các dạng kết nối mạng riêng ảo

1.4.1 Truy cập VPN từ xa (Remote Access VPN)

Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client để truy cậpvào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất là mộtserver) Vì vậy, giải pháp này thường được gọi là client/server Trong giải pháp này, ngườidùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các tunnel về mạng trungtâm của họ

1.4.1.1 Một số thành phần chính của Remote Access VPN

 Remote Access Server (RAS): Thiết bị này được đặt tại trung tâm và có nhiệm vụ xác

thực và chứng nhận các yêu cầu gửi tới sau đó thiết lập kết nối

Hình 1.3 – Mô hình non-VPN Remote Access

 Remote Access Client: Bằng việc triển khai Remote Access VPN qua Internet, những

người dùng từ xa hoặc các văn phòng chi nhánh chỉ cần thiết lập một kết nối cục bộđến nhà cung cấp dịch vụ Internet, sau đó có thể kết nối đến tài nguyên của doanh

nghiệp thông qua Remote Access VPN Mô hình Remote Access VPN được mô tả nhưhình dưới đây:

Hình 1.4 – Mô hình Remote Access VPN

1.4.1.2 Ưu và nhược điểm của Remote Access VPN

 Ưu điểm Remote Access VPN:

- VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kếtnối từ xa do các nhà cung cấp dịch vụ Internet đảm nhiệm

- Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của VPNtruy nhập từ xa chính là các kết nối Internet

- VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợdịch vụ truy cập ở mức độ tối thiểu

 Nhược điểm của Remote Access VPN:

- Remote Access VPN cũng không đảm bảo được chất lượng dịch vụ (QoS)

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu

giữa Site-to-Site VPN và Remote Access VPN chỉ mang tính tượng trưng Nhiều thiết bịVPN mới có thể hoạt động theo cả hai cách này.

Hình 1.5 – Mô hình Site–to–Site VPN

Site-to-Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN xét theoquan điểm chính sách quản lý Nếu hạ tầng mạng có chung một nguồn quản lý, nó có thểđược xem như Intranet VPN, ngược lại, nó có thể được coi là Extranet VPN Việc truy nhậpgiữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị tương ứng

1.4.2.1 Intranet VPN

Hình 1.6 – Mô hình Intranet VPN

Intranet VPN hay còn gọi là VPN cục bộ là một mô hình tiêu biểu của Site-to-SiteVPN, dạng kết nối này được sử dụng để bảo mật các kết nối giữa địa điểm khác nhau của mộtcông ty hay doanh nghiệp Nó liên kết trụ sở chính và các văn phòng chi nhánh trên một cơ sở

hạ tầng chung sử dụng các kết nối luôn được mã hóa bảo mật Điều này cho phép tất cả cácđiểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn công ty

Intranet VPN cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tincậy và hỗ trợ nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềmdẻo

 Những ưu điểm chính của giải pháp này bao gồm:

- Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay nhiều nhàcung cấp dịch vụ Internet

- Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở xa

- Do kết nối trung gian được thực hiện thông qua Internet nên nó có thể dễ dàng thiếtlập thêm một liên kết ngang hàng mới

- Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp vớicác công nghệ chuyển mạch tốc độ cao

 Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định như:

- Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa) nên vẫn cònnhững mối đe dọa về mức độ bảo mật dữ liệu và chất lượng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị thất thoát trong khi truyền là khá cao

- Trong trường hợp cần truyền khối lượng lớn dữ liệu như đa phương tiện với yêu cầutốc độ cao và đảm bảo thời gian thực là một thách thức lớn trong môi trườngInternet

1.4.2.2 Extranet VPN (VPN mở rộng)

Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tàinguyên mạng cần thiết để mở rộng tới những đối tượng kinh doanh Sự khác nhau giữa VPNnội bộ và VPN mở rộng là sự truy nhập mạng được công nhận ở một trong hai đầu cuối củaVPN

Hình 1.7 – Mô hình Extranet VPN

 Những ưu điểm chính của VPN mở rộng bao gồm:

- Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải pháp kết nối khác để cùngđạt được một mục đích như vậy

- Dễ dàng thiết lập, bảo trì và thay đổi với mạng đang hoạt động

- Do VPN mở rộng được xây dựng dựa trên Internet nên có nhiều cơ hội trong việccung cấp dịch vụ và lựa chọn giải pháp phù hợp với nhu cầu cụ thể của từng côngty.

- Các kết nối Internet được các ISP bảo trì nên có thể giảm số lượng nhân viên kỹthuật hỗ trợ mạng, do đó sẽ giảm được chi phí vận hành của toàn mạng

 Bên cạnh những ưu điểm trên, giải pháp VPN mở rộng cũng có những nhược điểm nhấtđịnh như:

- Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi trường mở rộng như vậy,điều này làm tăng nguy cơ rủi ro đối với mạng cục bộ của công ty

- Khả năng thất thoát dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại

- Việc truyền khối lượng lớn dữ liệu với yêu cầu tốc độ cao và thời gian thực vẫn còn

là một thách thức lớn cần giải quyết

Tóm tắt chương 1

Trong chương này, chúng ta đã giới thiệu qua về các khái niệm cũng như định nghĩa

về VPN, các chức năng chính, các mô hình kết nối và lợi ích của VPN, tiếp theo là khái niệm

an toàn và bảo mật trên Internet Chương này cũng định nghĩa sơ bộ về khái niệm “đườnghầm - tunnel” và “mã hóa - encrypt” đồng thời nêu ra một số thuật ngữ thường dùng trongVPN

Phần 4 của chương đã giới thiệu một số mô hình kết nối mạng riêng ảo, đồng thờiđánh giá ưu và nhược điểm của từng mô hình kết nối

Trong chương tiếp theo, chúng ta sẽ tìm hiểu kỹ hơn các giao thức chủ yếu được sửdụng trong VPN đồng thời so sánh ưu và nhược nhược điểm của từng giao thức, qua đó cóthể căn cứ vào từng yêu cầu cụ thể để lựa chọn giải pháp xây dựng một mạng VPN thích hợp

Chương 2

CÁC GIAO THỨC TRONG VPN

Trong VPN có 4 giao thức chính để thiết lập một “mạng riêng ảo” hoàn chỉnh đó là:

 L2F - Layer 2 Forwarding Protocol

 PPTP - Point-to-Point Tunneling Protocol

 L2TP - Layer 2 Tunneling Protocol

 IPSec - IP Security

Ngoài ra còn một số giao thức khác, tuy nhiên những giao thức này ít được sử dụngbởi sự bất cập của nó đã được phát hiện trong quá trình triển khai Tuỳ theo từng lớp ứngdụng cụ thể mà mỗi giao thức đều có ưu và nhược điểm khác nhau khi triển khai vào mạngVPN, việc quan trọng là người thiết kế phải kết hợp các giao thức một cách mềm dẻo

2.1 Các giao thức đường hầm

Các giao thức đường hầm là nền tảng của công nghệ VPN, có nhiều giao thức đườnghầm khác nhau, việc sử dụng giao thức nào liên quan đến các phương pháp xác thực và mãhóa đi kèm Như đã giới thiệu ở trên, các giao thức đường hầm phổ biến hiện nay là:

 L2F - Layer 2 Forwarding Protocol

 PPTP - Point-to-Point Tunneling Protocol

 L2TP - Layer 2 Tunneling Protocol

2.1.1 Giao thức chuyển tiếp lớp 2 (L2F - Layer 2 Forwarding Protocol)

Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ thống mạngcủa Cisco dựa trên giao thức PPP - Point to Point Protocol (là một giao thức truyền thông nốitiếp lớp 2), L2F cho phép máy tính của người dùng truy nhập vào mạng Intranet của một tổchức xuyên qua cơ sở hạ tầng mạng công cộng Internet với sự an toàn cao Tương tự như giaothức định đường hầm điểm tới điểm PPTP, giao thức L2F cho phép truy nhập mạng riêng ảomột cách an toàn xuyên qua cơ sở hạ tầng mạng công cộng bằng cách tạo ra một đường hầmgiữa hai điểm kết nối

Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ IP, IPX,NetBIOS và NetBEUI, còn L2F định đường hầm không tuỳ thuộc vào mạng IP, L2F có thểlàm việc với nhiều công nghệ mạng khác nhau như: Frame Relay, ATM, FDDI

L2F hỗ trợ việc định đường hầm cho hơn một kết nối L2F có thể làm được điều nàytrong khi nó định nghĩa những kết nối bên trong đường hầm, đây là một đặc điểm hữu ích củaL2F trong trường hợp ở nơi có nhiều người sử dụng truy nhập từ xa mà chỉ có duy nhất mộtkết nối được thoả mãn yêu cầu

Internet Service Provider

Eterprise Customer L2F Tunnel Laptop

Cấu trúc gói L2F

KeyDataChecksum

Hình 2.2 – Khuôn dạng gói của L2F

Ý nghĩa các trường trong gói L2F như sau:

- F : chỉ định trường Offset có mặt

- K : chỉ định trường Key có mặt

- P : thiết lập độ ưu tiên (Priority) cho gói

- S : chỉ định trường Sequence có mặt

- Reserved : luôn được đặt là 00000000

- Version : phiên bản của L2F

- Protocol : xác định giao thức đóng gói L2F

- Sequence : số chuỗi được đưa ra nếu trong tiêu đề L2F có bit S = 1

- Multiplex ID : nhận dạng một kết nối riêng trong một đường hầm

- Client ID : giúp tách đường hầm tại những điểm cuối

- Length : chiều dài của gói (tính bằng byte) không bao gồm phần Checksum

- Offset : xác định số byte cách tiêu đề L2F, tại đó dữ liệu tải tin được bắt đầu

- Key : là một phần của quá trình xác thực (có mặt khi bit K = 1)

- Checksum : tổng kiểm tra của gói (có mặt khi bit C = 1)

- Home Gateway: ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng riêng.

- Kết nối (Connection): là một kết nối PPP trong đường hầm

- Điểm đích (Destination): là điểm kết thúc ở đầu xa của đường hầm, trong trường hợpnày thì Home Gateway chính là điểm đích

Các hoạt động của L2F bao gồm: thiết lập kết nối, định đường hầm và phiên làm việc.Các bước cụ thể như sau:

- Người sử dụng ở xa dial-up tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP

- Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (LinkControl Protocol)

- NAS sử dụng cơ sử dữ liệu cục bộ liên quan tới tên miền hay xác thực RADIUS đểquyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F

- Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ củaGateway đích

- Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa cóđường hầm nào Việc thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tớiGateway đích để chống lại tấn công bởi kẻ thứ 3

- Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài phiênPPP từ người sử dụng ở xa tới Home Gateway Kết nối này được thiết lập như sau:Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP như đãthỏa thuận bởi đầu cuối người sử dụng và NAS Home Gateway chấp nhận kết nối haythỏa thuận lại LCP và xác thực lại người sử dụng.

- Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vàotrong các khung L2F và hướng chúng vào trong đường hầm

- Tại Home Gateway, khung L2F được tách bỏ và dữ liệu đóng gói được hướng tớimạng công ty

Khi hệ thống đã thiết lập điểm đích, đường hầm và những phiên kết nối, ta phải điềukhiển và quản lý lưu lượng L2F như sau:

- Ngăn cản tạo những điểm đích, đường hầm và phiên mới

- Đóng và mở lại tất cả hay chọn lựa những điểm đích, đường hầm và phiên

- Có khả năng kiểm tra tổng UDP

- Thiết lập thời gian rỗi cho hệ thống và lưu trữ cơ sở dữ liệu của các đường hầm và kếtnối

Ưu và nhược điểm của L2F

 Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức

- Được hỗ trợ bởi nhiều nhà cung cấp

 Nhược điểm:

- Không có mã hóa

- Hạn chế trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm

2.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol)

PPTP là kết quả của sự nỗ lực chung giữa Microsoft và một loạt các nhà cung cấp thiết

bị mạng như 3Com, Ascend Communications, ECI Telematics và U.S Robotics Ban đầu,những công ty này thành lập PPTP Forum và đưa ra các thông số kỹ thuật mô tả PPTP và sau

đó được gửi đến IETF để được xem xét như là một tiêu chuẩn Internet vào năm 1996 Ýtưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy nhập từ xa, lợidung cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa và mạng riêng

mà họ được phép truy nhập Người dùng ở xa chỉ việc kết nối tới nhà cung cấp dịch vụInternet ở địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ

Tương tự giao thức L2F, giao thức PPTP (Point-to-Point Tunneling Protocol) ban đầuđược phát triển và được thiết kế để giải quyết vấn đề tạo và duy trì các đường hầm VPN trêncác mạng công cộng dựa vào TCP/IP bằng cách sử dụng PPP PPTP sử dụng giao thức đónggói định tuyến chung (GRE) được mô tả lại để đóng và tách gói PPP Giao thức này cho phépPPTP xử lý các giao thức khác không phải IP như IPX, NetBEUI một cách mềm dẻo

Internet

Network Access Server

Server

PPP Connection PPTP Connection (VPN)

Hình 2.4 – Mô hình kết nối PPTP

2.1.2.1 Khái quát hoạt động của PPTP

PPP đã trở thành giao thức truy nhập Internet và các mạng IP rất phổ biến hiện nay, nólàm việc ở lớp liên kết dữ liệu (Datalink Layer) trong mô hình OSI, PPP bao gồm các phươngthức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp, PPP có thể đóng cácgói tin IP, IPX và NetBEUI để truyền đi trên kết nối điểm – điểm từ máy gửi đến máy nhận

PPTP đóng gói các khung dữ liệu của giao thức PPP và các IP datagram để truyền quamạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi là kết nối điều khiểnPPTP) để khởi tạo, duy trì, kết thúc đường hầm và một phiên bản của giao thức GRE để đónggói các khung PPP Phần tải tin của khung PPP có thể được mật mã hóa và/hoặc nén

Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xácthực của kết nối PPP Các cơ chế xác thực có thể là:

- EAP (Extensible Authentication Protocol): giao thức xác thực mở rộng

- CHAP (Challenge Handshake Authentication Protocol): giao thức xác thực đòi hỏi bắttay

- PAP (Password Authentication Protocol): giao thức xác thực mật khẩu

Với PAP, mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản (clear text),không có bảo mật CHAP là một giao thức xác thực mạnh hơn sử dụng phương thức bắt tay

ba bước CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố(Challenge Value) duy nhất và không thể đoán trước được.

PPTP cũng thừa hưởng vật mật mã và/hoặc nén phần tải tin từ PPP Để mật mã phầntải tin, PPP có thể sử dụng phương thức mã hóa điểm – tới – điểm MPPE (Microsoft Point toPoint Encryption) MPPE chỉ cung cấp mật mã mức truyền dẫn, không cung cấp mật mã đầucuối đến đầu cuối Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec

để mật mã lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP đã được thiết lập

Sau khi PPP thiết lập kết nối, PPTP sử dụng các qui luật đóng gói của PPP để đóng cácgói truyền trong đường hầm Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định

nghĩa hai loại gói là gói điều khiển và gói dữ liệu, sau đó gán chúng vào hai kênh riêng là

kênh điều khiển và kênh dữ liệu PPTP phân tách các kênh điều khiển và kênh dữ liệu thànhluồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP Kết nối TCP tạo giữamáy trạm PPTP và máy chủ PPTP được sử dụng để truyền tải thông báo điều khiển

Các gói dữ liệu là dữ liệu thông thường của người dùng, các gói điều khiển được gửitheo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa ứng dụng kháchPPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thông tin quản lýthiết bị, thông tin cấu hình giữa hai đầu đường hầm

2.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (cổng TCPđược cấp phát ngẫu nhiên) và địa chỉ IP của máy chủ PPTP (sử dụng cổng mặc định là 1723).Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lý được sử dụng để duy trìđường hầm PPTP Các bản tin này bao gồm PPTP echo-request và PPTP echo-reply định kỳ

để phát hiện các lỗi kết nối giữa máy trạm và máy chủ PPTP Các gói của kết nối điều khiểnPPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và tiêu đề, phần đuôi của lớpliên kết dữ liệu

Tiêu đề liên

kết dữ liệu Tiêu đề IP

Tiêu đề TCP

Bản tin điều khiển PPTP

Phần đuôi liên kết dữ liệu

Hình 2.5 – Gói dữ liệu kết nối điều khiển PPTP

2.1.2.3 Đóng gói dữ liệu đường hầm PPTP

Đóng gói khung PPP và GRE

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức, hình dưới đây mô tả cấu trúc

dữ liệu đã được đóng gói: