Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa checkpoint

VPN cho phép thiết lập các kết nối riêng với người dùng ở xa, các nhánh vănphòng và các đổi tác sử dụng chung một mạng công cộng.. Một mạng riêng ảo còncho phép chia sẻ các nguồn dừ liệu

Mục lục

Chương 1: Công nghệ mạng riêng ảo.

1.1 Tính cần thiết của mạng riêng ảo

1.2 Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng

1.2.1 Khái niệm về mạng riêng ảo

1.2.2 Các mô hình mạng riêng ảo thông dụng 8

1.2.2.1 VP N Remote Access 8

1.2.2.2 VPN site - to - site 9

1.3 Các yêu cầu đối vói VPN, ưu điểm, nhược điếm của VPN 14

1.3.1 Các yêu cầ đối vói VPN 14

1.3.2 Ưu nhưọc điểm của VPN 15

1.4 Các giao thức sử dụng trong VPN 17

1.4.1 Gia o thức đường hầm điểm điểm - PPTP 18

1.4.2 Gia o thức chuyển tiếp tầng 2 - L2F 32

1.4.3 Giao thức đưòng hầm tầng 2 - L2TP 36

1.4.4 Giao thức IPSec 46

1.4.5 Gia o thức SSL 58

1.4.6 Giao thức MPLS 59

Chương 2: Giải pháp mạng riêng ảo của Check Point. 2.1 Giói thiệu về tưòng lửa Check Point 64

2.1.1 Kiến trúc tường lửa Check Point 64

2.1.2 Các mô hình triển khai 68

2.2 Ch

2.2.1.2 Các

thuật ngữ, khái niệm đặc trưng 71

2.2.1.3 Site to site VPN 73

2.2.1.4 VPN Communities( cộng đồng VPN ) 73

2.2.1.5 Rem ote Access VPN 74

2.2.2 Giao thức trao đổi khóa Internet - IKE(Internet Key Exchange) 74

2.2.2.1.IKE Phasel 75

2.2.2.2.IKE Phase 2 79

2.2.2.3 Các phương pháp mã hóa và đảm bảo tính toàn vẹn 80

2.2.2.4 Các chế độ trong Phase 1 81

2.2.2.5 Bảo vệ lại tấn công DoS IKE 82

2.2.3 Cơ sở hạ tầng khóa công khai PKI 85

Chương 3: Triển khai VPN trên Check Point. 3.1 Mô hình VPN Remote Access 86

3.1.1 Mô hình 86

3.1.2 Các bước cấu hình

3.1.2.1 Cấu hình VPN Remote Access sử dụng xác thực Pre-share key 88

3.1.2.2 Cấu hình xác thực sử dụng certiílcate 106

3.1.2.3 Cấu hình sử dụng tài khoản domain (Idap User) đế thực hiện kết vói VPN tói gateway 111

Chương 4: Một số vấn đề an toàn của Check Point4.1 Xung đột địa chỉ IP trong cấu hình VPN-Tunnel 129 4.1.1 Mô hình 129 4.1.2 Các bước thực hiện tấn công DoS như sau 131 4.1.3 Giả

Danh mục hình vẽ

Hình 1 Thiết lập truy cập từ xa không có VPN

Hình 2 Thiết lập VPN truy cập từ xa

Hình 3 Thiết lập Intranet sử dụng WAN

Hình 4 Thiết lập Intranet dựa trên VPN

Hình 5 Mạng Extranet truyền thống

Hình 6 Mạng Extranet dựa trên VPN

Hình 7 Vị trí của L2F, PPTP, L2TP trong mô hình OSI

Hình 8 Vị trí IPSec trong mô hình OSI

Hình 9 Thiết lập liên kết ppp và trao đoi dừ liệu

Hình 10 Định dạng của một Frame ppp điên hình

Hình 11 Mô tả vai trò của ppp trong các giao dịch dựa trên PPTP

Hình 12 Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP

Hình 13 Truyền các gói PPTP đến Node đích

Hình 14 Các thông điệp kiêm soát trao đôi dữ liệu PPTP qua ppp

Hình 15 Kiểm soát PPTP trong gói dữ liệu TCP

Hình 16 Mô tả tiến trình xử lý dừ liệu PPTP đường hầm

Hình 17 Các gói tin trong kết nối PPTP

Hình 18 Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng

Hình 19 Thiết lập một đường hầm L2F giữa người dùng từ xa và Server

Hình 20 Quá trình định đường hâm dừ liệu dựa trên L2F

Hình 21 Đường hầm L2TP

Hình 22 Mô tả quá trình thiết lập đường hầm L2TP

Hình 23 Quả trình xử lý định đường hâm dữ liệu L2TP

Hình 23 Đường hâm L2TP bắt buộc

Hình 24 Thiết lâp một đường hâm L2TP bắt buộc

Hình 25 Đưòng hầm L2TP tự nguyên

Hình 26 Quá trình thiết lập đường hâm L2TP tự nguyên

Hình 27 Định dạng thông điệp kiêm soát L2TP

Hình 28 Vị trí của IPSec trong mô hình OSI

Hình 29 Kiến trúc bộ giao thức ĨPSec

Hình 30 Mô tả ba trường của một IPSec SA

Hình 31.Khuôn dạng gói tin AH

Hình 32 GÓI tin IP trước và sau khi xử lý AH trong chế độ Transport

Hình 33 Khuôn dạng gói tin AH trong chế độ Tunneỉ.

Hình 34 Khuôn dạng ESP

Hình 35 Gói ESP trong chế độ Transport

Hình 36 Gói ESP trong chế độ Tunnel

Hình 43: Mô hình trỉên khai Stand-alone

Hình 44 Mô hình triên khai Distrỉbuted

Hình 45 Hai kiêu cộng đòng VPN

Hình 46 Client từ xa tới host đẳng sau gateway.

Hình 47 IKE Phaseỉ

Hình 48 Gói tin đề xuất các thuật toán

Hình 49 Gỏi tin lựa chọn thuật toán

Hình 50 ỈKE Phase2a

Hình 51 Đường hầm VPN

Hình 52 Các thuật toán mã hóa, toàn vẹn của IKE

Hình 53 Câu hình các tùy chọn chong IKE DoS Attack

Hình 54 Mô hình VPN Remote Access

Hình 55 Các bước câu hình VPN Remote Access

Hình 56: Bật chức năng VPN trên tường lửa Check Point

Hình 57 Dải địa chỉ tự do hệ thong sình ra khi bật chức năng VPN

Hình 58 Cấu hình Offìce Mode

Hình 59 Tạo User trên gateway

Hình 60 Định nghĩa VPN Community và Participants

Hình 61 Tạo luật kết nổi VPN Client- to -site

Hình 62 Bảng luật cho remote Access

Hình 63 Địa chỉ IP của Remote User

Hình 64 Cài đặt SecureClient

Hình 65 Tạo Site trên máy Remote User

Hình 66: Thực hiện kết nối từ máy Client

Hình 67 Test kết quả sau khi kết nôi VPN remote access

Hình 68 Khởi tạo chứng chỉ cho User

Hình 69 Ket noi VPN Remote Access sử dụng chứng chỉ

Hình 70 Tạo tài khoản Idap trên gatexvay

Hình 71 Ket noi bang tài khoản của Idap server

Hình 78 Tạo tường lửa đối tác

Hình 79 Câu hình cộng đông VPN Mylntranet

Hình 80 Cấu hình Presharekey giữa 2 gatexvay

Hình 81 Tạo luật cho VPN site-to-site

Hình 82 Kiêm tra tunnỉe được tạo băng SmartVỉexvMonitor

Hình 83 Test kết quả VPN site-to-site

Hình 84 Mô hình tấn công DoS.

Trong khuôn khố báo cáo Đe tài nghiên cứu khoa học này, nhóm em xin đềcập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo vàgiải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.

Tên đề tài: “ Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng

ảo sử dụng tưòng lửa Check Point”

Bài báo cáo nhóm em gồm 4 chương

- Chương 1: Nhóm em tìm hiểu về “Công nghệ Mạng riêng ảo” Trongchương này chúng em trình bày về tính cần thiết của mạng riêng ảo, các khái niệmmạng riêng ảo, các mô hình mạng riêng ảo thông dụng, các giao thức sử dụng trongmạng riêng ảo

- Chương 2: Nhóm em tìm hiểu về “ Giải pháp mạng riêng ảo củaCheckPoint” Trong chương này chúng em tìm hiểu về tường lửa CheckPoint, các

mô hình triên khai, chức năng VPN của Check Point,

- Chương 3: “ Triển khai VPN trên Check Point ” Trong chương này chúng

em xây dựng 2 mô hình VPN Remote Access và VPN site-to-site

- Chương 4: “Một sổ vấn đề an toàn của Check Point” Trong chương nàychúng em trình bày cách thử nghiệm tấn công DoS giữa các kết nối VPN

Trong quá trình thực hiện đề tài này ngoài những cố gắng của bản thânchúng em đã nhận được sự giúp dở, động viên rất lớn từ các thầy cô và các bạn

trong khoa, đặc biệt là thầy Hoàng Sỹ Tương Cảm ơn thầy đã giúp đờ tận tình đổ

chúng em hoàn thành đề tài này.Em xin gửi lời cảm ơn đến các thầy,các cô trongPhòng Nghiên Cứu Khoa Học HV KT Mật Mã đã tạo điều kiện cho em được tìmhiểu, nghiên cứu nhàm nâng cao kiến thức về đề tài được giao Do thời gian nghiêncứu đề tài chưa nhiều, kiến thức còn hạn chế , nên không the tránh khỏi những saisót, kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô trongPhòng Nghiên Cứu Khoa Học, các thầy cô trong các Khoa Nhóm em xin chânthành cảm ơn !

Nhóm nghiên cứu khoa học

Chương 1: Công nghệ mạng riêng ảo.

1.1 Tính cần thiết của mạng riêng ảo.

“ Tại sao chúng ta sử dụng VPN ? ”

Ngày nay Internet phát triển mạnh mẽ từ mô hình đến công nghệ đế giảiquyết nhu cầu trao đổi thông tin của con nguời trên toàn thế giới Tuy nhiên nhu cầucon người không chỉ dừng ở mức độ đó Đối với nhân viên của một cơ quan, họmuốn đi đâu cũng có thể làm việc như ngồi tại công ty mình, có thể truy nhập vàotài nguyên nội bộ của công ty Đối với các nhà quản trị muốn quản trị mạng củacông ty mọi lúc mọi nơi -> đây là nhu cầu rất thiết thực, cần phải có giải pháp đểđáp ứng nhu cầu đó

Một công ty có nhiều chi nhánh ớ nhiều nơi, và có nhiều đối tác -> họ muốnkết nối chi các chi nhánh, kết nối với đối tác bàng một đuờng kết nối riêng Neu đithuê riêng các đường lease line thì chi phí rất đắt

Hơn nữa là vấn đề bảo mật dữ liệu truyền qua mạng, tiềm ân các nguy cơ: bị

lộ thông tin quan trọng, bị thay đổi thông tin, bị giả mạo thông tin

Cần có một giải pháp, đổ giải quyết các yêu cầu trên? Công nghệ mạng riêng

ảo (VPN- Virtual Private Network ) sử dụng cơ sở hạ tầng có sẵn Internet sinh ra đãgiải quyết được các vấn đề trên VPN đã giải quyết nhu cầu của người dùng diđộng, các nhà quản trị từ xa với mô hình Remote Access Giải quyết yêu cầu kết nốigiữa các chi nhánh, với đối tác của công ty mà không phải thuê đường lease line màlại an toàn Đặc biệt quan trọng là nó giải quyết được đòi hỏi về bảo mật

1.2 Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng.

1.2.1 Khái niệm về mạng riêng ảo.

Mạng riêng ảo - Virtual Private Network, viết tắt là VPN Có nhiều địnhnghĩa khác nhau về Mạng riêng ảo.

Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (nhưInternet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm co sở hạ tầng đểtruyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiêm soát được truynhập Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triểnkhai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng

Hạ tầng công cộng này có the là mạng IP, Frame Relay, ATM hay Internet

Theo tài liệu của IBM VPN là sự mở rộng một mạng Intranet riêng của mộtdoanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn,thực chất là qua một đường hầm riêng VPN truyền thông tin một cách an toàn quaInternet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thànhmột mạng Công ty mở' rộng

Nói một cách khác VPN là mạng dữ liệu mà nó sử dụng cơ sở hạ tầng truyềntin viễn thông công cộng Dữ liệu riêng được bảo mật thông qua sử dụng giao thứcđường hầm và các phương thức an toàn

VPN cho phép thiết lập các kết nối riêng với người dùng ở xa, các nhánh vănphòng và các đổi tác sử dụng chung một mạng công cộng Một mạng riêng ảo còncho phép chia sẻ các nguồn dừ liệu chung được bảo vệ, nó sử dụng việc mã hóa dừliệu đế ngăn ngừa người dùng không được phép truy nhập đến dừ liệu và đảm bảo

dữ liệu không bị sửa đổi

Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức vàtrong một giao thức khác Xét về ngừ cảnh , VPN định đường hầm che dấu giaothức lớp mạng nguyên thủy bằng cách mã hóa dữ liệu và chứa gói đã mã hóa vàotrong một một gói IP khác , sau đó sẽ được chuyển đi một cách bảo mật qua mạngcông cộng Tại bên nhận, sau khi nhận gói này sê được phân phối đến thiết bị truycập thích họp, chăng hạn một bộ định tuyên nào đó

VPN còn cung cấp các thởa thuận về chất lượng dịch vụ( QoS) Thỏa thuậnnày được định ra một giới hạn cho phép về độ trễ trung bình của gói trong mạng

Ngoài ra, các thỏa thuận có thể kèm theo một sự chỉ định cho giới hạn của băngthông hiệu dụng cho mỗi người dùng.

Qua đó có thể định nghĩa VPN một cách ngắn gọn theo công thức sau

VPN= Định đường hầm + Bảo mật + Các thỏa thuận QoS

1.2.2 Các mô hình mạng riêng ảo thông dụng

1.2.2.1 VPN Remote Access

VPN truy cập từ xa cung cấp các dịch vụ truy nhập VPN từ xa (remoteaccess hay dial-up VPN) đến một mạng Intranet hay Extranet của một tô chức trênnền hạ tầng mạng công cộng Dịch vụ này cho phép người dùng truy xuất tàinguyên mạng của Công ty họ như là họ đang kết nối trục tiếp vào mạng đó

VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một

tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty Điển hình, cácyêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyến hoặc cácnhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tông côngty

Theo mô hình mạng truyền thống(khi chưa thực hiện giải pháp VPN remoteaccess ) đe người dùng có thê truy cập từ xa yêu cầu:

+ Một Remote Access Server: Nó được đặt tại mạng trung tâm đổ xác thực và cấpquyền cho các yêu cầu truy cập từ xa

+ Ket nối Dialup tới mạng trung tâm

+ Người hồ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hồ trợ ngườidùng từ xa

Remote Office

Hình 1 Thiết lập truy cập từ xa không có VPN

Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và ngườidùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó đc kếtnối tới mạng của công ty qua Internet

Hình 2 Thiết lập VPN truy cập từ xa

1.2.2.2 VPN site - to - site

a VPN cục bộ( Intranet VPN ).

Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây làmột mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung Yêucầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạngtrung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như cácdịch vụ đa phương tiện (Multimedia) Mục đích của Intranet VPN là giảm thời giancũng như chi phí lắp đặt, hồ trợ các đường dây thuê riêng theo các cách kết nốiWAN truyền thống

Intranet VPN thường được dùng đề kết nối các nhánh Văn phòng từ xa củamột tổ chức với Intranet trung tâm của tổ chức đó

Theo mô hình mạng truyền thống (không sử dụng công nghệ VPN), mỗi mộtmạng từ xa phải kết nổi tới Intranet của tổ chức qua các Router trung gian

Hình 3 Thiết lập Intranet sử dạng WAN

Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới mộtKhu trung tâm từ xa để tới Intranet của tổ chức Hơn nữa việc thực thi, duy trì vàquản trị Intranet xương sống có thê là một việc cực kỳ tốn kém Chăng hạn, chi phícủa Intranet toàn cầu có thê lên tới hàng ngàn USD/1 tháng Phạm vi Intranet cànglớn thì chi phí càng cao

Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thếbàng kết nối Internet chi phí thấp nên có thể giảm được tồng chi phí của việc thựcthi toàn bộ Intranet.

Hình 4 Thiết lập Intranet dựa trên VPN

Ưu điểm của việc thiếp lập dựa trên VPN là:

- Loại trừ được các Router từ đường WAN xương sống

- Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liênkết ngang hàng mới

- Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn Cùng với việcloại trừ các dịch vụ đường dài giúp cho tô chức giảm được chi phí của hoạt độngIntranet

Tuy nhiên cũng có một số nhược điểm:

- Vì dừ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấncông mạng như: tù’ chối dịch vụ vẫn đc doạ nghiêm trọng đến an ninh mạng

- Khả năng mất các gói dừ liệu khi truyền vẫn còn cao

- Đường truyền dừ liệu đầu trên như multimedia, độ tre truyền tin vẫn rất cao vàthông lượng có thê bị giảm xuống rất thấp dưới sự hiện diện của Internet

- Vì sự hiện diện của kết nối Internet sự thực thi có the bị gián đoạn và QoS có thekhông được đảm bảo

b Mạng riêng ảo mở rộng (Extranet VPN)

Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụngvào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng cácđường truyền thuê bao Giải pháp này cũng cung cấp các chính sách như trongmạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định Tương tự nhưIntranet VPN, Extranet VPN cũng có kiên trúc tương tự, tuy nhiên diêm khác biệtgiữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng.

So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bàng nhưng điều quantrọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sảnphẩm Việc để cho khách hàng nhập trực tiếp dữ liệu về các họp đồng vào hệ thống

sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việcnày rất khó thực hiện với công nghệ WAN truyền thống Extranet VPN thường sửdụng các kết nổi dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạntruy nhập trên hệ thống

Không giống như Intranet VPN và Remote Access VPN Extranet VPNkhông han có nghĩa là “Xa hơn ngoài phạm vi” Thực tế, Extranet VPN cho phépkiêm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại

mở rộng như: đối tác, khách hàng, nhà cung cấpTheo cách thức truyền thống

Hình 5 Mạng Extranet truyền thong

Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phảihoàn toàn thích hợp với mạng mở rộng Đặc điểm này dẫn đến sự phức tạp trongviệc quản trị và thực thi của các mạng khác nhau Hơn nữa rất khó mớ rộng vì làmnhư vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến cácmạng mở rộng đã kết nối khác và đây có thể là một con ác mộng đối với các nhàthực thi và quản trị mạng

Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễdàng và giảm chi phí đáng kể

Ưu điếm chính của Extranet VPN là:

+ Chi phí rất nhỏ so với cách thức truyền thống

+ Dễ thực thi, duy trì và dễ thay đôi

+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lón+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hồ trợ

có thể giảm xuống

Tuy nhiên cũng có một số nhược điểm:

+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại+ Tăng rủi ro vì các xâm nhập vào Intranet của tô chức

+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứngdụng Multimedia

+ Sự thực thi có thể bị gián đoạn và ỌoS cũng có thể không được bảo đảm

Tuy có một số nhược điềm như đã mô tả, nhưng các ưu điểm của giải pháp VPNvẫn vượt trội, “Mạng riêng ảo - im thế của công nghệ, chi phí và bảo mật”

1.3 Các yêu cầu đối vói VPN, ưu điểm, nhưọc điếm của VPN

1.3.1 Các yêu cầu đối vói VPN

Yêu cầu cơ bản đổi với mạng riêng ảo là: Bảo mật, chất lượng dịch vụ,(ỌoS), tính sẵn sàng và tin cậy, khả năng tương thích, khả năng quản trị

- Xác thực người dùng và gói dữ liệu: thiết lập định danh người dùng, quyếtđịnh người dùng có được phép truy cập vào các tài nguyên trong mạng hay không

Mô hình AAA là một ví dụ điển hình về hệ thống xác thực người dùng toàn diện

- Quản lý khóa: để mã hóa dừ liệu, VPN cần phải cung cấp khóa mật mã đểtạo ra các đường hầm phiên Do đó, cần phải tạo ra các khóa, phân phối, cập nhật vàlàm tươi chúng

b Chất lượng dịch vụ ( QoS).

Đảm bảo việc truyền dữ liệu trong suốt, không bị trễ, hạn chế lỗi ở mức thấpnhất.

c Tính sẵn sàng và tin cậy

- Thời gian người dùng có the truy cập vào mạng thường phụ thuộc và Isp

và được đảm bảo bàng hợp đồng cung cấp dịch vụ

- Dữ liệu được phân phối đến người dùng trong mọi hoàn cảnh

d Khả năng quản trị

- Phải đảm bảo được toàn bộ các hoạt động và tài nguyên trong mạng

- Giám sát trạng thái thời gian thực, sự thực thi của VPN

- ISP phải quản trị và kiểm soát những phần cơ sở hạ tầng của họ

không IP thành gói dữ liệu IP Đường hầm lúc này trở thành một thiết bị truyền tải

- Với trường hợp không sử dụng ĨP như Frame Relay, ATM thì công nghệVPT

được sử dụng

1.3.2 Ưu nhược điểm của VPN

a Ưu điểm.

Khả năng linh hoạt cao, có the kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần

ớ đó có thê truy cập Internet

Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường( giảm60%-80% chi phí cho các máy trạm truy cập từ xa)

Giảm chi phí thực hiện ( giảm chi phí cho các kênh thuê riêng đường dài như các đường leascd lines), và chi phí quản trị ( giảm được chi phí duy trì hoạtđộng và quản trị mạng WAN)

-Nâng cao khả năng kết nối: số lượng kết nối đồng thời từ xa vào văn phòngcông ty hoặc chi nhánh lớn, không hạn chế về số lượng, tùy thuộc vào nhu cầu khaithác dừ liệu sẽ có mô hình VPN cụ thể phù hợp với loại hình kinh doanh của doanhnghiệp.

Đảm bảo khả năng bảo mật các giao dịch nhờ công nghệ đường hầm, dữ liệuđược bảo mật ở mức độ nhất định Công nghệ đường hầm sử dụng các biện phápbảo mật như: mã hóa, xác thực truy cập, và cấp quyền( xác thực truy cập và bảo mật

hệ thống) nhằm đảm bảo tính an toàn, tin cậy, tính xác thực của dữ liệu đượctruyền - nhận

Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập vào hệ thốngmạng riêng ảo trong nội bộ

Nâng cao khả năng mở rộng: vì dựa trên Internet, nên cho phép Internet củamột công ty có thể dễ dàng mở rộng và phát triển Điều này làm cho Intranet dựatrên VPN có khả năng mở rộng và dễ dàng tuông thích với sự phát triển trongtương lai

Sử dụng hiệu quả băng thông: trong kết nối Internet bàng đường leased line, băng thông vẫn bị chiếm dụng khi không có kết nối nào hoạt động VPN chitạo đường hầm logic để truyền dữ liệu, chỉ sử dụng băng thông khi cần truyền dừliệu Do đó, giảm được nguy cơ lãng phí băng thông

Mọi giao thông qua VPN đều được mã hóa bất chấp nhu cầu cần mã hóa haykhông-> dễ dẫn đến hiện tượng nghẽn cổ chai.

Không cung cấp bảo vệ bên trong mạng: VPN kết thúc ở đầu mạng

Một khi nhân viên đã vào bên trong mạng, dừ liệu không còn được mã hóanữa Hơn nữa, các VPN không thế giới hạn nhân viên khỏi sự truy cập thoải mái bất

kỳ server nào trên mạng nội bộ

- L2F( Layer 2 Forwarding): do Cisco phát triên, L2F sử dụng bất kỳ một cơchế xác nhận do ppp hồ trợ

- PPTP( Point- to- Point Tunneling Protocol ): do PPTP Forum phát triển,

Telematics PPTP hỗ trợ cho mã hóa 40bit và 128 bit được sử dụng cho bất kỳ cơchế xác nhận nào sử dụng trong ppp

- L2TP( Layer 2 Tunneling Protocol): được phát triển dần đây nhất, L2TP làsản phẩm do các thành viên trong nhóm PPTP Forum, Cisco và IETF hình thànhnên Nó tích họp các tính năng của cả PPTP và L2F, đồng thời L2TP cũng hồ trợIPSec

Vị trí của L2F, PPTP, L2TP trong mô hình OSĨ

Hình 7 Vị trí của L2F, PPTP, L2TP trong mô hình OSI

Giao thức IPSec tầng 3 thực hiện việc bảo mật các gói ĨP Giao thức IPSeccung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nộidung thông tin

Thuật ngừ IPSec là viết tắt của Internet Protocol Security Nó dựa vào một

bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được ĨETFphát triển Mục đích chính đàng sau sự phát triển của IPSec là cung cấp một khungbảo mật tại lóp 3 của mô hình OSI

Hình 8 Vị trí ĨPSec trong mô hình OSI

1.4.1 Giao thức đưòng hầm điểm điểm - PPTP.

a Giao thức kết nối điểm điểm ppp

ppp là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng củamạng qua một loạt các điềm liên kết được thực hiện một cách dễ dàng, ppp có thểđiều khiển bất kỳ DTE hoặc DCE nào bao gồm: EIA/TIA-232-C và ITU-T V.35.ppp không hạn chế tỷ lệ truyền dữ liệu Trong khi truyền dữ liệu bị hạn chế bởi

giao diện DTE/DCE đang dùng, ppp là nền tảng của các giao thức đường hầmlayer2.

Ngoài việc hỗ trợ đa giao thức tầng mạng (IP và non IP), ppp còn chịu tráchnhiệm về các chức năng sau:

- Chỉ định và quản trị các gói IP thành các gói không IP

- Cấu hình và kiếm tra các liên kết đã thiết lập

- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu

- Phát hiện lỗi trong khi truyền dữ liệu

- Dồn kênh các giao thức mạng lóp hai

- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa

chỉ

ppp thực hiện các chức năng này theo ba chuẩn:

- Chuẩn đóng gói dừ liệu qua liên kết điểm - điểm

- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điềm với sự hồ trợ của giaothức kiêm soát liên kết(Link Control Protocol - LCP)

- Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lồi trong khitruyền theo dạng của giao thức kiêm soát mạng (Network Control Protocol - NCP)thích hợp

b Quá trình thực hiện PPP

Giao thức ppp được sử dụng đề đóng gói các gói tin thành các khung ppp vàgửi dữ liệu trên các kết nối điềm - điếm Quá trình thương lưọng kết nối ppp gồm 5bước:

1 Sau khi các gói dữ liệu đã được đóng gói, Node nguồn gửi khung LCP quakết nối điểm - điểm tới Node đích

2 Các tham số này thường được dùng đê cấu hình liên kết bằng việc chỉ rõcác tham sổ và kiểm tra liên kết đã được thiết lập

3 Sau khi Node đích chấp nhận yêu cầu kết nối và một liên kết được thiếtlập thành công, các tham số lựa chọn được thương lượng nếu đã chỉ rõ bởi các LCP

4 Node nguồn sau đó gửi khung NCP đế lựa chọn và cấu hình giao thứctầng

\* 1 Byte -*ị -1 B ẠT 6 -1 Byte - 2 Byte -►! <—\ r B,ĩ h Ị*i—2-4 BytỂ—►!

Hình 10 Định dạng của một Frame ppp điên hình

- Flag: xác định điếm bắt đầu và kết thúc của một khung

- Address: Vì nó sử dụng các liên kết điếm - điềm->các trường này chứa chuồi nhịphân là 11111111, đây là một địa chỉ Broadcast chuẩn

- Control: Trường này chứa chuồi nhị phân là 00000011 Nó biểu thị ràng, Frameđang mang dừ liệu người dùng là một Frame không tuần tự

- Protocol: xác định giao thức mà dữ liệu được đóng gói trong trường dừ liệu của —Frame Giao thức trong trường này được chỉ rõ theo số đã gán trong RFC 3232 Độdài của trường này là 2 byte Tuy nhiên, trường này có thể thương lượng đề là 1byte nếu cả hai đồng ý

- Data: chứa thông tin đang được trao đổi giữa Node nguồn và đích Độ dài củatrường này có thay đổi, độ dài tối đa có thể lên đến 1500 byte

- FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra tính chính xác củathông tin đã nhận trong trường dữ liệu.

c Kiểm soát liên kết ppp

Ngoài việc trao đối thành công dừ liệu giữa hai Node, ppp cũng chịu tráchnhiệm kiêm soát liên kết đã thiết lập giữa 2 thực thê truyền thông cuối, ppp sử dụngLCP cho chức năng này, trong đó LCP chịu trách nhiệm về các chức năng :

- Hỗ trợ việc thiết lập liên kết

- Cấu hình liên kết đã thiết lập đê thoả mãn các yêu cầu của cácnhómtruyềnthông

- Duy trì hiệu suất của liên kếtppp đã thiết lập

- Ket thúc liên kết nếu việc trao đổi dữ liệu giữa hai thực thểcuối đã hoàntất

LCP dựa trên kiểm soát liên kết gồm bốn pha: Thoả thuận và khởi tạo liên kết; Xácđịnh chuẩn liên kết; Thoả thuận giao thức tầng mạng

Sau đây ta sẽ mô tả chi tiết bốn pha trong kiểm soát liên kết

- Thoả thuận và khởi tạo liên kết: Trước khi việc trao đổi dừ liệu dựa trên ppp giũaNode nguồn và đích được cho phép, LCP phải khởi tạo một kết nối giũa hai thựcthê cuối và thoả thuận các tham số cấu hình LCP sử dụng các Frame khởi tạo liênkết cho chức năng này Khi mồi thực thể cuối phản hồi lại bằng Frame cấu hìnhACK của nó, pha này kết thúc

- Xác định tiêu chuẩn liên kết: Đây là pha tuỳ chọn trong đó tiêu chuẩn của liên kết

đã thiết lập được xác định cho các liên kết khác nhau đã sằn sàng cho việc thoảthuận các giao thức tầng mạng

- Thoả thuận giao thức tầng mạng: Trong pha này, ưu tiên giao thức tầng mạng của

dữ liệu đã được đóng gói trong trường Protocol của Frame ppp được thoả thuận

- Ket thúc liên kết: Đây là pha cuối cùng của LCP và Server đê kết thúc liên kết đãthiết lập giữa hai thực thể cuối Việc kết thúc liên kết có thể theo trình tự hoặc độtxuất Ket thúc đúng trình tự là kết thúc sau khi việc trao đổi dừ liệu giữa hai thựcthê cuối đã hoàn tất hay do yêu cầu của thực thê cuối Ket thúc liên kết đột xuất cóthế làm mất dữ liệu Frame kết thúc liên kết dữ liệu được trao đôi giũa các nhóm cóliên quan trước khi liên kết được giải phóng

Hình 11 Mô tả vai trò của ppp trong các giao dịch dựa trên PPTP

PPTP không hỗ trợ nhiều kết nổi Tất cả các kết nối được hỗ trợ bởi PPTPphải là kết nối điểm - điểm, ngoài ra, trong giao dịch dựa trên PPTP thì ppp chịutrách nhiệm:

- Thiết lập và kết thúc các kết nổi vật lý giữa các thực thể truyền thông cuối

J PPTPTurmri _I

(TCP Connaction 4> PPTP Contnol Comecbon •* IP Oatagnama)

Hình 12 Đường hầm PPTP và ha thành phân của giao dịch dựa trên PPTP

PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó cóthể định đường hầm yêu càu tới thiết bị VPN trên mạng từ xa Liên kết đến thiết bịVPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập mộtđường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung gian khác.Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên VPNtới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP Cả Client và Serverđều được kết nối vật lý đến cùng một mạng LAN, việc tạo ra một kết nối tới NAScủa nhà cung cấp là không cần thiết Trong trường họp này Client chỉ cần yêu cầu

một phiên quay số đến thiết bị VPN trên Server Như vậy thủ tục định tuyến của cácgói PPTP cho một yêu cầu từ xa và một yêu cầu cục bộ là khác nhau, các gói củahai yêu cầu được xử lý khác nhau Các gói PPTP đến Server cục bộ được đặt trênthiết bị vật lý gắn kèm với card mạng của PPTP Client Gói PPTP đến Server từ xađược định tuyến qua một thiết bị vật lý gan với một thiết bị truyền thông như mộtRouter.

íõrêl

ri pỊ

[TCP]

[ppp

Packst tttter QRE ancapculsllon Packst af»or IP •ncapaulation Packst altor TCP oncapeulation Packet afle r ppp encap&ulabon Packat alter eocapau ỉaHon by the Locai Medlun

Hình 13 Tntyển các gói PPTP đến Node đích

+ Các Server PPTP

Là một Node mạng có hỗ trợ PPTP và có khả năng bảo quản các yêu cầu chophiên VPN từ các Node từ xa hay cục bộ Đe phản hồi các yêu cầu từ xa, các Servernày cũng phải hỗ trợ khả năng định tuyến Một RAS và hệ điều hành mạng khác có

hỗ trợ PPTP, như WinNT 4.0, Windown server 2000, 2003 có khả năng hoạt độngnhư một Server PPTP

+Các Server truy cập mạng PPTP (PPTP NAS)

Các NAS PPTP được đặt tại ISP và cung cấp kết nối Internet tới các Clientđang sử dụng đường quay số ppp Xác suất nhiều Client cùng đồng thời yêu cầumột phiên VPN là rất cao.

Các Server này phải có khả năng hồ trợ các Client này Ngoài ra, các PPTPClient có thê chạy trên nhiều hệ điều hành, vì vậy các NAS PPTP phải có khả năng

hồ trợ các Client dựa trên Window, các máy Unix Tuy nhiên, các Client này phải

hồ trợ kết nối PPTP tới NAS

+ Các tiến trình PPTP

Bao gồm: Thiết lập kết nối dựa trên ppp Kiểm soát kết nối Tạo đường hầmPPTP và truyền dữ liệu

1 Kiểm soát kết nối PPTP

Sau khi một kết nổi vật lý dựa trên ppp được thiết lập giữa PPTP Client vàServer, quá trình kiểm soát kết nối PPTP bắt đầu Kiềm soát kết nối PPTP đượcthiết lập dựa trên địa chỉ IP của PPTP Client và Server Nó sử dụng cổng TCPđộng( phía Client) và cổng TCP giành riêng số 1723(phía server) Sau khi kiểm soátkết nối được thiết lập, nó thực hiện việc kiêm soát và quản lý các thông điệp đượctrao đổi giữa các nhóm truyền thông Các thông điệp này có nhiệm vụ duy trì, quản

lý và kết thúc đường hầm PPTP Các thông điệp này bao gồm cả chu kỳ giao dịchcủa các thông điệp "PPTP-Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiệnlỗi kết nối giũa PPTP Server và Client

ISP-6 Remote (Prtvate)

TCP/IP Camédton PPTP Gontrol MoaiaQBB

Hình 14 Các thông điệp kiêm soát trao đôi dừ liệu PPTP qua ppp

Phản hồi từ PPTP server tới Call-Clear-Request của Client.

Nó cũng là thông điệp khởi tạo việc kết thúc đường hầm từServer

nổi để thông báo lỗi trong giao diện ppp của server

Stop-Hình 15 Kiểm soát PPTP trong gói dữ liệu TCP

2 Xử lý và định đường hầm dữ liệu PPTP

Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói

Bao gói dừ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên trongmột Frame ppp Một tiêu đồ ppp được thêm vào Frame

Bao gói Frame PPP: Frame ppp kết quả sau đó được bao gói vào trong một

sự đóng gói định tuyến chung(GRE) đã sửa đổi Tiêu đề GRE sửa đổi chứa mộttrường ACK 4 byte và một bit ACK tương ứng thông báo sự có mặt của trườngACK Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độ dài

2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc gọi.PPTP Client thiết lập các trường này khi nó tạo đường hầm PPTP

Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vào khungppp, và được bao gói vào trong gói GRE Tiêu đề IP này chứa địa chỉ IP của PPTPClient nguồn và PPTP Server đích

Bao gói tầng liên kết dữ liệu: Như chúng ta đã biết, PPTP là một giao thứctạo đường hầm tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánh dấu

là các quy luật quan trọng trong đường hầm dữ liệu, trước khi được đặt lên cácphương tiện truyền phát, tầng liên kết dừ liệu thêm vào tiêu đề của chính nó và đánhdấu cho các gói dữ liệu Neu gói dữ liệu phải chuyến qua một đường hầm PPTP cục

bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu đề theo công nghệ LAN (như Ethenet chang hạn) Mặt khác, nếu đường hầm được trải qua một liên kếtWAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một lần

-Hình 16 Mô tả tiến trình xử lý dữ liệu PPTP đường hầm

Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhậnphải xử lý các gói dừ liệu đã được đóng gói bàng đường hầm để thu được dừ liệugốc Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP Đe lấylại dừ liệu gốc thì Node PPTP của người nhận phải thực hiện các bước sau:

- Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được thêm vàobởi người gửi

- Tiếp đó, loại bỏ tiêu đề GRE

- Tiêu đề IP được xử lý và loại bó

- Tiêu đề ppp được xử lý và loại bỏ

- Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu)

+ Ví dụ một kết nối PPTP

Protocot Info TCP pptp > cplscrarbler-al [SYN, ACK] 5eq=0 Ack=l wirt=64240 Len=0 MSS=

PPTP 5tar t -contr ol-Connecti on-Request PPTP start-contr ol-connect i on-Reply PPTP outgoirg-cal1-Request PPTP outgoing-call-Reply TCP cplscraníbler-al > pptp [ACK] seq=325 Ack=189 win=64052 Len=0 ARP who has 172.16.1.4? Teìl 172.16.1.3

PPTP set-Link-lnfo ppp LCP coníiguration Request ppp LCP coníiouration Reouest

n Frame 5 (62 bytes on wire, 62 bytes captured)

ĩ Ethernet II, src: Vmv,are_b9:88:90 (00:0c:29:b9:88:90), Dst: vmv.are_21:5c:ca (00:0c:29:21:5c:ca)

ĩ internet Protocol, src: 172.16.1.3 (172.16.1.3), Dst: 172.16.1.1 (172.16.1.1)

a Transmission control Protocol, src Port: cplscranbler-al (1088), Dst Port:<J5ptp (172ỈỊ)Seq: 0, Len:

source port: cplscraitbler-al (1088)

Destination port: pptp (1723)

sequence nuitber: 0 (relative sequence number)

Header length: 28 bytes

1 Client khởi tạo kết nối tới server ở cống TCP 1723 -> server gửi lại gói ACK

2 Client gửi thông điệp Start-Control-Connection-Request

3 Server trả lời bàng gói Start-Control-Connection-Reply

4 Client gửi gói Outgoing-call-Request để yêu cầu thiết lập đường hầm

5 Server trả lời bàng gói Outgoing-call-Reply

6 Client gửi thông điệp Set-Link-Info đề thiết lập các tham số của kết nối

7 Tunnel được thiết lập

+ Bảo mật PPTP

PPTP cung cấp các dịch vụ bảo mật bao gồm: Mã hóa và nén dừ liệu, xácthực, kiêm soát truy cập và lọc gói tin

1 Mã hoá và nén dữ liệu PPTP

PPTP sử dụng dịch vụ mã hoá được đề xuất bởi ppp ppp lần lượt sử dụng mã hoáMicrosoữ Point-to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí mật.

2 Xác thực dữ liệu PPTP

PPTP hỗ trợ các cơ chế xác thực của Microsoữ

* Giao thức xác thực có thăm dò trước của Mỉcrosoft(MS-CHAP)

MS-CHAP là phiên bản thương mại của Microsoữ và được dùng cho xácthực dựa trên ppp Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAPkhá giống với CHAP Điêm khác nhau chính giữa chúng là trong khi CHAP dựatrên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES Mục đích

là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó không được hồtrợ bởi các nền khác

về vấn đề xác thực trong tương lai nữa! Nên PAP là một giao thức xác thực ít được

sử dụng trong VPN

* Kiểm soát truy cập PPTP

Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cập của nóđến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mật nâng cao Mục tiêunày được hoàn thành bới việc thực thi bô sung cơ chê kiêm soát truy cập như:Quyền truy cập, mức cho phép, nhóm và lọc gói PPTP

Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấp nhận vàđịnh tuyến các gói chỉ từ các Client PPTP đã được xác thực thành công Ket quả là,chỉ các Client PPTP đã được xác thực mới có thế truy cập lại tới mạng từ xa đã xácđịnh

PPTP không chỉ cung cấp các cơ chế xác thực, kiểm soát truy cập và mã hoá,

mà còn làm tăng thêm sự an toàn của mạng

* PPTP vói FireWall và Router

Các thiết bị PPTP chấp nhận lưu lượng TCP và IP tại cổng 1723 và 47 Tuy nhiên,khi PPTP dùng chung với FireWall và Router, lun lượng đã được dự tính cho cáccổng này được định tuyến qua Firewall hoặc Router, chúng lọc lun lượng trên cơ sởdanh sách kiềm soát truy cập (ACL) và các chính sách bảo mật khác, PPTP nângcao các dịch vụ bảo mật mà nó đưa ra

+ Các tính năng của PPTP

- Tính sẵn có

PPTP được hồ trợ trong nhiều hệ điều hành: trong Window NT Server, trongWorkstation Vì vậy, PPTP thực sự sẵn có trên các Platíòrm của người sử dụng.Không cần mua thêm các phần mềm bổ sung vì Microsoữ đã đưa ra cách nâng cấpPPTP trong tất cả các phiên bản Windows, được bô sung trong nhiều nhánh của cácSwitch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics PPTP đãtrở thành một phần của các gói tin hệ điều hành mạng và phần lớn các Switch truycập tù’ xa

- Tạo đường hầm đa giao thức

Đây là tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉcho phép tạo đường hâm với các gói tin IP nhưng giao thức PPTP có thê tạo đườnghầm cho tất cả các giao thức mà máy chủ RAS cho phép

- Khă năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ

Khi một người dùng VPN tạo một kết nổi PPTP tới máy chủ RAS sẽ được máy chủgán cho một địa chỉ IP Địa chi này có thổ là một phần trong dãi địa chỉ IP của tồchức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP của tổchức đó.

1.4.2 Giao thức chuyển tiếp tầng 2 -L2F.

L2F được phát triển theo hướng:

Có khả năng bảo mật các giao dịch

- Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trunggian khác

- Hồ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEƯI, và Frame Relay

Intranet (POP)

Remot e

Host ÍPrivate) Netvvork Network

Hình 18 Đường hầm L2F từ POP của ỈSP tới Gateway của một mạng riêng

a Tiến trình L2F

1 Người dùng từ xa khởi tạo một kết nổi ppp tới ISP của họ Neu một ngườidùng từ xa là một phần của mạng LAN, người dùng có thể tận dụng ISDN hoặc liênkết đế kết nối tới ISP Neu người dùng không phải là một phần của bất kỳ Intranetnào, họ có thể cần sử dụng các dịch vụ của PSTN

Hình 19 Thiết lập một đưòng hầm L2F giữa người dùng từ xa và Server

2 Neu NAS đặt tại ISP chấp nhận yêu cầu kết nối, kết nối ppp được thiết lậpgiữa NAS và người dùng

3 Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đều được

sử dụng cho chức năng này

4 Neu không có đường hầm nào tới Gateway của mạng đích tồn tại, thì mộtđường hầm sẽ được khởi tạo

5 Sau khi một đường hầm được thiết lập thành công, một ID (MID) đa côngduy nhất được phân phối tới các kết nối Một thông điệp thông báo cũng được gửitới các Gateway của máy chủ mạng Thông điệp này thông báo cho Gateway về yêucầu kết nổi từ một người dùng ở xa

6 Gateway có thể chấp nhận hoặc tù’ chối yêu cầu kết nối này Neu yêu cầu

bị từ chối, người dùng sẽ được thông báo lỗi và kết nổi quay số kết thúc Nếu yêucầu được chấp nhận, máy chủ Gateway gửi thông báo khởi tạo cài đặt tới Client từ

xa, phản hồi này có thê bao gồm cả thông tin xác thực, nó được dùng bởi Gateway

7 Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, một giaodiện ảo được thiết lập giữa 2 đầu cuối.

b Đường hầm L2F

Khi một người dùng từ xa đã được xác thực và yêu cầu kết nối được chấpnhận, một đường hầm giữa NAS của nhà cung cấp và Gateway máy chủ mạng đượcthiết lập

Hình 20 Quá trình định đường hầm dừ liệu dựa trên L2F

Sau khi đường hầm giữa 2 đầu cuối được thiết lập xong-> Quá trình trao đổicác frame tầng 2 qua đường hầm :

1 Người dùng từ xa chuyên tiêp các frame thông thường tới NAS đặt tạiISP

2 NAS cắt bỏ thông tin tầng liên kết dữ liệu hay các byte trình diễn, thêmvào tiêu đề L2F và đánh dấu frame Sau khi frame được đóng gói mới thì đượcchuyền tiếp tới mạng đích qua đường hầm

3 Gateway chấp nhận các gói đường hầm này, cắt bỏ tiêu đề L2F, đánh dấu

và chuyền tiếp các frame tới Node đích trong mạng Intranet

Node đích xử lý các frame nhận được như là các gói không qua đường hầm

Bất kỳ một phản hồi nào từ máy chủ đích trong mạng phải qua quá trình ngược lạiFrame sau đó được chuyền tiếp tới người dùng từ xa

Định dạng gói L2F

I — IU tiọ. _T^yl.Q-.Q ^-v ytẠ-PPP./r-T.ỊT}- -., F ^

k;.

c Bảo mật L2F

L2F cung cấp các dịch vụ: Mã hoá dữ liệu và xác thực

1 Mã hoá dữ liệu L2F

- L2F sử dụng MPPE cho các chức năng mã hoá cơ bản Tuy nhiên nó không

an toàn với các kỹ thuật Hacking tiên tiến ngày nay Và nó cũng phải sử dụng mãhoá dựa trên IPSEC đê đảm bảo dữ liệu được giao dịch bí mật

2 Xác thực dữ liệu L2F

- Xác thực L2F được hoàn thành tại hai mức Mức thứ nhất của xác thực khimột người dùng từ xa sử dụng đường quay số tới NAS của ISP Tại đây, quá trìnhthiết lập đường hầm được bắt đầu chỉ sau khi người dùng được xác thực thành công.Mức thứ hai của xác thực được thực hiện bởi máy chủ Gateway của mạng, nókhông thiết lập một đường hầm giữa hai điểm đầu cuối cho đến khi nó xác thựcngười dùng từ xa

- Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởippp cho xác thực Ket quả là L2F sử dụng PAP đế xác thực một Client tù’ xa khimột Gateway L2F nhận một yêu cầu kết nối L2F cũng sử dụng lược đồ xác thựcnhư sau đê nâng cao tính bảo mật dữ liệu:

- Giao thức xác thực có thăm dò trước(CHAP)

d Các ưu và nhưọc điểm của L2F

Mặc dù L2F yêu cầu mở rộng để khắc phục sự khác nhau với LCP và các tuỳchọn xác thực, nhưng nó đắt hơn PPTP vì nó là giải pháp chuyển tiếp Frame ở mứcthấp, nó cùng cung cấp một giải pháp VPN nền cho mạng doanh nghiệp tốt hơnPPTP

Những ưu diêm chính của việc thực thi một giải pháp L2F bao gồm:

- Nâng cao tính bảo mật của các phiên giao dịch

- Độc lập với nền

- Không cần phải đàm phán với ISP

- Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI, IPX, NetBEUI, và FrameRelay

Ngoài những ưu điếm trên, nó cũng có một số nhược điếm:

- Việc thực thi giải pháp dựa trên L2F phụ thuộc nhiều vào ISP, nếu ISPkhông hồ trợ L2F thì không thể thực hiện được giải pháp này.

- L2F không cung cấp kiểm soát luồng Và như vậy, nếu đường hầm bị đầythì các gói dữ liệu có thể bị xoá tuỳ tiện Điều này là nguyên nhân của việc phảiphát lại gói dữ liệu, nó làm chậm tốc độ truyền

- Do kết họp cả xác thực và mã hoá, các giao dịch thực hiện qua đường hầmdựa trên L2F là chậm khi so sánh với PPTP

1.4.3 Giao thức đường hầm tầng 2 - L2TP

Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco,Microsoữ, 3COM, và Ascend L2TP là một sự kết hợp của các giao thức VPN trướcđây như PPTP và L2F Thực tế, nó là sự kết họp những gì tốt nhất của PPTP vàL2F L2TF cung cấp sự mềm deo, khả năng mở rộng, giải pháp truy cập từ xa chiphí thấp của L2F và khả năng kết nối điềm - điểm nhanh nhất của PPTP

- Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm ppp màkhông giống với PPTP là không kết thúc tại Site của ISP gần nhất Đê thay thế,đường hầm này mở rộng tới Gateway của mạng đích Yêu cầu đường hầm L2TP cóthê bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP

a Các thành phần của L2TP

Một Server truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) vàmột Server mạng L2TP (LNS)

1 Server truy cập mạng (NAS)

Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tớinhững người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nốippp NAS chịu trách nhiệm xác thực những người dùng từ xa tại diêm ISP sau cùng

và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không Giốngnhư NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như mộtClient trong tiến trình thiết lập đường hầm L2TP NAS có thê trả lời và hồ trợ nhiềuyêu cầu kết nối đồng thời và có thể hồ trợ nhiều loại Client (Sản phẩm củaMicrosoữ, Unix, Linux, )

2 Bộ tập trung truy cập L2TP (LAC)

LAC chịu trách nhiệm thiết lập một đường hầm qua mạng công cộng (nhưPSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng LAC server như làđiểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ.Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ĨSP nhàm cungcấp kết nối vật lý cho người truy cập từ xa

b Các tiến trình L2TP

Hình 22 Mô tả quả trình thiết lập đường hầm L2TP

Các bước thiết lập một đường hầm L2TP:

1) Client gửi một yêu cầu kết nối tới NAS của ISP

2) NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử dụngphương pháp xác thực dựa trên ppp, như PAP, CHAP, SPAP và EAP cho chứcnăng này

3) NAS khởi động LAC, nơi chứa thông tin về LNS của mạng đích

4) Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian giữahai đầu cuối Môi trường đường hầm này có thể là ATM, Frame Relay hoặcIP/ƯDP