Một mạng riêng ảo (VPN) là một sự mở rộng của mạng riêng mà bao gồm các liên kết qua việc chia sẻ hoặc mạng công cộng như Internet. Với một VPN bạn có thể gửi dữ liệu giữa hai máy tính qua chia sẻ tài nguyên hoặc Internet công cộng theo một kiểu cạnh tranh với các tính năng của liên kết riêng điểm nối điểm. Việc cấu hình và tạo ra mạng riêng ảo được xem như là mạng riêng ảo. Để cạnh tranh với liên kết điểm nối điểm, dữ liệu được đóng gói, với một phần header cung cấp khác tin về tuyến đoạn cho phép nó đi qua các chia sẻ tài nguyên hoặc mạng internet công cộng để tới đích. Để cạnh tranh với liên kết riêng, dữ liệu gửi đi được mã hóa cẩn mật. Các gói mà bị chặn chia sẻ hoặc mạng chung không thể đọc được không có các khóa đó mã hóa. Liên kết ở đó dữ liệu riêng được đóng gói và mã hóa được xem như là một kết nối mạng riêng ảo. Các kết nối VPN cho phép người sử dụng có thể làm việc tại nhà hoặc trên đường nếu nhận được một kết nối từ xa tới một máy phục vụ sử dụng cơ sở hạ tầng được cung cấp bởi mạng công cộng như là Internet. Từ viễn cảnh của người sử dụng, VPN là một kết ố điểm với điểm giữa máy tính, Máy khách VPN, máy phục vụ tổ chức, và máy phục vụ VPN. Cơ sở hạ tầng đóng đắn của việc chia sẻ hoặc mạng công cộng là không thích hợp bởi vì nó xuất hiện hợp lý như là dữ liệu được gửi qua một liên kết riêng chuyên dụng. Các kết nối VPN còng cho phép các tổ chức định tuyến kết nối với các văn phòng xa nhau hoặc với các tổ chức khác qua mạng công cộng như là intenet hoạt động như một liên kết WAN chuyên dụng. Với cả hai kết nối từ xa và kết nối đã được xác định, các kết nối VPN cho phép một tổ chức hoạt động thương mại trong một khoảng cách xa hoặc các đường leased line tới các nhà cung cấp dịch vụ Internet.
Trang 11.2.2 Kết nối VPN theo kiểu Router-to-Router 10
1.3 Các tính chất của mạng riêng ảo 10
1.3.1 Đóng gói 11
1.3.2 Xác thực 11
1.3.3 Mó hoỏ dữ liệu 11
1.3.4 Phân phối địa chỉ và tờn mỏy phục vụ 11
1.4 Các kết nối dùa trên Internet và Intranet 12
1.4.1 Các kÕt nối VPN trên vào Internet 13
1.4.2 Truy cập từ xa dựa trờn Internet13
1.4.3 Kết nối đến các mạng khác qua Internet 13
1.4.4 Connecting Networks Using Dedicated WAN Links 14
1.4.5 Kết nối đến các mạng sử dụng các liên kết Dial-Up 14
1.4.6 Các kết nối VPN dùa vào intranet 15
1.4.7 Truy cập từ xa qua mạng nội bộ 15
1.4.8 Kết nối các mạng qua Intranet 16
1.5 Quản lý mạng riêng ảo 16
2 Giao thức Point-to-Point Tunneling Protocol - PPTP 20
2.1 Duy trì các tuyến truyền với kết nối điều khiển PPTP 21
2.2 PPTP Data Tunneling 23
2.2.1 Đóng gói PPP frame 23
2.2.2 Đóng gói cỏc gúi tin GRE 24
2.2.3 Đóng gói ở tầng Data-Link 24
2.2.4 Xử lý dữ liệu của PPTP được truyền theo các tuyến 24
Cỏc gãi tin PPTP và kiến trúc mạng Windows 2000 24
3 Bảo mật VPN 27
Trang 24.1.1 Các địa chỉ IP và quay số mỏy khách VPN 29
4.1.2 Các tuyến truyền mặc định và các Dial-up Client 30
4.1.3 Các tuyến truyền ngầm định và các VPNs khác qua Internet 32
4.1.4 Địa chỉ chung 33
4.1.5 Địa chỉ riêng 33
4.1.6 Địa chỉ nạp chồng và không hợp lệ 33
4.2 Các kết nối VPN từ Router đến Router VPN 35
4.2.1 Mạng riêng ảo dùa vào Router-to-Router tạm thời và lâu dài 35
4.2.2 Các kết nối VPNs sử dụng Dial-Up ISP 36
4.2.3 Cấu hình kết nối VPN yêu cầu tại bộ định tuyến của chi nhánh văn phòng 36
4.2.4 Cấu hình corporate office router 37
4.2.5 Định tuyến tĩnh và động 39
5 Khái quát về truyền theo tuyến 40
5.1 Giao thức Tunneling 40
5.1.1 Cách làm việc của Tunneling 40
5.1.2 Giao thức Tunneling và yêu cầu cơ bản 40
5.2 Giao thức Point-to-Point (PPP) 42
5.2.1 Tạo liên kết PPP 42
5.2.2 Xác nhận người sử dụng 42
5.2.3 Điều khiển PPP Callback 43
5.2.4 Triệu gọi giao thức tầng Mạng (Network Layer Protocols) 43
5.2.5 Pha truyền dữ liệu 43
5.3 Giao thức Point-to-Point Tunneling (PPTP) 44
5.4 Giao thức Tunneling líp thứ 2 44
5.5 Mô hình đường ống sử dụng giao thức bảo mật IP (IPSec) 45
5.6 Kiểu tuyến truyền (Tunnel) 45
5.6.1 Tuyến truyền tù nguyện45
5.6.2 Tuyến truyền bắt buộc 46
6 Mạng riêng ảo và Firewalls 47
6.1 Cấu hình VPN Server and Firewall 47
6.1.1 VPN Server ở phía trước Firewall 47
6.1.2 Lọc gói tin trong PPTP 48
6.1.3 VPN Server nằm sau Firewall 49
6.1.4 Cáo bộ lọc PPTP 50
7 Giải đáp những thắc mắc về VPNs 52
7.1 Những vấn đề khác thường của mạng riêng ảo 52
7.1.1 Một yêu cầu kết nối bị từ chối mà đáng ra nó phải được chấp nhận 52
7.1.2 Không thể truy cập đến các vùng ngoài tầm của VPN server 54
7.1.3 Không thể thiết lập một tuyến truyền 54
Trang 39.2.1 Tên của VPN server 65
9.2.2 Khả năng kết nối đến VPN server 65
9.2.3 Các VPN server và cấu hình firewall 66
9.3 Các giao thức xác thực 66
9.3.1 Lùa chọn phương thức xác thực 67
9.4 Các giao thức VPN67
9.4.1 Point-to-Point Tunneling Protocol 68
9.4.2 Layer Two Tunneling Protocol with IPSec 68
9.4.3 Lùa chọn giữa PPTP và L2TP 68
9.5 VPN Server 70
9.5.1 Cấu hình cho VPN Server 70
9.6 Hạ tầng mạng Intranet 72
9.6.1 Chuyển đổi tên 72
9.6.2 Chuyển đổi tên để truy cập đến các tài nguyên 73
9.8.2 Ngăn chặn truyền khác phát đi từ VPN client 80
9.8.3 Một số điều cần lưu ý đối với hạ tầng dịch vụ AAA82
10 Triển khai hệ thống truy cập từ xa PPTP 83
10.1 Triển khai hạ tầng dịch vụ thẻ chứng nhận 83
10.1.1 Triển khai các thẻ chứng nhận máy 83
10.1.2 Triển khai hệ thống smart card 84
10.1.3 Triển khai các thẻ chứng nhận người sử dụng 84
10.2 Triển khai hạ tầng dịch vụ Internet 85
10.2.1 Đặt các VPN server vào hệ thống mạng bao quát của Internet 85
10.2.2 Cài đặt Windows 2000 Server trờn các VPN server và cấu hình kết nối Internet 85 10.2.3 Bổ sung các bản ghi vào Internet DNS 86
10.3 Triển khai hạ tầng dịch vụ AAA 86
10.3.1 Cấu hình dịch vụ Active Directory cho các account người sử dụng hay các nhóm làm việc 86
10.3.2 Cấu hình IAS server chính trên một trình điều khiển domain 87
10.3.3 Cấu hình mét IAS server thữ cấp trên một trình điều khiển domain khác 87
10.4 Triển khai các VPN Server 88
Trang 410.4.1 Cấu hình kết nối của VPN server với mạng nội bộ 88
10.4.2 Chạy trình Routing and Remote Access Server Setup Wizard 88
10.5 Hạ tầng mạng Intranet 89
10.5.1 Cấu hình cho việc định tuyến của VPN server 89
10.5.2 Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào mạng nội bộ của tổ chức không 90
10.5.3 Cấu hình việc định tuyến cho nhúm cỏc địa chỉ nằm ngoài dải của subnet 90
10.6 Triển khai các VPN Client90
10.6.1 Trực tiếp cấu hình các VPN client 90
10.6.2 Cấu hình cỏc gúi tin CM với trình CMAK 90
11 Triển khai hệ thống truy cập từ xa L2TP 91
11.1 Triển khai hạ tầng dịch vụ thẻ chứng nhận 91
11.1.1 Triển khai các thẻ chứng nhận máy 91
11.1.2 Triển khai hệ thống smart card 92
11.1.3 Triển khai các thẻ chứng nhận người sử dụng 92
11.2 Triển khai hạ tầng dịch vụ Internet 93
11.2.1 Đặt các VPN server vào hệ thống mạng bao quát của Internet 93
11.2.2 Cài đặt Windows 2000 Server trên VPN server và cấu hình các kết nối Internet 93 11.2.3 Bổ sung các bản ghi vào Internet DNS 94
11.3 Triển khai hạ tầng dịch vụ AAA 94
11.3.1 Cấu hình dịch vụ Active Directory cho các account người sử dụng hay các nhóm làm việc 94
11.3.2 Cấu hình IAS server chính trên một trình điều khiển domain 95
11.3.3 Cấu hình mét IAS server thữ cấp trên một trình điều khiển domain khác 95
11.4 Triển khai các VPN Server 96
11.4.1 Cấu hình kết nối của VPN server với mạng nội bộ 96
11.4.2 Chạy trình Routing and Remote Access Server Setup Wizard 96
11.5 Hạ tầng hệ thống mạng Intranet 97
11.5.1 Cấu hình cho việc định tuyến của VPN server 98
11.5.2 Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào mạng nội bộ của tổ chức không 98
11.5.3 Cấu hình việc định tuyến cho nhúm cỏc địa chỉ nằm ngoài dải của subnet 98
11.6 Triển khai các VPN Client98
11.6.1 Trực tiếp cấu hình các VPN client 98
11.6.2 Cấu hình cỏc gúi tin CM với trình CMAK 99
Tài liệu tham khảo 100
Các giải pháp cho công nghệ VPN trên Windows 2000
Trang 5Phần 1Các vấn đề tổng quan của VPN Các vấn đề tổng quan của VPN
1 Khái quát về mạng riêng ảo
Một mạng riêng ảo (VPN) là một sự mở rộng của mạng riêng mà bao gồm các liên kếtqua việc chia sẻ hoặc mạng công cộng như Internet Với một VPN bạn có thể gửi dữliệu giữa hai máy tính qua chia sẻ tài nguyên hoặc Internet công cộng theo một kiểucạnh tranh với các tính năng của liên kết riêng điểm nối điểm Việc cấu hình và tạo ramạng riêng ảo được xem như là mạng riêng ảo
Để cạnh tranh với liên kết điểm nối điểm, dữ liệu được đóng gói, với một phần headercung cấp khác tin về tuyến đoạn cho phép nó đi qua các chia sẻ tài nguyên hoặc mạnginternet công cộng để tới đích Để cạnh tranh với liên kết riêng, dữ liệu gửi đi được mãhóa cẩn mật Các gói mà bị chặn chia sẻ hoặc mạng chung không thể đọc được không
có các khóa đó mã hóa Liên kết ở đó dữ liệu riêng được đóng gói và mã hóa được xemnhư là một kết nối mạng riêng ảo
Các kết nối VPN cho phép người sử dụng có thể làm việc tại nhà hoặc trên đường nếunhận được một kết nối từ xa tới một máy phục vụ sử dụng cơ sở hạ tầng được cung cấp
Hình 1 : Minh hoạ khái niệm logic của mạng riêng ảo.
Trang 6bởi mạng công cộng như là Internet Từ viễn cảnh của người sử dụng, VPN là một kết
ố điểm với điểm giữa máy tính, Máy khách VPN, máy phục vụ tổ chức, và máy phục vụVPN Cơ sở hạ tầng đóng đắn của việc chia sẻ hoặc mạng công cộng là không thích hợpbởi vì nó xuất hiện hợp lý như là dữ liệu được gửi qua một liên kết riêng chuyên dụng.Các kết nối VPN còng cho phép các tổ chức định tuyến kết nối với các văn phòng xanhau hoặc với các tổ chức khác qua mạng công cộng như là intenet hoạt động như mộtliên kết WAN chuyên dụng
Với cả hai kết nối từ xa và kết nối đã được xác định, các kết nối VPN cho phép một tổchức hoạt động thương mại trong một khoảng cách xa hoặc các đường leased line tớicác nhà cung cấp dịch vụ Internet
1.1.2 Máy khách VPN
Một máy tính khời đầu một kết nối VPN từ một máy phục vụ Một máy khách VPN cóthể nhận được một kết nối VPN từ xa hoặc một tuyến đoạn mà nhận từ kết nối VPNrouter-to-router Các máy tính cài đặt Microsoftđ Windows NT version 4.0, MicrosoftđWindows 95, và Microsoftđ Windowsđ 98 đều có thể tạo các kết nối VPN từ xa tới mộtmáy phục vụ VPN NT Windows NT Server 4.0-based computers running the Routingand Remote Access Service (RRAS) có thể tạo các kết nối VPN router-to-router tớimột máy Windows NT 4.0 với một máy phục vụ VPN dựa vào dịch vụ RAS Các máykhách VPN cũng có thể là bất kỳ máy khách nào dựa vào giao thức đường hầm điểm tớiđiểm
Trang 7Chú ý Nó có thể tạo ra một đường hầm và gửi dữ liệu qua đường hầm mà không cần
mã hóa Đõy không phải là kết nối VPN bởi vì dữ liệu riêng được gửi qua mạng chia sẻhoặc mạng công cộng trong một dạng không thể mã hóa và đọc dễ dàng
1.1.5 Các giao thức tuyến truyền
Sử dụng để quản lý các tuyến truyền và dữ liệu riêng được đóng gói (Dữ liệu mà đượctuyến truyền hoá cũng phải được mã hóa thành kết nối VPN)
1.1.6 Tunneled data
Dữ liệu thường xuyên được gửi qua liên kết điểm tới điểm riêng
1.1.7 Truyền liên mạng
Mạng chia sẻ hoặc công cộng được đi qua bởi các dữ liệu được đóng gói Với Windows
2000, lưu thụng liên mạng luụn dựa vào IP Lưu khác liên mạng có thể là internet hoặcmạng nội bộ dựa vào IP riêng
1.2 Các kết nối VPN
Tạo kết nối VPN gần tương tự với việc thiết lập kết nối điểm tới điểm sử dụng mạngquay số và các thủ tục định tuyến yêu cầu xử lý Có hai dạng kết nối VPN: kết nối VPNtruy cập từ xa và kết nối VPN dựa vào router-to-router
Hình 2 Các thành phần của một kết nối VPN
Trang 81.2.1 Kết nối VPN truy cập từ xa
Kết nối VPN truy cập từ xa được thực hiện bởi một máy khách truy cập từ xa, một máytính đơn, và kết nối tới mạng riêng Máy phục vụ VPN cung cấp truy cập tới các tàinguyên của máy phục vụ VPN hoặc tới toàn bộ mạng mà máy phục vụ ở đó Các góiđược gửi từ máy khách từ xa qua kết nối VPN nguyên thuỷ tại các máy khách từ xa Máy khách truy cập từ xa ( máy khách VPN ) xác nhận chính nó máy phục vụ truy cập
từ xa ( máy phục vụ VPN ) và sự xác nhận qua lại , máy phục vụ tù xác nhận tới máykhách
1.2.2 Kết nối VPN theo kiểu Router-to-Router
Một kết nối VPN dựa vào router-to-router được thực hiện bởi một bộ định tuyến và kếtnối hai phần của mạng riêng Máy phục vụ VPN cung cấp kết nối định tuyến tới mạng
mà máy phục vụ VPN ở đó Trên kết nối VPN dựa vào router-to-router, các gói gửi từ
bộ định tuyến qua kết nối VPN đặc biệt không bắt đầu từ các bộ định tuyến
Bộ định tuyến gọi (máy khách VPN) tự xác nhận tới các bộ định tuyến trả lời (máy phục
vụ VPN), và xác nhận qua lại lẫn nhau, bộ định tuyến trả lời xác nhận chính nó tới bộđịnh tuyến gọi
1.3 Các tính chất của mạng riêng ảo
Công nghệ VPN cung cấp một cách đóng gói dữ liệu riêng với một header mà cho phép
nó truyền qua liên mạng
Trang 91.3.2 Xác thực
Với kết nối VPN được thiết lập, máy phục vụ VPN xác nhận dự định kết nối của máykhách VPN và kiểm tra xem máy khách VPN có được sự cho phép thích hợp không.Nếu sự xác nhận qua lại được sử dụng, máy khách VPN cũng xác nhận máy phục vụVPN, cung cấp các biện pháp bảo vệ chống lại các máy phục vụ VPN giả mạo
1.3.3 Mã hoá dữ liệu
Để đảm bảo sự an toàn của dữ liệu khi nó truyền qua liên mạng chia sẻ hoặc công cộng,
nó được mã hóa bởi các bộ gửi và giải mã bởi các bộ nhận Quá trình mã hóa và giải mãphụ thuộc vào cả hai bộ gửi và bộ nhận và đều biết khóa mã chung
Các gói bị chặn được gửi qua kết nối VPN trong lưu khác liên mạng không thể hiểuđược bởi bất cứ ai mà không có khóa mã chung Độ dài của khóa mã là một tham số bảomật quan trọng Công nghệ tính toán có thể được sử dụng để xác nhận khoá chung Nhưcác công nghệ yêu cầu nhiều khả năng tính toán và thời gian tính toán khi các khóa mãtrở nmờn lớn hơn Bởi vậy, rất quan trọng khi sử dụng kích thước lớn nhất có thể đượccủa khoá
Hơn nữa, nhiều thụnmg tin được mã hóa với cùng một khoá, sẽ dễ dàng giải mã các dữliệu được mã hóa Với một vài kỹ thuật mã hóa, ta có thể lựa chọn để cấu hình các khóa
mã khác thường được thay đổi trong khi kết nối
1.3.4 Phân phối địa chỉ và tại máy phục vụ
Khi một máy phục vụ VPN được cấu hình, nó tạo ra một giao diện ảo mà ở đó thể hiệntất cả các kết nối VPN được tạo ra Khi một máy khách VPN hoàn thành một kết nốiVPN, một giao diện ảo được tạo ra trên máy khách VPN mà thể hiện một giao diện kếtnối tới máy phục vụ VPN Giao diện ảo trên máy khách VPN được kết nối tới giao diện
ảo trên máy phục vụ VPN, tạo ra kết nối VPN theo kiểu point-to-point
Các giao diện ảo trên máy khách VPN và máy phục vụ VPN phải được thiết khai báocác địa chỉ IP Việc khai báo các địa chỉ đó được thực hiện bởi máy phục vụ VPN Theomặc định, máy phục vụ VPN chứa các địa chỉ IP cho chính nó và của các máy kháchVPN sử dụng Dynamic Host Configuration Protocol (DHCP) Bạ cũng có thể cấu hìnhmột vùngcác địa chỉ IP tĩnh
Trang 10Sự phân phối tên server, sự phân phối của hệ thống tên miền (DNS) và WindowsInternet Name Service (WINS) servers, cũng xảy ra trong khi kết nối VPN hoàn thỏnhcác quá trình Máy khách VPN nhận được các địa cjỉ IP của hệ thống tên miền và cácserver WINS từ các phục vụ VPN cho mạng nội bộ nơi mà máy phục vụ VPN gắn vào.
1.4 Các kết nối dựa trên Internet và Intranet
Các kết nối VPN có thể được sử dụng bất cứ khi nào một kết nối điểm tới điểm bảo mật
là cần thiết để kết nối tới người sử dụng hoặc mạng Kết nối VPN điển hình đồng thờidựa vào nền tảng của Internet và intranet
1.4.1 Các kếtnối VPN trên vào Internet
Sử dụng một kết nối VPN dựa vào internet bạn có thể tránhcác khoảng cách xa và cáccuộc trao đổi điện thoại theo kiểu 1-800 khi tận dụng các ưu điểm và khả năng toàn cầucủa internet
1.4.2 Truy cập từ xa dựa trên Internet
Hơn là một máy khách truy cập từ xa phải có một kết nối dài hoặc các cuộc gọi theokiểu 1-800 tới tổ chức hoặc máy phục vụ truy cập outsource network (NAS), máy khách
có thể gọi tới một nhà cung cấp dịch vụ internet địa phương Bằng cách sử dụng kết nốivật lý đã được xác lập bởi ISP địa phương, máy khách truy cập từ xa bắt đầu một kếtnối VPN qua Internet tới máy phục vụ VPN Kết nối VPN đã được tạo ra, máy khách
Hình 3: Kết nối VPN kết nối một máy khách từ xa tới một mạng nội bộ riêng
Trang 11truy cập từ xa có thể truy cập tới các tài nguyên của mạng nội bộ riêng Hình 3 minhhoạ truy cập từ xa qua Internet
1.4.3 Kết nối đến các mạng khác qua Internet
Khi các mạng được kết nối qua Internet ( minh hoạ trong hình 4 ), một bộ định tuyếnhướng các gói tin tới bộ định tuyến khác qua kết nối VPN Tới các bộ định tuyến, VPNthụ hiện như một tầng liên kết dữ liệu
1.4.4 Connecting Networks Using Dedicated WAN Links
Hơn là việc sử dụng một liên kết WAN chuyên dụng ở khoảng cách xa đắt tiền giữa cácvăn phòng, các bộ đinh tuyến được kết nối tới Internet sử dụng các liên kết WANchuyên dụng tới ISP địa phương Một kết nối VPN router-to-router được bắt đầu bởi bộđịnh tuyến khác qua Internet Tại một kết nối, các bộ định tuyến có thể hướng trực tiếphoặc giao thức định tuyến truyền qua lại lẫn nhau sử dụng kết nối VPN
1.4.5 Kết nối đến các mạng sử dụng các liên kết Dial-Up
Hơn là có một bộ định tuyến tại các chi nhánh để thực hiện các kết nối từ khoảng cách
xa hoặc outsourced NAS, bộ định tuyến tại chi nhánh văn phòng gọi tới ISP địa phương
Sử dụng các kết nối đã thiết lập tới ISP địa phương, một kết nối VPN dựa vào router được bắt đầu tại bộ định tuyến ở các chi nhánh tới bộ định tuyến tại tổ chức quaInternet Bộ định tuyến tại tổ chức hoạt động như một máy phục vụ VPN, phải được kếtnối tới ISP địa phương sử dụng liên kết WAN chuyên dụng
router-to-Đế có nhiều khác tin hơn về cấu hình các kết nối VPN kết nối quay số tới ISP địaphương hãy xem phần địa chỉ và định tuyến cho mạng riêng ảo ở phần sau
Hình 4 Một VPN kết nối site từ xa qua Internet
Trang 12Có thể các văn phòng kết nối tới Internet sử dụng liên kết WAN theo kiểu quay số Tuynhiên, điều này chỉ klhả thi nếu các nhà cung cấp dịch vụ Internet cung cấp định tuyếnyêu cầu quay số tới các khách hàng ISP gọi tới các bộ định tuyến khách hàng khi mộtgói IP được phân phát tới khách hàng Định tuyến yêu cầu quay số tới các khách hàngkhông được cung cấp rộng rãi bới các nhà cung cấp dịch vụ.
1.4.6 Các kết nối VPN dựa vào intranet
Kết nối VPN dựa vào mạng nội bộ tận dụng các ưu điểm của kết nối IP trong một tổchức mạng nội bộ
1.4.7 Truy cập từ xa qua mạng nội bộ
Trong một vài tổ chức mạng nội bộ, dữ liệu của một phòng, như là một tại phòng nhân
sự, dữ liệu quá quan trọng đến nỗi mà các vùng mạng của phòng không được kết nối vật
lý tới phần còn lại của tổ chức mạng nội bộ Trong khi điều này bảo vệ dữ liệu củaphũng, nó tạo ra các vấn đề truy cập khác tin cho những người sử dụng không được kếtnối vật lý tới vùng mạng riêng biệt
Các kết nối VPN cho phép các vùng mạng quan trọng của phòng được kết nối vật lý tới
tổ chức mạng nội bộ nhưng được tách ra bởi máy phục vụ VPN Máy phục vụ VPNkhông cung cấp một kết nối định tuyến trực tiếp giữa mạng nội bộ và vùng mạng riêngbiệt Những người sử dụng trên mạng nội bộ với sự cho phép thích hợp có thể thực hiệnmột kết nối VPN truy cập từ xa với maý phục vụ VPN và có thể nhận được truy cập tớicác tài nguyên được bảo vệ của vùng mạng quan trọng Hơn nữa, tất cả các giao tiếpqua kết nối VPN được mã hóa với các dữ liệu một cách cẩn mật Với những người sử
Hình 5: Một kết nối VPN cho phép truy cập từ xa tới mạng bảo mật qua một mạng nội bộ.
Trang 13dụng mà không được phép thực hiện một kết nối VPN, vùng mạng riêng được đặt với
họ Hình 5 minh hoạ truy cập từ xa qua mạng nội bộ
1.4.8 Kết nối các mạng qua Intranet
Bạn cũng có thể kết nối hai mạng qua một mạng nội bộ sử dụng kết nôi VPN dựa vàorouter-to-router Loại kết nối VPN này có thể cần thiết, ví dụ, hai phòng trong cácvùngriêng biệt, dữ liệu của nó có độ nhạy cảm cao, phải giao tiếp với nhau Cho ví dụ,phòng tài chính có thể cần giao tiếp với phòng nhân sự để trao đổi khác tin về lương.Phòng tài chính và phòng nhân sự được kết nối tới mạng nội bộ chung với các máy tính
mà có thể hoạt động như các máy khách VPN hoặc các máy phục vụ VPN Một kết nốiVPN được thiết lập, những người sử dụng máy tính trên cùng một mạng có thể trao đổi
dữ liệu quan trọng qua mạng nội bộ chung Hình 6 Minh hoạ các mạng kết nối qua mộtmạng nội bé
1.5 Quản lý mạng riêng ảo
Mạng riêng ảo phải được quản lý như bất kỳ mạng nào khác, và các vấn đề bảo mậtVPN, đặc biệt với các kết nối VPN qua Internet, phải được đánh địa chỉ một cách cầnthận Hãy xem xét các câu hỏi sau:
Tài khoản dữ liệu người sử dụng được lưu trữ ở đâu?
Các địa chỉ được khai báo tới các máy khách VPN như thế nào?
Những ai được phép tạo kết nối VPN?
Máy phục vụ VPN xác nhận nhận dạng người sử dụng gắn với kết nối VPN nhưthế nào?
Máy phục vụ VPN ghi lại hoạt động của mạng riêng ảo như thế nào?
Hình 6 Một kết nối VPN hai mạng qua một mạng nội bộ
Trang 14 Máy phục vụ VPN có thể được quản lý bằng cách sử dụng các giao thức và cơ
sở hạ tầng của quản lý mạng theo chuẩn công nghiệp như thế nào?
1.5.1 Quản lý người sử dụng
Bởi vì nó không thể cung cấp quyền quản trị để tỏch các tài khoản người sử dụng trêncác máy phục vụ riêng biệt với cùng một người sử dụng và cố gắng giữ chúng thực hiệnđồng thời, hầu hết các nhà quản trị thiết lập một cơ sở dữ liệu các tài khoản tai nơi điềukhiển miền quan trọng (PDC) hoặc trên một phục vụ người sử dụng quay số xác nhận từ
xa (RADIUS) Điều này cho phép máy phục vụ VPN gửi quyền uỷ nhiệm xác nhận thiết
bị xác nhận trung tâm Cùng một tài khoản người sử dụng được dóng chom cả hai quay
số truy cập từ xa và truy cập từ xa theo kiểu VPN
1.5.2 Quản lý địa chỉ và tên của VPN server
Máy phục vụ VPN phải có các địa chỉ IP có khả năng để phân phối chúng tới giao diện
ảo của máy phục vụ VPN và các máy khách VPN trong khi giao thức điều khiển IP(IPCP) các pha dàn xếp của tiến trình khởi tạo kết nối Địa chỉ IP được phân phối tớimáy khách VPN được khai báo trên giao diện ảo của máy khách VPN
Với For Windows NT 4.0-dựa vào các máy phục vụ VPN, các địa chỉ IP được phânphối tới các máy khách VPN được nhận qua DHCP theo mặc định Bạn cũng có thể cấuhình một vùng địa chỉ IP tĩnh
Máy phục vụ VPN cũng phải được cấu hình với các địa chỉ DNS và máy phục vụWINS để phân phối tới máy khách VPN trong khi dàn xếp IPCP
từ xa và biến đổi các tính chất của phục vụ truy cập từ xa hoặc các phục vụ định tuyến
và truy cập từ xa với các tham số cần thiết
Trang 151.5.4 Quản lý xác thực
Phục vụ truy cập từ xa của Windows NT 4.0 sử dụng khả năng xác nhận của Windows
NT Định tuyến của Windows NT 4.0 và phục vụ truy cập từ xa (RRAS) có thể đượccấu hình để sử dụng cả Windows NT và RADIUS khi nhà cung cấp xác nhận
1.5.5 Xác thực của RADIUS
Nếu RADIUS được chọn và cấu hình như nhà cung cấp xác nhận trên máy phục vụVPN, sự uỷ nhiệm người sử dụng và các tham số của yêu cầu kết nối được gửi như mộtchuỗi khác điệp yêu cầu RADIUS tới máy phục vụ RADIUS
Máy phục vụ RADIUS nhận một yêu cầu kết nối người sử dụng từ máy phục vụ VPNxác nhận người sử dụng từ cơ sở dữ liệu xác nhận của nó Một máy phục vụ RADIUScũng có thể duy trì một vùng cơ sở dữ liệu trung tâm của các tính chất người sử dụngthích hợp khác Hơn nữa có một câu trả lời có không tới một yêu cầu xác nhận,RADIUS có thể cung cấp khác tin về các tham số kết nối khác trên máy phục vụ VPNtới người sử dụng như là thời gian lớn nhất của một phiên, khai báo địa chỉ IP tĩnh, RADIUS có thể trả lời các yêu cầu xác nhận dựa vào cở dữ liệu riêng của nó, hoặc nó
có thể ở trước điểm cuối của một máy phục vụ cơ sở dữ liệu khác như là một máy phục
vụ kết nối cơ sở dư liệu mở (ODBC) hoặc một Windows NT 4.0 PDC Gầm đáy có thểđược phân bổ trên cùng một máy tính như máy phục vụ RADIUS, hoặc ở một nơi nàokhác Thêm vào, một máy phục vụ VPN có thể hoạt động như một máy khách proxy tớimột máy phục vụ RADIUS từ xa
Giao thức RADIUS được miêu tả trong RFC 2138 và RFC 2139
1.5.6 Quản lý tài account
Định tuyến và phục vụ truy cập từ xa trên Windows NT 4.0 có thể được cấu hình để sửdụng RADIUS như một nhà cung cấp tài khoản Các khác điệp tính toán RADIUS đượcgửi tới máy phục vụ RADIUS để tích luỹ và phân tích sau
Hầu hết các máy phục vụ RADIUS có thể được cấu hình để đặt các bản ghi yêu cầu xácnhận vào một file tài khoản Có một tập các khác điệp ( từ máy phục vụ truy cập từ xatới máy phục vụ RADIUS ) mà yêu cầu các bản ghi tài khoản tai lúc bắt đầu cuộc gọi,kết thúc cuộc gọi, và tại các khoảng thời gian định trước trong cuộc gọi một nhóm
Trang 16thuộc các đảng thứ ba đã viết hoá đơn và kiểm tra các gói mà đọc các bản ghi tài khoảnRADIUS đó và tạo ra các báo cáo có ích khác nhau.
1.5.7 Quản lý mạng
Hoạt động của máy tính như một máy phục vụ VPN có thể tham gia vào một môitrường giao thức quản lý mạng đơn giản (SNMP) như một đại lý SNMP nếu phục vụSNMP của Windows NT 4.0 được cài đặt Máy phục vụ VPN ghi lại các khác tin quản
lý trong các đối tượng định nghĩa khác nhau Internet Management Information Base(MIB) II, mà được cài đặt với phục vụ SNMP của Windows NT 4.0 các đối tượngtrong MIB II được công bố trong RFC 1213
Trang 172 Giao thức Point-to-Point Tunneling Protocol - PPTP
Giao thức đường ngầm điểm tới điểm (PPTP) đóng gói các khung của giao thức điểmtới điểm (PPP) trong một gói IP để truyền qua một liên mạng dựa vào IP như Internethoặc một mạng riêng
PPTP sử dụng một kết nối TCP được biết như kết nối điều khiển PPTP được tạo ra, duytrì, và hoàn thành đường ngầm và một phiờm bản biến đổi của Generic RoutingEncapsulation (GRE) để đóng gói các khung PPP như dữ liệu đường ngầm Trọng tảicủa các khung PPP đã được đóng gói có thể được mã hóa hoặc nén hoặc cả hai
PPTP cho rằng khả năng của một IP liên mạng giữa một máy khách PPTP ( một máykhách đường ngầm sử dụng giao thức đường ngầm PPTP ) và một máy phục vụ PPTP(một máy phục vụ đường ngầm sử dụng giao thức đường ngầm PPTP ) Máy kháchPPTP có thể đã được gắn với một địa chỉ IP liên mạng mà có thể tới được máy phục vụPPTP, hoặc máy khách PPTP có thể phải quay số tới một máy phục vụ truy cập mạng(NAS) để thiết lập kết nối IP như ở trong trường họp người sử dụng quay số internet
Sự xác nhận xảy ra khi tạo kết nối VPN dựa vào PPTP sử dụng cùng những cơ chế xácnhận như các kết nối PPP, như là Extensible Authentication Protocol (EAP), MicrosoftChallenge-Handshake Authentication Protocol (MS-CHAP), CHAP, Shiva PasswordAuthentication Protocol (SPAP), và Password Authentication Protocol (PAP) PPTP kếthừa sự mã hóa hoặc nén hoặc cả hai của tải trọng PPP từ PPP Với Windows 2000, cảEAP-Transport Level Security (EAP-TLS) và MS-CHAP phải được sử dụng để các tảitrọng PPP được mã hóa sử dụng mã hóa điờmt tới điểm của Microsoft (MPPE)
MPPE chỉ cung cấp mã hóa liên kết, không phải là mã hóa end Mã hóa end là mã hóa dữ liệu giữa ứng dụng của máy khách và máy phục vụ hoặc các phục vụđược truy cập bởi ứng dụng khách
end-to-Với các máy phục vụ PPTP dựa vào internet, máy phục vụ PPTP là một máy phục vụVPN có khả năng PPTP với một giao diện trên internet và giao diện thứ hai trên mạngnội bộ
Trang 182.1 Duy trì các tuyến truyền với kết nối điều khiển PPTP
Kết nối điều khiển PPTP ở giữa địa chỉ IP của máy khách PPTP sử dụng phân bố cáccổng TCP động và địa chỉ IP của máy phục vụ PPTP sử dụng cổng TCP dành riêng là
1723 Kết nối điều khiển PPTP mang các điều khiển cuộc gọi PPTP và các khác điệpquản lý mà được sử dụng để duy trì đường ngàm PPTP Điều này bao gồm sự tryền củacác yêu cầu dội lại theo định kỳ của PPTP và các khác điệp trả lời lại của PPTP để dò racác kết nối lỗi giữa máy khách PPTP và máy phục vụ PPTP Các gói kết nối điều khiểnPPTP bao gồm phần đầu IP, phần đầu của TCP, và một khác điệp điều khiển PPTP nhưminh hoạ trên hình 7 Gói kết nối điều khiển PPTP trong hình 7 còng bao gồm phầmđầu và cuối của tầng liên kết dữ liệu
Bảng 1 liệt kê các khác điệp điều khiển PPTP nguyên thuỷ mà được gửi qua kết nốiđiều khiển PPTP Với tất cả các khác i p i u khi n PPTP, điệp điều khiển PPTP, đường ngầm PPTP ệp điều khiển PPTP, đường ngầm PPTP điệp điều khiển PPTP, đường ngầm PPTP ều khiển PPTP, đường ngầm PPTP ển PPTP, đường ngầm PPTP điệp điều khiển PPTP, đường ngầm PPTPường ngầm PPTPng ng m PPTPầm PPTP
Start-Control-Connection-Reply
Được gửi bởi máy phục vụ PPTP để trả lời khác điệp yêucấu bắt đầu kết nối điều khiển
Outgoing-Call-Request Được gửi bởi máy khách PPTP để tạo ra một đường ngầm
PPTP Bao gồm ty khác điệp Outgoing-Call-Request làmột Call-ID mà được sử dụng trong header của GRE đểđịnh nghĩa việc truyền qua đường ngầm của môt đườngngầm đặc biệt
Hình 7 Gửi tin PPTP Control Connection
Trang 19Outgoing-Call-Reply Được gửi bởi máy phục vụ PPTP khi trả lời lại khác điệp
Outgoing-Call-Request
Echo-Request Được gửi bởi cả máy khách PPTP và máy phục vụ PPTP
như một cơ chế keep-alive Nếu yêu cầu trả lại khôngđược trả lời, cuối cùng đường ngầm PPTP cũng kết thúc.Echo-Reply Trả lời cho yêu cầu lại Chú ý : Yêu cầu lại của PPTP và
khác điệp trả lại không liên quan tới yêu cầu lại và cáckhác điệp trả lại ICMP
WAN-Error-Notify Được gửi bởi máy phục vụ PPTP tới tất cả các máy khách
VPN để chỉ ra các trường hợp lỗi trên giao diện PPP củamáy phục vụ PPTP
Set-Link-Info Được gửi bởi máy khách PPTP hoặc máy phục vụ PPTP
để thiết lập các lựa chọn dàn xếp PPP
Call-Clear-Request Được gửi bởi máy khách PPTP chỉ ra rằng một đường
ngầm kết thúc
Call-Disconnect-Notify Được gửi bởi máy phục vụ PPTP khi yêu cầu xoá cuộc
gọi hoặc cho các lý do khác để chỉ ra rằng một đườngngầm đã bị ngắt Nếu máy phục vụ PPTP ngắt đườngngầm, một khác báo ngừng kết nối cuộc gọi sẽ được gửi.Stop-Control-Connection-
Request
Được gửi bởi máy khách PPTP hoặc máy phục vụ PPTP
để khác báo kết nối điều khiển bị ngắt
Trang 20Hình 8 cấu trúc của PPTP tunneled data
2.2.1 Đóng gói PPP frame
Khởi đầu tải lượng PPP được mã hóa và đóng gói với một header PPP để tạo ra mộtkhung PPP Khung PPP sau đó được đóng gói với header GRE bị biến đổi GRE đượccông bố trong RFC 1701 và RFC 1702 và được thiết kế để cung cấp một cơ chế đơngiản, gọn nhẹ, mục đích chung để đóng gói dữ liệu và gửi qua liên mạng GRE là mộtgiao thức khách của IP sử dụng giao thức IP 47
Với PPTP, phần header GRE được biến đổi theo các cách sau :
A 32-bit Acknowledgement field is added
Một bit được thừa nhận được sử dụng để chỉ ra rằng trường 32 bit được đưa ra
và rất quan trọng
Trường khoá được thay thế với một trường tải trọng độ dài 16 bit và một trườngCall-ID 16 bit Trường Call-ID được thiết lập bởi máy khách PPTP khi tạo rađường ngầm PPTP
Một trường xác nhận 32 bit được thêm
Trong phần header của GRE, dạng giao thức được thiết lập tới 0x880B, EtherTypeđánh giá cho một khung PPP
Chú ý : GRE thỉnh thoảng được sử dụng bởi các nhà cung cấp dịch vụ hướng các thụngtinh định tuyến bên trong mạng của ISP Để chặn các khác tin định tuyến không bịhướng tới các bộ định tuyến xương sống của internet Như một kết quả của quá trình lọcnày, các đường ngầm PPTP có thể được tao bằng cách sử dụng các khác điệp điều khiểnPPTP, nhưng dữ liệu đường ngầm PPTP không bị hướng tới Nếu bạn nghi ngờ rằngđay là một vấn đề, hãy liên lạc với ISP của bạn
Hình 8 Dữ liệu PPTP được truyền theo các tuyến
Trang 212.2.2 Đóng gói các gói tin GRE
Kết quả của GRE và PPP được đóng gói là sau khi đóng gói với một phần đầu IP chứađịa chỉ IP nguồn và đích chính xác của máy khách PPTP và máy phục vụ PPTP
2.2.4 Xử lý dữ liệu của PPTP được truyền theo các tuyến
Dựa vào việc nhận dữ liệu đường ngầm PPTP, máy khách PPTP hoặc máy phục vụPPTP :
1 Xử lý và loại bỏ phần header và trailer của liên kết dữ liệu
2 Xử lý và loại bỏ phần header của IP
3 Xử lý và loại bỏ phần header của GRE và PPP
4 Giải mã hoặc giải nén, hoặc cả hai của tải trọng PPP (nếu cần thiết)
5 Xử lý tải trọng cho việc nhận hoặc gửi tiếp
Các gói tin PPTP và kiến trúc mạng Windows 2000
Hình 9 minh hoạ phần mà dữ liệu đường ngầm lấy qua kiến trúc mạng Windows 2000
từ một máy khách VPN qua kết nối VPN truy cập từ xa sử dụng một modem tương tù.Các bước sau đưa ra tiến trình này :
1 Một gói IP, IPX, hoặc khung NetBEUI được xác nhận bởi giao thức tương ứngcủa nó tới giao diện ảo mà đại diện kờts nối VPN sử dụng NDIS
2 NDIS xác nhận gói tới NDISWAN, mà mã hóa hoặc nén dữ liệu, hoặc cả hai, vàcung cấp phần header PPP chỉ bao gồm trường ID của giao thức PPP Cáctrường không có cờ và khung kiểm tra tuần tự (FCS) được thêm Điều này cho
Trang 22thấy rằng địa chỉ và các trường nén điều khiển được dàn xếp trong pha giao thứcđiờự khiển liên kết (LCP) của tiến trình kết nối PPP
3 NDISWAN xác nhận dữ liệu tới điều khiển giao thức PPTP, nơi mà đóng góicác khung PPP với một phần đầu GRE Trong phần đầu GRE, CAll-ID đượcthiết lập tới các giá trị thích hợp để định nghĩa đường ngầm
4 Trình điều khiển giao thức PPTP xác nhận các gói kết quả tới trình điều khiểngiao thức TCP/IP
5 Trình điều khiển giao thức TCP/IP đóng gói dữ liệu đường ngầm PPTP với mộtkphần header IP và đưa gói kết quả tới giao diện mà thực hiện kết nối quay số tớinhà cung cấp dịch vụ internet địa phương sử dụng NDIS
6 NDIS đưa các gói tới NDISWAN, mà cung cấp các phần header và trailer PPP
7 NDISWAN đưa khung PPP kết quả tới trình điều khiển miniport WAN thíchhợp thực hiện quay số bằng phần cứng ( ví dụ, cổng không đồng bộ cho một kếtnối modem)
Chú ý : Có thể dàn xếp một kết nối PPP được mã hóa cho kết nối quay số với ISP Điều
này là không cần thiết và không được yêu cầu bởi vì dữ liệu riêng được gửi đi, cáckhung PPP theo kiểu đường ngầm, đã được mã hoá Mức độ mã hóa được thêm làkhông cần thiết và có thể ảnh hưởng đến hiệu năng
Hình 9 PPTP Packet Development
Trang 23là các biện pháp an toàn của việc thay đổi quyền uỷ nhiệm.
3.2 Mã hoá với MPPE
PPTP kế thừa mã hóa MPPE, sử dụng dòng mật mã RSA RC4 MPPE chỉ có khả năngkhi giao thức xác nhận MS-CHAP ( phiên bản 1 hoặc 2 ) được sử dụng
MPPE có thể sử dụng khóa mã 40 bit hoặc 128 bit Khoá 40 bit được thiết kế để sửdụng quốc tế và gắn bó với mã hóa của Hoa kỳ Khoá 128 bit được thiết kế cho vùngBắc Mỹ sử dụng Theo mặc định, độ dài cao nhất được cung cấp bởi VPN client vàVPN server được dàn xếp khi tiến trình kết nối hoàn thành Nếu VPN server yêu cầumột độ dài khoá cao hơn được cung cấp bới VPN client, kết nối cố gắng đẩy ra
MPPE được thiết kế nguyên thuỷ cho mã hỏo qua liên kết điểm tới điểm ở đó các góiđến cùng một thứ tự mà chúng đó được gửi với gói nhỏ đã mất Với môi trường này,giải mã mỗi gói dựa vào việc giải mã của gói trước
Tuy nhiên, với các kết nối VPN, các gói IP được gửi qua Internet có thể đến theo thứ tựkhác nhau và sự phân bố của các gói có thể bị mất Bởi vậy, MPPE trong kết nối VPNthay đổi các khóa mã cho mỗi gói Việc giải mã mỗi gói độc lập với gói trước MPPE cócác số liên tục trong header của MPPE Nếu các gói bị mất hoặc đến không theo thứ tự,khóa mã thay đổi quan hệ với số liên tiếp đó
3.3 Lọc gói tin PPTP
Một VPN server dựa vào PPTP điển hình có hai giao diện vật lý : một là tại các sự chia
sẻ hoặc mạng công cộng như internet, và giao diện khác là mạng nội bộ riêng Nó cũng
có một giao diện ảo kết nối tới tất cả các máy khách VPN Với máy phục vụ VPN gửi
Trang 24tới giữa các máy khách VPN, IP gửi tới phải có khả năng trên tất cả các giao diện Tuynhiên, khả năng gửi đi giữa hai giao diện vật lý phụ thuộc vào máy phục vụ VPN địnhtuyến tất cả các IP tới các chia sẻ hoặc mạng công cộng tới mạng nội bộ Để bảo vệmạng nội bộ từ tất cả các giao dịch không được gửi bởi máy khách VPN, bộ lọc góiPPTP phải được cấu hình sao cho máy phục vụ VPN chỉ thực hiện việc định tuyến giữacacs máy khách VPN và mạng nội bộ mà không phải quan tâm tới các khả năng nguyhiểm của người sử dụng tại việc chia sẻ tài nguyên hoặc mạng công cộng và mạng nộibộ.
Lọc gói PPTP có thể được cấu hình trên cả máy phục vụ VPN và trên cả firewall trunggian
Trang 254 Địa chỉ và định tuyến cho các kết nối VPN
Để hiểu VPN làm việc như thế nào, bạn phải hiểu việc đánh địa chỉ và định tuyến ảnhhưởng như thế nào qua việc tạo các truy cập từ xa VPN và các kết nối VPN dựa vàorouter-to-router Một kết nối VPN tạo giao diện ảo phải được đăng ký một địa chỉ IPthích hợp, và các tuyến đoạn phải được thay đổi hoặc thêm để đẩm bảo các giao dịchchính xác được gửi qua kết nối VPN an toàn để thay thế việc chia sẻ hoặc truyền quamạng công cộng
4.1 Các kết nối VPN truy cập từ xa
Với các kết nối VPN truy cập từ xa, một máy tính tạo ra một kết nối truy cập từ xa tớimáy phục vụ VPN Trong quá trình kết nối máy phục vụ VPN phân bố một địa chỉ IPcho máy khách VPN truy cập từ xa và thay đổi các tuyến đoạn mặc định trên máy khách
từ xa vì vậy giao dịch tuyến đoạn mặc định được gửi qua giao diện ảo
4.1.1 Các địa chỉ IP và quay số máy khách VPN
Để quay số tới các máy khách VPN, nơi mà kết nối tới Internet trước khi tạo kết nốiVPN với một máy phục vụ VPN trên Internet, hai địa chỉ IP được phõn bố :
Khi tạo kết nối PPTP, IPCP vượt qua với nhà cung cấp dịch vụ NAS một địa chỉ
IP công cộng
Khi tạo kết nối VPN, IPCP đi qua với máy phục vụ VPN bằng một địa chỉ IP nội
bộ Địa chỉ IP được phân bố bởi máy phục vụ VPN có thể là một địa chỉ IP côngcộng hoặc một địa chỉ IP riêng, dựa vào tổ chức của bạn đang thực hiện việcđánh địa chỉ riêng hoặc chung trên mạng nội bộ
Trong mỗi trường hợp địa chỉ IP được phân bố tới máy khách VPN phải có thể tới đượcbởi các host trên mạng nội bộ và vice versa Máy phục vụ VPN phải có đầu vào thíchhợp trong bảng định tuyến để tới tất cả các host trên mạng nội bộ và các bộ định tuyếncủa mạng nội bộ phải có các điểm vào thích hợp trong bảng định tuyến ddể tới các máykhách VPN
Dữ liệu đường ngầm gửi qua VPN được đánh địa chỉ từ máy khách VPN, máy phục vụVPN - phân bố địa chỉ tới một địa chỉ trên mạng nội bé Header của IP bên ngoài đượcđánh địa chỉ giữa nhà cung cấp - phân bố địa chỉ IP của máy khách VPN và đị chỉ công
Trang 26cộng của máy phục vụ VPN Bởi vì các bộ định tuyến trên internet chỉ xử lý các header
IP bên ngoài, các bộ định tuyến internet hướng dữ liệu đường ngầm tới
địa chỉ IP công cộng của máy phục vụ VPN
Một ví dụ của địa chỉ máy khách quay số được trình bày trên hình 10 tổ chức sử dụngcác địa chỉ riêng trên mạng nội bộ, và dữ liệu đường ngầm là một gói IP
4.1.2 Các tuyến truyền mặc định và các Dial-up Client
Khi một máy khách quay số tới một ISP, nó nhận một địa chỉ IP công cộng từ ISP NAS.Một địa chỉ gateway mặc định không được phân bố như một phần của quá trình dàn xếpIPCP Bởi vậy, để tiếp cận các địa chỉ Internet, máy khách quay số thêm một tuyến đoạnmặc định tới bảng định tuyến của nó giao diện quay số kết nối tới ISP Như là kết quả,máy khách có thể hướng các gói IP tới ISP NAS từ những nơi mà chúng định tuyến tớivùng internet của nó
Với các máy khách quay số không có các giao diện TCP/IP khác, đây là điều mongmuốn Tuy nhiên, cách này có thể là nguyên nhân gây ra sự nhầm lẫn cho các máykhách quay số mà có một mạng LAN tồn tại- dựa vào kết nối tới một mạng nội bộ
Hình 10 Các địa chỉ công cộng và riêng trong PPTP Tunneled Data
Trang 27Trong trường hợp này, một tuyến đoạn mặc định trỏ tới bộ định tuyến của mạng nội bộđịa phương Khi một máy khách quay số tạo ra một kết nối với ISP của chúng, tuyếnđoạn mặc đinh ban đầu còn lại bảng định tuyến nhưng đã được thay đổi để có một hệđơn vị đo cao hơn Một tuyến đoạn mặc định mới được thêm vào với một metric thấphơn sử dụng kết nối ISP
Như là một kết quả, những vùng mạng nội bộ mà không phải là các máy khách quay sốđược gắn vào mạng trực tiếp không thể tới được khoảng thời gian kết nối tới ISP Nếutuyến đoạn mặc định mới không được tạo ra, tất cả các vùngtrên mạng nội bộ có thể tớiđược, nhưng các vùng trên internet thì không
Windows 2000 dựa vào máy khách quay số tạo ra tuyến đoạn mặc định một cách mặc
định Để không tạo ra các tuyến đoạn mặc định, bỏ lựa chọn trên hộp check Use default
gateway on remote network trên dialog PPP TCP/IP Settings.
Để nhận được kết nối tới cả internet và intranet khi kết nối ISP kích hoạt, hãy chọn Use
default gateway on remote network và thêm các tuyến đoạn của mạng nội bộ tới bảng
định tuyến của máy khách quay số Các tuyến đoạn trên mạng nội bộ có thể được thêmqua các tuyến đoạn tĩnh lâu dài Khi kết nối tới ISP, tất cả các vùngtrên mạngk nội bộ
có thể tới được qua các tuyến đoạn trên mạng nội bộ và tất cả các vùngtrên internet cóthể tới được qua tuyến đoạn mặc định
4.1.3 Các tuyến truyền ngầm định và các VPNs khác qua Internet
Khi máy khách quay số gọi tới ISP, nó thêm một tuyến đoạn mặc định sử dụng kết nốitới ISP như trên hình 11 Tại thời điểm này, nó có thể tới tất cả các địa chỉ internet quatuyến đoạn tại ISP NAS
Hình 11 Tuyến đoạn mặc định được tạo khi gọi tới ISP
Trang 28Khi một máy khách VPN tạo kết nối VPN, một tuyến đoạn khác và một host định tuyếntới địa chỉ IP của máy phục vụ đường ngầm được thêm, như minh hoạ trên hình 12.Tuyến đoạn mặc định trước được lưu lại nhưng bõy giờ có một metric cao hơn Thêmtuyến đoạn mặc định mới nghĩa là tất cả các vùngtrên internet chấp nhận địa chỉ IP củamáy phục vụ đường ngầm không thể tới được vì khoảng thời gian tồn tại của kết nốiVPN.
Chỉ như trường hợp của một máy khách quay số kết nối tới internet, khi một máy kháchVPN quay số sử dụng đường ngầm chủ động tạo kết nối VPN tới một mạng nội bộ riêngqua internet, một trong những điều sau sẽ xảy ra :
Các vùngtrên internet có thể tới được và các vùngtrên intranet không thể tớiđược khi kết nối VPN không kích hoạt
Các vùngtrên intranet có thể tới được và các vùngtrên internet không thể tớiđược khi kết nối VPN kích hoạt
Với hầu hết các máy khách VPN kết nối dựa trên internet, điều này không phải là mộtvấn đề bởi vì chúng khác thường được giữ trước trong giao tiếp của intranet hoặcinternet, không phải là cả hai
Với các máy khách VPN muốn đồng thời truy cập tới tài nguyên của cả internet vàintranet khi VPN được kết nối, giải pháp dựa vào loại địa chỉ IP trong mạng nội bộ.Trong tất cả các trường hợp, cấu hình đối tượng kết nối VPN mà nó không thêm mộtgateway măc định Khi kết nối VPN được tạo, tuyến đoạn mặc định còn lại trỏ tới ISPNAS, cho phép truy cập tất cả các địa chỉ internet
Hình 12 Tuyến truyền mặc định tạo khi bắt đầu VPN
Trang 29Dựa vào các loại địa chỉ của mạng nội bộ mà ban sử dụng, có thể đồng thời truy cập tớitài nguyên trên intranet và internet như sau :
4.1.4 Địa chỉ chung
Thêm các tuyến đoạn lâu dài tĩnh cho các mạng công cộng, định danh của mạng nội bộ
sử dụng địa chỉ IP của máy phục vụ VPN trên giao diện ảo như điah chỉ IP gateway
4.1.5 Địa chỉ riêng
Thêm các tuyến đoạn lâu dài tĩnh cho các mạng riêng, định danh của mạng nội bộ sửdụng địa chỉ IP của máy phục vụ VPN trên giao diện ảo như điah chỉ IP gateway
4.1.6 Địa chỉ nạp chồng và không hợp lệ
Nếu mạng nội bộ sử dụng phân bố chồng hoặc các địa chỉ không hợp lẹ ( Các định danh
IP mạng mà không phải là riêng và không được đăng ký bởi InterNIC hoặc nhận từ mộtISP), các địa chỉ IP đó có thể bị trùng với các địa chỉ công cộng trên internet Nếu cáctuyến đoạn lâu dài tĩnh được thêm vào trên máy khách VPN vì các định danh mạng củamạng nội bộ bị phân bố chồng, các vùngtrên internet mà các địa chỉ phân bố chồng làkhông thể tới được
Trong mỗi trường hợp đó, các tuyến đoạn lâu dài tĩnh với các định danh mạng của mạngnội bộ cần được thêm vào máy khách VPN Khi các bộ định tuyến lâu dài được thêm,chúng được lưu trong registry Với Windows NT version 4.0 Service Pack 3 trở lên vàvới Windows NT 4.0, các tuyến đoạn lâu dài không thực sự được thêm vào bảng định
tuyến IP (và không thể thấy bên qua lệnh route print ) cho đến khi địa chỉ IP của
gateway được tiếp cận Địa chỉ IP của gateway trở nên có khả năng tới được khi kết nốiVPN được tạo ra
Với mỗi tuyến đoạn, đánh có pháp tiện Ích tuyến đoạn sau :
ROUTE ADD <Intranet Network ID> MASK <NetMask> <IP address of VPN server’s virtual interface> -p
Địa chỉ IP của gateway trong câu lệnh tuyến đoạn cho mỗi tuyến đoạn nội bộ là địa chỉ
IP được khai báo tới giao diện ảo của máy phục vụ VPN, không phải là địa chỉ IP củamáy phục vụ VPN trên giao diện internet
Trang 30Bạn có thể xác nhận địa chỉ IP của máy phục vụ VPN trên giao diện ảo từ câu lệnhipconfig chạy trên môi trường dos Nếu bạn sử dụng DHCP để nhận các địa chỉ IP đểquay số mạng và các máy khách VPN, địa chỉ IP của máy phục vụ VPN trên giao diện
ảo là địa chỉ IP đầu tiên nhận được khi yêu cầu cacs địa chỉ DHCP Nếu bạn cấu hìnhmột vùng địa chỉ IP tĩnh, địa chỉ IP của máy phục vụ VPN trên giao diện ảo là địa chỉ IPđầu tiên trong vùng địa chỉ IP tĩnh Bạn cũng có thể xác nhận địa chỉ IP của máy phục
vụ VPN trên giao diện ảo bằng cách quan sát chio tiết một hoạt động của kết nối VPN
từ máy khách VPN
Nguyên nhân Với tất cả các trường hợp đó, bạn phải thêm các tuyến đoạn rất cẩn thận
để đảm bảo rằng việc truyền dữ liệu riêng tới mạng nội bộ được hướng tới sử dụng kếtnối VPN và không phải kết nối PPP tới ISP Nếu các tuyến đoạn lỗi được thêm vào,việc truyền dữ liệu mà bạn quan tâm hướng qua mạng riêng ảo trong một dạng mã hóađược thay cho việc gửi không mã hóa qua internet Ví dụ, nếu mạng nội bộ của bạnđang sử dụng ID của mạng công cộng 207.46.130.0/24 (subnet mask 255.255.255.0), vàbạn thêm một cách nhầm lẫn một tuyến đoạn tĩnh lâu dài cho 207.46.131.0/24, tất cả cácgiao dịch tới mạng nội bộ 207.46.130.0/24 đều được hướng qua internet trong một dạngvăn bản được mã hóa, hơn nữa là được mã hóa và gửi qua kết nối VPN
4.2 Các kết nối VPN từ Router đến Router VPN
Kết nối VPN dựa vào router-to-router sử dụng định tuyến và phục vụ truy cập từ xa(RRAS), giao diện định tuyến được sử dụng để hướng các gói là một giao diện yêu cầuquay số được cấu hình như sau ;
Trên tab General, tại máy chủ hoặc địa chỉ của máy phục vụ VPN
Trên tab Protocols, chọn các giao thúc được định tuyến
Trên tab Security, chọn Accept only Microsoft encrypted authentication andRequire data encryption
Với quyền uỷ nhiệm của giao diện yêu cầu quay số, đánh user name, password,
và tên miền sử dụng để xác nhận máy khách VPN
Tạo các giao diện yêu cầu quay số là tự động với đồ thuật Demand Dial Interface Tên của các giao diên yêu cầu quay số và các uỷ quyền bộ định tuyến cuộc gọi phảiđược thực hiện phù hợp để đảm bảo kết nối VPN router-to-router
Trang 314.2.1 Mạng riêng ảo dựa vào Router-to-Router tạm thời và lâu dài
Kết nối VPN router có thể là tạm thời hoặc lâu dài Các kết nối VPN router tạm thời được tạo khi có các gói được định tuyến qua giao diện yêu cầu quay sốVPN và kết thúc sau một vài khoảng thời gian rỗi đặc biệt Thời gian rỗi được cấu hìnhtrên máy khách VPN ( bé định tuyến cuộc gọi ) Thời gian rỗi mặc định cho các gaiodiện yêu cầu quay số trên máy khách VPN là không giới hạn Sử dụng các kết nối VPNrouter-to-router tạm thời cho các chi nhánh văn phòng nơi mà sử dụng kết nối quay sốtới các nhà cung cấp dịch vụ internet địa phương của họ
router-to-Các kết nối VPN router-to-router lâu dài được tạo khi bộ định tuyến bắt đầu và yêu cầukết nối bất chấp việc lưu khác có được thực hiện không Nếu kết nối VPN bị ngắt, nó tựđộng gắn lại Sử dụng các kết nối VPN router-to-router lâu dài để kết nối các văn phòng
mà có các kết nối lâu dài tới internet Thời gian nhàn rỗi ngắt kết nối được cấu hình trêntab Dialing trên các tính chất của kết nối yêu cầu quay số
4.2.2 Các kết nối VPNs sử dụng Dial-Up ISP
Khi cả hai máy phục vụ VPN và máy khách VPN được kết nối trực tiếp tới internet sửdụng liên kết WAN lâu dài như là T1 hoặc Frame relay, kết nối VPN có thể lâu dài và
có khả năng 24 giờ trên một ngày Tuy nhiên, một liên kết WAN liên tục là không thể
và không thực tế, bạn có thể cấu hình yêu cầu kết nối VPN router-to-router sử dụngquay số ISP
Một yêu cầu kết nối VPN router-to-router sử dụng quay số ISP kết nối bao gồm hai gaiodiện yêu cầu quay số :
Một giao diện yêu cầu quay số quay số tới ISP địa phương
Một giao diện yêu cầu quay số cho kết nối VPN router-to-router
Một yêu cầu kết nối VPN router-to-router tự động hoàn thành khi dgiao dịch hướng quakết nối VPN được nhận bởi bộ định tuyến tại chi nhánh văn phòng Ví dụ, khi nhận mộtgói được định tuyên stới tổ chức , bé định tuyến chi nhánh văn phòng đầu tiên sử dụngliên kết quay số để kết nối tới ISP địa phương Khi kết nối internet được thực hiện, bộđịnh tuyến tại chi nhánh văn phòng, máy khách VPN, tạo kết nối VPN router-to-routervới bộ định tuyến tại văn phòng tổ chức, máy phục vụ VPN
Trang 324.2.3 Cấu hình kết nối VPN yêu cầu tại bộ định tuyến của chi nhánh
văn phòng
1 Tạo một giao diện yêu cầu quay số cho kết nối internet được cấu hình với thiết
bị thích hợp ( một modem hoặc một thiết bị ISDN ), sè điện thoại của ISP địaphương, và tên người sử dụng, mật khẩu được sử dụng để dành quyền truy cậpinternet
2 Tạo một giao diện yêu cầu quay số cho các kết nối VPN router-to-router với bộđịng tuyến của văn phòng chính được cấu hình với một thiết bị PPTP, địa chỉ IPhoặc tên máy chủ của máy phục vụ VPN tại giao diện trên internet của vanphũng chính Tại người sử dụng phải được đi cùng với tên của giao diên yêu cầuquay số trên máy phục vụ VPN tại văn phòng chính
3 Tạo một tuyến đoạn chủ tĩnh cho các địa chỉ IP của máy phục vụ VPN trên giaodiện internet mà sử dụng giao diện yêu cầu quay số để quay số tới nhà cung cấpdịch vụ địa phương
4 Tạo một tuyến đoạn tĩnh ( hoặc các tuyến đoạn ) cho các định danh IP mạng củamạng nội bộ mà sử dụng giao diện yêu cầu quay số
4.2.4 Cấu hình corporate office router
1 Tạo một giao diện yêu cầu quay số với các kết nối VPN với chi nhánh vănphòng được cấu hình cho moọt thiết bị PPTP Giao diện yêu cầu quay số phải cócùng tên như tên người sử dụng ở trong uỷ quyền xác nhận mà đưọc sử dụng bởicác bộ định tuyến tại chi nhánh văn phòng để tạo ra kết nối VPN
2 Tạo một hoặc các tuyến đoạn tĩnh cho các định danh IP mạng của chi nhánh vănphòng mả dụng giao diện yêu cầu quay số VPN
Kết nối VPN dựa vào router-to-router tự động khởi đầu bởi bộ định tuyến tại chi nhánhqua các tiến trình sau :
1 Các gói gửi tới hub mạng của tổ chức từ một người sử dụng trong chinhỏnh vănphòng được hướng đi bởi người sử dụng tới bộ định tuyến tại chi nhánh vănphòng
Trang 332 Bộ định tuyến tại chi nhánh văn phòng kiểm tra bảng định tuyến của nó và tìm
ra một tuyến đoạn để tới được mạng nội bộ của tổ chức, mà sử dụng giao diệnyêu cầu quay số VPN
3 Bộ định tuyến tại chi nhánh văn phòng kiểm tra trạng thái của giao diện yêu cầukết nối VPN và tìm ra nó là một trạng thái ngắt kết nối
4 Bộ định tuyến chi nhánh văn phòng lấy được cấu hình của giao diện yêu cầuquay số VPN
5 Dựa vào cấu hình của giao diện yêu cầu quay số VPN, bộ định tuyến tại chinhánh văn phòng dự định khởi tạo kết nối VPN router-to-router tại địa chỉ IP củamáy phục vụ VPN trên internet
6 Để hoàn thành một mạng riêng ảo dựa trên PPTP, một kết nối TCP phải đượcthiết lập với máy phục vụ VPN Các gói thiết lập của mạng riêng ảo được tạo ra
7 Để hướng các gói thiết lập VPN tới bộ định tuyến văn phòng tổ chức, bộ địnhtuyến tại chi nhánh văn phòng kiểm tra bảng định tuyến của nó và tìm tuyếnđoạn chủ sử dụng giao diện yêu cầu quay số ISP
8 Bộ định tuyến tại chi nhánh văn phòng kiểm tra trạng thái của giao diện yêu cầuquay số ISP và timf xem nó có phải đang ở trạng thái ngắt kết nối không
9 Bộ định tuyến tại chi nhánh văn phòng lấy lại cấu hình của giao diện yêu cầuquay số ISP
10 Dựa vào cấu hình giao diện yêu cầu quay số ISP, bộ định tuyến tại chi nhánhvăn phòng sử dụng modem hoặc adapter ISDN của nó để quay số và thiết lậpmột kết nối với ISP địa phương của nó
11 Khi kết nối ISP được tạo ra, các gói thiết lập VPN được gửi bởi bộ định tuyếntại chi nhánh văn phòng tới bộ định tuyến tại văn phòng tổ chức
12 Một riêng ảo được dàn xếp giữa bộ định tuyến tại chi nhánh văn phòng và bộđịnh tuyến tại văn phòng tổ chức Nnư phần dàn xếp, bộ định tuyến chi nhánhvăn phòng gửi uỷ quyền xác nhận mà được xác nhận bởi bộ định tuyến tại vănphòng tổ chức
Trang 3413 Bộ định tuyến tại văn phòng tổ chức kiểm tra các giao diện yêu cầu quay số của
nó và tìm ra tên người sử dụng được gửi trong khi xác nhận và thay đổi giaodiện sang trạng thái kết nối
14 Bộ định tuyến tại cjhi nhánh văn phòng hướng gói tin qua mạng riêng ảo và máyphục vụ VPN hướng các gói tới các vùngmạng nội bộ thích hợp
4.2.5 Định tuyến tĩnh và động
Khi các giao diện yêu cầu quay số được tạo ra và các chọn lựa được thiết lập giữa cáckết nối tạm thời và lâu dài, bạn phải chọn một trong những biện pháp sau để thêm kháctin định tuyến tới bảng định tuyến :
Với các kết nối tạm thời, bạn có thể thêm vào các tuyến đoạn tĩnh thích hợp tới các địnhdanh mạng của các văn phòng khác Việc cấu hình bằng tay các tuyến đoạn tĩnh đượcdành riêng cho các thực hiện nhỏ với số lượng các tuyến đoạn nhỏ
Với các kết nối tạm thời, bạn có thể sử dụng phương pháp tự động cập nhật tĩnh để cậpnhật chính xác các tuyến đoạn tĩnh mà có khả năng đin qua kết nối VPN router-to-router Các tuyến đoạn tự động tĩnh làm việc tố với các thao tác lớn với luợng khác tinđịnh tuyến lớn
Với các kết nối lâu dài, điều khiển các giao thức định tuyến thích hợp qua kết nối VPNrouter-to-router để xử lý các kết nối VPN như liênkờt điểm với điểm
Chú ý không như đinh tuyến yêu cầu quay số sử dụng các kết nối vật lý trực tiếp, bạn
không thể sử dụng tuyến đoạn IP mặc định được cấu hình cho giao diện yeu cầu quay sốVPN để tổng hợp tất cả các tuyến đoạn trên mạng nội bộ có khả năng đi qua mạng riêng
ảo Bởi vì bộ định tuyến được kết nối tới internet, bạn phải sử dụng tuyến đoạn mặcđịnh để tổng hợp tất cả các tuyến đoạn của internet và cấu hình nó để sử dụng giao diệninternet
Trang 355 Khái quát về truyền theo tuyến
5.1 Giao thức Tunneling
Để tạo một liên kết theo kiểu đường ống thì cả 2 phái client và server đều phải sử dụngcùng một giao thức Tunneling Protocols Về cơ bản công nghệ Tạo đuờng hầm có thểđặt trên cả 2 lớp 2 và lớp thứ 3 trong mô hình bẩy tầng Trong tầng thứ 2 (data-linklayer) TP (Tunneling Protocol) sử dụng frame làm đơn vị trao đổi khác tin PPTP vàL2TP đều là giao thức thuộc vào tầng thứ 2 này và cả hai đều được đóng gói trong mộtframe PPP để gửi đi khác qua mạng Đổi với tầng thứ 3, các giao thức của VPN trongtầng này đều sử dụng gói làm đơn vị truyền, hệ đường ống IPSec là một ví dụ của L3TP
và được đóng gói trong các gói tin IP (được thêm vào phần Header IP trước khi gửichúng khác qua hệ thống mạng IP)
Cách làm việc của Tunneling
Các giao thức L2TP (như PPTP và L2TP) đều sử dụng đường ống như một phiên giaodịch, cả 2 điểm đầu và cuối của đường ống đều phải đồng ý giao dịch, các biến cấuhình, các địa chỉ được xác nhận, cách thức mã hóa, tham số nén Dữ liệu được truyềnkhác qua đường ống dựa trên giao thức datagram-based điều này làm cho các giao thứcL2TP phải có một giao thức duy trì đường ống để quản lý đường ống
Các giao thức L3TP thường được cấu hình trước phiên giao dịch điều này làm cho cácgiao thức L3TP không cần phải có pha duy trì đường ống trong 1 phiên giao dịch nhưnglại đòi hỏi phải có những hàm khởi tạo, duy trì và huỷ cho một đuờng ống
5.1.1 Giao thức Tunneling và yêu cầu cơ bản
Các giao thức TP đều dựa trên giao thức PPP nên chúng được thừa kết các đặc điểm củagiao thức này như sau:
Xác nhận người dùng
Đây là một đặc điểm cơ bản của PPP, trong TP đặc điểm này cũn có thêm các methodEAP Trước mỗi khi sử dụng đường ống cả hai điều cuối của đường ống đều phải đượcphổ biến (và xác nhận) trước đường ống, Một ngoại lệ là các giao dịch của IPSecInternet Key Exchange luôn luôn có quá trình xác nhận lẫn nhau trong một phiên giao
Trang 36dịch Các xác nhận này thường cho mỗi máy mà không cho từng người dùng trong máy,
đó có thể là chỗ yếu trong bảo mật của giao thức lớp này
Quản lý khoá
MPPE dựa trên khóa được sinh khi xác nhận người sử dụng và luôn xác nhận lại định
kỳ, còn IPSec thì trao đổi khoá trong suốt quá trình trao đổi IKE và cũng xác nhận lạimột cách định kỳ
Trang 37cho đến pha 2 Tương tự như LCP, pha thứ nhất chỉ xác định có sử dụng nén dữ liệu với
mã hóa hay không Sự lựa chọn phương pháp nén và mã hóa được miêu tả trong pha 4
CHAP bảo mật tốt hơn PAP bởi 2 lý do:
Mật mã thuần tuý ký tự được mã hóa bằng cách băm từ challenge Mật mã nàyđược xác nhận hai lần (một lần từ client và một lần so sánh tại server)
Các Replay Actack được loại bỏ nhờ sử dụng xâu ngẫu nhiên trong challenge.Các Impersonation được loại bỏ do không thể đoán trước được quá trình gửi lặpchallenge tới client từ xa trong suốt kết nối
MS-CHAP
Trang 38MS-CHAP là một cơ chế mã hóa được nâng cấp hơn CHAP nó cung cấp khả năng bảomật cao hơn cho tên định danh và mật khẩu cùng với quá trình xác nhận khoá Với MS-CHAP v2 quy trình hoạt động như sau:
SERVER SECTION ID, ARBITRARY CHALLENGE STRING CLIENT SECTION ID, ARBITRARY CHALLENGE STRING CLIENT SECTION ID, ARBITRARY CHALLENGE STRING CLIENT
PASSWORD) SERVER SECTION ID, ARBITRARY CHALLENGE STRING CLIENT
Quá trình trả lời cũng tương tự như vậy, với cách bảo mật như thế này MS-CHAP v2 đãgiải quyết được rất tốt những vấn đề về bảo mật của giao thức TP
5.2.3 Điều khiển PPP Callback
Pha này sử dụng Callback Control Protocol (CBCP) ngay lập tức sau pha định danh,NAS sẽ gọi lại client theo một số điện thoại xác định và NAS cho phép kết nối từ xamột cách vật lý tại số điện thoại đó
5.2.4 Triệu gọi giao thức tầng Mạng (Network Layer Protocols).
Mỗi một khi pha thứ 3 kết thúc, PPP gọi các giao thức điều khiển mạng (networkcontrol protocol – NCP) được chọn trong quá trình thiết lập liên kết (pha 1) để cấu hìnhcác giao thức được sử dụng từ client
5.2.5 Pha truyền dữ liệu
Mỗi một lần 4 pha trên được hoàn thành, PPP bắt đầu chuyển tiếp các dữ liệu giữa haingười dùng Mỗi một gói dữ liệu được chuyển được ghép với PPP header và sau đóđược bỏ đi bởi nơi nhận Nếu có xác nhận dữ liệu được nén và phương pháp nén và mãhóa ở pha 1 và pha 4 thì dữ liệu sẽ được giải nén, giải mã sau khi nhân
5.3 Giao thức Point-to-Point Tunneling (PPTP)
PPTP là giao thức của tầng thứ 2 đóng gói các PPP frame trong gói dữ liệu của IP đểtruyền qua mạng IP PPTP sử dụng kết nối TCP để duy trì kết nối và đóng gói dữ liệucủa ống vào frame của TCP Hình vẽ dưới đây miêu tả cấu trúc một frame của PPTP
Trang 395.4 Giao thức Tunneling lớp thứ 2
L2TP sử dụng UDP và một số khác điệp riêng để duy trì đường ống L2TP cũng sửdụng UDP để gửi gói L2TP trong frame của PPP như là dữ liệu của ống Dữ liệu này cóthể được mã hóa hoặc nộn Hình sau miêu tả cấu trúc gói của L2TP chứa đựng dữ liệucủa người sử dụng
Đặc biệt trong Windows 2000, ESP (IPSEC Encapsulating Security Payload) được sửdụng để mã hóa gói L2TP Nó cũn được gọi là L2TP/IPSEC và có cấu trúc như sau:
5.5 Mô hình đường ống sử dụng giao thức bảo mật IP (IPSec)
IPSEC là giao thức chuẩn của tầng 3 cung cấp phương thức gởi các khác tin được bảomật khác qua mạng IP IPSEC xác định các định dạng của gói của một IP khác qua môhình IP tunnel Một IPSec tunnel chứa đựng một client và một server cùng được cấuhình để sử dụng IPSec và thương lượng cơ cấu mã hóa
Mô hình IPSec tunnel sử dụng các gói tin được mã hóa cùng với IP header và truyềnkhác qua mạng tới nơi nhận do đó về thực chất IPSec có những tính chất của IP và thêmmột số tính năng sau:
Chỉ hỗ trợ cho mạng IP
Những hàm hỗ trợ này ở đáy của IP stack, bởi vậy các ứng dụng và giao thức ởmức cao hơn thừa kế các hàm này
Trang 40 Được điều khiển bởi chế độ security policy-một tập các quy tắc lọc Những chế
độ này thiết lập sự mã hóa và cơ chế tạo đường ống, đồng thời cũng tạo ra cácphương pháp xác nhận
5.6 Kiểu tuyến truyền (Tunnel)
5.6.1 Tuyến truyền tù nguyện
Người sử dụng hay máy client có thể gửi một yêu cầu VPN xác định cấu hình và tạođường ống kiểu này Trong trường hợp trên, máy tính của người sử dụng là một điểmcuối của tuyến truyền và hoạt động như một tuyến truyền client
Kiểu tuyến truyền này xảy ra khi một máy trạm hoặc một server chọn đường sử dụngcác phần mềm tạo đường ống tại client dể khởi tạo một kết nối ảo tới server đích Đểthực hiện được điều đó, một giao thức TP phải được cài đặt trên máy client và thêm vào
đó là các giao thức phục vụ kết nối IP
Trong trường hợp dial-up, client phải thiết lập kết nối dial-up trước khi thiết lập mộtđường ống
5.6.2 Tuyến truyền bắt buộc
Việc cấu hình và tạo tuyến truyền được VPN dial-up access server thực hiện Với kiểutuyến truyền bắt buộc, máy tính của người sử dụng không phải là điểm cuối của tuyếntruyền Một thiết bị khác, dial-up access server, này giữa máy tính của người sủ dụng
và server sẽ là điểm cuối (endpoint) và hoạt động như một tuyến truyền client
Thiết bị mạng hoặc máy tính cung cấp tuyến truyền cho client được gọi là Front EndProcessor (FEP) trong PPTP, LZ Access Concentrator (LAC) trong L2TP, hoặc là một
IP Security Gateway trong IPSec Không giống như một tuyến truyền riêng được thiếtlập cho mỗi client dễ bị tác động, một tuyến truyền giữa FEP và tunnel server có thểđược chia sẻ bởi nhiều dial-up clients
