Xây dựng mô hình ứng dụng công nghệ IP VPN

Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các giải pháp thực hiện IP-VPN của doanh nghiệp, ví dụ như giao thức đường ngầm sử dụng, các thuật toán mã hóa đi kèm và độ p

MỤC LỤC

DANH MỤC CÁC CHỮ VIẾT TẮT 3

LỜI NÓI ĐẦU 3

CHƯƠNG I NHỮNG KIẾN THỨC TỔNG QUAN VỀ IP-PN 10

1.1 Giới thiệu về bộ giao thức TCP/IP 10

1.2 Mô hình phân lớp bộ giao thức TCP/IP 11

1.2.1.1 Giao thức Internet 12

1.2.1.2 Giao thức lớp vận chuyển 13

1.3 Công nghệ IP-VPN 16

1.3.1 Giới thiệu 16

1.3.2 Các khối cơ bản trong mạng IP-VPN 18

1.3.3 Phân loại mạng riêng ảo theo kiến trúc 24

1.3.3.1 IP-VPN truy nhập từ xa 24

1.3.3.2 Site-to-Site IP-VPN 26

1.3.4 Các giao thức đường ngầm trong IP-VPN 28

1.3.4.1 PPTP (Point - to - Point Tunneling Protocol) 29

1.3.4.2 L2TP (Layer Two Tunneling Protocol) 33

1.4 Vấn đề bảo mật trong IP-VPN 37

1.4.1 IPSec 38

1.4.1.1 Khái niệm 38

1.4.1.2 Đóng gói thông tin của IPSec 39

1.4.2 Mật mã 47

1.4.2.1 Khái niệm mật mã 47

1.4.2.2 Các hệ thống mật mã khóa đối xứng 49

1.4.2.3 Hệ thống mật mã khóa công khai 54

1.4.3 Xác thực 56

1.4.3.1 Xác thực tính toàn vẹn của dữ liệu 56

1.4.3.2 Xác thực nguồn gốc dữ liệu 56

1.5 Lợi ích của IP-VPN 59

CHƯƠNG II GIỚI THIỆU MỘT SỐ MÔ HÌNH THỰC HIỆN IP-VPN VÀ TÌNH HÌNH TRIỂN KHAI VPN TẠI VIỆT NAM 60

2.1 Giới thiệu 60

2.1.1 Access IP-VPN 61

2.1.1.1 Kiến trúc khởi tạo từ máy khách 62

2.1.1.2 Kiến trúc khởi tạo từ máy chủ truy nhập NAS 62

2.1.2 Intranet IP-VPN và Extranet IP-VPN 62

2.2 Tình hình triển khai VPN tại Việt Nam 63

CHƯƠNG III XÂY DỰNG MÔ HÌNH ỨNG DỤNG CÔNG NGHỆ IP-VPN 65

3.1 Giới thiệu 65

3.1.1 Khảo sát hiện trạng sử dụng mạng 65

3.1.2 Giới thiệu mô hình IP-VPN tổng quan 65

3.1.3 Các thiết bị cần thiết để xây dựng hệ thống 66

3.2 Thiết lập hệ thống 66

3.2.1 Thiết lập NAT trong Router 67

3.2.2 Cài đặt VPN server 68

3.2.3 Cấu hình VPN server 75

3.2.4 Giới hạn cổng kết nối VPN từ Client tới Server 78

3.2.5 Tạo User cho phép sử dụng VPN 79

3.2.6 Tạo kết nối VPN client đến VPN server 80

KẾT LUẬN 84

TÀI LIỆU THAM KHẢO 86

CÁC WEBSITE THAM KHẢO 87

LỜI NÓI ĐẦU

Cùng với xu hướng IP hóa mạng viễn thông hiện nay, vấn đề đảm bảo an ninh cho dữ liệu khi truyền qua mạng IP là vấn đề mang tính chất tất yếu Đối với các tổ chức có phạm vi hoạt động rộng khắp, nhân viên luôn di chuyển trong quá trình làm việc thì việc truyền thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lý hoạt động của mạng luôn được đặt ra, và IP-VPN

là một giải pháp hiệu quả Theo như dự đoán của nhiều hãng trên thế giới thì thị trường VPN sẽ là thị trường phát triển rất mạnh trong tương lai

Thực tế thì VPN không phải là một khái niệm mới Nó được định nghĩa là mạng kết nối các site khách hàng đảm bảo an ninh trên cơ sở hạ tầng mạng chung cùng với các chính sách điều khiển truy nhập và đảm bảo an ninh như một mạng riêng Đã có rất nhiều phương án triển khai VPN như: X.25, ATM, Frame Relay, leased line… Tuy nhiên khi thực hiện các giải pháp này thì chi phí rất lớn để mua sắm các thiết bị, chi phí cho vận hành, duy trì, và quản lý

Với IP-VPN, các doanh nghiệp sẽ giảm được chi phí cho vận hành, duy trì quản lý đơn giản, khả năng mở rộng tại các vùng địa lí khác nhau một cách linh hoạt và không hạn chế Vấn đề an toàn của số liệu khi truyền bị phụ thuộc nhiều vào các giải pháp thực hiện IP-VPN của doanh nghiệp, ví dụ như giao thức đường ngầm sử dụng, các thuật toán mã hóa đi kèm và độ phức tạp của các thuật toán mã hóa này…nhưng không phụ thuộc vào kiến trúc cơ sở hạ tầng của mạng viễn thông

Mục đích của đồ án “Xây dựng mô hình ứng dụng công nghệ IP-VPN”

là tìm hiểu những vấn đề kỹ thuật cơ bản có liên quan đến việc thực hiện VPN, từ đó xây dựng mô hình ứng dụng IP-VPN tạo ra một mạng riêng ảo trong thực tế, nội dung cụ thể như sau:

IP- Chương 1: Những kiến thức tổng quan về IP-VPN

 Chương 2: Giới thiệu một số mô hình thực hiện IP-VPN và tình hình triển khai VPN tại Việt Nam

 Chương 3: Xây dựng mô hình ứng dụng IP-VPN

Em xin chân thành cảm ơn thầy giáo Đỗ Văn Quyền và các thầy cô giáo

trong bộ môn Điện Tử Viễn Thông đã tận tình dạy dỗ và giúp đỡ em trong quá trình học tập cũng như làm đồ án

DANH MỤC CÁC CHỮ VIẾT TẮT

Viết tắt Chú giải tiếng Anh Chú giải tiếng Việt

AAA Authentication, Authorization

and Accounting

Nhận thực, trao quyền và thanh toán

ACL Acess Control List Danh sách điều khiển truy nhập

ADSL Asymmetric Digital Subscriber

Line

Công nghệ truy nhập đường dây thuê bao số không đối xứng

AH Authentication Header Giao thức tiêu đề xác thực

ARP Address Resolution Protocol Giao thức phân giải địa chỉ

ARPA Advanced Research Project

Agency

Cục nghiên cứu các dự án tiên tiến của

Mỹ ARPANET Advanced Research Project

Agency

Mạng viễn thông của cục nghiên cứu

dự án tiên tiến Mỹ ATM Asynchronous Transfer Mode Phương thức truyền tải không đồng bộ BGP Border Gateway Protocol Giao thức định tuyến cổng miền

B-ISDN Broadband-Intergrated Service

Digital Network

Mạng số tích hợp đa dịch vụ băng rộng

CA Certificate Authority Thẩm quyền chứng nhận

CBC Cipher Block Chaining Chế độ chuỗi khối mật mã

CHAP Challenge - Handshake

Authentication Protocol

Giao thức nhận thực đòi hỏi bắt tay

CSU Channel Service Unit Đơn vị dịch vụ kênh

DCE Data communication Equipment Thiết bị truyền thông dữ liệu

DES Data Encryption Standard Thuật toán mã DES

DH Diffie-Hellman Giao thức trao đổi khóa Diffie-Hellman DLCI Data Link Connection Identifier Nhận dạng kết nối lớp liên kết dữ liệu DNS Domain Name System Hệ thông tên miền

DSL Digital Subscriber Line Công nghệ đường dây thuê bao số DSLAM DSL Access Multiplex Bộ ghép kênh DSL

DTE Data Terminal Equipment Thiết bị đầu cuối số liệu

EAP Extensible Authentication

Protocol

Giao thức xác thực mở rộng

ECB Electronic Code Book Mode Chế độ sách mã điện tử

ESP Encapsulating Sercurity Payload Giao thức đóng gói an toàn tải tin FCS Frame Check Sequence Chuỗi kiểm tra khung

FDDI Fiber Distributed Data Interface Giao diện dữ liệu cáp quang phân tán FPST Fast Packet Switched

Technology

Kỹ thuật chuyển mạch gói nhanh

FTP File Transfer Protocol Giao thức truyền file

GRE Generic Routing Encapsulation Đóng gói định tuyến chung

HMAC Hashed-keyed Message

Authenticaiton Code

Mã nhận thực bản tin băm

IBM International Bussiness Machine Công ty IBM

ICMP Internet Control Message

Protocol

Giao thức bản tin điều khiển Internet

ICV Intergrity Check Value Giá trị kiểm tra tính toàn vẹn

IETF Internet Engineering Task Force Cơ quan tiêu chuẩn kỹ thuật cho Internet IKE Internet Key Exchange Giao thức trao đổi khóa

IKMP Internet Key Management

Protocol

Giao thức quản lí khóa qua Internet

IN Intelligent Network Công nghệ mạng thông minh

IP Internet Protocol Giao thức lớp Internet

IPSec IP Security Protocol Giao thức an ninh Internet

ISAKMP Internet Security Association

and Key Management Protocol

Giao thức kết hợp an ninh và quản lí khóa qua Internet

ISDN Intergrated Service Digital

ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

L2F Layer 2 Forwarding Giao thức chuyển tiếp lớp 2

L2TP Layer 2 Tunneling Protocol Giao thức đường ngầm lớp 2

LCP Link Control Protocol Giao thức điều khiển đường truyền MAC Message Authentication Code Mã nhận thực bản tin

MD5 Message Digest 5 Thuật toán tóm tắt bản tin MD5

MTU Maximum Transfer Unit Đơn vị truyền tải lớn nhất

NAS Network Access Server Máy chủ truy nhập mạng

NGN Next Generation Network Mạng thế hệ kế tiếp

NSA National Sercurity Agency Cơ quan an ninh quốc gia Mỹ

OSI Open System Interconnnection Kết nối hệ thống mở

OSPF Open Shortest Path First Giao thức định tuyến OSPF

PAP Password Authentication

Protocol

Giao thức nhận thực khẩu lệnh

PDU Protocol Data Unit Đơn vị dữ liệu giao thức

PKI Public Key Infrastructure Cơ sở hạn tầng khóa công cộng

POP Point - Of - Presence Điểm hiển diễn

PPP Point-to-Point Protocol Giao thức điểm tới điểm

PPTP Point-to-Point Tunneling

Protocol

Giao thức đường ngầm điểm tới điểm

PSTN Public Switched Telephone

Network

Mạng chuyển mạch thoại công cộng

RADIUS Remote Authentication Dial-in

User Service

Dịch vụ nhận thực người dùng quay số

từ xa RARP Reverse Address Resolution

Protocol

Giao thức phân giải địa chỉ ngược

RAS Remote Access Service Dịch vụ truy nhập từ xa

RFC Request for Comment Các tài liệu về tiêu chuẩn IP do IETF

đưa ra RIP Realtime Internet Protocol Giao thức báo hiệu thời gian thực RSA Rivest-Shamir-Adleman Tên một quá trình mật mã bằng khóa

công cộng

SA Security Association Liên kết an ninh

SHA-1 Secure Hash Algorithm-1 Thuật toán băm SHA-1

SMTP Simple Mail Transfer Protocol Giao thức truyền thư đơn giản

SPI Security Parameter Index Chỉ số thông số an ninh

SS7 Signalling System No7 Hệ thống báo hiệu số 7

TCP Transmission Control Protocol Giao thức điều khiển truyền tải TFTP Trivial File Transfer Protocol Giao thức truyền file bình thường TLS Transport Level Security An ninh mức truyền tải

UDP User Data Protocol Giao thức dữ liệu người sử dụng VPN Virtual Private Network Mạng riêng ảo

CHƯƠNG I NHỮNG KIẾN THỨC TỔNG QUAN VỀ IP-PN

1.1 Giới thiệu về bộ giao thức TCP/IP

Tháng 6/1968, một cơ quan của Bộ Quốc phòng Mỹ là Cục các dự án nghiên cứu tiên tiến (Advanced Research Project Agency - viết tắt là ARPA) đã xây dựng dự án nối kết các trung tâm nghiên cứu lớn trong toàn liên bang với mục tiêu là chia sẻ, trao đổi tài nguyên thông tin, đánh dấu sự ra đời của ARPANET - tiền thân của mạng Internet hôm nay Ban đầu, giao thức truyền thông được sử dụng trong mạng ARPANET là NCP (Network Control Protocol), nhưng sau đó được thay thế bởi bộ giao thức TCP/IP (Transfer Control Protocol/ Internet Protocol) Bộ giao thức TCP/IP gồm một tập hợp các chuẩn của mạng, đặc

tả chi tiết cách thức cho các máy tính thông tin liên lạc với nhau, cũng như quy ước cho đấu nối liên mạng và định tuyến cho mạng

TCP/IP có những đặc điểm sau đây đã làm cho nó trở nên phổ biến:

- Độc lập với kiến trúc mạng: TCP/IP có thể sử dụng trong các kiến trúc Ethernet, Token Ring, trong mạng cục bộ LAN cũng như mạng diện rộng WAN

- Chuẩn giao thức mở: vì TCP/IP có thể thực hiện trên bất kỳ phần cứng hay hệ điều hành nào Do đó, TCP/IP là tập giao thức lý tưởng để kết hợp phần cứng cũng như phần mềm khác nhau

- Sơ đồ địa chỉ toàn cầu: mỗi máy tính trên mạng TCP/IP có một địa chỉ xác định duy nhất Mỗi gói dữ liệu được gửi trên mạng TCP/IP có một Header gồm địa chỉ của máy đích cũng như địa chỉ của máy nguồn

- Khung Client - Server: TCP/IP là khung cho những ứng dụng client - server mạnh hoạt động trên mạng cục bộ và mạng diện rộng

- Chuẩn giao thức ứng dụng: TCP/IP không chỉ cung cấp cho người lập trình phương thức truyền dữ liệu trên mạng giữa các ứng dụng mà còn cung cấp nhiều phương thức mức ứng dụng

1.2 Mô hình phân lớp bộ giao thức TCP/IP

Bộ giao thức TCP/IP là sự kết hợp của các giao thức khác nhau ở các lớp khác nhau, không chỉ có các giao thức TCP và IP Mỗi lớp có chức năng riêng

Mô hình TCP/IP được tổ chức thành 4 lớp (theo cách nhìn từ phía ứng dụng xuống lớp vật lý) như sau:

Hình 1.1: Mô hình phân lớp bộ giao thức TCP/IP

 Lớp ứng dụng (Application layer): Điều khiển chi tiết từng ứng dụng

cụ thể Nó tương ứng với các lớp ứng dụng, trình diễn trong mô hình OSI Nó gồm các giao thức mức cao, mã hóa, điều khiển hội thoại …Các chương trình ứng dụng giao tiếp với các giao thức ở lớp vận chuyển để truyền và nhận dữ liệu Chương trình ứng dụng truyền dữ liệu ở dạng yêu cầu đến lớp vận chuyển để xử

lý trước khi chuyển xuống lớp Internet để tìm đường đi

 Lớp vận chuyển (Transport layer): Chịu trách nhiệm truyền thông điệp (message) từ một số tiến trình (một chương trình đang chạy) tới một tiến trình khác Lớp vận chuyển sẽ đảm bảo thông tin truyền đến nơi nhận không bị

lỗi và đúng theo trật tự Nó có 2 giao thức rất khác nhau là giao thức điều khiển truyền dẫn TCP và giao thức dữ liệu đồ người sử dụng UDP

 Lớp Internet (Internet layer): Cung cấp chức năng đánh địa chỉ, độc lập phần cứng mà nhờ đó dữ liệu có thể di chuyển giữa các mạng con có kiến trúc vật lý khác nhau Lớp này điều khiển việc chuyển gói qua mạng, định tuyến gói (Hỗ trợ giao thức liên IP - khái niệm liên mạng là nói tới mạng lớn hơn: mạng liên kết giữa các mạng LAN) Các giao thức của lớp này là IP, ICMP, ARP, RARP

 Lớp truy cập mạng (Network Access Network): Cung cấp giao tiếp với mạng vật lý (Thông thường lớp này bao gồm các driver thiết bị trong hệ thống vận hành và các card giao diện mạng tương ứng trong máy tính Lớp này thực hiện nhiệm vụ điều khiển tất cả các chi tiết phần cứng hoặc thực hiện giao tiếp vật lý vớ cácp (hoặc với bất kỳ môi trường nào được sử dụng)) Cung cấp kiểm soát lỗi dữ liệu phân bố trên mạng vật lý Lớp này không định nghĩa một giao thức riêng nào cả, nó hỗ trợ tất cả các giao thức chuẩn và độc quyền

Các giao thức trong mô hình TCP/IP:

1.2.1 Giao thức Internet

Mục đích của giao thức Internet là chuyển thông tin (dữ liệu) từ nguồn tới đích IP sử dụng các gói tin dữ liệu (datagram) Mỗi datagram có chứa địa chỉ đích và IP sử dụng thông tin này để định tuyến gói tin tới đích của nó theo đường

đi thích hợp Các gói tin của cùng một cặp người sử dụng dùng những tuyến thông tin khác nhau, việc định tuyến là riêng biệt đối với từng gói tin Giao thức

IP không lưu giữ trạng thái, sau khi datagram được chuyển đi thì bên gửi không còn lưu thông tin gì về nó nữa, vì thế mà không có phương pháp nào để phát hiện các gói bị mất và có thể dẫn tới tình trạng lặp gói và sai thứ tự gói tin

Hình 1.2: Định tuyến khi sử dụng IP datagram

Giao thức Internet là giao thức phi kết nối (connectionless), nghĩa là không cần thiết lập đường dẫn trước khi truyền dữ liệu và mỗi gói tin được xử lí độc lập IP không kiểm tra tổng cho phần dữ liệu của nó, chỉ có Header của gói là được kiểm tra để tránh gửi nhầm địa chỉ Các gói tin có thể đi được theo nhiều hướng khác nhau để tới đích Vì vậy dữ liệu trong IP datagram không được đảm bảo Để xử lý nhược điểm mất hoặc lặp gói IP phải dựa vào giao thức lớp cao hơn để truyền tin cậy (ví dụ TCP)

Hình 1 3: Giao thức kết nối vô hướng

1.2.2 Giao thức lớp vận chuyển

a.Giao thức UDP

Giao thức UDP (User Datagram Protocol) cung cấp cơ chế chính yếu mà các chương trình ứng dụng sử dụng để gửi đi các gói tin tới các chương trình ứng dụng khác UDP cung cấp các cổng để phân biệt các chương trình ứng dụng trên một máy tính đơn Nghĩa là, cùng với mỗi một bản tin gửi đi, mỗi bản tin UDP

Data Data Data

Data Data Data Sender 2

còn bao gồm một giá trị cổng nguồn và cổng đích, giúp cho phần mềm UDP tại đích có thể phát chuyển gói tin tới đúng nơi nhận và cho phép nơi nhận gửi trả lại xác nhận tin

UDP cung cấp dịch vụ chuyển phát không định hướng, không đảm bảo độ tin cậy như IP UDP không sử dụng cơ chế xác nhận để đảm bảo gói tin đên đích hay không, không thực hiện sắp xếp các bản tin và không cung cấp thông tin phản hồi để xác định mức độ truyền thông tin giữa hai máy Chính vì vậy, một chương trình ứng dụng sử dụng giao thức UDP chấp nhận hoàn toàn trách nhiệm cho vấn đề xử lý độ tin cậy Cấu trúc tiêu đề của UDP được mô tả như trong hình 1.4

Hình 1.4: Cấu trúc tiêu đề UDP

Các trường cổng nguồn và cổng đích chứa các giá trị 16 bit dùng cho cổng giao thức UDP được sử dụng để tách các gói tin trong tiến trình đang đợi để nhận chúng Cổng nguồn là trường dữ liệu tùy chọn Khi sử dụng, nó xác định cổng đáp xác nhận sẽ được gửi đến Nếu không được dùng, nó có giá trị zero Trường

độ dài chứa độ dài của UDP tính theo octet, bao gồm cả phần đầu UDP và dữ liệu người sử dụng Trường tổng kiểm tra là vùng tùy chọn, cho phép việc cài đặt được thực hiện với ít bước tính toán hơn khi sử dụng UDP trên mạng cục bộ có

độ tin cậy cao Tổng kiểm tra trong UDP cung cấp cách duy nhất để đảm bảo rằng dữ liệu nhận được nguyên vẹn và nên được sử dụng thường xuyên Nếu giá trị của tổng kiểm tra bằng zero thì có nghĩa là trường tổng kiểm tra chưa được tính và thường được thể hiện bằng cách cài đặt toàn bộ các bit 1, tránh với trường hợp sau khi chạy thuật toán tổng kiểm tra cũng có thể sinh ra kết quả là các bit được lập bằng 0 và giá trị của trường tổng kiểm tra cũng được xem bằng zero UDP sử dụng phương pháp gán phần đầu giả vào gói tin UDP, thêm vào đó một octet có giá trị zero để có được đúng bội số của 16 bit và tính tổng cho toàn bộ

Octet được nối vào phần đầu giả sẽ không được truyền đi cùng với gói tin UDP

và chúng không được tính đến trong phần độ dài

b.Giao thức TCP

Giao thức TCP (Transmission Control Protocol) cung cấp dịch vụ truyền thông dữ liệu định hướng truyền thống cho các chương trình - dịch vụ chuyển dòng (stream) tin cậy TCP cung cấp một mạch ảo, còn được gọi là kết nối Nó cấp khả năng đứt quãng, kiểm tra lỗi và điều khiển luồng

Cấu trúc tiêu đề TCP:

Hình 1.5: Cấu trúc tiêu đề TCP

Giải thích ý nghĩa các trường:

 Source port, Destination port (cổng nguồn, cổng đích): chứa các giá trị cổng TCP để xác định các chương trình ứng dụng tại hai đầu kết nối Mỗi khi TCP nhận gói dữ liệu từ IP, nó sẽ gỡ bỏ phần đầu IP và đọc phần đầu TCP Khi đọc Destination port, nó sẽ tìm trong tệp tin chứa các thông tin về dịch vụ để gửi

dữ liệu đến chương trình ứng với số cổng đó Song với TCP, giá trị cổng phức tạp hơn UDP vì một giá trị cổng TCP cho trước không tương ứng với một đối tượng đơn Thay vì vậy, TCP được xây dựng trên kết nối trừu tượng, trong đó các đối tượng được xác định là những liên kết mạch ảo, không phải từng cổng

Ví dụ như giá trị 192.168.2.3,25 xác định cổng TCP 25 trên máy tính có địa chỉ 192.168.2.3

 Sequence Number (số thứ tự): xác định vị trí trong chuỗi các byte

dữ liệu trong segment của nơi gửi

 Acknowledgment Number (số xác nhận): xác định số octet mà nguồn đang đợi để nhận kế tiếp Lưu ý là Sequence Number để chỉ đến lượng dữ liệu theo cùng chiều với segment, trong khi giá trị Acknowledgment Number để chỉ đến dữ liệu ngược lại với segment đến

 Header length (độ dài tiêu đề): chứa một số nguyên để xác định độ dài của phần đầu segment, được tính theo bội số của 32 bit Giá trị này là cần thiết vì có phần Options có độ dài thay đổi, tùy thuộc vào những lựa chọn đã được đưa vào

 Unused (dự phòng): được dành riêng để sử dụng trong tương lai

 Flags (bít mã): gồm có 6 bít để xác định mục đích và nội dung của segment, diễn dịch các nội dung trong phần đầu dựa vào nội dung các bit Ví dụ segment chỉ chuyển tải ACK, hoặc chỉ chuyển đưa dữ liệu hay để tải những yêu cầu để thiết lập hoặc ngắt nối

 Window (cửa sổ): thông báo cho máy tính đầu cuối kích thước vùng đệm cho quá trình truyền

 Urgent pointer (con trỏ khẩn cấp): yêu cầu kết nối gửi dữ liệu ngoài dòng xác định, chương trình nhận phải được thông báo lập tức ngay khi dữ liệu đến cho dù nó nằm ở đâu trong vùng dữ liệu Sau khi xử lý xong dữ liệu khẩn cấp, TCP thông báo cho chương trình ứng dụng trở về trạng thái thông thường Đơn vị truyền giữa hai phần mềm TCP trên hai máy được gọi là segment Các segment được trao đổi để thiết lập kết nối, để truyền dữ liệu, để gửi các ACK (thông báo xác nhận đã nhận dữ liệu), để thông báo kích thước của cửa sổ (nhằm tối ưu hóa quá trình truyền và nhận dữ liệu) và để ngắt kết nối

1.3 Công nghệ IP-VPN

1.3.1 Giới thiệu

a Khái niệm về mạng riêng ảo trên nền tảng Internet

Như ta đã biết, các mạng riêng thường được định nghĩa là các phương tiện nối mạng không chia sẻ để kết hợp các máy trạm (host) và các client trực thuộc cùng một thực thể quản lí Đặc tính của mạng riêng là hỗ trợ truyền thông giữa những người dùng được phép, cho phép họ truy nhập tới các dịch vụ và tài

nguyên liên kết mạng khác nhau Lưu lượng từ nguồn và đầu cuối trong mạng riêng chỉ di chuyển dọc theo những node có mặt trong mạng riêng Thêm vào đó

là sự cách ly lưu lượng Điều này có nghĩa là lưu lượng tương ứng với mạng riêng không ảnh hưởng và không bị ảnh hưởng bởi lưu lượng từ ngoài Thí dụ điển hình cho mạng riêng là mạng Intranet của một hãng IP-VPN (Internet Protocol Virtual Private Network) kết hợp 2 khái niệm: nối mạng ảo và nối mạng riêng Trong một mạng ảo, các nút mạng ở xa nhau và phân tán có thể tương tác với nhau theo cách mà chúng thường thực hiện trong một mạng, trong đó các nút đặt tại cùng một vị trí địa lí Cấu hình topo của mạng ảo độc lập với cấu hình vật

lí của các phương tiện sử dụng nó Một người sử dụng bình thường của một mạng ảo không biết sự thiết lập mạng vật lí, sẽ chỉ có thể nhận biết được cấu hình topo ảo Cấu hình của mạng ảo được xây dựng dựa trên sự chia sẻ của cơ sở hạ tầng mạng vật lí đã tồn tại Tuy nhiên, cấu hình mạng ảo và mạng vật lí thường chịu sự quản lí của các nhà quản trị khác nhau

Chúng ta có thể định nghĩa IP-VPN như sau: “Mạng riêng ảo trên nền Internet là mô phỏng các mạng số liệu riêng đảm bảo an ninh trên cơ sở hạ tầng mạng Internet công cộng chung không đảm bảo an ninh Các thuộc tính của IP- VPN bao gồm các cơ chế để bảo vệ số liệu và thiết lập tin tưởng giữa các máy trạm và sự kết hợp các phương pháp khác nhau để đảm bảo các thoả thuận mức dịch vụ và chất lượng dịch vụ cho tất cả các thực thể thông qua môi trường Internet”

b.Khả năng ứng dụng của IP-VPN

Mạng riêng ảo có một ý nghĩa rất lớn đối với các tổ chức hoạt động phân tán tại nhiều vùng địa lí khác nhau, nhân viên làm việc luôn di chuyển, hệ thống khách hàng và đối tác kinh doanh rộng lớn … Nó là giải pháp thực hiện truyền thông an toàn trên nền mạng công cộng Điều này cho phép các tổ chức có thể tiết kiệm đáng kể chi phí so với phương thức thuê kênh riêng Mặt khác VPN còn đảm bảo cho sự an toàn số liệu trong quá trình truyền thông và khả năng mở rộng hoạt động rộng lớn ngay cả tại những vùng địa lí phức tạp

Trong thực tế, khái niệm mạng riêng ảo không phải là một khái niệm mới Công nghệ mạng riêng ảo đã xuất hiện vào những năm 80 của thế kỷ trước Tuy nhiên, trong điều kiện hạn chế về các mạng chuyển mạch gói (ví dụ như X.25, Frame Relay, ATM) hay chuyển mạch kênh thì VPN vẫn chưa có ứng dụng rộng rãi Trong điều kiện hiện nay, khi Internet trở nên phổ biến trên toàn cầu và các giao ngày một phát triển và hoàn thiện đã tạo nên một động lực lớn thúc đẩy sự phát triển của các kỹ thuật IP-VPN Các yếu tố thúc đẩy sự phát triển của thị trường IP-VPN có thể được mô tả một cách tóm tắt như trong hình 1.6

Hình 1.6: Các yếu tố thúc đẩy sự phát triển của thị trường IP-VPN

1.3.2 Các khối cơ bản trong mạng IP-VPN

Các khối cơ bản của VPN bao gồm:

 Điều khiển truy nhập

 Nhận thực

 An ninh

 Truyền Tunnel

 Các thoả thuận mức dịch vụ

a Điều khiển truy nhập

Điều khiển truy nhập (AC: Access Control) trong kết nối mạng số liệu được định nghĩa là tập các chính sách và các kỹ thuật điều khiển truy nhập đến

động độc lập với nhận thực và an ninh và cơ bản định nghĩa các tài nguyên nào khả dụng cho một người sử dụng cụ thể sau khi người này đã được nhận thực Trong thế giới IP-VPN, các thực thể vật lí như các máy trạm ở xa, tường lửa và cổng IP-VPN trong các mạng thuộc hãng tham dự vào phiên thông tin thường chịu trách nhiệm (hay ít nhất chỉ trách nhiệm) cho quá trình tham dự đảm bảo trạng thái kết nối IP-VPN

Mục đích chính của IP-VPN là cho phép truy nhập có đảm bảo an ninh và

có chọn lựa đến các tài nguyên nối mạng từ xa Nếu chỉ có an ninh và nhận thực

mà không có AC, IP-VPN chỉ bảo vệ tính toàn vẹn, tính bí mật của lưu lượng được truyền và ngăn cản các người sử dụng vô danh sử dụng mạng, nhưng không quản lí truy nhập các tài nguyên nối mạng AC thường phụ thuộc vào thông tin

mà thực thể yêu cầu kết nối ở dạng nhận dạng hay chứng chỉ cũng như các quy tắc định nghĩa AC Chẳng hạn một số IP-VPN có thể được điều hành bởi một server tập trung hay thiết bị điều khiển IP-VPN khác đặt tại trung tâm số liệu của nhà cung cấp dịch vụ, hay có thể cổng IP-VPN quản lí địa phương trong các mạng liên quan đến thông tin IP-VPN

Tập các quy tắc và các quy luật quy định các quyền truy nhập đến các tài

nguyên mạng được gọi là chính sách điều khiển truy nhập Chính sách truy cập

đảm bảo mục đích kinh doanh, chẳng hạn, chính sách “Cho phép truy nhập cho các thuê bao chưa vượt quá 60 giờ sử dụng” có thể thực hiện bằng cách sử dụng nhận thực dựa trên RADIUS (Remote Authentication Dial-in User Service: Dịch

vụ nhận thực người dùng quay số từ xa) và sử dụng một bộ đếm thời gian mỗi khi người sử dụng truy nhập Về mặt lí thuyết có thể sử dụng bản tin RADIUS

DISCONNECT (tháo gỡ kết nối radius) để ngắt phiên của người sử dụng khi đã vượt quá 60 giờ, tuy nhiên đôi khi chính sách này chỉ được áp dụng tại thời gian đăng nhập, khi tin tưởng người sử dụng không thường xuyên ở trình trạng đăng nhập, hay bằng cách đặt ra một giới hạn phiên như bên trên của mức độ sử dụng khi vượt quá thời gian cho phép cực đại Có thể thực hiện các chính sách tương

tự bằng cách thay giới hạn thời gian bằng một giới hạn tính chỉ có thể liên quan đến tài khoản trả trước

Quá trình nhận thực có thể liên quan đến việc cung cấp thông tin nhận thực dựa trên bí mật chia sẻ (Shared Secret) như: Mật khẩu hay cặp khẩu lệnh/ trả lời của CHAP cho người nhận thực, hay như NAS (Network Access Server)

để nó tra cứu một file địa phương hay yêu cầu server RADIUS Về mặt này, hoạt động của VPN gồm hai kiểu nhận thực: nhận thực kiểu client - cổng và cổng - cổng Trong trường hợp nhận thực kiểu client - cổng, chỉ khi nào người dùng truy nhập thành công với VPN cổng thì mới được phép vào IPSec Tunnel nối đến IPSec của mạng khách hàng Trường hợp thứ hai, nó thường gặp khi kết nối site - site được thiết lập hay khi các mạng quay số ảo được sử dụng và nhận thực thiết lập Tunnel L2TP được yêu cầu giữa LAC (L2TP Access Concentrator) và LNS (L2TP Network Server)

c An ninh

Theo định nghĩa thì VPN được xây dựng trên các phương tiện công cộng dùng chung không an toàn, vì thế tính toàn vẹn và mật mã hoá là yều cầu nhất thiết Có thể đảm bảo an ninh cho VPN bằng cách triển khai một trong các phương pháp mật mã hoá đã có hay cơ chế mật mã hoá kết hợp với các hệ thống phân bố khóa an ninh Tuy nhiên cần nhắc lại rằng an ninh không chỉ là mật mã hoá lưu lượng VPN Nó cũng liên quan đến các thủ tục phức tạp của nhà khai thác và các hạng cung cấp nó Và khi VPN dựa trên mạng, cần thiết lập quan hệ tin tưởng giữa nhà cung cấp dịch vụ và khách hành VPN yêu cầu thỏa thuận và triển khai cơ chế an ninh tương ứng Chẳng hạn, có thể truy nhập server AAA trong hãng bằng cách đảm bảo an ninh các bản tin RADIUS thông qua IPSec khi chúng truyền trên cơ sở hạ tầng mạng chung Ngoài AAA server có thể trực thuộc một mạng không ở trong VPN để cách ly lưu lựong AAA với lưu lượng người sử dụng

d Truyền Tunnel nền tảng IP-VPN

Truyền Tunnel là công nghệ quan trọng duy nhất để xây dựng IP-VPN Truyền Tunnel bao gồm đóng bao (Encapsulation) một số gói số liệu vào các gói khác theo một tập quy tắc được áp dụng cho cả hai đầu cuối của Tunnel Kết quả

là nội dung được đóng bao trong Tunnel không thể nhìn thấy đối với mạng công cộng không an ninh nơi các gói được truyền Các vấn đề cụ thể về công nghệ Tunnel được trình bày trong các phần sau

Khái niệm truyền Tunnel được áp dụng cho nối mạng riêng ảo được trình bày trong hình 1.7 sau đây Trên hình này, các gói được gửi đi từ máy trạm A đến máy trạm Z phải qua rất nhiều chuyển mạch và router Nếu router C đóng gói đến từ máy A và cổng Y mở bao gói, thì các nút khác mà gói này đi qua sẽ không nhận biết được gói đóng bao “bên ngoài” này và sẽ không thể biết được phần tải tin cũng như địa chỉ điểm nhận cuối cùng của nó Bằng cách này, tải tin của gói được gửi giữa C và Y sẽ chỉ được nhận biết bởi 2 nút mạng này và các máy A, Z

là nơi khởi đầu và kết thúc cuối lưu lượng Điều này tạo ra một Tunnel một cách hiệu quả để qua đó qua đó các gói được truyền tải với mức an ninh mong muốn

Hình 1.7: Truyền Tunnel trong nối mạng riêng ảo

Có thể định nghĩa Tunnel bởi các điểm cuối, các thực thể mạng nơi sử dụng các giao thức tháo bao và đóng bao Các kỹ thuật truyền Tunnel hỗ trợ IP-VPN như L2TP hay PPTP được sử dụng để đóng bao các khung lớp liên kết (PPP) Tương tự các kỹ thuật truyền Tunnel như IP trong IP và các giao thức IPSec được sử dụng để đóng bao các gói lớp mạng

Theo ngữ cảnh nối mạng riêng ảo, truyền Tunnel có thể thực hiện ba nhiệm vụ chính sau:

 Đóng bao

 Tính trong suốt đánh địa chỉ riêng

 Bảo vệ tính toàn vẹn và bí mật số liệu đầu cuối đến đầu cuối Tính trong suốt đánh địa chỉ riêng cho phép sử dụng các địa chỉ riêng trên

hạ tầng IP nơi cho phép đánh địa chỉ công cộng Vì các nội dung của gói được truyền Tunnel và các thông số, như các địa chỉ, chỉ có thể hiểu bên ngoài các điểm cuối Tunnel, đánh địa chỉ IP riêng hoàn toàn che đậy khỏi mạng IP công cộng bằng cách sử dụng các địa chỉ hợp lệ

Hình 1.8: Che đậy địa chỉ IP riêng bằng truyền Tunnel

Các chức năng toàn vẹn và bảo mật đảm bảo rằng một kẻ không được phép không thể thay đổi các gói truyền Tunnel của người sử dụng và nhờ vậy nội dung của gói được bảo vệ chống việc truy nhập trái phép Ngoài ra, tùy chọn truyền Tunnel có thể bảo vệ sự toàn vẹn của tiêu đề gói IP bên ngoài, vì thế đảm bảo nhận thực nguồn gốc số liệu Chẳng hạn, trong IP-VPN có thể sử dụng tiêu

đề IPSec AH để bảo vệ các địa chỉ IP của các đầu cuối Tunnel không bị bắt chước Tuy nhiên trong công nghệ số liệu, trong nhiều trường hợp điều này không được coi là quan trọng và thực tế nhiều cổng IP-VPN thậm chí không áp dụng AH Lí do vì nều gói truyền Tunnel của người sử dụng được bảo bệ ESP và gói này được mật mã hóa bằng cách sử dụng phân phối khóa an ninh và các kỹ thuật quản lý cũng như các giải thuật gần như là không thể bị phá vỡ như 3DES, thì mọi ý đồ sử dụng sự thay đổi địa chỉ IP để chặn hoặc để gửi lưu lượng đều vô nghĩa Vì thế các điểm cuối có ý đồ xấu không có cách nào tham dự vào liên kết

an ninh trên IPSec ESP và vì thế việc tách hú họa an ninh hiện thời sẽ không dễ dàng và mức độ không thể diễn dải số liệu đánh cắp là rất cao Đây là điều mà các khách hàng IP-VPN quan tâm và cũng là lý do sử dụng hạn chế AH Cần lưu

ý rằng AH hữu ích khi cần cung cấp thông tin điều khiển thiết lập Tunnel

e Các thỏa thuận mức dịch vụ

Các thực thể tham dự vào nối mạng ảo như các ISP, các hãng vô tuyến, các hãng và người sử dụng từ xa bị ràng buộc bởi các thỏa thuận để đạt được các mức dịch vụ yêu cầu cũng như các lợi nhuận mong muốn đối với các dịch vụ được cung cấp Các thỏa thuận này được dự thảo giữa các bên quan tâm và các đối tác của họ để định nghĩa các mức cho phép định lượng và đánh giá dịch vụ được gọi là các SLA (Service Level Agreement: thỏa thuận mức dịch vụ) Các SLA đã được sử dụng ở nhiều dạng Tuy nhiên chúng đặc biệt quan trọng đối với các mạng ảo dựa trên cơ sở hạ tầng dùng chung

Dưới đây là các nhân tố ảnh hưởng khi xem xet đến SLA cho VPN:

 Tính khả dụng của Tunnel

 Các đảm bảo về băng thông

 Trễ của Tunnel

 Tốc độ tế bào/ gói đỉnh chấp nhận được

 Tỷ lệ mất gói

1.3.3 Phân loại mạng riêng ảo theo kiến trúc

Các kiến trúc của IP-VPN có thể phân loại thành hai kiểu chính: Site IP-VPN (còn được gọi là LAN-to-LAN hay POP-to-POP) và các IP-VPN truy nhập từ xa Các Site-to-Site bao gồm các phương án như: Extranet IP-VPN

Site-to-và Intranet IP-VPN, các phương án này đều có chung các thuộc tính nhưng được thiết kế để giải quyết các tập vấn đề khác nhau IP-VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay số và truy nhập gọi trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiến trúc chính

1.3.3.1 IP-VPN truy nhập từ xa

Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những văn phòng dùng mạng diện rộng có dung lượng nhỏ rất thích hợp với loại hình IP-VPN truy nhập từ xa Truy nhập IP-VPN từ xa cho phép mở rộng mạng lưới của một tổ chức tới người sử dụng của họ thông qua chia sẻ cơ sở hạ tầng công cộng, trong khi mạng lưới của tổ chức vẫn giám sát được tất cả những người dùng Truy nhập từ xa là phương thức đầu tiên sử dụng VPN Nó cung cấp phương thức truy nhập an toàn tới những ứng dụng của tổ chức cho những người sử dụng

ở xa, những nhân viên luôn di chuyển, văn phòng nhánh và những đối tác thương mại Cấu trúc IP-VPN này là phương tiện thông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN (mạng số đa dịch vụ), dial (quay số), tương tự, Mobile IP (di động IP), DSL (đường dây thuê bao số) và điện thoại cácp Cấu trúc IP-VPN này được quan tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất

kì thời điểm nào và bất kể đâu thông qua Internet

Thêm vào đó là một số thuận lợi có được do việc chuyển đổi từ những mạng quản lí riêng sang dạng IP-VPN truy nhập từ xa dưới đây:

 Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet

 Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng VPN chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối qua mạng băng rộng luôn hiện hành

IP- Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của IP-VPN cho phép thêm vào người dùng mới mà không tăng chi phí cho cơ sở

hạ tầng

 Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêm người sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn

Mặc dù là có rất nhiều thuận lợi thì để phát triển một IP-VPN truy nhập từ

xa vẫn gặp phải khó khăn sau:

 Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi truyền và giải mật mã khi nhận được thông tin Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh hưởng đến một số ứng dụng

 Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ nhỏ hơn 400 kb/s thì IP-VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu đề của giao thức đường ngầm cần có thời gian để xử lí dữ liệu

 Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi Bởi vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về số lượng phải đợi nên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet Điều này có thể không phải là vấn đề quá khó khăn, nhưng nó cũng cần

sự quan tâm Người dùng có thể cần đến chu kì thiết lập kết nối nếu họ cảm thấy lâu

Cùng với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn

bộ quốc gia và thậm chí là triển khai quốc tế các POP (Point - Of - Presence: điểm hiện diện) quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc gọi đường dài được giảm đi, tất cả các lo lắng về thủ tục quay số có thể được nhà

cung cấp dịch vụ Internet (ISP) và nhà cung cấp truy nhập gánh chịu Các

IP-VPN truy nhập từ xa quay số có thể được xây dựng trên các phương pháp truyền Tunnel bắt buộc hay tự ý Trong một kịch bản truy nhập từ xa quay số sử dụng

phương tiện của hãng khác, người sử dụng quay số đế các POP địa phương của các nhà cung cấp dịch vụ Internet bằng cách thiết lập kết nối PPP (Point to Point Protocol: Giao thức điểm tới điểm) Sau khi người sử dụng đã được nhận thực và liên kết PPP được thiết lập, nhà cung cấp dịch vụ thiết lập theo cách bắt buộc (nghĩa là trong suốt đối với người sử dụng) một Tunnel đến một cổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến Mạng riêng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối Kiến trúc này được mô tả ở hình 1.9 Công nghệ truyền Tunnel được lựa chọn cho IP-VPN truy nhập quay số theo phương tiện của hãng khác là L2TP

Hình 1.9: IP-VPN truy nhập từ xa

1.3.3.2 Site-to-Site IP-VPN

Site-to-Site IP-VPN (hay còn được gọi là LAN-to-LAN) được sử dụng để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình thường không xảy ra va chạm

a Intranet IP-VPN

Hình 1.10: Intranet IP-VPN

Một tổ chức có thể dùng IP-VPN không chỉ để kết nối các site trực thuộc

tổ chức mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ

xa hoặc là các văn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở hạ tầng chia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạng Frame Relay, ATM, hoặc kênh điểm tới điểm Tuy nhiên khi

sử dụng IP-VPN thì sẽ có những ưu điểm sau đây: Giảm bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet; dể dàng mở rộng site mới, và vấn đề an toàn dữ liệu được đảm bảo hơn Với khả năng này, Intranet IP-VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí các nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu hay các Router

b Extranet IP-VPN

Hình 1.11: Extranet IP-VPN

Extranet IP-VPN được sử dụng khi một tập đoàn không chỉ muốn tương tác với các văn phòng ở xa của mình mà cả với các site trực thuộc khách hàng của họ Các thực thể này thường được gọi là các mạng đối tác Để hỗ trợ các thông tin này, các Tunnel IP-VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thể riêng khác nhau Các chức năng IP-VPN như điều khiển truy nhập, nhận thực và các dịch vụ an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cần thiết cho kinh doanh Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet, vì thế IP-VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điều khiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet

1.3.4 Các giao thức đường ngầm trong IP-VPN

Như đã trình bày trong phần trên, các giao thức đường ngầm là nền tảng của công nghệ VPN Một giao thức đường ngầm sẽ thực hiện đóng gói dữ liệu với phần header (và có thể có phần trailer) tương ứng để truyền qua Internet Có nhiều giao thức đường ngầm, việc sử dụng giao thức đường ngầm nào để đóng gói dữ liệu liên quan đến các phương pháp xác thực và mật mã được dùng Có 4 giao thức đường ngầm trong IP-VPN như sau:

 PPTP (Point - to - Point Tunneling Protocol)

 L2F (Layer two Forwarding)

 L2TP (Layer Two Tunneling Protocol)

 IPSec (Internet Protocol Security)

Trước hết ta phân biệt 2 giao thức đầu tiên là PPTP và L2F PPTP là giao thức do nhiều công ty hợp tác phát triển L2F là do Cisco phát triển độc lập PPTP và L2F đều được phát triển dựa trên giao thức PPP (Point - to - Point Protocol) PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên Trên cơ sở PPTP và L2F, IETF đã phát triển giao thức đường ngầm L2TP Hiện nay giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F

Trong các giao thức đường ngầm nói trên, IPSec là giải pháp tối ưu về mặt

an toàn dữ liệu IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh nhất

Ngoài ra, IPSec còn có tính linh hoạt cao: Không bị ràng buộc bởi bất cứ thuật toán xác thực, mật mã nào, đồng thời có thể sử dụng IPSec cùng với các giao thức đường ngầm khác để làm tăng tính an toàn cho hệ thống

Mặc dù có những ưu điểm vượt trội so với các giao thức đường ngầm khác về khả năng đảm bảo an toàn dữ liệu, IPSec cũng có một số nhược điểm Thứ nhất, IPSec là một khung tiêu chuẩn mới và còn đang được tiếp tục phát triển, do đó số lượng các nhà cung cấp sản phẩm hỗ trợ IPSec chưa nhiều Thứ hai, để tận dụng khả năng đảm bảo an toàn dữ liệu của IPSec thì cần phải sử dụng một cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure) phức tạp để giải quyết vấn đề như chứng thực số hay chữ ký số

Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện, nên các sản phẩm hỗ trợ chúng tương đối phổ biến PPTP có thể triển khai với một hệ thống mật khẩu đơn giản mà không cần sử dụng PKI Ngoài ra PPTP

và L2TP còn có một số ưu điểm khác so với IPSec như khả năng hỗ trợ đa giao thức lớp trên Vì vậy, trong khi IPSec còn đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi Cụ thể PPTP và L2TP thường được sử dụng trong các ứng dụng truy nhập từ xa

Trong phần này chúng ta sẽ đi tìm hiểu 2 giao thức đường ngầm là PPTP

và L2TP

1.3.4.1 PPTP (Point - to - Point Tunneling Protocol)

PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram

để truyền qua mạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi

là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm; và một phiên bản của giao thức GRE (Generic Routing Encapsulation - đóng gói định tuyến chung) để đóng gói các khung PPP Phần tải tin của khung PPP có thể được mật mã hoặc/và giải nén

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng giao thức đường ngầm PPTP) và PPTP server (VPN server sử dụng PPTP) PPTP client có thể được nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP

Việc xác thực trong quá trình thiết lập kết nối IP-VPN trên giao thức PPTP sử dụng các cơ chế xác thực của kết nối PPP, PPTP Mật mã phần tải PPP

sử dụng MPPE (Microsoft Point - to - Point Encryption: mật mã điểm tới điểm của Microsoft) (với điều kiện xác thực sử dụng giao thức EAP - TLS (EAP - Transport Level Security: EAP - an ninh mức truyền tải) hoặc MS - CHAP của Microsoft) MPPE chỉ cung cấp mật mã mức truyền dẫn, không cung cấp mật mã đầu cuối đến đầu cuối Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể

sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối sau khi đường ngầm PPTP đã được thiết lập Máy chủ PPTP là máy chủ IP-VPN sử dụng giao thức PPTP với một giao diện nối với Internet và một giao diện khác nối với Intranet

a Duy trì đường ngầm bằng kết nối điều khiển PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành riêng 1723) Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP Các bản tin này bao gồm các bản tin PPTP Echo - Request và PPTP Encho - Reply định kỳ

để phát hiện các lỗi kết nối giữa PPTP client và PPTP server Các gói của kết nối điều khiển PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP

và các header, trailer của lớp đường truyền dữ liệu

Hình 1.12: Gói dữ liệu của kết nối điều khiển PPTP

b Đóng gói dữ liệu đường ngầm PPTP

 Đóng gói khung PPP: Dữ liệu đường ngầm PPTP được đóng gói thông

qua nhiều mức Hình 1.13 là cấu trúc dữ liệu đã được đóng gói

Hình 1.13: Dữ liệu đường ngầm PPTP

Phần tải của khung PPP ban đầu được mật mã và đóng gói với phần tiêu

đề PPP để tạo ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE (Generic Routing Encapsulation: giao thức đóng gói định tuyến chung), giao thức này cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP

Đối với PPTP, phần Header của GRE được sửa đổi một số điểm sau:

 Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit

 Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ số cuộc gọi 16 bit Trường chỉ số cuộc gọi được thiết lập bởi PPTP client trong quá trình khởi tạo đường ngầm PPTP

 Một trường xác nhận dài 32 bit được thêm vào

 Đóng gói các GRE: Phẩn tải PPP (đã được mật mã) và các GRE Header

sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn

và đích thích hợp cho PPTP client và PPTP server

 Đóng gói lớp liên kết dữ liệu: để có thể truyền qua mạng LAN hoặc

WAN, IP datagram cuối cùng sẽ được đóng gói với một Header và Trailer của lớp liên kết dữ liệu ở giao diện vật lý đầu ra Ví dụ, nếu IP datagram được gửi qua giao diện Ethernet, nó sẽ được gói với phần Header và Trailer Ethernet Nếu IP datagram được gửi qua đường truyền WAN điểm tới điểm (ví dụ như đường điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phần Header và Trailer của giao thức PPP

c Xử lí dữ liệu đường ngầm PPTP

Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP server

sẽ thực hiện các bước sau:

 Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu

 Xử lý và loại bỏ IP Header

 Xử lý và loại bỏ GRE Header và PPP Header

 Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết)

 Xử lý phần Payload để nhận hoặc chuyển tiếp

d Sơ đồ đóng gói

Hình 1.14 là sơ đồ đóng gói PPTP qua kiến trúc mạng (từ một IP-VPN client qua kết nối truy nhập từ xa VPN, sử dụng modem tương tự)

Hình 1.14: Sơ đồ đóng gói PPTP

Quá trình được mô tả các bước sau:

 Các IP datagram và IPX datagram hoặc khung NetBEUI được đưa tới giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN)

sử dụng NDIS (Network Driver Interface Specification)

 NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu,

và cung cấp PPP Header Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP (PPP Protocol ID Field), không có các trường Flags và FCS (Frame Check Sequence) Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP

 NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE Trong GRE Header, trường chỉ số cuộc gọi được đặt giá trị thích hợp để xác định đường ngầm

 Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

 TCP/IP dóng gói dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS

 NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần PPP Header và Trailer

 NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số

1.3.4.2 L2TP (Layer Two Tunneling Protocol)

Để tránh việc hai giao thức đường ngầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức L2F và PPTP thành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F L2TP được mô tả trong khuyến nghị RFC 2661

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay, hoặc ATM Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP, L2TP

có thể được sử dụng như một giao thức đường ngầm thông qua Internet hoặc các mạng riêng Intranet L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu đường ngầm cũng như các dữ liệu bảo dưỡng đường ngầm Phần tải của khung PPP đã đóng gói có thể được mật mã, nén Tuy nhiên mật mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không phải MPPE như đối với PPTP) Cũng có thể tạo kết nối L2TP không mật mã IPSec Tuy nhiên, đây không phải là kết nối IP-VPN vì dữ liệu riêng được đóng gói bởi L2TP không được mật mã Các kết nối L2TP không mật mã có thể sử dụng tạm thời để sửa lỗi các kết nối L2TP dùng IPSec

L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao thức đường ngầm L2TP và IPSec) L2TP client có thể được nối trực tiếp tới mạng IP để truy nhập tới L2TP server hoặc gián tiếp thông qua việc quay số tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP Việc xác thực trong quá trình hình thành đường ngầm L2TP phải sử dụng các cơ

chế xác thực như trong các kết nối PPP như EAP, MS-CHAP, CHAP, PAP Máy chủ L2TP là máy chủ IP-VPN sử dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác nối với mạng Intranet Các dữ liệu đường ngầm và

dữ liệu duy trì đường ngầm có cùng cấu trúc gói

a Duy trì đường ngầm bằng bản tin điều khiển L2TP

Không giống PPTP, việc duy trì đường ngầm L2TP không được thực hiện thông qua một kết nối TCP riêng biệt Các lưu lượng điều khiển và duy trì cuộc gọi được gửi đi như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP server đều sử dụng cổng UDP 1701)

Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram UDP datagram lại được mật mã bởi IPSec ESP như trên hình 1.15

Hình 1.15: Bản tin điều khiển L2TP

Vì kết nối TCP không được sử dụng, L2TP dùng thứ tự bản tin để đảm bảo việc truyền các bản tin L2TP Trong bản tin điều khiển L2TP, trường Next-Received (tương tự như TCP Acknowledgment) và Next-Sent (tương tự như TCP Sequence Number) được sử dụng để duy trì thực tự các bản tin điều khiển Các gói không đúng thứ tự bị loại bỏ Các trường Next-Sent và Next-Received cũng

có thể được sử dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm

L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm Trong bản tin điều khiển L2TP và phần tiêu đề L2TP của dữ liệu đường ngầm có một mã số đường ngầm (Tunnel ID) để xác định đường ngầm, và một mã số cuộc gọi (Call ID)để xác định cuộc gọi trong đường ngầm đó

b Đường ngầm dữ liệu L2TP

Đường ngầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói Hình 1.16 chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên nên IPSec

Hình 1.16: Đóng bao gói tin L2TP

 Đóng gói L2TP: phần tải PPP ban đầu được đóng gói với một PPP Header

và một L2TP Trailer

 Đóng gói UDP: gói L2TP sau đó được đóng gói với một UDP Header, các

địa chỉ cổng nguồn và đích được đặt bằng 1701

 Đóng gói IPSec: tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã

và đóng gói với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer

 Đóng gói IP: gói IPSec được đóng gói với IP Header chứa địa chỉ IP

nguồn và đích của IP-VPN client và IP-VPN server

 Đóng gói lớp đường truyền dữ liệu: để truyền đi được trên đường truyền

LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với phần Header và Trailer tương ứng với kỹ thuật lớp đường truyển dữ liệu của giao diện vật lý đầu ra Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet, IP datagram sẽ được đóng gói với Ethernet Header và Trailer

c Xử lý dữ liệu đường ngầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:

 Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu

 Xử lý UDP Header và gửi gói L2TP tới L2TP

 L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP Header để xác định đường ngầm L2TP cụ thể

 Dùng PPP Header để xác định PPP Payload và chuyển tiếp nó tới đúng giao thức để xử lý

d Sơ đồ đóng gói L2TP trên nền IPSec

Hình 1.17: Sơ đồ đóng gói L2TP

Hình 1.17 là sơ đồ đóng gói L2TP qua kiến trúc mạng từ một IP-VPN client thông qua một kết nối IP-VPN truy nhập từ xa sử dụng một modem tương

tự

Các bước sau mô tả quá trình đó:

 Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp

 NDIS đưa các gói tới NDISWAN, tại đây có thể nen và cung cấp PPP Header chỉ bao gồm trường chỉ số PPP Protocol Các trương Flag hay FCS không được thêm vào

 NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP Frame với một L2TL Header Trong L2TP Header, chỉ số đường ngầm và chỉ số cuộc gọi được thiết lập với các giá trị thịch hợp để xác định đường ngầm

 Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin

để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địa chỉ IP của IP-VPN client và IP-VPN server

 Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDP Header thích hợp IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách IPSec hiện thời Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã phần bản tin UDP của gói IP sử dụng các ESP Header và Trailer phù hợp IP Header ban đầu với Protocol field được đặt là 50 được thêm vào phía trước của gói ESP Giao thức TCP/IP sau đó gửi gói thu được tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS

 NDIS gửi số tới NDISWAN

 NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thu được tới cổng AN thích hợp đại diện cho phần cứng dial-up

1.4 Vấn đề bảo mật trong IP-VPN

Như đã trình bày, đặc điểm của IP-VPN là cho phép truyền dữ liệu thông qua một cơ sở hạ tầng mạng công cộng mà vẫn đảm bảo được các đặc tính an toàn và tin cậy dữ liệu Để thực hiện được điều đó, công nghệ IP-VPN phải giải quyết được hai vấn đề: đóng gói dữ liệu và an toàn dữ liệu Đóng gói dữ liệu là cách thức thêm các phần thông tin điều khiển vào gói tin ban đầu để đảm bảo gói tin đi được từ nguồn tới đích mong muốn, điều này đã được đề cập trong các chương trước An toàn dữ liệu là cách thức đảm bảo cho dữ liệu đi qua mạng công cộng không bị xâm phạm, làm thay đổi bởi những kẻ không mong muốn Thực tế thì vấn đề an toàn dữ liệu không phải là vấn đề riêng của IP-VPN mà là mối quan tâm cũng như thách thức của tất cả các tổ chức có nhu cầu sử dụng Internet làm môi trường truyền tin Chính vì vậy, đã có rất nhiều giải pháp, giao thức, thuật toán được phát triển để giải quyết vấn đề này Việc sử dụng giải pháp nào là tùy thuộc vào từng ứng dụng cụ thể và không loại trừ khả năng sử dụng kết hợp nhiều giải pháp để đạt hiệu quả an toàn như mong muốn

Giao thức IPSec được phát triển để giải quyết vấn đề an ninh này và trong IP-VPN là một trong những ứng dụng của nó

Đối với IP-VPN, IPSec là giao thức tối ưu về mặt an toàn dữ liệu Thứ nhất, IPSec cung cấp xác thực tính toàn vẹn dữ liệu Thứ hai, IPSec cho phép sử dụng các phương pháp, thuật toán mật mã, xác thực mạng nhất hiện có Thứ ba, IPSec là một khung chuẩn mở, nghĩa là có thể lựa chọn các thuật toán phù hợp với mức độ an toàn dữ liệu mong muốn mà không bị giới hạn cứng nhắc phải sử dụng đúng một thuật toán nào đó, đồng thời có khả năng sử dụng các thuật toán tiên tiến phát triển trong tương lai Điều này thể hiện tính linh hoạt rất cao của IPSec

1.4.1 IPSec

1.4.1.1 Khái niệm

IPSec (Internet Protocol Security) là một giao thức được IETF phát triển IPSec được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Nó là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị

Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này Các thiết bị giữa hai đầu đường ngầm có thể là một cặp host, hoặc một cặp cổng bảo mật (có thể là router, firewall, bộ tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật Đường ngầm đóng vai trò là một kênh truyền bảo mật giữa hai đầu

và các gói dữ liệu yêu cầu an toàn được truyền trên đó IPSec cũng thực hiện đóng gói dữ liệu các thông tin để thiết lập, duy trì và hủy bỏ kênh truyền khi không dùng đến nữa Các gói tin truyền trong đường ngầm có khuôn dạng giống như các gói tin bình thường khác và không làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện có trên mạng trung gian, qua đó cho phép giảm đáng kể chi phí để triển khai và quản lý

IPSec có hai cơ chế cơ bản để đảm bảo an toàn dữ liệu đó là AH (Authentication Header) và ESP (Encapsulating Security Payload), trong đó IPSec phải hỗ trợ ESP và có thể hỗ trợ AH:

 AH cho phép xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ

AH không cung cấp tính bảo mật, điều này có nghĩa là nó gửi đi thông tin dưới dạng bản rõ

 ESP là một giao thức cung cấp tính an toàn của các gói tin được truyền bao gồm: Mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn phi kết nối của dữ liệu ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã gói tin IP Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống Với đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu

 Cả AH và ESP là các phương tiện cho điều khiển truy nhập, dựa vào sự phân phối của các khóa mật mã và quản lý các luồng giao thông có liên quan đến những giao thức an toàn này

Những giao thức này có thể được áp dụng một mình hay kết hợp với nhau

để cung cấp tập các giao thức an toàn mong muốn trong IPv4 và IPv6, nhưng cách chúng cung cấp các dịch vụ là khác nhau Đối với cả hai giao thức AH và ESP này, IPSec không định các thuật toán an toàn cụ thể được sử dụng, mà thay vào đó là một khung chuẩn để sử dụng các thuật toán theo tiêu chuẩn công nghiệp IPSec sử dụng các thuật toán: Mã nhận thực bản tin trên cơ sở băm (HMAC), thuật toán MD5 (Message Digest 5), thuật toán SHA-1 để thực hiện chức năng toàn vẹn bản tin; Thuật toán DES, 3DES để mật mã dữ liệu; Thuật toán khóa chia sẻ trước, RSA chữ ký số và RSA mật mã giá trị ngẫu nhiên (Nonces) để nhận thực các bên Ngoài ra các chuẩn còn định nghĩa việc sử dụng các thuật toán khác như IDEA, Blowfish và RC4

1.4.1.2 Đóng gói thông tin của IPSec

a Các kiểu sử dụng

IPSec có hai kiểu cung cấp nhận thực và mã hóa mức cao để thực hiện đóng gói thông tin, đó là kiểu Transport (truyền tải) và kiểu Tunnel (đường ngầm) Sau đây chúng ta sẽ xét đến hai kiểu này trước khi tìm hiểu về các giao thức AH và ESP:

Kiểu Transport

Trong kiểu này, vấn đề an ninh được cung cấp bởi các giao thức lớp cao hơn (từ lớp 4 trở lên) Kiểu này bảo vệ phần tải tin của gói nhưng vẫn để phần IP header ban đầu ở dạng bản rõ Địa chỉ IP ban đầu được sử dụng để định tuyến gói qua Internet

Hình 1.18 Gói tin IP ở kiểu Transport

Kiểu Transport có ưu điểm là chỉ thêm vào gói IP ban đầu một số it byte Nhược điểm là kiểu này cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn

và đích của gói tin và có thể thực hiện một số xử lý (ví dụ như phân tích lưu lượng) dựa trên các thông tin của IP header Tuy nhiên nếu được mật mã bởi ESP thì sẽ không biết được dữ liệu cụ thể bên trong gói IP là gì Theo như IETF thì kiểu Transport chỉ có thể được sử dụng khi hai hệ thống đầu cuối IP-VPN có thực hiện IPSec

Kiểu Tunnel

Kiểu này bảo vệ toàn bộ gói IP Gói IP ban đầu (bao gồm cả IP header) được xác thực hoặc mật mã Sau đó, gói IP đã mã hóa được đóng gói vào một IP header mới Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP truyền qua

Authenticated

Encrypted

Authenticated

Original Header

AH

Original Header

ESP

AH- kiểu Transport

ESP- kiểu Transport