cơ chế bảo mật trong VPN

Hiện nay lĩnh vực viễn thông phát triển vượt bậc với những công nghệ mới, chuyển mạch mềm dần dần thay thế cho chuyển mạch kênh, mọi thông tin thoại, dữ liệu, hình ảnh... được truyền tải trên mạng Internet với công nghệ IP. Cùng với sự phổ cập ngày càng cao của Internet, các doanh nghiệp đang dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có. Công nghệ mạng riêng ảo VPN (Virtual Private Network) ra đời đã thoả mãn được nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa các văn phòng cách xa về địa lý. Tuy nhiên Internet là một môi trường không an toàn, dữ liệu truyền qua dễ bị truy cập bất hợp pháp và nguy hiểm. Dữ liệu truyền trên mạng thường dễ bị tấn công bằng nhiều cách. Việc đảm bảo an toàn dữ liệu là việc làm tối cần thiết. Do vậy công nghệ mạng riêng ảo VPN có nhiều giải pháp để giải quyết vấn đề này. Với mong muốn tìm hiểu cơ chế bảo mật trong VPN để làm cơ sở tìm hiểu tiếp những vấn đề cốt lõi về công nghệ mạng riêng ảo VPN, IP. Được sự đồng ý và hướng dẫn của giáo viên hướng dẫn em đã tiến hành làm đề tài này. Nội dung của đề tài đề cập đến các vấn đề sau: Tổng quan về mạng VPN. Một số cách tấn công phổ biến trên mạng và vấn đề bảo mật thông tin trong VPN. Giao thức trao đổi khóa Internet IKE và hoạt động IKE trong giao thức bảo mật IPSec của VPN. Do còn nhiều mặt hạn chế nên nội dung không tránh khỏi những sai sót và khiếm khuyết, em rất mong nhận được chỉ dẫn của thầy cô giáo và ý kiến tham gia của các bạn.

Trang 1

LỜI NÓI ĐẦU

Hiện nay lĩnh vực viễn thông phát triển vượt bậc với những công nghệ mới, chuyển mạch mềm dần dần thay thế cho chuyển mạch kênh, mọi thông tin thoại, dữ liệu, hình ảnh được truyền tải trên mạng Internet với công nghệ IP

Cùng với sự phổ cập ngày càng cao của Internet, các doanh nghiệp đang dần chuyển sang sử dụng Internet như một phương tiện giúp họ mở rộng mạng cục bộ sẵn có Công nghệ mạng riêng ảo VPN (Virtual Private

Network) ra đời đã thoả mãn được nhu cầu kết nối từ xa giữa nhân viên với văn phòng cũng như giữa các văn phòng cách xa về địa lý Tuy nhiên Internet

là một môi trường không an toàn, dữ liệu truyền qua dễ bị truy cập bất hợp pháp và nguy hiểm Dữ liệu truyền trên mạng thường dễ bị tấn công bằng nhiều cách Việc đảm bảo an toàn dữ liệu là việc làm tối cần thiết Do vậy công nghệ mạng riêng ảo VPN có nhiều giải pháp để giải quyết vấn đề này

Với mong muốn tìm hiểu cơ chế bảo mật trong VPN để làm cơ sở tìm hiểu tiếp những vấn đề cốt lõi về công nghệ mạng riêng ảo VPN, IP Được sự đồng ý và hướng dẫn của giáo viên hướng dẫn em đã tiến hành làm đề tài này

Nội dung của đề tài đề cập đến các vấn đề sau:

- Tổng quan về mạng VPN Một số cách tấn công phổ biến trên mạng

và vấn đề bảo mật thông tin trong VPN

- Giao thức trao đổi khóa Internet IKE và hoạt động IKE trong giao thức bảo mật IPSec của VPN

Do còn nhiều mặt hạn chế nên nội dung không tránh khỏi những sai sót và khiếm khuyết, em rất mong nhận được chỉ dẫn của thầy cô giáo và ý kiến tham gia của các bạn

MỤC LỤC

Trang 2

LỜI NÓI ĐẦU 1

CÁC THUẬT NGỮ VIẾT TẮT 3

CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO 9

Hình 1: Đường hầm của Mạng VPN trong môi trường Internet 10

1.1.2 Lợi ích của VPN 10

Tiết kiệm chi phí: 10

22

Hình 8: Bản tin điều khiển L2TP 22

CHƯƠNG II: GIAO THỨC TRAO ĐỔI KHOÁ INTERNET IKE 30

Hình 11: Khung giao thức được sử dụng trong IPSec 34

Hình 12: 5 bước hoạt động của IPSec 36

- Host A gửi lưu lượng cần bảo vệ tới Host B 36

Hình 13: Lưu lượng bảo vệ 36

Hình 14: IKE Phase 1 37

Hình 15: Thoả thuận các thông số bảo mật IPSec 38

Hình 17: Kết thúc đường hầm 39

Hình 18: Tập chính sách IKE 40

Chế độ nhanh (Aggressive mode) thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn) Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để xác định nhận dạng thông qua một bên thứ ba (third party) Bên nhận gửi trở lại mọi thứ cần thiết để hoàn thành (complete) việc trao đổi Cuối cùng bên khởi tạo khẳng định (confirm) việc trao đổi 43

Trong VPN giữa hai nút cho phép thiết lập kênh được mã hóa, xác nhận giữa hai nút Nút khởi tạo (hoặc người dùng từ xa) yêu cầu một phiên làm việc VPN và được xác nhận bởi HA tương ứng bằng cách mixed up an toàn đàm phán IPsec thích hợp, hay giao thức tiêu đề xác thực AH Sự thoả thuận là mỗi nút xác nhận mã nhận dạng của mình Như vậy, sau khi pha 1 được thiết lập, cả hai bên sẽ biết đang nói chuyện với Endpoint nào và có một kênh an toàn để liên lạc Không giống pha 2, SAs phase 1 là hai chiều, như vậy một SA đơn bảo vệ cả hai lưu lượng ra và vào 43

Trang 3

Hình 19: Một sự thoả thuận kiểu main mode 43

45

Hình 20: Kiểu Main mode với một khoá dùng chung 45

47

Hình 21: Kiểu chế độ Main mode với chứng thực chữ ký 47

48

Hình 22: Kiểu Main mode với sự chứng thực chìa khóa chung 48

49

Hình 23: Kiểm tra sự chứng thực khoá chung kiểu Main mode 49

Hình 24: Đường hầm IPSec được thiết lập 50

Hình 25: Tập chuyển đổi IPSec 51

Hình 26: Các kết hợp an ninh 52

KẾT LUẬN CHUNG 55

DANH MỤC TÀI LIỆU THAM KHẢO 55

CÁC THUẬT NGỮ VIẾT TẮT

Từ viết

tắt

Trang 4

IETF Internet Engineering Task Force Cơ quan chuẩn Internet

Protocol

Giao thức cấu hình host động

ISAKMP Internet Security Asociasion and

Key Management Protocol

Giao thức quản lý khoá và kết hợp

an ninh Internet

PPTP Point to Point Tunneling Protocol Giao thức đường ngầm điểm tới

điểm

Trang 5

22

Hình 18: Tập chính sách IKE 40 Chế độ nhanh (Aggressive mode) thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn) Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để xác định nhận dạng thông qua một bên thứ ba (third party) Bên nhận

Trang 6

gửi trở lại mọi thứ cần thiết để hoàn thành (complete) việc trao đổi Cuối cùng bên

khởi tạo khẳng định (confirm) việc trao đổi 43

43

45

47

48

49

Trang 7

22

Hình 18: Tập chính sách IKE 40

Chế độ nhanh (Aggressive mode) thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn) Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để xác định nhận dạng thông qua một bên thứ ba (third party) Bên nhận gửi trở lại mọi thứ cần thiết để hoàn thành (complete) việc trao đổi Cuối cùng bên khởi tạo khẳng định (confirm) việc trao đổi 43

43

Trang 8

47

48

49

Chương 1: Giới thiệu đơn vị thực tập

Trang 9

CHƯƠNG I: TỔNG QUAN MẠNG RIÊNG ẢO

1.1 Giới thiệu chung về mạng riêng ảo (VPN).

1.1.1 Mục đích của VPN.

Theo tổ chức IETF mạng riêng ảo VPN được định nghĩa là việc tạo ra một mạng diện rộng dùng riêng sử dụng các thiết bị và các phương tiện truyền dẫn của một mạng công cộng

VPN là một đường hầm truyền dữ liệu mạng riêng từ một hệ thống ở đầu này đến hệ thống ở đầu kia qua mạng chung như mạng Internet mà không để đường truyền nhận biết có những “hop” trung gian giữa hai đầu, hoặc không để cho những “hop” trung gian nhận biết chúng đang chuyển những gói tin trên mạng đã được mã hóa đi qua đường hầm

Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ đầu mạng giúp cho những chi nhánh hay văn phòng ở xa hoặc những người làm việc lưu động có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật và thoải mái như đang sử dụng máy tính cục bộ trong mạng công ty Tuy nhiên Internet là một môi trường không an toàn, dữ liệu truyền qua dễ bị truy cập bất hợp pháp và nguy hiểm Vì vậy mục đích chính của VPN là cung cấp sự bảo mật, tính hiệu quả và độ tin cậy trong mạng trong khi vẫn đảm bảo cân bằng giá thành cho toàn bộ quá trình xây dựng mạng

Trang 10

Hình 1: Đường hầm của Mạng VPN trong môi trường Internet

1.1.2 Lợi ích của VPN.

Tiết kiệm chi phí:

- VPN có thể giúp các doanh nghiệp tiết kiệm từ 50% - 70% chi phí đầu tư vào các kết nối Leased Line và Remote Access truyền thống, giảm đáng kể các chi phí đầu tư cho hạ tầng truyền thông và chi phí hàng tháng đối với các kết nối Site To Site

Bảo mật:

- VPN cung cấp chế độ bảo mật cao nhất nhờ các cơ chế mã hóa trên nền tảng mạng riêng ảo (mã hóa, xác thực truy cập, xác nhận truy cập và bảo mật hệ thống)

- Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập vào

hệ thống mạng riêng ảo trong mạng nội bộ

Trang 11

nối bất cứ khi nào, bất cứ nơi đâu, thông tin liên tục chỉ cần ở đó có thể truy cập Internet Ngoài ra, doanh nghiệp có thể phát triển mô hình “làm việc từ xa” để giảm chi phí thuê mặt bằng, tăng thời gian làm việc nhờ giảm thời gian

di chuyển của nhân viên

- Mã hóa dữ liệu (Data Encryption): Cung cấp giải pháp mã hoá dữ liệu trong quá trình truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu

- Quản lý cung cấp khóa (Key Management): Cung cấp giải pháp quản

lý các khoá dùng cho quá trình mã hoá và giải mã dữ liệu

- Hệ thống bảo mật (Firewall): Microsoft ISA Server 2004 sẽ đáp ứng được các cơ chế bảo mật đề ra: IPSec, 3Des, Client Policy, RADIUS, LDAP theo các tiêu chuẩn bảo mật và mã hóa của thế giới Tại phía người truy cập

sẽ được đảm bảo an ninh với các cơ chế đóng gói và mã hoá của ứng dụng VPN (VPN Client Sofware)

1.2 Phân loại mạng riêng ảo.

Ở đây chúng ta sẽ đi phân loại IP-VPN theo kiến trúc của nó Các kiến trúc của IP-VPN có thể phân loại thành hai kiểu chính: Site-to-Site IP-VPN (còn được gọi là LAN-to-LAN hay POP-to-POP) và các IP-VPN truy nhập từ

xa Các Site-to-Site bao gồm các phương án như: Extranet IP-VPN và Intranet IP-VPN, các phương án này đều có chung các thuộc tính nhưng được thiết kế

để giải quyết các tập vấn đề khác nhau IP-VPN truy nhập từ xa bao gồm các

Trang 12

phương pháp truy nhập quay số và truy nhập gọi trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiến trúc chính.

1.2.1 IP-VPN truy nhập từ xa.

Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những văn phòng dùng mạng diện rộng có dung lượng nhỏ rất thích hợp với loại hình IP-VPN truy nhập từ xa Truy nhập IP-VPN từ xa cho phép mở rộng mạng lưới của một tổ chức tới người sử dụng của họ thông qua chia sẻ cơ sở

hạ tầng công cộng, trong khi mạng lưới của tổ chức vẫn giám sát được tất cả những người dùng Truy nhập từ xa là phương thức đầu tiên sử dụng VPN

Nó cung cấp phương thức truy nhập an toàn tới những ứng dụng của tổ chức cho những người sử dụng ở xa, những nhân viên luôn di chuyển, văn phòng nhánh và những đối tác thương mại Cấu trúc IP-VPN này là phương tiện thông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN (mạng số đa dịch vụ), dial (quay số), tương tự, Mobile IP (di động IP), DSL (đường dây thuê bao số) và điện thoại cácp Cấu trúc IP-VPN này được quan tâm đến ở khắp mọi nơi vì nó có thể thiết lập tại bất kì thời điểm nào và bất kể đâu thông qua Internet

Thêm vào đó là một số thuận lợi có được do việc chuyển đổi từ những mạng quản lí riêng sang dạng IP-VPN truy nhập từ xa dưới đây:

- Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet

- Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng IP-VPN chỉ cần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối qua mạng băng rộng luôn hiện hành

- Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng của IP-VPN cho phép thêm vào người dùng mới mà không tăng chi phí cho

cơ sở hạ tầng

Trang 13

- Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêm người sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn.

Mặc dù là có rất nhiều thuận lợi thì để phát triển một IP-VPN truy nhập từ xa vẫn gặp phải khó khăn sau:

- Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khi

truyền và giải mật mã khi nhận được thông tin Mặc dù tiêu đề nhỏ, nhưng nó cũng ảnh hưởng đến một số ứng dụng

- Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ

nhỏ hơn 400 kb/s thì IP-VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu

đề của giao thức đường ngầm cần có thời gian để xử lí dữ liệu

- Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi Bởi vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về

số lượng phải đợi nên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet Điều này có thể không phải là vấn đề quá khó khăn, nhưng nó cũng cần sự quan tâm Người dùng có thể cần đến chu kì thiết lập kết nối nếu họ cảm thấy lâu

Cùng với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn

bộ quốc gia và thậm chí là triển khai quốc tế các POP (Point - Of - Presence: điểm hiện diện) quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc gọi đường dài được giảm đi, tất cả các lo lắng về thủ tục quay số có thể được

nhà cung cấp dịch vụ Internet (ISP) và nhà cung cấp truy nhập gánh chịu Các

IP-VPN truy nhập từ xa quay số có thể được xây dựng trên các phương pháp truyền Tunnel bắt buộc hay tự ý Trong một kịch bản truy nhập từ xa quay số

sử dụng phương tiện của hãng khác, người sử dụng quay số đế các POP địa phương của các nhà cung cấp dịch vụ Internet bằng cách thiết lập kết nối PPP (Point to Point Protocol: Giao thức điểm tới điểm) Sau khi người sử dụng đã được nhận thực và liên kết PPP được thiết lập, nhà cung cấp dịch vụ thiết lập

Trang 14

đến một cổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến Mạng riêng thực hiện nhận thực người sử dụng lần cuối và thiết lập kết nối Kiến trúc này được mô tả ở hình Công nghệ truyền Tunnel được lựa chọn cho IP-VPN truy nhập quay số theo phương tiện của hãng khác là L2TP

Hình 2: IP-VPN truy nhập từ xa

1.2.2 Site-to-Site IP-VPN.

Site-to-Site IP-VPN (hay còn được gọi là LAN-to-LAN) được sử dụng

để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình thường không xảy ra va chạm

1.2.2.1 Intranet IP-VPN.

Một tổ chức có thể dùng IP-VPN không chỉ để kết nối các site trực thuộc tổ chức mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ xa hoặc là các văn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở hạ tâng chia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạng Frame Relay, ATM, hoặc kênh điểm tới điểm Tuy nhiên khi sử dụng IP-VPN thì sẽ có những ưu điểm sau đây: Giảm bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet; dể dàng mở rộng site mới, và vấn đề an toàn dữ liệu được đảm bảo hơn Với khả năng này, Intranet IP-VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí các

Trang 15

nhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu hay các Router.

Hình 3: Intranet IP-VPN

1.2.2.2 Extranet IP-VPN.

Extranet IP-VPN được sử dụng khi một tập đoàn không chỉ muốn tương tác với các văn phòng ở xa của mình mà cả với các site trực thuộc khách hàng của họ, các nguồn cung cấp và các thực thể khác liên quan đến các giao dịch hay trao đổi thông tin Các thực thể này thường được gọi là các mạng đối tác Để hỗ trợ các thông tin này, các Tunnel IP-VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thể riêng khác nhau Các chức năng IP-VPN như điều khiển truy nhập, nhận thực và các dịch vụ an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyên cần thiết cho kinh doanh Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet, vì thế IP-VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điều khiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet

Trang 16

Hình 4: Extranet IP-VPN

1.3 Các giao thức đường ngầm trong VPN.

Như đã trình bày trong phần trên, các giao thức đường ngầm là nền tảng của công nghệ VPN Một giao thức đường ngầm sẽ thực hiện đóng gói

dữ liệu với phần header (và có thể có phần trailer) tương ứng để truyền qua Internet Có nhiều giao thức đường ngầm, việc sử dụng giao thức đường ngầm nào để đóng gói dữ liệu liên quan đến các phương pháp xác thực và mật

mã được dùng Có 4 giao thức đường ngầm trong IP-VPN như sau:

 PPTP (Point - to - Point Tunneling Protocol)

 L2F (Layer two Forwarding)

 L2TP (Layer Two Tunneling Protocol)

 IPSec (Internet Protocol Security)

Trước hết ta phân biệt 2 giao thức đầu tiên là PPTP và L2F PPTP là giao thức do nhiều công ty hợp tác phát triển L2F là do Cisco phát triển độc lập PPTP và L2F đều được phát triển dựa trên giao thức PPP (Point - to - Point Protocol) PPP là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên Trên cơ

sở PPTP và L2F, IETF đã phát triển giao thức đường ngầm L2TP Hiện nay giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F

Trong các giao thức đường ngầm nói trên, IPSec là giải pháp tối ưu về mặt an toàn dữ liệu IPSec hỗ trợ các phương pháp xác thực và mật mã mạnh

Trang 17

nhất Ngoài ra, IPSec còn có tính linh hoạt cao: Không bị ràng buộc bởi bất

cứ thuật toán xác thực, mật mã nào, đồng thời có thể sử dụng IPSec cùng với các giao thức đường ngầm khác để làm tăng tính an toàn cho hệ thống

Mặc dù có những ưu điểm vượt trội so với các giao thức đường ngầm khác về khả năng đảm bảo an toàn dữ liệu, IPSec cũng có một số nhược điểm Thứ nhất, IPSec là một khung tiêu chuẩn mới và còn đang được tiếp tục phát triển, do đó số lượng các nhà cung cấp sản phẩm hỗ trợ IPSec chưa nhiều Thứ hai, để tận dụng khả năng đảm bảo an toàn dữ liệu của IPSec thì cần phải

sử dụng một cơ sở hạ tầng khóa công khai PKI (Public Key Infrastructure) phức tạp để giải quyết vấn đề như chứng thực số hay chữ ký số

Khác với IPSec, các giao thức PPTP và L2TP là các chuẩn đã được hoàn thiện, nên các sản phẩm hỗ trợ chúng tương đối phổ biến PPTP có thể triển khai với một hệ thống mật khẩu đơn giản mà không cần sử dụng PKI Ngoài ra PPTP và L2TP còn có một số ưu điểm khác so với IPSec như khả năng hỗ trợ đa giao thức lớp trên Vì vậy, trong khi IPSec còn đang hoàn thiện thì PPTP và L2TP vẫn được sử dụng rộng rãi Cụ thể PPTP và L2TP thường được sử dụng trong các ứng dụng truy nhập từ xa

Trong phần này chúng ta sẽ đi tìm hiểu 2 giao thức đường ngầm là PPTP và L2TP

1.3.1 PPTP (Point - to - Point Tunneling Protocol)

PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram để truyền qua mạng IP (Internet hoặc Intranet) PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đường ngầm; và một phiên bản của giao thức GRE (Generic Routing Encapsulation - đóng gói định tuyến chung) để đóng gói các khung PPP Phần tải tin của khung PPP có thể được mật mã hoặc/và giải nén

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng giao thức đường ngầm PPTP) và PPTP server (VPN server sử dụng

Trang 18

PPTP) PPTP client có thể được nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP.

Việc xác thực trong quá trình thiết lập kết nối IP-VPN trên giao thức PPTP sử dụng các cơ chế xác thực của kết nối PPP, ví dụ EAP (Extensible Authentication Protocol: giao thức nhận thực mở rộng), CHAP (Challenge - Handshake Authentication Protocol: giao thức nhận thực đòi hỏi bắt tay), PAP (Password Authentication Protocol: giao thức nhận thực khẩu lệnh) PPTP cũng thừa hưởng việc mật mã hoặc/ và nén phần tải tin của PPP Mật

mã phần tải PPP sử dụng MPPE (Microsoft Point - to - Point Encryption: mật

mã điểm tới điểm của Microsoft) (với điều kiện xác thực sử dụng giao thức EAP - TLS (EAP - Transport Level Security: EAP - an ninh mức truyền tải) hoặc MS - CHAP của Microsoft) MPPE chỉ cung cấp mật mã mức truyền dẫn, không cung cấp mật mã đầu cuối đến đầu cuối Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối sau khi đường ngầm PPTP đã được thiết lập Máy chủ PPTP là máy chủ IP-VPN sử dụng giao thức PPTP với một giao diện nối với Internet

và một giao diện khác nối với Intranet

1.3.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP.

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành riêng 1723) Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP Các bản tin này bao gồm các bản tin PPTP Echo - Request và PPTP Encho - Reply định kỳ để phát hiện các lỗi kết nối giữa PPTP client và PPTP server Các gói của kết nối điều khiển PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP và các header, trailer của lớp đường truyền dữ liệu

Trang 19

Hình 5: Gói dữ liệu của kết nối điều khiển PPTP

1.3.1.2 Đóng gói dữ liệu đường ngầm PPTP.

a) Đóng gói khung PPP: Dữ liệu đường ngầm PPTP được đóng gói

thông qua nhiều mức Hình 2.8 là cấu trúc dữ liệu đã được đóng gói

Hình 6: Dữ liệu đường ngầm PPTP

Phần tải của khung PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE (Generic Routing Encapsulation: giao thức đóng gói định tuyến chung), giao thức này cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP

Đối với PPTP, phần Header của GRE được sửa đổi một số điểm sau:

• Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit

• Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ số cuộc gọi 16 bit Trường chỉ số cuộc gọi được thiết lập bởi PPTP client trong quá trình khởi tạo đường ngầm PPTP

• Một trường xác nhận dài 32 bit được thêm vào

b) Đóng gói các GRE: Phẩn tải PPP (đã được mật mã) và các GRE

Header sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho PPTP client và PPTP server

c) Đóng gói lớp liên kết dữ liệu : để có thể truyền qua mạng LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với một Header và Trailer của lớp liên kết dữ liệu ở giao diện vật lý đầu ra Ví dụ, nếu IP datagram được gửi qua giao diện Ethernet, nó sẽ được gói với phần Header và Trailer Ethernet Nếu IP datagram được gửi qua đường truyền WAN điểm tới điểm (ví dụ như đường điện thoại tương tự hoặc ISDN), nó sẽ được đóng gói với phần Header

và Trailer của giao thức PPP

Trang 20

- Xử lý và loại bỏ GRE Header và PPP Header.

- Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết)

- Xử lý phần Payload để nhận hoặc chuyển tiếp

1.3.1.4 Sơ đồ đóng gói.

Hình 2.9 là sơ đồ đóng gói PPTP qua kiến trúc mạng (từ một IP-VPN client qua kết nối truy nhập từ xa VPN, sử dụng modem tương tự)

Hình 7: Sơ đồ đóng gói PPTP

Quá trình được mô tả các bước sau:

- Các IP datagram và IPX datagram hoặc khung NetBEUI được đưa tới giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụng NDIS (Network Driver Interface Specification)

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu, và cung cấp PPP Header Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP (PPP Protocol ID Field), không có các trường Flags và FCS

Trang 21

(Frame Check Sequence) Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP.

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE Trong GRE Header, trường chỉ số cuộc gọi được đặt giá trị thích hợp để xác định đường ngầm

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

- TCP/IP dóng gói dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau

đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS

- NDIS gửi gói tin tới NDISWAN, nơi cung cấp các phần PPP Header và Trailer

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số (ví dụ, cổng không đồng bộ cho kết nối modem)

1.3.2 L2TP (Layer Two Tunneling Protocol).

Để tránh việc hai giao thức đường ngầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức L2F và PPTP thành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F L2TP được mô tả trong khuyến nghị RFC 2661

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay, hoặc ATM Hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP, L2TP có thể được sử dụng như một giao thức đường ngầm thông qua Internet hoặc các mạng riêng Intranet L2TP dùng các bản tin UDP qua mạng

IP cho các dữ liệu đường ngầm cũng như các dữ liệu bảo dưỡng đường ngầm Phần tải của khung PPP đã đóng gói có thể được mật mã, nén Tuy nhiên mật

mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ không

Trang 22

phải MPPE như đối với PPTP) Cũng có thể tạo kết nối L2TP không mật mã IPSec Tuy nhiên, đây không phải là kết nối IP-VPN vì dữ liệu riêng được đóng gói bởi L2TP không được mật mã Các kết nối L2TP không mật mã có thể sử dụng tạm thời để sửa lỗi các kết nối L2TP dùng IPSec.

L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao thức đường ngầm L2TP và IPSec) L2TP client có thể được nối trực tiếp tới mạng IP để truy nhập tới L2TP server hoặc gián tiếp thông qua việc quay số tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP Việc xác thực trong quá trình hình thành đường ngầm L2TP phải sử dụng các cơ chế xác thực như trong các kết nối PPP như EAP, MS-CHAP, CHAP, PAP Máy chủ L2TP là máy chủ IP-VPN sử dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác nối với mạng Intranet Các dữ liệu đường ngầm và dữ liệu duy trì đường ngầm có cùng cấu trúc gói

1.3.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP.

Không giống PPTP, việc duy trì đường ngầm L2TP không được thực hiện thông qua một kết nối TCP riêng biệt Các lưu lượng điều khiển và duy trì cuộc gọi được gửi đi như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP server đều sử dụng cổng UDP 1701)

Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram UDP datagram lại được mật mã bởi IPSec ESP như trên hình 2.10

Hình 8: Bản tin điều khiển L2TP

Vì kết nối TCP không được sử dụng, L2TP dùng thứ tự bản tin để đảm bảo việc truyền các bản tin L2TP Trong bản tin điều khiển L2TP, trường Next-Received (tương tự như TCP Acknowledgment) và Next-Sent (tương tự

Trang 23

như TCP Sequence Number) được sử dụng để duy trì thực tự các bản tin điều khiển Các gói không đúng thứ tự bị loại bỏ Các trường Next-Sent và Next-Received cũng có thể được sử dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm.

L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm Trong bản tin điều khiển L2TP và phần tiêu đề L2TP của dữ liệu đường ngầm có một mã số đường ngầm (Tunnel ID) để xác định đường ngầm, và một mã số cuộc gọi (Call ID)để xác định cuộc gọi trong đường ngầm đó

1.3.2.2 Đường ngầm dữ liệu L2TP.

Đường ngầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói Hình 2.11 chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên nên IPSec

Hình 9: Đóng bao gói tin L2TP

a) Đóng gói L2TP: phần tải PPP ban đầu được đóng gói với một PPP

Header và một L2TP Trailer

b) Đóng gói UDP: gói L2TP sau đó được đóng gói với một UDP

Header, các địa chỉ cổng nguồn và đích được đặt bằng 1701

c)Đóng gói IPSec: tuỳ thuộc vào chính sách IPSec, gói UDP được mật

mã và đóng gói với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer

d) Đóng gói IP: gói IPSec được đóng gói với IP Header chứa địa chỉ IP

nguồn và đích của IP-VPN client và IP-VPN server

e)Đóng gói lớp đường truyền dữ liệu: để truyền đi được trên đường

truyền LAN hoặc WAN, IP datagram cuối cùng sẽ được đóng gói với phần Header và Trailer tương ứng với kỹ thuật lớp đường truyển dữ liệu của giao

Trang 24

diện vật lý đầu ra Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet, IP datagram sẽ được đóng gói với Ethernet Header và Trailer Khi các IP datagram được gửi trên đường truyền WAN điểm tới điểm (chẳng hạn đường dây điện thoại ISDN), IP datagram được đóng gói với PPP Header và Trailer.

1.3.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec.

Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:

- Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu

- Xử lý và loại bỏ IP Header

- Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP Header

- Dùng IPSec ESP Header để giải mã phần gói đã mật mã

- Xử lý UDP Header và gửi gói L2TP tới L2TP

- L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP Header

để xác định đường ngầm L2TP cụ thể

- Dùng PPP Header để xác định PPP Payload và chuyển tiếp nó tới đúng giao thức để xử lý

1.3.2.4 Sơ đồ đóng gói L2TP trên nền IPSec.

Hình 2.12 là sơ đồ đóng gói L2TP qua kiến trúc mạng từ một IP-VPN client thông qua một kết nối IP-VPN truy nhập từ xa sử dụng một modem tương tự

Trang 25

Hình 10: Sơ đồ đóng gói L2TP

Các bước sau mô tả quá trình đó:

- Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp

- NDIS đưa các gói tới NDISWAN, tại đây có thể nen và cung cấp PPP Header chỉ bao gồm trường chỉ số PPP Protocol Các trương Flag hay FCS không được thêm vào

- NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP Frame với một L2TL Header Trong L2TP Header, chỉ số đường ngầm và chỉ

số cuộc gọi được thiết lập với các giá trị thịch hợp để xác định đường ngầm

- Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin

để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địa chỉ IP của IP-VPN client và IP-VPN server

- Giao thức TCP/IP xây dựng một gói IP với các IP Header và UDP Header thích hợp IPSec sau đó sẽ phân tích gói IP và so sánh nó với chính sách IPSec hiện thời Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã phần bản tin UDP của gói IP sử dụng các ESP Header và

Trang 26

thêm vào phía trước của gói ESP Giao thức TCP/IP sau đó gửi gói thu được tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS.

- NDIS gửi số tới NDISWAN

- NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thu được tới cổng AN thích hợp đại diện cho phần cứng dial-up

1.4 Bảo mật thông tin trong mạng riêng ảo.

1.4.1 Một số cách tấn công phổ biến trên VPN.

Dữ liệu truyền trên mạng thường dễ bị tấn công bằng nhiều cách, sau đây là một số cách tấn công phổ biến

+ Làm gián đoạn dịch vụ mạng (Network service interruptions):

Các mối tấn công từ bên ngoài cũng có mức độ nguy hiểm tương đương với

bị tấn công từ bên trong, có thể làm cho một số tài nguyên và dịch vụ mạng không sử dụng được trong một thời gian dài Trong trường hợp này, trên toàn

bộ mạng người sử dụng không thể truy cập được

+ Ngăn chặn dữ liệu (Data interception): Khi trao đổi dữ liệu trên

mạng, dữ liệu có thể bị ngăn chặn bởi những cá nhân không được phép Kết quả là những thông tin cần bảo mật bị mất Trong trường hợp này, vị trí của tổ chức những người sử dụng sẽ có thể bị mất (trong vấn đề kinh doanh và tiền bạc) nếu những dữ liệu rơi vào tay những đối tượng bất hợp pháp

+ Chỉnh sửa thông tin (Data modification): Thông tin bị chặn có thể

bị sửa đổi và người nhận thông tin có thể sẽ nhận được những thông tin sai lệch hoặc bị xáo trộn Điều này khiến cho công ty của bạn sẽ phải mất một số tiền lớn, đặc biệt là những dữ liệu quan trọng

+ Làm giả thông tin (Data fabrication): Theo kiểu này, những người

dùng không hợp pháp cũng được xem như những người dùng hợp pháp và tin cậy Sau khi truy nhập vào hệ thống mạng, những cá nhân này sẽ tung ra những thông tin giả mạo và có hại đến những người dùng khác trong mạng

Và cuối cùng có thể bị phá vỡ một phần hoặc toàn bộ hệ thống mạng

Trang 27

1.4.2 Vấn đề bảo mật thông tin trong VPN.

VPN có thể cho phép người dùng phân quyền truy cập tới những mạng con, thiết bị hoặc những cơ sơ dữ liệu quan trọng Do đó, quyền truy cập là vấn đề cần quan tâm khi xem xét tới việc bảo mật cho VPN

Một giải pháp phổ biến cho công ty khi muốn chia sẻ một phần thông tin từ VPN của mình cho người dùng Internet, khách hàng hay nhân viên của

họ trong khi vẫn bảo mật được những tài nguyên riêng nếu cần, đó là sử dụng vùng giới tuyến DMZ (Demilitarized Zone) DMZ bao gồm có hai tường lửa: Một đặt giữa Internet và tài nguyên muốn chia sẻ, Một đặt giữa tài nguyên muốn chia sẻ và mạng nội bộ bên trong Máy chủ trong DMZ đóng vai trò là nơi lưu giữ thông tin phụ sao cho nếu như nó bị hư hỏng thì giảm thiểu thiệt hại xảy ra Ví dụ, máy chủ Web trong DMZ lưu nhưng bản sao trang Web còn bản chính thì nằm trên máy chủ ở trong mạng nội bộ

Để bảo mật người ta sử dụng mã hoá, trao đổi giao khoá và chứng thực số

Mã hoá là một tiến trình đòi hỏi tính toán và nó thay đổi tuỳ theo giải thuật Với các giải thuật khác nhau cho ta các mức độ bảo mật khác nhau, ta

có thể sử dụng các phương thức mã hoá khác nhau để phân quyền truy cập

Khi thiết kế VPN cần quyết định bao lâu thì khoá được chuyển đổi giữa các cổng nối bảo mật Nếu một VPN chỉ có một số lượng nhỏ cổng bảo mật thì chuyển khoá bang tay vẫn là một giải pháp có thể chấp nhận được Tuy nhiên, giải pháp trên không thích hợp khi VPN trải rộng trên một quốc gia hay kgắp toàn cầu Trong trường hợp này thì sử dụng e-mail bảo mật là một giải pháp

Để dữ liệu được bảo mật cao nhất thì tốt hơn hết là sử dụng hệ thống chuyển khoá tự động Những khoá sử dụng cho mã hoá và xác thực có thể thay đổi theo quy luật: sau một số gói được truyền đi; sau một khoảng thời gian;mỗi khi bắt đầu một phiên làm việc mới hoặc là tổ hợp nhưng quy luật trên Tự đông thay đổi khoá làm tăng khả năng chống lại tấn công, xâm phập

Trang 28

Khi sử dụng hệ thống quản lý khoá thì cần kèm theo một số cơ chế hồi khoá Điều này đặc biệt hưu ích khi muốn khôi phục lại dữ liệu cũ cùng với khoá cũ trước đó.

Chứng thực số hay còn gọi là xác thực tính hợp lệ Trong tiến trìng mã hoá khoá chung có sử dụng một cặp khoá chung để xác thực tính hợp lệ của khoá Những chứng thực này nhằm rằng buộc khoá chung với một số thực thể mạng tên, có thể là nguời dùng hay máy tính nhiều trình duyệt Web sử dụng chứng thực điện tử để đảm bảo truyền hông bảo mật với máy chủ, sử dụng Secure Sockets Layer cho các mục đích thương mại điện tử Một số hệ thống e-mail đưa ra khả năng mã hoá dựa trên chứng thực điện tử và những công nghệ để phân phối chúng: Chứng thực điện tử CA và cơ sở hạ tầng khóa công cộng (Public Key Infrastructures)

1.5 Kết luận chung chương I.

Chương này đã giới thiệu chung về công nghệ IP-VPN Đây là một công nghệ không mới, nhưng với sự phát triển mạnh mẽ của mạng Internet trên toàn cầu thì thị trường IP-VPN sẽ rất phát triển Với các tổ chức có mạng lưới rộng khắp, sử dụng công nghệ này sẽ rất hiệu quả trong truyền thông giữa các thành viên của hãng ở các vùng địa lí khác nhau, đảm bảo phát triển các văn phòng mới một cách mềm dẻo, dễ dàng tiếp cận với khách hàng một cách trực tiếp và điều quan trọng là tính an toàn thông tin

Theo cấu trúc cơ bản, có 2 loại VPN: Site-to-Site IP-VPN và Remote VPN Trong đó Site-to-Site bao gồm 2 mô hình là: Intranet IP-VPN được sử dụng để kết nối các mạng LAN văn phòng ở xa của một tổ chức; Extranet IP-VPN được sử dụng cho các ứng dụng kết nối trực tuyến tới khách hàng của tổ chức Từ những khái niệm được trình bày ta có thể nhận ra rằng đối tuợng và phạm vi kết nối của Extranet VPN có phần rộng hơn Intranet VPN Do đối tượng kết nối luôn thay đổi và khó có thể đảm bảo trước nên yêu cầu bảo mật

Định dạng
Số trang	56
Dung lượng	3,75 MB
File đính kèm	cơ chế bảo mật trong VPN.rar (1 MB)