CHƯƠNG 1: MẠNG RIÊNG ẢO VPN 1.1 VPN là gì VPN Virtual Private Network – Mạng riêng ảo là phương pháp làm cho 1 mạng công cộng (ví dụ mạng internet) hoạt động giống như 1 mạng cục bộ, có cùng các đặc tính như bảo mật và tính ưu tiên mà người dùng từng ưu thích. VPN cho phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chi nhánh của công ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng. Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy trì nhiều loại đường dây riêng… Trong khi đó VPN không bị những rào cản về chi phí như các mạng WAN do được thực hiện qua một mạng công cộng. Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng (thường là Internet)để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa. Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và thời gian. 1.2 Phân loại VPN Có hai loại phổ biến hiện nay là VPN truy cập từ xa (RemoteAccess) và VPN điểmnốiđiểm (sitetosite) 1.2.1 VPN truy cập từ xa (Remote Access) VPN truy cập từ xa còn được gọi là mạng Dialup riêng ảo (Virtual Private Dialup Network VPDN), là một kết nối người dùng đến LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (Enterprises Service Provider ESP). ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có mật mã. Nói cách khác, đây là dạng kết nối áp dụng cho các công ty mà các nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu RemoteAccess diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP. ESP cài đặt một công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1 800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng lớn với hàng trăm nhân viên thương mại. Remoteaccess VPN đảm bảo các kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua một nhà cung cấp dịch vụ thứ ba (thirdparty). Ví dụ trong hình 1.1.1 thì kết nối giữa Văn phòng chính và Văn phòng tại gia hoặc nhân viên di động là loại VPN truy cập từ xa. 1.2.2 VPN sitetosite VPN điểmnốiđiểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại này có thể dựa trên Intranet hoặc Extranet. • Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN Intranet (VPN nội bộ) để nối LAN với LAN. • Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN Extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung. Ví dụ trong hình 1.1.1 thì kết nối giữa Văn phòng chính và Văn phòng từ xa là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN Extranet.
Trang 1KHOA CÔNG NGHỆ THÔNG TIN
-*** -AN NINH MẠNG
ĐỀ TÀI: TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC
TRÊN WINDOWS SERVER Giảng viên hướng dẫn
Sinh viên thực hiện
Nhóm 08
Lớp Mạng Máy Tính K58
Hà Nội – 2017
Mục Lục
Trang 2CHƯƠNG 1: MẠNG RIÊNG ẢO VPN 4
1.1 VPN là gì 4
1.2 Phân loại VPN 5
1.2.1 VPN truy cập từ xa (Remote Access) 5
1.2.2 VPN site-to-site 5
1.3 Ưu điểm VPN 6
1.4 Nhược điểm VPN 6
CHƯƠNG 2: CÁC GIAO THỨC TRONG VPN 7
2.1 Giao thức Layer 2 Tunneling Protocol (L2TP) 7
2.1.1 Thành phần thiết lập đường hầm L2TP 8
2.1.2 Đường hầm bắt buộc L2TP (L2TP Compulsory Tunnel Mode) .8
2.1.3 Đường hầm tự nguyện L2TP (L2TP Voluntary Tunnel Mode) 10
2.1.4 Nguyên lý hoạt động 11
2.2 Giao thức bảo mật IP Security – IPsec 12
2.2.1 Các thành phần của IPsec 13
2.2.2 Quản lý khóa 15
2.2.3 Những hạn chế của IPSec 15
2.3 L2TP và IPSec 16
CHƯƠNG 3: TRIỂN KHAI VPN SITE-TO-SITE L2TP/IPSEC TRÊN WINDOWS SERVER 2008 17
MỤC LỤC HÌNH ẢNH
Trang 3Hình 1.1 1 Mô hình chung về mạng VPN
Hình 2.1.2 1 Đường hầm bắt buộc L2TP 9
Hình 2.1.2 2 Thiết lập một đường hầm bắt buộc L2TP 10Y Hình 2.1.3 1 Đường hầm tự nguyện L2TP 10
Hình 2.1.3 2 Thiết lập một đường hầm tự nguyện L2TP 11
Hình 2.1.4 1 Quá trình thiết lập đường hầm L2TP 12
Hình 2.2.1 1 Xác thực tiêu đề AH 13
Hình 2.2.1 2 Bọc gói dữ liệu tải ESP 14
Hình 2.2.1 3 So sánh xác thực bởi AH và ESP 15
Hình 2.3 1 IPsec bảo vệ đường hầm bắt buộc L2TP 16
Hình 2.3 2 IPsec bảo vệ đường hầm tự nguyện L2TP 17
Trang 4CHƯƠNG 1: MẠNG RIÊNG ẢO VPN
1.1 VPN là gì
VPN -Virtual Private Network – Mạng riêng ảo là phương pháp làm cho 1mạng công cộng (ví dụ mạng internet) hoạt động giống như 1 mạng cục bộ, cócùng các đặc tính như bảo mật và tính ưu tiên mà người dùng từng ưu thích VPNcho phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chinhánh của công ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng
Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duytrì nhiều loại đường dây riêng… Trong khi đó VPN không bị những rào cản về chiphí như các mạng WAN do được thực hiện qua một mạng công cộng
Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đápứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí Trước đây, đểtruy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức RemoteAccess quay số dựa trên mạng điện thoại Phương thức này vừa tốn kém vừa không
an toàn VPN cho phép các máy tính truyền thông với nhau thông qua một môitrường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật
dữ liệu
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng(thường là Internet)để kết nối các địa điểm hoặc người sử dụng từ xa với một mạngLAN ở trụ sở trung tâm Thay vì dùng kết nối thật khá phức tạp như đường dâythuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêngcủa một tổ chức với địa điểm hoặc người sử dụng ở xa
Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cườngthông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu) Tài nguyên
ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí vàthời gian
Hình 1.1 1 Mô hình chung về mạng VPN
Trang 51.2 Phân loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) vàVPN điểm-nối-điểm (site-to-site)
1.2.1 VPN truy cập từ xa (Remote Access)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (Virtual PrivateDial-up Network - VPDN), là một kết nối người dùng đến LAN, thường là nhu cầucủa một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rấtnhiều địa điểm ở xa Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đếnmột nhà cung cấp dịch vụ doanh nghiệp (Enterprises Service Provider - ESP) ESPnày tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sửdụng từ xa một phần mềm máy khách cho máy tính của họ Sau đó, người sử dụng
có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách
để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối antoàn, có mật mã
Nói cách khác, đây là dạng kết nối áp dụng cho các công ty mà các nhânviên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Accessdiện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP ESP cài đặt mộtcông nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phầnmềm client trên mỗi máy của họ Các nhân viên từ xa này sau đó có thể quay một
số từ 1- 800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client
để truy cập mạng công ty của họ Các công ty khi sử dụng loại kết nối này là nhữnghãng lớn với hàng trăm nhân viên thương mại Remote-access VPN đảm bảo cáckết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ
xa qua một nhà cung cấp dịch vụ thứ ba (third-party)
Ví dụ trong hình 1.1.1 thì kết nối giữa Văn phòng chính và Văn phòng tạigia hoặc nhân viên di động là loại VPN truy cập từ xa
1.2.2 VPN site-to-site
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kếtnối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loạinày có thể dựa trên Intranet hoặc Extranet
Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn thamgia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN Intranet (VPNnội bộ) để nối LAN với LAN
Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với mộtcông ty khác (ví dụ như đối tác cung cấp, khách hàng ), họ có thể xâydựng một VPN Extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổchức khác nhau có thể làm việc trên một môi trường chung
Ví dụ trong hình 1.1.1 thì kết nối giữa Văn phòng chính và Văn phòng từ xa
là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPNExtranet
Trang 61.3 Ưu điểm VPN
Giảm chi phí thiết lập:VPN có giá thành thấp hơn rất nhiều so với các giải
pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN Lý do làVPN đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằngcác kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence(POP)
Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông
khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cáchđáng kể Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếucác thiết bị mạng WAN sử dụng trong VPN được quản lý bởi ISP Mộtnguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tổ chức khôngmất chi phí để đào tạo và trả cho nhiều người người quản lý mạng
Nâng cao kết nối (Enhanced Connectivity): VPN sử dụng mạng Internet
cho kết nối nội bộ giữa các phần xa nhau của Intranet Do Internet có thểđược truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sửdụng cũng có thể kết nối dễ dàng với mạng Intranet chính
Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông
qua mạng công cộng cho nên tính bảo mật cũng được cải thiện Thêm vào
đó, VPN sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa,xác nhận và ủy quyền Do đó VPN được đánh giá cao bảo mật trong truyềntin
Hiệu suất băng thông: Sự lãng phí băng thông khi không có kết nối
Internet nào được kích hoạt Trong kĩ thuật VPN thì các “đường hầm” chỉđược hình thành khi có yêu cầu truyền tải thông tin Băng thông mạng chỉđược sử dụng khi có kích hoạt kết nối Internet Do đó hạn chế rất nhiều sựlãng phí băng thông
Có thể nâng cấp dễ dàng: Bởi vì VPN dựa trên cơ sở Internet nên các nó
cho phép các mạng Intranet các tổ chức có thể phát triển khi mà hoạt độngkinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sungthêm vào tối thiểu Điều này làm mạng Intranet có khả năng nâng cấp dễdàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ
sở hạ tầng
1.4 Nhược điểm VPN
Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắc nghẽn
mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trongmạng VPN
Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay chưa hoàn toàn trên cơ
sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn(Mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗingày Kết quả là VPN không phù hợp được với các thiết bị và giao thức này.Vấn đề này có thể được giải quyết một cách chừng mực bởi các “Tunneling
Trang 7Mechanisms” Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh cácgói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng
Nhược điểm của các thiết bị VPN hiện nay :
Khi có một gói tin được gửi thông qua mạng Internet giữa 2 mạng Intranet,thì gói tin này được gửi đến mọi đường hầm trong mạng Điều này khiếncho lưu lượng thông tin trao đổi gia tăng một cách đáng kể
Khi cấu hình mạng con thay đổi, các nhà quản trị mạng phải cập nhật, cấuhình các thiết bị VPN theo phương pháp thủ công, chưa có những công cụ tựđộng cập nhật lại tình trạng của các mạng con
Khi cấu hình của các Intranet phức tạp, như bao gồm nhiều mạng con, nhiềumạng bên trong, thì thông tin của Intranet bên trong không được lưu trữ mộtcách trọn vẹn đầy đủ
Thiết bị VPN hiện nay không hỗ trợ đối với những đường hầm được thiếtlập với cơ chế mã hóa có khóa thay đổi theo thời gian Phương pháp mã hóa
dữ liệu trong những đường ống luôn được định trước, cả về phương pháp mãhóa, khóa mã dữ liệu Khi muốn thay đổi khóa mã hóa, nhà quản trị mạngphải thực hiện việc thay đổi khóa một cách thủ công trên tất cả các thiết bịVPN trong VPN đó
CHƯƠNG 2: CÁC GIAO THỨC TRONG VPN
2.1 Giao thức Layer 2 Tunneling Protocol (L2TP)
Giao thức đường hầm lớp 2 (Layer 2 Tunneling Protocol - L2TP) là mộtgiao thức tiêu chuẩn được IETF (Internet Engineering Task Force) công nhận Nókết hợp các đặc điểm tối ưu của 2 giao thức đã có trước đây là giao thức chuyểntiếp lớp 2 (Layer 2 Forwarding - L2F) của Cisco và giao thức đường hầm điểm-điểm (Point to Point Tunneling Protocol - PPTP) của Microsoft
Các phương pháp truy cập truyền thống trước đây chỉ cho phép các máy cóđịa chỉ IP hoạt động, điều này gây hạn chế rất nhiều các ứng dụng có thể được thựchiện qua VPN L2TP hỗ trợ giải pháp đa giao thức, các địa chỉ IP chưa đăng kýhoặc các địa chỉ IP cá nhân thông qua mạng Internet Do đó nó cho phép cácphương tiện truy nhập đã tồn tại như Internet, Modem, máy chủ truy nhập, thiết bịcuối ISDN (TAs) được sử dụng Hơn nữa, nó cho phép khách hàng của công ty cóthể truy cập và nhận được một số dữ liệu bằng cách truy cập từ xa, điều này làmgiảm đáng kể chi phí phần cứng và cho phép các công ty xử lý một cách tập trungviệc truy cập dữ liệu của khách hàng
L2TP có tất cả các đặc điểm ưu việt của L2F, ngoài ra còn có thêm các đặcđiểm khác Một máy có cài đặt L2TP có thể hoạt động với một máy chủ cài đặtL2F cũng như các máy chủ đã được nâng cấp lên chạy L2TP LNS không yêu cầuthiết lập lại cấu hình mỗi khi một LAC nào đó được nâng cấp từ L2F lên L2TP
Trang 82.1.1 Thành phần thiết lập đường hầm L2TP
Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản: một NetworkAccess Server (NAS), một L2TP Access Concentrator (LAC), và một L2TPNetwork Server (LNS)
Network Access Server (NAS)
L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối Internet đến người dùng từ xa, là những người quay số (thông quaPSTN hoặc ISDN) sử dụng kết nối PPP NASs phản hồi lại xác nhậnngười dùng từ xa ở nhà cung cấp ISP cuối và xác định nếu có yêu cầu kếtnối ảo Giống như PPTP NASs, L2TP NASs được đặt tại ISP site và hànhđộng như client trong qui trình thiết lập L2TP tunnel NASs có thể hồiđáp và hổ trợ nhiều yêu cầu kết nối đồng thời và có thể hổ trợ một phạm
vi rộng các client (như các sản phẩm mạng của Microsoft, Unix, Linux,VAX-VMS,…)
Bộ tập kết truy cập L2TP (LAC)
Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một tunnelthông qua một mạng công cộng (như PSTN, ISDN, hoặc Internet) đếnLNS ở tại điểm cuối mạng chủ LACs phục vụ như điểm kết thúc củamôi trường vật lý giữa client và LNS của mạng chủ
Điều cần nhớ là LACs thường được đặt tại ISP site Tuy nhiên,, ngườidùng từ xa cũng có thể hoạt động như LAC trong trường hợp tạo hầmL2TP tự nguyện
L2TP Network Server (LNS)
LNSs được đặt tại mạng cuối chủ Do đó, chúng dùng để kết thúc kếtnối L2TP ở mạng cuối chủ theo cùng cách kết thúc tunnel từ client củaLACs Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC,
nó thiết lập tunnel và xác nhận người dùng, là người khởi tạo yêu cầu kếtnối Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo
L2TP hỗ trợ 2 loại đường hầm - đường hẫm bắt buộc (compulsory tunnel,còn có tên khác là đường hầm tĩnh - static tunnel ) và đường hầm tự nguyện(voluntary tunnel, còn có tên khác là đường hầm động - dynamic tunnel) Nhữngđường hầm này đóng một vai trò quan trọng trong việc truyền dữ liệu an toàn từmột nút tới một nút
2.1.2 Đường hầm bắt buộc L2TP (L2TP Compulsory Tunnel Mode)
Một đường hầm bắt buộc L2TP được thiết lập giữa một đầu là LAC tại ISPvới một đầu khác là LNS tại mạng LAN của người dùng Để có thể hỗ trợ VPN tạiISP, việc thiết lập đường hầm bắt buộc này là rất cần thiết Như vậy, trong trườnghợp này ISP đóng một vai trò quan trọng trong việc thiết lập đường hầm L2TP bởi
vì một phiên làm việc có thể thực hiện được hay không một phần do ISP quyếtđịnh
Trang 9Hình 2.1.2 1 Đường hầm bắt buộc L2TP
Trong trường hợp đường hầm bắt buộc L2TP, một người dùng từ xa thường
là một thực thể thụ động Ngoài việc yêu cầu kết nối, người dùng này không đóngbất cứ vai trò nào trong quá trình thiết lập đường hầm Do đó, không cần có bất cứ
sự thay đổi nào tại phía người dùng
Nghiên cứu về đường hầm L2TP đặc biệt quan trọng khi xem xét về bảo mật
vì người dùng từ xa dùng một kết nối PPP để dial-up đến ISP Kết quả là, ngườidùng này không thể truy cập Internet trừ khi đi qua gateway của tổ chức họ, điềunày cho phép những nhà quản trị mạng có thể thực thi những cơ chế nghiêm ngặt
về bảo mật, điều khiển truy cập và tính toán
Các bước để thiết lập một đường hầm bắt buộc L2TP được mô tả như sau:
Người dùng từ xa yêu cầu một kết nối PPP từ máy chủ truy cập NAS đặt tạiISP
NAS xác thực người dùng Quá trình xác thực này cũng giúp cho NAS biếtdanh tính của người dùng đang yêu cầu kết nối Nếu như định danh củangười dùng phù hợp với cơ sở dữ liệu của ISP, những dịch vụ tương ứng vớiuser này sẽ được cung cấp Đồng thời NAS cũng xác định điểm cuối đườnghầm LNS
Nếu NAS đang rỗi để có thể nhận một yêu cầu kết nối, một kết nối PPPđược thiết lập giữa ISP với người dùng từ xa
LAC thiết lập một đường hầm với LNS
Nếu như kết nối đã được LNS chấp nhận, các khung PPP được đưa quađường hầm L2TP Những khung được đóng gói L2TP này sau đó được gửiđến LNS thông qua đường hầm
Cuối cùng, LNS xác thực người dùng và chấp nhận các gói dữ liệu Nếu việcxác thực tốt đẹp, một địa chỉ IP thích hợp sẽ được đóng vào khung để sau đókhung này được gửi đến nút đích nằm trong mạng Intranet
Trang 10Hình 2.1.2 2 Thiết lập một đường hầm bắt buộc L2TP
2.1.3 Đường hầm tự nguyện L2TP (L2TP Voluntary Tunnel Mode)
Một đường hầm tự nguyện L2TP được thiết lập giữa một người dùng từ xavới một LNS, LNS này được đặt tại LAN Trong trường hợp này, người dùng tư xahoạt động giống như là một LAC Bởi vì ISP gần như không có vai trò gì trongviệc thiết lập đường hầm tự nguyện L2TP cho nên cơ sở vật chất của ISP là trongsuốt đối với người dùng đầu cuối Điều này khá giống với đường hầm được tạo rabởi giao thức PPTP
Hình 2.1.3 1 Đường hầm tự nguyện L2TP
Ưu điểm lớn nhất của đường hầm tự nguyện L2TP là nó cho phép ngườidùng từ xa có thể truy cập Internet và thiết lập nhiều phiên làm việc VPN cùng mộtlúc Tuy nhiên, để có thể sử dụng những lợi ích này, người dùng từ xa phải đượccấp nhiều địa chỉ IP Một trong số các địa chỉ IP sẽ được sử dụng để tạo kết nốiPPP đến ISP và mỗi địa chỉ khác được dùng cho một đường hầm L2TP Mặt khác,đây cũng chính là một nhược điểm bởi vì người dùng từ xa, tiếp đó là LAN có thể
bị thâm nhập bởi các hacker Thiết lập một đường hầm tự nguyện L2TP thì dễ hơn
Trang 11thiết lập một đường hầm bắt buộc L2TP bởi vì người dùng từ xa đã tạo nên một kếtnối PPP đến ISP Các bước để thiết lập đường hầm tự nguyện L2TP như sau:
LAC (trong trường hợp này là người dùng từ xa), gửi một yêu cầu thiết lậpđường hầm tự nguyện đến LNS
Nếu như yêu cầu thiết lập đường hầm được chấp nhận bởi LNS, LAC sẽđưa vào đường hầm tương ứng của từng L2TP các khung PPP rồi truyềnchúng đi
LNS nhận các khung dữ liệu, tách bỏ các thông tin về đường hầm rồi xử lýchúng
Cuối cùng, LNS xác thực định danh người dùng và nếu đây là người dùnghợp lệ thì truyền dữ liệu đến nút đích trong mạng LAN
Hình dưới đây mô tả quá trình thiết lập đường hầm tự nguyện L2TP:
Hình 2.1.3 2 Thiết lập một đường hầm tự nguyện L2TP
NAS sau đó sẽ kích hoạt LAC, tại LAC chứa các thông tin về LNS ở mạngđích
Tiếp đó, LAC thiết lập một đường hầm với LNS thông qua môi trườngmạng giữa chúng (Internet, Frame Relay, ATM)
Sau khi đường hầm được thiết lập, LAC cấp cho liên kết một Call ID và gửimột thông điệp xác nhận đến LNS Thông điệp xác nhận này chứa các
Trang 12thông tin có thể được sử dụng để xác thực người dùng từ xa (người yêu cầukhởi tạo đường hầm) Thông điệp này cũng mang LCP đã được thoả thuậngiữa người dùng với LAC
LNS sử dụng những thông tin nhận được từ thông điệp xác nhận để xácthực người dùng từ xa Nếu việc xác nhận thành công và LNS chấp nhậnyêu cầu đường hầm, một giao diện PPP ảo (đường hầm L2TP) được thiếtlập với sự trợ giúp của LCP nhận được từ gói tin xác nhận
Người dùng từ xa và LNS sau đó sẽ trao đổi dữ liệu thông qua đường hầm
Hình 2.1.4 1 Quá trình thiết lập đường hầm L2TP
2.2 Giao thức bảo mật IP Security – IPsec
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thứcIPSec Họ giao thức IPSec có kiến trúc cơ bản gồm 2 loại tiêu đề được sử dụngtrong gói IP để điều khiển quá trình xác thực và mã hóa: một là xác thực tiêu đề IP-
AH (IP-Authentication Header) là điều khiển việc xác thực và hai là bọc gói bảomật tải ESP (Encapsulating Security Payload) cho mục đích mã hóa
IPSec được phát triển nhắm vào họ giao thức kế tiếp là IPv6, nhưng do việcchấp nhận IPv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec đã đượcthay đổi cho phù hợp với IPv4 Việc hỗ trợ cho IPSec chỉ là tùy chọn đối với IPv4nhưng đối với IPv6 thì đã có sẵn IPSec
Giao thức IPsec làm việc tại tầng Network Layer – layer 3 của mô hình OSI.Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từtầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI) Điều này tạo ra tínhmềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầuhết các giao thức sử dụng tại tầng này IPsec có một tính năng cao cấp hơn SSL vàcác phương thức khác hoạt động tại các tầng trên của mô hình OSI Với một ứngdụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc
Trang 13sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thìđoạn mã ứng dụng đó sẽ bị thay đổi lớn.
SA đảm nhận Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất một SA
và có thể đòi hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA riêngcho nó Do đó, một gói được xác thực đòi hỏi một SA, một gói được mã hóa cũngyêu cầu một SA Thậm chí nếu cùng dùng chung một giải thuật cho xác thực và mãhóa thì cũng cần phải có 2SA khác nhau do sử dụng những bộ khóa khác nhau
Xác thực tiêu đề AH:
Hình 2.2.1 1 Xác thực tiêu đề AH
Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sửdụng cho các dịch vụ xác thực AH được chèn vào giữa tiêu đề IP và nội dung phíasau, không làm thay đổi gói dữ liệu
Xác thực tiêu đề gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field),chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security ParameterIndex), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data)
Hai khái niệm mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận góibiết họ giao thức bảo mật mà phía gửi dùng trong truyền thông và dữ liệu xác thựcAuthentication Data mang thông tin về giải thuật mã hóa được định nghĩa bởi SPI
Bọc gói bảo mật tải ESP (Encapsulating Security Payload)
Bọc gói dữ liệu tải được sử dụng cho việc mã hóa dữ liệu Cũng giống như
AH, ESP được chèn vào giữa tiêu đề IP và nội dung tiếp theo của gói Tuy nhiênESP có nhiệm vụ mã hóa dữ liệu nên nội dung gói sẽ bị thay đổi
Trang 14Hình 2.2.1 2 Bọc gói dữ liệu tải ESP
Giống như AH, ESP cũng gồm có SPI (Security Parameter Index) để chỉ chobên nhận biết cơ chế bảo mật thích hợp cho việc xử lý gói Số tuần tự (SequenceNumber) trong ESP là bộ đếm sẽ tăng mỗi khi một gói được gửi đến cùng một địachỉ và sử dụng cùng SPI Số tuần tự chỉ ra có bao nhiêu gói được gửi đến có cùngmột nhóm các tham số Số tuần tự giúp cho việc bảo mật chống lại các vụ tấn côngbằng cách chép các gói và gửi chúng sai thứ tự để làm rồi loạn quá trình truyềnthông Phần còn lại của gói (ngoại trừ xác thực tiêu đề) sẽ được mã hóa trước khigửi lên mạng
ESP cũng có thể sử dụng với mục đích xác thực Trường xác thực ESP, mộttrường tùy chọn trong ESP, bao gồm một tổng kiểm tra tổng mã hóa.Độ dài củatổng kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng Nó cũng cóthể được bỏ qua nếu như dịch vụ xác thực không được chọn trong ESP Xác thựcđược tính toán sau khi tiến trình mã hóa dữ liệu đã hoàn thành
Dịch vụ xác thực cung cấp bởi AH khác so với ESP là dịch vụ xác thựctrong ESP không bảo mật tiêu đề IP đặt trước ESP mặc dù nó bảo mật tiêu đề IP đãbọc gói trong chế độ đường hầm
Trang 15Hình 2.2.1 3 So sánh xác thực bởi AH và ESP
Nếu như AH được sử dụng với mục đích xác thực thì tại sao còn tùy chọnxác thực trong ESP? AH chỉ sử dụng trong những trường hợp khi xác thực gói làcần thiết Mặt khác khi xác thực và tính riêng tư được yêu cầu thì sử dụng ESP vớitùy chọn xác thực sẽ tốt hơn Sử dụng ESP cho mã hóa và xác thực, thay vì sử dụng
AH và ESP không có tùy chọn xác thực, sẽ giảm kích thước nên các gói sẽ được xử
lý hiệu quả hơn
Chế độ làm việc trong IPSec
Có hai chế độ làm việc trong IPSec:
Chế độ giao vận (Transport mode): Chỉ có đoạn lớp giao vận trong gói làđược xử lý Chế độ này chỉ mã hóa phần payload của mỗi gói tin, nhưng bỏ
đi phần header Nhược điểm của chế độ này là nó cho phép các thiết bị trongmạng nhìn thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số
xử lý (như phân tích lưu lượng)dựa trên các thông tin của tiêu đề IP Tuynhiên, nếu dữ liệu được mã hóa bởi ESP thì sẽ không biết được thông tin cụthể từ bên trong gói tin IP là gì
Chế độ đường hầm (Tunnel mode): Toàn bộ gói sẽ được xử lý cho mã hóaxác thực Chế độ này mã hóa cả phần header và payload để cung cấp sự thayđổi bảo mật nhiều hơn của gói tin
2.2.2 Quản lý khóa
Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giaokhóa, do đó phải có cơ chế quản lý khóa Có hai phương thức để chuyển khóa đó làchuyển khóa bằng tay và chuyển khóa Internet IKE (Internet Key Exchange) Cảhai phương thức này không thể thiếu trong IPSec Phương thức chìa khóa trao taynày chẳng hạn như khóa thương mại ghi trên giấy, trên đĩa mềm hay thông qua bưuphẩm hoặc Email Giao thức quản lý chuyển giao khóa mặc định trong IPSec làInternet Key Exchange (IKE) là kết quả của kết hợp bảo mật Internet ISA(InternetSecurity Association) và giao thức chuyển khóa (ISAKMP) IKE còn có tên gọikhác là ISAKMP/Oakley
2.2.3 Những hạn chế của IPSec
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết để đảm bảo thiết lậpkết nối VPN an toàn thông qua mạng Internet, nó vẫn còn ở trong giai đoạn pháttriển để hướng tới hoàn thiện Sau đây là một số vấn đề đặt ra mà IPSec cần phảigiải quyết để hỗ trợ tốt hơn cho việc thực hiện VPN:
Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêmvào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng củamạng giảm xuống Vấn đề này có thể được khắc phục bằng cách nén dữliệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu
và chưa được chuẩn hóa
Trang 16IKE vẫn là công nghệ chưa thực sự khẳng định được khả năng của mình.Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có sốlượng lớn các đối tượng di động
IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợcác dạng lưu lượng khác
Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đềkhó đối với các trạm làm việc và máy PC năng lực yếu
Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chếđối với chính phủ một số quốc gia
2.3 L2TP và IPSec
Khi chạy trên môi trường IP, IPSec cung cấp dịch vụ bảo mật mức gói quaESP hoặc AH Tất cả các gói dữ liệu cũng như điều khiển L2TP của mỗi đườnghầm giống hệt như gói dữ liệu UDP/IP trong hệ IPSec
Nhằm tăng khả năng bảo mật cho việc truyền IP, IPSec xác định một cơ chếhoạt động cho phép tạo đường hầm các gói IP Việc mật mã hoá và xác thực ở mứcgói được cung cấp bởi đường hầm IPSec cũng tương đương với những dịch vụ doL2TP cung cấp
IPSec cũng đòi hỏi các đặc điểm điều khiển truy nhập để có thể hoạt động.Những đặc điểm này cho phép các gói tin liên quan đến các tầng cao hơn như địachỉ IP, cổng lọt qua Theo cơ chế đường hầm L2TP, việc đi qua này được xemxét bởi lớp PPP hoặc tầng mạng cao hơn L2TP Các đặc điểm đó được điều khiểnbởi LNS thông qua chính sách của người bán, dựa trên việc xác thực PPP cho cácuser hoặc là tại chính tầng mạng sử dụng phương thức vận chuyển IPSec cho việcgiao tiếp giữa các host
Hai hình sau mô tả vai trò IPSec trong việc bảo vệ hai lọai đường hầmL2TP:
Hình 2.3 1 IPsec bảo vệ đường hầm bắt buộc L2TP
Trang 17Hình 2.3 2 IPsec bảo vệ đường hầm tự nguyện L2TP
CHƯƠNG 3: TRIỂN KHAI VPN SITE-TO-SITE L2TP/IPSEC TRÊN WINDOWS SERVER 2008
Chuẩn bị:
2 Máy Windows Server 2008, một máy làm VPN Server HN, 1 máylàm VPN Server HCM
2 Máy Windows XP làm client ở 2 site của mô hình
Chi tiết: Topology của bài lab cùng những cấu hình Virtual Network củaVMware được thể hiện chi tiết ở dưới đây
Trang 20Chi tiết thực hiện Cài đặt VPN Site-to-Site với giao thức L2TP/IPsec:
1.Tạo tài khoản và cấp quyền VPN
Tạo tài khoản (thực hiện trên máy VPN HN) Vào Server Manager ->Configuration – >Local Users and Group Click chuột phải vào Users chọn NewUser…
Gán tên và mật khẩu cho tài khoản, chú ý tick chọn Password neverexpires sau đó click OK
Trang 21Cấp quyền VPN cho tài khoản Click chuột phải vào tài khoản hcmchọn Properties.
Vào tab Dial-in tick chọn Allow access sau đó click OK
Trang 22Tương tự, tạo một tài khoản hn trên máy VPN HCM, sau đó cấp quyềnVPN.
2 Cài đặt dịch vụ Routing and Remote Access
Vào server manager, click chuột phải vào Roles chọn AddRoles -> Next -> Trên cửa sổ Select Server Roles tick chọn Network Policy andAccess Services
Trang 23Trên cửa sổ Select Role Services tick chọn dịch vụ Routing and RemoteAccess Service sau đó click Next.
Click Install để cài đặt
Cuối cùng close để kết thúc quá trình cài đặt
Cài đặt tương tự trên cả 2 máy VPN HN và HCM
Trang 243 Cấu hình dịch vụ VPN Site-to-site
Trên VPN HN
Sau khi cài đặt xong dịch vụ RRAS vào Administrator Tools -> Routing andRemote Access -> Click chuột phải lên HN(local) chọn Configuring and EnableRouting and Remote Access
Trong cửa sổ Welcome to the Routing and Remote Access Server setup wizard chọn Next
Trang 25Trong cửa sổ Configuration tick chọn vào ô Secure connection between twoprivate network và Next.
Chọn Yes trên cửa sổ Demand-Dial Connections và Next
Trang 26Trên cửa sổ IP address Assignment tick chọn From a specified range ofaddress và Next.
Ở cửa sổ Address Range Assignment click vào New
Trang 27Gán giải địa chỉ IP sẽ cấp cho các VPN Client, click OK
Sau đó chọn Next