Tìm hiểu về công nghệ mạng riêng ảo VPN và mô phỏng mô hình VPN Extranet

Tìm hiểu về công nghệ mạng riêng ảo VPN và mô phỏng mô hình VPN Extranet

LỜI NÓI ĐẦU

Internet càng ngày càng phổ biến phát triển không ngừng Đi liền với

Internet là thời đại công nghệ thông tin bùng nổ Tất cả những doanh nghiệp

dù không không trực tiếp kinh doanh trong lĩnh vực công nghệ thông tin thì

internet vẫn là cửa ngõ hàng đầu nối những doanh nghiệp lại với nhau một

cách đồng bộ và thuận tiện

Các cá nhân trong một doanh nghiệp ngoài những liên hệ với nhau trong

công việc họ còn có nhu cầu được giao tiếp, trao đổi thông tin từ những bạn

bè ở cách xa.Tất cả những điều này tạo nên một mạng lưới số rộng khắp và

dường như không thể kiểm soát nếu chúng ta không đưa ra những mô hình

mạng phù hợp tương ứng với độ lớn

Với một doanh nghiệp những liên kết máy tính của các thành viên với

nhau và với internet đã tạo tên một hệ thống phức tạp tương ứng với độ lớn

kinh doanh.Chính vì thế việc đưa ra mô hình để quản trị là điều tối cần thiết

để mọi hoạt động về dữ liệu trong doanh nghiệp diễn ra một cách nhanh

chóng thuận tiện và an toàn Trên cơ sở đó, công nghệ Mạng riêng ảo (VPN)

được ra đời không những để khắc phục những vấn đề đặt ra ở trên mà còn

giúp doanh nghiệp tiết kiệm tối đa chi phí triển khai cũng như quản trị Với

những tính năng ưu việt đó, em quyết định thực hiện đề tài : “Tìm hiểu về

công nghệ mạng riêng ảo VPN và mô phỏng mô hình VPN Extranet “.

Bố cục của đề tài bao gồm :

Chương I : Tổng quan về công ty thực tập

Chương II : Công nghệ Mạng riêng ảo

Chương III : Triển khai mô hình VPN Extranet trên Packet Tracer

Bản báo cáo đề cập đến một vấn đề khá lớn và tương đối phức tạp đòi

hỏi nhiều thời gian và kiến thức về lý thuyết cũng như thực tế Do thời gian

nghiên cứu chưa được nhiều và trình độ bản thân còn hạn chế nên bài làm của

em không tránh khỏi những khiếm khuyết Em rất mong nhân được sự hướng

dẫn, chỉ bảo của các thầy, các cô và sự đóng góp nhiệt tình các bạn để giúp

em bổ sung vốn kiến thức và có thể tiếp tục nghiên cứu đề tài một cách hoàn

thiện hơn

Qua đây em cũng xin gửi lời cảm ơn chân thành nhất đến:

- Th.s Nguyễn Quỳnh Mai_ người đã tận tình, trực tiếp hướng dẫn em hoàn

thành đề tài này

- Thầy Nguyễn Ngọc Tuấn (Học viện mạng BKACAD) đã hỗ trợ em một

số vấn đề kĩ thuật cũng như kiến thức chuyên môn

- Toàn thể các thầy cô giáo ở Viện CNTT – ĐH Kinh tế quốc dân đã tạo

điều kiện tốt nhất để em hoàn thiện đề tài

Em xin chân thành cám ơn!

PVC permanent virtual circuit

QoS Quality of service

RD Route Distinguisher

RIB Routing Information Base

RT Route Targets

SP Service Provider

SDN Software Defined Networks

SVC Switch virtual circuit

TCP Transport Control Protocol

TTL Time To Live

UDP User Datagrame Protocol

VC Virtual channel

VCI Virtual Channel Identifier

VLSM Variable Length Subnet Mask

VPI Virtual Path Identifier

VPDN Virtual private dial-up network

VPN Virtual Private Network

VRF Virtual Routing and Forwarding Table

CHƯƠNG I: TỔNG QUAN VỀ CÔNG TY

CỔ PHẦN XÂY DỰNG SỐ 2

I Công ty CPXD Số 2:

1 Giới thiệu về công ty :

Tên Công ty : CÔNG TY CỔ PHẦN XÂY DỰNG SỐ 2 - VINACONEX

Tên Tiếng Anh : Vietnam Construction Joint Stock Company No.2

Tên viết tắt : VINACONEX 2

- Xây dựng các công trình dân dụng, công nghiệp, giao thông đường bộ các

cấp, cầu cống, thủy lợi, thủy điện, nền móng, các công trình kỹ thuật hạ tầng

đô thị và khu công nghiệp, các công trình đường dây, trạm biến thế điện đến

110KV; Thi công san đắp nền móng, xử lý nền đất yếu, các công trình xây

dựng cấp thoát nước; lắp đặt đường ống công nghệ và áp lực, điện lạnh;

- Xây dựng phát triển nhà, kinh doanh bất động sản;- Sửa chữa, thay thế, lắp

đặt máy móc thiết bị, các loại kết cấu bê tông, kết cấu thép, các hệ thống kỹ

thuật công trình (thang máy, điều hoà, thông gió, phòng cháy, cấp thoát

nước);

- Sản xuất, kinh doanh vật liệu xây dựng (cát, đá, sỏi, gạch, ngói, xi măng,

cấu kiện bê tông, bê tông thương phẩm và các loại vật liệu xây dựng khác

dùng trong xây dựng, trang trí nội thất);

- Tư vấn đầu tư, thực hiện các dự án đầu tư xây dựng, lập dự án, tư vấn đấu

thầu, tư vấn giám sát, quản lý dự án;

- Kinh doanh xuất nhập khẩu vật tư, máy móc thiết bị, phụ tùng, tư liệu sản

xuất, tư liệu tiêu dùng, nguyên liệu sản xuất, dây chuyền công nghệ, máy

móc, thiết bị tự động hoá, vật liệu xây dựng, phương tiện vận tải;

- Đại lý cho các hãng trong và ngoài nước kinh doanh các mặt hàng phục vụ

cho sản xuất và tiêu dùng

- Dịch vụ quản lý bất động sản, tư vấn bất động sản

II Khảo sát hệ thống mạng tại Công ty Xây dựng số 2 :

1 Hệ thống mạng hiện tại :

2 Đánh giá :

- Hệ thống mạng sử dụng công nghệ chuyển mạch lạc hậu

- Tính năng bảo mật và an toàn thông tin chưa cao

- Hệ thống máy móc xuống cấp, chưa thiết lập hê thống sao lưu , khắc phục

hệ thống mạng mỗi khi xảy ra sự cố

- Các phòng ban hoạt động không riêng lẻ vì thế khiến cho việc quản trị kết

hợp an ninh mạng gặp khó khăn

CHƯƠNG II: CÔNG NGHỆ MẠNG RIÊNG ẢO (VPN)

I Tổng quan về mạng riêng ảo (VPN) :

1 Khái niệm :

Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là

VPN Có nhiều định nghĩa khác nhau về Mạng riêng ảo

Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như

Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở

hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm

soát được truy nhập Nói cách khác, VPN được định nghĩa là liên kết của

khách hàng được triển khai trên một hạ tầng công cộng với các chính sách

như là trong một mạng riêng Hạ tầng công cộng này có thể là mạng IP,

Frame Relay, ATM hay Internet

Theo tài liệu của IBM VPN là sự mở rộng một mạng Intranet riêng của

một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết

nối an toàn, thực chất là qua một đường hầm riêng VPN truyền thông tin

một cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn

phòng và các đối tác thương mại thành một mạng Công ty mở rộng

Theo cách nói đơn giản nhất thì VPN là công nghệ cho phép kết nối các

thành phần của một mạng riêng (private network) thông qua hạ tầng mạng

công cộng (Internet) VPN hoạt động dựa trên kỹ thuật tunneling : gói tin

trước khi được chuyển đi trên VPN sẽ được mã hóa và được đặt bên trong

một gói tin có thể chuyển đi được trên mạng công cộng Gói tin được truyền

đi đến đầu bên kia của kết nối VPN Tại điểm đến bên kia của kết nối VPN,

gói tin đã bị mã hóa sẽ được “lấy ra” từ trong gói tin của mạng công cộng và

được giải mã

2 Phân loại VPN :

Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:

 Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của

một Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất

cứ lúc nào

 Có khả năng kết nối từ xa giữa các nhánh văn phòng

 Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác

quan trọng đối với giao dịch thương mại của công ty

Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển

và phân thành ba loại như sau::

 VPN truy cập từ xa (Remote Acess VPN)

 VPN cục bộ (Intranet VPN)

 VPN mở rộng (Extranet VPN)

2.1 VPN truy cập từ xa (Remote Acess VPN) :

VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa cho người sử

dụng Ở bất kì thời điểm nào các nhân viên hay chi nhánh văn phòng di động

hay cố định đều có thể sử dụng các phần mềm VPN để truy nhập vào mạng

của công ty thông qua gateway hoặc bộ tập trung VPN (có chức năng như

một Server) VPN truy cập từ xa mở rộng mạng công ty tới những người sử

dụng thông qua hạ tầng chia sẻ chung trong khi các chính sách mạng của công

ty vẫn được duy trì Chúng được dung để cung cấp các truy nhập an toàn

nhưng vẫn bảo đảm cho những nhân viên di động, những chi nhánh, những

đối tác hay chính những bạn hàng của công ty VPN truy cập từ xa được triển

khai thông qua các cơ sở hạ tầng mạng bằng cách sử dụng công nghệ ISDN,

công nghệ quay số, IP động, DSL, công nghệ cáp hay công nghệ không dây

Dù bằng phương thức nào đi chăng nữa thì trên các máy PC cần phải khởi tạo

các kết nối bảo mật (Thông qua các đường hầm được tạo sẵn)

Một chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở rộng của

VPN bao gồm các thành phần chính như sau:

+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực

và cấp quyền cho các yêu cầu truy cập từ xa

+ Kết nối Dialup tới mạng trung tâm

+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ

trợ người dùng từ xa

Hình 1.1 : Thiết lập truy cập từ xa không có VPN

Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn

phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và

thông qua đó để kết nối tới mạng của công ty qua Internet Thiết lập VPN

truy cập từ xa tương ứng được mô tả như trong hình 1.2

Hình 1.2 : Thiết lập VPN truy cập từ xa

2.2 VPN cục bộ (Intranet VPN) :

Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa,

đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng

chung Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được

thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất

lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia) Mục đích

của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các

đường dây thuê riêng theo các cách kết nối WAN truyền thống Intranet

VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ

chức với Intranet trung tâm của tổ chức đó Trong cách thiết lập

Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới

Intranet của tổ chức qua các Router trung gian Thiết lập này được mô tả như

trong hình 1.3

Hình 1.3 : Thiết lập Intranet sử dụng WAN

Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối

tới một Khu trung tâm từ xa để tới Intranet của tổ chức Hơn nữa việc thực

thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém

Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1

tháng Phạm vi Intranet càng lớn thì chi phí càng cao

Với việc thực thi giải pháp VPN, đường WAN xương sống được

thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí

của việc thực thi toàn bộ Intranet Một giải pháp Intranet VPN điển hình

được mô tả như trong hình 1.4

Hình 1.4 : Thiết lập VPN dựa trên VPN

Ưu điểm của việc thiếp lập dựa trên VPN :

+ Loại trừ được các Router từ đường WAN xương sống

+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp

các liên kết ngang hàng mới

+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn Cùng

với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi

phí của hoạt động Intranet

Tuy nhiên cũng có một số nhược điểm:

+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các

tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh

mạng

+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao

+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất

cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của

Internet

+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS

có thể không được đảm bảo

2.3 VPN mở rộng (Extranet VPN) :

Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử

dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công

cộng sử dụng các đường truyền thuê bao Giải pháp này cũng cung cấp

các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo

mật, tính ổn định Tương tự như Intranet VPN, Extranet VPN cũng có kiến

trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng

cho phép các đối tác Extranet VPN sử dụng So với Intranet VPN thì vấn đề

tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng

tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm Việc để cho

khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm

được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên

việc này rất khó thực hiện với công nghệ WAN truyền thống Extranet

VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để

xác thực và giới hạn truy nhập trên hệ thống

Không giống như Intranet VPN và Remote Access VPN Extranet

VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi” Thực tế, Extranet VPN

cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao

dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp

Theo cách thức truyền thống, kết nối Extranet được thể hiện như sau :

Hình 1.5 : Mạng Extranet truyền thống

Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong

Intranet phải hoàn toàn thích hợp với mạng mở rộng Đặc điểm này dẫn đến

sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau Hơn nữa

rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet

và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là

một cơn ác mộng đối với các nhà thực thi và quản trị mạng Thực thi giải

pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và

giảm chi phí đáng kể

Hình 1.6 : Mạng Extranet dựa trên VPN

Ưu điểm chính của Extranet VPN là:

+ Chi phí rất nhỏ so với cách thức truyền thống

+ Dễ thực thi, duy trì và dễ thay đổi

+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn

+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân

viên hỗ trợ có thể giảm xuống

Tuy nhiên cũng có một số nhược điểm:

+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại

+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức

+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với

3.1 Tính xác thực:

Để thiết lập một kết nối VPN thì trước hết hai phía phải xác thực lẫn

nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong

muốn chứ không phải một người nào khác

3.2 Tính toàn vẹn:

Đảm bảo dữ liệu không bị thay đổi hay có bất kì sự xáo trộn nào

trong quá trình truyền dẫn

3.3 Tính bảo mật:

Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng

công cộng và dữ liệu được giải mã ở phía thu dữ liệu Bằng cách làm như vậy

không một ai có thể truy nhập thông tin mà không được phép Thậm chí nếu

có lấy được thông tin thì cũng không giải mã được

4 Những lợi ích mà VPN mang lại:

VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:

4.1 Giảm chi phí thực thi:

Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền thống

dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN Bởi vì VPN

loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách

thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP

4.2 Giảm được chi phí thuê nhân viên và quản trị:

Vì giảm được chi phí truyền thông đường dài VPN cũng làm giảm

được chi phí hoạt động của mạng dựa vào WAN một cách đáng kể Hơn nữa,

một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong

mạng VPN được quản trị bởi ISP Vì lúc này, thực tế là Tổ chức không cần

thuê nhiều nhân viên mạng cao cấp

4.3 Nâng cao khả năng kết nối:

VPN tận dụng Internet để kết nối giữa các phần tử ở xa của một

Intranet Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh

văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối

tới Intranet của Công ty mình

4.4 Bảo mật các giao dịch:

Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua mạng công

cộng không an toàn Dữ liệu đang truyền được bảo mật ở một mức độ nhất

định, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật

như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác

thực của dữ liệu được truyền, Kết quả là VPN mang lại mức độ bảo mật

cao cho việc truyền tin

4.5 Sử dụng hiệu quả băng thông:

Trong kết nối Internet dựa trên đường Lease-Line, băng thông

hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động

Các VPN, chỉ tạo các đường hầm logic đề truyền dữ liệu khi được yêu cầu,

kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt

động Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng

4.6 Nâng cao khả năng mở rộng:

Vì VPN dựa trên Internet, nên cho phép Intranet của một công ty có

thể mở rộng và phát triển khi công việc kinh doanh cần phải thay đổi với phí

tổn tối thiểu cho việc thêm các phương tiện, thiết bị Điều này làm cho

Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với

sự phát triển trong tương lai

Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng

mạng đối với các mạng riêng ngày càng trở nên phức tạp và tốn kém

Với giải pháp mạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạ

tầng là mạng truyền số liệu công cộng (ở Việt Nam, thực tế chi phí tốn kém

cho mạng riêng là chi phí cho các kênh thuê riêng đường dài, các mạng riêng

cũng không quá lớn và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết

kiệm chi phí cho kênh truyền riêng cũng như sử dụng hiệu quả hơn cơ sở

hạ tầng mạng truyền số liệu công cộng)

Tuy nhiên bên cạnh đó, nó cũng không tránh khỏi một số bất lợi

như: Phụ thuộc nhiều vào Internet Sự thực thi của một mạng dựa trên VPN

phụ thuộc nhiều vào sự thực thi của Internet Các đường Lease-Line bảo đảm

băng thông được xác định trong hợp đồng giữa nhà cung cấp và Công ty Tuy

nhiên không có một đảm bảo về sự thực thi của Internet Một sự quá tải lưu

lượng và tắc nghẽn mạng có thể ảnh hưởng và từ chối hoạt động của toàn bộ

mạng dựa trên VPN

II Các giao thức trong VPN :

1 Giao thức PPP :

1.1 Khái niệm :

PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu

lượng của mạng qua một loạt các điểm liên kết được thực hiện một cách dễ

dàng Ngoài việc đóng gói các dữ liệu theo giao thức IP, không theo giao thức

IP và việc truyền nó qua một loạt các điểm liên kết, PPP cũng chịu trách

nhiệm về các chức năng sau:

- Chỉ định và quản trị các gói IP thành các gói không IP

- Cấu hình và kiểm tra các liên kết đã thiết lập

- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu

- Phát hiện lỗi trong khi truyền dữ liệu

- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ

PPP thực hiện các chức năng này theo ba chuẩn:

- Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm

- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ của

giao thức kiểm soát liên kết(Link Control Protocol – LCP)

- Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát

hiện lỗi trong khi truyền theo dạng của giao thức kiểm soát mạng

(Network Control Protocol - NCP) thích hợp

1.2 Định dạng gói PPP:

Hình 1.7 : Định dạng của một Frame PPP điển hình

+ Flag: Trường này xác định điểm bắt đầu và kết thúc của một khung Độ

dài của trường này là 1 byte

+ Address: Vì nó sử dụng các liên kết điểm - điểm PPP không sử dụng các

địa chỉ của các Node riêng lẻ Vì thế, các trường này chứa chuỗi nhị phân là

11111111, đây là một địa chỉ Broadcast chuẩn Độ dài của trường này là 1

byte

+ Control: Trường này chứa chuỗi nhị phân là 00000011 Nó biểu thị

rằng, Frame đang mang dữ liệu người dùng là một Frame không tuần

tự Độ dài của trường này là 1 byte

+ Protocol: Trường này xác định giao thức mà dữ liệu được đóng gói

trong trường dữ liệu của Frame Giao thức trong trường này được chỉ rõ

theo số đã gán trong RFC 3232 Độ dài của trường này là 2 byte Tuy

nhiên, trường này có thể thương lượng để là 1 byte nếu cả hai đồng ý

+ Data: Trường này chứa thông tin đang được trao đổi giữa Node

nguồn và đích Độ dài của trường này có thay đổi, độ dài tối đa có thể lên đến

1500 byte

+ FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra

tính chính xác của thông tin đã nhận trong trường dữ liệu Thông thường,

độ dài của trường này là 2 byte Tuy nhiên, việc thực thi PPP có thể thương

lượng một FCS 4 byte để cải thiện việc phát hiện lỗi

2 Giao thức đường hầm điểm (PPTP) :

2.1 Khái niệm :

PPTP là giải pháp cho phép truyền dữ liệu một cách an toàn giữa một

Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra một VPN qua

một mạng dựa trên IP PPTP không chỉ có khả năng bảo mật các giao dịch

qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng

Intranet riêng

PPTP bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua

phương tiện không an toàn Ba tiến trình đó là:

- Thiết lập kết nối dựa trên PPP

- Kiểm soát kết nối

- Tạo đường hầm PPTP và truyền dữ liệu

2.2 Bảo mật trong PPTP :

PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP

Server và Client Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ

liệu, xác thực, kiểm soát truy cập và lọc gói tin Hơn nữa các cơ chế bảo

mật được đề cập ở trên, PPTP có thể được dùng chung với Firewall và

Router

2.2.1 Mã hoá và nén dữ liệu PPTP :

PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu Thay vào

đó, nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP PPP lần lượt

sử dụng mã hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoá

chia sẻ bí mật

2.2.2 Xác thực dữ liệu PPTP :

PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây:

2.2.3 Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP) :

MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho

xác thực dựa trên PPP Vì sự tương đồng cao với CHAP, các chức năng của

MS-CHAP khá giống với CHAP Điểm khác nhau chính giữa chúng là trong

khi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA

RCA và DES Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm

Microsoft, nó không được hỗ trợ bởi các nền khác

2.2.4 Giao thức xác thực mật khẩu(PAP) :

Là giao thức đơn giản và là giao thức xác thực đường quay

số thông dụng nhất Nó cũng được dùng để xác thực các kết nối dựa trên

PPP Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết mà

không mã hoá Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại

hay thử lặp và các tấn công lỗi Một lỗ hỗng của PAP khác là các thực thể

truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối Vì vậy, nếu

kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xác

thực trong tương lai nữa! Vì lý do này, PAP được xem như là một giao thức

xác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa thích

- Tạo đường hầm đa giao thức

- Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ

3 Giao thức L2F :

3.1 Khái niệm :

L2F là một giao thức có khả năng bảo mật các giao dịch, cung cấp

truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung

gian khác, hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI,

L2F sử dụng MPPE cho các chức năng mã hoá cơ bản Tuy nhiên nó

không an toàn với các kỹ thuật Hacking tiên tiến ngày nay Và nó cũng phải

sử dụng mã hoá dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bí mật

IPSec sử dụng hai giao thức cho chức năng mã hoá: đóng gói tải bảo

mật(ESP) và xác thực tiêu đề (AH) Thêm vào đó, để làm tăng tính bảo

mật của khoá trong pha trao đổi khoá, IPSec cũng sử dụng một giao thức

bên thứ ba đó là trao đổi khoá Internet(IKE)

3.2.2 Xác thực dữ liệu L2F :

Xác thực L2F được hoàn thành tại hai mức Mức thứ nhất của xác

thực dựa trên L2F xuất hiện khi một người dùng từ xa sử dụng đường quay số

tới POP của ISP Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ

sau khi người dùng được xác thực thành công Mức thứ hai của xác thực được

thực hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm

giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa

Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ

bởi PPP cho xác thực Kết quả là L2F sử dụng PAP để xác thực một Client

từ xa khi một Gateway L2F nhận một yêu cầu kết nối L2F cũng sử dụng

lược đồ xác thực như sau để nâng cao tính bảo mật dữ liệu:

- Giao thức xác thực có thăm dò trước(CHAP)

L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi

phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP

4.2 Mô hình đường hầm L2TP :

L2TP hỗ trợ 2 mô hình đường hầm: Đường hầm tự nguyện

(Voluntary) và đường hầm bắt buộc (Compulsory) Những đường hầm

này vận dụng một luật quan trọng trong việc truyền dữ liệu từ một người

dùng cuối này đến người dùng khác

4.2.1 Đường hầm L2TP kiểu bắt buộc:

Một đường hầm L2TP bắt buộc, như ta thấy trong hình 2.19

được thiết lập giữa LAC của ISP sau cùng và LNS của mạng chủ Điều

quan trọng để thiết lập thành công một đường hầm như vậy là ISP có khả

năng hỗ trợ công nghệ L2TP Hơn nữa, ISP cũng phải dùng một luật

khoá trong việc thiết lập các đường hầm L2TP Trong đường hầm

L2TP bắt buộc, người dùng cuối (hay client) chỉ là một thực thể bị

động Khác với việc phát ra yêu cầu kết nối gốc, người dùng cuối

không có vai trò trong tiến trình thiết lập đường hầm Vì vậy, không có

thay đổi lớn được yêu cầu tại người dùng cuối L2TP

Hình 1.8 : Đường hầm L2TP bắt buộc

Việc tạo lập đường hầm L2TP được cân nhắc một tuỳ chọn tốt hơn từ

quan điểm của bảo mật vì kết nối đường quay số tại người dùng cuối được

dùng để thiết lập kết nối PPP với ISP Kết quả là, người dùng không thể

truy cập ngoại trừ qua Gateway trong Intranet Nó cho phép người quản trị

mạng thực thi các cơ chế bảo mật nghiêm ngặt, kiểm soát truy cập và các

chiến lược kiểm toán

Hình 1.9 : Thiết lâp một đường hầm L2TP bắt buộc

Các bước thiết lập đường hầm bắt buộc bao gồm:

+ Người dùng từ xa yêu cầu một kết nối từ NAS cục bộ tới ISP

+ NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS

biết được về định danh của người dùng yêu cầu kết nối Nếu định danh của

người dùng ánh xạ tới một thực thể trong cơ sở dữ liệu được duy trì ở ISP,

dịch vụ đó cho phép người dùng được ánh xạ NAS cũng xác định điểm cuối

của đường hầm L2TP

+ Nếu NAS chấp nhận kết nối, một liên kết PPP được thiết lập giữa ISP

và người dùng từ xa

+ LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng

+ Nếu kết nối được chấp nhận bởi LNS, các Frame PPP trải qua

việc tạo đường hầm L2TP

+ LNS chấp nhận các Frame và khôi phục lại Frame PPP gốc

+ Cuối cùng, LNS xác thực người dùng và nhận các gói dữ liệu Nếu

người dùng được xác nhận thành công, địa chỉ IP thích hợp được ánh xạ

tới Frame và sau đó các Frame được chuyển tiếp tới Node đích trong

Intranet

4.2.2 Đường hầm L2TP kiểu tự nguyện :

Một đường hầm tự nguyện L2TP như trong hình 2.21 được

thiết lập giữa người dùng từ xa và LNS đặt tại mạng chủ cuối

cùng Trong trường hợp này, người dùng từ xa tự hoạt động như một

LAC Bởi vì luật của ISP trong việc thiết lập đường hầm tự nguyện

L2TP là tối thiểu Cơ sở hạ tầng của ISP là trong suốt với người dùng

cuối Điều này có thể làm cho bạn nhớ về đường hầm dựa trên PPP trong

Intranet của ISP là trong suốt

Hình 1.10 : Đường hầm L2TP tự nguyện 4.3 Kiểm soát kết nối và bảo mật trong L2TP :

4.3.1 Kiểm soát kết nối :

Kiểm soát kết nối L2TP và các Frame quản trị được dựa trên UDP

Định dạng của thông điệp kiểm soát L2TP được mô tả:

Hình 1.11 : Định dạng thông điệp kiểm soát L2TP

Ngoài các cơ chế xác thực đã nói ở trên L2TP còn sử dụng IPSec để

xác thực các gói dữ liệu riêng Mặc dù điều này làm giảm đáng kể tốc độ

giao dịch Dùng IPSec để xác thực từng gói đảm bảo rằng Hacker và

Cracker không thể thay đổi được dữ liệu và đường hầm

5 Giao thức IP (IPSec) :

5.1 Khái niệm :

IPSec là một kiến trúc an toàn dựa trên chuẩn mở, nó có các đặc

trưng sau:

- Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại

- Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một

cách an toàn

- Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật

- Cung cấp khả năng xác thực dựa trên chứng chỉ số

- Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá

- Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ

xa như L2TP, PPTP

IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ

có nơi gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo

mật Các thiết bị khác nằm trên đoạn đường giữa hai đầu không phải bận

tâm đến công việc mã hoá, trao đổi khoá bảo mật vv… khi chuyển tiếp dữ

liệu Đối với khách hàng, điều này đồng nghĩa với việc một chế độ bảo

mật mức cao có thể được thiết lập mà không đòi hỏi sự đầu tư hay thay đổi

quá lớn đối với hạ tầng mạng, người ta gọi giải pháp VPN ứng dụng giao

thức IPSec là “Desktop VPN” vì toànbộ chức năng bảo mật dữ liệu được

thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan

tâm đến các công tác bảo đảm an toàn Khi sử dụng các thuật toán xác

thực và mã hoá dữ liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi

ích của các công nghệ này và tạo ra một cách tiếp cận hiệu quả tới mục

tiêu bảo vệ luồng dữ liệu truyền trên mạng

IPSec được thực hiện bằng hai giao thức: Xác thực tiêu đề(AH) và

đóng gói tải bảo mật(ESP) AH được sử dụng để đảm bảo tính toàn vẹn

của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực

đối với máy chủ ESP cũng thực hiện các chức năng tương tự như AH

nhưng nhưng kèm thêm khả năng bảo mật dữ liệu

Hình 1.12 : Kiến trúc bộ giao thức IPSec

Bộ giao thức IPSec đảm bảo những nội dung :

- Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ

chế mạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự

thay đổi nào không bị phát giác trước đó về nội dung của gói dữ

liệu bởi người nhận không mong muốn Giao thức IPSec mang lại sự

bảo vệ tốt chống lại sự giả mạo, do thám hoặc tấn công dịch vụ

- Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ thuật

mật mã cao cấp, nó ngăn chặn những người dùng trái phép truy cập dữ liệu

trong khi nó đang được truyền đi IPSec cũng sử dụng các cơ chế đường

hầm để dấu địa chỉ IP của Node nguồn và đích đối với kẻ nghe trộm

- Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá

Internet (IKE) để thương lượng giao thức bảo mật và thuật toán mã hóa

trước và trong một phiên làm việc Quan trọng hơn, IPSec phân phối,

kiểm soát khoá và cập nhật các khoá này khi được yêu cầu

5.2 Liên kết bảo mật IPSec (SA-IPSec)

Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec

Như một lời trích dẫn của các nhà phát triển IPSec: Một SA là một kết nối

logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ

IPSec, được định danh một cách duy nhất bởi ba phần sau: Security

Parameter Index, IP Destination Address, Security Protocol

Một IPSec SA được xác định là:

- Các thuật toán, khoá, các giao thức xác thực

- Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao

thức AH hoặc ESP của IPSec thích hợp

- Các thuật toán mã hoá, giải mã và các khoá

- Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống

- SPI(Security Parameter Index): Là một trường 32 bít, nó định danh

giao thức bảo mật, được xác định bởi trường giao thức bảo mật(Security

Protocol), từ IPSec thích hợp đang sử dụng SPI được mang như một phần

trên tiêu đề của giao thức bảo mật và thường được lựa chọn bởi hệ thống

đích trong khi thương lượng thiết lập SA SPI chỉ có ý nghĩa lôgic, được

định nghĩa bởi người tạo SA SPI nhận các giá trị trong phạm vi 1 đến 255,

giá trị 0 được dùng cho mục đích thực thi đặc biệt cục bộ

- Địa chỉ IP đích: Đây là địa chỉ IP của Node đích Mặc dù nó có thể là

một địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện

tại được định nghĩa chỉ với các địa chỉ unicast

- Giao thức bảo mật: Trường này mô tả giao thức bảo mật IPSec, nó có

thể là AH hoặc ESP

Một SA IPSec sử dụng hai cơ sở dữ liệu:

+ Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về dịch vụ

bảo mật trong một danh sách có thứ tự của các thực thể chính sách vào

ra

+ Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan

tới mỗi SA Thông tin này bao gồm cả các khoá và thuật toán, khoảng

thời gian sống của SA, chế độ giao thức và số tuần tự

5.3 Các giao thức của IPSec :

Đó là các giao thức xác thực tiêu đề (AH) và giao thức đóng gói

tải bảo mật (ESP) Các giao thức này có thể được cấu hình để bảo vệ toàn

bộ phần thân của gói tin IP hoặc chỉ riêng phần thông tin liên quan đến các

giao thức ở tầng trên

5.3.1 Giao thức xác thực tiêu đề (AH) :

Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP Như tên

gọi của nó, tiêu đề này phục vụ cho việc xác thực gói dữ liệu IP gốc tại

người nhận cuối cùng, tiêu đề này giúp nhận biết bất kỳ sự thay đổi nào

về nội dung của gói dữ liệu bởi người dùng không mong muốn trong

khi đang truyền, tuy nhiên AH không đảm bảo tính tin cậy Để tạo

một AH, một giá trị mã thông điệp cần xác thực qua hàm băm

(HAMC) được tạo tại người gửi Giá trị băm này được tạo trên cơ sở

của SA, cái xác định trình tự giao dịch sẽ được áp dụng cho gói dữ liệu

Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu đề IP gốc Tại người

nhận cuối, HAMC được giải mã và được dùng để thiết lập việc xác

thực người gửi cũng như tính toàn vẹn của thông điệp

AH không mang lại sự tin cậy trong một giao dịch Nó chỉ thêm

một tiêu đề vào gói IP, phần còn lại của nội dung gói dữ liệu được

để mặc Hơn nữa, AH không bảo vệ bất kỳ trường nào trong tiêu đề IP vì

một trong số đó có thể thay đổi trong quá trình truyền, chỉ các trường nào

không thay đổi trong quá trình truyền được bảo vệ bởi AH Địa chỉ IP

nguồn và địa chỉ IP đích là những trường như vậy và vì thế được bảo vệ

bởi AH Tóm lại, giao thức AH có các đặc trưng cơ bản như sau:

- Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại

- Sử dụng mã xác thực thông điệp được băm(HMAC), dựa trên chia sẻ bí

mật

- Nội dung các gói tin không được mã hoá

- Không sử dụng các trường changeable IP header để tính toán giá trị

kiểm tra tính toàn vẹn(IVC)

a Khuôn dạng gói tin :

Khuôn dạng của gói tin theo giao thức AH

Hình 1.14 : Khuôn dạng gói tin AH

Các trường trong AH header đều là bắt buộc

- Next Header: Trường này nhận biết giao thức bảo mật, có độ dài 8 bít

để xác định kiểu dữ liệu của phần Payload phía sau AH Giá trị của trường

này được chọn từ các giá trị của IP Protocol number được định

nghĩa bởi IANA (Internet Assigned Numbers Authority)

- Payload Length: Trường này chỉ định độ dài của thông điệp gắn sau

tiêu đề AH

- Reserved: Trường 16 bit dự trữ để sử dụng cho tương lai, giá trị của

trường này bằng 0

- SPI: Là một số 32 bit bất kì, cùng với địa chỉ IP đích và giao thức an

ninh mạng cho phép nhận dạng một thiết lập an toàn duy nhất cho

gói dữ liệu SPI thường được lựa chọn bởi phía thu

- Sequence Number(SN): Trường gồm 32 bit không dấu đếm tăng dần

để sử dụng cho việc chống trùng lặp Chống trùng lặp là một lựa chọn

nhưng trường này là bắt buộc đối với phía phát Bộ đếm của phía phát và

thu khởi tạo 0 khi một liên kết an toàn (SA) được thiết lập, giá trị SN

mỗi gói trong một SA phải hoàn toàn khác nhau để tránh trùng lặp Nếu

số gói vượt quá con số 232 thì một SA khác phải được thiết lập

- Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm

tra tính toàn vẹn (ICV) cho gói tin, ICV được tính bằng thuật toán đã

được chọn khi thiết lập SA Độ dài của trường này là số nguyên lần của 32

bit, chứa một phần dữ liệu đệm để đảm bảo độ dài của AH là n*32 bit

Giao thức AH sử dụng một hàm băm và băm toàn bộ gói tin trừ trường

Authentication Data để tính ICV

b Chế độ hoạt động :

AH có thể sử dụng ở hai chế độ: Chế độ truyền tải

(Transport) và chế độ đường hầm(Tunnel)

- Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao

thức lớp trên cùng với một số trường trong IP Header Trong chế độ này,

AH được chèn vào sau IP Header và trước một giao thức lớp trên

như TCP hoặc UDP Chế độ Transport thường được sử dụng bởi

các Host chứ không được sử dụng bởi Gateway Ưu điểm của chế độ

này là đỡ tốn kém chi phí xử lý nhưng nó có khuyết điểm là các trường có

thể thay đổi không được xác thực

Hình 1.15 : Gói tin IP trước và sau khi xử lý AH trong chế độ

Transport

- Chế độ Tunnel: Trong chế độ Tunnel, một gói tin IP khác được thiết

lập dựa trên các gói tin IP cũ Header của gói IP cũ (bên trong) mang địa

chỉ nguồn và đích cuối cùng, còn Header của gói IP mới (bên ngoài) mang

địa chỉ để định tuyến trên Internet Trong chế độ này, AH bảo vệ toàn bộ

gói tin bên trong bao gồm cả Header Đối với gói tin IP bên ngoài

thì vị trí của AH như là trong chế độ

transport

Hình 1.16 : Khuôn dạng gói tin AH trong chế độ Tunnel.

Ưu điểm của chế độ Tunnel là bảo vệ toàn bộ gói IP và các địa chỉ

cá nhân trong IP Header, tuy nhiên có nhược điểm là tốn chi phí hơn nhiều

để xử lý các gói tin

c Xử lý gói đầu vào :

Quá trình xử lý gói đầu vào được thực hiện ngược với quá trình xử lý

gói đầu ra

- Ghép mảnh: Nếu cần thiết, sẽ tiến hành ghép mảnh trước khi xử lý

AH

- Tìm kiếm SA: Khi đã nhận được một gói tin chứa AH Header, phía

thu sẽ xác định một SA phù hợp với địa chỉ IP đích, AH và SPI Thông tin

trong SA sẽ cho biết có cần kiểm tra trường Sequence Number(SN)

hay không, có cần thêm trường Authentication Data hay không, các

thuật toán và khoá để giải mã ICV Nếu không có SA nào phù hợp thì

phía thu sẽ loại bỏ gói tin

- Kiểm tra SN: Nếu bên thu không chọn dịch vụ chống lặp thì

không cần kiểm tra trường SN Nếu phía thu có sử dụng dịch vụ chống lặp

cho một SA thì bộ đếm gói thu phải được khởi tạo = 0 khi thiết lập SA

Với mỗi gói tin vào khi phía thu tiếp nhận, sẽ kiểm tra có chứa số SN

không lặp lại của bất kỳ gói nào trong thời gian tồn tại của SA đó Nếu bị

lặp, gói tin đó sẽ bị loại bỏ

d Xử lý gói đầu ra :

- Tìm SA: AH được thực hiện trên một gói tin khi đã xác định gói tin đó

được liên kết với một SA, SA đó sẽ yêu cầu xử lý gói tin

- Tạo SN: Bộ đếm phía phát khởi tạo giá trị 0 khi một SA được thiết lập

Khi truyền một gói tin, bộ đếm sẽ tăng lên 1 và chèn giá trị này vào

trường SN Nếu phía phát lựa chọn dịch vụ AntiReplay sẽ kiểm tra để

đảm bảo không bị lặp trước khi chèn một giá trị mới vào trường SN

- Tính ICV: AH ICV được tính dựa trên các dữ liệu sau:

+ Các trường trong IP Header có giá trị không đổi hoặc có giá trị

không dự đoán được trong quá trình truyền tới điểm cuối

+ Bản thân AH Header: Next Header, Payload, Length, Reserved,

SPI, SN, Authentication Data (được đặt bằng 0), và explicit padding (nếu

có)

+ Dữ liệu của các giao thức lớp trên

+ Các trường có giá trị thay đổi sẽ được coi bằng 0 trong phép

tính ICV các trường có giá trị thay đổi nhưng có thể dự đoán được thì sẽ

giữ nguyên giá trị

- Padding: Có hai loại chèn padding là Authenticaiton Data và

Implicit Packet Padding (chèn dữ liệu ngầm định)

+ Authenticaiton Data Padding: Nếu đầu ra của thuật toán xác

thực là 96 bit thì không cần chèn thêm dữ liệu Nhưng nếu ICV có kích

thước khác thì phải chèn thêm, nội dung của phần chèn thêm là tuỳ

chọn và được đặt sau Authentication Data

+ Implicit Packet Padding: Đối với một số thuật toán xác thực,

chuỗi byte để tính ICV phải là một số nguyên lần của khối n byte Nếu độ

dài gói IP không thoả mãn điều kiện đó thì Implicit Packet Padding sẽ

được thêm vào phía cuối của gói Các byte này bằng 0 và không được

truyền đi cùng gói

- Phân mảnh: Khi cần thiết, phân mảnh sẽ được thực hiện

5.3.2 Giao thức đóng gói tải bảo mật(ESP) :

Mục đích chính của ESP là cung cấp sự tin cậy thêm vào xác thực

người gửi và xác minh tính toàn vẹn của dữ liệu trong khi truyền ESP mã

hoá nội dung của gói dữ liệu bằng cách dùng các thuật toán mã hoá, như

đã xác định bởi SA Một số thuật toán được sử dụng bởi ESP bao gồm:

DES-CBG, NULL, CAST-128, IDEA và 3DES Các thuật toán xác thực

thường được dùng tương tự như trong AH là MD5 và

HMAC-SHA AH mang lại tính xác thực và toàn vẹn dữ liệu đối với gói dữ liệu

IP ESP không bảo vệ toàn bộ gói dữ liệu, chỉ có payload được bảo vệ

Tuy nhiên, ESP rất mạnh trong nhóm mã hoá Nó cũng không chiếm

dụng nhiều CPU Kết quả là nó nhanh hơn AH Nhưng 24 byte mà nó

thêm vào gói dữ liệu có thể làm chậm xuống việc phân đoạn và

tính toán thông lượng

Hình 1.17 : Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào

a Khuôn dạng gói dữ liệu dựa trên ESP

Khuôn dạng của gói ESP phức tạp hơn so với khuôn dạng của AH, nó

không chỉ gồm ESP header mà còn ESP trailer và ESP

Authentication data Dữ liệu tải(Payload) được định vị giữa header và

trailer

Hình 1.18 : Khuôn dạng ESP

Các trường trong ESP đều là bắt buộc:

- SPI: Là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an

ninh, ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này Các giá

trị SPI từ 1 đến255 được dành riêng để sử dụng trong tương lai Giá trị

SPI = 0 để chỉ ra chưa có SA nào tồn tại

- SN: Giống như AH, trường SN chứa một giá trị đếm tăng dần để chống

lặp lại Mỗi SA được lựa chọn thì giá trị của trường này bắt đầu là 0

- Payload Data: Trường có độ dài biến đổi chứa dữ liệu mô tả

trong Next Header Payload Data là trường bắt buộc, được mã hoá bởi các

thuật toán mã hoá, các thuật toán mã hoá này được lựa chọn ngay khi thiết

lập SA Trường này có độ dài bằng một số nguyên lần 1 byte

- Padding: Trường này được thêm vào để đoạn được mã hoá là

một số nguyên lần của một khối các byte Ngoài ra trường còn dùng

để che dấu độ dài thực của Payload

- Pad Length: Trường này xác định số byte padding đã thêm vào (0 đến

225)

- Next Header: Là trường 8 bit bắt buộc, nó chỉ ra kiểu dữ liệu trong

Payload Data Ví dụ một giao thức bậc cao hơn như TCP Giá trị của

trường được chọn trong chuẩn IP Protocol Number được đưa ra bởi

IANA

- Authentication Data: Trường có độ dài biến đổi chứa giá trị ICV được

tính cho gói ESP từ SPI đến Next Header Authentication là trường không

bắt buộc, được thêm vào nếu dịch vụ Authentication được lựa chọn cho

SA đangxét Các thuật toán để tính ICV là các thuật toán hàm băm

một chiều MD5 hoặc SHA giống với AH

b Chế độ hoạt động :

Hình 1.19 : Gói ESP trong chế độ Transport

ESP cũng được sử dụng ở hai chế độ: Transport và Tunnel

- Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao

thức lớp trên nhưng không bảo vệ IP Header Các gói tin IP cũ được cắt

phần tiêu đề ra, sau đó tiêu đề ESP được đưa vào giữa ESP trailer sẽ

được đưa vào cuối gói tin, cuối cùng là Authentication Data được đưa

thêm vào Chế độ Transport không mã hoá cũng không xác thực IP

Header, tuy nhiên nó có chi phí xử lý thấp, chỉ được dùng

cho các Host

Hình 1.20 : Gói ESP trong chế độ Tunnel

- Chế độ Tunnel: Trong chế độ này, gói IP mới được xây dựng cùng với

một IP Header mới Các IP Header bên trong mang địa chỉ nguồn và

đích cuối cùng, còn IP Header bên ngoài mang địa chỉ định tuyến qua

Internet Ở chế độ này, ESP sẽ bảo vệ cả gói tin IP ban đầu bao gồm:

Payload và IP header Đối với gói IP bên ngoài thì vị trí của ESP giống

như trong chế độ Transport

c Xử lý gói tin đầu ra :

Quá trình xử lý gói đầu ra bao gồm các bước sau:

- Tìm kiếm SA: Giống như AH, ESP được thực hiện trên một gói tin chỉ

khi nào bộ điều khiển IPSec đã xác định gói tin đó được liên kết với một

SA

- Mã hoá gói tin: Tuỳ thuộc vào chế độ Tunnel hay Transport mà ESP

thực hiện đóng gói toàn bộ gói tin hay chỉ đóng gói phần Payload Thêm

Padding nếu cần thiết, mã hoá các trường Payload Data, Padding,

PadLength, Next Header theo các thuật toán đã được chỉ ra bởi SA Nếu

dịch vụ xác thực được lựa chọn thì việc mã hoá được thực hiện trước,

quá trình mã hoá không bao gồm trường Authentication Data Và quá

trình xác thực được thực hiện sau Thứ tự xử lý này cho phép nhanh

chóng xác định và loại bỏ các gói lỗi hoặc lặp lại mà không cần phải

giải mã gói tin, đồng thời cho phép phía thu xử lý song song cả hai việc:

giải mã và xác thực

- Tạo SN: Quá trình này được thực hiện giống với AH