Tìm hiểu và triển khai dịch vụ VPN

Tìm hiểu và triển khai dịch vụ VPN

LỜI MỞ ĐẦU

Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càng tăng,quan hệ hợp tác kinh doanh không chỉ dừng lại ở phạm vi một nước mà còn mở rộng toànthế giới Một công ty có thể có nhiều chi nhánh, có các đối tác kinh doanh ở nhiều quốc gia

và giữa họ luôn có nhu cầu trao đổi thông tin với nhau Để đảm bảo bí mật các thông tin traođổi thì theo cách truyền thống người ta dùng các kênh thuê riêng, nhưng nhược điểm là nóđắt tiền, gây lãng phí tài nguyên khi dữ liệu trao đổi không nhiều và không thường xuyên Vìthế người ta đã nghiên cứu ra những công nghệ khác mà vẫn có thể đáp ứng được nhu cầutrao đổi thông tin như thế nhưng đỡ tốn kém và thân thiện hơn, đó là giải pháp của mạngriêng ảo

VPN (Virtual Private Network) là giải pháp được đưa ra để cung cấp một giải pháp antoàn cho các doanh nghiệp, …và các doanh nhân trao đổi thông tin từ mạng cục bộ của mìnhxuyên qua mạng Internet một cách an toàn và bảo mật Hơn thế nữa nó còn giúp cho doanhnghiệp giảm thiểu được chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc haytoàn cầu)

Ngày nay, giải pháp mạng riêng ảo được ứng dụng ngày càng nhiều với công nghệ

luôn được cải tiến để an toàn hơn Vì thế em chọn đề tài “Tìm hiểu và triển khai hệ thống

mạng VPN” Nội dung đề tài gồm hai phần chính là tìm hiểu khái quát về mạng riêng ảo và

triển khai mô hình VPN client-to-site và site-to-site

Với khả năng và kiến thức còn hạn chế , đề tài không tránh khỏi những thiếu sót vàhạn chế về nội dung, chúng em mong nhận được sự góp ý và sửa chữa của thầy cô và cácbạn

Xin chân thành cảm ơn!

https://www.facebook.com/pages/Tài-liệu-hay-và-rẻ/600827713314928?ref=hl

MỤC LỤC

LỜI MỞ ĐẦU 1

MỤC LỤC 2

DANH MỤC HÌNH ẢNH 4

CHƯƠNG 1: TỔNG QUAN VỀ VPN 5

1.1 Tổng quan 5

1.1.1 Định nghĩa 5

1.1.2 Lịch sử phát triển của VPN 5

1.1.3 Phân loại VPN 6

1.1.4 Lợi ích của VPN 7

1.1.5 Chức năng của VPN: 8

1.1.6 Các ưu và nhược điểm của VPN 8

1.1.6.1 Ưu điểm: 8

1.1.6.2 Nhược điểm: 9

1.2 Các dạng kết nối mạng riêng ảo 9

1.2.1 Remote Access VPN 10

1.2.1.1 Một số thành phần chính: 10

1.2.1.2 Ưu và nhược điểm của Remote Access VPN 11

1.2.2 Mạng VPN cục bộ (Intranet VPN) 12

1.2.2.1 Những ưu điểm của mạng VPN cục bộ: 13

1.2.2.2 Các nhược điểm của mạng VPN cục bộ 14

1.2.3 Mạng VPN mở rộng(Extrnet VPN) 14

1.2.3.1 Một số thuận lợi của Extranet 15

1.2.3.2 Một số bất lợi của Extranet 15

1.3 An toàn bảo mật của VPN trên Internet 16

1.3.1 Bảo mật trong VPN 16

1.3.1.1Tường lửa (firewall) 16

1.3.1.2 Mật mã truy cập 16

1.3.1.3 Mật mã riêng (Symmetric-Key Encryption) 16

1.3.1.4 Mật mã chung (Public-Key Encryption) 16

1.3.1.5 Giao thức bảo mật giao thức Internet (IPSec) 16

1.3.1.6 IPSec có hai cơ chế mã hóa là Tunnel và Transport 16

1.3.1.7 Máy chủ AAA 17

1.3.2 Sự an toàn và tin cậy: 17

1.3.3 Hình thức an toàn 18

1.4 Các yếu tố cơ bản đối với một giải pháp VPN 19

1.4.1 Tính tương thích: 19

1.4.2 Tính bảo mật 19

1.4.3 Tính khả dụng 19

1.4.4 Khả năng hoạt động tương tác 19

CHƯƠNG 2: CÁC GIAO THỨC VÀ KẾT NỐI TUNNEL TRONG VPN 20

2.1 Giao thức IPSEC 20

2.1.1 Khái quát 20

2.1.2 Ưu nhược điểm của IPSEC 21

2.2 Giao thức Point-to-Point Tunneling Protocol (PPTP) 22

2.2.1 Khái quát về PPTP 22

2.2.2 Vai trò của PPP trong giao dịch PPTP 23

2.2.3 Các thành phần của quá trình giao dịch PPTP 23

2.2.3.1 PPTP Clients 24

2.2.3.2 PPTP Servers 25

2.2.3.3 PPTP Network Access Servers (NASs) 25

2.2.4 Quá trình xử lý PPTP 25

2.2.4.1 Điều khiển kết nối PPTP 25

2.2.4.2 Quá trình tạo đường hầm dữ liệu và xử lý PPTP 26

2.2.5 Bảo mật trong PPTP 27

2.2.5.1 Mã hóa và nén dữ liệu PPTP 28

2.2.5.2 PPTP Data Authentication 28

2.2.5.3 Điều kiện truy cập PPTP. 28

2.2.5.4 Trích lọc các gói dữ liệu PPTP 29

2.2.6 Sơ đồ đóng gói PPTP 29

2.2.7 Ưu điểm và nhược điểm của PPTP 30

2.3 Giao thức L2TP 31

2.3.1 Khái niệm: 31

2.3.2 Ưu nhược điểm của L2TP 31

2.4 Thiết lập kết nối tunnel 32

2.4.1 Các loại giao thức 32

2.4.2 Kỹ thuật Tunneling trong mạng VPN 32

2.4.2.1 Kỹ thuật tunneling trong mạng VPN truy cập từ xa 32

2.4.2.2 Kỹ thuật Tunneling trong mạng điểm nối điểm 33

CHƯƠNG 3: TRIỂN KHAI MÔ HÌNH VPN 34

3.1 Triển khai mô hình VPN Client-to-site: 34

3.1.1 Mô hình tổng quát: 34

3.1.2 Vai trò và chức năng của các thiết bị trong mô hình 34

3.1.3 Tổng quan các bước thực hiện 34

3.1.4 Các bước thực hiện 34

3.2 Triển khai mô hình VPN Site-to-Site 43

3.2.1 Mô hình tổng quát: 44

3.2.2 Mô tả vai trò và chức năng của các thiết bị trong mô hình: 44

3.2.3 Tổng quan các bước thực hiện: 44

3.2.4 Các bước thực hiện 45

3.2.4.1 Đặt địa chỉ cho các máy 45

3.2.4.2 Cài đặt và cấu hình VPN 48

3.2.4.3 Kiểm tra kết quả 60

KẾT LUẬN 61

TÀI LIỆU THAM KHẢO 62

Danh mục hình ảnh

HÌNH 1-1: MÔ HÌNH VPN SITE-TO-SITE 8

HÌNH 1-2: MINH HỌA MỘT REMOTE ACCESS 12

HÌNH 1-3: MÔ HÌNH INTRANET 14

HÌNH 1-4: MÔ HÌNH MẠNG EXTRANET TRUYỀN THỐNG 15

HÌNH 1-5: EXTRANET XÂY DỰNG TRÊN VPN 16

HÌNH 2-1: VỊ TRÍ CỦA IPSEC TRONG MÔ HÌNH OSI 22

HÌNH 2-2: MÔ HÌNH VPN SỬ DỤNG GIAO THỨC PPTP 23

HÌNH 2-3: MINH HỌA MỘT GÓI TIN PPTP 24

HÌNH 2-4: MÔ TẢ VAI TRÒ CỦA PPP TRONG QUÁ GIAO DỊCH PPTP 24

HÌNH 2-5: BA THÀNH PHẦN CỦA GIAO DỊCH DỰA TRÊN PPTP 25

HÌNH 2-6: TRAO ĐỔI CÁC THÔNG ĐIỆP ĐIỀU KHIỂN PPTP TRÊN MỘT KẾT NỐI PPP 27

HÌNH 2-7: QUÁ TRÌNH HÌNH THÀNH DỮ LIỆU ĐƯỜNG HẦM PPTP 28

HÌNH 2-8: SƠ ĐỒ ĐÓNG GÓI PPTP 30

HÌNH 2-9: CẤU TRÚC L2TP 32

HÌNH 2-10: MÔ HÌNH TUNNELING TRUY CẬP TỪ XA 34

HÌNH 2-11: MÔ HÌNH TUNNELING ĐIỂM NỐI ĐIỂM 35

HÌNH 3-1: MÔ HÌNH VPN CLIENT-TO-SITE 35

Hình 3-2: Mô hình VPN Site-to-site 45

1.1.2 Lịch sử phát triển của VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN) bắt đầu từ yêu cầucủa khách hàng (client), mông muốn có thể kết nối một cách có hiểu quả với các tổng đàithuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN) Trước kia, hệ thống điệnthoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các đường thuê riêng cho việc tổchức mạng chuyên dùng để thực hiện việc thông tin với nhau

Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Francho Telecom đưa ra dịch vụ Colisee có thể cung cấpphương thức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượng dịch vụ màđưa ra cước phí và nhiều tính năng quản lý khác

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng làmạng được định nghĩa bằng phần mềm SDN

- Năm 1986, Sprint đưa ra Vnet, Telefornica Tây Ban Nha đưa ra Ibercom

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một sốdoanh nghiệp vừa và nhỏ có thể sử dụng dịch vụ VPN và đã tiết kiệm được 30% chi phí.Điều này đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telestra củaÔ-xtray-li-a đưa ra dịch vụ VPN trong nước đầu tiên ở khu vực châu Á-Thái Bình Dương

- Năm 1992, Viễn thông Hà Lan và Telia Thủy Điển thành lập công ty hợptác đầu tư Unisoure, cung cấp dịch vụ VPN

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập liênminh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN

- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấpdịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu(GVPNS)

- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), viễn thông Pháp(Prench Telecom) kết thành liên minh Global One

- Năm 1997, có thể coi là một năm rực rỡ với công ghệ VPN, công nghệ VPN

có mặt trên khắp các tạp chí công nghệ, các cuộc hội thảo….Các mạng VPN xây dựng trên

cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái nhìn mới choVPN Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty tổ chức có nhiều vănphòng, chi nhánh lựa chọn

Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày mộthoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện Hiện nay, VPN không chỉdùng cho các dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đaphương tiện

- VPN điểm nối điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiềuđiểm cố định với nhau thông qua một mạng công cộng như mạng Internet Loại này có thểdựa trên Intranet và Extranet Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xamuốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN Intranet (VPN nộibộ) để nối LAN với LAN Loại dựa trên Extranet : Khi một công ty có mối quan hệ mật thiếtvới một công ty khác (ví dụ như đối tác cung cấp, khách hàng,… ), họ có thể xây dựng mộtVPN Extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làmviệc trên cùng một môi trường chung

Hình 1-1: Mô hình VPN Site-to-site1.1.4 Lợi ích của VPN

Lợi ích cho công ty:

- Mở rộng kết nối ra nhiều khu vực và cả thế giới

- Tăng cường an ninh mạng

- Giảm chi phí so với việc thiết lập mạng WAN truyền thống

- Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khả năng tươngtác

- Đơn giản hóa mô hình kiến trúc mạng

Đối với nhà cung cấp dịch vụ:

- Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trịkhác kèm theo

- Tăng hiệu quả sự dụng mạng Internet hiện tại

- Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng, đây là một yếu tố quantrọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là cáckhách hàng lớn

- Đầu tư không lớn đem lại hiệu quả cao

- Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ Thiết bị sử dụng chomạng VPN

1.1.5 Chức năng của VPN:

VPN cung cấp 3 chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn(Integrity), và tính bảo mật (Confidentiality)

a) Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả 2 phía phải xác thực lẫn

nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứkhông phải là một người khác

b) Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ sự

xáo trộn nào trong quá trình truyền dẫn

c) Tính bảo mật: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua mạng

công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, không một ai cóthể truy nhập thông tin mà không được phép Thậm chí nếu có lấy được thì cũng không đọcđược

1.1.6 Các ưu và nhược điểm của VPN

1.1.6.1 Ưu điểm:

Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty, giúp đơn giản hóaviệc trao đổi thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộngIntranet đến từng văn phòng … những lợi ích trực tiếp và gián tiếp mà VPN mang lại baogồm : tiết kiệm chi phí, tính linh hoạt, khả năng mở rộng …vv

a) Tiết kiệm chi phí: việc sử dụng VPN sẽ giúp các công ty giảm được chi phí đầu tư

và chi phí thường xuyên nhiều số liệu cho thấy, giá thành cho việc kết nối LAN-to-WANgiảm từ 20 tới 30% so với việc sử dụng đương thuê riêng truyền thống, còn đối với việc truycập từ xa giảm từ 60 tới 80%

b) Tính linh hoạt: tính linh hoạt ở đây không chỉ thể hiện trong quá trình vận hành và

khai thác mà nó còn thực hiện mềm dẻo đối với yêu cầu sử dụng khách hàng có thể sử dụng

c) Khả năng mở rộng: Do VPN được xây dụng dựa trên có sở hạ tầng mạng công cộng

nên bất cứ ở nơi nào có mạng công cộng (như Internet ) điều có thể triển khai VPN Dễ dàng

mở rộng băng thông hay gỡ bỏ VPN khi không có nhu cầu

d) Giảm thiểu các hỗ trợ kỹ thuật: việc chuẩn hóa trên một kiểu kết nối đối tượng di

động đến một POP của ISP và việc chuẩn hóa các yêu cầu về bảo mật đã làm giảm thiểu nhucầu về nguồn hỗ trợ kỹ thuật cho mạng VPN

e) Giảm thiểu các yêu cầu về thiết bị: bằng việc cung cấp một giải pháp truy nhập cho

các doanh nghiệp qua đường Internet, việc yêu cầu về thiết bị ít hơn và đơn giản hơn nhiều

so với việc bảo trì các modem riêng biệt, các card tương thích cho thiết bị đầu cuối và cácmáy chủ truy nhập từ xa

f) Đáp ứng nhu cầu thương mại: Đối với các thiết bị và công nghệ viễn thông mới thì

những vấn đề cần quan tâm là chuẩn hóa, các khả năng quản trị, mở rộng và tích hợp mạng,tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sảnphẩm

1.1.6.2 Nhược điểm:

a) Phụ thuộc nhiều vào chất lượng của mạng Internet: Sự quả tải hay tắc nghẽn mạng

làm ảnh hưởng đến chất lượng truyền thông tin

b) Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay dựa hoàn toàn trên cơ sở kỹ thuật

IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainfames) và các thiết bị vàgiao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPNs không phù hợp được vớicác thiết bị và giao thức)

c) Vấn đề an ninh: Một mạng riêng ảo thường rẻ và hiệu quả hơn so với các giải pháp

sử dụng kênh thuê riêng Tuy nhiên, nó cũng tiềm ẩn nhiều rủi ro an ning khó lường trước

và do đó sự an toàn sẽ không là tuyệt đối

d) Độ tin cậy và thực thi: VPN sử dụng phương pháp mã hóa để bảo mật dữ liệu, và các

hàm mật mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng

1.2 Các dạng kết nối mạng riêng ảo

Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản

- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời giannào

- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp haycác thực thể ngoài khác là đều quan trọng đối với tổ chức hay cơ quan

Dựa vào những yêu cầu cơ bản trên VPN được chia thành:

- Mạng VPN truy cập từ xa (Remote Access VPN)

Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và chứngnhận các yêu cầu gửi tới

Quay số kết nói đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá

xa so với trung tâm

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truycập từ xa bởi người dung

Bằng việc triển khai Remote Access VPN, những người dùng từ xa hoặc các chi nhánhvăn phòng chỉ cần cài đặt một số kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc các ISP’sPOP và kết nối đến tài nguyên thông qua Internet Thông tin Remote Access Setup được mô

tả bởi hình vẽ sau:

Hình 1-2 : Minh họa một Remote Access1.2.1.2 Ưu và nhược điểm của Remote Access VPN

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ caohơn các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ trợmức thấp nhất của dịch vụ kết nối

b) Nhược điểm :

- Remote Access VPNs cũng không đảm bảo được chất lượng phục vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói tin dữ liệu có thể

đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hóa , protocol overheal tăng đáng kể, điều này gâykhó khăn cho quá trình xác nhận thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vôcùng chậm chạp và tồi tệ.

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các gói dữ liệu lớn như cácgỡi dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng dich vụ Bởi

vì thuật toán mã hóa phức tạp, nên tiêu đề giao thức tăng một cách đáng kể Thêm vào đóviệc nén dữ liệu IP xẩy ra chậm

- Do qua trình truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn thì sẽrất chậm

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mởrộng, tính tin cậy và hỗ trợ cho nhiều giao thức khác nhau với chi phí thấp nhưng vẫn bảođảm được tính mềm giẻo Kiểu VPN này thường được cấu hình như một VPN Site-to Site

Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chứcmạng với mạng intranet trung tâm Trong hệ thống intranet không sử dụng kỹ thuật VPN thì

ở mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router

Hình 1-3: Mô hình Intranet

Hệ thống có chi phí cao bởi có ít nhất là 2 router cần thiết để kết nối Sự vận hành, bảotrì và quản lý intranet yêu cầu chi phí phụ thuộc vào lưu lượng truyền tải tin của mạng vàdiện tích địa lý của mạng intranet.

Với sự bổ sung giải pháp VPN thì chi phí đắt đỏ của WAN backbone được thay thếbằng chi phí thấp của kết nối internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống 1.2.2.1 Những ưu điểm của mạng VPN cục bộ:

- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình Wanbackbone

- Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, cáctrạm ở một số Remote site khác nhau

- Bởi vì internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kếtnối mới ngang hàng

- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dich vụ, loại bỏvấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiệnIntranet

1.2.2.2 Các nhược điểm của mạng VPN cục bộ

- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẻ trên mạng công cộngInternet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ ( denial-of-server)vẫn còn là một mối đe dọa an toàn thông tin

- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng vẫn rất cao

- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tinmilltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do đươc truyền thông qua Internet

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, vàQoS cũng không được bảo đảm

1.2.3 Mạng VPN mở rộng ( Extrnet VPN )

Không giống như Intranet và Remote Access-based, Extranet không hoàn toàn cách ly

từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạng cần thiết củacác đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữvai trò quan trọng trong tổ chức

Hình 1-4: Mô hình mạng Extranet truyền thống

Tổng công ty

Mạng

nhà cung

cấp 1

Mạng nhà cung cấp 3

Công ty đối tác 3

Công ty đối tác 2

Mạng nhà cung cấp 2

Công ty

đối tác 1

Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lạivới nhau để tạo ra một Extranet Điều này làm cho khó triển khai và quản lý do có nhiềumạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị Thêm nữa làmạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thểảnh hưởng đến các kết nối bên ngoài mạng Sẽ có những vấn đề về bạn gặp bất thình lìnhkhi kết nối một Intranet vào một mạng Extranet Triển khai và thiết kế một mạng Extranet cóthể là một cơn ác mộng của các nhà thiết kết và quản trị mạng.

Mô hình Extranet VPN khắc phục những nhược điểm đó của mô hình Extranet truyềnthống Sự bùng nổ của VPN giúp cho nhiệm vụ cài đặt của mạng ngoài trở nên dễ dàng hơn

và giảm chi phí Thiết kế Extranet VPN được mô tả như dưới

Hình 1-5: Extranet xây dựng trên VPN1.2.3.1 Một số thuận lợi của Extranet

- Do hoạt động trên môi trường Intranet, bạn có thể lựa chọn nhà phân phối khi lựachọn và đưa ra phương pháp giải quyết tùy theo nhu cầu của tổ chức

- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp của tổ chức

- Dễ dàng triển khai, quản lý và sửa chữa thông tin

1.2.3.2 Một số bất lợi của Extranet

- Sự đe dọa về tính an toàn, như bị tấn công bằng tù chối dịch vụ vẫn còn tồn tại

- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn rachậm chạp.

- Do dựa trên internet, QoS cũng không được đảm bảo thường xuyên

1.3 An toàn bảo mật của VPN trên Internet

1.3.1 Bảo mật trong VPN

1.3.1.1 Tường lửa (firewall)

Là rào chẵn vững chắc giữa mạng riêng và Internet Bạn có thể thiết lập các tườnglửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua Một số sảnphẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng củatường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp Tốt nhất là hãy càitường lửa thật tốt trước khi thiết lập VPN

1.3.1.2 Mật mã truy cập

Là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy

đó mới giải mã được Có hai loại là mật mã riêng và mật mã chung

1.3.1.3 Mật mã riêng (Symmetric-Key Encryption)

Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính kháctrong mạng Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để cóthể cài mã lên đó, để máy tính của người nhận có thể giải mã được

1.3.1.4 Mật mã chung (Public-Key Encryption)

Kết hợp mã riêng và một mã công cộng Mã riêng này chỉ có máy của bạn nhận biết,còn mã chung thì do máy bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với

nó Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp,đồng thời cần đến mã riêng của nó nữa Có một ứng dụng loại này được dùng phổ biến làPretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì

1.3.1.5 Giao thức bảo mật giao thức Internet (IPSec)

Cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quátrình thẩm định quyền đăng nhập toàn diện hơn

1.3.1.6 IPSec có hai cơ chế mã hóa là Tunnel và Transport

Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mãhóa kích thước Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được gia thức này.Ngoài ra, tất cả các thiết bị phải sử dụng một mã nguồn khóa chung và các tường lửa trênmỗi hệ thống phải có các thiết lập bảo mật giống nhau IPSec có thể mã hóa dữ liệu giữanhiều thiết bị khác nhau như router với router, firewall với router, Pc với router, Pc với máychủ

1.3.1.7 Máy chủ AAA

AAA là viết tắt của ba chữ Authentication ( thẩm định quyền truy cập) Authorization(cho phép) và Accounting ( kiểm soát ) Các server này được dùng để đảm bảo truy cập antoàn hơn Khi yêu cầu thiết lập mộ kết nối được gửi tới từ máy khác, nó sẽ phải qua máy chủAAA để kiểm tra Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết

để theo dõi vì mục đích an toàn

1.3.2 Sự an toàn và tin cậy:

Sự an toàn của một hệ thống máy tính là một bộ phận của khả năng bảo trì một hệ thốngđáng tin cậy được Thuộc tính này của một hệ thống được viện dẫn như sự đáng tin cậy

Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

- Tính sẵn sàng: khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong khoảng thời gian.Tính sẵn sàng thường được thực hiện qua những hệ thống phần cứng dự phòng

- Sự tin cậy: Nó định nghĩa xác xuất của hệ thống thực hiện các chức năng của nótrong một chu kỳ thời gian Sự tin cậy khác với tĩnh sẵn sàng, nó được đo trong cả một chu

kỳ của thời gian, nó tương ứng tới tính liên tục của một dịch vụ

- Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nó chínhxác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hại nào xuất hiện

- Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cả cáctài nguyên của hệ thống

Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn bảo đảm an toàn ở bất kỳthời gian nào Nó bảo đảm không một sự va chạm nào mà không cảnh báo thông tin có cảmgiác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:

- Tính bí mật

- Tính toàn vẹn

Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổi trongmột ứng xử không hơp pháp trong thời gian tồn tại của nó Tính sẵn sàng, sự an toàn và anninh là những thành phần phụ thuộc lẫn nhau Sự an ninh bảo vệ hệ thống khỏi những mối đedọa và sự tấn công Nó đảm bảo một hệ thống an toàn luôn sẵn sàng và đáng tin cậy

1.3.3 Hình thức an toàn

Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó

Có 3 kiểu khác nhau của sự an toàn:

 Sự an toàn phần cứng

 Sự an toàn thông tin

 Sự an toàn quản trị

An toàn phần cứng: Những đe dọa và tấn công có liên quan tới phần cứng của hệ thống.

Nó có thể được phân ra vào 2 phạm trù:

 Sự an toàn vật lý

 An toàn bắt nguồn

Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe dọa vật lý bênngoài như sự can thiệp, mất cắp thông tin, động đất và ngập lụt Tất cả những thông tin nhạycảm trong những tài nguyên phần cứng của hệ thống cần sự bảo vệ chống lại tất cả những sựbảo vệ này

An toàn thông tin: Liên quan đến tính dễ bị tổn thương trong phần mềm, phần cứng và

sự kết hợp của phần cứng và phần mềm Nó có thể được chia vào sự an toàn và truyền thôngmáy tính Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượng chống lại sự phơi bày

và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế điều khiển truy nhập, các cơ chếđiều khiển bắt buộc chính sách an toàn, cơ chế phần cứng, kỷ thuật, mã hóa… Sự an toàntruyền thông bảo vệ đối tượng truyền

An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe dọa mà con người lợi

dụng tới một hệ thống máy tính Những mối đe dọa này có thể là hoạt động nhân sự Sự antoàn nhân sự bao trùm việc bảo vệ của những đối tượng chống lại sự tấn công tù nhữngngười dùng ủy quyền

Mỗi người dùng của hệ thống của những đặc quyền để truy nhập những tài nguyên nhấtđịnh Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại những người dùng cốtình tìm kiếm được những đặc quyền cao hơn hoặc lạm dụng những đặc quyền của họ, chonên sự giáo dục nhận thức rất quan trọng để nó thực sự là một cơ chế bảo vệ sự an toàn hệthống Thống kê cho thấy những người dùng ủy quyền có tỷ lệ đe dọa cao hơn cho một hệthống máy tính so với từ bên ngoài tấn công Những thông tin được thống kê cho thấy chỉ có10% của tất cả các nguy hại máy tính được thực hiện từ bên ngoài hệ thống, trong khi có đến40% là bởi những người dùng trong cuộc và khoảng 50% là bởi người làm thuê

1.4 Các yếu tố cơ bản đối với một giải pháp VPN

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo

1.4.1 Tính tương thích (Compatibility):

Mỗi công ty, mỗi doanh nghiệp điều được xây dựng các hệ thống mạng nội bộ và diệnrộng của riêng mình dựa trên các thủ tục khác nhau và không tuân thủ theo một chuẩn nhấtđịnh của nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/

IP vì vậy không thể kết nối trực tiếp với Internet Để có thể sử dụng được IP VPN tất cả các

hệ thống mạng riêng điều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụngtrong Internet cũng như bổ sung các tính năng về tạo kênh kết nối ảo, cài đặt cổng kết nốiInternet có chức năng trong việc chuyển đổi các thử tục khác nhau sang chuẩn IP 77% sốlượng khách hàng được hỏi yêu cầu khi chọn một nhà cung cấp dịch vụ IP VPN phải tươngthích với các thiết bị hiện có của họ

1.4.2 Tính bảo mật (Security)

Tính bảo mật cho khách hàng là một yếu tố quan trọng nhất đối với giải pháp VPN.Người sử dụng cần được bảo đảm các dữ liệu thông qua mạng VPN đạt được mức độ an toàngiống như trong một hệ thống mạng dùng riêng do họ xây dựng và quản lý Việc cung cấptính năng bảo đảm an toàn cần đảm bảo hai mục tiêu sau:

- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu chongười sử dụng trong mạng và mã hóa dữ liệu truyền

- Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giảncho người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cung như quản trị hệthống

1.4.3 Tính khả dụng (Availability)

Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất

sử dụng dịch vụ cũng như dung lượng truyền Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêuchuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầucuối đến đầu cuối QoS liên quan đến khả năng đảm bảo độ trễ dich vụ trong một phạm vinhất định hoặc liên quan đến cả hai vấn đề trên

1.4.4 Khả năng hoạt động tương tác

Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêuchuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hóa một cách toàn diện, các nhàsản xuất thiết kế vẫn phát triển các tiêu chuẩn kỷ thuật tiêng của mình Vì vậy cần chú ý lựachọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ củathiết bị sử dụng Trên thế giới hiện có tới 60 giả pháp khác nhau liên quan đến

CHƯƠNG 2:

CÁC GIAO THỨC VÀ KẾT NỐI TUNNEL TRONG VPN

Trong VPN có 3 giao thức chính để xây dựng một mạng riêng ảo hoàn chỉnh đó là:

- IPSEC (IP Security)

- PPTP (Point to Point Tuneling Protocol)

- L2TP (Layer 2 Tunneling Protocol)

Tùy vào từng ứng dụng và mục đích cụ thể mà mỗi giao thức có thể có những ưu nhượcđiểm khác nhau khi triển khai vào mạng VPN

Trong đồ án này sẽ thực hiện triển khai mô hình VPN trên máy ảo sử dụng giao thức PPTP nên chúng ta sẽ chỉ đi sâu nghiên cứu giao thức PPTP

2.1 Giao thức IPSEC

2.1.1 Khái quát

IPSEC là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu,đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia VPN Cácthiết bị này có thể là các host hoặc các Sercurity Gateway (Router, Firewalls, VPNconcentralor,…) hoặc là giữa một host và một Gateway như trong trường hợp RemoteAccess VPN IPSEC bảo vệ đa luồng dữ liệu giữa các Peers, và 1 Gateway có thể hỗ trợđồng thời nhiều nguồn dữ liệu

IPSEC hoạt động ở lớp mạng và sử dụng giao thức Internet Key Exchange (IKE) đểthỏa thuận các giao thức giữa các bên tham gia và IPSEC sẽ phát khóa mã hóa và xác thực đểdùng

Hình 2-1: Vị trí của IPSEC trong mô hình OSI2.1.2 Ưu nhược điểm của IPSEC

2.1.2.1 Ưu điểm:

- Khi IPSEC được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạngriêng, thì tính năng an toàn của IPSEC có thể áp dụng cho toàn bộ vào ra mạng riêng đó màcác thành phần khác không cần phải sử lý thêm các công việc liên quan đến bảo mật

- IPSEC được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốtđối với các lớp này Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụkhi IPSEC được triển khai

- IPSEC có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụngđầu cuối, điều này giúp che giấu những chi tiết cấu hình phứt tạp mà người dùng phải thựchiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet

2.1.2.2 Nhược điểm:

- Tất cả các gói được xử lý theo IPSEC sẽ bị tăng kích thước do phải thêm vào các tiêu

đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống Vấn đề này

có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kỹ thuật như vậyvẫn còn đang nghiên cứu và chưa được chuẩn hóa

- IPSEC được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạnglưu lượng khác

- Việc tính toán nhiều giải thuật phức tạp trong IPSEC vẫn còn là một vấn đề khó đốivới các trạm làm việc và máy PC năng lực yếu

- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chínhphủ một số quốc gia

2.2 Giao thức Point-to-Point Tunneling Protocol (PPTP)

2.2.1 Khái quát về PPTP

PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa Remote Client vàEnterprise Server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trung gian.Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend Communications,3COM, US Robotics, và ECI Telematics) , PPTP được đưa ra dựa trên yêu cầu VPNs thôngqua mạng trung gian không an toàn PPTP không những tạo ra điều kiện dễ dàng cho việcbảo mật các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn qua mạngriêng intranet

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho nhữngkết nối từ xa Giao thức PPTP là một sự mở rộng của giao thức PPP cơ bản cho nên giaothức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà có nó chỉ hỗ trợ kết nối từđiểm tới điểm

Hình 2-2: Mô hình VPN sử dụng giao thức PPTPPPTP chỉ hỗ trợ IP, IPX, Net BEUI, PPTP không làm thay đổi PPP mà nó chỉ là giảipháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông PPP

Hình 2-3: Minh họa một gói tin PPTP

IP

Header

PPPHeader

PPP Payload(IP datagram, IPX datagram, NetBEUI frame)

GRE Header

Encrypted

PPP Frame

2.2.2 Vai trò của PPP trong giao dịch PPTP

PPTP là phần mở rộng của PPP, nó không thay đổi công nghệ PPP Nó chỉ định nghĩamột phương pháp mới trong việc vận chuyển lưu lượng VPN thông qua mạng chung không

an toàn.Khá giống PPP, PPTP cũng không hỗ trợ đa kết nối, tất cả các kết nối PPTP đều ởdạng điểm-điểm PPTP thực hiện một số chức năng giao dịch dựa trên PPP

Thiết lập và kết thúc các kết nối vật lý giữa 2 đầu cuối thông tin

Xác thực PPTP clients

Mã hóa IPX, Net BEUI, NetBIOS, TCP/IP datagrams để tạo PPP datagrams và bảo mật dữ liệu trao đổi giữa các bên có liên quan

Chú ý: PPP có thể sử dụng một số cơ chế xác nhận như cleartext, encrypted, hoặc

Microsoft-encrypted cho việc xác nhận các PPTP clients

Hình 2-4: Mô tả vai trò của PPP trong quá giao dịch PPTP

2.2.3 Các thành phần của quá trình giao dịch PPTP

Bất kỳ quá trình giao dịch nào dựa trên PPTP triển khai ít nhất 3 thành phần:

 PPTP client

 Network Access Server (NAS)

 PPTP server

Hình 2-5: Ba thành phần của giao dịch dựa trên PPTP2.2.3.1 PPTP Clients

Một PPTP client là một nút mạng hỗ trợ PPTP và có thể yêu cầu những nút khác chomột phiên VPN Nếu kêt nối được yêu cầu từ một remote server PPTP client phải sử dụngdịch vụ của ISP’s NAS Vì lý do đó, client phải dùng modem để kết nối vào kết nối PPP tớinhà ISP PPTP client cũng phải kết nối được kết nối vào thiết bị VPN để có thể tunnel yêucầu (và dữ liệu tiếp theo, nếu yêu cầu được chấp nhận) đến thiết bị VPN trên mạng từ xa.Kết nối đến các thiết bị VPN từ xa sử dụng kết nối quay số đầu tiên đến ISP’s NAS để thiếtlập một tunnel giữa hai thiết bị VPN thông qua Internet hoặc các mạng trung gian khácKhông giống như những yêu cầu cho các phiên kết nối VPN từ xa, yêu cầu cho mộtphiên VPN đến một mạng cục bộ không yêu cầu một kết nối đến ISP’s NAS Cả client vàserver điều đã được kết nối về mặt vật lý, việc tạo ra một kết nối đến ISP’s NAS là khôngcần thiết Client, trong trường hợp này, chỉ yêu cầu các phiên kiết nối quay số bằng thiết bịVPN trên server

Khi các gói dữ liệu yêu cầu định tuyến cho một yêu cầu từ xa và một yêu cầu kết nốicục bộ khác nhau, gói dữ liệu được gắn kèm với 2 yêu cầu được xử lý khác nhau Gói dữ liệuPPTP đến một server cục bộ mà được đặt trên thiết bị vật lý trung gian gắn kèm card mạngcủa PPTP client Ngược lại, gói dữ liệu PPTP remote server được định tuyến thông quaphương thức truyền thông vật lý được gắn kèm trong thiết bị thông tin, chẳng hạn như router.2.2.3.2 PPTP Servers

PPTP Servers là những nút mạng hổ trợ PPTP Và có khả năng duy trì các yêu cầu chocác phiên VPN từ các nút khác (từ xa hoặc nội bộ ) Để đáp lại những yêu cầu từ xa, nhữngserver phải hổ trợ khả năng định tuyến

2.2.3.3 PPTP Network Access Servers (NASs)

PPTP NASs được đặt tại nhà cung cấp dịch vụ ISP và cung cấp kết nối Internet đến cácclient sử dụng PPP để quay số Khả năng có nhiều client đồng thời đưa ra yêu cầu một phiênVPN là rất cao, những server phải có khả năng hỗ trợ đồng thời nhiều client Hơn nữa, PPTPclient không bị hạn chế với hệ điều hành không phải của Microsoft Do đó, PPTP NASs cókhả năng xử lý dùng nhiều hệ điều hành khác nhau như Microsoft’s Windows,Unix, vàApple’s

 Điều khiển kết nối

 PPTP tunneling và trao đổi dữ liệu

2.2.4.1 Điều khiển kết nối PPTP

Sau khi kết nối PPP giữa PPTP client và server được thiết lập, quá trình điều khiểnPPTP bắt đầu Như hình dưới, PPTP connection control được thiết lập dựa trên cơ sở địa chỉ

IP của client và server, sử dụng cổng TCP động và chiếm giữ cổng TCP 1723 Sau khi quátrình điều khiển kết nối được thiết lập, các thông tin điều khiển và quản lý sẽ được trao đổigiữa các bên có liên quan trong quá trình giao tiếp Những thông tin đảm nhiệm vai trò bảotrì, quản lý và kết thúc PPP tunnel Những thông điệp này là những thông điệp có định kỳbao gồm “PPTP-Echo-Request, PPTP-Echo-Reply” dùng để giúp đỡ trong việc dò tìm cáckết nối PPTP hư hỏng giữa server và client

Hình 2-6: Trao đổi các thông điệp điều khiển PPTP trên một kết nối PPP2.2.4.2 Quá trình tạo đường hầm dữ liệu và xử lý PPTP

Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói, bao gồm những giai đoạnsau:

1 Quá trình đóng gói dữ liệu Thông tin nguyên bản( tối đa) được mã hóa và được đónggói bên trong một PPTP frame Một PPP header được thêm vào frame

2 Quá trình đóng gói các PPP frame Tổng hợp các PPP frame sau đó đóng gói bêntrong một Generic Routing Encapsulation (GRE) đã được sử đổi GRE header chứa trường4-byte Acknowledgement và một bit Acknowledgement hồi đáp Ngoài ra, trường khóatrong GRE frame được thay thế bằng 2 byte long gọi chiều dài tối đa và 2 byte long đượcxem là ID, PPTP client xây dựng những trường hợp này khi nó tạo ra PPTP tunnel

3 Quá trình đóng gói GRE kế tiếp một IP header đã được đóng gói bên trong gói GREđược thêm vào PPP frame Phần IP header này chứa đựng địa chỉ IP nguồn của PPTP client

và đích của server

4 Quá trình đóng gói tầng Data Link PPTP là một giao thức tạo đường hầm nằm ởtầng 2 Vì vậy, phần header của Data Link và phần đuôi giữ vai trò quan trọng trong việc tạođường hầm cho dữ liệu Trước khi được đặt vào môi trường truyền thông, tầng Data Linkthêm phần đầu và phần đuôi của nó vào gói dữ liệu Nếu gói dữ liệu được truyền qua PPTPtunnel cục bộ, gói dữ liệu được đóng gói bằng phần đầu và đuôi theo công nghệ LAN (nhưEthernet) Ở một khía cạnh khác, nếu tunnel được đáp lại thông qua một kết nối WAN, phầnđầu và phần đuôi được thêm vào một lần nữa thì không thay đổi

Encryption

PPP Payload

Encypled PPP Payload

Encypled PPP Payload

IP Heade r

PPP Header

GRE header

Encypled PPP Payload

Encypled PPP Payload

PPP Header

PPP Header

GRE header

GRE header

PPP Header

Encypled PPP Payload

IP Heade r

Data Link Trailer

Data Link

header

Hình 2-7: Quá trình hình thành dữ liệu đường hầm PPTP2.2.5 Bảo mật trong PPTP

PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server Những dịch vụ này bao gồm các dịch vụ sau:

Phương pháp shared secret thường dùng trong mục đích mã hóa trong trường hợp PPP

là ID của người dùng và nó tương ứng với mật khẩu 40-bit session key thường dùng để mãhóa user Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4 Khóa này đượcdùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel Tuy nhiên, 40-bit key thì quá ngắn vàquá yếu kém đói với các kĩ thuật hack ngày nay Vì thế, phiên bản 128-bit key ra đời Nhằmlàm giảm rủi ro, Microsoft đòi hỏi khóa phải được làm tươi sau 256 gói packet

- PAP ( Pasword Authentication Protocol) PAP là phương pháp đơn giản và thươngđược triển khai nhiều nhất trong giao thức xác nhận quay số Nó cũng dùng để các nhận cáckết nối PPP Tuy nhiên, nó gửi user ID và mật khẩu trong một định dạng chưa mã hóa thôngqua kết nối Một kẻ hở khác của PAP là chie xác nhận 1 lần điêmt thông tin cuối ở giai đoạnthiết lập kết nối Vì lý do đó, nếu một hacker xâm nhập vào kết nối được một lần, anh ta sẽ

không phải lo lắng gì hơn nữa về xác nhận Chính vì lý do đó, PAP được xem là một giaothức xác nhận kém nhất và vì thế nó không được ưu thích trong cơ chế xác nhận của VPN.2.2.5.3 Điều kiện truy cập PPTP.

Sau khi PPTP Client từ xa được xác nhận thành công, nó sẽ truy csspj vào tài nguyênmạng đã bị giới hạn bới lý do bảo mật, Để đạt được mục tiêu này, có thể triển khai một số cơchế điều khiển truy cập sau:

từ xa riêng biệt Bằng cách này, PPTP không chỉ cung cấp các cơ chế xác nhận, điều khiểntruy cập và mã hóa mà còn tăng độ bảo mật trong mạng

2.2.6 Sơ đồ đóng gói PPTP

Hình 2-8: Sơ đồ đóng gói PPTPQuá trình được mô tả các bước sau:

Encrypted PPP Payload ( IP datagram, IPX datagram, NetBEUI Frame)

PPP Header

GRE Header

IP header

 Các IP datagram và IPX datagram hoặc khung NetBEUI được đưa tới giao diện ảobằng giao thức tương ứng ( giao diện ảo địa diện cho kết nối VPN) sử dụng DIS( NetworkDriver Interfacce Specfication).

 NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ kiệu và cungcấp PPP Header Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP ( PPP Protocol

ID Field), không có các trường Flags và FCS ( Frame CheckSequence) Giả định trường địachỉ và điều khiển đã được thỏa thuận ở giao thức điều khiển đường truyền LCP ( LinkControl Protocol) trong quá trình lết nối PPP

 NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng khung PPP với phần tiêu đềGRE Trong GRE Header, trường chỉ số cuộc gọi được đặt giá trị thích hợp để xác địnhđường ngầm

 Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

 TCP/IP đóng gói dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau đó gửi kết quảtới giao diện đại diện cho kết nối máy quay số tới local ISP sử dụng NDIS

 NDIS gửi lại gói tin tới NDISWAN, nơi cung cấp các phần Datalink Header vàTrailer

 NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phầncứng quay số ( ví dụ, cổng không đồng bộ giao cho kết nối modem)

2.2.7 Ưu điểm và nhược điểm của PPTP

Ưu điểm chính của PPTP:

 PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft ( cácsản phẩm được sử dụng rất rộng rãi)

 PPTP có thể hỗ trợ các giao thức non- IP

 PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux và Apple’sMacintosh.Các nền không hổ trợ PPTP có thể các dịch vụ của PPTP bằng cách sử dụng bộ định tuyếnđược cài đặt sắn khả năng của máy khách PPTP

Nhược điểm của PPTP:

 PPTP bảo mật yếu hơn so với kỷ thuật L2TP và IPSec

 PPTP phụ thuộc nền

 PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh