Tìm hiểu mạng VPN và các ứng dụng của VPN

những chức năng và khả năng bảo mật của IPsec có thể dùng để bảo mật mạngcá nhân và các dữ liệu cá nhân tuyệt mật khỏi bị: - Tấn công DOS - Ăn cắp dữ liệu - Sửa chữa dữ liệu - Ăn cắp

TR¦êNG §¹I HäC VINH

KHOA C¤NG NGHÖ TH¤NG TIN

§å ¸N TèT NGHIÖP §Ò Tµi :

T×M HIÓU M¹NG VPN Vµ C¸C øNG DôNG CñA VPN

Ngêi híng dÉn : Ths TrÇn Xu©n Hµo

sinh viªn thùc hiÖn : TrÇn Ngäc §¸ng

ch¬ng 1: tæng quan vÒ m¹ng riªng ¶o vpn vµ ipsec 1

i Tæng quan vÒ m¹ng riªng ¶o VPN 1

1.1 Định nghĩa 1

1.2 Chức năng và u điểm của VPN 3

1.2.1 Chức năng 3

1.2.2 Ưu điểm 3

1.3 Phân loại mạng VPN 5

1.3.1 Mạng VPN truy nhập từ xa .5

1.3.2 Mạng VPN cục bộ .6

1.3.3 Mạng VPN mở rộng 8

II Tổng quan về IPSEC 9

chơng 2: các giao thức đờng hầm 13

2.1 Giao thức định hớng lớp 2 - L2F 13

2.1.1 Ưu nhợc điểm của L2F 13

2.1.2 Thực hiện L2F 14

2.1.3 Hoạt động của L2F 14

2.2 Giao thức đờng hầm điểm-điểm PPTP 15

2.2.1 Kiến trúc của PPTP 16

2.2.2 Sử dụng PPTP 25

2.3 Giao thức đờng hầm lớp 2 - L2TP 27

2.3.1 Kiến trúc của L2TP 27

2.3.2 Sử dụng L2TP 33

2.4 Giao thức bảo mật IP – IPSEC 34

2.4.1 Hoạt động của IPSec 35

2.4.2 Ví dụ về hoạt động của IPSec 45

chơng 3: XÂY DựNG MạNG VPN 47

3.1 Thành phần cơ bản của một VPN 47

3.1.1 Máy chủ VPN 47

3.1.2 Máy khách VPN 48

3.1.3 Bộ định tuyến VPN 49

3.1.4 Bộ tập trung VPN 50

3.1.5 Cổng kết nối VPN 50

3.2 Sự hoạt động của VPN 50

3.3 Cài đặt VPN Client to Site sữ dụng IPSEC 52

3.3.1 Cài đặt VPN server 52

3.3.2 Cài đặt VPN từ Client2 62

chơng 4: các ứng dụng trên mạng vpn 69

4.1 Xây dựng profile, home folder 69

4.1.1 proflile 69

4.1.2 home folder 69

4.1.3 Triển khai profile & home folder 69

4.2 DịCH Vụ DHCP 72

4.2.1 Giới thiệu 72

4.2.2 Hoạt động của dao thức DHCP 72

4.2.3 Cài đặt DHCP Server 72

4.2.4 Cấu hình DHCP Server 74

4.3 dịch vụ Webserver 82

4.3.1 Giới thiệu 82

4.3.2 Nguyên tắc hoạt động 82

4.3.3 Cài đặt cấu hình Webserver chạy bằng tên miền và địa chỉ IP 82

4.5 chơng trình chạy mô phỏng 94

4.5.1 Nhiệm vụ và mục tiêu của bài toán .94

4.5.2 Phân tích và thiết kế chơng trình 94

Một yêu cầu đặt ra cho các doanh nghiệp là phải luôn nắm đợc nhữngthông tin mới nhất, chính xác nhất và phải đảm bảo độ tin cậy cao về các chinhánh của mình trên khắp thế giới, cũng nh các đối tác các khách hàng Để làm

đợc điều này thì các nhân viên ở xa, phải có thể truy nhập vào Intranet công ty,với những nhân viên muốn làm việc cho công ty của mình vào bất cứ thời giannào, bất cứ đâu mà không cần có mặt ở công ty mà đáp ứng các yêu cầu

- Thứ nhất, thuê các đ ờng Leased-line của các nhà cung cấp dịch vụ đểnối tất cả các chi nhánh của công ty lại với nhau

Thứ hai họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên ph

-ơng pháp này lại không đáp ứng đợc tính bảo mật cao

- Thứ ba phải đảm bảo tính ổn định và an toàn cao và đồng thời giảm chiphí đầu t cho cơ sở hạ tầng mạng mang ý nghĩa sống còn đối với các doanhnghiệp

Mạng Riêng ảo là một công nghệ mới có thể giải quyết hiệu quả những

vấn đề nêu trên Đây cũng là nguyên nhân dẫn đến việc em chọn đề tài cho đồ án

tốt nghiệp của chúng em là “ Mạng Riêng ảo”

Em xin chân thành cảm ơn Ths Trần Xuân Hào đã tận tình hớng dẫn em hoàn

thành đề tài này

Vinh, tháng 05 năm 2010

Sinh viên thực hiện: Trần Ngọc Đáng

CHƯƠNG 1

TổNG QUAN Về MạNG RIÊNG ảO VPN và Ip sec

Trong thời đại ngày nay, Internet phát triển mạnh về mặt mô hình cho đếncông nghệ, đáp ứng các nhu cầu của ngời sữ dụng Internet đã đợc thiết kế để kếtnối nhiều mạng khác nhau và cho phép thông tin chuyển đến ngời sữ dụng mộtcách tự do và nhanh chóng mà không xem xét đến máy và mạng mà ngời sữdụng đó đang dùng Để làm đợc điều này ngời ta sữ dụng một máy tính đặc biệtgọi là router để kết nối các LAN và các WAN với nhau các máy tính kết nối vàointernet thông qua nhà cung cấp dịch vụ ISP-Internet Service Provider, cần mộtgiao thức chung là TCP/IP Từ đó ngời ta đa ra mô hình mạng mới có thể tậndụng lại đợc những cơ sở hạ tầng hiện có của Iternet Đó chính là mô hình mạngriêng ảo Virtual Private Network (VPN)

Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sửdụng cơ sở hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa cácsite của các công ty Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa

trên Internet Khi nói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựatrên Internet

1.1 Định nghĩa

Mạng riêng ảo VPN đợc định nghĩa là một kết nối mạng triển khai trên cơ

sở hạ tầng mạng công cộng (nh mạng Internet) với các chính sách quản lý và bảomật giống nh mạng cục bộ

Router

Mạng riờng

(LAN)

Mạng riờng (LAN)

Hình 1.1: Mô hình VPN

Các thuật ngữ dùng trong VPN nh sau:

Virtual - nghĩa là kết nối là động, không đợc gắn cứng và tồn tại nh một kết

nối khi lu lợng mạng chuyển qua Kết nối này có thể thay đổi và thích ứng vớinhiều môi trờng khác nhau và có khả năng chịu đựng những khuyết điểm củamạng Internet Khi có yêu cầu kết nối thì nó đợc thiết lập và duy trì bất chấp cơ

sở hạ tầng mạng giữa những điểm đầu cuối

Private - nghĩa là dữ liệu truyền luôn luôn đợc giữ bí mật và chỉ có thể bị

truy cập bởi những ngời sử dụng đợc trao quyền Điều này rất quan trọng bởi vìgiao thức Internet ban đầu TCP/IP- không đợc thiết kế để cung cấp các mức độbảo mật Do đó, bảo mật sẽ đợc cung cấp bằng cách thêm phần mềm hay phầncứng VPN

Network - là thực thể hạ tầng mạng giữa những ngời sử dụng đầu cuối,

những trạm hay những node để mang dữ liệu Sử dụng tính riêng t, công cộng,dây dẫn, vô tuyến, Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có

để tạo nền mạng

Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đãtừng đợc sử dụng trong các mạng điện thoại trớc đây nhng do một số hạn chế mà

công nghệ VPN cha có đợc sức mạnh và khả năng cạnh tranh lớn Trong thờigian gần đây, do sự phát triển của mạng thông minh, cơ sở hạ tầng mạng IP đãlàm cho VPN thực sự có tính mới mẻ VPN cho phép thiết lập các kết nối riêngvới những ngời dùng ở xa, các văn phòng chi nhánh của công ty và đối tác củacông ty đang sử dụng chung một mạng công cộng.

ời mình mong muốn chứ không phải là một ngời khác

b) Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có

bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

c) Tính bảo mật : Ngời gửi có thể mã hoá các gói dữ liệu trớc khi truyền qua

mạng công cộng và dữ liệu sẽ đợc giải mã ở phía thu Bằng cách làm nhvậy, không một ai có thể truy nhập thông tin mà không đợc phép Thậmchí nếu có lấy đợc thì cũng không đọc đợc

1.2.2 Ưu điểm

VPN mang lại lợi ích thực sự và tức thời cho các công ty Có thể dùng VPNkhông chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, ng ờidùng lu động, mở rộng Intranet đến từng văn phòng, thậm chí triển khai Extranet

đến tận khách hàng và các đối tác chủ chốt Những lợi ích này dù trực tiếp haygián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo(flexibility), khả năng mở rộng (scalability)

a) Tiết kiệm chi phí

Việc sử dụng một VPN sẽ giúp các công ty giảm đợc chi phí đầu t và chiphí thờng xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ đợc thu nhỏ,

do chỉ phải trả ít hơn cho việc thuê băng thông đờng truyền, các thiết bị mạng ờng trục và duy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới30% so với việc sử dụng đờng thuê riêng truyền thống Còn

đ-đối với việc truy cập từ xa giảm từ 60 tới 80%

b) Tính linh hoạt

Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khaithác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sửdụng kết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể

đợc sử dụng để kết nối các văn phòng nhỏ, các đối tợng di động Nhà cung cấpdịch vụ VPN có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nốimodem 56 kbit/s, xDSL, T1, T3 …

c) Khả năng mở rộng

Do VPN đợc xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet),bất cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạngcông cộng có mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh

động Một cơ quan ở xa có thể kết nối một cách dễ dàng đến mạng của công tybằng cách sử dụng đờng dây điện thoại hay DSL…

d) Giảm thiểu các hỗ trợ kỹ thuật

Việc chuẩn hoá trên một kiểu kết nối từ đối tợng di động đến một POP củaISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu vềnguồn hỗ trợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấpdịch vụ đảm nhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗtrợ kỹ thuật đối với ngời sử dụng ngày càng giảm

e) Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay

số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so vớiviệc bảo trì các modem riêng biệt, các card tơng thích (adapter) cho các thiết bị

đầu cuối và các máy chủ truy cập từ xa

f) Đáp ứng các nhu cầu thơng mại

Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để

đảm bảo khả năng làm việc của sản phẩm nhng có lẽ quan trọng hơn là để sảnphẩm của nhiều nhà cung cấp khác nhau có thể làm việc với nhau

di động vào mạng nội bộ của công ty.

- Nối liền các chi nhánh, văn phòng di động.

- Khả năng điều khiển đợc quyền truy nhập của khách hàng, các nhà cung

cấp dịch vụ hoặc các đối tợng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN đợc phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

1.3.1 Mạng VPN truy nhập từ xa

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thời

điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truynhập vào mạng của công ty

VPN truy nhập từ xa mở rộng mạng công ty tới những ngời sử dụng thôngqua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫnduy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di

động, những ngời sử dụng di động, những chi nhánh và những bạn hàng củacông ty Những kiểu VPN này đợc thực hiện thông qua cơ sở hạ tầng công cộngbằng cách sử dụng công nghệ quay số, IP di động, DSL và công nghệ cáp và th-ờng yêu cầu một vài kiểu phần mềm client chạy trên máy tính của ngời sử dụng

POP

DSL cable

Mobile

POP

Extranet khách hàng tới công ty

Router Internet

or or

Hình 1.2 : Mô hình mạng VPN truy nhập từ xa

Các u điểm của mạng VPN truy nhập từ xa so với các phơng pháp truy nhập

từ xa truyền thống nh:

- Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởivì quá trình kết nối từ xa đợc các ISP thực hiện.

- Cung cấp dịch vụ kết nối giá rẻ cho những ngời sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động

ở tốc độ cao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởivì chúng hỗ trợ mức thấp nhất của dịch vụ kết nối

Mặc dù có nhiều u điểm nhng mạng VPN truy nhập từ xa vẫn còn nhữngnhợc điểm cố hữu đi cùng nh:

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

- Nguy cơ bị mất dữ liệu cao

- Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách

đáng kể

1.3.2 Mạng VPN cục bộ

Các VPN cục bộ đợc sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chinhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn đợc mã hoá bảomật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồndữ liệu đợc phép trong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN nh khả năng mởrộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấpnhng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thờng đợc cấu hình nh là mộtVPN Site- to- Site

Hình 1.3: Mô hình mạng VPN cục bộ

Những u điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Giảm đợc số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Bởi vì những kết nối trung gian đợc thực hiện thông qua mạng Internet,nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

- Tiết kiệm chi phí thu đợc từ những lợi ích đạt đợc bằng cách sử dụng đờngngầm VPN thông qua Internet

Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có nhợc điểm nh:

- Bởi vì dữ liệu đợc truyền “ngầm” qua mạng công cộng mạng Internet cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức

-độ chất lợng dịch vụ (QoS)

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

- Trờng hợp truyền dẫn khối lợng lớn dữ liệu, nh là đa phơng tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớntrong môi trờng Internet

1.3.3 Mạng VPN mở rộng

Không giống nh mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạngVPN mở rộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mởrộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạngcần thiết để mở rộng những đối tợng kinh doanh nh là các đối tác, khách hàng,

DSL

Hình 1.4: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đờng hầm bảo mật giữa các khách hàng,các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này

sử dụng các kết nối luôn luôn đợc bảo mật và đợc cấu hình nh một VPN Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cậpmạng đợc công nhận ở một trong hai đầu cuối của VPN

Bên cạnh những u điểm ở trên giải pháp mạng VPN mở rộng cũng cònnhững nhợc điểm đi cùng nh:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng côngcộng vẫn tồn tại

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

IPSEC là một bộ các giao thức đợc Internet Engineering Task Force(IETF) thiết kế để bảo vệ dữ liệu bằng cách kí nhận và mã hoá các dữ liệu trớckhi nó đợc di chuyển qua những mạng public

- IETF Request For Comments (RFCs) 2401-2409 xác định những giaothức IPsec liên quan đến các giao thức bảo mật, các tơng thích bảo mật và quản

lý key, các thuật toán chứng thực và mã hoá IPsec là một bộ khung của nhữngchuẩn mở cho các traffic TC/IP đợc mã hoá có trong môi trờng network IPseclàm việc bằng cách mã hoá thông tin chứa trong các gói dữ liệu thông qua việcgói gọn lại điều này cung cấp tính toàn vẹn dữ liệu ở mức độ network, tính tuyệtmật của dữ liệu, chứng nhận ban đầu dữ liệu, và bảo vệ replay những chức năng cơ bản của IPsec là:

- Chứng thực: bảo vệ các network cá nhân và dữ liệu cá nhân chứa trong đó.IPsec bảo vệ dữ liệu cá nhân khỏi những tấn công man-in-the-middle, từ khảnăng lừa tấn công đến những truy cập vào network, khỏi những kẻ tấn công thay

đổi nội dung của gói dữ liệu

- Mã hoá: giấu nội dung thật sự của các gói dữ liệu để các bên không cóquyền sở hữu không thể hiểu đợc.

- IPsec còn có thể dùng để cung cấp các khả năng lọc gói nó cũng có thểchứng thực các traffic giữa hai host và mã hoá các traffic giữa các host ipsec cóthể dùng để tạo mạng riêng ảo (VPN) IPsec có thể dùng để kích hoạt các giaotiếp giữa các văn phòng ở xa và những khách hàng truy cập từ xa qua internet

- IPsec hoạt động ở mức độ network để cung cấp mã hoá end-to-end về cơbản điều này có nghĩa là các dữ liệu đợc mã hoá ở máy tính nguồn gởi dữ liệu.tất cả các hệ thống trung gian xử lý các khúc mã hoá của các gói nh là payload.Các hệ thông trung gian nh các router chỉ đơn thuần forward gói đến đích cuốicủa nó các hệ thống trung gian không giải mã các dữ liệu mã hoá Các dữ liệumã hoá chỉ đợc giảI khi nó đến đích

- IPsec giao tiếp với layer transport TCP/UDP và layer internet, và đ ợc ápdụng cho các ứng dụng một cách dễ dàng IPsec cũng rất dễ để ngời dùng sửdụng về cơ bản điều này có nghĩa là IPsec có thể cung cấp bảo mật cho phần lớncác giao thức có trong bộ giao thức TC/IP khi nói đến các ứng dụng, tất cả cácứng dụng đều dùng TC/IP có thể dùng các chức năng bảo mật của ipsec bạn sẽkhông cần phải cấu hình bảo mật cho mỗi ứng dụng xác định dựa trên TC/IP sửdụng những nguyên tắc và các bộ lọc, IPsec có thể nhận các traffic network vàchọn những giao thức bảo mật an toàn, xác định cần dùng những thuật toán nào,

và có thể áp dụng các key mật mã do bất kỳ một thiết bị nào yêu cầu

những chức năng và khả năng bảo mật của IPsec có thể dùng để bảo mật mạngcá nhân và các dữ liệu cá nhân tuyệt mật khỏi bị:

- Tấn công DOS

- Ăn cắp dữ liệu

- Sửa chữa dữ liệu

- Ăn cắp chứng nhận của ngời dùng

Trong Windows Server 2003, IPsec dùng giao thức Authentication Header (AH)

và giao thức Encapsulating Security Payload (ESP) để cung cấp bảo mật dữ liệu:

- Các văn phòng ở xa

Những chức năng và khả năng bảo mật do IPsec cung cấp có thể tóm tắt nh sau:

- Chứng nhận: một chữ kí số đợc dùng để xác định nhân diện của ngời gởi

thông tin IPsec có thể dùng Kerberos, một preshared key, hay các chứng nhận

số cho việc chứng nhận

- Toàn vẹn dữ liệu: một thuật toán hash đợc dùng để đảm bảo dữ liệu sẽ không

bị can thiệp vào một checksum đợc gọi là một mã chứng nhận tin nhắn hash(HMAC) đợc tính toán cho dữ liệu của gói khi một gói đợc thay đổi trong khi

đang di chuyển thì HMAC đã đợc thay đổi sẽ đợc lu lại Thay đổi này sẽ bị xoábởi máy tính nhận

- Bảo mật dữ liệu: các thuật toán mã hoá đợc thực hiện để đảm bảo dữ liệu đợc

- Rekeying dynamic: các key có thể đợc tạo ra trong khi các dữ liệu đang đợc

gởi đi để bảo vệ các khúc giao tiếp với những key khác nhau

- Tạo key: thuật toán key đồng thuận Diffie-Hellman đợc sử dụng để kích hoạt

hai máy tính có thể trao đổi các key mã hoá đợc chia sẻ

- Bộ lọc Ip Packet: chức năng lọc gói của IPsec có thể dùng để lọc và khóa

những dạng traffic nhất định, dựa trên những thành phần sau hoặc kết hợp tất cảlại:

- Địa chỉ IP

- Các giao thức

- Các cổng

- Một vài chức năng IPsec mới đã có trong Windows server 2003, cùng

với những củng cố cho một số chức năng IPsec đã có trong các hệ điều hành Windows trớc đây

Windows server 2003 có công cụ mới IP Security Monitor thực thi nh là mộtsnap-in MMC Công cụ IP security monitor củng cố việc quản lý bảo mật IPsec.với công cụ IP security monitor, bạn có thể thực hiện những hoạt động quản trịsau:

- Tuỳ chỉnh hiển thị IP Security Monitor

- Quản lý thông tin IPsec trên máy tính cục bộ

- Quản lý thông tin IPsec trên các máy tính từ xa

- Xem các phân tích IPsec

- Xem các thông tin về những chính sách của IPsec

- Xem các bộ lọc có đặc điểm chung

- Xem các bộ lọc nhất định

CHƯƠNG 2

CáC GIAO THứC ĐƯờNG HầM VPN

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và

an toàn dữ liệu trong VPN , dựa trên nền tảng là các giao thức đờng hầm Mộtgiao thức đờng hầm sẽ thực hiện đóng gói dữ liệu với phần Header tơng ứng đểtruyền qua Internet Giao thức đờng hầm là cốt lõi của giải pháp VPN Có 4 giaothức đờng hầm đợc sử dụng trong VPN đó là:

- Giao thức định hớng lớp 2 - L2F (Layer 2 Forwarding)

- Giao thức đờng hầm điểm-điểm-PPTP (Point to Point Tunneling

protocol)

- Giao thức đờng hầm lớp 2 - L2TP (Layer 2 tunneling protocol)

- Giao thức bảo mật IP - IPSec (Internet Protocol Security)

2.1 Giao thức định hớng lớp 2 - L2F

Giao thức định hớng lớp 2 L2F do Cisco phát triển độc lập và đợc phát triểndựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp chodịch vụ quay số ảo bằng cách thiết lập một đờng hầm bảo mật thông qua cơ sởhạ tầng công cộng nh Internet L2F là giao thứcđợc phát triển sớm nhất, là ph-

ơng pháp truyền thống để cho những ngời sử dụng ở xa truy cập vào một mạngcông ty thông qua thiết bị truy cập từ xa

L2F cho phép đóng gói các gói PPP trong L2F, định đờng hầm ở lớp liênkết dữ liệu

2.1.1 Ưu nhợc điểm của L2F

Ưu điểm:

- Cho phép thiết lập đờng hầm đa giao thức

- Đợc cung cấp bởi nhiều nhà cung cấp

Nhợc điểm:

- Không có mã hoá

- Yếu trong việc xác thực ngời dùng

- Không có điều khiển luồng cho đờng hầm

2.1.2 Thực hiện L2F

L2F đóng gói những gói ở lớp 2 và trong trờng hợp này là đóng gói PPP,truyền xuyên qua một mạng L2F sử dụng các thiết bị:

NAS: Hớng lu lợng đến và đi từ máy khách ở xa (remote client) và

gateway home Hệ thống ERX hoạt động nh NAS

Tunne:l Định hớng đờng đi giữa NAS và home gateway Một đờng hầm

gồm một số kết nối

Home gateway: Ngang hàng với NAS.

Kết nối (connection): Là một kết nối PPP trong đờng hầm Trong CLI, một

kết nối L2F đợc xem nh là một phiên

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đờng hầm Trong

trờng hợp này thì Home gateway là điểm đích

Remote

User

RADIUS Server

gateway

Data Tunnel

Mạng riờng Mạng của ISP

4) Nếu ngời sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địachỉ của gateway đích (home gateway)

5) Một đờng hầm đợc thiết lập từ NAS tới gateway đích nếu giữa chúng cha

có đờng hầm nào Sự thành lập đờng hầm bao gồm giai đoạn nhận thực từISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba

6) Một kết nối PPP mới đợc tạo ra trong đờng hầm, điều này tác động kéodài phiên PPP từ ngời sử dụng ở xa tới home gateway Kết nối này đợcthiết lập nh sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tinnhận thực PAP/CHAP, nh đã thoả thuận bởi đầu cuối ngời sử dụng vàNAS Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhậnthực lại ngời sử dụng

7) Khi NAS tiếp nhận lu lợng dữ liệu từ ngời sử dụng, nó lấy gói và đóng gói

lu lợng vào trong một khung L2F và hớng nó vào trong đờng hầm

8) Tại home gateway, khung L2F đợc tách bỏ, và dữ liệu đóng gói đợc hớngtới mạng công ty

Giao thức đờng hầm điểm - điểm PPTP đợc đa ra đầu tiên bởi một nhómcác công ty đợc gọi là PPTP Forum Nhóm này bao gồm 3 công ty: Ascendcomm., Microsoft, ECI Telematicsunication và US Robotic

Giao thức PPTP đợc xây dựng dựa trên chức năng của PPP, cung cấp khảnăng quay số truy cập tạo ra một đờng hầm bảo mật thông qua Internet đến site

đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic RoutingEncapsulation) đợc mô tả lại để đóng gói và tách gói PPP, giao thức này chophép PPTP mềm dẻo xử lý các giao thức khác không phải IP nh: IPX, NETBEUI

Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực PPTP

có thể sử dụng PPP để mã hoá dữ liệu nhng Microsoft đã đa ra phơng thức mãhoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- PointEncryption) để sử dụng cho PPTP

Một u điểm của PPTP là đợc thiết kế để hoạt động ở lớp 2 (lớp liên kết dữliệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI Bằng cách hỗ trợ việc truyềndữ liệu ở lớp thứ 2, PPTP có thể truyền trong đờng hầm bằng các giao thức khác

IP trong khi IPSec chỉ có thể truyền các gói IP trong đờng hầm

PPP bao gồm các phơng thức đóng, tách gói cho các loại gói dữ liệu khác nhau

để truyền nối tiếp Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điềukhiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểmtra kết nối; Giao thức điều khiển mạng NCP (Network Control Protocol) cho việcthiết lập và cấu hình các giao thức lớp mạng khác nhau

PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối

điểm-điểm từ máy gửi đến máy nhận Để viêc truyền thông có thể diễn ra thì mỗi PPPphải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu

Khi một kết nối PPP đợc thiết lập thì ngời dùng thờng đã đợc xác thực Đây

là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn đợc cung cấp bởi cácISP Việc xác thực đợc thực hiện bởi PAP hay CHAP

Với PAP mật khẩu đợc gửi qua kết nối dới dạng văn bản đơn giản và không

có bảo mật để tránh khỏi bị tấn công thử và lỗi CHAP là một phơng thức xácthực mạnh hơn, CHAP sử dụng phơng thức bắt tay 3 chiều CHAP chống lại các

vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge value)duy nhất và không thể đoán trớc đợc CHAP phát ra giá trị thách đố trong suốt vàsau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặtvào tình thế bị tấn công

PPTP đợc thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng

và máy chủ truy cập mạng PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý.

- Xác thực ngời dùng.

- Tạo các gói dữ liệu PPP.

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP

để đóng các gói truyền trong đờng hầm

Để tận dụng u điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loạigói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển

và kênh dữ liệu Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữliệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP.Kết nối TCP đợc tạo giữa client PPTP và máy chủ PPTP đợc sủ dụng để tryềnthông báo điều khiển

Các gói dữ liệu là dữ liêu thông thờng của ngời dùng Các gói điều khiển

đ-ợc gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu giữa

client PPTP và máy chủ PPTP Các gói điều khiển cũng đợc dùng để gửi cácthông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đờng hầm.

Kênh điều khiển đợc yêu cầu cho việc thiết lập một đờng hầm giữa clientPPTP và máy chủ PPTP Phần mềm client có thể nằm ở máy ngời dùng từ xa haynằm ở tại máy chủ của ISP

Hình 2.4:Các giao thức dùng trong một kết nối PPTP

Sau khi đờng hầm đợc thiết lập thì dữ liệu ngời dùng đợc truyền giữa client

và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệu đợc

đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACKcho giám sát tốc độ dữ liệu truyền trong đờng hầm

PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trờngtruyền trong gói để biết gói dữ liệu truyền trong đờng hầm theo phơng thức nào?Ethernet, Frame Relay hay kết nối PPP?

Tải PPP PPP

Hình 2.5 : bọc gói PPTP/ GRE

PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lợng dữ liệutruyền đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói

b) Cấu trúc gói của PPTP

* Đóng gói dữ liệu đờng hầm PPTP

Dữ liệu đờng hầm PPTP đợc đóng gói thông qua nhiều mức: đóng góikhung PPP,đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu

Cấu trúc gói dữ liệu đã đợc đóng gói

Tiờu đề IP

Tiờu đề GRE

Tiờu đề PPP

Tải PPP được

mó hoỏ (IP, IPX, NETBEUI)

Phần đuụi liờn kết dữ liệu

Tiờu đề

liờn kết dữ liệu

Hình 2.6: Cấu trúc gói dữ liệu trong đờng hầm PPTP

+ Đóng gói khung PPP

Phần tải PPP ban đầu đợc mật mã và đóng gói với phần tiêu đề PPP để tạo

ra khung PPP Sau đó, khung PPP đợc đóng gói với phần tiêu đề của phiên bảnsửa đổi giao thức GRE

Đối với PPTP, phần tiêu đề của GRE đợc sử đổi một số điểm sau:

- Một bit xác nhận đợc sử dụng để khẳng định sự có mặt của trờng xác nhận

32 bit

- Trờng Key đợc thay thế bằng trờng độ dài Payload 16bit và trờng nhận dạngcuộc gọi 16 bit Trờng nhận dạng cuộc goi Call ID đợc thiết lập bởi PPTPclient trong quá trình khởi tạo đờng hầm PPTP

- Một trờng xác nhận dài 32 bit đợc thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi quamạng IP

+ Đóng gói các gói GRE

Tiếp đó, phần tải PPP đã đợc mã hoá và phần tiêu đề GRE đợc đóng gói vớimột tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTPserver

+ Đóng gói lớp liên kết dữ liệu

Do đờng hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong môhình OSI nên lợc đồ dữ liệu IP sẽ đợc đóng gói với phần tiêu đề (Header) vàphần kết thúc (Trailer) của lớp liên kết dữ liệu Ví dụ, Nếu IP datagram đợc gửiqua giao diện Ethernet thì sẽ đợc đóng gói với phần Header và Trailer Ethernet.Nếu IP datagram đợc gửi thông qua đờng truyền WAN điểm tới điểm thì sẽ đợc

đóng gói với phần Header và Trailer của giao thức PPP

- Xử lý và loại bỏ GRE Header và PPP Header

- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết

- Xử lý phần payload để nhận hoặc chuyển tiếp

* Sơ đồ đóng gói PPTP

X.25 L2TP Async

NDIS NDISWAN

Tiờu đề IP

Tiờu đề GRE

Tiờu đề PPP

Tải PPP được

mó hoỏ (IP, IPX, NETBEUI)

Phần đuụi liờn kết

dữ liệu

Tiờu đề liờn kết

dữ liệu

Hình 2.7: Sơ đồ đóng gói PPTP

Quá trình:

- Các IP datagram, IPX datagram, hoặc NetBEUI frame đợc đa tới giao diện

ảo bằng giao thức tơng ứng (giao diện ảo đại diện cho kết nối VPN) sử dụngNDIS (Network Driver Interface specification)

- NDIS đa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu vàcung cấp PPP header Phần mào đầu PPP này chỉ bao gồm trờng mã số giaothức PPP (PPP protocol ID field), không có các trờng flag và FCS (framecheck sequence) Giả định tròng địa chỉ và điều khiển đã đợc thoả thuận ởgiao thức điều khiển đờng truyền LCP (Link Control Protocol) trong quátrình kết nối PPP

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP vớiphần mào đầu GRE Trong GRE header, trờng Call ID đựoc đặt giá trị thíchhợp để xác định đờng hầm.

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

- TCP/IP đóng gói dữ liệu đờng hầm PPTP với phần mào đầu IP, sau đó gửigói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phơng sửdụng NDIS

- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer

- NDISWAN gửi khung PPP kết quả tới cổng WAN tơng ứng đại diện chophần cứng quay số

c) Đờng hầm

PPTP cho phép ngời dùng và ISP có thể tạo ra nhiều loại đuờng hầm khácnhau Ngời dùng có thể chỉ định điểm kết thúc của đờng hầm ở ngay tại máy tínhcủa mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗtrợ PPTP) Có hai lớp đờng hầm: Đờng hầm tự nguyên và đờng hầm bắt buộc

Đờng hầm tự nguyện: đợc tạo ra theo yêu cầu của ngời dùng Khi sử dụng

đờng hầm tự nguyện, ngời dùng có thể đồng thời mở một đờng hầm bảo mậtthông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thứcTCP/IP bình thờng Đờng hầm tự nguyện thờng đợc s dụng để cung cấp tínhriêng t và toàn vẹn dữ liệu cho lu lợng Intranet đợc gửi thông qua Internet

Đờng hầm bắt buộc đợc tạo ra không thông qua ngời dùng nên nó trongsuốt đối với ngời dùng Điểm kết thúc của đơng hầm bắt buộc nằm ở máy chủtruy cập từ xa Tất cả dữ liệu truyền đi từ ngời dùng qua đờng hầm PPTP đềuphải thông qua RAS

Do đờng hầm bắt buộc định trớc điểm kết thúc và ngời dùng không thể truycập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đờnghầm tự nguyện Nếu vì tính bảo mật mà không cho ngời dùng truy cập Internetcông cộng thì đờng hầm bắt buộc ngăn không cho họ truy cập Internet côngcộng nhng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truycập và đợc các site trong VPN mà thôi)

Một u điểm nữa của đờng hầm bắt buộc là một đuờng hầm có nhiều điểmkết nối Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiênlàm việc

Một khuyết điểm của đờng hầm bắt buộc là kết nối từ RAS đến ngời dùngnằm ngoài đờng hầm nên dễ bị tấn công.

Hình 2.8 : đờng hầm bắt buộc và đờng hầm tự nguyện

Sử dụng RADIUS để cung cấp đờng hầm bắt buộc có một vài u điểm đó là:Các đờng hầm có thể đợc định nghĩa và kiểm tra dựa trên xác thực ngời dùng vàtính cớc dựa vào số điện thoại, các phơng thức xác thực khác nh thẻ bài (token)hay thẻ thông minh (smart card)

d) Xác thực và mã hoá

Các client PPTP đợc xác thực cũng tơng tự nh các client RAS đợc xác thực

từ máy chủ PPP Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP MS-CHAP

sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của ngời dùng PAP

và CHAP có nhợc điểm là cả hai dựa trên mật khẩu lu tại máy đầu xa và tại máycục bộ Nếu nh máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu sẽthay đổi Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khácnhau cho những ngời dùng khác nhau tại cùng một máy tính ở xa Bởi vì khi cấpquyền đã đợc gán cho một máy tính thì mọi ngời dùng tại máy tính đó đều có

đặc quyền truy cập mạng nh nhau

Với PPTP thì dữ liệu đợc mã hoá theo mã hóa điểmđiểm của Microsoft MPPE (Microsoft point-to-Point Encryption) Phơng thức này dựa trên chuẩnRSA RC4, giao thức điều khiển nén CCP (Compression Control Protocol) đợc sửdụng bởi PPP để thoả hiệp việc mã hoá MS-CHAP đợc dùng để kiểm tra tínhhợp lý ngời dùng đầu cuối tại tên miền Windows NT.

Hình 2.9: Mã hoá gói trong PPTP

Một khoá phiên 40 bit đợc sử dụng cho mã hoá nhng ngời dùng tại Mỹ cóthể cài đặt một phần mềm nâng cấp lên 128 bit MPPE mã hoá các gói PPP tạiclient trớc khi chuyển chúng vào đờng hầm PPTP nên các gói đợc bảo mật từtrạm làm việc đến máy chủ PPTP Việc thay đổi khoá phiên có thể đợc thoảthuận lại sau mỗi gói hay sau một số gói

e) Đờng hầm kết nối LAN-LAN

Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nốivào một mạng riêng thông qua mạng Internet, những đờng hầm kết nối LAN-LAN không đợc hỗ trợ Mãi đến khi Microsoft giới thiệu máy chủ định hớng vàtruy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗtrợ đờng hầm kết nối LAN-LAN Kể từ đó các nhà cung cấp khác cũng đã cungcấp các máy chủ tơng thích với PPTP có hỗ trợ đờng hầm kết nối LAN-LAN

Đờng hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống nhIPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên, do kiến trúcPPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực đợc điềukhiển bởi CHAP hoặc thông qua MS-CHAP Để tạo đờng hầm giữa hai site, máy

chủ PPTP tại mỗi site sẽ đợc xác thực bởi PPTP ở site kia Khi đó máy chủ PPTPtrở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngợc lại, do đó một đ-ờng hầm tự nguyện đợc tạo ra giữa hai site.

Hình 2.10 : Đờng hầm kết nối LAN-LAN

Do đờng hầm PPTP có thể đợc đón gói bởi bất kỳ giao thức mạng nào đợc

hỗ trợ (IP, IPX, NETBEUI), ngời dùng tại một site có thể truy cập vào tài nguyêntại site kia dựa trên quyền truy cập của họ

2.2.2 Sử dụng PPTP

Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạngdùng cho phơng thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, vàPPTP client

Hình 2.11: Các thành phần cơ bản của một VPN sử dụng PPTP

Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm ngờicủa công ty quản lý nhng NAS phải do ISP hỗ trợ.

a) Máy chủ PPTP

Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kếtnối của đờng hầm PPTP và chuyển các gói đến từ đờng hầm tới mạng LANriêng Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để

đợc địa chỉ mạng của máy tính đích

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP.Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vàoInternet , mạng riêng hay cả hai

Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu nhmáy chủ PPTP nằm sau tờng lửa PPTP đợc thiết kế sau cho chỉ có một cổngTCP/IP (1723) đợc sử dụng để chuyển dữ liệu đi Sự khiếm khuyết của cấu hìnhcổng này có thể làm cho tờng lửa dễ bị tấn công hơn Nếu nh tờng lửa đợc cấuhình để lọc gói thì phải thiét lập nó cho phép GRE đi qua

b) Phần mềm client PPTP

Nếu nh các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hayphần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn Nếu nh các thiết bịcủa ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tơng tự) vẫn

có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng PPP,sau đó quay số một lần nữa thông qua cổng PPTP ảo đợc thiết lập ở client

Giao thức đờng hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP vàL2F- chuyển tiếp lớp 2 PPTP do Microsoft đa ra còn L2F do Cisco khởi xớng.Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tạiIETF

Giống nh PPTP, L2TP là giao thức đờng hầm, nó sử dụng tiêu đề đóng góiriêng cho việc truyền các gói ở lớp 2 Một điểm khác biệt chính giữa L2F vàPPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ởmôi trờng vật lý khác

L2TP mang đặc tính của PPTP và L2F Tuy nhiên, L2TP định nghĩa riêngmột giao thức đờng hầm dựa trên hoạt động của L2F Nó cho phép L2TP truyềnthông qua nhiều môi trờng gói khác nhau nh X.25, Frame Relay, ATM Mặc dùnhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhng có thể

thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đờnghầm Một mạng ATM hay frame Relay có thể áp dụng cho đờng hầm L2TP.

2.3.1 Kiến trúc của L2TP

Các thành phần chức năng của L2TP bao gồm: giao thức điểm-điểm, đờnghầm, hệ thống xác thực và mã hoá L2TP có thể sử dụng quản lý khoá để tăngthêm độ bảo mật Kiến trúc của L2TP nh hình vẽ:

Hình 2.12: kiến trúc của L2TP

a) PPP và L2TP

L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cậpmạng NAS L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thựcban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc

Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấpnhận ngời dùng và sẵn sàng đóng vai trò là điểm kết thúc của đờng hầm cho ngờidùng đó Sau khi đờng hầm đợc thiết lập, L2TP sẽ đóng các gói PPP rồi truyềnlên môi trờng mà ISP gán cho đờng hầm đó L2TP có thể tạo nhiều đờng hầmgiữa NAS của ISP và máy chủ mạng, và gán nhiều phiên làm việc cho đờng hầm.L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên làm việc và chènvào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc nào?

Ta có thể thực hiện chọn và gán một phiên làm việc của ngời dùng vào một

đờng hầm thay vì ghép nhiều phiên làm việc vào một đờng hầm, với cách nàycho phép gán các ngời dùng khác nhau vào các môi truờng đờng hầm tuỳ theochất lợng dịch vụ

Hình 2.13: các giao thức sử dụng trong một kết nối L2TP

Giống nh PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo

điều khiển và thông báo dữ liệu Thông báo điều khiển có chức năng điều khiểnviệc thiết lập, quản lý và giải phóng phiên làm việc trên đờng hầm Thông báo

điều khiển cũng cho ta biết tốc độ truyền và tham số của bộ đệm dùng để điềukhiển luồng các gói PPP trong một phiên làm việc Tuy nhiên, L2TP truyền cảhai loại thông báo này trên cùng gói dữ liệu UDP và chung trên một luồng

Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSI nêntrong thông báo dữ liệu L2TP bao gồm tiêu đề môi trờng để chỉ ra đờng hầm làmviệc trong môi trờng nào? Tuỳ thuộc vào ISP mà môi trờng có thể là Ethernet,X.25, Frame Relay, ATM, hay liên kết PPP

Tải PPPPPP

Hình 2.14: Bọc gói L2TP

L2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung truycập L2TP_ LAC (L2TP Access Concentrator)) và máy chủ của mạng riêng (haymáy chủ mạng L2TP _LNS ( L2TP network Server) )

b) Cấu trúc gói dữ liệu L2TP

*Đóng gói dữ liệu đờng hầm L2TP

Đờng hầm dữ liệu L2TP đợc thực hiện thông qua nhiều mức đóng gói.Hình vẽ chỉ ra cấu trúc cuối cùng của dữ liệu đờng hầm L2TP trên nền IPSec.Tiờu đề

Tiờu đề UDP

Tiờu đề L2TP

Tiờu đề PPP

Tải PPP (IP, IPX, NetBEUI)

Phần đuụi ESP IPSec

Phần đuụi nhận thực ESP IPSec

Phần đuụi liờn kết

dữ liệu Được mó hoỏ

Được xỏc thực Hình 2.15: Cấu trúc gói dữ liệu trong đờng hầm L2TP

+ Đóng gói lớp liên kết dữ liệu

Do đờng hầm L2TP hoạt động ở lớp 2 của mô hình OSI- lớp liên kết dữ liệunên các IP datagram cuối cùng sẽ đợc đóng gói với phần header và trailer tơngứng với kỹ thuật ở lớp đờng truyền dữ liệu của giao diện vật lý đầu ra Ví dụ, khicác IP datagram đợc gửi vào một giao diện Ethernet thì IPdatagram này sẽ đợc

đóng gói với Ethernet header và Ethernet Trailer Khi các IP datagram đợc gửitrên đờng truyền WAN điểm-tới-điểm (chẳng hạn đờng dây điện thoại hayISDN, ) thì IPdatagram đợc đóng gói với PPP header và PPP trailer

* Xử lý dữ liệu đờng hầm L2TP trên nền IPSec

Khi nhận đợc dữ liệu đờng hầm L2TP trên nền IPSec, L2TP client hayL2TP server sẽ thực hiện các bớc sau:

- Xử lý và loại bỏ header và trailer của lớp đờng truyền dữ liệu

- Xử lý và loại bỏ IP header

- Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESPheader.

- Dùng IPSec ESP header để giải mã phần gói đã mật mã

- Xử lý UDP header và gửi gói L2TP tới lớp L2TP

- L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đờng hầmL2TP cụ thể

- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giaothức để xử lý

c) Đờng hầm L2TP

L2TP sử dụng những lớp đờng hầm tơng tự nh PPTP, tuỳ theo ngời dùng sửdụng là client PPP hay client L2TP mà sử dụng đờng hầm là tự nguyện hay bắtbuộc

Đờng hầm tự nguyện đợc tạo ra theo yêu cầu của ngời dùng cho mục đích

cụ thể Khi sử dụng đờng hầm tự nguyện thì ngời dùng có thể đồng thời mở đờnghầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất kỳ trênInternet theo giao thức TCP/IP bình thờng Điểm kết thúc của đờng hầm tựnguyện nằm ở máy tính ngời dùng Đờng hầm tự nguyện thờng đợc sử dụng đểcung cấp tính riêng t và toàn vẹn dữ liệu cho lu lợng Intranet gửi thông quaInternet

Hình 2.17: Các đờng hầm tự nguyện và bắt buộc

Đờng hầm bắt buộc đợc tạo tự động không cần bất kỳ hành động nào từphía nguời dùng và không cho phép ngời dùng chọn lựa Do đờng hầm bắt buộc

đợc tạo ra không thông qua ngời dùng nên nó trong suốt đối với ngời dùng đầucuối Đờng hầm bắt buộc định trớc điểm kết thúc, nằm ở LAC của ISP và nênkiểu đờng hầm này điều khiển truy cập tốt hơn so với đờng hầm tự nguyện Một u điểm của đờng hầm bắt buộc là một đờng hầm có thể tải nhiều kếtnối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm việc.Một khuyết điểm của đờng hầm bắt buộc là kết nối từ LAC đến ngời dùng nằmngoài đờng hầm nên đẽ bị tấn công

d) Đờng hầm kết nối LAN-LAN

Mục đích ban đầu của L2TP là để quay số truy cập VPN sử dụng clientPPP, nhng L2TP cũng thích hợp cho kết nối LAN-LAN trong VPN

Đờng hầm kết nối LAN-LAN đợc thiết lập giữa hai máy chủ L2TP nhng ítnhất một trong 2 máy chủ phải có kết nối tới ISP để khởi tạo phiên làm việc PPP.Hai máy chủ đóng vai trò vừa là LAC, vừa là LNS và có thể khởi tạo hay kếtthúc đờng hầm khi cần

Hình 2.18: Đờng hầm kết nối LAN-LAN

e) Quản lý khoá

Khi hai đối tợng muốn chuyển giao dữ liệu một cách bảo mật và khả thi thìcần phải đảm bảo chắc chắn rằng cả hai bên xử lý dữ liệu nh nhau Cả hai bênphải cùng sử dụng chung giải thuật mã hoá, cùng chiều dài từ khoá, cùng chungmột khoá dữ liệu Điều này đợc xử lý thông qua bảo mật kết hợp SA

Bởi vì chức năng chính của L2TP là quay số truy cập VPN thông qua Internetnên các thành phần của L2TP bao gồm: bộ tập trung truy cập mạng, máy chủL2TP, và các L2TP client Thành phần quan trọng nhất của L2TP là định nghĩa

điểm kết thúc một đờng hầm, LAC và LNS LNS có thể cài đặt ngay tại công ty

và điều hành bởi một nhóm làm việc của công ty còn LAC thì thờng đợc hỗ trợcủa ISP Các thành phần cơ bản của L2TP nh hình vẽ:

Hình 2.19: Các thành phần cơ bản của L2TP

a) Máy chủ mạng L2TP

Máy chủ L2TP có hai chức năng chính là: đóng vai trò là điểm kết thúc của

đờng hầm PPTP và chuyển các gói đến từ đờng hầm đến mạng LAN riêng và

ng-ợc lại Máy chủ chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP để

có đợc địa chỉ mạng của máy tính đích

Không giống nh máy chủ PPTP, máy chủ L2TP không có khả năng lọc cácgói Chức năng lọc gói trong L2TP đợc thực hiện bởi tờng lửa.Tuy nhiên trongthực tế, ngời ta tích hợp máy chủ mạng và tờng lửa Việc tích hợp này mang lạimột số u điểm hơn so với PPTP,đó là:

- L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tờng lửa nh trongPPTP Chơng trình quản lý có thể tuỳ chọn cổng để gán cho tờng lửa, điềunày gây khó khăn cho kẻ tấn công khi cố gắng tấn công vào một cổng đãbiết trong khi cổng đó có thể đã thay đổi

- Luồng dữ liệu và thông tin điều khiển đợc truyền trên cùng một UDP nênviệc thiết lập tờng lủa sẽ đơn giản hơn Do một số tờng lửa không hỗ trợGRE nên chúng tơng thích với L2TP hơn là với PPTP

Các mật trong IP ở cấp độ gói, IETF đã đa ra họ giao thức IPSec Họ giaothức IPSec đầu tiên đợc dùng cho xác thực, mã hoá các gói dữ liệu IP, đợc chuẩnhoá thành các RFC từ 1825 đến 1829 vào năm 1995 Họ giao thức này mô tảkiến trúc cơ bả giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảomật vốn có Trong giai đoạn đầu của Internet khi mà ngời dùng thuộc các trờng

đại học và các viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đềquan trọng nh bây giờ khi mà Internet trở nên phổ biến, các ứng dụng thơng mại

có mặt khắp nơi trên Internet và đối tợng sử dụng Internet rộng hơn bao gồm cảcác Hacker

Để thiết lập tính bảo vệ của IPSec bao gồm hai loại tiêu đề đợc sử dụngtrong gói IP, gói IP là đơn vị dữ kiệu cơ sở trong mạng IP IPSec định nghĩa 2loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã hoá: một làxác thực tiêu đề IP – AH (IP Authentication Header) điều khiển việc xác thực

và hai là đóng gói tải tin an toàn ESP (Encapsulation Security Payload) cho mục

đích mã hoá

IPSec không phải là một giao thức Nó là một khung của các tập giao thứcchuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá vàphơng pháp nhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và

sự tin cậy dữ liệu IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phơng

án tối u cho mạng của công ty Nó đảm bảo truyền thông tin cậy trên mạng IPcông cộng đối với các ứng dụng.

IPsec tạo những đờng hầm bảo mật xuyên qua mạng Internet để truyềnnhững luồng dữ liệu Mỗi đờng hầm bảo mật là một cặp những kết hợp an ninh

để bảo vệ luồng dữ liệu giữa hai Host

IPSec đợc phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhng do việctriển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã đ-

ợc thay đổi cho phù hợp với IPv4 Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4nhng đối với IPv6 thì có sẵn IPSec

2.4.1 Hoạt động của IPSec

Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốnvới các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bớcchính nh sau:

 A gửi lu lợng cần bảo vệ tới B

 Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE

SA IKE Phase IKE SA

 Router A và B thoả thuận một phiên trao đổi IKE Phase 2 IPSec SA IKE Phase IPSec SA

 Thông tin đợc truyền dẫn qua đờng hầm IPSec

 Kết thúc đờng hầm IPSec Hình 2.27: 5 bớc hoạt động của IPSec

bớc 1: Lu lơng cần đợc bảo vệ khởi tạo quá trình IPSec ở đây, các thiết bịIPSec sẽ nhận ra đâu là lu lợng cần đợc bảo vệ chẳng hạn thông qua trờng địachỉ

bớc 2: IKE Phase 1 – IKE xác thực các đối tác IPSec và một tập các dịch

vụ bảo mật đợc thoả thuận và công nhận (thoả thuận các kết hợp an ninh IKE

SAs (Security associations)) Trong phase này, thiết lập một kênh truyền thông

an toàn để tiến hành thoả thuận IPSec SA trong Phase 2

bớc 3: IKE Phase 2 – IKE thoả thuận các tham số IPSec SA và thiết lậpcác IPSec SA tơng đơng ở hai phía Những thông số an ninh này đợc sử dụng đểbảo vệ dữ liệu và các bản tin trao đổi giữa các điểm đầu cuối kết quả cuối cùngcủa hai bớc IKE là một kênh thông tin bảo mật đợc tạo ra giữa hai phía

bớc 4: Truyền dữ liệu – Dữ liệu đợc truyền giữa các đối tác IPSec dựa trêncơ sở các thông số bảo mật và các khoá đợc lu trữ trong cơ sở dữ liệu SA

bớc 5: Kết thúc đờng hầm IPSec – kết thúc các SA IPSec do bị xoá hoặc

do hết hạn (time out)

Sau đây sẽ trình bày cụ thể hơn về 5 bớc hoạt động của IPSec:

Bớc 1 - Kích hoạt lu lợng cần bảo vệ.

Việc xác định lu lợng nào cần đợc bảo vệ là một phần việc trong chính sách

an ninh (Security Policy) của một mạng VPN Chính sách đợc sử dụng để quyết

định lu lợng nào cần đợc bảo vệ và không cần bảo vệ (lu lợng ở dạng bản rõ

(clear text) không cần bảo vệ) Chính sách sau đó sẽ đợc thực hiện ở giao diện

của mỗi đối tác IPSec

Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec,cho qua IPSec, hoặc huỷ gói dữ liệu Đối với mọi gói dữ liệu đợc bảo vệ bởiIPSec, ngời quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật đợc sử dụng cho góidữ liệu Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, cácnode, và các thuật toán đợc sử dụng cho luồng lu lợng

Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access Control Lists)

của các router đợc sử dụng để biết lu lợng nào cần mật mã ALCs định nghĩa bởicác dòng lệnh

Chẳng hạn: - Lệnh Permit: Xác định lu lợng phải đợc mật mã

- Lệnh deny : Xác định lu lọng phải đợc gửi đi dới dạng không mật

mã

Khi phát hiện ra lu lợng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bớctiếp theo: Thoả thuận một trao đổi IKE Phase 1.

Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:

- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệcác trao đổi thông tin IKE) sẽ đợc thoả thuận giữa các đối tác

- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung(shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhậndạng của mỗi đối tác Khoá bí mật chung đợc sử dụng để tạo ra tất cả cáckhoá mật mã và xác thực khác

- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác) Kết quảchính của chế độ chính là một đờng truyền thông an toàn cho các trao đổitiếp theo của hai đối tác

Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn) Hầuhết mọi thứ đều đợc thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sáchIKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sửdụng để xác định nhận dạng thông qua một bên thứ ba (third party) Bên nhậngửi trở lại mọi thứ cần thiết để hoàn thành (complete)việc trao đổi cuối cùng bênkhởi tạo khẳng định (confirm) việc trao đổi

 Các tập chính sách IKE

Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet,một đờng hầm an toàn đợc thiết lập giữa Router A và Router B Thông qua đờnghầm, các giao thức mật mã, xác thực và các giao thức khác đợc thoả thuận Thayvì phải thoả từng giao thức một, các giao thức đợc nhóm thành các tập, chính làtập chính sách IKE (IKE policy set) Các tập chính sách IKE đợc trao đổi trongIKE Phase 1 ở chế độ chính và trong trao đổi thứ nhất Nếu một chính sáchthống nhất (matching policy) đợc tìm thấy ở hai phía thì chế độ chính tiếp tục.Nếu không tìm thấy chính sách thống nhất nào thì đờng hầm sẽ bị loại bỏ.

Hình 2.29: Tập chính sách IKE

Ví dụ, Router A gửi các tập chính sách IKE Policy 10 và IKE Policy 20 tớiRouter B Router B so sánh với tập chính sách của nó, IKE Policy 15, với các tậpchính sách nhận đợc từ Router A Trong trờng hợp này, một chính sách thốngnhất đợc tìm thấy: IKE Policy 10 của Router A và IKE Policy 15 của Router B làtơng đơng

Trong nhiều ứng dụng điểm- tới điểm, mỗi bên chỉ cần định nghĩa một tậpcác chính sách IKE Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiềuchính sách IKE để đáp ứng nhu cầucủa tất cả các đối tác từ xa

 Trao đổi khoá Diffie-Hellman

Trao đổi khoá Diffie-Hellman là một phơng pháp mật mã khoá công khaicho phép hai bên thiết lập một khoá bí mật chung qua một môi trờng truyềnthông an toàn Khoá mật mã này sẽ đợc sử dụng để tạo ra tất cả các khoá xácthực và mã hoá khác

Khi đã hoàn thành viêc htoả thuận các nhóm, khoá bí mật chung SKEYID

sẽ đợc tính SKEYID đợc sử dụng để tạo ra 3 khoá khác SKEYID_a, SKEYID_e,

SKEYID_d Mỗi khoá có một mục đích riêng: SKEYID_a đựoc sử dụng trongquá trình xác thực.

SKEYID_e đợc sử dụng trong quá trình mật mã

SKEYID_d đợc sử dụng để tạo ra các khoá cho các kết hợp an ninh khôngtheo giao thức ISAKMP (non-ISAKMP SAs) Cả bốn khoá trên đều đợc tínhtrong IKE Phase 1

Khi bớc này hoàn thành, các đối tác ngang hàng có cùng một mật mã chia

sẻ nhng các đối tơng này không đợc xác thực Qua trình này diễn ra ở quá trìnhthứ 3, quá trình xác thực đối tác

 Xác thực đối tác

Xác thực đối tác là bớc trao đổi cuối cùng đợc sử dụng để xác thực các đốitác nghĩa là thực hiện kiểm tra xem ai đang ở bên kia của đờng hầm Các thiết bị

ở hai đầu đờng hầm VPN phải đợc xác thực trớc khi đờng truyền thông đợc coi

là an toàn Trao đổi cuối cùng của IKE Phase 1 cómục đích là để xác thực đốitác

Bớc 3 - IKE Phase 2

Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec đợc sửdụng để bảo mật đờng hầm IPSec

Hình 2.31: Thoả thuận các thông số bảo mật IPSec

IKE Phase 2 thức hiện các chức năng sau:

 Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), cáctập chuyển đổi IPSec (IPSec transform sets)

 Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations)

 Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đờnghầm

 Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới

đ-ợc tạo ra, làm tăng tính an toàn của đờng hầm)

IKE Phase 2 chỉ có một chế độ đợc gọi là: Quick Mode

Chế độ này diễn ra khi IKE đã thiết lập đợc đờng hầm an toàn ở IKE Phase

1 IKE Phase 2 thoả thuận một tập chuyển đổi IPSec chung , tạo các khoá bí mậtchung sủ dụng cho các thuật toán an ninh IPSec và thiết lập các SA IPSec Quickmode trao đổi các nonce mà đợc sử dụng để tạo ra khoá mật mã chung mới vàngăn cản các tấn công “Replay” từ việc tạo ra các SA khong có thật

Quick mode cũng đợc sử dụng để thoả thuận lại một SA IPSec mới khi SAIPSec cũ đã hết hạn

 Các tập chuyển đổi IPSec

Mục đích cuối cùng của IKE Phase 2 là thiết lập một phiên IPSec an toàngiữa các điểm đầu cuối Trớc khi thực hiện đợc điều này thì mỗi cặp điểm cuốicần thoả thuận múc độ an toàn cần thiết (ví dụ, các thuật toán xác thực và mậtmã dung trong phiên đó) Thay vì phải thoả thuận từng giao thức riêng lẻ, cácgiao thức đợc nhóm thành các tập, chính là các tập chuyển đổi IPSec Các tậpchuyển đổi này đợc trao đổi giữa hai phía trong Quick Mode Nếu tìm thấy mộttập chuyển đổi tơng đơng ở hai phía thì quá trình thiết lập phiên tiếp tục, ngợc lạiphiên đó sẽ bị loại bỏ