Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở rộng,khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trênmạng, các thông tin dữ liệu trao
Trang 2LỜI MỞ ĐẦU 1
Chương 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN 2
1.1 Định nghĩa 2
1.2 Lịch sử phát triển của VPN 3
1.3 Chức năng và ưu điểm của VPN 5
1.3.1 Chức năng 5
1.3.2 Ưu điểm 5
1.4 Phân loại mạng VPN 6
1.4.1 VPN truy nhập từ xa 7
1.4.2 Site-to-Site VPN 8
Chương 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPN 11
2.1 Giao thức định đường hầm điểm tới điểm – PPTP 11
2.2.1 Các thành phần của giao dịch PPTP 12
2.1.2 Các tính năng của PPTP 14
2.2 Giao thức định đường hầm lớp 2 – L2TP 15
2.2.1 Thành phần của L2TP 15
2.2.2 Những ưu và nhược điểm của L2TP 16
2.3 Giao thức IPSec 17
2.3.1 Các giao thức của IPSec 17
2.3.2 Các chế độ IPSec 19
Chương 3 MÃ HÓA VÀ XÁC THỰC TRONG VPN 22
3.1 Giới thiệu 22
3.2 Mã hóa trong VPN 23
3.2.1 Thuật toán mã hóa DES 23
3.2.2 Giải thuật RSA 25
3.3 Xác thực trong VPN 27
3.3.1 Xác thực nguồn gốc dữ liệu 27
3.3.2 Xác thực tính toàn vẹn dữ liệu 29
Trang 34.1 Giới thiệu chung 34
4.2 Cấu hình cơ bản 35
4.3 Cấu hình VPN Client to Site 36
4.3.1 Cấu hình máy chủ VPN_HANOI 37
4.3.2 Cấu hình trên Client (VPN_SAIGON) 39
4.4 Cấu hình Site- to- Site 42
4.4.1 Cấu hình cơ bản trên hai máy chủ VPN 42
4.4.2 Tạo kết nối Site- to- Site 42
4.4.3 Thực hiện kết nối VPN Site- to- Site 45
4.5 Tình hình triển khai VPN ở Việt Nam 46
KẾT LUẬN 47
TÀI LIỆU THAM KHẢO 48
Trang 4LỜI MỞ ĐẦU
Trước kia, cách truy nhập thông tin từ xa trên máy tính được thực hiện là sửdụng một kết nối quay số Các kết nối RAS dial-up làm việc trên các đường điện thoạiPOTS (Plain Old Telephone Service) thông thường và có tốc độ đạt vào khoảng56kbps Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS, tuy nhiên một vấn
đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập
Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở rộng,khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trênmạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiếncho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty … và các doanh nhân longại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình(LAN) khi trao đổi thông tin qua mạng công cộng Internet
VPN (Virtual Private Network) là giải pháp được đưa ra để cung cấp một giảipháp an toàn cho các Tổ chức, Doanh nghiệp … và các doanh nhân trao đổi thông tin
từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật Hơnthế nữa, nó còn giúp cho các doanh nghiệp giảm thiểu chi phí cho những liên kết từ xa
vì địa bàn rộng (trên toàn quốc hay toàn cầu)
Là một sinh viên công nghệ thông tin, phần nào em cũng hiểu được sự bănkhoăn và lo lắng về sự mất an toàn bảo mật khi trao đổi thông tin của các tổ chức, cá
nhân Vì thế nên, em chọn đề tài Mạng riêng ảo (VPN) làm để tài đồ án tốt nghiệp
của mình, để nghiên cứu về các giải pháp công nghệ cho vấn đề xây dựng mạng riêng
ảo Nghiên cứu các mô hình truy cập, các phương pháp xác thực và ứng dụng triểnkhai cài đặt trên các hệ thống mạng
Em xin được gửi lời cảm ơn chân thành của mình đến thầy Th.s Đặng Hồng Lĩnh cùng các thầy trong tổ Kỹ Thuật Máy Tính đã giúp đỡ chúng em trong quá
trình thực hiện đề tài này
Do nhiều yếu tố khách quan cũng như tầm hiểu biết của chúng em còn hạn chế,
đề tài đồ án tốt nghiệp của em sẽ còn có nhiều sai sót Em mong được sự góp ý chânthành của thầy cô và các bạn để kịp thời sửa chữa để thực hiện được tốt hơn trongnhững lần sau
Em xin chân thành cảm ơn!
Sinh viên thực hiện:
Thái Thị Thanh Hoa
Trang 5Chương 1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
Trong thời đại ngày nay, Internet đã phát triển mạnh mẽ về mặt mô hình chonền công nghiệp, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế đểkết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng mộtcách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụng đóđang sử dụng Để làm được điều này, người ta sử dụng một máy tính đặc biệt gọi làRouter để kết nối các LAN và WAN với nhau Các máy tính kết nối vào Internet thôngqua nhà cung cấp dịch vụ (ISP- Internet Service Provider), cần một giao thức chung làTCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của cácmạng viễn thông công cộng Với Internet, những dịch vụ như giáo dục từ xa, muahàng trực tuyến, tư vấn y tế và rất nhiều dịch vụ khác đã trở thành hiện thực Tuynhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nàoquản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việcquản lý các dịch vụ
Từ đó, người ta đã đưa ra một mô hình mạng mới nhằm thõa mãn những yêucầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó chính
là mô hình Mạng riêng ảo (Virtual Private Network- VPN) Với mô hình mới này,người ta không phải đầu tư thêm nhiều cơ sở hạ tầng mà các tính năng như bảo mật, độtin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được hoạt động của mạng này.VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòngchi nhánh có thể kết nối an toàn đến máy chủ của tổ chức bằng cơ sở hạ tầng đượccung cấp bởi mạng công cộng Nó có thể đảm bảo an toàn thông tin giữa các đại lý,người cung cấp và các đối tác kinh doanh với nhau trong môi trường truyền thông rộnglớn Trong nhiều trường hợp, VPN cũng giống như WAN (Wide Area Network), tuynhiên đặc tính quyết định của VPN là chúng có thể dùng mạng công cộng như Internet
mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều
Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên Internet Khinói đến mạng riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet
Trang 6riêng lẻ) hay nhiều người sử dụng ở xa Thay cho việc sử dụng kết nối thực, chuyêndùng như đường leased- line, mỗi VPN sử dụng các kết nối ảo được dẫn đường quaInternet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa Để có thểgửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảomật, VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đườnghầm (Tunnel) bảo mật giữa nơi nhận và nơi gửi giống như một kết nối point - to -point trên mạng riêng Để có thể tạo ra một đường hầm bảo mật đó, dữ liệu phải được
mã hóa hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin vềđường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanhchóng
Dữ liệu được mã hóa một cách cẩn thận, do đó nếu các packet bị bắt lại trênđường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải
mã Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN Cácđường kết nối VPN thường được gọi là đường hầm VPN (Tunnel)
Mạng riêng
(LAN)
Mạng riêng (LAN)
Hình 1.1: Mô hình VPN
1.2 Lịch sử phát triển của VPN
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo, bắt nguồn từ yêucầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả với cáctổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN) Trước kia, hệthống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các đường thuêriêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với nhau
Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ
dây chuyên dùng cho các khách hàng lớn Colisee có thể cung cấp
Trang 7phương thức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứvào lượng dịch vụ mà đưa ra cước phí và nhiều tính năng quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng
là mạng được định nghĩa bằng phần mềm SDN
- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số
xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệmgần 30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại
Mỹ
- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của
Ô-xtrây-li-a đưa ra dich vụ VPN trong nước đầu tiên ở khu vục châu Á– Thái Bình Dương
- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty
hợp tác đầu tư Unisource, cung cấp dịch vụ VPN
- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên
minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong
đó có dịch vụ VPN
- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung
cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…
- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu
(GVPNS)
- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông
Pháp (French Telecom) kết thành liên minh Global One
- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Công
nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hộithảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet côngcộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN Côngnghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức cónhiều văn phòng, chi nhánh lựa chọn Ngày nay, với sự phát triển củacông nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làmcho khả năng của VPN ngày một hoàn thiện
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ
dữ liệu, hình ảnh và các dịch vụ đa phương tiện
Trang 81.3 Chức năng và ưu điểm của VPN
1.3.1 Chức năng
VPN cung cấp 3 chức năng chính: Tính bảo mật (Confidentiality), tính toàn vẹn
dữ liệu (Data Integrity), xác thực nguồn gốc (Origin Authentication)
a) Tính bảo mật (Confidentiality): Người gửi có thể mã hóa các gói dữ liệutrước khi truyền chúng ngang qua mạng Bằng cách làm như vậy, không một
ai có thể truy nhập thông tin mà không được phép, mà nếu lấy được thôngtin thì cũng không đọc được vì thông tin đã được mã hóa
b) Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữliệu đã được truyền qua mạng Internet mà không có sự thay đổi nào
c) Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thựcnguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin
1.3.2 Ưu điểm
a) Tiết kiệm chi phí
Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phíthường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉphải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục vàduy trì hoạt động của hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20tới 30% so với việc sử dụng đường thuê riêng truyền thống Còn đối với việc truy cập
từ xa giảm từ 60 tới 80%
b) Tính linh hoạt
Tính linh hoạt ở đây không chỉ là linh hoạt trong quá trình vận hành và khaithác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng có thể sử dụngkết nối T1, T3 giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được sửdụng để kết nối các văn phòng nhỏ, các đối tượng di động Nhà cung cấp dịch vụ VPN
có thể cung cấp nhiều lựa chọn cho khách hàng, có thể là kết nối modem 56 kbit/s,ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng
Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công cộng (Internet), bất
cứ ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng công cộng cómặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động Một cơ quan ở xa
có thể kết nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng đường dây
điện thoại hay DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu
Trang 9Khả năng mở rộng băng thông là khi một văn phòng, chi nhánh yêu cầu băngthông lớn hơn thì nó có thể được nâng cấp dễ dàng
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP củaISP và việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗtrợ kỹ thuật cho mạng VPN Và ngày nay, khi mà các nhà cung cấp dịch vụ đảmnhiệm các nhiệm vụ hỗ trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối vớingười sử dụng ngày càng giảm
e) Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay sốtruy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảotrì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối vàcác máy chủ truy cập từ xa Một doanh nghiệp có thể thiết lập các thiết bị khách hàngcho một môi trường đơn, như môi trường T1, với phần còn lại của kết nối được thựchiện bởi ISP Bộ phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cáchthay đổi dải modem và các mạch nhân của Frame Relay bằng một kết nối diện rộngđơn có thể đáp ứng nhu cầu lưu lượng của các người dùng từ xa, kết nối LAN-LAN vàlưu lượng Internet cùng một lúc
f) Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảmbảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm củanhiều nhà cung cấp khác nhau có thể làm việc với nhau
Đối với các thiết bị và Công nghệ Viễn thông mới thì vấn đề cần quan tâm làchuẩn hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kếthừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm
1.4 Phân loại mạng VPN
Ở đây chúng ta sẽ đi phân loại VPN theo kiến trúc của nó Các kiến trúc củaVPN có thể phân loại thành hai kiểu chính: Site-to-Site VPN (còn được gọi là LAN-to-LAN hay POP-to-POP) và các VPN truy nhập từ xa
Các Site-to-Site bao gồm các phương án như: Extranet VPN và Intranet VPN,các phương án này đều có chung các thuộc tính nhưng được thiết kế để giải quyết cáctập vấn đề khác nhau VPN truy nhập từ xa bao gồm các phương pháp truy nhập quay
số và truy nhập gọi trực tiếp, các phương pháp này cũng sẽ được đề cập ở dạng kiến
Trang 101.4.1 VPN truy nhập từ xa
Đối với người dùng ở xa và các nhân viên luôn di chuyển hoặc những vănphòng dùng mạng diện rộng có dung lượng nhỏ rất thích hợp với loại hình VPN truynhập từ xa Truy nhập VPN từ xa cho phép mở rộng mạng lưới của một tổ chức tớingười sử dụng của họ thông qua chia sẻ cơ sở hạ tầng công cộng, trong khi mạng lướicủa tổ chức vẫn giám sát được tất cả những người dùng Truy nhập từ xa là phươngthức đầu tiên sử dụng VPN Nó cung cấp phương thức truy nhập an toàn tới nhữngứng dụng của tổ chức cho những người sử dụng ở xa, những nhân viên luôn di chuyển,văn phòng nhánh và những đối tác thương mại Cấu trúc VPN này là phương tiệnthông qua một cơ sở hạ tầng công cộng chung sử dụng đường dây ISDN (mạng số đadịch vụ), dial (quay số), tương tự, Mobile IP (di động IP), DSL (đường dây thuê baosố) và điện thoại cácp Cấu trúc VPN này được quan tâm đến ở khắp mọi nơi vì nó cóthể thiết lập tại bất kì thời điểm nào và bất kể đâu thông qua Internet
Thêm vào đó là một số thuận lợi có được do việc chuyển đổi từ những mạngquản lí riêng sang dạng VPN truy nhập từ xa dưới đây:
Loại bỏ chi phí cho kết nối khoảng cách xa từ người sử dụng đến mạng của
tổ chức bởi vì tất cả kết nối xa bây giờ được thay thế bằng kết nối Internet
Khoảng cách kết nối rộng và chi phí giảm xuống do người sử dụng VPN chỉcần quay số tới số của nhà cung cấp dịch vụ Internet ISP hoặc trực tiếp kết nối quamạng băng rộng luôn hiện hành
Triển khai thêm người sử dụng đơn giản và sự tăng lên nhanh chóng củaVPN cho phép thêm vào người dùng mới mà không tăng chi phí cho cơ sở hạ tầng
Quay lại với vấn đề quản lí và bảo dưỡng mạng quay số đơn giản khi thêmngười sử dụng mới sẽ giúp các tập đoàn có thể chuyển hướng kinh doanh hơn
Mặc dù là có rất nhiều thuận lợi thì để phát triển một VPN truy nhập từ xa vẫngặp phải khó khăn sau:
Giao thức đường ngầm có một tiêu đề nhỏ dùng để mật mã dữ liệu khitruyền và giải mật mã khi nhận được thông tin Mặc dù tiêu đề nhỏ, nhưng nó cũngảnh hưởng đến một số ứng dụng
Với người sử dụng Modem tương tự kết nối tới Internet với tốc độ nhỏ hơn
400 kb/s thì VPN có thể là nguyên nhân làm giảm tốc độ vì tiêu đề của giao thứcđường ngầm cần có thời gian để xử lí dữ liệu
Khi sử dụng giao thức đường ngầm, chúng ta có cảm giác phải chờ đợi Bởi
vì cơ sở hạ tầng mạng Internet được sử dụng, không có đảm bảo về số lượng phải đợi
Trang 11nên đụng độ trong mỗi đoạn kết nối như đường hầm dữ liệu qua Internet Điều này cóthể không phải là vấn đề quá khó khăn, nhưng nó cũng cần sự quan tâm Người dùng cóthể cần đến chu kì thiết lập kết nối nếu họ cảm thấy lâu.
Cùng với sự phát triển nhanh chóng của mạng truy nhập từ xa, trên toàn bộquốc gia và thậm chí là triển khai quốc tế các POP (Point - Of - Presence: điểm hiệndiện) quay số bởi các nhà cung cấp dịch vụ, chi phí cho những cuộc gọi đường dàiđược giảm đi, tất cả các lo lắng về thủ tục quay số có thể được nhà cung cấp dịch vụ
Internet (ISP) và nhà cung cấp truy nhập gánh chịu Các VPN truy nhập từ xa quay số
có thể được xây dựng trên các phương pháp truyền Tunnel bắt buộc hay tự ý Trongmột kịch bản truy nhập từ xa quay số sử dụng phương tiện của hãng khác, người sửdụng quay số đế các POP địa phương của các nhà cung cấp dịch vụ Internet bằng cáchthiết lập kết nối PPP (Point to Point Protocol: Giao thức điểm tới điểm) Sau khi người
sử dụng đã được nhận thực và liên kết PPP được thiết lập, nhà cung cấp dịch vụ thiếtlập theo cách bắt buộc (nghĩa là trong suốt đối với người sử dụng) một Tunnel đến mộtcổng trong mạng riêng mà người sử dụng ở xa muốn truy nhập đến Mạng riêng thựchiện nhận thực người sử dụng lần cuối và thiết lập kết nối Kiến trúc này được mô tả ởhình 1.2 Công nghệ truyền Tunnel được lựa chọn cho VPN truy nhập quay số theophương tiện của hãng khác là L2TP
LNS: L2TP Network Server- Server mạng L2TP L2TP: Layer Two Tunneling Protocol- Giao thức truyền tunnel lớp 2 RAS: Remote Access Server- Server truy nhập xa
DSLAM: DSL Access Multiplex- Ghép kênh truy nhập DSL
Internet
Hình 1.2: VPN truy nhập từ xa 1.4.2 Site-to-Site VPN
Site-to-Site VPN (hay còn được gọi là LAN-to-LAN) được sử dụng để nối cácsite của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêngđược quản lý sao cho bình thường không xảy ra va chạm
Trang 121.4.2.1 Intranet VPN
Một tổ chức có thể dùng VPN không chỉ để kết nối các site trực thuộc tổ chức
mà còn để kết nối trong miền quản lí của mình như là các văn phòng từ xa hoặc là cácvăn phòng nhánh tại các vùng địa lí khác nhau tới mạng đầu não thông qua cơ sở hạtâng chia sẻ Những kết nối này có thể dùng một kênh dành riêng, như là mạng FrameRelay, ATM, hoặc kênh điểm tới điểm Tuy nhiên khi sử dụng VPN thì sẽ có những
ưu điểm sau đây: Giảm bớt chi phí cho WAN, đặc biệt là khi sử dụng Internet; dể dàng
mở rộng site mới, và vấn đề an toàn dữ liệu được đảm bảo hơn Với khả năng này,Intranet VPN lại được sử dụng để tạo lập môi trường giống như phân chia vật lí cácnhóm người sử dụng vào các mạng con LAN khác nhau được kết nối bởi các cầu haycác Router
Internet/
IP-VPN
de vice 1 devi ce 3 device2 1
Remote office
de vice 1 devi ce3 device 2 1
Remote office Headquarters
Home office
POP
POP
POP
Hình 1.3: Intranet VPN
Tuy nhiên mạng Intranet VPN cũng có những nhược điểm đi cùng như:
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – chonên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chấtlượng dịch vụ (QoS)
- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trongmôi trường Internet
1.4.2.2 Extranet VPN
Extranet VPN được sử dụng khi một tập đoàn không chỉ muốn tương tác vớicác văn phòng ở xa của mình mà cả với các site trực thuộc khách hàng của họ, cácnguồn cung cấp và các thực thể khác liên quan đến các giao dịch hay trao đổi thôngtin Các thực thể này thường được gọi là các mạng đối tác Để hỗ trợ các thông tin này,các Tunnel VPN có thể được thiết lập giữa các mạng riêng trực thuộc các thực thể
Trang 13riêng khác nhau Các chức năng VPN như điều khiển truy nhập, nhận thực và các dịch
vụ an ninh có thể được sử dụng để từ chối hay cho phép truy nhập đến các tài nguyêncần thiết cho kinh doanh Các nguy cơ an ninh đối với Extranet lớn hơn trong Intranet,
vì thế VPN và Extranet phải thực hiện được thiết kế cẩn thận với các chính sách điềukhiển truy nhập đa lớp và các sắp xếp an ninh duy nhất giữa các thành viên Extranet
Internet/
IP-VPN
device1 devi ce3 devic e2 1
Remote office
device1 devi ce3 de vic e2 1
Remote office Headquarters
Home office
POP
POP
POP
Business Partner
Customer
Supplier
Hình 1.4: Extranet VPN
Những ưu điểm chính của mạng Extranet VPN:
- Chi phí cho mạng Extranet VPN thấp hơn rất nhiều so với mạng truyền thống
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động
- Vì mạng Extranet VPN được xây dựng dựa trên mạng Internet nên có nhiều
cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhucầu của mỗi công ty hơn
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nêngiảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phívận hành của toàn mạng
Bên cạnh những ưu điểm ở trên giải pháp mạng Extranet VPN cũng còn nhữngnhược điểm đi cùng như:
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộngvẫn tồn tại
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyềndẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trườngInternet
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty
Trang 14Chương 2
CÁC GIAO THỨC ĐƯỜNG HẦM VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và antoàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm Một giao thứcđường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tươngứng để truyền qua Internet Có 3 giao thức chính để xây dựng nên một mạng VPNhoàn chỉnh đó là:
PPTP (Point - to - Point Tunneling Protocol)
L2TP (Layer Two Tunneling Protocol)
IPSec (Internet Protocol Security)
Tùy theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược điểmkhác nhau khi triển khai vào mạng VPN
2.1 Giao thức định đường hầm điểm tới điểm – PPTP
PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàngiữa một Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra một VPN quamột mạng dựa trên IP Được phát triển bởi Consortium PPTP (Tập đoàn Microsoft,Ascend Communications, 3COM, US Robotics,và ECI Telematics) PPTP đề xuất dựavào yêu cầu của VPN qua mạng không an toàn PPTP không chỉ có khả năng bảo mậtcác giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch quamạng Intranet riêng
Về phương diện lịch sử, hai hiện tượng đóng vai trò chính vào sự thành côngcủa PPTP trong việc bảo mật các kết nối đường dài là:
- Việc sử dụng các Mạng điện thoại chuyển mạch công cộng (PSTN): PPTP
cho phép sử dụng PSTN (Public Switched Telephone Network) để thực thi VPN.
Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng chi phí thực thi giảmmột cách đáng kể Lý do này hoàn toàn dễ hiểu – vì những yếu tố cần thiết cho giảipháp kết nối doanh nghiệp quy mô rộng dựa trên đường Leased Line và các Servertruyền thông chuyên dụng hoàn toàn bị loại bỏ
- Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên
IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, vàNetBIOS Vì vậy, PPTP đã chứng tỏ là thành công trong việc triển khai VPN qua mộtmạng LAN riêng cũng như qua mạng công cộng
Trang 15của giao dịch dựa trên PPTP
PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có thểđịnh đường hầm yêu cầu tới thiết bị VPN trên mạng từ xa Liên kết đến thiết bị VPN
từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập một đường hầmgiữa các thiết bị VPN qua Internet hoặc qua mạng trung gian khác
Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên VPNtới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP Cả Client và Server đềuđược kết nối vật lý đến cùng một mạng LAN, việc tạo ra một kết nối tới NAS của nhàcung cấp là không cần thiết Client trong trường hợp này chỉ cần yêu cầu một phiênquay số đến thiết bị VPN trên Server Như vậy thủ tục định tuyến của các gói PPTPcho một yêu cầu từ xa và một yêu cầu cục bộ là khác nhau, các gói của hai yêu cầuđược xử lý khác nhau Các gói PPTP đến Server cục bộ được đặt trên thiết bị vật lý
Trang 16gắn kèm với card mạng của PPTP Client Gói PPTP đến Server từ xa được định tuyếnqua một thiết bị vật lý gắn với một thiết bị truyền thông như một Router Tất cả đượcminh hoạ như trong hình 2.2.
Hình 2.2: Truyền các gói PPTP đến Node đích
2.1.1.2 Các Server PPTP
Server truy cập PPTP là một Node mạng có hỗ trợ PPTP và có khả năng bảoquản các yêu cầu cho phiên VPN từ các Node từ xa hay cục bộ Để phản hồi các yêucầu từ xa, các Server này cũng phải hỗ trợ khả năng định tuyến Một RAS và hệ điềuhành mạng khác có hỗ trợ PPTP, chẳng hạn WinNT 4.0 có khả năng hoạt động nhưmột Server PPTP
2.1.1.3 Các Server truy cập mạng PPTP (PPTP NAS)
Các NAS PPTP được đặt tại Site PPTP và cung cấp kết nối Internet tới cácClient đang sử dụng đường quay số PPP Xác suất nhiều Client cùng đồng thời yêu cầumột phiên VPN là rất cao
Các Server này phải có khả năng hỗ trợ các Client này Ngoài ra, các PPTPClient không chỉ hạn chế với hệ điều hành mạng của Microsoft, vì vậy các NAS PPTPphải có khả năng hỗ trợ các Client dựa trên Window, các máy Unix Tuy nhiên, điềuquan trọng là các Client này hỗ trợ kết nối PPTP tới NAS
Trang 172.1.2 Các tính năng của PPTP
2.1.2.1 Tính sẵn có
PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trongWorkstation Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng.Không cần mua thêm các phần mềm bổ sung vì Microsoft đã đưa ra cách nâng cấpPPTP trong tất cả các phiên bản Windows, được bổ sung trong nhiều nhánh của cácSwitch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics PPTP đã trởthành một phần của các gói tin hệ điều hành mạng và phần lớn các Switch truy cập từ
xa Một nhà quản trị mạng Window NT có thể thử nghiệm một VPN ngay lập tức màkhông cần tốn thêm một chi phí nào
2.1.2.2 Dễ thi hành
Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giaothức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ
Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP
sử dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổsung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói tinPPP theo khuôn dạng PPTP
2.1.2.3 Tạo đường hầm đa giao thức
Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉcho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo đườnghầm cho tất cả các giao thức mà máy chủ RAS cho phép
2.1.2.4 Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ
Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ đượcmáy chủ gán cho một địa chỉ IP Địa chỉ này có thể là một phần trong dãi địa chỉ IPcủa tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP của
tổ chức đó
Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (là những địa chỉđược cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệ thống mạng) trên hệthống mạng riêng Cơ quan thẩm quyền Internet Assigned Numbers (IANA) sẽ thiếtlập các khối địa chỉ IP không đăng ký để sử dụng trên các mạng riêng hoặc Intranet vàcác hệ thống mạng này không cho phép các truy cập Internet hay các truy cập quaRouter Nếu một công ty có sử dụng một tập các địa chỉ không đăng ký khi một RASClient sử dụng giao thức PPTP để thiết lập kết nối, sẽ được cung cấp một địa chỉ trong
số địa chỉ đó và truy cập tới mạng nội bộ của công ty Nếu một người sử dụng ở xa
Trang 18quay số kết nối tới ISP và cố gắng truy cập tới mạng không hỗ trợ giao thức PPTP, thìFirewall của tổ chức sẽ phải mở ra một cổng nào đó cho người sử dụng vào mạng cục
bộ, điều này có thể tạo ra lỗ hỗng Vì vậy, không phải khi nào họ kết nối tới ISP làcũng có thể vào mạng cục bộ
2.2 Giao thức định đường hầm lớp 2 – L2TP
Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco,Microsoft, 3COM, và Ascend L2TP là một sự kết hợp của các giao thức VPN trướcđây như PPTP và L2F Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F.L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấpcủa L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP
Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP màkhông giống với PPTP là không kết thúc tại Site của ISP gần nhất Để thay thế, đườnghầm này mở rộng tới Gateway của mạng chủ (mạng đích) Như trong hình 2.3 Yêucầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP
Hình 2.3: Đường hầm L2TP
Lúc một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lạinhư các thông điệp giao thức UDP L2TP sử dụng các thông điệp UDP này cho cả dữliệu đường hầm cũng như việc duy trì đường hầm Cũng vì vậy, dữ liệu đường hầmL2TP và các gói duy trì đường hầm không giống với các giao thức trước có cùng cấutrúc gói
2.2.1 Thành phần của L2TP
Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server
truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS).
2.2.1.1 Server truy cập mạng (NAS)
Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tớinhững người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP
Trang 19NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng vàquyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không Giống nhưNAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Clienttrong tiến trình thiết lập đường hầm L2TP NAS có thể trả lời và hỗ trợ nhiều yêu cầukết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix,Linux,…).
2.2.1.2 Bộ tập trung truy cập L2TP (LAC)
Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường hầmqua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ saucùng Trong khía cạnh này, LAC server như là điểm kết thúc của môi trường vật lýgiữa Client sau cùng và LNS của mạng chủ
Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằmcung cấp kết nối vật lý cho người truy cập từ xa
2.2.2 Những ưu và nhược điểm của L2TP
Ưu điểm:
- L2TP là giải pháp chung Trong nhiều trường hợp khác, nó độc lập vớiPlatform, nó cũng hỗ trợ nhiều công nghệ mạng Hơn nữa, nó cũng hỗ trợ giao dịchqua liên kết WAN Non-IP mà không cần một IP
- Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa Vìvậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng
- L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP
- L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại bỏmột cách tuỳ ý nếu đường hầm bị đầy Điều này làm cho các giao dịch L2TP nhanhhơn các giao dịch dựa trên L2F
- L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới mộtmạng từ xa qua một mạng công cộng
Trang 20- L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trênIPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói củaIPSec.
Nhược điểm : L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực
từng gói tin nhận được
2.3 Giao thức IPSec
IPSec thực chất không phải là một giao thức, nó chỉ là một khung của các tậpgiao thức chuẩn mở rộng được thiết kế để cung cấp tính xác thực và toàn vẹn dữ liệu.Giao thức IPSec được làm việc tại tầng Network Layer- Layer 3 của mô hình OSI Cácgiao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầngTransport Layer trở lên (từ tầng 4 đến tầng 7 của mô hình OSI) Điều này tạo ra tínhmềm dẻo cho IPSec, giao thức này có thể hoạt động tại tầng 4 với TCP, UDP, hầu hếtcác giao thức sử dụng tại tầng này IPSec có một tính năng cao cấp hơn SSL và cácphương thức khác hoạt động tại các tầng trên của mô hình OSI Với một ứng dụng sửdụng IPSec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụngSSL và các giao thức bảo mật trên các tầng trên mô hình OSI thì đoạn mã ứng dụng đó
sẽ bị thay đổi lớn
2.3.1 Các giao thức của IPSec
Đó là các giao thức xác thực tiêu đề (AH) và giao thức đóng gói tải bảo mật(ESP) Các giao thức này có thể được cấu hình để bảo vệ toàn bộ phần thân của gói tin
IP hoặc chỉ riêng phần thông tin liên quan đến các giao thức ở tầng trên
AH được định nghĩa bởi nhóm làm việc RFC 2402, đảm bảo tính toàn vẹn dữliệu trên đường truyền bằng khoá H (Hàm băm – Hashing function) AH thực hiệnphần thuật toán băm cả phần đầu và phần thân của gói tin IP nhưng không áp dụng chocác thông tin sẽ thay đổi trên đường truyền như số đếm của mỗi nút mạng, vì thế AHcho phép thay đổi thông tin địa chỉ và đảm bảo dữ liệu của gói tin IP sẽ không bị nghetrộm Điều này dẫn đến một chức năng nữa của AH là khả năng chống lại việc giả mạo(đột nhập vào giữa đường truyền của các gói tin và tạo ra các gói tin giả) khi sử dụngcác số thứ tự tăng dần gắn vào mỗi gói tin Tuy nhiên, AH không cung cấp khả năng
mã hoá dữ liệu
ESP là một giao thức Internet được nhóm công tác RFC 2406 định nghĩa Khiđược sử dụng riêng rẽ hoặc kết hợp với giao thức AH, ESP đảm bảo tính toàn vẹn vàchức năng mã hoá dữ liệu Các thuật toán mã hoá do ESP hỗ trợ bao gồm DES-CBC,
Trang 21DES 56 bit và 3DES Ngoài ra ESP còn cho phép kiểm tra tính toàn vẹn của gói tinthông qua HMAC MD5 và HMAC SHA.
2.3.1.1 Giao thức xác thực tiêu đề (AH)
Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP Như tên gọi của nó, tiêu
đề này phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhận cuối cùng, tiêu đềnày giúp nhận biết bất kỳ sự thay đổi nào về nội dung của gói dữ liệu bởi người dùngkhông mong muốn trong khi đang truyền, tuy nhiên AH không đảm bảo tính tin cậy
Để tạo một AH, một giá trị mã thông điệp cần xác thực qua hàm băm (HAMC)được tạo tại người gửi Giá trị băm này được tạo trên cơ sở của SA, cái xác định trình
tự giao dịch sẽ được áp dụng cho gói dữ liệu Mã kết quả được gắn kèm vào gói dữliệu sau tiêu đề IP gốc Tại người nhận cuối, HAMC được giải mã và được dùng đểthiết lập việc xác thực người gửi cũng như tính toàn vẹn của thông điệp
AH không mang lại sự tin cậy trong một giao dịch Nó chỉ thêm một tiêu đề vàogói IP, phần còn lại của nội dung gói dữ liệu được để mặc Hơn nữa, AH không bảo vệbất kỳ trường nào trong tiêu đề IP vì một trong số đó có thể thay đổi trong quá trìnhtruyền, chỉ các trường nào không thay đổi trong quá trình truyền là được bảo vệ bởi
AH Địa chỉ IP nguồn và địa chỉ IP đích là những trường như vậy và vì thế được bảo
vệ bởi AH Tóm lại, giao thức AH có các đặc trưng cơ bản như sau:
- Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại
- Sử dụng mã xác thực thông điệp được băm (HMAC), dựa trên chia sẻ bí mật
- Nội dung các gói tin không được mã hoá
- Không sử dụng các trường changeable IP header để tính toán giá trị kiểm tratính toàn vẹn (IVC)
2.3.1.2 Giao thức đóng gói tải bảo mật(ESP)
Mục đích chính của ESP là cung cấp sự tin cậy thêm vào xác thực người gửi vàxác minh tính toàn vẹn của dữ liệu trong khi truyền ESP mã hoá nội dung của gói dữliệu bằng cách dùng các thuật toán mã hoá, như đã xác định bởi SA Một số thuật toánđược sử dụng bởi ESP bao gồm: DES-CBG, NULL, CAST-128, IDEA và 3DES Cácthuật toán xác thực thường được dùng tương tự như trong AH là HMAC-MD5 vàHMAC-SHA
Như đã so sánh với AH, AH mang lại tính xác thực và toàn vẹn dữ liệu đối vớigói dữ liệu IP ESP không bảo vệ toàn bộ gói dữ liệu Chỉ có payload được bảo vệ, nhưtrong hình 3.7 Tuy nhiên, ESP rất mạnh trong nhóm mã hoá Nó cũng không chiếm
Trang 22dụng nhiều CPU Kết quả là nó nhanh hơn AH Nhưng 24 byte mà nó thêm vào gói dữliệu có thể làm chậm xuống việc phân đoạn và tính toán thông lượng.
IP Header ESP Header PayLoad ESPTrailer ESPAuthentication
Hình 2.4: Gói IP sau khi tiêu đề ESP và Trailer ESP được thêm vào
2.3.2 Các chế độ IPSec
Các giao thức của IPSec có thể thực hiện các liên kết an toàn trong hai chế độ:Transport và Tunnel Như được mô tả trong hình 2.5, cả AH và ESP đều có thể hoạtđộng cả trong hai chế độ
Hình 2.5: Hai chế độ IPSec 2.3.2.1 Chế độ Transport
Chế độ Transport bảo vệ các giao thức tầng trên và các ứng dụng Trong chế độnày, tiêu đề IPSec được chèn vào giữa tiêu đề IP và tiêu đề của giao thức tầng trên nhưđược minh họa trong hình 2.6
Trang 23Ưu điểm của chế độ Transport là xử lý ít Overhead, vì vậy nó nhanh hơn Mộtnhược điểm của nó là các trường hay thay đổi không được xác thực ESP trong chế độTransport không cung cấp tính năng xác thực và mã hóa với các tiêu đề IP Đây là mộtnhược điểm vì các gói tin sai (tấn công giả mạo) có thể vẫn được phân phối cho quátrình xử lý ESP Một nhược điểm khác là địa chỉ gói IP gốc phải được dùng để phânphối Điều này có thể là một vấn đề nới địa chi IP riêng được dùng, hoặc nơi cấu trúcđịa chỉ mạng bên trong cần được dấu trong mạng công cộng.
2.3.2.2 Chế độ Tunnel
Không giống như chế độ Transport, chế độ Tunnel bảo vệ toàn bộ gói IP Toàn
bộ gói IP được đóng gói vào trong một gói IP khác và tiêu đề IPSec được chèn vàogiữa tiêu đề IP gốc và tiêu đề IP mới Trong chế độ này, khái niệm đường hầm được
áp dụng
Với giao thức ESP thì gói dữ liệu gốc trở thành gói dữ liệu tải cho gói ESP mới
và kết quả là cả mã hóa cũng như xác thực được thực thi nếu được chọn Tuy nhiên,tiêu đề IP mới vẫn không được bảo vệ
Hình 2.7: IPSec – chế độ Tunnel
Chế độ Tunnel được sử dụng bởi các Getway Như vậy, giữa 2 firewall chế độTunnel luôn được dùng cho luồng thông tin đang lưu chuyển qua các firewall giữa cácmạng an toàn qua một đường hầm IPSec
Mặc dù các Getway được hỗ trợ chỉ với chế độ Tunnel, thông thường chúngvẫn có thể làm việc được trong chế độ Transport Chế độ này được cho phép khiGetway hoạt động như một Host, đó là trường hợp luồng thông tin được giành riêngcho chính nó Ví dụ: các lệnh SNMP, hoặc các yêu cầu báo lại ICMP
Trong chế độ Tunnel các địa chỉ IP của tiêu đề ngoài không cần phải giống vớicác địa chỉ của tiêu đề bên trong Ví dụ, hai getway bảo mật có thể thực hiện một
Trang 24đường hầm AH có xác thực tất cả các luồng thông tin giữa các mạng chúng kết nốicùng nhau.
Ưu điểm của chế độ Tunnel là nó bảo vệ tất cả gói IP đã được đóng gói và khảnăng sử dụng các địa chỉ riêng Tuy nhiên, có một quá trình xử lý Overhead nhiều hơnbình thường gắn liền với chế độ này
Trang 25Chương 3
MÃ HÓA VÀ XÁC THỰC TRONG VPN
3.1 Giới thiệu
Như đã biết, đặc điểm của VPN là cho phép truyền dữ liệu thông qua một cơ sở
hạ tầng mạng công cộng mà vẫn đảm bảo được các đặc tính an toàn và tin cậy dữ liệu
Để thực hiện được điều đó, công nghệ VPN phải giải quyết được hai vấn đề: đóng gói
dữ liệu và an toàn dữ liệu
Đóng gói dữ liệu là cách thức thêm các phần thông tin điều khiển vào gói tinban đầu để đảm bảo gói tin đi được từ nguồn tới đích mong muốn An toàn dữ liệu làcách thức đảm bảo cho dữ liệu đi qua mạng công cộng không bị xâm phạm, làm thayđổi bởi những kẻ không mong muốn Thực tế thì vấn đề an toàn dữ liệu không phải làvấn đề riêng của VPN mà là mối quan tâm cũng như thách thức của tất cả các tổ chức
có nhu cầu sử dụng Internet làm môi trường truyền tin
Chính vì vậy, đã có rất nhiều giải pháp, giao thức, thuật toán được phát triển đểgiải quyết vấn đề này Việc sử dụng giải pháp nào là tùy thuộc vào từng ứng dụng cụthể và không loại trừ khả năng sử dụng kết hợp nhiều giải pháp để đạt hiệu quả an toànnhư mong muốn
Bảng 3.1 là tóm tắt một số giao thức, thuật toán an toàn dữ liệu chủ yếu đangđược sử dụng
Bảng 3.1: Một số giao thức và thuật toán ứng dụng thông dụng
IPSec Cung cấp các dịch vụ dữ liệu tin cậy,
xác thực nguồn gốc dữ liệu
RSA, DH, DES,3DES, MD5, SHA
SET Cho phép trao đổi an toàn các thẻ tín
dụng
RSA, SHA, DES
S/MIME Đảm bảo việc truyền dẫn, lưu trữ,
xác thực, chuyển tiếp an toàn dữ liệu
ở mức ứng dụng
RSA, RC5, RC4,RC2, DES, 3DES
SSL&TLS Tạo một đường ống an toàn giữa hai
ứng dụng để trao đổi dữ liệu và xácthực lẫn nhau
RSA, DH, RC4,DES, 3DES, SHA,MD5
