Tiểu luận cuối kì môn internet và giao thức (2)

Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ ISP-Internet Service Provider, cần một giao thức chung là TCP/IP.. Bằng cách mã hóa dữ liệu ở đầu truyền và giải mã dữ li

Trang 1

Internet và các giao thức Mạng riêng ảo VPN

BỘ THÔNG TIN VÀ TRUYỀN THÔNG HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

- -

BÀI TIỂU LUẬN Môn: Internet và các giao thức

Đề tài: Mạng riêng ảo VPN

Sinh viên thực hiện: Phùng Phương Hiền – B18DCVT137

Trần Thị Tuyết Mai – B18DCVT278 Trần Thị Nga – B18DCVT310

Đinh Việt Hoàng – B18DCVT170

Hà Nội, tháng 12 năm 2021

Trang 2

LỜI CẢM ƠN

Chúng em xin gửi lời cảm ơn chân thành đến thầy Nguyễn Tiến Ban – trưởng khoa Viễn Thông 1, giảng viên môn Internet và các giao thức đã hướng dẫn và chỉ đạo tận tình giúp chúng em có hướng đi đúng về đề tài tiểu luận này

Do giới hạn kiến thức và khả năng lý luận của bản thân chúng em vẫn còn nhiều thiếu sót và hạn chế, mong thầy có thể xem xét bài tiểu luận của chúng em và giúp chúng

em hoàn thiện tốt hơn bài tiểu luận này

Lời cuối cùng, em xin kính chúc thầy và gia đình thật nhiều sức khỏe, hạnh phúc và thành công trên con đường giảng dạy của mình

Hà Nội, tháng 11 năm 2021

Sinh viên nhóm 8

Trang 3

Mục lục

Lời mở đầu 5

Chương 1: Tổng quan về mạng riêng ảo VPN 12

1.1 Mạng riêng ảo ra đời từ đâu? 12

1.2 Khái niệm 12

1.3 Lịch sử phát triển 13

1.3.1 Tiền thân của VPN 13

1.3.2 VPN đầu tiên 14

1.3.3 VPN và việc sử dụng chúng hiện nay 14

1.4 Ứng dụng 14

Chương 2: Các yêu cầu cơ bản khi xây dựng VPN 16

2.1 Tính tương thích (Compatibility) 17

2.2 Tính bảo mật (Security) 18

2.3 Tính khả dụng (Availability) 18

2.4 Khả năng hoạt động tương tác 18

2.5 Lợi ích của VPN 19

2.6 Ưu điểm và hạn chế của VPN 20

Chương 3: Mô hình hoạt động của VPN 22

3.1 VPN hoạt động như thế nào? 22

3.2 Phân loại 23

3.3 Giao thức đường hầm VPN 26

3.3.1 Giao thức đường hầm điểm tới điểm (PPTP) 27 3.3.2 Giao thức chuyển tiếp lớp 2 (L2F)

Trang 4

3.3.3 Giao thức đường hầm lớp 2: L2TP ( Layer 2 Tunneling Protocol) 44

3.3.4 Giao thức IPSEC 49

3.4 Các phương pháp triển khai 65

Chương 4: Bảo mật trong VPN 67

4.1 Quyền riêng tư và bảo mật đối với VPN 67

4.2 Quản lý bảo mật trong VPN 67

4.2.1 Một số phương thức tấn công mạng phổ biến 67

4.2.2 Các kỹ thuật bảo mật trong VPN 70

Trang 5

Lời mở đầu

Sự ra đời của mạng Internet đã tạo ra một vũ trụ thông tin trong đời sống của con người

Nó cho ta lưu trữ những khối dữ liệu khổng lồ của cá nhân hay tổ chức và cung cấp dịch

vụ để trao đổi thông tin một cách đa dạng về cả nội dung lẫn hình thức, trong đó có rất nhiều thông tin cần bảo mật cao, độ tin cậy lớn như thông tin khách hàng giữa hai cơ sở ngân hàng trong 2 thành phố Rất nhiều thông tin béo bở có thể đưa lại lợi nhuận cao cho các tin tặc được đưa lên không gian Internet là lý do cho những hình thức phá hoại, ăn cắp thông tin mạng cũng ngày càng trở nên tinh vi và phức tạp hơn Vấn đề này khiến cho nhiệm vụ đảm bảo độ an toàn hệ thống mạng trở nên hết sức quan trọng và cần thiết Bởi những thực tế trên, các nhà khai thác viễn thông đã nghiên cứu về vấn đề bảo mật hệ thống

và cho ra đời công nghệ mạng riêng ảo VPN Chúng ta sẽ tìm hiểu về công nghệ này qua bốn phần của bài tiểu luận:

Chương 1: Tổng quan về mạng riêng ảo VPN

Chương 2: Các yêu cầu cơ bản khi xây dựng VPN

Chương 3: Mô hình hoạt động của VPN

Chương 4: Bảo mật trong VPN

Trang 6

Thuật ngữ viết tắt

AH IPSec Authentication Header Giao thức xác thực tiêu đề

ARPANET- Advanced Research Projects Agency

Network

Mạng Cơ quan Dự án Nghiên cứu Nâng cao

Protocol

Giao thức xác thực có thăm dò trước

GRE Generic Routing Protocol Giao thức định tuyến chung

IANA Internet Assigned Numbers

Authority

Tổ chức cấp phát số hiệu Internet

ICV Integrity Check Value Giá trị kiểm tra tính toàn vẹn

IETF Internet Engineering Task Force Lực lượng đặc nhiệm kỹ thuật

Internet IKE Internet Key Exchange Trao đổi khóa Internet

IP Internet Protocol Giao thức Internet

IPSec Internet Protocol Security Giao thức mật mã bảo vệ lưu lượng

dữ liệu qua mạng Internet

IP VPN Interer Protocol Virtual Private

Network

Mạng riêng ảo trên Internet

ISAKMP Internet Security Association and

Key Management Protocol

Internet Security Association and Key Management Protocol ISP Internet Service Provider Nhà cung cấp dịch vụ Internet

Trang 7

L2F Layer 2 Forwarding Giao thức tầng hầm chuyển tiếp lớp

2 L2TP Layer 2 Tunneling Protocol Giao thức đường hầm lớp 2

LAC L2TP Access Concentrator Bộ tập kết truy cập L2TP

LAN Local Area Network Mạng máy tính cục bộ

LCP Link Control Protocol Giao thức kiểm soát liên kết

LNS L2TP Network Server Máy chủ mạng L2TP

MAC Message Authentication Code Mã xác thực bản tin

MS-CHAP Microsoft Challenge Handshake

Authentication Protocol

Giao thức xác thực có thăm dò trước của Microsoft

NAS Network Access Server Máy trạm truy nhập mạng

NGN Next Generation Network Mạng thế hệ kế tiếp

NetBEIU NetBIOS Enhanced User Interface Giao thức- giao diện người dùng mở

rộng trong NetBIOS PAP Password Authentication Protocol Giao thức xác thực mật khẩu

PKCS Public Key Cryptography Standards Tiêu chuẩn mã hóa công khai

POP Point of Presence Điểm hiện diện

PPP Point to Point Protocol Giao thức điểm – điểm

PPTP Point To Point Tunneling Protocol Giao thức đường hầm điểm – điểm QoS Quality of Service Chất lượng dịch vụ

RAS Remote Access Server Máy chủ truy cập từ xa

RADIUS Remote Authentication Dial-In User

SA Security Associations Liên kết bảo mật

Trang 8

SAD Security Association Database Cơ sở dữ liệu liên kết bảo mật SPI Security Parameters Chỉ số thông số an ninh

swIPe Software IP Encryption Protocol Giao thức mã hóa IP phần mềm PSTN Public Switched Telephone Network Mạng điện thoại chuyển mạch công

cộng

TCP/IP Transmission Control Protocol /

Internet Protocol (suite)

Chồng giao thức TCP/TP

3DES Triple Data Encryption Standard Thuật toán mã hóa dữ liệu ba lần

Trang 9

Danh mục hình sử dụng

Hình 1 Mô hình mạng riêng ảo VPN

Hình 2 Ví dụ ứng dụng tiếp cận nội dung khu vực

Hình 3: Kết nối Internet khi không có VPN

Hình 4 Kết nối Internet khi không có VPN

Hình 5 Mô hình mạng VPN truy cập

Hình 6 Mô hình mạng VPN nội bộ

Hình 7 Mô hình mạng VPN mở rộng

Hình 8 Minh họa một kết nối PPTP

Hình 9 Gói dữ liệu kết nối điều khiển PPTP

Hình 10: Mô hình đóng gói dữ liệu đường hầm PPTP

Hình 16: Mô tả qui trình thiết lập L2TP tunnel

Hình 17 Quá trình hoàn tất của dữ liệu qua đường hầm

Hình 18: Sơ đồ khung IPSec

Hình 19: IPSec Packet

Hình 20: Chế độ Tunnel và Transport của AH

Hình 21 Cấu trúc tiêu đề AH cho gói IPSec

Trang 10

Hình 22 Chế độ Tunnel và Transport của ESP

Hình 23: Khuôn dạng gói ESP

Hình 24 Security Association

Hình 25 IKE pha 1- Main Mode

Hình 26: Internet Key Exchange

Trang 11

Tài liệu tham khảo

1 Cisco ASA: All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition

- Andrew Ossipov, Jazib Frahim, Omar Santos

2 What is a VPN ? www.cisco.com

5 Công nghệ chuyển mạch IP Chủ biên: TS.Lê Hữu Lập, Biên soạn: KS Hoàng Trọng Minh , Học viện Công nghệ Bưu chính Viễn Thông 11/2000

6 Nguyễn Tiến Ban, Bài giảng “Cơ sở kỹ thuật mạng truyền thông” Học viện Công nghệ Bưu chính Viễn thông, 2013, tr 121-127

7 Nguyễn Chiến Chinh, Nguyễn Tiến Ban, Hoàng Trọng Minh, Nguyễn Thanh Trà, Phạm Anh Thư, Bài giảng “An ninh mạng thông tin”, Học viện Công nghệ Bưu chính Viễn thông, 2016

8 J Michael Strewart, Network Security, Firewalls and VPNs, Second Edition, Jones & Bartlett Learning, 2014

9 James Edwards, Richard Bramante-“Networking Self-Teaching Guide”

10 D_link Australia & NZ- “Vitual Private Network self study”

11 David Bruce, Yakov Rekhter-(2000) Morgan Kaufmann Publisher – “MPLS

Technology and Application MPLS_Cisco”.pdf

Trang 12

Chương 1: Tổng quan về mạng riêng ảo VPN 1.1 Mạng riêng ảo ra đời từ đâu?

Trong nhiều thập kỷ trở lại đây, Internet đã phát triển mạnh mẽ từ mô hình cho đến công nghệ nhằm tối ưu đáp ứng nhu cầu của người sử dụng Internet đã được thiết kế để kết nối nhiều mạng khác nhau và cho phép chuyển đến người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người này đang dùng Để làm được thì ta cần một thành phần gọi là router nhằm kết nối các mạng LAN và WAN Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP-Internet Service Provider), cần một giao thức chung là TCP/IP Điều mà kỹ thuật vẫn còn tiếp tục phải giải quyết là năng lực truyền thông của các nhà mạng viễn thông công cộng Với Internet, những nhà dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế và rất nhiều điều khác đã trở thành hiện thực Tuy nhiên do Internet có phạm vi toàn cầu và không một tổ chứm chính phủ cụ thể nào quản lý nên rất khó khan trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet và

đó chính là mô hình mạng riêng ảo Virtual Private Network VPN

1.2 Khái niệm:

Mạng riêng ảo (VPN) là một chương trình cung cấp một mạng an toàn và được mã hóa trên nền Internet VPN sử dụng cơ sở hạ tầng công cộng chung trong khi vẫn bảo toàn quyền riêng tư thông qua các quy trình an toàn và giao thức đường hầm Bằng cách mã hóa

dữ liệu ở đầu truyền và giải mã dữ liệu ở đầu nhận, thay cho việc sử dụng bởi một kết nối thực thì các VPN sử dụng các kết nối ảo được dẫn qua Internet từ mạng riêng của các công

ty tới các site hay các nhân viên từ xa

Trang 13

Internet và các giao thức Chương 1 Tổng quan về mạng riêng ảo VPN

Hình 1 Mô hình mạng riêng ảo VPN

Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall Chúng

có thể được quản trị bởi các công ty khai thác viễn thông và cung cấp dịch vụ Những kết nối bảo mật được thiết lập giữa hai host, giữa host và mạng hoặc giữa hai mạng với nhau Một VPN có thể được xây dựng bằng cách sử dụng “đường hầm” và “mã hoá” và nó có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI Công nghệ này là sự cải tiến cơ sở hạ tầng mạng WAN, làm thay đổi tính chất của các mạng cục bộ

1.3 Lịch sử phát triển:

Kể từ khi con người sử dụng Internet, đã có phong trào bảo vệ và mã hóa dữ liệu trình duyệt Internet Bộ Quốc phòng Hoa Kỳ đã tham gia vào các dự án làm việc về mã hóa dữ liệu liên lạc Internet từ những năm 1960

1.3.1 Tiền thân của VPN

Những nỗ lực của họ đã dẫn đến việc tạo ra ARPANET-Advanced Research Projects Agency Network(Mạng Cơ quan Dự án Nghiên cứu Nâng cao)-một mạng chuyển mạch gói, từ đó dẫn đến sự phát triển của Giao thức Transfer Control Protocol/Internet Protocol (TCP/IP)

Các giao thức TCP/IP có bốn lớp: Link, Internet, Transport và Application Ở lớp Internet,

Trang 14

cơ phơi nhiễm trở nên rõ ràng Năm 1993, nhóm nghiên cứu của Đại học Columbia và AT&T Bell Labs đã thành công trong việc tạo ra một loại phiên bản đầu tiên của VPN hiện đại, được gọi là swIPe (Software IP Encryption Protocol)-Giao thức mã hóa IP phần mềm Trong năm sau, Wei Xu đã phát triển mạng IPSec-một giao thức bảo mật Internet xác thực

và mã hóa các gói thông tin được chia sẻ trực tuyến Năm 1996, một nhân viên của Microsoft tên là Gurdeep Singh-Pall đã tạo ra Giao thức đường hầm ngang hàng (PPTP: Peer-to-Peer Tunneling Protocol)

1.3.2 VPN đầu tiên:

Liền kề với Singh-Pall đang phát triển PPTP thì Internet ngày càng phổ biến và nhu cầu về các hệ thống bảo mật phức tạp, sẵn sàng cho người tiêu dùng xuất hiện Vào thời điểm này, các chương trình chống vi-rút đã có hiệu quả trong việc ngăn chặn phần mềm độc hại và phần mềm gián điệp lây nhiễm vào hệ thống máy tính Tuy nhiên, mọi người và các công

ty cũng bắt đầu yêu cầu phần mềm mã hóa có thể ẩn lịch sử duyệt web của họ trên Internet

Do đó, các VPN đầu tiên bắt đầu vào đầu những năm 2000 và hầu như chỉ được sử dụng bởi các công ty Tuy nhiên sau hàng loạt các vi phạm bảo mật, đặc biệt là vào đầu những năm 2010 thì thị trường tiêu dùng cho VPN bắt đầu khởi sắc

1.1 VPN và việc sử dụng chúng hiện nay:

Năm 2018 số lượng người dùng VPN trên toàn thế giới đã tăng hơn gấp 4 lần so với năm

2016 Tại các quốc gia như Thái Lan, Indonesia và Trung Quốc, nơi việc sử dụng Internet

bị hạn chế và kiểm duyệt, cứ 5 người dùng Internet thì có một người sử dụng VPN Ở Mỹ, Anh và Đức, tỷ lệ người dùng VPN rơi vào khoảng 5% và đang tăng lên

a Ứng dụng:

Tại sao tỷ lệ người dùng VPN ngày lại tăng như vậy? Vì kết nối VPN ngụy trang lưu lượng

dữ liệu của bạn trực tuyến và bảo vệ nó khỏi sự truy cập từ bên ngoài Dữ liệu không được

mã hóa có thể được xem bởi bất kỳ ai có quyền truy cập mạng và muốn xem nó Với VPN, tin tặc và tội phạm mạng khó có thể giải mã dữ liệu này

Trang 15

 Mã hóa an toàn: Để đọc dữ liệu, bạn cần có khóa mã hóa Nếu không có nó, máy tính sẽ

phải mất rất nhiều thời gian mới có thể giải mã được mã trong trường hợp xảy ra một cuộc tấn công mạng

Với sự trợ giúp của VPN, các hoạt động trực tuyến của bạn được ẩn ngay cả trên các mạng công cộng Nhân viên làm việc từ xa có thể sử dụng VPN như một kết nối an toàn tới văn phòng Sinh viên có thể sử dụng VPN để kết nối với trường học

 Ngụy trang vị trí: Máy chủ VPN về cơ bản hoạt động như Proxy của bạn trên Internet Vì

dữ liệu vị trí nhân khẩu học đến từ một máy chủ ở quốc gia khác nên không thể xác định được vị trí thực tế của người dùng và hầu hết các dịch vụ VPN không lưu trữ nhật ký các hoạt động của họ Mặt khác, một số nhà cung cấp ghi lại hành vi của người dùng nhưng không chuyển thông tin này cho bên thứ ba Điều này có nghĩa là bất kỳ hồ sơ tiềm năng nào về hành vi người dùng vẫn bị ẩn vĩnh viễn

Chúng ta có thể sử dụng VPN để kết nối với mạng gia đình khi vắng nhà để chuyển ảnh, tài liệu hoặc các vật dụng khác sang máy tính gia đình hoặc thiết bị lưu trữ mạng của chúng ta

Tiếp cận nội dung khu vực: Không phải lúc nào bạn cũng có thể truy cập nội dung web khu vực từ mọi nơi Các dịch vụ và trang web thường chứa nội dung chỉ có thể được truy cập từ một số nơi trên thế giới Kết nối tiêu chuẩn sử dụng máy chủ cục bộ trong nước để xác định vị trí của bạn Điều này có nghĩa là bạn không thể truy cập nội dung ở nhà khi đi du lịch và bạn không thể truy cập nội dung quốc tế từ nhà Với tính năng giả mạo vị trí VPN, bạn có thể chuyển sang một máy chủ sang một quốc gia khác và thay đổi vị trí của mình một cách hiệu quả

Trang 16

Hình 2 Ví dụ ứng dụng tiếp cận nội dung khu vực

Đây cũng chính là một trong những động lực lớn nhất cho việc áp dụng VPN trong những năm gần đây là nhu cầu ngày càng tăng về nội dung có giới hạn truy cập địa lý Ví dụ: các dịch vụ phát trực tuyến video như Netflix hoặc YouTube chỉ cung cấp một số video nhất định ở một số quốc gia nhất định Với các VPN hiện đại, bạn có thể mã hóa địa chỉ IP của mình để có vẻ như bạn đang lướt web từ một quốc gia khác, cho phép bạn truy cập nội dung này từ mọi nơi

Chương 2: Các yêu cầu cơ bản khi xây dựng VPN 2.1 Các yếu tố thúc đẩy sự phát triển của VPN

VPN có thể được phát triển trên nhiều môi trường khác nhau: X.25, Frame Relay, ATM, Internet Tuy nhiên trên các môi trường khác nhau thì sự phát triển của VPN có các đặc điểm khác nhau về mặt kỹ thuật cũng như về mặt đáp ứng các yêu cầu của khách hàng

Sự phát triển của dịch vụ mạng tạo mạng riêng ảo trên Internet (IP VPN) là một xu thế tất yếu trong quá trình hội tụ giữa Internet và các mạng dùng riêng Có 4 lý do dẫn đến quá trình hội tụ này ở Việt Nam cũng như trên thế giới

 Sự phát triển về mặt địa lý

Sự phát triển về mặt địa lý của các công ty lớn dẫn đến sự gia tăng số lượng hoạt động phân tán , điều này gây khó khăn trong việc quản lý của các mạng dùng riêng Nhu cầu liên lạc

Trang 17

Internet và các giao thức Chương 2 Các yêu cầu cơ bản khi xây dựng VPN

trong khi đi công tác hay xu hướng làm việc tại nhà, xu hướng hội nhâp và mở rộng của các công ty diễn ra mạnh mẽ làm cho các hệ thống mạng dùng riêng không đáp ứng được nhanh chóng VPN chính là một giải pháp thích hợp trong trường hợp này

 Nhu cầu sử dụng tác nghiệp trực tuyến

Sự phát triển của nền kinh tế dẫn đến xu hướng làn việc với nhiều nhà cung cấp dịch vụ, sản phẩm cũng như với nhiều đối tượng khách hàng khác nhau Mỗi nhà cung cấp dịch vụ sản phẩm, khách hàng sử dụng các cấu trúc mạng khách nhau (như thủ tục, ứng dụng, nhà cung cấp dịch vụ, hệ thống quản trị mạng lưới…) Điều này là một thách thức lớn đối với một mạng dùng riêng trong việc kết nối với tất cả các mạng này

 Chi phí

Chi phí cho việc cài đặt và duy trì một mạng diện rộng là lớn Điều này đặc biệt ảnh hưởng tới các công ty có phạm vi hoạt động vượt ra khỏi biên giớ quốc gia

 Nhu cầu tích hợp và đơn giản hóa giao diện cho người sử dụng

Vậy có những yêu cầu cơ bản nào cần phải đạt được khi xây dựng mạng riêng ảo (VPN)?

Có 4 yêu cầu cơ bản khi xây dựng VPN:

a Tính tương thích (Compatibility)

Mỗi một công ty, một doanh nghiệp đều xây dựng các hệ thống mạng nôi bộ và diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất định của nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng riêng không sử dụng các chuẩn TCP/IP hay Frame Relay vì vậy không thể kết nối trực tiếp với Internet hay mạng Frame Relay công cộng để có thể sử dụng được IP VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tính năng

về taok kênh kết nối ảo, cài đặt cổng kết nối Internet có chức năng trong việc chuyển đổi các thủ tục khác nhau sang chuẩn IP 77% số lượng khách hàng được hỏi yêu cầu khi chọn

một nhà cung cấp dịch cụ IP VPN là phải tương thích với các thiết bị hiện có của ho

Trang 18

b Tính bảo mật (Security)

Tính an toàn và bảo mật cho khách hàng là một yếu tố quan trọng nhất với một giải pháp VPN Khách hàng cần được đảm bảo các dữ liệu thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và quản lý

Việc cung cấp tính năng bảo mật cần đảm bảo được 2 mục tiêu sau đây:

- Cung cấp tính năng an toàn thích hợp bao gồm: Cung cấp mật khẩu cho người sử dụng trong mạng và mã hóa dữ liệu khi truyền

- Đơn giản trong việc duy trì quản lý và sử dụng: Đòi hỏi thuận tiện và đơn giản cho người

sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ thống

c Tính khả dụng (Availability)

Một giải pháo VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền mạng Internet hiện nay không đamt bảo được tính năng này, các nhà cung cấp dịch vụ Internet cũng chưa có các cam kết cụ thể về chất lượng dịch vụ cung cấp, như Frame Relay cam kế tốc độ truyền tối thiểu (CIR)

Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp từ đầu cuối đến đầu cuối QoS liên quan đến khả năng đảm bảo băng thông cam kết của dịch vụ hoặc liên quan đến cả hai vấn đề trên

Một số hệ thống mạng hiện nay đảm bảo cả hai hoặc một tiêu chuẩn này như mạng điện thoại công cộng PSTN, hoặc Frame Relay cam kết băng thông tối thiểu Hiện nay các nhà cung cấp dịch vụ Internet dựa trên khả năng của mạng lưới và chỉ cam kết với khách hàng

dữ liệu sẽ được truyền đi với độ tin cậy cao nhất chứ không có tiêu chuẩn kỹ thuật nào đảm bảo đi kèm Trong thời gian tới mạng Internet sẽ không có khả năng đảm bảo được chất lượng cung cấp thông qua các tiêu chuẩn mới như RSVP (Giao thức dự trữ tài nguyên) hay giao thức thời gian thực (RTP) Hiện nay khi cung cấp VPN thông qua mạng Frame Relay mới có thể có khả năng đảm bảo chất lượng dịch vụ một cách hoàn chỉnh

d Khả năng hoạt động tương tác

Mặc dù VPN đã xuất hiện trên thị trường rất lâu trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn được tiêu chuẩn hóa một cách toán diện, các nhà sản xuất thiết bị vẫn

Trang 19

phát triển các chuẩn kỹ thuật riêng của mình Vì vậy, cần chú ý việc lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng Trên thế giới hiện có tới 60 giải pháp khách nhau liên quan đến VPN

2.2 Lợi ích của VPN

 Đối với khách hàng:

- Giảm thiểu chi phí sử dụng so với việc kết nối mạng diện rộng dùng các kênh thuê riêng Theo thống kê thực tế chi phí sử dụng cho mạng riêng ảo chỉ bằng 60% so với chi phí của việc sử dụng kênh kết nối riêng Điều này đặc biệt có ý nghĩa lớn đối với các công ty đa quốc gia, thông qua mạng riêng ảo giúp khách hàng giảm thiểu thời gian và đáp ứng nhu cầu khi làm việc trực tuyến

 Giảm thiểu thiết bị sử dụng

 Giảm thiểu chi phí kênh kết nối đường dài

 Giảm thiểu việc lãng phí băng thông, khách hàng có khả năng trả theo cước lưu lượng sử dụng

 Đơn giản hóa mô hình kiến trúc mạng

 Giảm chi phí giao thông và tăng khả năng tương tác

- Quản lý dễ dàng: Khách hàng có khả năng quản lý số lượng ngườu sử dụng (khả năng thêm, xóa kênh kết nối liên tục, nhanh chóng) Hiện nay nhu cầu sử dụng tư vấn bên ngoài, các nguồn lực từ bên ngoài để phục vụ cho công tác kinh doanh đã trở thành một

xu hướng

- Khả năng lựa chọn tốc độ tối đa 9,6 Kbit/s tới T1/E1, hoặc sử dụng công nghệ DSL

- Khả năng cung cấp dịch cụ một cách nhanh chóng: VPN được cung cấp trên mạng IP tích hợp được một số ưu điểm của mạng này đó là khả năng liên kết lớn, mạng lưới sẵn

có vì vậy giảm thiểu thời gian cung cấp dịch vụ

 Đối với nhà cung cấp dịch vụ

- Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tăng giá trị khác kèm theo

- Tăng hiệu quả sử dụng mạng Internet hiện tại

Trang 20

- Kéo theo cả khả năng tư vấn thiết kế mạng cho khách hàng đây là một yếu tố quan trọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt là những khách hàng lớn

- Đầu tư không lớn, hiệu quả đem lại cao

- Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ: Thiết bị sử dụng cho mạng VPN

2.3 Ưu điểm và hạn chế của VPN

 Ưu điểm của VPN:

- Chủ động truy cập mạng doanh nghiệp và làm việc từ xa:

Có lẽ đây là điểm đầu tiên thuyết phục người dùng Cho dù đi công tác xa hay đi đây thì bạn hoàn toàn có thể truy cập mạng nội bộ từ xa thông qua Internet để tiến hàng chia sẻ và

sử dụng dữ liệu Đặc biệt, những nguồn tin tài nguyên trong mạng nội bộ không tiếp xúc trực tiếp với Internet nên tính bảo mật rất cao

- Linh hoạt truy cập mạng gia đình từ xa:

Một số gia định thiết lập VPN riêng mà truy cập khi không ở nhà, quản lý từ xa Nhờ VPN, bạn sẽ có thể truy cập từ xa vào máy tính tại nhà và thao tác trên các tập tin được chia sẻ trong mạng nội bộ

- Kết nối nhiều mạng với nhau:

Trong trường hợp công ty có nhiều chi nhánh, nhiều phòng ban, việc thiết lập một mạng nội

bộ là cực kỳ cần thiết Ba quản lý sẽ dễ dàng quản lý nhân viên, nhân viên giữa các bộ phận, phòng ban sẽ dễ dàng trong việc chia sẻ thông tin công việc mà không cần gửi quá nhiều email hay lưu quá nhiều tệp

Trang 21

 Hạn chế của VPN:

- VPN không có khả năng quản lý chất lượng dịch vụ (QoS) qua môi trường Internet, do vậy các gói dữ liệu Data package vẫn có nguy cơ bị thất lạc, rủi ro

- Dù khả năng quản lý của các đơn vị cung cấp VPN là cao, nhưng vẫn bị giới hạn, bị

“hacker” xâm nhập là chuyện có thể xảy ra

- Lưu lượng của VPN không phải là vô hạn mà có một giới hạn nhất định

- Trong trường hợp nhiều máy khách tập trung nhưng máy chủ không thể đáp ứng, máy chủ VPN sẽ bị quá tải dẫn đến đứt đoạn kết nối Băng thông máy chủ cũng xảy ra trường hợp tương tự

Trang 22

Chương 3: Mô hình hoạt động của VPN 3.1 VPN hoạt động như thế nào?

Để hiểu cách thức hoạt động của VPN, trước tiên cần hiểu cách kết nối Internet hoạt động

mà không có mạng VPN

Hình 3 Kết nối Internet khi không có VPN

-Khi bạn truy cập 1 trang Web mà không có VPN, bạn đang được kết nối với trang Web thông qua nhà cung cấp dịch vụ Internet ( ISP:Internet Service Provider) ISP chỉ định cho bạn một địa chỉ IP duy nhất có thể được sử dụng để nhận dạng bạn với trang Web

-Vì ISP của bạn đang xử lý và định hướng tất cả lưu lượng truy cập của bạn, nên ISP có thể biết bạn truy cập vào những trang Web nào và hoạt động của bạn có thể được liên kết với bạn bằng địa chỉ IP duy nhất đó

*Khi sử dụng một VPN:

Trang 23

Internet và các giao thức Chương 3 Mô hình hoạt động của VPN

Hình 4 Kết nối Internet khi không có VPN

-Khi bạn kết nối Internet bằng VPN, ứng dụng VPN trên thiết bị của bạn (còn được gọi là máy khách VPN) sẽ thiết lập kết nối an toàn với máy chủ VPN

-Lưu lượng truy cập của bạn vẫn đi qua ISP của bạn, nhưng nó không còn có thể đọc hoặc nhìn thấy điểm đến cuối cùng của nó

-Đồng thời,các trang web bạn truy cập không còn thấy địa chỉ IP ban đầu của bạn nữa, chỉ còn địa chỉ IP của máy chủ VPN được nhiều người dùng khác chia sẻ và thay đổi thường xuyên

3.2 Phân loại

Có nhiều loại VPN khác nhau, nhưng hiện nay VPN phát triển và phân chia ra làm 3 loại chính sau:

*Các VPN truy cập (Remote Access VPNs)

-Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác

Trang 24

=>Kiểu VPN này thường được gọi là VPN truy cập từ xa

Hình 5 Mô hình mạng VPN truy cập

- Một số thành phần chính:

+ Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới

+ Quay số kết nối đến trung tâm:điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa

so với trung tâm

+ Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập

từ xa bởi người dùng

- Lợi ích chính của Remote Access VPNs:

 Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bời ISP

 Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

 Giảm giá thành chi phí cho các kết nối với khoảng cách xa

 Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa

* Các VPN nội bộ (Intranet VPNs)

- Intranet VPNs được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corporate Intranet ( mạng nội bộ công ty)

Trang 25

- Là một VPN nội bộ đươc sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty Điều này cho phép tất cả các địa điểm có thể truy cập các nguồn dữ liệu được phép trong toàn bộ mạng của công ty Các VPN nội bộ liên kết trụ sở chính, các văn phòng, và các văn phòng chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối mà luôn luôn được mã hoá

=> Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site

Hình 6 Mô hình mạng VPN nội bộ

- Lợi ích của VPN nội bộ:

 Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm

ở một số remote site khác nhau

 Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng

 Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet

*Các VPN mở rộng (Extranet VPNs)

- Extranet VPNs cho phép truy cập những tài nguyên mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trò quan trọng trong tổ chức

Trang 26

- Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp, và các đối tác qua một cơ sở hạ tầng công cộng sử dụng các kết nối mà luôn luôn được bảo mật

=> Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site Nhưng sự khác nhau giữa một VPN nội bộ và một VPN mở rộng đó là sự truy cập mạng mà được công nhận ở một trong hai đầu cuối của VPN

Hình 7 Mô hình mạng VPN mở rộng

- Một số thuận lợi khi dùng mạng VPN mở rộng:

 Do hoạt động trên môi trường Internet, chúng ta có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức

 Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì

 Dễ dàng triển khai, quản lý và chỉnh sửa thông tin

3.3 Giao thức đường hầm VPN

Có rất nhiều giao thức đường hầm khác nhau trong công nghệ VPN, và việc sử dụng các giao thức nào lên quan đến các phương pháp xác thực và mật mã đi kèm Một số giao thức đường hầm phổ biến hiện nay là:

- Giao thức tầng hầm chuyển tiếp lớp 2 (L2F-Layer 2 Forwarding)

- Giao thức đường hầm điểm tới điểm (PPTP-Point To Point Tunneling Protocol: dịch vụ quay số ảo)

- Giao thức tầng hầm lớp 2 (L2TP-Layer 2 Tunneling Protocol)

Trang 27

- GRE: Generic Routing Protocol

Tất cả các hệ điều hành Window kể từ Win 95 cho đến nay đề hỗ trợ PPTP Client

và các hệ thống Router and Remote Access Server (RRAS) đều bao gồm cả PPTP server

Gần đây hệ điều hành Linux, Mac OS X, và cả Palm PDA cùng đều hỗ trợ PPTP

Hình 8: Minh họa một kết nối PPTP

Ta sẽ làm rõ hơn một số khái niệm được đề cập đến trong phần này và những phần sau:

Trang 28

Là thiết bị cung cấp khả năng truy cập theo yêu cầu tới những người sử dụng Kết nối này là kết nối Point-to-Point sử dụng đường truyền PSTN hoặc ISDN

 PPTP Access Concentrator (PAC):

Là thiết bị kết nối với một hoặc nhiều đường truyền PSTN hoặc ISD, có khả năng quản lý và phân tích các gói tin PPP

PAC chỉ cần sử dụng TCP/IP để lưu thông tin với một hoặc nhiều PNS Thông tin có thể truyền đi bằng một giao thức không nhất thiết là giao thức IP

 Session (phiên):

PPTP là kết nối định hướng (connection-oriented) PAC và PNS duy trì trạng thái cho từng User kết nối với PAC Một session được tạo ra khi có một cố gắng kết nối end-to-end PPP từ một User và PNS.Dữ liệu về session này được gửi trong tunnel (đường hầm) giữa PAC cà PNS

 Tunnel (đường hầm):

Tunnel là một đường đi ảo được định nghĩa bởi từng cặp PNS và PNC Giao thức đường hầm sử dụng giao thức mã hóa GRE (Generic Routing Encapsulation)

Tunnel vận chuyển dữ liệu PPP giữa các PAC cà PNS và rất nhiều phiên kết hợp trong Tunnel Tunnel dùng TCP để điều khiển sự thiết laaph, duy trị phiên làm việc và chính nó

Trang 29

Thực chất PPTP là một giao thức đặc biệt cho phép giao thức PPP có thể đi qua một đường hầm trong mạng IP PPTP không hề làm thay đổi giao thức PPP mà đúng hơn là tạo một phương tiện khác để vận chuyển gói tin PPP

PPTP cho phép các chức năng của Network Access Server (NAS) có thể chia nhỏ ra thành cấu trúc Client & Server

3.3.1.2 Tổng quan giao thức PPTP

Giao thức đường hầm PPTP được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum Nhóm này bao gồm 3 công ty: Ascend comm., Microsoft, ECI Telematicsuncation và US Robotic Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có

để tạo kết nối bảo mật giữa người dùng xa (client) và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ

Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing

Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép PPTP dễ dàng xử lý các giao thức khác không phải IP như: IPX, NETBEUI

Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực PPTP có thể sử dụng PPP để mã hóa dữ liệu nhưng Microsoft đã đưa ra phương thức mã hóa khác mạnh hơn đó là mã hóa điểm - điểm MPPE (Microsoft Point-to-Point

Trang 30

3.3.1.3 Nguyên tắc hoạt động của PPTP

PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói, tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác

PPTP đóng gói các gói tin và khung dữ liệu của giao thức PPP vào các gói tin

IP để truyền qua mạng IP PPTP dùng kết nối TCP/IP để khởi tạo và duy trì, kết thúc đường hầm và dùng một gói định tuyến chung GRE để đóng gói các khung ppp Phần tải của khung PPP có thể được mã hóa và nén lại

PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thúc kết nối vật

lý, xác định người dùng và tạo các gói dữ liệu PPP

PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng PPTP khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết lập kết nối IP Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận Đó là giai đoạn tùy chọn trong PPP, tuy nhiên nó luôn luôn được cung cung cấp bởi ISP Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP Một số cơ chế xác thực được

sử dụng là:

 Giao thức xác thực mở rộng EAP

 Giao thức xác thực có thử thách bắt tay

 Giao thức xác định mật khẩu PAP

Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật CHAP là giao thức cách thức mạnh hơn, sử dụng phương pháp bắt tay 3 bước để hoạt động và chống lại các tấn công quay lại bằng cách sử dụng các giá trị bí mật duy nhất và không thể đoán và giải được PPTP cũng được các nhà phá triển công nghệ đưa vào việc mật mã và nén phần tải tin của PPP Để mật mã phần tải tin PPP có thể dùng phương pháp mã hóa điểm tới điểm MPPE MPPE chỉ cung cấp mật mã trong lúc truyền dữ liệu trên

Trang 31

đường truyền không cung cấp mật mã tại các thiết bị đầu cuối tới đầu cuối Nếu cần

sử dụng mật mã đầu cuối tới đầu cuối thì có thể sử dụng giao thức IPSec để bảo mật lưu lượng IP giữa các đầu cuối sau khi đường hầm PPTP được thiết lập

Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng gói các gói truyền trong đường hầm Để có thể dựa trên những ưu điểm của kết nối tạo bởi PPP, PPTP định nghĩa 2 loại gói là điều khiển và dữ liệu, sau đó gán chúng vào 2 kênh riêng là kênh điều khiển và kênh dữ liệu PPTP tách các kệnh điều khiển và kênh dữ liệu thành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ liệu với giao thức IP Kết nối TCP tạo ra giữa các máy khách và máy chủ được sử dụng để truyền thông báo điều khiển

Các gói dữ liệu là dữ liệu thông thường của người dùng Các gói điều khiển được đưa vào theo một chu kỳ để lấy thông tin và trạng thái kết nối và quản lý báo hiệu giữa tương ứng giữa máy khách PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm

Kênh điều khiển được yêu cầu cho việc thiết lập một dường hầm giữa các máy khác và máy chủ PPTP Máy chủ PPTP là một Server có sử dụng PPTP với một giao diện được kết nối với Internet và một giao diện khác nối với Intranet, còn phần mềm Client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP

3.3.1.4 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ IP của máy chủ PPTP Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sử dụng để duy trì đường hầm PPTP Các bản tin này bao gồm PPTP yêu cầu phản hồi và PPTP đáp lại phản hồi định kỳ để phát hiện các lỗi kết nối giữa các máy trạm và máy chủ PPTP Các gói tin của kết nối điều khiển PPTP bao gồm:

 Tiêu đề IP

 Tiêu đề TCP

Trang 32

 Bản tin điều khiển PPTP

 Tiêu đề phần liên kết dữ liệu

 Phân cuối của lớp liên kết dữ liệu

Hình 9: Gói dữ liệu kết nối điều khiển PPTP

3.3.1.5 Nguyên lý đóng gói dữ liệu đường hầm PPTP

 Đóng gói khung PPP và gói định tuyến chung GRE

Dữ liệu đường hầm PPTP được đóng gói thông qua các mức được mô tả thep mô hình sau:

Hình 10: Mô hình đóng gói dữ liệu đường hầm PPTP Phần tải của khung PPP ban đầu được mã hóa và đóng gói với tiêu dề PPP

để tạo ra khung PPP Khung PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi

GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP Đối với PPTP, phần tiêu đề của GRE được sửa đồi một số điểm đó là:

 Một trường các nhận dài 32 bits được thêm vào

Tải PPP được mã hóa

Phần cuối liên kết dữ liệu

Tiêu đề liên

kết dữ liệu Tiêu đề IP Tiêu đề TCP Bản tin điều

khiển PPTP

Phần cuối của liên kết

dữ liệu

Trang 33

 Một bit xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32 bits

 Trường Key được thay thế bằng trường độ dài Payload 16 bits và trường chỉ số cuộc gọi 16 bits

 Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm

 Đóng gói IP

Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó được đóng gói với một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ PPTP

 Đóng gói lớp liên kết dữ liệu

Để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ được đóng gói với một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý đầu ra Như trong mạng LAN thì nếu gói tin IP được gửi qua giao diện Ethernet,

nó sẽ được gói với phần tiêu đề và đuôi Ethernet Nếu gói tin IP được gửi qua đường truyền WAN điểm tới điểm nó sẽ được đóng gói với phần tiêu đề và đuôi của giao thức PPP

Sơ đồ đóng gói trong giao thức PPTP

Trang 34

Quá trình đóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem được mô phỏng theo hình dưới đây:

Hình 11: Sơ đồ đóng gói PPTP

 Các gói tin IP, IPX, hoặc khung NetNEUI được đưa tới giao diện

ảo đại diện cho kết nối VPN bằng các giao thức tương ứng hoặc sử dụng đặc tả giao diện thiết bị mạng NDIS

 NDIS đưa gói tin dữ liệu ới NDISWAN, nơi thực hiện việc mã hóa

và nén dữ liệu, cũng như cung cấp tiêu đề PPP, phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP không có trường Flags và trường chuỗi kiểm tra khung (FCS) Giả định trường địa chỉ và điều khiển được thỏa thuận ở giao thức điều khiển đường truyền (LCP) trong quá trình kết nối PPP

 NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp xác định đường hầm

Trang 35

 Giao thức TCP/IP đóng gói dữ kiệu đường hầm PPTP với phần tiêu

đề IP sau đó gửi kết quả tới giao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS

 NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP

 NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số

3.3.1.6 Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP

Khi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP sẽ thực hiện các bước sau:

 Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin

 Xử lý và loại bỏ tiêu đề IP

 Xử lý và loại bỏ tiêu đề GRE và PPP

 Giải mã hoặc nén phần tải tin PPP

 Xử lý phần tải tin để nhận hoặc chuyển tiếp

3.3.1.7 Triển khai VPN dựa trên PPTP

Khi triển khai VPN dựa trên giao thức PPTP yêu cầu hệ thống tối thiểu phải

có các thành phần thiết bị như chỉ ra ở hình trên, bao gồm:

 Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật VPN

 Một máy chủ PPTP

 Máy trạm PPTP với phần mềm Client cần thiết

Trang 36

Hình 12: Các thành phần hệ thống cung cấp VPN dựa trên PPTP

2

Thiết lập máy chủ PPTP tại site mạng có thể hạn chế nếu như máy chỉ PPTP nằm sau tường lửa PPTP được thiết kế sao cho chỉ có một cổng TCP

1723 được sử dungh để chuyển dữ liệu đi Nhược điểm của cấu hình cổng này

có thể làm cho bước tường lửa dễ bị tấn công Nếu như tường lửa được cấu hình để lọc gói tin thì cần phải thiết lập nó cho phép GRE đi qua

Một thiết bị khác được đưa ra năm 1998 do hãng 3Com có chức năng tương tự như mát chủ PPTP gọi là chuyển mạch đường hầm Mục đích của chuyển mạch đường hầm là mở rộng đường hầm từ một mạng đến một mạng

Trang 37

khác, trải rộng đường hầm từ mạng của ISP đến mạng riêng Chuyển mạch đường hầm có thể được sử dụng tại tường lửa làm tăng khả năng quản lý truy nhập từ xa vào tài nguyên của mạng nội bộ Nó có thể kiểm tra các gói tin đến

và đi, giao thức của các khung PPP hoặc tên của người dùng từ xa

 Phần mềm Client PPTP

Các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mềm bổ sung nào cho các máy trạm, chỉ cần một kết nối PPP chuẩn Nếu như các thiết bị của ISP không hỗ trợ PPTP thì một phần mềm ứng dụng Client vẫn có thể tạo liên kết nối bảo mật bằng cách: đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua cồng PPTP ảo được thiết lập

Định dạng
Số trang	75
Dung lượng	1,99 MB