Luận văn thạc sĩ VNU UET công nghệ mạng riêng ảo SSL VPN và ứng dụng trong xây dựng hệ thống truyền tệp luận văn ths công nghệ thông tin 1 01 10
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.87 MB, 89 trang )
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN ĐÌNH NGHĨA
CƠNG NGHỆ MẠNG RIÊNG ẢO SSL VPN VÀ
ỨNG DỤNG TRONG XÂY DỰNG
HỆ THỐNG TRUYỀN TỆP
Chuyên ngành: Công nghệ thông tin
Mã số
: 1.01.10
LUẬN VĂN THẠC SỸ
NGƯỜI HƯỚNG DẪN KHOA HỌC:
PGS.TS. NGUYỄN VĂN TAM
Hà Nội - 2006
LUAN VAN CHAT LUONG download : add
1
MỤC LỤC
Lời cảm ơn
Lời cam đoan
Mục lục ………………………………………………..…………………………....1
Danh mục các chữ viết tắt, thuật ngữ.……………………………………..……..4
Danh mục các hình vẽ.…………………………………………………………..…5
Mở đầu…………………………………………………………………………..….8
Chương 1 Tổng quan về mạng riêng ảo………………………………………....10
1.1 Khái niệm chung về mạng riêng ảo………………………………………….10
1.2 Phân loại mạng riêng ảo…………………………………………………….12
1.2.1 Phân loại VPN theo việc cung cấp dịch vụ…………………………….12
1.2.2 Phân loại VPN theo kỹ thuật sử dụng trong VPN………………………16
1.2.3 Phân loại VPN theo nhóm chức năng………………………………….16
1.2.4 Phân loại VPN theo nhóm cơng nghệ và mơ hình OSI………………...18
1.2.5 Phân loại VPN theo nơi xử lý VPN……………………………………18
1.3 Các thành phần của mạng riêng ảo………………………………………….19
1.3.1 Máy chủ phục vụ truy cập mạng NAS…………………………………19
1.3.2 Bộ định tuyến…………………………………………………………...19
1.3.3 Máy nguồn và máy đích đường hầm…………………………………...19
1.3.4 Máy chủ phục vụ xác thực……………………………………….…….20
1.3.5 Tường lửa - Firewall……………………………………………………20
1.3.6 Máy chủ chính sách…………………………………………………….21
1.3.7 VPN Gateway…………………………………………………………...21
1.4 Đường hầm trong VPN……………………………………………………...21
1.4.1 Khái niệm đường hầm…………………………………………….……21
1.4.2 Các giao thức đường hầm……………………………………………...22
1.5 Các yêu cầu cơ bản đối với VPN…………………………………………...29
1.5.1 Xác thực trong VPN……………………………………………………29
1.5.2 Tính bí mật dữ liệu trong VPN…………………………………….…...32
1.5.3 Tính tồn vẹn dữ liệu trong VPN………………………………………32
1.6 Kết luận chương…………………………………………………………….33
Chương 2 Công nghệ mạng riêng ảo SSL VPN………………………………...34
2.1 Giới thiệu……………………………………………………………………34
2.1.1 Lịch sử phát triển của giao thức SSL…………………………………...34
2.1.2 SSL và mơ hình OSI…………………………………………………...35
2.2 Các khái niệm an ninh được sử dụng trong SSL……………………………36
2.2.1 Mã hoá………………………………………………………………....36
LUAN VAN CHAT LUONG download : add
2
2.2.2 Hàm băm và bản tóm lược thơng điệp…………………………………37
2.2.3 Mã xác thực thơng điệp………………………………………………...38
2.2.4 Mã hố khóa cơng khai và chữ ký điện tử……………………………...38
2.2.5 Chứng chỉ số và cơ quan cung cấp chứng chỉ số………………………39
2.3 Giao thức đường hầm SSL………………………………………………….40
2.3.1 Giao thức bắt tay SSL…………………………….……………………40
2.3.2 Giao thức bản ghi SSL…………………………………………………53
2.3.3 Giao thức cảnh báo SSL……………………………………………….56
2.3.4 Giao thức ChangeCipherSpec………………………………………….57
2.3.5 Khuôn dạng các thông điệp giao thức bắt tay………………………….58
2.4 Thiết lập đường hầm trong SSL VPN………………………………………63
2.5 So sánh SSL VPN và IPSec VPN…………………………………………...64
2.6 Kết luận chương…………………………………………………………….66
Chương 3 Xây dựng hệ thống truyền tệp dựa trên hoạt động của giao thức SSL…67
3.1 Phát biểu bài toán……………………………………………………………67
3.2 Thiết kế hệ thống……………………………………………………………68
3.3 Giao thức trao đổi dữ liệu SSLFTP………………………………………...69
3.4 Nguyên tắc hoạt động của hệ thống…………………………………………69
3.4.1 Khởi tạo phiên giao tiếp………………………………………………...69
3.4.2 Các thông điệp trao đổi trong pha thiết lập liên kết.…………………...71
3.4.3 Xác thực máy chủ tệp..………………………………………………...72
3.4.4 Tạo các tham số phiên.…………………………………………………73
3.4.5 Đóng gói và gửi thơng điệp…………………………………………….74
3.4.6 Các thuật tốn sử dụng trong hệ thống………………………………...74
3.5 Thiết kế các thông điệp trao đổi dữ liệu…………………………………….75
3.5.1 Khuôn dạng thông điệp của giao thức bản ghi SSLFTPRecord……….75
3.5.2 Khuôn dạng thông điệp của các giao thức tầng trên……………………75
3.6 Bảo vệ các thơng điệp……………………………………………………….79
3.6.1 Tính tốn mã xác thực thơng điệp……………………………………...80
3.6.2 Mã hố dữ liệu…………………………………………………………80
3.7 Thiết kế module chương trình………………………………………………81
3.7.1 Module trên máy chủ xác thực.………………………………………...81
3.7.2 Module trên máy chủ tệp.……………………………………………...82
3.7.3 Module trên máy khách..……………………………………………….82
3.8 Cài đặt thử nghiệm………………………………………………………….83
3.8.1 Cài đặt trên máy chủ xác thực………………………………………….83
3.8.2 Cài đặt trên máy chủ tệp……………………………………………….84
LUAN VAN CHAT LUONG download : add
3
3.8.3 Cài đặt trên máy khách.………………………………………………...85
Kết luận chung……………………………………………………………………87
Tài liệu tham khảo……………………………………………………………….88
Phụ lục
Phụ lục A
Phụ lục B
Phụ lục C
Phụ lục D
Phụ lục E
Phụ lục F
LUAN VAN CHAT LUONG download : add
4
DANH MỤC CÁC TỪ VIẾT TẮT, THUẬT NGỮ TRONG LUẬN VĂN
AH
CHAP
CA
DES
FEP
ESP
GRE
HDLC
IETF
IPSec
IPSec VPN
L2F
L2TP
LCP
LDAP
MAC
Message Digest
MPLS
MPPE
NAS
NAT
NCP
PAP
PIN
PoP
PKC
PPP
PPTP
RAS
RC2, và RC4
SKC
SSL
SSL VPN
SP
TLS
VPN
Authentication Header
Challenge Handshake Authentication Protocol
Certification Authority
Data Encryption Standard
Front-End-Processor
Encapsulating Security Payload
Generic Routing Encapsulation
High-Level Data Link Control
Internet Engineering Task Force
Internet Protocol Security
Mạng riêng ảo sử dụng công nghệ IPSec
Layer 2 Forwarding
Layer 2 Tunneling Protocol
Link Control Protocol
Lightweight Directory Access Protocol
Message Authentication Code
Bản tóm lược thơng điệp
Multi Protocol Label Switching
Microsoft Point to Point Encryption
Network Access Server
Network Address Translation
Network Control Protocol
Password Authentication Protocol
Personal Identification Number
Point of Presence
Public Key Cryptography
Point to Point Protocol
Point to Point Tunneling Protocol
Remote Access Server
Rivest's Cipher or Ron's Code
Secret Key Cryptography
Secure Socket Layer
Mạng riêng ảo sử dụng công nghệ SSL
Service Provider
Transport Layer Security
Virtual Private Network
LUAN VAN CHAT LUONG download : add
5
DANH MỤC CÁC HÌNH VẼ TRONG LUẬN VĂN
Hình 1.1
Hình 1.2
Hình 1.3
Hình 1.4
Hình 1.5
Hình 1.6
Hình 1.7
Hình 1.8
Hình 1.9
Hình 1.10
Hình 1.11
Hình 1.12
Hình 1.13
Hình 1.14
Hình 1.15
Hình 1.16
Hình 1.17
Hình 1.18
Hình 1.19
Hình 2.1
Hình 2.2
Hình 2.3
Hình 2.4
Hình 2.5
Hình 2.6
Hình 2.7
Hình 2.8
Hình 2.9
Hình 2.10
Hình 2.11
Hình 2.12
Hình 2.13
Hình 2.14
Hình 2.15
Hình 2.16
Mơ hình một VPN……………….….…………………………………..11
Mối quan hệ giữa các Router…………………………………………..12
Triển khai Overlay VPN tầng 1…………………..……………………13
Triển khai Overlay VPN tầng 2.………...……..………………………13
Triển khai Overlay VPN tầng 3……………..…………………………13
Mơ hình mạng MPLS VPN…………………………..………………...15
Remote Access VPN…………………………………..………………17
Site to Site VPN……………………….……………….………………18
VPN theo nơi xử lý………………………………..…………………...19
Đường hầm trong VPN……………………………...….……...............22
Phiên PPTP với máy khách PPP……………………………………….23
Phiên PPTP với máy khách PPP và giao thức PPTP…………………..24
Các thao tác PPTP……………………………………………………...24
Cấu trúc gói tin điều khiển trong giao thức PPTP……………………..25
Cấu trúc gói tin dữ liệu người dùng trong PPTP………………………25
Chế độ đường hầm bắt buộc L2TP…………………………………….26
Chế độ đường hầm chủ động L2TP……………………………………26
Cấu trúc gói tin điều khiển trong giao thức L2TP………………..........27
Cấu trúc gói tin dữ liệu người dùng trong L2TP………………………27
Sơ đồ mối quan hệ giữa SSL và mơ hình OSI………….……………...35
Sơ đồ mối quan hệ giữa SSL và các giao thức khác…………………...36
Sơ đồ hệ thống mã hoá khoá đối xứng ………………………………..37
Sơ đồ hệ thống mã hố khố cơng khai ……………………..………...37
Sơ đồ xác thực dữ liệu dùng chữ ký điện tử…………………………...39
Sơ đồ quá trình bắt tay không xác thực máy khách trong SSL……......41
Sơ đồ quá trình bắt tay có xác thực máy khách trong SSL……………43
Sơ đồ quá trình cập nhật trạng thái phiên tại máy khách………………46
Sơ đồ quá trình cập nhật trạng thái phiên tại máy chủ………………...47
Sơ đồ xác thực máy chủ trong giao thức SSL………………………….49
Sơ đồ xác thực máy khách trong giao thức SSL………………………50
Sơ đồ quá trình tạo Master secret trong SSL…………………………..51
Sơ đồ quá trình tạo Key material trong SSL…………………………..52
Sơ đồ sinh khố từ Key material………………………………………52
Các bước xử lý dữ liệu trong giao thức bản ghi SSL…………………..53
Khuôn dạng thông điệp bản ghi SSL…………………………………..53
LUAN VAN CHAT LUONG download : add
6
Hình 2.17
Hình 2.18
Hình 2.19
Hình 2.20
Hình 2.21
Hình 2.22
Hình 2.23
Hình 2.24
Hình 2.25
Hình 2.26
Hình 2.27
Hình 2.28
Hình 2.29
Hình 2.30
Hình 2.31
Hình 2.32
Hình 2.33
Hình 3.1
Hình 3.2
Hình 3.3
Hình 3.4
Hình 3.5
Hình 3.6
Hình 3.7
Hình 3.8
Hình 3.9
Hình 3.10
Hình 3.11
Hình 3.12
Hình 3.13
Hình 3.14
Hình 3.15
Hình 3.16
Hình 3.17
Hình 3.18
Hình 3.19
Hình 3.20
Bảo vệ thơng điệp với thuật tốn MD5………………………………..54
Bảo vệ thơng điệp với thuật tốn SHA…………………………………54
Sơ đồ tính tốn MAC trong SSL………………………………………55
Mã hố thơng điệp với thuật tốn mã hố dịng……………………….56
Mã hố thơng điệp với thuật tốn mã hố khối………………………..56
Khn dạng thơng điệp Alert………………………………………….56
Khn dạng thông điệp ChangeCipherSpec…………………………...57
Tổ hợp các thông điệp Handshake trong bản ghi SSL………………...58
Khuôn dạng thông điệp HelloRequest.………………………………...59
Khuôn dạng thông điệp ClientHello…………………………………...59
Khuôn dạng thông điệp ServerHello…………………………………..60
Khuôn dạng thông điệp Certificate……………………………………60
Khuôn dạng thông điệp CertificateRequest…………………………...61
Khuôn dạng thông điệp ServerHelloDone…………………………….61
Khuôn dạng thông điệp ClientKeyExchange với RSA………………..62
Khuôn dạng thông điệp CertificateVerify……………………………..62
Khuôn dạng thông điệp Finished………………………………………63
Mơ hình hệ thống truyền tệp…………………………………………..68
Sơ đồ mối quan hệ giữa các giao thức thành phần SSLFTP…………..69
Sơ đồ khởi tạo phiên giao tiếp và xác thực máy chủ tệp……….……..70
Sơ đồ quá trình xác thực máy chủ tệp…………………………………72
Sơ đồ quá trình tạo Master secret trong SSLFTP……………………...73
Sơ đồ q trình tạo khố phiên………………………………………...74
Khuôn dạng thông điệp bản ghi SSLFTP……………………………...75
Khuôn dạng thông điệp ClientHelloFTP………………………………76
Khuôn dạng thông điệp ServerHelloFTP……………………………...76
Khuôn dạng thông điệp AuthenRequestFTP…………………………..77
Khuôn dạng thông điệp AuthenRespondFTP………………………….77
Khuôn dạng thông điệp ServerHelloDoneFTP………………………..78
Khuôn dạng thông điệp ClientKeyExchangeFTP……………………..78
Khuôn dạng thông điệp FinishedFTP………………………………….78
Khuôn dạng thông điệp ChangeCipherSpecFTP………………………79
Khuôn dạng thơng điệp AlertFTP……………………………………..79
Sơ đồ tính tốn MAC trong SSLFTP………………………………….80
Bảo vệ thông điệp với MAC…………………………………………...81
Sơ đồ hoạt động của module chương trình trên máy chủ xác thực……81
Sơ đồ hoạt động của module chương trình trên máy chủ tệp………….82
LUAN VAN CHAT LUONG download : add
7
Hình 3.21
Hình 3.22
Hình 3.23
Hình 3.24
Sơ đồ hoạt động của module chương trình trên máy khách…………...83
Giao diện chương trình trên máy chủ xác thực………………………..84
Giao diện chương trình trên máy chủ tệp……………………………...84
Giao diện chương trình trên máy khách……………………………….85
LUAN VAN CHAT LUONG download : add
8
MỞ ĐẦU
Trong những năm gần đây công nghệ thông tin đã phát triển một cách nhanh
chóng với nhiều loại hình dịch vụ phong phú đáp ứng yêu cầu ngày càng cao của
con người. Các hệ thống mạng truyền thông hiện đại, các máy tính cá nhân, các
mạng máy tính quốc gia, quốc tế và Internet …. đã làm cho các quốc gia, các cơng
ty, cá nhân trên thế giới xích lại gần nhau hơn.
Thông tin là nhu cầu không thể thiếu đối với con người và là một dạng tài
nguyên đặc biệt vơ cùng q giá. Nói đến thơng tin cũng đồng thời nói đến sự giao
lưu trao đổi và bảo mật an tồn thơng tin, đặc biệt là trong các hệ thống truyền tin,
các mạng dữ liệu và mạng máy tính.
Có nhiều cách thức, phương pháp để bảo đảm an tồn cho thơng tin, mạng
riêng ảo là một giải pháp tốt cho vấn đề trao đổi thông tin qua mạng. Mạng riêng ảo
thực chất là việc kết nối mạng của các cơ quan, tổ chức sử dụng hạ tầng cơ sở mạng
công cộng như Internet… Trong công nghệ thông tin, khoa học về mạng và truyền
thông là một lĩnh vực đạt được rất nhiều thành tựu và được ứng dụng trong nhất
nhiều lĩnh vực như thương mại điện tử, ngân hàng, tài chính, hàng khơng…. Những
nghiên cứu này đã góp phần đáng kể trong việc thúc đẩy xã hội phát triển nói
chung cũng như ngành Cơng nghệ Thơng tin nói riêng.
Trên thế giới và đặc biệt là ở Châu Âu, Mỹ, công nghệ (cả phần cứng và
phần mềm) về mạng và truyền thông đã phát triển rất mạnh, thậm chí một số tài
liệu cho rằng nó đã đạt tới mức hồn thiện về cơng nghiệp.
Việc nghiên cứu, triển khai mạng riêng ảo ở nước ta cũng đã được quan tâm,
nhưng kết quả thu được cịn hạn chế.
Luận văn “Cơng nghệ mạng riêng ảo SSL VPN và ứng dụng trong xây
dựng hệ thống truyền tệp” định hướng vào công nghệ xây dựng mạng riêng ảo
SSL VPN và thiết kế, triển khai hệ thống thực tế.
Nội dung chính của luận văn bao gồm 3 chương và phần phụ lục.
Chương 1. Trình bày tổng quan về mạng riêng ảo: các khái niệm, phân loại,
các yêu cầu đối với mạng riêng ảo,...
Chương 2. Trình bày về cơng nghệ SSL trong việc xây dựng mạng riêng ảo
SSL VPN bao gồm cấu trúc, nguyên lý hoạt động, các vấn đề về an ninh...
Chương 3. Đề xuất một mơ hình truyền tệp dựa trên cơng nghệ SSL, thiết kế,
cài đặt thử nghiệm.
LUAN VAN CHAT LUONG download : add
9
Ngồi ba chương chính, bố cục luận văn cịn có các phần Mở đầu, Kết luận
và Tài liệu tham khảo. Phần kết luận nêu tóm tắt các vấn đề đã trình trong các
chương, đánh giá các kết quả đã đạt được và chưa đạt được, đồng thời đưa ra các
định hướng nghiên cứu, phát triển tiếp theo.
Phần phụ lục mô tả thuật toán được sử dụng trong hệ thống bao gồm thuật
toán mã hoá khoá đối xứng AES, thuật toán băm MD5, định nghĩa cấu trúc các
thông điệp của giao thức SSLFTP và bảng liệt kê các CipherSuite dùng trong giao
thức SSL 3.0.
LUAN VAN CHAT LUONG download : add
10
Chương 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1 Khái niệm chung về mạng riêng ảo
Phương án truyền thơng nhanh, an tồn và tin cậy đang trở thành mối quan
tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổ chức có các địa điểm phân
tán về mặt địa lý, công ty đa quốc gia. Giải pháp thông thường được áp dụng bởi đa
số các công ty là thuê các đường truyền riêng (leased lines) để duy trì một mạng
WAN (Wide Area Network). Các đường truyền này, được giới hạn từ ISDN
(Integrated Services Digital Network, 128 Kbps) đến đường cáp quang OC3
(Optical Carrier-3, 155 Mbps). Mỗi mạng WAN đều có điểm thuận lợi về độ tin
cậy, hiệu năng, tính an tồn và bảo mật. Nhưng để bảo trì một mạng WAN, đặc biệt
là sử dụng các đường truyền riêng, khi cơng ty muốn mở rộng các văn phịng đại
diện, hoặc mở mối quan hệ qua mạng với các đối tác thì chi phí có thể sẽ rất đắt.
Ngày nay, khi Internet trở nên phổ biến, các công ty thương mại rất trú trọng
đầu tư vào Internet nhằm quảng bá công ty của họ và đồng thời cũng để mở rộng
các mạng mà họ sở hữu. Ban đầu là các mạng nội bộ được thiết kế riêng cho các
thành viên trong công ty sử dụng và sau này là các VPN để điều tiết và quản lý các
nhân viên hay các văn phòng đại diện từ xa.
Mạng riêng ảo là gì?
Về căn bản, mỗi VPN là sự mở rộng của một mạng riêng của các công ty, tổ
chức thông qua sử dụng các kết nối mạng công cộng hoặc mạng chia sẻ, chẳng hạn
như Internet. Mục đích chính của VPN là cung cấp cho khách hàng tất cả các tính
năng mà một kênh thuê riêng có được nhưng với một giá thành rẻ hơn rất nhiều
trên cơ sở tận dụng hạ tầng cơ sở mạng cơng cộng. Để duy trì được tính riêng tư
trên cơ sở hạ tầng mạng cơng cộng, các VPN hiện nay đều sử dụng các giao thức
để tạo đường hầm truyền tin và các biện pháp an ninh để bảo vệ dữ liệu trên đường
truyền như mã hố, xác thực, hàm băm…. Hình 1.1 thể hiện mơ hình tổng thể của
một mạng riêng ảo kết nối các văn phịng của cơng ty với nhau và giữa văn phịng
cơng ty với các đối tác thương mại ([19], [20], [21], [22]).
Một số thuật ngữ liên quan tới VPN
Trước khi đi sâu vào tìm hiểu, phân tích các khía cạnh trong một mạng riêng
ảo tác giả xin điểm qua một số thuật ngữ thường được dùng trong mạng VPN.
LUAN VAN CHAT LUONG download : add
11
Provider network (P- Network): là mạng của nhà cung cấp dịch vụ, dựa trên
mạng này mà các VPN được hình thành.
Nhân viên di động
Chi nhánh
của cơng ty ở xa
Văn phịng chính
của cơng ty
Internet
Văn phịng gia
đình
Đối tác
thương mại
Hình 1.1 Mơ hình một VPN
Customer network (C- Network): phần mạng thuộc sự kiểm soát của khách hàng.
Customer site: Một phần tiếp giáp của C - Network, bao gồm nhiều vị trí tự nhiên.
Provider (P) device: là thiết bị trong mạng của nhà cung cấp dịch vụ, thường
là một P Router.
Provider edge (PE) device: là thiết bị trong mạng của nhà cung cấp dịch vụ, thiết
bị này được nối với thiết bị bên mạng của khách hàng và nó thường là một PE router.
Customer edge (CE) device: là thiết bị trong mạng của khách hàng được kết
nối với PE trong mạng của nhà cung cấp, nó thường là một CE Router.
Virtual circuit (VC): là một kết nối logic điểm tới điểm được thiết lập qua
việc chia sẻ hạ tầng lớp 2.
Hình vẽ 1.2 mơ tả mối quan hệ giữa các thiết bị của nhà cung cấp dịch vụ với
các thiết bị của khách hàng
LUAN VAN CHAT LUONG download : add
12
Customer Edge
Router
VPN C
Provider
Edge Router
Provider Router
PE Router
CE Router
VPN D
P Router
CE Router
PE Router
P Router
PE Router
CE Router
VPN A
CE Router
VPN B
Hình 1.2 Mối quan hệ giữa các Router
1.2 Phân loại mạng riêng ảo
Hiện nay, có nhiều tiêu chí để phân loại VPN, tùy theo mục đích sử dụng,
cơng nghệ tạo VPN…Dựa vào các tiêu chí đó, tác giả xin trình bày một số cách
phân loại VPN như sau:
1.2.1 Phân loại VPN theo việc cung cấp dịch vụ
Những dịch vụ VPN cung cấp dựa trên 2 loại chính:
1. VPN chồng lấp (overlay VPN) tức là nhà cung cấp dịch vụ cung cấp những
kết nối điểm-tới-điểm giữa các vị trí khác nhau của khách hàng.
2. VPN ngang hàng (peer-to-peer VPN) tức là nhà cung cấp dịch vụ tham gia
vào đường dẫn của khách hàng ([21]).
VPN kiểu chồng lấp (OVERLAY MODEL): Kiểu Overlay VPN được triển
khai dựa trên mạng chung của nhà cung cấp dịch vụ. VPN này có thể được thực
hiện tại tầng 1 qua việc sử dụng kênh thuê riêng hoặc đường quay số, tại tầng 2 qua
việc sử dụng mạng X.25, frame relay hay kênh ảo ATM hoặc tại tầng 3 sử dụng
đường hầm IP. Trong trường hợp này, mạng của nhà cung cấp dịch vụ là một sự kết
hợp giữa các kết nối điểm - điểm hay các kênh ảo. Việc định tuyến trong mạng
khách hàng là trong suốt đối với mạng cung cấp dịch vụ, các giao thức định tuyến
hoạt động trực tiếp giữa các Router của khách hàng và nhà cung cấp dịch vụ chỉ
đơn giản chịu trách nhiệm cung cấp sự truyền thông tin điểm - điểm giữa các vị trí
khác nhau của khách hàng. Trong hệ thống này, sự chuyển tiếp, tìm đường lớp 3 đ-
LUAN VAN CHAT LUONG download : add
13
ược thiết lập giữa các router CE tại các vị trí khác nhau và nhà cung cấp dịch vụ
khơng cần phải biết hết thông tin đường truyền này. Kiểu overlay VPN có 2 han
chế: một là rất khó đánh giá độ lớn của dung lượng giữa các kết nối điểm - điểm,
hai là yêu cầu về triển khai một mạng lưới đầy đủ (fully meshed) giữa các kết nối
điểm-điểm hay các kênh ảo trên mạng trục của nhà cung cấp dịch vụ để tối ưu đường truyền. Hình 1.3 thể hiện cách thức triển khai các VPN chồng lấp:
Triển khai tại tầng 1: nhà cung cấp dịch vụ thiết lập các đường kết nối vật lý
(tầng l) để liên kết các site của khách hàng thông qua ISDN, DS0, T1, E1, SONET
hoặc SDH. Khách hàng triển khai ở các mức cao hơn như: PPP, HDLC hoặc IP.
IP
PPP
ISDN
HDLC
DS0, T1, E1 SONET, SDH
Hình 1.3 Triển khai Overlay VPN tầng 1
Triển khai tại tầng 2: sử dụng giải pháp chuyển mạch WAN truyền thống. Nhà
cung cấp dịch vụ thiết lập kết nối giữa các site của khách hàng thông qua mạng X.25,
Frame Relay, hay ATM; khách hàng triển khai tiếp tầng IP và các tầng cao hơn.
IP
X.25
Frame Relay
ATM
Hinh 1.4 Triển khai Overlay VPN tầng 2
Triển khai tại tầng 3: các VPN được hình thành thông qua các đường hầm IP
điểm - điểm. Các điểm cuối đường hầm là trong suốt với nhau, không cần biết cấu
trúc topo mạng cụ thể là gì. Ngồi ra, các đường hầm còn cho phép sử dụng các địa
chỉ mạng riêng thông qua mạng xương sống (backbone) của nhà cung cấp dịch vụ
mà không cần cơ chế phiên dịch địa chỉ mạng (NAT). Đường hầm được thiết lập với
cơ chế đóng gói định tuyến chung - GRE hoặc với giao thức bảo mật IP (IP Sec),
giao thức SSL. Quá trình cài đặt GRE thường đơn giản và nhanh, tuy nhiên độ an
tồn khơng cao, trong khi đó việc triển khai IPSec mặc dù phức tạp hơn, dùng nhiều
nguồn lực hơn (CPU cycle) nhưng cơ chế bảo mật tốt hơn.
IP
Generic Routing
IP security (IPSec)
Encapsulation (GRE)
IP
Hình 1.5 Triển khai Overlay VPN tầng 3
LUAN VAN CHAT LUONG download : add
14
Các đường hầm GRE cung cấp một đường dẫn riêng qua mạng WAN, chia sẻ
và đóng gói lưu lượng truyền thông với phần tiêu đề mới để đảm bảo chắc chắn các
gói tin được chuyển đến đích. Các đường hầm GRE tự nó khơng bao hàm tính bí
mật dữ liệu nhưng có thể chuyển các lưu lượng đã được mã hố. Để tăng cường an
ninh, GRE có thể dùng kết hợp với IPSec. Khi triển khai VPN lớp 3 qua một mạng
công cộng, các đường hầm VPN được xây dựng dựa trên hạ tầng chia sẻ không tin
cậy. IPSec cung cấp các dịch vụ tổng thể như tính bảo mật, tính tồn vẹn, tính xác
thực để đảm bảo các thơng tin nhạy cảm được truyền một cách an toàn qua các
đường hầm này mà không bị can thiệp bởi người khác.
Mặt khác, một hạn chế của IPSec là quá trình mã hoá chỉ làm việc với các
khung tin unicast và chính sự kết hợp với GRE đã khắc phục được hạn chế này, bởi
vì GRE có thể hoạt động với truyền thông đa giao thức và multicast IP giữa hai site.
VPN kiểu ngang hàng (Peer-to-Peer VPN)
Kiểu VPN ngang hàng là một phương pháp định tuyến đơn giản cho khách
hàng. Khách hàng và nhà cung cấp dịch vụ đều sử dụng cùng một giao thức trong
mạng của mình. Tuyến đường lưu lượng của khách hàng được thực hiện qua một
mạng lõi (mạng của nhà cung cấp dịch vụ). Các router PE của nhà cung cấp dịch vụ
trao đổi thơng tin tìm đường với router CE của khách hàng và việc chuyển tiếp lớp
3 được thiết lập giữa các Router PE và CE tại mỗi phía. Do việc định tuyến ngang
hàng đã được cài đặt cho nên việc tìm đường giữa hai site là tối ưu.
MPLS VPN
Có thể nói VPN là một trong những ứng dụng quan trọng nhất của công nghệ
chuyển mạch nhãn đa giao thức MPLS. Điểm nổi bật của công nghệ này là chuyển
tiếp lưu lượng nhanh, khả năng linh hoạt trong các dịch vụ định tuyến, đơn giản
trong điều khiển phân luồng và tận dụng được đường truyền giúp giảm chi phí. Kỹ
thuật MPLS VPN đã đưa ra một thay đổi cơ bản trong cơng nghệ VPN đó là sử
dụng khái niệm Virtual Router thay cho Dedicated Router và Shared Router. Hình
1.6 mơ tả cấu trúc tổng thể của mạng MPLS VPN ([24]).
MPLS VPN được cấu tạo bởi các thành phần sau:
• MPLS domain: là tập hợp của các node mạng MPLS được quản lý và điều
khiển bởi cùng một quản trị mạng, hay nói một cách đơn giản hơn, MPLS domain có
thể coi như hệ thống mạng của một tổ chức nào đó (chẳng hạn nhà cung cấp dịch vụ).
• LSR (Label Switching Router): là node mạng MPLS. Có hai loại LSR chính:
- LSR cạnh (gồm LSR hướng vào, LSR hướng ra): LSR nằm ở biên của
MPLS domain và kết nối trực tiếp với mạng người dùng.
LUAN VAN CHAT LUONG download : add
15
- LSR chuyển tiếp (Transit LSR): LSR nằm bên trong MPLS domain,
các LSR này chính là các bộ định tuyến lõi của nhà cung cấp dịch vụ.
Customer
Network
Label Switch
Router
Customer
Network
Customer
Network
Customer
Network
Edge Label
Switch Router
Hình 1.6 Mơ hình mạng MPLS VPN
• Nh n (Label): thường được tổ chức dưới dạng ngăn xếp nhãn (Label Stack).
• FEC: MPLS không thực hiện quyết định chuyển tiếp với gói dữ liệu lớp 3
(datagram) mà sử dụng một khái niệm mới gọi là FEC (Forwarding Equivalence
Class). Mỗi FEC được tạo bởi một nhóm các gói tin có chung các yêu cầu về truyền
tải hoặc dịch vụ (thoại, data, video, VPN...) hoặc cùng yêu cầu về chất lượng dịch
vụ. Hay nói cách khác, MPLS thực hiện phân lớp dữ liệu để chuyển tiếp qua mạng.
• LSP (Label Switching Path): là tuyến được bắt đầu tại một LSR hướng vào
thông qua một hoặc nhiều hoặc thậm chí là khơng LSR chuyển tiếp nào và cuối
cùng kết thúc tại một LSR hướng ra. LSP chính là đường đi của các FEC thơng qua
mạng MPLS. Khái niệm về LSP tương tự như khái niệm về kênh ảo (Virtual
Channel - VC) trong mạng IP, ATM, Frame Relay...
• LDP (Label Distribution Protocol): là các giao thức được dùng trong
MPLS để phân bổ nhãn và thiết lập các LSP thông qua mạng MPLS.
Khi luồng dữ liệu của người dùng được gửi đến mạng MPLS, tại LSR hướng
vào luồng dữ liệu sẽ được phân lớp và được đóng trong các FEC. LSR hướng vào
sẽ thực hiện việc phân bổ nhãn và thiết lập LSP cho các FEC này. Tại các node
chuyển tiếp trong mạng, LSR chỉ thực hiện việc tráo đổi nhãn và gửi FEC đến LSR
kế tiếp. Các LSR chỉ quan tâm đến nhãn trên cùng trong ngăn xếp nhãn mà không
cần quan tâm đến nội dung của gói tin (điều này khác biệt hẳn với mạng định tuyến
lớp 3 truyền thống).
LUAN VAN CHAT LUONG download : add
16
Khi luồng dữ liệu đến LSR hướng ra, các FEC được g b nhãn và tách ngược
trở lại thành các gói tin thơng thường rồi được gửi đến người dùng cuối bằng các giao
thức định tuyến truyền thống. Các FEC có thể được chuyển tiếp trên nhiều LSP khác
nhau, đây là một ưu điểm nổi trội của MPLS so với mạng định tuyến thông thường.
1.2.2 Phân loại VPN theo kỹ thuật sử dụng trong VPN
Dựa vào kỹ thuật sử dụng, các VPNs được chia thành 3 loại: VPN sử dụng các
kênh thuê bao riêng của các nhà cung cấp dịch vụ (gọi là một Trusted VPN) và
VPN sử dụng phương thức gửi các dữ liệu đã được mã hóa lên mạng Internet (gọi
là Secure VPN). Sự kết hợp của một Secure VPN qua một Trusted VPN tạo ra một
loại VPN mới gọi là Hybrid VPN.
Trusted VPN
Qua một thời gian, các Trusted VPN đã có sự thay đổi từ các thuê bao riêng
của các đại lý viễn thông đến các thuê bao IP riêng của các nhà cung cấp dịch vụ
Internet. Công nghệ chủ yếu trong sự vận hành của Trusted VPN với mạng địa chỉ
IP là các kênh ATM, mạch tiếp sóng khung và MPLS.
ATM và bộ tiếp sóng khung hoạt động tại tầng liên kết dữ liệu (tầng 2 trong
mơ hình OSI). MPLS mơ ph ng một số thuộc tính của mạng chuyển mạch và mạng
chuyển gói. Nó hoạt động cùng một tầng, nằm ngay giữa tầng liên kết dữ liệu và
tầng mạng nên thường được coi là tầng “2,5”. MPLS bắt đầu thay thế ATM và bộ
tiếp sóng khung để thực thi Trusted VPN với số lượng lớn các doanh nghiệp và nhà
cung cấp dịch vụ.
Secure VPN
Khác với các Trust VPN, sử dụng các kênh thuê riêng, tin cậy của nhà cung
cấp dịch vụ, Secure VPN hoạt động dựa trên mơi trường truyền thơng cơng cộng,
khơng an tồn. Do đó, việc trao đổi thơng tin qua mạng thường được thực hiện kết
hợp với các kỹ thuật mã hoá, xác thực. Trong Secure VPN, một khái niệm mới
được đưa vào đó là khái niệm đường hầm, đường hầm là cơ chế đảm bảo cho dữ
liệu được trao đổi một cách an tồn nhất. Tuỳ theo mục đích triển khai các kiểu
VPN mà người ta sử dụng các giao thức tạo đường hầm khác nhau như IPSec,
L2TP, SSL và PPTP trong việc mã hoá và truyền dữ liệu.
1.2.3 Phân loại VPN theo nhóm chức năng
Theo nhóm chức năng, VPN được chia thành hai loại phổ biến hiện nay là
VPN truy cập từ xa (Remote-Access) và VPN điểm-nối-điểm (site-to-site).
VPN truy nhập từ xa
LUAN VAN CHAT LUONG download : add
17
VPN truy nhập từ xa hay còn được gọi là mạng riêng ảo quay số (Virtual
private dial-up network - VPDN) được triển khai, thiết kế cho những khách hàng
riêng lẻ ở xa, chẳng hạn như những khách hàng di động, những khách hàng truy
cập không dây. Trước đây, các tổ chức, công ty thường hỗ trợ cho những khách
hàng ở xa bằng những hệ thống quay số. Đây không phải là một giải pháp hiệu quả,
nhất là khi người quay số theo đường truyền quốc tế. Với sự ra đời của VPN truy
cập từ xa, khách hàng di động chỉ cần quay số tới ISP nội bộ là có thể để truy nhập
được vào mạng của công ty họ, cho dù họ đang ở bất kỳ đâu. VPN truy cập từ xa là
sự mở rộng những mạng quay số truyền thống. Trong hệ thống này, phần mềm máy
tính khách sẽ cung cấp một kết nối an toàn - như một đường hầm giúp giảm chi phí
(do chỉ thực hiện các cuộc gọi nội hạt) tới hệ thống mạng công ty. VPN truy cập từ
xa được mơ ph ng qua hình 1.7 dưới đây.
Đường hầm
Người dùng ở xa
`
Internet
`
Hình 1.7 Remote Access VPN
ISP
VPN Site-to-Site:
VPN Site-to- Site được triển khai cho các kết nối giữa các vùng khác nhau của
một công ty hay tổ chức. Nói cách khác đó là một kết nối VPN giữa các mạng ở hai
địa điểm khác nhau. Trước đây, một kết nối giữa các địa điểm này thường là các
kênh thuê riêng hay frame relay. Ngày nay, hầu hết các tổ chức, công ty đều sử
dụng Intemet nên VPN Site-to-Site có thể thay thế kênh thuê riêng truyền thống và
frame relay. VPN site-to-site là sự mở rộng và kế thừa có chọn lọc mạng WAN.
VPN Site-to-Site gồm hai loại chính là VPN Intranet và VPN Extranet. VPN
Intranet có thể được xem là các kết nối nội bộ giữa các địa điểm trong cùng một
công ty, người dùng truy cập các địa điểm này thường ít bị hạn chế hơn so với VPN
Extranet. VPN Extranet là các kết nối giữa một công ty và đối tác kinh doanh. Họ
sẽ quản lý chặt chẽ hơn những người dùng truy cập giữa các vị trí này tại các địa
điểm của mình. VPN site-to-site được thể hiện qua hình 1.8 ([20], [21], [22]).
LUAN VAN CHAT LUONG download : add
18
Đường hầm
Internet
`
`
`
Các kết nối tới ISP
Chi nhánh công ty
`
Mạng công ty
Hình 1.8 Site-to-Site VPN
VPN dựa trên Firewall (VPN firewall-based)
Bản chất của một VPN firewall-based là sự triển khai VPN site-to-site, giải
pháp cho VPN firewall - based khơng mang tính kỹ thuật mà chỉ là vấn đề bảo mật.
Chúng được triển khai khi một công ty cần các biện pháp bảo mật cao. Các cơng ty
có thể tăng cường các firewall vốn có của mình để hỗ trợ cho VPN firewall-based
1.2.4 Phân loại VPN theo nhóm cơng nghệ và mơ hình OSI
Trên quan điểm công nghệ, VPN được phân thành các loại sau:
- VPN hoạt động theo giao thức và công nghệ mạng ở tầng 2 của mơ hình
OSI. VPN loại này sử dụng các giao thức PPTP, L2TP; mạng chuyển mạch ATM,
Frame Relay và công nghệ chuyển mạch nhãn đa giao thức (MPLS) để thiết lập
một kênh truyền an toàn, bảo mật. Các giao thức này được gọi là các giao thức
đường hầm và các kênh truyền đó gọi là đường hầm.
- VPN hoạt động theo các giao thức và cơng nghệ mạng ở tầng 3 của mơ hình
OSI. VPN loại này sử dụng giao thức IPSec với mã hoá trong cả đường hầm và
phương thức vận chuyển hoặc có thể kết hợp giữa IPSec và L2TP.
- VPN hoạt động theo các giao thức và công nghệ mạng ở các tầng ứng dụng
của mơ hình OSI, gồm SSL và TLS.
1.2.5 Phân loại VPN theo nơi xử lý VPN
Theo cách này, sẽ có các dạng VPN sau:
- VPN dựa trên thiết bị của khách hàng: toàn bộ các xử lý trong VPN được đặt
trên thiết bị của khách hàng. Thiết bị của khách hàng (Switch hoặc Router) được
đặt tại biên phía site của khách hàng, được kết nối với mạng của nhà cung cấp. Về
mặt logic, các thiết bị của khách hàng thuộc phần mạng của khách hàng, nhưng đôi
khi chúng được quản lý bởi phía nhà cung cấp dịch vụ.
LUAN VAN CHAT LUONG download : add
19
- VPN dựa trên thiết bị của nhà cung cấp: toàn bộ các xử lý VPN được thực
hiện tại thiết bị của nhà cung cấp, thường là các Router đặt tại biên mạng VPN để
kết nối với các thiết bị của khách hàng (xem hình 1.9).
Provider Network
VPN Site 1
CE
PE
P
PE
CE
VPN Site 2
Hình 1.9 VPN theo nơi xử lý
1.3 Các thành phần của mạng riêng ảo
1.3.1 Máy chủ phục vụ truy cập mạng NAS
NAS là thiết bị mạng cung cấp dịch vụ truy cập mạng với chức năng chính là
định tuyến và lọc gói. Khi đặt tại mạng riêng, nó cịn được gọi là máy chủ phục vụ
truy cập mạng từ xa RAS. Nếu đặt trong mạng cơng cộng thì NAS cung cấp dịch
vụ truy cập tới hạ tầng mạng dùng chung được quản lý bởi SP. Một SP có thể cung
cấp các điểm truy cập dịch vụ (PoP) để mở rộng khả năng truy cập tới mạng riêng
của một công ty, cho phép những người dùng từ xa có thể truy cập tới mạng riêng
của công ty qua SP với giá cước nội hạt.
1.3.2 Bộ định tuyến
Tất cả các dạng của VPN đều dựa vào các bộ định tuyến. Các giải pháp VPN
hiện thời là các bộ định tuyến được kết hợp với các chức năng khác. Các bộ định
tuyến có thể đặt tại phía mạng của cơng ty cũng như tại phía mạng của SP. Ta có
thể phân biệt bộ định tuyến trong, ngoài và bộ định tuyến ngầm.
1.3.3 Máy nguồn và máy đích đường hầm
Các máy nguồn và máy đích đường hầm làm nhiệm vụ thiết lập hoặc hủy b
các đường hầm. Tất cả những người sử dụng dịch vụ VPN được xác thực sẽ truy
cập các tài nguyên mạng riêng thông qua đường hầm và kết thúc tại máy đích
đường hầm. Máy nguồn đường hầm có thể hỗ trợ nhiều đường hầm cùng một lúc.
Sau đó nó sẽ chuyển các gói tin nhận được từ các đường hầm tới máy tương ứng.
Nếu đây là phiên khởi tạo đầu tiên thì người gửi sẽ được xác thực và dựa vào đó
người sử dụng sẽ được chấp nhận hoặc huỷ b .
LUAN VAN CHAT LUONG download : add
20
1.3.4 Máy chủ phục vụ xác thực (Authentication Server)
Khi một máy khách kết nối vào NAS, NAS phải xác định xem máy khách
muốn truy cập vào Internet hay là sử dụng dịch vụ VPN để truy cập vào tài nguyên
trong mạng riêng của công ty họ. Các SP và các cơng ty có thể lựa các cách xác
thực. Phía cơng ty sẽ hoạch định các chính sách và cung cấp các quyền truy cập đến
các tài nguyên khác nhau trên mạng của họ cho những người sử dụng khác nhau.
Trong nhiều trường hợp, máy phục vụ được sử dụng cho việc xác thực, cấp
phép và ghi lại thông tin truy cập. Có hai loại chính được sử dụng là: Terminal
Access Controller Access Control System (ATCACS+) và Remote Authentication
Dial In User Server (RADIUS). NAS hoặc một máy đích đường hầm sử dụng giao
thức TACACS+ để liên lạc với máy phục vụ, RADIUS cũng làm việc theo cơ chế
như vậy. Sự khác nhau ở chỗ RADIUS là phiên bản ra sau và mã hố dữ liệu trao đổi
giữa nó là NAS hoặc máy đích đường hầm, trong khi TACACS khơng mã hố đữ
liệu được trao đổi. Các máy phục vụ này có một cơ sở dữ liệu người dùng. Người
dùng được cấp phép sẽ được gán quyền riêng để truy cập vào các thiết bị hoặc các
dịch vụ mạng cụ thể.
1.3.5 Tường lửa - Firewall
Firewall được dùng để bảo vệ mạng riêng ảo kh i các truy cập bất hợp pháp,
tất cả các gói tin vào hoặc ra kh i mạng sẽ được kiểm tra và Firewall sẽ quyết định
cho hoặc cấm các gói tin này. Thơng thường Firewall gồm có các Router và các
Gateway ứng dụng. Một Firewall thông thường chỉ cung cấp dịch vụ cấp phép, nó
khơng phân phối các dịch vụ đảm bảo tính tồn vẹn dữ liệu, tính bí mật dữ liệu và
các dịch vụ xác thực, tuy nhiên Firewall có thể thực hiện các kỹ thuật mã hố, xác
thực. Có ba loại Firewall chính đó là:
+ Firewall mức mạng: thực tế đây là một bộ lọc gói tin, nó kiểm tra phần
header của các gói tin như địa chỉ, giao thức giao vận được mang theo trong gói tin.
Một danh sách kiểm tra sẽ quyết định các gói tin nhận được từ một địa chỉ nào đó
hoặc đi đến một địa chỉ nào đó có được chuyển tiếp hay không. Firewall mức mạng
gồm Firewall kiểm tra trạng thái và Firewall không kiểm tra trạng thái. Firewall
kiểm tra trạng thái sử dụng thông tin về trạng thái thu được từ các lần truyền thông
trước (thông tin trạng thái truyền thông) và từ các ứng dụng (thông tin trạng thái
ứng dụng); Firewall không kiểm tra trạng thái chỉ kiểm tra từng gói tin một cách
riêng lẻ.
+ Firewall mức ứng dụng: kiểu Firewall này được coi là an toàn nhất vì chỉ có
những dữ liệu của ứng dụng cụ thể được kiểm tra.
LUAN VAN CHAT LUONG download : add
21
+ Firewall chuyển mạch: hoạt động giữa lớp mạng và lớp ứng dụng. Firewall kiểu
này an toàn hơn Firewall mức mạng và không cần nhiều Gateway cho mỗi ứng dụng.
1.3.6 Máy chủ chính sách
Là một cơ sở dữ liệu tập chung có thể chứa tất cả các loại thơng tin, ví dụ như
các thuật tốn bảo mật để sử dụng cho các phiên truyền thông riêng biệt, số lần làm
tươi khố, chứng chỉ khố cơng khai, thơng tin về hồ sơ người dùng… Các thông
tin được lưu trữ dưới dạng đã được chuẩn hố sao cho có thể được truy cập bằng
cách sử dụng giao thức LDAP. Máy phục vụ chính sách cịn được gọi là máy phục
vụ thư mục LDAP.
1.3.7 VPN Gateway
Nhìn chung các thiết bị này thực hiện các nhiệm vụ như định tuyến, cung cấp
các kỹ thuật bảo mật, cung cấp các chính sách bảo mật để chỉ ra một cách chính xác
ai có thể truy cập vào cái gì dựa trên địa chỉ IP, cung cấp chức năng chuyển dịch
địa chỉ NAT và thậm chí thực hiện cả chức năng Firewall.
1.4 Đường hầm trong VPN
1.4.1 Khái niệm đường hầm
Đường hầm là cách thức vận chuyển dữ liệu qua mạng từ node này đến node
khác giống như các node được kết nối trực tiếp với nhau. Mỗi đường hầm được bắt
đầu và kết thúc ở các điểm cuối đường hầm, đây là nơi dữ liệu được đóng gói và
mở gói. Một tiêu đề mới được thêm vào có tính chất định hướng cho dữ liệu đi qua
đường hầm. Dữ liệu chuyển đến các node trung gian dựa trên phần tiêu đề thêm
vào này mà không cần xem xét đến nội dung ban đầu.
Việc gửi dữ liệu giữa các VPN qua đường hầm có thể duy trì sự ngăn cách dữ
liệu giữa các VPN khác nhau, đồng thời để ngăn chặn sự rị rỉ thơng tin khi đi qua
các môi trường truyền thông trung gian như mạng của nhà cung cấp hoặc mạng
Internet. Đường hầm cũng cho phép địa chỉ của các thiết bị trong mạng riêng bị che
khuất khi dữ liệu đi qua ([19], [20]).
An ninh đường hầm là vấn đề quan trọng nhằm đảm bảo tính riêng tư của dữ
liệu VPN. Nếu đường hầm không an tồn, tính nhạy cảm của dữ liệu có thể bị mất
khi truyền qua mạng. Do đó, các điểm cuối đường hầm trong một VPN thường sử
dụng các giao thức để đóng gói, mã hố, nén dữ liệu trước khi truyền qua mạng.
Hình vẽ 1.10 mơ tả cấu trúc cơ bản của một đường hầm trong mạng riêng ảo.
LUAN VAN CHAT LUONG download : add
22
Điểm cuối đường hầm
Phần Header
thêm vào
Payload
Liên mạng
truyền thơng
`
Payload
`
Payload
đường hầm
Đường hầm
Hình 1.10 Đường hầm trong mạng riêng ảo
1.4.2 Các giao thức đường hầm
Máy khách và máy chủ đường hầm sử dụng cùng một giao thức để thiết lập
đường hầm. Các công nghệ đường hầm có thể dựa trên giao thức đường hầm lớp 2
hoặc lớp 3 tương ứng trong mơ hình tham chiếu 7 lớp OSI. Lớp 2 tương ứng với tầng
liên kết dữ liệu và sử dụng các khung dữ liệu làm đơn vị dữ liệu trao đổi trong tầng
hai. PPTP và L2TP là các giao thức đường hầm lớp 2; cả hai giao thức này đóng gói
dữ liệu theo khuôn dạng khung tin PPP để gửi qua liên mạng. Giao thức đường hầm
lớp 3 tương ứng với tầng mạng và sử dụng các gói tin để trao đổi. Chế độ đường hầm
IPSec là một ví dụ về giao thức đương hầm lớp 3, gói tin IP được bọc thêm phần IP
header mới trước khi chuyển qua liên mạng IP.
1.4.2.1 Giao thức đường hầm PPTP
Giao thức đường hầm PPTP là sản phẩm được đưa ra bởi các công ty 3Com,
Ascend comm, Microsoft, ECI Telematicsunication và US Robotic. PPTP được xây
dựng dựa trên các chức năng của giao thức truy cập điểm-điểm từ xa PPP, định
nghĩa trong tài liệu của IETF. PPTP là một giao thức mạng bọc gói tin PPP trong
một gói tin IP để truyền qua mạng Internet hoặc các mạng TCP/IP cơng cộng khác.
PPTP cũng có thể được sử dụng trong các mạng riêng LAN-to-LAN.
PPP làm việc ở lớp 2 trong mơ hình OSI, nó quy định các phương thức đóng
và tách các loại gói dữ liệu để truyền nối tiếp. PPP định nghĩa hai bộ giao thức:
giao thức điều khiển liên kết LCP dùng cho việc thiết lập, cấu hình và kiểm tra kết
nối; một loạt các giao thức điều khiển mạng NCP cho việc thiết lập và cấu hình các
giao thức lớp mạng khác nhau. PPP đóng gói các gói tin IP, IPX, NETBEUI và
truyền đi trên kết nối điểm - điểm từ máy gửi đến máy nhận.
LUAN VAN CHAT LUONG download : add
23
PPTP đảm bảo các mạng riêng đa giao thức (Multi-protocol VPN) được triển
khai một cách an toàn dựa trên các mạng dữ liệu cơng cộng như Internet. Người
dùng có thể quay số và kết nối tới nhà cung cấp dịch vụ Internet thay vì trực tiếp tới
mạng riêng cơng ty. Một phiên PPTP sẽ cung cấp một kết nối an tồn qua Internet
tới mạng của cơng ty. Do đo, các cơng ty khơng cần phải xây dựng và duy trì một
mạng diện rộng kết nối các văn phòng qua đường truyền riêng.
Có 3 loại thiết bị được đề cập đến trong khi triển khai PPTP đó là: máy khách
PPTP (PPTP Client); máy chủ truy cập mạng NAS (đơi khi nó còn được gọi là trạm
xử lý đầu-cuối FEP hay máy chủ quay số) và máy chủ PPTP. Khi tạo đường hầm
PPTP qua mạng LAN vai trò của máy chủ truy cập mạng là khơng cần thiết. Q
trình thiết lập đường hầm PPTP có thể xảy ra một trong 2 trường hợp sau:
Khi có yêu cầu kết nối mạng, máy khách PPP thiết lập một phiên với trạm xử
lý đầu cuối có khả năng PPTP của nhà cung cấp dịch vụ, thiết bị này có thể là một
Router hoặc Switch Internet. Một đường hầm VPN được thiết lập giữa FEP và
RAS, trong trường hợp này RAS được cài đặt giao thức PPTP và còn được gọi là
máy chủ mạng PNS (PPTP Network Server); FEP được gọi là máy chủ truy cập
mạng PAS (PPTP Access Server). Phiên PPTP là trong suốt đối với người dùng, và
máy khách PPP không cần phải cài đặt PPTP.
Máy chủ
RAS (PNS)
Đường hầm
Nhà cung
cấp dịch vụ
PPP
PPTP
Internet
`
`
Mạng công ty
Người dùng
từ xa
`
FEP có cài đặt
PPTP
Máy khách
PPP
Hình 1.11 Phiên PPTP với máy khách
PPP
Trường hợp khác có thể xảy ra là máy khách PPP có cài đặt PPTP sử dụng
giao thức PPP để quay số tới ISP, một phiên PPP được tạo ra. Máy khách tiếp tục
quay số lần thứ 2 và thiết lập một kênh PPTP để kết nối với máy chủ PNS của cơng
ty. Các gói tin PPP được chuyển qua kết nối mới, máy khách bây giờ đóng vai trị
là một node mạng ảo trong mạng LAN cơng ty và giống như một người dùng cục
bộ được kết nối vật lý qua Internet. Trạm xử lý đầu cuối (FEP) trong trường hợp
này khơng cần phải cài đặt PPTP. Hình 1.12 mơ tả phiên PPTP với máy khách PPP
có cài đặt PPTP.
LUAN VAN CHAT LUONG download : add
24
Máy chủ PNS
Đường hầm
Người dùng
từ xa
ISP
PPTP
Internet
PPP
Internet
`
FEP có cài đặt
PPTP
`
Mạng cơng ty
`
Máy khách PPP
có cài đặt PPTP
Hình 1.12 Phiên PPTP với máy khách PPP và giao
thức PPTP
Có hai loại gói tin được định nghĩa trong giao thức PPTP: gói tin điều khiển
và gói tin dữ liệu. Các gói tin dữ liệu chứa dữ liệu người dùng, các gói tin điều
khiển gửi thông tin trạng thái kết nối một cách định kỳ và quản lý tín hiệu giữa máy
khách PPTP và máy chủ đích. Mỗi loại gói tin được truyền trên một kênh riêng,
kênh điều khiển với giao thức TCP và kênh dữ liệu với giao thức IP. Kết nối TCP
được tạo giữa máy khách PPTP hoặc trạm xử lý đầu cuối FEP và máy chủ PPTP
được sử dụng để truyền thông báo điều khiển ([19], [20]).
Cơ chế xác thực trong giao thức PPTP phụ thuộc vào cơ chế xác thực của PPP
có tên là PAP và CHAP. PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng
Microsoft đã đưa ra một phương thực mã hố khác mạnh hơn đó là mã hoá điểmđiểm MPPE để sử dụng cho PPTP. Hình 1.13 mơ tả các thao tác PPTP.
Internet
`
FEP
Remote PC
`
`
IP, IPX, NetBeui
DATA
GRE
PPP
IP, IPX, NetBeui
DATA
PPP
GRE
PPP
IP, IPX, NetBeui
DATA
Encrypted
Public IP
Address
ISP
Private IP
Address
Server
PPTP
Mạng cơng
ty
Hình 1.13 Các thao tác PPTP
PPTP bọc các gói tin PPP đã mã hố và nén trong gói tin IP để truyền qua
mạng Internet, các gói tin này được định hướng qua Internet cho đến khi chúng gặp
LUAN VAN CHAT LUONG download : add
