Tải bản đầy đủ (.pdf) (74 trang)
  1. Trang chủ
    2. >>
  2. Cao đẳng - Đại học
    3. >>
  3. Công nghệ thông tin

Đề tài Cài đặt mạng riêng ảo VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.07 MB, 74 trang )

LỜI MỞ ĐẦU
Ngày nay, với sự phát triển nhanh chóng của khoa học kỹ thuật đặc biệt là Công nghệ
thông tin và Viễn thơng đã góp phần quan trọng vào sự phát triển kinh tế thế giới.
Các tổ chức, doanh nghiệp có nhiều chi nhánh, các cơng ty đa quốc gia trong q trình
hoạt động ln phải trao đổi thơng tin với khách hàng, đối tác, nhân viên của họ. Chính vì
vậy địi hỏi phải ln nắm bắt được thơng tin mới nhất, chính xác nhất, đồng thời phải đảm
bảo độ tin cậy cao giữa các chi nhánh của mình trên khắp thế giới, cũng như với các đối tác
và khách hàng.
Để đáp ứng được những yêu cầu đó trong q khứ có hai loại hình dịch vụ Viễn thơng
mà các tổ chức, doanh nghiệp có thể chọn lựa sử dụng cho kết nối đó là:
 Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ để kết nối
tất cả các mạng con của công ty lại với nhau. Phương pháp này rất tốn kém cho việc
xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này.
 Thứ hai, họ có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương pháp
này lại khơng đáp ứng được tính bảo mật cao.
Sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hồ hai loại hình dịch vụ trên, nó
có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại có được các tính chất
của một mạng cục bộ như khi sử dụng các đường Leased-line. Vì vậy, có thể nói VPN chính
là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế. Với chi phí hợp lý, VPN có thể giúp
doanh nghiệp tiếp xúc tồn cầu nhanh chóng và hiệu quả hơn so với các giải pháp mạng
diện rộng WAN. Với VPN, ta có thể giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng
cơng cộng sẵn có, giảm chi phí thường xuyên, mềm dẻo trong xây dựng.
Ở Việt Nam, khi nền kinh tế cũng đang trong thời kỳ phát triển và hội nhập quốc tế thì
nhu cầu sử dụng VPN vừa đáp ứng được các yêu cầu về thơng tin, vừa giải quyết được
những khó khăn về kinh tế.
Với việc nghiên cứu đề tài: “Cài đặt mạng riêng ảo (VPN) ”, chúng em hy vọng có
thể góp phần tìm hiểu Cơng nghệ VPN, đồng thời góp phần phổ biến rộng rãi kỹ thuật VPN.

1



Nội dung tìm hiểu của đề tài gồm 5 chương sẽ lần lượt trình bày các vấn đề cơ bản
nhất của mạng VPN.
Chương 1: Nêu một số khái niệm tổng quan, các đặc điểm của VPN, từ đó làm cơ sở
để phân loại các mạng VPN, đưa ra các thuận lợi và khó khăn khi sử dụng các loại hình
VPN đó, nêu ra các thành phần cơ bản của mạng riêng ảo.
Chương 2: Đây là chương trọng tâm giới thiệu về kĩ thuật Tunneling, các đặc điểm và
hoạt động của các giao thức đường hầm L2F, PPTP, L2TP, và IPSec được sử dụng trong
VPN.
Chương 3: Cài đặt và minh họa các bước thiết lập mạng riêng ảo trên máy ảo.
Chương 4: Nêu vấn đề bảo mật trong VPN, đây là một phần quan trọng trong VPN.
Bảo mật trong VPN bao gồm: quá trình mật mã và xác thực. Trong chương này sẽ giới thiệu
các giải pháp, thuật toán mã hoá và xác thực trong VPN.
Chương 5: Trình bày một số vấn đề liên quan tới vai trò và ý nghĩa, nhược điểm và
một số vấn đề cần chú ý trong mạng riêng ảo .

2


CHƯƠNG 1
TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN

Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là một
kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất
hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet. Trong thực tế,
người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted
VPN) và mạng riêng ảo an toàn (Secure VPN).
Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cung cấp
dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục
bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo khơng có
một ai sử dụng cùng mạch thuê riêng đó. Khách hàng của mạng riêng ảo loại này tin tưởng

vào nhà cung cấp dịch vụ để duy trì tính tồn vẹn và bảo mật của dữ liệu truyền trên mạng.
Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”.
Mạng riêng ảo an tồn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu. Dữ
liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng cơng cộng (ví dụ: mạng
Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải mã dữ liệu tại phía thu.
Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ
nguồn tới đích. Cho dù một kẻ tấn cơng có thể nhìn thấy dữ liệu đó trên đường truyền thì
cũng khơng có khả năng đọc được vì dữ liệu đã được mã hóa.
Mạng riêng ảo xây dựng dựa trên Internet là mạng riêng ảo kiểu an toàn, sử dụng cơ sở
hạ tầng mở và phân tán của Internet cho việc truyền dữ liệu giữa các site của các cơng ty.
Trọng tâm chính của đồ án tốt nghiệp này bàn về VPN dựa trên Internet. Khi nói đến mạng
riêng ảo VPN phải hiểu là mạng riêng ảo dựa trên Internet.
1.1.Định nghĩa
Mạng riêng ảo VPN (VirtualPrivateNetwork) được định nghĩa là một kết nối mạng
triển khai trên cơ sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản
lý và bảo mật giống như mạng cục bộ.

3


Mạng riêng
(LAN)

Mạng riêng
(LAN)
Đường hầm

Router

Router


Internet

Router

Router

Router
Router
Hình 1.1: Mơ hình VPN
Các thuật ngữ dùng trong VPN như sau:
Virtual- nghĩa là kết nối là động, không được gắn cứng và tồn tại như một kết nối khi
lưu lượng mạng chuyển qua. Kết nối này có thể thay đổi và thích ứng với nhiều mơi trường
khác nhau và có khả năng chịu đựng những khuyết điểm của mạng Internet. Khi có u cầu
kết nối thì nó được thiết lập và duy trì bất chấp cơ sở hạ tầng mạng giữa những điểm đầu
cuối.
Private- nghĩa là dữ liệu truyền ln ln được giữ bí mật và chỉ có thể bị truy cập bởi
những nguời sử dụng được trao quyền. Điều này rất quan trọng bởi vì giao thức Internet ban
đầu TCP/IP- không được thiết kế để cung cấp các mức độ bảo mật. Do đó, bảo mật sẽ được
cung cấp bằng cách thêm phần mềm hay phần cứng VPN.
Network- là thực thể hạ tầng mạng giữa những người sử dụng đầu cuối, những trạm
hay những node để mang dữ liệu. Sử dụng tính riêng tư, cơng cộng, dây dẫn, vô tuyến,
Internet hay bất kỳ tài nguyên mạng dành riêng khác sẵn có để tạo nền mạng.
Khái niệm mạng riêng ảo VPN không phải là khái niệm mới, chúng đã từng được sử
dụng trong các mạng điện thoại trước đây nhưng do một số hạn chế mà cơng nghệ VPN
chưa có được sức mạnh và khả năng cạnh tranh lớn. Trong thời gian gần đây, do sự phát
triển của mạng thông minh, cơ sở hạ tầng mạng IP đã làm cho VPN thực sự có tính mới mẻ.
VPN cho phép thiết lập các kết nối riêng với những người dùng ở xa, các văn phòng chi
nhánh của công ty và đối tác của công ty đang sử dụng chung một mạng công cộng.


1.2.Lịch sử phát triển của VPN
4


Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn từ yêu
cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả với các tổng
đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN). Trước kia, hệ thống
điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các đường thuê riêng cho
việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với nhau.
Các mốc đánh dấu sự phát triển của VPN:



Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ

dây chuyên dùng cho các khách hang lớn. Colisee có thể cung cấp phương thức gọi số
chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra cước phí
và nhiều tính năng quản lý khác.



Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng

là mạng được định nghĩa bằng phần mềm SDN.



Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.




Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số

xí nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi
phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.



Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.



Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của

Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu Á – Thái Bình
Dương.



Năm 1992, Viễn thơng Hà Lan và Telia Thuỵ Điển thành lập công ty

hợp tác đầu tư Unisource, cung cấp dịch vụ VPN.



Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên

minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ
VPN.




Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung

cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…



Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN tồn cầu

(GVPNS).



Năm 1996, Sprint và viễn thơng Đức (Deustch Telecom), Viễn thông

Pháp (French Telecom) kết thành liên minh Global One.
5




Năm 1997 có thể coi là một năm rực rỡ đối với cơng nghệ VPN, Cơng

nghệ này có mặt trên khắp các tạp chí khoa học cơng nghệ, các cuộc hội thảo…Các
mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả
năng mới, một cái nhìn mới cho VPN. Cơng nghệ VPN là giải pháp thông tin tối ưu cho
các công ty, tổ chức có nhiều văn phịng, chi nhánh lựa chọn. Ngày nay, với sự phát triển
của công nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả
năng của VPN ngày một hoàn thiện.

Hiện nay, VPN khơng chỉ dùng cho dịch vụ thoại mà cịn dùng cho các dịch vụ dữ
liệu, hình ảnh và các dịch vụ đa phương tiện.
1.3.Chức năng và ưu điểm
1.3.1.Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính tồn vẹn
(Integrity) và tính bảo mật (Confidentiality).

a) Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực
lẫn nhau để khẳng định rằng mình đang trao đổi thơng tin với người mình mong
muốn chứ khơng phải là một người khác.

b) Tính tồn vẹn : Đảm bảo dữ liệu khơng bị thay đổi hay đảm bảo khơng có bất kỳ sự
xáo trộn nào trong q trình truyền dẫn.

c) Tính bảo mật : Người gửi có thể mã hố các gói dữ liệu trước khi truyền qua mạng
công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, khơng một
ai có thể truy nhập thơng tin mà khơng được phép. Thậm chí nếu có lấy được thì cũng
khơng đọc được.
1.3.2.Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các cơng ty. Có thể dùng VPN khơng chỉ
để đơn giản hố việc thơng tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở
rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách
hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho cơng việc trên thấp hơn nhiều so
với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích này dù trực tiếp
hay gián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả
năng mở rộng (scalability) và một số ưu điểm khác.
a) Tiết kiệm chi phí
6



Việc sử dụng một VPN sẽ giúp các công ty giảm được chi phí đầu tư và chi phí thường
xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ, do chỉ phải trả ít
hơn cho việc thuê băng thông đường truyền, các thiết bị mạng đường trục và duy trì hoạt
động của hệ thống. Giá thành cho việc kết nối LAN-to-LAN giảm từ 20 tới 30% so với việc
sử dụng đường thuê riêng truyền thống. Còn đối với việc truy cập từ xa giảm từ 60 tới 80%.
Ta có thể thấy rõ ưu điểm của VPN qua việc so sánh chi phí khi sử dụng đường thuê
riêng T1 (1.5 Mbit/s) với chi phí khi sử dụng Internet VPN.
Bảng 1: Chi phí hàng tháng cho các mạng dùng đường thuê riêng đơn so với
Internet VPN. (2002)
Thành phố
Boston-New York
New Yor-Washington
Tổng

Khoảng cách
(dặm)
194
235

Chi phí cho T1
$4.570
$4.775
$9.345

Cho phí cho
Internet VPN
$1.900
$1.900
$3.800


Bảng 2: Chi phí hàng tháng cho các mạng dùng đường thuê kép so với
Internet VPN.(2002)
Thành phố
San FranCisco- Denver
Denver-chicago
Chicago-New York
Denver-Salt Lake
Denver-Dallas
New York-Washington
New York- Boston
Tổng

Khoảng cách
(dặm)
1.267
1.023
807
537
794
235
194

Chi phí cho T1

Chi phí cho Internet

$13.535
$12.315
$11.235
$6.285

$7.570
$4.775
$4.570
$60.285

VPN
$1.900
$1.900
$1.900
$1.900
$1.900
$1.900
$1.900
$13.300

b)Tính linh hoạt
Tính linh hoạt ở đây khơng chỉ là linh hoạt trong q trình vận hành và khai thác mà
nó còn thực sự mềm dẻo đối với yêu cầu sử dụng. Khách hàng có thể sử dụng kết nối T1, T3
giữa các văn phòng và nhiều kiểu kết nối khác cũng có thể được sử dụng để kết nối các văn
phòng nhỏ, các đối tượng di động. Nhà cung cấp dịch vụ VPN có thể cung cấp nhiều lựa
chọn cho khách hàng, có thể là kết nối modem 56 kbit/s, ISDN 128 kbit/s, xDSL, T1, T3 …
c) Khả năng mở rộng
7


Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng cơng cộng (Internet), bất cứ ở
nơi nào có mạng cơng cộng là đều có thể triển khai VPN. Mà mạng cơng cộng có mặt ở
khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động. Một cơ quan ở xa có thể kết
nối một cách dễ dàng đến mạng của công ty bằng cách sử dụng đường dây điện thoại hay
DSL…Và mạng VPN dễ dàng gỡ bỏ khi có nhu cầu.

Khả năng mở rộng băng thơng là khi một văn phịng, chi nhánh u cầu băng thơng
lớn hơn thì nó có thể được nâng cấp dễ dàng.
d) Giảm thiểu các hỗ trợ kỹ thuật
Việc chuẩn hoá trên một kiểu kết nối từ đối tượng di động đến một POP của ISP và
việc chuẩn hoá các yêu cầu về bảo mật đã làm giảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật
cho mạng VPN. Và ngày nay, khi mà các nhà cung cấp dịch vụ đảm nhiệm các nhiệm vụ hỗ
trợ mạng nhiều hơn thì những yêu cầu hỗ trợ kỹ thuật đối với người sử dụng ngày càng
giảm.
e) Giảm thiểu các yêu cầu về thiết bị
Bằng việc cung cấp một giải pháp đơn cho các xí nghiệp truy cập bằng quay số truy
cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các
modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối và các máy chủ
truy cập từ xa. Một doanh nghiệp có thể thiết lập các thiết bị khách hàng cho một môi
trường đơn, như môi trường T1, với phần còn lại của kết nối được thực hiện bởi ISP. Bộ
phận T1 có thể làm việc thiết lập kết nối WAN và duy trì bằng cách thay đổi dải modem và
các mạch nhân của Frame Relay bằng một kết nối diện rộng đơn có thể đáp ứng nhu cầu lưu
lượng của các người dùng từ xa, kết nối LAN-LAN và lưu lượng Internet cùng một lúc.
f)Đáp ứng các nhu cầu thương mại
Các sản phẩm dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả
năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của nhiều nhà cung
cấp khác nhau có thể làm việc với nhau.
Đối với các thiết bị và Cơng nghệ Viễn thơng mới thì vấn đề cần quan tâm là chuẩn
hoá, khả năng quản trị, khả năng mở rộng, khả năng tích hợp mạng, tính kế thừa, độ tin cậy
và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm.
1.4.Phân loại
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:
- Tại mọi thời điểm, các nhân viên của cơng ty có thể truy nhập từ xa hoặc
8



di động vào mạng nội bộ của công ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch
vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN).
- Mạng VPN cục bộ (Intranet VPN).
- Mạng VPN mở rộng (Extranet VPN).
1.4.1.Mạng VPN truy cập từ xa (Remote Access VPN)
Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùngđến-LAN, các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời điểm,
các nhân viên, chi nhánh văn phịng di động có khả năng trao đổi, truy nhập vào mạng của
công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi vì, những VPN này có
thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ sở
hạ tầng chia sẻ chung, trong khi những chính sách mạng cơng ty vẫn duy trì. Chúng có thể
dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử dụng di động,
những chi nhánh và những bạn hàng của công ty. Những kiểu VPN này được thực hiện
thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di
động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên
máy tính của người sử dụng.
Ví dụ như cơng ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh
nghiệp (ESP). Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho
những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ. sau đó, người sử
dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để
truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an tồn, có mật
mã.

9



Hình 1.2 : Mơ hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa
truyền thống như:
 Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình
kết nối từ xa được các ISP thực hiện.
 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng cách
xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
 Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ cao
hơn so với các truy nhập khoảng cách xa.
 VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng hỗ
trợ mức thấp nhất của dịch vụ kết nối.
Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược
điểm cố hữu đi cùng như:
 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
 Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát khơng
đến nơi hoặc mất gói.
 Bởi vì thuật tốn mã hố phức tạp, nên tiêu đề giao thức tăng một cách đáng kể.
10


1.4.2.Mạng VPN cục bộ ( Intranet VPN)
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau
của một công ty. Mạng VPN liên kết trụ sở chính, các văn phịng, chi nhánh trên một cơ sở
hạ tầng chung sử dụng các kết nối ln được mã hố bảo mật. Điều này cho phép tất cả các
địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của
công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng,
tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm
bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site.


C e n tr a l s ite

R e m o te s ite
POP

Internet

or

Router

PIX Firewall

vă nphòngởxa

Vn phịng
trung tâm

Hình 1.3: Mơ hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông
qua một hay nhiều nhà cung cấp dịch vụ).

 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
 Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có
thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.

 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường ngầm

VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao. Ví dụ như
cơng nghệ Frame Relay, ATM.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược điểm đi cùng như:

11


 Bởi vì dữ liệu được truyền “ngầm” qua mạng cơng cộng – mạng Internet – cho nên
vẫn cịn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch
vụ (QoS).
 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
 Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu
truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi trường
Internet.
1.4.3.Mạng VPN mở rộng (Extranet VPN)
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở
rộng không bị cơ lập với “thế giới bên ngồi”. Thực tế mạng VPN mở rộng cung cấp khả
năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối
tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

.

C e n tr a l s ite

R e m o te s ite
DSL
DSL
cable

POP


Internet

or

Router

PIX Firewall

Extranet

Văn phịng
Intranet ở xa

Business-to-business

Văn phịng
trung tâm

Hình 1.4: Mơ hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà
cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết
nối luôn ln được bảo mật và được cấu hình như một VPN Site–to–Site. Sự khác nhau
giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một
trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.
 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.

12



 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội
trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi
cơng ty hơn.
 Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm
được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành
của toàn mạng.
Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn những
nhược điểm đi cùng như:
 Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn
tồn tại.
 Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn
tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet.
 Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
 Sự đe dọa về tính an tồn, như bị tấn cơng bằng từ chối dịch vụ vẫn còn tồn tại.
1.5.Các thành cơ bản của mạng VPN
1.5.1.Máy chủ (VPN Server)
Máy chủ VPN (VPN server) là thiết bị mạng dùng để chạy phần mềm máy chủ,
máy chủ có thể là máy tính tốc độ xử lý cao, dung lượng lớn và được cài đặt phần
mềm máy chủ. Nhiệm vụ của máy chủ là cung cấp dịch vụ cho máy khách và thực
hiện quá trình bảo mật cho mạng, máy chủ phải có tính sẵn sàng và độ tin cậy cao, có khả
năng phục vụ các yêu cầu kết nối tại mọi thời điểm.

13


Hình 1.5: Các thành phần cơ bản của VPN.




Chức năng của máy chủ:
- Phát hiện các yêu cầu kết nối vào mạng, thực hiện dàn xếp thứ tự kết nối khi

có nhiều yêu cầu kết nối đồng thời từ các máy khách.
- Thực hiện quá trình điều khiển truy nhập và chứng thực người dùng để cho
phép người dùng hợp pháp truy cập vào mạng và cấm truy cập đối với người dùng bất hợp
pháp.
- Máy chủ hoạt động như là một điểm cuối của đường hầm VPN, đầu kia của
đường hầm là máy khách, máy chủ có thể thực hiện việc khởi tạo đường hầm nếu sử
dụng đường hầm bắt buộc.
- Mật mã hoá dữ liệu truyền đi nhằm bảo mật thông tin khi truyền trên mạng công
cộng.
- Lựa chọn các thông số kết nối như: kỹ thuật mật mã, kỹ thuật xác nhận người
dùng....
- Chấp nhận dữ liệu từ máy khách và chuyển tiếp dữ liệu cho máy khách.
- Máy chủ VPN có thể kiêm nhiệm ln chức năng của một router hay một
gateway trong trường hợp mạng nhỏ (nhỏ hơn 20 máy khách). Còn khi mạng lớn, vì máy
14


chủ VPN phải hỗ trợ cho nhiều máy khách VPN nên nếu làm thêm chức năng của router
hay gateway thì máy chủ sẽ chạy chậm hơn.
1.5.2.Máy kháchVPN (VPN Client)
Máy khách VPN (VPN client) là thiết bị nằm trong mạng cục bộ (ví dụ như các
máy tính nằm trong cùng một mạng cục bộ của một văn phịng cơng ty) hoặc thiết bị ở
xa (người dùng di động), nó khởi tạo kết nối đến máy chủ VPN, sau khi được xác nhận
và cấp phép máy chủ sẽ được phép truy nhập vào máy chủ, khi đó máy chủ và máy
khách mới truyền thơng với nhau. Máy khách có thể là một máy hoạt động dựa trên
phần mềm hoặc là một thiết bị phần cứng chuyên dụng.

Mạng riêng
được bảo vệ

Mạng riêng
được bảo vệ

Máy khách
di động

Internet
Máy chủ
Bộ định tuyến

Bộ tập trung
truy cập của ISP

Máy chủ
Bộ định tuyến

Máy khách
tại nhà

Hình 1.6: Đặc trưng của máy khách VPN.
Đặc trưng của một VPN client:
- Những người làm việc ở xa văn phịng trung tâm của cơng ty có thể thơng qua
mạng cơng cộng để truy nhập vào mạng công ty, rất thuận tiện khi nhân viên làm việc tại
nhà.
- Những người dùng ở xa sử dụng laptop để truy cập vào nguồn tài nguyên của
công ty và trong mạng mở rộng.
- Các nhà quản trị mạng có thể thơng qua mạng cơng cộng để kết nối với những

nút mạng ở xa nhằm quản lý, giám sát hoạt động, cấu hình dịch vụ và thiết bị, sữa
chữa khắc phục sự cố cho các người dùng ở xa.

15


1.5.3.Bộ định tuyến VPN (VPN Routers)
Bộ định tuyến (router) có vai trò tạo ra kết nối với các nút ở đầu xa. Chức năng
chính của bộ định tuyến là định đường đi cho gói dữ liệu qua mạng, vì trong mạng
chuyển mạch gói để đi tới một nút có rất nhiều đường nên nhiệm vụ của bộ định tuyến là
tìm đường cho dữ liệu đến đích một cách nhanh nhất. Chức năng chính của bộ định tuyến
VPN cũng như bộ định tuyến thơng thường, ngồi ra nó cịn cung cấp thêm các
chức năng bảo mật cho mạng riêng ảo và đảm bảo chất lượng dịch vụ (QoS) trên
đường truyền. Do đó bộ định tuyến thơng thường cũng có thể dùng làm bộ định tuyến VPN
nhưng để tăng tính bảo mật cho hệ thống và đảm bảo chất lượng dịch vụ, khi xây dựng
mạng riêng ảo nên sử dụng bộ định tuyến chuyên dụng dùng cho VPN. Ví dụ như bộ định
tuyến truy nhập modun 1750 của Cisco được sử dụng rất phổ biến.
Hiện nay người ta có thể nâng cấp các router thông thường thành router VPN bằng
cách thêm vào các chức năng của VPN, ban đầu khi sử dụng sẽ mất thêm một ít thời gian
để cấu hình, cài đăt và kiểm ta lỗi. Điều này giúp tận dụng được các router cũ, từ đó góp
phần giảm chi phí khi xây dựng VPN.
Thông thường nếu không sử dụng tường lửa (firewall) thì bộ định tuyến là điểm
cuối của đường hầm VPN. Máy chủ VPN cũng có khả năng đảm nhiệm vai trò của router
VPN. Tuy nhiên trong những mạng nhỏ, người ta mới dùng máy chủ để định tuyến, cịn
những mạng lớn vì máy chủ phải thực hiện nhiều công việc, mạng phải đáp ứng số lượng
lớn các yêu cầu nên cần phải sử dụng bộ định tuyến VPN riêng.
Người ta có thể sử dụng bộ định tuyến kèm chức năng lọc gói. Tuy nhiên, lọc gói
khơng đủ để bảo mật đối với nhiều dạng tấn cơng có thể xảy ra trên mạng, đây là một
trong những lý do để phát triển thêm nhiều loại tường lửa khác nhau. Trong phạm vi của
VPN, bộ định tuyến hiện đang được ưa chng nhất là các bộ định tuyến mã hóa

(encryption router).

• Những yêu cầu đối với bộ định tuyến:
- Bộ định tuyến bao gồm cả việc mã hóa và giải mã lưu lượng đối với những kết
nối mạng riêng biệt.
- Phải hỗ trợ những giải thuật mã hóa IPSec mặc định như DES, CBC, HMACMD5, HMAC-SHA-1…
- Hỗ trợ chiều dài khóa mã tối ưu nhất đối với yêu cầu bảo mật của mạng.
- Hạn chế việc truy cập đến các khóa.
16


- Hỗ trợ việc tái định khóa một cách tự động theo chu kỳ hoặc mỗi khi có một kết
nối mới.
- Hỗ trợ cơ chế khử phát lại (anti-replay).
- Thực hiện việc ghi nhận lại các lỗi khi xử lý các tiêu đề và cảnh báo với
những việc lặp đi lặp lại những hoạt động không được phép.
- Hỗ trợ cả hai chế độ transport và tunnel của IPSec.
Do các bộ định tuyến được thiết kế với chức năng chính là kiểm tra các gói tại lớp
mạng trong mơ hình OSI, khơng dùng để xác thực người dùng. Do đó, cần phải có thêm một
máy chủ xác thực cho bộ định tuyến trong việc taọ ra một VPN có tính bảo mật cao.
1.5.4.Bộ tập trung VPN (Concentrator)
Giống như Hub là thiết bị được sử dụng trong mạng truyền thống, bộ tập trung VPN
(VPN concentrators) được sử dụng để thiết lập một mạng VPN truy cập từ xa có kích thước
nhỏ. Ngồi việc làm tăng cơng suất và số lượng của VPN, thiết bị này còn cung cấp khả
năng thực hiện cao và năng lực bảo mật cũng như năng lực xác thực cao. Ví dụ như bộ tập
trung sêri 3000 và 5000 của Cisco hay bộ tập trung VPN của Altiga là các bộ tập trung được
sử dụng khá phổ biến.
Nó giúp tăng dung lượng và cơng suất của hệ thống, đồng thời cũng cung cấp khả
năng xác thực và bảo mật cao.
1.5.5.Cổng nối VPN (VPN Gateways)

Cổng nối IP (IP gateway) là thiết bị chuyển các giao thức không phải là giao
thức IP sang giao thức IP và ngược lại. Nhờ đó mạng cục bộ có khả năng kết nối với
mạng Internet và thực hiện các giao dịch dựa tên nền IP. VPN gateway có thể là thiết bị
phần cứng chuyên dụng hoặc là giải pháp dựa trên phần mềm. Nếu là thiết bị phần cứng
nó sẽ được đặt ở giữa mạng cục bộ với mạng bên ngồi, cịn nếu là giải pháp phần
mềm nó được cài trên máy chủ và được sử dụng để chuyển đổi các lưu lượng từ giao thức
không phải là giao thức IP sang giao thức IP và ngược lại. Ví dụ như phần mềm Novell’s
Border Manager.
Các cổng kết nối VPN là các cổng kết nối bảo mật (Security gateway) được đặt giữa
mạng công cộng và mạng riêng nhằm nhăn chặn xâm nhập trái phép vào mạng riêng. Cổng
kết nối VPN có thể cung cấp những khả năng tạo đường hầm và mã hoá dữ liệu riêng trước
khi được chuyển đến mạng công cộng.

17


1.5.6.Tường lửa (Firewall)
Thuật ngữ “Tường lửa” đã được sử dụng trong mạng WAN cho việc bảo mật, chống
lại những tấn công của những kẻ phá hoại (attacker/hacker). Tường lửa là một phần tích hợp
trong chính sách bảo mật của, nó xác định lưu lượng chuyển qua giữa mạng Intranet với
mạng Internet. Tưịng lửa có thể dùng để bảo mật những vùng giới hạn với các vùng còn lại
trong mạng.
Tường lửa là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập
các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua.
Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những
tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Tốt
nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
1.5.7.Phần mềm (Software)
Yêu cầu chung mà các phần mềm dùng cho VPN cung cấp dùng để định dạng và quản
lý các kênh bảo mật, ngồi ra có thể sử dụng cho các kênh giữa các host mà không cần đến

cổng nối bảo mật.
Ta biết rằng, sử dụng phần cứng thay cho phần mềm sẽ đạt được hiệu suất cao hơn vì
việc mã hố bằng phần cứng có tốc độ nhanh hơn nhiều so với mã hoá bằng phần mềm. Tuy
nhiên, hiện nay người ta vẫn sử dụng phần mềm và xu hướng sử dụng phần mềm ngày càng
tăng, bởi vì:
- Việc sử dụng phần mềm thay vì dùng phần cứng sẽ có giá thấp hơn nhiều, do một số
phần mềm có giá tương đối rẻ thậm chí có phần mềm cịn miễn phí.
- Các sản phẩm phần mềm VPN được cài trên một hệ điều hành hay hệ điều hành mạng
nào đó nên việc quản lý VPN sẽ dễ dàng và thuận lợi hơn.
- Dễ dàng nâng cấp các chức năng của mạng VPN vì khi đó ta chỉ cần nâng cấp phần
mềm, điều này rất đơn giản.
- Nếu ta muốn xây dựng một VPN có quy mơ nhỏ, lưu lượng thấp thì khơng cần đến hiệu
suất tối ưu mà phần cứng VPN cung cấp. Khi lựa chọn sử dụng phần mềm VPN ta có thể
bỏ chi phí xây dựng, thiết kế vừa với nhu cầu sử dụng.
Trong mạng VPN, có hai lớp phần mềm: Các phần mềm lớp 1 được dùng để cung cấp
các dịch vụ cho mạng LAN; các phần mềm lớp 2 bao gồm những phần mềm dùng cho việc
định đường hầm giữa các host mà không cần dùng đến các cổng nối bảo mật.

18


Các sản phẩm phần mềm cung cấp dịch vụ VPN cho mạng LAN thực hiện toàn bộ
việc định đường hầm và các kế hoạch của VPN, một số sản phẩm này hỗ trợ cả giao thức
PPTP, L2TP. Một số khác sử dụng kế hoạch thích hợp để định đường hầm và quản lý khoá.
Ngày nay, các chức năng xác thực và mã hoá đã được gộp vào như một thành phần
của hệ điều hành mạng, nhưng chúng ta vẫn phải tập trung vào viêc sử dụng các cổng nối
bảo mật hoặc các phần mềm client đầu xa khi muốn tạo ra các VPN. Các công ty Microsoft
hay Novell cung cấp những hệ điều hành mạng có hỗ trợ VPN và cung cấp những tính năng
cổng nối bảo mật trong các phần mềm hệ điều hành mạng của họ.
Microsoft là hãng đầu tiên cung cấp máy chủ định đường hầm cho PPTP trong máy

chủ truy cập từ xa, phần mềm định tuyến RRAS (Routing and Remote Access Server), chạy
trên nền Windows có tính năng tốt và được cung cấp miễn phí khi mua hệ điều hành
Windows. Sản phẩm borderguard của hãng Novell là một tập các modun phần mềm có thể
sử dụng một cách độc lập hay dùng chung như một đơn vị, rất thích hợp cho mạng đang
hoạt động với giao thức IPX cũng như giao thức IP.

19


CHƯƠNG 2
KĨ THUẬT TUNNELING VÀ CÁC GIAO THỨC TUNNELING
TRONG VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an tồn dữ
liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một giao thức đường hầm sẽ
thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương ứng để truyền qua
Internet. Giao thức đường hầm là cốt lõi của giải pháp VPN. Có 4 giao thức đường hầm
được sử dụng trong VPN đó là:
 Giao thức bảo mật IP - IPSec (Internet Protocol Security)
 Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
 Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)
 Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)
2.1.Giao thức bảo mật IP - IPSec (Internet Protocol Security)
Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn có. Trong
giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các viện nghiên
cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như bây giờ khi mà Internet
trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi trên Internet và đối tượng sử
dụng Internet rộng hơn bao gồm cả các Hacker.
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức IPSec.
Họ giao thức IPSec đầu tiên đựoc dung cho xác thực, mã hố các gói dữ liệu IP, được chuẩn
hố thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này mô tả kiến trúc cơ

bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP, gói IP là đơn vị dữ kiệu
cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển q trình
xác thực và mã hoá: một là xác thực tiêu đề IP – AH (IP Authentication Header) điều khiển
việc xác thực và hai là đóng gói tải tin an tồn ESP (Encapsulation Security Payload) cho
mục đích mã hố.
IPSec khơng phải là một giao thức. Nó là một khung của các tập giao thức chuẩn mở
cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực
để cung cấp sự xác thực dữ liệu, tính tồn vẹn dữ liệu, và sự tin cậy dữ liệu. IPSec là sự lựa
chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của cơng ty. Nó đảm
bảo truyền thông tin cậy trên mạng IP công cộng đối với các ứng dụng.
20


IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền những luồng
dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệ luồng dữ liệu
giữa hai Host.
IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc triển
khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được thay đổi cho
phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4 nhưng đối với IPv6 thì có
sẵn IPSec.
Hoạt động của IPSec ở mức cơ bản địi hỏi phải có các phần chính sau:
- Liên kết bảo mật SA (Security Association)
- Xác thực tiêu đề AH(Authentication Header)
- Bọc gói bảo mật tải ESP (Encapsulating Security Payload)
- Chế độ làm việc

a)Liên kết bảo mật SA (Security Association)
Để hai bên có thể truyền, nhân dữ liệu đã được bảo mật thì cả hai bên phải cùng
thống thuật tốn mã hóa, phương thức trao đổi khóa, sau bao lâu thì cả hai bên sẽ cùng
thay đổi khóa. Tất cả những thỏa thuận trên đều do SA đảm trách. Việc truyền thơng giữa

bên gửi và bên nhận địi hỏi phải có ít nhất một SA và có thể địi hỏi nhiều hơn vì mỗi giao
thức IPSec địi hỏi phải có một SA cho nó

b)Xác thực tiêu đề AH
Xác thực tiêu đề AH cho phép xác thực và kiểm tra tính tồn vẹn dữ liệu của
các gói IP truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có bị
thay đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu nên các
dữ liệu đều được truyền dưới dạng bản rõ.
AH được chèn giữa tiêu đề IP và nội dung phía sau. Gói dữ liệu khơng bị thay
đổi nội dung khi chèn AH vào.

21


Hình 2.1: Khn dạng gói tin IPv4 trước và sau khi xử lý AH

Hình 2.2: Khn dạng gói tin Ipv6 trước và sau khi xử lý AH.

c)Bọc gói bảo mật tải ESP
Bọc gói dữ liệu tải được sử dụng để cung cấp tính an tồn cho các gói tin được
truyền đi với các chức năng như mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính
tồn vẹn của dữ liệu. ESP đảm bảo tính bí mật của thơng tin thơng qua việc mật mã gói
tin IP. Tất cả lưu lương ESP đều được mật mã giữa hai hệ thống. Với đặc điểm này thì xu
hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an tồn cho dữ liệu.
Giống như tiêu đề AH, tiêu đề ESP được chèn vào giữa tiêu đề IP và nội dung tiếp
theo của gói. Tuy nhiên ESP có nhiệm vụ mã hóa dữ liệu nên nội dung của gói sẽ bị thay
đổi.
22



Hình 2.3: Khn dạng gói tin Ipv4 trước và sau khi xử lý ESP.

Hình 2.4: Khn dạng gói tin Ipv6 trước và sau khi xử lý ESP.
IPSec là khung của các chuẩn mở, được phát triển bởi IETF.

Hình 2.5: Khung giao thức được sử dụng trong IPSec
23


Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.
-

Giao thức bảo mật IP (IPSec)
+ AH (Authentication Header)
+ ESP (Encapsulation Security Payload)

-

Mã hoá bản tin
+ DES (Data Encryption Standard)
+ 3 DES (Triple DES)

-

Các chức năng toàn vẹn bản tin
+ HMAC (Hash – ased Message Authentication Code)
+ MD5 (Message Digest 5)
+ SHA-1 (Secure Hash Algorithm -1)

-


Nhận thực đối tác (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures
+ RSA Encrypted Nonces

-

Quản lý khoá
+ DH (Diffie- Hellman)
+ CA (Certificate Authority)

-

Kết hợp an ninh
+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management Protocol)
IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo mật,

tồn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang hàng có thể
là những cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến, những tường lửa,
những bộ tập trung VPN …) hay có thể giữa một host và một cổng nối bảo mật, như trong
VPN truy cập từ xa.
Chế độ làm việc
Có hai chế độ làm việc trong IPSec:
+ Chế độ giao vận (Transport mode): chỉ có đoạn lớp giao vận trong gói được
xử lý.
+ Chế độ đường hầm (Tunnel mode): tồn bộ gói sẽ được ử lí cho mã hóa xác
thực.

24



2.2.Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa
trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay số ảo
bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như
Internet. L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho
những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ liệu.
2.2.1.Cấu trúc gói của L2F
1bit 1bi
F

t
K

1bit 1bit
P

8bit

S Reserved
Multiplex ID
Length

1bit

3bit

C


Version

8bit

8bit

Protocol
Sequence
Client ID
Offset

Key
Data
Ckecksums
Hình 2.6: Khn dạng gói của L2F.
Trong đó:
F: Trường “Offset” có mặt nếu bit này được thiết lập.
K: Trường “Key” có mặt nếu bit này được thiết lập.
P_ priority: Gói này là một gói ưu tiên nếu bit này được thiết lập.
S: Trường “Sequence” có mặt nếu bit này được thiết lập.
Reserved: luôn được đặt là: 00000000.
Version : Phiên bản chính của L2F dùng để tạo gói. 3 bit này luôn là 111.
Protocol : Xác định giao thức đóng gói L2F.
Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.
Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel).
Client ID: Giúp tách đường hầm tại những điểm cuối.
Length: chiều dài của gói (tính bằng Byte) khơng bao gồm phần checksum.
Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu. Trường này
có khi bit F=1.

Key: Trường này được trình bày nếu bit K được thiết lập. Đây là một phần của quá trình
nhận thực.
Checksum: Kiểm tra tổng của gói. Trường checksum có nếu bit C=1.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×