Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (8.52 MB, 74 trang )
TRƯỜNG ĐẠI HỌC BÁCH KHOA
KHOA CÔNG NGHỆ THÔNG TIN
BỘ MÔN MẠNG VÀ TRUYỀN THÔNG
BÁO CÁO BÀI TẬP LỚN CUỐI KÌ
ĐỀ TÀI:
BẢO VỆ HỆ THỐNG MẠNG BẰNG VPN\IPSEC
SVTH : NGÔ VĂN TỰ CƯƠNG
TRẦN QUỐC NHẬT TRUNG
LỚP : 12TLT.CNTT
GVHD : Ts. NGUYỄN TẤN KHÔI
Đà Nẵng, 5/2014
Mục Lục
Danh mục các hình
LỜI MỞ ĐẦU
Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thế
giới cả về số lượng và về kĩ thuật. Và sự phát triển đó không có dấu hiệu sẽ dừng lại. Sự
phát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thống
Internet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vào
các hoạt động thương mại với quy mô lớn nhỏ khác nhau…
Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch
vụ bằng các website của mình. Cùng với thời gian, nó sẽ phát triển thành thương mại điện
tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet.
Bài toán đặt ra là làm thế nào để bảo vệ chống lại các cuộc tấn công trong quá trình
truyền qua mạng? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật các dữ liệu qua mạng bằng
việc sử dụng IPSec.
Vấn đề phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu qua
mạng trung gian công cộng không an toàn như Internet. Để giải quyết vấn đề này, một
giải pháp đưa ra là mạng riêng ảo VPN kết hợp với giao thức bảo mật IPSEC. Chính điều
này là động lực cho sự phát triển mạnh mẽ của VPN như ngày nay.
I. Mục tiêu của đề tài
- Tìm hiểu về mạng riêng ảo VPN, công nghệ IPSec, các cơ chế mã hóa dữ liệu trong
IPSec. Tìm hiểu về kiến trúc của IPSec, ứng dụng của nó trong thực tiễn.
- Triển khai hệ thống VPN có IPSec
II. Yêu cầu
- Hoàn thành bải báo cáo đầy đủ và đúng tiến độ.
- Nắm được kiến thức đề ra
III. Kết cấu đề tài
Ngoài phần mở đầu và kết luận bài báo cáo gồm có các chương sau:
Chương I. Tổng quan về VPN
Chương II. Tìm hiểu về giao thức IPSEC
Chương III. Triển khai hệ thống VPN có IPSec
Chương 1. Tổng Quan Về VPN
1.1 Tổng Quan.
Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin, dữ
liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy Internet
đã bùng nổ. Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ
(ISP – Internet service Provide), sử dụng một giao thức chung là TCP/IP.
Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn
thông công cộng. Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay
tư vấn trực tuyến… đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi toàn cầu và không
tổ chức hay chính phủ nào có thể quản lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệu
hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết. Từ đó các nhà khoa học đã
nghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn
tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – Virtual
Private Network ). Với mô hình này, chúng ta không phải đầu tư thêm quá nhiều trang
thiết bị, cơ sở hạ tầng mà vẫn đảm bảo các tính năng như bảo mật, độ tin cậy đồng thời
có thể quản lý riêng hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại
nhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ
của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó đảm bảo an
toàn thông tin giữa các tổ chức, công ty hoặc chi nhánh, văn phòng, người cung cấp hay
các đối tác kinh doanh trong môi trường truyền thông rộng lớn.
Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộng
như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí.
1.2 Lịch sử phát triển của VPN
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn từ
yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả với các
tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN).
Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng
các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với
nhau.
Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây
chuyên dùng cho các khách hàng lớn. Colisee có thể cung cấp phương thức gọi số chuyên
dùng cho khách hàng. Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều
tính năng quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là
mạng được định nghĩa bằng phần mềm SDN.
- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xí
nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, đã
kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.
- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của Ô-
xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu Á – Thái Bình
Dương.
- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác đầu
tư Unisource, cung cấp dịch vụ VPN.
- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên minh toàn
cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.
- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch
vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…
Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu
(GVPNS).
- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp
(French Telecom) kết thành liên minh Global One.
- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, công nghệ này
có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo… Các mạng VPN xây
dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái
nhìn mới cho VPN. Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức
có nhiều văn phòng, chi nhánh lựa chọn. Ngày nay, với sự phát triển của công nghệ, cơ sở
hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày một
hoàn thiện.
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ
liệu, hình ảnh và các dịch vụ đa phương tiện.
1.3 Định nghĩa VPN
VPN được hiểu đơn giản là sự mở rộng của một mạng riêng (Private Network) thông
qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng
chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người
sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line,
mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của các công
ty tới các site các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng
mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trên
đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi gọi là Tunnel. Tunnel
giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo
mật đó, dữ liệu phải được mã hóa theo cơ chế giấu đi, chỉ cung cấp phần đầu gói tin
(header) là thông tin về đường đi cho phép nó có thể đi tới đích thông qua mạng công cộng
một cách nhanh chóng, dữ liệu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt
trên đường truyền công cộng cũng không thể đọc nội dung vì không có khóa đề giải mã,
liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN
thường được gọi là đường ống VPN (Tunnel).
Hình 1.3.1.1.1 Mô Hình Kết Nối VPN.
1.4 Các thành phần tạo nên VPN.
Để triển khai một hệ thống VPN bạn cần có một số thành phần cơ bản sau,
nhưng việc tạo ra hệ thống VPN thì mỗi người sẽ có một sự lựa chọn thành phần khác nhau
để phù hợp với công ty hay mục đích của mỗi người.
1.4.1 VPN client
Một khách hàng VPN có thể là một máy tính hoặc nó có thể là một bộ định tuyến.
Loại VPN khách hàng sử dụng cho mạng của công ty thực sự phụ thuộc vào nhu cầu cá
nhân của công ty đó.
Mặt khác, nếu công ty có một vài nhân viên những người đi du lịch thường xuyên và
cần phải truy cập vào mạng của công ty trên đường đi, bạn có thể sẽ được hưởng lợi từ
việc thiết lập máy tính xách tay của nhân viên như VPN khách hàng.
Về mặt kỹ thuật, bất kỳ hệ điều hành có thể hoạt động như một VPN khách hàng
miễn là nó hỗ trợ PPTP, L2TP, hoặc giao thức IPSec. Trong các hệ điều hành của
Microsoft, bạn có thể sử dụng 2000, và XP thậm chí là Window 7. Mặc dù tất cả các hệ
điều hành này về mặt kỹ thuật sẽ làm việc như khách hàng, nhưng tốt nhất vẫn là Windows
XP bởi vì nó khả năng hỗ trợ L2TP và IPSec và thông dụng.
1.4.2 VPN Server
Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàng VPN. Về
mặt kỹ thuật, chúng ta có thể sử dụng Windows NT Server 4.0, Windows 2000
Server, hoặc Windows Server 2003 hay Window Server 2008 như là một máy chủ VPN.
VPN Server khá đơn giản. Nó là một máy chủ cứng Windows Server 2008 chạy
Routing và Remote Access (RRAS). Khi một kết nối VPN đã được chứng thực, các máy
chủ VPN chỉ đơn giản là hoạt động như một bộ định tuyến cung cấp cho khách hàng VPN
có thể truy cập đến một mạng riêng.
1.4.3 IAS Server
Một trong những yêu cầu bổ sung cho một máy chủ VPN là cần có một máy chủ
RADIUS (Remote Authentication Dial In User Service). RADIUS là một server sử dụng
quay số xác thực từ xa. RADIUS là cơ chế mà các nhà cung cấp dịch cụ Internet thường sử
dụng để xác thực các thuê bao để thiết lập kết nối Internet.
Microsoft cũng có phiên bản riêng của RADIUS được gọi là Dịch vụ xác thực Internet
hoặc IAS (International Accounting Standards). Các dịch vụ IAS có cả trên Windows
Server 2008.
1.4.4 Firewall
Các thành phần khác theo yêu cầu của VPN là một tường lửa tốt. Máy chủ VPN chấp
nhận kết nối từ thế giới bên ngoài, nhưng điều đó không có nghĩa là thế giới bên ngoài cần
phải có quyền truy cập đầy đủ đến máy chủ VPN. Chúng ta phải sử dụng một tường lửa để
chặn bất kỳ cổng không sử dụng.
Yêu cầu cơ bản cho việc thiết lập kết nối VPN là địa chỉ IP của máy chủ VPN có
thông qua tường lửa của bạn để tiếp cận với máy chủ VPN.
Nếu bạn nghiêm túc về an ninh (và nếu có ngân sách), chúng ta có thể đặt một máy
chủ ISA giữa chu vi tường lửa và máy chủ VPN. Ý tưởng là có thể cấu hình tường lửa để
chỉ đạo tất cả lưu lượng truy cập VPN có liên quan đến ISA Server chứ không phải là máy
chủ VPN. ISA Server sau đó hoạt động như một proxy VPN. Cả hai khách hàng VPN
và VPN Server chỉ giao tiếp với máy chủ ISA. Họ không bao giờ giao tiếp trực tiếp với
nhau. Điều này có nghĩa rằng ISA Server che chắn các máy chủ VPN từ khách hàng truy
cập trực tiếp, vì thế cho máy chủ VPN thêm một lớp bảo vệ.
1.4.5 Chọn một Giao thức Tunneling
Khi VPN khách hàng truy cập vào một máy chủ VPN, họ làm như vậy qua một
đường hầm ảo. Một đường hầm là không có gì hơn một lối đi an toàn qua môi trường
không an toàn (thường là Internet). Tuy nhiên, đường hầm thì không tự nhiên mà có.
Nó đòi hỏi việc sử dụng một giao thức đường hầm. Có một số giao thức để lựa chọn để
tạo đường hầm như: IPSec, L2TP , PPTP, GRE. Nhưng lựa chọn giao thức đường hầm
đúng cho công ty, hay nhu cầu của mỗi người là một quyết định quan trọng khi lập kế
hoạch thiết kế VPN.
Lợi thế lớn nhất mà L2TP hơn PPTP là nó dựa trên IPSec. IPSec mã hóa dữ liệu, cung
cấp xác thực dữ liệu, dữ liệu của người gửi sẽ được mã hóa và đảm bảo không bị thay đổi
nội dung trong khi truyền. Hơn nữa, IPSec được thiết kế để ngăn chặn các cuộc tấn công
replay.
Mặc dù L2TP có vẻ là có lợi thế hơn so với PPTP, nhưng PPTP cũng có lợi thế riêng
đó là khả năng tương thích. PPTP hoạt động tốt với các hệ điều hành Windows hơn
L2TP.
1.4.6 Authentication Protocol
Trong quá trình thiết lập một VPN, chúng ta phải chọn một giao thức xác thực. Hầu
hết mọi người chọn MS-CHAP v2. MS-CHAP tương đối an toàn, và nó làm việc với
khách hàng VPN sử dụng hệ điều hành Windows. Lựa chọn tốt nhất là MS-CHAP.
1.5 Lợi ích và hạn chế của việc sử dụng VPN.
1.5.1 Lợi ích.
Việc sử dụng mạng riêng ảo là một nhu cầu và là xu thế của công nghệ truyền thông
bởi vì nó có một số ưu điểm như:
1. Giảm thiểu chi phí triển khai và duy trì hệ thống.
- Với VPN việc triển khai hệ thống đáp ứng đầy đủ nhu cầu truyền tải hay tính bảo mật
an toàn dữ liệu nhưng chi phí thì khá rẻ vì VPN giảm thiểu tối đa phí thuê đường truyền
dài thay vào đó là sự tận dụng lại hệ thống mạng Internet có sẵn.
- Phí duy trì hệ thống cũng là một vấn đề đáng quan tâm, với VPN phí duy trì rất rẻ, hơn
thế nữa bằng việc thuê hạ tầng có sẵn của các công ty dịch vụ Internet thì chi phí duy trì
sẽ không còn đáng lo ngại.
2. Cải thiện kết nối.
- Vượt qua bộ lọc chặn truy cập Web: VPN là một lựa chọn tốt để có thể vượt qua được
bộ lọc Internet, đây là lý do tại sao VPN được sử dụng nhiều tại một số nước có sự
kiểm duyệt Internet khắt khe.
- Việc thay đổi địa chỉ IP: Nếu muốn thay đổi IP khác thì VPN có thể giúp chúng
làm điều này việc này giúp ta có thể che dấu được địa chỉ của mình tránh được sự xâm
hại hay ý đồ xấu của những hacker (kẻ tấn công, tin tặc) bên ngoài mạng.
3. An toàn trong giao dịch.
- Việc trao đổi thông tin trong công việc là nhiều và liên tục, nhưng vấn đề bảo mật thông
tin thì cực kì quan trọng, với VPN chúng ta sẽ không phải lo lắng quá nhiều về việc đó,
VPN sử dụng cơ chế giấu đi, các dữ liệu sẽ được mã hóa và thông tin dữ liệu được bảo
bọc bởi gói tin Header (phần đầu gói tin ghi địa chỉ đầu - cuối của gói tin) và truyền đi
nhanh chóng dựa vào Internet.
- VPN đáp ứng tốt việc chia sẽ gói tin và dữ liệu trong một thời gian dài.
4. Khả năng điều khiển từ xa.
- Thời đại hiện nay, mọi người làm việc muốn tiết kiệm thời gian và giảm chi phí, vì
vậy việc một người làm việc tại nhà mà vẫn có thể giải quyết tốt những công việc
của họ thì thật là tuyệt vời. Với VPN người dùng có thể truy cập vào hệ thống mạng từ
bất kì đâu ở nhà thậm chí là một quán coffe chỉ cần nơi đó có Internet (ở đây hệ thống
VPN sử dụng Internet), vì vậy nó rất có lợi đối cho việc thực hiện công việc từ xa.
5. Khả năng mở rộng hệ thống tốt.
- Chi phí để xây dựng một hệ thống mạng lưới chuyên dụng (sử dụng cáp mạng)
cho một công ty lúc đầu có thể là hợp lý, tuy nhiên công ty ngày càng phát triển nhu
cầu mở rộng hệ thống mạng là cần thiết vì vậy VPN là một lựa chọn hợp lý bởi vì VPN
không phụ thuộc quá nhiều vào vấn đề “hệ thống”, nói một cách đơn giản là khi muốn
mở rộng thì chỉ cần tạo thêm đường ống (tunnel) kết nối dựa trên hạ tầng Internet có
sẵn.
1.5.2 Hạn chế.
Mặc dù phổ biến nhưng mạng riêng ảo (VPN) không hẳn là hoàn hảo và hạn chế thì
luôn luôn tồn tại trọng bất kì hệ thống mạng nào. Một số hạn chế cần lưu ý khi triển khai
hệ thống VPN:
- VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài đặt phải
cẩn thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet công cộng.
- Độ tin cậy và hiệu suất của một VPN dựa trên Internet không phải là dưới sự kiểm
soát trực tiếp của công ty, vì vậy giải pháp thay thế là hãy sử dụng một nhà cung cấp
dịch vụ (ISP) tốt và chất lượng.
- Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp khác nhau
không phải lúc nào cũng tương thích do các vấn đề về tiêu chuẩn công nghệ VPN.
Khi sử dụng pha trộn và kết hợp các thiết bị sẽ có thể gây ra những vấn đề kỹ thuật
hoặc nếu sử dụng không đúng cách sẽ lãng phí rất nhiều chi phí triển khai hệ thống.
- Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề bảo mật cá nhân,
bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn phòng bằng máy
tính xách tay, máy tính riêng, khi đó nếu các máy tính của họ thực hiện hàng loạt các
ứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì hacker (kẻ tấn công, tin
tặc) có thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệ thống của
công ty. Vì vậy việc bảo mật cá nhân luôn được các chuyên gia khuyến cáo phải đảm
bảo an toàn.
1.6 Đặc điểm của VPN.
Một số đặc điểm chính của VPN:
- Độ tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi
truyền chúng ngang qua mạng. Bằng cách đó, không ai có thể truy nhập thông tin mà
không được cho phép, nếu lấy được thông tin thì cũng không đọc được vì thông tin đã
được mã hóa.
- Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra dữ liệu nhận
được sau khi truyền qua Internet có bị thay đổi hay không.
- Xác thực nguồn gốc (Origin Authentication): Khi nhận được dữ liệu điều đầu tiên
phải làm là xác thực ngồn gốc của dữ liệu, VPN cho phép người dùng xác thực thông
tin, nguồn gốc của dữ liệu.
1.7 Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản
sau:
- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động vào
mạng nội bộ của công
ty.
- Nối liền các chi nhánh, văn phòng di động.
- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ
hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:
- Mạng VPN truy nhập từ xa (Remote Access VPN)
- Mạng VPN cục bộ (Intranet VPN)
- Mạng VPN mở rộng (Extranet VPN)
1.7.1 Mạng VPN truy nhập từ xa (Remote Access VPN)
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời điểm, các
nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của
công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi vì, những VPN này
có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ
sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Chúng
có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử
dụng di động, những chi nhánh và những bạn hàng của công ty. Những kiểu VPN này
được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,
quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm
client chạy trên máy tính của người sử dụng.
1 Mô hình mạng VPN truy nhập từ xa
1.7.2 Mạng VPN cục bộ ( Intranet
VPN)
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau
của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở
hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các
địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của
công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở
rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn
đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site.
1 Mô hình mạng VPN cục
bộ
1.7.3 Mạng VPN mở rộng (Extranet)
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở
rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả
năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những
đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…
1 Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà
cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết
nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự khác nhau
giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một
trong hai đầu cuối của VPN.
Central site
or
POP
Remote site
Internet
Router
PIX Firewall
Văn phòng từ xa
Văn phòng trung tâm
Remote site
Văn phòng trung tâm
Business-to-business
Extranet
Intranet
Văn phòng ở xa
cable
DSL
Router
PIX Firewall
or
Central site
Internet
POP
DSL
a) Những ưu điểm chính của mạng VPN mở rộng:
- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hội
trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗi
công ty hơn.
- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được
số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toàn
mạng.
b) Nhược điểm của mạng VPN mở rộng :
- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn
tồn tại.
- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn
tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
1.8 Các giao thức sử dụng trong VPN.
1.8.1 Bộ giao thức IPSec.
Internet Protocol Security (IPSec) là một bộ giao thức bảo mật (Internet Protocol-IP)
thông tin liên lạc, bằng cách xác thực và mã hóa mỗi gói tin IP của một phiên giao dịch,
IPSec cũng bao gồm các giao thức cho việc thiết lập xác thực lẫn nhau giữa các đại lý trong
các phiên giao dịch và đàm phán bằng cách sử dụng các key mã
hóa.
IPSec là một chương trình điều hành bảo mật end-to-end trong các Layer
Internet (lớp kết nối internet) của Internet Protocol Suite (IPS - giao thức chuẩn trong
internet). Nó được sử dụng để việc bảo vệ luồng dữ liệu giữa một cặp máy (host-to- host),
giữa hai mạng (network-to-network), hay giữa một mạng với một máy chủ (network-to-
host).
1.8.2 Kiến Trúc.
Bộ giao thức IPSec là một tiêu chuẩn mở, IPSec sử dụng các giao thức để thực hiện
các chức năng khác nhau, IPSec gồm các thành phần sau:
- Authentication Header (AH): cung cấp kết nối an toàn và xác thực nguồn gốc dữ liệu
cho gói tin IP, đưa ra chính sách bảo vệ chống lại các cuộc tấn công.
- Encapsulating Security (ESP): Cung cấp bảo mật, xác thực nguồn gốc dữ liệu, kết nối
toàn vẹn, kiểm soát các luồng dữ liệu một cách an toàn.
- Security Associations (SA): Cung cấp những thuật toán và thông số cần thiết để AH và
ESP hoạt động. Đưa ra một cách thức trao đổi khóa (ISAKMP- Internet Security
Association and Key Management Protocol) tính toán và cung cấp khóa chia sẻ (Pre-
shared keys) như: IKE(Internet Key Exchange), IKEv2, KINK (Kerberized Internet
Negotiation of Keys), hoặc IPSECKEY.
1 Sơ đồ các thành phần của IPSec và luồng dịch chuyển.
1.8.3 Giao thức PPTP, L2TP và SSTP.
1.8.3.1 Giao thức PPTP (Point-to-Point Tunneling Protocol).
PPTP là một phương thức của mạng riêng ảo, được phát triển bởi Microsoft kết hợp
với một số công ty khác, nó sử dụng một kênh điều khiển qua giao thức TCP và đường
hầm GRE để đóng gói các gói dữ liệu PPP (Point-to-Point). PPTP là một phần của các
tiêu chuẩn Internet Point-to-Point (PPP), PPTP sử dụng các loại xác thực như PPP (PAP,
SPAP, CHAP, MS-CHAP, và EAP).
PPTP thiết lập đường hầm nhưng không cung cấp mã hóa, nó mã hóa bằng cách
sử dụng giao thức Microsoft Point-to-Point Encrytion (MPPE) để tạo ra một VPN an
toàn. PPTP có chi phí tương đối thấp, điều này giải thích tại sao PPTP thường được sử
dụng nhiều bởi các khách hàng của Microsoft.
a) Nguyên tắc hoạt động của PPTP.
PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó làm
việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói,
tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác.
PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP để
truyền qua mạng IP. PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thúc đường hầm và
dùng một gói định tuyến chung GRE để đóng gói các khung PPP. Phần còn lại của khung
PPP có thể được mã hoá và nén lại.
PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thúc kết nối vật lý,
xác định người dùng, và thao tác các gói dữ liệu PPP.
PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng. PPTP
khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết
lập kết nối IP. Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận. Đó là
giai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi ISP. Việc xác
thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối
PPP.
Một số cơ chế xác thực được sử dụng là:
- Giao thức xác thực mở rộng EAP.
- Giao thức xác thực có thử thách bắt tay CHAP.
- Giao thức xác định mật khẩu PAP.
Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạng
văn bản đơn giản và không có bảo mật. CHAP là giao thức có cách thức mạnh hơn, sử
dụng phương pháp bắt tay ba chiều để hoạt động, và chống lại các tấn công quay lại bằng
cách sử dụng các giá trị bí mật duy nhất và không thể đoán và giải được. PPTP cũng được
các nhà phát triển công nghệ đưa vào việc mật mã và nén phần tải tin của PPP. Để mật mã
phần tải tin PPP có thể sử dụng phương thức mã hoá điểm tới điểm MPPE.
MPPE chỉ cung cấp mật mã trong lúc truyền dữ liệu trên đường truyền không cung
cấp mật mã tại các thiết bị đầu cuối tới đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến
đầu cuối thì có thể dùng giao thức IPSec để bảo mật lưu lượng IP giữa các đầu cuối sau
khi đường hầm PPTP được thiết lập.
Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng gói
các gói truyền trong đường hầm. Để có thể dựa trên những ưu điểm của kết nối tạo bởi
PPP, PPTP định nghĩa hai loại gói là điểu khiển và dữ liệu, sau đó gán chúng vào hai kênh
riêng là kênh điều khiển và kênh dữ liệu. PPTP tách các kênh điều khiển và kênh dữ liệu
thành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ
liệu với giao thức IP. Kết nối TCP tạo ra giữa các máy khách và máy chủ được sử dụng để
truyền thông báo điều khiển.
Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển được đưa
vào theo một chu kì để lấy thông tin và trạng thái kết nối và quản lý báo hiệu giữa ứng
dụng máy khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các
thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các máy
khách và máy chủ PPTP. Máy chủ PPTP là một Server có sử dụng giao thức PPTP với
một giao diện được nối với Internet và một giao diện khác nối với Intranet, còn phần
mềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP.
b) Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP.
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ
máy chủ. Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sử
dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP yêu cầu phản hồi và
PPTP đáp lại phải hồi định kì để phát hiện các lỗi kết nối giữa các máy trạm và máy chủ
PPTP. Các gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP và bản tin
điều khiển PPTP và tiêu đề, phần cuối của lớp liên kết dữ liệu.
a) Nguyên lý đóng gói dữ liệu đường hầm PPTP.
Đóng gói khung PPP và gói định tuyến chung GRE. Phần tải của khung PPP ban đầu
được mã hoá và đóng gói với tiêu đề PPP để tạo ra khung PPP. Khung PPP sau đó được
đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi. GRE là giao thức đóng gói
chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP. Đối với PPTP, phần
tiêu đề của GRE được sửa đổi một số điểm
đó là.
Một trường xác nhận dài 32 bits được
thêm vào. Một bits xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32
bits, trường Key được thay thế bằng trường độ dài Payload 16 bits và trường chỉ số cuộc
gọi 16 bits. Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi
tạo đường hầm.
Đóng gói IP
Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó được đóng gói
với một
tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủ
PPTP.
Đóng gói lớp liên kết dữ liệu
Để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ đựơc đóng gói
với một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý đầu ra. Như trong
mạng LAN thì nếu gói tin IP đựơc gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu
đề và đuôi Ethernet. Nếu gói tin IP được gửi qua đường truyền WAN điểm tới điểm nó sẽ
được đóng gói với phần tiêu đề và đuôi của giao thức PPP.
- Các gói tin IP, IPX, hoặc khung NetBEUI được đưa tới giao diện ảo đại diện cho
kết nối VPN bằng các giao thức tương ứng sử dụng đặc tả giao diện thiết bị mạng
NDIS.
- NDIS đưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hoá và nén dữ liệu,
cũng như cung cấp tiêu đề PPP phần tiêu đề PPP này chỉ gồm trường mã số giao thức
PPP không có trường Flags và trường chuổi kiểm tra khung (FCS). Giả định trường
địa chỉ và điều khiển được thoả thuận ở giao thức điều khiển đường truyền (LCP) trong
quá trình kết nối PPP.
- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề
GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp xác định
đường hầm.
- Giao thức PPTP sau đó sẽ gửi gói tin vừa tạo ra tới TCP/IP.
- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP sau đó gửi kết quả tới
giao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS.
- NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP.
- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng
quay số.
b) Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP.
Khi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP, sẽ thực hiện
các bước sau.
- Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin.
- Xử lý và loại bỏ tiêu đề IP.
- Xử lý và loại bỏ tiêu đề GRE và PPP.
- Giải mã hoặc nén phần tải tin PPP.
- Xử lý phần tải tin để nhận hoặc chuyển tiếp.
c) Tính năng và hạn chế của PPTP.
Tính năng :
- PPTP tạo ra nhiều kết nối giữa các khách hàng mà không yêu cầu dịch vụ đặc biệt ISP.
- PPTP phù hợp trên nhiều hệ điều hành thông dụng. (Microsoft, Nortel Network,
TeteSystems…).
- PPTP hỗ trợ các dịch vụ IP, mã hóa các gói tin RC4 (56 bit hoặc 128 bit), sử dụng
port 1723 và các giao thức GRE.
Một số hạn chế:
Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật do nó dùng
mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng mã hóa đối xứng là cách
tạo ra khóa từ mật khẩu của người dùng. Điều này càng nguy hiểm hơn vì mật khẩu
thường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận. Giao thức tạo
đường hầm kế tiếp (L2F) được phát triển nhằm cải thiện bảo mật với mục đích này.
1.8.4 Giao thức tỉnh đường hầm lớp 2 (Layer 2 Tunneling Protocol).
IETF đã kết hợp hai giao thức PPTP và L2F và phát triển thành L2TP. Nó kết hợp
những đặc điểm tốt nhất của PPTP và L2F. Vì vậy, L2TP cung cấp tính linh động, có thể
thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và khả năng kết nối điểm
điểm nhanh của PPTP.
Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:
- L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP.
- L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều khiển và hệ
điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet cũng không cần triển
khai thêm các phần mềm chuyên biệt.
- L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng
với một địa chỉ IP chưa đăng ký (hoặc riêng tư).
Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng máy chủ.
Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa.
Hơn nữa, mạng riêng intranet có thể định nghĩa những chính sách truy quá trình xác nhận
và chứng thực của L2TP được thực hiện bởi cổng mạng máy chủ. Do đó, ISP không cần
giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa. Hơn nữa, mạng riêng
intranet có thể định nghĩa những chính sách truy cập riêng cho chính bản thân. Điều này
làm qui trình xử lý của việc thiết lập đường hầm nhanh hơn so với giao thức tạo hầm trước
đây.
Điểm chính của L2TP tunnels là L2TP thiếp lập đường hầm PPP không giống như
PPTP, không kết thúc ở gần vùng của ISP. Thay vào đó, những đường hầm mở rộng đến
cổng của mạng máy chủ (hoặc đích), những yêu cầu của đường hầm L2TP có thể khởi tạo
bởi người dùng từ xa hoặc bởi cổng của ISP.
Khi PPP frames được gửi thông qua L2TP đường hầm, chúng được đóng gói như
những thông điệp User Datagram Protocol (UDP). L2TP dùng những thông điệp UDP này
cho việc tạo hầm dữ liệu cũng như duy trì đường hầm. Ngoài ra, đường hầm dữ liệu và
đường hầm duy trì gói tin, không giống những giao thức tạo hầm trước, cả hai có cùng cấu
trúc gói dữ liệu.
a) Các thành phần của L2TP.
Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network
Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP Network
Server (LNS).
Network Access Server (NAS)
- L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối Internet
đến người dùng từ xa, là những người quay số (thông qua PSTN hoặc ISDN) sử dụng
kết nối PPP. NASs phản hồi lại xác nhận người dùng từ xa ở nhà cung cấp ISP cuối và
xác định nếu có yêu cầu kết nối ảo. Giống như PPTP NASs, L2TP NASs được đặt tại
ISP site và hành động như client trong qui trình thiết lập L2TP tunnel. NASs có thể hồi
đáp và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ một phạm vi rộng các
client.
Bộ tập kết truy cập L2TP (LAC)
- Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một đường hầm thông qua
một mạng công cộng (như PSTN, ISDN, hoặc Internet) đến LNS ở tại điểm cuối mạng
chủ. LACs phục vụ như điểm kết thúc của môi trường vật lý giữa client và LNS của
mạng chủ.
L2TP Network Server (LNS)
- LNSs được đặt tại cuối mạng chủ. Do đó, chúng dùng để kết thúc kết
nối L2TP
ở cuối
mạng chủ theo cùng cách kết thúc đường hầm từ client của LACs. Khi một LNS nhận
một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập đường hầm và xác nhận người
dùng, là người khởi tạo yêu cầu kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo
giao diện ảo.
b) Qui trình xử lý L2TP.
Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặc
mạng chung khác, theo các bước tuần tự sau đây:
Bước
1: Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất
của
nó, và
bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối.
Bước
2:
NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối. NAS
dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này.
Bước
3:
Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với
LNS
của
mạng đích.
Bước
4
: Kế tiếp, LAC thiết lập một đường hầm LAC-LNS thông qua
mạng
trung
gian giữa hai đầu cuối. Đường hầm trung gian có thể là ATM, Frame Relay, hoặc IP/UDP.
Bước
5:
Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định
một
Call
ID (CID) đến kết nối và gửi một thông điệp thông báo đến LNS. Thông báo xác định này
chứa thông tin có thể được dùng để xác nhận người dùng.
Thông điệp cũng mang theo LCP options dùng để thoả thuận giữa người dung và
LAC.
Bước
6: LNS dùng thông tin đã nhận được từ thông điệp thông báo để
xác
nhận
người dùng cuối. Nếu người dùng được xác nhận thành công và LNS chấp nhận yêu cầu
đường hầm, một giao diện PPP ảo (L2TP tunnel) được thiết lập cùng với sự giúp đỡ của
LCP options nhận được trong thông điệp thông báo.
Bước
7:
Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông
qua
đường
hầm.
L2TP, giống PPTP và L2F, hỗ trợ hai chế độ hoạt động L2TP, bao gồm: Chế độ gọi
đến. Trong chế độ này, yêu cầu kết nối được khởi tạo bởi người dùng từ xa. Chế độ gọi đi.
Trong chế độ này, yêu cầu kết nối được khởi tạo bởi LNS.
Do đó, LNS chỉ dẫn LAC lập một cuộc gọi đến người dùng từ xa. Sau khi LAC thiết
lập cuộc gọi, người dùng từ xa và LNS có thể trao đổi những gói dữ liệu đã qua đường
hầm.
c) Dữ liệu đường hầm L2TP.
- Tương tự PPTP tunneled packets, L2TP đóng gói dữ liệu trải qua nhiều tầng đóng
gói. Sau đây là một số giai đoạn đóng gói của L2TP data tunneling:
- PPP đóng gói dữ liệu không giống phương thức đóng gói của PPTP, dữ liệu không được
mã hóa trước khi đóng gói. Chỉ PPP header được thêm vào dữ liệu payload gốc.
- L2TP đóng gói khung của PPP. Sau khi original payload được đóng gói bên trong một
PPP packet, một L2TP header được thêm vào nó.
- UDP Encapsulation of L2TP frames. Kế tiếp, gói dữ liệu đóng gói L2TP được đóng
gói thêm nữa bên trong một UDP frame. Hay nói cách khác, một UDP header được
thêm vào L2TP frame đã đóng gói. Cổng nguồn và đích bên trong UDP header được
thiết lập đến 1710 theo chỉ định.
- PSec Encapsulation of UDP datagrams. Sau khi L2TP frame trở thành UDP đã được
đóng gói, UDP frame này được mã hoá và một phần đầu IPSec ESP được thêm vào
nó. Một phần đuôi IPSec AH cũng được chèn vào gói dữ liệu đã được mã hóa và đóng
gói.
- IP Encapsulation of IPSec-encapsulated datagrams. Kế tiếp, phần đầu IP cuối cùng
được thêm vào gói dữ liệu IPSec đã được đóng gói. Phần đầu IP chứa đựng địa chỉ IP
của L2TP server (LNS) và người dùng từ xa.
- Đóng gói tầng Data Link. Phần đầu và phần cuối tầng Data Link cuối cùng được thêm
vào gói dữ liệu IP xuất phát từ quá trình đóng gói IP cuối cùng. Phần đầu và phần cuối
của tầng Data Link giúp gói dữ liệu đi đến nút đích. Nếu nút đích là nội bộ, phần đầu
và phần cuối tầng Data Link được dựa trên công nghệ LAN (ví dụ, chúng có thể là
mạng Ethernet). Ở một khía cạnh khác, nếu gói dữ liệu là phương tiện cho một vị trí từ
xa, phần đầu và phần cuối PPP được thêm vào gói dữ liệu L2TP đã đóng gói.
- Qui trình xử lý de-tunneling những gói dữ liệu L2TP đã tunnel thì ngược lại với qui
trình đường hầm. Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận được
L2TP tunneled packet, trước tiên nó xử lý gói dữ liệu bằng cách gỡ bỏ Data Link layer
header and trailer. Kế tiếp, gói dữ liệu được xử lý sâu hơn và phần IP header được gỡ
bỏ.
- Gói dữ liệu sau đó được xác nhận bằng việc sử dụng thông tin mang theo bên trong
phần IPSec ESP header và AH trailer. Phần IPSec ESP header cũng được dùng để giải
mã và mã hóa thông tin. Kế tiếp, phần UDP header được xử lý rồi loại ra. Phần Tunnel
ID và phần Call ID trong phần L2TP header dùng để nhận dạng phần L2TP tunnel và
phiên làm việc.
- Cuối cùng, phần PPP header được xử lý và được gỡ bỏ và phần PPP payload
được chuyển hướng đến protocol driver thích hợp cho qui trình xử lý.
d) Chế độ đường hầm L2TP.
L2TP hỗ trợ 2 chế độ - chế độ đường hầm bắt buộc và chế độ đường hầm tự nguyện.
Những đường hầm này giữ một vai trò quan trọng trong bảo mật giao dịch dữ liệu từ điểm
cuối đến điểm khác.
Trong chế độ đường hầm bắt buộc, khung PPP từ PC ở xa được tạo đường hầm trong
suốt tới mạng LAN. Điều này có nghĩa là Client ở xa không điều khiển đường hầm và nó
sẽ xuất hiện như nó được kết nối chính xác tới mạng công ty thông qua một kết nối PPP.
Phần mềm L2TP sẽ thêm L2TP header vào mỗi khung PPP cái mà được tạo đường hầm.
Header này được sử dụng ở một điểm cuối khác của đường hầm, nơi mà gói tin L2TP có
nhiều thành phần.
Các bước thiết lập L2TP đường hầm bắt buộc được mô tả theo các bước sau:
Bước
1:
Người dùng từ xa yêu cầu một kết nối PPP từ NAS được đặt tại ISP site.
Bước
2
: NAS xác nhận người dùng. Qui trình xác nhận này cũng giúp NAS
biết
được cách thức người dùng yêu cầu kết nối.
Bước
3
: Nếu NAS tự do chấp nhận yêu cầu kết nối, một kết nối PPP được thiết
lập
giữa ISP và người dùng từ xa.
Bước
4
: LAC khởi tạo một L2TP tunnel đến một LNS ở mạng chủ cuối.
Bước
5
: Nếu kết nối được chấp nhận bởi LNS, PPP frames trải qua quá trình L2TP
tunneling. Những L2TP-tunneled frames này sau đó được chuyển đến LNS thông qua
L2TP tunnel.
Bước
6
: LNS chấp nhận những frame này và phục hồi lại PPP frame gốc.
Bước
7
: Cuối cùng, LNS xác nhận người dùng và nhận các gói dữ liệu. Nếu người
dùng được xác nhận hợp lệ, một địa chỉ IP thích hợp được ánh xạ đến frame
Bước
8 : Sau đó frame này được chuyển đến nút đích trong mạng intranet.
Chế độ đường hầm tự nguyện có Client ở xa khi gắn liên chức năng LAC và nó có thể
điều khiển đường hầm. Từ khi giao thức L2TP hoạt động theo một cách y hệt như khi sử
dụng đường hầm bắt buộc, LNS sẽ không thấy sự khác biệt giữa hai chế độ.
Thuận lợi lớn nhất của đường hầm tự nguyện L2TP là cho phép người dùng từ xa kết
nối vào internet và thiết lập nhiều phiên làm việc VPN đồng thời. Tuy nhiên, để ứng dụng
hiệu quả này, người dùng từ xa phải được gán nhiều địa chỉ IP. Một trong những địa chỉ IP
được dùng cho kết nối PPP đến ISP và một được dùng để hỗ trợ cho mỗi L2TP tunnel riêng
biệt. Nhưng lợi ích này cũng là một bất lợi cho người dùng từ xa và do đó, mạng chủ có thể
bị tổn hại bởi các cuộc tấn công.
Việc thiết lập một voluntary L2TP tunnel thì đơn giản hơn việc thiết lập một đường
hầm bắt buộc bởi vì người dùng từ xa đảm nhiệm việc thiết lập lại kết nối PPP đến điểm
ISP cuối.
Các bước thiết lập đường hầm tự nguyện L2TP gồm :
Bước
1
: LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu
cho
một đường hầm tự nguyện L2TP đến LNS.
Bước
2
: Nếu yêu cầu đường hầm được LNS chấp nhận, LAC tạo hầm các
PPP
frame cho mỗi sự chỉ rõ L2TP và chuyển hướng những frame này thông qua đường hầm.
Bước
3
: LNS chấp nhận những khung đường hầm, lưu chuyển thông tin tạo
hầm,
và
xử lý các khung.
Bước
4
: Cuối cùng, LNS xác nhận người dùng và nếu người dùng được xác nhận
thành công, chuyển hướng các frame đến nút cuối trong mạng Intranet.
e) Những thuận lợi và bất lợi của L2TP.
Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây:
- L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập. Nó cũng
hỗ trợ nhiều công nghệ mạng khác nhau. Ngoài ra, nó còn hỗ trợ giao dịch qua kết nối
WAN non-IP mà không cần một IP.
- L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa. Do đó, không
đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP.
- L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP phải làm
điều này.
- L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu xuống
tùy ý nếu đường hầm quá tải. Điều này làm cho qua trình giao dịch bằng L2TP nhanh
hơn so với quá trình giao dịch bằng L2F.
- L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địa chỉ IP truy cập vào
mạng từ xa thông qua một mạng công cộng.
- L2TP nâng cao tính bảo mật do sử dụng IPSec-based payload encryption trong suốt qua
trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ liệu.
Ngoài ra việc triển khai L2TP cũng gặp một số bất lợi sau:
- L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ
liệu nhận được.
- Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một Routing and
Remote Access Server (RRAS) cần có những cấu hình mở rộng
1.8.5 Secure Socket Tunneling Protocol (VPN-SSTP).
Hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và Windows
Vista Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là: Secure Socket Tunneling
Protocol (SSTP).
a) Giới thiệu.
SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trong
Windows Vista và Windows Server 2008. SSTP sử dụng các kết nối
HTTP đã
được mã hóa
SSL để thiết lập một kết nối VPN đến VPN gateway. SSTP là một giao thức rất an toàn vì
các thông tin quan trọng của người dùng không được gửi cho tới khi có một “đường hầm”
SSL an toàn được thiết lập với VPN gateway. SSTP cũng được biết đến với tư cách là PPP
trên SSL, chính vì thế nó cũng có nghĩa là bạn có thể sử dụng các cơ chế chứng thực PPP
và EAP để bảo đảm cho các kết nối SSTP được an toàn hơn.
b) Lý do sử dụng PPTP trong VPN.
Mạng riêng ảo VPN cung cấp một cách kết nối từ xa đến hệ thống mạng thông qua
Internet. Windows Server 2003 hỗ trợ các đường hầm VPN dựa vào PPTP và
L2TP/IPSec. Nếu người dùng truy cập từ xa ở đằng sau một Firewall,những đường hầm
này đòi hỏi các port riêng biệt được mở bên trong các firewall như các port TCP 1723 và
giao thức IP GRE để cho phép kết nối PPTP.
Có những tình huống như nhân viên ghé thăm khách hàng, địa điểm đối tác hoặc
khách sạn mà hệ thống chỉ cho truy cập web (HTTP,HTTPs),còn tất cả các port khác bị
ngăn chặn. Kết quả,những user từ xa này gặp phải vấn đề khi thực hiện kết nối VPN do đó
làm tăng cuộc gọi nhờ trợ giúp và giảm năng suất của nhân viên. Secure Socket
Tunneling Protocol(SSTP) là một đường hầm VPN mới được giới thiệu trong Windows
Server 2008 nhằm giải quyết vấn đề kết nối VPN này.
SSTP thực hiện điều này bằng cách sử dụng HTTPs làm lớp vận chuyển sao cho các
kết nối VPN có thể đi qua các firewall, NAT và server web proxy thường được cấu hình.
Bởi vì kết nối HTTPs (TCP 433) thường được sử dụng để truy cập các site Internet được
bảo vệ như các web site thương mại, do đó HTTPs thường được mở trong các firewall và
có thể đi qua các Proxy web, router NAT.
VPN Server chạy trên nền Windows Server 2008 dựa vào SSTP để lắng nghe các kết
nối SSTP từ VPN client. SSTP server phải có một Computer Certificate được cài đặt thuộc
tính Server
Authentication.Computer
Certificate này được sử dụng để xác thực server SSTP
với client SSTP trong quá trình thiết lập session SSL.Client hiệu lực hóa certificate của
server SSTP.Để thực hiện điều này thì Root CA cấp phát certificate cho SSTP server phải
được cài đặt trên client SSTP.
Đường hầm VPN dựa vào SSTP có chức năng như một đường hầm peer-L2TP và dựa
vào PPTP. Điều này có nghĩa PPTP được bao bọc trên SSTP mà sao đó gửi các lưu lượng
cho cho kết nối HTTPs. Như vậy,tất cả các tính năng
khác của
VPN như kiểm tra sức khỏe
dựa vào NAT, tải lưu lượng IPV6 trên VPN, các thuật toán xác thực như username và
smartcard và client VPN dựa vào trình quản lý kết nối vẫn không thay đổi đối với SSTP,
PPTP và L2TP. Nó giup cho Admin một đường dẫn di trú tốt để di chuyển từ L2TP/PPTP
đến SSTP.
c) SSTP họat động như thế nào?
SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật thông tin
và dữ liệu. SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc yêu cầu sử dụng
PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạy trên để xác
thực client với server. Nghĩa là Client xác thực server bằng certificate và Server xác thực
Client thông qua giao thức hiện có được hỗ trợ bởi PPP.
Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm giao tác
tạo lập đường hầm, SSTP thiết lập session HTTPs với server từ xa tại port 443 ở một địa
chỉ URL riêng biệt. Các xác lập proxy HTTP được cấu hình thông qua IE sẽ được sử dụng
để thiết lập kết nối này.
Với session HTTPs, client đòi hỏi server cung cấp certificate để xác thực.Khi thiết lập
quan hệ SSL hòan tất, các session HTTP được thíet lập trên đó. Sau đó, SSTP được sử
dụng để thương lượng các tham số giữa Client và Server. Khi lớp SSTP được thiết lập, việc
thương lượng SSTP được bắt đầu nhằm cung cấp cơ chế xác thực client với server và tạo
đường hầm cho dữ liệu.
Chương 2. Tìm hiểu về giao thức IPSEC
2.1 Giới thiệu về IPSec.
2.1.1 Một số chế độ làm việc.
a) Chế độ giao vận.
Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ với máy khác
mà không có sự can thiệp nào của các gateway làm nhiệm vụ an ninh mạng. Trong
Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và hoặc xác thực.
Trong quá trình Routing, cả IP header đều không bị chỉnh sữa hay mã hoá; tuy nhiên khi
authentication header được sử dụng, địa chỉ IP không thể chỉnh sửa (ví dụ như port
number). Transport mode sử dụng trong tình huống giao tiếp host-to-host. Điều này có
nghĩa là đóng gói các thông tin trong IPSec cho NAT traversal được định nghĩa bởi các
thông tin trong tài liệu của RFC bởi NAT-T.
Hình 2.1.1.1.1 Cấu trúc gói tin IPSec ở chế độ Transport Mode
b) Chế độ đường hầm ( Tunnel Mode ):
Chế độ này hỗ trợ khả năng truy nhập từ xa và liên kết an toàn các Website. Chế độ
chuyển vận sử dụng AH và ESP đối với phần của tầng chuyển vận trong một gói tin IP.
Phần dữ liệu thực của giao thức IP này là phần duy nhất được bảo vệ trong toàn gói tin.
Phần header của gói tin IP với địa chỉ của điểm truyền và điểm nhận không bảo vệ. Khi áp
dụng cả AH và ESP thì AH được áp dụng sau để tính ra tính toàn vẹn của dữ liệu trên tổng
lượng dữ liệu. Mặt khác chế độ đường hầm cho phép mã hoá và tiếp nhận đối với toàn bộ
gói tin IP. Các cổng bảo mật sử dụng chế độ này để cung cấp các dịch vụ bảo mật thay cho
các thực thể khác trên mạng. Các điểm truyền thông đầu cuối được bảo vệ bên trong các
