Tải bản đầy đủ (.doc) (74 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ ỨNG DỤNG CHO KHỐI CƠ QUAN HCSN TỈNH NINH BÌNH

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.25 MB, 74 trang )

Luận văn tốt nghiệp cao học <Trang 1> Mạng riêng ảo và ứng dụng
Chương I
TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1. Khái niệm mạng riêng
Mạng riêng là một thuật ngữ dùng để mô tả một mạng diện rộng gồm những thành
phần công cộng được kiểm soát bởi một tổ chức. Mạng riêng được tạo ra với sự kết nối
đường dây thuê bao chuyên biệt từ nhà cung cấp dịch vụ truyền thông cho một băng
thông nhất định theo thỏa thuận.
Mạng máy tính ban đầu được triển khai với hai kỹ thuật chính: Đường thuê riêng
(Leased Line) cho các kết nối cố định và đường quay số (Dial Up) cho các kết nối không
thường xuyên. Các mạng này có tính bảo mật cao, nhưng với lưu lượng dữ liệu thay đổi
và sự đòi hỏi về tốc độ đã thúc đẩy hình thành một kiểu mạng dữ liệu mới: Các mạng
riêng dựa trên các kênh lôgíc có tính “ảo” đầu tiên đã được xây dựng trên mạng chuyển
mạch gói X.25, Frame Relay và ATM.
Với sự phát triển của công nghệ Internet và sự ra đời của các kỹ thuật truyền dẫn
tốc độ cao, xu hướng hội tụ của các mạng trên nền NGN, MegaVNN đang diễn ra, tạo
điều kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch vụ mạng riêng ảo.
1.2. Khái niệm mạng riêng ảo
Hình 1.1. Minh họa mạng riêng ảo
Luận văn tốt nghiệp cao học <Trang 2> Mạng riêng ảo và ứng dụng
Mạng riêng ảo được định nghĩa đơn giản như là một mạng, trong đó các điểm của
khách hàng được kết nối với nhau trên một cơ sở hạ tầng chia sẻ với cùng một chính
sách truy nhập và bảo mật như trong mạng riêng.
Mạng riêng ảo thường được xây dựng trên nền mạng chuyển mạch gói. Nhà cung
cấp truyền thông lập trước ra một tuyến đường trên mạng, gọi là mạch ảo, và cung cấp
một băng thông theo thỏa thuận gọi là CIR (tốc độ thông tin thỏa thuận). Mạng được
chia sẻ với tất cả các người dùng của nhà cung cấp truyền thông, nhưng khi mạng bận,
nhà cung cấp duy trì đủ băng thông cho khách hàng.
1.3. Các dạng VPN
1.3.1. Phân loại theo chức năng
Có 2 dạng VPN chính là: Remote Access VPN (Client-to-LAN VPN), Site-to-Site


VPN (Intranet VPN và Extranet VPN).
VPN truy cập từ xa còn được gọi là mạng Dial Up riêng ảo (VPDN), là một kết nối
người dùng-đến-LAN, thường là nhu cầu của một tổ chức có nhiều nhân viên cần liên hệ
với mạng riêng của mình từ rất nhiều địa điểm ở xa. Remote Access VPN rất thuận lợi
đối với các khách hàng hay di chuyển, công việc di động hoặc làm việc tại nhà. Kết nối
VPN loại này cho phép truyền nhận thông tin tương đối an toàn, đảm bảo tính riêng tư.
Hình 1.2. Minh họa mạng VPN truy cập từ xa
Luận văn tốt nghiệp cao học <Trang 3> Mạng riêng ảo và ứng dụng
Site-to-Site VPN: Dùng để kết nối các mạng tại các vị trí khác nhau thông qua kết
nối VPN. Có thể chia ra thành 2 loại khác, đó là Intranet VPN và Extranet VPN. Intranet
VPN kết nối các văn phòng ở xa với trụ sở chính thường là các mạng LAN với nhau.
Hình 1.3. Minh họa Intranet VPN
Extranet VPN là khi Intranet VPN mở rộng kết nối với một Intranet VPN khác.
Hình 1.4. Minh họa Extranet VPN
1.3.2. Phân loại theo quan điểm công nghệ
Trên quan điểm công nghệ VPN có thể chia ra dựa trên lớp mạng mà nó hoạt động
là lớp 2 hay lớp 3. Các mạng được triển khai dựa trên cơ sở hạ tầng chung của các hệ
thống chuyển mạch gói như X.25, Frame Relay và ATM cũng thường được gọi là VPN.
Một số quan điểm khác cho rằng kiểu mạng này thực chất là một kiểu mạng riêng. Kiểu
mạng riêng này được thiết lập như sau: Nhà cung cấp dịch vụ cung cấp cho khách hàng
Luận văn tốt nghiệp cao học <Trang 4> Mạng riêng ảo và ứng dụng
một bộ các đường thuê riêng logic - gọi là các VC. Khách hàng trao đổi thông tin bằng
các thiết bị CPE qua các VC mà nhà cung cấp dịch vụ tạo ra. Thông tin điều khiển định
tuyến được trao đổi giữa các thiết bị của khách hàng. Kiểu mạng riêng này còn được gọi
là mô hình Overlay VPN.
Hình 1.5. Mạng riêng ảo trên nền Frame Relay
Mô hình này dễ triển khai, bảo mật và cách biệt tốt, tuy nhiên khi mạng có nhiều
sites thì việc cung cấp chính xác băng thông của các VC đòi hỏi phải am hiểu chi tiết về
thông tin lưu lượng site-to-site và điều này thường là không dễ dàng.
Trong mô hình VPN ngang hàng (Peer-to-Peer), các router của thiết bị PE trao đổi

thông tin định tuyến trực tiếp với các router của thiết bị CPE. Mô hình này cho phép
định tuyến trên phương diện khách hàng là cực kỳ đơn giản và tối ưu, hơn nữa rất dễ
dàng khi mở rộng mạng VPN.
Công nghệ VPN lớp 2 được thiết kể để chạy trên lớp liên kết dữ liệu của mô hình
OSI của mạng IP riêng hoặc mạng Internet với kỹ thuật tạo đường hầm với giao thức
PPTP và giao thức L2TP.
Công nghệ VPN lớp 3 được thiết kể để chạy trên lớp mạng của mô hình OSI và sử
dụng các giao thức trên tầng mạng. Công nghệ VPN lớp 3 dùng IPSec.
1.4. Kiến trúc của mạng riêng ảo
Hai thành phần cơ bản tạo ra mạng riêng ảo, đó là:
- Định đường hầm (tunnelling) cho phép làm “ảo” một mạng riêng
- Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư.
Định nghĩa đường hầm: Tunnel là kết nối ảo dạng điểm - điểm (point to point) và
làm cho mạng VPN hoạt động như một mạng riêng.
Vai trò của đường hầm là tạo kết nối giữa 2 điểm cuối khi cần thiết. Khi kết nối này
Luận văn tốt nghiệp cao học <Trang 5> Mạng riêng ảo và ứng dụng
không đến thì huỷ bỏ nó dành băng thông cho các kết nối khác. Kết nối này mang tính
logic - “ảo” bất chấp các cấu trúc vật lý của mạng truyền dẫn, nó che giấu đi các các thiết
bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng.
Tạo đường hầm: Đường hầm được tạo ra bằng cách đóng gói các gói tin để truyền
qua mạng. Việc đóng gói có thể bao gồm thêm việc mã hoá gói gốc và thêm vào tiêu đề
IP mới cho gói. Tại điểm cuối, các tiêu đề IP sẽ được gỡ bỏ, gói được giải mã (nếu cần
thiết) và gói nguyên thuỷ được chuyển đến đích của nó.
IP Header AH ESP Tiêu đề Dữ liệu
Hình 1.6. Định dạng gói tin tạo đường hầm
Hình 1.7. Cấu trúc một đường hầm
Đường hầm có 2 loại: Thường trực hay tĩnh (Permanent hay Static) và tạm thời hay
động (Temporary hay Dynamic).
Các VPN nói chung thường lựa chọn dạng đường hầm động. Đường hầm động rất
hữu dụng cho VPN vì nếu khi không cần đến thì được huỷ bỏ.

Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN-to-LAN tại các cổng bảo
mật (Security Gateway), khi đó người dùng trên các LAN có thể sử dụng đường hầm
này.
Đối với trường hợp Client-to-LAN, thì Client phải khởi tạo việc xây dựng đường
hầm trên máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích.
Địa chỉ nguồn
Dữ
liệu
Dữ
liệu
Security Gateway 2Security Gateway 1
A B
2
1
A
B
A
B
Dữ
liệu
Địa chỉ đích
Được mã hoá
Máy
trạm A
Máy chủ
Máy
trạm B
Internet
Luận văn tốt nghiệp cao học <Trang 6> Mạng riêng ảo và ứng dụng


Hình 1.8. Đường hầm trong các cấu trúc LAN và Client
1.5. Phân mảnh, hợp nhất gói dữ liệu và đơn vị truyền tối đa MTU
Trong quá trình di chuyển từ nguồn đến đích, một datagram có thể đi qua nhiều
mạng khác nhau. Mỗi router mở gói IP datagram từ khung dữ liệu nó nhận được, xử lý
và đóng gói nó trong một khung dữ liệu khác. Định dạng và kích thước của khung dữ
liệu nhận được phụ thuộc vào giao thức của mạng vật lý mà gói sẽ đi qua.
Các datagram được đóng gói vào trong khung, kích thước tổng của khung phải nhỏ
hơn kích thước tối đa MTU. Đơn vị dữ liệu của IP datagram được thiết kế với độ dài
65.535 bytes. Tuy nhiên các mạng vật lý lại có kích thước gói nhỏ hơn, vì vậy phải chia
nhỏ datagram để nó có thể chuyển qua mạng này. Quá trình này gọi là sự phân mảnh.
Bảng 1.1. Giá trị thông số MTU
Giao thức MTU (bytes)
Hyperchannel 65.535
Token Ring (16Mb/s) 17.914
Token Ring (4Mb/s) 4.464
FDDI 4.352
Ethernet 1.500
X.25 576
PPP 296
Nguyên tắc phân mảnh gói IP như sau: IP dùng cờ MF và trường Flagment Offset
của gói IP để định danh gói IP đó là một phân đoạn và vị trí của phân đoạn này trong gói
IP gốc. Các gói cùng trong chuỗi phân mảnh đều có trường này giống nhau. Cờ MF
bằng 1 nếu là gói đầu của chuỗi phân mảnh và là 0 nếu là gói cuối cùng.
Security
Gateway
2
LAN
Security
Gateway
1

LAN
Mobile Client
VPN
Server
Luận văn tốt nghiệp cao học <Trang 7> Mạng riêng ảo và ứng dụng
Ngược lại, quá trình hợp nhất diễn ra khi nhận được một gói phân mảnh, nó giữ
phân mảnh đó trong vùng đệm, đến khi nhận hết các gói IP trong chuỗi phân mảnh có
cùng trường định danh. Khi phân mảnh đầu tiên được nhận, IP khởi động một bộ đếm
thời gian. IP phải nhận hết các phân mảnh kế tiếp trước khi đồng hồ tắt. Nếu không IP
phải hủy tất cả các phân mảnh trong hàng đợi hiện thời có cùng trường định danh. Khi IP
nhận được hết các phân mảnh, nó thực hiện hợp nhất các gói phân mảnh thành gói IP
gốc và xử lý nó như gói IP bình thường.
1.6. Ảnh hưởng của việc thất lạc gói MTU trong mạng lên VPN
Trong tất cả các giao thức sử dụng để xây dựng mạng VPN, các gói dữ liệu IP
được mã hoá, sau đó đóng gói và sau đó thêm tiêu đề IP mới để tạo đường hầm trên
mạng IP công cộng. Như vậy, khi gói tin MTU bị thất lạc trên mạng IP công cộng, vì
thông tin trong đó đã được mã hoá nên thám mã không thể biết được thông tin thực sự
chứa trong bản tin. Tuy nhiên việc mất gói tin dẫn đến việc phải truyền lại toàn bộ gói
tin, điều này gây ra độ trễ chung đối với VPN và ảnh hưởng đến QoS của mạng VPN.
1.7. Bảo mật và QoS
Là một yếu tố quan trọng trong việc bảo đảm cho VPN hoạt động an toàn và hiệu
quả. Dữ liệu truyền trên VPN có thể được mã hoá theo nhiều thuật toán khác nhau với
các độ bảo mật khác nhau. Người quản trị mạng có thể lựa chọn tùy theo yêu cầu bảo
mật và tốc độ truyền dẫn.
Về QoS, các thoả thuận với các ISP liên quan đến độ trễ trung bình của gói trên
mạng, hoặc kèm theo chỉ định về giới hạn dưới của băng thông. Bảo đảm cho QoS là
một việc cần được thống nhất về phương diện quản lý đối với các ISP.
Kết luận chương:
Trong chương này những khái niệm cơ bản nhất về mạng riêng ảo (VPN) đã được
học viên tìm hiểu và trình bày tóm tắt. Đầu tiên là các khái niệm về mạng riêng, rồi đến

mạng riêng ảo, phân loại mạng riêng ảo theo chức năng, theo quan điểm công nghệ. Kiến
trúc của mạng riêng ảo cũng được trình bày cụ thể, việc phân mảnh, hợp nhất gói dữ
liệu, đơn vị truyền tối đa MTU, ảnh hưởng của việc thất lạc gói MTU, các vấn đề bảo
mật và QoS cũng được trình bày.
Như vậy, một cách tổng quan, về mặt công nghệ, mạng riêng ảo có thể được xác
định ngắn gọn là:
VPN = Định đường hầm + Bảo mật + Các thoả thuận về QoS
Mạng riêng ảo sử dụng nhiều giao thức để làm ảo một mạng riêng trên nền mạng
công cộng, để chọn được giao thức phù hợp cho ứng dụng, chúng ta sẽ tiếp tục nghiên
cứu đến các giao thức VPN ở chương tiếp sau đây.
Luận văn tốt nghiệp cao học <Trang 8> Mạng riêng ảo và ứng dụng
Chương II
CÁC GIAO THỨC DÙNG TRONG VPN
2.1. Giao thức PPTP
2.1.1. Cấu trúc của giao thức
Giao thức PPTP là giao thức lớp 2 được phát triển dựa trên giao thức PPP được
Microsoft và một số hãng khác dùng cho truy nhập Internet từ xa (Dial Up). PPTP cho
phép người dùng quay số vào ISP và tạo ra kết nối bảo mật đến mạng riêng của họ.
PPP là giao thức lớp 2 dùng cho truy nhập mạng WAN lớp 2 như X.25, Frame
Relay, Dial on Demand. PPP có thể sử dụng cho nhiều giao thức lớp trên như TCP/IP,
Novell/IPX, Apple Talk nhờ sử dụng NCP. PPP sử dụng Link Control Protocol để thiết
lập và điều khiển các kết nối. PPP sử dụng giao thức xác thực PAP hoặc CHAP.
Hình 2.1. Các lớp phần tử trong cấu trúc của PPP
PPTP xây dựng dựa trên chức năng của PPP để cung cấp một kết nối truy cập từ xa
và kết nối này có thể được đi qua một tunnel thông qua Internet để tới đích. Giao thức
PPTP đóng gói các gói tin PPP vào trong một gói tin IP để truyền qua một hệ thống
mạng dựa trên giao thức IP như là Internet. PPTP sử dụng một kết nối TCP như là một
kết nối điều khiển PPTP để tạo, duy trì, kết thúc tunnel và sử dụng giao thức GRE để
đóng gói các gói tin PPP và để tạo ra các dữ liệu chuyển đi trong đường hầm.
PPTP dựa trên PPP để thực thi các chức năng sau:

- Thiết lập và kết thúc kết nối vật lý
- Xác thực người dùng
- Tạo gói dữ liệu PPP
PPTP định nghĩa 2 loại gói: Gói điều khiển và gói dữ liệu và gán chúng vào 2 kênh
Synchronous or Asynchronous
Physical Media
Authentication, Other Options
Link Control Protocol
IPCP IPXCP Many others
Network Control Protocol
Data-Link Layer
IP IPX Layer 3 Protocol
Network Layer
Physical Layer
PPP
Luận văn tốt nghiệp cao học <Trang 9> Mạng riêng ảo và ứng dụng
riêng. Sau đó PPTP tách các kênh điều khiển thành luồng điều khiển với giao thức TCP
và kênh dữ liệu thành luồng dữ liệu với giao thức IP. Kết nối TCP được tạo ra giữa client
PPTP và máy chủ PPTP để chuyển thông báo điều khiển kết nối và báo hiệu.
Datalink Header IP Header GRE PPP Tải PPP
Hình 2.2. Cấu trúc khung PPTP với GRE
2.1.2. Mô tả hoạt động của giao thức PPTP
2.1.2.1. Các thành phần của mạng VPN/PPTP
Ba thành phần liên quan đến việc triển khai PPTP là: PPTP Client, NAS (Network
Access Server) và PPTP Server. Trong trường hợp PPTP Client và PPTP Server trong
cùng một mạng LAN thì không cần NAS.
PPTP Client: Đây có thể là thiết bị của ISP có hỗ trợ PPTP hoặc là một máy tính
thực hiện việc quay số vào mạng có cài đặt giao thức PPTP, ví dụ như là một máy tính
cài hệ điều hành WINDOWS 98, WINDOWS NT, WINDOWS XP, Khi lựa chọn
phần mềm cho PPTP Client ta cần phải so sánh chức năng của nó với máy chủ PPTP.

Network Access Server: Còn được gọi là máy chủ truy cập từ xa hoặc là bộ tập
trung truy cập, cung cấp việc quản lý truy cập dựa trên phần mềm. Các máy chủ truy cập
mạng của ISP nhìn chung được thiết kế và được xây dựng để sắp xếp và tổ chức cho một
số lượng lớn các client truy cập vào. Một ISP cung cấp dịch vụ PPTP sẽ phải cài đặt một
máy chủ truy cập mạng có hỗ trợ PPTP. Máy chủ này sẽ hỗ trợ các PPTP Client, chạy
trên các nền khác nhau như là WINDOWS, MACINTOSH và UNIX. Trong những
trường hợp như vậy, máy chủ của ISP sẽ đóng vai trò như là một PPTP Client và kết nối
tới máy chủ PPTP của công ty. Vì vậy máy chủ truy cập của ISP trở thành một điểm đầu
cuối của tunnel PPTP và NAS của công ty là điểm đầu cuối thứ hai của tunnel PPTP.
Máy chủ truy cập mạng có thể lựa chọn một tunnel không chỉ phù hợp với điểm
đầu cuối mà còn phù hợp với mức thực hiện và mức dịch vụ. Các máy chủ truy cập
mạng có thể lựa chọn tunnel dựa trên số điện thoại gọi đến, số điện thoại gọi đi, tên
người sử dụng (từ xác thực PAP hoặc CHAP),
Máy chủ PPTP: Có hai nhiệm vụ chính, thứ nhất nó đóng vai trò như là một điểm
đầu cuối của tunnel PPTP và nó chuyển các gói tin tới và ra khỏi tunnel. Máy phục vụ
PPTP chuyển gói tin tới một máy tính đích bằng cách xử lý gói tin PPTP để thu được
thông tin về tên máy tính hoặc địa chỉ được đóng gói trong gói tin PPP.
Máy chủ PPTP cũng có thể là một bộ lọc gói tin, sử dụng bộ lọc PPTP. Với bộ lọc
Luận văn tốt nghiệp cao học <Trang 10> Mạng riêng ảo và ứng
dụng
này ta có thể thiết lập cho máy chủ để giới hạn ai có thể nối vào mạng cục bộ bên trong
hoặc nối ra bên ngoài Internet. Trong các hệ thống như WINDOWS NT 4.0 và RRAS,
sự kết hợp bộ lọc PPTP với bộ lọc địa chỉ IP cho phép tạo ra chức năng bức tường lửa
trên mạng.
Việc thiết lập một máy chủ PPTP ở phía công ty có một số hạn chế, đặc biệt là nếu
máy chủ PPTP được đặt ở bên trong Firewall. PPTP được thiết kế sao cho chỉ có một
cổng TCP/IP có thể được sử dụng để chuyển dữ liệu qua Firewall - cổng 1723. Tuy
nhiên việc thiếu cấu hình cổng có thể làm cho Firewall dễ bị tấn công. Do vậy nếu ta có
một Firewall được cấu hình để lọc theo giao thức, ta cần thiết lập chúng để cho phép
GRE được đi qua.

2.1.2.2. Các bước kết nối của PPTP
* Quá trình thực hiện PPTP theo ba bước sau:
- Tạo kết nối PPP: Một PPTP Client sử dụng PPP để kết nối tới máy NAS của ISP
qua hệ thống điện thoại công cộng hoặc đường ISDN.
- Tạo kết nối điều khiển PPTP: Sử dụng kết nối vật lý PPP đã được thiết lập ở trên,
giao thức PPTP tạo ra một kết nối điều khiển từ PPTP Client đến máy chủ PPTP. Kết
nối này sử dụng giao thức TCP để thiết lập kết nối và được gọi là PPTP tunnel.
- Gửi dữ liệu qua PPTP tunnel: Bước cuối cùng giao thức PPTP sẽ tạo ra các gói tin
IP (chứa các gói tin PPP đã được mã hoá) và gửi tới máy chủ PPTP thông qua PPTP
tunnel đã được tạo ra ở trên. Máy chủ PPTP sẽ mở các gói tin IP và giải mã các gói tin
PPP bên trong. Sau đó nó sẽ chuyển các gói tin PPP đã được giải mã tới máy đích.
* Tạo kết nối PPP:
PPP là một giao thức truy cập từ xa được PPTP sử dụng để gửi dữ liệu đa giao thức
qua mạng TCP/IP. PPP đóng gói các gói tin IP, IPX, NETBEUI vào khung dữ liệu PPP
và gửi các khung dữ liệu đó qua đường kết nối điểm tới điểm (Point-to-Point) giữa máy
tính gửi và máy tính nhận.
Hầu hết các phiên làm việc PPTP được khởi tạo bằng cách: Client quay số vào một
máy phục vụ truy cập mạng của ISP. Giao thức PPP được sử dụng để tạo ra một kết nối
quay số (Dial Up) giữa client và máy phục vụ truy cập mạng.
* Tạo kết nối điều khiển PPTP:
Kết nối điều khiển là một phiên TCP chuẩn mà qua đó các thông điệp điều khiển
được gửi giữa PPTP Client và PPTP Server. Các thông điệp điều khiển sẽ thiết lập, duy
trì và kết thúc PPTP tunnel.
Luận văn tốt nghiệp cao học <Trang 11> Mạng riêng ảo và ứng
dụng
Bảng 2.1. Một số các thông điệp điều khiển
Loại thông điệp điều khiển Mục đích
START_CONTROL_CONNECTION_
REQUEST
Do PPTP Client gửi đi để thiết lập kết nối

điều khiển
START_CONTROL_CONNECTION_
REPLY
Do máy phục vụ PPTP gửi đi để trả lời
thông điệp trên
OUTGOING_CALL_REQUEST
Do máy phục vụ PPTP gửi đi để thiết lập
cuộc gọi đi
OUTGOING_CALL_REPLY
Do PPTP Client gửi đi để trả lời thông điệp
Outgoing_Call_Request
ECHO_REQUEST Yêu cầu duy trì phiên làm việc PPTP
ECHO_REPLY Trả lời yêu cầu duy trì phiên làm việc
INCOMING_CALL_REQUEST PPTP Client gửi để thiết lập cuộc gọi đến
INCOMING_CALL_REPLY
Do máy phục vụ PPTP gửi đi để trả lời
thông điệp Incoming_Call_Request
INCOMING_CALL_CONNECTED
Do PPTP Client gửi đi để để trả lời thông
điệp Incoming_Call_Reply
WAN_ERROR_NOTIFY
Do máy phục vụ PPTP gửi tới VPN Client
để chỉ ra lỗi trên giao diện PPP của máy
phục vụ PPTP
SET_LINK_INFO
Cấu hình kết nối giữa client và máy phục vụ
PPTP
CALL_CLEAR_REQUEST
Do máy phục vụ PPTP gửi đi để thông báo
kết thúc tunnel

CALL_DISCONNECT_NOTIFY
Do PPTP Client gửi đi để trả lời yêu cầu kết
thúc tunnel
STOP_CONTROL_CONNECTION_
REQUEST
Yêu cầu kết thúc kết nối điều khiển
STOP_CONTROL_CONNECTION_
REPLY
Trả lời yêu cầu kết thúc kết nối điều khiển
Các thông điệp điều khiển được truyền trong các gói tin điều khiển (các gói tin
TCP). Một kết nối TCP được tạo ra giữa PPTP Client và PPTP Server. Kết nối TCP này
được sử dụng để trao đổi các thông điệp điều khiển. Gói tin này có cấu trúc như sau:
Datalink
Header
IP TCP
PPTP Control
Message
Datalink Trailer
Hình 2.3. Cấu trúc gói tin TCP
Luận văn tốt nghiệp cao học <Trang 12> Mạng riêng ảo và ứng
dụng
Hình 2.4. Kết nối PPP giữa client và máy chủ truy cập
Hình 2.5. Kết nối điều khiển PPTP tới máy chủ PPTP qua kết nối PPP
* Gửi dữ liệu qua PPTP tunnel:
1 2 3 4 5 6
Datalink
Header
IP
Header
GRE

Header
PPP
Header
Encrypted PPP
Payload (IP, IPX,
NETBEUI)
Datalink
Trailer
Hình 2.6. Cấu trúc gói tin dữ liệu gửi qua tunnel
1; 6 : Phần đầu và phần đuôi của khung dữ liệu
2 : Phần đầu của gói tin IP
3 : Phần đầu của gói tin GRE
Luận văn tốt nghiệp cao học <Trang 13> Mạng riêng ảo và ứng
dụng
4 : Phần đầu của gói tin PPP
5 : Phần dữ liệu đã được mã hoá
Dữ liệu người sử dụng được giao thức PPTP chuyển đi là các gói tin PPP. Các gói
tin PPP được truyền giữa client và máy phục vụ PPTP được đóng gói vào gói tin GRE và
gói tin GRE được truyền đi thông qua IP. Các gói tin PPP đã được đóng gói về cơ bản là
các gói dữ liệu PPP mà không có các thành phần đặc trưng của một khung dữ liệu như là
trường FCS (Frame Check Sequence), trường điều khiển, cờ, …
Phần đầu GRE được sử dụng trong giao thức PPTP được bổ sung một ít so với giao
thức GRE cũ. Sự khác nhau chính là có thêm một trường Acknowledgment Number.
C R K S s Recur A Flags Ver Protocol Type
Key (HW) Payload Length Key (LW) Call ID
Sequence Number (Optional)
Acknowledgment Number (Optional)
Hình 2.7. Cấu trúc của phần đầu GRE nâng cao
C
Nếu giá trị bằng 1 thì trường kiểm tra được sử dụng. Trong phần đầu của

GRE nâng cao thì giá trị này được đặt bằng 0.
R
Giá trị bằng 1 chỉ ra rằng trường Offset và Routing được sử dụng. Trong phần
đầu của GRE nâng cao thì giá trị này được đặt bằng 0.
K Giá trị bằng 1 chỉ ra rằng trường Key được sử dụng trong phần đầu của GRE
S
Giá trị bằng 1 chỉ ra rằng trường Sequence Number được sử dụng trong phần
đầu của GRE.
Recur Được đặt giá trị 0
A
Được đặt giá trị 1, chỉ ra rằng trường Acknowledgment Number được sử
dụng.
Flag Được đặt giá trị 0
Ver Được đặt giá trị 1 (phiên bản đã được nâng cao)
Protocol Type: Được đặt giá trị Hex 880B
Key Payload Length: Chỉ ra kích thước gói tin (Không bao gồm phần đầu GRE)
Key Call ID: Chứa giá trị Peer’s Call ID của phiên làm việc mà gói tin được truyền đi
qua đó.
Sequence Number: Chứa số thứ tự của gói tin
Acknowledgment Number: Chứa số thứ tự của gói tin GRE được đánh số cao nhất từ
phía người gửi.
Trong trường hợp cấu trúc LAN-to-LAN, hai máy chủ PPTP với sự hỗ trợ của giao
thức xác thực CHAP hoặc MS-CHAP tạo đường hầm tương tự như cơ chế trên, tức là
một máy chủ PPTP coi máy kia là client và ngược lại.
Luận văn tốt nghiệp cao học <Trang 14> Mạng riêng ảo và ứng
dụng
2.2. Giao thức L2TP
2.2.1. Giao thức L2F
Giao thức L2F do hãng Cisco phát triển, dùng để truyền các khung SLIP/PPP qua
Internet. L2F hoạt động ở lớp 2 trong mô hình OSI. Cũng giống như giao thức PPTP,

L2F được thiết kế như là một giao thức tunnel, sử dụng các định nghĩa đóng gói dữ liệu
riêng của nó để truyền các gói tin ở mức 2. Một sự khác nhau chính giữa PPTP và L2F ở
chỗ việc tạo tunnel trong giao thức L2F không phụ thuộc vào IP và GRE, điều này cho
phép nó làm việc với các môi trường lớp vật lý khác nhau.
Ngoài việc L2F sử dụng giao thức PPP để xác thực người sử dụng, nó còn hỗ trợ
tốt hơn cho RADIUS để xác thực. L2F khác PPTP ở việc định nghĩa các kết nối bên
trong một tunnel, cho phép một tunnel hỗ trợ nhiều kết nối.
2.2.2. Mô tả giao thức L2TP
2.2.2.1. Cấu trúc của giao thức
Giao thức L2TP là sự kết hợp các tính năng của L2F và PPTP. Sự khác nhau giữa
PPTP và L2TP là ở chỗ L2TP kết hợp các kênh điều khiển và dữ liệu chạy trên UDP chứ
không phải TCP. L2TP thường được sử dụng để xác thực người dùng Dial Up và định
đường hầm các kết nối SLIP/PPP qua Internet. Vì L2TP là giao thức lớp 2 nên nó đưa ra
cho người sử dụng khả năng mềm dẻo như PPTP trong việc truyền tải các giao thức
không phải là IP, ví dụ như là IPX và NETBEUI.
Môi trường L2TP PPP Tải PPP
Hình 2.8. Cấu trúc khung của L2TP
2.2.2.2. Mô tả hoạt động của giao thức
a) Các thành phần của giao thức L2TP
Cũng giống như giao thức PPTP, nhìn chung có ba thành phần liên quan đến việc
triển khai L2TP: L2TP Client, NAS và L2TP Server.
* Máy khách L2TP: Client cần có chuẩn PPP để kết nối nhưng chưa đủ, vì nó cần
phải sử dụng được mã hoá IPSec, nên phải sử dụng các client tương thích L2TP VPN.
Các đặc điểm của client L2TP như sau:
- Tương thích với những thành phần khác của IPSec (như máy chủ mã hoá, giao
thức chuyển khoá, giải thuật mã hoá, …).
- Đưa ra chỉ báo rõ ràng khi IPSec đang hoạt động
- Hỗ trợ tải SA về
- Có hàm băm xử lý được các địa chỉ IP động
Luận văn tốt nghiệp cao học <Trang 15> Mạng riêng ảo và ứng

dụng
- Có cơ chế bảo mật chống trộm (mã hoá khoá với mật khẩu)
- Có cơ chế chuyển đổi mã tự động theo định kỳ
- Chặn hoàn toàn các lưu lượng không IPSec.
* NAS: ISP cung cấp L2TP cần cài NAS cho phép L2TP để hỗ trợ cho các client
L2TP chạy trên nền khác nhau như Unix, Windows, Macintosh. Trong trường hợp client
không có L2TP thì mạng sẽ ít bảo mật hơn, và khi muốn bảo mật dữ liệu trong đường
hầm thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữ liệu từ đoạn LAC đến LNS.
* Máy chủ mạng L2TP: Đóng vai trò là điểm kết cuối của đường hầm PPTP và
chuyển các gói từ đường hầm đến mạng LAN riêng. Máy chủ L2TP thường tích hợp với
tường lửa vì nó không có khả năng lọc gói và khi đó nó có nhiều ưu điểm hơn so với
máy chủ PPTP. Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP
nên việc thiết lập tường lửa đơn giản hơn. Do một số tường lửa không có hỗ trợ GRE
nên chúng tương thích với L2TP hơn PPTP.
b) Các bước kết nối
Cũng giống như PPTP, giao thức L2TP sử dụng PPP để tạo kết nối từ client tới
máy phục vụ truy cập mạng. L2TP sử dụng PPP để thiết lập kết nối vật lý, thực hiện xác
thực người sử dụng, tạo gói tin PPP và đóng kết nối khi phiên làm việc kết thúc.
Khi PPP thiết lập kết nối xong, L2TP sẽ thực hiện nhiệm vụ của nó. Đầu tiên L2TP
sẽ xác định xem NAS tại phía công ty có nhận ra người sử dụng đầu cuối hay không và
có sẵn sàng phục vụ như là một điểm đầu cuối của tunnel hay không. Nếu tunnel có thể
được tạo ra, L2TP sẽ thực hiện vai trò đóng gói các gói tin PPP để truyền đi.
Khi L2TP tạo ra các tunnel giữa bộ tập trung truy cập mạng của ISP và NAS phía
công ty, nó có thể gán một hoặc nhiều phiên làm việc trong một đường hầm. L2TP tạo ra
một số nhận dạng cuộc gọi và chèn Call ID này vào phần đầu của L2TP trong mỗi một
gói tin để chỉ ra gói tin đó thuộc phiên làm việc nào.
T L x x S x O P x x x x Ver Length (opt)(16 bít)
Tunnel ID (16 bít) Session ID (16 bít)
Ns (opt)(16 bít) Nr (opt)( 16 bít)
Offset Size (opt)(16 bít) Offset Pad (opt)(16 bít)

Hình 2.9. Cấu trúc của L2TP Header
T: Chỉ ra dạng của thông điệp. Giá trị 0 là cho dữ liệu và 1 là cho điều khiển.
L: Nếu trường Length tồn tại thì giá trị của bit này bằng 1. Với thông điệp điều
khiển thì giá trị bit này phải là 1.
Các bit x dành cho việc mở rộng về sau.
Luận văn tốt nghiệp cao học <Trang 16> Mạng riêng ảo và ứng
dụng
S: Nếu trường Ns và Nr tồn tại thì giá trị của bit này bằng 1. Với thông điệp điều
khiển thì giá trị bit này phải là 1.
O: Nếu trường Offset Size tồn tại thì giá trị của bit này bằng 1. Với thông điệp điều
khiển thì giá trị bit này phải là 0.
P: Xác định độ ưu tiên. Nếu giá trị bit này bằng 1 thì gói dữ liệu sẽ được xử lý ưu
tiên trong hàng đợi của nó. Với thông điệp điều khiển thì bit này phải được đặt giá trị 0.
Ver: Có giá trị là 2 (4 bits)
Length: Chỉ ra tổng độ dài của thông điệp
Tunnel ID: Chỉ ra nhận dạng cho kết nối điều khiển ID của đường hầm
Session ID: Chỉ ra nhận dạng của phiên làm việc bên trong một đường hầm
Ns: Số thứ tự của gói dữ liệu hoặc của thông điệp điều khiển. Giá trị ban đầu là 0.
Nr: Chỉ ra số thứ tự của thông điệp điều khiển tiếp theo.
Giao thức L2TP có thể đồng thời tạo ra nhiều tunnel giữa NAS của ISP và máy chủ
mạng của client. L2TP bao gồm một số nhận dạng tunnel sao cho các tunnel riêng biệt
có thể được nhận ra khi nó đến từ một phía nào đó, hoặc từ phía bộ tập trung truy cập
mạng của ISP hoặc từ phía NAS của công ty.
Cũng giống như giao thức PPTP, giao thức L2TP định nghĩa hai loại thông điệp
khác nhau. Đó là thông điệp điều khiển và thông điệp dữ liệu. Thông điệp điều khiển
được sử dụng để thiết lập, quản lý và giải phóng các phiên làm việc được tải qua đường
hầm, cũng như là trạng thái của chính tunnel đó. Còn thông điệp dữ liệu được sử dụng để
truyền dữ liệu qua tunnel đó. Tuy nhiên không giống như giao thức PPTP, giao thức
L2TP truyền cả thông điệp điều khiển và thông điệp dữ liệu như là một phần của cùng
một luồng. L2TP cũng trợ giúp để giảm lưu lượng mạng và cho phép các máy chủ điều

khiển việc tắc nghẽn đường truyền bằng cách thực hiện cơ chế điều khiển luồng giữa
máy chủ truy cập mạng của ISP, còn gọi là bộ tập trung truy cập L2TP và máy chủ mạng
riêng L2TP-LNS. Trong trường hợp kết nối LAN-to-LAN, một trong 2 máy chủ L2TP
phải có kết nối với ISP để khởi tạo phiên làm việc PPP. Hai bên đóng vai trò LAC và
LNS trong việc khởi tạo và kết thúc đường hầm khi cần thiết.
2.3. Giao thức IPSEC
IPSec là khuôn khổ của các chuẩn mở để bảo đảm an toàn cho thông tin qua mạng
IP. Dựa trên các chuẩn được phát triển bởi Internet Engineering Task Force (IETF),
IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực của việc truyền dữ liệu qua
mạng IP công cộng. Nó cung cấp một thành phần cần thiết cho một giải pháp mềm dẻo,
dựa trên các tiêu chuẩn cho một chính sách an ninh trên toàn mạng. IPSec định nghĩa 2
loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã hóa: Một là xác thực
A
B
Luận văn tốt nghiệp cao học <Trang 17> Mạng riêng ảo và ứng
dụng
tiêu đề Authentication Header (AH), hai là đóng gói bảo mật tải Encapsulating Security
Payload (ESP). Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu.
Trong khi đó đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính toàn vẹn cho
gói dữ liệu nhưng không bảo vệ tiêu đề cho gói IP như AH. IPSec còn dùng giao thức
Internet Key Exchange (IKE) để thỏa thuận liên kết bảo mật (SA) giữa hai thực thể và
trao đổi các thông tin khóa.
2.3.1. ESP trong cấu hình Gateway-to-Gateway
Cấu hình này sẽ thiết lập kết nối có IPSec để mã hoá và đảm bảo tính toàn vẹn của
dữ liệu giữa hai điểm A và B (minh họa trong hình vẽ 2.10).
* Bước đầu tiên là thiết lập kết nối IKE SA (nếu nó chưa có) như sau: A gửi gói IP
bình thường đến B. Mạng A sẽ định tuyến đến Gateway A. Gateway A nhận gói IP và
thực hiện dịch địa chỉ để gửi đi. Gateway A khởi tạo quá trình thoả thuận IKE SA với
Gateway B ở chế độ chính hoặc ở chế độ năng động. Đến đây IKE SA được thiết lập.


Hình 2.10. Cấu hình Gateway-to-Gateway
* Bước thứ hai: Thực hiện thiết lập IPSec SA như sau:
Gateway A dùng kết nối IKE SA để thực hiện thoả thuận IPSec SA với Gateway B.
Quá trình này được thực hiện ở chế độ nhanh (Quick Mode). Kết thúc quá trình này một
cặp IPSec SA đơn hướng với chế độ bảo mật ESP đường hầm được thiết lập.
Gateway A và B sẽ thực hiện mã hóa và đảm bảo tính toàn vẹn của dữ liệu theo các
tham số nhận được từ IPSec để gửi thông tin cho nhau. Sau đó dữ liệu từ Gateway sẽ
được gửi về các điểm kết cuối A hay B. Khi truyền dữ liệu đạt đến thời gian tồn tại của
SA thì Gateway đầu tiên sẽ khởi tạo lại quá trình tạo lại khoá. Sau khi tạo khoá xong thì
thông tin được gửi theo khoá mới và khoá cũ bị xoá đi.
2.3.2. AH và ESP trong cấu hình Host-to-Host
Cấu hình này sẽ thiết lập kết nối có IPSec để mã hoá và đảm bảo tính toàn vẹn của
dữ liệu giữa hai điểm A và B. Tuỳ thuộc và nhu cầu bảo mật mà ta dùng ESP hay AH.
Luận văn tốt nghiệp cao học <Trang 18> Mạng riêng ảo và ứng
dụng
* Bước đầu tiên thiết lập IKE SA như sau: Khi A gửi gói IP bình thường đến B thì
phần mềm IPSec Client sẽ xác định các tham số cần thiết cho kết nối. A sẽ khởi tạo quá
trình thoả thuận IKE SA với B ở chế độ chính (Main Mode) hoặc ở chế độ năng động
(Aggressive Mode). Kết thúc quá trình này IKE SA được thiết lập.
Hình 2.11. Cấu hình Host-to-Host
* Bước thứ hai: Thực hiện thiết lập IPSec SA như sau:
A dùng kết nối IKE SA để thực hiện thoả thuận IPSec SA với B. Quá trình này
được thực hiện ở chế độ nhanh (Quick Mode). Kết thúc quá trình này một cặp IPSec SA
đơn hướng với chế độ bảo mật ESP hay AH được thiết lập.
A mã hoá và thực hiện đảm bảo tính toàn vẹn cho dữ liệu rồi gửi cho B
B dựa vào SPI và các tham số SA để giải mã và kiểm tra tính toàn vẹn của dữ liệu.
2.3.3. IPSec trong IPv6
IPv6 hỗ trợ sử dụng giao thức IPSec. Trong gói tin IPv6 các tuỳ chọn được đưa vào
Header mở rộng được chỉ ra trong trường Next Header của Header trước đó.
Hình 2.12. Cấu trúc của một gói IPv6

A
B
AH Header DataIPv6 Header
Xác thực
ESP Header
Data
IPv6 Header
ESP Trailer ESP Auth
Được mã hoá
Xác thực
IPv6
Header
Extension
Header
Upper Layer
Protocol Data Unit
Payload
IPv6 Packet
Luận văn tốt nghiệp cao học <Trang 19> Mạng riêng ảo và ứng
dụng
Hình 2.13. Cấu trúc gói dữ liệu IPv6 khi sử dụng Header mở rộng AH và ESP
IPv6 Header và Extension Header: IPv6 Header có kích thước không đổi là 40
bytes. Extension Header có thể có hoặc không và độ dài thay đổi tuỳ theo kiểu tuỳ chọn.
Trường Next Header trong IPv6 chỉ ra Header mở rộng tiếp theo. Trong mỗi Header mở
rộng lại có một trường Next Header cho biết có còn sử dụng Header mở rộng tiếp theo.
Upper Layer PDU: Khối dữ liệu giao thức lớp trên PDU, thường bao gồm Header
và phần Payload của nó. Trong IPv6 giá trị Next Header là 51 khi sử loại Header mở
rộng AH, còn đối với ESP là 52.
Bảng 2.2. So sánh các giao thức VPN
Giao

thức
Ưu điểm Nhược điểm
Sử dụng
trong mạng
PPTP
+ Chạy trên nền Windows 9x,
NT, XP.
+ Cung cấp đầu cuối - đầu cuối
và định hướng đường hầm kết
nối Node to Node.
+ Các đặc điểm giá trị được
thêm vào phổ biến cho truy cập
từ xa.
+ Sử dụng cho người dùng
Windows có sẵn cho việc xác
thực.
+ Cung cấp khả năng đa giao
thức.
+ Sử dụng mã hoá RSA RC-4.
+ Không cung cấp mã
hoá dữ liệu từ những
máy chủ truy cập từ
xa.
+ Mang tính độc
quyền rộng lớn, yêu
cầu một máy chủ chạy
Win NT để kết thúc
những đường hầm.
+ Chỉ sử dụng mã hoá
RSA RC- 4.

+ Được dùng tại các
máy chủ truy nhập
từ xa định đường
hầm proxy.
+ Có thể được dùng
giữa các văn phòng
ở xa có máy chủ
Win NT để chạy
máy chủ truy cập từ
xa và định tuyến
RRAS.
+ Có thể dùng cho
những máy để bàn
Win9x hay máy trạm
dùng Win NT.
L2TP
+ Kết hợp PPTP và L2TP
+ Chỉ cần một gói dựa trên
mạng để chạy trên X.25 và
Frame Relay.
+ Sử dụng IPSec cho việc mã
hoá.
+ Chưa được cung cấp
trong nhiều sản phẩm.
+ Không bảo mật ở
giai đoạn cuối.
+ Dùng cho truy
nhập từ xa tại POP.
Luận văn tốt nghiệp cao học <Trang 20> Mạng riêng ảo và ứng
dụng

IPSec
+ Chuẩn giao thức rãnh
+ Hoạt động một cách độc lập
của các ứng dụng mức cao hơn.
+ Cho phép giấu địa chỉ mạng
mà không cần sử dụng dịch địa
chỉ mạng (NAT).
+ Đáp ứng sự phát triển các kỹ
thuật mã hoá.
+ Không có quản lý
người dùng
+ Ít sản phẩm có khả
năng tương tác giữa
các nhà cung cấp
+ Ít hỗ trợ giao diện.
(Desktop Support)
+ Phần mềm tốt nhất
trên máy tính người
dùng cho các giải
pháp độc quyền của
nhà cung cấp đối với
việc truy nhập từ xa
bằng quay số.
Kết luận chương:
Chương II tập trung vào nghiên cứu các giao thức của mạng VPN. Có ba giao thức
chủ yếu được trình bày ở đây:
- Giao thức PPTP
- Giao thức L2TP
- Giao thức IPSec
Mỗi giao thức đều có những điểm mạnh, điểm yếu như đã được liệt kê trong bảng

so sánh các giao thức ở trên. Tính ưu việt và sự hạn chế của từng giao thức sẽ được xem
xét để sử dụng trong những trường hợp ứng dụng cụ thể để mang lại hiệu quả cao nhất.
PPTP và L2TP là các giao thức hoạt động ở lớp 2, là các giao thức truyền thống, sử
dụng đơn giản, tính bảo mật không cao (nhất là đối với PPTP), thích hợp với các mô
hình mạng quy mô vừa phải. Những điểm khác nhau chính giữa PPTP và L2TP là:
- Việc tạo tunnel trong giao thức L2TP không phụ thuộc vào IP và GRE, điều này
cho phép nó làm việc với các môi trường lớp vật lý khác nhau.
- L2TP ngoài việc sử dụng giao thức PPP để xác thực người sử dụng, nó còn hỗ trợ
tốt hơn cho RADIUS để xác thực. L2TP khác PPTP ở việc định nghĩa các kết nối bên
trong một tunnel, cho phép một tunnel hỗ trợ nhiều kết nối (trong khi PPTP chỉ hỗ trợ
một kết nối).
- Với PPTP thì gói điều khiển và gói dữ liệu được gán vào hai kênh riêng còn L2TP
có thể kết hợp chúng lại để chạy trên một luồng chung (dùng UDP thay vì TCP).
- Việc thiết lập, sử dụng PPTP đơn giản hơn còn L2TP cho phép thiết lập bảo mật ở
mức cao hơn PPTP.
Khác hẳn với hai giao thức nêu trên, IPSec là giao thức thuộc lớp 3, nó có thể hoạt
động một cách độc lập, nó đảm bảo an toàn cho thông tin truyền tin qua mạng IP (bảo
đảm tính tin cậy, tính toàn vẹn và tính xác thực của dữ liệu). IPSec thường dùng giao
thức Internet Key Exchange (IKE) để thỏa thuận liên kết bảo mật (SA). Dạng VPN kiểu
này có thuận lợi là rất linh động, chi phí thuê đường truyền thấp và khả năng bảo mật tốt
Luận văn tốt nghiệp cao học <Trang 21> Mạng riêng ảo và ứng
dụng
(mặc dù không bằng kiểu mạng riêng kênh logic), nhưng có nhược điểm là tăng lưu
lượng vô ích vì thêm mào đầu để tạo đường hầm và tăng độ trễ do phải mã hoá và giải
mã gói tin. Giao thức này được dùng cho các mạng yêu cầu độ bảo mật cao, quy mô lớn
và phức hợp.
Mạng VPN được thiết lập, sử dụng trên nền mạng công cộng nên vấn đề bảo mật
phải được đặt ra và quan tâm đúng mức. Xem xét các phương pháp bảo mật cho mạng
VPN là việc làm cần thiết. Chúng ta sẽ nghiên cứu đến các nội dung này ở chương III.
Luận văn tốt nghiệp cao học <Trang 22> Mạng riêng ảo và ứng

dụng
Chương III
BẢO MẬT TRONG VPN
Một trong những mối quan tâm lớn nhất khi dùng mạng Internet đó là bảo mật. Việc
truyền dữ liệu giữa các mạng LAN hay trên môi trường dùng chung Internet rất dễ bị tấn
công bằng cách nghe trộm, thâm nhập hơn là khi dữ liệu còn ở trên một máy tính đơn.
Trong mỗi giao thức đã trình bày ở chương II, việc bảo mật đã được thực hiện, tuy nhiên
để tăng cường tính bảo mật chúng ta cần kết hợp với nhiều cách bảo mật khác để bảo
mật dữ liệu nhằm chống lại các truy nhập và thay đổi trái phép ở các mạng kể trên.
Một khung bảo mật đầy đủ gồm có 7 thành phần: Xác thực (authentication), tin cậy
(confidence), tính toàn vẹn (integrity), cho phép (authorization), công nhận
(nonrepudiation), quản trị (administration) và theo dõi kiểm toán (accounting).
Hình 3.1. Các thành phần của một hệ thống bảo mật
Bởi vì các giao thức TCP/IP không được thiết kế có bảo mật nên nhiều hệ thống
bảo mật khác nhau được phát triển cho các ứng dụng và lưu lượng chạy trên mạng
Internet. Phần mềm cũng như phần cứng có nhiệm vụ chuẩn bị dữ liệu cho việc truyền
trên một mạng cung cấp một số khả năng có thể áp dụng xác thực (authentication) và mã
hóa (encryption).
3.1. Hệ thống xác thực
Xác thực là một phần không thể thiếu của kiến trúc bảo mật mạng VPN. Khi hệ
thống của chúng ta có thể xác thực đúng một cách tin cậy những người dùng, những dịch
vụ và các mạng chúng ta có thể không cần điều khiển truy nhập đến các tài khoản dùng
chung, chúng ta vẫn giữ được cho những người dùng bất hợp pháp không được truy cập
vào mạng. Xác thực dựa trên 3 thuộc tính sau: Cái gì ta có (một khóa hay thẻ card), cái
Security
Policy Server
Security
Policy Server
Security Gateway
Liên kết đến ISP

Protected LAN
Security Gateway
Protected LAN
Certificate Association
Mobile Client
Internet
Luận văn tốt nghiệp cao học <Trang 23> Mạng riêng ảo và ứng
dụng
gì chúng ta biết (mật khẩu), cái gì nhận dạng chúng ta (giọng nói, quét võng mạc, dấu
vân tay, chữ ký, …). Sự đa dạng của các hệ thống VPN hiện nay dựa trên các phương
pháp xác thực khác nhau hoặc là kết hợp các phương pháp ấy. Có thể phân loại bảo mật
trên VPN theo các cách sau: Mật khẩu truyền thống hay mật khẩu một lần; xác thực
thông qua các giao thức (PAP, CHAP, RADIUS, …) hay phần cứng (smart card, token
card, PC card), nhận diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc, ).
3.1.1. Mật khẩu
3.1.1.1. Mật khẩu truyền thống
Người ta công nhận rằng các loại xác thực đơn giản như số nhận dạng ID của người
dùng và mật khẩu không đủ mạnh để bảo mật truy cập mạng. Mật khẩu có thể bị đón bắt
và giữ lấy trong suốt quá trình truyền của mạng. Thậm chí khi người dùng cẩn thận lưu
giữ mật khẩu của mình thì họ vẫn có thể bị lộ mật khẩu vì các dịch vụ Internet không
cung cấp tính năng bảo mật. Hệ thống mật khẩu một lần có thể được xem là phương
pháp tốt nhất đối với những vấn đề xung quanh việc sử dụng mật khẩu truyền thống.
3.1.1.2. Mật khẩu một lần
Một cách ngăn chặn việc sử dụng trái phép mật khẩu bị giữ là ngăn không cho
chúng được dùng trở lại bằng cách yêu cầu mật khẩu mới cho mỗi phiên làm việc mới.
3.1.2. Các giao thức xác thực mật khẩu
3.1.2.1. Giao thức xác thực mật khẩu PAP
Giao thức xác thực mật khẩu PAP được thiết kế một cách đơn giản cho một máy
tính tự xác thực đến một máy tính khác khi giao thức điểm-điểm PPP được sử dụng làm
giao thức truyền thông. PAP là giao thức bắt tay kiểu hai chiều, đó là máy tính chủ tạo

kết nối sẽ gửi một nhận dạng người dùng và mật khẩu kép đến hệ thống mà nó muốn tạo
kết nối. Sau đó hệ thống đích thực hiện xác thực nếu đúng nó sẽ chấp nhận truyền thông.
3.1.2.2. Giao thức xác thực yêu cầu bắt tay CHAP
Giao thức CHAP được thiết kế tương tự như PAP nhưng là phương pháp bảo mật
hơn đối với xác thực kết nối PPP.
Hình 3.2. Hệ thống đáp ứng thách đố dùng CHAP
Trong CHAP có sử dụng hàm băm một chiều và giao thức bắt tay gồm 3 bước:
- Máy tính xác thực gửi một bản tin thách đố đến máy tính ngang cấp.
Người dùng
1
2 Đáp ứng EFGH
Thách đố ABCD
Cho phép
Xác thực
3
Luận văn tốt nghiệp cao học <Trang 24> Mạng riêng ảo và ứng
dụng
- Máy tính ngang cấp tính toán một giá trị sử dụng hàm băm 1 chiều và gửi trả lại.
- Máy tính xác thực xem xét chấp nhận nếu tương ứng với giá trị mong muốn.
Tiến trình này có thể lặp lại bất kỳ thời điểm nào trong suốt quá trình tạo liên kết
PPP để đảm bảo rằng kết nối không bị nắm quyền hay bị suy yếu.
3.1.2.3. Dịch vụ xác thực người dùng quay số từ xa RADIUS
RADIUS sử dụng kiểu Client/Server để chứng nhận và quản trị kết nối mạng các
phiên làm việc cho người dùng ở xa. RADIUS giúp cho việc điều khiển truy cập dễ quản
lý hơn và nó hỗ trợ các kiểu xác thực người dùng khác nhau bao gồm PAP và CHAP.
Kiểu RADIUS Client/Server dùng một máy chủ truy cập mạng NAS để quản lý kết
nối người dùng. NAS có nhiệm vụ chấp nhận các yêu cầu kết nối của người dùng, thu
thập các thông tin nhận dạng người dùng, mật khẩu đồng thời chuyển thông tin này một
cách bảo mật đến RADIUS. Máy chủ RADIUS thực hiện xác thực để chấp nhận hay từ
chối kết nối.

3.1.3. Các hệ thống nhận dạng phần cứng
Một trong những thiết bị phần cứng hay được dùng nhất là smart card. Smart card
được gắn mạch tích hợp điện tử để lưu thông tin. Smart card sử dụng những con số, đặc
điểm nhận dạng cá nhân (vân tay, giọng nói, chữ ký, …), hay sử dụng phương pháp mã
hoá để xác thực người dùng. Smart card chứa nhiều thông tin và nó có thể được lập trình
cho các ứng dụng khác nhau. Smart card có loại dùng một lần và dùng nhiều lần. Smart
card truyền thông tin đến thiết bị đọc thẻ như máy tính, thiết bị nhập dữ liệu, …
3.1.4. Các phương pháp mã hóa
Công cụ mạnh nhất trong bảo mật dữ liệu là mật mã. Bằng việc biến đổi dữ liệu sao
cho những người quan sát bất hợp pháp không thể hiểu được, các chuyên gia an toàn có
thể vô hiệu hoá sự can thiệp, khả năng sửa đổi và giả mạo.
Mã hoá mang lại tính bí mật cho dữ liệu. Thêm vào đó, mã hóa còn có thể được
dùng để đạt được tính toàn vẹn bởi vì nhìn chung dữ liệu không thể đọc được cũng
không thể thay đổi được. Hơn nữa, mã hóa là cơ sở cho một số giao thức, chúng là dãy
hành động thỏa thuận sẵn để hoàn thành một nhiệm vụ nào đó. Vì vậy, mã hóa là cốt lõi
của các biện pháp đảm bảo cả ba mục tiêu an toàn và bảo mật máy tính.
Có 2 loại hệ mật chủ yếu: Hệ mật đối xứng và hệ mật không đối xứng.

Mật mã Giải mã
Bản mã
Khóa K
Bản rõ
Bản rõ ban đầu
Hình 3.3. Mô hình mật mã đối xứng
Luận văn tốt nghiệp cao học <Trang 25> Mạng riêng ảo và ứng
dụng
- Hệ mật đối xứng (hệ mật khóa bí mật, mã khối): Quá trình mật mã (E) và giải mã
(D) cùng dùng chung một khóa K.
Hình 3.4. Mô hình mật mã phi đối xứng
- Hệ mật không đối xứng (khóa công khai): Sử dụng khóa mã KE và khóa giải mã

riêng biệt KD (ghép thành cặp).
3.2. Bảo mật trong PPTP
PPTP sử dụng giao thức RADIUS để quản lý và xác thực người dùng. Trên cơ sở
thông tin nhận dạng về người dùng và mật khẩu cung cấp từ NAS, RADIUS thực hiện
kiểm tra đối chiếu với cơ sở dữ liệu của nó và cho phép kết nối tạo đường hầm. Các thủ
tục xác thực là CHAP, PAP, MS-CHAP. Với giao thức PPTP, dữ liệu được mã hoá
điểm-điểm của Microsoft-MPPE. Việc thay đổi khoá có thể thoả thuận sau mỗi gói hay
một số gói. Tuy nhiên, gói tin PPP vẫn có thể bị bắt giữ, đọc và thay đổi.
Nhận xét chung đối với PPTP là: Giao thức PPTP là giải pháp tạm thời và đang
được thay thế dần bằng L2TP. PPTP thích hợp cho VPN dạng Client-to-LAN với một số
hữu hạn người dùng. Tính bảo mật của PPTP là yếu hơn so với các giao thức khác nhưng
nó ít phức tạp hơn.
3.3. Bảo mật trong L2TP
Việc xác thực người dùng diễn ra trong 3 giai đoạn: Giai đoạn 1 tại ISP, giai đoạn 2
và giai đoạn 3 (tuỳ chọn) tại máy chủ mạng riêng.
Trong giai đoạn 1, ISP có thể sử dụng số điện thoại của người dùng hoặc tên người
dùng để xác định dịch vụ L2TP và khởi tạo kết nối đường hầm đến máy chủ của VPN.
Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi mới để
định dạng cho kết nối trong đường hầm và khởi tạo phiên làm việc.
Máy chủ VPN tiến hành tiếp bước 2 là quyết định chấp nhận hay từ chối cuộc gọi
dựa vào các thông tin xác thực từ cuộc gọi của ISP chuyển đến. Thông tin đó có thể
mang CHAP, PAP, EAP hay bất cứ thông tin xác thực nào.
Sau khi cuộc gọi được chấp nhận thì máy chủ VPN có thể khởi động giai đoạn 3 tại
lớp PPP. Bước này tương tự như máy chủ xác thực một người dùng quay số truy nhập
vào thẳng máy chủ.
Mật mã Giải mã
Bản mã
Khóa KE
Bản rõ
Bản rõ ban đầu

Khóa KD

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×