Stop-Control-Connection-
Reply
Phản hồi ngược lại từ thực thể cuối đối với thông điệp
Stop-Control-Connection-Request.
Stop-Control-Connection-
Notification
Phản hồi ngược lại từ thực thể cuối để cho biết đường
hầm bị kết thúc.
2.2.3.6. Bảo mật L2TP
L2TP sử dụng phương thức xác thực PPP để xác thực người dùng. Sơ đồ xác thực
bao gồm:
- PAP và SPAP.
- EAP.
- CHAP.
Ngoài các cơ chế xác thực đã nói ở trên. L2TP còn sử dụng IPSec để xác thực
các gói dữ liệu riêng. Mặc dù điều này làm giảm đáng kể tốc độ giao dịch. Dùng
IPSec để xác thực từng gói đảm bảo rằng Hacker và Cracker không thể thay đổi
được dữ liệu và đường hầm của bạn.
2.2.3.7. Những ưu và nhược điểm của L2TP
Những thuận lợi chính của L2TP được liệt kê như sau:
- L2TP là giải pháp chung. Trong nhiều trường hợp khác, nó độc lập với
Platform, nó cũng hỗ trợ nhiều công nghệ mạng. Hơn nữa, nó cũng hỗ trợ giao dịch
qua liên kết WAN Non-IP mà không cần một IP.
- Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa.
Vì vậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng.
- L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP.
- L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại
bỏ một cách tuỳ ý nếu đường hầm bị đầy. Điều này làm cho các giao dịch L2TP
nhanh hơn các giao dịch dựa trên L2F.
- L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một
mạng từ xa qua một mạng công cộng.

- L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trên
IPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói của
IPSec.
Tuy nhiên nó cũng có một số nhược điểm. Đó là:
- L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực từng gói tin
nhận được.
2.2.4. So sánh các giao thức đường hầm truy cập từ xa
Bảng sau đưa ra một sự so sánh giữa 3 giao thức đường hầm truy cập từ xa
nổi bật, L2F, PPTP, L2TP
Bảng 2.3 Tổng hợp so sánh 3 giao thức VPN được tích hợp với tầng 2
Feature PPTP L2F L2TP
Hỗ trợ nhiều giao thức Yes Yes Yes
Hỗ trợ nhiều liên kết PPP No Yes Yes
Hỗ trợ nhiều kết nối trên
đường hầm
No Yes Yes
Các chế độ hoạt động
được hỗ trợ
Incoming &
Outgoing
Incoming Incoming
Các chế độ đường hầm
được hỗ trợ
Voluntary Voluntary & Compulsory Voluntary &
Compulsory
Giao thức Carrier IP/GRE IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR,
IP/ATM
Giao thức kiểm soát TCP, Port:
1723
UDP, Port: 1701 UDP, Port: 1701

Các cơ chế xác thực MS-CHAP,
PAP
CHAP, PAP, SPAP, EAP,
IPSec, RADIUS RADIUS
& & TACACS
CHAP, PAP, SPAP,
EAP, IPSec,
TACACS
Các cơ chế mã hoá MPPE MPPE, IPSec MPPE, IPSec, ECP
2.5. Lập mã và xác thực trong các giao thức đường hầm tại tầng 2
Phần này chúng ta sẽ thảo luận về các tùy chọn xác thực và mã hóa được sử
dụng cho các giao thức đường hầm tại tầng 2 đã đề cập ở trên
2.5.1. Các tùy chọn xác thực
Xác thực là một trong những yêu cầu then chốt với các giải pháp VPN, một số
kỹ thuật xác thực truy cập từ xa thường được sử dụng và sự thích hợp của chúng
cho các giải pháp VPN.
2.5.1.1. Giao thức xác thực mật khẩu (Password Authentication Protocol -
PAP)
Là giao thức đơn giản nhất và là giao thức xác thực kết nối đường quay số tới
ISP thông dụng nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP, xác
thực người dùng PPP trước khi một kết nối được thiết lập. Tuy nhiên nó gửi ID và
mật khẩu của người dùng qua liên kết mà không mã hoá. Và như vậy, nó không
đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi. PAP có các
lỗ hỗng khác là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi
tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua được một lần thì không còn phải lo
lắng về vấn đề xác thực trong tương lai nữa!. Vì lý do này, PAP được xem như là
một giao thức xác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa
thích trong VPN.
2.5.1.2. Giao thức xác thực có thăm dò trước (Challenge Handshake
Authentication Protocol - CHAP)

CHAP được phát triển để nhằm vào việc giải quyết vấn đề gửi mật khẩu dạng
rõ trong khi sử dụng PAP. Trong CHAP khi một Client thay đổi định danh, nó đáp
lại bằng một giá trị hàm băm nhận được qua hàm băm MD5. Nếu giống với giá trị
tại Server cuối sử dụng cùng thủ tục như ở Client thì Client được xác thực thành
công, không có mật khẩu rõ được trao đổi trong tiến trình. Vấn đề khác thường tích
hợp với PAP là thực thể truyền thông cuối chỉ được xác thực một lần trong một
tiến trình trao đổi thông tin. Vì CHAP xác thực nhiều lần trong một phiên, nó tạo
ra khó khăn cho kẻ tấn công muốn phá vỡ quá trình truyền thông.
2.5.1.3. Giao thức xác thực có thăm dò trước của Microsoft (Microsoft CHAP)
MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực
dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá
giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP dựa trên
RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES. Mục đích là
MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó không được hỗ trợ
bởi các nền khác.
2.5.1.4. Giao thức xác thực mật khẩu Shiva (Shiva Password Authentication
Protocol - SPAP)
SPAP là một phương pháp độc quyền cho việc xác thực các Client quay số và
một số Client Microsoft. Nó cung cấp một giao thức thăm dò trước 2 bước giữa
Client và Server với một Password đã mã hóa. Trong một số kịch bản, SPAP có thể
cung cấp thêm một số chức năng như CallBack, đổi mật khẩu và tạo các kết nối ảo.
2.5.1.5. Giao thực xác thực mở rộng (Extensible Authentication Protocol -
EAP)
Không giống như các phương pháp PAP và CHAP, chúng được thực thi tại
thời gian cấu hình LCP, trong khi thiết lập kết nối PPP. EAP được thực hiện sau
pha LCP, lúc xác thực PPP được thực hiện. Vì lý do đó, EAP cho phép xác thực
phạm vi rộng vì tăng số lượng các tham số kết nối có thể được dùng tuỳ chọn như
thông tin xác thực.
2.5.1.6. Kiến trúc bảo mật IP (IP Security)
Kiến trúc IPSec bao gồm 2 giao thức: Giao thức xác thực tiêu đề

(Authentication Header - AH) và giao thức bao gói tải bảo mật(Encapsulating
Security Payload - ESP). Cả 2 giao thức đều xác thực trên từng gói dữ liệu trong
một phiên làm việc, thay cho trên từng người dùng tại thời điểm thiết lập phiên làm
việc hay nhiều lần trong một phiên. AH và ESP cũng cung cấp sự bảo vệ lại. Điều
này làm cho xác thực IPSecurity an toàn hơn nhiều so với các tùy chọn xác thực
PPP truyền thống, nhưng nó cũng phát sinh một quá trình xử lý Overhead khá cao
tại các thiết bị thực hiện. IPSec là giao thức bảo mật được khuyến cáo cho L2TP và
có thể được sử dụng cùng với L2F cũng như với PPTP về mặt lý thuyết
2.5.1.7 RADIUS and TACACS
RADIUS và TACACS cung cấp một trung tâm xác thực với người dùng truy
cập từ xa. Cả 2 công nghệ làm việc theo cách tương tự nhau. Một Server truy cập
từ xa thực thi một RADIUS hay TACACS Client để chuyển tiếp các yêu cầu xác
thực tới một Server trung tâm, nơi yêu cầu được xử lý và được cấp quyền truy cập
hoặc từ chối truy cập. RADIUS và TACACS cũng cho phép chuyển thông tin cấu
hình từ Client tới một cơ sở dữ liêu trung tâm. RADIUS có thể được kết nối vào
một hệ thống xác thực trung tâm khác như Kerberos, DCE và RACF
2.5.1.8. ID bảo mật
ID bảo mật được phát triển bởi công ty Security Dynamic, dựa trên khả năng
xác thực 2 nhân tố. Người dùng không chỉ yêu cầu một Password để xác thực
thành công mà còn cả một mã PIN bí mật dưới dạng một số ngẫu nhiên có thể thay
đổi qua mỗi lần. Password được lưu trữ trong một cơ sở dữ liệu tại Server và được
so sánh với Password do người dùng nhập vào khi đăng nhập. Số ngẫu nhiên được
tạo cho mỗi người dùng tại Server và được thay đổi trong mỗi một khoảng thời
gian nhất định. Người dùng được cung cấp một thiết bị dưới dạng một thẻ bài chứa
khoá (key chain token) hoặc một thẻ thông minh (smart card), trong đó có một con
chip vi xử lý thực hiện việc tính toán số ngẫu nhiên giống như là Server. Chip đó
có một đồng hồ đồng bộ hoàn toàn với Server vì vậy người dùng có khả năng đăng
nhập thành công bằng việc nhập vào Password và PIN đã có trên thiết bị thẻ.
SecureID dựa trên mô hình Client/Server tương tự với RADIUS và TACACS,
trong đó một Server truy cập hoạt động như một Client/Proxy SecureID để chuyển

tiếp yêu cầu xác thực tới Server trung tâm, Server này thường được gọi là
ACE/Server. SecureID cũng được dùng như một hệ thống xác thực thứ cấp với
RADIUS.
2.5.2. Tuỳ chọn mã hoá
Mã hoá và trao đổi khoá là 2 yêu cầu then chốt với VPN, trong phần sau ta sẽ
thảo luận về một số kỹ thuật mã hoá truy cập từ xa thường được sử dụng và sự
thích hợp của chúng với VPN
2.5.2.1. Mã hoá điểm tới điểm của Microsoft(Microsoft Point-to-Point
Encryption - MPPE)
MPPE sử dụng hàm băm MD4 được tạo khi xác thực bằng phương pháp MS-
CHAP để nhận được khóa mật cho một kết nối PPP. Đây là một phương pháp mã
hoá điển hình được dùng cho PPTP với các Client Microsoft. Thuật toán mã hoá
dùng cho MPPE là RC4 với khoá 40bit, nó được xem là rất yếu với những kỹ thuật
Hacker tiên tiến ngày nay. Microsoft cũng đưa ra một phiên bản với khoá 128bit
cho thị trường Mỹ. Microsoft thực thi PPTP theo cách thức là cứ sau 256 gói dữ
liệu được mã hóa thì Refresh lại khóa
2.5.2.2. Giao thức kiểm soát mã hóa(Encryption Control Protocol - ECP)
ECP có thể được dùng để thương lượng mã hóa với một kết nối PPP, làmột
kết nối đã được thiết lập và xác thực. ECP cho phép sử dụng các thuật toán mã hóa
khác nhau trong mỗi chỉ thị nhưng không cung cấp khả năng Refresh khóa. Thuật
toán mã hóa chuẩn là DES nhưng khách hàng có thể tự chọn thuật toán mà họ ưa
thích để thực hiện.
2.5.2.3. IPSec
IPSec mang lại chức năng mã hóa với giao thức đóng gói tải bảo mật và sử dụng giao thức trao đổi khóa
Internet cho việc sinh khóa và làm tươi khóa. ESP