Tải bản đầy đủ (.pdf) (89 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Công nghệ thông tin

Nghiên cứu mạng riêng ảo và ứng dụng trong thương mại điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.17 MB, 89 trang )


1
ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CNTT&TT




PHẠM VĂN ĐOAN



NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ
ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ




LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH









THÁI NGUYÊN, NĂM 2012

2


ĐẠI HỌC THÁI NGUYÊN
TRƢỜNG ĐẠI HỌC CNTT&TT



PHẠM VĂN ĐOAN


NGHIÊN CỨU MẠNG RIÊNG ẢO VÀ
ỨNG DỤNG TRONG THƢƠNG MẠI ĐIỆN TỬ

Chuyên ngành : Khoa học máy tính
Mã số : 60.48.01



LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH


NGƢỜI HƢỚNG DẪN KHOA HỌC
PGS.TS TRỊNH NHẬT TIẾN






THÁI NGUYÊN, NĂM 2012

3

MỞ ĐẦU

Với sự phát triển nhanh chóng của công nghệ thông tin và viễn thông, thế
giới ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vƣợt qua ranh giới
cục bộ và khu vực, vƣơn ra thị trƣờng thế giới. Nhiều doanh nghiệp có tổ chức trải
rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một
nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an
toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu.
Bên cạnh đó các hoạt động giao dịch thƣơng mại đã không còn chỉ là các
giao dịch truyền thống, mà thay vào đó, một xu thế đang phát triển mạnh mẽ và phù
hợp thời đại là các giao dịch thƣơng mại điện tử. Sự phát triển mạnh mẽ của thƣơng
mại điện tử sẽ mang đến cho xã hội một tiện ích vô cùng to lơn, khi đó các giao
dịch sẽ diễn ra nhanh chóng, kịp thời và phù hợp trong khi ngƣời dùng chỉ cần ngồi
ngay tại nhà mình.
Tuy nhiên các giao dịch thƣơng mại điện tử chỉ có thể gọi là thành công nếu
nó đảm bảo đƣợc tính an toàn cho các giao dịch, nhất là các giao dịch này lại diễn ra
trên môi trƣờng internet – là môi trƣờng luôn luôn tiềm ẩn rất nhiều nguy cơ mất an
toàn dữ liệu. Từ đây, ta thấy song song với việc phát triển của thƣơng mại điện tử
thì cẩn phải nghiên cứu giải quyết vấn đề an toàn thông tin trong mỗi giao dịch.
Nhận ra yêu cầu đó cùng với sự gợi ý của giáo viên hƣớng dẫn và dựa trên
những tìm hiểu của em, em chọn đề tài nghiên cứu “Nghiên cứu mạng riêng ảo và
ứng dụng trong thƣơng mại điện tử”.
Với mục đích nghiên cứu về công nghệ mạng riêng ảo, đề từ đó ứng dụng
vào thƣơng mại điện tử, tạo hành lang an toàn cho các giao dịch thƣơng mại điện tử
luận văn sẽ gồm 3 chƣơng cụ thể nhƣ sau:
Chương 1: Khái quát về mạng riêng ảo và thƣơng mại điện tử
Chương 2: Một số vấn đề về an toàn thông tin trong bài toán thỏa thuận ký
kết hợp đồng điện tử.
Chương 3: Chƣơng trình thực nghiệm


4
Do hạn chế về nhiều mặt nên Luận văn chắc chắn không tránh khỏi những
thiếu xót, rất mong đƣợc sự đóng góp ý kiến của Thầy, Cô và các bạn để Luận văn
đƣợc hoàn thiện hơn.
Em xin chân thành cảm ơn thầy giáo, PGS. TS Trịnh Nhật Tiến đã tận tình
hƣớng dẫn và giúp đỡ em trong suốt quá trình hoàn thành luận văn. Em cũng xin
trân thành cảm ơn các thầy, cô, bạn bè cùng toàn thể ngƣời thân đã giúp đỡ và chỉ
bảo cho em trong thời gian thực hiện luận văn này.

5
Chƣơng 1
KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VÀ THƢƠNG MẠI ĐIỆN TỬ

1.1. KHÁI QUÁT VỀ MẠNG RIÊNG ẢO
1.1.1. Khái niệm mạng riêng ảo
Cụm từ Virtual Private Network (mạng riêng ảo) thƣờng đƣợc gọi tắt là VPN
là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh
tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của
Internet. Trong thực tế, ngƣời ta thƣờng nói tới hai khái niệm VPN đó là: mạng
riêng ảo kiểu tin tƣởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN).
Mạng riêng ảo kiểu tin tƣởng đƣợc xem nhƣ một số mạch thuê của một nhà
cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động nhƣ một đƣờng dây
trong một mạng cục bộ. Tính riêng tƣ của trusted VPN thể hiện ở chỗ nhà cung cấp
dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó. Các mạng
riêng xây dựng trên các đƣờng dây thuê thuộc dạng “trusted VPN”.
Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật
dữ liệu. Dữ liệu ở đầu ra của một mạng đƣợc mật mã rồi chuyển vào mạng công
cộng (ví dụ: mạng Internet) nhƣ các dữ liệu khác để truyền tới đích và sau đó đƣợc
giải mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi nhƣ đƣợc truyền trong
một đƣờng hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể

nhìn thấy dữ liệu đó trên đƣờng truyền thì cũng không có khả năng đọc đƣợc vì dữ
liệu đã đƣợc mật mã.
Mạng riêng ảo VPN đƣợc định nghĩa là một kết nối mạng triển khai trên cơ sở
hạ tầng mạng công cộng (nhƣ mạng Internet) với các chính sách quản lý và bảo mật
giống nhƣ mạng cục bộ.

Đƣờng hầm
Router

Internet
Router
Router
Router
RouterRouter
Mạng riêng
(LAN)
Mạng riêng
(LAN)

Hình 1.1: Mô hình mạng riêng ảo.

6
a) Chức năng
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính
toàn vẹn (Integrity) và tính bảo mật (Confidentiality).
Tính xác thực : Để thiết lập một kết nối VPN thì trƣớc hết cả hai phía phải
xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với ngƣời mình
mong muốn chứ không phải là một ngƣời khác.
Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có
bất kỳ sự xáo trộn nào trong quá trình truyền dẫn.

Tính bảo mật : Ngƣời gửi có thể mã hoá các gói dữ liệu trƣớc khi truyền qua
mạng công cộng và dữ liệu sẽ đƣợc giải mã ở phía thu. Bằng cách làm nhƣ vậy,
không một ai có thể truy nhập thông tin mà không đƣợc phép. Thậm chí nếu có lấy
đƣợc thì cũng không đọc đƣợc.
b) Ưu điểm
VPN mang lại lợi ích thực sự và tức thời cho các công ty, tổ chức. Có thể
dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở
xa, ngƣời dùng lƣu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí
triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi
phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đƣờng dây cho
mạng WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết
kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng
(scalability) và một số ƣu điểm khác
1.1.2. Phân loại mạng riêng ảo
Dựa vào những yêu cầu cơ bản mạng riêng ảo đƣợc phân làm ba loại:
 VPN truy nhập từ xa (Remote Access VPNs)
 VPN Site – To – Site:
 Mạng VPN cục bộ (Intranet VPN)
 Mạng VPN mở rộng (Extranet VPN)
a) VPN truy nhập từ xa (Remote access VPNs)

7
VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di
động có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm
tại bất cứ đâu có mạng Internet.
VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những ngƣời sử
dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công
ty vẫn duy trì. Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các
thiết bị di động, những ngƣời sử dụng di động, các chi nhánh và những bạn hàng
của công ty. Những kiểu VPN này đƣợc thực hiện thông qua cơ sở hạ tầng công

cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ
cáp và thƣờng yêu cầu một vài kiểu phần mềm client chạy trên máy tính của ngƣời
sử dụng.

Hình 1.2: VPN truy nhập từ xa.
b) VPN Site To Site
Site-to-Site VPN đƣợc sử dụng để nối các site của các hãng phân tán về mặt
địa lý, trong đó mỗi site có các địa chỉ mạng riêng đƣợc quản lý sao cho bình
thƣờng không xảy ra va chạm.
Mạng VPN cục bộ (Intranet VPN)

8
Các VPN cục bộ đƣợc sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn đƣợc mã hoá bảo mật.
Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu
đƣợc phép trong toàn bộ mạng của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN nhƣ khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp
nhƣng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thƣờng đƣợc cấu hình nhƣ là một
VPN Site- to- Site.
v¨n phßng ë xa
Router
InternetInternet
POPPOP
Remote site
Central site
or
PIX Firewall
Văn phòng

trung tâm

Hình 1.3: VPN cục bộ.
Mạng VPN mở rộng (Extranet VPN)
Không giống nhƣ mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở
rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần
thiết để mở rộng những đối tƣợng kinh doanh nhƣ là các đối tác, khách hàng, và các
nhà cung cấp…
Intranet
DSL
cable
Extranet
Business-to-business
Router
InternetInternet
POPPOP
Remote site
Central site
or
PIX Firewall
Văn phòng
ở xa
Văn phòng
trung tâm
DSL

Hình 1.4: VPN mở rộng.

9

Các VPN mở rộng cung cấp một đƣờng hầm bảo mật giữa các khách hàng,
các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử
dụng các kết nối luôn luôn đƣợc bảo mật và đƣợc cấu hình nhƣ một VPN Site–to–
Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập
mạng đƣợc công nhận ở một trong hai đầu cuối của VPN.
1.1.3. Các giáo thức đƣờng hầm trong mạng riêng ảo
a) Giao thức định hướng L2F ( Layer 2 Forwarding).
Giao thức định hƣớng lớp 2 L2F do Cisco phát triển độc lập và đƣợc phát
triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho
dịch vụ quay số ảo bằng cách thiết lập một đƣờng hầm bảo mật thông qua cơ sở hạ
tầng công cộng nhƣ Internet. L2F là giao thức đƣợc phát triển sớm nhất, là phƣơng
pháp truyền thống để cho những ngƣời sử dụng ở xa truy cập vào một mạng công ty
thông qua thiết bị truy cập từ xa. L2F cho phép đóng gói các gói PPP trong L2F,
định đƣờng hầm ở lớp liên kết dữ liệu.
Ưu nhược điểm của L2F
Ƣu điểm:
- Cho phép thiết lập đƣờng hầm đa giao thức.
- Đƣợc cung cấp bởi nhiều nhà cung cấp.
Nhƣợc điểm:
- Không có mã hoá.
- Yếu trong việc xác thực ngƣời dùng.
- Không có điều khiển luồng cho đƣờng hầm.
Hoạt động của L2F
Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đƣờng hầm và phiên
làm việc. Ta xem xét ví dụ minh hoạ hoạt động của L2F:
1) Một ngƣời sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối
PPP tới ISP.
2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết
LCP (Link Control Protocol).


10
3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay
nhận thực RADIUS để quyết định có hay không ngƣời sử dụng yêu cầu dịch
vụ L2F.
4) Nếu ngƣời sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ
của gateway đích (home gateway).
5) Một đƣờng hầm đƣợc thiết lập từ NAS tới gateway đích nếu giữa chúng chƣa
có đƣờng hầm nào. Sự thành lập đƣờng hầm bao gồm giai đoạn nhận thực từ
ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba.
6) Một kết nối PPP mới đƣợc tạo ra trong đƣờng hầm, điều này tác động kéo
dài phiên PPP từ ngƣời sử dụng ở xa tới home gateway. Kết nối này đƣợc
thiết lập nhƣ sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin
nhận thực PAP/CHAP, nhƣ đã thoả thuận bởi đầu cuối ngƣời sử dụng và
NAS. Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận
thực lại ngƣời sử dụng.
7) Khi NAS tiếp nhận lƣu lƣợng dữ liệu từ ngƣời sử dụng, nó lấy gói và đóng
gói lƣu lƣợng vào trong một khung L2F và hƣớng nó vào trong đƣờng hầm.
8) Tại home gateway, khung L2F đƣợc tách bỏ, và dữ liệu đóng gói đƣợc
hƣớng tới mạng công ty.
b) Giao thức PPTP (Point –to- Point Tunneling Protocol)
Giao thức đƣờng hầm điểm–điểm PPTP đƣợc đƣa ra đầu tiên bởi một nhóm
các công ty đƣợc gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend
comm., Microsoft, ECI Telematicsunication và US Robotic. Ý tƣởng cơ sở của giao
thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ
tầng Internet sẵn có để tạo kết nối bảo mật giữa ngƣời dùng ở xa (client) và mạng
riêng. Ngƣời dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa
phƣơng là có thể tạo đƣờng hầm bảo mật tới mạng riêng của họ.
Giao thức PPTP đƣợc xây dựng dựa trên chức năng của PPP, cung cấp khả
năng quay số truy cập tạo ra một đƣờng hầm bảo mật thông qua Internet đến site
đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing


11
Encapsulation) đƣợc mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép
PPTP mềm dẻo xử lý các giao thức khác không phải IP nhƣ: IPX, NETBEUI.
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP
có thể sử dụng PPP để mã hoá dữ liệu nhƣng Microsoft đã đƣa ra phƣơng thức mã
hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point
Encryption) để sử dụng cho PPTP.
Một ƣu điểm của PPTP là đƣợc thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ
liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền
dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đƣờng hầm bằng các giao thức khác
IP trong khi IPSec chỉ có thể truyền các gói IP trong đƣờng hầm.
- Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đƣờng hầm PPTP đƣợc đóng gói thông qua nhiều mức: đóng gói
khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.
Cấu trúc gói dữ liệu đã đƣợc đóng gói

Tiêu đề
IP
Tiêu đề
GRE
Tiêu đề
PPP
Tải PPP đƣợc
mã hoá
(IP, IPX, NETBEUI)
Phần đuôi
liên kết dữ liệu
Tiêu đề
liên kết dữ liệu


Hình 1.5: Cấu trúc gói dữ liệu trong đường hầm PPTP
- Đóng gói khung PPP
Phần tải PPP ban đầu đƣợc mật mã và đóng gói với phần tiêu đề PPP để tạo ra
khung PPP. Sau đó, khung PPP đƣợc đóng gói với phần tiêu đề của phiên bản sửa
đổi giao thức GRE.
- Xử lý dữ liệu đường hầm PPTP
Khi nhận đƣợc dữ liệu đƣờng hầm PPTP, PPTP client hay PPTP server sẽ thực
hiện các bƣớc xử lý:
- xử ký và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu.
- Xử lý và loại bỏ IP Header.
- Xử lý và loại bỏ GRE Header và PPP Header.
- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết.
- Xử lý phần payload để nhận hoặc chuyển tiếp.

12
- Đường hầm
PPTP cho phép ngƣời dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác
nhau. Ngƣời dùng có thể chỉ định điểm kết thúc của đƣờng hầm ở ngay tại máy tính
của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ
PPTP). Có hai lớp đƣờng hầm: Đƣờng hầm tự nguyên và đƣờng hầm bắt buộc.
Đƣờng hầm tự nguyện: đƣợc tạo ra theo yêu cầu của ngƣời dùng. Khi sử dụng
đƣờng hầm tự nguyện, ngƣời dùng có thể đồng thời mở một đƣờng hầm bảo mật
thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức
TCP/IP bình thƣờng. Đƣờng hầm tự nguyện thƣờng đƣợc sƣ dụng để cung cấp tính
riêng tƣ và toàn vẹn dữ liệu cho lƣu lƣợng Intranet đƣợc gửi thông qua Internet.
Đƣờng hầm bắt buộc đƣợc tạo ra không thông qua ngƣời dùng nên nó trong
suốt đối với ngƣời dùng. Điểm kết thúc của đƣơng hầm bắt buộc nằm ở máy chủ
truy cập từ xa. Tất cả dữ liệu truyền đi từ ngƣời dùng qua đƣờng hầm PPTP đều
phải thông qua RAS.

Do đƣờng hầm bắt buộc định trƣớc điểm kết thúc và ngƣời dùng không thể
truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đƣờng
hầm tự nguyện. Nếu vì tính bảo mật mà không cho ngƣời dùng truy cập Internet
công cộng thì đƣờng hầm bắt buộc ngăn không cho họ truy cập Internet công cộng
nhƣng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và
đƣợc các site trong VPN mà thôi).
Một ƣu điểm nữa của đƣờng hầm bắt buộc là một đuờng hầm có nhiều điểm kết
nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc.
Một khuyết điểm của đƣờng hầm bắt buộc là kết nối từ RAS đến ngƣời dùng
nằm ngoài đƣờng hầm nên dễ bị tấn công.
Sử dụng RADIUS để cung cấp đƣờng hầm bắt buộc có một vài ƣu điểm đó là:
Các đƣờng hầm có thể đƣợc định nghĩa và kiểm tra dựa trên xác thực ngƣời dùng và
tính cƣớc dựa vào số điện thoại, các phƣơng thức xác thực khác nhƣ thẻ bài (token)
hay thẻ thông minh (smart card).

13
- Xác thực người dùng quay số từ xa (RADIUS)
RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu client/
server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các
ngƣời dùng trong các phiên làm việc. RADIUS client/server sử dụng máy chủ truy
cập mạng NAS để quản lý kết nối ngƣời dùng. Ngoài chức năng của máy chủ truy
cập mạng nó còn có một số chức năng cho RADIUS client. NAS sẽ nhận dạng
ngƣời dùng, thông in về mật khẩu rồi chuyển đến máy chủ RADIUS. Máy chủ
RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho
NAS để cung cấp dịch vụ cho ngƣời dùng. RADIUS tạo một cơ sở dữ liệu tập trung
về ngƣời dùng, các loại dịch vụ sẵn có, một dải modem đa chủng loại. Trong
RADIUS thông tin ngƣời dùng đƣợc lƣu trong máy chủ RADIUS.
RADIUS hỗ trợ cho máy chủ Proxy, là nơi lƣu giữ thông tin ngƣời dùng cho
mục đích xác thực, cấp quyền và tính cƣớc, nhƣng nó không cho phép thay đổi dữ
liệu ngƣời dùng. Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu ngƣời dùng từ

máy chủ RADIUS. Để RADIUS có thể điều khiển việc thiết lập một đƣờng hầm, nó
cần phải lƣu các thuộc tính của đƣờng hầm. Các thuộc tính này bao gồm: giao thức
đƣờng hầm đƣợc sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trƣờng
truyền dẫn trong đƣờng hầm đƣợc sử dụng.
Khi kết hợp đƣờng hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và
cấp quyền:
 Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đƣờng hầm.
 Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đƣờng hầm và cố
gắng chuyển đáp ứng của RADIUS đến đàu xa của đƣờng hầm.
 Xác thực tại hai đầu của đƣờng hầm.
Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều
khiển tiến trình truy cập mạng. Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ
thuộc cách RADIUS trả lời xác thực. Tuỳ chọn thứ ba có độ tin cậy cao và làm việc
tốt nếu nhƣ sử dụng máy chủ Proxy RADIUS.

14
- Đường hầm kết nối LAN-LAN
Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối vào
một mạng riêng thông qua mạng Internet, những đƣờng hầm kết nối LAN-LAN
không đƣợc hỗ trợ. Mãi đến khi Microsoft giới thiệu máy chủ định hƣớng và truy
cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợ
đƣờng hầm kết nối LAN-LAN. Kể từ đó các nhà cung cấp khác cũng đã cung cấp
các máy chủ tƣơng thích với PPTP có hỗ trợ đƣờng hầm kết nối LAN-LAN.
Đƣờng hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống nhƣ
IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN. Tuy nhiên, do kiến trúc
PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực đƣợc điều
khiển bởi CHAP hoặc thông qua MS-CHAP. Để tạo đƣờng hầm giữa hai site, máy
chủ PPTP tại mỗi site sẽ đƣợc xác thực bởi PPTP ở site kia. Khi đó máy chủ PPTP
trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngƣợc lại, do đó một
đƣờng hầm tự nguyện đƣợc tạo ra giữa hai site.

Internet
Máy chủ
PPTP
Computer
ComputerComputer
Mạng riêng
đựoc bảo vệ
Máy chủ
PPTP
Computer
Computer
Computer
Mạng riêng
đƣợc bảo vệ
LAN
LAN

Hình 1.6: Kết nối LAN - LAN trong PPTP.
Do đƣờng hầm PPTP có thể đƣợc đóng gói bởi bất kỳ giao thức mạng nào
đƣợc hỗ trợ (IP, IPX, NETBEUI), ngƣời dùng tại một site có thể truy cập vào tài
nguyên tại site kia dựa trên quyền truy cập của họ. Điều này có nghĩa là cần phải có
site quản lý để đảm bảo ngƣời dùng tại một site có quyền truy cập vào site kia.
Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết lập một
mối quan hệ tin cậy giữa các miền để cho phép ngƣời dùng truy cập vào tài nguyên
của các site.

15
c) Giao thức L2TP ( Layer 2 Tunneling Protocol)
Giao thức đƣờng hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP
và L2F- chuyển tiếp lớp 2. PPTP do Microsoft đƣa ra còn L2F do Cisco khởi

xƣớng. Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn
hoá tại IETF.
Giống nhƣ PPTP, L2TP là giao thức đƣờng hầm, nó sử dụng tiêu đề đóng gói
riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP
là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trƣờng
vật lý khác. Bởi vì GRE không sử dụng nhƣ giao thức đóng gói, nên L2F định nghĩa
riêng cách thức các gói đƣợc điều khiển trong môi trƣờng khác. Nhƣng nó cũng hỗ
trợ TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực ngƣời dùng:
Đầu tiên ở ISP trƣớc khi thiết lập đƣờng hầm, Sau đó là ở cổng nối của mạng riêng
sau khi kết nối đƣợc thiết lập.
L2TP mang dặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng
một giao thức đƣờng hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền
thông qua nhiều môi trƣờng gói khác nhau nhƣ X.25, Frame Relay, ATM. Mặc dù
nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhƣng có thể
thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đƣờng
hầm. Một mạng ATM hay frame Relay có thể áp dụng cho đƣờng hầm L2TP.
Do L2TP là giao thức ở lớp 2 nên nó cho phép ngƣời dùng sử dụng các giao
thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI.
Cũng giống nhƣ PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS.
Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây
dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhƣng
công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Windows 98.
- Xử lý dữ liệu đường hầm L2TP trên nền IPSec
 Khi nhận đƣợc dữ liệu đƣờng hầm L2TP trên nền IPSec, L2TP client
hay L2TP server sẽ thực hiện các bƣớc sau:
 Xử lý và loại bỏ header và trailer của lớp đƣờng truyền dữ liệu.

16
 Xử lý và loại bỏ IP header.
 Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP

header.
 Dùng IPSec ESP header để giải mã phần gói đã mật mã.
 Xử lý UDP header và gửi gói L2TP tới lớp L2TP.
 L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đƣờng
hầm L2TP cụ thể.
 Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng
giao thức để xử lý.
- Đường hầm L2TP
L2TP sử dụng những lớp đƣờng hầm tƣơng tự nhƣ PPTP, tuỳ theo ngƣời
dùng sử dụng là client PPP hay client L2TP mà sử dụng đƣờng hầm là tự nguyện
hay bắt buộc.
Đƣờng hầm tự nguyện đƣợc tạo ra theo yêu cầu của ngƣời dùng cho mục
đích cụ thể. Khi sử dụng đƣờng hầm tự nguyện thì ngƣời dùng có thể đồng thời
mở đƣờng hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất
kỳ trên Internet theo giao thức TCP/IP bình thƣờng. Điểm kết thúc của đƣờng hầm
tự nguyện nằm ở máy tính ngƣời dùng. Đƣờng hầm tự nguyện thƣờng đƣợc sử
dụng để cung cấp tính riêng tƣ và toàn vẹn dữ liệu cho lƣu lƣợng Intranet gửi
thông qua Internet.
Đƣờng hầm bắt buộc đƣợc tạo tự động không cần bất kỳ hành động nào từ
phía nguời dùng và không cho phép ngƣời dùng chọn lựa. Do đƣờng hầm bắt buộc
đƣợc tạo ra không thông qua ngƣời dùng nên nó trong suốt đối với ngƣời dùng đầu
cuối. Đƣờng hầm bắt buộc định trƣớc điểm kết thúc, nằm ở LAC của ISP và nên
kiểu đƣờng hầm này điều khiển truy cập tốt hơn so với đƣờng hầm tự nguyện. Nếu
nhƣ vì tính bảo mật mà không cho ngƣời dùng truy cập vào Internet công cộng
nhƣng vẫn cho phép dùng Internet để truy nhập VPN.
Một ƣu điểm của đƣờng hầm bắt buộc là một đƣờng hầm có thể tải nhiều kết
nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm việc. Một

17
khuyết điểm của đƣờng hầm bắt buộc là kết nối từ LAC đến ngƣời dùng nằm ngoài

đƣờng hầm nên dễ bị tấn công.
Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đƣờng hầm cho
ngƣời dùng, nhƣng điều này gây lãng phí tài nguyên mạng. Có cách khác cho
phép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đƣờng hầm động.
Những đƣờng hầm động này đƣợc thiết lập trong L2TP bằng cách kết nối với
máy chủ RADIUS.
Để RADIUS có thể điều khiển việc thiết lập một đƣờng hầm thì nó cần phải
lƣu các thuộc tính của đƣờng hầm. Các thuộc tính này bao gồm: giao thức đƣờng
hầm đƣợc sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trƣờng truyền
dẫn trong đƣờng hầm đƣợc sử dụng. Sử dụng máy chủ RADIUS để thiết lập đƣờng
hầm bắt buộc có một số ƣu điểm nhƣ:
 Các đƣờng hầm có thể đƣợc định nghĩa và kiểm tra dựa trên xác thực ngƣời dùng.
 Tính cƣớc thể dựa trên số điện thoại hoặc các phƣơng thức xác thực khác.
- Xác thực và mã hóa trong L2TP
Quá trình xác thực ngƣời dùng trong L2TP điễn ra trong 3 giai đoạn: giai đoạn 1
diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) điễn ra ở máy chủ của mạng riêng.
Trong giai đoạn đầu, ISP sử dụng số điện thoại của ngƣời dùng hoặc tên ngƣời
dùng để xác định dịch vụ L2TP đƣợc yêu cầu và khởi tạo kết nối đƣờng hầm đến
máy chủ mạng riêng. Khi đƣờng hầm đƣợc thiết lập, LAC của ISP chỉ định một số
nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đƣờng hầm và
khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủ của mạng riêng.
Máy chủ của mạng riêng sẽ tiến hành tiếp bƣớc thứ 2.
Giai đoạn 2, máy chủ của mạng riêng quyết định chấp nhận hay từ chối cuộc
gói. Cuộc goi từ ISP chuyển đến có thể mạng thông tin CHAP, PAP hay bất kỳ
thông tin xác thực nào, máy chủ sẽ dựa vào các thông tin này để quyết định chấp
nhận hay từ chối.
Sau khi cuộc gọi đƣợc chấp nhận thì máy chủ có thể khởi động giai đoạn thứ 3
của quá trình xác thực (tại lớp PPP), đây là giai đoạn tuỳ chọn. bƣớc này xem nhƣ

18

máy chủ xác thực một ngƣời dùng quay số truy cập vào thẳng máy chủ. Kết quả của
3 giai đoạn này cho phép ngƣời dùng, ISP và máy chủ của mạng riêng xác định
đƣợc tính chính xác của cuộc gọi nhƣng vẫn chƣa bảo mật cho dữ liệu.
Để việc xác thực trong L2TP hiệu quả thì cần phải phân phối khoá. Mặc dù
phân phối bằng tay có thể khả thi trong một số trƣờng hợp nhƣng về cơ bản thì cần
phải có một giao thức quản lý khoá.
d) Giao thức IPSec (IP Security)
Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn
có. Trong giai đoạn đầu của Internet khi mà ngƣời dùng thuộc các trƣờng đại học và
các viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng nhƣ
bây giờ khi mà Internet trở nên phổ biến, các ứng dụng thƣơng mại có mặt khắp nơi
trên Internet và đối tƣợng sử dụng Internet rộng hơn bao gồm cả các Hacker.
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đƣa ra họ giao thức
IPSec. Họ giao thức IPSec đầu tiên đƣợc dùng cho xác thực, mã hoá các gói dữ liệu
IP, đƣợc chuẩn hoá thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức
này mô tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề đƣợc sử dụng trong
gói IP, gói IP là đơn vị dữ liệu cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề
cho các gói IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề
IP – AH (IP Authentication Header) điều khiển việc xác thực và hai là đóng gói tải
tin an toàn ESP (Encapsulation Security Payload) cho mục đích mã hoá.
IPSec không phải là một giao thức. Nó là một khung của các tập giao thức
chuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và
phƣơng pháp nhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự
tin cậy dữ liệu. IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phƣơng án
tối ƣu cho mạng của công ty. Nó đảm bảo truyền thông tin cậy trên mạng IP công
cộng đối với các ứng dụng.
IPsec tạo những đƣờng hầm bảo mật xuyên qua mạng Internet để truyền
những luồng dữ liệu. Mỗi đƣờng hầm bảo mật là một cặp những kết hợp an ninh để
bảo vệ luồng dữ liệu giữa hai Host.


19
IPSec đƣợc phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhƣng do
việc triển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã
đƣợc thay đổi cho phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4
nhƣng đối với IPv6 thì có sẵn IPSec.
- Khung giao thức IPSec.
IPSec là khung của các chuẩn mở, đƣợc phát triển bởi IETF. IPSec là tập hợp
những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo mật, toàn vẹn dữ liệu
và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang hàng có thể là những
cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến, những tƣờng lửa,
những bộ tập trung VPN …) hay có thể giữa một host và một cổng nối bảo mật, nhƣ
trong VPN truy cập từ xa.
Hai giao thức chính của IPSec là AH (Authentication Header) và ESP
(Encapsulation Security Payload ).
- AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP
truyền giữa hai hệ thống. Nó là một phƣơng tiện để kiểm tra xem dữ liệu có bị thay
đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu nên
các dữ liệu đều đƣợc truyền dƣới dạng bản rõ.
- ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn
gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu. ESP đảm bảo tính bí mật của thông tin
thông qua việc mật mã ở lớp IP. Tất cả các lƣu lƣợng ESP đều đƣợc mật mã giữa
hai hệ thống.
- Hoạt động của IPSec
Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn
với các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bƣớc
chính nhƣ sau:


A gửi lƣu lƣợng cần bảo vệ tới B


20
 Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE
SA ← IKE Phase → IKE SA
 Router A và B thoả thuận một phiên trao đổi IKE Phase 2
IPSec SA ← IKE Phase → IPSec SA
 Thông tin đƣợc truyền dẫn qua đƣờng hầm IPSec
 Kết thúc đƣờng hầm IPSec
Hình : 5 bƣớc hoạt động của IPSec.
Bƣớc 1- Kích hoạt lƣu lƣợng cần bảo vệ.

Việc xác định lƣu lƣợng nào cần đƣợc bảo vệ là một phần việc trong chính
sách an ninh (Security Policy) của một mạng VPN. Chính sách đƣợc sử dụng để
quyết định lƣu lƣợng nào cần đƣợc bảo vệ và không cần bảo vệ (lƣu lƣợng ở dạng
bản rõ (clear text) không cần bảo vệ). Chính sách sau đó sẽ đƣợc thực hiện ở giao
diện của mỗi đối tác IPSec.
Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho
qua IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu đƣợc bảo vệ bởi IPSec,
ngƣời quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật đƣợc sử dụng cho gói dữ
liệu. Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và
các thuật toán đƣợc sử dụng cho luồng lƣu lƣợng.
Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access Control Lists) của
các router đƣợc sử dụng để biết lƣu lƣợng nào cần mật mã. ALCs định nghĩa bởi
các dòng lệnh.
Chẳng hạn: - Lệnh Permit: Xác định lƣu lƣợng phải đƣợc mật mã.
- Lệnh deny: Xác định lƣu lƣọng phải đƣợc gửi đi dƣới dạng không mật mã.

21
Khi phát hiện ra lƣu lƣợng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bƣớc
tiếp theo: Thoả thuận một trao đổi IKE Phase 1.
Bƣớc 2 – IKE Phase 1

Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE
policy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE
Phase 1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive mode).

Hình 1.7 : IKE Phase 1
Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:
- Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ
các trao đổi thông tin IKE) sẽ đƣợc thoả thuận giữa các đối tác.
- Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung
(shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng
của mỗi đối tác. Khoá bí mật chung đƣợc sử dụng để tạo ra tất cả các khoá mật mã
và xác thực khác.
- Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác). Kết quả
chính của chế độ chính là một đƣờng truyền thông an toàn cho các trao đổi tiếp theo
của hai đối tác.
Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn). Hầu hết
mọi thứ đều đƣợc thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE;
tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để
xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận gửi trở lại mọi
thứ cần thiết để hoàn thành (complete)việc trao đổi. cuối cùng bên khởi tạo khẳng
định (confirm) việc trao đổi.

22
Bƣớc 3 – IKE Phase 2
Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec đƣợc
sử dụng để bảo mật đƣờng hầm IPSec.

Hình 1.8 : Thoả thuận các thông số bảo mật IPSec
IKE Phase 2 thức hiện các chức năng sau:
 Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các

tập chuyển đổi IPSec (IPSec transform sets).
 Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).
 Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đƣờng hầm.
 Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới
đƣợc tạo ra, làm tăng tính an toàn của đƣờng hầm).
IKE Phase 2 chỉ có một chế độ đƣợc gọi là: Quick Mode
Chế độ này diễn ra khi IKE đã thiết lập đƣợc đƣờng hầm an toàn ở IKE Phase
1. IKE Phase 2 thoả thuận một tập chuyển đổi IPSec chung , tạo các khoá bí mật
chung sủ dụng cho các thuật toán an ninh IPSec và thiết lập các SA IPSec. Quick
mode trao đổi các nonce mà đƣợc sử dụng để tạo ra khoá mật mã chung mới và
ngăn cản các tấn công “Replay” từ việc tạo ra các SA khong có thật.
Quick mode cũng đƣợc sử dụng để thoả thuận lại một SA IPSec mới khi SA IPSec
cũ đã hết hạn.
Bƣớc 4 – Đƣờng hầm mật mã IPSec
Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an
ninh IPSec SA, lƣu lƣợng trao đổi giữa Host A và Host B thông qua một đƣờng
hầm an toàn. Lƣu lƣợng đƣợc mật mã và giải mã theo các thuật toán xác định trong
IPSec SA.

23

Hình 1.9: Đường hầm IPSec được thiết lập
Bƣớc 5 – Kết thúc đƣờng hầm


Hình 1.10: Kết thúc đường hầm
Các kết hợp an ninh IPSec SA kết thúc khi bị xoá hoặc hết hạn. Một SA hết
hạn khi lƣợng thời gian chỉ ra đã hết hoặc một số lƣợng byte nhất định đã truyền
qua đƣờng hầm. Khi các SA kết thúc, các khoá cũng bị huỷ. Lúc đó các IPSec SA
mới cần đƣợc thiết lập, một IKE Phase 2 mới sẽ đƣợc thực hiện, và nếu cần thiết thì

sẽ thoả thuận một IKE Phase 1 mới. Một hoả thuận thành công sẽ tạo ra cacSA và
khoá mới. Các SA mới đƣợc thiết lập trƣớc các SA cũ hết hạn để đảm bảo tính liên
tục của luồng thông tin.
- Các vấn đề còn tồn đọng trong IPSec
Mặc dù IPSec đã sẵn sàng đƣa ra các đặc tính cần thiết cho việc bảo mật một
VPN thông qua mạng Internet nhƣng nó vẫn còn trong giai đoạn phát triển để
hƣớng tới hoàn thiện. Tất cả các gói đƣợc sử lý theo IPSec sẽ làm tăng kích thƣớc
gói tin do phải thêm vào các tiêu đề IPSec làm cho thông lƣợng của mạng giảm
xuống. Điều này có thể đƣợc giải quyết bằng cách nén dữ liệu trƣớc khi mã hóa,
nhƣng điều này chƣa đƣợc chuẩn hóa.
 IKE vẫn là công nghệ chƣa đƣợc chứng minh. Phƣơng thức chuyển khoá bằng
tay lại không thích hợp cho mạng có số lƣợng lớn các đối tƣợng di động.
 IPSec đƣợc thiết kế chỉ để điều khiển lƣu lƣợng IP mà thôi.
 Việc tính toán cho nhiều giải huật trong IPSec vẫn cồn là một vấn đề đối với
các trạm làm việc và máy PC cũ.

24
 Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối
với chính phủ một số nƣớc.
 Sử dụng IPSec ở chế độ dƣờng hầm cho phép các nút có thể có những địa
chỉ IP không hợp lệ nhƣng vẫn có thể liên lạc đƣợc với các nút khác. Nhƣng
khi chuyển xuống bảo mật mức Host thì các địa chỉ đó phải đƣợc quản lý
cẩn thận sao cho nhận dạng đƣợc nhau.
1.1.4. Các thành phần cơ bản của mạng riêng ảo
Một VPN bao gồm hai thành phần chính đó là: tuyến kết nối đến Internet
đƣợc cung cấp bởi ISP và phần mềm cũng nhƣ phần cứng để bảo mật dữ liệu bằng
cách mã hoá trƣớc khi truyền ra mạng Internet. Các chức năng của VPN đƣợc thực
hiện bởi các bộ định tuyến, tƣờng lửa và các phần cứng, phần mềm.
Cấu trúc phần cứng chính của VPN bao gồm: Máy chủ VPN (VPN servers),
máy khách VPN (VPN clients) và một số thiết bị phần cứng khác nhƣ: Bộ định

tuyến VPN (VPN routers), cổng kết nối VPN (VPN Gateways) và bộ tập trung
(Concentrator).
a) Máy chủ mạng riêng ảo
Nhìn chung, Máy chủ VPN là thiết bị mạng dành riêng để chạy phần mềm
máy chủ (Software servers). Dựa vào những yêu cầu của công ty, mà một mạng VPN
có thể có một hay nhiều máy chủ. Bởi vì mỗi máy chủ VPN phải cung cấp dịch vụ
cho các máy khách (VPN client) ở xa cũng nhƣ các máy khách cục bộ, đồng thời các
máy chủ luôn luôn sãn sàng thực hiện những yêu cầu truy nhập từ các máy khách.
Những chức năng chính của máy chủ VPN bao gồm:
 Tiếp nhận những yêu cầu kết nối vào mạng VPN
 Dàn xếp các yêu cầu và các thông số kết nối vào mạng nhƣ là: cơ chế của
các quá trình bảo mật hay các quá trình xác lập
 Thực hiện các quá trình xác lập hay quá trình bảo mật cho các máy khách VPN
 Tiếp nhận các dữ liệu từ máy khách và chuyển dữ liệu yêu cầu về máy khách
 Máy chủ VPN hoạt động nhƣ là một điểm cuối trong đƣờng ngầm kết nối
trong VPN. Điểm cuối còn lại đƣợc xác lập bởi ngƣời dùng cuối cùng.

25
Một máy chủ VPN cũng có thể hoạt động nhƣ là một cổng kết nối (Gateway)
hay nhƣ một bộ định tuyến (Router) trong trƣòng hợp số yêu cầu hoặc số ngƣời
dùng trong mạng nhỏ (Nhỏ hơn 20). Trong trƣờng hợp máy chủ VPN phải hỗ trợ
nhiều ngƣời sử dụng hơn, mà vẫn hoạt động nhƣ một cổng kết nối hoặc một bộ định
tuyến thì máy chủ VPN sẽ bị chạy chậm hơn, và gặp khó khăn trong vấn đề bảo mật
thông tin cũng nhƣ bảo mật dữ liệu lƣu trữ trong máy chủ.
b) Máy khách mạng riêng ảo
Máy khách VPN là thiết bị ở xa hay cục bộ, khởi đầu cho một kết nối tới
máy chủ VPN và đăng nhập vào mạng từ xa, sau khi chúng đƣợc phép xác lập tới
điểm cuối ở xa trên mạng. Chỉ sau khi đăng nhập thành công thì máy khách VPN
và máy chủ VPN mới có thể truyền thông đƣợc với nhau. Nhìn chung, một máy
khách VPN có thể đƣợc dựa trên phần mềm. Tuy nhiên, nó cũng có thể là một thiết

bị phần cứng dành riêng.
Đặc trƣng của máy khách VPN gồm:
 Những ngƣời làm việc ở xa sử dụng mạng Internet hoặc mạng công cộng
để kết nối đến tài nguyên của công ty từ nhà.
 Những ngƣời dùng di động sử dụng máy tính xách tay để kết nối vào
mạng cục bộ của công ty thông qua mạng công cộng, để có thể truy cập
vào hòm thƣ điện tử hoặc các nguồn tài nguyên trong mạng mở rộng.
 Những ngƣời quản trị mạng từ xa, họ dùng mạng công cộng trung gian,
nhƣ là mạng Internet, để kết nối tới những site ở xa để quản lý, giám sát,
sửa chữa hoặc cài đặt dịch vụ hay các thiết bị.

Internet
Bộ tập trung
truy cập của ISP
Máy chủ
Bộ định tuyến
Máy chủ
Bộ định tuyến
Mạng riêng
đƣợc bảo vệ
Mạng riêng
đƣợc bảo vệ
Máy khách
di động
Máy khách
tại nhà

Hình 1.11 : Đặc trưng của máy khách VPN

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×