BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC DÂN LẬP DUY TÂN
KHOA SAU ĐẠI HỌC
TIỂU LUẬN MÔN HỌC
AN TOÀN THÔNG TIN
Chuyên đề:
MẠNG RIÊNG ẢO
Sinh viên thực hiện: Hoàng Xuân Đăng Cường
Lớp: Cao học Khoa học máy tính khóa 7 - K7MCS
Đà Nẵng, tháng 06 năm 2013
2
LỜI NÓI ĐẦU
Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là sử
dụng một kết nối quay số. Các kết nối RAS dial-up làm việc trên các đường
điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt
vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS,
Tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách
dài cần có cho việc truy cập.
Ngày nay với sự phát triển bùng nổ của mạng và ngày càng được mở rộng
Internet, việc kiểm soát trở nên khó khăn và kèm theo đó là sự mất an toàn
trong việc trao đổi thông tin trên mạng, các thông tin dữ liệu trao đổi trên mạng
có thể bị rò rỉ hoặc bị đánh cắp khiến cho các tổ chức như: Các doanh nghiệp,
Ngân hàng, Công ty … và các doanh nhân lo ngại về vấn đề an toàn và bảo
mật thông tin dữ liệu trong các mạng cục bộ của mình (LAN) khi trao đổi thông
tin qua mạng công cộng Internet.
VPN (Virtual Private Network) là giải pháp được đưa ra để cung cấp một
giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao
đổi thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an
toàn và bảo mật. Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu
được chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn
cầu).

1
DANH MỤC TỪ VIẾT TẮT
AH Authentication Header
ATM Asynchronous Transfer Mode
CEF Cisco Express Forwarding
EGP Exterior Gateway Protocol
ESP Encapsulating Security Payload
FIB Forwarding Information Base
HDLC High-Level Data Link Control
IGP Interior Gateway Protocol
IKE Internet Key Exchange
IP Internet Protocol
IPSEC Internet Protocol Security
OSI Open System Interconnection
SA Security Association
VPN Virtual Private Network
WAN Wide Area Network
RD Route Distinguisher
RT Route Target
PHP Penultimate Hop Popping
2
DANH SÁCH HÌNH VẼ
HÌNH 1.1 Mô hình mạng VPN 6
HÌNH 1.2 Các loại mạng VPN 9
HÌNH 1.3 Mô hình mạng VPN thiết lập kết nối từ xa 10
HÌNH 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến 11
HÌNH 1.5 Mô hình Intranet VPN 11
HÌNH 1.6 Mạng mở rộng truyền thống 12
HÌNH 1.7 Mô hình Extranet VPNs 13
HÌNH 1.8 Khung dữ liệu AH 16

HÌNH 1.9 Khung dữ liệu ESP 18
HÌNH 1.10 Cơ chế truyền tải (Transport Mode) 19
HÌNH 1.11 Phương thức đóng gói transport mode 19
HÌNH 1.12 Phương thức đóng gói tunnel mode 20
HÌNH 1.13 Kết hợp an ninh SA 21
HÌNH 1.14 Năm bước hoạt động của IPSEC 22
HÌNH 1.16 Các kết hợp an ninh 26
HÌNH 1.17 Đường ngầm IPSEC được thiết lập 27
HÌNH 1.19 Mô hình Peer-to-peer VPN sử dụng router dành riêng 30
3
MỤC LỤC
4
1. Mạng riêng ảo
1.1. Giới thiệu chung – Quá trình phát triển của VPN
Ngày nay kết nối các mạng máy tính trong một tổ chức, doanh nghiệp với
nhau là một xu thế tất yếu để nâng cao quá trình trao đổi thông tin và điều
hành sản xuất. Các phương án truyền thông nhanh, an toàn và tin cậy đang
trở thành mối quan tâm của nhiều công ty, tổ chức đặc biệt là các công ty, tổ
chức có các địa điểm phân tán về mặt vật lý, công ty đa quốc gia. Giải pháp
thông thường được áp dụng bởi đa số các công ty này là thuê các đường
truyền riêng (Leased Lines, Frame Relay, ATM) để duy trì một mạng WAN
(Wide Area Network). Mỗi mạng WAN đều có các điểm thuận lợi hơn so với
mạng công cộng khi xét đến độ tin cậy, hiệu năng và tính an toàn, bảo mật.
Tuy nhiên để bảo trì một mạng WAN, đặc biệt khi sử dụng các đường truyền
riêng, có thể trở nên quá đắt và chi phí sẽ trở nên tăng vọt khi công ty muốn
mở rộng thêm các văn phòng đại diện.
Mạng riêng ảo VPN (Virtual Private Network) chính là một giải pháp cho
vấn đề này. VPN có thể đáp ứng các nhu cầu của các tổ chức, doanh nghiệp
bằng các kết nối dạng any-to-any, các lớp đa dịch vụ, các dịch vụ có giá thành
quản lý thấp, riêng tư, tích hợp xuyên suốt cùng với các mạng Intranet hoặc

mạng Extranet. Một nhóm người dùng (Users) trong mạng Intranet và Extranet
có thể hoạt động thông qua mạng IP. Các mạng VPN có chi phí vận hành
thấp hơn hẳn so với việc thuê đường truyền riêng (Leased Lines) trên phương
diện quản lý, băng thông và dung lượng. VPN có thể liên kết các user thuộc
một nhóm kín hay giữa các nhóm khác nhau. Các thuê bao VPN có thể di
chuyển trong một kết nối mềm dẻo trải dài từ mạng cục bộ đến mạng hoàn
chỉnh. Các thuê bao này có thể dùng trong cùng một mạng (Intranet VPN)
hoặc khác mạng (Extranet VPN). Mạng riêng ảo (VPN) là một trong những
ứng dụng rất quan trọng trong mạng NGN. Các công ty, các doanh nghiệp đặc
biệt là các công ty đa quốc gia có nhu cầu rất lớn về loại hình dịch vụ này. Với
VPN họ hoàn toàn có thể sử dụng các dịch vụ viễn thông, truyền số liệu cục
bộ với chi phí thấp, với an ninh đảm bảo, với cơ chế bảo mật và cung cấp chất
lượng dịch vụ (QoS) theo yêu cầu.
VPN thực ra không phải là công nghệ mới. Ngược lại, khái niệm mạng VPN
đã được thảo luận từ cách đây khoảng mười lăm năm và đã phát triển qua một
vài thế hệ mạng cho đến ngày nay. Tuy nhiên trong thời gian gần đây, thương
mại điện tử (E-Commerce) đã trở thành một phương thức thương mại hữu
hiệu, những yêu cầu của người sử dụng mạng VPN cũng rõ ràng hơn. Người
dùng hay các công ty mong muốn một giải pháp mà có thể dễ dàng được thực
hiện, thay đổi, quản trị, có khả năng truy nhập trên toàn cầu và có khả năng
cung cấp bảo mật ở mức cao, từ đầu cuối đến đầu cuối. Thế hệ gần đây (thế
hệ thứ tư) của VPN là IP-VPN. IP-VPN đã đáp ứng được tất cả những yêu cầu
này bằng cách ứng dụng công nghệ đường ngầm (Tunneling Technology).
1.2. Khái niệm VPN
Chúng ta xét một công ty có nhiều trụ sở phân tán, để kết nối các máy tính
tại các vị trí xa nhau này, công ty cần có một mạng thông tin. Mạng này được
gọi là mạng riêng với ý nghĩa là nó chỉ được công ty đó sử dụng, và với ý
nghĩa các kế hoạch định tuyến và đánh địa chỉ trong mạng đó là độc lập với
việc định tuyến và đánh địa chỉ của các mạng khác. Mạng này được gọi là
mạng ảo với ý nghĩa là các phương tiện được sử dụng để xây dựng mạng này

có thể không chỉ dành riêng cho công ty đó mà chia sẻ dùng chung với các
công ty khác (môi trường mạng chia sẻ). Hoặc các phương tiện cần thiết dể
xây dựng mạng này được cung cấp bởi các nhà cung cấp dịch vụ viễn thông.
Các công ty sử dụng mạng VPN gọi là các khách hàng VPN.
Có thể hiểu mạng VPN là tập hợp gồm nhiều Site, các site được quy định
với nhau bởi các chính sách quản lý, quy định cả về kết nối cũng như chất
lượng dịch vụ giữa các site.
Theo định nghĩa của IETF (Internet Engineering Task Force) mạng VPN là
một kiểu mạng diện rộng riêng (Privite WAN) sử dụng mạng đường trục IP
riêng hoặc mạng Internet công cộng (Hình 1.1).
HÌNH 1.1 Mô hình mạng VPN
6
Đơn giản hơn, có thể hiểu mạng VPN là mạng sử dụng mạng công cộng
(như Internet) mà vẫn đảm bảo độ an toàn và chi phí hợp lý trong quá trình kết
nối giữa hai điểm truyền thông. Mạng VPN được xây dựng dựa trên sự trợ
giúp của đường ngầm logic (Tunnel) riêng. Những đường ngầm này cho phép
hai điểm đầu cuối trong mạng trao đổi dữ liệu với nhau thông qua mạng theo
kiểu tương tự như kết nối điểm - điểm.
Mặc dù công nghệ đường ngầm được áp dụng trong phần lõi của mạng
VPN, nhưng những kỹ thuật và phương pháp bảo mật chi tiết vẫn được áp
dụng nhằm đảm bảo an toàn cho những thông tin quan trọng của các công ty
khi truyền qua các mạng trung gian. Các kỹ thuật bảo mật bao gồm:
• Encryption – Mã hóa dữ liệu:
Đây là quá trình mã hoá dữ liệu khi truyền đi khỏi máy tính theo một quy
tắc nhất định và máy tính đầu xa có thể giải mã được. Hầu hết các hệ thống
mã hoá máy tính thuộc về 1 trong 2 loại sau:
o Mã hoá sử dụng khoá riêng (Symmetric-key encryption)
o Mã hoá sử dụng khoá công khai (Public-key encryption)
• Authentication – Xác thực
Authentication là tiến trình đảm bảoo những dữ liệu được phân phát đến

đúng địa chỉ của người nhận. Thêm nữa tính xác thực cũng đảm bảo người
nhận, nhận được đầy đủ bản tin và nguồn gốc của bản tin. Dạng đơn giản nhất
của quá trình xác thực là yêu cầu tên người sử dụng và mật khẩu để được
phép truy nhập vào dữ liệu. Với dạng phức tạp, quá trình xác thực có thể dựa
trên quá trình mã hoá sử dụng khoá bí mật hoặc quá trình mã hoá sử dụng
khoá công khai. Xác thực trong VPN bao gồm: xác thực thiết bị tham gia, xác
thực toàn vẹn gói tin, và xác thực người sử dụng (trong trường hợp remote
access vpn).
• Authorization
Authorization là một tiến trình cho phép hoặc từ chối người sử dụng, sau
khi đã truy nhập vào mạng thành công, được quyền truy nhập vào tài nguyên
lưu trữ trên mạng hay không.
1.3. Các giao thức đường hầm VPN
Hầu hết các VPN đều dựa trên tunneling để hình thành mạng riêng ảo trên
nền Internet. Về cơ bản, tunneling là quá trình xử lý và đặt toàn bộ các gói tin
(packet) trong một gói tin khác và gửi đi trên mạng. Giao thức sinh ra các gói
tin được đặt tại cả hai điểm thu phát gọi là giao tiếp kênh - tunnel interface, ở
giao tiếp đó các gói tin truyền đi và đến.
7
Kênh thông tin yêu cầu ba giao thức khác nhau:
• Giao thức sóng mang - Carrier protocol: (còn gọi là giao thức truyền
tải) giao thức này sử dụng trên mạng để đưa thông tin về trạng thái
đường truyền.
• Giao thức đóng gói - Encapsulating protocol: bao gồm các giao thức
GRE, IPSEC, L2F, PPTP, L2TP cho phép che giấu nội dung truyền
• Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui,
IP
Nếu xét trên phương diện các giao thức đóng gói thì có ba giao thức đường
ngầm chính thường được sử dụng trong VPN để đảm bảo độ tin cậy cho VPN
trong quá trình truyền dẫn gồm:

• Giao thức IPSEC
IPSEC được phát triển bởi IETF (Internet Engineering Task Force),
IPSEC là một tiêu chuẩn mở mà vẫn đảm bảo được tính bảo mật và quyền lợi
của người sử dụng trong quá trình truyền thông qua mạng công cộng. Không
giống như các kỹ thật mã hoá khác, IPSEC hoạt động ở lớp mạng (Network
layer) trong mô hình bảy lớp OSI. Do vậy, nó có thể được hoạt động độc lập
với các ứng dụng khác cùng hoạt động trên mạng. Như vậy, mạng vẫn có thể
được bảo mật mà không cần phải thiết lập hay xác định an ninh cho từng ứng
dụng riêng.
• Giao thức PPTP
Giao thức PPTP được phát triển bởi Microsoft, 3 COM và Ascend
communication. Giao thức PPTP được đề xuất như là một giao thức mới có
thể thay thế giao thức IPSEC. Tuy nhiên, IPSEC vẫn tiếp tục là giao thức
đường ngầm được sử dụng nhiều hơn. PPTP hoạt động ở lớp hai, lớp liên kết
dữ liệu (Data Link Layer) trong mô hình phân lớp OSI và sử dụng bảo mật cho
quá trình truyền dẫn của traffic dựa trên nền Windows.
• Giao thức L2TP
Giao thức L2TP được phát triển bởi Cisco, giao thức L2TP cũng có ý
định dùng để thay thế IPSEC. Tuy nhiên, IPSEC vẫn là giao thức có ưu thế trội
hơn trong số các giao thức bảo mật cho truyền thông qua Internet. Giao thức
L2TP là kết quả của quá trình trộn giữa lớp hai chuyển tiếp và giao thức PPTP,
nó sử dụng giao thức điểm tới điểm cho quá trình đóng gói các khung dữ liệu
để truyền qua mạng X.25, FR hoặc ATM.
8
Ngoài các giao thức đường ngầm trên còn một số giao thức nữa như: GRE
(Generic Route Encapsulation, Cisco và IETF), MPLS VPN, SSL VPN (Secure
Socket Layer VPN).
1.4. Phân loại VPN
Hiện nay VPNs đang phát triển theo 2 hướng chính, đó là:
• Remote Access VPNs

• Site – to – Site VPNs
o Mạng VPN cục bộ (Intranet VPN)
o Mạng VPN mở rộng (Extranet VPN)
HÌNH 1.2 Các loại mạng VPN
1.4.1. Remote Access VPNs
Remote Access VPNs cho phép người dùng ở xa sử dụng các phần mềm
VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN
concentrator. Vì lý do này, giải pháp thường được gọi là client/server. Trong
giải pháp này, nguời dùng thường sử dụng các công nghệ WAN truyền thống
để tạo các tunnel về mạng HO (Head Office) của họ.
Một phần quan trọng của Remote Access VPNs là việc thiết kế quá trình
xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ nguồn tin
cậy – quá trình xác thực người dùng. Thường thì giai đoạn ban đầu này dựa
trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm :
quy trình (procedure), kỹ thuật, server (RADIUS server, TACACS+…)
Với việc triển khai Remote Access VPNs, những người dùng từ xa hoặc
các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp
dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet.
9
HÌNH 1.3 Mô hình mạng VPN thiết lập kết nối từ xa
Từ hình trên ta có thể nhận thấy các ưu điểm của Remote Acess VPN
so với các phương pháp truy nhập từ xa truyền thống:
- Quá trình kết nối từ xa được thực hiện bởi nhà cung cấp dịch vụ
internet (ISP) thay thế cho các kết nối cục bộ do đó giảm thiểu chi phí
cho các kết nối từ người dùng tới HO.
- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi
vì kết nối là kết nối nội bộ.
- Remote Access VPNs đồng thời cung cấp khả năng áp dụng các
chính sách an toàn lên các nhóm người dùng hoặc các người dùng
khác nhau.

Mặc dù có nhiều ưu điểm nhưng Remote Access VPNs cũng những
nhược điểm như:
- Mạng VPN truy nhập từ xa không đảm bảo được chất lượng dịch vụ.
- Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân
phát không đến nơi hoặc mất gói.
- Bởi vì thuật toán mã hoá phức tạp, nên header của các gói tin tăng
một cách đáng kể.
1.4.2. Site to Site VPN (Intranet VPN, Extranet VPN)
1.4.2.1. Intranet VPN
10
HÌNH 1.4 Mô hình Intranet VPNs sử dụng bộ định tuyến
Intranet VPNs được sử dụng để liên kết các chi nhánh văn phòng ở xa của
một công ty tới các mạng cục bộ của công ty đó. Đối với mạng cục bộ không
sử dụng công nghệ VPN, mỗi site ở xa kết nối tới mạng cục bộ của công ty
bằng cách sử dụng bộ định tuyến (Router). Khi đó chi phí cho mạng là khá đắt
vì ít nhât phải có 2 router để kết nối 2 site ở xa với mạng cục bộ của công ty.
Hơn nữa, quá trình thực hiện bảo dưỡng và quản trị các kết nối có thể tốn
thêm nhiều chi phí phụ thuộc vào dung lượng, traffic của mạng và phạm vi địa
lí của toàn mạng.
Với giải pháp VPN, những chi phí cho router và các kết nối WAN được thay
thế bởi kết nối chi phí thấp thông qua mạng Internet. Giải pháp VPN có thể
giảm tổng giá thành của toàn thể mạng cục bộ.
HÌNH 1.5 Mô hình Intranet VPN
11
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
- Tiết kiệm chi phí hơn do không cần phải sử dụng bộ router.
- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi ở
xa.
- Bởi vì những kết nối trung gian đựơc thực hiện thông qua mạng
Internet, nên mạng có khả năng mở rộng dễ dàng hơn.

- Khả năng triển khai dễ dàng hơn so với các phương pháp kết nối
truyền thống.
Tuy nhiên mạng cục bộ dựa trên giải pháp VPN cũng có những nhược
điểm như:
- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng
Internet – cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ
liệu và mức độ chất lượng dịch vụ (QoS).
- Khả năng mất gói khi các gói tin đi trên Internet.
- Trong trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương
tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực thì
môi trường mạng Internet không dễ mà đáp ứng.
1.4.2.2. Extranet VPN
Extranet VPNs cho phép khả năng điều khiển truy nhập tới những nguồn tài
nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh, như là các
đối tác, các khách hàng, và các nhà cung cấp, những người mà thi hành các
quy định chính của công ty.
HÌNH 1.6 Mạng mở rộng truyền thống
Hình 1.6 chỉ ra phương pháp kết nối truyền thống trong mạng Extranet.
Mạng Extranet truyền thống có giá thành qúa cao bởi vì tất cả mạng riêng biệt
12
nằm trong mạng cục bộ của công ty, bắt buộc phải hoàn toàn tương thích với
mạng Extranet. Như vậy quá trình thực hiện và quá trình quản trị các mạng
khác nhau trong mạng Extranet là rất phức tạp. Cũng như cần thiết phải có
một số lượng lớn nhân viên kỹ thuật để bảo trì và quản lý cho mạng phức tạp
này. Hơn nữa, đối với mạng này thưòng gặp khó khăn trong việc mở rộng bởi
vì việc mở rộng mạng liên quan đến toàn thể mạng cục bộ và ảnh hưởng tới
các kết nối trong mạng Extranet khác.
HÌNH 1.7 Mô hình Extranet VPNs
Mạng Extranet VPNs được xem là dễ dàng thiết lập và có chi phí hiệu quả
hơn so với mạng truyền thống như trình bày ở trên.

Những ưu điểm chính của Extranet VPNs so với mạng Extranet truyền
thống bao gồm:
- Chi phí cho Extranet VPNs thấp hơn rất nhiều so với mạng truyền
thống.
- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt
động
- Các kết nối Internet được bảo trì bởi nhà cung cấp dịch vụ Internet
(ISP), nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy
giảm được chi phí vận hành của toàn mạng.
Tuy nhiên Extranet VPNs cũng có những nhược điểm sau:
- Khả năng bảo mật thông tin, mất dữ liệu vẫn tồn tại.
- Bài toán trong trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa
phương tiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian
thực.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
13
2. Bảo mật trong VPN
2.1. Vấn đề bảo mật trong VPN
Như đã giới thiệu ở mục trên, có ba giao thức đường ngầm thường được
sử dụng trong VPN là:
- Giao thức IPSEC (Internet Protocol Security)
- Giao thức PPTP (Point to Point Tunneling Protocol)
- Giao thức L2TP (Layer 2 Forwarding)
Trong các giao thức đường ngầm nói trên, IPSEC là giải pháp tối ưu về mặt
an toàn dữ liệu. IPSEC hỗ trợ các phương pháp xác thực và mã hoá mạnh
nhất, mà cả L2TP và PPTP đều không có khả năng thực hiện được. Ngoài ra
IPSEC còn có tính linh hoạt cao: Không bị ràng buộc bởi bất cứ thuật toán xác
thực, mã hoá nào, đồng thời có thể sử dụng IPSEC cùng với các giao thức
đường ngầm khác để làm tăng tính an toàn cho hệ thống.
Mặc dù, có nhiều ưu điểm vượt trội so với các giao thức đường ngầm khác

về khả năng đảm bảo an toàn dữ liệu, IPSEC cũng có một số nhược điểm
như:
- IPSEC là một khung chuẩn mới (Các khuyến nghị có từ cuối năm 1998)
và còn dang tiếp tục được phát triển, do đó số lượng những nhà cung cấp
sản phẩm hỗ trợ IPSEC chưa nhiều.
- Để tận dụng hết được khả năng bảo đảm an toàn dữ liệu của IPSEC thì
cần phải sử dụng một cơ sở hạ tầng khoá công cộng (Public Key) phức tạp
để giải quyết vấn đề chứng thực số hay chữ ký số.
Từ những nhận xét về giao thức đường ngầm ở trên, mục này ta sẽ đi sâu
nghiên cứu quá trình bảo mật trong VPN sử dụng giao thức IPSEC.
2.2. Giao thức IPSEC
2.2.1. IPSec và khả năng an toàn dữ liệu trong mô hình OSI
Mã hóa và xác thực là các công nghệ chính sử dụng để bảo mật cho dữ
liệu. Trong thực tế, quá trình mã hoá có thể được thực hiện ở nhiều lớp khác
nhau trong mô hình OSI. Cụ thể, việc mã hoá và xác thực có thể thực hiện ở
lớp ứng dụng, lớp truyền dẫn, hoặc lớp mạng. Các giải pháp trước IPSEC
thực hiện mã hoá ở lớp ứng dụng (Application Layer). Ví dụ SSL (Secure
Socket Layer) hay ở lớp đường truyền (Link Layer). Tuy nhiên, các giải pháp
này chỉ giải quyết một phần của vấn đề. Chẳng hạn, SSL chỉ bảo vệ tính bí mật
dữ liệu của các ứng dụng sử dụng nó. Vấn đề đặt ra là đối với các ứng dụng
không có SSL thì dữ liệu không được bảo vệ. Còn đối với giải pháp mã hoá ở
14
lớp đường truyền thì mỗi tuyến kết nối được bảo vệ bằng một cặp thiết bị mã
hoá với mỗi thiết bị ở một đầu của tuyến kết nối đó. Như vậy, trên đường
truyền thì dữ liệu được mã hoá và bảo vệ, nhưng tại điểm cuối của mỗi đường
truyền thì dữ liệu lại ở dạng clear text. Giải pháp này rõ ràng không triển khai
được trên Internet vì không thể đảm bảo an toàn cho dữ liệu tại tất cả các
tuyến kết nối trung gian.
IPSEC thực hiện mã hoá và xác thực ở lớp mạng. Nó cung cấp một giải
pháp an toàn dữ liệu từ đầu cuối - tới - đầu cuối (End - to - end) trong bản thân

kiến trúc mạng, vì vậy vấn đề an toàn được thực hiện mà không cần thay đổi
các ứng dụng cũng như các hệ thống. Các gói được mã hoá có khuôn dạng
hoàn toàn giống như các gói IP thông thường, nên chúng có thể dễ dàng được
định tuyến thông qua các mạng IP (Như Internet) mà không phải thay đổi các
thiết bị mạng trung gian, qua đó cho phép giảm đáng kể các chi phí cho việc
triển khai và quản trị.
2.2.2. Khung giao thức IPSEC
IPSEC là khung của các chuẩn mở, nó đảm bảo việc truyền thông an toàn
qua các mạng IP. Dựa trên các chuẩn phát triển bởi IETF, IPSEC đảm bảo
tính bí mật, toàn vẹn và xác thực của dữ liệu khi truyền qua một mạng IP công
cộng.
Hai giao thức chính của IPSEC là AH (Authentication Header) và ESP
(Encaspulating Security Payload):
- AH cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP
truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có
bị thay đổi trong khi truyền hay không. Tuy nhiên, các dữ liệu đều được
truyền dưới dạng clear text, vì AH không cung cấp khả năng mã hoá dữ
liệu.
- ESP là một giao thức an toàn cho phép mã hoá dữ liệu, xác thực nguồn
gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu. ESP bảo đảm tính bí mật của
thông tin thông qua việc mã hoá ở lớp gói IP. Tất cả các traffic ESP đều
được mã hoá giữa hai hệ thống. Với đặc điểm này xu hướng sẽ sử dụng
ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu.
AH và ESP có thể sử dụng độc lập hoặc kết hợp với nhau. Đối với cả hai
giao thức này, IPSEC không định nghĩa các thuật toán an toàn cụ thể được
sử dụng, mà thay vào đó là một khung chuẩn để sử dụng các thuật toán theo
tiêu chuẩn công nghiệp. Sau đây ta sẽ tìm hiểu kỹ hơn về họat động của AH
và ESP.
15
2.2.2.1. Authentication Header

AH được mô tả trong RFC 2402, AH cung chấp chức năng toàn toàn dữ
liệu sau: xác thực dữ liệu và kiểm tra tính toàn vẹn dữ liệu của các gói tin IP
trên đường truyền. Khung dữ liệu AH được mô tả như sau:
HÌNH 1.8 Khung dữ liệu AH
Trong hình trên, nếu kết nối VPN hoạt động ở chế độ truyền tải (transport
mode) thì dữ liệu người dùng là UDP hoặc TCP segment, tuy nhiên nếu VPN
hoạt động ở chế độ đường ngầm (tunnel mode) thì dữ liệu người dùng là gói
tin IP ban đầu.Ý nghĩa các trường trong AH Header:
−NextHeader: trường này chỉ ra giao thức của dữ liệu bị đóng gói.
−PayloadLength: trường này chứa giá trị độ dài của AH Header.
−Reserved: trường này dùng để dự phòng, hiện không sử dụng.
−SPI (Security Parameter Index): trường này chứa giá trị của SPI được
các đối tác IPSEC sử dụng để trao đổi thông tin thông qua kênh truyền dữ liệu.
−SequenceNumber: trường này chỉ ra thứ tự của từng gói trên đường
truyền.
−IntegrityChecksumValue(ICV): AH cung chấp chức năng xac thực gói tin
thông qua giá trị của trường này. AH sử dụng một hàm băm một chiều (one-
way hash function) đối với dữ liệu của gói tin để tạo ra một đoạn mã xác thực
(message diggest). Trường này lưu trữ giá trị của đoạn mã đó. Khi đó bất cứ
thay đổi nào đối với nội dung gói tin trong quá trình truyền đi đều được phía
thu phát hiện khi nó thực hiện cùng một hàm băm một chiều đối với gói dữ liệu
thu được, và so sánh với đoạn mã xác thực mà bên phát cung cấp. Hàm băm
được thực hiện trên toàn bộ gói dữ liệu, trừ một số trường trong IP header có
giá trị bị thay đổi khi truyền(ví dụ TTL bị các bộ định tuyến thay đổi trên đường
truyền dẫn).
AH hoạt động như sau:
16
Bước 1: Gói tin người dùng ban đầu được thêm các trường cần thiết để
tạo ra gói tin IP VPN. Trong đó trường ICV có độ dài có định được để
trống.

Bước 2: Xây dựng mã xác thực bằng cách cho gói tin IP đó (ngoại trừ các
trường có giá trị thay đổi như TTL, ToS, ICV) vào hàm băm.
Bước 3: Gói dữ liệu sau khi thêm mã xác thực vào trường ICV được
truyền tới đối tác IPSEC
Bước 4: Bên thu thực hiện quá trình ngược lại. Xây dựng mã xác thực
của gói tin nhận được thông qua hàm băm.
Bước 5: Bên thu tách mã băm trong trường ICV của AH Header.
Bước 6: Bên thu so sánh mã băm mà nó tính được và mã băm tách ra từ
AH Header. Hai mã băm này phải giống nhau hoàn toàn. Nếu dù chỉ
một bit bị thay đổi trong quá trình truyền gói thì hai mã băm sẽ không
giống nhau, bên thu lập tức phát hiện tính không toàn vẹn của dữ liệu.
AH cung cấp dịch vụ xác thực gói tin rất hữu hiệu, tuy nhiên AH không cũng
có những nhược điểm lớn như: AH không cung cấp chức năng mã hóa đồng
thời AH cũng không thể hoạt động được với NAT và PAT (vì các các địa chỉ IP
trong IP header bị thay đổi trong quá trình truyền)
2.2.2.2. Encaspulating Security Payload
ESP ngoài các chức năng của AH còn đảm bảo tính bí mật của dữ liệu qua
chức năng mã hoá. ESP hỗ trợ rất nhiều thuật toán mã hoá đối xứng, trong đó
có DES và 3DES.
ESP có thể được sử dụng độc lập hoặc sử dụng kết hợp với AH. Việc sử
dụng kết hợp ESP và AH cũng cung cấp khả năng đảm bảo toàn vẹn dữ liệu
và xác thực nguồn gốc dữ liệu.
Khung dữ liệu ESP có định dạng như sau:
17
HÌNH 1.9 Khung dữ liệu ESP
Cũng như với AH, gói dữ liệu người dùng tùy thuộc vào cơ chế kết nối
VPN: đường ngầm hay truyền tải. Các trường trong ESP có ý nghĩa như sau:
− Padding: trường này được thêm vào để tránh bị dự đoán nội dung gói
tin theo độ dài, đồng thời cho đủ độ dài block.
− PaddingLength: độ dài trường Padding.

− NextHeader: cũng như AH, NextHeader chỉ ra giao thức gói dữ liệu bì
đóng gói.
− SequenceNumber, SPI: có ý nghĩa như trong AH.
− ICV: ICV có ý nghĩa tương tự như trong AH, nhưng trong ESP, trường
này có ý nghĩa tùy chọn. Có nghĩa là nếu yêu cầu dịch vụ xác thực gói tin, ICV
mới được thêm vào cuối cùng của gói tin mã hóa. Giá trị của ICV trong ESP
được tạo ra bằng cách lấy ESP header, khối dữ liệu đã được mã hóa cùng với
giá trị khóa của hàm băm cho đi qua hàm băm.
Khi cả hai chức năng mã hoá và xác thực đều được yêu cầu thì chức năng
mã hoá được thực hiện trước. Một nguyên nhân của thứ tự xử lý ưu tiên này
là do bên nhận cần phát hiện nhanh tất cả các gói tin không hợp lệ trước khi
giải mã chúng. Cụ thể là bên nhận sẽ thực hiện thứ tự ngược lại, xác thực các
gói tin trước, nếu thấy có vấn đề trong gói thì có thể loại bỏ ngay, không cần
các xử lý tiếp theo.
2.2.3. Các chế độ hoạt động của VPN
VPN có thể thực hiện trên các gói tin IP theo hai cơ chế kết nối khác nhau:
Cơ chế truyền tải (Transport Mode)
18
HÌNH 1.10 Cơ chế truyền tải (Transport Mode)
Cơ chế truyền tải được sử dụng giữa thiết bị nguồn và đích cần trao đổi
thông tin. Hình 1.10 được sử dụng để minh họa cho cơ chế truyền tải. Chẳng
hạn, người quản trị mạng cần gửi các syslog message từ CO PIX về CO
syslog server, người quản trị này sử dụng VPN để bảo vệ việc truyền các file
syslog. Trong cơ chế truyền tải, thông tin của người sử dụng được đóng gói
trong VPN packet. PIX tạo ra UDP segment với syslog data, sau đó sẽ đóng
gói segment này trong VPN packet. Sau đó VPN packet được đóng gói dưới
dạng gói ip, với địa chỉ nguồn là địa chỉ ip của pix là địa chỉ đích là địa chỉ của
syslog server.
HÌNH 1.11 Phương thức đóng gói transport mode
Trong phương thức truyền này nếu gói tin bị bắt trên đường truyền không

thể giải mã đọc nôi dung gói tinh nếu gói tin VPN sử dụng mã hóa tuy nhiên
vẫn đọc được địa chỉ IP của các bên trao đổi thông tin.
19
Cơ chế đường ngầm (Tunnel Mode)
Một hạn chế của cơ chế truyền tải là nó không thể mở rộng được vì đây là
dạng VPN kết nối thiết bị cuối – thiết bị cuối. Nếu cần kết nối 2 subnet hay 2
segment mạng với nhau, mỗi segment gồm 10 thiết bị thì khi đó số lượng kết
nối VPN là 100 kết nối. Do đó khi có nhiều thiết bị ở các vùng riêng biệt cần kết
nối an toàn với nhau, thay vì sử dụng cơ chế truyền tải, người ta sử dụng cơ
chế đường ngầm. Trong cơ chế đường ngầm, thiết bị nguồn và đích không
làm nhiệm vụ bảo vệ luồng dữ liệu, thay vào đó là một thiết bị trung gian. Ví dụ
trong khi CO và RO cần kết nối an toàn, 2 router biên mỗi vùng sẽ chịu trách
nhiệm là các VPN gateway.
Quá trình đóng gói dữ liệu của cơ chế đường ngầm cũng khác hoàn toàn
so với cơ chế truyền tải. Giả sử PIX tại RO cần gửi syslog tới syslog server tại
CO. Hai router biên thực hiện chức năng VPN gateway. Khi đó, syslog data sẽ
được đóng gọi trong UDP rồi IP packet với địa chỉ IP của PIX và Server. Sau
đó gói IP này được đóng gói trong gói VPN packet, thêm VPN header và VPN
trailer. Tiếp đó gói VPN packet được gói lai trong gói ip thường với địa chỉ
nguồn và đích là địa chỉ của 2 VPN gateway. Khi CO router nhận được gói tin,
nó sẽ chịu trách nhiệm giải mã, bóc tách gói tin VPN và chỉ trả về cho syslog
server gói tin IP thông thường.
HÌNH 1.12 Phương thức đóng gói tunnel mode
Một số ưu điểm của cơ chế đường ngầm so với cơ chế truyền tải là:
− Cung cấp khả năng mở rộng dễ dàng. Thiết bị chịu trách nhiệm an toàn
thông tin tách biệt so với thiết bị đầu cuối.
− Linh hoạt, dễ dàng mở rộng. Dễ dàng mở rộng , thêm bớt thiết bị mà
không cần thay đổi cấu hình.
20
− Che giấu địa chỉ kết nối. Với phương thức kết nối này ngay cả khi bắt

được gói tin cũng không thể biết được các bên tham gia trao đổi thông tin.
− Có thể sử dụng địa chỉ private. Vì gói tin ip được đóng gói lại trong gói
tin ip thường với ip nguồn và đích của VPN gateway nên có thể sử dụng địa
chỉ ip public hoặc private đều được.
2.2.4. Khái niệm Security Association (SA) và giao thức IKE
• Kết hợp an ninh SA (Security Assocciation)
IPSEC cung cấp nhiều lựa chọn để thực hiện mã hoá và xác thực ở lớp
mạng. Mỗi kết nối IPSEC (cả kết nối quản trị ở Phase 1 và kết nối truyền dữ
liệu ở Phase 2) có thể cung cấp dịch vụ mã hoá, xác thực dữ liệu hoặc cả hai.
Khi thiết lập kết nối IPSEC, hai phía phải xác định chính xác các thuật toán nào
sẽ được sử dụng (ví dụ DES cho mã hoá, còn MD5 cho xác thực dữ liệu). Sau
khi quyết định các thuật toán, hai phía phải chia sẻ các session keys. Như vậy,
có rất nhiều các thông tin cần phải trao đổi trước khi một kết nối IPSEC được
hình thành. SA là một phương pháp để kết hợp các thông số về an ninh có liên
quan đến một phiên truyền thông IPSEC.
HÌNH 1.13 Kết hợp an ninh SA
SA có đặc điểm đơn hướng (Unidirectional), nghĩa là ứng với mỗi cặp hệ
thống truyền thông, có ít nhất 2 SA (một từ A tới B, và một từ B tới A). SA
được nhận dạng duy nhất bởi một số được lựa chọn ngẫu nhiên gọi là SPI
(Security Parameter Index), và địa chỉ IP đích. Khi một hệ thống cần gửi một
gói có yêu cầu được bảo vệ bởi IPSEC, nó sẽ tìm SA trong cơ sở dữ liệu, thực
hiện các xử lý chỉ định bởi SA đó, và chèn SPI vào IPSEC Header trước khi
gửi nó đi. Khi hệ thống thu nhận được gói, nó cũng tìm SA trong cơ sở dữ liệu
của nó thông qua địa chỉ IP đích và SPI, sau đó xử lý gói tin theo yêu cầu. Tóm
lại, SA đơn giản là một thoả thuận chính sách an ninh giữa hai hệ thống truyền
thông.
21
• Giao thức IKE (Internet Key Exchange)
Kết nối IPSEC chỉ được hình thành khi SA đã được thiết lập. Tuy nhiên
bản thân IPSEC không có cơ chế để thiết lập SA. Chính vì vậy, IETF đã chọn

phương án chia quá trình ra làm 2 phần: IPSEC cung cấp việc xử lý ở mức
gói, còn IKMP (Internet Key Management Protocol) chịu trách nhiệm thoả
thuận các kết hợp an ninh. Sau khi cân nhắc các phương án, trong đó có SKIP
(Simple Key Internet Protocol), và Photuris, IETF đã quyết định chọn IKE
(Internet Key Exchange) là chuẩn để cấu hình SA cho IPSEC. IKE tạo ra một
đường ngầm được xác thực và an toàn giữa hai hệ thống (kết nối quản trị ở
Phase 1) và sau đó thoả thuận SA cho IPSEC. Quá trình này yêu cầu hai hệ
thống xác thực lẫn nhau và thiết lập các khoá sử dụng chung.
Hai bước xác thực và trao đổi khoá sẽ tạo ra IKE SA và một đường ngầm
an toàn giữa hai hệ thống. Một phía của đường ngầm sẽ đề nghị sử dụng một
trong các tập thuật toán, phía còn lại phải chấp nhận một trong số đó hoặc loại
bỏ kết nối. Khi hai phía đã thống nhất được về các thuật toán sẽ sử dụng thì
chúng phải tạo khoá để IPSEC sử dụng với ESP, AH hoặc cả hai. IPSEC sử
dụng một khoá dùng chung khác với của IKE. Khoá dùng chung của IPSEC có
thể có được nhờ thực hiện thuật toán Diffie-Hellman một lần nữa hoặc sử
dụng lại một lần nữa khoá dùng chung có được từ trao đổi Diffie-Hellman ban
đầu (Khoá sử dụng để tạo IKE SA bằng cách băm nó với các số giả ngẫu
nhiên). Phương pháp đầu tiên có tính an toàn cao hơn nhưng tương đối
chậm. Sau khi quá trình này được hoàn tất, IPSEC SA được thiết lập.
2.2.5. Các bước xây dựng kết nối truyền tin trong IPSec
HÌNH 1.14 Năm bước hoạt động của IPSEC
Qúa trình xây dựng kết nối và truyền tin với IPSEC thường bao gồm những
bước sau:
− Một phía (VPN gateway A) khởi tạo phiên kết nối tới VPN gateway B
bằng cách gửi traffic cần bảo vệ.
− ISAKMP|IKE Phase 1: các đối tác IPSEC sẽ trao đổi, thỏa thuận về
các tham số cho phép thiết lập một kênh truyền thông quản trị an toàn để tiến
hành thỏa thuận IPSEC SA trong Phase 2.
22
− ISAKMP|IKE Phase 2: các phía thỏa thuận các thông số IPSEC SA

và thiết lập các IPSEC SA tương đương ở hai phía. Những thông số an ninh
này được sử dụng để bảo vệ dữ liệu và các bản tin trao đổi giữa hai phía. Việc
thỏa thuận này được thực hiện thông qua kênh quản trị đã được xây dựng ở
Phase 1.
− Dữ liệu được truyền giữa các đối tác IPSEC dựa trên các thông số
IPSEC và các khóa được lưu trong cơ sở dữ liệu SA.
− Kết thúc đường ngầm IPSEC. IPSEC SA kết thúc do hết hạn thời
gian hoặc bị xóa.
2.2.5.1. Kích hoạt dữ liệu cần bảo vệ
Việc quyết định traffic nào cần được bảo vệ là một phần chính sách an ninh
(security policy) của một mạng VPN. Chính sách được sử dụng để quyết định
cần bảo vệ traffic nào (những traffic khác sẽ được gửi ở dạng clear text, không
cần bảo vệ). Chính sách sau đó sẽ được thực hiện ở giao diện của mỗi đối tác
IPSEC, ví dụ các danh sách điều khiển truy nhập (ACLs - Access Control Lists)
của các bộ định tuyến được sử dụng để biết traffic nào cần mã hoá. ACLs
được định nghĩa bởi các dòng lệnh. Chẳng hạn, lệnh permit xác định traffic
phải được mã hoá, trong khi lệnh deny xác định traffic cần phải được gửi đi
dưới dạng không mã hoá. Khi phát hiện ra traffic cần được bảo vệ thì một đối
tác IPSEC sẽ kích hoạt bước tiếp theo: thoả thuận một trao đổi IKE Pha 1.
2.2.5.2. IKEKMP Phase 1
Mục đích của IKE Phase 1 là thỏa thuận các tập chính sách IKE (IKE policy
set hay còn gọi là IKE transform), xác thực đối tác và thiết lập kênh quản trị an
toàn giữa các đối tác IPSEC. Kênh an toàn này sử dụng UDP cổng 500. IKE
Phase 1 có hai chế độ: main mode và aggressive mode
Trong main mode thì Phase 1 diễn ra trong 3 trao đổi 2 chiều (tổng cộng 6
gói tin) giữa bên khởi tạo và bên nhận:
− Trao đổi thứ nhất: thỏa thuận tập chính sách IKE.
− Trao đổi thứ hai: sử dụng giải thuật Diffie-Hellman để trao đổi các
khóa.
− Trao đổi thức ba: xác minh nhận dạng của nhau. Ưu điểm của

main mode là chỉ xác minh nhận dạng sau khi đã hình thành được
kết nối quản trị an toàn.
Bước đầu tiên mà các đối tác IPSEC cần làm trong IKE Phase 1 là thỏa
thuận các chính sách an toàn để bảo vệ kết nối quản trị. Điều này được thực
hiện thông qua việc thỏa thuận các tập chính sách IKE hay còn gọi là IKE
23