ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN THANH QUỲNH
MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG
MẠNG RIÊNG ẢO
LUẬN VĂN THẠC SĨ
Hà Nội – 2011
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ
NGUYỄN THANH QUỲNH
MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG
MẠNG RIÊNG ẢO
Ngµnh : C«ng nghÖ §iÖn tö – ViÔn th«ng
Chuyªn ngµnh: Kü thuËt §iÖn tö
M· sè: 60 52 70
LUẬN VĂN THẠC SĨ
NGƯỜI HƯỚNG DẪN KHOA HỌC: PGS.TS Vương Đạo Vy
Hà Nội – 2011
Mục lục
BNG KÝ HIU CÁC CH VIT TT 1
M U 5
GIAO THC TCP/IP VÀ MNG RIÊNG O 6
1.1 Internet 6
1.2
/IP 6
1.2.1
9
1.2.2
9
1.2.3
9
1.2.4
10
1.2.5 Nhn xét 11
1.3
o 11
1.3.1 Khái nim 11
1.3.2
a mng riêng o 11
a mng riêng o 11
1.3.2.2
a mng riêng o 12
1.3.3
o 12
1.3.3.1 Mng riêng
13
1.3.3.2 Mng riêng o n
14
1.3.3.3 Mng riêng
15
1.4 Kt lun 16
- BO MT TRONG MNG RIÊNG O 17
2.1 17
2.2
18
2.2.1 Khái nim 18
làm vic ca PPTP 18
2.2.3 Hong ca PPTP 25
2.2.4 Nhn xét 26
2.3
2TP 27
2.3.1 Khái nim 27
làm vic ca L2TP 27
2.3.3 Hong ca giao thc L2TP 32
2.3.4 Nhn xét 33
2.4
34
2.4.1 34
2.4.2 Ch
li
36
2.4.2.1
36
2.4.2.2
38
2.4.2.3
42
2. làm vic ca IPSec 46
2.4.4
54
2.4.4.1
54
2.4.4.2 55
2.4.4.3
57
2.4.4.3 58
2.5 Kt lun 59
MÔ PHNG HM IPSec VPN QUA INTERNET 60
3.1
60
3.2
-VPN Site-to-Site 60
3.2.1
3/Graphical Network Senulator60
3.2.2
ng 60
62
3.2.3.1
62
3.2.3.2
63
3.2.3.3
nh ISP 65
3.2.4
2 Site và phân tích gói tin 66
3.2.4.1 Thc hin ping 66
3.2.4.2 Thc hin phân tích gói tin 67
3.2.4.3 So sánh vi mt bc mã hóa bt k 68
3.3 Kt lun 70
3.4
70
3.5 Mt s mô hình VPN thc t t chc 71
3.5.1 Trin khai VPN thc t ti Cty TNHH Máy tính NÉT NETCOM 71
3.5.2 Trin khai thc t ti B 73
KT LUN 75
TÀI LIU THAM KHO 77
1
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT
Viết tắt
Chú giải tiếng Anh
Chú giải tiếng Việt
3DES
Triple DES
Thut toán mã 3DES
AA
Acccess Accept
Chp nhn truy nhp
AAA
Authentication,
Authorization and
Accounting
Nhn thc, trao quyn và thanh
toán
AC
Access Control
u khin truy nhp
ACK
Acknowledge
Chp nhn
ACL
Acess Control List
Danh sácu khin truy nhp
ADSL
Asymmetric Digital
Subscriber Line
Công ngh truy nhng dây
thuê bao s i xng
AH
Authentication Header
Giao th xác thc
ARP
Address Resolution Protocol
Giao thc phân gia ch
ARPA
Advanced Research Project
Agency
Cc nghiên cu các d án tiên tin
ca M
ARPANET
Advanced Research Project
Agency
Mng vin thông ca cc nghiên
cu d án tiên tin M
ATM
Asynchronous Transfer
Mode
c truyn tng
b
BGP
Border Gateway Protocol
Giao thnh tuyn cng min
B-ISDN
Broadband-Intergrated
Service Digital Network
Mng s tích hch v
rng
BOOTP
Boot Protocol
Giao thc khu
CA
Certificate Authority
Thm quyn chng nhn
CBC
Cipher Block Chaining
Ch chui khi mt mã
CHAP
Challenge - Handshake
Authentication Protocol
Giao thc nhn thi bt tay
CR
Cell Relay
Công ngh chuyn tip t bào
CSU
Channel Service Unit
dch v kênh
DCE
Data communication
Equipment
Thit b truyn thông d liu
DES
Data Encryption Standard
Thut toán mã DES
DH
Diffie-Hellman
Giao thi khóa Diffie-
2
Hellman
DLCI
Data Link Connection
Identifier
Nhn dng kt ni lp liên kt d
liu
DNS
Domain Name System
H thông tên min
DSL
Digital Subscriber Line
Công ngh ng dây thuê bao s
DSLAM
DSL Access Multiplex
B ghép kênh DSL
DTE
Data Terminal Equipment
Thit b u cui s liu
EAP
Extensible Authentication
Protocol
Giao thc xác thc m rng
ECB
Electronic Code Book Mode
Ch n t
ESP
Encapsulating Sercurity
Payload
Giao thi tin
FCS
Frame Check Sequence
Chui kim tra khung
FDDI
Fiber Distributed Data
Interface
Giao din d liu cáp quang phân
tán
FPST
Fast Packet Switched
Technology
K thut chuyn mch gói nhanh
FR
Frame Relay
Công ngh chuyn tip khung
FTP
File Transfer Protocol
Giao thc truyn file
GRE
Generic Routing
Encapsulation
nh tuyn chung
HMAC
Hashed-keyed Message
Authenticaiton Code
Mã nhn thc b
IBM
International Bussiness
Machine
Công ty IBM
ICMP
Internet Control Message
Protocol
Giao thc bu khin
Internet
ICV
Intergrity Check Value
Giá tr kim tra tính toàn vn
IETF
Internet Engineering Task
Force
n k thut cho
Internet
IKE
Internet Key Exchange
Giao thi khóa
IKMP
Internet Key Management
Protocol
Giao thc qun lí khóa qua Internet
IN
Intelligent Network
Công ngh mng thông minh
IP
Internet Protocol
Giao thc lp Internet
IPSec
IP Security Protocol
Giao thc an ninh Internet
3
ISAKMP
Internet Security Association
and Key Management
Protocol
Giao thc kt hp an ninh và qun
lí khóa qua Internet
ISDN
Intergrated Service Digital
Network
Mng s tích hch v
ISO
International Standard
Organization
T chc chun quc t
ISP
Internet Service Provider
Nhà cung cp dch v Internet
IV
Initial Vector
i to
L2F
Layer 2 Forwarding
Giao thc chuyn tip lp 2
L2TP
Layer 2 Tunneling Protocol
Giao thng ngm lp 2
LAN
Local Area Network
Mng cc b
LCP
Link Control Protocol
Giao thu khing truyn
MAC
Message Authentication
Code
Mã nhn thc bn tin
MD5
Message Digest 5
Thut toán tóm tt bn tin MD5
MTU
Maximum Transfer Unit
truyn ti ln nht
NAS
Network Access Server
Máy ch truy nhp mng
NGN
Next Generation Network
Mng th h k tip
NSA
National Sercurity Agency
c gia M
OSI
Open System
Interconnnection
Kt ni h thng m
OSPF
Open Shortest Path First
Giao thnh tuyn OSPF
PAP
Password Authentication
Protocol
Giao thc nhn thc khu lnh
PDU
Protocol Data Unit
d liu giao thc
PKI
Public Key Infrastructure
hn tng khóa công cng
POP
Point - Of - Presence
m hin din
PPP
Point-to-Point Protocol
Giao thm tm
PPTP
Point-to-Point Tunneling
Protocol
Giao thng ngm ti
m
PSTN
Public Switched Telephone
Mng chuyn mch thoi công
4
Network
cng
RADIUS
Remote Authentication Dial-
in User Service
Dch v nhn thi dùng
quay s t xa
RARP
Reverse Address Resolution
Protocol
Giao thc phân gia ch c
RAS
Remote Access Service
Dch v truy nhp t xa
RFC
Request for Comment
Các tài liu v tiêu chun IP do
RIP
Realtime Internet Protocol
Giao thc báo hiu thi gian thc
RSA
Rivest-Shamir-Adleman
Tên mt quá trình mt mã bng
khóa công cng
SA
Security Association
Liên kt an ninh
SAD
SA Database
d liu SA
SHA-1
Secure Hash Algorithm-1
Thu-1
SMTP
Simple Mail Transfer
Protocol
Giao thc truyn
SN
Sequence Number
S th t
SPI
Security Parameter Index
Ch s thông s an ninh
SS7
Signalling System No7
H thng báo hiu s 7
TCP
Transmission Control
Protocol
Giao thu khin truyn ti
TFTP
Trivial File Transfer Protocol
Giao thc truyng
TLS
Transport Level Security
An ninh mc truyn ti
UDP
User Data Protocol
Giao thc d lii s dng
VPN
Virtual Private Network
Mng riêng o
WAN
Wide Area Network
Mng din rng
5
MỞ ĐẦU
Hin nay, m nên ph bin trên toàn th gii. Internet không
ch phc v cho Giáo dc,
, Kinh doanh,
mà nó còn th
hin rõ nét mt v c có thc s phát trin và hii hay
không là nh vào s phát trin h tng dng CNTT vào thc t. Vì
th vai trò ca nó là quá ln,
.
tôi xin
,
.
ng
riêng o chy trên nn tng Internet.
Mca lu Mng Riêng o và Bo mt trong Mng Riêng o
tìm hiu nhng v n v b giao thc TCP/IP, tng quan v mng riêng
o VPN, các giao thc bo mc ng dng trong mc bit
nhn mnh kt qu mô phng mô hình ng hm VPN IPSec site-to-site, ni
dung khoá lu
Chương 1, gii thiu tng quan v Internet, b giao thc TCP/IP
rõ cha tng phân lp ci thiu lch s phát trin
ca mng VPN, các chm ca mc bit, nhn mnh
v mt s loi m ng v c ng dng và trin khai hin nay
ng VPN truy cp t xa, mng VPN site-to-site.
Chương 2 cp ti các giao thc bo mc s dng trong m
giao th ng hm m PPTP, giao thng hm lp 2 L2TP.
c bic IPSec, là giao thc s dng
cho mng IP-VPN. Và IP-ng mà lu cp ti. Các
thut toán mã hoá, toàn vn d liu, nhn thc và quc trình bày
khá chi tit
Chương 3, thc hin mô phng ng hm IP-VPN site-to-site s dng giao
thc bo mt IPSec. Dùng l king thi
thc hin bc.
a mt s kt lun và tham vn cho các khách hàng có nhu cu s dng kt
ni mng VPN ng thi khc v tin cy ca IPSec VPN.
6
CHƢƠNG 1 – GIAO THỨC TCP/IP VÀ MẠNG RIÊNG ẢO
1.1 Internet
.
/IP
Transmission Control Protocol /
.
(email),
.
1.2 Giao thƣ
́
c TCP/IP
Giao thc TCP/IP tr thành giao thc mng ph bin nht nh s phát trin
không ngng ca mng Internet. Các mng máy tính c chc,
công ty hu hu s dng TCP/IP làm giao thc mng nh tính d m rng và
qui hoch cng thi, do s phát trin ca mng Internet nên nhu cu kt
ni ra Internet và s d nên thit yu cho mng.
S i ca h giao thc TCP/IP gn lin vi s i ca Internet mà tin
thân là mng ARPAnet (Advanced Research Projects Agency) do B Quc
phòng M t giao thc dùng rng rãi nht vì tính m ca
nt c máy nào dùng b giao thu có th ni
c vào Internet. Hai giao th c dùng ch yu
n và phát trin bi nhiu nhà nghiên cu và các hãng công
nghip máy tính vi mng và phát trin mt mng truyn thông m
rng khp th gii mà ngày nay chúng ta gi là Internet. Phm vi phc v ca
Internet không còn dành cho quân s a mà nó r
vc cho mi long s d l quan trng nht vn thuc v
gii nghiên cu khoa hc và giáo dc.
Khái nim giao thc (protocol) là mt khái nin ca mng thông tin
máy tính. Có th hiu mt cách khái quát ró chính là tp hp tt c các qui
tc cn thit (các th tc, các khuôn dng d li ph tr ) cho phép
i thông tin trên mc thc hin mt cách chính xác và
an toàn. Có rt nhiu h giao thc thc hin trên mng thông tin máy
tính hing cc b, CCITT X25 dùng cho
mng din rc bit là h giao thc chun ca ISO (t chc tiêu chun
7
hóa quc t) da trên mô hình tham chiu by tng cho vic ni kt các h thng
m. Gn xâm nhp ca Internet vào Vi c làm
quen vi h giao thc mi là TCP/IP mt hin t
TCP/IP - Transmission Control Protocol/ Internet Protocol là mt h giao
thc cùng làm vic v cung cn truyn thông liên mng
c hình thành t nh
n 4 mi hoàn tc ph bin rng rãi
cho toàn b nhng máy tính s dng h u hành UNIX. Sau này Microsoft
thành mt trong nhng giao thn ca h u
hành Windows 9x mà hi dt bn tho ca
phiên bc hình thành vi s cng tác ca nhiu nhà khoa hc thuc
các t chc Internet trên th gi ci tin nhng hn ch ca IPv4.
Khác vi mô hình ISO/OSI tng liên mng s dng giao thc kt ni mng
"không liên kt" (connectionless) IP, to thành ht nhân hong ca Internet.
Cùng vi các thu nh tuyn RIP, OSPF, BGP, tng liên mng IP cho
phép kt ni mt cách mm do và linh hot các loi mng "vt lý" khác nhau
Giao th i d liu "có liên kt"
(connection - c s dng tng vn chuy m bo tính
chính xác và tin cy vii d liu da trên kin trúc kt ni "không liên
kt" tng liên mng IP.
Các giao thc h tr ng dng ph bip t xa (telnet), chuyn
tp (FTP), dch v n t (SMTP), dch v tên
mit ph bing b phn cu thành ca
các h u hành thông d u hành chuyên dng cùng
h ca các nhà cung cp thit b a IBM, SINIX ca
Siemens, Digital UNIX ca DEC), Windows9x/NT, Novell Netware,
8
1.1
/IP
ng vi lp 4 cng thêm mt s cha lp 5
trong h giao thc chu ng vi lp 3 ca mô hình
OSI. Trong cu trúc bn lp ca TCP/IP, khi d liu truyn t lp ng dng cho
n lp vt lý, mi lu cng thêm vào phu khin c m bo
cho vic truyn d lic chính xác. Mu khic gi
là mt c phn d lic truyn. Mi lp xem tt c
các thông tin mà nó nhc t lp trên là d lit phu
khin header c c phn thông tin này. Vic cng thêm vào các
header mi lp trong quá trình truyc gi là encapsulation. Quá trình
nhn d liu din ra theo chic li: mi lp s tách ra phc
khi truyn d liu lên lp trên.
Mi lp có mt cu trúc d lic lp vi cu trúc d lic dùng
lp trên hay li ci thích mt s khái ning
gp. lic truy là Byte. S lic
i gia các ng dc gi là stream, trong khi dùng UDP,
c gi là message.
Mi gói s lic gu trúc d
liu ca nó là packet. Lp Internet xem tt c các d lii và gi
là datagram. B giao thc TCP/IP có th dùng nhiu kiu khác nhau ca lp
mi cùng, mi loi có th có mt thut ng truyn d liu.
9
Phn ln các mng kt cu phn d liu truyn i dng các packets hay
là các frames.
Application
Stream
Transport
Segment/datagram
Internet
Datagram
Network Access
Frame
1.2.1 Lơ
́
p Truy nhâ
̣
p ma
̣
ng
Lp Truy nhp mng/Network Access Layer là lp thp nht trong cu trúc
phân bc ca TCP/IP. Nhng giao thc lp này cung cp cho h th
th truyn d liu trên các tng vt lý khác nhau ca m
cách thc truyn các khi d liu (datagram) IP. Các giao thc lp này phi
bit chi tit các phn cu trúc vt lý mng i nó (bao gm cu trúc gói s
liu, ca ch nh dc chính xác các gói d liu s c
truyn trong tng loi mng c th.
So sánh vi cu trúc OSI/OSI, lp này ci hai lp
Datalink, và Physical. Chnh dng d liu s c truyn lp này
bao gm vic nhúng các gói d liu IP vào các frame s c truyn trên mng
và vic ánh x a ch a ch vc dùng cho mng.
1.2.2 Lơ
́
p Liên mng
Lp Liên mng/Internet Layer là lp ngay trên lp Network Access trong
cu trúc phân lp ca TCP/IP. Internet Protocol là giao thc trung tâm ca
TCP/IP và là phn quan trng nht ca lp Internet. IP cung c
chuyn mà thông qua c xây dng.
1.2.3 Lơ
́
p Giao vâ
̣
n
Trách nhim ca tng giao vn là kt hp các kh p
trc tip (end-to-end) không ph thuc vào mi, kèm theo kim soát
li (error control), phân mnh (fragmentation) và u khi ng. Vic
truyp trc tip hay kt ni các ng dng ti tng giao vn có th
c phân lo
(connection-orientedTCP
P (connectionlessUDP
10
UDP best effort
delivery
TCP
(reliable byte stream):
Các góc
1.2.4 Lơ
́
p Ƣ
́
ng du
̣
ng
giao
và mô hình OSI
.
giao
TCP và UDP
(server)(HTTP - ng 80; FTP - Giao
trình khách (client
các (ephemeral port).
11
1.2.5 Nhận xét
Khi mng Internet xut hii rt nhiu các ng d
n khác phát trin theo. Trong các ng dng chy trên nn tng b giao
thc TCP/IP Thì bên ct
ng dc bin, c ng dng rng riêng
o/VPN-Virtual Private Net i nhiu li ích cho nhiu
doanh nghip, nhiu t chc thông qua s tin li, d dùng, rt bo mc
bit là rt tit kim chi phí ca nó. Chúng ta có th tìm hiu chi ti mng
riêng o ti m
1.3 Tô
̉
ng quan vê
̀
Ma
̣
ng Riêng Ảo
Thut ng Mng Riêng o/Virtual Private Network hay VPN là mt công
ngh c ng dng rt ph bin hin nay. Nhiu doanh nghin dng
h tng mng Internet s trin khai mng VPN và phát trin
nhiu ng dng khác nhau trên nn tng VPN này.
1.3.1 Khái niệm
Mng Riêng t kt ni mng tri h
tng mng công cng Internet) vi các chính sách qun lý và bo mt
ging cc b.
Hình 1.3 Mô hình mng riêng o
1.3.2 Tính năng va
̀
ƣu điê
̉
m của mng riêng ảo
1.3.2.1 Các tính năng của mng riêng ảo
Mng riêng o h tr các tính sau: tính xác thc, tính toàn vn và tính
bo mt.
12
Tính xác thực: thit lp mt kt nc ht c hai phía phi
xác thc l khnh ri thông tin vi
mình mong mun ch không phi là mi khác.
Tính toàn vẹnm bo d liu không b m bo không có
bt k s xáo trn nào trong quá trình truy
.
Tính bảo mậti gi có th mã hoá các gói d lic khi truyn
qua mng công cng và d liu s c gii mã phía thu. y không ai
có th c thông tin khi c tình xâm nhp và bt gói tin.
1.3.2.2 Ƣu điê
̉
m của mng riêng ảo
Mng riêng o mang li li ích thc s cho các doanh nghip. Mng riêng
o không ch n hoá vic thông tin gia các nhân viên làm vic xa,
i dùng di ng, m rn t ng, chi nhánh, mà còn có th
trin khai mng riêng o n ti tác quan trng.
Nhng li li thc s mà mng riêng o mang l: Tính tit kim chi phí,
tính mm do, kh rng cùng nhiu m khác.
Tính tiết kiệm chi phí: VPN có th giúp các doanh nghip tit kim t 50% -
t ni leased line và remote access truyn thng,
gi tng truyn thông và chi phí hàng tháng
i vi các kt ni site to site
Tính linh hot: Tính linh hot là linh hot trong quá trình vn
hành và khai thác mà nó còn thc s mm di vi yêu cu s dng. Khách
hàng có th s dng kt hp vi các công ngh sn có và c s h tng mng
ca doanh nghi
Khả năng mở rộng: Mc xây dng d h tng mng
công cng. Vì th vi bt k doanh nghip nào có nhiu chi nhánh xa nhau mà
mun kt ni vi nhau s dng công ngh mng riêng u c là
c kt ni ti mng Internet.
Tính bảo mật: Mng riêng o cung cp ch bo mt cao nht nh
mã hóa trên nn tng mng riêng o (mã hóa, xác nhn truy cp và bo mt h
thng). Qun lý các kt ni d dng thông qua tên và mt khu truy cp vào h
thng mng riêng o trong mng ni b.
1.3.3 Mô
̣
t sô
́
loa
̣
i ma
̣
ng riêng ảo
Da vào cng ngh hoc da vào mô hình, cu trúc ca tng t chc mà có
th phân loi mng riêng o thành các loi khác nhau. Và nu da vào kin trúc
ca doanh nghip chúng ta có th phân loi mng riêng o thành ba loi sau:
13
- Mng riêng o truy nhp t xa (Remote Access VPN)
- Mng riêng o cc b (Intranet VPN)
- Mng riêng o m rng (Extranet VPN)
1.3.3.1 Mng riêng ảo truy nhâ
̣
p tƣ
̀
xa
Các mng riêng o truy nhp t xa cung cp kh ng truy nhp t xa. Ti
mi th ng có kh
i, truy nhp vào mng ca công ty. Vì th i bt
c u có th truy nhp vào mng ca công ty bt c lúc nào, có th nói
là mt s tin li rt riêng ca mng riêng o truy nhp t xa.
Mng quay số riêng ảo (Virtual Private
Dial-up Network) hay VPDN-to-
công ty mà các nhân viên
, mã hoá
-party).
viên
Cisco Routers, PIX Firewalls VPN
Concentrators
Hình 1.4 Mô hình truy nhp t xa ng
14
1.3.3.2 Mng riêng ảo nội bô
̣
Các mng riêng o ni b c s d bo mt các kt ni gia
m khác nhau ca mt doanh nghip. Mng riêng o liên kt tr s chính, các
h tng mng công cng Internet sn có và
các kt nc mã hoá bo mu này cho phép tt c m có th
truy nhp an toàn vào các ngun d liu ti tr s chính.
Hình 1.5 Mô hình mng VPN site to site
oàn
-Internet-
-of-se
15
-
thông qua Internet.
1.3.3.3 Mng riêng ảo mơ
̉
rô
̣
ng
: m
Hình 1.6 Mô hình mng VPN m rng
Do ho
- -
-
16
-
-
1.4 Kết luận
i thiu v các v n ca mng Internet, b giao
thc TCP/IP, các phân lc bi
gia TCP/IP và IOS. Tng quan v mng riêng o, các loi mng riêng
m ca tng loi mng riêng a nó
ng thi chúng ta i kh o mt ca mng riêng o. Và
chi ti các giao thc bo mt ca mng riêng i
nghiên cu xem kh o mt ca mng riêng o c
dng, phc tp và các giao thc trong mng riêng c vn s nào.
17
CHƢƠNG 2 - BẢO MẬT TRONG MẠNG RIÊNG ẢO
2.1 Khái niệm bảo mật
Thế nào là bảo mật thông tin
Thông tin là mt loi tài sn khác ca mt doanh
nghip. Thông tin có mt giá tr c bit trong hu ht tt c mi hong, vì
vy thông tin cn phc bo v thích hp. Bo v thông tin khi s t
co v s phát trin liên tc và bn vng ca doanh nghip.
m bo cho doanh nghip ti thic các thit hi khi có ri ro xy ra,
ng thi tc các li nhuc t các hong kinh doanh.
Thông tin có th i nhiu dt trên
giy, trên cng máy vi tính, trên film hoc thông qua các cu
Bt k thông tin tn ti d c chia s
thì chúng phc bo mt mt cách phù hp.
Bảo mật thông tin nhằm mục đích
Thông tin tin cm bo thông tin ch c truy xut bi nhi có
ch
Thông tin trung thm bo lý thông tin chính xác, an
toàn và trn vn.
Thông tin sm bo nhi có ch truy cp thông tin
mi lúc, mu.
Bo mt thông tin ch mang li li ích thit thc khi chúng ta xây dng mt
qui trình kim soát chc ch và hoàn chnh bao gm các chính sách, các th tc,
u t chc xây dc nhu cu
bo mt cho tng c th.
Ti sao cần bảo mật thông tin
n kh thng máy tính, thit b
sn xu ng tài sn quan trng ca doanh
nghip. Thông tin trung thc, tin cy và sn sàn là nhng yu t cn thi duy
trì kh nh tranh, kh i nhun, kh lý tình hung bt
ng trong doanh nghip. Thông tin có th b mt cp t nhiu nguyên nhân khác
thng máy tính b t, sng thn, tình báo công
nghi thng máy tính
b virus tn công, b hacker tn công .
18
Nhiu h thc chú trn công tác bo mu
này rt nguy him. Vic bo mt h thng thông tin có hiu qu khi kt hp chc
ch gia các bin pháp k thut vi các bin pháp qun lý hành chính. Phi xác
c bo mt. Ai tham gia vào thc hin quá trình
bo mng thi cn phi tham kho thêm ý kin cn
nào? Xây dng h thng bo mt thông tin s hiu qu
nu có s kt hp cht ch n thit k, thit lp.
2.2 Giao thƣ
́
c PPTP
2.2.1 Khái niệm
PPTP là giao thng hm m, là vit tt bi point to point
tunnel protocol. C ca giao thc này là tách các ch
ca truy cp t xa, tn dng c h tng Internet s to kt ni bo mt
gii dùng xa vi mng ni bi dùng xa ch vic quay s ti
nhà cung cp dch v tng hm bo mt ti
mng riêng ca h. Giao thc xây dng da trên cha giao
thc PPP, cung cp kh truy cp to ra mng hm bo mt
n u cui là mng tr s chính. PPTP s dng giao thc
bnh tuy li
và tách gói PPP, giao thc này cho phép PPTP tr nên mm do c
x lý các giao thc khác không ph
Vì giao thc PPTP ho ng da trên giao thc PPP (giao th m
m) d xác thc. PPTP có th s dng
mã hoá d lic mã hoá khác
m m - m MPPE (Microsoft Point- to- Point
s dng cho PPTP. Mm cc thit k hot
ng lp 2 (lp liên kt d liu) trong khi IPSec chy lp 3 ca mô hình
OSI. Bng cách h tr vic truyn d liu lp th 2, PPTP có th truyn trong
ng hm bng các giao thc khác IP trong khi IPSec ch có th truyn các gói
ng hm.
2.2.2 Các cơ chế làm việc của PPTP
19
PPTP
PPP
Giải thuật mã
hóa
Giải thuật xác
thực
Bọc gói tin định
tuyến
Hình 2.1 Mô hình PPTP
Giao thức PPP và PPTP
Giao thc thành giao thc quay s truy cp vào Internet và các
mng TCP/IP rt ph bin hin nay, giao thc PPP làm vic lp liên kt d
liu trong mô hình OSI, nó bao g gói, tách gói cho các
loi gói d li truyn ni tip. a
giao thc: giao thu khin liên kt - LCP (Link Control Protocol) cho vic
thit lp, cu hình và kim tra kt ni; Giao th u khin mng NCP
(Network Control Protocol) cho vic thit lp và cu hình các giao thc lp
mng khác nhau. Giao thc PPP có th X, NETBEUI và
truyt nm-m t máy gn máy nh vic truyn thông
có th din ra thì mi PPP phi g kim tra cu hình và kim tra
liên kt d liu. Khi mt kt nc thit l
c xác th n tu chn trong PPP, tuy nhiên nó luôn luôn
c cung cp bi các ISP. Vic xác thc thc hin bi PAP hay CHAP.
Vi PAP mt khc gi qua kt ni dn và
không có bo m tránh khi b tn công. CHAP là mc xác thc
m dc bt tay 3 chiu. CHAP chng li các v
tn công phát li bng cách s dng các giá tr challenge value duy nht và
không th c. CHAP phát ra giá tr trong sut và sau khi
thit lp xong kt ni, lp l có th gii hn s ln b t vào tình
th b tn công. c thit k d to ra kt ni quay s gia
khách hàng và máy ch truy cp mng. PPTP s d thc hin các
ch
- Thit lp và kt thúc kt ni vt lý.
- Xác thi dùng.
20
- To các gói d liu PPP.
Sau khi giao thc PPP thit lp kt ni, PPTP s dng các quy lu
gói c ng hm. tn dm ca
kt ni to ra bi PPP, PPu khin; Gói d liu
u khin và kênh d li
u khin và kênh d liu thành luu khin vi giao
thc TCP và lung d liu vi giao thc IP. Kt nc to gia client
PPTP và máy ch c s d u khin. Các gói
d liu là d ling cu khic gi
theo chu k ly thông tin v trng thái kt ni và qun lý báo hiu gia máy
khách PPTP và máy ch u khi gi các
thông tin qun lý thit b, thông tin cu hình ging hm. u
khic yêu cu cho vic thit lp mng hm gia máy khách PPTP và
máy ch PPTP. Phn mm client có th nm i dùng t xa hay nm
ti máy ch ca ISP.
ng hc thit lp thì d lic truyn gia
máy khách và máy ch PPTP. Các gói PPTP cha các gói d liu IP. Các gói d
li GRE, s dng s ID cu khin truy
cp, ACK cho giám sát t d liu truyng hm. Giao thc PPTP
hong lp liên kt d liu, nên cn ph ng truyn trong
gói tin bit gói d liu c truyng hc nào,
Ethernet, Frame Relay hay kt ni PPP.
Môi trường
truyền
IP
GRE
PPP PPP Payload
Hình 2.2 Gói tin PPTP
Giao thng hm m u khin t
nhm gii hn s ng d liu truy này làm gim ti thiu d liu
phi truyn li do mt gói.
Trƣờng gói tin của PPTP
D li ng h u m
p liên kt d liu.
ng ca gói tin PPTP