Tải bản đầy đủ (.doc) (67 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Đồ án VPN (Virtual Private Network)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (5.16 MB, 67 trang )

LỜI CẢM TẠ
Qua những tháng ngày chúng em học tập dưới mái trường thân yêu, những điều bổ
ích mà thầy cô đã tận tình giảng dạy chúng em. Từ những kiến thức đó, chúng em đã
đúc kết ra được những hiểu biết vô cùng quý giá và từ những bài học ấy chúng em đã
làm ra đồ án này. Tuy đồ án có rất nhiều thiếu xót , và cũng có những điều chúng em
chưa hiểu được, mong quý thầy cô giúp chúng em cải thiện lại những điều chúng em
còn đang vướng mắc, để hoàn thiện tốt hơn đồ án cơ sở này. Qua những lời tâm tình
này, chúng em xin cảm ơn đến quý thầy cô và đặc biệt xin gửi lời cảm ơn nhất đến
thầy Văn Thiên Hoàng, thầy đã có rất nhiều công sức hướng dẫn đồ án này, đã luôn
lắng nghe những gì chúng em trình bày và đã chỉ bảo tường tận cho chúng em.
Xin chân thành cảm ơn Quý thầy cô!


MỤC LỤC

CHƯƠNG 1: TÌM HIỂU TỔNG QUAN ĐỒ ÁN
1.1 Giới thiệu nguồn gốc đồ án......................................................................5
1.2 Nhiệm vụ đồ án........................................................................................5
1.3 Tóm tắt đồ án...........................................................................................5

CHƯƠNG 2: NGHIÊN CỨU VPN CƠ SỞ LÝ THUYẾT
2.1 Định nghĩa VPN là gì?.............................................................................7
2.2 Các dạng kết nối VPN..............................................................................9
2.3 Những thành phần VPN...........................................................................9
2.4 Vai trò và cơ chế hoạt động...................................................................10
2.4.1 VPN Server.........................................................................................10
2.4.1.1 Vai trò của VPN Server.................................................................10
2.4.1.2Các chức năng chính VPN Server..................................................10
2.4.1.3Cơ chế hoạt động của VPN............................................................11
2.4.2 VPN client (Mạng riêng ảo cho máy khách)......................................11
2.4.2.1VaitròVPNclient.............................................................................11


2.4.2.2CơchếhoạtđộngVPNclient..............................................................12
2.4.3 Tunnel (Đường hầm)...........................................................................12
2.4.4 Kết nối VPN........................................................................................12
2.4.5 Đường hầm giao thức..........................................................................12
2.4.6 Đường hầm dữ liệu.............................................................................12
2.4.7 Transit liên mạng................................................................................13

CHƯƠNG 3: CÁC GIAO THỨC HOẠT ĐỘNG VPN
3.1 Giao thức đường hầm điểm – điểm PPTP..............................................14
3.1.1 Các thành phần của PPTP.................................................................15
3.1.2 Áp dụng các thực tế PPTP................................................................16
3.2 Giao thức lớp 2-L2F(Layer 2 Forwarding)............................................17
2


3.2.1 Các thành phần & hoạt động L2F.....................................................17
3.2.2 Quản lý L2F......................................................................................18
3.3 Giao thức định hướng L2TP..................................................................19
3.3.1 Các thành phần của L2TP.................................................................19
3.3.2 Áp dụng trong thực tế của L2TP......................................................20
3.3.3 Giao thức đường hầm lớp 2-L2TP...................................................21
3.4 Giao thức bảo mật IP-IPSEC.................................................................22
3.4.1Khung giao thức IPSec......................................................................23
3.4.1.1 Giao thức AH..............................................................................24
3.4.1.2 Giao thức ESP.............................................................................25
3.4.1.3 Hoạt động của AH&ESP............................................................27
3.4.2 Hoạt động của IPSec........................................................................29
3.4.3 Hạn chế trong IPSec.........................................................................36
3.5 SSL VPNs(Sercure Sockets Layer)........................................................36
3.5.1Giới thiệu về SSL trong VPN............................................................36

3.5.2 Chức năng của SSL..........................................................................37
3.6 GRE(Generic Routing Encapsulation)...................................................38
3.6.1 Giới thiệu GRE................................................................................38
3.6.2 Cơ chế hoạt động của GRE.............................................................39
3.6.3 GRE over IPSec..............................................................................40
3.6.3.1 Cơ chế hoạt động GRE over IPSec...............................................40
3.7 Giao thức L2TPv3..................................................................................40
3.7.1 Tổng quan L2TPv3...........................................................................40
3.7.2 L2TPv3 cung cấp những gì?.............................................................41
3.7.3 Hoạt động L2TPv3...........................................................................42
3.7.3.1 Mô tả L2TPv3.............................................................................43
3.7.3.2 Đóng gói, gói tin với L2TPv3.....................................................43
3.7.4 Hỗ trợ nguyên chế độ.......................................................................44
3.7.5 Hỗ trợ Frame Relay..........................................................................45
3.7.6 Frame Relay subinterfac hạn chế.....................................................46

3


3.7.7Ethernethỗtrợ.....................................................................................46
3.7.8EthernethỗtrợL2TPv3........................................................................47
3.7.9 VLAN ID Rewrite L2TPv3 Egress Tunnel VLAN..........................48
3.7.9.1 Hành động trên Router đóng gói.................................................49
3.7.9.2 Hoạt động trên Router Decapsulation Tunnel............................49
3.8 Hạn chế..................................................................................................49

CHƯƠNG 4: TRIỄN KHAI THỰC NGHIỆM MÔ HÌNH VPN

4



Chữ viết tắt
STT
1
2
3
4
5
6
7
8
9
10
11

Chữ viết

Ỹ nghĩa

VPN
VPN Server
VPN client
PPTP
L2F
L2TP

Virtual Private Network
Virtual Private Network Server
Virtual Private Network Client
Point-to-Point Tunneling Protocol

Layer 2 Forwarding
Layer 2 Tunelling Protocol
Authentication Header -Internet

IP-IPSEC
AH , ESP
SSL
GRE
L2TPv3

Security
Extrasensory perception
Secure Sockets layer
Generic Routing Encapsulation
Tunneling Protocol phiên bản 3

5

Protocol


CHƯƠNG 1: TÌM HIỂU TỔNG QUAN ĐỒ ÁN
1.1 Giới thiệu nguồn gốc đồ án .
Thời đại trước, thông tin được truy cập từ xa trên máy tính được thực hiện là nhờ
kết nối quay số. Các kết nối làm việc trên đường điện thoại có tốc độ khoảng 56kbps.
Tốc độ là vấn đề cần phải được giải quyết , tuy nhiên một vấn đề lớn hơn là chi phí
cho các kết nối với khoảng cách dài cần có cho việc truy cập.
Với sự phát triễn không ngừng của công nghệ thông tin, các tài liệu, thông tin được
trao đổi một cách với nhau một cách nhanh chóng, nhưng đối với những thông tin, tài
liệu quan trọng chỉ cho 1 nhóm người hay thành viên , nhân viên trong một tổ chức,

một công ty, một doanh nghiệp thì sao ?. Những thông tin này có bị rơi vào tay của
những kẻ trộm công nghệ hay không. Họ dùng tài liệu này vào những việc xấu, hay
bán cho một công ty khác để làm ra một sản phẩm được trộm lấy, mà bản quyền không
phải của họ, làm tổn thất ngân sách cho các công ty bị mất cắp. Vấn đề này , khiến cho
các công ty, doanh nghiệp phải nhức đầu về việc bảo mật mạng cục bộ (LAN) của
chính công ty họ.
Mạng riêng ảo Virtual Private Network( VPN) là giải pháp cung cấp một mô hình
mạng diện rộng Wide Area Network( WAN) an toàn cho các tổ chức hiện nay. Các
doanh nghiệp có thể kết nối các chi nhánh với nhau thông qua mạng Internet công
cộng mà vẫn giữ được yêu cầu về bảo mật . Hơn thế nữa , VPN còn giảm thiểu chi phí
cho những liên kết từ xa từ vì địa bàn rộng (trên toàn quốc hay toàn cầu).
Qua những gì chúng em hiểu biết được sự lo lắng băn khoăn, an toàn bảo mật khi
trao đổi thông tin giữa các tổ chức, cá nhân. Với sự hướng dẫn, giúp đỡ của thầy cô,
chúng em chọn đồ án cơ sở này, để nghiên cứu các thành phần , vai trò, các hoạt động
từng thành phần, và các chi tiết giao thức trong mỗi hoạt động thành phần đó để xây
dựng một mạng riêng ảo VPN.Ứng dụng và triễn khai cài đặt trên các hệ thống mạng
1.2 Nhiệm vụ đồ án.
Là tìm hiểu định nghĩa VPN, các thành phần mạng VPN. Vai trò và cơ chế hoạt
động của từng thành phần. Các giao thức trong mọi hoạt động VPN, chi tiết từng giao
thức. Tìm hiểu một VPN Server, các quy trình sử dụng nó. Các giao thức áp dụng khi
triễn khai VPN. Mô hình thực nghiệm minh hoạ. Và tìm hiểu đầy đủ giao thức
L2TPv3
1.3 Tóm tắt đồ án.

6


Gồm có 4 chương:
Chương 1:Tổng quan đồ án
Giới thiệu , nhiệm vụ , và cấu trúc đồ án

Chương 2:Cơ sở lý thuyết
Chương này giúp hiểu VPN là gì, các thành phần và giao thức kết nối, ưu điểm và
khuyết điểm mà VPN mang lại.
Chương 3: Triễn khai mô hình thực nghiệm
Sau những cơ sở lý thuyết xây dựng một mô hình rõ ràng hơn, giúp dễ hiểu hơn
qua những minh hoạ demo. Đây là trọng tâm của đồ án dựa

trên



WAN qua VPN.
Chương 4 : Kết luận và kiến nghị về VPN.
Các bước triễn khai và quá trình xây dựng đạt được và không làm được

7

hình

mạng


CHƯƠNG 2: NGHIÊN CỨU VPN CƠ SỞ LÝ THUYẾT
2.1 Định nghĩa VPN là gì?
VPN được viết tắt bởi (Virtual Private Network) là một mạng riêng ảo, đáp ứng
nhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sử
dụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPN. Tuy nhiên vì lý
do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất
kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể
bị truy cập trái phép. Mục đích đầu tiên của VPN là đáp ứng các yêu cầu bảo mật, khả

năng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý.
Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF),
VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ và
công cộng như mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng
công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu
cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical
"tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là
giao thức thông tin point-to-point.

Hình 2.1.1 Mô hình mạng VPN
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là
Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ
xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN
sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới
các site hay các nhân viên từ xa.

8


Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an
toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một
đường ống bảo mật (Tunnel) giữa nơi nhận và nơi gửi giống như một kết nối point-topoint trên mạng riêng.
Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay có cơ
chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho
phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu
được mã hoá một cách cẩn thận do đó nếu các gói packet bị bắt lại trên đường truyền
công cộng cũng không thể đọc được nội dùng vì không có khoá (key ) để giải mã.

Hình 2.1.2 VPN và mô hình OSI

Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN. Một mạng
VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng
LAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặc
người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. Các đường kết nối VPN
thường được gọi là đường ống VPN (Tunnel VPN).

9


Hình 2.1.3- Mô hình mạng VPN
2.2 Các dạng kết nối VPN
Phân loại kỹ thuật dựa trên 3 yêu cầu cơ bản:
 Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời gian
nào.
 Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau
 Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấp
hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan. Dựa vào
những yêu cầu cơ bản trên VPN được chia thành :
-

Mạng VPN truy cập từ xa (Remote Access VPN).

-

Mạng VPN cục bộ (Intranet VPN).

-

Mạng VPN mở rộng (Extranet VPN).


2.3 Những thành phần của VPN
-VPN server (Mạng riêng ảo Máy chủ)
Một máy tính chấp nhận các kết nối VPN từ máy khách VPN.
-VPN client (Mạng riêng ảo cho máy khách)
Một máy tính để khởi tạo một kết nối VPN đến một máy chủ VPN server. Một khách.
hàng VPN client có thể là một máy tính cá nhân hoặc một router.
-Tunnel(đườnghầm):
+ Kết nối VPN.
+ Đường hầm giao thức.
+ Đường hầm dữ liệu
+ Transit liên mạng
- Public network

10


Hình 2.3.1 Các thành phần VPN
2.4 Vai trò và cơ chế hoạt động của từng thành phần
2.4.1 VPN server (Mạng riêng ảo Máy chủ):
2.4.1.1 Vai trò của VPN server:
VPN servers là các thiết bị mạng chuyên dụng chạy phần mềm server. Phụ thuộc
vào các yêu cầu của tổ chức, có thể có một hay nhiều VPN server. Bởi vì một server
VPN phải cung cấp các dịch vụ cho các khách hàng VPN ở xa cũng như ở địa phương,
chúng luôn sẵn sàng và sẵn sàng chấp nhận các yêu cầu

Hình 2.4.1.1 VPN Server
2.4.1.2 Các chức năng chính VPN Server:
Chức năng chính của các VPN server bao gồm các nhiệm vụ sau:
- Lắng nghe các yêu cầu kết nối cho VPN.


11


- Dàn xếp các yêu cầu và thông số kết nối, như là kỹ thuật mật mã và kỹ thuật xác
nhận.
- Sự xác nhận và sự cấp phép cho khách hàng VPN.
- Chấp nhận dữ liệu từ khách hàng hoặc chuyển tiếp dữ liệu yêu cầu bởi khách
hàng .
- Như là điểm cuối của đường hầm và kết nối VPN. Một điểm cuối khác được cấp
bởi người cuối cùng yêu cầu phiên VPN.
2.4.1.3 Cơ chế hoạt động của VPN
VPN Severs có thể hỗ trợ hai hay nhiều card mạng. Một hay nhiều card được sử
dụng để kết nối chung vào mạng nội bộ của tổ chức, trong khi các card mạng khác
thường được sử dụng để kết nối chúng vào internet. Trong trường hợp sau cùng, VPN
servers giống như VPN gateway hay router.

Hình 2.4.1.3: Card mạng Ip VPN.
Lưu ý: Một VPN Server có thể hoạt động như một gateway hay một router, nếu số
lượng yêu cầu hoặc số người sử dụng thấp ( cho tới 20). Nếu VPN server phải hỗ trợ
một lượng lớn các users và hoạt động như là một router hoặc một gateway, gánh nặng
của đường hầm, mã hóa, xác nhận, tường lửa và định tuyến sẽ làm cho server chạy
chậm, kéo theo hiệu suất của toàn hệ thống giảm Thêm vào đó, rất khó để bảo vệ
thông tin được lưu trữ trên server. Vì thế VPN Sever phải thật chuyên nghiệp để chỉ
phục vụ khách VPN và các yêu cầu.
2.4.2 VPN client (Mạng riêng ảo cho máy khách)
2.4.2.1 Vai trò VPN client.
VPN Clients là các máy cục bộ hay ở xa khởi tạo một kết nối VPN với VPN Server
và vào mạng từ xa sau khi chúng đã được xác nhận đầu cuối của mạng từ xa. Chỉ sau
khi đăng nhập thành công VPN server và client có thể giao tiếp với nhau. Tổng quát,


12


một VPN Client là một phần mềm. Tuy nhiên nó cũng có thể là phần cứng chuyên
dụng. Một router phần cứng VPN với khả năng định tuyến cuộc gọi theo yêu cầu, cái
mà quay số tới router phần cứng VPN khác, là một ví dụ của thiết bị phần cứng
chuyên dụng .

2.4.2.2 Cơ chế hoạt động VPN client:
Với sự gia tăng lực lượng lao động của một tổ chức, rất nhiều người dùng (VPN
clients) có các dữ liệu không đồng bộ. Các người dùng này có thể sử dụng VPN để
trao đổi một cách an toàn tới mạng nội bộ của tổ chức.
• Các mô tả tiêu biểu của một VPN client bao gồm các phần sau :
Các người giao tiếp từ xa sử dụng Internet hoặc mạng công cộng để kết nối nguồn tài
nguyên củatổ chức từ nhà.


Những người sử dụng laptops, palmyops và notebooks, những người mà sử

dụng mạng công cộng để kết nối với mạng nội bộ của tổ chức để truy cập mail và các
tài nguyên nội bộ khác.


Các nhà quản trị từ xa, những người sử dụng mạng công cộng trung gian, như

là internet, để kết nối với các nơi ở xa để quản lý giám sát, khắc phục sự cố, hoặc cấu
hình các dịch vụ và thiết bị
2.4.3 Tunnel (Đường hầm).
Các thành phần dữ liệu kết nối được đóng gói.
2.4.4 Kết nối VPN.

Các phần kết nối dữ liệu được mã hóa. Đối với các kết nối VPN an toàn, dữ liệu
được mã hóa và đóng gói theo cùng một phần của kết nối.
Lưu ý: Nó có thể tạo ra một đường hầm và gửi dữ liệu thông qua các đường hầm mà
không cần mã hóa. Đây không phải là một kết nối VPN bởi vì các dữ liệu cá nhân
được gửi qua một mạng chia sẻ hoặc của cộng đồng trong một hình thức không được
mã hóa và dễ dàng có thể đọc được.

2.4.5 Đường hầm giao thức
Giao thức được sử dụng để quản lý các đường hầm và đóng gói dữ liệu cá nhân.
Dữ liệu là đường hầm cũng phải được mã hóa là một kết nối VPN. Windows Server
2003 gia đình bao gồm PPTP và L2TP giao thức đường hầm. Để biết thêm thông tin,
xem Point-to-Point Tunneling Protocol , giao thức Layer Two Tunneling .

2.4.6 Đường hầm dữ liệu.

13


Dữ liệu thường được gửi qua một liên kết điểm-điểm tin.
2.4.7 Transit liên mạng:
Mạng chia sẻ hoặc của cộng đồng qua các dữ liệu đóng gói. Windows Server 2003,
liên mạng luôn luôn là một liên mạng IP. Liên mạng có thể là Internet hoặc mạng nội
bộ dựa trên IP .
Ghi chú


Thông thường, các đường hầm và kết nối VPN theo cùng một phần của kết nối.
Tuy nhiên, trong cấu hình đường hầm bắt buộc, các đường hầm (đóng gói) và
kết nối VPN (mã hóa) không được định nghĩa theo cùng một phần của kết nối.




Trên Windows Server 2003, Web Edition, và Windows Server 2003, Standard
Edition, bạn có thể tạo ra lên đến 1.000 Point-to-Point Tunneling Protocol
(PPTP) cổng, và bạn có thể tạo tối đa đến 1.000 lớp Two Tunneling Protocol
(L2TP) cổng. Tuy nhiên, Windows Server 2003, Web Edition, có thể chấp nhận
chỉ có một mạng riêng ảo (VPN) kết nối tại một thời điểm. Windows Server
2003, Standard Edition, có thể chấp nhận lên đến 1.000 đồng thời kết nối VPN.
Nếu 1000 khách hàng VPN được kết nối, cố gắng kết nối tiếp tục bị từ chối cho
đến khi số lượng kết nối giảm xuống dưới 1.000

14


CHƯƠNG 3: CÁC GIAO THỨC HOẠT ĐỘNG VPN
3.1 Giao thức đường hầm điểm-điểm PPTP ( Point-to-Point Tunneling Protocol )
PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho
những kết nối từ xa. Giao thức PPTP là sự mở rộng của giao thức PPP cơ bản cho nên
giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà nó chỉ hỗ trợ kết
nối từ điểm tới điểm, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo
mật thông qua Internet đến site đích.
Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập
từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở
xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ
Internet là có thể tạo đường hầm bảo mật tới mạng riêng của họ.
PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép
PPTP linh hoạt xử lý các giao thức khác không phải IP như: IPX, NetBEUI,NetBIOS.

Áp dụng trong thực tế của L2TP

- Mô hình PPTP
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP có
thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá

15


khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point
Encryption) để sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ
liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ
liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP
trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.
3.1.1 Các thành phần của PPTP
Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng dùng cho
phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, và PPTP client.

Hình 3.1.1 - Các thành phần cơ bản của một VPN sử dụng PPTP
Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người của
công ty quản lý nhưng NAS phải do ISP hỗ trợ.
Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết nối của
đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng. Máy chủ
PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địa chỉ mạng
của máy tính đích.
Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP. Lọc
gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào Internet ,
mạng riêng hay cả hai.
Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như máy chủ
PPTP nằm sau tường lửa. PPTP được thiết kế sau cho chỉ có một cổng TCP/IP (1723)

được sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có thể làm

16


cho tường lửa dễ bị tấn công hơn. Nếu như tường lửa được cấu hình để lọc gói thì phải
thiết lập nó cho phép GRE đi qua.
Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng tương
tự máy chủ PPTP được gọi là chuyển mạch đường hầm. Mục đích của chuyển mạch
đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng đường
hầm từ mạng của ISP đến mạng riêng. Chuyển mạch đường hầm có thể được sử dụng
tại tường lửa làm tăng khả năng quản lý truy cập từ xa vào tài nguyên của mạng nội
bộ, nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP hoặc tên của
người dùng từ xa.
Phần mềm client PPTP
Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần
mềm nào cho các client, chỉ cần một kết nối PPP chuẩn. Nếu như các thiết bị của ISP
không hỗ trợ PPTP thì một client Windows (hoặc phần mềm tương tự) vẫn có thể tạo
kết nối bảo mật bằng cách: đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số
một lần nữa thông qua cổng PPTP ảo được thiết lập ở client.
Client PPTP đã có sẵn ở Win 9x và các hệ điều hành sau này. Khi chọn client
PPTP cần phải so sánh các chức năng của nó với máy chủ PPTP đã có. Không phải tất
cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu công cụ này thì không
thể tận dụng được ưu điểm mã hoá trong RRAS.
Máy chủ truy cập mạng NAS
Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa
(Remote Access Server) hay bộ tập trung truy cập (Access Concentrator). NAS cung
cấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tính cước và có
khả năng chịu đựng lỗi tại ISP POP. NAS của ISP được thiết kế cho phép một số
lượng lớn người dùng có thể quay số truy cập vào cùng một lúc.

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP, để
hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh. Trong
truờng hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máy chủ
PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm, điểm
kết thúc còn lại là máy chủ tại đầu mạng riêng.
3.1.2 Áp dụng thực tế PPTP
PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế hoạch thay
thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá. PPTP thích hợp cho
17


quay số truy cập với số lượng người dung giới hạn hơn là cho VPN kết nối LAN–
LAN. Một vấn đề của PPTP là xử lý xác thực quyền người dùng thông qua Windows
hay thông qua RADIUS. Máy chủ PPTP cũng quá tải với một số lượng người dùng
quay số truy cập hay một lưu lượng lớn dữ liệu truyền qua, mà điều này là một yêu cầu
của kết nối LAN – LAN. Khi sử dụng VPN PPTP mà có hỗ trợ thiết bị của ISP thì một
số quyền quản lý phải chia sẻ cho ISP. Tính bảo mật của PPTP không mạnh bằng
IPSec. Tuy nhiên, quản lý bảo mật trong PPTP lại đơn giản hơn.
3.2 Giao thức định hướng lớp 2 - L2F ( Layer 2 Forwarding )
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa
trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay
số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng
như Internet. L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống
để cho những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị
truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ
liệu.
3.2.1 Các thành phần & hoạt động của L2F
L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền
xuyên qua một mạng.


Hình 3.2.1 - Mô hình đặc trưng L2F
L2F sử dụng các thiết bị:

18


NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và gateway
home. Hệ thống ERX hoạt động như NAS.
Tunnel: Định hướng đường đi giữa NAS và home gateway. Một đường hầm gồm
một số kết nối.
Home gateway: Ngang hàng với NAS.
Kết nối (connection): Là một kết nối PPP trong đường hầm. Trong CLI, một kết
nối L2F được xem như là một phiên.
Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong
trường hợp này thì Home gateway là điểm đích.
Hoạt động L2F bao gồm các tiến trình: thiết lập kết nối, đường hầm và phiên làm
việc.
Ví dụ minh hoạ hoạt động của L2F:
 Một người sử dụng ở xa quay số tới hệ thống NAS và bắt đầu một kết nối PPP tới
ISP.
 Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP
(Link Control Protocol).
 NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên miền (domain name) hay xác
thực RADIUS để kiểm tra xem có hay không có user yêu cầu dịch vụ L2F.


Nếu user yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway

đích (home gateway).

 Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa có
đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới
gateway đích để chống lại tấn công bởi những kẻ thứ ba.
 Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo dài
phiên PPP từ user ở xa tới home gateway. Kết nối này được thiết lập như sau: Home
gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP, như đã thoả
thuận bởi thiết bị đầu cuối của user và NAS. Home gateway chấp nhận kết nối hoặc
thoả thuận lại LCP và xác thực lại user.
 Khi NAS tiếp nhận lưu lượng dữ liệu từ user, nó lấy gói và đóng gói lưu lượng
vào trong một khung L2F và hướng nó vào trong đường hầm.
 Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới
mạng công ty.
3.2.2 Quản lý L2F
19


Khi hệ thống đã thiết lập những điểm đích, những đường hầm tunnel, và những
phiên kết nối ta phải điều khiển và quản lý lưu lượng L2F như sau:
 Ngăn cản tạo những điểm đích, những đường hầm tunnel, những phiên mới.
 Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường hầm tunnel,
những phiên.
 Có khả năng kiểm tra tổng UDP.
 Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào những đường hầm
và những kết nối.
Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiên tới
điểm đích đó; Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các phiên trong
đường hầm đó.
3.3 Giao thức định hướng L2TP
3.3.1 Các thành phần của L2TP
Bởi vì chức năng chính của L2TP là quay số truy cập VPN thông qua Internet nên

các thành phần của L2TP bao gồm: bộ tập trung truy cập mạng, máy chủ L2TP, và các
L2TP client. Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một
đường hầm, LAC và LNS. LNS có thể cài đặt ngay tại công ty và điều hành bởi một
nhóm làm việc của công ty còn LAC thì thường được hỗ trợ của ISP. Các thành phần
cơ bản của L2TP như hình vẽ:

Hình 3.4- Các thành phần cơ bản của L2TP
Máy chủ mạng L2TP

20


Máy chủ L2TP có hai chức năng chính là: đóng vai trò là điểm kết thúc của đường
hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng và ngược lại.
Máy chủ chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP để có được địa
chỉ mạng của máy tính đích.
Không giống như máy chủ PPTP, máy chủ L2TP không có khả năng lọc các gói.
Chức năng lọc gói trong L2TP được thực hiện bởi tường lửa.Tuy nhiên trong thực tế,
người ta tích hợp máy chủ mạng và tường lửa. Việc tích hợp này mang lại một số ưu
điểm hơn so với PPTP, đó là:
-

L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như trong
PPTP. Chương trình quản lý có thể tuỳ chọn cổng để gán cho tường lửa, điều này
gây khó khăn cho kẻ tấn công khi cố gắng tấn công vào một cổng đã biết trong
khi cổng đó có thể đã thay đổi.

-

Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP nên việc

thiết lập tường lửa sẽ đơn giản hơn. Do một số tường lửa không hỗ trợ GRE nên
chúng tương thích với L2TP hơn là với PPTP.

Phần mềm client L2TP
Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phần
mềm nào cho các client, chỉ cần kết nối chuẩn PPP là đủ. Tuy nhiên, với các thiết lập
trên thì không sử dụng được mã hoá của IPSec. Do vậy ta nên sử dụng các client tương
thích L2TP cho L2TP VPN.
Một số đặc điểm của phần mềm client L2TP
- Tương thích với các thành phần khác của IPSec như: máy chủ mã hoá, giao
thức chuyển khoá, giải thuật mã hoá,…
- Đưa ra một thông báo rõ ràng khi IPSec đang hoạt động.
- Hỗ trợ tải SA về.
- Hàm băm (hashing) xử lý được các địa chỉ IP động.
- Có cơ chế bảo mật khoá (mã hoá khoá với mật khẩu).
- Có cơ chế chuyển đổi mã hoá một cách tự động và định kỳ.
- Chặn hoàn toàn các lưu lượng không IPSec.
Các bộ tập trung truy cập mạng
Một ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ trợ
cho các client L2TP chạy trên các nền khác nhau như Unix, Windows, Macintosh.
Các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ
trợ L2TP vào máy chủ truy cập của họ, điều này đòi hỏi tất cả người dùng phải có

21


client L2TP tại máy của họ. Điều này cho phép người dùng có thể sử dụng dịch vụ của
nhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt địa lý.
3.3.2 Áp dụng trong thực tế của L2TP
Việc lựa chọn một nhà cung cấp dịch vụ L2TP có thể thay đổi tuỳ theo yêu cầu

thiết kế mạng. Nếu thiết kế một VPN đòi hỏi mã hoá đầu cuối-đầu cuối thì cần cài các
client tương thích L2TP tại các host từ xa và thoả thuận với ISP là sẽ xử lý mã hoá từ
máy đầu cuối đến tận máy chủ của mạng VPN. Nếu xây dựng một mạng với mức độ
bảo mật thấp hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó
đi trong đường hầm trên Inernet thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữ
liệu chỉ từ đoạn LAC đến LNS của mạng riêng.
L2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối hợp những
đặc tính tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản phẩm PPTP đều đưa
ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này.
Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạng
khác như Frame Relay, ATM đã làm cho nó thêm phổ biến. L2TP cho phép một lượng
lớn client từ xa được kết nối vào VPN hay cho các kết nối LAN-LAN có dung lượng
lớn. L2TP có cơ chế điều khiển luồng để làm giảm tắc nghẽn trên đường hầm L2TP.
L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS. Mỗi đường
hầm có thể gán cho một ngưòi dùng xác định, hoặc một nhóm các người dùng và gán
cho các môi trường khác nhau tuỳ theo thuộc tính chất lượng phục vụ QoS của người
dùng.
3.3.3 Giao thức đường hầm lớp 2 - L2TP
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2Fchuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công
ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF.
Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng
cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F
không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý
khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng
cách thức các gói được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ
TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực người dùng: đầu tiên
ở ISP trước khi thiết lập đường hầm, sau đó là ở cổng nối của mạng riêng sau khi kết
nối được thiết lập.
22



L2TP mang đặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một giao
thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông qua
nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều công cụ
chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ
thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một mạng ATM
hay frame Relay có thể áp dụng cho đường hầm L2TP.
Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức
điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng
giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS.
Mặc dù Microsoft đã làm cho PPTP trở thành tùy chọn phổ biến khi xây dựng VPN
bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhưng công ty
cũng đã hỗ trợ thêm L2TP.
3.4 Giao thức bảo mật IP - IPSEC
Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn có.
Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các
viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như bây
giờ khi mà Internet trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi trên
Internet và đối tượng sử dụng Internet rộng hơn bao gồm cả các Hacker.
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức
IPSec. Họ giao thức IPSec đầu tiên được dùng cho xác thực, mã hoá các gói dữ liệu
IP, được chuẩn hoá thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này
mô tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP,
gói IP là đơn vị dữ liệu cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề cho các
gói IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề IP – AH (IP
Authentication Header) điều khiển việc xác thực và hai là đóng gói tải tin an toàn ESP
(Encapsulation Security Payload) cho mục đích mã hoá.
IPSec không phải là một giao thức. Nó là một khung của các tập giao thức chuẩn
mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương pháp
nhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu.

IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của
công ty. Nó đảm bảo truyền thông tin cậy trên mạng IP công cộng đối với các ứng
dụng.

23


IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền những
luồng dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệ
luồng dữ liệu giữa hai Host.
IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc
triển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được
thay đổi cho phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4 nhưng
đối với IPv6 thì có sẵn IPSec.
3.4.1 Khung giao thức IPSec
IPSec là khung của các chuẩn mở, được phát triển bởi IETF.

Hình 3.4.1- Khung giao thức được sử dụng trong IPSec
Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.


Giao thức bảo mật IP (IPSec)

+ AH (Authentication Header)
+ ESP (Encapsulation Security Payload)


Mã hoá bản tin
+ DES (Data Encryption Standard)
+ 3 DES (Triple DES)




Các chức năng toàn vẹn bản tin
+ HMAC (Hash – ased Message Authentication Code)
+ MD5 (Message Digest 5)
+ SHA-1 (Secure Hash Algorithm -1)



Nhận thực đối tác (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures
+ RSA Encrypted Nonces

24




Quản lý khoá
+ DH (Diffie- Hellman)
+ CA (Certificate Authority)



Kết hợp an ninh
+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management Protocol)

IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo

mật, toàn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang
hàng có thể là những cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến,
những tường lửa, những bộ tập trung VPN …) hay có thể giữa một host và một cổng
nối bảo mật, như trong VPN truy cập từ xa.
Hai giao thức chính của IPSec là AH (Authentication Header) và ESP
(Encapsulation Security Payload ).
*AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP

truyền

giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong
khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu nên các dữ liệu
đều được truyền dưới dạng bản rõ.
*ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ
liệu, kiểm tra tính toàn vẹn dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua
việc mật mã ở lớp IP. Tất cả các lưu lượng ESP đều được mật mã giữa hai hệ thống.
3.4.1.1 Giao thức AH

Hình 3.4.1.1- Khuôn dạng gói AH
 Next header (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau AH. Giá trị
của trường này được lựa chọn từ tập các giá trị số giao thức IP được định nghĩa bởi
IANA (TCP_6; UDP_ 17).

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×