Tải bản đầy đủ (.docx) (71 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Báo cáo Triển khai VPN với IPSec

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.35 MB, 71 trang )

BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

BÁO CÁO THỰC TẬP CƠ SỞ CHUYÊN NGÀNH
ĐỀ TÀI:
Nghiên cứu, triển khai mạng riêng ảo IPSec VPN
Khóa : AT13 – Nhóm: 114
Giáo viên hướng dẫn : Ths. Lê Thị Hồng Vân
Sinh viên thực hiện : Lê Sỹ Nhiên
Nguyễn Ngọc Ánh
Vũ Thị Tâm

Hà Nội, tháng 10 năm 2019



Ý kiến nhận xét của giáo viên hướng dẫn
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................


.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................
.........................................................................................................................................


MỤC LỤC


Danh mục hình ảnh


Danh mục từ viết tắt
VPN

Virtual Private Network

AH

Authentication Header

ESP

Encapsulating Security Protocol

ISP

Internet Service Provide

WAN


Wide Area Network

LAN

Local Area Network

RRAS

Routing and Remote access

RADIUS

Remote Authentication Dial In User Service

L2TP

Layer 2 Tunneling Protocol

SSTP

Secure Socket Tunneling Protocol

PPTP

Point-to-Point Tunneling Protocol

IAS

International Accouting Standard


GRE

Generic Routing Encapsulation.

IP

Internet Protocol

IPSec

Internet Protocol Security

DARPA

Defense Advanced Research Projects Agency

NIST

National Institute of Standard and Technology

IETF

Internet Engineering Task Force

PAP

Password Authentication Protocol

CHAP


Challenge-Handshake Authentication Protocol

EAP

Extensible Authentication Protocol

TCP

Transmission Control Protocol

ATM

Asynchronous Transfer Mode

FR

Frame Relay

PPP

Point-to-point Protocol

UDP

User Datagram Protocol

NAS

Network Access Server


LAC

L2TP Access Concentrator

LNS

L2TP Network Service

SSL

Secure Sockets Layer

HTTP, HTTPs

Hypertext Tranfer Protocol , Hypertext Tranfer Protocol Sercurity


IKE

Internet Key Exchange

ICV

Integrity Check Value

DES, 3DES

Data Encryption Security, Triple Data Encryption Security


SADB

Security Association Database

ISAKMP

Internet Security Association and Key Management Protocol


LỜI MỞ ĐẦU
Hiện nay Internet đang phát triển mạnh mẽ cả về mặt mô hình lẫn tổ chức, đáp ứng
khá đầy đủ các nhu cầu của người sử dụng. Internet đã được thiế kế để kết nối nhiều mạng
với nhauvà cho phép thông tin chuyển đến người sử dụng một cách tự do và nhanh chóng.
Các doanh nghiệp có chuỗi chi nhánh, cửa hàng ngày càng trở nên phổ biến.
Không những vậy, nhiều doanh nghiệp còn triển khai đội ngũ bán hàng đến tận người
dùng. Do đó để kiểm soát, quản lý, tận dụng tốt nguồn tài nguyên, nhiều doanh nghiệp đã
triển khai giải pháp phần mềm quản lý nguồn tài nguyên có khả năng hỗ trợ truy cập, truy
xuất thông tin từ xa. Tuy nhiên việc truy xuất cơ sở dữ liệu từ xa luôn đòi hỏi cao về vấn
đề an toàn, bảo mật.
VPN – Vitual Private Network ra đời là một trong những lựa chọn số một của hầu
hê các doanh nghiệp và tổ chức hiện nay khi muốn đảm bảo chắc chắn về độ an toàn và
tính bảo mật của toàn bộ hệ thống, cũng như giải pháp tiết kiệm chi phí đầu tư cơ sở hạ
tầng mạng. VPN có thể xây dựng trên cở sở hạ tầng có sẵn của mạng Internet. Với giá cả
hợp lý và dễ sử dụng, VPN có thể giúp các doanh nghiệp tiếp xúc toàn cầu một cách
nhanh chóng và hiệu quảso với các giải pháp mạng WAN, LAN.
Tuy nhiên, song song với những tiện ích không thể phủ nhận mà mạng nó mang
tới, người dùng còn đối mặt với hàng loạt các nguy cơ mà trong đó nguy cơ hàng đầu bị
đánh cắp thông tin, thay đổi thông tin truyển tải một cách có chủ đích. Bài toán đặt ra là
làm thế nào để bảo mật an toàn cho các dữ liệu trong quá trình truyền qua mạng? Làm thế
nào có thể bảo vệ chống lại các cuộc tấn công trong quá trình truyền tải các dữ liệu đó?

IPSec là một trong những giải pháp khả dụng và sau đây chúng ta sẽ đi tìm hiểu về bảo
mật các dữ liệu qua mạng Internet bằng việc sử dụng giao thức IPSec.
Là những sinh viên khoa ATTT, với những kiến thức đã học cùng với mong muốn
tìm hiểu, nghiên cứu sâu hơn về giao thức IPSec VPN chúng em đã chọn đề tài: “Nghiên
cứu, triển khai mạng riêng ảo IPSec VPN” làm đề tài thực tập cơ sở của mình.
Trước khi đi vào bài báo cáo, chúng em xin chân thành cảm ơn cô Lê Thị Hồng
Vân - giáo viên hướng dẫn đã giúp đỡ chúng em rất nhiều để hoàn thành đề tài thực tập
cơ sở này.


CHƯƠNG 1. TỔNG QUAN VỀ VPN
Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin, dữ
liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy Internet
đã bùng nổ. Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung cấp dịch vụ
(ISP – Internet service Provide), sử dụng một giao thức chung là TCP/IP. Điều mà kỹ
thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn thông công
cộng. Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa hay tư vấn trực
tuyến… đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi toàn cầu và không tổ chức hay
chính phủ nào có thể quản lý , cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản
lý các dịch vụ là một vấn đề lớn cần phải giải quyết. Từ đó các nhà khoa học đã nghiên
cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận dụng
cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – Virtual Private
Network ). Với mô hình này, chúng ta không phải đầu tư thêm quá nhiều trang thiết bị ,
cơ sở hạ tầng mà vẫn đảm bảo các tính năng như bảo mật, độ tin cậy đồng thời có thể
quản lý riêng hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà
riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của
tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng. Nó đảm bảo an
toàn thông tin giữa các tổ chức, công ty hoặc chi nhánh, văn phòng, người cung cấp hay
các đối tác kinh doanh trong môi trường truyền thông rộng lớn.
Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộng

như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí.

1.1. Lịch sử phát triển
Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn
từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả với
các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN). Trước kia,
hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các đường thuê
riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với nhau.
Các mốc đánh dấu sự phát triển của VPN:
- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây chuyên
dùng cho các khách hàng lớn. Colisee có thể cung cấp phương thức gọi số chuyên dùng
cho khách hàng. Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiều tính
năng quản lý khác.
- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là mạng
được định nghĩa bằng phần mềm SDN.
- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xí nghiệp
vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, đã kích
thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.
- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
8


- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của Ô-xtrâyli-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu Á – Thái Bình Dương.
- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác
đầu tư Unisource, cung cấp dịch vụ VPN.
- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên minh toàn
cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.
- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp
dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu (GVPNS).
- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French
Telecom) kết thành liên minh Global One.
- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Công nghệ này có
mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo…Các mạng VPN xây
dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cái
nhìn mới cho VPN. Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức
có nhiều văn phòng, chi nhánh lựa chọn. Ngày nay, với sự phát triển của công nghệ, cơ
sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày
một hoàn thiện.
Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ
liệu, hình ảnh và các dịch vụ đa phương tiện.

1.2. Định nghĩa VPN
VPN được hiểu đơn giản là sự mở rộng của một mạng riêng (Private Network)
thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một
mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay
nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như đường
leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng
của các công ty tới các site các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua
mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp các cơ chế mã
hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi gọi
là Tunnel , Tunnel giống như một kết nối point-to-pointtrên mạng riêng. Để có thể tạo ra
một đường ống bảo mật đó, dữ liệu phải được mã hóa theo cơ chế giấu đi, chỉ cung cấp
phần đầu gói tin (header) là thông tin về đường đi cho phép nó có thể đi tới đích thông
qua mạng công cộng một cách nhanh chống. dữ liệu được mã hóa một cách cẩn thận do
đó nếu các packet bị bắt trên đường truyền công cộng cũng không thể đọc nội dung vì
không có khóa đề giải mã, liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối
VPN. Các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel)


9


Hình 1. 1 Mô hình kết nối VPN.

1.3. Các thành phần tạo nên VPN
Để triển khai một hệ thống VPN bạn cần có một số thành phần cơ bản sau, nhưng
việc tạo ra hệ thống VPN thì mỗi người sẽ có một sự lựa chọn thành phần khác nhau để
phù hợp với công ty hay mục đích của mỗi người.

1.3.1. VPN client
Một khách hàng VPN có thể là một máy tính hoặc nó có thể là một bộ định tuyến.
Loại VPN khách hàng sử dụng cho mạng của công ty thực sự phụ thuộc vào nhu cầu cá
nhân của công ty đó.
Mặt khác, nếu công ty có một vài nhân viên những người đi du lịch thường xuyên
và cần phải truy cập vào mạng của công ty trên đường đi, bạn có thể sẽ được hưởng lợi từ
việc thiết lập máy tính xách tay của nhân viên như VPN khách hàng.
Về mặt kỹ thuật, bất kỳ hệ điều hành có thể hoạt động như một VPN khách hàng
miễn là nó hỗ trợ PPTP, L2TP, hoặc giao thức IPSec. Trong các hệ điều hành của
Microsoft, bạn có thể sử dụng 2007, và 2008 thậm chí là Window 2010.

1.3.2. VPN Server
Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàng VPN. Về
mặt kỹ thuật, chúng ta có thể sử dụng Windows 2008 Server, hoặc Windows Server 2012
hay Window Server 2016 như là một máy chủ VPN.
VPN Server khá đơn giản. Nó là một máy chủ cứng Windows Server 2012 chạy
Routing và Remote Access (RRAS). Khi một kết nối VPN đã được chứng thực, các máy
chủ VPN chỉ đơn giản là hoạt động như một bộ định tuyến cung cấp cho khách hàng
VPN có thể truy cập đến một mạng riêng.
10



1.3.3. IAS Server
Một trong những yêu cầu bổ sung cho một máy chủ VPN là cần có một máy chủ
RADIUS(Remote Authentication Dial In User Service). RADIUS là một server sử dụng
dịch vụ quay số xác thực từ xa. RADIUS là cơ chế mà các nhà cung cấp dịch vụ Internet
thường sử dụng để xác thực các thuê bao để thiết lập kết nối Internet.
Microsoft cũng có phiên bản riêng của RADIUS được gọi là Dịch vụ xác thực
Internet hoặc IAS( International Accounting Standards ) .

1.3.4. Firewall
Các thành phần khác theo yêu cầu của VPN là một tường lửa tốt. Máy chủ VPN của
chấp nhận kết nối từ thế giới bên ngoài, nhưng điều đó không có nghĩa là thế giới bên
ngoài cần phải có quyền truy cập đầy đủ đến máy chủ VPN. Chúng ta phải sử dụng một
tường lửa để chặn bất kỳ cổng không sử dụng.
Yêu cầu cơ bản cho việc thiết lập kết nối VPN là địa chỉ IP của máy chủ VPN có
thông qua tường lửa của bạn để tiếp cận với máy chủ VPN.
Nếu bạn nghiêm túc về an ninh (và nếu có ngân sách),chúng ta có thể đặt một máy
chủ ISA giữa chu vi tường lửa và máy chủ VPN. Ý tưởng là có thể cấu hình tường lửa để
chỉ đạo tất cả lưu lượng truy cập VPN có liên quan đến ISA Server chứ không phải là
máy chủ VPN. ISA Server sau đó hoạt động như một proxy VPN. Cả hai khách hàng
VPN và VPN Server chỉ giao tiếp với máy chủ ISA. Họ không bao giờ giao tiếp trực tiếp
với nhau. Điều này có nghĩa rằng ISA Server được che chắn các máy chủ VPN từ khách
hàng truy cập trực tiếp, vì thế cho máy chủ VPN thêm một lớp bảo vệ.

1.3.5. Giao thức Tunneling
Khi VPN khách hàng truy cập vào một máy chủ VPN, họ làm như vậy qua một
đường hầm ảo. Một đường hầm là không có gì hơn một lối đi an toàn qua môi trường
không an toàn (thường là Internet). Tuy nhiên, đường hầm thì không tự nhiên mà có. Nó
đòi hỏi việc sử dụng một giao thức đường hầm. Có một số giao thức để lựa chọn để tạo

đường hầm như : IPSec, L2TP , PPTP, GRE. Nhưng lựa chọn giao thức đường hầm đúng
cho công ty, hay nhu cầu của mỗi người là một quyết định quan trọng khi lập kế hoạch
thiết kế VPN.
Lợi thế lớn nhất mà L2TP hơn PPTP là nó dựa trên IPSec. IPSec mã hóa dữ liệu,
cung cấp xác thực dữ liệu , dữ liệu của người gửi sẽ được mã hóa và đảm bảo không bị
thay đổi nội dung trong khi truyền. Hơn nữa, IPSec được thiết kế để ngăn chặn các cuộc
tấn công replay.
Mặc dù L2TP có vẻ là có lợi thế hơn so với PPTP, nhưng PPTP cũng có lợi thế riêng
đó là khả năng tương thích. PPTP hoạt động tốt với các hệ điều hành Windows hơn L2TP.

1.4. Lợi ích và hạn chế của việc sử dụng VPN
1.4.1. Lợi ích
Việc sử dụng mạng riêng ảo là một nhu cầu và là xu thế của công nghệ truyền
thông bởi vì nó có một số ưu điểm như:
11




Giảm thiểu chi phí triển khai và duy trì hệ thống:
-

Với VPN việc triển khai hệ thống đáp ứng đầy đủ nhu cầu truyền tải hay tính
bảo mật an toàn dữ liệu nhưng chi phí thì khá rẻ vì VPN giảm thiểu tối đa phí
thuê đường truyền dài thay vào đó là sự tận dụng lại hệ thống mạng Internet
có sẵn.

-

Phí duy trì hệ thống cũng là một vấn đề đáng quan tâm , Với VPN phí duy trì

rất rẻ , hơn thế nữa bằng việc thuê hạ tầng có sẵn của các công ty dịch vụ
Internet thì chi phí duy trì sẽ không còn đáng lo ngại.

• Cải thiện kết nối.
- Vượt qua bộ lọc chặn truy cập Web: VPN là một lựa chọn tốt để có thể vượt qua
được bộ lọc Internet, đây là lý do tại sao VPN được sử dụng nhiều tại một số
nước có sự kiểm duyệt Internet khắt khe.
- Việc thay đổi địa chỉ IP: Nếu muốn thay đổi IP khác thì VPN có thể giúp chúng
làm điều này việc này giúp ta có thể che dấu được địa chỉ của mình tránh được sự
xâm hại hay ý đồ xấu của những hacker (kẻ tấn công, tin tặc) bên ngoài mạng.
• An toàn trong giao dịch.
- Việc trao đổi thông tin trong công việc là nhiều và liên tục, nhưng vấn đề bảo
mật thông tin thì cực kì quan trọng, với VPN chúng ta sẽ không phải lo lắng
quá nhiều về việc đó , VPN sử dụng cơ chế giấu đi, các dữ liệu sẽ được mã hóa
và thông tin dữ liệu được bảo bọc bởi gói tin Header (phần đầu gói tin ghi địa
chỉ đầu - cuối của gói tin) và truyền đi nhanh chóng dựa vào Internet.
-

VPN đáp ứng tốt việc chia sẽ gói tin và dữ liệu trong một thời gian dài.

• Khả năng điều khiển từ xa.
- Thời đại hiện nay, Mọi người làm việc muốn tiết kiệm thời gian và giảm chi
phí, vì vậy việc một người làm việc tại nhà mà vẫn có thể giải quyết tốt những
công việc của họ thì thật là tuyệt vời. Với VPN người dùng có thể truy cập vào
hệ thống mạng từ bất kì đâu ở nhà thậm chí là một quán coffe chỉ cần nơi đó có
Internet (ở đây hệ thống VPN sử dụng Internet), vì vậy nó rất có lợi đối cho
việc thực hiện công việc từ xa.
• Khả năng mở rộng hệ thống tốt.
- Chi phí để xây dựng một hệ thống mạng lưới chuyên dụng (sử dụng cáp mạng)
cho một công ty lúc đầu có thể là hợp lý, tuy nhiên công ty ngày càng phát triển

nhu cầu mở rộng hệ thống mạng là cần thiết vì vậy VPN là một lựa chọn hợp lý
bởi vì VPN không phụ thuộc quá nhiều vào vấn đề “hệ thống”, nói một cách đơn
giản là khi muốn mở rộng thì chỉ cần tạo thêm đường ống (tunnel) kết nối dưa
trên hạ tầng Internet có sẵn.

1.4.2. Hạn chế

12


Mặc dù phổ biến nhưng mạng riêng ảo (VPN) không hẳn là hoàn hảo và hạn chế thì
luôn luôn tồn tại trọng bất kì hệ thống mạng nào. Một số hạn chế cần lưu ý khi triển khai
hệ thống VPN:
• VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài
đặt phải cẩn thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet
công cộng.
• Độ tin cậy và hiệu xuất của một VPN dựa trên Internet không phải là dưới sự
kiểm soát trực tiếp của công ty , vì vậy giải pháp thay thế là hãy sử dụng một
nhà cung cấp dịch vụ (ISP) tốt và chất lượng.
• Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp khác
nhau không phải lúc nào cũng tương thích do các vấn đề về tiêu chuẩn công
nghệ VPN. Khi sử dụng pha trộn và kết hợp các thiết bị sẽ có thể gây ra
những vấn đề kỹ thuật hoặc nếu sử dụng không đúng cách sẽ lãng phí rất
nhiều chi phí triển khai hệ thống.
• Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề bảo
mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ
thống văn phòng bằng máy tính xách tay, máy tính riêng, khi đó các nếu máy
tính của họ thực hiện hàng loạt các ứng dụng khác, ngoài việc kết nối tới văn
phòng làm việc thì hacker (kẻ tấn công, tin tặc) có thể lợi dụng yếu điểm từ
máy tính cá nhân của họ tấn công vào hệ thống của công ty. Vì vậy việc bảo

mật cá nhân luôn được các chuyên gia khuyến cáo phải đảm bảo an toàn.

1.5. Chức năng của VPN
Một số chức năng chính của VPN :
• Tính bảo mật (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu
trước khi truyền chúng ngang qua mạng. Bằng cách đó, không ai có thể truy
nhập thông tin mà không được cho phép, nếu lấy được thông tin thì cũng
không đọc được vì thông tin đã được mã hóa.
• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra dữ liệu
nhận được sau khi truyền qua Internet có bị thay đổi hay không.
• Xác thực nguồn gốc (Origin Authentication): Khi nhận được dữ liệu điều mà
đầu tiên phải làm là xác thực ngồn gốc của dữ liệu, VPN cho phép người
dùng xác thực thông tin, nguồn gốc của dữ liệu.

1.6. Phân loại mạng VPN
1.6.1. Mạng VPN truy nhập từ xa (Remote Access VPN)
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời điểm, các
nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng của
công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi vì, những VPN này
có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet.

13


VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ
sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Chúng có
thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sử dụng
di động, những chi nhánh và những bạn hàng của công ty. Những kiểu VPN này được
thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay
số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client

chạy trên máy tính của người sử dụng

Hình 1. 2 Mô hình mạng VPN truy nhập từ xa
Các ưu điểm của mạng VPN truy nhập từ xa:
• Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá
trình kết nối từ xa được các ISP thực hiện.
• Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối khoảng
cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
• Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.
• Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độ
cao hơn so với các truy nhập khoảng cách xa.
• VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng
hỗ trợ mức thấp nhất của dịch vụ kết nối.
Nhược điểm của mạng VPN truy cập từ xa:
• Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.
• Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát không
đến nơi hoặc mất gói.
14


• Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể.

1.6.2. Mạng VPN cục bộ ( Intranet VPN)
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau
của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ
sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất
cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng
của công ty.
Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng,
tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chiphí thấp nhưng vẫn đảm bảo

tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site
Central site

Remote site
POP

Internet

or

Router

PIX Firewall
Văn phòng trung tâm
v¨n phßng ë xa

Hình 1. 3 Mô hình mạng VPN cục bộ
Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:
• Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng
thông qua một hay nhiều nhà cung cấp dịch vụ).
• Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.
• Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên
nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.
• Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường
ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ
cao. Ví dụ như công nghệ Frame Relay, ATM.
Nhược điểm chính của mạng cục bộ dựa trên giải pháp VPN :
• Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho
nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất
lượng dịch vụ (QoS).

• Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.
• Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu
cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong môi
trường Internet.
15


1.6.3. Mạng VPN mở rộng (Extranet)
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở
rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả
năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những
đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp… .

Central site

Remote site
DSL
DSL
cable

POP

Internet

or

Router

PIX Firewall


Extranet

Văn phòng
Intranetở xa

Business-to-business

Văn phòng trung tâm

Hình 1. 4 Mô hình mạng VPN mở rộng
Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà
cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết
nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự khác nhau
giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở
một trong hai đầu cuối của VPN.
Những ưu điểm chính của mạng VPN mở rộng:
• Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.
• Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.
• Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ
hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu
của mỗi công ty hơn.
• Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm
được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận
hành của toàn mạng.
Nhược điểm của mạng VPN mở rộng:
• Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng
vẫn tồn tại.
• Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫn
tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet.
16



• Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.

1.7. Các giao thức sử dụng trong VPN
1.7.1. Bộ giao thức IPSec
Internet Protocol Security (IPSec) là một bộ giao thức bảo mật (Internet Protocol IP) thông tin liên lạc, bằng cách xác thực và mã hóa mỗi gói tin IP của một phiên giao
dịch, IPSec cũng bao gồm các giao thức cho việc thiết lập xác thực lẫn nhau giữa các đại
lý trong các phiên giao dịch và đàm phán bằng cách sử dụng các key mã hóa.
IPSec là một chương trình điều hành bảo mật end-to-end trong các Layer Internet
(lớp kết nối internet) của Internet Protocol Suite (IPS - giao thức chuẩn trong internet).
Nó được sử dụng để việc bảo vệ luồng dữ liệu giữa một cặp máy (host-to-host), giữa hai
mạng (network-to-network), hay giữa một mạng với một máy chủ (network-to-host).
Nguồn gốc IPSec ban đầu được phát triển tại phòng thí nghiệm Nghiên cứu hải
quân và là một phần của dự án nghiên cứu của DARPA (Defense Advanced Research
Projects Agency - cơ quan nghiên công nghệ tiên tiến của bộ quốc phòng Mỹ ). Trong đó
ESP đã được bắt nguồn trực tiếp thứ giao thức SP3D, chứ không phải được bắt nguồn từ
lớp ISO Security Network Protocol (NLSP), các đặc trưng kĩ thuật của giao thức SP3D
được đưa ra bởi NIST(National Institute of Standards and Technology – Viện tiêu chuẩn
và công nghệ), nhưng SP3D được thiết kế để bảo mật hệ thống mạng bởi cơ quan an ninh
Quốc gia (NSP), IPSec AH bắt nguồn từ các tiêu chuẩn IETF(Internet Engineering Task
Force).

1.7.2. Giao thức PPTP (Point-to-Point Tunneling Protocol).
PPTP là một phương thức của mạng riêng ảo, được phát triển bởi Microsoft kết hợp
với một số công ty khác, nó sử dụng một kênh điều khiển qua giao thức TCP và đường
hầm GRE để đóng gói các gói dữ liệu PPP (Point-to-Point). PPTP là một phần của các
tiêu chuẩn Internet Point-to-Point (PPP), PPTP sử dụng các loại xác thực như PPP (PAP,
SPAP, CHAP, MS-CHAP, và EAP).
PPTP thiết lập đường hầm nhưng không cung cấp mã hóa, nó mã hóa bằng cách sử

dụng giao thức Microsoft Point-to-Point Encrytion (MPPE) để tạo ra một VPN an toàn.
PPTP có chi phí tương đối thấp, điều này giải thích tại sao PPTP thường được sử dụng
nhiều bởi các khách hàng của Microsoft.
Nguyên tắc hoạt động của PPTP.
PPTP mã hóa, xác thực và PPP thương lượng, mọi dữ liệu đi qua và đóng gói dữ liệu
trong một phong bì IP. Khi dữ liệu được bắt lại, nó di chuyển qua một “đường hầm”. Mỗi
bộ định tuyến hay máy mà dữ liệu đi qua sẽ được xem là một gói IP. Những đường hầm
này cung cấp giao tiếp bảo mật cho sử dụng LAN hoặc sử dụng WAN. Ngay cả khi trên
một kết nối mạng công khai, thông tin vẫn sẽ được gửi một cách an toàn.
Đường hầm PPTP:
Có hai loại đường hầm:
Tạo đường hầm tự nguyện – Được bắt đầu bởi máy khách.
17


Tạo đường hầm bắt buộc – Được bắt đầu bởi máy chủ PPTP.
Các đường hầm được tạo ra khi người dùng khởi chạy một máy khách PPTP kết nối
với Nhà cung cấp Dịch vụ Internet (ISP) của họ, đây là bước Tạo đường hầm Tự
nguyện. Khi máy chủ khởi đầu, nó được gọi là Tạo đường hầm Bắt buộc. Tạo đường hầm
Bắt buộc phải có một bộ định tuyến để bắt đầu. Tạo đường hầm Tự nguyện không cần bộ
định tuyến, cầu nối hay hỗ trợ của ISP để bắt đầu.
Tạo đường hầm tự nguyện xây dựng một kết nối Giao thức Điều khiển Truyền dẫn
(TCP) giữa máy khách và máy chủ. Khi đường hầm VPN đã được thiết lập, PPTP có thể
hỗ trợ hai loại luồng thông tin khác nhau:
Kiểm soát thông điệp để quản lý kết nối VPN. Các thông điệp này truyền trực tiếp
giữa máy khách và máy chủ.
Các gói dữ liệu đi qua đường hầm đến hoặc từ máy khách.
Tính năng và hạn chế của PPTP.
• Tính năng :
-


PPTP tạo ra nhiều kết nối giữa các khách hàng mà không yêu cầu
dịch vụ đặc biệt ISP.

-

PPTP phù hợp trên nhiều hệ điều hành thông dụng. (Microsoft
,Nortel Network, TeteSystems…).

-

PPTP hỗ trợ các dịch vụ IP, mã hóa các gói tin RC4 (56 bit hoặc
128 bit), sử dụng port 1723 và các giao thức GRE.

• Một số hạn chế:
Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật
do nó dùng mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng
mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người dùng. Điều này
càng nguy hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn
trong quá trình xác nhận. Giao thức tạo đường hầm kế tiếp (L2F) được phát
triển nhằm cải thiện bảo mật với mục đích này.

1.7.3. Giao thức đường hầm lớp 2 (Layer 2 Tunneling Protocol).
IETF đã kết hợp hai giao thức PPTP và L2F và phát triển thành L2TP. Nó kết hợp
những đặc điểm tốt nhất của PPTP và L2F. Vì vậy, L2TP cung cấp tính linh động, có thể
thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và khả năng kết nối
điểm điểm nhanh của PPTP.
Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:
1. L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP.
2. L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều


khiển và hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet
cũng không cần triển khai thêm các phần mềm chuyên biệt.
3. L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng

công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư).
18


Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng máy
chủ. Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ
xa. Hơn nữa, mạng riêng intranet có thể định nghĩa những chính sách truy cập riêng cho
chính bản thân. Điều này làm qui trình xử lý của việc thiết lập đường hầm nhanh hơn so
với giao thức tạo hầm trước đây.
Điểm chính của L2TP tunnels là L2TP thiếp lập đường hầm PPP không giống như
PPTP, không kết thúc ở gần vùng của ISP. Thay vào đó, những đường hầm mở rộng đến
cổng của mạng máy chủ (hoặc đích), những yêu cầu của đường hầm L2TP có thể khởi
tạo bởi người dùng từ xa hoặc bởi cổng của ISP.
Khi PPP frames được gửi thông qua L2TP đường hầm, chúng được đóng gói như
những thông điệp User Datagram Protocol (UDP). L2TP dùng những thông điệp UDP
này cho việc tạo hầm dữ liệu cũng như duy trì đường hầm. Ngoài ra, đường hầm dữ liệu
và đường hầm duy trì gói tin, không giống những giao thức tạo hầm trước, cả hai có cùng
cấu trúc gói dữ liệu.
Các thành phần của L2TP.
Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network Access
Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP Network Server
(LNS).
-

Network Access Server (NAS)

- L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối
Internet đến người dùng từ xa, là những người quay số (thông qua PSTN hoặc
ISDN) sử dụng kết nối PPP. NASs phản hồi lại xác nhận người dùng từ xa ở nhà
cung cấp ISP cuối và xác định nếu có yêu cầu kết nối ảo. Giống như PPTP NASs,
L2TP NASs được đặt tại ISP site và hành động như client trong qui
trình thiết lập L2TP tunnel. NASs có thể hồi đáp và hỗ trợ nhiều yêu cầu kết nối
đồng thời và có thể hỗ trợ một phạm vi rộng các client .

-

Bộ tập kết truy cập L2TP (LAC)
Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một đường hầm
thông qua một mạng công cộng (như PSTN, ISDN, hoặc Internet) đến LNS ở tại
điểm cuối mạng chủ. LACs phục vụ như điểm kết thúc của môi trường vật lý
giữa client và LNS của mạng chủ.

-

L2TP Network Server (LNS)
- LNSs được đặt tại cuối mạng chủ. Do đó, chúng dùng để kết thúc kết nối
L2TP ở cuối mạng chủ theo cùng cách kết thúc đường hầm từ client của LACs.
Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập
đường hầm và xác nhận người dùng, là người khởi tạo yêu cầu kết nối. Nếu LNS
chấp nhận yêu cầu kết nối, nó tạo giao diện ảo.
Những thuận lợi và bất lợi của L2TP.
• Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây:

19



- L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập.
Nó cũng hỗ trợ nhiều công nghệ mạng khác nhau. Ngoài ra, nó còn hỗ trợ
giao dịch qua kết nối WAN non-IP mà không cần một IP.
- L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa. Do đó,
không đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP.
- L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP
phải làm điều này.
- L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu
xuống tùy ý nếu đường hầm quá tải. Điều này làm cho qua trình giao dịch
bằng L2TP nhanh hơn so với quá trình giao dịch bằng L2F.
- L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địa chỉ IP truy
cập vào mạng từ xa thông qua một mạng công cộng.
- L2TP nâng cao tính bảo mật do sử dụng IPSec-based payload encryption
trong suốt qua trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng
gói dữ liệu.
• Ngoài ra việc triển khai L2TP cũng gặp một số bất lợi sau:
- L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi
gói dữ liệu nhận được.
- Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một
Routing and Remote Access Server (RRAS) cần có những cấu hình mở rộng.

1.7.4. Secure Socket Tunneling Protocol (VPN-SSTP)
Hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 trở lên còn hỗ trợ
thêm một cơ chế kết nối mới là: Secure Socket Tunneling Protocol (SSTP).
a. Giới thiệu.
SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN
trong Windows Vista và Windows Server 2008. SSTP sử dụng các kết nối HTTP đã được
mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway. SSTP là một giao thức rất
an toàn vì các thông tin quan trọng của người dùng không được gửi
cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN gateway. SSTP

cũng được biết đến với tư cách là PPP trên SSL, chính vì thế nó cũng có nghĩa là bạn có
thể sử dụng các cơ chế chứng thực PPP và EAP để bảo đảm cho các kết nối SSTP được
an toàn hơn.
b. Lý do sử dụng SSTP trong VPN.
Mạng riêng ảo VPN cung cấp một cách kết nối từ xa đến hệ thống mạng thông
qua Internet. Windows Server 2003 hỗ trợ các đường hầm VPN dựa vào PPTP và
L2TP/IPSec. Nếu người dùng truy cập từ xa ở đằng sau một Firewall,những đường
hầm này đòi hỏi các port riêng biệt được mở bên trong các firewall như các port TCP
1723 và giao thức IP GRE để cho phép kết nối PPTP.

20


Có những tình huống như nhân viên ghé thăm khách hàng, địa điểm đối tác hoặc
khách sạn mà hệ thống chỉ cho truy cập web (HTTP,HTTPs),còn tất cả các port khác bị
ngăn chặn. Kết quả,những user từ xa này gặp phải vấn đề khi thực hiện kết nối VPN do
đó làm tăng cuộc gọi nhờ trợ giúp và giảm năng suất của nhân viên. Secure Socket
Tunneling Protocol(SSTP) là một đường hầm VPN mới được giới thiệu trong Windows
Server 2008 nhằm giải quyết vấn đề kết nối VPN này.
SSTP thực hiện điều này bằng cách sử dụng HTTPs làm lớp vận chuyển
sao cho các kết nối VPN có thể đi qua các firewall, NAT và server web proxy thường
được cấu hình. Bởi vì kết nối HTTPs (TCP 443) thường được sử dụng để truy cập các
site Internet được bảo vệ như các web site thương mại, do đó HTTPs thường được mở
trong các firewall và có thể đi qua các Proxy web, router NAT.
VPN Server chạy trên nền Windows Server 2008 dựa vào SSTP để lắng nghe các
kết nối SSTP từ VPN client. SSTP server phải có một Computer
Certificate được cài đặt thuộc tính Server Authentication.Computer Certificate này được
sử dụng để xác thực server SSTP với client SSTP trong quá trình thiết lập session
SSL.Client hiệu lực hóa certificate của server SSTP.Để thực hiện điều này thì Root CA
cấp phát certificate cho SSTP server phải được cài đặt trên client SSTP.

Đường hầm VPN dựa vào SSTP có chức năng như một đường hầm peer- L2TP
và dựa vào PPTP. Điều này có nghĩa PPTP được bao bọc trên SSTP mà sao đó gửi các
lưu lượng cho cho kết nối HTTPs. Như vậy,tất cả các tính năng khác
của VPN như kiểm tra sức khỏe dựa vào NAT, tải lưu lượng IPV6 trên VPN, các
thuật toán xác thực như username và smartcard...và client VPN dựa vào trình quản lý kết
nối vẫn không thay đổi đối với SSTP, PPTP và L2TP. Nó giup cho Admin một đường dẫn
di trú tốt để di chuyển từ L2TP/PPTP đến SSTP.
c. SSTP họat động như thế nào?
SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật thông
tin và dữ liệu. SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc yêu cầu sử
dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạy trên
để xác thực client với server. Nghĩa là Client xác thực server bằng certificate và Server
xác thực Client thông qua giao thức hiện có được hỗ trợ bởi PPP.
Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm giao
tác tạo lập đường hầm, SSTP thiết lập session HTTPs với server từ xa tại port 443 ở một
địa chỉ URL riêng biệt. Các xác lập proxy HTTP được cấu hình thông qua IE sẽ được sử
dụng để thiết lập kết nối này.
Với session HTTPs, client đòi hỏi server cung cấp certificate để xác
thực.Khi thiết lập quan hệ SSL hòan tất, các session HTTP được thíet lập trên đó. Sau đó,
SSTP được sử dụng để thương lượng các tham số giữa Client và Server.
Khi lớp SSTP được thiết lập, việc thương lượng SSTP được bắt đầu nhằm cung cấp cơ
chế xác thực client với server và tạo đường hầm cho dữ liệu.

21


22


CHƯƠNG 2: IPSEC VPN

2.1. Bộ giao thức IPSec
2.1.1. Kiến trúc của IPSec
IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhau
như mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựa
trên các thành phần cơ bản sau đây, mỗi thành phần được định nghĩa trong một tài liệu
riêng tương ứng:

Hình 2. 1 Kiến trúc IPSec


Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu
cầu của IPSec.



Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã
và xác thực thông tin trong IPSec.



Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng
gần giống ESP. Như vậy khi triển khai IPSec, người sử dụng có thể chọn
dùng ESP hoặc AH, mỗi giao thức có ưu và nhược điểm riêng.



Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng
trong IPSec. IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng.




Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng
trong AH và ESP.



Quản lý khoá (RFC 2408): Mô tả các cơ chế quản lý và trao đổi khoá trong
IPSec.
23




Miền thực thi (Domain of Interpretation – DOI): Định nghĩa môi trường
thực thi IPSec. IPSec không phải là một công nghệ riêng biệt mà là sự tổ
hợp của nhiều cơ chế, giao thức và kỹ thuật khác nhau, trong đó mỗi giao
thức, cơ chế đều có nhiều chế độ hoạt động khác nhau. Việc xác định một
tập các chế độ cần thiết để triển khai IPSec trong một tình huống cụ thể là
chức năng của miền thực thi. Xét về mặt ứng dụng, IPSec thực chất là một
giao thức hoạt động song song với IP nhằm cung cấp 2 chức năng cơ bản
mà IP nguyên thuỷ chưa có, đó là mã hoá và xác thực gói dữ liệu. Một cách
khái quát có thể xem IPSec là một tổ hợp gồm hai thành phần:



Giao thức đóng gói, gồm AH và ESP: bảo về truyền thông IP, dựa vào SA
(khóa, địa chỉ, các thuật toán mật mã)




Giao thức trao đổi khoá IKE (Internet Key Exchange): để thiết lập các SA
(Security Association) cho AH hoặc ESP, và duy trì/quản lý các kết nối

2.1.2. Giao thức AH (Authentication Header).
AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn nữa nó là
lựa chọ nhằm chống lại các tốn công replay attack bằng cách sử dụng công nghệ chống
tấn công sliding window và discarding older packets , AH bảo vễ quá trính truyền dữ liệu
khi sử dụng IP. Trong IPv4, IP Header có bao gồm TOS, Flags, Fragment Offset, TTL, va
Header checksum. AH thực hiện trực tiếp trong phần đầu tiền của gói tin IP. Dưới đây là
mô hình của AH header.

Hình 2. 2 Cấu trúc gói tin AH
Ý nghĩa của từng trường:
• Next header (8 Bits): Nhận dạng giao thức sử dụng truyền thông tin, các
định lại dữ liệu chứa trong tiêu đề AH.
• Payload leghth (8 Bits): Độ lớn của gói tin AH tính bằng đơn vị (32 Bits)
và trừ đi 2 đơn vị.
-

(ví dụ: toàn bộ chiều dài tiêu đề AH là 6 thì chiều dài vùng
Payload là 4).

24


• RESERVED (16 Bits): Sử dụng trong tương lai (cho đến thơi điểm hiện
này nó được biểu diễn bằng các con số 0).
• Security paramaters index (SPI – 32 Bits): Nhận ra các thông số bảo mật,
được tích hợp với địa chủ IP, và nhận dàng các thương lượng bào mật được
kết hợp vói các gói tin. Giá trị 1-255 được dành riêng, giá trị 0 sử dụng cho

mục đích đặc biệt, các giá trị khác dùng gắn cho SPI.
• Sequence numbet (32 Bits): đây là một giá trị không đâu, luôn tăng và cho
phép cung cấp dịch vụ antireplay cho một SA. Thông tin này không nhất
thiết được dùng bới bên nhận nhưng nó có phải bao gôm thiết bị gửi. Chỉ số
này được khởi động về 0 khi SA được thiết lập. Nếu dịch dụ antureplay
dược dùng, chỉ số này không bao giờ dc phép lặp lại.Bởi vì bên gửi không
biết bên nhận có dùng dịch vụ antireplay hay không, SA sẽ được hủy và
một SA mới sẽ được tái thiết lập sau khi có 232 goi tin được truyền.
• Authentication data (chiều dài không xác định): trường này chứa nhiều giá
trị Integrity Check Value (ICV) cho gói tin.Trường này phải là một số
nguyên bội số của 32 và có thể chứa các giá trị đệm (padding) để ấp đấy
các bít trống chp đủ 32 bits. Giá trị ICV này được dùng các giải thuật như
Message Authentication Code (MACs). MACs được dựa trên các giải thuật
mã hóa đồi xứng như DES và 3DES hoặc các hàm Hash một chiều dải
nhưu MD5 hoặc SHA-1. Khi tính choán chỉ số ICV, dùng trong MAC làm
giá trị này khó bị bẻ gãy. Mỗi đầu của một kết nối VPN sẽ tính toàn chỉ số
ICV này một cách độc lập. Nếu các giá trị này không trùng, gói tin sẽ bị bỏ
qua. Điều này giúp đảm bảo các gói tin không bị thay đổi trong quá trình
truyền.
AH cung cấp các tính xác thực, tính nguyên vẹn và khâu lặp cho toàn
bộ gói tin bao gồm cả phần tiêu đề của IP (IP Header) và các gói dữ liệu
được chuyển trong các gói tin.
AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ
liệu có thể được đọc nhưng chúng sẽ được bảo vệ đề chống lại sự thay đổi.
AH sẽ sử dụng thuật toán Key AH đề đánh dấu gói dữ liệu nhằm đảm bảo
tính toàn vẹn của gói dữ liệu.

Hình 2. 3 Các thành phần chứng thực trong AH

25



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×