VPN Khi cần phải triển khai hệ thống đảm bảo tính an tồn, ổn định, linh hoạt để đáp ứng yêu cầu doanh nghiệp, tổ chức phương án lựa chọn áp dụng nhiều là: Private Network, Hybrid Network Virtual Private Network VPN LÀ GÌ?? VPN mạng riêng ảo dùng để kết nối mạng riêng lẻ xa thông qua đường truyền internet công cộng thay cho việc sử dụng kết nối thực VPN rẻ so với private hybrid network (2 thằng sử dụng đường truyền riêng biệt (leaseed line) VPN dùng đường truyền internet cơng cộng) CĨ BAO NHIÊU LOẠI VPN? Có loại VPN thơng dụng: Remote-Access: Hay gọi Virtual Private Dial-up Network (VPDN), dạng kết nối User-to-Lan áp dụng cho công ty mà nhân viên có nhu cầu kết nối tới mạng riêng (private network) từ địa điểm từ xa ESP (Enterprise Service Provider) cài đặt một công nghệ Network Access Server (NAS) cung cấp cho user xa với phần mềm client máy họ Các nhân viên từ xa sau quay số từ 1-800 để kết nối theo chuẩn NAS sử dụng phần mềm VPN client để truy cập mạng công ty họ Các công ty sử dụng loại kết nối hãng lớnvới hàng trăm nhân viên thương mại Remote-access VPNs đảm bảo kết nối bảo mật, mã hố mạng riêng rẽ cơng ty với nhân viên từ xa qua nhà cung cấp dịch vụ thứ ba (thirdparty) 1.4.1.2 Ưu nhược điểm Remote Access VPN  Ưu điểm Remote Access VPN: - VPN truy nhập từ xa không cần đến hỗ trợ quản trị mạng kết nối từ xa nhà cung cấp dịch vụ Internet đảm nhiệm Giảm giá thành chi phí kết nối với khoảng cách xa kết nối VPN truy nhập từ xa kết nối Internet VPN cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu  Nhược điểm Remote Access VPN: - Remote Access VPN không đảm bảo chất lượng dịch vụ (QoS) Khả liệu cao, thêm phân đoạn gói liệu bị thất Do độ phức tạp thuật toán mã hoá nên gây khó khăn cho q trình xác nhận Site-to-Site: Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, cơng ty tạo kết nối với nhiều site qua mạng cơng cộng Internet Các mạng Site-to-site VPN thuộc hai dạng sau: Intranet-based: Áp dụng truờng hợp cơng ty có nhiều địa điểm xa, địa điểm có mạng cục LAN Khi họ xây dựng mạng riêng ảo VPN để kết nối mạng cục mạng riêng thống  Những ưu điểm giải pháp bao gồm: - Các mạng cục diện rộng thiết lập thông qua hay nhiều  nhà cung cấp dịch vụ Internet - Giảm nhân lực hỗ trợ kỹ thuật mạng chi nhánh xa - Do kết nối trung gian thực thơng qua Internet nên dễ dàng thiết lập thêm liên kết ngang hàng - Tiết kiệm chi phí từ việc sử dụng đường hầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Tuy nhiên, giải pháp Intranet VPN có nhược điểm định như: - Do liệu truyền qua mạng công cộng (mặc dù mã hóa) nên cịn mối đe dọa mức độ bảo mật liệu chất lượng dịch vụ (QoS) - Khả gói liệu bị thất truyền cao - Trong trường hợp cần truyền khối lượng lớn liệu đa phương tiện với yêu cầu tốc độ cao đảm bảo thời gian thực thách thức lớn môi trường Internet Extranet-based: Khi cơng ty có mối quan hệ mật thiết với cơng ty khác (ví dụ như, đồng nghiệp, nhà hỗ trợ hay khách hàng), họ xây dựng mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan cho phép công ty làm việc mơi trường có chia sẻ tài ngun  Những ưu điểm VPN mở rộng bao gồm: - Chi phí cho VPN mở rộng thấp nhiều so với giải pháp kết nối khác để đạt mục đích - Dễ dàng thiết lập, bảo trì thay đổi với mạng hoạt động - Do VPN mở rộng xây dựng dựa Internet nên có nhiều hội việc cung cấp dịch vụ lựa chọn giải pháp phù hợp với nhu cầu cụ thể công ty - Các kết nối Internet ISP bảo trì nên giảm số lượng nhân viên kỹ thuật hỗ trợ mạng, giảm chi phí vận hành toàn mạng Bên cạnh ưu điểm trên, giải pháp VPN mở rộng có nhược điểm định như: - Vấn đề bảo mật thơng tin gặp khó khăn môi trường mở rộng vậy, điều làm tăng nguy rủi ro mạng cục cơng ty - Khả thất liệu truyền qua mạng công cộng tồn - Việc truyền khối lượng lớn liệu với yêu cầu tốc độ cao thời gian thực thách thức lớn cần giải  CHỨC NĂNG CHÍNH: | Sự tin cậy (Confidentiality): Người gửi mã hố gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, khơng truy cập thơng tin mà khơng cho phép Và có lấy đ ược khơng đọc Tính tồn vẹn liệu ( Data Integrity): người nhận kiểm tra liệu truyền qua mạng Internet mà khơng có thay đổi Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo cơng nhận nguồn thơng tin ƯU ĐIỂM VPN có nhiều ưu điểm so với mạng leased-line truyền thống VPN làm giảm chi phí so với mạng cục Tổng giá thành việc sở hữu mạng VPN thu nhỏ (kết nối LAN-to-LAN giảm từ 20-30%, truy cập từ xa giảm tới từ 60-80%.), phải trả cho việc th băng thơng đường truyền, thiết bị mạng đường trục, hoạt động hệ thống VPN tạo tính mềm dẻo cho khả quản lý Internet Các VPN kết thừa phát huy tính mềm dẻo khả mở rộng kiến trúc mạng mạng WAN truyền thống Điều giúp doanh nghiệp nhanh chóng hiệu kinh tế cho việc mở rộng hay huỷ bỏ kết nối trụ sở xa, người sử dụng di động…, mở rộng đối tác kinh doanh có nhu cầu VPN cung cấp kiểu mạng đường hầm làm giảm thiểu công việc quản lý Một Backbone IP loại bỏ PVC (Permanent Virtual Circuit) cố định tương ứng với giao thức kết nối Frame Relay ATM Điều tạo kiểu mạng lưới hoàn chỉnh giảm độ phức tạp giá thành Một mạng VPN bao gồm ưu điểm mạng cục bô sở hạ tầng mạng IP công cộng, tính bảo mât sử dụng đa giao thức Tăng cường bảo mật cho hệ thống mạng Giảm thời gian chi phí truyền liệu đến người dùng xa Đơn giản topology CÁC YÊU CẦU CƠ BẢN KHI XÂY DỰNG ĐỐI VỚI VPN: Tính tương thích (compatibility): Các mạng nội doanh nghiệp khác nhau,rất nhiều mạng ko theo chuẩn TCP/IP ko thể kết nối trực tiếp Internet Để sử dụng IP VPN tất hệ thống mạng riêng phải chuyển sang hệ thống địa theo chuẩn sử dụng internet bổ sung tính tạo kênh kết nối ảo, cài đặt cổng kết nối internet có chức việc chuyển đổi thủ tục khác sang chuẩn IP.Nói chung nhà cung cấp dịch vụ IP VPN phải tương thích với thiết bị có khách hàng Tính bảo mật (security) Tính bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Người sử dụng cần đảm bảo liệu thông qua mạng VPN đạt mức độ an toàn giống hệ thống mạng dùng riêng họ tự xây dựng quản lý Việc cung cấp tính bảo đảm an toàn cần đảm bảo hai mục tiêu sau: - Cung cấp tính an tồn thích hợp bao gồm: cung cấp mật cho người sử dụng mạng mã hoá liệu truyền - Đơn giản việc trì quản lý, sử dụng Địi hỏi thuận tiện đ ơn giản cho người sử dụng nhà quản trị mạng việc cài đ ặt nh quản trị hệ thống Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp tính bảo đảm chất lượng, hiệu suất sử dụng dịch vụ dung lượng truyền Tiêu chuẩn chát lượng (Qos): Tiểu chuẩn đánh giá mạng lưới có khả đảm bảo chát lượng dihcj vụ cung cấp đầu cuối đến dầu cuối QoS liên quan đến khả đam bảo độ trễ dịch vụ phạm vi định hai BẢO MẬT VPN Một VPN thiết kế tốt thường sử dụng vài phương pháp để trì kết nối giữ an tồn truyền liệu: • Bức tường lửa - Một tường lửa (firewall) cung cấp biện pháp ngăn chặn hiệu mạng riêng bạn với Internet Bạn sử dụng tường lửa ngăn chặn cổng mở, loại gói tin phép truyền qua giao thức sử dụng Một vài sản phẩm VPN, chẳng hạn Cisco's 1700 router, nâng cấp để bao gồm tường lửa cách chạy Cisco IOS tương ứng router Bạn nên có tường lửa trước bạn sử dụng VPN, tường lửa ngăn chặn phiên làm việc VPN • Mã hố - Đây q trình mật mã liệu truyền khỏi máy tính theo quy tắc định máy tính đầu xa giải mã Hầu hết hệ thống mã hố máy tính thuộc loại sau: o Mã hoá sử dụng khoá riêng (Symmetric-key encryption) o Mã hố sử dụng khố cơng khai (Public-key encryption) //Xem phần mã hóa ao thức bảo mật giao thức Interet (IPSec) cung cấp tính an ninh cao cấp thuật tốn mã hóa tốt hơn, q trình thẩm định quyền đăng nhập tồn diện IPSec có hai chế mã hóa Tunnel Transport Tunnel mã hóa tiêu đề (header) kích thước gói tin cịn Transport mã hóa kích thước Chỉ hệ thống hỗ trợ IPSec tận dụng giao thức Ngồi ra, tất thiết bị phải sử dụng mã khóa chung tường lửa hệ thống phải có thiết lập bảo mật giống IPSec mã hóa liệu nhiều thiết bị khác router với router, firewall với router, PC với router, PC với máy chủ Máy chủ AAA : AAA viết tắt ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) Accounting (kiểm soát) Các server dùng để đảm bảo truy cập an toàn Khi yêu cầu thiết lập kết nối gửi tới từ máy khách, phải qua máy chủ AAA để kiểm tra Các thông tin hoạt động người sử dụng cần thiết để theo dõi mục đích an toàn Kỹ thuật Tunneling Hầu hết VPN dựa tunneling để hình thành mạng riêng ảo internet Về bản, tunneling trình xử lý đặt tồn gói tin (packet) gói tin khác gửi mạng Giao thức sinh gói tin đặt hai điểm thu phát gọi giao tiếp kênh - tunnel interface, giao tiếp gói tin truyền đến Kênh thông tin yêu cầu bao giao thức khác nhau: • Giao thức sóng mang - Carrier protocol: (còn gọi giao thức truyền tải) giao thức sử dụng mạng để thông tin trạng thái đường truyền • Giao thức đóng gói - Encapsulating protocol: bao gồm giao thức GRE, IPSec, L2F, PPTP, L2TP cho phép che giấu nội dung truyền • Giao thức gói - Passenger protocol: giao thức bao gồm IPX, NetBeui, IP =>Các giao thức đc giới thiệu phần sau/ Tunneling tốt sử dụng cho VPN Ví dụ, bạn đặt gói tin có giao thức không hỗ trợ cho internet chẳng hạn NetBeui vào gói tin IP truyền an tồn thơng qua mạng Internet Hoặc bạn đặt gói tin sử dụng mạng riêng khơng định tuyến (non-routable) vào gói tin có địa IP toàn cầu (định tuyến được) - globally unique IP address dùng để mở rộng mạng riêng tảng mạng Internet Trong mơ hình VPN Site-to-Site, định tuyến dùng chung GRE (Generic Routing Encapsulation) thường giao thức đóng gói hỗ trợ cho việc đóng gói tin giao thức gói truyền mạng nhờ giao thức sóng mang - thường dựa IP Nó chứa thơng tin kiểu gói tin đóng gói, thơng tin kết nối máy chủ máy khách Thay cho GRE, IPSec Tunnel Mode thường sử dụng giao thức đóng gói IPSec làm việc tốAccess Site-to-Site IPSec hỗ trợ cho hai giao thức Trong mơ hình VPN truy nhập từ xa, tunneling thường sử dụng PPP Một phần giao thức TCP/IP, PPP giao thức truyền tải cho giao thức IP khác thông tin mạng máy tính Remote-Access VPN tunneling dựa tảng PPP 2.1 Các giao thức đường hầm Các giao thức đường hầm tảng công nghệ VPN, có nhiều giao thức đường hầm khác nhau, việc sử dụng giao thức liên quan đến phương pháp xác thực mã hóa kèm Như giới thiệu trên, giao thức đường hầm phổ biến là:  L2F - Layer Forwarding Protocol  PPTP - Point-to-Point Tunneling Protocol  L2TP - Layer Tunneling Protocol 2.1.1 Giao thức chuyển tiếp lớp (L2F - Layer Forwarding Protocol) Giao thức L2F kỹ thuật nghiên cứu phát triển hệ thống mạng Cisco dựa giao thức PPP - Point to Point Protocol (là giao thức truyền thông nối tiếp lớp 2), L2F cho phép máy tính người dùng truy nhập vào mạng Intranet tổ chức xuyên qua sở hạ tầng mạng cơng cộng Internet với an tồn cao Tương tự giao thức định đường hầm điểm tới điểm PPTP, giao thức L2F cho phép truy nhập mạng riêng ảo cách an toàn xuyên qua sở hạ tầng mạng công cộng cách tạo đường hầm hai điểm kết nối Sự khác hai giao thức PPTP L2F PPTP hỗ trợ IP, IPX, NetBIOS NetBEUI, L2F định đường hầm không tuỳ thuộc vào mạng IP, L2F làm việc với nhiều cơng nghệ mạng khác như: Frame Relay, ATM, FDDI L2F hỗ trợ việc định đường hầm cho kết nối L2F làm điều định nghĩa kết nối bên đường hầm, đặc điểm hữu ích L2F trường hợp nơi có nhiều người sử dụng truy nhập từ xa mà có kết nối thoả mãn u cầu Hình 2.1 – Mơ hình kết nối VPN sử dụng L2F L2F sử dụng giao thức PPP để chứng thực giống giao thức PPTP, nhiên L2F hỗ trợ chứng thực người dùng quay số từ xa RADIUS (Remote Authentication Dial-up User Service) hệ thống điều khiển giám sát đầu cuối TACACS+ (Terminal Access Controller Access Control System) Với giao thức L2F, an toàn đầy đủ hai điểm kết nối VPN tạo sử dụng, giải pháp mềm dẻo đáng tin cậy Cấu trúc gói L2F 1bit 1bit 1bit 1bit 8bit 1bit bit bit 8bit F K P S Reserved C Version Protocol Sequence Multiplex IP Client ID Length Offset Key Data Checksum Hình 2.2 – Khn dạng gói L2F Ý nghĩa trường gói L2F sau: F K P S Reserved Version Protocol Sequence Multiplex ID Client ID Length Offset Key Checksum Hoạt động L2F - : định trường Offset có mặt : định trường Key có mặt : thiết lập độ ưu tiên (Priority) cho gói : định trường Sequence có mặt : ln đặt 00000000 : phiên L2F : xác định giao thức đóng gói L2F : số chuỗi đưa tiêu đề L2F có bit S = : nhận dạng kết nối riêng đường hầm : giúp tách đường hầm điểm cuối : chiều dài gói (tính byte) khơng bao gồm phần Checksum : xác định số byte cách tiêu đề L2F, liệu tải tin bắt đầu : phần q trình xác thực (có mặt bit K = 1) : tổng kiểm tra gói (có mặt bit C = 1) L2F đóng gói gói tin lớp (trong trường hợp PPP), sau truyền chúng xuyên qua mạng Hệ thống sử dụng L2F gồm thành phần sau: Hình 2.3 – Mơ hình hệ thống sử dụng L2F - Máy chủ truy nhập mạng (NAS – Network Access Server): hướng lưu lượng đến máy khách xa (Remote client) Home Gateway Đường hầm (Tunnel): định hướng đường NAS Home Gateway Một đường hầm bao gồm số kết nối Home Gateway: ngang hàng với NAS, phần tử cửa ngõ thuộc mạng riêng Kết nối (Connection): kết nối PPP đường hầm Điểm đích (Destination): điểm kết thúc đầu xa đường hầm, trường hợp Home Gateway điểm đích Các hoạt động L2F bao gồm: thiết lập kết nối, định đường hầm phiên làm việc Các bước cụ thể sau: - - Người sử dụng xa dial-up tới hệ thống NAS khởi đầu kết nối PPP tới ISP Hệ thống NAS máy khách trao đổi gói giao thức điều khiển liên kết LCP (Link Control Protocol) NAS sử dụng sử liệu cục liên quan tới tên miền hay xác thực RADIUS để định xem người sử dụng có hay không yêu cầu dịch vụ L2F Nếu người sử dụng yêu cầu L2F trình tiếp tục, NAS thu nhận địa Gateway đích Một đường hầm thiết lập từ NAS tới Gateway đích chúng chưa có đường hầm Việc thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới Gateway đích để chống lại cơng kẻ thứ Một kết nối PPP tạo đường hầm, điều có tác động kéo dài phiên PPP từ người sử dụng xa tới Home Gateway Kết nối thiết lập sau: Home Gateway tiếp nhận lựa chọn tất thông tin xác thực PAP/CHAP - thỏa thuận đầu cuối người sử dụng NAS Home Gateway chấp nhận kết nối hay thỏa thuận lại LCP xác thực lại người sử dụng Khi NAS tiếp nhận lưu lượng liệu từ người sử dụng, đóng gói lưu lượng vào khung L2F hướng chúng vào đường hầm Tại Home Gateway, khung L2F tách bỏ liệu đóng gói hướng tới mạng cơng ty Khi hệ thống thiết lập điểm đích, đường hầm phiên kết nối, ta phải điều khiển quản lý lưu lượng L2F sau: - Ngăn cản tạo điểm đích, đường hầm phiên Đóng mở lại tất hay chọn lựa điểm đích, đường hầm phiên Có khả kiểm tra tổng UDP Thiết lập thời gian rỗi cho hệ thống lưu trữ sở liệu đường hầm kết nối Ưu nhược điểm L2F  Ưu điểm: Cho phép thiết lập đường hầm đa giao thức - Được hỗ trợ nhiều nhà cung cấp Nhược điểm: -  - Khơng có mã hóa Hạn chế việc xác thực người dùng Khơng có điều khiển luồng cho đường hầm 2.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) PPTP kết nỗ lực chung Microsoft loạt nhà cung cấp thiết bị mạng 3Com, Ascend Communications, ECI Telematics U.S Robotics Ban đầu, công ty thành lập PPTP Forum đưa thông số kỹ thuật mơ tả PPTP sau gửi đến IETF để xem xét tiêu chuẩn Internet vào năm 1996 Ý tưởng sở giao thức tách chức chung riêng truy nhập từ xa, lợi dung sở hạ tầng Internet sẵn có để tạo kết nối bảo mật người dùng xa mạng riêng mà họ phép truy nhập Người dùng xa việc kết nối tới nhà cung cấp dịch vụ Internet địa phương tạo đường hầm bảo mật tới mạng riêng họ Tương tự giao thức L2F, giao thức PPTP (Point-to-Point Tunneling Protocol) ban đầu phát triển thiết kế để giải vấn đề tạo trì đường hầm VPN mạng công cộng dựa vào TCP/IP cách sử dụng PPP PPTP sử dụng giao thức đóng gói định tuyến chung (GRE) mơ tả lại để đóng tách gói PPP Giao thức cho phép PPTP xử lý giao thức khác IP IPX, NetBEUI cách mềm dẻo Không giống PPTP, việc trì đường hầm L2TP khơng thực thông qua kết nối TCP riêng biệt Các lưu lượng điều khiển trì gọi gửi tin UDP máy trạm máy chủ L2TP (đều sử dụng cổng UDP 1701) Các tin điều khiển L2TP qua mạng IP gửi gói UDP, gói UDP lại mã hóa IPSec ESP hình Tiêu đề Tiêu liên kết đề liệu IP Tiêu Tiêu đề đề IPSec ESP UDP Bản L2TP Phần đuôi Phần đuôi tin Phần đuôi xác thực liên kết IPSec ESP IPSec ESP liệu Mã hóa IPSec Hình 2.8 – Bản tin điều khiển L2TP Vì khơng sử dụng kết nối TCP nên L2TP dùng thứ tự tin để đảm bảo việc truyền tin L2TP Trong tin điều khiển L2TP, trường Next-Received (tương tự TCP Acknowledgment) Next-Sent (tương tự TCP Sequence Number) sử dụng để trì tin điều khiển Các gói khơng thứ tự bị loại bỏ, trường Next-Sent Next-Received sử dụng để truyền dẫn điều khiển luồng cho liệu đường hầm L2TP hỗ trợ nhiều gọi đường hầm Trong tin điều khiển L2TP phần tiêu đề L2TP liệu đường hầm có mã số đường hầm (Tunnel ID) để xác định đường hầm mã nhận dạng gọi (Call ID) để xác định gọi đường hầm 2.1.3.2 Đóng gói liệu đường hầm L2TP Dữ liệu L2TP thực thông qua nhiều mức đóng gói sau:      Đóng gói L2TP: Phần tải PPP ban đầu đóng gói với tiêu đề PPP tiêu đề L2TP Đóng gói UDP: Gói L2TP sau đóng gói với tiêu đề UDP, địa cổng nguồn đích đặt 1701 Đóng gói IPSec: Tùy thuộc vào sách IPSec, gói UDP mã hóa đóng gói với tiêu đề IPSec ESP, IPSec ESP IPSec Authentication Đóng gói IP: Gói IPSec đóng gói với tiêu đề IP chứa địa IP nguồn đích máy trạm máy chủ Đóng gói lớp liên kết liệu: Để truyền đường truyền LAN WAN, gói IP cuối đóng gói với phần tiêu đề đuôi tương ứng với kỹ thuật lớp liên kết liệu giao diện vật lý đầu Ví dụ, gói IP gửi vào giao diện Ethernet, đóng gói với tiêu đề Ethernet Khi gói gửi đường truyền WAN điểm - tới - điểm, chúng đóng gói với tiêu đề PPP Hình cấu trúc cuối gói liệu đường hầm L2TP IPSec Tiêu Tiêu đề đề liên kết IP liệu Tiêu đề Tiêu đề IPSec ESP UDP Tiêu đề L2TP Tiêu đề PPP Phần Tải PPP (IP, đuôi IPX, IPSec NetBEUI) ESP Phần đuôi nhận thực IPSec ESP Phần liên kết liệu Được mã hóa Được xác thực Hình 2.9 – Đóng gói liệu đường hầm L2TP 2.1.3.3 Xử lý liệu đầu cuối đường hầm L2TP IPSec Khi nhận liệu đường hầm L2TP nên IPSec, máy trạm máy chủ L2TP thực bước sau: - Xử lý loại bỏ tiêu đề đuôi lớp liên kết liệu - Xử lý loại bỏ tiêu đề IP - Dùng phần đuôi IPSec ESP Authentication để xác thực tải IP tiêu đề IPSec ESP - Dùng tiêu đề IPSec ESP để giải mã phần gói mã hóa - Xử lý tiêu đề UDP gửi gói tới L2TP - L2TP dùng số đường hầm số gọi tiêu đề L2TP để xác định đường hầm L2TP cụ thể - Dùng tiêu đề PPP để xác định tải PPP chuyển tiếp tới giao thức để xử lý 2.1.3.4 Các thành phần hệ thống VPN dựa L2TP Như minh họa hình 2.7, hệ thống VPN dựa L2TP bao gồm thành phần chủ yếu sau đây: Máy chủ L2TP Máy chủ L2TP có chức đóng vai trò điểm kết thúc đường hầm L2TP chuyển tiếp gói từ đường hầm đến mạng LAN riêng hay ngược lại Máy chủ chuyển gói đến máy đích cách xử lý gói L2TP để có địa mạng máy tính đích Khơng máy chủ PPTP, máy chủ L2TP khơng có khả lọc gói, chức lọc gói L2TP thực tường lửa Tuy nhiên, thực tế, người ta thường tích hợp máy chủ L2TP tường lửa, việc tích hợp mang lại số ưu điểm so với PPTP là: - L2TP khơng địi hỏi có cổng gán cho tường lửa PPTP, chương trình quản lý tùy chọn cổng để gán cho tường lửa, điều gây khó khăn cho kẻ cơng cố gắng cơng vào cổng cổng dễ dàng thay đổi - Luồng liệu thông tin điều khiển truyền giao thức UDP nên việc thiết lập tường lửa đơn giản Do số tường lửa không hỗ trợ giao thức GRE nên chúng tương thích với L2TP với PPTP Phần mềm client L2TP Nếu thiết bị ISP hỗ trợ L2TP khơng cần bổ sung phần cứng hay phần mềm cho máy trạm, cần kết nối chuẩn PPP đủ Tuy nhiên với thiết lập khơng sử dụng mã hóa IPSec Do vậy, ta nên sử dụng phần mềm client tương thích L2TP cho kết nối L2TP VPN Một số đặc điểm phần mềm client L2TP là: - Tương thích với thành phần khác IPSec máy chủ mã hóa, giao thức - chuyển khóa, giải thuật mã hóa Đưa thông báo rõ ràng IPSec hoạt động Hàm băm (hashing) xử lý địa IP động Có chế bảo mật khóa (mã hóa khóa với mật khẩu) Có chế chuyển đổi mã hóa cách tự động định kỳ Chặn hồn tồn lưu lượng khơng IPSec Bộ tập trung truy nhập mạng ISP cung cấp dịch vụ L2TP cần phải cài NAS cho phép L2TP để hỗ trợ máy trạm L2TP chạy cách hệ điều hành khác Unix, Windows, Macintosh Các ISP cung cấp dịch vụ L2TP mà khơng cần phải thêm thiết bị hỗ trợ L2TP máy chủ truy nhập họ, điều đòi hỏi tất người dùng phải có phần mềm client L2TP máy Khi đó, người dùng sử dụng dịch vụ nhiều ISP trường hợp mơ hình mạng họ rộng lớn mặt địa lý 2.1.3.5 Ưu nhược điểm L2TP L2TP giao thức quay số truy nhập VPN phát triển muộn, phối hợp đặc tính tốt PPTP L2F Hầu hết nhà cung cấp sản phẩm PPTP đưa sản phẩm tương thích với L2TP Mặc dù L2TP chủ yếu chạy mạng IP có khả chạy mạng Frame Relay ATM, điều làm cho thêm phổ biến L2TP cho phép lượng lớn khách hàng từ xa kết nối vào VPN kết nối LAN-LAN có dung lượng lớn L2TP cịn có chế điều khiển luồng để làm giảm tắc nghẽn đường hầm L2TP cho phép thiết lập nhiều đường hầm với LAC NLS, đường hầm gán cho người dùng xác định nhóm người dùng gán cho mơi trường khác tùy theo thuộc tính chất lượng dịch vụ người sử dụng 2.2 Bộ giao thức IPSec (IP Security Protocol) IPSec thực chất kết hợp chuẩn định nghĩa RFC 2406, khung tập giao thức chuẩn mở rộng thiết kế để cung cấp tính xác thực toàn vẹn liệu Giao thức IPSec làm việc tầng mơ hình OSI Các giao thức bảo mật Internet khác SSL, TLS SSH thực từ tầng Transport trở lên (tầng đến tầng mơ hình OSI) Điều tạo tính mềm dẻo cho IPSec Giao thức hoạt động tầng với TCP, UDP hầu hết giao thức sử dụng tầng IPSec bảo đảm tính tin cậy, tính tồn vẹn tính xác thực liệu qua mạng IP công cộng IPSec định nghĩa hai loại tiêu đề cho gói IP điều khiển q trình xác thực mã hóa: loại thứ xác thực tiêu đề AH (Authentication Header), loại thứ hai đóng gói tải tin an tồn ESP (Encapsulation Security Payload ESP) Xác thực tiêu đề AH đảm bảo tính tồn vẹn cho tiêu đề gói liệu Trong đóng gói tải tin an tồn ESP thực mã hóa đảm bảo tính tồn vẹn cho gói liệu khơng bảo vệ tiêu đề cho gói IP AH IPsec sử dụng giao thức trao đổi khóa IKE (Internet Key Exchange) để thỏa thuận liên kết bảo mật SA (Security Association) hai thực thể trao đổi thơng tin khóa IKE cần sử dụng phần lớn ứng dụng thực tế để đem lại truyền tải thơng tin an tồn diện rộng 2.2.1 Cấu trúc bảo mật IPSec sử dụng phương thức cung cấp mật mã (cryptographic) nhằm bảo mật gói tin (packet) q trình truyền tải, phương thức xác thực thiết lập thơng số mã hố IPSec xây dựng khái niệm bảo mật tảng IP Một kết hợp bảo mật đơn giản kết hợp thuật tốn thơng số (ví dụ khố) tảng việc mã hoá xác thực chiều Tuy nhiên, giao tiếp hai chiều, phương thức bảo mật làm việc với đáp ứng trình giao tiếp Thực tế lựa chọn thuật toán mã hoá xác thực lại phụ thuộc vào người quản trị IPSec bao gồm nhóm phương thức bảo mật đáp ứng mã hoá xác thực cho gói tin IP 2.2.2 Hiện trạng IPSec phần bắt buộc IPv6, lựa chọn sử dụng IPv4 Trong chuẩn thiết kế cho phiên IP giống nhau, phổ biến áp dụng triển khai tảng IPv4 IPSec định nghĩa từ RFC 1825 đến 1829 phổ biến vào năm 1995 Năm 1998, nâng cấp với phiên RFC 2401-2412, khơng tương thích với chuẩn 1825-1829 Trong tháng 12 năm 2005, hệ thứ ba IPSec mô tả RFC 4301-4309 2.2.3 Chế độ làm việc IPSec IPSec cung cấp hai chế độ xác thực mã hóa mức cao để thực đóng gói thơng tin, chế độ “truyền tải” chế độ “đường hầm” Sau xét đến hai chế độ trước tìm hiểu giao thức AH ESP 2.2.3.1 Chế độ truyền tải (Transport Mode) Trong chế độ này, vấn đề an ninh cung cấp giao thức lớp cao mơ hình OSI (từ lớp trở lên) Chế độ bảo vệ phần tải tin gói để phần tiêu đề IP ban đầu dạng gốc nguyên Địa IP ban đầu sử dụng để định tuyến gọi qua Internet AH – chế độ truyền tải Tiêu đề Tiêu đề gốc AH Tải tin Được mã hóa ESP – chế độ truyền tải Tiêu đề Tiêu đề gốc AH Tải tin Được mã hóa Được xác thực Hình 2.10 – Xử lý gói tin IP chế độ truyền tải Chế độ truyền tải có ưu điểm thêm vào gói IP ban đầu số bytes, nhược điểm chế độ cho phép thiết bị mạng nhìn thấy địa nguồn đích gói tin thực số xử lý (ví dụ phân tích lưu lượng) dựa thông tin tiêu đề IP Tuy nhiên, liệu mã hóa ESP khơng biết thơng tin cụ thể bên gói IP Theo IETF chế độ truyền tải sử dụng hai hệ thống đầu cuối IP-VPN có thực IPSec 2.2.3.2 Chế độ đường hầm (Tunnel Mode) Trong chế độ đường hầm, tồn gói tin IP ban đầu bao gồm tiêu đề xác thực mã hóa, sau đóng gói với tiêu đề IP Địa IP bên sử dụng để định tuyến gói IP qua Internet Chế độ cho phép thiết bị mạng định tuyến thực xử lý IPSec thay cho trạm đầu cuối (host) AH – chế độ đường hầm Tiêu đề Tiêu AH đề Tiêu gốc đề Tải tin Được xác thực ESP – chế độ đường hầm Tiêu đề Tiêu ESP đề Tiêu gốc đề Tải tin Được mã hóa Được xác thực Hình 2.11 – Xử lý gói tin IP chế độ đường hầm 2.2.4 Các thành phần bên IPSec 2.2.4.1 Giao thức đóng gói tải tin an tồn ESP ESP giao thức sử dụng cho việc cung cấp tính bảo mật xác thực gói liệu, tránh khỏi nhịm ngó người dùng không phép ESP cung cấp phần tải tin gói liệu, ESP cung cấp xác thực cho gói tin IP nội Sự xác thực cung cấp tính hợp lệ nguồn gốc tính tồn vẹn gói liệu ESP giao thức hỗ trợ kiểu mã hoá đối xứng Blowfish, DES Thuật toán mã hoá liệu mặc định sử dụng IPSec thuật toán DES 56 bit Trong số sản phẩm thiết bị mạng hãng lớn thiết kế cho VPN sử dụng phương pháp mã hoá liệu tốt cách sử dụng thuật toán 3DES (Triple Data Encryption Security) 128 bits Giao thức ESP sử dụng độc lập kết hợp với giao thức chứng thực đầu mục AH (Authentication Header) tuỳ thuộc vào môi trường Cả hai giao thức ESP AH cung cấp tính tồn vẹn, xác thực gói liệu Các trường ESP ESP thêm header trailer vào xung quanh nội dung gói tin ESP Header cấu thành hai trường SPI (Security Parameters Index) Sequence Number Hình 2.12 – Các trường ESP - SPI (32 bits): Đầu cuối kết nối IPSec tuỳ chọn giá trị SPI Phía nhận sử dụng giá trị SPI với địa IP đích giao thức IPSec để xác định sách SA mà áp cho gói tin - Sequence Number: Thường dùng để cung cấp dịch vụ anti-replay Khi SA thiết lập, số khởi đầu Trước gói tin gửi, số ln tăng lên đặt ESP header Phần gói tin trường tải tin, tạo liệu tải tin mã hoá - Phần thứ ba gói tin ESP Trailer, chứa hai trường: -  Padding (0-255 bytes): Được thêm vào cho đủ kích thước gói tin  Pad Length: Chiều dài Padding  Next Header: Trong tunnel mode, Payload gói tin IP, giá trị Next Header cài đặt cho IP-in-IP Trong Transport mode, Payload giao thức lớp Nếu giao thức lớp TCP trường giao thức IP 6, giao thức lớp UDP trường giao thức IP 17 Mỗi ESP Trailer chứa giá trị Next Header Authentication Data: Trường chứa giá trị kiểm tra tính tồn vẹn ICV (Integrity Check Value) cho gói tin ESP Hình 2.13 – Một ví dụ mẫu ESP Header Quá trình mã hố hoạt động giao thức ESP ESP sử dụng mật mã đối xứng để cung cấp mật hố liệu cho gói tin IPSec Cho nên, để kết nối hai đầu cuối bảo vệ mã hố ESP hai bên phải sử dụng khóa (Key) giống mã hố giải mã gói tin Khi đầu cuối mã hố liệu, chia liệu thành khối nhỏ, sau thực thao tác mã hoá nhiều lần sử dụng khối liệu khóa Thuật tốn mã hố hoạt động chiều gọi thuật tốn mã hóa khối (blocks cipher algorithms) Hình 2.14 – Minh họa trình mã hóa hoạt động giao thức ESP Khi đầu cuối khác nhận liệu mã hoá, thực giải mã sử dụng khóa giống trình thực tương tự, bước ngược với thao tác mã hố Ví dụ, ESP sử dụng thuật toán mã hoá AES - Cipher Block Chaining (AES-CBC), AES Counter Mode (AES-CTR), Triple DES (3DES) Khi so sánh với gói tin AH, gói tin ESP có dạng giống với gói tin AH, nhiên chuỗi mẫu tự xác định AH Protected Payload không xác định ESP Protected Payload, ESP mã hố Hình 2.15 – Một ví dụ gói ESP dùng phần mềm packet sniffer Gói tin ESP có chứa đoạn, bao gồm Ethernet Header, IP Header, ESP Header, Encrypted Data (Payload ESP Trailer) Authentication Information (tùy chọn) Dữ liệu mã hố khơng thể xác định dù gói tin truyền Transport Mode hay Tunnel Mode Tuy nhiên, IP Header khơng mã hố, trường giao thức IP Header phát giao thức dùng cho Payload (trong trường hợp ESP) 2.2.4.2 Giao thức chứng thực đầu mục AH Trong hệ thống IPSec có đầu mục đặc biệt, đầu mục chứng thực AH thiết kế để cung cấp hầu hết dịch vụ chứng thực cho liệu IP AH giao thức bảo mật IPSec đảm bảo tính tồn vẹn cho tiêu đề gói liệu việc chứng thực người sử dụng Nó đảm bảo việc chống phát lại chống xâm nhập trái phép tùy chọn Trong phiên đầu IPSec, giao thức đóng gói tải tin an tồn ESP thực mã hóa mà khơng có chứng thực nên AH ESP dùng kết hợp, phiên sau này, ESP có thêm khả chứng thực Tuy nhiên AH dùng đảm bảo việc chứng thực cho tồn tiêu đề liệu việc đơn giản hóa truyền tải liệu mạng IP yêu cầu chứng thực Hình 2.16 – Ví dụ minh họa AH xác thực đảm bảo tính tồn vẹn liệu - - Bước 1: AH đem gói liệu (packet) bao gồm Payload, IP Header, Key sử dụng giải thuật Hash (băm) chiều cho kết chuỗi số, sau chuỗi số gán vào AH Header Bước 2: AH Header chèn vào Payload IP Header chuyển sang phía bên đường hầm Bước 3: Router đích sau nhận gói tin bao gồm IP Header, AH Header, Payload sử dụng giải thuật Hash lần để nhận kết chuỗi số Bước 4: Router phía đích so sánh chuỗi số vừa tạo chuỗi số nó, giống chấp nhận gói tin AH Header Tiêu đề AH bao gồm trường sau đây: Hình 2.17 – Các trường AH Header - Next Header: Trường dài bits, chứa số giao thức IP Trong chế độ Tunnel, Payload gói tin IP, giá trị Next Header cài đặt Trong chế độ Transport, Payload giao thức Transport Layer Nếu giao thức lớp Transport TCP trường giao thức IP Nếu giao thức lớp transport UDP trường giao thức IP 17 - Payload Length: Trường chứa chiều dài AH Header - Reserved: Giá trị dành để sử dụng tương lai (cho đến thời điểm biểu thị số 0) - Security Parameters Index (SPI): Mỗi đầu cuối kết nối IPSec tuỳ ý chọn giá trị SPI Hoạt động dùng để nhận dạng cho kết nối Bên nhận sử dụng giá trị SPI với địa IP đích loại giao thức IPSec (trong trường hợp AH) để xác định sách liên kết an ninh SA dùng cho gói tin (có nghĩa giao thức IPSec thuật toán dùng để sử dụng cho gói tin) - Sequence Number: Chỉ số tăng lên cho AH Datagram host gửi có liên quan đến sách SA Giá trị bắt đầu đếm 1, chuỗi số không phép ghi đè lên - Authentication Data: Trường chứa giá trị ICV (Integrity Check Value) Trường bội 32-bit phải đệm vào chiều dài ICV bytes chưa đầy AH version Phiên AH version 3, phiên phát triển dựa phiên phác thảo Tính khác version version vài thay đổi đến SPI tuỳ chọn số dài Chuẩn phác thảo version liệt kê thuật toán mã hoá yêu cầu cho AH Bản phác thảo uỷ nhiệm hỗ trợ cho HMAC-SHA1-96, giới thiệu thuật toán hỗ trợ mạnh AES-XCBC-MAC-96 giới thiệu thuật toán HMAC-MD5-96 2.2.4.3 Giao thức trao đổi chìa khố Internet (IKE) Trong truyền thơng sử dụng giao thức IPSec phải có trao đổi khóa hai điểm kết cuối, địi hỏi phải có chế quản lý khóa Có hai phương thức chuyển giao khóa chuyển khóa tay chuyển khóa giao thức IKE Một hệ thống IPSec phụ thuộc phải hỗ trợ phương thức chuyển khóa băng tay Phương thức chìa khóa trao tay chẳng hạn khóa thương mại ghi giấy Phương thức phù hợp với số lượng nhỏ mạng, mạng lớn phải thực phương thức quản lý khóa tự động Trong IPSec người ta dùng giao thức trao đổi chìa khóa IKE (Internet Key Exchange) Giao thức IKE thiết kế để cung cấp khả năng: - Cung cấp phương tiện cho hai bên thống giao thức, thuật tốn chìa khoá để sử dụng Đảm bảo trao đổi khoá đến người dùng Quản lý chìa khố sau chấp nhận Đảm bảo điều khiển trao đổi khố an tồn Cho phép chứng thực động đối tượng ngang hàng Giao thức IKE có đặc tính sau: - Các chìa khố tự phát sinh thủ tục nhận biết Tự động làm lại chìa khố Giải vấn đề khố Mỗi giao thức an tồn (AH, ESP) có khơng gian số an tồn Gắn sẵn bảo vệ Trước IPSec gửi xác nhận mã hoá liệu IP, bên gửi bên nhận phải thống giải thuật mã hố chìa khố mã hố chìa khoá để sử dụng IPSec sử dụng giao thức IKE để tự thiết lập giao thức đàm phán chìa khố sử dụng cho việc mã hố, thuật toán sử dụng Liên kết an ninh Dịch vụ bảo mật quan hệ hai hay nhiều thực để thỏa thuận truyền thơng an tồn gọi liên kết an ninh SA (Security Association) Liên kết an ninh kết nối đơn công, nghĩa với cặp truyền thơng A B có hai SA (một từ A tới B từ B tới A) Khi lưu lượng cần truyền trực tiếp hai chiều qua VPN, giao thức trao đổi khóa IKE thiết lập cặp SA trực tiếp sau thiết lập thêm nhiều SA khác, SA có thời gian sống riêng SA nhận dạng ba gồm có: - Chỉ số thông số an ninh SPI (Security Parameters Index) - Địa IP đích - Chỉ thị giao thức an ninh (AH hay ESP) Về nguyên tắc, địa IP đích địa đơn hướng (Unicast), địa quảng bá (Broadcast) địa nhóm (Multicast) Tuy nhiên, chế quản lý SA IPSec định nghĩa cho SA đơn hướng Liên kết an ninh có hai kiểu truyền tải (Transport) đường hầm (Tunnel), phụ thuộc vào giao thức sử dụng SA kiểu truyền tải liên kết an ninh hai trạm yêu cầu hai hệ thống trung gian dọc đường truyền Trong trường hợp khác, kiểu truyền tải sử dụng để hỗ trợ IP-in-IP hay đường hầm GRE qua SA kiểu truyền tải SA kiểu đường hầm SA ứng dụng tới đường hầm IP SA hai cổng an ninh SA kiểu đường hầm điển hình, giống SA trạm cổng an ninh Tuy nhiên, trường hợp mà lưu lượng định hình từ trước lệnh SNMP, cổng an ninh làm nhiệm vụ trạm kiểu truyền tải cho phép Cơ sở liệu liên kết an ninh Có hai sở liệu liên quan đến an ninh là: - CSDL sách an ninh SPD (Security Policy Database) CSDL liên kết an ninh SAD (Security Association Database) SPD chỉnh dịch vụ an ninh đề nghị cho lưu lượng IP, phụ thuộc vào yếu tố nguồn, đích, chiều hay vào Nó chứa đựng danh sách lối vào sách tồn riêng rẽ cho lưu lượng vào Các lối vào xác định vài lưu lượng khơng qua xử lý IPSec, vài phải loại bỏ cịn lại xử lý IPSec Các lối vào tương tự cho firewall hay lọc gói SAD chứa thơng số SA, giống tính tốn khóa AH hay ESP, số trình tự, kiểu giao thức thời gian sống SA Đối với xử lý ra, lối vào SPD trỏ tới lối vào SAD SAD định SA sử dụng cho gói Đối với xử lý vào, SAD tham khảo để định gói xử lý Hoạt động trao đổi khóa IKE Kết nối IPSec hình thành SA thiết lập Tuy nhiên, thân IPSec khơng có chế để thiết lập liên kết an ninh Chính vậy, IETF chọn phương án chia trình thiết lập kết nối IPSec thành hai phần: - IPSec cung cấp việc xử lý mức gói - IKMP (Internet Key Management Protocol) chịu trách nhiệm thoả thuận liên kết an ninh Sau cân nhắc số phương án, có IKE, SKIP (Simple Key Internet Protocol) Photuis, IETF định chọn IKE chuẩn để cấu hình SA cho IPSec Một đường hầm IPSec-VPN thiết lập hai bên qua bước sau đây: - Bước 1: Quyết định lưu lượng cần quan tâm bảo vệ giao diện yêu cầu thiết lập phiên thông tin IPSec - Bước 2: Thương lượng chế độ (Main mode) chế độ linh hoạt (Aggressive modem) sử dụng IKE, kết tạo liên kết an ninh IKE (IKE SA) bên IPSec - Bước 3: Thương lượng chế độ nhanh (Quick mode) sử dụng IKE, kết tạo hai IPSec SA bên IPSec - Bước 4: Dữ liệu bắt đầu truyền qua đường hầm mã hóa sử dụng kỹ thuật đóng gói ESP hay AH hai - Bước 5: Kết thúc đường hầm IPSec-VPN (nguyên nhân IPSec SA kết thúc, hết hạn bị xóa) 2.2.5 Các vấn đề cịn tồn IPSec Mặc dù IPSec sẵn sàng đưa đặc tính cần thiết để đảm bảo thiết lập kết nối VPN an tồn thơng qua Internet, nhiên cịn giai đoạn phát triển để hướng tới hoàn thiện Sau số vấn đề đặt mà IPSec cần phải giải để hỗ trợ tốt cho việc thực VPN: - Tất gói xử lý theo IPSec bị tăng kích thước phải thêm vào tiêu đề khác nhau, điều làm cho thông lượng hiệu dụng mạng giảm xuống Vấn đề khắc phục cách nén liệu trước mã hóa, song kỹ thuật cịn nghiên cứu chưa chuẩn hóa - Giao thức trao đổi khóa IKE cơng nghệ chưa thực khẳng định khả Phương thức chuyển khóa thủ cơng lại khơng thích hợp cho mạng có số lượng lớn đối tượng di động - IPSec thiết kế để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ dạng lưu lượng khác - Việc tính tốn nhiều giải thuật phức tạp IPSec vấn đề khó trạm làm việc máy PC lực yếu - Việc phân phối phần cứng phần mềm mật mã bị hạn chế phủ số quốc gia Tóm tắt giao thức : PPTP giải pháp tối ưu khách hàng muốn có chế bảo mật không tốn phức tạp Giao thức tỏ hữu hiệu luồng liệu phải truyền qua NAT Khách hàng muốn có NAT độ bảo mật cao định cấu hình cho quy tắc IPSec Windows 2000 L2TP giải pháp tốt khách hàng coi bảo mật vấn đề quan trọng hàng đầu cam kết khai thác cấu trúc mã khóa chung PKI Nếu bạn cần thiết bị NAT đường truyền VPN giải pháp khơng phát huy hiệu IPSec Tunnel Mode lại tỏ hữu hiệu với VPN điểm-nối-điểm (site to site) Mặc dù giao thức áp dụng cho VPN truy cập từ xa hoạt động khơng "liên thông" với ... xây dựng mạng extranet VPN để kết nối kiểu mạng Lan với mạng Lan cho phép cơng ty làm việc mơi trường có chia sẻ tài ngun  Những ưu điểm VPN mở rộng bao gồm: - Chi phí cho VPN mở rộng thấp nhiều... cơng nhận nguồn thơng tin ƯU ĐIỂM VPN có nhiều ưu điểm so với mạng leased-line truyền thống VPN làm giảm chi phí so với mạng cục Tổng giá thành việc sở hữu mạng VPN thu nhỏ (kết nối LAN-to-LAN... vụ IP VPN phải tương thích với thiết bị có khách hàng Tính bảo mật (security) Tính bảo mật cho khách hàng yếu tố quan trọng giải pháp VPN Người sử dụng cần đảm bảo liệu thông qua mạng VPN đạt