Đề Tài Mạng Máy Tính Bộ giáo dục và đào tạo Trường cao đẳng Kinh Tế Công Nghệ Thành Phố Hồ Chí Minh Khoa Công Nghệ Thông Tin ĐỒ ÁN MẠNG MÁY TÍNH Đề tài Tìm Hiểu Công Nghệ VPN Triển Khai Trên Win2k8 GVHD SVTH Tp Hồ Chí Minh Ngày Tháng Năm 20 3 I CÁC KHÁI NIỆM CƠ BẢN VỀ VPN (VITRUAL PRIVATE NETWORKING) 1 Một Số Khái Niệm Cơ Bản Về VPN 1 1 Tìm hiểu về VPN Mục đích mong muốn của công nghệ VPN là việc sử dụng Internet và tính phổ cập của nó Tuy nhiên, do Internet là nguồn thông tin công cộng nê.
Bộ giáo dục đào tạo Trường cao đẳng Kinh Tế Cơng Nghệ Thành Phố Hồ Chí Minh Khoa Công Nghệ Thông Tin _ _ ĐỜ ÁN MẠNG MÁY TÍNH Đề tài: Tìm Hiểu Công Nghệ VPN & Triển Khai Trên Win2k8 GVHD: SVTH : Tp Hồ Chí Minh Ngày Tháng Năm 20 Đề Tài Mạng Máy Tính I CÁC KHÁI NIỆM CƠ BẢN VỀ VPN (VITRUAL PRIVATE NETWORKING) Một Số Khái Niệm Cơ Bản Về VPN 1.1 Tìm hiểu về VPN Mục đích mong muốn của cơng nghệ VPN là việc sử dụng Internet và tính phổ cập của nó. Tuy nhiên, do Internet là nguồn thơng tin cơng cộng nên có thể được truy cập từ bất kỳ ai, bất kỳ lúc nào, bất kỳ nơi đâu, việc trao đổi thơng tin có thể bị nghe trộm dễ dàng, sự truy cập bất hợp pháp và phá hoại dữ liệu khi trao đổi dữ liệu Mục đích chính của VPN là cung cấp bảo mật, tính hiệu quả và độ tin cậy trong mạng trong khi vẫn đảm bảo cân bằng giá thành cho tồn bộ q trình xây dựng mạng VPN được hiểu là phần mở rộng của một mạng Intranet được kết nối thơng qua mạng cơng cộng nhằm bảo đảm an tồn và tăng hiệu quả giá thành kết nối giữa hai đầu nối.Cơ chế và độ giới hạng bảo mật tinh vi cũng được sử dụng để bảo đảm tính an tồn cho việc trao đổi những dữ liệu dễ bị đánh cập thơng qua một mơi trường khơng an tồn. Cơ chế an tồn bao gồm những khái niệm sau đây : Encryption : Mã hố dữ liệu là một q trình xữ lý thay đổi dữ liệu theo một chuẩn nhất định và dữ liệu chỉ có thể được đọc bởi người dùng mong muốn. Ðể đọc được dữ liệu người nhận buộc phải có chính xác một khóa giải mã dữ liệu. Theo phương pháp truyền thống, người nhận và gửi dữ liệu sẽ có cùng một khố để có thể giải mã và mã hố dữ liệu. Lược đồ publickey sử dụng 2 khóa, một khóa được xem như một publickey (khóa cơng cộng) mà bất cứ ai cũng có thể dùng để mã hố và giải mã dữ liệu Authentication : Là một q trình xữ lý bảo đảm chắc chắn dữ liệu sẽ được chuyễn đến người nhận đồng thời cũng bảo đảm thơng tin nhận được ngun vẹn. Ở hình thức cơ bản, Authentication địi hỏi ít nhất phải nhập vào Username và Password để có thể truy cập vào tài ngun. Trong một số tình huống phức tạp, sẽ có thêm secretkey hoặc publickey để mã hố dữ liệu Authorization : Ðây là q trình xữ lý cấp quyền truy cập hoặc ngăn cấm vào tài ngun trên mạng sau khi đã thực hiện Authentication Sự Phát Triển Của VPNs : VPNs khơng phải là một cơng nghệ hồn tồn mới, khái niệm về VPNs đã có từ 15 năm trước và trải qua nhiều q trình phát triển, thay đổi cho đến nay đã tạo ra một dạng mới nhất VPNs đầu tiên đã được phát sinh bởi AT&T từ cuối những năm 80 và được biết như Software Defined Networks (SDNs) Thế hệ thứ hai của VPNs ra đời từ sự xuất hiện của cơng nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số (Integrated Services Digital Network : ISDN) từ đầu những năm 90. Hai cơng nghệ này cho phép truyền những dịng gói (package streams) dữ liệu qua các mạng chia sẽ chung Sau khi thế hệ thứ hai của VPNs ra đời, thị trường VPNs tạm thời lắng động và chậm tiến triển, cho tới khi có sự nổi lên của hai cơng nghệ cellbased Frame Relay (FR) Asynchronous Tranfer Mode (ATM). Thế hệ thứ ba của VPNs đã phát triển dựa theo 2 cơng nghệ này. Hai cơng nghệ này phát triển dựa trên khái niệm về Virtual Circuit Switching, theo đó, các gói dữ liệu sẽ khơng chứa địa chỉ nguồn và đích. Thay vào đó, chúng sẽ mang những con trỏ, trỏ đến các virtual curcuit nơi mà dữ liệu nguồn và đích sẽ được giải quyết Chú ý : cơng nghệ Virtual Circuit switching có tốc độ truyền dữ liệu cao (160 Mbs hoặc cao hơn) hơn so với thế hệ trướcSDN, X.25, ISDN. Tuy nhiên việc đóng gói IP lưu thơng bên trong gói Frame Relay và ATM cells thì chậm. Ngồi ra, mạng FRbased và ATMbased cũng khơng cung cấp phương pháp xác nhận packetlevel end toend và mã hóa cho những ứng dụng highend chẳng hạn như multimedia Đề Tài Mạng Máy Tính Tunneling là một kỹ thuật đóng gói các gói dữ liệu trong tunneling protocol, như IP Security (IPSec), Pointto Point Tunneling Protocol (PPTP), hoặc Layer 2 Tunneling Protocol (L2TP) và cuối cùng là đóng gói những gói đã được tunnel bên trong một gói IP. Tổng hợp các gói dữ liệu sau đó route đến mạng đích bằng cách sử dụng lớp phủ thơng tin IP. Bởi vì gói dữ liệu ngun bản có thể là bất cứ dạng nào nên tunneling có thể hổ trợ đa giao thức gồm IP, ISDN, FR và ATM VPNs Tunneling Protocol : Có 3 dạng giao thức tunneling nổi bật được sử dụng trong VPNs : IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo chắc chắn q trình trao đổi dữ liệu được an tồn và phương thức xác nhận người dùng qua mạng cơng cộng. Khơng giống với những kỹ thuật mã hố khác, IPSec thực hiện ở tầng thứ 7 trong mơ hình OSI (Open System Interconnect), Vì thế, chúng có thể chạy độc lập so với các ứng dụng chạy trên mạng. Và vì thế mạng của bạn sẽ được bảo mật hơn mà khơng cần dùng bất kỳ chương trình bảo mật nào Pointtopoint Tunneling Protocol (PPTP) : Phát triển bởi Microsoft, 3COM, và Ascend Communications, PPTP là một sự chọn lựa để thay thế cho IPSec. Tuy nhiên IPSec vẫn cịn được sử dụng nhiều trong một số Tunneling Protocol. PPTP thực hiện ở tầng thứ 2 (Data Link Layer) Layer 2 Tunneling Protocol (L2TP) : Ðược phát triển bởi Cisco System, L2TP được dự định sẽ thay thế cho IPSec. Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trên Internet. L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng để đóng gói các frame sữ dụng giao thức Pointtopoint để gởi qua các loại mạng như X.25, FR, ATM Ghi chú : L2F là một protocol được đăng ký độc quyền bởi Cisco System để đảm bảo việc vận chuyễn dữ liệu trên mạng Internet được an tồn Sư Thuận Lợi Và Bất Lợi Của VPNs : Thuận lợi : Giãm thiểu chi phí triển khai : Chi phí cho VPNs ít hơn đáng kể so với cách giải quyết truyền thống Giãm chi phí quản lý Cải thiện kết nối An tồn trong giao dịch Hiệu quả về băng thông Enhanced scalability Bất lợi : Phụ thuộc trong môi trường Internet Thiếu sự hổ trợ cho một số giao thức kế thừa Những Ðiều Cần Quan Tâm Trong VPNs : Tính an tồn Thao tác giữa các thiết bị của các nhà cung cấp khác nhau Quản lý tập trung Dễ triển khai Đề Tài Mạng Máy Tính Dễ sử dụng Scalability Hiệu xuất Quản lý băng thơng Lựa chọn một nhà cung cấp dịch vụ (ISP) Bảo vệ mạng từ những dữ liệu gởi đi tự nhiên bên ngồi 1.2 Các loại VPN VPNs nhằm hướng vào 3 u cầu cơ bản sau đây : Có thể truy cập bất cứ lúc nào bằng điều khiển từ xa, bằng điện thoại cầm tay, và việc liên lạc giữa các nhân viên của một tổ chức tới các tài ngun mạng Nối kết thơng tin liên lạc giữa các chi nhánh văn phịng từ xa Ðược điều khiển truy nhập tài ngun mạng khi cần thiết của khách hàng, nhà cung cấp và những đối tượng quan trọng của cơng ty nhằm hợp tác kinh doanh Dựa trên những nhu cầu cơ bản trên, ngày nay VPNs đã phát triển và phân chia ra làm 3 phân loại chính sau : Remote Access VPNs Intranet VPNs Extranet VPNs Và ta sẽ tìm hiểu thêm về 3 đối tượng trên sau đây : Remote Access VPNs : Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thơng của nhân viên các chi nhánh kết nối đến tài ngun mạng của tổ chức. Ðặc biệt là những người dùng thường xun di chuyễn hoặc các chi nhánh văn phịng nhỏ mà khơng có kết nối thường xun đến mạng Intranet hợp tác Một số thành phần chính : Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các u cầu gửi tới Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số u cầu ở khá xa so với trung tâm Hổ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hổ trợ truy cập từ xa bởi người dùng Đề Tài Mạng Máy Tính Figure 12: The nonVPN remote access setup Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phịng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài ngun thơng qua Internet. Thơng tin Remote Access Setup được mơ tả bởi hình vẽ sau : Đề Tài Mạng Máy Tính Figure 13: The Remote Access VPN setup Như bạn có thể suy ra từng hình 13, thuận lợi chính của Remote Access VPNs : Sự cần thiết của RAS và việc kết hợp với modem được loại trừ Sự cần thiết hổ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bời ISP Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ Giảm giá thành chi phí cho các kết nối với khoảng cách xa Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hổ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng Ngồi những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như : Remote Access VPNs cũng khơng bảo đảm được chất lượng phục vụ Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thễ đi ra ngồi và bị thất Do độ phức tạp của thuật tốn mã hố, protocol overhead tăng đáng kể, điều này gây khó khăn cho q trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPPbased diễn ra vơ cùng chậm chạp và tồi tệ Do phải truyền dữ liệu thơng qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thơng, phim ảnh, âm thanh sẽ rất chậm Intranet VPNs : Intranet VPNs được sữ dụng để kết nối đến các chi nhánh văn phịng của tổ chức đến Corperate Intranet (backbone router) sữ dụng campus router, xem hình bên dưới : Đề Tài Mạng Máy Tính Figure 14: The intranet setup using WAN backbone Theo mơ hình bên trên sẽ rất tốn chi phí do phải sữ dụng 2 router để thiết lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém cịn tùy thuộc vào lượng lưu thơng trên mạng đi trên nó và phạm vi địa lý của tồn bộ mạng Intranet Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triển khai mạng Intranet, xem hình bên dưới : Đề Tài Mạng Máy Tính Figure 15: The intranet setup based on VPN Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 15 : Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mơ hình WAN backbone Giảm thiểu đáng kể số lượng hổ trợ u cầu người dùng cá nhân qua tồn cầu, các trạm ở một số remote site khác nhau Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet Những bất lợi chính kết hợp với cách giải quyết : Bởi vì dữ liệu vẫn cịn tunnel trong suốt q trình chia sẽ trên mạng cơng cộngInternetvà những nguy cơ tấn cơng, như tấn cơng bằng từ chối dịch vụ (denialofservice), vẫn cịn là một mối đe doạ an tồn thơng tin Khả năng mất dữ liệu trong lúc di chuyễn thơng tin cũng vẫn rất cao Trong một số trường hợp, nhất là khi dữ liệu là loại highend, như các tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thơng qua Internet Do là kết nối dựa trên Internet, nên tính hiệu quả khơng liên tục, thường xun, và QoS cũng khơng được đảm bảo Extranet VPNs : Khơng giống như Intranet và Remote Accessbased, Extranet khơng hồn tồn cách li từ bên ngồi (outer world), Extranet cho phép truy cập những tài ngun mạng cần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai trị quan trọng trong tổ chức Đề Tài Mạng Máy Tính Figure 16: The traditional extranet setup Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợp lại với nhau để tạo ra một Extranet. Ðiều này làm cho khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm cơng việc bảo trì và quản trị. Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung tồn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngồi mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng Đề Tài Mạng Máy Tính Figure 17: The Extranet VPN setup Một số thuận lợi của Extranet : Do hoạt động trên mơi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức Bởi vì một phần Internetconnectivity được bảo trì bởi nhà cung cấp (ISP) nên cũng giảm chi phí bảo trì khi th nhân viên bảo trì Dễ dàng triển khai, quản lý và chỉnh sữa thơng tin Một số bất lợi của Extranet : Sự đe dọa về tính an tồn, như bị tấn cơng bằng từ chối dịch vụ vẫn cịn tồn tại Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet Do dựa trên Internet nên khi dữ liệu là các loại highend data thì việc trao đổi diễn ra chậm chạp Do dựa trên Internet, QoS cũng khơng được bảo đảm thường xun 1.3 Tổng kết Trong chương này, bạn sẽ được giới về một số đặc điểm của cơng nghệ VPN. Ngồi các đặc điểm cơ bản, chúng ta cũng sẽ biết thêm một số thuận lợi và bất lợi của VPNs. Bạn cũng sẽ được học về một số loại VPNs thường sử dụng VPN Requirements, Buiding Clock, Architectures Ở phần trước các bạn đã tham khảo về tính bảo mật và một số phương pháp thiết lập một kết nối Intranet đơn giản thơng qua một mạng cơng cộng. Cơng nghệ VPN khơng chỉ giảm chi phí cho việc triển khai một hệ thống mạng với độ bảo mật cao mà cịn giảm thiểu chi phí quản lý. Nó cung cấp tính dễ dùng, có khả năng mở rộng phạm vi, và hiệu quả về vấn đề băng thơng u cầu trong VPN : VPN là một phiên bản đã chỉnh sữa của mạng riêng (private network) nhằm tạo địn bẩy cho việc thiết kế mạng LAN hoặc Intranet thơng qua Internet và một số mạng cơng cộng khác nhằm an tồn và kinh tế trong thơng tin liên lạc. Hầu hết những nhu cầu VPN và những nhu cầu của một mạng riêng truyền thống về bản chất là giống nhau, theo sau đây là những nhu cầu nổi bậc của VPN : Tính an tồn Tính sẵn dùng Chất lượng dịch vụ Ðộ tin cậy Khả năng tương thích Dễ quản lý Các Thành Phần Bảo Mật Của Một VPN Internet được xem là một mơi trường khơng an tồn, dữ liệu truyền qua dễ bị sự truy cập bất hợp pháp và nguy hiểm. Sự ra đời của VPN, dựa trên giao thức Tunneling đã làm giảm một lượng đáng kể số lượng rủi ro khơng an tồn. Vì thế, làm thế nào để bảo đảm dữ liệu được an tồn qua VPN ? Làm thế nào để những dữ liệu dễ bị hư hỏng tránh khỏi sự truy cập khơng hợp pháp và khơng an tồn ? Ơ chương này chúng ta sẽ tìm hiểu về nó Đề Tài Mạng Máy Tính Bạn g 52 : một số thơng điệp điều khiển và duy trì phổ biến của L2TP Mơ tả Tên StartControl ConnectionReply Hồi đáp từ L2TP server (LNS) đến client's StartControlConnectionthông điệp yêu cầu. Thông điệp này cũng được gửi như một hồi đáp đến thông điệp OutgoingCall Reply. Hồi đáp từ L2TP client đến thông điệp LNS's StartControlConnectionReply. StartControl ConnectionConnected OutgoingCallRequest Yêu cầu từ L2TP client đến LNS để tạo một L2TP tunnel. Yêu cầu này chứa Call ID để xác định một cuộc gọi bên trong tunnel. OutgoingCallReply Hồi đáp từ L2TP LNS đến thơng điệp OutgoingCallRequest của client. Hello Thơng điệp duy trì kết nối được gửi bởi LNS hoặc client. Nếu thơng điệp này khơng được chấp nhận bởi điểm cuối khác, tunnel được kết thúc. SetLinkInfo Thơng điệp từ một trong 2 bên để thiết lập các tùy chọn được PPP thỏa thuận. CallDisconnectNotify Hồi đáp tử L2TP server để chỉ ra cuộc gọi nào trong L2TP tunnel bị ngắt. WANErrorNotify Thông điệp từ L2TP server (LNS) đến tất cả các L2TP clients đang kết nối để thông báo lỗi trong server's PPP interface StopControl Thông điệp từ L2TP client hoặc server để báo cho điểm cuối biết cách kết thúc thông ConnectionRequest điệp điều khiển. StopControl Hồi đáp từ bên đối diện điểm cuối đến thông điệp StopControlConnectionRequest. ConnectionReply StopControl Hồi đáp từ đối diện điểm cuối để chỉ ra tunnel bị ngắt. ConnectionNotification 2.4.6 L2TP Security L2TP dùng phương pháp xác nhận của PPP để xác nhận người dùng. Sơ đồ phổ biến triển khai L2TP authentication bao gồm : PAP và SPAP EAP CHAP Ngồi các cơ chế xác nhận được kể trên, L2TP cũng dùng IPSec để xác nhận những gói dữ liệu riêng biệt. Mặc dù điều này làm giảm đáng kể tốc độ của q trình giao dịch, việc dùng IPSec cho việc xác nhận mỗi gói dữ liệu nhằm đảm bảo rằng các hacker và cracker khơng thể thay đổi tunnel và dữ liệu của bạn 2.4.6.1 L2TP over IPSec Authentication 54 Đề Tài Mạng Máy Tính IPSec thực hiện vai trị chính trong bảo mật xác nhận gói dữ liệu trên cơ sỡ L2TP. IPSec xác nhận các gói dữ liệu riêng ngay cả sau khi người dùng từ xa đã xác nhận thành cơng. Ngồi ra, IPSec quan tâm một số điều sau : Mã hóa cleartext PPP payloads Tự động phát sinh những khóa mã hóa và khóa bảo mật trao đổi thơng qua tunnel đã thiết lập. Hình 524 và 525 giải thích vai trị của IPSec trong việc bảo vệ L2TP compulsory và voluntary tunnels Figure 524: Protecting L2TP compulsory tunnels using IPSec 2.4.6.2 Figure 525: Protecting L2TP voluntary tunnels using IPSec L2TP Data Encryption 55 Đề Tài Mạng Máy Tính L2TP thường dùng ECP cho mục đích mã hóa. ECP làchuẩn cho giao thức mã hóa và được dùng để thỏa thuận các thuật tốn phù hợp với nhau, như DES, sau khi liên kết được thiết lập. Do đó, ECP đưa ra khả năng mã hóa cao cấp nhằm làm phong phú các cơ chế mã hóa cài đặt sẵn được hổ trợ bởi PPP. Tuy nhiên, bất lợi chính của ECP là những khóa của nó, một lần trao đổi dữ liệu giữa hai điểm cuối, khơng được làm mới theo định kỳ. Điều này làm tăng khả năng các hacker có thể bẻ gãy khóa và sau đó kéo dài một phiên làm việc giao dịch ra. Chú thích : L2TP thỉnh thoảng cũng dùng MPPE. Tuy nhiên, đây là một cơ chế mã hóa yếu kém và thường nên tránh dùng. 2.4.7 Những thuận lợi và bất lợi của L2TP Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây : L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập. Nó cũng hổ trợ nhiều cơng nghệ mạng khác nhau. Ngồi ra, no cịn hổ trợ giao dịch qua nối kết WAN nonIP mà khơng cần một IP L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa. Do đó, khơng địi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP. L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP phải làm điều này. L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu xuống tùy ý nếu tunnel q tải. Điều này làm cho qua trình giao dịch bằng L2TP nhanh hơn so với q trình giao dịch bằng L2F. L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địa chỉ IP truy cập vào mạng từ xa thơng qua một mạng cơng cộng. L2TP nâng cao tính bảo mật do sử dụng IPSecbased payload encryption trong suốt qua trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ liệu. Ngồi ra việc triển khai L2TP cũng gặp một số bất lợi sau : L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ liệu nhận được. Mặc dù PPTP được lưu chuyễn như một giai pháp VPN dựng sẵn, một Routing and Remote Access Server (RRAS) cần có những cấu hình mở rộng. Chú thích : bạn có thể tham khảo bộ RFC 2661 để biết thêm thơng tin về L2TP tại web site http://www.armware.dk/RFC/rfc/rfc2661.html Bạng 53 tổng kết cả 3 giao thức VPN kết hợp với tầng 2. Bảng 53: tổng kết giao thức tầng 2 Đặc điểm PPTP L2F L2TP Hổ trợ đa giao thức Hổ trợ đa kết nối PPP Hổ trợ đa kết nối trên một tunnel Chế độ hoạt động được hổ trợ Các chế độ tunnel được hổ trợ Yes No Yes Yes Yes Yes No Yes Yes Incoming & Incoming Outgoing Voluntary Voluntary & Compulsory Incoming Voluntary & Compulsory 56 Đề Tài Mạng Máy Tính Đặc điểm PPTP Giao thức vận IP/GRE chuyển Giao thức điều TCP, Port: khiển 1723 Các cơ chế xác nhận MSCHAP, PAP Các cơ chế mã hóa MPPE Giới thiệu sơ về IPSec 3.1 Understanding IPSec Bảng 53: tổng kết giao thức tầng 2 L2F L2TP IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR, IP/ATM UDP, Port: 1701 UDP, Port: 1701 CHAP, PAP, SPAP, EAP, IPSec, RADIUS CHAP, PAP, SPAP, EAP, RADIUS & & TACACS IPSec, TACACS MPPE, IPSec MPPE, IPSec, ECP Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security. Nó có quan hệ tới một số bộ giao thức (AH, ESP, FIP1401, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mơ hình OSI, như hình 61 Figure 61: The position of IPSec in the OSI model Mọi giao tiếp trong một mạng trên cơ sở IP đều dựa trên các giao thức IP. Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, tồn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3. (Đó là lý do tai sao IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2) Ngồi ra,với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của mơ hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích. Bởi vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thể 57 Đề Tài Mạng Máy Tính dùng các dịch vụ kế thừa tính năng bảo mật mà khơng cần phải có sự thay đổi lớn lao nào. Cũng giống IP, IPSec trong suốt với người dùng cuối, là người mà khơng cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuổi các hoạt động. 3.2 IPSec Security Associations Security Associations (SAs) là một khái niệm cơ bản của bộ giao thức IPSec. SA là một kết nối luận lý theo một phương hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec. Các giao thức xác nhận, các khóa, và các thuật tốn. Phương thức và các khóa cho các thuật tốn xác nhận được dùng bởi các giao thức Authentication Header (AH) hay Encapsulation Security Payload (ESP) của bộ IPSec. Thuật tốn mã hóa và giải mã và các khóa. Thơng tin liên quan khóa, như khoảng thời gian thay đổi hay khoảng thời gian làm tươi của các khóa. Thơng tin liên quan đến chính bản thân SA bao gồm địa chỉ nguồn SA và khoảng thời gian làm tươi. Cách dùng và kích thước của bất kỳ sự đồng bộ mã hóa dùng, nếu có Figure 62: A generic representation of the three fields of an IPSec SA Như hình 62, IPSec SA gồm có 3 trường : SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đang dùng. SPI được mang theo như là một phần đầu của giao thức bảo mật và thường được chọn bởi hệ thống đích trong suốt q trình thỏa thuận của SA. Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast. Security protocol. Phần này mơ tả giao thức bảo mật IPSec, có thể là AH hoặc ESP. Chú thích : Broadcasts có nghĩa cho tất cả hệ thống thuộc cùng một mạng hoặc mạng con. Cịn multicasts gửi đến nhiều (nhưng khơng phải tât cả) nút của một mạng hoặc mạng con cho sẵn. Unicast có nghĩa cho 1 nút đích đơn duy nhất. Bở vì bản chất theo một chiều duy nhất của SA, cho nên 2 SA phải được định nghĩa cho hai bên thơng tin đầu cuối, một cho mỗi hướng. Ngồi ra, SA có thể cung cấp các dịch vụ bảo mật cho một phiên VPN được bảo vệ bởi AH hoặc ESP. Do vậy, nếu một phiên cần bảo vệ kép bởi cả hai AH và ESP, 2 SA phải được định nghĩa cho mỗi hướng. Việc thiết lập này của SA được gọi là SA bundle Một IPSec SA dùng 2 cơ sở dữ liệu. Security Association Database (SAD) nắm giữ thơng tin liên quan đến mỗi SA. Thơng tin này bao gồm thuật tốn khóa, thời gian sống của SA, và chuỗi số tuần tự. Cơ sở dữ liệu thức hai của IPSec SA, Security Policy Database (SPD), nắm giữ thơng tin về các dịch vụ bảo mật kèm theo với một danh sách thứ tự chính sách các điểm vào và ra. Giống như firewall rules và packet filters, những điểm truy cập này định nghĩa lưu lượng nào được xữ lý và lưu lượng nào bị từ chối theo từng chuẩn của IPSec 58 Đề Tài Mạng Máy Tính 3.3 IPSec Security Protocols Bộ IPSec đưa ra 3 khả năng chính bao gồm : Tính xác nhận và Tính ngun vẹn dữ liệu (Authentication and data integrity). IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sữa đổi khơng được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn cơng giả mạo, đánh hơi và từ chối dịch vụ. Sự cẩn mật (Confidentiality). Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén. Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bao mật và các thuật tốn mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được u cầu. Hai tính năng đầu tiên của bộ IPSec, authentication and data integrity, và confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec. Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload (ESP) Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh. Giao thức này là IKE 3.4 Các chế độ IPSec SAs trong IPSec hiện tại được triển khai bằng 2 chế độ. Được mơ tải ở hình 67, đó là chế độ Transport và chế độ Tunnel. Cả AH và ESP có thể làm việc với một trong hai chế độ này Figure 67: The two IPSec modes 3.4.1 Transport Mode 59 Đề Tài Mạng Máy Tính Transport mode bảo vệ giao thức tầng trên và các ứng dụng. Trong Transport mode, phần IPSec header được chèn vào giữa phần IP header và phần header của giao thức tầng trên, như hình mơ tả bên dưới. Figure 68: IPSec Transport mode—a generic representation Figure 69: AH Transport mode Figure 610: ESP Transport mode Transport mode thiếu mất q trình xữ lý phần đầu, do đó nó nhanh hơn. Tuy nhiên, nó khơng hiệu quả trong trường hợp ESP có khả năng khơng xác nhận mà cũng khơng mã hóa phần đầu IP. 3.4.2 Tunnel Mode Khơng giống Transport mode, Tunnel mode bảo vệ tồn bộ gói dữ liệu. Tồn bộ gói dữ liệu IP được đóng gói trong một gói dữ liệu IP khác và một IPSec header được chèn vào giữa phần đầu ngun bản và phần đầu mới của IP 60 Đề Tài Mạng Máy Tính Figure 611: IPSec Tunnel mode—a generic representation Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần header mới và phần header ngun bản, như hình bên dưới. Figure 612: AH Tunnel mode Figure 613: ESP Tunnel mode 3.5 Internet Key Exchange Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là chữ viết tắc của Internet Security Association and Key Management Protocol, IKE giúp các bên giao tiếp hịa hợp các tham số bảo mật và khóa xác nhận trước khi một phiên bảo mật IPSec được triển khai. Ngồi việc hịa hợp và thiết lập các tham số bảo mật và khóa mã hóa, IKE cũng sữa đổi những tham số khi cần thiết trong suốt phiên làm việc. IKE cũng đảm nhiệm việc xố bỏ những SAs và các khóa sau khi một phiên giao dịch hồn thành. Thuận lợi chính của IKE include bao gồm: IKE khơng phải là một cơng nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ chế bảo mật nào. Cơ chế IKE, mặc dù khơng nhanh, nhưng hiệu quả cao bở vì một lượng lớn những hiệp hội bảo mật thỏa thuận với nhau với một vài thơng điệp khá ít. 61 Đề Tài Mạng Máy Tính 3.5.1 IKE Phases Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình 614 trình bày một số đặc điểm chung của hai giai đoạn. Trong một phiên làm việc IKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn. Kênh bảo mật này phải được thiết lập trước khi có bất kỳ thỏa thuận nào xảy ra Figure 614: The two IKE phases—Phase I and Phase II 3.5.1.1 Giai đoạn I của IKE Giai đoạn I của IKE đầu tiên xác nhận các điểm thơng tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lạp SA. Tiếp đó, các bên thơng tin thỏa thuận một ISAKMP SA đồng ý lẫn nhau, bao gồm các thuật tốn mã hóa, hàm băm, và các phương pháp xác nhận bảo vệ mã khóa. Sau khi cơ chế mã hóa và hàm băm đã được đồng ý ở trên, một khóa chi sẽ bí mật được phát sinh. Theo sau là những thơng tin được dùng để phát sinh khóa bí mật : Giá trị DiffieHellman SPI của ISAKMP SA ở dạng cookies Số ngẩu nhiên known as nonces (used for signing purposes) Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cũng cần trao đổi IDs. Sau khi trao đổi các thơng tin cần thiết, cả hai bên phát sinh những key riêng của chính mình sử dụng chúng để chia sẽ bí mật. Theo cách này, những khóa mã hóa được phát sinh mà khơng cần thực sự trao đổi bất kỳ khóa nào thơng qua mạng. 3.5.1.2 Giai đoạn II của IKE Trong khi giai đoạn I thỏa thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết bằng việc thiết lập SAs cho IPSec. Trong giai đoạn này, SAs dùng nhiều dịch vụ khác nhau thỏa thuận. Cơ chế xác nhận, hàm băm, và thuật tốn mã hóa bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH và ESP) dưới hình thức một phần của giai đoạn SA. 62 Đề Tài Mạng Máy Tính Sự thỏa thuận của giai đoạn xảy ra thường xun hơn giai đoạn I. Điển hình, sự thỏa thuận có thể lặp lại sau 45 phút. Sự thay đổi thường xun các mã khóa ngăn cản các hacker bẻ gãy những khóa này và sau đó là nội dung của gói dữ liệu. Tổng qt, một phiên làm việc ở giai đoạn II tương đương với một phiên làmviệc đơn của giai đoạn I. Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hổ trợ bởi một trường hợp đơn ở giai đoạn I. Điều này làm qua trình giao dịch chậm chạp của IKE tỏ ra tương đối nhanh hơn. Oakley là một trong số các giao thức của IKE. Oakley is one of the protocols on which IKE is based. Oakley lần lượt định nghĩa 4 chế độ phổ biến IKE 3.5.2 IKE Modes 4 chế độ IKE phổ biến thường được triển khai : Chế độ chính (Main mode) Chế độ linh hoạt (Aggressive mode) Chế độ nhanh (Quick mode) Chế độ nhóm mới (New Group mode) 3.5.2.1 Main Mode Main mode xác nhận và bảo vệ tính đồng nhất của các bên có liên quan trong qua trình giao dịch. Trong chế độ này, 6 thơng điệp được trao đổi giữa các điểm: 2 thơng điệp đầu tiên dùng để thỏa thuận chính sách bảo mật cho sự thay đổi. 2 thơng điệp kế tiếp phục vụ để thay đổi các khóa DiffieHellman và nonces. Những khóa sau này thực hiện một vai tro quan trọng trong cơ chế mã hóa. Hai thơng điệp cuối cùng của chế độ này dùng để xác nhận các bên giao dịch với sự giúp đỡ của chữ ký, các hàm băm, và tuỳ chọn với chứng nhận. Hình 615 mơ tả q trình giao dịch trong chế độ IKE 63 Đề Tài Mạng Máy Tính Figure 615: Message exchange in IKE Main mode 3.5.2.2 Aggressive Mode Aggressive mode về bản chất giống Main mode. Chỉ khác nhau thay vì main mode có 6 thơng điệp thì chết độ này chỉ có 3 thơng điệp được trao đổi. Do đó, Aggressive mode nhanh hơn mai mode. Các thơng điệp đó bao gồm : Thơng điệp đầu tiên dùng để đưa ra chính sách bảo mật, pass data cho khóa chính, và trao đổi nonces cho việc ký và xác minh tiếp theo. Thơng điệp kế tiếp hồi đáp lại cho thơng tin đầu tiên. Nó xác thực người nhận và hồn thành chính sách bảo mật bằng các khóa. Thơng điệp cuối cùng dùng để xác nhận người gửi (hoặc bộ khởi tạo của phiên làm việc). 64 Đề Tài Mạng Máy Tính Figure 616: Message exchange in IKE Aggressive mode Cả Main mode và Aggressive mode đều thuộc giai đoạn I 3.5.2.3 Quick Mode Chế độ thứ ba của IKE, Quick mode, là chế độ trong giai đoạn II. Nó dùng để thỏa thuận SA cho các dịch vụ bảo mật IPSec. Ngồi ra, Quick mode cũng có thể phát sinh khóa chính mới. Nếu chính sách của Perfect Forward Secrecy (PFS) được thỏa thuận trong giai đoạn I, một sự thay đổi hồn tồn DiffieHellman key được khởi tạo. Mặt khác, khóa mới được phát sinh bằng các giá trị băm Figure 617: Message exchange in IKE Quick mode, which belongs to Phase II 65 Đề Tài Mạng Máy Tính 3.5.2.4 New Group Mode New Group mode được dùng để thỏa thuận một private group mới nhằm tạo điều kiện trao đổi DiffieHellman key được dễ dàng. Hình 618 mơ tả New Group mode. Mặc dù chế độ này được thực hiện sau giai đoạn I, nhưng nó khơng thuộc giai đoạn II. Figure 618: Message exchange in IKE New Group mode Ngồi 4 chế độ IKE phổ biến trên, cịn có thêm Informational mode. Chế độ này kết hợp với q trình thay đổ của giai đoạn II và SAs. Chế độ này cung cấp cho các bên có liên quan một số thơng tin thêm, xuất phát từ những thất bại trong q trình thỏa thuận. Ví dụ, nếu việc giải mã thất bại tại người nhận hoặc chữ ký khơng được xác minh thành cơng, Informational mode được dùng để thơng báo cho các bên khác biết. 66 Đề Tài Mạng Máy Tính MỤC LỤC I CÁC KHÁI NIỆM CƠ BẢN VỀ VPN (VITRUAL PRIVATE NETWORKING). Một Số Khái Niệm Cơ Bản Về VPN. 1.1 Tìm hiểu về VPN. - 1.2 Các loại VPN. - 1.3 Tổng kết. 10 VPN Requirements, Buiding Clock, Architectures. - 10 Các Thành Phần Bảo Mật Của Một VPN. - 10 3.1 Các phương thức nhận dạng người dùng. -11 3.2 Điều khiển quyền truy cập (Controlling Access). 12 3.3 Mã hóa dữ liệu. - 12 3.3.1 Hệ thống mã hóa đối xứng (Symmetric Cryptosystems) -13 3.3.2 Hệ Thống Mã Hóa Bất Đối Xứng (Asymmetric Cryptosystems). 15 3.3.3 Thuật toán DiffieHellman 15 3.3.4 Thuật toán Rivest Shamir Adleman (RSA) 16 3.4 Public Key Infrastructure 17 3.4.1 Một số thành phần PKI: - 18 3.4.2 PKIbased Transactions - 18 3.4.3 Triển Khai PKI 19 3.4.4 Single CA Architecture 20 3.4.5 Trust List Architecture 21 3.4.6 Hierarchical Architecture - 21 3.4.7 Mesh Architecture 22 3.4.8 Hybrid Architecture 23 II VPN Protocols. -25 Khái niệm cơ bản về Tunneling Technology. 25 1.1 Những điểm thuận lợi của VPN. - 25 1.2 Các thành phần của VPN. 26 1.3 Sự hoạt động của VPN. 26 1.4 Định dạng gói dữ liệu VPN. 27 1.5 Các loại Tunnel. 28 2.5.1 Voluntary Tunnels 28 2.5.2 Compulsory Tunnels 28 1.6 Các giao thức Tunneling. - 29 Tunneling Protocols ở tầng 2. 30 67 Đề Tài Mạng Máy Tính 2.1 PointtoPoint Protocol (PPP). - 30 2.1.1 Quá trình hoạt động PPP. 31 2.1.2 PPP Packet Format 31 2.1.3 PPP Link Control 32 2.2 PointtoPoint Tunneling Protocol (PPTP). -32 2.2.1 Vai trò của PPP trong giao dịch PPTP -33 2.2.2 Các thành phần của quá trình giao dịch PPTP -33 2.2.3 Quá trình xữ lý PPTP - 35 2.2.4 Bảo mật trong PPTP - 38 2.2.5 Những tán thành và chống đối PPTP -40 2.3 Layer 2 Forwarding (L2F) - 40 2.3.1 Quá trình xữ lý của L2F 41 2.3.2 L2F Tunneling 42 2.3.3 L2F Security 43 2.3.4 Những thuận lợi và bất lợi của L2F -45 2.4 Layer 2 Tunneling Protocol (L2TP) 45 2.4.1 Các thành phần của L2TP 46 2.4.2 Qui trình xữ lý L2TP 47 2.4.3 L2TP Data Tunneling - 48 2.4.4 L2TP Tunnel Modes - 50 2.4.5 L2TP Connection Control 52 2.4.6 L2TP Security - 53 2.4.7 Những thuận lợi và bất lợi của L2TP - 55 Giới thiệu sơ về IPSec. - 56 3.1 Understanding IPSec 56 3.2 IPSec Security Associations 57 3.3 IPSec Security Protocols 57 3.4 Các chế độ IPSec - 58 3.4.1 Transport Mode 58 3.4.2 Tunnel Mode 59 3.5 Internet Key Exchange 60 3.5.1 IKE Phases 61 3.5.2 IKE Modes 62 68 ... Đóng gói khơng đồng bộ và đồng bộ các gam dữ liệu. Phát hiện lỗi trong suốt q trình giao dịch. Trộn các đa giao thức ở tầng 2. Đàm phán các tham số cấu hình tuỳ chọn, như nén và đánh địa chỉ dữ liệu. ...Đề Tài Mạng Máy Tính I CÁC KHÁI NIỆM CƠ BẢN VỀ VPN (VITRUAL? ?PRIVATE? ?NETWORKING) Một Số Khái Niệm Cơ Bản Về VPN 1.1 Tìm hiểu về VPN Mục đích mong muốn của cơng nghệ VPN là việc sử dụng Internet và tính phổ cập của nó. Tuy nhiên, do ... VPNs cung cấp khả năng truy cập đến trung tâm? ?tốt? ?hơn bởi vì nó hổ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng Ngồi những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như :BÁO cáo đồ án tốt NGHIỆP VITRUAL PRIVATE NETWORKING
69
5
0
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
| Định dạng | |
|---|---|
| Số trang | 69 |
| Dung lượng | 909,88 KB |
Nội dung
Ngày đăng: 09/04/2022, 12:27
HÌNH ẢNH LIÊN QUAN
TRÍCH ĐOẠN
TÀI LIỆU CÙNG NGƯỜI DÙNG
-
61 10 0
-
8 16 0
-
40 14 0
-
49 17 0
-
82 12 0
-
30 9 0
TÀI LIỆU LIÊN QUAN
-
25 165 0
-
19 91 0
-
16 49 0
-
11 51 0
-
49 46 0
-
50 41 0
-
20 47 0
-
17 119 0