1. Trang chủ
  2. » Giáo án - Bài giảng

BÁO CÁO MÔN HỌC PHÂN TÍCH VÀ THIẾT KẾ AN TOÀN MẠNG MÁY TÍNH ĐỀ TÀI XÂY DỰNG MẠNG VPN CHO HỆ THỐNG MẠNG

28 18 0

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 28
Dung lượng 734,62 KB

Nội dung

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TỒN THƠNG TIN BÁO CÁO MƠN HỌC PHÂN TÍCH VÀ THIẾT KẾ AN TỒN MẠNG MÁY TÍNH ĐỀ TÀI: XÂY DỰNG MẠNG VPN CHO HỆ THỐNG MẠNG Sinh viên thực hiện: Trịnh Thị Dung AT150209 Nguyễn Thùy Dương AT150211 Nguyễn Minh Hằng AT150216 Đỗ Duy Hưng AT150225 Nhóm 13 Giảng viên hướng dẫn: GV TRẦN NGHI PHÚ Hà Nội, 05-2022 TÓM TẮT Mạng riêng ảo VPN (Vitrual Private Network) mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với mạng riêng lẻ (các site) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới mạng riêng lẻ nhân viên từ xa Một ứng dụng điển hình VPN cung cấp kênh an tồn từ đầu mạng giúp cho văn phịng chi nhánh hay văn phòng xa hay nhân viên làm việc từ xa dùng mạng Internet truy cập tài nguyên quan, doanh nghiệp cách bảo mật đầy đủ tính sử dụng máy tính cục quan, doanh nghiệp Những thiết bị đầu mạng hỗ trợ cho VPN Switch, Router, Firewall Những thiết bị quản trị công ty nhà mạng cung cấp dịch vụ ISP Về ưu điểm: - Tính bảo mật: VPN mã hóa tất liệu đường hầm - Tiết kiệm chi phí: Sự xuất VPN làm cho quay số đường dài tốn hay đường dây th bao khơng cịn cần thiết tổ chức sử dụng VPN đóng gói liệu cách an toàn qua mạng Internet - Chủ động thời gian: Những tổ chức có văn phòng chi nhánh hay văn phòng xa hay nhân viên làm việc từ xa truy cập liệu quan, doanh nghiệp từ địa điểm giới mà khơng phải tốn nhiều, cần có kết nối mạng Internet thông qua nhà cung cấp dịch vụ địa phương MỤC LỤC DANH MỤC CÁC TỪ VIẾT TẮT ATM: Asynchronous Transfer Mode (Chế độ chuyển tiếp bất đồng bộ) CHAP: Challenge Handshake Authentication Protocol(Giao thức thử thách bắt tay) CIA: Confidentiality, Integrity, and Availability (Tính bảo mật, Tính tồn vẹn Tính sẵn có) DOS: Denial Of Service (Tấn công từ chối dịch vụ) EAP: Extensible Authorized Protocol (Giao thức xác thực mở rộng) FCS: Frame Check Sequence (Chuỗi kiểm tra khung) GRE: Generic Routing Protocol (Giao thức định tuyến chung) IETF: Internet Engineering Task Force (Là tổ chức tiêu chuẩn mở, phát triển xúc tiến tiêu chuẩn Internet) LAN: Local Area Network (Mạng cục bộ) LCP: Link Control Protocol (Giao thức điểm khiển đường truyền) L2F: Layer Forwarding (Giao thức chuyển tiếp lớp 2) L2TP: Layer Tunneling Protocol (Giao thức đường hầm lớp thứ 2) IP: Internet Protocol (Giao thức Internet) IPSec: Internet Protocol security ( Bảo mật giao thức Internet) ISDN: Integrated Services Digital Network ( Mạng kỹ thuật số toàn vẹn dịch vụ) ISP: Internet Service Provides (Nhà cung cấp dịch vụ Internet) IPX: Internet Protocol Exchange (Trao đổi giao thức Internet) MPPE:Microsoft Point-to-Point Encryption (Mã hóa Điểm tới Điểm Microsoft) NAS: Network Access Server (Server truy cập từ mạng) NDIS: Network Driver Interface Specification ( Đặc tả giao diện Network Driver) NDIS-WAN: Network Driver Inteface Wide Area Network NetBEUI: NETBIOS Extended User Inteface (Giao diện người dùng mở rộng NETBIOS) OC3: Optical Carrier ( Tiêu chuẩn đơn vị chuyển băng thông) OSI: Open System Interconnection (Chuẩn giao tiếp quốc tế mơ hình mạng) PAP: Password Authentication Protocol (Giao thức xác thực mật mở rộng) POP: Point of Presence (Điểm mà hai hay nhiều thiết bị kết nối internet giao tiếp với nhau) PPP: Point-to-Point Protocol (Giao thức Điểm tới Điểm) PPTP: Point-to-Point Tunneling Protocol (Giao thức đường hầm Điểm tới Điểm) PVC: Permanent Virtual Circuit (Mạch ảo vĩnh viễn) QoS: Quality of Service (cách thức điều khiển mức độ ưu tiên traffic hệ thống mạng) RAS: Remote Access Server (Máy chủ truy cập từ xa) TCP: Transmission Control Protocol ( Giao thức chuyển giao điều khiển) TCP 1723: Chuẩn TCP 1723 TCP/IP: giao thức truyền thông cài đặt chồng giao thức mà Internet hầu hết mạng máy tính thương mại chạy Đặt tên theo giao thức TCP IP VPN: Vitrual Private Network (Mạng riêng ảo) WAN: Wide Area Network (Mạng diện rộng) PHẦN MỞ ĐẦU Lý chọn đề tài Với phát triển hàng ngày khoa học công nghệ thông tin, cơng nghệ mạng máy tính đặc biệt khơng thể khơng nhắc đến hệ thống thơng tin tồn cầu - mạng Internet Mạng Internet ngày phát triển đa dạng phong phú, dịch vụ mạng Internet xâm nhập vào hầu hết lĩnh vực đời sống xã hội Các thông tin Internet đa dạng nội dung lẫn hình thức, có nhiều thơng tin cần bảo mật cao tính kinh tế, tính xác tin cậy Bên cạnh đó, dịch vụ mạng ngày có giá trị, yêu cầu phải đảm bảo tính ổn định an tồn cao Tuy nhiên, hình thức phá hoại trở nên tinh vi phức tạp hơn, hệ thống, nhiệm vụ bảo mật đặt cho người quản trị quan trọng cần thiết Xuất phát từ thực tế nêu trên, giới xuất nhiều công nghệ tiên tiến liên quan đến bảo mật hệ thống mạng máy tính, việc tìm hiểu nắm bắt công nghệ điều thiết yếu cần thiết Chính vậy, thơng qua việc nghiên cứu tìm hiều cách tổng quan bảo mật hệ thống nhiều công nghệ bảo mật tiên tiến nay, cụ thể nhóm chúng em xin tìm hiểu cơng nghệ, cơng nghệ mạng riêng ảo (VPN – Vitrual Private Network) Trong Báo cáo này, chúng em xin góp phần vào việc tìm hiểu thêm nắm bắt rõ kỹ thuật VPN quan, doanh nghiệp, nhà trường… nhằm phục vụ cho việc học tập nghiên cứu Bảo mật hệ thống, bảo mật mạng máy tính hay nói riêng kỹ thuật VPN vấn đề vô rộng lớn, đồng thời kinh nghiệm với kiến thức hạn chế, nội dung Báo cáo chắn nhiều sai sót chưa đầy đủ, hy vọng thầy bạn sinh viên đóng góp thêm ý kiến bổ sung nhằm giúp nhóm chúng em hồn thiện Báo cáo xác hữu ích Chúng em xin chân thành cảm ơn!Chương GIỚI THIỆU MƠ HÌNH MẠNG RIÊNG ẢO VPN I TỔNG QUAN VỀ VPN I.1 Định nghĩa, chức năng, ưu điểm VPN I.1.1 Khái niệm VPN Phương án truyền thơng nhanh, an tồn tin cậy trở thành mối quan tâm nhiều doanh nghiệp, đặc biệt doanh nghiệp có địa điểm phân tán mặt địa lý Nếu trước giải pháp thông thường thuê đường truyền riêng (Leased Lines) để trì mạng WAN (Wide Are Network) Các đường truyền giới hạn từ đường truyền ISDN (128 Kbps) đến đường cáp quang OC3 (optical carrier-3, 155Mbps) Mỗi mạng WAN có điểm thuận lợi mạng công cộng Internet độ tin cậy, hiệu tính an tồn, bảo mật Nhưng để bảo trì mạng WAN, đặc biệt sử dụng đường truyền riêng, trở nên đắt doanh nghiệp muốn mở rộng chi nhánh Khi tính phổ biến Internet gia tăng, doanh nghiệp đầu tư vào phương tiện quảng bá mở rộng mạng mà họ sở hữu Ban đầu, mạng nội (Intranet) mà site bảo mật mật thiết kế cho việc sử dụng thành viên công ty Hình 1.1 Mơ hình VPN Về bản, VPN (Virtual Private Network) mạng riêng rẽ sử dụng mạng chung (thường Internet) để kết nối với site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dụng đường Leased Line, VPN sử dụng kết nối ảo dẫn qua đường Internet từ mạng riêng công ty tới site nhân viên từ xa Hình 1.2 Mơ hình mạng VPN Những thiết bị đầu mạng hỗ trợ cho mạng riêng ảo Switch, Router Firewall Những thiết bị quản trị cơng ty nhà cung cấp dịch vụ ISP VPN gọi mạng ảo cách thiết lập mạng riêng qua mạng công cộng sử dụng kết nối tạm thời Những kết nối bảo mật thiết lập hai host , host mạng hai mạng với Một VPN xây dựng cách sử dụng “Đường hầm” “Mã hố” VPN xuất lớp mơ hình OSI VPN cải tiến sở hạ tầng mạng WAN mà làm thay đổi hay làm tăng thêm tính chất mạng cục I.1.2 Chức VPN VPN cung cấp ba chức chính: - Sự tin cậy (Confidentiality): Người gửi mã hố gói liệu trước truyền chúng ngang qua mạng Bằng cách làm vậy, khơng truy cập thông tin mà không cho phép Và có lấy khơng đọc - Tính tồn vẹn liệu (Data Integrity): người nhận kiểm tra liệu truyền qua mạng Internet mà khơng có thay đổi - Xác thực nguồn gốc (Origin Authentication): Người nhận xác thực nguồn gốc gói liệu, đảm bảo cơng nhận nguồn thơng tin I.1.3 Ưu điểm VPN có nhiều ưu điểm so với mạng Leased-Line truyền thống, bao gồm: - Giảm chi phí so với mạng cục Tổng giá thành việc sở hữu mạng VPN thu nhỏ, phải trả cho việc th băng thơng đường truyền, thiết bị mạng đường trục, hoạt động hệ thống Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đường Leased-line truyền thống Cịn việc truy cập từ xa giảm tới từ 60-80% - VPN tạo tính mềm dẻo cho khả quản lý Internet Các VPN kế thừa phát huy tính mềm dẻo khả mở rộng kiến trúc mạng mạng WAN truyền thống Điều giúp doanh nghiệp nhanh chóng hiệu kinh tế cho việc mở rộng hay huỷ bỏ kết nối trụ sở xa, người sử dụng di động…, mở rộng đối tác kinh doanh có nhu cầu - VPN làm đơn giản hố cho việc quản lý công việc so với việc sở hữu vận hành mạng cục Các doanh nghiệp cho phép sử dụng vài hay tất dịch vụ mạng WAN, giúp doanh nghiệp tập trung vào đối tượng kinh doanh chính, thay quản lý mạng WAN hay mạng quay số từ xa - VPN cung cấp kiểu mạng đường hầm làm giảm thiểu công việc quản lý Một Backbone IP loại bỏ PVC (Permanent Virtual Circuit) cố định tương ứng với giao thức kết nối Frame Relay ATM Điều tạo kiểu mạng lưới hoàn chỉnh giảm độ phức tạp giá thành 10 Hình 1.3 Ưu điểm VPN so với mạng truyền thống Một mạng VPN có ưu điểm mạng cục sở hạ tầng mạng IP công cộng Các ưu điểm bao gồm tính bảo mật sử dụng đa giao thức Hình 1.4 Các ưu điểm VPN Một mạng ảo tạo nhờ giao thức đường hầm kết nối IP chuẩn GRE (Generic Routing Protocol), L2TP (Layer Tunneling Protocol) IPSec ba phương thức đường hầm Một mạng cục mạng mà đảm bảo độ tin cậy, tính tồn vẹn xác thực, gọi tắt CIA Mã hoá liệu sử dụng giao thức IPSec giúp giữ liệu chung chuyển Website với tính chất CIA tương tự mạng cục I.1.4 Các yêu cầu giải pháp VPN Có yêu cầu cần đạt xây dựng mạng riêng ảo 10 14 Remote Access Server (RAS): đặt trung tâm có nhiệm vụ xác nhận chứng nhận yêu cầu gửi tới Quay số kết nối đến trung tâm, điều làm giảm chi phí cho số yêu cầu xa so với trung tâm Hỗ trợ cho người có nhiệm vụ cấu hình, bảo trì quản lý RAS hỗ trợ truy cập từ xa người dùng Bằng việc triển khai Remote Access VPNs, người dùng từ xa chi nhánh văn phòng cần cài đặt kết nối cục đến nhà cung cấp dịch vụ ISP ISP’s POP kết nối đến tài ngun thơng qua Internet Hình 1.7 Cài đặt Remote Access VPN - Thuận lợi Remote Access VPNs: + Sự cần thiết RAS việc kết hợp với modem loại trừ + Sự cần thiết hỗ trợ cho người dung cá nhân loại trừ kết nối từ xa tạo điều kiện thuận lợi ISP + Việc quay số từ khoảng cách xa loại trừ, thay vào kết nối với khoảng cách xa thay kết nối cục + Giảm giá thành chi phí cho kết nối với khoảng cách xa 14 15 + Do kết nối mang tính cục bộ, tốc độ nối kết cao so với kết nối trực tiếp đến khoảng cách xa +VPNs cung cấp khả truy cập đến trung tâm tốt hỗ trợ dịch vụ truy cập mức độ tối thiểu cho dù có nhiều kết nối đồng thời đến mạng - Ngoài thuận lợi trên, VPNs tồn số bất lợi khác như: + Remote Access VPNs không bảo đảm hầu hết chất lượng phục vụ + Khả liệu cao, ngồi phân đoạn gói liệu ngồi bị thất + Do độ phức tạp thuật toán mã hoá, Protocol Overhead tăng đáng kể, điều gây khó khăn cho q trình xác nhận Thêm vào đó, việc nén liệu IP PPP-based diễn vô chậm chạp tồi tệ + Do phải truyền liệu thông qua Internet, nên trao đổi liệu lớn gói liệu truyền thơng, phim ảnh, âm chậm II.2 Các VPN nội (Intranet VPNs): Intranet VPNs sử dụng để kết nối đến chi nhánh văn phòng tổ chức đến Corporate Intranet (Backbone Router) sử dụng Campus Router Theo mô hình tốn chi phí phải sử dụng hai router để thiết lập mạng, thêm vào đó, việc triển khai, bảo trì quản lý mạng Intranet Backbone tốn tùy thuộc vào lượng lưu thơng mạng phạm vi địa lý toàn mạng Intranet Ðể giải vấn đề trên, tốn WAN backbone thay kết nối Internet với chi phí thấp, điều giảm lượng chi phí đáng kể việc triển khai mạng Intranet Intranet VPNs VPN nội đươc sử dụng để bảo mật kết nối địa điểm khác công ty Điều cho phép tất địa điểm truy cập nguồn liệu phép tồn mạng cơng ty Các VPN nội liên kết trụ sở chính, văn phòng, văn phòng chi nhánh 15 16 sở hạ tầng chung sử dụng kết nối mà ln ln mã hố Kiểu VPN thường cấu VPN Site-to-Site Hình 1.8 Mơ hình mạng VPN nội - Những thuận lợi Intranet setup dựa VPN: + Hiệu chi phí giảm số lượng Router sử dụng theo mơ hình WAN backbone + Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, trạm số Remote Site khác + Bởi Internet hoạt động kết nối trung gian, dễ dàng cung cấp kết nối ngang hàng + Kết nối nhanh tốt chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề khoảng cách xa thêm giúp tổ chức giảm thiểu chi phí cho việc thực Intranet - Những bất lợi: + Bởi liệu cịn Tunnel suốt q trình chia mạng công cộng Internet nguy công, công từ chối dịch vụ (DOS Denial Of Service), mối đe doạ an tồn thơng tin + Khả liệu lúc di chuyển thông tin cao 16 17 + Trong số trường hợp, liệu loại High-end, tập tin Mulltimedia, việc trao đổi liệu chậm chạp truyền thông qua Internet + Do kết nối dựa Internet, nên tính hiệu khơng liên tục, thường xuyên, QoS không đảm bảo II.3 Các VPN mở rộng (Extranet VPNs): Không giống Intranet Remote Access-based, Extranet khơng hồn tồn cách li từ bên ngoài, Extranet cho phép truy cập tài nguyên mạng cần thiết đối tác kinh doanh, chẳng hạn khách hàng, nhà cung cấp, đối tác người giữ vai trò quan trọng tổ chức Mạng Extranet tốn có nhiều đoạn mạng riêng biệt Intranet kết hợp lại với để tạo Extranet Ðiều làm cho khó triển khai quản lý có nhiều mạng, đồng thời khó khăn cho cá nhân làm cơng việc bảo trì quản trị Thêm mạng Extranet khó mở rộng điều làm rối tồn mạng Intranet ảnh hưởng đến kết nối bên ngồi mạng Sẽ có vấn đề bạn gặp phải kết nối Intranet vào mạng Extranet Triển khai thiết kế mạng Extranet điều khó khăn nhà thiết kế quản trị mạng 17 18 Hạ tầng Mạng nhà Cung cấp Nhà cung cấp Dịch vụ Mạng chung Mạng nhà Cung cấp Nhà cung cấp Dịch vụ Mạng nhà Cung cấp Nhà cung cấp Dịch vụ Hình 1.9 Thiết lập Extranet truyền thống Các VPN mở rộng cung cấp đường hầm bảo mật khách hàng, nhà cung cấp, đối tác qua sở hạ tầng công cộng sử dụng kết nối mà luôn bảo mật Kiểu VPN thường cấu VPN Site-to-Site Sự khác VPN nội VPN mở rộng truy cập mạng mà công nhận hai đầu cuối VPN Hình 1.10 Mơ hình mạng VPN mở rộng - Một số thuận lợi Extranet: 18 19 + Do hoạt động mơi trường Internet, lựa chọn nhà phân phối lựa chọn đưa phương pháp giải tuỳ theo nhu cầu tổ chức + Bởi phần Internet-connectivity bảo trì nhà cung cấp ISP nên giảm chi phí bảo trì thuê nhân viên bảo trì + Dễ dàng triển khai, quản lý chỉnh sửa thông tin - Một số bất lợi Extranet: + Sự đe dọa tính an tồn, bị cơng từ chối dịch vụ tồn + Tăng thêm nguy hiểm xâm nhập tổ chức Extranet + Vì dựa Internet nên liệu loại High-end Data việc trao đổi diễn chậm chạp + Do dựa Internet, QoS không bảo đảm thường xuyên Hạ tầng Mạng chung Internet Nhà cung cấp Dịch vụ Nhà cung cấp Dịch vụ Hình 1.11 Thiết lập Extranet VPN 19 Nhà cung cấp Dịch vụ 20 Chương GIAO THỨC ĐƯỜNG HẦM VPN Giao thức đường hầm tảng VPN Giao thức đường hầm đóng vai trị quan trọng việc thực đóng gói vận chuyển gói tin để truyền đường mạng cơng cộng Có ba giao thức đường hầm sử dụng nhiều thực tế sử dụng giao thức tầng hầm chuyển tiếp lớp (L2F), giao thức đường hầm điểm tới điểm (PPTP), giao thức tầng hầm lớp Layer (L2TP) Trong nghiên cứu đồ án sâu cụ thể giao thức đường hầm điểm tới điềm (PPTP) Nó liên quan đến việc thực IP-VPN mạng công cộng I GIỚI THIỆU CÁC GIAO THỨC ĐƯỜNG HẦM Có nhiều giao thức đường hầm khác công nghệ VPN, việc sử dụng giao thức lên quan đến phương pháp xác thực mật mã kèm Một số giao thức đường hầm phổ biến là: - Giao thức tầng hầm chuyển tiếp lớp (L2F) - Giao thức đường hầm điểm tới điểm (PPTP) - Giao thức tầng hầm lớp (L2TP) - GRE - IPSec Hai giao thức L2F PPTP kế thừa phát triển dựa giao thức PPP (Point to Point Protocol) Có thể nói PPP giao thức sử dụng nối tiếp lớp 2, sử dụng để chuyển gói tin liệu qua mạng IP hỗ trợ đa giao thức lớp Giao thức L2F hãng Cisco nghiên cứu phát triển độc quyền, PPTP nhiều công ty hợp tác nghiên cứu phát triển Dựa vào hai giao thức tổ chức kĩ thuật Internet (IETF) phát triển giao thức đường hầm L2TP Và giao thức PPTP L2TP sử dụng phổ biến L2F Trong giao thức đường hầm nói trên, giao thức IPSec giải pháp tối ưu mặt an tồn liệu gói tin Nó sử dụng 20 21 phương pháp xác thực mật mã tương đối cao IPSec mang tính linh động hơn, khơng bị ràng buộc thuật tốn xác thực hay mật mã II GIAO THỨC ĐƯỜNG HẦM ĐIỂM TỚI ĐIỂM (PPTP) Giao thức nghiên cứu phát triển công ty chuyên thiết bị công nghệ viễn thông Trên sở giao thức tách chức chung riêng việc truy nhập từ xa, dự sở hạ tầng Internet có sẵn để tạo kết nối đường hầm người dùng mạng riêng ảo Người dùng xa dùng phương pháp quay số tới nhà cung cấp dịch vụ Internet để tạo đường hầm riêng để kết nối tới truy nhập tới mạng riêng ảo người dùng Giao thức PPTP xây dựng dựa tảng PPP, cung cấp khả truy nhập tạo đường hầm thơng qua Internet đến site đích PPTP sử dụng giao thức đóng gói tin định tuyến chung GRE mơ tả để đóng lại tách gói PPP Giao thức cho phép PPTP linh hoạt xử lý giao thức khác II.1 Nguyên tắc hoạt động PPTP PPP giao thức truy nhập vào Internet mạng IP phổ biến Nó làm việc lớp liên kết liệu mô hình OSI, PPP bao gồm phương thức đóng gói, tách gói IP, truyền chỗ kết nối điểm tới điểm từ máy sang máy khác PPTP đóng gói tin khung liệu giao thức PPP vào gói tin IP để truyền qua mạng IP PPTP dùng kết nối TCP để khởi tạo trì, kết thức đường hầm dùng gói định tuyến chung GRE để đóng gói khung PPP Phần tải khung PPP mã hoá nén lại PPTP sử dụng PPP để thực chức thiết lập kết thức kết nối vật lý, xác định người dùng, tạo gói liệu PPP PPTP tồn mạng IP PPTP khách PPTP chủ mạng PPTP khách đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết lập kết nối IP Khi kết nối thực có nghĩa người dùng xác nhận Đó giai đoạn tùy chọn PPP, nhiên luôn 21 22 cung cấp ISP Việc xác thực trình thiết lập kết nối dựa PPTP sử dụng chế xác thực kết nối PPP Một số chế xác thực sử dụng là: - Giao thức xác thực mở rộng EAP - Giao thức xác thực có thử thách bắt tay CHAP - Giao thức xác định mật PAP Giao thức PAP hoạt động nguyên tắc mật gửi qua kết nối dạng văn đơn giản khơng có bảo mật CHAP giao thức cách thức mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động chống lại công quay lại cách sử dụng giá trị bí mật khơng thể đốn giải PPTP nhà phát triển công nghệ đưa vào việc mật mã nén phần tải tin PPP Để mật mã phần tải tin PPP sử dụng phương thức mã hoá điểm tới điểm MPPE MPPE cung cấp mật mã lúc truyền liệu đường truyền không cung cấp mật mã thiết bị đầu cuối tới đầu cuối Nếu cần sử dụng mật mã đầu cuối đến đầu cuối dùng giao thức IPSec để bảo mật lưu lượng IP đầu cuối sau đường hầm PPTP thiết lập Khi PPP thiết lập kết nối, PPTP sử dụng quy luật đóng gói PPP để đóng gói gói truyền đường hầm Để dựa ưu điểm kết nối tạo PPP, PPTP định nghĩa hai loại gói điểu khiển liệu, sau gán chúng vào hai kênh riêng kênh điều khiển kênh liệu PPTP tách kênh điều khiển kênh liệu thành luồng điều khiển với giao thức điều khiển truyền liệu TCP luồng liệu với giao thức IP Kết nối TCP tạo máy khách máy chủ sử dụng để truyền thơng báo điều khiển Các gói liệu liệu thơng thường người dùng Các gói điều khiển đưa vào theo chu kì để lấy thông tin trạng thái kết nối quản lý báo hiệu ứng máy khách PPTP máy chủ PPTP Các gói điều khiển dùng để gửi thông tin quản lý thiết bị, thông tin cấu hình hai đầu đường hầm Kênh điều khiển yêu cầu cho việc thiết lập đường hầm máy khách máy chủ PPTP Máy chủ PPTP Server có sử dụng giao thức PPTP 22 23 với giao diện nối với Internet giao diện khác nối với Intranet, phần mềm client nằm máy người dùng từ xa máy chủ ISP II.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP Kết nối điều khiển PPTP kết nối địa IP máy khách PPTP địa máy chủ Kết nối điều khiển PPTP mang theo gói tin điều khiển quản lý sử dụng để trì đường hầm PPTP Các tin bao gồm PPTP yêu cầu phản hồi PPTP đáp lại phải hồi định kì để phát lỗi kết nối máy trạm máy chủ PPTP Các gói tin kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP tin điều khiển PPTP tiêu đề, phần cuối lớp liên kết liệu Hình 2.1 Gói liệu kết nối điều khiển PPTP II.3 Nguyên lý đóng gói liệu đường hầm PPTP Đóng gói khung PPP gói định tuyến chung GRE Dữ liệu đường hầm PPTP đóng gói thơng qua mức mơ tả theo mơ hình Hình 2.2 Mơ hình đóng gói liệu đường hầm PPTP Phần tải khung PPP ban đầu mã hố đóng gói với tiêu đề PPP để tạo khung PPP Khung PPP sau đóng gói với phần tiêu đề phiên giao thức GRE sửa đổi GRE giao thức đóng gói chung, cung cấp chế đóng gói liệu để định tuyến qua mạng IP Đối với PPTP, phần tiêu đề GRE sửa đổi số điểm trường xác nhận dài 32 bits thêm vào Một bits xác nhận sử dụng để định có mặt trường xác nhận 32 bits, trường Key thay 23 24 trường độ dài Payload 16 bits trường số gọi 16 bits Trường số gọi thiết lập máy trạm PPTP q trình khởi tạo đường hầm Đóng gói IP Trong truyền tải phần tải PPP tiêu đề GRE sau đóng gói với tiêu đề IP chứa thông tin địa nguồn đích thích hợp cho máy trạm máy chủ PPTP Đóng gói lớp liên kết liệu Để truyền qua mạng LAN hay WAN gói tin IP cuối đựơc đóng gói với tiêu đề phần cuối lớp liên kết liệu giao diện vật lý đầu Như mạng LAN gói tin IP đựơc gửi qua giao diện Ethernet, gói với phần tiêu đề Ethernet Nếu gói tin IP gửi qua đường truyền WAN điểm tới điểm đóng gói với phần tiêu đề giao thức PPP Sơ đồ đóng gói giao thức PPTP Q trình đóng gói PPTP từ máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem mơ theo hình Hình 2.3 Sơ đồ đóng gói PPTP - Các gói tin IP, IPX, khung NetBEUI đưa tới giao diện ảo đại diện cho kết nối VPN giao thức tương ứng sử dụng đặc tả giao diện thiết bị mạng NDIS 24 25 - NDIS đưa gói tin liệu tới NDIS-WAN, nơi thực việc mã hoá nén liệu, cung cấp tiêu đề PPP phần tiêu đề PPP gồm trường mã số giao thức PPP khơng có trường Flags trường chuổi kiểm tra khung (FCS) Giả định trường địa điều khiển thoả thuận giao thức điều khiển đường truyền (LCP) trình kết nối PPP - NDIS-WAN gửi liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đề GRE Trong tiêu đề GRE, trường số gọi đặt giá trị thích hợp xác định đường hầm - Giao thức PPTP sau gửi gói tin vừa tạo tới TCP/IP - TCP/IP đóng gói liệu đường hầm PPTP với phần tiêu đề IP sau gửi kết tới giao diện đại diện cho kết nối quay số tới ISP cục NDIS - NDIS gửi gói tin tới NDIS-WAN, cung cấp tiêu đề đuôi PPP - NDIS-WAN gửi khung PPP kết tới cổng WAN tương ứng đại diện cho phần cứng quay số II.4 Nguyên tắc thực gói tin liệu đầu cuối đường hầm PPTP Khi nhận được liệu đường hầm PPTP, máy trạm máy chủ PPTP, thực bước sau: - Xử lý loại bỏ gói phần tiêu đề lớp liên kết liệu hay gói tin - Xử lý loại bỏ tiêu đề IP - Xử lý loại bỏ tiêu đề GRE PPP - Giải mã nén phần tải tin PPP - Xử lý phần tải tin để nhận chuyển tiếp II.5 Triển khai VPN dựa PPTP Khi triển khai VPN dự giao thức PPTP yêu cầu hệ thống tối thiểu phải có thành phần thiết bị hình bao gồm: - Một máy chủ truy nhập mạng dùng cho phương thức quay số truy nhập bảo mật VPN - Một máy chủ PPTP - Máy trạm PPTP với phần mềm client cần thiết 25 26 Hình 2.4 Các thành phần hệ thống cung cấp VPN dựa PPTP II.5.1 Máy chủ PPTP Máy chủ PPTP có hai chức chính, đóng vai trị điểm kết nối đường hầm PPTP chuyển gói tin đến đường hầm mạng LAN riêng Máy chủ PPTP chuyển gói tin đến máy đích cách xử lý gói tin PPTP để địa mạng máy đích Máy chủ PPTP có khả lọc gói, cách sử dụng chế lọc gói PPTP máy chủ ngăn cấm, cho phép truy nhập vào Internet, mạng riêng hay truy nhập hai Thiết lập máy chủ PPTP site mạng hạn chế máy chủ PPTP nằm sau tường lửa PPTP thiết kế cho có cổng TCP 1723 sử dụng để chuyển liệu Nhược điểm cấu hình cổng làm cho tường lửa dễ bị cơng Nếu tường cấu hình để lọc gói tin cần phải thiết lập cho phép GRE qua Một thiết bị khác đua năm 1998 hãng 3Com có chức tương tự máy chủ PPTP gọi chuyển mạch đường hầm Mục đích chuyển mạch đường hầm mở rộng đường hầm từ mạng đến mạng khác, trải rộng đường hầm từ mạng ISP đến mạng riêng Chuyển mạch đường hầm sử dụng tường lửa làm tăng khả quản lý truy nhập từ xa vào tài nguyên mạng nội Nó kiểm tra gói tin đến đi, giao thức khung PPP tên người dùng từ xa 26 27 II.5.2 Phần mềm Client PPTP Các thiết bị ISP hỗ trợ PPTP khơng cần phần cứng hay phần mềm bổ sung cho máy trạm, cần kết nối PPP chuẩn Nếu thiết bị ISP khơng hỗ trợ PPTP phần mềm ứng dụng Client tạo liên kết nối bảo mật cách quay số kết nối tới ISP PPP, sau quay số lần thông qua cổng PPTP ảo thiết lập máy trạm II.5.3 Máy chủ truy nhập mạng Máy chủ truy nhập mạng Network Access Server (NAS) cịn có tên gọi máy chủ truy nhập từ xa hay tập trung truy nhập NAS cung cấp khả truy nhập đường dây dựa phần mềm, có khả tính cước có khả chịu đựng lỗi ISP, POP NAS ISP thiết kế cho phép số lượng lớn người dùng quay số truy nhập vào lúc Nếu ISP cung cấp dịch vụ PPTP cần phải cài NAS cho phép PPTP để hỗ trợ client chạy hệ điều hành khác Trong trường hợp máy chủ ISP đóng vai trị client PPTP kết nối với máy chủ PPTP mạng riêng máy chủ ISP trở thành điểm cuối đường hầm, điểm cuối lại máy chủ đầu mạng riêng II.6 Một số ưu nhược điểm khả ứng dụng PPTP Ưu điểm PPTP thiết kế để hoạt động lớp IPSec chạy lớp mơ hình OSI Việc hỗ trợ truyền liệu lớp 2, PPTP lan truyền đường hầm giao thức khác IP IPSec truyền gói tin IP đường hầm PPTP giải pháp tạm thời hầu hết nhà cung cấp dịch vụ có kế hoạch thay đổi PPTP L2TP giao thức mã hố PPTP thích hợp cho việc quay số truy nhập với số lượng người dùng giới hạn VPN kết nối LAN-LAN Một vấn đề PPTP xử lý xác thực người thông qua hệ điều hành Máy chủ PPTP tải với số lượng người dùng quay số truy nhập hay lưu lượng lớn liệu truyền qua, điều yêu cầu kết nối LANLAN Khi sử dụng VPN dựa PPTP mà có hỗ trợ thiết bị ISP số quyền quản 27 28 lý phải chia cho ISP Tính bảo mật PPTP không mạnh IPSec Nhưng quản lý bảo mật PPTP lại đơn giản Khó khăn lớn kèm với PPTP chế yếu bảo mật dùng mã hóa đồng khóa xuất phát từ việc sử dụng mã hóa đối xứng cách tạo khóa từ mật người dùng Điều nguy hiểm mật thường gửi dạng phơi bày hồn tồn q trình xác nhận Giao thức tạo đường hầm (L2F) phát triển nhằm cải thiện bảo mật với mục đích 28 ... rối tồn mạng Intranet ảnh hưởng đến kết nối bên ngồi mạng Sẽ có vấn đề bạn gặp phải kết nối Intranet vào mạng Extranet Triển khai thiết kế mạng Extranet điều khó khăn nhà thiết kế quản trị mạng. .. dùng mạng Internet truy cập tài nguyên quan, doanh nghiệp cách bảo mật đầy đủ tính sử dụng máy tính cục quan, doanh nghiệp Những thiết bị đầu mạng hỗ trợ cho VPN Switch, Router, Firewall Những thiết. .. 60-80% - VPN tạo tính mềm dẻo cho khả quản lý Internet Các VPN kế thừa phát huy tính mềm dẻo khả mở rộng kiến trúc mạng mạng WAN truyền thống Điều giúp doanh nghiệp nhanh chóng hiệu kinh tế cho việc

Ngày đăng: 09/06/2022, 19:51

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w