ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG Đề tài: Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm bảo mật CHƯƠNG CÁC GIAO THỨC ĐƯỜNG HẦM VPN Sử dụng RADIUS để cung cấp đường hầm bắt buộc có vài ưu điểm là: Các đường hầm định nghĩa kiểm tra dựa xác thực người dùng tính cước dựa vào số điện thoại, phương thức xác thực khác thẻ (token) hay thẻ thông minh (smart card) a) Xác thực người dùng quay số từ xa (RADIUS) RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu client/ server để chứng nhận cách bảo mật quản trị kết nối mạng từ xa người dùng phiên làm việc RADIUS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com client/server sử dụng máy chủ truy cập mạng NAS để quản lý kết nối người dùng Ngồi chức máy chủ truy cập mạng cịn có số chức cho RADIUS client NAS nhận dạng người dùng, thông in mật chuyển đến máy chủ RADIUS Máy chủ RADIUS trả lại trạng thái xác thực chấp nhận hay từ chối liệu cấu hình cho NAS để cung cấp dịch vụ cho người dùng RADIUS tạo sở liệu tập trung người dùng, loại dịch vụ sẵn có, dải modem đa chủng loại Trong RADIUS thông tin người dùng lưu máy chủ RADIUS RADIUS hỗ trợ cho máy chủ Proxy, nơi lưu giữ thơng tin người dùng cho mục đích xác thực, cấp quyền tính cước, khơng cho phép thay đổi liệu người dùng Máy chủ Proxy định kỳ cập nhật sở liệu người dùng từ máy chủ RADIUS Để RADIUS điều khiển việc thiết lập đường hầm, cần phải lưu thuộc tính đường hầm Các thuộc tính bao gồm: giao thức đường hầm sử dụng (PPTP hay L2TP), địa máy chủ môi trường truyền dẫn đường hầm sử dụng Khi kết hợp đường hầm với RADIUS, có tuỳ chọn cho xác thực cấp quyền: - Xác thực nhận cấp quyền lần RAS đặt cuối đường hầm LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Xác thực nhận cấp quyền lần RAS đặt cuối đường hầm cố gắng chuyển đáp ứng RADIUS đến đàu xa đường hầm - Xác thực hai đầu đường hầm Tuỳ chọn thứ có độ tin cậy yêu cầu ISP điều khiển tiến trình truy cập mạng Tuỳ chọn thứ hai có độ tin cậy trung bình, phụ thuộc cách RADIUS trả lời xác thực Tuỳ chọn thứ ba có độ tin cậy cao làm việc tốt sử dụng máy chủ Proxy RADIUS b) Xác thực mã hoá Các client PPTP xác thực tương tự client RAS xác thực từ máy chủ PPP Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP MS-CHAP sử dụng hàm băm MD4 để tạo thẻ thách đố từ mật người dùng PAP CHAP có nhược điểm hai dựa mật lưu máy đầu xa máy cục Nếu máy tính bị điều khiển kẻ cơng từ mạng mật thay đổi Với PAP CHAP gán đặc quyền truy cập mạng khác cho người dùng khác máy tính xa Bởi cấp quyền gán cho máy tính người dùng máy tính có đặc quyền truy cập mạng Với PPTP liệu mã hố theo mã hóa điểm-điểm Microsoft – MPPE (Microsoft point-to-Point Encryption) Phương thức LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com dựa chuẩn RSA RC4, giao thức điều khiển nén CCP (Compression Control Protocol) sử dụng PPP để thoả hiệp việc mã hố MS-CHAP dùng để kiểm tra tính hợp lý người dùng đầu cuối tên miền Windows NT Mạng riêng bảo vệ Computer Internet Computer Máy chủ Client Máy chủ truy cập mạng Computer LAN PPP GRE IP, IPX, NETBEUI Dữ liệu GRE PPP PPP IP, IPX, NETBEUI IP, IPX, NETBEUI Dữ liệu Dữ liệu Hình 2.9: Mã hố gói PPTP Một khố phiên 40 bit sử dụng cho mã hoá người dùng Mỹ cài đặt phần mềm nâng cấp lên 128 bit MPPE mã hố gói PPP client trước chuyển chúng vào đường hầm PPTP nên gói bảo mật từ trạm làm việc đến máy chủ PPTP Việc thay đổi khố phiên thoả thuận lại sau gói hay sau số gói c) Đường hầm kết nối LAN-LAN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Giao thức PPTP nguyên thuỷ tập trung hỗ trợ cho việc quay số kết nối vào mạng riêng thông qua mạng Internet, đường hầm kết nối LAN-LAN không hỗ trợ Mãi đến Microsoft giới thiệu máy chủ định hướng truy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 hỗ trợ đường hầm kết nối LAN-LAN Kể từ nhà cung cấp khác cung cấp máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN Đường hầm kết nối LAN-LAN diễn hai máy chủ PPTP, giống IPSec dùng cổng nối bảo mật để kết nối mạng LAN Tuy nhiên, kiến trúc PPTP khơng có hệ thống quản lý khố nên việc cấp quyền xác thực điều khiển CHAP thông qua MSCHAP Để tạo đường hầm hai site, máy chủ PPTP site xác thực PPTP site Khi máy chủ PPTP trở thành client PPTP máy chủ PPTP đầu bên ngược lại, đường hầm tự nguyện tạo hai site Hình 2.10 : Đường hầm kết nối LAN-LAN LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Do đường hầm PPTP đón gói giao thức mạng hỗ trợ (IP, IPX, NETBEUI), người dùng site truy cập vào tài nguyên site dựa quyền truy cập họ Điều có nghĩa cần phải có site quản lý để đảm bảo người dùng site có quyền truy cập vào site Trong Windows NT site có miền bảo mật riêng site phải thiết lập mối quan hệ tin cậy miền phép người dùng truy cập vào tài nguyên site 2.1.1 Sử dụng PPTP Tổng quát PPTP VPN yêu cầu phải có: máy chủ truy cập mạng dùng cho phương thức quay số truy cập bảo mật vào VPN, máy chủ PPTP, PPTP client Hình 2.11: Các thành phần VPN sử dụng PPTP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Các máy chủ PPTP đặt mạng công ty nhóm người cơng ty quản lý NAS phải ISP hỗ trợ a) Máy chủ PPTP Máy chủ PPTP thực hai chức là: đóng vai trò điểm kết nối đường hầm PPTP chuyển gói đến từ đường hầm tới mạng LAN riêng Máy chủ PPTP chuyển gói đến máy đích cách xử lý gói PPTP để địa mạng máy tính đích Máy chủ PPTP có khả lọc gói cách sử dụng lọc gói PPTP Lọc gói PPTP cho phép máy chủ ngăn cấm, cho phép truy cập vào Internet , mạng riêng hay hai Thiết lập máy chủ PPTP site mạng gây nên giới hạn máy chủ PPTP nằm sau tường lửa PPTP thiết kế sau cho có cổng TCP/IP (1723) sử dụng để chuyển liệu Sự khiếm khuyết cấu hình cổng làm cho tường lửa dễ bị công Nếu tường lửa cấu hình để lọc gói phải thiét lập cho phép GRE qua Một thiết bị khác khởi xướng năm 1998 hãng 3Com có chức tương tự máy chủ PPTP gọi chuyển mạch đường hầm Mục đích chuyển mạch đường hầm mở rộng đường hầm từ mạng đến mạng khác, trải rông đường hầm từ mạng ISP đến mạng riêng Chuển mạch đường hầm sử dụng tường lửa làm tăng khả quản lý truy cập từ xa vào tài nguyên mạng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nội bộ, kiểm tra gói đến về, giao thức khung PPP tên người dùng từ xa b) Phần mềm client PPTP Nếu thiết bị ISP hỗ trợ PPTP khơng cần phần cứng hay phần mềm cho client, cần kết nối PPP chuẩn Nếu thiết bị ISP không hỗ trợ PPTP client Win NT (hoặc phần mềm tương tự) tạo kết nối bảo mật cách: Đầu tiên quay số kết nối tới ISP PPP, sau quay số lần thơng qua cổng PPTP ảo thiết lập client Client PPTP có sẵn Win NT, Win 9x hệ điều hành sau Khi chọn client PPTP cần phẩi so sánh chức với máy chủ PPTP có Khơng phải tất phần mềm client PPTP hỗ trợ MS-CHAP, thiếu công cụ khơng thể tận dụng ưu điểm mã hoá RRAS c) Máy chủ truy cập mạng RAS Máy chủ truy cập mạng NAS cịn có tên gọi khác Máy chủ truy cập từ xa (Remote Access Server) hay tập trung truy cập (Access Concentrator) NAS cung cấp khả truy cập đường dây dựa phần mềm có khả tính cước có khả chịu đựng lỗi ISP POP NAS ISP thiết kế cho phép số lượng lớn người dùng quay số truy cập vào lúc LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nếu ISP cung cấp dịch vụ PPTP cần phải cài NAS cho phép PPTP, để hỗ trợ client chạy khác Unix, Windows, Macintosh Trong truờng hợp này, máy chủ ISP đóng vai trò client PPTP kết nối với máy chủ PPTP mạng riêng máy chủ ISP trở thành điểm cuối đường hầm, điểm kết thúc lại máy chủ đầu mạng riêng 2.1.2 Khả áp dụng thực tế PPTP PPTP giải pháp tạm thời hầu hết nhà cung cấp có kế hoạch thay PPTP L2TP mà giao thức chuẩn hố PPTP thích hợp cho quay số truy cập với số lượng người dung giới hạn cho VPN kết nối LAN–LAN Một vấn đề PPTP xử lý xác thực quyền người dùng thông qua Windows NT hay thông qua RADIUS Máy chủ PPTP qua tải với số lượng người dùng quay số truy cập hay lưu lượng lớn liệu trưyền qua, mà điều yêu cầu kết nối LAN – LAN Khi sử dụng VPN PPTP mà có hỗ trợ thiết bị ISP số quyền quản lý phải chia sẻ cho ISP Tính bảo mật PPTP không mạnh IPSec Tuy nhiên, quản ý bảo mật PPTP lại đơn giản 2.2 Giao thức đường hầm lớp - L2TP Giao thức đường hầm lớp L2TP kết hợp hai giao thức PPTP L2F- chuyển tiếp lớp PPTP Microsoft đưa L2F LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Cisco khởi xướng Hai công ty hợp tác kết hợp giao thức lại đăng ký chuẩn hoá IETF Giống PPTP, L2TP giao thức đường hầm, sử dụng tiêu đề đóng gói riêng cho việc truyền gói lớp Một điểm khác biệt L2F PPTP L2F không phụ thuộc vào IP GRE, cho phép làm việc mơi trường vật lý khác Bởi GRE khơng sử dụng giao thức đóng gói, nên L2F định nghĩa riêng cách thức gói điều khiển mơi trường khác Nhưng hỗ trợ TACACS+ RADIUS cho việc xác thực Có hai mức xác thực người dùng: Đầu tiên ISP trước thiết lập đường hầm, Sau cổng nối mạng riêng sau kết nối thiết lập L2TP mang dặc tính PPTP L2F Tuy nhiên, L2TP định nghĩa riêng giao thức đường hầm dựa hoạt động L2F Nó cho phép L2TP truyền thơng qua nhiều mơi trường gói khác X.25, Frame Relay, ATM Mặc dù nhiều công cụ chủ yếu L2TP tập trung cho UDP mạng IP, thiết lập hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm Một mạng ATM hay frame Relay áp dụng cho đường hầm L2TP Do L2TP giao thức lớp nên cho phép người dùng sử dụng giao thức điều khiển cách mềm dẻo không IP mà IPX NETBEUI Cũng giống PPTP, L2TP có chế xác thực PAP, CHAP hay RADIUS LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Mặc dù Microsoft làm cho PPTP trở nên cách chọn lựa phổ biến xây dựng VPN cách hỗ trợ giao thức sẵn có hệ điều hành Windows cơng ty có kế hoạch hỗ trợ thêm L2TP Windows NT 4.0 Windows 98 2.2.1 Dạng thức L2TP Các thành phần chức L2TP bao gồm: giao thức điểmđiểm, đường hầm, hệ thống xác thực mã hố L2TP sử dụng quản lý khoá để tăng thêm độ bảo mật Kiến trúc L2TP hình vẽ: Hình 2.12: kiến trúc L2TP a) PPP L2TP L2TP dựa PPP để tạo kết nối quay số client máy chủ truy cập mạng NAS L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com giai đoạn xác thực ban đầu, tạo gói liệu PPP đóng kết nối kết thúc phiên làm việc Sau PPP tạo kết nối xong, L2TP định NAS site có chấp nhận người dùng sẵn sàng đóng vai trò điểm kết thúc đường hầm cho người dùng Sau đường hầm thiết lập, L2TP đóng gói PPP truyền lên mơi trường mà ISP gán cho đường hầm L2TP tạo nhiều đường hầm NAS ISP máy chủ mạng, gán nhiều phiên làm việc cho đường hầm L2TP tạo số nhận dạng gọi (Call ID) cho phiên làm việc chèn vào tiêu đề L2TP gói để thuộc phiên làm việc nào? Ta thực chọn gán phiên làm việc người dùng vào đường hầm thay ghép nhiều phiên làm việc vào đường hầm, với cách cho phép gán người dùng khác vào môi truờng đường hầm tuỳ theo chất lượng dịch vụ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 2.13: giao thức sử dụng kết nối L2TP Giống PPTP, L2TP định nghĩa hai loại thông báo thơng báo điều khiển thơng báo liệu Thơng báo điều khiển có chức điều khiển việc thiết lập, quản lý giải phóng phiên làm việc đường hầm Thông báo điều khiển cho ta biết tốc độ truyền tham số đệm dùng để điều khiển luồng gói PPP phiên làm việc Tuy nhiên, L2TP truyền hai loại thơng báo gói liệu UDP chung luồng Do L2TP làm việc lớp thứ hai- lớp liên kết liệu mô hình OSI nên thơng báo liệu L2TP bao gồm tiêu đề môi trường để đường hầm làm việc môi trường nào? Tuỳ thuộc vào ISP mà mơi trường Ethernet, X.25, Frame Relay, ATM, hay liên kết PPP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 2.14: Bọc gói L2TP L2TP cung cấp chế điều khiển luồng NAS (hay tập trung truy cập L2TP_ LAC (L2TP Access Concentrator)) máy chủ mạng riêng (hay máy chủ mạng L2TP _LNS ( L2TP network Server) ) b) Cấu trúc gói liệu L2TP *Đóng gói liệu đường hầm L2TP Đường hầm liệu L2TP thực thông qua nhiều mức đóng gói Hình vẽ cấu trúc cuối liệu đường hầm L2TP IPSec Hình 2.15: Cấu trúc gói liệu đường hầm L2TP + Đóng gói L2TP phần tải PPP ban đầu đóng gói với PPP header L2TP header + Đóng gói UDP LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Gói L2TP sau đóng gói với UDP header, địa nguồn đích đặt 1701 + Đóng gói IPSec Tuỳ thuộc vào sách IPSec, gói UDP mật mã đóng gói với ESP IPSec header ESP IPSec Trailer, IPSec Authentication Trailer + Đóng gói IP Gói IPSec đóng gói với IP header chứa địa IP ngưồn đích VPN client VPN server + Đóng gói lớp liên kết liệu Do đường hầm L2TP hoạt động lớp mơ hình OSI- lớp liên kết liệu nên IP datagram cuối đóng gói với phần header trailer tương ứng với kỹ thuật lớp đường truyền liệu giao diện vật lý đầu Ví dụ, IP datagram gửi vào giao diện Ethernet IPdatagram đóng gói với Ethernet header Ethernet Trailer Khi IP datagram gửi đường truyền WAN điểm-tới-điểm (chẳng hạn đường dây điện thoại hay ISDN, ) IPdatagram đóng gói với PPP header PPP trailer * Xử lý liệu đường hầm L2TP IPSec Khi nhận liệu đường hầm L2TP IPSec, L2TP client hay L2TP server thực bước sau: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Xử lý loại bỏ header trailer lớp đường truyền liệu - Xử lý loại bỏ IP header - Dùng IPSec ESP Authentication để xác thực IP payload IPSec ESP header - Dùng IPSec ESP header để giải mã phần gói mật mã - Xử lý UDP header gửi gói L2TP tới lớp L2TP - L2TP dùng Tunnel ID Call ID L2TP header để xác định đường hầm L2TP cụ thể - Dùng PPP header để xác định PPP payload chuyển tiếp tới dúng giao thức để xử lý * Sơ đồ đóng gói L2TP IPSec Sơ đồ đóng gói L2TP qua kiến trúc mạng từ VPN client thông qua kết nối VPN truy cập từ xa sử dụng modem tương tự hình vẽ: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 2.16: Sơ đồ đóng gói L2TP Các bước q trình: - Một IP datagram, IPX datagram, NetBEUI Frame đưa tới giao diện ảo đại diện cho kết nối VPN sử dụng NDIS giao thức thích hợp - NDIS đưa Packet tới NDISWAN, nén cung cấp PPP header bao gồm trường PPP protocol ID Các trường Flag hay FCS không thêm vào - NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP frame với L2TP header Trong L2TP header, Tunnel ID Call ID thiết lập giá trị thích hợp để xác định đường hầm LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Giao thức L2TP gửi gói thu tới giao thức TCP/IP với thơng tin để gửi gói L2TP tin UDP từ cổng UDP 1701 tới cổng 1701 với địa IP VPN client VPN server - Giao thức TCP/IP xây dựng gói IP với IP header UDP header thích hợp Sau IPSec phân tích gói IP so sánh với ác sách IPSec thời Dựa thiết lập sách, IPSec đóng gói mật mã phần tin UDP gói tin IP sử dụng ESP header ESP trailer phù hợp IP header ban đầu với Protocol field dặt 50 thêm vào phía trước gói ESP Giao thức TCP/IP sau gửi gói tin thu tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử dụng NDIS - NDIS gửi gói tới NDISWAN - NDISWAN cung cấp PPP header, PPP trailer gửi khung PPP thu đựoc tới cổng WAN thích hợp đại diện cho phần cứng dial-up c) Đường hầm L2TP L2TP sử dụng lớp đường hầm tương tự PPTP, tuỳ theo người dùng sử dụng client PPP hay client L2TP mà sử dụng đường hầm tự nguyện hay bắt buộc Đường hầm tự nguyện tạo theo yêu cầu người dùng cho mục đích cụ thể Khi sử dụng đường hầm tự nguyện người dùng đồng thời mở đường hầm bảo mật thông qua Internet, vừa truy cập vào host Internet theo giao thức TCP/IP bình LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thường Điểm kết thúc đường hầm tự nguyện nằm máy tính người dùng Đường hầm tự nguyện thường sử dụng để cung cấp tính riêng tư tồn vẹn liệu cho lưu lượng Intranet gửi thông qua Internet Mạng riêng Client L2TP Computer Internet Máy chủ mạng L2TP Client L2TP Computer Computer Đường hầm tự nguyện (L2TP) Computer Computer Computer Computer Internet Máy chủ mạng L2TP Computer Mạng riêng bảo vệ Đường hầm bắt buộc (L2TP) Máy chủ mạng L2TP Computer Mạng riêng bảo vệ Hình 2.17: Các đường hầm tự nguyện bắt buộc LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... chia sẻ cho ISP Tính bảo mật PPTP khơng mạnh IPSec Tuy nhiên, quản ý bảo mật PPTP lại đơn giản 2.2 Giao thức đường hầm lớp - L2TP Giao thức đường hầm lớp L2TP kết hợp hai giao thức PPTP L2F- chuyển... chủ PPTP gọi chuyển mạch đường hầm Mục đích chuyển mạch đường hầm mở rộng đường hầm từ mạng đến mạng khác, trải rông đường hầm từ mạng ISP đến mạng riêng Chuển mạch đường hầm sử dụng tường lửa làm... lập đường hầm, cần phải lưu thuộc tính đường hầm Các thuộc tính bao gồm: giao thức đường hầm sử dụng (PPTP hay L2TP), địa máy chủ môi trường truyền dẫn đường hầm sử dụng Khi kết hợp đường hầm