55 CHƯƠNG 3 CÔNG NGHỆ VPN MỤC TIÊU Học xong chương này sinh viên có thể o Trình bày được khái niệm, lợi ích của công nghệ VPN o Trình bày được nguyên lý hoạt động của VPN o Triển khai, cài đặt, cấu hì[.]
CHƯƠNG 3: CÔNG NGHỆ VPN MỤC TIÊU Học xong chương sinh viên có thể: o Trình bày khái niệm, lợi ích cơng nghệ VPN o Trình bày nguyên lý hoạt động VPN o Triển khai, cài đặt, cấu hình cơng nghệ VPN cho doanh nghiệp o Tư vấn cho khách hàng triển khai công nghệ VPN o Rèn luyện khả tư logic 3.1 Tổng quan VPN 3.1.1 Khái niệm Mạng riêng ảo hay gọi với từ viết tắt VPN, khái niệm công nghệ mạng VPN định nghĩa dịch vụ mạng ảo triển khai sở hạ tầng hệ thống mạng công cộng với mục đích tiết kiệm chi phí cho kết nối điểm - điểm Hai đặc điểm quan trọng công nghệ VPN “riêng” “ảo” tương ứng với hai thuật ngữ tiếng anh (Virtual and Private) VPN xuất lớp mơ hình OSI, VPN cải tiến sở hạ tầng mạng WAN, làm thay đổi làm tăng tính chất mạng cục cho mạng WAN 55 Hình 3.1: Mơ hình VPN 3.1.2 Lợi ích VPN - VPN làm giảm chi phí thường xuyên: VPN cho phép tiết kiệm chi phí thuê đường truyền giảm chi phí phát sinh cho nhân viên xa nhờ vào việc họ truy cập vào hệ thống mạng nội thông qua điểm cung cấp dịch vụ địa phương POP (Point of Presence), hạn chế thuê đường truy cập nhà cung cấp đến giá thành cho việc kết nối Lan – to – Lan giảm đáng kể so với việc thuê đường Leased - line - Giảm chi phí quản lý hỗ trợ: Với việc sử dụng dịch vụ nhà cung cấp, phải quản lý kết nối đầu cuối chi nhánh mạng, đồng thời tận dụng sở hạ tầng mạng Internet đội ngũ kỹ thuật nhà cung cấp dịch vụ - VPN đảm bảo an tồn thơng tin, tính tồn vẹn xác thực: Dữ liệu truyền mạng mã hóa thuật toán truyền đường hầm (Tunnel) nên thơng tin có độ an tồn cao - VPN dễ dàng kết nối chi nhánh thành mạng nội bộ: VPN dễ dàng kết nối hệ thống mạng chi nhánh công ty văn phịng trung tâm thành mạng LAN với chi phí thấp - VPN hỗ trợ giao thức mạng thông dụng TCP/IP: thông tin gửi VPN mã hóa địa mạng riêng che giấu sử dụng địa bên Internet 3.1.3 Chức VPN VPN cung cấp chức chính: - Sự tin cậy (Confidentiality) : Người gửi mã hóa gói liệu trước truyền chúng ngang qua mạng nên khơng truy nhập thơng tin mà khơng phép - Tính tồn vẹn liệu (Data Integrity) : Người nhận kiểm tra liệu truyền qua mạng internet mà khơng có thay đổi - Xác thực nguồn gốc (Origin authentication) : Người nhận xác thực nguồn gốc gói liệu, đảm bảo công nhận nguồn thông tin 56 3.1.4 Các thành phần cần thiết tạo nên kết nối VPN - User authentication: cung cấp chế chứng thực người dùng, cho phép người dùng hợp lệ kết nối vào hệ thống VPN - Address management : cung cấp địa IP hợp lệ cho người dùng sau gia nhập hệ thống VPN để truy cập tài nguyên mạng nội - Data Encryption : cung cấp giải pháp mã hóa liệu q trình truyền nhằm đảm bảo tính riêng tư tồn vẹn liệu - Key Management : cung cấp giải pháp quản lý khóa dùng cho q trình mã hóa giải mã liệu Phụ thuộc vào kiểu VPN (truy nhập từ xa Remote Access hay kết nối ngang hàng Site-to-Site), số thành phần định cần thiết để hình thành VPN: - Phần mềm máy trạm cho người dùng xa - Các thiết bị phần cứng riêng biệt, ví dụ như: Bộ trung tâm (VPN Concentrator) tường lửa (Secure PIX Firewall) - Các máy chủ VPN sử dụng cho dịch vụ quay số - Máy chủ truy cập NAS (Network Access Server) dùng cho người dùng VPN xa truy nhập - Trung tâm quản lý mạng sách VPN 3.1.5 Phân loại VPN 3.1.5.1 VPN Remote Access Hình 3.2: VPN Remote Access 57 VPN Remote Access: Hay gọi Virtual Private Dial - up Network (VPDN), dạng kết nối User – to – Lan áp dụng cho công ty mà nhân viên có nhu cầu kết nối tới mạng riêng (Private network) từ địa điểm từ xa Mỗi cơng ty cài đặt mạng kiểu Remote – Access diện rộng theo tài nguyên từ nhà cung cấp dịch vụ ESP (Enterprise Service Provider) ESP cài đặt công nghệ Network Access Server (NAS) cung cấp cho user xa với phần mềm client máy họ Một đặc điểm quan trọng VPN Remote Access là: cho phép người dùng di động truy cập từ xa vào hệ thống mạng nội công ty để làm việc Để thực VPN Remote Access cần : - Có 01 VPN Getway (có 01 IP Public) Đây điểm tập trung xử lý VPN Client quay số truy cập vào hệ thống VPN nội - Các VPN Client kết nối vào mạng Internet 3.1.5.2VPN Site-to-Site Hình 3.3: VPN Site - to – Site VPN Site - to – Site: Bằng việc sử dụng thiết bị chuyên dụng chế bảo mật diện rộng, công ty tạo kết nối với nhiều site qua mạng công cộng Internet Các mạng VPN Site – To – Site thuộc hai dạng: 58 - Intranet: Intranet VPN mở rộng dịch vụ mạng nội tới trụ sở xa, mơ hình liên mạng hướng phi kết nối qua mạng WAN dùng chung Yêu cầu phải thực tất dịch vụ mạng thực mạng trung tâm - Extranet: Liên kết khách hàng, nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet tổ chức hạ tầng mạng công cộng sử dụng đường truyền thuê bao Giải pháp cung cấp sách mạng riêng tổ chức đảm bảo tính bảo mật, tính ổn định Về mặt kiến trúc Intranet Extranet tương tự nhau, nhiên điểm khác biệt chúng phạm vi ứng dụng cho phép đối tác Extranet VPN sử dụng So với Intranet VPN vấn đề tiết kiệm chi phí khơng rõ điều quan trọng khả cộng tác với đối tác, khách hàng hay nhà cung cấp sản phẩm Việc khách hàng nhập trực tiếp liệu hợp đồng vào hệ thống tiết kiệm nhiều thời gian lỗi khơng đáng có, nhiên việc khó thực với cơng nghệ WAN truyền thống Extranet VPN thường sử dụng kết nối dành riêng thêm vào lớp bảo mật để xác thực giới hạn truy nhập hệ thống Để thực VPN Site-to-Site cần: - Có 02 VPN Getway ( Mỗi VPN Getway có 01 IP Public) Đây điểm tập trung xử lý VPN Getway phía bên quay số truy cập vào - Các Client kết nối vào hệ thống mạng nội 3.2 Một số giao thức mã hóa VPN Hiện có nhiều giải pháp để giải hai vấn đề đóng gói liệu an toàn liệu VPN, dựa tảng giao thức đường hầm Một giao thức đường hầm thực đóng gói liệu với phần Header (và Trailer) tương ứng để truyền qua Internet Giao thức đường hầm cốt lõi giải pháp VPN có giao thức đường hầm sử dụng VPN : - Giao thức định hướng lớp : L2F ( Layer Forwarding) 59 - Giao thức đường hầm điểm – điểm : PPTP (Point to point Tunneling protocol) - Giao thức đường hầm lớp : L2TP (Layer tunneling protocol) - Giao thức bảo mật IP : IPSec (Internet Protocol Security) - Giao thức GRE (Generic Routing Encapsulation) 3.2.1 Giao thức định hướng lớp : L2F ( Layer Forwarding) Giao thức định hướng lớp L2F Cisco phát triển độc lập phát triển dựa giao thức PPP ( Point to Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay số ảo cách thiết lập đường hầm bảo mật thông qua sở hạ tầng công cộng Internet L2F cho phép đóng gói PPP L2F, định hướng hầm lớp liên kết liệu 3.2.1.1 Cấu trúc gói L2F bit bit bit bit bit bit F K P S Reserved C bit bit bit Version Protocol Sequence Multiplex ID Client ID Length Offset Key Data Checksums Hình 3.4: Khn dạng gói L2F - 3.2.1.2 Ưu nhược điểm L2F Ưu điểm : + Cho phép thiết lập đường hầm đa giao thức + Được cung cấp nhiều nhà cung cấp - Nhược điểm: + Khơng có mã hóa + Yếu việc xác thực người dùng 60 + Khơng có điều khiển luồng cho đường hầm 3.2.2 Thực L2F L2F đóng gói gói lớp trường hợp đóng gói PPP, truyền qua mạng L2F sử dụng thiết bị: - NAS: Hướng lưu lượng đến từ máy khách xa (Remote client) Gateway home - Tunnel: Định hướng đường NAS Home Gateway - Home Gateway: Ngang hàng với NAS - Kết nối: Là kết nối PPP đường hầm Trong CLI, kết nối L2F xem phiên - Điểm đích (Destination): Là điểm kết thúc đầu xa đường hầm Trong trường hợp Home gateway điểm đích Hình 3.5: Mơ hình L2F Hoạt động L2F Hoạt động L2F bao gồm hoạt động: thiết lập kết nối, đường hầm phiên làm việc Ví dụ minh họa hoạt động L2F: - Một người sử dụng xa quay số tới hệ thống NAS khởi đầu kết nối PPP tới ISP 61 - Hệ thống NAS máy khách trao đổi gói giao thức điều khiển liên kết LCP (Link Control Protocol) - NAS sử dụng sở liệu cục liên quan đến vùng (Domain Name) hay nhận thực Radius để định có hay khơng người sử dụng u cầu dịch vụ L2F - Nếu có người sử dụng yêu cầu L2F trình tiếp tục: NAS thu nhận địa Gateway đích - Một đường hầm thiết lập từ NAS tới Gateway đích chúng chưa có đường hầm Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới Gateway đích để chống lại công kẻ thứ ba - Một kết nối PPP tạo đường hầm, điều có tác động kéo dài phiên PPP từ người sử dụng xa tới Home Gateway Kết nối thiết lập sau: Home Gateway tiếp nhận lựa chọn tất thông tin nhận thực PAP/CHAP, thoả thuận đầu cuối người sử dụng NAS Home Gateway chấp nhận kết nối hay thoả thuận lại LCP nhận thực lại người sử dụng - Khi NAS tiếp nhận lưu lượng liệu từ người sử dụng, lấy gói đóng gói lưu lượng vào khung L2F hướng vào đường hầm - Tại Home Gateway, khung L2F tách bỏ, liệu đóng gói hướng tới mạng cơng ty 3.2.2 Giao thức đường hầm điểm điểm - PPTP Giao thức đường hầm điểm – điểm PPTP đưa nhóm cơng ty gọi PPTP Forum Nhóm bao gồm cơng ty: Ascend, Microsoft, ECI Telematicsunication US Robotic Ý tưởng sở giao thức tách chức chung riêng truy cập từ xa, lợi dụng sở hạ tầng Internet sẵn có để tạo kết nối bảo mật người dùng xa mạng riêng Người dùng xa việc quay số tới nhà cung cấp dịch vụ Internet địa phương tạo đường hầm bảo mật tới mạng riêng họ Giao thức PPTP xây dựng dựa chức PPP, cung cấp khả quay số truy cập tạo đường hầm bảo mật thông qua Internet đến site đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) mô tả lại để đóng gói tách gói PPP, giao thức cho 62 phép PPTP mềm dẻo xử lý giao thức khác IP như: IPX, TBEUI Do PPTP dựa PPP nên sử dụng PAP, CHAP để xác thực PPTP sử dụng PPP để mã hoá liệu Microsoft đưa phương thức mã hố khác mạnh mã hố điểm – điểm MPPE (Microsoft Point – to – Point Encryption) để sử dụng cho PPTP 3.2.2.1 PPP PPTP PPP trở thành giao thức quay số truy cập vào Internet mạng TCP/IP phổ biến Làm việc lớp liên kết liệu mơ hình OSI, PPP bao gồm phương thức đóng, tách gói cho loại gói liệu khác để truyền nối tiếp Đặc biệt PPP định nghĩa hai giao thức: giao thức điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình kiểm tra kết nối Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập cấu hình giao thức lớp mạng khác PPP đóng gói IP, IPX, NETBEUI truyền kết nối điểm – điểm từ máy gửi đến máy nhận Để việc truyền liệu diễn PPP phải gửi gói LCP để kiểm tra cấu hình kiểm tra liên kết liệu Khi kết nối PPP thiết lập người dùng thường xác thực Đây giai đoạn tùy chọn PPP, nhiên, ln ln cung cấp ISP Việc xác thực thực PAP hay CHAP Với PAP mật dược gửi qua kết nối dạng văn đơn giản bảo mật để tránh khỏi bị cơng thử lỗi CHAP phương thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay chiều CHAP chống lại vụ công quay lại cách sử dụng giá trị thách đố (challenge value) khơng thể đốn trước CHAP phát giá trị thách đố suốt sau thiết lập xong kết nối, lập lại thách đố giới hạn số lần bị đặt vào tình bị công PPTP sử dụng PPP để thực chức sau: - Thiết lập kết thúc kết nối vật lý - Xác thực người dùng 63 - Tạo gói liệu PPP PPP thiết lập kết nối, PPTP sử dụng quy luật đóng gói PPP để đóng gói truyền đường hầm Để tận dụng ưu điểm kết nối tạo PPP, PPTP định nghĩa loại gói: Gói điều khiển; Gói liệu gán chúng vào kênh riêng kênh điều khiển kênh liệu Sau PPTP phân tách kênh điều khiển kênh liệu thành luồng điều khiển với giao thức TCP luồng liệu với giao thức IP Kết nối TCP tạo client PPTP máy chủ PPTP sử dụng để truyền thông báo điều khiển Các gói liệu liệu thường người dùng Các gói điều khiển gửi theo chu kỳ để lấy thông tin trạng thái kết nối quản lý báo hiệu client PPTP máy chủ PPTP Các gói điều khiển dùng để gửi thông tin quản lý thiết bị, thông tin cấu hình hai đầu đường hầm Kênh điều khiển yêu cầu cho việc thiết lập đường hầm client PPTP máy chủ PPTP Phần mềm client nằm máy người dùng từ xa hay nằm máy chủ ISP Đường hầm thiết lập liệu người dùng truyền client máy chủ PPTP Các gói PPTP chứa gói liệu đóng gói tiêu đề GRE, sử dụng số ID Host cho điều khiển truy cập, ACK cho giám sát tốc độ liệu truyền đường hầm PPTP có chế điều khiển tốc độ nhằm giới hạn số lượng liệu truyền Cơ chế làm giảm tối thiểu liệu phải truyền lại gói 3.2.2.2 Cấu trúc gói PPTP - Đóng gói liệu đường hầm PPTP Dữ liệu đường hầm PPTP đóng gói thơng qua nhiều mức: đóng gói khung PPP, đóng gói GRE, đóng gói lớp liên kết liệu Cấu trúc gói liệu đóng gói Tiêu đề Tiêu Tiêu đề Tiêu Tải PPP mã Phần đuôi liên liên kết đề IP GRE đề PPP hóa (IP, IPX, kết liệu liệu NETBEUI) 64 Hình 3.6: Cấu trúc gói liệu đường hầm PPTP + Đóng gói khung PPP: Phần trải PPP ban đầu mật mã đóng gói với phần tiêu đề PPP để tạo khung PPP Sau đó, khung PPP đóng gói với phần tiêu đề phiên sửa đổi giao thức GRE Đối với PPTP phần tiêu đề GRE sửa đổi số điểm sau: + Một bit xác nhận sử dụng để khẳng định có mặt trường xác nhận 32 bit + Trường Key thay trường độ dài Payload 16 bit trường nhận dạng gọi 16 bit Trường nhận dạng gọi Call ID thiết lập PPTP client trình khởi tạo đường hầm PPTP + Một trường xác nhận dài 32 bit đưa vào GRE giao thức cung cấp chế chung cho phép đóng gói liệu để gửi qua mạng IP - Đóng gói gói GRE Tiếp đó, phần tải PPP mã hóa phần tiêu đề GRE đóng gói với tiêu đề IP chứa thơng tin địa nguồn đích cho PPTP client PPTP server - Đóng gói lớp liên kết liệu Do đường hầm PPTP hoạt động lớp – lớp liên kết liệu mơ hình OSI nên lược đồ liệu IP đóng gói với phần tiêu đề (Header) phần kết thúc (Trailer) lớp liên kết liệu Ví dụ: Nếu IP datagram gửi qua giao diện Ethernet đóng gói với phần Header Trailer Ethernet Nếu IP datagram gửi thơng qua đường truyền WAN điểm tới điểm đóng gói với phần Header Trailer giao thức PPP - Xử lý liệu đường hầm PPTP 65 Khi nhận liệu đường hầm PPTP, PPTP client hay PPTP server thực bước xử lý: + Xử lý loại bỏ phần Header Trailer lớp liên kết liệu + Xử lý loại bỏ IP Header + Xử lý loại bỏ GRE Header PPP Header + Giải mã giải nén phần PPP Payload cần + Xử ls phần Payload để nhận chuyển tiếp IP IPX NetBEUI NDISWAN PPTP L2PT Async X.25 ISD N Hình 3.7 : Sơ đồ đóng gói PPTP 66 3.2.2.3 Đường hầm PPTP cho phép người dùng ISP tạo nhiều loại đường hầm khác Người dùng định điểm kết thúc đường hầm máy tính có PPTP, hay máy chủ ISP (máy tính ISP phải hỗ trợ PPTP) Có lớp đường hầm: Đường hầm tự nguyện đường hầm bắt buộc Đường hầm tự nguyện tạo theo yêu cầu người dùng Khi sử dụng đường hầm tự nguyện, người dùng đồng thời mở đường hầm bảo mật thông qua Internet truy cập đến Host Internet giao thức TCP/IP bình thường Đường hầm tự nguyện thường dùng để cung cấp tính riêng tư toàn vẹn liệu cho lưu lượng Intranet gửi qua Internet Đường hầm bắt buộc tạo khơng thơng qua người dùng nên suốt người dùng Điểm kết thúc đường hầm bắt buộc nằm máy chủ truy cập từ xa Tất liệu truyền từ người dùng qua đường hầm PPTP phải thông qua RAS Do đường hầm bắt buộc định trước điểm kết thúc người dùng khơng thể truy cập phần cịn lại Internet nên điều khiển truy cập tốt so với đường hầm tự nguyện Nếu tính bảo mật mà khơng cho người dùng truy cập Internet cơng cộng đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng cho phép họ truyền thông qua Internet để truy cập VPN Một ưu điểm đường hầm bắt buộc đường hầm có nhiều điểm kết nối Đặc tính làm giảm yêu cầu băng thông cho ứng dụng đa phiên làm việc Một khuyết điểm đường hầm bắt buộc kết nối từ RAS đến người dùng nằm đường hầm nên dễ bị cơng 67 Hình 3.8: Đường hầm bắt buộc đường hầm tự nguyện Sử dụng Radius để cung cấp đường hầm bắt buộc có vài ưu điểm là: Các đường hầm định nghĩa kiểm tra dựa xác thực người dùng tính cước dựa vào số điện thoại, phương thức xác thực khác thẻ (Token) hay thẻ thông minh (Smart Card) 3.2.3 Giao thức đường hầm lớp – L2TP Giao thức đường hầm lớp L2TP kết hợp hai giao thức PPTP L2F – chuyển tiếp lớp PPTP Microsoft đưa L2F Cisco khởi xướng Hai công ty hợp tác kết hợp giao thức lại đăng ký chuẩn hoá IETF Giống PPTP, L2TP giao thức đường hầm, sử dụng tiêu đề đóng gói riêng cho việc truyền gói lớp Một điểm khác biệt L2F PPTP L2F không phụ thuộc vào IP GRE, cho phép làm việc mơi trường vật lý khác Bởi GRE khơng sử dụng giao thức đóng gói, nên L2F định nghĩa riêng cách thức gói điều khiển mơi trường khác Nhưng hỗ trợ TACACS+ RADIUS cho việc xác thực Có hai mức xác thực người dùng: Đầu tiên ISP trước thiết lập đường hầm, sau cổng nối mạng riêng sau kết nối thiết lập L2TP mang đặc tính PPTP L2F Tuy nhiên, L2TP định nghĩa riêng giao thức đường hầm dựa hoạt động L2F Nó cho phép L2TP truyền thơng qua nhiều mơi trường gói khác X.25, Frame Relay, ATM Mặc dù nhiều công cụ chủ yếu L2TP tập trung cho UDP mạng IP, thiết lập hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm Một mạng ATM hay Frame Relay áp dụng cho đường hầm L2TP 68 Do L2TP giao thức lớp nên cho phép người dùng sử dụng giao thức điều khiển cách mềm dẻo không IP mà IPX NETBEUI Cũng giống PPTP, L2TP có chế xác thực PAP, CHAP hay RADIUS 3.2.2.1 Dạng thức L2TP Các thành phần chức L2TP bao gồm: giao thức điểm – điểm, đường hầm, hệ thống xác thực mã hố L2TP sử dụng quản lý khố để tăng thêm độ bảo mật Kiến trúc L2TP hình vẽ: Hình 3.9 : Kiến trúc L2TP 3.2.3.2 Cấu trúc gói liệu L2TP - Đóng gói liệu đường hầm L2TP Đường hầm liệu L2TP thực thơng qua nhiều mức đóng gói Cấu trúc cuối liệu đường hầm L2TP IPSec thể qua hình vẽ đây: Tiêu đề liên kết liệu Tiêu Tiêu Tiêu đề đề ESP đề IP IPSec UDP Tiêu đề L2TP Tiêu Tiêu đề đề PPP(IP, PPP IPX,Net BEUI) Phần đuôi ESP IPSec Phần đuôi nhận thực ESP IPSec Phần đuôi liên kết liệu Được mã hóa Được xác thực Hình 3.10 : Cấu trúc gói liệu đường hầm L2TP 69 Do đường hầm L2TP hoạt động lớp mơ hình OSI – lớp liên kết liệu nên IP datagram cuối đóng gói với phần header trailer tương ứng với kỹ thuật lớp đường truyền liệu giao diện vật lý đầu Ví dụ, IP datagram gửi vào giao diện Ethernet Ipdatagram đóng gói với Ethernet header Ethernet Trailer Khi IP datagram gửi đường truyền WAN điểm – điểm (chẳng hạn đường dây điện thoại hay ISDN) IPdatagram đóng gói với PPP header PPP trailer - Xử lý liệu đường hầm L2TP IPSec Khi nhận liệu đường hầm L2TP IPSec, L2TP client hay L2TP server thực bước sau: + Xử lý loại bỏ header trailer lớp đường truyền liệu + Xử lý loại bỏ IP header + Dùng IPSec ESP Authentication để xác thực IP payload IPSec ESP header + Dùng IPSec ESP header để giải mã phần gói mật mã + Xử lý UDP header gửi gói L2TP tới lớp L2TP + L2TP xử lý Tunnel ID Call ID L2TP header để xác định đường hầm L2TP cụ thể + Dùng PPP header để xác định PPP payload chuyển tiếp tới dúng giao thức để xử lý - Sơ đồ đóng gói L2TP IPSec Sơ đồ đóng gói L2TP qua kiến trúc mạng từ VPN client thông qua kết nối VPN truy cập từ xa sử dụng modem tương tự hình đây: IPSE C IP IPX NetBEUI NDIS NDISWAN 70 Tiêu đề liên kết liệu Tiêu Tiêu Tiêu đề đề ESP đề IP IPSec UDP Tiêu đề L2TP Tiêu Tiêu đề đề PPP PPP(IP , IPX,N etBEU I) Được mã hóa Phần ESP IPSec Phần đuôi nhận thực ESP IPSec Phần đuôi liên kết liệu Hình 3.11: Sơ đồ đóng gói L2TP 3.2.3.3Đường hầm L2TP L2TP sử dụng lớp đường hầm tương tự PPTP, tuỳ theo người sử dụng client PPP hay client L2TP mà sử dụng đường hầm tự nguyện hay bắt buộc Đường hầm tự nguyện tạo theo yêu cầu người dùng cho mục đích cụ thể Khi sử dụng đường hầm tự nguyện người dùng đồng thời mở đường hầm bảo mật thơng qua Internet, vừa truy cập vào host Internet theo giao thức TCP/IP bình thường Điểm kết thúc đường hầm tự nguyện nằm máy tính người dùng Đường hầm tự nguyện thường sử dụng để cung cấp tính riêng tư tồn vẹn liệu cho lưu lượng Intranet gửi thơng qua Internet 71 Hình 3.12 : Đường hầm tự nguyện bắt buộc L2TP Đường hầm bắt buộc tạo tự động không cần hành động từ phía nguời dùng khơng cho phép người dùng chọn lựa Do đường hầm bắt buộc tạo không thông qua người dùng nên suốt người dùng đầu cuối Đường hầm bắt buộc định trước điểm kết thúc, nằm LAC ISP nên kiểu đường hầm điều khiển truy cập tốt so với đường hầm tự nguyện Nếu tính bảo mật mà khơng cho người dùng truy cập vào Internet công cộng cho phép sử dụng Internet để truy nhập VPN Một ưu điểm đường hầm bắt buộc đường hầm tải nhiều kết nối, điều làm giảm băng thông mạng cho ứng dụng đa phiên làm việc Một khuyết điểm đường hầm bắt buộc kết nối từ LAC đến người sử dụng nằm ngồi đường hầm nên đẽ bị cơng Mặc dù ISP chọn cách thiết lập tĩnh để định nghĩa đường hầm cho người dùng, điều gây lãng phí tài ngun mạng Có cách khác cho phép sử dụng tài nguyên hiệu cách thiết lập đường hầm động Những đường hầm động thiết lập L2TP cách kết nối với máy chủ RADIUS Để RADIUS điều khiển việc thiết lập đường hầm cần phải lưu thuộc tính đường hầm Các thuộc tính bao gồm: giao thức đường hầm sử dụng (PPTP hay L2TP), địa máy chủ môi trường truyền dẫn đường hầm sử dụng Sử dụng máy chủ RADIUS để thiết lập đường hầm bắt buộc có số ưu điểm như: 72 - Các đường hầm định nghĩa kiểm tra dựa xác thực người dùng - Tính cước thể dựa số điện thoại phương thức xác thực khác Khả áp dụng thực tế L2TP Việc lựa chọn nhà cung cấp dịch vụ L2TP thay đổi tuỳ theo yêu cầu thiết kế mạng Nếu thiết kế VPN địi hỏi mã hố đầu cuối – đầu cuối cần cài client tương thích L2TP host từ xa thoả thuận với ISP xử lý mã hoá từ máy đầu xa đến tận máy chủ mạng VPN Nếu xây dựng mạng với mức độ bảo mật thấp hơn, khả chịu đựng lỗi cao muốn bảo mật liệu đường hầm Inernet thoả thuận với ISP để họ hỗ trợ LAC mã hoá liệu từ đoạn LAC đến LNS mạng riêng L2TP hệ giao thức quay số truy cập VPN Nó phối hợp đặc tính tốt PPTP L2F Hầu hết nhà cung cấp sản phẩm PPTP đưa sản phẩm tương thích L2TP giới thiệu sau Mặc dù L2TP chủ yếu chạy mạng IP, khả chạy mạng khác Frame Relay, ATM làm trở nên phổ biến L2TP cho phép lượng lớn client từ xa kết nối vào VPN hay cho kết nối LAN – LAN có dung lượng lớn L2TP có chế điều khiển luồng để làm giảm tắc nghẽn đường hầm L2TP L2TP cho phép thiết lập nhiều đường hầm với LAC LNS Mỗi đường hầm gán cho người dùng xác định nhóm người dùng gán cho môi trường khác 3.2.4 Giao thức IP Sec Các giao thức nguyên thuỷ TCP/IP không bao gồm đặc tính bảo mật vốn có Trong giai đoạn đầu Internet mà người dùng thuộc trường đại học viện nghiên cứu vấn đề bảo mật liệu vấn đề quan trọng mà Internet trở nên phổ biến, ứng dụng thương mại có mặt khắp nơi Internet đối tượng sử dụng Internet rộng bao gồm Hacker Để thiết lập tính bảo mật IP cấp độ gói, IETF đưa họ giao thức IPSec Họ giao thức IPSec đươc dùng cho xác thực, mã hố gói liệu IP, 73 chuẩn hoá thành RFC từ 1825 đến 1829 vào năm 1995 Họ giao thức mô tả kiến trúc IPSec bao gồm hai loại tiêu đề sử dụng gói IP, gói IP đơn vị kiệu sở mạng IP IPSec định nghĩa loại tiêu đề cho gói IP để điều khiển q trình xác thực mã hoá: xác thực tiêu đề IP – AH (IP Authentication Header) điều khiển việc xác thực thực đóng gói tải tin an tồn ESP (Encapsulation Security Payload) cho mục đích mã hố IPSec khơng phải giao thức Nó khung tập giao thức chuẩn mở cho phép nhà quản trị mạng lựa chọn thuật toán, khoá phương pháp nhận thực để cung cấp xác thực liệu, tính tồn vẹn liệu, tin cậy liệu IPSec lựa chọn cho bảo mật tổng thể VPN, phương án tối ưu cho mạng cơng ty Nó đảm bảo truyền thông tin tin cậy mạng IP công cộng ứng dụng IPSec tạo đường hầm bảo mật xuyên qua mạng Internet để truyền luồng liệu Mỗi đường hầm bảo mật cặp kết hợp an ninh để bảo vệ luồng liệu hai Host IPSec phát triển nhắm vào họ giao thức IP IPV6, việc triển khai IPV6 chậm cần thiết phải bảo mật gói IP nên IPSec thay đổi cho phù hợp với IPV4 Việc hỗ trợ cho IPSec tuỳ chọn IPV4 IPV6 có sẵn IPSec 3.2.4.1Khung giao thức IPSec IPSec khung chuẩn mở, phát triển IETF 74 ... đề L2TP Tiêu Tiêu đề đề PPP PPP(IP , IPX,N etBEU I) Được mã hóa Phần đuôi ESP IPSec Phần đuôi nhận thực ESP IPSec Phần liên kết liệu Hình 3.11: Sơ đồ đóng gói L2TP 3 .2. 3.3Đường hầm L2TP L2TP... cổng nối mạng riêng sau kết nối thiết lập L2TP mang đặc tính PPTP L2F Tuy nhiên, L2TP định nghĩa riêng giao thức đường hầm dựa hoạt động L2F Nó cho phép L2TP truyền thơng qua nhiều mơi trường gói... Hình 3.9 : Kiến trúc L2TP 3 .2. 3 .2 Cấu trúc gói liệu L2TP - Đóng gói liệu đường hầm L2TP Đường hầm liệu L2TP thực thơng qua nhiều mức đóng gói Cấu trúc cuối liệu đường hầm L2TP IPSec thể qua hình