Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Giới thiệu : Bước vào kỷ nguyên thông tin, công nghệ thông tin viễn thơng hội tụ sâu sắc đóng góp vai trò quan trọng phát triển kinh tế, xã hội tồn cầu Xu hướng tồn cầu hóa buộc doanh nghiệp, tổ chức ngày phải hiệu hóa hệ thống thơng tin Với hệ thống trụ sở, chi nhánh rải rộng khắp giới, việc phải sử dụng mạng kết nối - trao đổi thông tin riêng ( WAN) nội vô quan trọng để có kết sản xuất kinh doanh thực hiệu Tuy nhiên, mạng dùng riêng (WAN) giải pháp đắt tiền, đòi hỏi mức chi phí đầu tư lớn, khó phù hợp cho doanh nghiệp vừa nhỏ Việt Nam Với công nghệ mạng trước Leased Line Frame Relay VPN, để kết nối chi nhánh với Văn phòng, doanh nghiệp phải đầu tư chi phí lớn thiết bị mạng chi phí sử dụng Tuy nhiên, hạn chế công nghệ, công nghệ mạng truyền thống phức tạp, khó quản trị, khả mở rộng mạng khó khăn Mạng riêng ảo VPN (Virtual Private Network) giải pháp công nghệ cho phép thiết lập mạng dùng riêng mạng công cộng sẵn có chế mã hóa, tạo “đường hầm ảo” thông suốt bảo mật Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Chương : IP – Internet Protocol I Giới Thiệu Mơ Hình OSI Và TCP/IP Mơ Hình OSI Mơ hình OSI mơ hình mở tổ chức quốc tế OSI( International Origanization for Standardization ) xây dựng để cung cấp khung làm việc chi tiết cho giao thức Mô hình cho nhìn tổng quát giao thức sử dụng để phát triển hệ thống mạng quốc tế mà không phụ thuộc vào quyền sở hu hãng Trên thực tế mơ hình TCP/IP sở xây dựng hệ thống mạng đáp ứng phát triển mạnh mẽ Internet Nhưng mà Internet phát triển với nhịp độ vơ mạnh mẽ người ta cần có thêm nhiều thiều giao thức mà mơ hình OSI đời phát triển lớp mơ hình OSI cung cấp thêm lượng lớn chức dịch vụ so với mơ hình TCP/IP Mơ hình OSI cho ta nhìn rõ tương tác lớp Ở dùng mơ hình OSI để xem xét giao thức mơ hình - Application Layer : cung cấp phương thức kết nối thiết bị đầu cuối, hay ta nói cách khác thi cung cấp kết nối cho người Chưc lớp cung cấp dịch vụ bao gồm : File Transfer TFTP, FTP; E-mail SMTP; Remote login Telnet; name management DNS Đồng thời cung cấp giao thức cấu trúc thơng tin - Presentation Layer : cung cấp trình bày chung liệu truyền dịch vụ lớp ứng dụng - Session Layer : cung cấp dịch vụ cho lớp tổ chức đối thoại quản lý trao đổi trao đổi liệu - Transport Layer : cung cấp việc định nghĩa dịch vụ việc chia nhỏ, truyền ghép liệu cho việc thông tin thiết bị đầu cuối Lớp có giao thức tcp udp TCP la giao thức đáng tin cậy, UDP giao thức không đáng tin cậy Hình 1-1: Mơ hình OSI lớp - Network Layer : cung cấp giao thức cho việc trao đổi gói liệu thiết bị đầu cuối mạng IP giao thức lớp mạng sử dụng hay gọi địa IP - Data Link Layer : mô tả cách thức trao đổi khung liệu thiết bị trên đường truyền Địa MAC cho phép Frame truy cập đường truyền Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn - Physical Layer : mô tả việc mã hố tín hiệu vận chuyển chúng đường truyền Ngồi cịn cung cấp chuẩn giao tiếp vật lý mà ngày dùng phổ biến Mơ Hình TCP/IP Mơ hình nghi thức phân tầng cho liên kết mạng truyền thông đưa vào năm 1970 dùng để mơ tả cho tất mơ hình Internet Mơ hình đưa chức cần thiết để truyền thơng thành cơng Mơ hình người ta gọi mơ hình TCP/IP Do tính hiệu mà triển khai hầu khắp hệ thống internet giới Trước nhà cung cấp có mơ hình giao thức cho riêng họ bí mật Nhưng mơ hình TCP/IP đời giải tất khó khăn việc giao tiếp mơ hình mạng nhiều hãng khác TCP/IP mơ hình mở chuẩn chung sử dụng rộng rãi toan giới Hình 1-2: Mơ hình TCP/IP Mơ hình TCP/IP có lớp ta thấy lớp TCP/IP chia thành lớp mơ hình OSI lớp TCP/IP chia thành lớp mơ hình OSI Điều cho ta thấy chức giao thức lớp mơ hình giống trình bày mơ hình OSI Hình 1-3:Mơ tả so sánh mơ hình OSI TCP/IP Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Q Trình Đóng Gói Dữ Liệu Trong mơ hình TCP/IP liệu từ lớp ứng dụng qua lần luợt theo lớp mơ hình Tại lớp mơ hình liệu thêm vào thơng tin nhằm đảm bảo tới đích thơng tin gắn vào đầu liệu Khối liệu lớp sau thêm thông tin gọi “đơn vị giao thức liệu” (PDU-Protocol Data Unit) Các q trình thêm thơng tin cho liệu lớp người ta gọi q trình đóng gói liệu Tuy nhiên lớp trình liệu định nghĩa với tên khác thông tin thêm vào lớp có ý nghĩa khác thơng tin thường chọn giao thức cho liệu, tăng độ tin cậy cho gói liệu… Một điều quan trọng thông tin lớp phải phù hợp với thơng tin với lớp Hình 1-4:Mơ hình đóng gói IPở lớp      II Data - liệu tổng quát PDU lớp ứng dụng Segment - Transport Layer PDU Packet - Internetwork Layer PDU Frame - Network Access Layer PDU Bit - sử dụng để mã hoá liệu truyền đường truyền Network layer Truyền Thông Giữa Host Network layer hay cịn gọi lớp mơ hình OSI cung cấp giao thức cho việc trao đổi gói riêng lẻ liệu thiết bị đầu cuối đồng thời cịn cho phép nhận dạng thiết bị mạng mạng Để thực tốt việc lớp phải thực đầy đủ trình sau : - Đánh địa ( Addressing ) - Đóng gói liệu ( Encapsulation ) - Định tuyến ( Routing ) - Mở gói liệu ( Decapsulation ) a Addressing Lớp mạng cung cấp kỹ thuật cho việc định địa cho thiết bị Để gói tin dị tìm thiết bị no gán địa nhất, địa địa IPv4 thiết bị gọi Host Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn b Encapsulation Tiếp theo việc đánh địa việc đóng gói liệu Tại lớp việc đóng gói liệu thực sau.Các PDU ( Protocol Data Unit ) chuyển xuống từ lớp thêm vào Header để trở thành PDU lớp hay gọi gói tin ( Packet ) Header thêm vào bao gồm có địa nguồn, địa đích số trường chứa thơng tin hỗ trợ cho việc định tuyến c Routing Một Packet muốn tới đích cần phải tim đường cho Lớp cung cấp khả định tuyến để packet tới đích, qúa trình định tuyến thực thiết bị hoạt động lớp gọi Router Router thực tìm đường ngắn để packet tới đích nhanh Trong q trình định tuyến packet qua nhiều thiết bị trung gian khác nhau, thiết bị trung gian người ta gọi hop Routing có phương pháp Static Routing Dynamic Routing ( có giao thức sau RIP, IGRP, EIGRP, IS-IS…) d Decapsulation Là trình packet mở thiết bị mạng nhiên ngoại trừ PC tất thiết cịn lại thường Router thực mở gói đến lớp dừng lại Việc mở gói đến lớp cho phép thiết bị xác nhận packet có phải hay khơng khơng packet chuyển tiếp đến địa đích packet gỡ hồn tồn đến lớp Các Giao Thức Của Lớp Mạng Cho đến giới người ta nghiên cứu giao thức lớp mạng sau : - Internet protocol version (IPv4) - Internet protocol version (IPv6) - Novell internetwork packet exchange (IPx) - Appletalk - Connectionless network service (CLNS/Decnet) Trong giao thức IPv4 sử dụng rộng rãi nhất, số lượng IPv4 dần cạn kiệt việc sử dụng IPv6 cịn khơng xa III Giao Thức IPv4 Khái Niệm IP Giao thức IP ( Internet Protocol – giao thức liên mạng ) giao thức hướng liệu sử dụng máy chủ nguồn đích để truyền liệu 1liên mạng chuyển mạch gói Dữ liệu liên mạng IP gửi theo khối gọi gói tin – Packet Datagram Vai Trò IPv4 Giao thức IPv4 sử dụng rộng rãi cho mơ hình TCP/IP IPv4 giao thức lớp để mạng liệu người dùng mang đồng thời giao thức dùng để khảo sát hầu hết hệ thống mạng IPv4 cung cấp chức nhằm đảm bảo gói tin từ nguồn tới đích việc thêm vào thơng tin địa đích địa nguồn … Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn IPv6 nghiên cứu thử nghiệm IPv6 giống với IPv4 có khơng gian địa lớn nên tương lai triển khai rộng khắp giới Đặc Điểm IPv4 a Connectionless Hình 1-5: Mơ hình kết nối IP mạng Giao thức IP không thiết lập đường truyền host muốn nói truyện với host khác hai Host chưa liên lạc với Vì IP khơng thiết lập đường truyền nên trước hai đầu truyền thơng với không yêu cầu trao đổi ban đầu thông tin điều khiển để thiết lập kết nối điều có nghĩa khơng cần thêm vào trường Packet phục vụ cho việc thiết lập kết nối trước truyền làm giảm nhẹ Header cho Packet Tuy nhiên việc gây nhược điểm IP  Đối với đầu gửi  Khơng biết đầu thu có tồn hay khơng  Khơng biết Packet có tới nơi hay khơng  Khơng biết Packet cịn ngun vẹn hay khơng cịn đọc khơng  Đối với đầu nhận  Khơng biết đựơc có Packet gửi đến b Best Effort service Hình 1-6:Mơ hình kiểm tra xảy gói tin Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Những giao thức khảo sát trước IP cung cấp dịch vụ đáng tin cậy nhiên điều làm nảy sinh nhiều bất lợi đóng gói liệu lớp Header lớp làm giảm tốc độ… Vì lý nêu nên IP coi giao thức không đáng tin cậy nhiên điều không đem lại bất lợi cho IP mà ngược lại đáp ứng yêu cầu dịch vụ lớp giao thức IP nói tơi cung cấp dich vụ tốt IP đáp ứng đầy đủ yêu câu khả quản lý, tự phục hồi đảm bào an tồn cho gói tin Trở lại với mơ hình TCP/IP, lớp Transport cho người dùng lựa chọn dịch vụ đáng tin cậy TCP hay khơng đáng tin cậy UDP IP giao thức dùng lớp mạng đem lại vận hành hiệu cho hệ thống mạng c Media Independent Hình 1-7: Mơ hình thể môi trường truyền khác IP vận hành độc lập với môi trường truyền lớp thấp mà liệu định dạng lại gửi Hình trình bày cho ta thấy IP nhiều mơi trường khác cáp đồng, cáp quang, sóng vơ tuyến Tuy nhiên lớp mạng lớp liên kết liệu mơ hình OSI có buộc với kích thước Pạcket đưa xuống lớp để đóng thành Frame, người ta đưa khái niệm “đơn vị truyền thông cực đại “.MTU ( Maximum Transmission Unit ) điều khiển mối quan hệ lớp mạng lớp liên kết liệu kích thước PDU (Protocol Data Unit ) Q Trình Đóng Gói Dữ Liệu Với Địa Chỉ IP Hình 1-8: Mơ hình đóng gói liệu với địa IP Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn IP Packet đóng gói PDU lớp chuyển xuống lớp trình đóng gói liệu thành IP nhằm phục vụ cho liệu tới đích cách an tồn nhanh chóng nhờ vào giao thức định tuyến IP Q trình đóng gói liệu thành IP packet hồn tồn khơng ảnh hưởng tới gói liệu trước việc đảm bảo độ tin cho liệu Hiên giao thức sử dụng phổ biến IPv4 IPv6 tương lai phát triển lên giao thức hoàn thiện Thiết bị trung gian hoạt động gắn liền với IP Router Hoạt động quan trọng Router định tuyến gói tin gói tin tới đích nhanh an toàn điều hoàn toàn phù hợp với giao thức IP Hầu hết Topology mạng chạy IP IPv4 Packet Header Hình 1-9 : Sơ đồ khối IPv4 packet header Hình cho ta thấy nhìn tồn Header IP Packet Header bao gồm nhiều trường nhằm đáp ứng dịch vụ mà gói tin mạng cách tốt Header có tối đa 24byte tất trường mã hoá dạng nhị phân Một Header bao gồm trường sau  IP Source Address Trường gồm 32 bit nhị phân chứa địa IP Host đích  IP Destination Address Trường gồm có 32 bit chứa địa IP Host nguồn  Time-To-Live (TTL) TTL gọi thời gian sống gói tin, trường có bit nhi phân chứa số hop ( hop khoảng cách thiết bị mạng ) TTL quy định nhà sản suất hay nhà quản tri mạng điều nhằm đảm bảo gói tin tới đich ngăn khơng để gói tin trở thành rác trơi mạng hay nói cách khác TTL chơng lặp định tuyến Giá trị TTL giảm sau qua hop TTL giảm gói tin chưa tới đích thi bị rớt  Type-Of-Service (TOS) Trường cung có bit giá trị, cung cấp quyền ưu tiên cho gói tin Giá trị chứa trường giá tri đánh giá chất lượng QoS dựa vào Router dinh tuyến gói tin theo thứ tự Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn  Protocol Trường cho biết giao thức sử dụng UDP đáng tin cậy,TCP không đáng tin hay ICMP lớp Transport Trường có 8bit chứa giá trị port sử dụng  Fragment Offset Như đề cập trước Router phải phân đoạn gói đẩy từ mơi trường mạng đến mơi trường khác mà MTU nhỏ Khi phân đoạn xuất hiện, gói IPv4 sử dụng giá trị chứa bit cờ để thực Quá trình hợp đoạn thực ngược lại Trường có13 bit  Packet Length Trường có độ dài 16 bit chưa giá trị tất số byte IP Packet  Flag Trường có bit Hình 1-10 : Sơ đồ khối Flag  Indentification Trường có 16 bit chứa số nhận dạng IP Packet Chỉ số nhận dạng không bị thay đổi xảy phân đoạn IP Packet  Version Trường có bit chứa IP version number  Header Length Trường có bit chứa giá trị độ dài Header, giá trị co thể 21byte trường option dùng, 20 byte trường option khơng sử dụng  Header Checksum Trường có 16 bit, trường sử dụng để tổng kiểm tra toàn Header IP Packet trước IP Packet truyền  Option trường cung cấp lựa chon cho IP Packet, trường có độ dài 32 bit sử dụng thi có giá trị 32bit packet header có độ dài 21 byte, cịn trường khơng sử dụng có giá trị bắng 0bit độ dài packet header 20 byte IV IP Addresses Khái quát địa IPv4 Chức của địa giao thức lớp thiết lập kết nối host mạng tới mạng khác Ở xét hệ IP version 4, thiết kế, thực thi quản lý sơ đồ địa IPv4 hiệu mạng hoạt động tốt Tại lớp mạng host muốn chuyển packet cần Trang Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn phải có địa IP nguồn địa IP host đích Địa IPv4 viết tắt địa IP mã hố dạng nhị phân gồm có 32 bit chia thành bốn octet sử dụng mạng liệu thiết bị hiểu số Để thuận tiện cho việc nghiên cứu người chuyển IP thành số thập phân Hình 1-11: Chuyển địa IP sang dạng nhị phân Mục đích IPv4 a Các loại địa IPv4 Đối với khoảng địa IPv4 có loại địa sau : Network Addresses Broadcast Addresses Host Addresses  Network Addresses Địa network địa đại diên cho mạng muốn tới host đích gói tin cần phải tới mạng mà cần tìm host đích, tất host mạng có chung địa mạng Ví dụ hình bên ta thấy “ 10.0.0.0” địa mạng host Với địa IPv4, Range địa (hay gọi khoảng địa ) địa range địa network Trong địa mạng tất số bit dành cho host Hình 1-12: Mô tả địa lớp mạng  Broadcast Addresses Địa broadcast địa đặc biệt dùng để gửi liệu cho tất host mạng Địa broadcast có tất bit phần host địa broadcast địa cuối mơt range địa Ví dụ hình bên “ 10.0.0.255” địa broadcast range địa có 254 host ( to 255 ) Trang 10 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn H-Hidden: bit.Chỉ liệu ẩn trường Attribute value AVP Khả sử đụng để tránh liệu user password, cleartext AVP AVP Length: 10 bit Số byte chứa AVP Độ dài tính 6+ chiều dài trừơng Attribute value byte Nếu độ dài trường AVP value khoong có AVP vendor ID :16 bit Bất kỳ nhà cung cấp muốn bổ sung phần mở rộng L2TP họ sử dụng verdor ID họ song song với Attribute value cá nhân đảm bảo khơng có xung đột với phần mở rộng nhà cung cấp khác không xung đột với mở rộng IEFT tương lai AVP type :16 bit ACP value : độ dài thay đổi Hình 3-53:Quá trình tạo dựng Control messages Data messages PPTP dùng kết nối TCP riêng biệt cho việc trì tunnel Trên mặt khác, kết nối L2TP điều khiển quản lý frame dựa sở UDP Định dạng thông điệp điều khiển L2TP chuẩn mơ tả hình Trang 109 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Hình 3-54: Format of the L2TP control message Những gói liệu UDP, chất không kết nối Điều ám phân phát bên ngồi trình tự khơng người nhận xác nhận Vì thế, L2TP triển khai kỹ thuật gọi message sequencing thuật bảo đảm thông điệp phân phát đến tay người khác trình tự Hai trường đặc biệt, Next-Received Next-Sent, dùng thông điệp điều khiển L2TP đảm bảo gói liệu phân phát đến điểm cuối khác theo trình tự Một số thơng điệp điều khiển trì phổ biến L2TP Tên Mơ tả Start-ControlYêu cầu từ L2TP client để thiết lập điều khiển kết nối ConnectionRequest Start-ControlHồi đáp từ L2TP server (LNS) đến client's Start-ControlConnection-Reply Connection-thông điệp yêu cầu Thông điệp gửi hồi đáp đến thông điệp Outgoing-Call-Reply Start-ControlConnectionConnected Outgoing-CallRequest Hồi đáp từ L2TP client đến thông điệp LNS's Start-ControlConnection-Reply Yêu cầu từ L2TP client đến LNS để tạo L2TP tunnel Yêu cầu chứa Call ID để xác định gọi bên tunnel Hồi đáp từ L2TP LNS đến thông điệp Outgoing-Call-Request client Thơng điệp trì kết nối gửi LNS client Nếu thông điệp không chấp nhận điểm cuối khác, tunnel kết thúc Set-Link-Info Thông điệp từ bên để thiết lập tùy chọn PPP thỏa thuận Call-Disconnect- Hồi đáp tử L2TP server để gọi L2TP tunnel Notify bị ngắt Outgoing-CallReply Hello WAN-ErrorNotify Stop-ControlConnectionRequest Thông điệp từ L2TP server (LNS) đến tất L2TP clients kết nối để thông báo lỗi server's PPP interface Thông điệp từ L2TP client server để báo cho điểm cuối biết cách kết thúc thông điệp điều khiển Trang 110 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Một số thơng điệp điều khiển trì phổ biến L2TP Tên Mô tả Stop-ControlHồi đáp từ bên đối diện điểm cuối đến thông điệp Stop-ControlConnection-Reply Connection-Request Stop-ControlConnectionNotification Hồi đáp từ đối diện điểm cuối để tunnel bị ngắt 2.3.6 L2TP Security L2TP dùng phương pháp xác nhận PPP để xác nhận người dùng Sơ đồ phổ biến triển khai L2TP authentication bao gồm :  PAP SPAP  EAP  CHAP Ngoài chế xác nhận kể trên, L2TP dùng IPSec để xác nhận gói liệu riêng biệt Mặc dù điều làm giảm đáng kể tốc độ trình giao dịch, việc dùng IPSec cho việc xác nhận gói liệu nhằm đảm bảo hacker cracker thay đổi tunnel liệu bạn a L2TP over IPSec Authentication IPSec thực vai trị bảo mật xác nhận gói liệu sỡ L2TP IPSec xác nhận gói liệu riêng sau người dùng từ xa xác nhận thành cơng Ngồi ra, IPSec quan tâm số điều sau :  Mã hóa cleartext PPP payloads  Tự động phát sinh khóa mã hóa khóa bảo mật trao đổi thơng qua tunnel thiết lập Trang 111 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Hình 3-55: Q trình phát sinh khóa mã khóa bảo mật b L2TP Data Encryption L2TP thường dùng ECP cho mục đích mã hóa ECP làchuẩn cho giao thức mã hóa dùng để thỏa thuận thuật toán phù hợp với nhau, DES, sau liên kết thiết lập Do đó, ECP đưa khả mã hóa cao cấp nhằm làm phong phú chế mã hóa cài đặt sẵn hổ trợ PPP Tuy nhiên, bất lợi ECP khóa nó, lần trao đổi liệu hai điểm cuối, không làm theo định kỳ Điều làm tăng khả hacker bẻ gãy khóa sau kéo dài phiên làm việc giao dịch L2TP dùng MPPE Tuy nhiên, chế mã hóa yếu thường nên tránh dùng Trang 112 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn 2.3.7 Những thuận lợi khó khăn L2TP Thuận lợi L2TP liệt kê sau:  L2TP giải pháp chung Hay nói cách khác tảng độc lập Nó hỗ trợ nhiều cơng nghệ mạng khác Ngồi ra, cịn hỗ trợ giao dịch qua kết nối WAN non-IP mà không cần IP  L2TP tunneling khơng địi hỏi cấu hình phía ngừơi dùng hay ISP  L2TP cho phép tổ chức điều khiển việc xác nhận người dùng thay vi ISP phải làm điều  L2TP cung cấp chức điều khỉên cấp thấp giảm gói liệu xuống tùy ý tunnel tải Điều làm cho trình giao dịch L21TP nhanh so với qúa trình giao dịch L2F  L2TP cho phép ngừơi dùng từ xa chưa đăng ký địa IP truy cập vào mạng từ xa thông qua mạng công cộng  L2TP nâng cao tính bảo mật sử dụng IPSec-based payload encryption suốt trình tạo hầm, khả triển khai xác nhận IPSec gói liệu Ngồi thuận lợi L2TP vấp phải số bất lợi sau:  L2TP chậm so với PPTP hay L2F dùng IPSec để xác nhận gói liệu nhận  Mặc dù PPTP lưu chuyển giải pháp VPN sẵn có,một Routing and Remote Access Server (RRAS) cần có cấu hình mở rộng Bảng tổng kết giao thức đường hầm tầng Đặc điểm PPTP L2F L2TP Hổ trợ đa giao Yes Yes Yes thức Hổ trợ đa kết nối PPP Hổ trợ đa kết nối tunnel Chế độ hoạt động hổ trợ Các chế độ tunnel hổ trợ Giao thức vận No Yes Yes No Yes Yes Incoming & Outgoing Voluntary Incoming Incoming Voluntary & Compulsory Voluntary & Compulsory IP/GRE IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR, Trang 113 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN Đặc điểm chuyển GVHD: ThS Võ Trường Sơn Bảng tổng kết giao thức đường hầm tầng PPTP L2F L2TP IP/ATM Giao thức điều khiển Các chế xác nhận TCP, Port: UDP, Port: 1701 1723 MS-CHAP, CHAP, PAP, SPAP, PAP EAP, IPSec, RADIUS RADIUS & & TACACS UDP, Port: 1701 Các chế mã hóa MPPE MPPE, IPSec, ECP MPPE, IPSec CHAP, PAP, SPAP, EAP, IPSec, TACACS 2.4 IPSec – Internet Protocol Security 2.4.1 Giới thiệu chung IPSec Thuật ngữ IPSec từ viết tắt thuật Internet Protocol Security Nó có quan hệ tới số giao thức (AH, ESP, FIP-140-1, số chuẩn khác) phát triển Internet Engineering Task Force (IETF) Mục đích việc phát triển IPSec cung cấp cấu bảo mật tầng (Network layer) mơ hình OSI Hình 3-56:The position of IPSec in the OSI model Mọi giao tiếp mạng sở IP dựa giao thức IP Do đó, chế bảo mật cao tích hợp với giao thức IP, tồn mạng bảo mật giao tiếp qua tầng (Đó lý IPSec phát triển giao thức tầng thay tầng 2) Ngoài ra,với IPSec tất ứng dụng chạy tầng ứng dụng mơ hình OSI độc lập tầng định tuyến liệu từ nguồn đến đích Bởi IPSec tích hợp chặt chẽ với IP, nên ứng dụng dùng dịch vụ kế thừa tính bảo mật mà khơng cần phải có thay đổi lớn lao Cũng giống IP, IPSec suốt với người dùng cuối, người mà không cần quan tâm đến chế bảo mật mở rộng liên tục đằng sau chuổi hoạt động Trang 114 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn 2.4.2 IPSec Security Associations Security Associations (SAs) khái niệm giao thức IPSec SA kết nối luận lý theo phương hướng hai thực thể sử dụng dịch vụ IPSec  Các giao thức xác nhận, khóa, thuật tốn  Phương thức khóa cho thuật tốn xác nhận dùng giao thức Authentication Header (AH) hay Encapsulation Security Payload (ESP) IPSec  Thuật tốn mã hóa giải mã khóa  Thơng tin liên quan khóa, khoảng thời gian thay đổi hay khoảng thời gian làm tươi khóa  Thơng tin liên quan đến thân SA bao gồm địa nguồn SA khoảng thời gian làm tươi Cách dùng kích thước đồng mã hóa dùng, có Hình 3-57:Cấu trúc IPSec IPSec SA gồm có trường  SPI (Security Parameter Index) Đây trường 32 bit dùng nhận dạng giao thức bảo mật, định nghĩa trường Security protocol, IPSec dùng SPI mang theo phần đầu giao thức bảo mật thường chọn hệ thống đích suốt q trình thỏa thuận SA  Destination IP address Đây địa IP nút đích Mặc dù địa broadcast, unicast, hay multicast, chế quản lý SA định nghĩa cho hệ thống unicast  Security protocol Phần mơ tả giao thức bảo mật IPSec, AH ESP Bở chất theo chiều SA, SA phải định nghĩa cho hai bên thông tin đầu cuối, cho hướng Ngồi ra, SA cung cấp dịch vụ bảo mật cho phiên VPN bảo vệ AH ESP Do vậy, phiên cần bảo vệ kép hai AH ESP, SA phải định nghĩa cho hướng Việc thiết lập SA gọi SA bundle Một IPSec SA dùng sở liệu Security Association Database (SAD) nắm giữ thông tin liên quan đến SA Thơng tin bao gồm thuật tốn khóa, thời gian sống SA, chuỗi số Cơ sở liệu thức hai IPSec SA, Security Policy Database (SPD), nắm giữ thông tin dịch vụ bảo mật kèm theo với danh sách thứ tự sách điểm vào Giống firewall rules packet filters, điểm truy cập định nghĩa lưu lượng xữ lý lưu lượng bị từ chối theo chuẩn IPSec Trang 115 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn 2.4.3 IPSec Security Protocols Bộ IPSec đưa khả bao gồm : Tính xác nhận Tính nguyên vẹn liệu (Authentication and data integrity) IPSec cung cấp chế mạnh mẽ để xác nhận tính chất xác thực người gửi kiểm chứng sữa đổi khơng bảo vệ trước nội dung gói liệu người nhận Các giao thức IPSec đưa khả bảo vệ mạnh để chống lại dạng công giả mạo, đánh từ chối dịch vụ Sự cẩn mật (Confidentiality) Các giao thức IPSec mã hóa liệu cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập liệu đường IPSec dùng chế tạo hầm để ẩn địa IP nút nguồn (người gửi) nút đích (người nhận) từ kẻ nghe Quản lý khóa (Key management) IPSec dùng giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận giao thức bao mật thuật tốn mã hóa trước suốt phiên giao dịch Một phần quan trọng nữa, IPSec phân phối kiểm tra khóa mã cập nhật khóa yêu cầu Hai tính IPSec, authentication and data integrity, confidentiality, cung cấp hai giao thức giao thức IPSec Những giao thức bao gồm Authentication Header (AH) Encapsulating Security Payload (ESP) 2.4.4 Các chế độ IPSec SAs IPSec triển khai chế độ Đó chế độ Transport chế độ Tunnel Hình 3-58:Các chế độ IPSec Trang 116 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Cả AH ESP làm việc với hai chế độ Hình 3-59:Hai chế độ IPSec a Transport Mode Transport mode bảo vệ giao thức tầng ứng dụng Trong Transport mode, phần IPSec header chèn vào phần IP header phần header giao thức tầng Hình 3-60:IPSec Transport mode—a generic representation Transport mode thiếu trình xữ lý phần đầu, nhanh Tuy nhiên, khơng hiệu trường hợp ESP có khả khơng xác nhận mà khơng mã hóa phần đầu IP b Tunnel Mode Khơng giống Transport mode, Tunnel mode bảo vệ tồn gói liệu Tồn gói liệu IP đóng gói gói liệu IP khác IPSec header chèn vào phần đầu nguyên phần đầu IP Trang 117 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Hình 3-61:IPSec Tunnel mode—a generic representation Trong AH Tunnel mode, phần đầu (AH) chèn vào phần header phần header nguyên bản, hình bên Hình 3-62:AH Tunnel mode Hình 3-63:ESP Tunnel mode Authentication header ( AH) Authentication Header (AH) sử dụng để đảm bảo tính nguyên vẹn xác thực nguồn gốc liệu IP datagram Tuy nhiên AH không thực mã hóa liệu cần truyền AH thường dùng VPN host-to-host Nó ngăn chặn việc truyền lại liệu cách sử dụng kỷ thuật cửa sổ trượt loại bỏ gói cũ AH có hai chế độ hoạt động: tunnel transport Ở chế độ tunnel: AH tạo IP header cho gói tin cần truyền IP header chứa địa IP router nguồn đích địa thật gói tin Hình 3-64:Cấu trúc goùi AH tunnel Trang 118 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Ở chế độ transport:AH không tạo IP header mà dùng IP header gốc Hình 3-65:Cấu trúc gói AH transport Cấu trúc AH header : Hình 3-66:Cấu trúc AH header Payload Length : kích thước payload góiAH RESERVED : dự trữ,tất bit = Security Parameters Index (SPI)(chí số thông số bảo mật) Next Header: nhận dạng giao thức gói liệu cần truyền Trong tunnel mode,sử dụng giao thức IP nên giá trị “Next Header” Trong transport mode,nếu sử dụng TCP “Next Header” có giá trị 6, sử dụng UDP giá trị 17 Sequence Number : số (khi có nhiều gói tin truyền đi,chỉ số cho biết số thứ tự gói tin) Authentication inforrmation : thông tin cần thiết để thực trình chứng thực Encapsulated Security Payload (ESP) ESP thực mã hóa gói liệu gốc nên tính bảo mật cao giao thức AH, chẳng hạn tránh bị xâm nhập sửa đổi nội dung thông tin trình truyền Vì vậy, ESP sử dụng phổ biến AH ESP có hai chế độ hoạt đông : tunnel transport Ở chế độ tunnel , ESP tạo IP header cho gói tin Ở chế độ này, ESP thực mã hóa toàn gói tin gồm IP header gốc tải trọng Hình 3-67: Cấu trúc gói ESP tunnel Trang 119 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Ở chế độ transport: ESP không tạo IP header mà sử dụng IP header gốc Ở chế độ này,ESP mã hoá phần tải trọng ( payload) mà không mã hóa phần IP header gốc Hình 3-68 : Cấu trúc gói ESP transport Cấu trúc ESP header , ESP trailer ,ESP authentication (optional): Các trường gói ESP ESP gồm trường: Security Parameters Index (SPI) :chỉ số thông số bảo mật Sequence Number:chỉ số Initialization vetor (IV):giá trị dùng trình mã hóa,mỗi gói tin có giá trị IV khác nhau.Nếu gói tin có nội dung giống giá trị IV khac kết mã hóa khác  ESP trailer: Padding : dãy bit độn vào để cho kích thước ESP trailer bội byte Padding Length : kích thước phần độn,tính theo bytes Next Header : nhận dạng giao thức liệu truyền ,giống AH header  Authentication information ( thông tin chứng thực): thực trình chứng thực trường chứa thông tin chứng thực cần thieát  Trang 120 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Tài Liệu Tham Khảo     Wiley -Bullding and Managing Virtual Private Networks Guide to IPSec Virtual Private Networks VPN Protocols http:// www.vpn Org Encryption and VPN Technology http://curriculum.netacad.net - Delivery Profile – Mirosoft Internet Explorer  Mạng số liệu – TS Phạm Minh Việt -2003  Cisco Network academy – Cisco- 2007  Broadland telecommunications- Regis Bates- 2000  Evolution of Fame Relay to IP VPN – Nortel – 2007  Layer Two Tunneling Protocol http:// www Armware.dk / RFC / rfc/ rfc2661.html  Toàn t ập VPN http:// www vietc ert.net/ dataimag es/ Uploads/ Training/ M icrosoft/ VPN/ VPN.htm Một số tài liệu khác Cisco.com www.datacomm.com www.mic.com www.masnet.net/internet/issues/VPN www.wp.com www.spp.umich.edu/telecom www.ietf.cnri.reston.va.us/html.chater/ipsec-chater www.ietf.org/html.chaters/pppext-charter.html www.datafollows.com 10 www.quantrimang com.vn/lan/wan 11 www.Itgatevn.com.vn 12 www.Trithuccongdong.com 13 www.giaiphapmang.net 14 www.vietlink.net.vn 15 PPTPclient Soureforge.net Trang 121 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Mục Lục Chương : IP – Internet Protocol………………………… I Giới Thiệu Mơ Hình OSI Và TCP/IP……………… Mơ Hình OSI…………………………………………………… Mơ Hình TCP/IP………………………………………………… Q Trình Đóng Gói Dữ Liệu…………………………………… 3 II Network layer………………………………………… Truyền Thông Giữa Host…………………………………… Các Giao Thức Của Lớp Mạng………………………………… Giao Thức IPv4……………………………………… Khái Niệm IP…………………………………………………… Vai Trò IPv4………………………………………………… Đặc Điểm IPv4……………………………………………… Q Trình Đóng Gói Dữ Liệu Với Địa Chỉ IP……………… 5 IV III IP Addresses………………………………………… Khái quát địa IPv4……………………………………… Mục đích IPv4……………………………………………… Thiết đặt địa IPv4…………………………………………… IPv6 Addresses ………………………………………………… 10 20 23 Tính tốn địa IP………………………………… 25 Subnet Mask……………………………………………………… Cơ vê chia mạng con………………………………………… Subnetting………………………………………………………… 25 26 28 Chương 2: VPN – Virtual Private Network……… I Khái Niệm Về VPN (Mạng Riêng ảo)…………… II Phân Loại VPN……………………………… 32 VPN truy nhập từ xa………………………………………… VPN điểm-nối-điểm (site-to-site)……………………………… 33 36 2.1 Intranet VPN…………………………………………… 2.2 Extranet VPN…………………………………………… 37 38 Các Giao Thức Đường Hầm Trong VPN……………………… Ưu điểm nhược điểm mạng VPN……………………… 39 40 V 32 33 4.1 Ưu điểm mạng VPN…………………………………… 40 4.2 Nhược điểm mạng VPN…………………………… 41 III Bảo Mật……………………………………… 41 Tường Lửa (Firewall) máy chủ ủy nhiệm 1.1 Tường lửa ………………………………………………… 1.2 Máy chủ ủy nhiệm …………………………………………… Mã hóa liệu………………………………………………… 41 41 45 45 Trang 122 Đề Tài NCKH: Kết Nối IP & Ứng Dụng Trong VPN GVHD: ThS Võ Trường Sơn Mã Khóa Cơng Khai Trong Mạng Riêng ảo ( PKI )…………… Ipsec……………………………………………………………… Các Phương Thức Nhận Dạng Người Dùng…………………… Chữ ký điện tử …………………………………………………… 49 57 63 65 Các Giao Thức Đường Hầm Tạo Nên Mạng Riêng Ảo Tunneling ? 69 Chương 3: 1.1 Giới thiệu trình hoạt động VPN ………………… 69 1.2 Tunneling……………………………………………………… 72 Các Loại Giao Thức Đường Hầm ………………………… 76 2.1 Layer Forwarding (L2F)………………………………… 2.1.1 Quá trình xử lý L2F …………………………… 2.1.2 L2F Tunneling……………………………………… 2.1.3 L2F Security………………………………………… 2.1.4 Những thuận lợi bất lợi L2F………………… 2.2 PPTP – Point to Point Tunneling Protocol………………… 2.2.1 Giới thiệu PPP – Point- to –Point Protocol…… 2.2.2 Quá trình xử lý PTPP…………………………… 2.2.3 Bảo mật PPTP………………………………… 2.2.4 Những thuận lợi khó khăn PPTP…………… 2.3 L2TP- Layer Tunneling Protocol………………………… 2.3.1 Các thành phần L2TP……………………………… 2.3.2 Quá trình xử lý L2TP……………………………… 2.3.3 L2TP Data Tunneling…………………………………… 2.3.4 L2TP Tunnel Modes…………………………………… 2.3.5 L2TP Connection Control……………………………… 2.3.6 L2TP Security…………………………………………… 2.3.7 Những thuận lợi bất lợi củaL2TP…………………… 2.4 IPSec – Internet Protocol Security…………………………… 2.4.1 Giới thiệu chung IPSec……………………………… 2.4.2 IPSec Security Associations……………………………… 2.4.3 IPSec Security Protocols………………………………… 2.4.4 Các chế độ IPSec…………………………………… 76 77 79 80 81 82 82 87 96 97 98 99 100 102 105 107 111 113 114 114 115 116 116 Trang 123