Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC

Đồ án Xây dựng hệ thống bảo mật mạng VPN/IPSEC-Đồ án an ninh mạng-Bảo mật mạng-hệ thông VPn- ipsecMạng riêng ảo VPN

TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA CÔNG NGHỆ THÔNG TIN

BỘ MÔN MẠNG VÀ TRUYỀN THÔNG

Mục Lục 2

Danh mục các hình 4

LỜI MỞ ĐẦU 5

Chương 1 Tổng Quan Về VPN 6

1.1 Tổng Quan 6

1.2 Lịch sử phát triển của VPN 6

1.3 Định nghĩa VPN 7

1.4 Các thành phần tạo nên VPN 8

1.4.1 VPN client 9

1.4.2 VPN Server 9

1.4.3 IAS Server 9

1.4.4 Firewall 9

1.4.5 Chọn một Giao thức Tunneling 10

1.4.6 Authentication Protocol 10

1.5 Lợi ích và hạn chế của việc sử dụng VPN 10

1.5.1 Lợi ích 10

1.5.2 Hạn chế 12

1.6 Đặc điểm của VPN 12

1.7 Phân loại mạng VPN 12

1.7.1 Mạng VPN truy nhập từ xa (Remote Access VPN) 13

1.7.2 Mạng VPN cục bộ ( Intranet VPN) 14

1.7.3 Mạng VPN mở rộng (Extranet) 14

1.8 Các giao thức sử dụng trong VPN 15

1.8.1 Bộ giao thức IPSec 15

1.8.2 Kiến Trúc 15

1.8.3 Giao thức PPTP, L2TP và SSTP 16

1.8.4 Giao thức tỉnh đường hầm lớp 2 (Layer 2 Tunneling Protocol) 20

1.8.5 Secure Socket Tunneling Protocol (VPN-SSTP) 25

Chương 2 Tìm hiểu về giao thức IPSEC 27

2.1 Giới thiệu về IPSec 27

2.1.1 Một số chế độ làm việc 27

2.2 Tìm hiểu về các giao thức 32

2.2.1 Giao thức AH (Authentication Header) 32

2.2.2 Giao thức ESP (Encapsulating security Payload) 35

2.3 Sử dụng IPSec 38

2.3.1 Mục đích sử dụng 38

2.3.2 Ưu và nhược điểm khi sử dụng IPSec 39

2.4 Triển Khai IPSec 40

2.4.1 Cách IPSec bảo mật lưu lượng 40

2.4.2 IPSec Security Policy là gì? 41

2.4.3 Các Policy làm việc như thế nào? 42

2.5 Triển khai IPSec với Certificates 43

2.5.1 Giới thiệu về Certificates 43

2.5.2 Tại sao dùng Certificates với IPSec để bảo mật lưu lượng 44

Chương 3 Triển khai hệ thống VPN có IPSEC 46

3.1 Mô hình 46

3.2 Triển khai 46

3.2.1 Cài đặt và cấu hình trên máy VPN Server 46

3.2.2 VPN Server cài đặt Certificate Services 47

3.2.3 VPN Server xin Certificate 49

3.2.4 VPN Client xin Certificate 52

3.2.5 CA cấp Certificate cho VPN Server và VPN Client 53

3.2.6 VPN Server cài đặt Certificate 55

3.2.7 Cấu hình Client 58

3.2.8 VPN Client cài đặt Certificate 64

3.2.9 VPN Client tạo connection 2

3.2.10 Kiểm tra 5

Danh mục các hình

Hình 1.1 Mô Hình Kết Nối VPN 8

Hình 1.2 Mô hình mạng VPN truy nhập từ xa 14

Hình 1.3 Mô hình mạng VPN cục bộ 15

Hình 1.4 Mô hình mạng VPN mở rộng 16

Hình 1.5 Sơ đồ các thành phần của IPSec và luồng dịch chuyển 18

Hình 2.1 Cấu trúc gói tin IPSec ở chế độ Transport Mode 30

Hình 2.2 Cấu trúc gói tin IPSec ở chế độ Tunnel Mode 31

Hình 2.3 32

Hình 2.4 33

Hình 2.5 34

Hình 2.6 34

Hình 2.7 35

Hình 2.8 : Cấu trúc gói tin AH 36

Hình 2.9 : Các thành phần chứng thực trong AH 38

Hình 2.10 : Quá Trình tạo gói tin AH 38

Hình 2.11 : Cấu trúc gói tin ESP 39

Hình 2.12 : Quá trình hoạt động của ESP 40

Hình 2.13 : Bảng so sánh giữa AH và ESP 42

Hình 2.14 44

Hình 2.15 48

LỜI MỞ ĐẦU

Trong thập kỷ qua, Internet đã phát triển bùng nổ với tốc độ chóng mặt trên toàn thếgiới cả về số lượng và về kĩ thuật Và sự phát triển đó không có dấu hiệu sẽ dừng lại Sựphát triển không chỉ đơn giản là số lượng lớn thành viên mới kết nối vào hệ thốngInternet mỗi giờ mà còn là sự xâm nhập của nó vào các khía cạnh cuộc sống hiện đại, vàocác hoạt động thương mại với quy mô lớn nhỏ khác nhau…

Ban đầu, các tổ chức cơ quan sử dụng Internet để giới thiệu các sản phẩm và dịch

vụ bằng các website của mình Cùng với thời gian, nó sẽ phát triển thành thương mại điện

tử, mọi hoạt động kinh doanh, các giao dịch được thực hiện qua mạng internet

Bài toán đặt ra là làm thế nào để bảo vệ chống lại các cuộc tấn công trong quá trìnhtruyền qua mạng? Sau đây chúng ta sẽ đi tìm hiểu về bảo mật các dữ liệu qua mạng bằngviệc sử dụng IPSec

Vấn đề phát sinh là tính bảo mật và hiệu quả kinh tế của việc truyền tải dữ liệu quamạng trung gian công cộng không an toàn như Internet Để giải quyết vấn đề này, mộtgiải pháp đưa ra là mạng riêng ảo VPN kết hợp với giao thức bảo mật IPSEC Chính điềunày là động lực cho sự phát triển mạnh mẽ của VPN như ngày nay

I Mục tiêu của đề tài

- Tìm hiểu về mạng riêng ảo VPN, công nghệ IPSec, các cơ chế mã hóa dữ liệu trongIPSec Tìm hiểu về kiến trúc của IPSec, ứng dụng của nó trong thực tiễn

- Triển khai hệ thống VPN có IPSec

II Yêu cầu

- Hoàn thành bải báo cáo đầy đủ và đúng tiến độ

- Nắm được kiến thức đề ra

III Kết cấu đề tài

Ngoài phần mở đầu và kết luận bài báo cáo gồm có các chương sau:

Chương I Tổng quan về VPN

Chương II Tìm hiểu về giao thức IPSEC

Chương III Triển khai hệ thống VPN có IPSec

tư vấn trực tuyến… đã trở nên dễ dàng Tuy nhiên Internet có phạm vi toàn cầu và không

tổ chức hay chính phủ nào có thể quản lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệuhay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết Từ đó các nhà khoa học đãnghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫntận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN – VirtualPrivate Network ) Với mô hình này, chúng ta không phải đầu tư thêm quá nhiều trangthiết bị, cơ sở hạ tầng mà vẫn đảm bảo các tính năng như bảo mật, độ tin cậy đồng thời

có thể quản lý riêng hoạt động của mạng này VPN cho phép người sử dụng làm việc tạinhà riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủcủa tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó đảm bảo antoàn thông tin giữa các tổ chức, công ty hoặc chi nhánh, văn phòng, người cung cấp haycác đối tác kinh doanh trong môi trường truyền thông rộng lớn

Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công cộngnhư Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí

1.2 Lịch sử phát triển của VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn từyêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả với cáctổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN)

Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụngcác đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin vớinhau

Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây

chuyên dùng cho các khách hàng lớn Colisee có thể cung cấp phương thức gọi số chuyêndùng cho khách hàng Dịch vụ này căn cứ vào lượng dịch vụ mà đưa ra cước phí và nhiềutính năng quản lý khác

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là

mạng được định nghĩa bằng phần mềm SDN

- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xí

nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30% chi phí, đãkích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của

Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu Á – Thái BìnhDương

- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác đầu

tư Unisource, cung cấp dịch vụ VPN

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên minh toàn

cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN

- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch

vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu(GVPNS)

- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp

(French Telecom) kết thành liên minh Global One

- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, công nghệ này

có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo… Các mạng VPN xâydựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới, một cáinhìn mới cho VPN Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức

có nhiều văn phòng, chi nhánh lựa chọn Ngày nay, với sự phát triển của công nghệ, cơ sở

hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày mộthoàn thiện

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữliệu, hình ảnh và các dịch vụ đa phương tiện

1.3 Định nghĩa VPN

VPN được hiểu đơn giản là sự mở rộng của một mạng riêng (Private Network) thôngqua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạngchung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người

sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line,

mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của các công

ty tới các site các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạng công cộng

mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp các cơ chế mã hóa dữ liệu trênđường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi gọi là Tunnel Tunnelgiống như một kết nối point-to-point trên mạng riêng Để có thể tạo ra một đường ống bảomật đó, dữ liệu phải được mã hóa theo cơ chế giấu đi, chỉ cung cấp phần đầu gói tin(header) là thông tin về đường đi cho phép nó có thể đi tới đích thông qua mạng công cộngmột cách nhanh chóng, dữ liệu được mã hóa một cách cẩn thận do đó nếu các packet bị bắttrên đường truyền công cộng cũng không thể đọc nội dung vì không có khóa đề giải mã,liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối VPN Các đường kết nối VPNthường được gọi là đường ống VPN (Tunnel)

1.4.1 VPN client

Một khách hàng VPN có thể là một máy tính hoặc nó có thể là một bộ định tuyến.Loại VPN khách hàng sử dụng cho mạng của công ty thực sự phụ thuộc vào nhu cầu cánhân của công ty đó

Mặt khác, nếu công ty có một vài nhân viên những người đi du lịch thường xuyên vàcần phải truy cập vào mạng của công ty trên đường đi, bạn có thể sẽ được hưởng lợi từviệc thiết lập máy tính xách tay của nhân viên như VPN khách hàng

Về mặt kỹ thuật, bất kỳ hệ điều hành có thể hoạt động như một VPN khách hàngmiễn là nó hỗ trợ PPTP, L2TP, hoặc giao thức IPSec Trong các hệ điều hành củaMicrosoft, bạn có thể sử dụng 2000, và XP thậm chí là Window 7 Mặc dù tất cả các hệđiều hành này về mặt kỹ thuật sẽ làm việc như khách hàng, nhưng tốt nhất vẫn là Windows

XP bởi vì nó khả năng hỗ trợ L2TP và IPSec và thông dụng

1.4.2 VPN Server

Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàng VPN Vềmặt kỹ thuật, chúng ta có thể sử dụng Windows NT Server 4.0, Windows 2000Server, hoặc Windows Server 2003 hay Window Server 2008 như là một máy chủ VPN.VPN Server khá đơn giản Nó là một máy chủ cứng Windows Server 2008 chạyRouting và Remote Access (RRAS) Khi một kết nối VPN đã được chứng thực, các máychủ VPN chỉ đơn giản là hoạt động như một bộ định tuyến cung cấp cho khách hàng VPN

có thể truy cập đến một mạng riêng

1.4.3 IAS Server

Một trong những yêu cầu bổ sung cho một máy chủ VPN là cần có một máy chủRADIUS (Remote Authentication Dial In User Service) RADIUS là một server sử dụngquay số xác thực từ xa RADIUS là cơ chế mà các nhà cung cấp dịch cụ Internet thường sửdụng để xác thực các thuê bao để thiết lập kết nối Internet

Microsoft cũng có phiên bản riêng của RADIUS được gọi là Dịch vụ xác thực Internethoặc IAS (International Accounting Standards) Các dịch vụ IAS có cả trên WindowsServer 2008

1.4.4 Firewall

Các thành phần khác theo yêu cầu của VPN là một tường lửa tốt Máy chủ VPN chấpnhận kết nối từ thế giới bên ngoài, nhưng điều đó không có nghĩa là thế giới bên ngoài cầnphải có quyền truy cập đầy đủ đến máy chủ VPN Chúng ta phải sử dụng một tường lửa đểchặn bất kỳ cổng không sử dụng

Yêu cầu cơ bản cho việc thiết lập kết nối VPN là địa chỉ IP của máy chủ VPN cóthông qua tường lửa của bạn để tiếp cận với máy chủ VPN.

Nếu bạn nghiêm túc về an ninh (và nếu có ngân sách), chúng ta có thể đặt một máychủ ISA giữa chu vi tường lửa và máy chủ VPN Ý tưởng là có thể cấu hình tường lửa đểchỉ đạo tất cả lưu lượng truy cập VPN có liên quan đến ISA Server chứ không phải là máychủ VPN ISA Server sau đó hoạt động như một proxy VPN Cả hai khách hàng VPN vàVPN Server chỉ giao tiếp với máy chủ ISA Họ không bao giờ giao tiếp trực tiếp vớinhau Điều này có nghĩa rằng ISA Server che chắn các máy chủ VPN từ khách hàng truycập trực tiếp, vì thế cho máy chủ VPN thêm một lớp bảo vệ

1.4.5 Chọn một Giao thức Tunneling

Khi VPN khách hàng truy cập vào một máy chủ VPN, họ làm như vậy qua mộtđường hầm ảo Một đường hầm là không có gì hơn một lối đi an toàn qua môi trườngkhông an toàn (thường là Internet) Tuy nhiên, đường hầm thì không tự nhiên mà có

Nó đòi hỏi việc sử dụng một giao thức đường hầm Có một số giao thức để lựa chọn đểtạo đường hầm như: IPSec, L2TP , PPTP, GRE Nhưng lựa chọn giao thức đường hầmđúng cho công ty, hay nhu cầu của mỗi người là một quyết định quan trọng khi lập kếhoạch thiết kế VPN

Lợi thế lớn nhất mà L2TP hơn PPTP là nó dựa trên IPSec IPSec mã hóa dữ liệu, cungcấp xác thực dữ liệu, dữ liệu của người gửi sẽ được mã hóa và đảm bảo không bị thay đổinội dung trong khi truyền Hơn nữa, IPSec được thiết kế để ngăn chặn các cuộc tấn côngreplay

Mặc dù L2TP có vẻ là có lợi thế hơn so với PPTP, nhưng PPTP cũng có lợi thế riêng

đó là khả năng tương thích PPTP hoạt động tốt với các hệ điều hành Windows hơnL2TP

1.4.6 Authentication Protocol

Trong quá trình thiết lập một VPN, chúng ta phải chọn một giao thức xác thực Hầuhết mọi người chọn MS-CHAP v2 MS-CHAP tương đối an toàn, và nó làm việc vớikhách hàng VPN sử dụng hệ điều hành Windows Lựa chọn tốt nhất là MS-CHAP

1.5 Lợi ích và hạn chế của việc sử dụng VPN.

1.5.1 Lợi ích.

Việc sử dụng mạng riêng ảo là một nhu cầu và là xu thế của công nghệ truyền thôngbởi vì nó có một số ưu điểm như:

1 Giảm thiểu chi phí triển khai và duy trì hệ thống.

- Với VPN việc triển khai hệ thống đáp ứng đầy đủ nhu cầu truyền tải hay tính bảo mật

an toàn dữ liệu nhưng chi phí thì khá rẻ vì VPN giảm thiểu tối đa phí thuê đường truyềndài thay vào đó là sự tận dụng lại hệ thống mạng Internet có sẵn

- Phí duy trì hệ thống cũng là một vấn đề đáng quan tâm, với VPN phí duy trì rất rẻ, hơnthế nữa bằng việc thuê hạ tầng có sẵn của các công ty dịch vụ Internet thì chi phí duy trì

sẽ không còn đáng lo ngại

2 Cải thiện kết nối.

- Vượt qua bộ lọc chặn truy cập Web: VPN là một lựa chọn tốt để có thể vượt qua được

bộ lọc Internet, đây là lý do tại sao VPN được sử dụng nhiều tại một số nước có sựkiểm duyệt Internet khắt khe

- Việc thay đổi địa chỉ IP: Nếu muốn thay đổi IP khác thì VPN có thể giúp chúng làmđiều này việc này giúp ta có thể che dấu được địa chỉ của mình tránh được sự xâm hạihay ý đồ xấu của những hacker (kẻ tấn công, tin tặc) bên ngoài mạng

3 An toàn trong giao dịch.

- Việc trao đổi thông tin trong công việc là nhiều và liên tục, nhưng vấn đề bảo mật thôngtin thì cực kì quan trọng, với VPN chúng ta sẽ không phải lo lắng quá nhiều về việc đó,VPN sử dụng cơ chế giấu đi, các dữ liệu sẽ được mã hóa và thông tin dữ liệu được bảobọc bởi gói tin Header (phần đầu gói tin ghi địa chỉ đầu - cuối của gói tin) và truyền đinhanh chóng dựa vào Internet

- VPN đáp ứng tốt việc chia sẽ gói tin và dữ liệu trong một thời gian dài

4 Khả năng điều khiển từ xa.

- Thời đại hiện nay, mọi người làm việc muốn tiết kiệm thời gian và giảm chi phí, vìvậy việc một người làm việc tại nhà mà vẫn có thể giải quyết tốt những công việccủa họ thì thật là tuyệt vời Với VPN người dùng có thể truy cập vào hệ thống mạng từbất kì đâu ở nhà thậm chí là một quán coffe chỉ cần nơi đó có Internet (ở đây hệ thốngVPN sử dụng Internet), vì vậy nó rất có lợi đối cho việc thực hiện công việc từ xa

5 Khả năng mở rộng hệ thống tốt.

- Chi phí để xây dựng một hệ thống mạng lưới chuyên dụng (sử dụng cáp mạng)cho một công ty lúc đầu có thể là hợp lý, tuy nhiên công ty ngày càng phát triển nhucầu mở rộng hệ thống mạng là cần thiết vì vậy VPN là một lựa chọn hợp lý bởi vì VPNkhông phụ thuộc quá nhiều vào vấn đề “hệ thống”, nói một cách đơn giản là khi muốn

mở rộng thì chỉ cần tạo thêm đường ống (tunnel) kết nối dựa trên hạ tầng Internet cósẵn

- Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp khác nhaukhông phải lúc nào cũng tương thích do các vấn đề về tiêu chuẩn công nghệ VPN.Khi sử dụng pha trộn và kết hợp các thiết bị sẽ có thể gây ra những vấn đề kỹ thuậthoặc nếu sử dụng không đúng cách sẽ lãng phí rất nhiều chi phí triển khai hệ thống.

- Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề bảo mật cá nhân,bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn phòng bằng máytính xách tay, máy tính riêng, khi đó nếu các máy tính của họ thực hiện hàng loạt cácứng dụng khác, ngoài việc kết nối tới văn phòng làm việc thì hacker (kẻ tấn công, tintặc) có thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệ thống củacông ty Vì vậy việc bảo mật cá nhân luôn được các chuyên gia khuyến cáo phải đảmbảo an toàn

1.6 Đặc điểm của VPN.

Một số đặc điểm chính của VPN:

- Độ tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước khi

truyền chúng ngang qua mạng Bằng cách đó, không ai có thể truy nhập thông tin màkhông được cho phép, nếu lấy được thông tin thì cũng không đọc được vì thông tin đãđược mã hóa

- Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra dữ liệu nhận

được sau khi truyền qua Internet có bị thay đổi hay không

- Xác thực nguồn gốc (Origin Authentication): Khi nhận được dữ liệu điều đầu tiên

phải làm là xác thực ngồn gốc của dữ liệu, VPN cho phép người dùng xác thực thôngtin, nguồn gốc của dữ liệu

1.7 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

- Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động vàomạng nội bộ của công ty

- Nối liền các chi nhánh, văn phòng di động.

- Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụhoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

- Mạng VPN truy nhập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

1.7.1 Mạng VPN truy nhập từ xa (Remote Access VPN)

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thời điểm, cácnhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập vào mạng củacông ty Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất Bởi vì, những VPN này

có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có mạng Internet

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông qua cơ

sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì Chúng

có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di động, những người sửdụng di động, những chi nhánh và những bạn hàng của công ty Những kiểu VPN nàyđược thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN,quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềmclient chạy trên máy tính của người sử dụng

Hình 1.7.1.1.2 Mô hình mạng VPN truy nhập từ xa

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mởrộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫnđảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site.

Hình 1.7.2.1.3 Mô hình mạng VPN cục bộ1.7.3 Mạng VPN mở rộng (Extranet)

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mởrộng không bị cô lập với “thế giới bên ngoài” Thực tế mạng VPN mở rộng cung cấp khảnăng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng nhữngđối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp…

Central site

Internet POP

DSL

Hình 1.7.3.1.4 Mô hình mạng VPN mở rộngCác VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhàcung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kếtnối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhaugiữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở mộttrong hai đầu cuối của VPN.

a) Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ hộitrong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu của mỗicông ty hơn

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được

số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận hành của toànmạng

b) Nhược điểm của mạng VPN mở rộng :

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫntồn tại

- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền dẫntốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

1.8 Các giao thức sử dụng trong VPN.

1.8.1 Bộ giao thức IPSec.

Internet Protocol Security (IPSec) là một bộ giao thức bảo mật (Internet Protocol-IP)thông tin liên lạc, bằng cách xác thực và mã hóa mỗi gói tin IP của một phiên giao dịch,IPSec cũng bao gồm các giao thức cho việc thiết lập xác thực lẫn nhau giữa các đại lý trongcác phiên giao dịch và đàm phán bằng cách sử dụng các key mã hóa

IPSec là một chương trình điều hành bảo mật end-to-end trong các LayerInternet (lớp kết nối internet) của Internet Protocol Suite (IPS - giao thức chuẩn tronginternet) Nó được sử dụng để việc bảo vệ luồng dữ liệu giữa một cặp máy (host-to- host),giữa hai mạng (network-to-network), hay giữa một mạng với một máy chủ (network-to-host)

1.8.2 Kiến Trúc.

Bộ giao thức IPSec là một tiêu chuẩn mở, IPSec sử dụng các giao thức để thực hiệncác chức năng khác nhau, IPSec gồm các thành phần sau:

- Authentication Header (AH): cung cấp kết nối an toàn và xác thực nguồn gốc dữ liệucho gói tin IP, đưa ra chính sách bảo vệ chống lại các cuộc tấn công.

- Encapsulating Security (ESP): Cung cấp bảo mật, xác thực nguồn gốc dữ liệu, kết nốitoàn vẹn, kiểm soát các luồng dữ liệu một cách an toàn

- Security Associations (SA): Cung cấp những thuật toán và thông số cần thiết để AH vàESP hoạt động Đưa ra một cách thức trao đổi khóa (ISAKMP- Internet SecurityAssociation and Key Management Protocol) tính toán và cung cấp khóa chia sẻ (Pre-shared keys) như: IKE(Internet Key Exchange), IKEv2, KINK (Kerberized InternetNegotiation of Keys), hoặc IPSECKEY

Hình 1.8.2.1.5 Sơ đồ các thành phần của IPSec và luồng dịch chuyển

1.8.3 Giao thức PPTP, L2TP và SSTP.

1.8.3.1 Giao thức PPTP (Point-to-Point Tunneling Protocol).

PPTP là một phương thức của mạng riêng ảo, được phát triển bởi Microsoft kết hợpvới một số công ty khác, nó sử dụng một kênh điều khiển qua giao thức TCP và đườnghầm GRE để đóng gói các gói dữ liệu PPP (Point-to-Point) PPTP là một phần của cáctiêu chuẩn Internet Point-to-Point (PPP), PPTP sử dụng các loại xác thực như PPP (PAP,SPAP, CHAP, MS-CHAP, và EAP)

PPTP thiết lập đường hầm nhưng không cung cấp mã hóa, nó mã hóa bằng cách

sử dụng giao thức Microsoft Point-to-Point Encrytion (MPPE) để tạo ra một VPN antoàn PPTP có chi phí tương đối thấp, điều này giải thích tại sao PPTP thường được sửdụng nhiều bởi các khách hàng của Microsoft

a) Nguyên tắc hoạt động của PPTP.

PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay Nó làmviệc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói,tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác

PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP đểtruyền qua mạng IP PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thúc đường hầm vàdùng một gói định tuyến chung GRE để đóng gói các khung PPP Phần còn lại của khungPPP có thể được mã hoá và nén lại

PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thúc kết nối vật lý,xác định người dùng, và thao tác các gói dữ liệu PPP

PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng PPTPkhách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiếtlập kết nối IP Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận Đó làgiai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi ISP Việc xácthực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nốiPPP

Một số cơ chế xác thực được sử dụng là:

- Giao thức xác thực mở rộng EAP

- Giao thức xác thực có thử thách bắt tay CHAP

- Giao thức xác định mật khẩu PAP

Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối dưới dạngvăn bản đơn giản và không có bảo mật CHAP là giao thức có cách thức mạnh hơn, sửdụng phương pháp bắt tay ba chiều để hoạt động, và chống lại các tấn công quay lại bằngcách sử dụng các giá trị bí mật duy nhất và không thể đoán và giải được PPTP cũng đượccác nhà phát triển công nghệ đưa vào việc mật mã và nén phần tải tin của PPP Để mật mãphần tải tin PPP có thể sử dụng phương thức mã hoá điểm tới điểm MPPE

MPPE chỉ cung cấp mật mã trong lúc truyền dữ liệu trên đường truyền không cungcấp mật mã tại các thiết bị đầu cuối tới đầu cuối Nếu cần sử dụng mật mã đầu cuối đếnđầu cuối thì có thể dùng giao thức IPSec để bảo mật lưu lượng IP giữa các đầu cuối saukhi đường hầm PPTP được thiết lập

Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để đóng góicác gói truyền trong đường hầm Để có thể dựa trên những ưu điểm của kết nối tạo bởiPPP, PPTP định nghĩa hai loại gói là điểu khiển và dữ liệu, sau đó gán chúng vào hai kênhriêng là kênh điều khiển và kênh dữ liệu PPTP tách các kênh điều khiển và kênh dữ liệuthành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ

liệu với giao thức IP Kết nối TCP tạo ra giữa các máy khách và máy chủ được sử dụng đểtruyền thông báo điều khiển.

Các gói dữ liệu là dữ liệu thông thường của người dùng Các gói điều khiển được đưavào theo một chu kì để lấy thông tin và trạng thái kết nối và quản lý báo hiệu giữa ứngdụng máy khách PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi cácthông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các máykhách và máy chủ PPTP Máy chủ PPTP là một Server có sử dụng giao thức PPTP vớimột giao diện được nối với Internet và một giao diện khác nối với Intranet, còn phầnmềm client có thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP

b) Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP.

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉmáy chủ Kết nối điều khiển PPTP mang theo các gói tin điều khiển và quản lý được sửdụng để duy trì đường hầm PPTP Các bản tin này bao gồm PPTP yêu cầu phản hồi vàPPTP đáp lại phải hồi định kì để phát hiện các lỗi kết nối giữa các máy trạm và máy chủPPTP Các gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP và bản tinđiều khiển PPTP và tiêu đề, phần cuối của lớp liên kết dữ liệu

a) Nguyên lý đóng gói dữ liệu đường hầm PPTP.

Đóng gói khung PPP và gói định tuyến chung GRE Phần tải của khung PPP ban đầuđược mã hoá và đóng gói với tiêu đề PPP để tạo ra khung PPP Khung PPP sau đó đượcđóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi GRE là giao thức đóng góichung, cung cấp cơ chế đóng gói dữ liệu để định tuyến qua mạng IP Đối với PPTP, phầntiêu đề của GRE được sửa đổi một số điểm đó là Một trường xác nhận dài 32 bits đượcthêm vào Một bits xác nhận được sử dụng để chỉ định sự có mặt của trường xác nhận 32bits, trường Key được thay thế bằng trường độ dài Payload 16 bits và trường chỉ số cuộcgọi 16 bits Trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởitạo đường hầm

Đóng gói IP

Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó được đóng gói với mộttiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và máy chủPPTP

Đóng gói lớp liên kết dữ liệu

Để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ đựơc đóng góivới một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý đầu ra Như trongmạng LAN thì nếu gói tin IP đựơc gửi qua giao diện Ethernet, nó sẽ được gói với phần tiêu

đề và đuôi Ethernet Nếu gói tin IP được gửi qua đường truyền WAN điểm tới điểm nó sẽđược đóng gói với phần tiêu đề và đuôi của giao thức PPP.

- Các gói tin IP, IPX, hoặc khung NetBEUI được đưa tới giao diện ảo đại diện chokết nối VPN bằng các giao thức tương ứng sử dụng đặc tả giao diện thiết bị mạngNDIS

- NDIS đưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hoá và nén dữ liệu,cũng như cung cấp tiêu đề PPP phần tiêu đề PPP này chỉ gồm trường mã số giao thứcPPP không có trường Flags và trường chuổi kiểm tra khung (FCS) Giả định trườngđịa chỉ và điều khiển được thoả thuận ở giao thức điều khiển đường truyền (LCP) trongquá trình kết nối PPP

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần tiêu đềGRE Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá trị thích hợp xác địnhđường hầm

- Giao thức PPTP sau đó sẽ gửi gói tin vừa tạo ra tới TCP/IP

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP sau đó gửi kết quả tớigiao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS

- NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứngquay số

b) Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP.

Khi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP, sẽ thực hiệncác bước sau

- Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói tin

- Xử lý và loại bỏ tiêu đề IP

- Xử lý và loại bỏ tiêu đề GRE và PPP

- Giải mã hoặc nén phần tải tin PPP

- Xử lý phần tải tin để nhận hoặc chuyển tiếp

c) Tính năng và hạn chế của PPTP.

 Tính năng :

- PPTP tạo ra nhiều kết nối giữa các khách hàng mà không yêu cầu dịch vụ đặc biệt ISP

- PPTP phù hợp trên nhiều hệ điều hành thông dụng (Microsoft, Nortel Network,TeteSystems…)

- PPTP hỗ trợ các dịch vụ IP, mã hóa các gói tin RC4 (56 bit hoặc 128 bit), sử dụngport 1723 và các giao thức GRE

 Một số hạn chế:

Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật do nó dùng

mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng mã hóa đối xứng là cách

tạo ra khóa từ mật khẩu của người dùng Điều này càng nguy hiểm hơn vì mật khẩuthường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận Giao thức tạođường hầm kế tiếp (L2F) được phát triển nhằm cải thiện bảo mật với mục đích này.

1.8.4 Giao thức tỉnh đường hầm lớp 2 (Layer 2 Tunneling Protocol).

IETF đã kết hợp hai giao thức PPTP và L2F và phát triển thành L2TP Nó kết hợpnhững đặc điểm tốt nhất của PPTP và L2F Vì vậy, L2TP cung cấp tính linh động, có thểthay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và khả năng kết nối điểmđiểm nhanh của PPTP

Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:

- L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP

- L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều khiển và hệđiều hành hỗ trợ Do đó, cả người dùng và mạng riêng Intranet cũng không cần triểnkhai thêm các phần mềm chuyên biệt

- L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộngvới một địa chỉ IP chưa đăng ký (hoặc riêng tư)

Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng máy chủ

Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa Hơnnữa, mạng riêng intranet có thể định nghĩa những chính sách truy quá trình xác nhận vàchứng thực của L2TP được thực hiện bởi cổng mạng máy chủ Do đó, ISP không cần giữ

dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa Hơn nữa, mạng riêng intranet

có thể định nghĩa những chính sách truy cập riêng cho chính bản thân Điều này làm quitrình xử lý của việc thiết lập đường hầm nhanh hơn so với giao thức tạo hầm trước đây.Điểm chính của L2TP tunnels là L2TP thiếp lập đường hầm PPP không giống nhưPPTP, không kết thúc ở gần vùng của ISP Thay vào đó, những đường hầm mở rộng đếncổng của mạng máy chủ (hoặc đích), những yêu cầu của đường hầm L2TP có thể khởi tạobởi người dùng từ xa hoặc bởi cổng của ISP

Khi PPP frames được gửi thông qua L2TP đường hầm, chúng được đóng gói nhưnhững thông điệp User Datagram Protocol (UDP) L2TP dùng những thông điệp UDP nàycho việc tạo hầm dữ liệu cũng như duy trì đường hầm Ngoài ra, đường hầm dữ liệu vàđường hầm duy trì gói tin, không giống những giao thức tạo hầm trước, cả hai có cùng cấutrúc gói dữ liệu

a) Các thành phần của L2TP

Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một NetworkAccess Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP NetworkServer (LNS)

 Network Access Server (NAS)

- L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối Internetđến người dùng từ xa, là những người quay số (thông qua PSTN hoặc ISDN) sử dụngkết nối PPP NASs phản hồi lại xác nhận người dùng từ xa ở nhà cung cấp ISP cuối vàxác định nếu có yêu cầu kết nối ảo Giống như PPTP NASs, L2TP NASs được đặt tạiISP site và hành động như client trong qui trình thiết lập L2TP tunnel NASs có thể hồiđáp và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ một phạm vi rộng cácclient

 Bộ tập kết truy cập L2TP (LAC)

- Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một đường hầm thông quamột mạng công cộng (như PSTN, ISDN, hoặc Internet) đến LNS ở tại điểm cuối mạngchủ LACs phục vụ như điểm kết thúc của môi trường vật lý giữa client và LNS củamạng chủ

 L2TP Network Server (LNS)

- LNSs được đặt tại cuối mạng chủ Do đó, chúng dùng để kết thúc kết nối L2TP ở cuốimạng chủ theo cùng cách kết thúc đường hầm từ client của LACs Khi một LNS nhậnmột yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập đường hầm và xác nhận ngườidùng, là người khởi tạo yêu cầu kết nối Nếu LNS chấp nhận yêu cầu kết nối, nó tạogiao diện ảo

b) Qui trình xử lý L2TP

Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặcmạng chung khác, theo các bước tuần tự sau đây:

Bước 1: Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất của nó, và

bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối

Bước 2: NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối NAS

dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này

Bước 3: Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của

mạng đích

Bước 4 : Kế tiếp, LAC thiết lập một đường hầm LAC-LNS thông qua mạng trung

gian giữa hai đầu cuối Đường hầm trung gian có thể là ATM, Frame Relay, hoặc IP/UDP

Bước 5: Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một Call

ID (CID) đến kết nối và gửi một thông điệp thông báo đến LNS Thông báo xác định nàychứa thông tin có thể được dùng để xác nhận người dùng

Thông điệp cũng mang theo LCP options dùng để thoả thuận giữa người dung vàLAC

Bước 6: LNS dùng thông tin đã nhận được từ thông điệp thông báo để xác nhận

người dùng cuối Nếu người dùng được xác nhận thành công và LNS chấp nhận yêu cầuđường hầm, một giao diện PPP ảo (L2TP tunnel) được thiết lập cùng với sự giúp đỡ củaLCP options nhận được trong thông điệp thông báo

Bước 7: Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua đường

hầm

L2TP, giống PPTP và L2F, hỗ trợ hai chế độ hoạt động L2TP, bao gồm: Chế độ gọiđến Trong chế độ này, yêu cầu kết nối được khởi tạo bởi người dùng từ xa Chế độ gọi đi.Trong chế độ này, yêu cầu kết nối được khởi tạo bởi LNS

Do đó, LNS chỉ dẫn LAC lập một cuộc gọi đến người dùng từ xa Sau khi LAC thiếtlập cuộc gọi, người dùng từ xa và LNS có thể trao đổi những gói dữ liệu đã qua đườnghầm

c) Dữ liệu đường hầm L2TP

- Tương tự PPTP tunneled packets, L2TP đóng gói dữ liệu trải qua nhiều tầng đónggói Sau đây là một số giai đoạn đóng gói của L2TP data tunneling:

- PPP đóng gói dữ liệu không giống phương thức đóng gói của PPTP, dữ liệu không được

mã hóa trước khi đóng gói Chỉ PPP header được thêm vào dữ liệu payload gốc

- L2TP đóng gói khung của PPP Sau khi original payload được đóng gói bên trong mộtPPP packet, một L2TP header được thêm vào nó

- UDP Encapsulation of L2TP frames Kế tiếp, gói dữ liệu đóng gói L2TP được đónggói thêm nữa bên trong một UDP frame Hay nói cách khác, một UDP header đượcthêm vào L2TP frame đã đóng gói Cổng nguồn và đích bên trong UDP header đượcthiết lập đến 1710 theo chỉ định

- PSec Encapsulation of UDP datagrams Sau khi L2TP frame trở thành UDP đã đượcđóng gói, UDP frame này được mã hoá và một phần đầu IPSec ESP được thêm vào

nó Một phần đuôi IPSec AH cũng được chèn vào gói dữ liệu đã được mã hóa và đónggói

- IP Encapsulation of IPSec-encapsulated datagrams Kế tiếp, phần đầu IP cuối cùngđược thêm vào gói dữ liệu IPSec đã được đóng gói Phần đầu IP chứa đựng địa chỉ IPcủa L2TP server (LNS) và người dùng từ xa

- Đóng gói tầng Data Link Phần đầu và phần cuối tầng Data Link cuối cùng được thêmvào gói dữ liệu IP xuất phát từ quá trình đóng gói IP cuối cùng Phần đầu và phần cuốicủa tầng Data Link giúp gói dữ liệu đi đến nút đích Nếu nút đích là nội bộ, phần đầu

và phần cuối tầng Data Link được dựa trên công nghệ LAN (ví dụ, chúng có thể làmạng Ethernet) Ở một khía cạnh khác, nếu gói dữ liệu là phương tiện cho một vị trí từ

xa, phần đầu và phần cuối PPP được thêm vào gói dữ liệu L2TP đã đóng gói

- Qui trình xử lý de-tunneling những gói dữ liệu L2TP đã tunnel thì ngược lại với quitrình đường hầm Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận đượcL2TP tunneled packet, trước tiên nó xử lý gói dữ liệu bằng cách gỡ bỏ Data Link layerheader and trailer Kế tiếp, gói dữ liệu được xử lý sâu hơn và phần IP header được gỡbỏ.

- Gói dữ liệu sau đó được xác nhận bằng việc sử dụng thông tin mang theo bên trongphần IPSec ESP header và AH trailer Phần IPSec ESP header cũng được dùng để giải

mã và mã hóa thông tin Kế tiếp, phần UDP header được xử lý rồi loại ra Phần Tunnel

ID và phần Call ID trong phần L2TP header dùng để nhận dạng phần L2TP tunnel vàphiên làm việc

- Cuối cùng, phần PPP header được xử lý và được gỡ bỏ và phần PPP payloadđược chuyển hướng đến protocol driver thích hợp cho qui trình xử lý

d) Chế độ đường hầm L2TP

L2TP hỗ trợ 2 chế độ - chế độ đường hầm bắt buộc và chế độ đường hầm tự nguyện.Những đường hầm này giữ một vai trò quan trọng trong bảo mật giao dịch dữ liệu từ điểmcuối đến điểm khác

Trong chế độ đường hầm bắt buộc, khung PPP từ PC ở xa được tạo đường hầm trongsuốt tới mạng LAN Điều này có nghĩa là Client ở xa không điều khiển đường hầm và nó sẽxuất hiện như nó được kết nối chính xác tới mạng công ty thông qua một kết nối PPP Phầnmềm L2TP sẽ thêm L2TP header vào mỗi khung PPP cái mà được tạo đường hầm Headernày được sử dụng ở một điểm cuối khác của đường hầm, nơi mà gói tin L2TP có nhiềuthành phần

Các bước thiết lập L2TP đường hầm bắt buộc được mô tả theo các bước sau:

Bước 1: Người dùng từ xa yêu cầu một kết nối PPP từ NAS được đặt tại ISP site Bước 2 : NAS xác nhận người dùng Qui trình xác nhận này cũng giúp NAS biết

được cách thức người dùng yêu cầu kết nối

Bước 3 : Nếu NAS tự do chấp nhận yêu cầu kết nối, một kết nối PPP được thiết lập

giữa ISP và người dùng từ xa

Bước 4 : LAC khởi tạo một L2TP tunnel đến một LNS ở mạng chủ cuối.

Bước 5 : Nếu kết nối được chấp nhận bởi LNS, PPP frames trải qua quá trình L2TP

tunneling Những L2TP-tunneled frames này sau đó được chuyển đến LNS thông quaL2TP tunnel

Bước 6 : LNS chấp nhận những frame này và phục hồi lại PPP frame gốc.

Bước 7 : Cuối cùng, LNS xác nhận người dùng và nhận các gói dữ liệu Nếu người

dùng được xác nhận hợp lệ, một địa chỉ IP thích hợp được ánh xạ đến frame

Bước 8 : Sau đó frame này được chuyển đến nút đích trong mạng intranet.

Chế độ đường hầm tự nguyện có Client ở xa khi gắn liên chức năng LAC và nó có thểđiều khiển đường hầm Từ khi giao thức L2TP hoạt động theo một cách y hệt như khi sửdụng đường hầm bắt buộc, LNS sẽ không thấy sự khác biệt giữa hai chế độ

Thuận lợi lớn nhất của đường hầm tự nguyện L2TP là cho phép người dùng từ xa kếtnối vào internet và thiết lập nhiều phiên làm việc VPN đồng thời Tuy nhiên, để ứng dụnghiệu quả này, người dùng từ xa phải được gán nhiều địa chỉ IP Một trong những địa chỉ IPđược dùng cho kết nối PPP đến ISP và một được dùng để hỗ trợ cho mỗi L2TP tunnel riêngbiệt Nhưng lợi ích này cũng là một bất lợi cho người dùng từ xa và do đó, mạng chủ có thể

bị tổn hại bởi các cuộc tấn công

Việc thiết lập một voluntary L2TP tunnel thì đơn giản hơn việc thiết lập một đườnghầm bắt buộc bởi vì người dùng từ xa đảm nhiệm việc thiết lập lại kết nối PPP đến điểmISP cuối

Các bước thiết lập đường hầm tự nguyện L2TP gồm :

Bước 1 : LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu cho

một đường hầm tự nguyện L2TP đến LNS

Bước 2 : Nếu yêu cầu đường hầm được LNS chấp nhận, LAC tạo hầm các PPP

frame cho mỗi sự chỉ rõ L2TP và chuyển hướng những frame này thông qua đường hầm

Bước 3 : LNS chấp nhận những khung đường hầm, lưu chuyển thông tin tạo hầm, và

xử lý các khung

Bước 4 : Cuối cùng, LNS xác nhận người dùng và nếu người dùng được xác nhận

thành công, chuyển hướng các frame đến nút cuối trong mạng Intranet

e) Những thuận lợi và bất lợi của L2TP

Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây:

- L2TP là một giải pháp chung Hay nói cách khác nó là một nền tảng độc lập Nó cũng

hỗ trợ nhiều công nghệ mạng khác nhau Ngoài ra, nó còn hỗ trợ giao dịch qua kết nốiWAN non-IP mà không cần một IP

- L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa Do đó, khôngđòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP

- L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP phải làmđiều này

- L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu xuốngtùy ý nếu đường hầm quá tải Điều này làm cho qua trình giao dịch bằng L2TP nhanhhơn so với quá trình giao dịch bằng L2F

- L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địa chỉ IP truy cập vàomạng từ xa thông qua một mạng công cộng.

- L2TP nâng cao tính bảo mật do sử dụng IPSec-based payload encryption trong suốt quatrình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ liệu

Ngoài ra việc triển khai L2TP cũng gặp một số bất lợi sau:

- L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữliệu nhận được

- Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một Routing and

Remote Access Server (RRAS) cần có những cấu hình mở rộng

1.8.5 Secure Socket Tunneling Protocol (VPN-SSTP).

Hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và WindowsVista Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là: Secure Socket TunnelingProtocol (SSTP)

a) Giới thiệu

SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN trongWindows Vista và Windows Server 2008 SSTP sử dụng các kết nối HTTP đã được mã hóaSSL để thiết lập một kết nối VPN đến VPN gateway SSTP là một giao thức rất an toàn vìcác thông tin quan trọng của người dùng không được gửi cho tới khi có một “đường hầm”SSL an toàn được thiết lập với VPN gateway SSTP cũng được biết đến với tư cách là PPPtrên SSL, chính vì thế nó cũng có nghĩa là bạn có thể sử dụng các cơ chế chứng thực PPP

và EAP để bảo đảm cho các kết nối SSTP được an toàn hơn

b) Lý do sử dụng PPTP trong VPN

Mạng riêng ảo VPN cung cấp một cách kết nối từ xa đến hệ thống mạng thông quaInternet Windows Server 2003 hỗ trợ các đường hầm VPN dựa vào PPTP vàL2TP/IPSec Nếu người dùng truy cập từ xa ở đằng sau một Firewall,những đường hầmnày đòi hỏi các port riêng biệt được mở bên trong các firewall như các port TCP 1723 vàgiao thức IP GRE để cho phép kết nối PPTP

Có những tình huống như nhân viên ghé thăm khách hàng, địa điểm đối tác hoặckhách sạn mà hệ thống chỉ cho truy cập web (HTTP,HTTPs),còn tất cả các port khác bịngăn chặn Kết quả,những user từ xa này gặp phải vấn đề khi thực hiện kết nối VPN do đólàm tăng cuộc gọi nhờ trợ giúp và giảm năng suất của nhân viên Secure SocketTunneling Protocol(SSTP) là một đường hầm VPN mới được giới thiệu trong WindowsServer 2008 nhằm giải quyết vấn đề kết nối VPN này

SSTP thực hiện điều này bằng cách sử dụng HTTPs làm lớp vận chuyển sao cho cáckết nối VPN có thể đi qua các firewall, NAT và server web proxy thường được cấu hình.Bởi vì kết nối HTTPs (TCP 433) thường được sử dụng để truy cập các site Internet đượcbảo vệ như các web site thương mại, do đó HTTPs thường được mở trong các firewall và

có thể đi qua các Proxy web, router NAT

VPN Server chạy trên nền Windows Server 2008 dựa vào SSTP để lắng nghe các kếtnối SSTP từ VPN client SSTP server phải có một Computer Certificate được cài đặt thuộctính Server Authentication.Computer Certificate này được sử dụng để xác thực server SSTPvới client SSTP trong quá trình thiết lập session SSL.Client hiệu lực hóa certificate củaserver SSTP.Để thực hiện điều này thì Root CA cấp phát certificate cho SSTP server phảiđược cài đặt trên client SSTP

Đường hầm VPN dựa vào SSTP có chức năng như một đường hầm peer-L2TP và dựavào PPTP Điều này có nghĩa PPTP được bao bọc trên SSTP mà sao đó gửi các lưu lượngcho cho kết nối HTTPs Như vậy,tất cả các tính năng khác của VPN như kiểm tra sức khỏedựa vào NAT, tải lưu lượng IPV6 trên VPN, các thuật toán xác thực như username vàsmartcard và client VPN dựa vào trình quản lý kết nối vẫn không thay đổi đối với SSTP,PPTP và L2TP Nó giup cho Admin một đường dẫn di trú tốt để di chuyển từ L2TP/PPTPđến SSTP

c) SSTP họat động như thế nào?

SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật thông tin

và dữ liệu SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc yêu cầu sử dụngPKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạy trên để xácthực client với server Nghĩa là Client xác thực server bằng certificate và Server xác thựcClient thông qua giao thức hiện có được hỗ trợ bởi PPP

Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm giao táctạo lập đường hầm, SSTP thiết lập session HTTPs với server từ xa tại port 443 ở một địachỉ URL riêng biệt Các xác lập proxy HTTP được cấu hình thông qua IE sẽ được sử dụng

để thiết lập kết nối này

Với session HTTPs, client đòi hỏi server cung cấp certificate để xác thực.Khi thiết lậpquan hệ SSL hòan tất, các session HTTP được thíet lập trên đó Sau đó, SSTP được sửdụng để thương lượng các tham số giữa Client và Server Khi lớp SSTP được thiết lập, việcthương lượng SSTP được bắt đầu nhằm cung cấp cơ chế xác thực client với server và tạođường hầm cho dữ liệu

Chương 2 Tìm hiểu về giao thức IPSEC

2.1 Giới thiệu về IPSec.

2.1.1 Một số chế độ làm việc.

a) Chế độ giao vận.

Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ với máy khác

mà không có sự can thiệp nào của các gateway làm nhiệm vụ an ninh mạng TrongTransport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và hoặc xác thực.Trong quá trình Routing, cả IP header đều không bị chỉnh sữa hay mã hoá; tuy nhiên khiauthentication header được sử dụng, địa chỉ IP không thể chỉnh sửa (ví dụ như portnumber) Transport mode sử dụng trong tình huống giao tiếp host-to-host Điều này cónghĩa là đóng gói các thông tin trong IPSec cho NAT traversal được định nghĩa bởi cácthông tin trong tài liệu của RFC bởi NAT-T

Hình 2.1.1.1.1 Cấu trúc gói tin IPSec ở chế độ Transport Modeb) Chế độ đường hầm ( Tunnel Mode ):

Chế độ này hỗ trợ khả năng truy nhập từ xa và liên kết an toàn các Website Chế độchuyển vận sử dụng AH và ESP đối với phần của tầng chuyển vận trong một gói tin IP.Phần dữ liệu thực của giao thức IP này là phần duy nhất được bảo vệ trong toàn gói tin.Phần header của gói tin IP với địa chỉ của điểm truyền và điểm nhận không bảo vệ Khi ápdụng cả AH và ESP thì AH được áp dụng sau để tính ra tính toàn vẹn của dữ liệu trên tổnglượng dữ liệu Mặt khác chế độ đường hầm cho phép mã hoá và tiếp nhận đối với toàn bộ

gói tin IP Các cổng bảo mật sử dụng chế độ này để cung cấp các dịch vụ bảo mật thay chocác thực thể khác trên mạng Các điểm truyền thông đầu cuối được bảo vệ bên trong cácgói tin IP đến trong khi các điểm cuối mã hoá lại được lưu trong các gói tin IP truyền đi.Một gateway bảo mật thực hiện phân tách gói tin IP đến cho điểm nhận cuối cùng sau khiIPSec hoàn thành việc xử lý của mình Trong chế độ đường hầm, địa chỉ IP của điểm đếnđược bảo vệ.

Hình 2.1.1.1.2 Cấu trúc gói tin IPSec ở chế độ Tunnel ModeTrong chế độ đường hầm, có một phần header IP phụ được thêm vào, còn trong chế

độ chuyển vận thì không có điều này IPSec định ra chế độ đường hầm để áp dụng cho

AH và ESP

Khi host 1 muốn giao tiếp với host 2, nó có thể sử dụng chế độ đường hầm để chophép các gateway bảo mật có thể cung cấp các dịch vụ để đảm bảo an toàn cho việc liênlạc giữa hai nút mạng trên mạng công cộng

IPSec cho phép chế độ bảo mật theo nhiều lớp và theo nhiều tuyến truyền Trong đó,phần header của gói tin nội tại được hoàn toàn bao bọc bởi phần header của gói tin đượcphát đi Tuy vậy, phải có một điều kiện là các tuyến truyền không được gối chồng lênnhau

Đối với việc xử lý luồng dữ liệu truyền đi, tầng IP sẽ tham chiếu đến SPD (SecurityPolicy Database) để quyết định các dịch vụ bảo mật cần áp dụng Các bộ chọn lọc được lấy

ra từ các phần header sử dụng để chỉ ra một cách thức hoạt động cho SPD Nếu hoạt độngcủa SPD là áp dụng tính năng bảo mật thì sẽ có một con trỏ, trỏ đến SA trong SADB(Security Association Database) được trả về Trường hợp SA không có trong SADB thìIKE sẽ được kích hoạt Sau đó các phần header AH và ESP được bổ sung theo cách mà SAđịnh ra và gói tin sẽ được truyền đi

Với việc xử lý luồng dữ liệu gửi đến, sau khi nhận được một gói tin, tầng có nhiệm vụbảo mật sẽ kiểm tra danh mục các phương thức bảo mật để đưa ra các hành động sau đây:huỷ bỏ, bỏ qua hoặc áp dụng Nếu hành động là áp dụng mà SA không tồn tại thì gói tin

sẽ bị bỏ qua Tuy nhiên, nếu SA có trong SADB thì gói tin sẽ được chuyển đến tầng tiếptheo để xử lý Nếu gói tin có chứa các phần header của dịch vụ IPSec thì stack của IPSec

sẽ thu nhận gói tin này và thực hiện xử lý Trong quá trình xử lý, IPSec lấy ra phần SPI,phần địa chỉ nguồn và địa chỉ đích của gói tin Đồng thời, SADB được đánh số theo cáctham số để chọn ra SA nhất định để sử dụng: SPT, địa chỉ đích hoặc là giao thức

Hình 2.1.1.1.3 IPSec cho phép thiết lập các mối truyền thông riêng biệt và đảm bảo tính bí mật trênmạng internet mà không cần biết đến các ứng dụng đang chạy trên máy đó hay các giaothức ở tầng cao hơn như tầng vận chuyển (Transport layer)

Hình 2.1.1.1.4

 IPSec là bộ giao thức có khả năng thẩm định dữ liệu ở cả hai phía người gửi vàngười nhận, đảm bảo tính bí mật và toàn vẹn dữ liệu bằng cách mă hoá chứng thực.IPSec có khả năng thích ứng với tất cả các ứng dụng chạy trên mạng IP

 IPSec hoạt động hiệu quả và nhanh hơn các ứng dụng bảo mật hoạt động ở tầng ứngdụng (Application layer)

Hình 2.1.1.1.5 IPSec có thể được coi như là một lớp dưới của giao thức TCP/IP, lớp này kiểm soátcác người dùng truy nhập dựa vào một chính sách an toàn về mỗi máy tính và một tổ chứcđàm phán an ninh giữa người gửi và người nhận.

Giao thức đóng gói an toàn ESP (Encapsulation Security Payload): là giao thức số 50được gán bởi IANA ESP là một giao thức bảo mật có thể được sử dụng cho việc cung cấptính bảo mật và xác thực các gói dữ liệu khỏi sự nhòm ngó của người dùng không đượcphép ESP cung cấp phần tải tin của gói dữ liệu, ESP cung cấp sự xác thực cho gói tin IPnội bộ và phần tiêu đề ESP Sự xác thực cung cấp sự xác thực về nguồn gốc và tính toànvẹn của gói dữ liệu ESP là giao thức hỗ trợ và kiểu mă hoá đối xứng như: Blowfish, DES.Thuật toán mă hoá dữ liệu mặc định sử dụng trong IPSec là thuật toán DES 56 bit Trongcác sản phẩm và thiết bị mạng của Cisco dùng trong VPN còn sử dụng việc mă hoá dữliệu tốt hơn bằng cách sử dụng thuật toán 3DES (Triple Data Encryption Security) 128 bit.Giao thức ESP có thể được sử dụng độc lập hoặc kết hợp với giao thức chứngthực đầu mục AH (Authentication Header) tuỳ thuộc vào từng môi trường

Giao thức ESP cũng có thể bảo vệ được tính duy nhất của gói tin bằng cách yêu cầubên nhận đặt bit “ replay” trong tiêu đề để chỉ ra rằng gói tin đă được gửi

- Giao thức chứng thực mục đầu AH (Authentication Header Protocol).

 Trong hệ thống IPSec có một đầu mục đặc biệt: Đầu mục chứng thực AH được thiết

kế để cung cấp hầu hết dịch vụ chứng thực cho dữ liệu IP

Với IP v4

Hình 2.1.1.1.6 Với IP v6

Hình 2.1.1.1.7

- Giao thức trao đổi chìa khoá Internet (IKE) AH và ESP là những giao thức mà IPSec

yêu cầu những bí mật dùng chung trong việc phân phối khoá, do đó các chìa khoá cóthể mất cắp khi trao đổi qua lại Do đó một cơ chế trao đổi chìa khoá an toàn cho IPSecphải thoả mãn yêu cầu sau

 Không phụ thuộc vào các thuật toán đặc biệt

 Không phụ thuộc vào một nghi thức trao đổi khoá đặc biệt

 Sự chứng thực của những thực thể quản lý khoá

 Thiết lập các SA trên các tuyến giao thông không an toàn

 Sử dụng hiệu quả các nguồn tài nguyên

Giao thức IKE dựa trên khung của Hiệp hội quản lý khóa trên Internet và Giao thứcphân phối khoá Oakley

Giao thức IKE có các đặc tính sau:

 Các chìa khoá phát sinh và những thủ tục nhận biết

 Tự động làm mới lại chìa khoá

 Giải quyết vấn đề một khoá

 Mỗi một giao thức an toàn (AH, ESP) có một không gian chỉ số an toàn của chính mình

 Gắn sẵn sự bảo vệ

 Chống lại các cuộc tấn công làm nghẽn mạch tài nguyên như: Tấn công từ chối dịch vụDoS (Denial- of- Service)

 Tiếp cận hai giai đoạn

 Thiết lập những SA cho khoá trao đổi

 Thiết lập SA cho dữ liệu chuyển

 Sử dụng chữ ký số

 Dùng chung khoá

Giao thức IKE thiết kế ra để cung cấp 5 khả năng:

Cung cấp những phương tiện cho hai bên về sự đồng ý những giao thức, thuậttoán và những chìa khoá để sử dụng

 Đảm bảo trao đổi khoá đến đúng người dùng

 Quản lý những khoá sau khi được chấp nhận.

 Đảm bảo rằng sự điều khiển và trao đổi khoá an toàn

 Cho phép sự chứng thực động giữa các đối tượng ngang hang

2.2 Tìm hiểu về các giao thức.

2.2.1 Giao thức AH (Authentication Header).

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu Hơn nữa nó là lựachọn nhằm chống lại các tấn công replay attack bằng cách sử dụng công nghệ chống tấncông sliding window và discarding older packets, AH bảo vệ quá trính truyền dữ liệu khi

sử dụng IP Trong IPv4, IP Header có bao gồm TOS, Flags, Fragment Offset, TTL, vàHeader checksum AH thực hiện trực tiếp trong phần đầu tiên của gói tin IP Dưới đây là

mô hình của AH header

Hình 2.2.1.1.8 : Cấu trúc gói tin AH

- Ý nghĩa của từng trường:

 Next header (8 Bits): Nhận dạng giao thức sử dụng truyền thông tin, các định lại dữliệu chứa trong tiêu đề AH

 Payload leghth (8 Bits): Độ lớn của gói tin AH tính bằng đơn vị (32 Bits) và trừ đi 2đơn vị

 (ví dụ: toàn bộ chiều dài tiêu đề AH là 6 thì chiều dài vùng Payoad là 4)

 RESERVED (16 Bits): Sử dụng trong tương lai (cho đến thời điểm hiện này nó đượcbiểu diễn bằng các con số 0)

 Security paramaters index (SPI – 32 Bits): Nhận ra các thông số bảo mật, được tíchhợp với địa chỉ IP, và nhận dạng các thương lượng bảo mật được kết hợp vói các gói

tin Giá trị 1-255 được dành riêng, giá trị 0 sử dụng cho mục đích đặc biệt, các giá trịkhác dùng gắn cho SPI.

 Next header (8 Bits): Nhận dạng giao thức sử dụng truyền thông tin, các định lại dữliệu chứa trong tiêu đề AH

 Payload leghth (8 Bits): Độ lớn của gói tin AH tính bằng đơn vị (32 Bits) và trừ đi 2đơn vị

 (ví dụ: toàn bộ chiều dài tiêu đề AH là 6 thì chiều dài vùng Payoad là 4)

 RESERVED (16 Bits): Sử dụng trong tương lai (cho đến thơi điểm hiện này nó đượcbiểu diễn bằng các con số 0)

 Security paramaters index (SPI – 32 Bits): Nhận ra các thông số bảo mật, được tíchhợp với địa chủ IP, và nhận dàng các thương lượng bào mật được kết hợp vói các góitin Giá trị 1-255 được dành riêng, giá trị 0 sử dụng cho mục đích đặc biệt, các giá trịkhác dùng gắn cho SPI

AH cung cấp các tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ gói tin baogồm cả phần tiêu đề của IP (IP Header) và các gói dữ liệu được chuyển trong các gói tin

AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu có thể đượcđọc nhưng chúng sẽ được bảo vệ để chống lại sự thay đổi AH sẽ sử dụng thuật toán Key

AH để đánh dấu gói dữ liệu nhằm đảm bảo tính toàn vẹn của gói dữ liệu

Hình 2.2.1.1.1 : Các thành phần chứng thực trong AH

Hình 2.2.1.1.2 : Quá Trình tạo gói tin AH.

- Quá trình tạo gói tin AH.

Khi một AH SA được khởi tạo lần đầu tiên, thuật toán xác thực và các khóa được ghilại, và số chuỗi truy cập được thiết lập là 0 Khi IPsec xác định rằng một gói tin sẽ ra bênngoài có AH được áp dụng, nó nằm bên trong SA thích hợp và thực hiện các bước sau: Bước 1 : Một tiêu đề AH mẫu được chèn vào giữa IP header và tiêu đề lớp trên Bước 2 : Số sequence number tăng dần và được lưu giữ trong các tiêu đề AH Vào thờigian này, AH kiểm tra để đảm bảo rằng số thứ tự sẽ không bị lặp, Nếu lặp, AH sẽ tạo ramột SA mới và khởi tạo dãy số 0 Trong trường hợp số sequence number không lặp, số thứ

tự đó sẽ được tăng lên và được lưu giữ trong các tiêu đề AH

Bước 3 : Phần còn lại của các trường AH, ngoại trừ của ICV, được làm đầy đủ vớichiều dài quy định

Bước 4 : Nếu cần paddinh tùy ý được thêm vào tiêu đề AH đề đảm bảo rằng nó là mộtbội số của 32 bit (64 bit cho IPv6)

Bước 5: Các trường có thể thay đổi trong IP Header và trường ICV trong tiêu đề AHđược đánh 0, và ICV được tính trên toàn bộ datagram IP Nếu có nhiều nguồn địnhtuyến khác trong khi truyền (truyền qua các thiệt bị trung gian) trong IP Header, địa chỉdịch phải được đặt là địa chỉ cuối cùng trước khi tính toán ICV

Bước 6 : các trường có thể thay đổi được làm đầy, và các ICV được lưu trữ trong tiêu

đề AH Nếu có một nguồn định tuyền tùy chọn trung gian khác, trường địa chỉ đích củatiêu đề IP được thiết lập các điểm đến trung gian

Bước 7 : các datagram IP được đặt và hàng đợi đầu ra cho truyền dẫn đến đích củanó

2.2.2 Giao thức ESP (Encapsulating security Payload).

Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật của gói tin.ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tình huống chỉ cần mã hóa hay chỉ cầnxác thực

Hình 2.2.2.1.11 : Cấu trúc gói tin ESP.

- Ý nghĩa các thành phần:

 Security paramaters index (SPI – 32Bits): nhận ra các thông số được tích hợp với địachỉ IP, nhận dạng liên kết SA

 Sequence number (32 Bits): Tự động tăng có tác dụng phát lại

 Payload data (độ dài bất kì): Đây là gói tin IP hoặc một phần của gói tin ban đầu tùythuộc vào chế độ (mode) của IPSec đang được dùng Khi dùng Tunnel Mode,trường hợp này chứa toàn bộ gói tin IP ban đầu Trong Transport Mode, nó chỉ baogồm phần giao thức các lớp bên trên của gói tin ban đầu Chiều dài của pay load luôn làmột số nguyên của bytes

 Padding (độ dài bất kì): và Pad Length (8 Bits): Dữ liệu chèn vào độ dài của nó

 Next Header (8 Bits): Nhận ra giao thức được sử dụng trong quá trình truyền thông tin.Nếu là TCP giá trị là 6, nếu là UDP giá trị là 17 khi dùng Transport Mode, khi dùngTunnel Mode là 4 (IP-in-IP)

 Authentication (Bội số của 32): bao gồm dữ liệu thực cho gói tin, được tính trên toàn

bộ gói tin ESP trừ phần Authentication data Các thuật toán mã hóa bao gồm DES,3DES, AES Các thuật toán xác thực bao gồm MD5 hoặc SHA-1 ESP còn cung cấptính năng anti-repay để bào vệ các gói tin không bị chỉnh sửa ESP trong trạng tháivận chuyển sẽ không đóng gói thuật toán trên toàn bộ gói tin mà chỉ đóng gói phầnthân IP Header ESP có thể sử dụng độc lập hay kết hợp AH, dưới đây là mô hình củaquá trình thực thi ESP trên user data để trả về giữa 2 IPSec Peers