Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống
1
/ 56 trang
THÔNG TIN TÀI LIỆU
Thông tin cơ bản
Định dạng
Số trang
56
Dung lượng
1,33 MB
Nội dung
GVHD: ThS Trần Xuân Tr-ờng Mục lục Lý THUYếT Về VPN 1.1.Định nghĩa, chức năng, -u điểm VPN 1.1.1 Định nghĩa VPN 1.1.2 Chức VPN 1.1.3 -u điểm sử dụng VPN 1.1.4 Nh-ợc điểm VPN 1.1.5 Đánh giá VPN 1.1.6 Các yêu cầu VPN 1.2.Các loại mạng VPN 12 1.2.1 VPN truy cËp tõ xa (Remote access VPN) 12 1.2.2 VPN néi bé (Intranet VPN) 14 1.2.3 VPN më réng (Extranet VPN) 16 1.3.§-êng hầm mà hoá 17 1.3.1 Đ-ờng hầm (Tunnel) 17 1.3.2 M· ho¸ (Encryption) 17 1.4.T ỉng quan vỊ c¸c giao thøc dïng cho VPN 18 1.4.1 Generic Routing Encapsulation (GRE) 19 1.4.2 Giao thøc b¶o mËt IPSec (IP Security Protocol) 21 2.1 ESP (Encapsulation Security Payload) 24 2.2 AH (Authentication Header) 26 2.3 Mode Tunnel vµ Mode Transport 28 2.3.1 Mode Transport 29 2.3.2 Mode Tunnel 29 2.4 Qu¸ trình hoạt động IPSec 30 2.4.1 B-ớc 1: Xác định traffic cần quan tâm 31 2.4.2 B-ớc 2: Giai đoạn IKE (Internet Key Exchange) 32 2.4.3 B-ớc 3: Giai đoạn IKE 35 Sinh viªn thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT GVHD: ThS Trần Xuân Tr-ờng 2.4.4 B-ớc 4: Phiên IPSec 39 2.4.5 B-ớc 5: Kết thúc đ-ờng hầm 39 3.1 Point-to-Point Tunneling Protocol (PPTP) 40 3.1.1 §-êng hÇm PPTP 43 3.1.1.1 Đ-ờng hầm tự nguyện 43 3.1.1.2 Đ-ờng hầm bắt buộc 43 3.1.2 Sư dơng PPTP 43 3.2 Layer Tunneling Protocol (L2TP) 45 3.2.1 PPP L2TP 46 3.2.2 §-êng hÇm L2TP 49 3.2.2.1 Đ-ờng hầm tự nguyện 49 3.2.2.2 Đ-ờng hầm bắt buộc 50 3.3 X¸c thùc mà hoá L2TP 53 Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT GVHD: ThS TrÇn Xuân Tr-ờng LờI Mở ĐầU Cùng với phát triển công nghệ thông tin, mạng máy tính đặc biệt mạng Internet ngày phát triển đa dạng phong phú nội dung lẫn hình thức Các dịch vụ mạng Internet đà xâm nhập vào hầu hết lĩnh vực đời sống xà hội Các thông tin trao đổi Internet có nhiều thông tin cần bảo mật cao tính quan trọng, tính xác tin cậy Một yêu cầu đặt cho doanh nghiệp phải luôn nắm đợc thông tin nhất, xác phải đảm bảo độ tin cậy cao chi nhánh khắp giới, nh đối tác, khách hàng Ngoài tính hiệu tiện lợi cho nhân viên khách hàng yếu tố cần đợc xem xét Để làm đợc điều nhân viên xa, chi nhánh xa, khách hàng xa, phải truy nhập đợc vào mạng Intranet công ty Ví dụ: Một nhân viên làm việc Hà Nội có chuyến công tác Sài Gòn, quên tài liệu công ty Anh ta muốn lấy tài liệu cách an toàn bảo mật? Để đáp ứng đợc yêu cầu Trong khứ có giải pháp tốn sử dụng đờng leaseline nhà cung cấp dịch vụ để nối tất chi nhánh công ty lại với thành mạng WAN Giải pháp khó khăn việc vận hành, bảo trì, mở rộng mạng Đây nguyên nhân dẫn đến việc em chọn đề tài cho đồ án tốt nghiệp em Tìm hiểu giao thức Mạng Riêng ảo-VPN Công nghệ mạng riêng ảo VPN (Virtual Private Network) công nghệ tơng đối mới, việc nghiên cứu triển khai loại mạng VPN đòi hỏi nhiều thời gian công sức.Trong đề tài này, em đà cố gắng trình bày Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT GVHD: ThS Trần Xuân Tr-ờng khái niệm mạng riêng ảo, nghiên cứu cách kü lìng c¬ së lý thut cịng nh kü tht triển khai kiểu mạng VPN Microsoft Trong phần thực nghiệm đề tài em đà xây dựng cấu hình thành công mạng VPN Client-to-Site phần mềm mô Vware Workstration.Trên sở triển khai mạng riêng ảo cho doanh nghiệp Một lần em xin chân thành cảm ơn thầy Ths Trần Xuân Trờng GV khoa CNTT trờng Đại Học Vinh đà tận tình giúp đỡ em hoàn thành đề tài Đinh Công Đức Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Lý THUYếT Về VPN CHƯƠNG I TổNG QUAN Về VPN 1.1 Định nghĩa, chức năng, -u điểm VPN 1.1.1 Định nghĩa VPN Theo tiêu chuẩn đ-ợc định nghĩa Internet Engineering Task Force (IETF), VPN kết nối mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ công cộng nh- mạng Internet hay IP backbones riêng Hiểu đơn giản, VPN phần mở rộng mạng riêng (private intranet) sang mạng công cộng (Internet) đảm bảo hiệu suất truyền tin hai thiết bị thông tin đầu cuối Sự mở rộng đ-ợc thực đ-ờng hầm (Tunnels) Những đ-ờng hầm giúp trao đổi liệu điểm đầu cuối nh- giao thức thông tin point-to-point kĩ thuật đ-ờng hầm lõi VPN Một mạng VPN hai hệ thống đầu cuối, hai hay nhiều mạng Hình 1.1 Tổng quan VPN Tóm lại ta định nghĩa ngắn ngän vỊ VPN nh- sau : Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viªn thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng VPN = Định đ-ờng hầm + Bảo mật + Các thỏa thuận QOS (QualityOf Service) 1.1.2 Chức VPN VPN cung cấp ba chức chính: Sự tin cËy (Confidentiality): Ng-êi gưi cã thĨ m· ho¸ c¸c gói liệu tr-ớc truyền chúng qua mạng công cộng Bằng cách làm nhvậy, không truy cập thông tin mà không đ-ợc cho phép Và có lấy đ-ợc không đọc đ-ợc User name: batigol Password: bachovidai Thuật tốn mã hóa Tơi khơng thể đọc thơng tin mã hoá Thuật toán giải mã User name: batigol Password: bachovidai !@!#2fdasf !@!#2fdasf dasrwqreqf INTERNET dasrwqreqf dsafdsafas dsafdsafas H×nh 1.2 : Sù tin cËy cđa VPN TÝnh toµn vĐn gi÷ liƯu (Data Integrity): ng-êi nhËn cã thĨ kiĨm tra liệu đà đ-ợc truyền qua mạng Internet mà thay đổi INTERNET ` Server xỏc thực Remote PC User name: batigol Password: bachovidai !@!#2fdasfdasrwqreqf dsafdsafas User name: kukawa82 Password: bachovidai Dữ liệu bị thay i abc#2fdasfdasrwqreqf dsafdsafas Hình 1.3 : Tính toàn vẹn data Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Líp 46K1 - CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Xác thực nguồn gốc (Origin Authentication): Ng-êi nhËn cã thĨ x¸c thùc ngn gèc cđa gói liệu, đảm bảo công nhận nguồn thông tin Hình 1.4 : Xác thực nguồn gốc 1.1.3 Ưu điểm sử dụng VPN VPN làm giảm chi phí th-ờng xuyên: VPN cho phép tiết kiệm đến 60% chi phí thuê đ-ờng truyền giảm đáng kể tiền c-ớc gọi đến nhân viên xa nhờ vào việc họ truy nhập thông qua điểm cung cấp dịch vụ POP (Point of Presence) địa ph-ơng, hạn chế gọi đ-ờng dài đến modem tập trung Tổng giá thành việc sở hữu mạng VPN đ-ợc thu nhỏ Giá thành cho việc kết nối LAN-to-LAN giảm từ 20-30% so với việc sử dụng đ-ờng Leasedline truyền thống Còn việc truy cập từ xa giảm tới từ 6080% VPN làm đơn giản hoá cho việc quản lý công việc so với việc sở hữu vận hành mạng cục bé: C¸c doanh nghiƯp cã thĨ cho phÐp sư dơng vài hay tất dịch vụ mạng WAN, giúp doanh nghiệp tập trung vào đối t-ợng kinh doanh chính, thay quản lý mét m¹ng WAN hay m¹ng quay sè tõ xa Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng VPN cung cấp kiểu mạng đ-ờng hầm làm giảm thiểu công việc quản lý: Một Backbone IP loại bỏ PVC (Permanent Virtual Circuit) cố định t-ơng ứng với giao thức kết nối nh- Frame Relay ATM Điều tạo kiểu mạng l-ới hoàn chỉnh giảm đ-ợc độ phức tạp giá thành VPN đảm bảo an toàn thông tin, tính toàn vẹn xác thực: Dữ liệu truyền mạng VPN đ-ợc mà hóa thuật toán phức tạp Dữ liệu đ-ợc truyền mạng thông qua đ-ờng hầm điều đảm bảo cho Dữ liệu có độ tin cậy cao Kể mát thông tin ng-ời công (attacker) xem đ-ợc nội dung 1.1.4 Nh-ợc điểm VPN Phụ thuộc nhiều vào chất l-ợng mạng Internet Sự tải hay tắt nghẽn mạng làm ảnh h-ởng xấu đến chất l-ợng truyền tin máy mạng VPN Thiếu giao thức kế thừa hỗ trợ: VPN dựa hoàn toàn sở kĩ thuật IP Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) thiết bị giao thức kế thừa cho việc truyền tin ngày 1.1.5 Đánh giá VPN Bảo mật: Do truyền nhạy cảm quan trọng công ty đ-ợc truyền qua mạng thiếu an toàn nh- mạng Internet, bảo mật yêu cầu quan trọng tổ chức quản trị mạng Để đảm bảo liệu bị chặn hay truy xuất trái phép có khả mát truyền tải Có chế mà hóa liệu đủ khả mà hóa liệu an toàn Sự thích nghi (interoperablility) thiết bị từ nhiều nhà cung cấp: Nếu thích nghi thiết bị vận hành VPN đảm bảo chất l-ợng dịch vụ (Quality of Service - QoS) khó đạt đ-ợc Do thiết bị cần đ-ợc kiểm tra thích nghi tr-ớc lắp đặt chúng vào mạng VPN Các nhà chuyên môn khuyến cáo để đạt chất l-ợng tốt truyền tin thiết bị nên từ nhà cung cấp Điều đảm bảo thích nghi thiết bi đảm bảo chất l-ợng dịch vụ tốt Quản lý VPN tập trung: Điều giúp dễ dàng cấu hình, quản lý khắc phục cố vấn đề liên quan VPN tõ mét vïng cơc bé hay øng dơng Mét ®iỊu quan trọng phần mềm quản lý ghi lai hoạt động hệ thống (logs), điều giúp quản trị mạng khoanh vùng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: §inh C«ng §øc - Líp 46K1 - CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng giải cố tr-ớc gây ảnh h-ởng đến chất l-ợng toàn hệ thống Dễ dàng bổ sung thành phần khác: Giải pháp VPN dễ dàng bổ sung cấu hình Nếu thành phần bổ sung có kích th-ớc lớn bạn phải chắn phần mềm quản lý đủ khả ghi theo dõi số l-ợng lớn tunnel bổ sung hệ thống Sử dụng dễ dàng: Phần mềm VPN, đặc biệt phần mềm VPN cho khách hàng phải đơn giản không phức tạp đối ®Ĩ ng-êi dïng ci cã thĨ bỉ sung nÕu cÇn thiết Thêm vào qusa trình xác nhận giao diện phải dễ hiểu sử dụng Khả nâng cấp (Scalability) :Mạng VPN tồn phải có khả nâng cấp, thêm vào thành phần mà không thay đổi nhiều sở hạ tầng Performance: M· hãa, mỈt rÊt quan träng cđa cđa VPN, ®-ỵc thùc hiƯn chđ u nhê CPU Do ®ã, ®iỊu cần thiết lựa chọn thiết bị cho không đơn thích nghi với mà thi hành nhiệm vụ nh- mà hóa liệu nhanh chóng hiệu Nếu không chất l-ơng thấp phận làm giảm chất l-ợng toàn hệ thống VPN Bảo vệ mạng khỏi liệu không mong muốn: Bằng cách kết nối trực tiếp Internet, VPN bị cản trở liệu không mong muốn cản trở truyền tin mạng Trong truơng hợp khẩn cấp, liệu làm tràn ngập mạng intranet dẫn đến ng-ng kết nối dịch vụ Do dó, tunnel VPN cần đ-ợc cung cấp chế lọc thành phần non-VPN Cơ chế bao gồm dịch vụ hạn chế băng thông hay sách 1.1.6 Các yêu cầu VPN Một mạng riêng ảo phiên đà đ-ợc cải tiến chỉnh sửa mạng cá nhân, cho phép bạn nâng cấp mạng LAN mạng nội đ-ợc thiết lập với Internet mạng công cộng khác để truyền thông cách an toàn kinh tế.Vì thế, hầu hết yêu cầu mạng riêng ảo yêu cầu mạng cá nhân truyền thống gần nh- giống Tuy nhiên, yêu cầu sau yêu cầu bật tr-ờng hợp VPN Tính an toàn ( bảo mật) Tính sẵn sàng Chất l-ợng dịch vụ Độ tin cậy Độ t-ơng thích Và quản lý đ-ợc Tính an toàn: Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Các mạng cá nhân mạng nội cho môi tr-ờng có độ an toàn cao tài nguyên mạng không đ-ợc cấp phát cho công cộng Vì khả ng-ời không đ-ợc phép truy cập vào mạng nội tài nguyên cực thấp Tuy nhiên, giả định không cho VPN mạng riêng ảo sử dụng Internet mạng công cộng khác nh- : mạng điện thoại chuyển mạch công cộng (PSTN) Việc thiết lập mạng riêng ảo tạo cho hacker cracker hội thuận lợi để truy cập vào mạng cá nhân liệu chạy tới thông qua mạng công cộng.Điều dẫn đến kết là, độ an toàn tin cậy Do ph-ơng pháp bảo mật cao cấp toàn diện phải đ-ợc thực cách nghiêm ngặt Dữ liệu tài nguyên mạng đ-ợc bảo mật cách sau : Việc thực xác nhận user packet để thiết lập định danh ng-ời sử dụng xác định anh cô có quyền truy cập vào tài nguyên VPN mạng Mô hình AAA ( Authentication Authorization Accounting) ví dơ cđa mét hƯ thèng x¸c nhËn ng-êi sư dơng cách toàn diện Đầu tiên, xác nhận ng-ời dùng truy cập vào mạng Sau ng-ời dùng đ-ợc xác nhận thành công, ng-ời dùng truy cập vào nguồn tài nguyên đ-ợc cấp phép Thêm vào đó, nhật ký hoạt động chi tiết tất users mạng đ-ợc l-u trữ, điều cho phép quản trị mạng biết đ-ợc hành vi trái phép Việc thực thi kỹ thuật mà hóa liệu để bảo đảm tính xác thực, tính toàn vẹn, tính tin cậy liệu liệu đ-ợc truyền qua mạng t-ơng tác không tin cậy IPSec ( Internet Protocol Security) xuất hiƯn nh- mét nh÷ng kü tht m· hãa d÷ liệu mạnh mẻ Nó mà hóa liệu đ-ợc truyền, mà cho phép xác thực user packet cách riêng rẽ Các ph-ơng pháp bảo mật VPN nên đ-ợc chọn với quan tâm đặc biệt Chúng nên dễ thực quản lý mà phải chịu đ-ợc vi phạm truy cập từ ng-ời sử dụng mạng Thêm vào đó, trình đăng nhập ng-ời dùng phải nên nhanh dễ dàng ng-ời dùng không gặp trở ngại truy cập vào VPN Sự sẵn sàng Sự tin cậy Sự sẵn sàng liên quan đến tổng thời gian thiết lập mạng Trong mạng cá nhân mạng nội uptime t-ơng đối cao kiến trúc hạ tầng tổng thể thuộc quyền sở hữu kiểm soát hoàn toàn tồ chức Tuy nhiên, VPN sử dụng mạng nội trung gian d-ới dạng Internet Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 10 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Mỏy ch truy cập mạng Máy khách Thiết lập kết nối Kết nối PPP ` Xác thực người dùng Tên người dùng mật Xác thực ` Truyền liệu Dữ liệu tiêu đề giao thức PPP PPP tiêu đề giao thức Dữ liệu ` H×nh 3.2: KÕt nèi quay sè dïng PPP Sau PPP thùc hiƯn kÕt nèi, PPTP sư dụng quy luật đóng gói PPP để đóng gói gói truyền đ-ờng hầm Để tận dụng -u điểm kết nối tạo PPP, PPTP định nghĩa loại gói Gói điều khiển gói liệu, gán chúng vào hai kênh riêng Sau PPTP phân tách kênh điều khiển kênh liệu thành luồng điểu khiển với giao thức TCP, luồng liệu với giao thức IP Kết nối TCP đ-ợc tạo Client PPTP máy chủ PPTP đ-ợc sử dụng để chuyển thông báo điều khiển Các gói liệu liệu thông th-ờng ng-ời dùng Các gói điều khiển đ-ợc gửi theo chu kỳ để lấy thông tin kết nối quản lý hiệu gỉữa Client PPTP máy chủ mạng Các gói điều khiển đ-ợc dùng để gửi thông tin quản lý thiết bị, thông tin cấu hình hai đ-ờng hầm Kênh điều khiển đ-ợc yêu cầu cho việc thiết lập đ-ờng hầm Client PPTP với máy chủ PPTP Phần mềm Client nằm máy ng-ời dùng từ xa hay máy chủ ISP Sau đ-ờng hầm đ-ợc thiết lập liệu ng-ời dùng đ-ợc truyền từ Client ®Õn m¸y chđ PPTP C¸c gãi PPTP chøa c¸c gãi liệu IP Gói liệu IP đ-ợc đóng gói tiêu đề GRE (Generic Routing Encapsulating), sử Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 42 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS TrÇn Xuân Tr-ờng dụng số ID host cho điều khiển truy nhập, ACK cho giám sát tốc độ truyền liệu đ-ờng hầm Bởi PPTP hoạt động lớp liên kết liệu, nên cần phải có tiêu ®Ĩ cđa m«i tr-êng trun gãi ®Ĩ cho biÕt liệu truyền đ-ờng hầm theo ph-ơng thức Tuỳ theo kiến trúc hạ tầng ISP mà ph-ơng thức Ethernet, Frame-relay, hay kết nối PPP PPTP có chế điều khiển tốc độ nhằm giới hạn số l-ợng liệu truyền Cơ chế làm giảm tối thiểu kích th-ớc liệu phải truyền lại gói 3.1.1 3.1.1 Đ-ờng hÇm PPTP [3] PPTP cho phÐp ng-êi dïng cã thể tạo nhiều loại đ-ờng hầm khác Ng-ời dùng định điểm kết thúc đ-ờng hầm máy tính nh- máy tính có cài phần mềm Client PPTP, hay máy chủ ISP nh- máy họ có PPP mà PPTP tr-ờng hợp thứ hai máy chủ ISP phải hỗ trợ PPTP Các yếu tố hình thành nên hai loại đ-ờng hầm, đ-ờng hầm tự nguyện đ-ờng hầm bắt buộc 3.1.1.1 Đ-ờng hầm tự nguyện Đ-ờng hầm tự nguyện đ-ợc tạo theo yêu cầu ng-ời dùng với mục đích xác định Khi sử dụng đ-ờng hầm tự nguyện, ng-ời dùng mở đ-ờng hầm bảo mật thông qua Internet để truy nhập đến host giao thức TCP/IP bình th-ờng Đ-ờng hầm tự nguyện cung cấp tính riêng t- toàn vẹn liệu mạng Intranet truyền qua Internet 3.1.1.2 Đ-ờng hầm bắt buộc Đ-ờng hầm bắt buộc suốt với ng-ời dùng đầu cuối Điểm kết thúc đ-ờng hầm bắt buộc nằm máy chủ truy nhập từ xa Tất liệu truyền từ ng-ời dùng qua đ-ờng hầm PPTP thông qua RAS Bởi đ-ờng hầm bắt buộc định tr-ớc điểm kết thúc liệu ng-ời dùng qua đ-ờng hầm thông qua RAS nên điều khiển truy nhập tốt đ-ờng hầm tự nguyện Một -u điểm đ-ờng hầm bắt buộc tải nhiều kết nối Đặc tính làm giảm yêu cầu băng thông mạng cho ứng dụng đa phiên làm việc Tuy vậy, khuyết điểm đ-ờng hầm bắt buộc kết nối từ RAS đến ng-ời dùng nằm đ-ờng hầm nên dễ bị công 3.1.2 Sư dơng PPTP Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viªn thùc hiƯn: §inh C«ng §øc - Líp 46K1 - CNTT 43 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Đặc điểm chủ yếu PPTP cung cấp ph-ơng thức quay số truy cập bảo mật vào VPN MÃi Microsoft giới thiệu máy chủ định h-ớng truy cËp tõ xa RRAS (Routing and Remote Access Server) cho NT server 4.0 hỗ trợ kế nối Lan-to-Lan Đ-ờng hầm kết nối Lan-to-Lan diễn hai máy chđ PPTP gièng nh- IPSec dïng hai cỉng b¶o mËt để kết nối hai mạng Lan Tuy nhiên kiến trúc PPTP hệ thống quản lý khoá nên việc cấp quyền xác thực đ-ợc điều khiển CHAP Để tạo đ-ờng hầm hai site, máy chủ PPTP site đ-ợc xác thực máy chủ PPTP site Tóm lại: PPTP yêu cầu phải có: Một máy chủ truy cập mạng NAS phải ISP hỗ trợ Một máy chủ PPTP Client PPTP máy chủ PPTP cài đặt công ty nhóm ng-ời công ty quản lý Một máy chủ PPTP có hai vai trò là: Nó đóng vai trò điểm kết thúc đ-ờng hầm PPTP chuyển gói đến từ đ-ờng hầm đến mạng LAN (thông qua sử lý gói tin PPTP để có đ-ợc địa host đích) PPTP có khả lọc gói b»ng c¸ch sư dơng läc PPTP Läc PPTP cã thĨ cho phép máy chủ ngăn cấm hay cho phép truy cập vào internet, mạng cục hay hai Trong hệ thống Windows NT việc kết hợp lọc PPTP lọc IP cho phép tạo t-ờng lửa cho mạng Giao thức có cổng TCP/IP đ-ợc sử dụng để truyền liệu đi, cổng 1723 Sự khiếm khuyết cấu hình cổng làm cho t-ờng lửa dễ bị công Một máy PPTP Client đ-ợc cài phần mềm Client PPTP Nếu nh- thiết bị ISP đà hỗ trợ PPTP cần kết nối PPP đủ mà không cần phần cứng hay phần mềm hỗ trợ khác cho Client Nếu ISP không hỗ trợ PPTP Client Windows NT (hoặc phần mềm t-ớng tự) tạo kết nối bảo mật cách nh- sau: Đầu tiên quay số kết nối với ISP PPP, sau quay lần thông qua cổng PPTP ảo đ-ợc thiết lập Client Client PPTP có sắn Windows 9x Windows NT H·ng Network Telesystem cịng ®-a Client PPTP cho tất máy phổ biến Khi chọn client PPTP cần phải so sánh chức so với máy chủ PPTP đà có Không phải tất phần mềm client có hỗ trợ MS-CHAP Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Líp 46K1 - CNTT 44 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng thiếu công cụ tận dụng -u điểm mà hoá Microsoft RRAS Xác thực mà hoá PPTP Với công cụ PPTP Microsoft liệu đ-ợc mà hoá theo mà hoá điểm-điểm MPPE (Microsoft Point to Point Encryption), mà hoá gói PPP Client tr-ớc chuyển chúng vào đ-ờng hầm PPTP nên gói tin đ-ợc mà hoá xuyên suốt từ máy client đến máy chủ PPTP Việc thay đổi khoá luân phiên đuợc thoả thuận lại sau gói hay sau mét sè gãi M¸y chđ truy nhËp RAS (Remote Access Server) Kh«ng gièng nh- IPSec VPN, cã nhiỊu tr-êng hợp để thiết kế PPTP VPN tuỳ theo giao thức đ-ợc hỗ trợ ISP Việc hỗ trợ quan trọng tr-ờng hợp ng-ời dùng di động muốn sử dụng PPTP client nh-ng sẵn PPTP client Bởi ISP cung cấp dịch vụ PPTP mà không cần phải hỗ trợ PPTP từ máy chủ họ, điều mang lại -u điểm ng-ời dùng sử dụng dịch vụ nhiều ISP mô hình mạng họ rộng lớn mặt địa lý NAS có tên gọi khác máy chủ truy nhập từ xa hay tập trung truy nhập, cung cấp truy nhập đ-ờng dây dựa phần mềm có khả tính c-ớc, có khả chịu lỗi cao NAS đ-ợc thiết kế cho phÐp nhiỊu ng-êi dïng cã thĨ truy nhËp VPN thời điểm Nếu ISP cung cấp dịch vụ PPTP cần thiết kế NAS cho phép PPTP để hỗ trợ cho PPTP client chạy khác nh- windows, Unix, Trong tr-ờng hợp máy chủ ISP đóng vai trò nh- PPTP client kết nối với máy chủ PPTP mạng riêng Khả áp dụng thực tế PPTP giải pháp tạm thời, PPTP thích hỵp cho quay sè truy nhËp víi l-ỵng ng-êi dïng hạn chế Do bộc lộ rõ yếu điểm xây dựng kết nối LAN-to-LAN Khi sử dụng VPN PPTP mà có hỗ trợ thiết bị ISP quyền quản lý bị chia sẻ cho ISP, tính bảo mật PPTP không mạnh IPSec Vì lý mà thực tế nhà cung cấp có kế hoạch thay thÕ PPTP b»ng L2TP 3.2 Layer Tunneling Protocol ( L2TP ) Giao thức định đ-ờng hầm lớp L2TP đ-ợc phát triển IETF, kết hợp PPTP (của Microsoft) L2F (của Cisco) Nó đ-ợc định nghĩa Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT 45 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng RFCs 2661 3438 L2TP kết hợp đặc tính tốt PPTP L2F L2TP mang đặc tính PPTP L2F, nhiên L2TP định nghĩa riêng giao thức đ-ờng hầm dựa hoạt động L2F Điều cho phép L2TP hỗ trợ truyền thông tin qua nhiều môi tr-ờng khác nh- X25, Frame Relay, ATML2TP giao thức lớp nên cho phép giao thức điều khiển cách mềm dẻo không lµ IP mµ cã thĨ lµ IPX, NETBEUI Gièng nh- PPTP, L2TP có chế xác thực PAP, CHAP hay RADIUS Những thành phần L2TP gồm có giao thức điểm-điểm, đ-ờng hầm hệ thống xác thực Tuy nhiên để tăng c-ờng tính bảo mật L2TP sử dụng khoá bảo mật giống nh- IPSec 3.2.1 PPP L2TP L2TP dựa PPP để tạo kết nối quay số Client máy chủ truy cập mạng (NAS) L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực đầu tiên, tạo gói liệu PPP đóng kết nối kết thúc phiên làm việc Sau PPP tạo kết nối xong, L2TP xác định NAS có chấp nhận ng-ời dùng hay không sẵn sàng đóng vai trò làm điểm kết thúc đ-ờng hầm cho ng-ời sử dụng Sau đ-ờng hầm đ-ợc tạo L2TP sử dơng giao thøc ®ãng gãi PPP ®Ĩ ®ãng gãi (encapsulation) liệu để truyền lên môi tr-ờng mà ISP đà sử dụng L2TP tạo đ-ờng hầm NAS ISP máy chủ mạng Client, gán nhiều phiên làm việc cho đ-ờng hầm L2TP tạo số để xác định gọi (call ID) cho phiên làm việc chèn vào tiêu đề L2TP gói để thuộc phiên làm việc Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công §øc - Líp 46K1 - CNTT 46 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Mỏy ch L2TP Concentrator Bộ tập trung truy nhập L2TP ISP ` INTERNET Máy khách Tiêu đề khung PPP Tiêu đề môi trương phân phổi IP,IPX,X.25 Tiêu đề IP Gói tải PPP IP, IPX gói liệu Netbeui ` Khung Ethernet Hình 3.3: Các giao thức sử dụng kết nối L2TP L2TP tạo nhiều đ-ờng hầm NAS ISP máy chủ mạng Client, việc gán phiên làm việc ng-ời dùng vào đ-ờng hầm thay ghép nhiều phiên làm việc vào đuờng hầm Sự cho phép gán ng-ời dùng khác vào môi tr-ờng đ-ờng hầm khác thuộc vào chất l-ợng dịch vụ thoả thn víi ng-êi dïng Gièng nh- PPTP, L2TP cịng cã hai loại gói tin, gói điều khiển gói tin liệu, điều khác biệt L2TP truyền hai loại gói tin luồng Nếu đ-ờng hầm đ-ợc dùng truyền qua mạng IP hai loại gói tin đ-ợc đóng gói tiêu ®Ị UDP Gãi tin ®iỊu khiĨn L2TP cã nhiƯm vơ điều khiển việc thiết lập, quản lý, giải phóng phiên làm việc đ-ờng hầm Do L2TP làm việc lớp nên gói tin liệu L2TP bao gồm tiêu đề môi tr-ờng để đ-ờng hầm làm việc môi tr-ờng Tuỳ theo ISP mà môi tr-ờng truyền X25, ATM, Frame Relay hay kÕt nèi PPP Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viªn thùc hiện: Đinh Công Đức - Lớp 46K1 - CNTT 47 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng úng gói PPP Đóng gói L2TP Đóng gói IPSec Đóng gói IP Đóng gói lớp liên kết liệu H×nh 3.4: Quá trình đóng gói liệu đ-ờng hầm L2TP Mã hố ESP H×nh 3.5: CÊu tróc cđa gói tin điều khiển môi tr-ờng IP Mó hố bới ESP H×nh 3.6: CÊu tróc cđa mét gãi tin liệu môi tr-ờng IP Intranet ca ISP Người dùng từ xa Đường hầm L2TP Kết nối PPP Hình 3.7: Điều khiển luồng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 48 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng L2TP giúp làm giảm tắc nghẽn chế ®iỊu khiĨn lng (flow control) gi÷a NAS (L2TP-LAC: L2TP Access Concentrator) máy chủ mạng riêng (LNS L2TP Network Server) Bản tin điều khiển luồng cho biết tốc độ truyền liệu, dung l-ợng đệm để điều khiển luồng, tránh tình trạng tràn đệm hay tốc độ nhận gửi liệu chênh lệch dẫn đến tình trạng tắc nghẽn 3.2.2 Đ-ờng hầm L2TP Giống nh- PPTP, giao thức đ-ờng hầm L2TP xây dựng hai loại đ-ờng hầm: Đ-ờng hầm tự nguyện (L2TP Voluntary Tunnel Mode) đ-ờng hầm bắt buộc (L2TP Compulsory Tunnel Mode) 3.2.2.1 Đ-ờng hầm tự nguyện Đ-ờng hầm tự nguyện đ-ợc tạo theo yêu cầu ng-ời sử dụng Lúc ng-ời sử dụng đ-ợc xem nh- LAC (L2TP Access Concentrator) ISP gần nh- vai trò việc thiết lập đ-ợc hầm tự nguyện Cơ sở hạ tầng ISP lúc suốt với giao tiếp đầu cuối Khi sử dụng loại đ-ờng hầm máy tính ng-ời dùng server mạng riêng điểm đầu cuối ®-êng hÇm Intranet ISP Người dùng từ xa Đường hm L2TP Kt nụi PPP Hình 3.8: Đ-ờng hầm tự nguyện Lợi ích lớn việc sử dụng đ-ờng hầm tự nguyện cho phép ng-ời dùng truy cập internet, đồng thời mở nhiều phiên kết nối VPN lúc Lúc ng-ời dùng đ-ợc gán nhiều địa IP khác Trong ®ã cã mét IP dïng ®Ĩ phơc vơ cho kết nối PPP tới ISP, IP lại dùng để phục vụ riêng cho đ-ờng hầm L2TP Tuy vậy, đ-ờng hầm tự nguyện phức tạp với ng-êi sư dơng nã Hä ph¶i thiÕt lËp mét L2TP client cho lần kết nối phần mềm Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Líp 46K1 - CNTT 49 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng client (Soft Client) Một bất lợi sử dụng đ-ờng hầm tự nguyện ng-ời dùng trở thành mục tiêu kẻ công, đà chiếm quyền điều khiển máy tính ng-ời sử dụng kẻ công thực việc mà có ng-ời sử dụng hợp lệ làm đ-ợc Ngi dựng t xa Intranet ISP Yêu cầu kết nối Yêu cầu kết nối Đồng ý hày từ chôi kết nối Khung L 2TP Lột bỏ thông tin Tunnel Xác thực người dùng Khung ti Node ớch Hình 3.9: Quá trình thiết lập đ-ờng hầm tự nguyện Đầu tiên LAC (trong tr-ờng hợp ng-ời dùng từ xa) phát yêu cầu thiết lập đ-ờng hầm tới LNS (L2TP Network Server) Nếu yêu cầu thiết lập đuờng hầm đ-ợc đồng ý LNS, LAC tạo đ-ờng hầm theo chuẩn L2TP đóng gói khung PPP chuyển qua đ-ờng hầm LNS đồng ý khung đóng gói đ-ờng hầm lột bỏ thông tin đ-ờng hầm xử lý khung Cuối cùng, LNS xác thực ng-ời dùng ng-ời dùng hợp lệ chuyển tiếp khung tới node đích mạng Intranet 3.2.2.2 Đ-ờng hầm bắt buộc Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Líp 46K1 - CNTT 50 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Đ-ờng hầm bắt buộc đ-ợc tạo không thông qua ng-ời dùng nên suốt với ng-ời dùng đầu cuối Đ-ờng hầm bắt buộc đ-ợc khởi tạo từ LAC ISP kết thúc LNS mạng riêng Lúc ISP phải hỗ trợ L2TP Trong việc thiết lập đ-ờng hầm bắt buộc ISP đóng vai trò quan trọng Intranet ISP Người dùng từ xa Đường hầm L2TP H×nh 3.10: Đ-ờng hầm L2TP bắt buộc Trong tr-ờng hợp ng-ời dùng cuối (end user) thực thể bị động, vai trò việc thiết lập đ-ờng hầm Đ-ờng hầm L2TP tự nguyện lựa chọn tốt cho yêu cầu bảo mật Bởi kết nối dial-up ng-ời dùng cuối đ-ợc dùng để thiết lập kết nối PPP tới ISP Kết ng-ời dùng truy nhËp internet nÕu kh«ng qua gate-way cđa intranet cđa c«ng ty Điều tạo điều kiện thuận lợi cho quản trị mạng thực thi chế bảo mật nghiêm ngặt, điều khiển luồng, quản lý tài khoản ng-ời dùng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: §inh C«ng §øc - Líp 46K1 - CNTT 51 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Kt ni PPP User từ xa Yêu cầu kết nối Yêu cầu xác thực Thiết lập kết nối Khởi tạo đường hầm L2TP Đã thiết lập đường hầm Frames qua đường hầm L2TP Xác thực User từ xa Frames tới Node đích Hình 3.11: Quá trình thiết lập đ-ờng hầm L2TP bắt buộc Ng-ời dùng từ xa yêu cầu kết nối PPP tới NAS ISP NAS xác thực ng-ời dùng Tiến trình xác thực diễn nhsau: NAS kiểm tra sở liệu xem có ID ng-ời dùng không, có t-ơng ứng với điểm LNS cuối đ-ờng hầm Nếu NAS rỗi đồng ý yêu cầu kết nối, liên kết PPP đ-ợc khởi tạo ISP ng-ời dùng từ xa LAC khởi tạo đ-ờng hầm L2TP tới LNS mạng riêng máy đích Nếu LNS đồng ý kết nối khung PPP phải đ-a vào trình đóng gói đ-ờng hầm L2TP Sau khung đ-ợc chuyển tiếp qua đ-ờng hầm L2TP đến LNS LNS tiếp nhận khung lột bỏ để đ-a khung PPP gốc nh- lúc đầu Cuối cùng, LNS xác thực ng-ời dùng nhận liệu ng-ời dùng hợp lệ Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 52 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Một -u điểm đ-ờng hầm bắt buộc tải nhiều kết nối Đặc tính làm giảm yêu cầu băng thông mạng cho ứng dụng đa phiên làm việc Tuy có nh-ợc ®iĨm lµ kÕt nèi tõ LAC tíi ng-êi dïng n»m đ-ờng hầm nên dễ bị công 3.3 Xác thực mà hoá L2TP Việc xác thực ng-ời dùng diễn giai đoạn: Giai đoạn đầu diễn ISP, giai đoạn giai đoạn (tuỳ chọn) diễn máy chủ mạng riêng Trong giai đoạn đầu, ISP sử dụng số điện thoại ng-ời dùng tên ng-ời dùng để xác định dịch vụ L2TP đ-ợc yêu cầu khởi tạo kết nối đ-ờng hầm đến máy chủ mạng riêng Khi đ-ờng hầm đ-ợc thiết lập, LAC ISP định số nhận dạng gọi (Call ID) để định danh cho kết nối đ-ờng hầm khởi tạo phiên làm việc đ-ờng hầm cách chuyển thông tin xác thực đến máy chủ mạng riêng Máy chủ mạng riêng tiến hành giai đoạn thứ định chấp nhận hay từ chối yêu cầu dựa vào thông tin PAP, hay CHAP Nếu đ-ợc chấp nhận máy chủ có thể tiến hành giai đoạn việc xác thực lớp PPP Giai đoạn t-ơng tự nh- việc máy chủ xác thực ng-ời dùng quay số truy nhập thẳng vào máy chủ Mặc dù giai đoạn cho phép ng-ời dùng, ISP máy chủ mạng riêng xác định đ-ợc tính xác gọi nh-ng ch-a bảo mật liệu tránh bị can thiệp sửa đổi Do đó, chế xác thực giống nh- thuộc tính bảo mật CHAP nghĩa đơn giản cho kẻ công xen vào chiếm đ-ờng hầm tính xác thực đ-ờng hầm vừa hoàn tất Đ-ờng hầm kết nối LAN-LAN Mặc dù chức L2TP cho quay số truy nhËp VPN b»ng c¸ch sư dơng PPP client, nh-ng nã thích hợp cho kết nối LAN-toLAN VPN Đ-ờng hầm kết nối LAN-to-LAN đ-ợc thiết lập hai máy chủ L2TP với điều kiện máy chủ phải đ-ợc kết nối với ISP để khởi tạo phiên làm việc PPP Thiết kế thích hợp cho mạng LAN văn phòng chi nhánh kết nối với văn phòng công ty Kết nối Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 53 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng kết nối động Hai bên đóng vai trò vừa LAC LNS, khởi tạo kết thúc đ-ờng hầm có nhu cầu 3.4 Sử dụng L2TP Chức L2TP cho quay số truy nhập VPN thông qua internet nên thành phần L2TP t-ơng tự nh- PPTP Thành phần quan trọng L2TP định nghĩa điểm kết thúc đ-ờng hầm L2TP, LAC LNS Những điểm nằm thiết bị ISP nên phần mềm cho ng-ời dùng di động nhiều không cần thiết Mặc dù LNS cài đặt công ty đ-ợc điều hành nhóm ng-ời công ty, nh-ng LAC nên nhờ hỗ trợ cđa ISP Tuy nhiªn, nÕu ngi dïng tõ xa cã cài đặt client L2TP ISP không cần hỗ trợ thêm L2TP Tại mạng riêng, máy chủ L2TP đóng vai trò nh- cổng kết nối bảo mật (Gateway), nối kÕt x¸c thùc víi RADIUS hay c¸c miỊn WindowsNT Client L2TP máy tính xách tay ng-ời dùng thực thi chức giống nh- phần mềm client IPSec Mét m¸y chđ sư dơng L2TP cã hai chức điểm kết thúc đ-ờng hầm chuyển liệu d-ới dạng gói đến mạng LAN, hay đến máy đích dựa vào địa mạng máy đích thông qua trình xử lý gói tin Nếu so sánh với giao thức PPTP L2TP có nh-ợc điểm khả lọc gói, nh-ng tích hợp máy chủ mạng t-ờng lửa L2TP lại có nhiều -u điểm PPTP Tr-ớc hết, L2TP không đòi hỏi cổng nhÊt g¸n cho t-êng lưa gièng nh- PPTP (cỉng mặc định cho L2TP 1701) Ch-ơng trình quản lý khoá chọn cổng khác để gán cho t-ờng lửa điều hạn chế việc bẻ khoá Thứ hai luồng liệu thông tin điều khiển đ-ợc truyền UDP, việc thiết lập t-ờng lửa dễ dàng Do có số t-ờng lửa không hỗ trợ GRE nên chúng t-ơng thích L2TP PPTP Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 54 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an GVHD: ThS Trần Xuân Tr-ờng Mỏy ch RADIUS Trụ sở Máy chủ Proxy RADIUS ISP ` ` INTERNET ` Máy chủ mạng L2TP Bộ tập trung truy nhập L2TP ISP Người dùng H×nh 3.13: Quay số L2TP VPN Hình vẽ đề cập ®Õn viƯc trao ®ỉi d÷ liƯu gi÷a hai ®iĨm ci, không quan tâm đến thông tin mạng đ-ợc bảo mật nh- Công ty sử dụng dịch vụ VPN có hỗ trợ ISP Có nghĩa ISP cung cấp kết nối Internet cho công ty có máy chủ Proxy RADIUS LAC, công ty trì máy chủ RADIUS LNS Do ISP có hỗ trợ L2TP nên ng-ời dùng xa không cần cài Client L2TP Khả ứng dụng thực tế L2TP L2TP lµ mét giao thøc quay sè truy nhËp míi VPN Nó phối hợp đặc điểm tốt cđa PPTP vµ L2F Giao thøc nµy chđ u dïng mạng IP nh-ng hoạt động tốt mạng khác nh- Frame Relay, ATM L2TP cho phép số l-ợng ng-ời dùng từ xa truy nhập vào VPN hay cho kết nối LAN-to-LAN có dung l-ợng lớn Ngoài ra, L2TP có chế điểu khiển luồng làm giảm tắc nghẽn đ-ờng hầm L2TP L2TP cho phép thiết lập nhiều đ-ờng hầm với LAC LNS Mỗi đ-ờng hầm đ-ợc gán cho ng-ời dùng xác định, hay nhóm ng-ời dùng gán cho môi tr-ờng khác tuỳ thuộc chất l-ợng dịch vụ QoS ng-ời dùng Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn Sinh viên thực hiện: Đinh Công Đức - Lớp 46K1 - CNTT 55 C.33.44.55.54.78.65.5.43.22.2.4 22.Tai lieu Luan 66.55.77.99 van Luan an.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.C.33.44.55.54.78.655.43.22.2.4.55.22 Do an.Tai lieu Luan van Luan an Do an.Tai lieu Luan van Luan an Do an Stt.010.Mssv.BKD002ac.email.ninhd 77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77.77.99.44.45.67.22.55.77.C.37.99.44.45.67.22.55.77t@edu.gmail.com.vn.bkc19134.hmu.edu.vn.Stt.010.Mssv.BKD002ac.email.ninhddtt@edu.gmail.com.vn.bkc19134.hmu.edu.vn