Hệ thống mạng vpn truy cập từ xa

Bộ định tuyến tại tổ chức hoạtđộng nh một máy phục vụ VPN, phải đợc kết nối tới ISP địa phơng sử dụng liênkết WAN chuyên dụng.Đế có nhiều thông tin hơn về cấu hình các kết nối VPN kết nố

Trang 1

1 Khái quát về mạng riêng ảo 7

1.1 Thành phần của kết nối VPN 8

1.1.1 Máy phục vụ VPN 8

1.1.2 Máy khách VPN 8

1.1.3 Đờng hầm 9

1.1.4 Kết nối VPN 9

1.1.5 Các giao thức tuyến truyền 9

1.1.6 Tunneled data 9

1.1.7 Truyền liên mạng 9

1.2 Các kết nối VPN 10

1.2.1 Kết nối VPN truy cập từ xa 10

1.2.2 Kết nối VPN theo kiểu Router-to-Router 10

1.3 Các tính chất của mạng riêng ảo 10

1.3.1 Đóng gói 11

1.3.2 Xác thực 11

1.3.3 Mã hoá dữ liệu 11

1.3.4 Phân phối địa chỉ và tên máy phục vụ 11

1.4 Các kết nối dựa trên Internet và Intranet 12

1.4.1 Các kết nối VPN trên vào Internet 13

1.4.2 Truy cập từ xa dựa trên Internet 13

1.4.3 Kết nối đến các mạng thông qua Internet 13

1.4.4 Connecting Networks Using Dedicated WAN Links 14

1.4.5 Kết nối đến các mạng sử dụng các liên kết Dial-Up 14

1.4.6 Các kết nối VPN dựa vào intranet 15

1.4.7 Truy cập từ xa qua mạng nội bộ 15

1.4.8 Kết nối các mạng qua Intranet 16

1.5 Quản lý mạng riêng ảo 16

1.5.1 Quản lý ngời sử dụng 17

1.5.2 Quản lý địa chỉ và tên của VPN server 17

1.5.3 Quản lý truy cập 17

1.5.4 Quản lý xác thực 18

1.5.5 Xác thực của RADIUS 18

1.5.6 Quản lý tài account 19

1.5.7 Quản lý mạng 19

2 Giao thức Point-to-Point Tunneling Protocol - PPTP 20

2.1 Duy trì các tuyến truyền với kết nối điều khiển PPTP 21

2.2 PPTP Data Tunneling 23

2.2.1 Đóng gói PPP frame 23

2.2.2 Đóng gói các gói tin GRE 24

2.2.3 Đóng gói ở tầng Data-Link 24

2.2.4 Xử lý dữ liệu của PPTP đợc truyền theo các tuyến 24

Các gói tin PPTP và kiến trúc mạng Windows 2000 24

3 Bảo mật VPN 27

3.1 Sự xác nhận ngời sử dụng với PPP 27

3.2 Mã hoá với MPPE 27

3.3 Lọc gói tin PPTP 28

4 Địa chỉ và định tuyến cho các kết nối VPN 29

4.1 Các kết nối VPN truy cập từ xa 29

4.1.1 Các địa chỉ IP và quay số máy khách VPN 29

4.1.2 Các tuyến truyền mặc định và các Dial-up Client 30

4.1.3 Các tuyến truyền ngầm định và các VPNs thông qua Internet 32

4.1.4 Địa chỉ chung 33

Trang 2

4.2 Các kết nối VPN từ Router đến Router VPN 35

4.2.1 Mạng riêng ảo dựa vào Router-to-Router tạm thời và lâu dài 35

4.2.2 Các kết nối VPNs sử dụng Dial-Up ISP 36

4.2.3 Cấu hình kết nối VPN yêu cầu tại bộ định tuyến của chi nhánh văn phòng 36

4.2.4 Cấu hình corporate office router 37

4.2.5 Định tuyến tĩnh và động 39

5 Khái quát về truyền theo tuyến 40

5.1 Giao thức Tunneling 40

5.1.1 Cách làm việc của Tunneling 40

5.1.2 Giao thức Tunneling và yêu cầu cơ bản 40

5.2 Giao thức Point-to-Point (PPP) 42

5.2.1 Tạo liên kết PPP 42

5.2.2 Xác nhận ngời sử dụng 42

5.2.3 Điều khiển PPP Callback 43

5.2.4 Triệu gọi giao thức tầng Mạng (Network Layer Protocols) 43

5.2.5 Pha truyền dữ liệu 43

5.3 Giao thức Point-to-Point Tunneling (PPTP) 44

5.4 Giao thức Tunneling lớp thứ 2 44

5.5 Mô hình đờng ống sử dụng giao thức bảo mật IP (IPSec) 45

5.6 Kiểu tuyến truyền (Tunnel) 45

5.6.1 Tuyến truyền tự nguyện 45

5.6.2 Tuyến truyền bắt buộc 46

6 Mạng riêng ảo và Firewalls 47

6.1 Cấu hình VPN Server and Firewall 47

6.1.1 VPN Server ở phía trớc Firewall 47

6.1.2 Lọc gói tin trong PPTP 48

6.1.3 VPN Server nằm sau Firewall 49

6.1.4 Cáo bộ lọc PPTP 50

7 Giải đáp những thắc mắc về VPNs 52

7.1 Những vấn đề thông thờng của mạng riêng ảo 52

7.1.1 Một yêu cầu kết nối bị từ chối mà đáng ra nó phải đợc chấp nhận 52

7.1.2 Không thể truy cập đến các vùng ngoài tầm của VPN server 54

7.1.3 Không thể thiết lập một tuyến truyền 54

7.2 Các công cụ sửa lỗi 55

7.2.1 Những lý do không biết rõ 55

7.2.2 Giám sát mạng 56

7.2.3 Ghi lại thông tin và dò tìm trong PPP 56

Phần 2 hệ thống Mạng VPN truy cập từ xa 57

8 Giới thiệu 57

9 Các thành phần của mạng VPN truy cập từ xa 60

9.1 VPN client 60

9.1.1 Trình quản lý kết nối 61

9.1.2 Đăng nhập một lần 63

9.1.3 Những điều cần lu ý khi cấu hình một VPN client 64

9.2 Cơ sở hạ tầng mạng Internet 64

9.2.1 Tên của VPN server 65

9.2.2 Khả năng kết nối đến VPN server 65

9.2.3 Các VPN server và cấu hình firewall 66

9.3 Các giao thức xác thực 66

Trang 3

9.4.1 Point-to-Point Tunneling Protocol 68

9.4.2 Layer Two Tunneling Protocol with IPSec 68

9.4.3 Lựa chọn giữa PPTP và L2TP 68

9.5 VPN Server 70

9.5.1 Cấu hình cho VPN Server 70

9.6 Hạ tầng mạng Intranet 72

9.6.1 Chuyển đổi tên 72

9.6.2 Chuyển đổi tên để truy cập đến các tài nguyên 73

9.7 Routing 74

9.7.1 Đinh tuyến và các VPN server đa năng 76

9.7.2 Hạ tầng dịch vụ định tuyến 77

9.8 Hạ tầng dịch vụ AAA 78

9.8.1 Các chính sách truy cập từ xa 80

9.8.2 Ngăn chặn truyền thông phát đi từ VPN client 80

9.8.3 Một số điều cần lu ý đối với hạ tầng dịch vụ AAA 82

10 Triển khai hệ thống truy cập từ xa PPTP 83

10.1 Triển khai hạ tầng dịch vụ thẻ chứng nhận 83

10.1.1 Triển khai các thẻ chứng nhận máy 83

10.1.2 Triển khai hệ thống smart card 84

10.1.3 Triển khai các thẻ chứng nhận ngời sử dụng 84

10.2 Triển khai hạ tầng dịch vụ Internet 85

10.2.1 Đặt các VPN server vào hệ thống mạng bao quát của Internet 85

10.2.2 Cài đặt Windows 2000 Server trên các VPN server và cấu hình kết nối Internet 85

10.2.3 Bổ sung các bản ghi vào Internet DNS 86

10.3 Triển khai hạ tầng dịch vụ AAA 86

10.3.1 Cấu hình dịch vụ Active Directory cho các account ngời sử dụng hay các nhóm làm việc 86 10.3.2 Cấu hình IAS server chính trên một trình điều khiển domain 87

10.3.3 Cấu hình một IAS server thữ cấp trên một trình điều khiển domain khác 87

10.4 Triển khai các VPN Server 88

10.4.1 Cấu hình kết nối của VPN server với mạng nội bộ 88

10.4.2 Chạy trình Routing and Remote Access Server Setup Wizard 88

10.5 Hạ tầng mạng Intranet 89

10.5.1 Cấu hình cho việc định tuyến của VPN server 89

10.5.2 Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào mạng nội bộ của tổ chức không 90

10.5.3 Cấu hình việc định tuyến cho nhóm các địa chỉ nằm ngoài dải của subnet 90

10.6 Triển khai các VPN Client 90

10.6.1 Trực tiếp cấu hình các VPN client 90

10.6.2 Cấu hình các gói tin CM với trình CMAK 90

11 Triển khai hệ thống truy cập từ xa L2TP 91

11.1 Triển khai hạ tầng dịch vụ thẻ chứng nhận 91

11.1.1 Triển khai các thẻ chứng nhận máy 91

11.1.2 Triển khai hệ thống smart card 92

11.1.3 Triển khai các thẻ chứng nhận ngời sử dụng 92

11.2 Triển khai hạ tầng dịch vụ Internet 93

11.2.1 Đặt các VPN server vào hệ thống mạng bao quát của Internet 93

11.2.2 Cài đặt Windows 2000 Server trên VPN server và cấu hình các kết nối Internet 93

11.2.3 Bổ sung các bản ghi vào Internet DNS 94

11.3 Triển khai hạ tầng dịch vụ AAA 94

11.3.1 Cấu hình dịch vụ Active Directory cho các account ngời sử dụng hay các nhóm làm việc 94 11.3.2 Cấu hình IAS server chính trên một trình điều khiển domain 95

11.3.3 Cấu hình một IAS server thữ cấp trên một trình điều khiển domain khác 95

11.4 Triển khai các VPN Server 96

11.4.1 Cấu hình kết nối của VPN server với mạng nội bộ 96

11.4.2 Chạy trình Routing and Remote Access Server Setup Wizard 96

Trang 4

11.5.1 Cấu hình cho việc định tuyến của VPN server 98

11.5.2 Kiểm tra việc chuyển đổi tên VPN server và xem VPN server có thể kết nối vào mạng nội bộ của tổ chức không 98

11.5.3 Cấu hình việc định tuyến cho nhóm các địa chỉ nằm ngoài dải của subnet 98

11.6 Triển khai các VPN Client 98

11.6.1 Trực tiếp cấu hình các VPN client 98

11.6.2 Cấu hình các gói tin CM với trình CMAK 99

Tài liệu tham khảo 100

Các giải pháp cho công nghệ VPN trên

Windows 2000

Trang 5

Hình 1 : Minh hoạ khái niệm logic của mạng riêng ảo.

1 Khái quát về mạng riêng ảo

Một mạng riêng ảo (VPN) là một sự mở rộng của mạng riêng mà bao gồm cácliên kết qua việc chia sẻ hoặc mạng công cộng nh Internet Với một VPN bạn cóthể gửi dữ liệu giữa hai máy tính qua chia sẻ tài nguyên hoặc Internet công cộngtheo một kiểu cạnh tranh với các tính năng của liên kết riêng điểm nối điểm.Việc cấu hình và tạo ra mạng riêng ảo đợc xem nh là mạng riêng ảo

Để cạnh tranh với liên kết điểm nối điểm, dữ liệu đợc đóng gói, với một phầnheader cung cấp thông tin về tuyến đoạn cho phép nó đi qua các chia sẻ tàinguyên hoặc mạng internet công cộng để tới đích Để cạnh tranh với liên kếtriêng, dữ liệu gửi đi đợc mã hoá cẩn mật Các gói mà bị chặn chia sẻ hoặcmạng chung không thể đọc đợc không có các khoá đã mã hoá Liên kết ở đó dữliệu riêng đợc đóg gói và mã hoá đợc xem nh là một kết nối mạng riêng ảo

Các kết nối VPN cho phép ngời sử dụng có thể làm việc tại nhà hoặc trên đờngnếu nhận đợc một kết nối từ xa tới một máy phục vụ sử dụng cơ sở hạ tầng đ ợccung cấp bởi mạng công cộng nh là Internet Từ viễn cảnh của ngời sử dụng,VPN là một kết ố điểm với điểm giữa máy tính, Máy khách VPN, máy phục vụ tổchức, và máy phục vụ VPN Cơ sở hạ tầng đúng đắn của việc chia sẻ hoặcmạng công cộng là không thích hợp bởi vì nó xuất hiện hợp lý nh là dữ liệu đợcgửi qua một liên kết riêng chuyên dụng

Trang 6

Các kết nối VPN cũng cho phép các tổ chức định tuyến kết nối với các vănphòng xa nhau hoặc với các tổ chức khác qua mạng công cộng nh là intenethoạt động nh một liên kết WAN chuyên dụng.

Với cả hai kết nối từ xa và kết nối đã đợc xác định, các kết nối VPN cho phépmột tổ chức hoạt động thơng mại trong một khoảng cách xa hoặc các đờngleased line tới các nhà cung cấp dịch vụ Internet

1.1 Thành phần của kết nối VPN

Một kết nối VPN Windows NT 4.0 bao gồm các thành phần đợc minh hoạ tronghình 2

1.1.1 Máy phục vụ VPN

Một máy tính mà chấp nhận các kết nối VPN từ các máy khách VPN Một máyphục vụ VPN có thể cung cấp một kết nối VPN truy cập từ xa hoặc kết nối VPN

từ tuyến đoạn này tới tuyến đoạn khác Để có nhiều thồng tin hơn xem phầnCác kết nối VPN

1.1.2 Máy khách VPN

Một máy tính khời đầu một kết nối VPN từ một máy phục vụ Một máy kháchVPN có thể nhận đợc một kết nối VPN từ xa hoặc một tuyến đoạn mà nhận từkết nối VPN router-to-router Các máy tính cài đặt Microsoftđ Windows NTversion 4.0, Microsoftđ Windows 95, và Microsoftđ Windowsđ 98 đều có thể tạocác kết nối VPN từ xa tới một máy phục vụ VPN NT Windows NT Server 4.0-based computers running the Routing and Remote Access Service (RRAS) cóthể tạo các kết nối VPN router-to-router tới một máy Windows NT 4.0 vơí mộtmáy phục vụ VPN dựa vào dịch vụ RAS Các máy khách VPN cũng có thể làbất kỳ máy khách nào dựa vào giao thức đờng hầm điểm tới điểm

Chú ý Nó có thể tạo ra một đờng hầm và gửi dữ liệu qua đờng hầm mà không

cần mã hoá Đây không phải là kết nối VPN bởi vì dữ liệu riêng đợc gửi quamạng chia sẻ hoặc mạng công cộng trong một dạng không thể mã hoá và đọc

dễ dàng

Thiết bị mạng tempfile_57255.docx - 2/23/2024 6/80

Trang 7

Hình 2 Các thành phần của một kết nối VPN

1.1.5 Các giao thức tuyến truyền

Sử dụng để quản lý các tuyến truyền và dữ liệu riêng đợc đóng gói (Dữ liệu mà

đợc tuyến truyền hoá cũng phải đợc mã hoá thành kết nối VPN)

1.2.1 Kết nối VPN truy cập từ xa

Kết nối VPN truy cập từ xa đợc thực hiện bởi một máy khách truy cập từ xa, mộtmáy tính đơn, và kết nối tới mạng riêng Máy phục vụ VPN cung cấp truy cập tớicác tài nguyên của máy phục vụ VPN hoặc tới toàn bộ mạng mà máy phục vụ ở

đó Các gói đợc gửi từ máy khách từ xa qua kết nối VPN nguyên thuỷ tại cácmáy khách từ xa

Máy khách truy cập từ xa ( máy khách VPN ) xác nhận chính nó máy phục vụtruy cập từ xa ( máy phục vụ VPN ) và sự xác nhận qua lại , máy phục vụ tự xácnhận tới máy khách

1.2.2 Kết nối VPN theo kiểu Router-to-Router

Một kết nối VPN dựa vào router-to-router đợc thực hiện bởi một bộ định tuyến

và kết nối hai phần của mạng riêng Máy phục vụ VPN cung cấp kết nối địnhtuyến tới mạng mà máy phục vụ VPN ở đó Trên kết nối VPN dựa vào router-to-router, các gói gửi từ bộ định tuyến qua kết nối VPN đặc biệt không bắt đầu từcác bộ định tuyến

Bộ định tuyến gọi (máy khách VPN) tự xác nhận tới các bộ định tuyến trả lời(máy phục vụ VPN), và xác nhận qua lại lẫn nhau, bộ định tuyến trả lời xácnhận chính nó tới bộ định tuyến gọi

1.3 Các tính chất của mạng riêng ảo

Kết nối VPN sử dụng PPTP có các tính chất sau :

Trang 8

1.3.3 M hoá dữ liệu ã

Để đảm bảo sự an toàn của dữ liệu khi nó truyền qua liên mạng chia sẻ hoặccông cộng, nó đợc mã hoá bởi các bộ gửi và giải mã bởi các bộ nhận Quá trìnhmã hoá và giải mã phụ thuộc vào cả hai bộ gửi và bộ nhận và đều biết khoá mãchung

Các gói bị chặn đợc gửi qua kết nối VPN trong lu thông liên mạng không thểhiểu đợc bởi bất cứ ai mà không có khoá mã chung Độ dài của khoá mã là mộttham số bảo mật quan trọng Công nghệ tính toán có thể đợc sử dụng để xácnhận khoá chung Nh các công nghệ yêu cầu nhiều khả năng tính toán và thờigian tính toán khi các khoá mã trở nmên lớn hơn Bởi vậy, rất quan trọng khi sửdụng kích thớc lớn nhất có thể đợc của khoá

Hơn nữa, nhiều thônmg tin đợc mã hoá với cùng một khoá, sẽ dễ dàng giải mãcác dữ liệu đợc mã hoá Với một vài kỹ thuật mã hoá, ta có thể lựa chọn để cấuhình các khoá mã thông thờng đợc thay đổi trong khi kết nối

1.3.4 Phân phối địa chỉ và tên máy phục vụ

Khi một máy phục vụ VPN đợc cấu hình, nó tạo ra một giao diện ảo mà ở đó thểhiện tất cả các kết nối VPN đợc tạo ra Khi một máy khách VPN hoàn thành mộtkết nối VPN, một giao diện ảo đợc tạo ra trên máy khách VPN mà thể hiện mộtgiao diện kết nối tới máy phục vụ VPN Giao diện ảo trên máy khách VPN đ ợckết nối tới giao diện ảo trên máy phục vụ VPN, tạo ra kết nối VPN theo kiểupoint-to-point

Trang 9

Hình 3: Kết nối VPN kết nối một máy khách từ xa tới một mạng nội bộ riêng.

Các giao diện ảo trên máy khách VPN và máy phục vụ VPN phải đ ợc thiết khaibáo các địa chỉ IP Việc khai báo các địa chỉ đó đợc thực hiện bởi máy phục vụVPN Theo mặc định, máy phục vụ VPN chứa các địa chỉ IP cho chính nó vàcủa các máy khách VPN sử dụng Dynamic Host Configuration Protocol(DHCP) Bạ cũng có thể cấu hình một vùng các địa chỉ IP tĩnh

Sự phân phối tên server, sự phân phối của hệ thống tên miền (DNS) vàWindows Internet Name Service (WINS) servers, cũng xảy ra trong khi kết nốiVPN hoàn thánh các quá trình Máy khách VPN nhận đợc các địa cjỉ IP của hệthống tên miền và các server WINS từ các phục vụ VPN cho mạng nội bộ nơi

mà máy phục vụ VPN gắn vào

1.4 Các kết nối dựa trên Internet và Intranet

Các kết nối VPN có thể đợc sử dụng bất cứ khi nào một kết nối điểm tới điểmbảo mật là cần thiết để kết nối tới ngời sử dụng hoặc mạng Kết nối VPN điểnhình đồng thời dựa vào nền tảng của Internet và intranet

1.4.1 Các kết nối VPN trên vào Internet

Sử dụng một kết nối VPN dựa vào internet bạn có thể tránh các khoảng cách xa

và các cuộc trao đổi điện thoại theo kiểu 1-800 khi tận dụng các u điểm và khảnăng toàn cầu của internet

1.4.2 Truy cập từ xa dựa trên Internet

Hơn là một máy khách truy cập từ xa phải có một kết nối dài hoặc các cuộc gọitheo kiểu 1-800 tới tổ chức hoặc máy phục vụ truy cập outsource network(NAS), máy khách có thể gọi tới một nhà cung cấp dịch vụ internet địa phơng.Bằng cách sử dụng kết nối vật lý đã đợc xác lập bởi ISP địa phơng, máy kháchtruy cập từ xa bắt đầu một kết nối VPN qua Internet tới máy phục vụ VPN Kếtnối VPN đã đợc tạo ra, máy khách truy cập từ xa có thể truy cập tới các tàinguyên của mạng nội bộ riêng Hình 3 minh hoạ truy cập từ xa qua Internet

1.4.3 Kết nối đến các mạng thông qua Internet

Khi các mạng đợc kết nối qua Internet ( minh hoạ trong hình 4 ), một bộ địnhtuyến hớng các gói tin tới bộ định tuyến khác qua kết nối VPN Tới các bộ địnhtuyến, VPN thụ hiện nh một tầng liên kết dữ liệu

Trang 10

1.4.4 Connecting Networks Using Dedicated WAN Links

Hơn là việc sử dụng một liên kết WAN chuyên dụng ở khoảng cách xa đắt tiềngiữa các văn phòng, các bộ đinh tuyến đợc kết nối tới Internet sử dụng các liênkết WAN chuyên dụng tới ISP địa phơng Một kết nối VPN router-to-router đợcbắt đầu bởi bộ định tuyến khác qua Internet Tại một kết nối, các bộ định tuyến

có thể hớng trực tiếp hoặc giao thức định tuyến truyền qua lại lẫn nhau sử dụngkết nối VPN

1.4.5 Kết nối đến các mạng sử dụng các liên kết Dial-Up

Hơn là có một bộ định tuyến tại các chi nhánh để thực hiện các kết nối từkhoảng cách xa hoặc outsourced NAS, bộ đinh tuyến tại chi nhánh văn phònggọi tới ISP địa phơng Sử dụng các kết nối đã thiết lập tới ISP địa phơng, mộtkết nối VPN dựa vào router-to-router đợc bắt đầu tại bộ định tuyến ở các chinhánh tới bộ định tuyến tại tổ chức qua Internet Bộ định tuyến tại tổ chức hoạt

động nh một máy phục vụ VPN, phải đợc kết nối tới ISP địa phơng sử dụng liênkết WAN chuyên dụng

Đế có nhiều thông tin hơn về cấu hình các kết nối VPN kết nối quay số tới ISP

địa phơng hãy xem phần địa chỉ và định tuyến cho mạng riêng ảo ở phần sau

Có thể các văn phòng kết nối tới Internet sử dụng liên kết WAN theo kiểu quay

số Tuy nhiên, điều này chỉ klhả thi nếu các nhà cung cấp dịch vụ Internet cungcấp định tuyến yêu cầu quay số tới các khách hàng ISP gọi tới các bộ địnhtuyến khách hàng khi một gói IP đợc phân phát tới khách hàng Định tuyến yêucầu quay số tới các khách hàng không đợc cung cấp rộng rãi bới các nhà cungcấp dịch vụ

1.4.6 Các kết nối VPN dựa vào intranet

Kết nối VPN dựa vào mạng nội bộ tận dụng các u điểm của kết nối IP trong một

tổ chức mạng nội bộ

1.4.7 Truy cập từ xa qua mạng nội bộ

Trong một vài tổ chức mạng nội bộ, dữ liệu của một phòng, nh là một tại phòngnhân sự, dữ liệu quá quan trọng đến nỗi mà các vùng mạng của phòng không

đợc kết nối vật lý tới phần còn lại của tổ chức mạng nội bộ Trong khi điều nàybảo vệ dữ liệu của phòng, nó tạo ra các vấn đề truy cập thông tin cho những ng-

ời sử dụng không đợc kết nối vật lý tới vùng mạng riêng biệt

Các kết nối VPN cho phép các vùng mạng quan trọng của phòng đợc kết nốivật lý tới tổ chức mạng nội bộ nhng đợc tách ra bởi máy phục vụ VPN Máyphục vụ VPN không cung cấp một kết nối định tuyến trực tiếp giữa mạng nội bộ

và vùng mạng riêng biệt Những ngời sử dụng trên mạng nội bộ với sự cho phépThiết bị mạng tempfile_57255.docx - 2/23/2024 10/80

Trang 11

Hình 6 Một kết nối VPN hai mạng qua một mạng nội bộ

Các giải pháp cho công nghệ VPN trên Windows 2000

thích hợp có thể thực hiện một kết nối VPN truy cập từ xa với maý phục vụ VPN

và có thể nhận đợc truy cập tới các tài nguyên đợc bảo vệ của vùng mạng quantrọng Hơn nữa, tất cả các giao tiếp qua kết nối VPN đợc mã hoá với các dữ liệumột cách cẩn mật Với những ngời sử dụng mà không đợc phép thực hiện mộtkết nối VPN, vùng mạng riêng đợc ẩn với họ Hình 5 minh hoạ truy cập từ xaqua mạng nội bộ

1.4.8 Kết nối các mạng qua Intranet

Bạn cũng có thể kết nối hai mạng qua một mạng nội bộ sử dụng kết nôi VPNdựa vào router-to-router Loại kết nối VPN này có thể cần thiết, ví dụ, hai phòngtrong các vùng riêng biệt, dữ liệu của nó có độ nhạy cảm cao, phải giao tiếp vớinhau Cho ví dụ, phòng tài chính có thể cần giao tiếp với phòng nhân sự để trao

đổi thông tin về lơng

Phòng tài chính và phòng nhân sự đợc kết nối tới mạng nội bộ chung với cácmáy tính mà có thể hoạt động nh các máy khách VPN hoặc các máy phục vụVPN Một kết nối VPN đợc thiết lập, những ngời sử dụng máy tính trên cùng mộtmạng có thể trao đổi dữ liệu quan trọng qua mạng nội bộ chung Hình 6 Minhhoạ các mạng kết nối qua một mạng nội bộ

1.5 Quản lý mạng riêng ảo

Mạng riêng ảo phải đợc quản lý nh bất kỳ mạng nào khác, và các vấn đề bảomật VPN, đặc biệt với các kết nối VPN qua Internet, phải đ ợc đánh địa chỉ mộtcách cần thận Hãy xem xét các câu hỏi sau:

 Tài khoản dữ liệu ngời sử dụng đợc lu trữ ở đâu?

 Các địa chỉ đợc khai báo tới các máy khách VPN nh thế nào?

 Những ai đợc phép tạo kết nối VPN?

 Máy phục vụ VPN xác nhận nhận dạng ngời sử dụng gắn với kết nối VPN

nh thế nào?

 Máy phục vụ VPN ghi lại hoạt động của mạng riêng ảo nh thế nào?

 Máy phục vụ VPN có thể đợc quản lý bằng cách sử dụng các giao thức

và cơ sở hạ tầng của quản lý mạng theo chuẩn công nghiệp nh thế nào?

1.5.1 Quản lý ngời sử dụng

Bởi vì nó không thể cung cấp quyền quản trị để tách các tài khoản ngời sử dụngtrên các máy phục vụ riêng biệt với cùng một ngời sử dụng và cố gắng giữchúng thực hiện đồng thời, hầu hết các nhà quản trị thiết lập một cơ sở dữ liệucác tài khoản tai nơi điều khiển miền quan trọng (PDC) hoặc trên một phục vụngời sử dụng quay số xác nhận từ xa (RADIUS) Điều này cho phép máy phục

Trang 12

vụ VPN gửi quyền uỷ nhiệm xác nhận thiết bị xác nhận trung tâm Cùng một tàikhoản ngời sử dụng đợc dúng chom cả hai quay số truy cập từ xa và truy cập từ

xa theo kiểu VPN

1.5.2 Quản lý địa chỉ và tên của VPN server

Máy phục vụ VPN phải có các địa chỉ IP có khả năng để phân phối chúng tớigiao diện ảo của máy phục vụ VPN và các máy khách VPN trong khi giao thức

điều khiển IP (IPCP) các pha dàn xếp của tiến trình khởi tạo kết nối Địa chỉ IP

đợc phân phối tới máy khách VPN đợc khai báo trên giao diện ảo của máykhách VPN

Với For Windows NT 4.0-dựa vào các máy phục vụ VPN, các địa chỉ IP đợcphân phối tới các máy khách VPN đợc nhận qua DHCP theo mặc định Bạncũng có thể cấu hình một vùng địa chỉ IP tĩnh

Máy phục vụ VPN cũng phải đợc cấu hình với các địa chỉ DNS và máy phục vụWINS để phân phối tới máy khách VPN trong khi dàn xếp IPCP

1.5.3 Quản lý truy cập

Quản lý truy cập các kết nối VPN từ xa với Windows NT 4.0 đợc thực hiện uaviệc cấu hình các tính chất quya số trên các tài khoản ngời sử dụng Để quản lýtruy cập từ xa trên cơ sở ngời sử dụng riêng, có thể cho phép ngời sử dụng thiếtlập các tính chất quay số của những tài khoản ngời sử dụng đó mà cho phép tạo

ra các kết nối truy cập từ xa và biến đổi các tính chất của phục vụ truy cập từ xahoặc các phục vụ định tuyến và truy cập từ xa với các tham số cần thiết

1.5.4 Quản lý xác thực

Phục vụ truy cập từ xa của Windows NT 4.0 sử dụng khả năng xác nhận củaWindows NT Định tuyến của Windows NT 4.0 và phục vụ truy cập từ xa(RRAS) có thể đợc cấu hình để sử dụng cả Windows NT và RADIUS khi nhàcung cấp xác nhận

1.5.5 Xác thực của RADIUS

Nếu RADIUS đợc chọn và cấu hình nh nhà cung cấp xác nhận trên máy phục

vụ VPN, sự uỷ nhiệm ngời sử dụng và các tham số của yêu cầu kết nối đợc gửi

nh một chuỗi thông điệp yeeu cầu RADIUS tới máy phục vụ RADIUS

Máy phục vụ RADIUS nhận một yêu cầu kết nối ngời sử dụng từ máy phục vụVPN xác nhận ngời sử dụng từ cơ sở dữ liệu xác nhận của nó Một máy phục vụRADIUS cũng có thể duy trì một vùng cơ sở dữ liệu trung tâm của các tính chấtngời sử dụng thích hợp khác Hơn nữa có một câu trả lời có không tới một yêucầu xác nhận, RADIUS có thể cung cấp thông tin về các tham số kết nối khác

Trang 13

trên máy phục vụ VPN tới ngời sử dụng nh là thời gian lớn nhất của một phiên,khai báo địa chỉ IP tĩnh,

RADIUS có thể trả lời các yêu cầu xác nhận dựa vào cở dữ liệu riêng của nó,hoặc nó có thể ở trớc điểm cuối của một máy phục vụ cơ sở dữ liệu khác nh làmột máy phục vụ kết nối cơ sở d liệu mở (ODBC) hoặc một Windows NT 4.0PDC Gầm đáy có thể đợc phân bổ trên cùng một máy tính nh máy phục vụRADIUS, hoặc ở một nơi nào khác Thêm vào, một máy phục vụ VPN có thểhoạt động nh một máy khách proxy tới một máy phục vụ RADIUS từ xa

Giao thức RADIUS đợc miêu tả trong RFC 2138 và RFC 2139

1.5.6 Quản lý tài account

Định tuyến và phục vụ truy cập từ xa trên Windows NT 4.0 có thể đợc cấu hình

để sử dungh RADIUS nh một nhà cung cấp tài khoản Các thông điệp tính toánRADIUS đợc gửi tới máy phục vụ RADIUS để tích luỹ và phân tích sau

Hầu hết các máy phục vụ RADIUS có thể đợc cấu hình để đặt các bản ghi yêucầu xác nhận vào một file tài khoản Có một tập các thông điệp ( từ máy phục

vụ truy cập từ xa tới máy phục vụ RADIUS ) mà yêu cầu các bản ghi tài khoảntai lúc bắt đầu cuộc gọi, kết thúc cuộc gọi, và tại các khoảng thời gian định tr ớctrong cuộc gọi một nhóm thuộc các đảng thứ ba đã viết hoá đơn và kiểm tracác gói mà đọc các bản ghi tài khoản RADIUS đó và tạo ra các báo cáo có íchkhác nhau

Trang 14

2 Giao thức Point-to-Point Tunneling Protocol - PPTP

Giao thức đờng ngầm điểm tới điểm (PPTP) đóng gói các khung của giao thức

điểm tới điểm (PPP) trong một gói IP để truyền qua một liên mạng dựa vào IP

nh Internet hoặc một mạng riêng

PPTP sử dụng một kết nối TCP đợc biết nh kết nối điều khiển PPTP đợc tạo ra,duy trì, và hoàn thành đờng ngầm và một phiêm bản biến đổi của GenericRouting Encapsulation (GRE) để đóng gói các khung PPP nh dữ liệu đờngngầm Trọng tải của các khung PPP đã đợc đóng gói có thể đợc mã hoá hoặcnén hoặc cả hai

PPTP cho rằng khả năng của một IP liên mạng giữa một máy khách PPTP( một máy khách đờng ngầm sử dụng giao thức đờng ngầm PPTP ) và một máyphục vụ PPTP (một máy phục vụ đờng ngầm sử dụng giao thức đờng ngầmPPTP ) Máy khách PPTP có thể đã đợc gắn với một địa chỉ IP liên mạng mà cóthể tới đợc máy phục vụ PPTP, hoặc máy khách PPTP có thể phải quay số tớimột máy phục vụ truy cập mạng (NAS) để thiết lập kết nối IP nh ở trong trờnghọp ngời sử dụng quay số internet

Sự xác nhận xảy ra khi tạo kết nối VPN dựa vào PPTP sử dụng cùng những cơchế xác nhận nh các kết nối PPP, nh là Extensible Authentication Protocol(EAP), Microsoft Challenge-Handshake Authentication Protocol (MS-CHAP),CHAP, Shiva Password Authentication Protocol (SPAP), và PasswordAuthentication Protocol (PAP) PPTP kế thừa sự mã hoá hoặc nén hoặc cả haicủa tải trọng PPP từ PPP Với Windows 2000, cả EAP-Transport Level Security(EAP-TLS) và MS-CHAP phải đợc sử dụng để các tải trọng PPP đợc mã hoá sửdụng mã hoá điêmt tới điểm của Microsoft (MPPE)

MPPE chỉ cung cấp mã hoá liên kết, không phải là mã hoá end-to-end Mã hoáend-to-end là mã hoá dữ liệu giữa ứng dụng của máy khách và máy phục vụhoặc các phục vụ đợc truy cập bởi ứng dụng khách

Với các máy phục vụ PPTP dựa vào internet, máy phục vụ PPTP là một máyphục vụ VPN có khả năng PPTP với một giao diện trên internet và giao diện thứhai trên mạng nội bộ

2.1 Duy trì các tuyến truyền với kết nối điều khiển PPTP

Kết nối điều khiển PPTP ở giữa địa chỉ IP của máy khách PPTP sử dụng phân

bố các cổng TCP động và địa chỉ IP của máy phục vụ PPTP sử dụng cổng TCPdành riêng là 1723 Kết nối điều khiển PPTP mang các điều khiển cuộc gọiPPTP và các thông điệp quản lý mà đợc sử dụng để duy trì đờng ngàm PPTP

Điều này bao gồm sự tryền của các yêu cầu dội lại theo định kỳ của PPTP và

Trang 15

Hình 7 Gói tin PPTP Control Connection

các thông điệp trả lời lại của PPTP để dò ra các kết nối lỗi giữa máy kháchPPTP và máy phục vụ PPTP Các gói kết nối điều khiển PPTP bao gồm phần

đầu IP, phần đầu của TCP, và một thông điệp điều khiển PPTP nh minh hoạtrên hình 7 Gói kết nối điều khiển PPTP trong hình 7 cũng bao gồm phầm đầu

và cuối của tầng liên kết dữ liệu

Bảng 1 liệt kê các thông điệp điều khiển PPTP nguyên thuỷ mà đợc gửi qua kếtnối điều khiển PPTP Với tất cả các thông điệp điều khiển PPTP, đờng ngầmPPTP đặc biệt đợc định nghĩa bởi kết nối TCP

Start-Control-Connection-Request

Đợc gửi bởi máy khách PPTP để hoàn thành kết nối

điều khiển Mỗi đờng ngầm PPTP yêu cầu một kếtnối điều khiển đợc thiết lập tropức bất kỳ các thông

điệp PPTP khác có thể đợc đa ra

Start-Control-Connection-Reply

Đợc gửi bởi máy phục vụ PPTP để trả lời thông điệpyêu cấu bắt đầu kết nối điều khiển

Outgoing-Call-Request Đợc gửi bởi máy khách PPTP để tạo ra một đờng

ngầm PPTP Bao gồm ty thông điệp Request là một Call-ID mà đợc sử dụng trongheader của GRE để định nghĩa việc truyền qua đờngngầm của môt đờng ngầm đặc biệt

Outgoing-Call-Outgoing-Call-Reply Đợc gửi bởi máy phục vụ PPTP khi trả lời lại thông

điệp Outgoing-Call-Request

Echo-Request Đợc gửi bởi cả máy khách PPTP và máy phục vụ

PPTP nh một cơ chế keep-alive Nếu yêu cầu trả lạikhông đợc trả lời, cuối cùng đờng ngầm PPTP cũngkết thúc

Echo-Reply Trả lời cho yêu cầu lại Chú ý : Yêu cầu lại của

PPTP và thông điệp trả lại không liên quan tới yêucầu lại và các thông điệp trả lại ICMP

WAN-Error-Notify Đợc gửi bởi máy phục vụ PPTP tới tất cả các máy

Trang 16

Hình 8 Dữ liệu PPTP đ ợc truyền theo các tuyến

khách VPN để chỉ ra các trờng hợp lỗi trên giao diệnPPP của máy phục vụ PPTP

Set-Link-Info Đợc gửi bởi máy khách PPTP hoặc máy phục vụ

PPTP để thiết lập các lựa chọn dàn xếp PPP

Call-Clear-Request Đợc gửi bởi máy khách PPTP chỉ ra rằng một đờng

ngầm kết thúc

Call-Disconnect-Notify Đợc gửi bởi máy phục vụ PPTP khi yêu cầu xoá

cuộc gọi hoặc cho các lý do khác để chỉ ra rằng một

đờng ngầm đã bị ngắt Nếu máy phục vụ PPTP ngắt

đờng ngầm, một thông báo ngừng kết nối cuộc gọi

Dữ liệu đờng ngầm PPTP đợc thực hiện qua nhiều mức độ đóng gói

Hình 8 cấu trúc của PPTP tunneled data

2.2.1 Đóng gói PPP frame

Khởi đầu tải lợng PPP đợc mã hoá và đóng gói với một header PPP để tạo ramột khung PPP Khung PPP sau đó đợc đóng gói với header GRE bị biến đổi.GRE đợc công bố trong RFC 1701 và RFC 1702 và đợc thiết kế để cung cấpmột cơ chế đơn giản, gọn nhẹ, mục đích chung để đóng gói dữ liệu và gửi qualiên mạng GRE là một giao thức khách của IP sử dụng giao thức IP 47

Với PPTP, phần header GRE đợc biến đổi theo các cách sau :

 A 32-bit Acknowledgement field is added

Trang 17

 Một bit đợc thừa nhận đợc sử dụng để chỉ ra rằng trờng 32 bit đợc đa ra

2.2.2 Đóng gói các gói tin GRE

Kết quả của GRE và PPP đợc đóng gói là sau khi đóng gói với một phần đầu IPchứa địa chỉ IP nguônf và đích chính xác của máy khách PPTP và máy phục vụPPTP

2.2.3 Đóng gói ở tầng Data-Link

Đợc gửi trên liên kết LAN hoăc WAN, các gói IP cuối cùng đã đợc đóng gói vớimột phần đầu và cuối với công nghệ của tầng liên kết dữ liệu của giao diện vật

lý bên ngoài Ví dụ, khi một gói IP đợc gửi trên giao diện Ethernet, gói IP đó đợc

đóng gói với header và trailer Ethernet Khi gói IP đợc gửi qua liên kết WAN

điểm tới điểm nh một đờng điện thoại tơng tự hoặc ISDN, gói IP sẽ đợc đóng góiphần header và trailer theo PPP

2.2.4 Xử lý dữ liệu của PPTP đợc truyền theo các tuyến

Dựa vào việc nhận dữ liệu đờng ngầm PPTP, máy khách PPTP hoặc máy phục

vụ PPTP :

1 Xử lý và loại bỏ phần header và trailer của liên kết dữ liệu

2 Xử lý và loại bỏ phần header của IP

3 Xử lý và loại bỏ phần header của GRE và PPP

4 Giải mã hoặc giải nén, hoặc cả hai của tải trọng PPP (nếu cần thiết)

5 Xử lý tải trọng cho việc nhận hoặc gửi tiếp

Trang 18

Hình 9 PPTP Packet Development

Các gói tin PPTP và kiến trúc mạng Windows 2000

Hình 9 minh hoạ phần mà dữ liệu đờng ngầm lấy qua kiến trúc mạng Windows

2000 từ một máy khách VPN qua kết nối VPN truy cập từ xa sử dụng mộtmodem tơng tự Các bớc sau đa ra tiến trình này :

1 Một gói IP, IPX, hoặc khung NetBEUI đợc xác nhận bởi giao thức tơngứng của nó tới giao diện ảo mà đại diện kêts nối VPN sử dụng NDIS

2 NDIS xác nhận gói tới NDISWAN, mà mã hoá hoặc nén dữ liệu, hoặc cảhai, và cung cấp phần header PPP chỉ bao gồm trờng ID của giao thứcPPP Các trờng không có cờ và khung kiểm tra tuần tự (FCS) đợc thêm

Điều này cho thấy rằng địa chỉ và các trờng nén điều khiển đợc dàn xếptrong pha giao thức điêù khiển liên kết (LCP) của tiến trình kết nối PPP

3 NDISWAN xác nhận dữ liệu tới điều khiển giao thức PPTP, nơi mà đónggói các khung PPP với một phần đầu GRE Trong phần đầu GRE, CAll-

ID đợc thiết lập tới các giá trị thích hợp để định nghĩa đờng ngầm

4 Trình điều khiển giao thức PPTP xác nhận các gói kết quả tới trình điều

khiển giao thức TCP/IP

5 Trình điều khiển giao thức TCP/IP đóng gói dữ liệu đờng ngầm PPTP vớimộtk phần header IP và đa gói kết quả tới giao diện mà thực hiện kết nốiquay số tới nhà cung cấp dịch vụ internet địa phơng sử dụng NDIS

6 NDIS đa các gói tới NDISWAN, mà cung cấp các phần header và trailerPPP

Trang 19

7 NDISWAN đa khung PPP kết quả tới trình điều khiển miniport WAN thíchhợp thực hiện quay số bằng phần cứng ( ví dụ, cổng không đồng bộ chomột kết nối modem).

Chú ý : Có thể dàn xếp một kết nối PPP đợc mã hoá cho kết nối quay số với

ISP Điều này là không cần thiết và không đợc yêu cầu bởi vì dữ liệu riêng đợcgửi đi, các khung PPP theo kiểu đờng ngầm, đã đợc mã hoá Mức độ mã hoá đ-

ợc thêm là không cần thiết và có thể ảnh hởng đến hiệu năng

Trang 20

3 Bảo mật VPN

Bảo mật là một phần quan trọng của VPN Nh miêu tả trong các phần sau đây

là sự bảo mật dễ dàng của kết nối VPN dựa vào PPTP

3.1 Sự xác nhận ngời sử dụng với PPP

Ngời sử dụng dự định có một kết nối PPTP đợc xác nhận sửdụng PPP dựa vàocác giao thức xác nhận ngời sử dụng nh MS-CHAP, CHAP, SPAP, và PAP Với nhữngkết nối PPTP MS-CHAP phiên bản 2 đợc đề nghị khi nó cung cấp sự xác nhậnqua lại và nhất là các biện pháp an toàn của việc thay đổi quyền uỷ nhiệm

3.2 M hoá với MPPE ã

PPTP kế thừa mã hoá MPPE, sử dụng dòng mật mã RSA RC4 MPPE chỉ cókhả năng khi giao thức xác nhận MS-CHAP ( phiên bản 1 hoặc 2 ) đợc sử dụng.MPPE có thể sử dụng khoá mã 40 bit hoặc 128 bit Khoá 40 bit đ ợc thiết kế để

sử dụng quốc tế và gắn bó với mã hoá của Hoa kỳ Khoá 128 bit đ ợc thiết kếcho vùng Bắc Mỹ sử dụng Theo mặc định, độ dài cao nhất đợc cung cấp bởiVPN client và VPN server đợc dàn xếp khi tiến trình kết nối hoàn thành NếuVPN server yêu cầu một độ dài khoá cao hơn đợc cung cấp bới VPN client, kếtnối cố gắng đẩy ra

MPPE đợc thiết kế nguyên thuỷ cho mã háo qua liên kết điểm tới điểm ở đó cácgói đến cùng một thứ tự mà chúng đã đợc gửi với gói nhỏ đã mất Với môi trờngnày, giải mã mỗi gói dựa vào việc giải mã của gói trớc

Tuy nhiên, với các kết nối VPN, các gói IP đợc gửi qua Internet có thể đến theothứ tự khác nhau và sự phân bố của các gói có thể bị mất Bởi vậy, MPPE trongkết nối VPN thay đổi các khoá mã cho mỗi gói Việc giải mã mỗi gói độc lập vớigói trớc MPPE có các số liên tục trong header của MPPE Nếu các gói bị mấthoặc đến không theo thứ tự, khoá mã thay đổi quan hệ với số liên tiếp đó

3.3 Lọc gói tin PPTP

Một VPN server dựa vào PPTP điển hình có hai giao diện vật lý : một là tại các

sự chia sẻ hoặc mạng công cộng nh internet, và giao diện khác là mạng nội bộriêng Nó cũng có một giao diện ảo kết nối tới tất cả các máy khách VPN Vớimáy phục vụ VPN gửi tới giữa các máy khách VPN, IP gửi tới phải có khả năngtrên tất cả các giao diện Tuy nhiên, khả năng gửi đi giữa hai giao diện vật lýphụ thuộc vào máy phục vụ VPN định tuyến tất cả các IP tới các chia sẻ hoặcmạng công cộng tới mạng nội bộ Để bảo vệ mạng nội bộ từ tất cả các giao dịchkhông đợc gửi bởi máy khách VPN, bộ lọc gói PPTP phải đợc cấu hình sao chomáy phục vụ VPN chỉ thực hiện việc định tuyến giữa cacs máy khách VPN vàThiết bị mạng tempfile_57255.docx - 2/23/2024 20/80

Trang 21

mạng nội bộ mà không phải quan tâm tới các khả năng nguy hiểm của ngời sửdụng tại việc chia sẻ tàinguyên hoặc mạng công cộng và mạng nội bộ.

Lọc gói PPTP có thể đợc cấu hình trên cả máy phục vụ VPN và trên cả firewalltrung gian

Trang 22

4 Địa chỉ và định tuyến cho các kết nối VPN

Để hiểu VPN làm việc nh thế nào, bạn phải hiểu việc đánh địa chỉ và định tuyến

ảnh hởng nh thế nào qua việc tạo các truy cập từ xa VPN và các kết nối VPNdựa vào router-to-router Một kết nối VPN tạo giao diện ảo phải đợc đăng kýmột địa chỉ IP thích hợp, và các tuyến đoạn phải đợc thay đổi hoặc thêm để

đẩm bảo các giao dịch chính xác đợc gửi qua kết nối VPN an toàn để thay thếviệc chia sẻ hoặc truyền qua mạng công cộng

4.1 Các kết nối VPN truy cập từ xa

Với các kết nối VPN truy cập từ xa, một máy tính tạo ra một kết nối truy cập từ

xa tới máy phục vụ VPN Trong quá trình kết nối máy phục vụ VPN phân bố một

địa chỉ IP cho máy khách VPN truy cập từ xa và thay đổi các tuyến đoạn mặc

định trên máy khách từ xa vì vậy giao dịch tuyến đoạn mặc định đ ợc gửi quagiao diện ảo

4.1.1 Các địa chỉ IP và quay số máy khách VPN

Để quay số tới các máy khách VPN, nơi mà kết nối tới Internet tr ớc khi tạo kếtnối VPN với một máy phục vụ VPN trên Internet, hai địa chỉ IP đợc phân bố :

 Khi tạo kết nối PPTP, IPCP vợt qua với nhà cung cấp dịch vụ NAS một

địa chỉ IP công cộng

 Khi tạo kết nối VPN, IPCP đi qua với máy phục vụ VPN bằng một địa chỉ

IP nội bộ Địa chỉ IP đợc phân bố bởi máy phục vụ VPN có thể là một địachỉ IP công cộng hoặc một địa chỉ IP riêng, dựa vào tổ chức của bạn

đang thực hiện việc đánh địa chỉ riêng hoặc chung trên mạng nội bộ.Trong mỗi trờng hợp địa chỉ IP đợc phân bố tới máy khách VPN phải có thể tới

đợc bởi các host trên mạng nội bộ và vice versa Máy phục vụ VPN phải có đầuvào thích hợp trong bảng định tuyến để tới tất cả các host trên mạng nội bộ vàcác bộ định tuyến của mạng nội bộ phải có các điểm vào thích hợp trong bảng

định tuyến ddể tới các máy khách VPN

Dữ liệu đờng ngầm gửi qua VPN đợc đánh địa chỉ từ máy khách VPN, máy phục

vụ VPN - phân bố địa chỉ tới một địa chỉ trên mạng nội bộ Header của IP bênngoài đợc đánh địa chỉ giữa nhà cung cấp - phân bố địa chỉ IP của máy kháchVPN và đị chỉ công cộng của máy phục vụ VPN Bởi vì các bộ định tuyến trêninternet chỉ xử lý các header IP bên ngoài, các bộ định tuyến internet hớng dữliệu đờng ngầm tới

địa chỉ IP công cộng của máy phục vụ VPN

Trang 23

Hình 10 Các địa chỉ công cộng và riêng trong PPTP Tunneled Data

Một ví dụ của địa chỉ máy khách quay số đợc trình bày trên hình 10 tổ chức sửdụng các địa chỉ riêng trên mạng nội bộ, và dữ liệu đờng ngầm là một gói IP

4.1.2 Các tuyến truyền mặc định và các Dial-up Client

Khi một máy khách quay số tới một ISP, nó nhận một địa chỉ IP công cộng từISP NAS Một địa chỉ gateway mặc định không đợc phân bố nh một phần củaquá trình dàn xếp IPCP Bởi vậy, để tiếp cận các địa chỉ Internet, máy kháchquay số thêm một tuyến đoạn mặc định tới bảng định tuyến của nó giao diệnquay số kết nối tới ISP Nh là kết quả, máy khách có thể hớng các gói IP tới ISPNAS từ những nơi mà chúng định tuyến tới vùng internet của nó

Với các máy khách quay số không có các giao diện TCP/IP khác, đây là điềumong muốn Tuy nhiên, cách này có thể là nguyên nhân gây ra sự nhầm lẫncho các máy khách quay số mà có một mạng LAN tồn tại- dựa vào kết nối tớimột mạng nội bộ Trong trờng hợp này, một tuyến đoạn mặc định trỏ tới bộ địnhtuyến của mạng nội bộ địa phơng Khi một máy khách quay số tạo ra một kếtnối với ISP của chúng, tuyến đoạn mặc đinh ban đầu còn lại bảng định tuyếnnhng đã đợc thay đổi để có một hệ đơn vị đo cao hơn Một tuyến đoạn mặc địnhmới đợc thêm vào với một metric thấp hơn sử dụng kết nối ISP

Nh là một kết quả, những vùng mạng nội bộ mà không phải là các máy kháchquay số đợc gắn vào mạng trực tiếp không thể tới đợc khoảng thời gian kết nối

Trang 24

Hình 11 Tuyến đoạn mặc định đ ợc tạo khi gọi tới ISP

Hình 12 Tuyến truyền mặc định tạo khi bắt đầu VPN

tới ISP Nếu tuyến đoạn mặc định mới không đợc tạo ra, tất cả các vùng trênmạng nội bộ có thể tới đợc, nhng các vùng trên internet thì không

Windows 2000 dựa vào máy khách quay số tạo ra tuyến đoạn mặc định mộtcách mặc định Để không tạo ra các tuyến đoạn mặc định, bỏ lựa chọn trên hộp

check Use default gateway on remote network trên dialog PPP TCP/IP

Settings.

Để nhận đợc kết nối tới cả internet và intranet khi kết nối ISP kích hoạt, hãy

chọn Use default gateway on remote network và thêm các tuyến đoạn của

mạng nội bộ tới bảng định tuyến của máy khách quay số Các tuyến đoạn trênmạng nội bộ có thể đợc thêm qua các tuyến đoạn tĩnh lâu dài Khi kết nối tớiISP, tất cả các vùng trên mạngk nội bộ có thể tới đợc qua các tuyến đoạn trênmạng nội bộ và tất cả các vùng trên internet có thể tới đợc qua tuyến đoạn mặc

định

4.1.3 Các tuyến truyền ngầm định và các VPNs thông qua Internet

Khi máy khách quay số gọi tới ISP, nó thêm một tuyến đoạn mặc định sử dụngkết nối tới ISP nh trên hình 11 Tại thời điểm này, nó có thể tới tất cả các địa chỉinternet qua tuyến đoạn tại ISP NAS

Khi một máy khách VPN tạo kết nối VPN, một tuyến đoạn khác và một host

định tuyến tới địa chỉ IP của máy phục vụ đờng ngầm đợc thêm, nh minh hoạtrên hình 12 Tuyến đoạn mặc định trớc đợc lu lại nhng bây giờ có một metriccao hơn Thêm tuyến đoạn mặc định mới nghĩa là tất cả các vùng trên internetchấp nhận địa chỉ IP của máy phục vụ đờng ngầm không thể tới đợc vì khoảngthời gian tồn tại của kết nối VPN

Trang 25

Chỉ nh trờng hợp của một máy khách quay số kết nối tới internet, khi một máykhách VPN quay số sử dụng đờng ngầm chủ động tạo kết nối VPN tới mộtmạng nội bộ riêng qua internet, một trong những điều sau sẽ xảy ra :

 Các vùng trên internet có thể tới đợc và các vùng trên intranet không thểtới đợc khi kết nối VPN không kích hoạt

 Các vùng trên intranet có thể tới đợc và các vùng trên internet không thểtới đợc khi kết nối VPN kích hoạt

Với hầu hết các máy khách VPN kết nối dựa trên internet, điều này không phải

là một vấn đề bởi vì chúng thông thờng đợc giữ trớc trong giao tiếp của intranethoặc internet, không phải là cả hai

Với các máy khách VPN muốn đồng thời truy cập tới tài nguyên của cả internet

và intranet khi VPN đợc kết nối, giải pháp dựa vào loại địa chỉ IP trong mạng nội

bộ Trong tất cả các trờng hợp, cấu hình đối tợng kết nối VPN mà nó khôngthêm một gateway măc định Khi kết nối VPN đợc tạo, tuyến đoạn mặc định cònlại trỏ tới ISP NAS, cho phép truy cập tất cả các địa chỉ internet

Dựa vào các loại địa chỉ của mạng nội bộ mà ban sử dụng, có thể đồng thời truycập tới tài nguyên trên intranet và internet nh sau :

4.1.4 Địa chỉ chung

Thêm các tuyến đoạn lâu dài tĩnh cho các mạng công cộng, định danh củamạng nội bộ sử dụng địa chỉ IP của máy phục vụ VPN trên giao diện ảo nh điahchỉ IP gateway

4.1.5 Địa chỉ riêng

Thêm các tuyến đoạn lâu dài tĩnh cho các mạng riêng, định danh của mạng nội

bộ sử dụng địa chỉ IP của máy phục vụ VPN trên giao diện ảo nh điah chỉ IPgateway

4.1.6 Địa chỉ nạp chồng và không hợp lệ

Nếu mạng nội bộ sử dụng phân bố chồng hoặc các địa chỉ không hợp lẹ ( Các

định danh IP mạng mà không phải là riêng và không đợc đăng ký bởi InterNIChoặc nhận từ một ISP), các địa chỉ IP đó có thể bị trùng với các địa chỉ côngcộng trên internet Nếu các tuyến đoạn lâu dài tĩnh đợc thêm vào trên máykhách VPN vì các định danh mạng của mạng nội bộ bị phân bố chồng, cácvùng trên internet mà các địa chỉ phân bố chồng là không thể tới đợc

Trong mỗi trờng hợp đó, các tuyến đoạn lâu dài tĩnh với các định danh mạngcủa mạng nội bộ cần đợc thêm vào máy khách VPN Khi các bộ định tuyên slâudài đợc thêm, chúng đợc lu trong registry Với Windows NT version 4.0 Service

Trang 26

Pack 3 trở lên và với Windows NT 4.0, các tuyến đoạn lâu dài không thực sự

đ-ợc thêm vào bảng định tuyến IP (và không thể thấy bên qua lệnh route print )

cho đến khi địa chỉ IP của gateway đợc tiếp cận Địa chỉ IP của gateway trở nên

có khả năng tới đợc khi kết nối VPN đợc tạo ra

Với mỗi tuyến đoạn, đánh cú pháp tiện ích tuyến đoạn sau :

ROUTE ADD <Intranet Network ID> MASK <NetMask> <IP address of VPN server’s virtual interface> -p

Địa chỉ IP của gateway trong câu lệnh tuyến đoạn cho mỗi tuyến đoạn nội bộ là

địa chỉ IP đợc khai báo tới giao diện ảo của máy phục vụ VPN, không phải là địachỉ IP của máy phục vụ VPN trên giao diện internet

Bạn có thể xác nhận địa chỉ IP của máy phục vụ VPN trên giao diện ảo từ câulệnh ipconfig chạy trên môi trờng dos Nếu bạn sử dụng DHCP để nhận các địachỉ IP để quay số mạng và các máy khách VPN, địa chỉ IP của máy phục vụVPN trên giao diện ảo là địa chỉ IP đầu tiên nhận đợc khi yêu cầu cacs địa chỉDHCP Nếu bạn cấu hình một vùng địa chỉ IP tĩnh, địa chỉ IP của máy phục vụVPN trên giao diện ảo là địa chỉ IP đầu tiên trong vùng địa chỉ IP tĩnh Bạn cũng

có thể xác nhận địa chỉ IP của máy phục vụ VPN trên giao diện ảo bằng cáchquan sát chio tiết một hoạt động của kết nối VPN từ máy khách VPN

Nguyên nhân Với tất cả các trờng hợp đó, bạn phải thêm các tuyến đoạn rất

cẩn thận để đảm bảo rằng việc truyền dữ liệu riêng tới mạng nội bộ đợc hớng tới

sử dụng kết nối VPN và không phải kết nối PPP tới ISP Nếu các tuyến đoạn lỗi

đợc thêm vào, việc truyền dữ liệu mà bạn quan tâm hớng qua mạng riêng ảotrong một dạng mã hoá đợc thay cho việc gửi không mã hoá qua internet Ví dụ,nếu mạng nội bộ của bạn đang sử dụng ID của mạng công cộng207.46.130.0/24 (subnet mask 255.255.255.0), và bạn thêm một cách nhầm lẫnmột tuyến đoạn tĩnh lâu dài cho 207.46.131.0/24, tất cả các giao dịch tới mạngnội bộ 207.46.130.0/24 đều đợc hớng qua internet trong một dạng văn bản đợcmã hoá, hơn nữa là đợc mã hoá và gửi qua kết nối VPN

4.2 Các kết nối VPN từ Router đến Router VPN

Kết nối VPN dựa vào router-to-router sử dụng định tuyến và phục vụ truy cập từ

xa (RRAS), giao diện định tuyến đợc sử dụng để hớng các gói là một giao diệnyêu cầu quay số đợc cấu hình nh sau ;

 Trên tab General, đánh tên máy chủ hoặc địa chỉ của máy phục vụ VPN

 Trên tab Protocols, chọn các giao thúc đợc định tuyến

 Trên tab Security, chọn Accept only Microsoft encrypted authenticationand Require data encryption

Trang 27

 Với quyền uỷ nhiệm của giao diện yêu cầu quay số, đánh user name,password, và tên miền sử dụng để xác nhận máy khách VPN.

Tạo các giao diện yêu cầu quay số là tự động với đồ thuật Demand DialInterface

Tên của các giao diên yêu cầu quay số và các uỷ quyền bộ định tuyến cuộc gọiphải đợc thực hiện phù hợp để đảm bảo kết nối VPN router-to-router

4.2.1 Mạng riêng ảo dựa vào Router-to-Router tạm thời và lâu dài

Kết nối VPN router-to-router có thể là tạm thời hoặc lâu dài Các kết nối VPNrouter-to-router tạm thời đợc tạo khi có các gói đợc định tuyến qua giao diện yêucầu quay số VPN và kết thúc sau một vài khoảng thời gian rỗi đặc biệt Thờigian rỗi đợc cấu hình trên máy khách VPN ( bộ định tuyến cuộc gọi ) Thời gianrỗi mặc định cho các gaio diện yêu cầu quay số trên máy khách VPN là khônggiới hạn Sử dụng các kết nối VPN router-to-router tạm thời cho các chi nhánhvăn phòng nơi mà sử dụng kết nối quay số tới các nhà cung cấp dịch vụ internet

4.2.2 Các kết nối VPNs sử dụng Dial-Up ISP

Khi cả hai máy phục vụ VPN và máy khách VPN đợc kết nối trực tiếp tới internet

sử dụng liên kết WAN lâu dài nh là T1 hoặc Frame relay, kết nối VPN có thể lâudài và có khả năng 24 giờ trên một ngày Tuy nhiên, một liên kết WAN liên tục

là không thể và không thực tế, bạn có thể cấu hình yêu cầu kết nối VPN to-router sử dụng quay số ISP

router-Một yêu cầu kết nối VPN router-to-router sử dụng quay số ISP kết nối bao gồmhai gaio diện yêu cầu quay số :

 Một giao diện yêu cầu quay số quay số tới ISP địa phơng

 Một giao diện yêu cầu quay số cho kết nối VPN router-to-router

Một yêu cầu kết nối VPN routertorouter tự động hoàn thành khi dgiao dịch h ớng qua kết nối VPN đợc nhận bởi bộ định tuyến tại chi nhánh văn phòng Ví

-dụ, khi nhận một gói đợc định tuyên stới tổ chức , bộ định tuyến chi nhánh vănphòng đầu tiên sử dụng liên kết quay số để kết nối tới ISP địa phơng Khi kết nốiinternet đợc thực hiện, bộ định tuyến tại chi nhánh văn phòng, máy khách VPN,

Trang 28

tạo kết nối VPN router-to-router với bộ định tuyến tại văn phòng tổ chức, máyphục vụ VPN.

văn phòng

1 Tạo một giao diện yêu cầu quay số cho kết nối internet đợc cấu hình vớithiết bị thích hợp ( một modem hoặc một thiết bị ISDN ), số điện thoạicủa ISP địa phơng, và tên ngời sử dụng, mật khẩu đợc sử dụng để dànhquyền truy cập internet

2 Tạo một giao diện yêu cầu quay số cho các kết nối VPN router-to-routervới bộ địng tuyến của văn phòng chính đợc cấu hình với một thiết bịPPTP, địa chỉ IP hoặc tên máy chủ của máy phục vụ VPN tại giao diệntrên internet của van phòng chính Tên ngời sử dụng phải đợc đi cùng vớitên của giao diên yêu cầu quay số trên máy phục vụ VPN tại văn phòngchính

3 Tạo một tuyến đoạn chủ tĩnh cho các địa chỉ IP của máy phục vụ VPNtrên giao diện internet mà sử dụng giao diện yêu cầu quay số để quay sốtới nhà cung cấp dịch vụ địa phơng

4 Tạo một tuyến đoạn tĩnh ( hoặc các tuyến đoạn ) cho các định danh IPmạng của mạng nội bộ mà sử dụng giao diện yêu cầu quay số

4.2.4 Cấu hình corporate office router

1 Tạo một giao diện yêu cầu quay số với các kết nối VPN với chi nhánhvăn phòng đợc cấu hình cho moọt thiết bị PPTP Giao diện yêu cầu quay

số phải có cùng tên nh tên ngời sử dụng ở trong uỷ quyền xác nhận mà

đọc sử dụng bởi các bộ định tuyến tại chi nhánh văn phòng để tạo ra kếtnối VPN

2 Tạo một hoặc các tuyến đoạn tĩnh cho các định danh IP mạng của chinhánh văn phòng mả dụng giao diện yêu cầu quy số VPN

Kết nối VPN dựa vào router-to-router tự động khởi đầu bởi bộ định tuyến tại chinhánh qua các tiến trình sau :

1 Các gói gửi tới hub mạng của tổ chức từ một ngời sử dụng trong chinhánhvăn phòng đợc hớng đi bởi ngời sử dụng tới bộ định tuyến tại chi nhánhvăn phòng

2 Bộ định tuyến tại chi nhánh văn phòng kiểm tra bảng định tuyến của nó

và tìm ra một tuyến đoạn để tới đợc mạng nội bộ của tổ chức, mà sửdụng giao diện yêu cầu quay số VPN

Trang 29

3 Bộ định tuyến tại chi nhánh văn phòng kiểm tra trạng thái của giao diệnyêu cầu kết nối VPN và tìm ra nó là một trạng thái ngắt kết nối.

4 Bộ định tuyến chi nhánh văn phòng lấy đợc cấu hình của giao diện yêucầu quay số VPN

5 Dựa vào cấu hình của giao diện yêu cầu quay số VPN, bộ định tuyến tạichi nhánh văn phòng dự định khởi tạo kết nối VPN router-to-router tại địachỉ IP của máy phục vụ VPN trên internet

6 Để hoàn thành một mạng riêng ảo dựa trên PPTP, một kết nối TCP phải

đợc thiết lập với máy phục vụ VPN Các gói thiết lập của mạng riêng ảo

đợc tạo ra

7 Để hớng các gói thiết lập VPN tới bộ định tuyến văn phòng tổ chức, bộ

định tuyến tại chi nhánh văn phòng kiểm tra bảng định tuyến của nó vàtìm tuyến đoạn chủ sử dụng giao diện yêu cầu quay số ISP

8 Bộ định tuyến tại chi nhánh văn phòng kiểm tra trạng thái của giao diệnyêu cầu quay số ISP và timf xem nó có phải đang ở trạng thái ngắt kếtnối không

9 Bộ định tuyến tại chi nhánh văn phòng lấy lại cấu hình của giao diện yêucầu quay số ISP

10 Dựa vào cấu hình giao diện yêu cầu quay số ISP, bộ định tuyến tại chinhánh văn phòng sử dụng modem hoặc adapter ISDN của nó để quay số

và thiết lập một kết nối với ISP địa phơng của nó

11 Khi kết nối ISP đợc tạo ra, các gói thiết lập VPN đợc gửi bởi bộ địnhtuyến tại chi nhánh văn phòng tới bộ định tuyến tại văn phòng tổ chức

12 Một riêng ảo đợc dàn xếp giữa bộ định tuyến tại chi nhánh văn phòng và

bộ định tuyến tại văn phòng tổ chức Nn phần dàn xếp, bộ định tuyến chinhánh văn phòng gửi uỷ quyền xác nhận mà đợc xác nhận bởi bộ địnhtuyến tại văn phòng tổ chức

13 Bộ định tuyến tại văn phòng tổ chức kiểm tra các giao diện yêu cầu quay

số của nó và tìm ra tên ngời sử dụng đợc gửi trong khi xác nhận và thay

đổi giao diện sang trạng thái kết nối

14 Bộ định tuyến tại cjhi nhánh văn phòng hớng gói tin qua mạng riêng ảo

và máy phục vụ VPN hớng các gói tới các vùng mạng nội bộ thích hợp

Trang 30

Với các kết nối tạm thời, bạn có thể thêm vào các tuyến đoạn tĩnh thích hợp tớicác định danh mạng của các văn phòng khác Việc cấu hình bằng tay các tuyến

đoạn tĩnh đợc dành riêng cho các thực hiện nhỏ với số lợng các tuyến đoạn nhỏ.Với các kết nối tạm thời, bạn có thể sử dụng phơng pháp tự động cập nhật tĩnh

để cập nhật chính xác các tuyến đoạn tĩnh mà có khả năng đin qua kết nối VPNrouter-to-router Các tuyến đoạn tự động tĩnh làm việc tố với các thao tác lớn vớiluợng thông tin định tuyến lớn

Với các kết nối lâu dài, điều khiển các giao thức định tuyến thích hợp qua kết nốiVPN router-to-router để xử lý các kết nối VPN nh liên kêt điểm với điểm

Chú ý không nh đinh tuyến yêu cầu quay số sử dụng các kết nối vật lý trực

tiếp, bạn không thể sử dụng tuyến đoạn IP mặc định đợc cấu hình cho giao diệnyeu cầu quay số VPN để tổng hợp tất cả các tuyến đoạn trên mạng nội bộ cókhả năng đi qua mạng riêng ảo Bởi vì bộ định tuyến đợc kết nối tới internet, bạnphải sử dụng tuyến đoạn mặc định để tổng hợp tất cả các tuyến đoạn củainternet và cấu hình nó để sử dụng giao diện internet

Trang 31

5 Khái quát về truyền theo tuyến

5.1 Giao thức Tunneling

Để tạo một liên kết theo kiểu đờng ống thì cả 2 phái client và server đều phải sửdụng cùng một giao thức Tunneling Protocols Về cơ bản công nghệ Tạo đuờnghầm có thể đặt trên cả 2 lớp 2 và lớp thứ 3 trong mô hình bẩy tầng Trong tầngthứ 2 (data-link layer) TP (Tunneling Protocol) sử dụng frame làm đơn vị trao đổithông tin PPTP và L2TP đều là giao thức thuộc vào tầng thứ 2 này và cả hai

đều đợc đóng gói trong một frame PPP để gửi đi thông qua mạng Đổi với tầngthứ 3, các giao thức của VPN trong tầng này đều sử dụng gói làm đơn vị truyền,

hệ đờng ống IPSec là một ví dụ của L3TP và đợc đóng gói trong các gói tin IP(đợc thêm vào phần Header IP trớc khi gửi chúng thông qua hệ thống mạng IP)

6 Cách làm việc của Tunneling

Các giao thức L2TP (nh PPTP và L2TP) đều sử dụng đờng ống nh một phiêngiao dịch, cả 2 điểm đầu và cuối của đờng ống đều phải đồng ý giao dịch, cácbiến cấu hình, các địa chỉ đợc xác nhận, cách thức mã hoá, tham số nén Dữliệu đợc truyền thông qua đờng ống dựa trên giao thức datagram-based điềunày làm cho các giao thức L2TP phải có một giao thức duy trì đờng ống để quản

lý đờng ống

Các giao thức L3TP thờng đợc cấu hình trớc phiên giao dịch điều này làm chocác giao thức L3TP không cần phải có pha duy trì đờng ống trong 1 phiên giaodịch nhng lại đòi hỏi phải có những hàm khởi tạo, duy trì và huỷ cho một đuờngống

6.1.1 Giao thức Tunneling và yêu cầu cơ bản

Các giao thức TP đều dựa trên giao thức PPP nên chúng đợc thừa kết các đặc

điểm của giao thức này nh sau:

Xác nhận ng ời dùng

Đây là một đặc điểm cơ bản của PPP, trong TP đặc điểm này còn có thêm cácmethod EAP Trớc mỗi khi sử dụng đờng ống cả hai điều cuối của đờng ống đềuphải đợc phổ biến (và xác nhận) trớc đờng ống, Một ngoại lệ là các giao dịchcủa IPSec Internet Key Exchange luôn luôn có quá trình xác nhận lẫn nhautrong một phiên giao dịch Các xác nhận này thờng cho mỗi máy mà không chotừng ngời dùng trong máy, đó có thể là chỗ yếu trong bảo mật của giao thức lớpnày

Cung cấp thẻ chứng nhận

Trang 32

L2TP cung cấp rất nhiều loại xác nhận khác nhau nh : one-time password, bộmã, và các thẻ bài nhanh

Ký địa chỉ động

L2TP đợc cung cấp tính năng ký địa chỉ của client một cách động dựa trên cơchế thơng lợng của Network Control Protocol (NCP) Trong IPSec việc ký địachỉ động cha đợc cung cấp vì còn đang trong giai đoạn phát triển

Quản lý khoá

MPPE dựa trên khoá đợc sinh khi xác nhận ngời sử dụng và luôn xác nhận lại

định kỳ, còn IPSec thì trao đổi khoá trong suốt quá trình trao đổi IKE và cũngxác nhận lại một cách định kỳ

PPP sử dụng LCP (link control protocol) để thiết lập duy trì và kết nối liên kết vật

lý Trong suốt pha thứ nhất các giao thức xác nhận đợc chọn nhng cha đợc thựcthi cho đến pha 2 Tơng tự nh LCP, pha thứ nhất chỉ xác định có sử dụng nén dữliệu với mã hoá hay không Sự lựa chọn phơng pháp nén và mã hoá đợc miêu tảtrong pha 4

6.2.2 Xác nhận ngời sử dụng

Trong pha 2, PC client phải đa ra giấy uỷ nhiệm cho server từ xa, tại b“giấy uỷ nhiệm’ cho server từ xa, tại b ’ cho server từ xa, tại b ớc này

có 2 khả năng tấn công server nh sau:

 Replay Actack : Khi có một client khác nắm đợc quyền quản lý kết nối vàbắt các gói tin

Trang 33

 Impersonation : Khi có một client khác nắm đợc giấy uỷ nhiệm của“giấy uỷ nhiệm’ cho server từ xa, tại b ” của

client đang kết nối qua đây nắm đợc kết nối đã đợc xác nhận

Do đó, phải có một cơ chế bảo vệ liên kết trong pha này, hầu hết các PPP đều

sử dụng các cơ chế bảo vệ trong giao thức và các method hạn chế xác nhậnnh: Password Authentication Protocol (PAP), Challenge HandshakeAuthentication Protocol (CHAP), và MSCHAP

định danh phiên (section ID) và mật khẩu của client Tên ngời sử dụng (username) đợc gửi không băm

CHAP bảo mật tốt hơn PAP bởi 2 lý do:

 Mật mã thuần tuý ký tự đợc mã hoá bằng cách băm từ challenge Mật mãnày đợc xác nhận hai lần (một lần từ client và một lần so sánh tại server)

 Các Replay Actack đợc loại bỏ nhờ sử dụng xâu ngẫu nhiên trongchallenge Các Impersonation đợc loại bỏ do không thể đoán trớc đợcquá trình gửi lặp challenge tới client từ xa trong suốt kết nối

MS-CHAP

MS-CHAP là một cơ chế mã hoá đợc nâng cấp hơn CHAP nó cung cấp khảnăng bảo mật cao hơn cho tên định danh và mật khẩu cùng với quá trình xácnhận khoá Với MS-CHAP v2 quy trình hoạt động nh sau:

SERVER  SECTION ID, ARBITRARY CHALLENGE STRING  CLIENT CLIENT  USER NAME, ENCRYPTED(CHALLENGE STRING, SECTION ID, PASSWORD)  SERVER.

Quá trình trả lời cũng tơng tự nh vậy, với cách bảo mật nh thế này MS-CHAP v2

đã giải quyết đợc rất tốt những vấn đề về bảo mật của giao thức TP

6.2.3 Điều khiển PPP Callback

Pha này sử dụng Callback Control Protocol (CBCP) ngay lập tức sau pha địnhdanh, NAS sẽ gọi lại client theo một số điện thoại xác định và NAS cho phépkết nối từ xa một cách vật lý tại số điện thoại đó

Trang 34

6.2.4 Triệu gọi giao thức tầng Mạng (Network Layer Protocols).

Mỗi một khi pha thứ 3 kết thúc, PPP gọi các giao thức điều khiển mạng (networkcontrol protocol – NCP) đợc chọn trong quá trình thiết lập liên kết (pha 1) đểcấu hình các giao thức đợc sử dụng từ client

6.2.5 Pha truyền dữ liệu

Mỗi một lần 4 pha trên đợc hoàn thành, PPP bắt đầu chuyển tiếp các dữ liệugiữa hai ngời dùng Mỗi một gói dữ liệu đợc chuyển đợc ghép với PPP header

và sau đó đợc bỏ đi bởi nơi nhận Nếu có xác nhận dữ liệu đợc nén và phơngpháp nén và mã hoá ở pha 1 và pha 4 thì dữ liệu sẽ đợc giải nén, giải mã saukhi nhân

6.3 Giao thức Point-to-Point Tunneling (PPTP)

PPTP là giao thức của tầng thứ 2 đóng gói các PPP frame trong gói dữ liệu của

IP để truyền qua mạng IP PPTP sử dụng kết nối TCP để duy trì kết nối và đónggói dữ liệu của ống vào frame của TCP Hình vẽ dới đây miêu tả cấu trúc mộtframe của PPTP

6.4 Giao thức Tunneling lớp thứ 2

L2TP sử dụng UDP và một số thông điệp riêng để duy trì đờng ống L2TP cũng

sử dụng UDP để gửi gói L2TP trong frame của PPP nh là dữ liệu của ống Dữliệu này có thể đợc mã hoá hoặc nén Hình sau miêu tả cấu trúc gói của L2TPchứa đựng dữ liệu của ngời sử dụng

Đặc biệt trong Windows 2000, ESP (IPSEC Encapsulating Security Payload)

đ-ợc sử dụng để mã hoá gói L2TP Nó còn đđ-ợc gọi là L2TP/IPSEC và có cấu trúc

nh sau:

Trang 35

6.5 Mô hình đờng ống sử dụng giao thức bảo mật IP (IPSec)

IPSEC là giao thức chuẩn của tầng 3 cung cấp phơng thức gởi các thông tin đợcbảo mật thông qua mạng IP IPSEC xác định các định dạng của gói của một IPthông qua mô hình IP tunnel Một IPSec tunnel chứa đựng một client và mộtserver cùng đợc cấu hình để sử dụng IPSec và thơng lợng cơ cấu mã hoá

Mô hình IPSec tunnel sử dụng các gói tin đợc mã hoá cùng với IP header vàtruyền thông qua mạng tới nơi nhận do đó về thực chất IPSec có những tínhchất của IP và thêm một số tính năng sau:

6.6 Kiểu tuyến truyền (Tunnel)

6.6.1 Tuyến truyền tự nguyện

Ngời sử dụng hay máy client có thể gửi một yêu cầu VPN xác định cấu hình vàtạo đờng ống kiểu này Trong trờng hợp trên, máy tính của ngời sử dụng là một

điểm cuối của tuyến truyền và hoạt động nh một tuyến truyền client

Kiểu tuyến truyền này xảy ra khi một máy trạm hoặc một server chọn đờng sửdụng các phần mềm tạo đờng ống tại client dể khởi tạo một kết nối ảo tới server

đích Để thực hiện đợc điều đó, một giao thức TP phải đợc cài đặt trên máyclient và thêm vào đó là các giao thức phục vụ kết nối IP

Trong trờng hợp dial-up, client phải thiết lập kết nối dial-up trớc khi thiết lập một

đờng ống

6.6.2 Tuyến truyền bắt buộc

Việc cấu hình và tạo tuyến truyền đợc VPN dial-up access server thực hiện Vớikiểu tuyến truyền bắt buộc, máy tính của ngời sử dụng không phải là điểm cuốicủa tuyến truyền Một thiết bị khác, dial-up access server, này giữa máy tínhcủa ngời sủ dụng và server sẽ là điểm cuối (endpoint) và hoạt động nh mộttuyến truyền client

Thiết bị mạng hoặc máy tính cung cấp tuyến truyền cho client đợc gọi là FrontEnd Processor (FEP) trong PPTP, LZ Access Concentrator (LAC) trong L2TP,hoặc là một IP Security Gateway trong IPSec Không giống nh một tuyến truyền

Trang 36

riêng đợc thiết lập cho mỗi client dễ bị tác động, một tuyến truyền giữa FEP vàtunnel server có thể đợc chia sẻ bởi nhiều dial-up clients

Trang 37

Hình 13 VPN Server trên Internet ở phía tr ớc Firewall

7 Mạng riêng ảo và Firewalls

Một firewall áp dụng bộ lọc gói cho phép hoặc không cho phép luồng của cácdạng lu thông trên mạng đặc biệt Lọc gói IP cung cấp cho bạn một cách địnhnghĩa chính xác gói IP nào qua firewall Lọc gói IP rất quan trọng khi bạn kết nốimạng cục bộ riêng tới các mạng chung nh là Internet

7.1 Cấu hình VPN Server and Firewall

Có hai cách tiếp cận để firewall với máy phục vụ VPN

 Máy phục vụ VPN đợc gắn với internet và firewall ở giữa máy phục vụ vàmạng cục bộ

 Firewall đợc gắn với internet và máy phục vụ VPN ở giữa firewall vàmạng cục bộ

7.1.1 VPN Server ở phía trớc Firewall

Với máy phục vụ VPN nằm trớc firewall đợc gắn tới internet, nh trên hình 13,bạn cần thêm các bộ lọc gói tại giao diện với internet mà chỉ cho phép VPNtruyền đi và từ các địa chỉ IP của máy phục vụ VPN trên internet

Với giao dịch trớc, một dữ liệu đờng ngầm đợc giải mã bởi máy phục vụ VPN, nó

chỉ hớng tới firewall, sử dụng các bộ lọc của nó để cho phép các giao dịch đ ợchớng tới các tài nguyên của mạng cục bộ Bởi vì chỉ những giao dịch đ ợc quamáy phục vụ VPN là những giao dịch đợc sinh bởi các máy khách VPN hợppháp, bộ lọc firewall trong tình huống này có thể đợc sử dụng để ngăn chặnnhững ngời sử dụng VPN khỏi việc truy cập các tài nguyên mạng cục bộ đặcbiệt

Bởi vì chỉ giao dịch internet đợc phép trong mạng cục bộ phải đi qua máy phục

vụ VPN, sự tiếp cận này cũng ngăn chặn việc chia sẻ tài nguyên của giao thứctruyền file Web nội bộ với những ngời sử dụng internet không qua VPN

Trang 38

Tại giao diện internet trên máy phục vụ VPN, cấu hình theo các bộ lọc vào và ra

sử dụng công cụ quản lý tuyến đoạn và truy cập từ xa

7.1.2 Lọc gói tin trong PPTP

Cấu hình các bộ lọc vào sau với các bộ lọc đợc thiết lập theo danh sách sau :

 Địa chỉ IP đích của máy phục vụ VPN tại giao diện internet, subnet mask

là 255.255.255.255, và cổng TCP đích là 1723 (0x06BB) Các bộ lọc nàycho phép giao thức PPTP duy trì giao dịch từ PPTP khách tới PPTP phụcvụ

là 255.255.255.255, và ID của giao thức IP là 47 (0x2F) Bộ lọc này chophép dữ liệu đờng ngầm PPTP từ PPTP khách tới PPTP phục vụ

là 255.255.255.255, và cổng nguồn TCP ( đã đợc thiết lập ) là 1723(0x06BB) Bộ lọc này đợc yêu cầu nếu máy phục vụ VPN đang hoạt

động nh một máy khách VPN ( một bộ định tuyến theo kiểu gọi ) tròg mộtkết nối VPN router-to-router Khi bạn chọn TCP ( đã đợc thiết lập ), giaodịch đợc chấp nhận chỉ nếu máy phục vụ VPN khởi tạo kết nối TCP.Cấu hình các bộ lọc ra nh sau :

là 255.255.255.255, và cổng TCP đích là 1723 (0x06BB) Các bộ lọc nàycho phép giao thức PPTP duy trì giao dịch từ PPTP khách tới PPTP phụcvụ

là 255.255.255.255, và ID của giao thức IP là 47 (0x2F) Bộ lọc này chophép dữ liệu đờng ngầm PPTP từ PPTP khách tới PPTP phục vụ

là 255.255.255.255, và cổng nguồn TCP ( đã đợc thiết lập ) là 1723(0x06BB) Bộ lọc này đợc yêu cầu nếu máy phục vụ VPN đang hoạt

động nh một máy khách VPN ( một bộ định tuyến theo kiểu gọi ) tròg mộtkết nối VPN router-to-router Khi bạn chọn TCP ( đã đợc thiết lập ), giaodịch đợc chấp nhận chỉ nếu máy phục vụ VPN khởi tạo kết nối TCP

7.1.3 VPN Server nằm sau Firewall

Trong một cách cấu hình thông thờng, đợc minh hoạ trong hình 14, firewall đợckết nối tới internet và máy phục vụ VPN là một mạng nội bộ khác kết nối tới mộtvùng phi quân sự (DMZ) Một vùng phi quân sự là một đoạn mạng IP mà đạcbiệt chứa các tài nguyên có khả năng với những ngời sử dụng internet nh là các

Trang 39

Figure 14 VPN Server Behind the Firewall on the Internet

phục vụ Web và FTP Mày phục vụ VPN có một giao diện trên DMZ và một trênmạng nội bộ

Trong tình huống này, firewall phải đợc cấu hình với các bộ lọc vào và ra trêngiao diện internet của nó để cho phép truyền qua giao dịch duy trì đờng ngầm

và d liệu đờng ngầm tới máy phục vụ VPN Các bộ lọc thêm vào có thể chophép truyền các gói tin tới các dịch vụ Web, FTP, và các dịch vụ khác trênDMZ

Bởi vì firewall không có các khoá mã cho mỗi kết nối VPN, nó chỉ có thể lọc dựa

vào các header rõ ràng của dữ liệu đờng ngầm, nghĩa là tất cá các dữ liệu đờngngầm đợc qua firewall Tuy nhiên, điều này không liên quan đến bảo mật bởi vìkết nối VPN yêu cầu một quá trình xác nhận mà ngăn chặn những truy cập bấthợp pháp dựa vào máy phục vụ VPN

Với giao diện internet trên firewall, các bộ lọc vào vả ra sau cần đ ợc cấu hình sửdụng phần mềm cấu hình của firewall

7.1.4 Cáo bộ lọc PPTP

Cấu hình các bộ lọc vào nh sau :

 Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và cổng đíchTCP là 1723 (0x06BB) Bộ lọc này cho phép đờng ngầm duy trì giao dịch

từ PPTP khách tới PPTP phục vụ

 Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và ID của giaothức IP là 47 (0x2F) Bộ lọc này cho phép dữ liệu đờng ngầm PPTP từPPTP khách tới PPTP phục vụ

Trang 40

 Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và cổng nguồnTCP ( đã đợc thiết lập ) là 1723 (0x06BB) Bộ lọc này đợc yêu cầu chỉnếu máy phục vụ VPN đang hoạt động nh một máy khách VPN ( acalling router ) trong một kết nối VPN theo kiểu router-to-router Khi bạnchọn TCP ( đã đợc thiết lập ), giao dịch đợc chấp nhận chỉ nếu máy phục

vụ VPN khởi tạo kết nối TCP

Cấu hình các bộ lọc ra nh sau :

 Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và cổng đíchTCP là 1723 (0x06BB) Bộ lọc này cho phép đờng ngầm duy trì giao dịch

từ PPTP phục vụ tới PPTP khách

 Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và ID của giaothức IP là 47 (0x2F) Bộ lọc này cho phép dữ liệu đờng ngầm PPTP từPPTP phục vụ tới PPTP khách

 Địa chỉ IP đích của máy phục vụ VPN tại giao diện DMZ và cổng nguồnTCP ( đã đợc thiết lập ) là 1723 (0x06BB) Bộ lọc này đợc yêu cầu chỉnếu máy phục vụ VPN đang hoạt động nh một máy khách VPN ( acalling router ) trong một kết nối VPN theo kiểu router-to-router Khi bạnchọn TCP ( đã đợc thiết lập ), giao dịch đợc gửi chỉ nếu máy phục vụVPN khởi tạo kết nối TCP

Định dạng
Số trang	80
Dung lượng	184,04 KB