Bản Báo Cáo Thực Hành Giao Thức Trong Vpn.pdf

Sinh viên: Đào Quang Việt Lớp: 09D-CNTT2

Khoa: Công Nghệ Thông Tin Trường Đại Học Kinh Bắc

ỦĐỀVPN

Mục lục Lời mở đầu

2 Định nghĩa “đường hầm” và “mã hoá” 7

2.1 Cấu trúc một gói tin IP trong đường hầm: 8

2.2 Mã hoá và giải mã (Encryption/Deccryption): 8

2.3 Một số thuật ngữ sử dụng trong VPN: 8

2.4 Các thuật toán được sử dụng trong mã hoá thông tin 9

3 Các dạng kêt nối mạng riêng ảo VPN 10

3.1 Truy cập VPN (Remote Access VPNs) .10

3.1.1 Một số thành phần chính .11

3.1.2 Thuận lợi chính của Remote Access VPNs: 12

3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như: 12

3.2 Site – To – Site VPN 13

3.2.1 Intranet .14

3.2.2 Extranet VPNs (VPN mở rộng) 16

4 VPN và các vấn đề an toàn bảo mật trên Internet 18

4.1 An toàn và tin cậy 19

2 Chế độ làm việc của IPSec 23

2.1 Chế độ chuyển vận (Transport mode) 23

2.2 Chế độ đường hầm ( Tunnel Mode ): .24

3 Giao thức PPTP và L2TP .31

3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling Protocol) .31

3.1.1 Quan hệ giữa PPTP và PPP 2

3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol) .34

3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol) .35

3.3.1 Quan hệ giữa L2TP với PPP 36

3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview) 38

3.5 Ứng dụng L2TP trong VPN 42

3.6 So sánh giữa PPTP và L2TP .42

3.6.1 Ưu điểm của L2TP 43

3.6.2 Ưu điểm của PPTP 43

Chương 3: Mã hoá và chứng thực trong VPN 1 Mã hoá trong VPN 45

1.1 Thuật toán mã hoá DES 45

1.1.1 Mô tả DES 46 1.1.2 Ưu và nhược điểm của DES .47

1.1.3 Ứng dụng của thuật toán DES trong thực tế 47

1.2 Thuật toán mã hoá 3DES .48

1.2.1 Mô tả 3DES 48

1.2.2 Ưu và nhược điểm của 3DES .49

1.3 Giải thuật hàm băm (Secure Hash Algorithm) 49

1.4 Giải thuật RSA 49

Lời mở đầu

Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là sửdụng một kết nối quay số Các kết nối RAS dial-up làm việc trên các đường điệnthoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt vào khoảng56kbps Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS, tuy nhiên một vấnđề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài cần có cho việc truy cập

Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở rộng,khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông tin trênmạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị đánh cắp khiếncho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty … và các doanh nhân longại về vấn đề an toàn và bảo mật thông tin dữ liệu trong các mạng cục bộ của mình(LAN) khi trao đổi thông tin qua mạng công cộng

Internet

VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu)

Là một sinh viên công nghệ, phần nào em cũng hiểu được sự băn khoăn và lo lắng vềsự mất an toàn bảo mật khi trao đổi thông tin của các tổ chức, cá nhân Với sự hướngdẫn, và giúp đỡ của thầy cô và bạn bè, em chọn đề tài mạng riêng ảo (VPN) để nghiêncứu và các giải pháp công nghệ cho vấn đề xây dựng mạng riêng ảo Nghiên cứu cácmô hình truy cập, các phương pháp xác thực và ứng dụng triển khai cài đặt trên cáchệ thống mạng

Chương 1

TỔNG QUAN VỀ VPN

Trong thời đại ngày nay Internet đã phát triển mạnh mẽ về mặt mô hình chonền công nghiệp, đáp ứng các nhu cầu của người sử dụng Internet đã được thiết kế đểkết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng mộtcách tự do và nhanh chóng mà không xem xét đến máy và mạng mà người sử dụngđó đang sử dụng Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi làRouter để kết nối các LAN và WAN với nhau Các máy tính kết nối vào Internetthông qua nhà cung cấp dịch vụ (ISP –Internet service Provider), cần một giao thứcchung là TCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyềnthông của các mạng viễn thông công cộng Với Internet, những dịch vụ như giáo dụctừ xa, mua hang trực tuyến, tư vấn y tế,và rất nhiều điều khác đã trở thành hiện thực.Tuy nhiên do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụ thểnào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trongviệc quản lý các dịch vụ Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoãmãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có củaInternet, đó chính là mô hình mạng riên ảo (Virtual Private Network – VPN ) Với môhình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tínhnăng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được sựhoạt động của mạng này VPN cho phép người sử dụng làm việc tại nhà riêng, trênđường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổchức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó có thể đảmbảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối tác kinh doanh vớinhau trong môi trường truyền thông rộng lớn Trong nhiều trường hợp VPN cũnggiống như WAN (Wire Area Network), tuy nhiên đặc tính quyết định của VPN làchúng có thể dùng mạng công cộng như Internet mà đảm bảo tính riêng tư và tiếtkiệm hơn nhiều

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( PrivateNetwork) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạng riêng rẽsử dụng một mạng chung (thường là Internet) để kết nối cùng với các site (các mạngriêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyêndùng như đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường quaInternet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa Để có thểgửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an toàn và bảo

mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đườngống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-pointtrên mạng riêng Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mãhoá hay cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin vềđường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanhchóng Dữ liệu được mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trênđường truyền công cộng cũng không thể đọc được nội dùng vì không có khoá để giảimã Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Cácđường kết nối VPN thường được gọi là đường ống VPN (Tunnel)

• Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính linhhoạt và có thể leo thang những kiến trúc mạng hơn là những mạng cổ điển,băng cách nào đó nó có thể hoạt động kinh doanh nhanh chóng và chi phímột cách hiệu quả cho việc kết nối từ xa của những văn phòng, những vị tríngoài quốc tế, những người truyền thông, những người dùng điện thoại di

động, những người hoạt động kinh doanh bên ngoài như những yêu cầukinh doanh đã đòi hỏi

• Đơn giản hóa những gánh nặng

• Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng: Sửdụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp với kếtnối hướng những giao thức như là Frame Relay và ATM

• Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với nhữngngười không có quyền truy cập và cho phép truy cập đối với những ngườidùng có quyền truy cập

• Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP

• Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá do đócác địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bênngoài Internet

VPN cung cấp 4 chức năng chính

• Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trướckhi truyền chúng ngang qua mạng Bằng cách làm như vậy, không một aicó thể truy nhập thông tin mà không được phép, mà nếu lấy được thông tinthì cũng không đọc được vì thông tin đã được mã hoá

• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra rằng dữliệu đã được truyền qua mạng Internet mà không có sự thay đổi nào

• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thựcnguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin

2 Định nghĩa “đường hầm” và “mã hoá”

Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mật thôngtin bằng cách mã hoá và chứng thực qua một đường hầm (tunnel)

Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã hoábằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật thông tinvì dữ liệu sau khi mã hoá sẽ lưu chuyển trong một đường hầm được thiết lập giữangười gửi và người nhận cho nên sẽ tránh được sự mất cắp, xem trộm thông tin,đường hầm chính là đặc tính ảo của VPN

Các giao thức định đường hầm được sử dụng trong VPN như sau:

• L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm lớp 2

• PPTP (Point-to-Point Tunneling Protocol) • L2F (Layer 2 Forwarding)

Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ: • IP Sec (IP security)

• GRE (Genenic Routing Encapsulation)

Tunnel mode packet

Original packet

Hình 2: Cấu trúc một gói tin IPtrong đường hầm

Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hay plaintext) thành một dạng văn bản mật mã vô nghĩa không đọc được (cyphertex), vì vậy nókhông có khả năng đọc được hay khả năng sử dụng bởi những người dùng khôngđược phép Giải mã là quá trình ngược lại của mã hoá, tức là biến đổi văn bản đã mãhoá thành dạng đọc được bởi những người dùng được phép

Hệ thống mã hoá (Crysystem): là một hệ thống để thực hiện mã hoá hay giải

mã, xác thực người dùng, băm (hashing), và các quá trình trao đổi khoá, một hệ thốngmã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào yêu cầucho một vài loại traffic người dùng cụ thể

Hàm băm (hashing): là một kỹ thuật toàn vẹn dữ liệu mà sử dụng một công thức hoặcmột thuật toán để biến đổi một bản tin có chiều dài thay đổi và một khoá mật mã côngcộng vào trong một chuỗi đơn các số liệu có chiều dài cố đinh Bản tin hay khoá vàhash di chuyển trên mạng từ nguồn tới đích Ở nơi nhận việc tính toán lại hash đượcsử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi trong khi truyền trênmạng

Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng

hay quá trình truy cập hệ thống máy tính hoặc kết nối mạng Xác thực chắc chắn rằngcá nhân hay một tiến trình là hoàn toàn xác định

IP AH ESP Header Data

Cho phép (Authorization): Là hoạt động kiểm tra thực thể đó có được phép

thực hiện những quyền hạn cụ thể nào

Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy ngẫu

nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban đầu để thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống mật mã Quản lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá được tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ

Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà được tin

tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc các ngườidùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoá công cộng,cho mục đích mã hoá Một CA đảm bảo cho sự lien kết giữa các thành phần bảo mậttrong chứng nhận

2.5 Thuật toán được sử dụng trong mã hoá thông tin:

• DES (Data Encryption Security)

• 3DES (Triple Data Encryption Security) • SHA (Secure Hash Algorithm)

AH ( Authentication Header): La giao thức bảo mật giúp xác thực dữ liệu, bảo

đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất của gói tin) AH được nhúng vào trong dữ liệu để bảo vệ

ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự

tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu, và xác thực nguồn gốc dữ liệu, cácdịch vụ “anti-replay” ESP đóng gói dữ liệu để bảo vệ Oakley và Skeme mỗi cái địnhnghĩa một phương thức để thiết lập một sự trao đổi khoá xác thực, cái đó bao gồmcấu trúc tải tin, thông tin mà các tải tin mang, thứ tự mà các khoá được sử lý và cáckhoá được sử dụng như thế nào

ISAKMP (Internet Security Association and Key Management):

IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa

Oakley và trao đổi khoá Skeme bên trong khung ISAKMP (Protocol): Là một khunggiao thức mà định nghĩa các định dạng tải tin, các giao thức triển khai một giao thứctrao đổi khoá và sự trao đổi của một SA (Security Association)

SA (Security Association): Là một tập các chính sách và các khoá được sử

dụng để bảo vệ thông tin ISAKMP SA là các chính sách chung và các khoá được sửdụng bởi các đối tượng ngang hang đàm phán trong giao thức này để bảo vệ thông tincủa chúng

AAA (Authentication, Authorization và Accouting): là các dịch vụ bảo mật

mạng mà cung cấp các khung chính qua đó điều khiển truy cập được đặt trên Routerhay các Server truy cập Hai sự lựa chọn chính cho AAA là TACACS+ và RADIUS

TACACS+ (Terminal Access Controller Access Control System Plus): Là một

ứng dụng bảo mật mà cung cấp sự xác thực tập trung của các người dùng cố gắngtruy nhập tới Router hay mạng truy cập Server

RADIUS (Remote Authentication Dial-In User Service): Là một hệ thống phân

tán client/server mà bảo mật các truy cập không được phép tới mạng

3 Các dạng kêt nối mạng riêng ảo VPN

3.1 Truy cập VPN (Remote Access VPNs)

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và cácthiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổchức

Remote Access VPN mô tả công việc các người dùng ở xa sử dụng các phần mềmVPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPNconcentrator (bản chất là một server) Vì lý do này, giải pháp này thường được gọi làclient/server Trong giải pháp này, các người dùng thường thường sử dụng các côngnghệ WAN truyền thống để tạo lại các tunnel về mạng

HO của họ

Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trongđó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây Trongthiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (Wirelessterminal) và sau đó về mạng của công ty Trong cả hai trường hợp, phần mềm clienttrên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầunhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy Thường thì giaiđoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty Chính sáchnày bao gồm: quy trình (Procedure), kỹ thuật, server (such as Remote Authentication

Dial-In User Service [RADIUS], Terminal Access Controller Access Control SystemPlus [TACACS+] …)

3.1.1 Một số thành phần chính

Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng

nhận các yêu cầu gửi tới

Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ởkhá xa so với trung tâm

Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truycập từ xa bởi người dùng

Hình 3 Thiết lập một non-VPN remote access

Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chinhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP

hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet Thông tin RemoteAccess Setup được mô tả bởi hình vẽ sau:

Hình 4 Thiêt lập một VPN remote access

3.1.2 Thuận lợi chính của Remote Access VPNs:

- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ

- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đãđược tạo điều kiện thuận lợi bởi ISP

- Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nốivới khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ

- Giảm giá thành chi phí kết nối với khoảng cách xa

- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so vớikết nối trực tiếp đến những khoảng cách xa

- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụtruy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các kết nối đồngthời đến mạng

3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như:

- Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu cóthể đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều nàygây khó khăn cho quá trính xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn nhưcác gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới mạng củamột vị trí khác thông qua VPN Trong hoàn cảnh này thì việc chứng thực ban đầugiữa các thiết bị mạng được giao cho người sử dụng Nơi mà có một kết nối VPNđược thiết lập giữa chúng Khi đó các thiết bị này đóng vài trò như là một gateway, vàđảm bảo rằng việc lưu thông đã được dự tính trước cho các site khác Các Router vàFirewall tương thích với VPN, và các bộ tập trung VPN chuyên dụng đều cung cấpchức năng này

Hình 5 Site – to – site VPN

Site – to –Site VPN có thể được xem như là Intranet VPN hoặc Extranet VPN.Nếu chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xem như là mộtintranet VPN, ngược lại chúng được xem như một extranet VPN Tính chặt chẽ trongviệc truy cập giữa các site có thể được điều khiể bởi cả hai (Intranet và ExtranetVPN) theo các site tương ứng của chúng Giải pháp Site – To – Site VPN không phảilà một remote access VPN nhưng nó được thêm vào đây vì tính chất hoàn thiện củanó

Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơn thuần mangtính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích thảo luận Ví dụ

như là các thiết bị VPN dựa trên phần cứng mới (Router Cisco 3002 chẳng hạn) ở đâyđể phân loại được, chúng ta phải áp dụng cả hai cách, bởi vì harware-based client cóthể xuất hiện nếu một thiết bị đang truy cập vào mạng Mặc dù một mạng có thể cónhiều thiết bị VPN đang vận hành Một ví dụ khác như là một chế độ mở rộng củagiải pháp Ez VPN bằng cách dùng Router

806 và 17xx

Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường hầm bảomật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP, L2TP, hoặc IPSec,mục đích của Site –to –Site VPN là kết nối hại mạng không có đường nối lại vớinhau, không có việc thoả hiệp tích hợp, chứng thực, sự cẩn mật của dữ liệu, bạn cóthể thiết lập một Site – to –Site VPN thông qua sự kết hợp của các thiết bị VPNconcentrators, Router, và Firewalls

Kết nối Site –to –Site VPN được thiết kế để tạo một kết nối mạng trực tiếp, hiệu quảbất chấp khoảng cách vật lý giữa chúng Có thể kết nối này luân chuyển thông quaInternet hoặc một mạng không được tin cậy Bạn phải đảm bảo vấn đề bảo mật bằngcách sử dụng sự mã hoá dữ liệu trên tấ cả các gói dữ liệu đang luân chuyển giữa cácmạng đó

3.2.1 Intranet

Hình 6 Thiết lập Intranet sử dụng WAN backbone

Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ sở chính,văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùng chung nhưInternet thành một mạng riêng tư của một tập đoàn hay một tổ chức gồm nhiều côngty và văn phòng làm việc mà các kết nối này luôn luôn được mã hoá thông tin

Intranet VPN được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đếnCorporate Intranet (Backbone Router) sử dụng campus router (Hình 7)

Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết lập đượcmạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rấttốn kém còn tuỳ thuộnc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lýcủa toàn bộ mạng Intranet

Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kếtnối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng kể của việc triểnkhai mạng Intranet (Hình 1-5)

Hình 7 Thiếp lập Intranet dựa trên VPN

Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 7

- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô

hình WAN backbone

- Giảm thiểu số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu,

các trạm ở một số remote site khác nhau

- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung

cấp những kết nối mới ngang hang

- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấpdịch vụ, loại bỏ vấn đề khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi

phí cho việc thực hiện Intranet

Những bất lợi chính kết hợp với cách giải quyết:

- Bởi vì dữ liệu vẫn còn tunnel trong quá trình chia sẻ trên mạng côngcộng-Internet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ(denial-of service), vẫn còn là một mối đe doạ an toàn thông tin

- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao

- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như cáctập tin multimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thôngqua Internet

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thườngxuyên, và QoS cũng không được bảo đảm

3.2.2 Extranet VPNs (VPN mở rộng)

Hình 8 Extranet VPN

Extranet là sự mở rộng từ những Intranet liên kết các khách hàng, những nhà cungcấp, những đối tác hay những nhân viên làm việc trong các Intranet qua cơ sở hạ tầngdùng chung chia sẽ những kết nối

Không giốn như intranet và Remote Access –based, Extranet không an toàn cách lytừ bên ngoài (outer-world), Extranet cho phép truy nhập những tài nguyên mạng cầnthiết kế của các đối tác kinh doanh, chẳng hạn như khách hang, nhà cung cấp, đối tácnhững người giữ vài trò quan trọng trong tổ chức

Hình 9 Thiết lập mạng Extranet theo truyền thống

Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trênintranet kết hợp lại với nhau để tạo ra một Extranet Điều này làm cho khó triển khaivà quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việcbảo trì và quản trị Thêm nữa là mạng Extranet dễ mở rộng do điều này sẽ làm rốitung toàn bộ mạng Intranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng Sẽcó những vấn đề bạn gặp phải bất thình lình khi kết nối một Intranet vào một mạngExtranet Triển khai và thiết kế một mạng Extranet có thể là một cơn ác mộng của cácnhà thiết kế và quản trị mạng

Hình 10: Thiết lập Extranet

Một số thuận lợi của Extranet:

Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khi lựachọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức Bởi vì một phầnInternet-connectivity được bảo trì bởi nhà cung cấp ISP nên cũng giảm chi phí bảo trìkhi thuê nhân viên bảo trì Dễ dàng triển khai, quản lý và chỉnh sữa thông tin

- Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên

Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu Internet ngàycàng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào Internet kèm theo đólà vấn đề làm sao để có thể trao đổi thông tin dữ liệu một cách an toàn qua mạng côngcộng như Internet Hàng năm sự rò rỉ và mất cắp thông tin dữ liêu đã gây thiệt hại rấtlớn về kinh tế trên toàn thế giới Các tội phạm tin tặc “ hacker” luôn tìm mọi cách để

nghe trộm, đánh cắp thông tin dữ liệu nhạy cảm như: thẻ tín dụng, tài khoản ngườidùng, các thông tin kinh tế nhạy cảm của các tổ chức hay cá nhân

Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo mậtthông tin trên Internet như thế nào ?

Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâm khi trao đổithông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng riêng ảo VPN

Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo ra mộtđường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối Các thông tindữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển trong một đườnghầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò muốn đánh cắp thông tin

4.1 An toàn và tin cậy

Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì một hệ thốngđáng tin cậy được Thuộc tính này của một hệ thống đựơc viện dẫn như sự đáng tincậy được Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

• Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trongkhoản thời gian Tính sẵn sang thường đựơc thực hiện qua những hệthống phần cứng dự phòng

• Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiện các chứcnăng của nó trong một chu kỳ thời gian Sự tin cậy khác với tính sẵnsang , nó được đo trong cả một chu kỳ của thời gian Nó tương ứng tớitính liên tục của một dịch vụ

• Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năngcủa nó chính xác hoặc thực hiện trong trường hợp thất bại một ứng xửkhông thiệt hại nào xuất hiện

• Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảovệ tất cả các tài nguyên hệ thống

Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn đảm bảo an toàn ở bất kỳthời gian nào Nó đảm bảo không một sự và chạm nào mà không cảnh báo thông tincó cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:

• Tính bí mật • Tính toàn vẹn

Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổitrong một ứng xử không hợp pháp trong thời gian tồn tại của nó Tính sẵn sang, sự antoàn và anh ninh là những thành phần phụ thuộc lẫn nhau Sự an ninh bảo vệ hệ thốngkhỏi những mối đe doạ và sự tấn công Nó đảm bảo một hệ thống an toàn luôn sẵnsang và đáng tin cậy

4.2 Hình thức an toàn

Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó Có 3 kiểu khác nhau của sự an toàn:

• Sự an toàn phần cứng • Sự an toàn thông tin • Sự an toàn quản trị

An toàn phần cứng:

Những mối đe doạ và tấn công có liên quan tới phần cứng của hệ thống Nó có thể được phân ra vào 2 phạm trù:

• Sự an toàn vật lý • An toàn bắt nguồn

Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe doạ vật lý bênngoài như sự can thiệp, mất cắp thông tin, động đất và nước làm ngập lụt Tất cảnhững thông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống cần sự bảovệ chống lại tất cả những sự bảo vệ này

An toàn thông tin:

Liên quan đến tính dễ bị tổn thương trong phần mềm, phần cứng và sự kết hợp củaphần cứng và phần mềm Nó có thể được chia vào sự an toàn và truyền thông máytính Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượng chống lại sự phơibày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế điều khiển truy nhập,các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế phần cứng, kỹ thuật mãhoá… Sự an toàn truyền thông bảo vệ đối tượng truyền

An toàn quản trị:

An toàn quản trị liên quan đến tất cả các mối đe doạ mà con người lợi dụng tới mộthệ thống máy tính Những mối đe doạ này có thể là hoạt động nhân sự Sự an toànnhân sự bao bao trùm việc bảo vệ của những đối tượng chống lại sự tấn công từnhững người dùng uỷ quyền

Mỗi người dùng của hệ thống có những đặc quyền để truy nhập những tài nguyênnhất định Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại những ngườidùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm dụng những đặcquyền của họ, cho nên sự giáo dục nhận thức rất quan trọng để nó thực sự là một cơchế bảo vệ sự an toàn hệ thống Thống kê cho thấy những người dùng uỷ quyền có tỷ

lệ đe doạ cao hơn cho một hệ thống máy tính so với từ bên ngoài tấn công Nhữngthông tin được thống kê cho thấy chỉ có 10% của tất cả các nguy hại máy tính đựơcthực hiện từ bên ngoài hệ thống, trong khi có đến 40% là bởi những người dùng trongcuộc và khoảng 50% là bởi người làm thuê cũ

• IP Sec (IP Security)

• PPTP (Point-to-Point Tunneling Protocol)

• L2TP (Layer 2 Tunneling Protocol)

Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược điểm khácnhau khi triển khai vào mạng VPN

IPSec thực chất không phải là một giao thức, nó chỉ là một khung của các tập giaothức chuẩn mở rộng được thiết kế để cung cấp tính xác thực và toàn vẹn dữ liệu Giaothức IPSec được làm việc tại tầng Network Layer- Layer 3 của mô hình OSI Cácgiao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầngtransport layer trở lên (Từ tầng 4 đến tầng 7 của mô hình OSI) Điều này tạo ra tínhmềm dẻo cho IPSec, giao thức này có thể hoạt động tại tầng 4 với TCP, UDP, hầu hếtcác giao thức sử dụng tại tầng này IPSec có một tính năng cao cấp hơn SSL và cácphương thức khác hoạt động tại các tầng trên của mô hình OSI Với một ứng dụng sửdụng IPSec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụngSSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứngdụng đó sẽ bị thay đổi lớn

1.1 Cấu trúc bảo mật

IPSec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographicprotocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xácthực và (3) thiết lập các thông số mã hoá

Xây dựng khái niệm về bảo mật trên nền tảng IP Một sự kết hợp bảo mật đơn giảnkhi kêt hợp các thuật toán và các thông số (ví dụ như các khoá-keys) là nền tảng trongviệc mã hoá và xác thực trong một chiều Tuy nhiên trong các giao tiếp hai chiều, cácgiao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp Thực tế lựachọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPSec bởi vìIPSec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗigói tin IP

Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một góitin outgoing (đi ra ngoài), IPSec sử dụng các thông số Security Parameter Index(SPI), mỗi quá trình Index ( đánh thứ tự và lưu trong dữ liệu – Index ví như một cuốndanh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiềudài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của mộtthoả hiệp bảo mật cho mỗi gói tin Một quá trình tương tự cũng được làm với gói tinđi vào (incoming packet), nơi IPSec thực hiện quá trình giải mã và kiểm tra các khoátừ SADB

Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thựchiện cho toàn bộ các receiver trong group đó Có thể có hơn một thoả hiệp bảo mậtcho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phépthực hiện nhiều mức độ bảo mật cho một group Mỗi người gửi có thể có nhiều thoảhiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys đượcgửi đi trong dữ liệu Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp vàlựa chọn việc nhân bản từ group tới các cá nhân

1.1.1 Hiện trạng

IPSec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng IPv4 Trongkhi các chuẩn đã được thiết kế cho các phiên bản IP giống nhau, phổ biến hiện nay làáp dụng và triển khai trên nền tảng IPv4

Các giao thức IPSec được định nghĩa từ RFCs 1825 -1829, và được phổ biến năm1995 Năm 1998, được nâng cấp với các phiên bản RFC 2401-2412, nó không tươngthích với chuẩn 1825-1829 Trong tháng 12 năm 2005, thế hệ thứ 3 của chuẩn IPSec,RFC 4301-4309 Cũng không khác nhiều so với chuẩn RFC 2401-2412 nhưng thế hệmới được cung cấp chuẩn IKE second Trong thế hệ mới này IP security cũng đượcviết tắt lại là IPSec

2.1 Chế độ chuyển vận (Transport mode)

Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ với máy khácmà không có sự can thiệp nào của các gateway làm nhiệm vụ an ninh mạng

Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mãhoá và hoặc xác thực Trong quá trình Routing, cả IP header đều không bịchỉnh sữa hay mã hoá; tuy nhiên khi authentication header được sử dụng,địa chỉ IP không thể chỉnh sửa ( ví dụ như port number) Transport mode sửdụng trong tình huống giao tiếp host-tohost

Điều này có nghĩa là đóng gói các thông tin trong IPSec cho NAT traversalđược định nghĩa bởi các thông tin trong tài liệu của RFC bởi

NAT-T

Chế độ này hỗ trợ khả năng truy nhập từ xa và liên kết an toàn các Website Chế độchuyển vận sử dụng AH và ESP đối với phần của tầng chuyển vận trong một gói tin

IP Phần dữ liệu thực của giao thức IP này là phần duy nhất được bảo vệ trong toàngói tin Phần header của gói tin IP với địa chỉ của điểm truyền và điểm nhận khôngbảo vệ Khi áp dụng cả AH và ESP thì AH được áp dụng sau để tính ra tính toàn vẹncủa dữ liệu trên tổng lượng dữ liệu Mặt khác chế độ đường hầm cho phép mã hoá vàtiếp nhận đối với toàn bộ gói tin IP Các cổng bảo mật sử dụng chế độ này để cungcấp các dịch vụ bảo mật thay cho các thực thể khác trên mạng Các điểm truyền thôngđầu cuối được bảo vệ bên trong các gói tin IP đến trong khi các điểm cuối mã hoá lạiđược lưu trong các gói tin IP truyền đi Một gateway bảo mật thực hiện phân tách góitin IP đến cho điểm nhận cuối cùng sau khi IPSec hoàn thành việc sử lý của mình.Trong chế độ đường hầm, địa chỉ IP của điểm đến được bảo vệ

Trong chế độ đường hầm, có một phần header IP phụ được thêm vào, còn trong chếđộ chuyển vận thì không có điều này IPSec định ra chế độ đường hầm để áp dụngcho AH và ESP

Khi host 1 muốn giao tiếp với host 2, nó có thể sử dụng chế độ đường hầm để chophép các gateway bảo mật có thể cung cấp các dịch vụ để đảm bảo an toàn cho việcliên lạc giữa hai nút mạng trên mạng công cộng

IPSec cho phép chế độ bảo mật theo nhiều lớp và theo nhiều tuyến truyền Trongđó, phần header của gói tin nội tại được hoàn toàn bao bọc bởi phần header của góitin được phát đi Tuy vậy, phải có một điều kiện là các tuyến truyền không được gốichồng lên nhau

Đối với việc sử lý luồng dữ liệu truyền đi, tầng IP sẽ tham chiếu đến SPD (SecurityPolicy Database ) để quyết định các dịch vụ bảo mật cần áp dụng Các bộ chọn lọcđược lấy ra từ các phần header sử dụng để chỉ ra một cách thức hoạt động choSPD Nếu hoạt động của SPD là áp dụng tính năng bảo mật thì sẽ có một con trỏ,trỏ đến SA trong SADB ( Security Association Database ) được trả về Trường hợpSA không có trong SADB thì IKE sẽ được kích hoạt Sau đó các phần header AH vàESP được bổ xùng theo cách mà SA định ra và gói tin sẽ được truyền đi

Với việc sử lý luồng dữ liệu gửi đến, sau khi nhận được một gói tin, tầng có nhiệmvụ bảo mật sẽ kiểm tra danh mục các phương thức bảo mật để đưa ra các hành độngsau đây: huỷ bỏ, bỏ qua hoặc áp dụng Nếu hành động là áp dụng mà SA không tồntại thì gói tin sẽ bị bỏ qua Tuy nhiên, nếu SA có trong SADB thì gói tin sẽ đượcchuyển đến tầng tiếp theo để xử lý Nếu gói tin có chứa các phần header của dịch vụIPSec thì stack của IPSec sẽ thu nhận gói tin này và thực hiện sử lý Trong quá trìnhsử lý, IPSec lấy ra phấn SPI, phần địa chỉ nguồn và địa chỉ đích của gói tin Đồngthời, SADB được đánh số theo các tham số để chọn ra SA nhất địn để sử dụng: SPT,địa chỉ đích hoặc là giao thức

Hình 11

+ IPSec cho phép thiết lập các mối truyền thông riêng biệt và đảm bảo tính bí mậttrên mạng internet mà không cần biết đến các ứng dụng đang chạy trên máy đó haycác giao thức ở tầng cao hơn như tầng vận chuyển ( Transport layer)

Hình 12

+ IPSec là bộ giao thức có khả năng thẩm định dữ liệu ở cả hai phía người gửi vàngười nhận, đảm bảo tính bí mật và toàn vẹn dữ liệu bằng cách mã hoá chứng thực.IPSec có khả năng thích ứng với tất cả các trình ứng dụng chạy trên mạng IP

+ IPSec hoạt động hiệu quả và nhanh hơn các ứng dụng bảo mật hoạt động ở tầngứng dụng ( Application layer)

Hình 13

+ IPSec có thể được coi như là một lớp dưới của giao thức TCP/IP, lớp này kiểm soátcác người dùng truy nhập dựa vào một chính sách an toàn về mỗi máy tính và một tổchức đàm phán an ninh giữa người gửi và người nhận

• Giao thức đóng gói an toàn ESP ( Encapsulation Security Payload): là

giao thức số 50 được gán bởi IANA ESP là một giao thức bảo mật cóthể được sử dụng cho việc cung cấp tính bảo mật và xác thực các gói dữliệu khỏi sự nhòm ngó của người dùng không được phép ESP cung cấpphần tải tin của gói dữ liệu, ESP cung cấp sự xác thực cho gói tin IP nộibộ và phần tiêu đề ESP Sự xác thực cung cấp sự xác thực về nguồn gốcvà tính toàn vẹn của gói dữ liệu ESP là giao thức hỗ trợ và kiểu mã hoáđối xứng như: Blowfish, DES Thuật toán mã hoá dữ liệu mặc định sửdụng trong IPSec là thuật toán DES 56 bit Trong các sản phẩm và thiếtbị mạng của Cisco dùng trong VPN còn sử dụng việc mã hoá dữ liệu tôthơn bằng cách sử dụng thuật toán 3DES( Triple Data

Encryption Security ) 128 bit

+ Giao thức ESP có thể được sử dụng độc lập hoặc kết hợp với giao thức chứng thựcđầu mục AH ( Authentication Header ) tuỳ thuộc vào từng môi trường Hai giao thứcESP và AH đều cung cấp tính toàn vẹn, xác thực các gói dữ liệu

+ Giao thức ESP cũng có thể bảo vệ được tính duy nhất của gói tin bằng cách yêu cầu bên nhận đặt bit “ replay” trong tiêu đề để chỉ ra rằng gói tin đã được gửi

• Giao thức chứng thực mục đầu AH ( Authentication Header

Hình 14.2

AH và ESP là những giao thức mà IPSec yêu cầu những bí mật dùng chung trongviệc phân phối khoá, do đó các chìa khoá có thể mất cắp khi trao đổi qua lại Do đómột cơ chế trao đổi chìa khoá an toàn cho IPSec phải thoả mãn yêu cầu sau

• Không phụ thuộc vào các thuật toán đặc biệt

• Không phụ thuộc vào một nghi thức trao đổi khoá đặc biệt,

• Sự chứng thực của những thực thể quản lý khoá  Thiết lập các SAtrên các tuyến giao thông không an toàn

• Sử dụng hiệu quả các nguồn tài nguyên

Giao thức IKE dựa trên khung của Hiệp hội quản lý chìa khóa trên Internet và Giaothức phân phối khoá Oakley

Giao thức IKE có các đặc tính sau:

+ Các chìa khoá phát sinh và những thủ tục nhận biết + Tự động làm mới lại chìa khoá

+ Giải quyết vấn đề một khoá

+ Mỗi một giao thức an toàn ( AH, ESP ) có một không gian chỉ số an toàn củachính mình

+ Gắn sẵn sự bảo vệ

+ Chống lại các cuộc tấn công làm nghẽn mạch tài nguyên như: Tấn công từchối dịch vụ DoS ( Denial- of- Service )

+ Tiếp cận hai giai đoạn

• Thiết lập những SA cho khoá trao đổi • Thiết lập SA cho dữ liệu chuyển + Sử dụng chữ ký số

+ Dùng chung khoá

Giao thức IKE thiết kế ra để cung cấp 5 khả năng:

• Cung cấp những phương tiện cho hai bên về sự đồng ý những giaothức, thuật toán và những chìa khoá để sử dụng

• Đảm bảo trao đổi khoá đến đúng người dùng • Quản lý những chìa khoá sau khi được chấp nhận • Đảm bảo rằng sự điều khiển và trao đổi khoá an toàn

• Cho phép sự chứng thực động giữa các đối tượng ngang hang

Để thiết lập một hiệp hội khoá IKE bắt đầu từ một điểm, chủ nhà hay cổng vào antoàn một Intranet tập đoàn, ta cần thiết kế 4 khoản

• Một giải thuật để mã hoá dữ liệu

• Một giải thuật hàm băm để giảm bớt dữ liệu ở trên • Một phương pháp chứng thực dữ liệu

• Thông tin về nhóm người dùng khi trao đổi Diffie-Hellman

Trước khi IPSec gửi xác nhận hoặc mã hoá dữ liệu IP, giữa hai người gửi và ngườinhận phải thống nhất về giải thuật mã hoá và chìa khoá mã hoá hoặc những chìa khoáđể sử dụng IPSec sử dụng giao thức IKE để tự thiết lập những giao thức đàm phán vềnhững chìa khoá mã hoá, thuật toán sử dụng

Giao thức IKE cung cấp sự chứng thực sơ cấp: việc xác minh sự nhận biết cáchệ thống từ xa trước khi bàn bạc, thương lượng về chìa khoá và giải thuật

Giao thức IKE là giao thức lai ghép của 3 giao thức: ISAKMP ( Internet SecurityAssociation and Key Management Protocol ), Oakley, SKEME

Giao thức ISAKMP cung cấp một khung cho sự trao đổi chứng thực và chìa khoá Giao thức Oakley mô tả những kiểu trao đổi chìa khoá

Giao thức SKEME đinh nghĩa kỹ thuật trao đổi chìa khoá

Trong ISAKMP có hai kênh thành lập SA ( Security Association - Hiệp hội an toàn ) Giao thức IKE có hai luồng chung:

• ISAKMP thực hiện lần một ( kiểu chính): Đàm phán thiết lập Hiệp hộian toàn ISAKMP, một kênh an toàn truyền thông từ xa hơn nữa choIKE, hai hệ thống phát sinh một chìa khoá dùng chung Diffie-Ellman.Xác minh nhận biết hệ thống từ xa ( Chứng thực sơ cấp )

Step 3

• ISAKMP thực hiện lần 2 ( Kiểu nhanh) Sử dụng kênh truyền thông antoàn của ISAKMP SA cho sự mã hoá IPSec AH hoặc ESP

Hình 16: Thiết lập SA

+ Sự chứng thực sơ cấp IKE ( IKE Primary Authentication ):

IKE phải xác nhận những hệ thống sử dụng thuật toán Diffie-Hellman, qui trình nàyđược gọi là chứng thực sơ cấp

IKE có thể sử dụng hai phương pháp chứng thực sơ cấp: • Chữ ký số ( Digital Signatures)

• Khoá dùng chung ( Pre-shared keys)

Chữ ký số và sự mã hoá chìa khoá công cộng là cơ sở về sự mã hoá chìa khoá bấtđối xứng và yêu cầu một cơ chế phân phối những chìa khoá công cộng

Public Value

Private Value

Public Value

Private ValuePrivate Value combined

with Public Value B

Private Value B combined with Public Value A

• Sự chứng thực chữ ký số ( IKE Digital Signature Authentication ): Mộtchữ ký số tương tự như một giá trị hàm băm chìa khoá đối xứng Sựkhác nhau giữa chúng là chỉ có một người nắm giữ chìa khoá riêng mớicó thể phát sinh ra chữ ký số, trong khi mọi người giữ chìa khoá đốixứng có thể phát sinh một giá trị hàm băm chìa khoá đối xứng,

• Sự chứng thực khoá dùng chung ( IKE Pre-Shared Key

Authentication ): Với sự chứng thực khoá dùng, giữa người gửi vàngười nhận phải trao đổi bằng tay và định hình một chìa khoá dùngchung đối xứng Khoá dùng chung chỉ được sử dụng để chứng thực sơcấp

Hình 18

PPTP chỉ hỗ trợ IP, IPX, NetBIOS, NetBEUI, PPTP không làm thay đổi PPP mà nóchỉ là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông PPP

Hình 19

3.1.1 Quan hệ giữa PPTP và PPP

PPP đã trở thành giao thức quay số truy cập Internet và các mạng TCP/IP rất phổbiến hiện nay Giao thức này làm việc ở lớp thứ 2 trong mô hình OSI PPP bao gồmcác phương pháp đóng gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp.PPTP dựa trên PPP để tạo ra các kết nối quay số giữa khách hàng và máy chủ truy cậpmạng PPTP dựa trên PPP để thực thi các chức năng

• Thiết lập và kết thúc kết nối vật lý • Xác thực các người dùng

• Tạo ra gói dữ liệu PPP

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đónggói các gói truyền trong đường hầm như dưới đây:

Hình 21

Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói: Góiđiều khiển và gói dữ liệu rồi gán chúng voà hai kênh riêng Sau đó, PPTP phân táchcác kênh điều khiển và kênh dữ liệu thành luồng diều khiển với giao thức TCP vàluồng dữ liệu với giao thức IP Kết nối TCP được tạo ra giữa client PPTP với máy chủPPTP được sử dụng để chuyển thông báo điều khiển

Sau khi đường hầm được thiết lập thì dữ liệu được truyền từ client sang máy chủPPTP chứa các gói dữ liệu IP Gói dữ liệu IP được đóng gói tiêu đề như hình sau:

• Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng chomục đích xác định

• Đường hầm bắt buộc được tạo ra không thông qua người dùng cho nênnó trong suốt đối với người dùng đầu cuối

3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol)

Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ thốngmạng của Cisco trong lúc giao thức PPP đang phát triển, nó là một giao thức chophép một máy tính của người dùng truy nhập vào một intranet của một tổ chức xuyênqua cơ sở hạ tầng mạng công cộng Internet với sự an toàn và điều khiển được bảo trì.Tương tự như giao thức định đường hầm điểm tới điểm PPTP, giao thức L2F chophép sự truy nhập mạng riêng ảo an toàn xuyên qua cơ sở hạ tầng mạng công cộngInternet bằng cách tạo ra một đường hầm giữa hai điểm kết nối

Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ IP, IPX,NetBIOS, NetBEUI, còn L2F định đường hầm không tuỳ thuộc vào mạng IP, L2F cóthể làm việc với nhiều thủ tục mạng khác nhau như: Frame Relay, ATM, FDDI….Một L2F hỗ trợ việc định đường hầm cho hơn một kết nối, giới hạn của giao thứcPPTP L2F có thể làm được điều này trong khi nó định nghĩa những kết nối bên trongđường hầm, đây là một đặc điểm hữu ích của L2F Trong tình trạng nơi có nhiều mộtngười đang dùng truy nhập từ xa mà chỉ có duy nhất một kết nối được thoả mãn yêucầu