Một số ví dụ về Mạng riêng ảo: a Ví dụ về các mô hình kết nối Mạng riêng ảo Hình 1.1: Những người dùng di động, người dùng từ xa thiết lập kết nốiVPN qua Internet đến mạng Công ty của họ
Trang 1An toàn Mạng riêng ảo
……… , tháng … năm …….
Trang 2MỤC LỤC
PHẦN I CÔNG NGHỆ MẠNG RIÊNG ẢO 7
Chương I Giới thiệu chung về Mạng riêng ảo 7
1.1 Các khái niệm cơ bản về mạng riêng ảo 7
1.1.1 Định nghĩa về Mạng riêng ảo 7
1.1.2 Một số ví dụ về Mạng riêng ảo: 8
1.2 Những lợi ích cơ bản của Mạng riêng ảo 10
1.3 Những yêu cầu đối với Mạng riêng ảo 11
1.3.1 Bảo mật 12
1.3.2 Tính sẵn sàng và tin cậy 13
1.3.3 Chất lượng dịch vụ 14
1.3.4 Khả năng quản trị 14
1.3.5 Khả năng tương thích 15
1.4 Cách tiếp cận cơ bản thiết kế và cài đặt VPN 16
1.5 Các mô hình kết nối VPN thông dụng 17
1.5.1.VPN Truy cập từ xa (Remote Access VPN): 17
1.5.2 VPN Cục bộ (Intranet VPN) 19
1.5.3 Mạng riêng ảo mở rộng (Extranet VPN) 21
1.6 Các công nghệ và các chính sách an toàn Mạng riêng ảo 23
1.6.1 Sự cần thiết của chính sách an toàn Mạng 23
1.6.2 Chính sách an toàn mạng 25
1.6.3 Chính sách an toàn Mạng riêng ảo 26
Câu hỏi ôn tập 26
Chương 2 Giao thức mạng riêng ảo tại tẩng 2 28
2.1 Giao thức PPP 28
2.1.1 Quá trình thực hiện PPP 29
2.1.2 Định dạng gói PPP 30
2.1.2 Kiểm soát liên kết PPP 31
2.2 Các giao thức đường hầm tại tầng 2 trong mô hình OSI 32
2.2.1 Giao thức đường hầm điểm (PPTP) 32
2.2.1.1 Vai trò của PPP trong các giao dịch PPTP 33
2.2.1.2 Các thành phần của giao dịch PPTP 33
2.2.1.3 Các tiến trình PPTP 35
2.2.1.4 Bảo mật PPTP 39
2.2.1.5 Các tính năng của PPTP 41
2.2.2 Chuyển tiếp tầng 2 (L2F) 42
2.2.2.1 Tiến trình L2F 43
2.2.2.2 Đường hầm L2F 45
2.2.2.3 Bảo mật L2F 46
2.2.2.4 Các ưu và nhược điểm của L2F 46
2.2.3 Giao thức đường hầm lớp 2 (L2TP) 47
2.2.3.1 Thành phần của L2TP 49
2.2.3.2 Các tiến trình L2TP 49
Trang 32.2.3.3 Dữ liệu đường hầm L2TP 51
2.2.3.4 Mô hình đường hầm L2TP 52
2.2.3.5 Kiểm soát kết nối L2TP 56
2.2.3.6 Bảo mật L2TP 57
2.2.3.7 Những ưu và nhược điểm của L2TP 58
2.2.4 So sánh các giao thức đường hầm truy cập từ xa 58
2.5 Lập mã và xác thực trong các giao thức đường hầm tại tầng 2 59
2.5.1 Các tùy chọn xác thực 59
2.5.1.1 Giao thức xác thực mật khẩu (Password Authentication Protocol -PAP) 59
2.5.1.2 Giao thức xác thực có thăm dò trước (Challenge Handshake Authentication Protocol - CHAP) 60
2.5.1.3 Giao thức xác thực có thăm dò trước của Microsoft (Microsoft CHAP) 60
2.5.1.4 Giao thức xác thực mật khẩu Shiva (Shiva Password Authentication Protocol - SPAP) 60
2.5.1.5 Giao thực xác thực mở rộng (Extensible Authentication Protocol -EAP) 61
2.5.1.6 Kiến trúc bảo mật IP (IP Security) 61
2.5.1.7 RADIUS and TACACS 61
2.5.1.8 ID bảo mật 61
2.5.2 Tuỳ chọn mã hoá 62
2.5.2.1 Mã hoá điểm tới điểm của Microsoft(Microsoft Point-to-Point Encryption - MPPE) 62
2.5.2.2 Giao thức kiểm soát mã hóa(Encryption Control Protocol - ECP) .62 2.5.2.3 IPSec 62
Tổng kết 64
Câu hỏi ôn tập 64
Chương III Các giao thức mạng riêng ảo tại tẩng 3 67
3.1 Kiến trúc an toàn IP (IPSec) 67
3.1.1 Giới thiệu chung và các chuẩn 67
3.1.2 Liên kết bảo mật IPSec (SA-IPSec) 70
3.1.3 Các giao thức của IPSec 72
3.1.3.1 Giao thức xác thực tiêu đề (AH) 72
3.1.3.1 Giao thức đóng gói tải bảo mật(ESP) 77
3.1.4 Các chế độ IPSec 81
3.1.4.1 Chế độ Transport 82
3.1.4.2 Chế độ Tunnel 83
3.1.5 Sự kết hợp giữa các SA 84
3.1.5.1 Kết hợp giữa AH và ESP trong chế độ Transport 84
3.1.5.2 Kết hợp AH và ESP ở chế độ Tunnel 84
3.2 Giao thức trao đổi khoá Internet 85
3.2.1 Giới thiệu chung và các chuẩn 85
3.2.2 Các yêu cầu quản lý khoá đối với IPSec 86
3.2.3 Pha thứ nhất của IKE 87
3.2.4 Pha IKE thứ II 89
Trang 43.2.5.1 Main Mode 91
3.2.5.2 Aggressive mode 92
3.2.5.3 Quick Mode 92
3.2.5.4 Chế độ New Group 93
3.3 Quá trình hoạt động của IPSec 93
3.4 Xử lý hệ thống IPSec/IKE 94
3.4.1 Xử lý IPSec cho đầu ra với các hệ thống máy chủ 94
3.4.2 Xử lý đầu vào với các hệ thống máy chủ Host 95
3.4.3 Xử lý đầu ra với các hệ thống cổng kết nối 95
3.4.4 Xử lý đầu vào với các hệ thống cổng kết nối 96
Tổng kết chương III 97
Câu hỏi ôn tập 98
Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo 99
4.1 Xác thực với người dùng quay số truy cập từ xa 99
4.1.1 Hoạt động của RADIUS 103
4.1.2 Sử dụng RADIUS với các đường hầm tầng 2 105
4.2 Chuyển dịch địa chỉ mạng(NAT) 106
4.2.1 Sử dụng NAT với các mạng riêng ảo 107
4.3 Giao thức SOCKS 108
4.4 Giao thức SSL và TLS 110
4.5 So sánh giao thức IPSec với SSL 112
Tổng kết chương IV 114
Câu hỏi ôn tập 114
PHẦN II XÂY DỰNG VÀ THỰC THI MẠNG RIÊNG ẢO 116
Chương V Xây dựng mạng riêng ảo 117
5.1 Các vấn đề khi thiết kế mạng riêng ảo 117
5.1.1 Bảo mật 118
5.1.2 Vấn đề đánh địa chỉ và định tuyến mạng riêng ảo 121
5.1.2.1 Vấn đề đánh địa chỉ 122
5.1.2.2 Vấn đề định tuyến 124
5.1.3 Các xem xét liên quan đến DNS 126
5.1.4 Các xem xét liên quan đến Firewall, Router, NAT 128
5.1.4.1 Các xem xét liên quan đến Router 128
5.1.4.2 Các xem xét liên quan đến Firewall 129
5.1.4.3 Các xem xét liên quan đến NAT 131
5.1.4.4 Các xem xét liên quan đến Client và Server mạng riêng ảo 132
5.1.5 Hiệu suất thực thi 133
5.1.6 Khả năng mở rộng và liên tác 133
5.2 Các môi trường mạng riêng ảo riêng lẻ 136
5.2.1 Mạng riêng ảo truy cập từ xa 137
5.2.2 Mạng riêng ảo cục bộ 138
5.2.3 Mạng riêng ảo mở rộng 140
5.3 Các bước chung để xây dựng mạng riêng ảo 142
5.3.1 Chuẩn bị cơ sở 143
5.3.2 Lựa chọn các sản phẩm và nhà cung cấp dịch vụ 144
5.3.3 Kiểm thử kết quả 145
Trang 55.3.4 Thiết kế và thực thi giải pháp 146
5.3.5 Giám sát và quản trị 146
Tổng kết 146
Chương VI Xây dựng mạng riêng ảo truy cập từ xa 148
6.1 Các thành phần trong mạng riêng ảo truy cập từ xa 148
6.1.1 Giới thiệu chung 148
6.1.2 Các thành phần 148
6.2 Triển khai mạng riêng ảo truy cập từ xa 154
6.2.1 Triển khai truy cập từ xa dựa trên PPTP hoặc L2TP/IPSec 154
6.2.1.1 Triển khai một cơ sở hạ tầng chứng chỉ số 155
6.2.1.2 Triển khai một cơ sở hạ tầng Internet 155
6.2.1.3 Triển khai một cơ sở hạ tầng AAA 156
6.2.1.5 Triển khai máy chủ mạng riêng ảo 158
6.2.1.6 Triển khai cơ sở hạ tầng Intranet 158
6.2.1.6 Triển khai các Client VPN 160
Tổng kết 160
Câu hỏi ôn tập 161
Chương VII Xây dựng mạng riêng ảo Site – to – Site 162
7.1 Các thành phần của mạng riêng ảo Site – to – Site 162
7.1.1 Định tuyến theo yêu cầu quay số 162
7.1.2 Giới thiệu các kết nối mạng riêng ảo Site – to – Site 164
7.1.2.1 Các kết nối theo yêu cầu và thường trực 164
7.1.2.2 Hạn chế sự khởi tạo các kết nối theo yêu cầu 165
7.1.2.3 Các kết nối được khởi tạo một chiều và hai chiều 166
7.1.3 Các thành phần của mạng riêng ảo Site – to – Site 167
7.1.3.1 Các Router VPN 168
7.1.3.2 Cơ sở hạ tầng Internet 170
7.1.3.3 Cơ sở hạ tầng mạng chi nhánh 172
7.1.3.4 Cơ sở hạ tầng AAA 173
7.1.3.5 Cơ sở hạ tầng chứng chỉ số 173
7.2 Triển khai mạng riêng ảo Site – to – Site 174
7.2.1 Triển khai cơ sở hạ tầng cung cấp chứng chỉ 174
7.2.2 Triển khai cơ sở hạ tầng Internet 175
7.2.2.1 Triển khai các Router trả lời 175
7.2.2.2 Triển khai các Router gọi 176
7.2.3 Triển khai cơ sở hạ tầng AAA 176
7.2.3.1 Cấu hình dịch vụ thư mục cho các tài khoản người dùng và các nhóm 177
7.2.3.2 Cấu hình máy chủ dịch vụ xác thực Internet(IAS) 177
7.2.4 Triển khai cơ sở hạ tầng mạng chi nhánh 177
7.2.4.1 Cấu hình định tuyến trên các Router VPN 178
7.2.4.2 Kiểm tra khả năng kết nối tới được mỗi Router VPN 178
7.2.4.3 Cấu hình định tuyến cho vùng địa chỉ IP ngoại lệ 178
7.2.5 Triển khai cơ sở hạ tầng mạng ngoài chi nhánh 178
7.3 Xây dựng mạng riêng ảo chi nhánh 179
Trang 67.3.1 Mạng riêng ảo với các văn phòng chi nhánh không kết nối thường xuyên
179
7.3.1.1 Giới thiệu chung 179
7.3.1.2 Các công việc cài đặt 180
7.3.1.2.1 Cấu hình cho máy chủ mạng riêng ảo 180
7.3.2 Các văn phòng chi nhánh kết nối thường xuyên 188
7.3.2.1 Cấu hình máy chủ mạng riêng ảo 188
7.3.2.2 Cấu hình kết nối dựa trên PPTP 190
7.3.2.3 Cấu hình kết nối dựa trên L2TP/IPSec 192
7.3.3 Tổng kết thực hành 192
7.4 Xây dựng mạng riêng ảo đối tác 193
7.4.1 Giới thiệu chung 193
7.4.2 Các công việc cài đặt 195
7.4.2.1 Cấu hình máy chủ mạng riêng ảo 195
7.4.2.2 Mạng riêng ảo dựa trên PPTP cho các đối tác thương mại 196
7.4.2.3 Mạng riêng ảo mở rộng dựa trên L2TP/IPSec cho các đối tác thương mại 197
7.5 Tổng kết thực hành 198
Câu hỏi ôn tập 198
Trang 7PHẦN I CÔNG NGHỆ MẠNG RIÊNG ẢO Chương I Giới thiệu chung về Mạng riêng ảo
Chương này, chúng ta bắt đầu bằng việc định nghĩa Mạng riêng ảo vànhững lợi ích cơ bản từ việc thực thi giải pháp Mạng riêng ảo Chúng ta cũngxem xét các mô hình kết nối mạng riêng ảo thông dụng
1.1 Các khái niệm cơ bản về mạng riêng ảo
1.1.1 Định nghĩa về Mạng riêng ảo
Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt làVPN Sau đây ta thường gọi ngắn gọn theo tên viết tắt
Có nhiều định nghĩa khác nhau về Mạng riêng ảo
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (nhưInternet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng đểtruyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truynhập Nói cách khác, VPN được định nghĩa là liên kết của khách hàng đượctriển khai trên một hạ tầng công cộng với các chính sách như là trong một mạngriêng Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hayInternet
Theo tài liệu của IBM VPN là sự mở rộng một mạng Intranet riêng củamột doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối antoàn, thực chất là qua một đường hầm riêng VPN truyền thông tin một cách antoàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tácthương mại thành một mạng Công ty mở rộng
Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet quamột mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nốigiữa 2 điểm truyền thông cuối Mạng Intranet riêng được mở rộng nhờ sự trợgiúp của các “đường hầm” Các đường hầm này cho phép các thực thể cuối traođổi dữ liệu theo cách tương tự như truyền thông điểm - điểm
Và như trong hình 1.2, mạng riêng của các Công ty loại trừ được các đườngLease-Line chi phí cao Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiếtkiệm từ 20% đến 47% chi phí mạng WAN khi thay thế các đường Lease-Line để
Trang 8truy cập mạng từ xa bằng VPN Và với VPN truy cập từ xa có thể tiết kiệm từ60% đến 80% chi phí khi sử dụng đường Dial-up để truy cập từ xa đến Công ty Mạng riêng ảo đã thực sự chinh phục cuộc sống Việc kết nối các mạngmáy tính của các doanh nghiệp lâu nay vẫn được thực hiện trên các đườngtruyền thuê riêng, cũng có thể là kết nối Frame Relay hay ATM Nhưng, rào cảnlớn nhất đến với các doanh nghiệp tổ chức đó là chi phí Chi phí từ nhà cung cấpdịch vụ, chi phí từ việc duy trì, vận hành hạ tầng mạng, các thiết bị riêng củadoanh nghiệp rất lớn Vì vậy, điều dễ hiểu là trong thời gian dài, chúng ta gầnnhư không thấy được nhiều ứng dụng, giải pháp hữu ích trên mạng diện rộngWAN
Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức,doanh nghiệp có thêm sự lựa chọn mới Không phải vô cớ mà các chuyên giaviễn thông nhận định: “Mạng riêng ảo chính là công nghệ mạng WAN thế hệmới”
1.1.2 Một số ví dụ về Mạng riêng ảo:
a) Ví dụ về các mô hình kết nối Mạng riêng ảo
Hình 1.1: Những người dùng di động, người dùng từ xa thiết lập kết nốiVPN qua Internet đến mạng Công ty của họ để trao đổi dữ liệu, truy cập các tàinguyên giống như là họ đang ở trong Công ty
Người quản lý kết nối từ nhà để xem doanh thu và quản lý các báo cáo
Nhân viên tiếp thị kết nối từ văn phòng khách hàng để kiểm tra trạng thái đơn hàng
Người quản lý bán hàng in đề xuất mới trên máy in, sẵn sàng nhận lại vào sáng sớm
Nhân viên lưu động có thể quay
số vào mạng của Công ty để in
ấn , thậm chí cả fax
Trang 101.2 Những lợi ích cơ bản của Mạng riêng ảo
VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:
- Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải
pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hayISDN Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đườngdài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diệncủa ISP
- Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí
truyền thông đường dài VPN cũng làm giảm được chi phí hoạt động của mạngdựa vào WAN một cách đáng kể Hơn nữa, một tổ chức sẽ giảm được toàn bộchi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP Vìlúc này, thực tế là Tổ chức không cần thuê nhiều nhân viên mạng cao cấp
- Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các
phần tử ở xa của một Intranet Vì Internet có thể được truy cập toàn cầu, nên hầuhết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể dễdàng kết nối tới Intranet của Công ty mình
- Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền
dữ liệu qua mạng công cộng không an toàn Dữ liệu đang truyền được bảo mật ởmột mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng các biệnpháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tincậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN mang lại mức độ bảomật cao cho việc truyền tin
- Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường
Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nốiInternet không hoạt động Các VPN, chỉ tạo các đường hầm logic đề truyền dữliệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có mộtkết nối Internet hoạt động Vì vậy làm giảm đáng kể nguy cơ lãng phí băngthông mạng
- Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép
Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanhcần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện, thiết bị
Trang 11Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàngtương thích với sự phát triển trong tương lai
Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạngđối với các mạng riêng ngày càng trở nên phức tạp và tốn kém Với giải phápmạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng
truyền số liệu công cộng (ở Việt Nam, thực tế chi phí tốn kém cho mạng riêng là
chi phí cho các kênh thuê riêng đường dài, các mạng riêng cũng không quá lớn
và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm chi phí cho kênh truyền riêng cũng như sử dụng hiệu quả hơn cơ sở hạ tầng mạng truyền số liệu công cộng).
Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại Tuy nhiên
bên cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào Internet Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự
thực thi của Internet Các đường Lease-Line bảo đảm băng thông được xác địnhtrong hợp đồng giữa nhà cung cấp và Công ty Tuy nhiên không có một đảm bảo
về sự thực thi của Internet Một sự quá tải lưu lượng và tắc nghẽn mạng có thểảnh hưởng và từ chối hoạt động của toàn bộ mạng dựa trên VPN
1.3 Những yêu cầu đối với Mạng riêng ảo
Như ta đã biết trong phần trước, VPN là một phương pháp để kết nối mạngIntranet tương đối đơn giản và bảo mật qua mạng công cộng như Internet Côngnghệ VPN không chỉ làm giảm chi phí thực thi một môi trường mạng bảo mậtcao mà còn giảm chi phí cho việc quản trị và tổ chức nhân viên Hơn nữa, nómang lại sự sẵn sàng, sự tin cậy và hiệu quả cao trong việc sử dụng băng thôngmạng
Làm thế nào để đưa ra giải pháp dựa trên VPN, các thành phần và yêu cầucủa VPN là gì? Tất cả sẽ được xem xét trong phần này
VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng ta dễdàng thiết lập mạng LAN hoặc Intranet cùng với Internet và các mạng côngcộng khác để truyền thông một cách bảo mật và kinh tế Và như vậy, hầu hết cácyêu cầu của VPN và của mạng riêng truyền thống là rất giống nhau Tuy nhiên,trong VPN có các yêu cầu nổi bật như sau:
Trang 12Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả năngtương thích, Khả năng quản trị.
1.3.1 Bảo mật
Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tàinguyên mạng không được truy cập bởi mạng công cộng Vì vậy, xác suất truycập trái phép đến Intranet và các tài nguyên của nó là rất thấp Tuy nhiên, nhậnđịnh này rất có thể không đúng với VPN có sử dụng Internet và các mạng côngcộng khác như mạng điện thoại chuyển mạch công cộng (Public SwitchedTelephone Networks - PSTNs) cho truyền thông Thiết lập VPN mang lại chocác Hacker, Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệucủa nó qua các mạng công cộng Vì vậy, mức độ bảo mật cao và toàn diện cầnphải được thực thi một cách chặt chẽ
Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo cáccách như sau:
+ Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưulượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưulượng khác Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ về
kỹ thuật phòng thủ Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả vớilưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao Bộ dịch chuyển địa chỉ làmột ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên cục bộ trongmạng Và như vậy, kẻ tấn công không biết được đích của các tài nguyên đótrong mạng Intranet
+ Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu đểthiết lập định danh của người dùng và quyết định anh ta có được phép truy cậptới các tài nguyên trong mạng hay không Mô hình xác thực, cấp quyền, kiểmtoán (AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện Đầu tiên hệthống sẽ xác nhận người dùng truy cập vào mạng Sau khi người dùng đã đượcxác thực thành công, họ chỉ có thể truy cập đến các tài nguyên đã được cấpquyền Hơn nữa, một nhật ký chi tiết các hoạt động của tất cả các người dùngmạng cũng được duy trì, cho phép người quản trị mạng ghi lại những hoạt độngtrái phép, bất thường
Trang 13+ Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ liệu đểđảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được truyềnqua mạng không tin cậy Bảo mật giao thức Internet(Internet Protocol Security -IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất Nó không chỉ mãhoá dữ liệu đang được truyền mà còn cho phép xác thực mỗi người dùng và từnggói dữ liệu riêng biệt.
+ Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung cấpkhoá mật mã để tạo ra các đường hầm phiên (session tunnull) Vì vậy, cần phảitạo ra các khoá, phân phối và cập nhật, làm tươi chúng
1.3.2 Tính sẵn sàng và tin cậy
Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng(uptime) Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao
vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy
đủ bởi tổ chức Tuy nhiên, VPN sử dụng các mạng tương tác trung gian nhưInternet và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạngtrung gian Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cungcấp dịch vụ (ISP)
Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức
dịch vụ” (Service Level Agreement - SLA) SLA là bản hợp đồng được ký kết giữa ISP và người dùng (một tổ chức hoặc một công ty) để cam kết về thời gian
truy cập mạng Một số ISP đề xuất uptime rất cao, khoảng 99% Nếu một tổchức muốn đảm bảo tính sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầngchuyển mạch xương sống có khả năng phục hồi cao Đó là:
+ Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đườngthay thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn Để đảm bảohiệu suất cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiênđịnh tuyến khi được yêu cầu
+ Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tănggiải thông mạng
+ Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị nàykhông chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ
Trang 14Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên quanmật thiết với nhân tố tính sẵn sàng Tính tin cậy của giao dịch trong VPN đảmbảo rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh.Cũng như hầu hết các thiết lập mạng khác, tính tin cậy trong môi trường dựatrên VPN có thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một đườngdẫn khác nếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi Toàn bộ quá trìnhnày là hoàn toàn trong suốt với người dùng cuối.
1.3.3 Chất lượng dịch vụ
Trong một mạng riêng ảo, cũng như trong một mạng thông thường Đều cómong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng đượctruyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác
Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không? làrất khó Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảmbảo
Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằngcách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng
và các tài nguyên cho các ứng dụng Các ứng dụng như giao dịch tài chính, quátrình đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông.Các ứng dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn
để tránh hiện tượng chất lượng kém của giao dịch
1.3.4 Khả năng quản trị
Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùngvới việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạngkết nối phạm vi toàn cầu Hầu hết các đơn vị được kết nối với các nguồn tàinguyên của thế giới bằng sự trợ giúp của nhà cung cấp dịch vụ Kết quả làkhông thể kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phảiqua mạng Intranet trung gian của nhà cung cấp dịch vụ Trong hoàn cảnh này,một đơn vị phải quản trị được tài nguyên cho đến cả mạng kinh doanh của họ,trong khi nhà cung cấp dịch vụ quản trị các thiết lập mạng của họ Với sự sẵn cócác thiết bị VPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức vớinhà cung cấp dịch vụ thì có thể loại trừ được ranh giới vốn có của việc quản trịtài nguyên và quản trị toàn bộ phần riêng và phần công cộng của các phần cuốiVPN Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trì mạng của họ như
Trang 15trong mô hình truyền thống, có thể kiểm soát toàn bộ truy cập mạng và có quyềngiám sát trạng thái thời gian thực, sự thực thi của VPN Hơn nữa Công ty cũng
có thể giám sát phần công cộng của VPN Tương tự, các ISP quản trị và kiểmsoát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ Tuy nhiên, nếu được yêucầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn bộ cơ sở hạ tầng, bao gồm
cả cơ sở hạ tầng VPN của người dùng
1.3.5 Khả năng tương thích
Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nốiđường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng cóthể dựa trên công nghệ mạng khác như Frame Relay (FR), AsynchronousTransfer Mode (ATM) Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ
và giao thức cơ sở
Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khảnăng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích với một cơ sở
hạ tầng dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN
Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) các giao thức không dựatrên IP thành IP Các thiết bị này có thể là các thiết bị mạng chuyên dụng hoặccũng có thể là các giải pháp dựa trên phần mềm Getway IP được cài đặt trênmọi Server và thường được dùng để chuyển đổi dòng lưu lượng
Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đónggói các gói dữ liệu không IP thành các gói IP để truyền qua một cơ sở hạ tầngdựa trên IP Các thiết bị cuối khác, khi nhận được các gói dữ liệu đã đóng góinày sẻ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc “Đường hầm” bâygiờ được xem như là một thiết bị tryền tải
Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): như trong hình vẽ 1.4,VIPR làm việc bằng cách phân vùng lôgic một Router vật lý tại vị trí nhà cungcấp dịch vụ sau cùng(như là một phần cơ sở hạ tầng của ISP) Mỗi một phânvùng được cấu hình và quản trị như một Router vật lý và có thể hỗ trợ một VPN.Theo cách gọi đơn giản, mỗi một phân vùng lôgic được xem như một Router vớiđầy đủ các chức năng của nó Kết quả là, phân vùng Router lôgic có thể hỗ trợnhiều giao thức và có khả năng chứa địa chỉ IP riêng
Trang 16Hình 1.4 Mô tả chung của VIPR
Với các công nghệ và giao thức không dựa trên IP như FR, ATM, côngnghệ đường điện thoại riêng ảo(Virtual Private Trunking - VPT) được sử dụng.Công nghệ VPT được mô tả như trong hình 1.5
Hình 1.5 Mô tả chung của VPT
VPT tương thích với nhiều giao thức và được dựa trên công nghệ chuyểnmạch gói Vì vậy nó sử dụng các kênh cố định ảo(Permanent Virtual Circuits -PVC) và kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền
dữ liệu Để truyền dữ liệu thành công, VPT yêu cầu một thiết bị WAN như mộtRouter có khả năng hỗ trợ FR và ATM Để chắc chắn rằng các giao dịch thươngmại có lợi nhuận, các PVC thường được dùng cho việc liên kết các Site trongmột mạng riêng hoặc một Intranet SVC lại thường được dùng để liên kết cácSite trong một Extranet
1.4 Cách tiếp cận cơ bản thiết kế và cài đặt VPN
Trang 17Một ý tưởng và kế hoạch thiết kế tốt là yếu tố quan trọng khi thiết lập mộtmạng Với bất kỳ VPN nào cũng vậy: Nếu sơ suất trong việc phân tích các yêucầu của tổ chức sẽ kéo theo thiếu sót trong lập kế hoạch và ta sẽ thấy ảnh hưởngrất nhiều về sau
Lúc thiết kế và thực thi mạng VPN, chúng ta cần phải tuân thủ theo ý tưởngtối ưu hoá mọi thứ
Những vấn đề chính cần xem xét kỹ trong khi thiết kế và cài đặt VPN baogồm:
+ Mô hình VPN nào được chọn để thực hiện?
+ Khả năng mở rộng và tương thích trong tương lai
1.5 Các mô hình kết nối VPN thông dụng
Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau:
- Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa củamột Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào
- Có khả năng kết nối từ xa giữa các nhánh văn phòng
- Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quantrọng đối với giao dịch thương mại của công ty
Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phânthành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ(Intranet VPN), VPN mở rộng (Extranet VPN)
1.5.1.VPN Truy cập từ xa (Remote Access VPN):
Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up
Trang 18mạng công cộng Dịch vụ này cho phép người dùng truy xuất tài nguyên mạngcủa Công ty họ như là họ đang kết nối trực tiếp vào mạng đó.
Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa,người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng củatổng công ty Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi ngườidùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối
cố định tới Intranet của tổng công ty
Như trong hình 1.6, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mởrộng của VPN bao gồm các thành phần chính như sau:
+ Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực
và cấp quyền cho các yêu cầu truy cập từ xa
+ Kết nối Dialup tới mạng trung tâm
+ Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợngười dùng từ xa
Hình 1.6 Thiết lập truy cập từ xa không có VPN
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng vàngười dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó
để kết nối tới mạng của công ty qua Internet Thiết lập VPN truy cập từ xa tươngứng được mô tả như trong hình 1.7
Trang 19Hình 1.7 Thiết lập VPN truy cập từ xa
1.5.2 VPN Cục bộ (Intranet VPN)
Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây
là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung.Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện
ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụcũng như các dịch vụ đa phương tiện (Multimedia) Mục đích của Intranet VPN
là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theocác cách kết nối WAN truyền thống
Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa củamột tổ chức với Intranet trung tâm của tổ chức đó Trong cách thiết lập Intranetkhông sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranetcủa tổ chức qua các Router trung gian Thiết lập này được mô tả như trong hình1.8
Trang 20Hình 1.8 Thiết lập Intranet sử dụng WAN
Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới mộtKhu trung tâm từ xa để tới Intranet của tổ chức Hơn nữa việc thực thi, duy trì vàquản trị Intranet xương sống có thể là một việc cực kỳ tốn kém Chẳng hạn, chiphí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng Phạm viIntranet càng lớn thì chi phí càng cao
Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thếbằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việcthực thi toàn bộ Intranet Một giải pháp Intranet VPN điển hình được mô tả nhưtrong hình 1.9
Trang 21Hình 1.9 Thiết lập VPN dựa trên VPN
Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.9 là:
+ Loại trừ được các Router từ đường WAN xương sống
+ Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấpcác liên kết ngang hàng mới
+ Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn.Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phícủa hoạt động Intranet
Tuy nhiên cũng có một số nhược điểm:
+ Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nêncác tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninhmạng
+ Khả năng mất các gói dữ liệu khi truyền vẫn còn cao
+ Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rấtcao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet.+ Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn vàQoS có thể không được đảm bảo
1.5.3 Mạng riêng ảo mở rộng (Extranet VPN)
Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụngvào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụngcác đường truyền thuê bao Giải pháp này cũng cung cấp các chính sách nhưtrong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định.Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiênđiểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tácExtranet VPN sử dụng So với Intranet VPN thì vấn đề tiết kiệm chi phí không
rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hànghay các nhà cung cấp sản phẩm Việc để cho khách hàng nhập trực tiếp dữ liệu
về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như cáclỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WANtruyền thống Extranet VPN thường sử dụng các kết nối dành riêng và thêm vàocác lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống
Trang 22Không giống như Intranet VPN và Remote Access VPN Extranet VPNkhông hẳn có nghĩa là “Xa hơn ngoài phạm vi” Thực tế, Extranet VPN chophép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịchthương mại mở rộng như: đối tác, khách hàng, nhà cung cấp
Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình1-10
Hình 1.10 Mạng Extranet truyền thống
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phảihoàn toàn thích hợp với mạng mở rộng Đặc điểm này dẫn đến sự phức tạp trongviệc quản trị và thực thi của các mạng khác nhau Hơn nữa rất khó mở rộng vìlàm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đếncác mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với cácnhà thực thi và quản trị mạng
Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễdàng và giảm chi phí đáng kể
Trang 23Hình 1.11 Mạng Extranet dựa trên VPN
Ưu điểm chính của Extranet VPN là:
+ Chi phí rất nhỏ so với cách thức truyền thống
+ Dễ thực thi, duy trì và dễ thay đổi
+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn
+ Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên
hỗ trợ có thể giảm xuống
Tuy nhiên cũng có một số nhược điểm:
+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại
+ Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức
+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp vớicác ứng dụng Multimedia
+ Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảmTuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải phápVPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật”
1.6 Các công nghệ và các chính sách an toàn Mạng riêng ảo
1.6.1 Sự cần thiết của chính sách an toàn Mạng
Chính sách an toàn mạng có vai trò quan trọng trong việc bảo mật của một
Trang 24sản phẩm hay một giải pháp chuẩn chung cho một chính sách an toàn mạng Nóthường được tạo ra và thực thi theo yêu cầu cụ thể của từng tổ chức.
Một chính sách an toàn mạng thể hiện tầm nhìn của Công ty về cách thức
sử dụng máy tính và cơ sở hạ tầng mạng để cung cấp các dịch vụ tốt nhất vànâng cao hiệu suất Nó cũng phác thảo các thủ tục cần dùng để đối phó với cácnguy cơ bảo mật, các vi phạm bảo mật
Một chính sách an toàn làm cho khả năng đối phó với các rủi ro, các nguy
cơ bảo mật trong một Công ty sẽ tốt hơn Hơn nữa, không thể thực thi bảo mậtnếu ta không xác định được cần bảo vệ cái gì
Vì vậy cần có một chính sách bảo mật Đó là một danh sách những gì sẽđược phép và không được phép, dựa vào đó để quyết định về bảo mật Ta cũng
có thể hình dung nó như là một tập các luật để quản lý người dùng truy cập tàinguyên của công ty, một thoả thuận chung để mọi người chấp nhận và tuân theocác luật đó
Một chính sách an toàn mạng toàn diện của Công ty phải được xác địnhtheo sự phân tích các yêu cầu thương mại và phân tích bảo mật Các vấn đề sauđây sẽ cung cấp cho ta một số nguyên tắc chung:
+ Những người nào mà chúng ta muốn ngăn chặn?
+ Người dùng từ xa cần truy cập đến hệ thống và mạng của chúng ta haykhông?
+ Hệ thống có chứa thông tin mật hoặc nhạy cảm không?
+ Phân loại các thông tin mật hoặc nhạy cảm như thế nào?
+ Mật khẩu hoặc mã hoá có đủ bảo vệ không?
+ Chúng ta có cần truy cập Internet hay không?
+ Bao nhiêu truy cập tới hệ thống của ta từ Internet hoặc những người dùngbên ngoài mạng(như: các đối tác thương mại, nhà cung câp,…) mà ta muốn chophép?
+ Hành động nào ta sẽ thực hiện nếu phát hiện sự vi phạm bảo mật?
+ Những ai trong Công ty của ta sẽ phải tuân thủ và giám sát chính sáchnày?
Trang 25Đó là những nguyên tắc mang tính định hướng chung cho việc thiết lập vàthực hiện một chính sách an toàn mạng.
1.6.2 Chính sách an toàn mạng
Nếu hệ thống của ta có kết nối Internet thì rất có thể phải đương đầu vớinhiều nguy cơ tấn công tiềm ẩn Gateway hoặc Firewal là những hệ thống bảo
vệ tốt, tuy nhiên cần phải lưu ý rằng:
+ Gateway không nên chạy nhiều ứng dụng hơn mức cần thiết vì các ứngdụng có những khiếm khuyết có thể bị khai thác
+ Gateway nên hạn chế tối đa các loại và số lượng giao thức được cho phép
đi qua nó hoặc các kết nối Terminate tại gateway từ bên ngoài, vì các giao thứccũng có thể tiềm ẩn nhiều lỗ hổng bảo mật
+ Bất kỳ một hệ thống nào có chứa thông tin mật hoặc nhạy cảm đều khôngnên cho phép truy cập trực tiếp từ bên ngoài
+ Tất cả các dịch vụ trong một Intranet thuộc Công ty nên tối thiểu việcyêu cầu xác thực mật khẩu và kiểm soát truy cập thích hợp
+ Truy cập trực tiếp từ bên ngoài luôn phải được xác thực và kiểm toánChính sách an toàn mạng xác định các dịch vụ sẽ được cho phép hoặc bị từchối, cách thức các dịch vụ này sẽ được sử dụng và là ngoại lệ với các luật này.Mỗi luật trong chính sách an toàn mạng nên được thực thi trên một firewall hoặcRAS Và chính sách an toàn mạng của một công ty phải trả lời được các câu hỏisau:
+ Những ai được truy cập vào mạng của Công ty? Những Client, đối tác,khách hàng nào được cung cấp truy cập tới mạng của Công ty?
+ Những ai có thể kết nối tới mạng mở rộng, như của Client hay các đốitác
+ Những ai có thể truy cập Internet từ mạng của Công ty?
+ Lúc nào thì tài khoản của một người dùng sẽ bị xoá?
+ Phải bảo mật các máy tính như thế nào trước khi chúng ở trong mạng cótruy cập Internet không được bảo vệ
Trang 26+ Kiểu mật khẩu nhân viên phải dùng là gì? Và có thường phải thay đổihay không?
+ Các máy tính của người dùng từ xa, người dùng di động được bảo mậtnhư thế nào? Họ phải làm gì để có thể truy cập an toàn tới mạng của công ty.+ Những thông tin mật nào cần được bảo vệ? Có quy tắc lưu trữ các loạithông này hay không?
1.6.3 Chính sách an toàn Mạng riêng ảo
Trong khi một chính sách an toàn mạng truyền thống xác định luồng thôngtin nào bị từ chối và luồng thông tin nào được phép đi qua, một chính sách bảomật VPN mô tả các đặc tính của việc bảo vệ hiện trạng luồng thông tin Theomột nghĩa nào đó, nó là một tập con của chính sách an toàn mạng , vì nó chỉ côđọng hơn và phụ thuộc vào vấn đề cho phép luồng thông tin giữa các đích nào
đó trước khi nó có thể được bảo vệ
Một chính sách an toàn VPN mô tả hiện trạng luồng thông tin riêng đượcbảo vệ (nguồn, đích, các giao thức, các cổng) và các yêu cầu bảo mật (xác thực,
mã hoá, độ dài khoá, quản lý khoá…) Chính sách an toàn VPN có thể đượcđịnh nghĩa trên thiết bị, tuy nhiên nên được thực thi trong một thư mục tập trung
để cung cấp sự quản lý và mở rộng tốt hơn Về cơ bản, các thiết bị cần phải cócác chính sách phù hợp với việc mô tả dòng lưu lượng trước khi nó được phép đivào các thiết bị
Trong khi thực hiện VPN cần lưu ý:
+ Chỉ có một kết nối mạng được cho phép
+ VPN phải được thiết lập và quản trị bởi các nhóm quản trị của Công ty+ Tất cả các máy kết nối tới mạng trong của công ty qua VPN phải dùngphần mềm Virus và cập nhật thường xuyên để quét
+ Người dùng VPN sẽ bị tự động ngắt kết nối nếu không có hoạt động gìsau một khoảng thời gian nhất định(chẳng hạn: sau 30 phút)
Câu hỏi ôn tập
1 Mạng riêng ảo là gì? Nêu một số ví dụ về Mạng riêng ảo?
2 Ba loại mô hình VPN là: , , và .
a Intranet
Trang 27b Internet
c Extranet
d Remote Access
3 Khi tiếp cận cách thiết kế và thực hiện VPN cần xem xét những vấn đề nào?
4 Thuật ngữ RAS là viết tắt của: .
a Remote Access Standard
b Remote Access Storage
c Remote Access Server
d Remote Access Subsystem
5 Chọn câu đúng trong các câu sau đây?
a Intranet VPNs là độc lập với một WAN router Backbone
b Extranets VPN là giải pháp chi phí cao hơn và phức tạp hơn
c QoS không thể được đảm bảo trong một Intranet VPNs
6 Sự cần thiết của chính sách an toàn mạng
7 Nêu các nguyên tắc chung cho việc thiết lập chính sách an toàn mạng?
8 Chính sách an toàn mạng riêng ảo cần quan tâm đến những vấn đề nào?
Trang 28Chương 2 Giao thức mạng riêng ảo tại tẩng 2
Trong chương này chúng ta thảo luận các giao thức cho phép một kết nốitại tầng 2, điển hình như PPP được định đường hầm qua một mạng khác, điểnhình như mạng IP Điều này giống như một phương pháp phức tạp kéo theonhiều overhead(phần thông tin phụ thêm được đưa vào), nhưng một số lợi íchnhận được từ phương pháp này rất hữu dụng cho việc xây dựng VPN Chúng ta
sẽ thấy rằng các giao thức đường hầm này là cơ sở để xây dựng VPN và bảo mậtcác giao dịch qua VPN Một số giao thức đường hầm được thực hiện tại tầng 2 -tầng liên kết dữ liệu - của mô hình OSI, như được mô tả trong hình 2.1
Application Layer Presentation
Layer Session Layer Transport Layer Network Layer Data Link Layer Physical Layer
Hình 2.1 Vị trí các giao thức đường hầm tầng 2 trong mô hình OSI
Các giao thức này bao gồm: Giao thức đường hầm điểm - điểm (PPTP), Giao thức chuyển tiếp lớp 2 (L2F), Giao thức đường hầm lớp 2 (L2TP).
2.1 Giao thức PPP
PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng củamạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng Thuậnlợi lớn nhất của PPP là nó có thể điều khiển bất kỳ DTE hoặc DCE nào baogồm: EIA/TIA-232-C và ITU-T V.35 Một điểm ưa thích của PPP là nó khônghạn chế tỷ lệ truyền dữ liệu Trong khi truyền dữ liệu bị hạn chế bởi giao diệnDTE/DCE đang dùng
Cuối cùng, chỉ yêu cầu của PPP là sẵn sàng với các kết nối kép (2 cách)
Nó có thể là đồng bộ hoặc không đồng bộ và có thể điều khiển cả các Switchhay các mode chuyên dụng
L2F, PPTP, L2TP
Trang 29Ngoài việc đóng gói các dữ liệu theo giao thức IP, không theo giao thức IP
và việc truyền nó qua một loạt các điểm liên kết, PPP cũng chịu trách nhiệm vềcác chức năng sau:
- Chỉ định và quản trị các gói IP thành các gói không IP
- Cấu hình và kiểm tra các liên kết đã thiết lập
- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu
- Phát hiện lỗi trong khi truyền dữ liệu
- Dồn kênh các giao thức mạng lớp hai
- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ.PPP thực hiện các chức năng này theo ba chuẩn:
- Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm
- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợcủa giao thức kiểm soát liên kết(Link Control Protocol – LCP)
- Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗitrong khi truyền theo dạng của giao thức kiểm soát mạng (Network ControlProtocol - NCP) thích hợp
2.1.1 Quá trình thực hiện PPP
Giao thức PPP được sử dụng để đóng gói các gói tin thành các khung PPP
và gửi dữ liệu trên các kết nối điểm - điểm Có năm bước cần tiến hành trongquá trình thương lượng kết nối PPP, đó là:
1 Sau khi các gói dữ liệu đã được đóng gói, Node nguồn (hoặc khởi tạo)gửi khung LPC qua kết nối điểm - điểm tới Node đích
2 Các tham số này thường được dùng để cấu hình liên kết bằng việc chỉ rõcác tham số và kiểm tra liên kết đã được thiết lập
3 Sau khi Node đích chấp nhận yêu cầu kết nối và một liên kết được thiếtlập thành công, các tham số lựa chọn được thương lượng nếu đã chỉ rõ bởi cácLCP
4 Node nguồn sau đó gửi khung NCP để lựa chọn và cấu hình giao thứctầng mạng
Trang 305 Sau khi giao thức tầng mạng yêu cầu được cấu hình thì cả hai bắt đầutrao đối dữ liệu.
Hình 2.2 Thiết lập liên kết PPP và trao đổi dữ liệu
Khi một liên kết PPP đã được thiết lập, nó tồn tại cho đến khi LCP hoặcNCP ra hiệu kết thúc liên kết Liên kết cũng có thể được kết thúc trong trườnghợp nó bị lỗi hoặc người dùng can thiệp vào
11111111, đây là một địa chỉ Broadcast chuẩn Độ dài của trường này là 1 byte
Control: Trường này chứa chuỗi nhị phân là 00000011 Nó biểu thị rằng,Frame đang mang dữ liệu người dùng là một Frame không tuần tự Độ dài củatrường này là 1 byte
Protocol: Trường này xác định giao thức mà dữ liệu được đóng gói trongtrường dữ liệu của Frame Giao thức trong trường này được chỉ rõ theo số đãgán trong RFC 3232 Độ dài của trường này là 2 byte Tuy nhiên, trường này cóthể thương lượng để là 1 byte nếu cả hai đồng ý
Data: Trường này chứa thông tin đang được trao đổi giữa Node nguồn vàđích Độ dài của trường này có thay đổi, độ dài tối đa có thể lên đến 1500 byte
FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra tính chínhxác của thông tin đã nhận trong trường dữ liệu Thông thường, độ dài của trường
Trang 31này là 2 byte Tuy nhiên, việc thực thi PPP có thể thương lượng một FCS 4 byte
để cải thiện việc phát hiện lỗi
Hình 2.3 Định dạng của một Frame PPP điển hình
2.1.2 Kiểm soát liên kết PPP
Ngoài việc trao đổi thành công dữ liệu giữa hai Node, PPP cũng chịu tráchnhiệm kiểm soát liên kết đã thiết lập giữa 2 thực thể truyền thông cuối PPP sửdụng LCP cho chức năng này, trong đó LCP chịu trách nhiệm về các chức năngsau:
- Hỗ trợ việc thiết lập liên kết
- Cấu hình liên kết đã thiết lập để thoả mãn các yêu cầu của các nhómtruyền thông
- Duy trì hiệu suất của liên kết PPP đã thiết lập
- Kết thúc liên kết nếu việc trao đổi dữ liệu giữa hai thực thể cuối đã hoàntất
LCP dựa trên kiểm soát liên kết gồm bốn pha: Thoả thuận và khởi tạo liênkết; Xác định chuẩn liên kết; Thoả thuận giao thức tầng mạng
Sau đây ta sẽ mô tả chi tiết bốn pha trong kiểm soát liên kết
- Thoả thuận và khởi tạo liên kết: Trước khi việc trao đổi dữ liệu dựa trênPPP giữa Node nguồn và đích được cho phép, LCP phải khởi tạo một kết nốigiữa hai thực thể cuối và thoả thuận các tham số cấu hình LCP sử dụng cácFrame khởi tạo liên kết cho chức năng này Khi mỗi thực thể cuối phản hồi lạibằng Frame cấu hình ACK của nó, pha này kết thúc
- Xác định tiêu chuẩn liên kết: Đây là pha tuỳ chọn trong đó tiêu chuẩn củaliên kết đã thiết lập được xác định cho các liên kết khác nhau đã sẵn sàng choviệc thoả thuận các giao thức tầng mạng
- Thoả thuận giao thức tầng mạng: Trong pha này, ưu tiên giao thức tầngmạng của dữ liệu đã được đóng gói trong trường Protocol của Frame PPP đượcthoả thuận
Variable Size
Trang 32- Kết thúc liên kết: Đây là pha cuối cùng của LCP và Server để kết thúc liênkết đã thiết lập giữa hai thực thể cuối Việc kết thúc liên kết có thể theo trình tựhoặc đột xuất Kết thúc đúng trình tự là kết thúc sau khi việc trao đổi dữ liệugiữa hai thực thể cuối đã hoàn tất hay do yêu cầu của thực thể cuối Kết thúc liênkết đột xuất có thể làm mất dữ liệu Frame kết thúc liên kết dữ liệu được trao đổigiữa các nhóm có liên quan trước khi liên kết được giải phóng.
Ngoài Frame thiết lập và kết thúc liên kết, PPP sử dụng một loại Frame thứ
ba gọi là Frame duy trì liên kết Các Frame này như tên gọi của nó, được traođổi trong trường hợp có vấn đề liên quan đến liên kết, thường được dùng đểquản trị và debug các liên kết dựa trên PPP
Mặc dù không được dùng trong VPN ngày nay, tuy nhiên công nghệ PPP là
cơ sở của các giao thức đường hầm khác được dùng rộng khắp trong VPN ngàynay Thực tế, tất cả các giao thức đường hầm thông dụng đều dựa trên PPP vàđóng gói Frame PPP vào trong gói IP hoặc các gói dữ liệu khác để truyền quamạng không đồng nhất
2.2 Các giao thức đường hầm tại tầng 2 trong mô hình OSI
2.2.1 Giao thức đường hầm điểm (PPTP)
PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàngiữa một Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra mộtVPN qua một mạng dựa trên IP Được phát triển bởi Consortium PPTP (Tậpđoàn Microsoft, Ascend Communications, 3COM, US Robotics,và ECITelematics) PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn.PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộngdựa trên TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng
Về phương diện lịch sử, hai hiện tượng đóng vai trò chính vào sự thànhcông của PPTP trong việc bảo mật các kết nối đường dài là:
- Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN): PPTP
cho phép sử dụng PSTN(Public Switched Telephone Network) để thực thi
VPN Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng chi phíthực thi giảm một cách đáng kể Lý do này hoàn toàn dễ hiểu – vì những yếu tốcần thiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa trên đườngLeased Line và các Server truyền thông chuyên dụng hoàn toàn bị loại bỏ
Trang 33- Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựatrên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX,NetBEUI, và NetBIOS Vì vậy, PPTP đã chứng tỏ là thành công trong việc triểnkhai VPN qua một mạng LAN riêng cũng như qua mạng công cộng.
PPP đóng vai trò chính trong các giao dịch dựa trên PPTP Ta sẽ thảo luậnchi tiết hơn vấn đề này trong phần tiếp sau đây
2.2.1.1 Vai trò của PPP trong các giao dịch PPTP
PPTP là một sự mở rộng logic của PPP, PPTP không thay đổi dưới côngnghệ PPP, nó chỉ định nghĩa một cách vận chuyển lưu lượng PPP mới qua cácmạng công cộng không an toàn
Hình 2.4 Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP
Khá giống PPP, PPTP không hỗ trợ nhiều kết nối Tất cả các kết nối được
hỗ trợ bởi PPTP phải là kết nối điểm - điểm, ngoài ra, PPP đáp ứng các chứcnăng sau trong giao dịch dựa trên PPTP:
- Thiết lập và kết thúc các kết nối vật lý giữa các thực thể truyền thôngcuối
Trang 341 PPTP Client
Một PPTP Client là một Node mạng hỗ trợ PPTP và có yêu cầu đến Nodekhác cho một phiên VPN Nếu kết nối được yêu cầu từ một Server từ xa, PPTPClient phải sử dụng các dịch vụ trên NAS của ISP Vì thế, PPTP Client phảiđược kết nối tới một Modem, cái thường được dùng để thiết lập một kết nốiquay số PPP tới ISP
Hình 2.5 Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP
PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó cóthể định đường hầm yêu cầu tới thiết bị VPN trên mạng từ xa Liên kết đến thiết
bị VPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập mộtđường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung gian khác.Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiênVPN tới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP Cả Client vàServer đều được kết nối vật lý đến cùng một mạng LAN, việc tạo ra một kết nốitới NAS của nhà cung cấp là không cần thiết Client trong trường hợp này chỉcần yêu cầu một phiên quay số đến thiết bị VPN trên Server Như vậy thủ tụcđịnh tuyến của các gói PPTP cho một yêu cầu từ xa và một yêu cầu cục bộ làkhác nhau, các gói của hai yêu cầu được xử lý khác nhau Các gói PPTP đếnServer cục bộ được đặt trên thiết bị vật lý gắn kèm với card mạng của PPTPClient Gói PPTP đến Server từ xa được định tuyến qua một thiết bị vật lý gắnvới một thiết bị truyền thông như một Router Tất cả được minh hoạ như tronghình 2.6
Trang 35Hình 2.6 Truyền các gói PPTP đến Node đích
2 Các Server PPTP
Server truy cập PPTP là một Node mạng có hỗ trợ PPTP và có khả năngbảo quản các yêu cầu cho phiên VPN từ các Node từ xa hay cục bộ Để phản hồicác yêu cầu từ xa, các Server này cũng phải hỗ trợ khả năng định tuyến MộtRAS và hệ điều hành mạng khác có hỗ trợ PPTP, chẳng hạn WinNT 4.0 có khảnăng hoạt động như một Server PPTP
3 Các Server truy cập mạng PPTP (PPTP NAS)
Các NAS PPTP được đặt tại Site PPTP và cung cấp kết nối Internet tới cácClient đang sử dụng đường quay số PPP Xác suất nhiều Client cùng đồng thờiyêu cầu một phiên VPN là rất cao
Các Server này phải có khả năng hỗ trợ các Client này Ngoài ra, các PPTPClient không chỉ hạn chế với hệ điều hành mạng của Microsoft, vì vậy các NASPPTP phải có khả năng hỗ trợ các Client dựa trên Window, các máy Unix Tuynhiên, điều quan trọng là các Client này hỗ trợ kết nối PPTP tới NAS
2.2.1.3 Các tiến trình PPTP
Bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua phương
Trang 36Thiết lập kết nối dựa trên PPP Kiểm soát kết nối Tạo đường hầm PPTP vàtruyền dữ liệu.
1 Kiểm soát kết nối PPTP
Sau khi một kết nối vật lý dựa trên PPP được thiết lập giữa PPTP Client vàServer, quá trình kiểm soát kết nối PPTP bắt đầu Như trong hình 2.7, Kiểm soátkết nối PPTP được thiết lập dựa trên địa chỉ IP của PPTP Client và Server Nó
sử dụng cổng TCP phân phối động và cổng TCP giành riêng số 1723 Sau khikiểm soát kết nối được thiết lập, nó thực hiện việc kiểm soát và quản lý cácthông điệp được trao đổi giữa các nhóm truyền thông Các thông điệp này cónhiệm vụ duy trì, quản lý và kết thúc đường hầm PPTP Các thông điệp này baogồm cả chu kỳ giao dịch của các thông điệp "PPTP-Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiện lỗi kết nối giữa PPTP Server và Client
Hình 2.7 Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP
Một số thông điệp thường dùng để kiểm soát PPTP được liệt kê trong bảngsau đây:
Bảng 2.1 Các thông điệp kiểm soát PPTP thông dụng
Trang 37Outgoing-Call-Reply Phản hồi từ PPTP server tới thông điệp Outgoing-Call-Request
của Client.
Echo-Request Cơ chế duy trì hoạt động từ Server hoặc Client Nếu nhóm đối
diện không trả lời thông điệp này thì đường hầm bị kết thúc Echo-Reply Phản hồi tới thông điệp Echo-Request từ thực thể cuối đối diện.
Set-Link-Info Thông điệp từ phía khác tới thiết lập các lựa chọn liên quan
WAN-Error-Notify Thông điệp từ PPTP server đến tất cả các PPTP Client đã kết
nối để thông báo lỗi trong giao diện PPP của server.
Data Link
Header
IP Heade r
TCP Header TCP
PPTP Control Message
Data Link Trailer
Hình 2.8 Kiểm soát PPTP trong gói dữ liệu TCP
Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trong một
sự đóng gói định tuyến chung(GRE) đã sửa đổi Tiêu đề GRE sửa đổi chứa một
Trang 38ACK Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độdài 2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộcgọi PPTP client thiết lập các trường này khi nó tạo đường hầm PPTP.
Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vàokhung PPP, và được bao gói vào trong gói GRE Tiêu đề IP này chứa địa chỉ IPcủa PPTP client nguồn và PPTP Server đích
Bao gói tầng liên kết dữ liệu: Như chúng ta đã biết, PPTP là một giao thứctạo đường hầm tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánhdấu là các quy luật quan trọng trong đường hầm dữ liệu trước khi được đặt lêncác phương tiện truyền phát, tầng liên kết dữ liệu thêm vào tiêu đề của chính nó
và đánh dấu cho các gói dữ liệu Nếu gói dữ liệu phải chuyển qua một đườnghầm PPTP cục bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu
đề theo công nghệ - LAN(như Ethenet chẳng hạn) Mặt khác, nếu đường hầmđược trải qua một liên kết WAN, tiêu đề và đánh dấu luôn được thêm vào gói dữliệu một lần
GRE Header Heade PPP r
IP Header
Data Link Header
GRE Header Header PPP
IP Header
GRE Header Header PPP
PPP Header
Encryption
PPP Payload
Encryption PPP Payload
Encryption PPP Payload
Encryption PPP Payload
Encryption PPP Payload
Encryption PPP Payload Data Link Trailer
Hình 2.9 Mô tả tiến trình xử lý dữ liệu PPTP đường hầm
Chú ý: GRE là một cơ chế đóng gói thông dụng đơn giản cho các dữ liệudựa trên IP GRE thường được dùng bởi các ISP để chuyển tiếp thông tin địnhtuyến trong Intranet của họ Tuy nhiên, các Router backbone thuộc Internet củaISP sẽ lọc lưu lượng dựa trên GRE này Vì vậy các đường hầm đã được thiết lập
có thể mang dữ liệu một cách an toàn và bí mật tới người nhận
Trang 39Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, ngườinhận phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm để thu được
dữ liệu gốc Quá trình này là ngược lại với quá trình định đường hầm dữ liệuPPTP Như ta thấy trong hình 2.10, để lấy lại dữ liệu gốc thì Node PPTP củangười nhận phải thực hiện các bước sau:
- Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã đượcthêm vào bởi người gửi
- Tiếp đó, loại bỏ tiêu đề GRE
- Tiêu đề IP được xử lý và loại bỏ
- Tiêu đề PPP được xử lý và loại bỏ
- Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu)
PPP Header
GRE Header
PPP Header
GRE Header
IP Header
PPP Header
GRE Header
PPP Header
PPP Payload Decryption
Encryption PPP Payload
Dada Link Header
IP Header
Encryption PPP Payload
Data Link Trailer
Encryption PPP Payload
Encryption PPP Payload
Encryption PPP Payload
Hình 2.10 Qúa trình xử lý gói dữ liệu để nhận được gói dữ liệu gốc
2.2.1.4 Bảo mật PPTP
PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTPServer và Client Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ liệu, xácthực, kiểm soát truy cập và lọc gói tin
Hơn nữa các cơ chế bảo mật được đề cập ở trên, PPTP có thể được dùngchung với Firewall và Router
1 Mã hoá và nén dữ liệu PPTP
Trang 40PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu Thay vào đó,
nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP PPP lần lượt sử dụng mã hoáMicrosoft Point–to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí mật
2 Xác thực dữ liệu PPTP
PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây:
a Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP)
MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xácthực dựa trên PPP Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá giống với CHAP Điểm khác nhau chính giữa chúng là trong khiCHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA vàDES Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft,
nó không được hỗ trợ bởi các nền khác
b Giao thức xác thực mật khẩu(PAP)
Là giao thức đơn giản và là giao thức xác thực đường quay số thông dụngnhất Nó cũng được dùng để xác thực các kết nối dựa trên PPP Tuy nhiên nógửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá Và như vậy,
nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi.Một lỗ hỗng của PAP khác là các thực thể truyền thông cuối chỉ được xác thựcmột lần khi khởi tạo kết nối Vì vậy, nếu kẻ tấn công vượt qua được một lần thìkhông còn phải lo lắng về vấn đề xác thực trong tương lai nữa! Vì lý do này,PAP được xem như là một giao thức xác thực ít phức tạp nhất và không phải là
cơ chế xác thực được ưa thích trong VPN
3 Kiểm soát truy cập PPTP
Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cập của
nó đến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mật nâng cao.Mục tiêu này được hoàn thành bởi việc thực thi bổ sung cơ chế kiểm soát truycập như: Quyền truy cập, mức cho phép, nhóm và lọc gói PPTP
Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấp nhận vàđịnh tuyến các gói chỉ từ các Client PPTP đã được xác thực thành công Kết quả
là, chỉ các Client PPTP đã được xác thực mới có thể truy cập lại tới mạng từ xa
đã xác định