lọc lưu lượng dựa trên GRE này. Vì vậy các đường hầm đã được thiết lập có thể mang dữ liệu một cách an toàn và bí mật tới người nhận. Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhận phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm để thu được dữ liệu gốc. Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP. Như ta thấy trong hình 2.10, để lấy lại dữ liệu gốc thì Node PPTP của người nhận phải thực hiện các bước sau: - Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được thêm vào bởi người gửi. - Tiếp đó, loại bỏ tiêu đề GRE - Tiêu đề IP được xử lý và loại bỏ - Tiêu đề PPP được xử lý và loại bỏ. - Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu) PPP Header GRE Header PPP Header GRE Header IP Header PPP Header GRE Header PPP Header PPP Payload Decryption Encryption PPP Payload Dada Link Header IP Header Encryption PPP Payload Data Link Trailer Encryption PPP Payload Encryption PPP Payload Encryption PPP Payload Hình 2.10 Qúa trình xử lý gói dữ liệu để nhận được gói dữ liệu gốc 2.2.1.4. Bảo mật PPTP PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP Server và Client. Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ liệu, xác thực, kiểm soát truy cập và lọc gói tin. Hơn nữa các cơ chế bảo mật được đề cập ở trên, PPTP có thể được dùng chung với Firewall và Router. 1. Mã hoá và nén dữ liệu PPTP PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu. Thay vào đó, nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP. PPP lần lượt sử dụng mã hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí mật. 2. Xác thực dữ liệu PPTP PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây: a. Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP) MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES. Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó không được hỗ trợ bởi các nền khác. b. Giao thức xác thực mật khẩu(PAP) Là giao thức đơn giản và là giao thức xác thực đường quay số thông dụng nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP. Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá. Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi. Một lỗ hỗng của PAP khác là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai nữa!. Vì lý do này, PAP được xem như là một giao thức xác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa thích trong VPN. 3. Kiểm soát truy cập PPTP Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cập của nó đến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mật nâng cao. Mục tiêu này được hoàn thành bởi việc thực thi bổ sung cơ chế kiểm soát truy cập như: Quyền truy cập, mức cho phép, nhóm và lọc gói PPTP Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấp nhận và định tuyến các gói chỉ từ các Client PPTP đã được xác thực thành công. Kết quả là, chỉ các Client PPTP đã được xác thực mới có thể truy cập lại tới mạng từ xa đã xác định. Trong cách này, PPTP không chỉ cung cấp các cơ chế xác thực, kiểm soát truy cập và mã hoá, mà còn làm tăng thêm sự an toàn của mạng. 4. PPTP với FireWall và Router Các thiết bị PPTP chấp nhận lưu lượng TCP và IP tại cổng 1723 và 47. Tuy nhiên, khi PPTP dùng chung với FireWall và Router, lưu lượng đã được dự tính cho các cổng này được định tuyến qua Firewall hoặc Router, chúng lọc lưu lượng trên cơ sở danh sách kiểm soát truy cập (ACL) và các chính sách bảo mật khác, PPTP nâng cao các dịch vụ bảo mật mà nó đưa ra. 2.2.1.5. Các tính năng của PPTP 1. Tính sẵn có PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trong Workstation. Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng. Không cần mua thêm các phần mềm bổ sung vì Microsoft đã đưa ra cách nâng cấp PPTP trong tất cả các phiên bản Windows, được bổ sung trong nhiều nhánh của các Switch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics. PPTP đã trở thành một phần của các gói tin hệ điều hành mạng và phần lớn các Switch truy cập từ xa. Một nhà quản trị mạng Window NT có thể thử nghiệm một VPN ngay lập tức mà không cần tốn thêm một chi phí nào. 2. Dễ thi hành Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giao thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ. Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sử dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổ sung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói tin PPP theo khuôn dạng PPTP. 3. Tạo đường hầm đa giao thức Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉ cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép. 4. Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ được máy chủ gán cho một địa chỉ IP. Địa chỉ này có thể là một phần trong dãi địa chỉ IP của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP của tổ chức đó. Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (là những địa chỉ được cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệ thống mạng) trên hệ thống mạng riêng. Cơ quan thẩm quyền Internet Assigned Numbers (IANA) sẽ thiết lập các khối địa chỉ IP không đăng ký để sử dụng trên các mạng riêng hoặc Intranet và các hệ thống mạng này không cho phép các truy cập Internet hay các truy cập qua Router. Nếu một công ty có sử dụng một tập các địa chỉ không đăng ký khi một RAS Client sử dụng giao thức PPTP để thiết lập kết nối, sẽ được cung cấp một địa chỉ trong số địa chỉ đó và truy cập tới mạng nội bộ của công ty. Nếu một người sử dụng ở xa quay số kết nối tới ISP và cố gắng truy cập tới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ phải mở ra một cổng nào đó cho người sử dụng vào mạng cục bộ, điều này có thể tạo ra lỗ hỗng. Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thể vào mạng cục bộ. 2.2.2. Chuyển tiếp tầng 2 (L2F) Như đã đề cập trước đây, các dịch vụ mạng quay số truyền thống được thực hiện qua Internet và vì vậy dựa trên công nghệ IP. Điều này giải thích tại sao giải pháp đường hầm lại thông dụng như PPP và PPTP, chứng tỏ thành công hơn của cơ sở hạ tầng IP so với các công nghệ mạng đương thời như ATM, FR. Bảo mật là vấn đề khác. Bất chấp các yêu cầu của Microsoft về giao dịch bảo mật, PPTP dựa trên MS-CHAP không thật sự an toàn. Vấn đề này làm cho các tổ chức công nghiệp và các chuyên gia tìm đến các giải pháp thay thế có thể đem lại sự bảo mật liền mạch cho nhiều dịch vụ quay số ảo và nhiều giao thức. Cisco System cùng với Nortel là một trong các nhà cung cấp hàng đầu các giải pháp theo hướng: - Có khả năng bảo mật các giao dịch. - Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung gian khác. - Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay. Hình 2.11 Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng Sau thời gian dài tìm kiếm, Cisco hiện tại đang mở rộng nghiên cứu L2F. Ngoài việc thực hiện đầy đủ những mục đích trên, L2F mang lại những thuận lợi khác trong công nghệ truy cập từ xa. Các đường hầm L2F có thể hỗ trợ nhiều phiên đồng thời trong cùng một đường hầm. Theo cách nói đơn giản hơn là nhiều người dùng từ xa có thể cùng truy cập vào mạng cục bộ riêng qua một kết nối quay số đơn. L2F đạt được điều này bằng cách định nghĩa nhiều kết nối trong một đường . bước sau: - Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được thêm vào bởi người gửi. - Tiếp đó, loại bỏ tiêu đề GRE - Tiêu đề IP được xử lý và loại bỏ - Tiêu đề PPP. hướng: - Có khả năng bảo mật các giao dịch. - Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung gian khác. - Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI,. trước của Microsoft(MS-CHAP) MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá giống với CHAP.