ACE/Server. SecureID cũng được dùng như một hệ thống xác thực thứ cấp với RADIUS. 2.5.2. Tuỳ chọn mã hoá Mã hoá và trao đổi khoá là 2 yêu cầu then chốt với VPN, trong phần sau ta sẽ thảo luận về một số kỹ thuật mã hoá truy cập từ xa thường được sử dụng và sự thích hợp của chúng với VPN 2.5.2.1. Mã hoá điểm tới điểm của Microsoft(Microsoft Point-to-Point Encryption - MPPE) MPPE sử dụng hàm băm MD4 được tạo khi xác thực bằng phương pháp MS- CHAP để nhận được khóa mật cho một kết nối PPP. Đây là một phương pháp mã hoá điển hình được dùng cho PPTP với các Client Microsoft. Thuật toán mã hoá dùng cho MPPE là RC4 với khoá 40bit, nó được xem là rất yếu với những kỹ thuật Hacker tiên tiến ngày nay. Microsoft cũng đưa ra một phiên bản với khoá 128bit cho thị trường Mỹ. Microsoft thực thi PPTP theo cách thức là cứ sau 256 gói dữ liệu được mã hóa thì Refresh lại khóa 2.5.2.2. Giao thức kiểm soát mã hóa(Encryption Control Protocol - ECP) ECP có thể được dùng để thương lượng mã hóa với một kết nối PPP, làmột kết nối đã được thiết lập và xác thực. ECP cho phép sử dụng các thuật toán mã hóa khác nhau trong mỗi chỉ thị nhưng không cung cấp khả năng Refresh khóa. Thuật toán mã hóa chuẩn là DES nhưng khách hàng có thể tự chọn thuật toán mà họ ưa thích để thực hiện. 2.5.2.3. IPSec IPSec mang lại chức năng mã hóa với giao thức đóng gói tải bảo mật và sử dụng giao thức trao đổi khóa Internet cho việc sinh khóa và làm tươi khóa. ESP có khả năng mã hóa trên từng gói dữ liệu trong một phiên giao dịch và đưa ra thuật toán mã hóa ở các mức độ: thấp, trung bình, mạnh và rất mạnh để có thể lựa chọn từ DES 40bit đến Trip DES 192bit. IKE xác thực các bên cần trao đổi thông tin mật dựa trên các thuật toán xác thực mạnh cũng như mã hóa các thông điệp làm tươi khóa. Các khóa được sinh bởi IKE sau đó được sử dụng bởi IKE. ESP cung cấp tùy chọn xác thực trên từng gói dữ liệu và bảo vệ lại. Điều này làm cho IPSec phức tạp và an toàn hơn các tùy chọn xác thực PPP truyền thống. Nhưng nó cũng làm xuất hiện quá trình xử lý Overhead nhiều hơn tại thiết bị thực thi. IPSec là giao thức bảo mật được khuyến cáo cho L2TP và cũng có thể được dùng với L2F. Tổng kết Trong chương này, chúng ta đã tìm hiểu về các giao thức được hầm tại tầng 2 của mô hình OSI. Các giao thức này là PPTP, L2F, L2TP. Chúng ta cũng tìm hiểu chi tiết về cách thức làm việc của các giao thức, bao gồm cả các thành phần, các tiến trình và việc duy trì kiểm soát kết nối được áp dụng cho mỗi giao thức. Chúng ta đã xem xét các tiến trình thiết lập một đường hầm của mỗi giao thức cũng như việc xử lý dữ liệu đường hầm và quy tắc của nó trong việc bảo mật dữ liệu. Chúng ta cũng đã xem xét khía cạnh bảo mật của mỗi giao thức, bao gồm cả các cơ chế mã hóa và xác thực khác nhau được sử dụng bởi mỗi giao thức để bảo đảm an toàn cho dữ liệu trong khi truyền qua đường hầm. Cuối cùng, chúng ta xem xét những ưu nhược điểm của mỗi giao thức. Câu hỏi ôn tập 1. Những giao thức đường hầm nào sau đây được gắn với tầng 2 của mô hình OSI? a. PPTP b. L2F c. IPSec d. L2TP 2. Cổng mạng được dùng bởi L2F cho việc thiết lập và kiểm soát kết nối là____________. a. TCP: 1701 b. UDP: 1723 c. UDP: 1701 d. TCP: 1723 3. Cổng mạng được dùng bởi PPTP cho việc định đường hầm dữ liệu tới đích là____________. a. IP: 47 b. TCP: 47 c. UDP: 47 d. TCP: 1723 4. Frame hợp lệ nào sau đây được dùng cho việc kiểm soát kết nối? a. Link Control Protocol b. Link termination c. Network Control Protocol d. Link establishment 5. Giao thức đường hầm nào sau đây được hỗ trợ bởi Windows NT 4.0 Server? a. PPTP b. L2TP c. L2F d. Tất cả giao thức trên 6. Những thành phần nào sau đây là của một đường hầm L2TP? a. LLC b. LNS c. NAS d. LSN 7. Giao thức đường hầm đầu nào sau đây lần đầu tiên cho phép nhiều kết nối trên đường hầm? a. PPTP b. L2TP c. L2F d. Không có giao thức nào 8. Câu nào sau đây về L2F là đúng? a. It is a proprietary tunneling protocol by Cisco. b. It offers advanced flow-control services. c. It supports voluntary tunnels. d. It supports compulsory tunnels. 9. Giao thức đường hầm nào sau đây hỗ trợ IKE? a. PPTP b. L2TP c. IPSec d. L2F Chương III Các giao thức mạng riêng ảo tại tẩng 3 Trong chương II chúng ta đã nghiên cứu về các giao thức mạng riêng ảo, như PPTP, L2TP, L2F tại tầng 2 của mô hình OSI. Trong chương này sẽ nghiên cứu giao thức mạng riêng ảo hoạt động tại tầng 3 của mô hình OSI. Với đặc tính quản lý khóa, bảo mật và xác thực mạnh của IPSec, nó nổi bật lên như một chuẩn mạng riêng ảo thực tế. Trong thực tế, phần lớn giải pháp mạng riêng ảo ngày nay thường dựa trên IPSec. Vì vậy, IPSec là gì? Làm thế nào để nó đảm bảo an toàn cho các giao dịch trong khi truyền dữ liệu? Tại sao nó lại trở nên thông dụng? Chương này sẽ cố gắng trả lời các câu hỏi này. Đúng như tên gọi, giao thức IPSec thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nội dung thông tin. Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3(Lớp mạng) của mô hình OSI, như trong hình 3.1 A p p lic a tio n L a y er P re s e n ta tio n L a ye r S e s s io n L a y e r T ra n s p o rt L a ye r D a ta L in k L a y er P h y s ic a l L a ye r IP S e c N e tw o rk L a ye r Hình 3.1 Vị trí của IPSec trong mô hình OSI 3.1. Kiến trúc an toàn IP (IPSec) Trong phần này chúng ta sẽ xem xét khái quát về kiến trúc an toàn cho giao thức Internet(IPSec) - một công nghệ mà phần lớn các giải pháp mạng riêng ảo đều dựa vào nó. 3.1.1. Giới thiệu chung và các chuẩn Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và IPV6. Bằng cách cung cấp khả năng an toàn tại tầng này, các giao thức tầng giao vận và các ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi gì cả. Một số ứng dụng cung cấp dịch vụ bảo mật trên tầng ứng dụng như SSL hay TLS. Đối với các giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật do tầng dưới cung cấp để tạo các ứng dụng bảo mật (ví dụ như giao diện cung cấp các hỗ trợ bảo mật -SSPI). Trong sản phẩm Window 2000 cung cấp giao diện chung cho phép các ứng dụng ở tầng trên truy nhập vào các module bảo mật ở tầng dưới), các ứng dụng ít nhất cần nhận thức được vấn đề bảo mật. IPSec giải quyết được yêu cầu này bằng cách chuyển vấn đề bảo mật xuống tầng 3. Điều này cho phép các ứng dụng duy trì được tính không phụ thuộc vào hạ tầng bảo mật của các tầng dưới. Các gói IP sẽ được bảo vệ mà không phụ thuộc vào các ứng dụng đã sinh ra chúng. Nói một cách khác, các ứng dụng không cần biết tới vấn đề bảo mật trên nền IP. Các quy tắc bảo mật được định nghĩa thống nhất giữa các nhà quản trị mà không phụ thuộc vào một ứng dụng nào được chạy trên hệ thống và IPSec là trong suốt đối với các ứng dụng. Điều này đem lại những lợi ích vô cùng to lớn, đó là khả năng xác thực, bảo mật và kể cả mã hoá dữ liệu được truyền qua bất kỳ mạng IP nào. Như vậy, IPSec cung cấp khả năng bảo mật đầu cuối - tới - đầu cuối giữa các máy tính và mạng máy tính. IPSec là một kiến trúc an toàn dựa trên chuẩn mở, nó có các đặc trưng sau: - Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại - Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an toàn - Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật - Cung cấp khả năng xác thực dựa trên chứng chỉ số - Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá . thích hợp của chúng với VPN 2.5.2.1. Mã hoá điểm tới điểm của Microsoft(Microsoft Point-to-Point Encryption - MPPE) MPPE sử dụng hàm băm MD4 được tạo khi xác thực bằng phương pháp MS- CHAP. a. PPTP b. L2TP c. L2F d. Không có giao thức nào 8. Câu nào sau đây về L2F là đúng? a. It is a proprietary tunneling protocol by Cisco. b. It offers advanced flow-control services. c. It. 128bit cho thị trường Mỹ. Microsoft thực thi PPTP theo cách thức là cứ sau 256 gói dữ liệu được mã hóa thì Refresh lại khóa 2.5.2.2. Giao thức kiểm soát mã hóa(Encryption Control Protocol -