Stop-Control-Connection- Reply Phản hồi ngược lại từ thực thể cuối đối với thông điệp Stop-Control-Connection-Request. Stop-Control-Connection- Notification Phản hồi ngược lại từ thực thể cuối để cho biết đường hầm bị kết thúc. 2.2.3.6. Bảo mật L2TP L2TP sử dụng phương thức xác thực PPP để xác thực người dùng. Sơ đồ xác thực bao gồm: - PAP và SPAP. - EAP. - CHAP. Ngoài các cơ chế xác thực đã nói ở trên. L2TP còn sử dụng IPSec để xác thực các gói dữ liệu riêng. Mặc dù điều này làm giảm đáng kể tốc độ giao dịch. Dùng IPSec để xác thực từng gói đảm bảo rằng Hacker và Cracker không thể thay đổi được dữ liệu và đường hầm của bạn. 2.2.3.7. Những ưu và nhược điểm của L2TP Những thuận lợi chính của L2TP được liệt kê như sau: - L2TP là giải pháp chung. Trong nhiều trường hợp khác, nó độc lập với Platform, nó cũng hỗ trợ nhiều công nghệ mạng. Hơn nữa, nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP mà không cần một IP. - Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa. Vì vậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng. - L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP. - L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại bỏ một cách tuỳ ý nếu đường hầm bị đầy. Điều này làm cho các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F. - L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một mạng từ xa qua một mạng công cộng. - L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trên IPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói của IPSec. Tuy nhiên nó cũng có một số nhược điểm. Đó là: - L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực từng gói tin nhận được. 2.2.4. So sánh các giao thức đường hầm truy cập từ xa Bảng sau đưa ra một sự so sánh giữa 3 giao thức đường hầm truy cập từ xa nổi bật, L2F, PPTP, L2TP Bảng 2.3 Tổng hợp so sánh 3 giao thức VPN được tích hợp với tầng 2 Feature PPTP L2F L2TP Hỗ trợ nhiều giao thức Yes Yes Yes Hỗ trợ nhiều liên kết PPP No Yes Yes Hỗ trợ nhiều kết nối trên đường hầm No Yes Yes Các chế độ hoạt động được hỗ trợ Incoming & Outgoing Incoming Incoming Các chế độ đường hầm được hỗ trợ Voluntary Voluntary & Compulsory Voluntary & Compulsory Giao thức Carrier IP/GRE IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR, IP/ATM Giao thức kiểm soát TCP, Port: 1723 UDP, Port: 1701 UDP, Port: 1701 Các cơ chế xác thực MS-CHAP, PAP CHAP, PAP, SPAP, EAP, IPSec, RADIUS RADIUS & & TACACS CHAP, PAP, SPAP, EAP, IPSec, TACACS Các cơ chế mã hoá MPPE MPPE, IPSec MPPE, IPSec, ECP 2.5. Lập mã và xác thực trong các giao thức đường hầm tại tầng 2 Phần này chúng ta sẽ thảo luận về các tùy chọn xác thực và mã hóa được sử dụng cho các giao thức đường hầm tại tầng 2 đã đề cập ở trên 2.5.1. Các tùy chọn xác thực Xác thực là một trong những yêu cầu then chốt với các giải pháp VPN, một số kỹ thuật xác thực truy cập từ xa thường được sử dụng và sự thích hợp của chúng cho các giải pháp VPN. 2.5.1.1. Giao thức xác thực mật khẩu (Password Authentication Protocol - PAP) Là giao thức đơn giản nhất và là giao thức xác thực kết nối đường quay số tới ISP thông dụng nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP, xác thực người dùng PPP trước khi một kết nối được thiết lập. Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá. Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi. PAP có các lỗ hỗng khác là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai nữa!. Vì lý do này, PAP được xem như là một giao thức xác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa thích trong VPN. 2.5.1.2. Giao thức xác thực có thăm dò trước (Challenge Handshake Authentication Protocol - CHAP) CHAP được phát triển để nhằm vào việc giải quyết vấn đề gửi mật khẩu dạng rõ trong khi sử dụng PAP. Trong CHAP khi một Client thay đổi định danh, nó đáp lại bằng một giá trị hàm băm nhận được qua hàm băm MD5. Nếu giống với giá trị tại Server cuối sử dụng cùng thủ tục như ở Client thì Client được xác thực thành công, không có mật khẩu rõ được trao đổi trong tiến trình. Vấn đề khác thường tích hợp với PAP là thực thể truyền thông cuối chỉ được xác thực một lần trong một tiến trình trao đổi thông tin. Vì CHAP xác thực nhiều lần trong một phiên, nó tạo ra khó khăn cho kẻ tấn công muốn phá vỡ quá trình truyền thông. 2.5.1.3. Giao thức xác thực có thăm dò trước của Microsoft (Microsoft CHAP) MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES. Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó không được hỗ trợ bởi các nền khác. 2.5.1.4. Giao thức xác thực mật khẩu Shiva (Shiva Password Authentication Protocol - SPAP) SPAP là một phương pháp độc quyền cho việc xác thực các Client quay số và một số Client Microsoft. Nó cung cấp một giao thức thăm dò trước 2 bước giữa Client và Server với một Password đã mã hóa. Trong một số kịch bản, SPAP có thể cung cấp thêm một số chức năng như CallBack, đổi mật khẩu và tạo các kết nối ảo. 2.5.1.5. Giao thực xác thực mở rộng (Extensible Authentication Protocol - EAP) Không giống như các phương pháp PAP và CHAP, chúng được thực thi tại thời gian cấu hình LCP, trong khi thiết lập kết nối PPP. EAP được thực hiện sau pha LCP, lúc xác thực PPP được thực hiện. Vì lý do đó, EAP cho phép xác thực phạm vi rộng vì tăng số lượng các tham số kết nối có thể được dùng tuỳ chọn như thông tin xác thực. 2.5.1.6. Kiến trúc bảo mật IP (IP Security) Kiến trúc IPSec bao gồm 2 giao thức: Giao thức xác thực tiêu đề (Authentication Header - AH) và giao thức bao gói tải bảo mật(Encapsulating Security Payload - ESP). Cả 2 giao thức đều xác thực trên từng gói dữ liệu trong một phiên làm việc, thay cho trên từng người dùng tại thời điểm thiết lập phiên làm việc hay nhiều lần trong một phiên. AH và ESP cũng cung cấp sự bảo vệ lại. Điều này làm cho xác thực IPSecurity an toàn hơn nhiều so với các tùy chọn xác thực PPP truyền thống, nhưng nó cũng phát sinh một quá trình xử lý Overhead khá cao tại các thiết bị thực hiện. IPSec là giao thức bảo mật được khuyến cáo cho L2TP và có thể được sử dụng cùng với L2F cũng như với PPTP về mặt lý thuyết 2.5.1.7 RADIUS and TACACS RADIUS và TACACS cung cấp một trung tâm xác thực với người dùng truy cập từ xa. Cả 2 công nghệ làm việc theo cách tương tự nhau. Một Server truy cập từ xa thực thi một RADIUS hay TACACS Client để chuyển tiếp các yêu cầu xác thực tới một Server trung tâm, nơi yêu cầu được xử lý và được cấp quyền truy cập hoặc từ chối truy cập. RADIUS và TACACS cũng cho phép chuyển thông tin cấu hình từ Client tới một cơ sở dữ liêu trung tâm. RADIUS có thể được kết nối vào một hệ thống xác thực trung tâm khác như Kerberos, DCE và RACF 2.5.1.8. ID bảo mật ID bảo mật được phát triển bởi công ty Security Dynamic, dựa trên khả năng xác thực 2 nhân tố. Người dùng không chỉ yêu cầu một Password để xác thực thành công mà còn cả một mã PIN bí mật dưới dạng một số ngẫu nhiên có thể thay đổi qua mỗi lần. Password được lưu trữ trong một cơ sở dữ liệu tại Server và được so sánh với Password do người dùng nhập vào khi đăng nhập. Số ngẫu nhiên được tạo cho mỗi người dùng tại Server và được thay đổi trong mỗi một khoảng thời gian nhất định. Người dùng được cung cấp một thiết bị dưới dạng một thẻ bài chứa khoá (key chain token) hoặc một thẻ thông minh (smart card), trong đó có một con chip vi xử lý thực hiện việc tính toán số ngẫu nhiên giống như là Server. Chip đó có một đồng hồ đồng bộ hoàn toàn với Server vì vậy người dùng có khả năng đăng nhập thành công bằng việc nhập vào Password và PIN đã có trên thiết bị thẻ. SecureID dựa trên mô hình Client/Server tương tự với RADIUS và TACACS, trong đó một Server truy cập hoạt động như một Client/Proxy SecureID để chuyển tiếp yêu cầu xác thực tới Server trung tâm, Server này thường được gọi là ACE/Server. SecureID cũng được dùng như một hệ thống xác thực thứ cấp với RADIUS. 2.5.2. Tuỳ chọn mã hoá Mã hoá và trao đổi khoá là 2 yêu cầu then chốt với VPN, trong phần sau ta sẽ thảo luận về một số kỹ thuật mã hoá truy cập từ xa thường được sử dụng và sự thích hợp của chúng với VPN 2.5.2.1. Mã hoá điểm tới điểm của Microsoft(Microsoft Point-to-Point Encryption - MPPE) MPPE sử dụng hàm băm MD4 được tạo khi xác thực bằng phương pháp MS- CHAP để nhận được khóa mật cho một kết nối PPP. Đây là một phương pháp mã hoá điển hình được dùng cho PPTP với các Client Microsoft. Thuật toán mã hoá dùng cho MPPE là RC4 với khoá 40bit, nó được xem là rất yếu với những kỹ thuật Hacker tiên tiến ngày nay. Microsoft cũng đưa ra một phiên bản với khoá 128bit cho thị trường Mỹ. Microsoft thực thi PPTP theo cách thức là cứ sau 256 gói dữ liệu được mã hóa thì Refresh lại khóa 2.5.2.2. Giao thức kiểm soát mã hóa(Encryption Control Protocol - ECP) ECP có thể được dùng để thương lượng mã hóa với một kết nối PPP, làmột kết nối đã được thiết lập và xác thực. ECP cho phép sử dụng các thuật toán mã hóa khác nhau trong mỗi chỉ thị nhưng không cung cấp khả năng Refresh khóa. Thuật toán mã hóa chuẩn là DES nhưng khách hàng có thể tự chọn thuật toán mà họ ưa thích để thực hiện. 2.5.2.3. IPSec IPSec mang lại chức năng mã hóa với giao thức đóng gói tải bảo mật và sử dụng giao thức trao đổi khóa Internet cho việc sinh khóa và làm tươi khóa. ESP . Stop-Control-Connection- Reply Phản hồi ngược lại từ thực thể cuối đối với thông điệp Stop-Control-Connection-Request. Stop-Control-Connection- Notification Phản hồi. các giao dịch dựa trên L2F. - L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một mạng từ xa qua một mạng công cộng. - L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường. như sau: - L2TP là giải pháp chung. Trong nhiều trường hợp khác, nó độc lập với Platform, nó cũng hỗ trợ nhiều công nghệ mạng. Hơn nữa, nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP mà không