LỜI MỞ ĐẦU Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc biệt là mạng Internet ngày càng phát triển đa dạng và phong phú. Các dịch vụ trên mạng Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội. Các thông tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó. Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính ổn định và an toàn cao. Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản trị là hết sức quan trọng và cần thiết.Xuất phát từ những thực tế nêu trên, hiện nay trên thế giới đã xuất hiện rất nhiều công nghệ liên quan đến bảo mật hệ thống và mạng máy tính, việc nắm bắt những công nghệ này là hết sức cần thiết. Xuất phát từ yêu cầu mở rộng Internet để thân thiện hơn với người sử dụng. VPN đã được nghiên cứu và triển khai ứng dụng trong thực tế, với những tính năng hỗ trợ đáp ứng được băng thông, triển khai dễ dàng, và đáp ứng được các yêu cầu kĩ thuật, kinh tế. Khi nghiên cứu và triển khai ứng dụng giao thức PPTP trong VPN, người ta đặc biệt quan tâm tới tính bảo mật an toàn thông tin của nó. Do môi trường truyền dẫn đường hầm riêng nên PPTP an toàn và bảo mật cao tránh sự tấn công của các Hacker. Do đó, đi đôi với phát triển PPTP phải phát triển các khả năng bảo mật an toàn, để cung cấp thông tin hiệu quả, tin cậy cho người sử dụng. Chương I: Giới thiệu. 1. Giới thiệu lịch sữ: PPTP được viết tắt từ Point-to-Point Tunneling Protocol tức là giao thức đường hầm, là một phương thức của mạng riêng ảo VPN (Virtual Private Network). Sữ dụng một kênh điều khiển qua giao thức TCP và GRE, hoạt đọng để đóng gói PPP. Mục đích sữ dụng giao thức này để cung cấp mật độ bảo mật truy cập từ xa như sản phẩm điển hình của VPN. VPN (Virtual Private Network) là một phương thức bảo mật đường truyền giữa hai điểm, công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu. Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền. Đặc điểm kỹ thuật: PPTP là giao thức được xác nhận là RFC 2637. PPTP được diễn giải bằng thông tin liên lạc peer trên TCP(Transmission Control Protocol) tại cổng 1723. Sau khi kết nối với TCP để khởi động thì GRE sẽ quản lý như một tunneling thứ 2 mà cùng peer. 2. Nhu cầu ứng dụng: Ứng dụng: Hiện nay giao thức PPTP thông dụng nhất là sử dụng trong VPN mạng riêng ảo. PPTP là giao thức bảo mật đường hầm tốt để quay VPN. Nhu cầu : Tạo Tunneling(Đường hầm) giao tiếp máy ngoài vào một mạng nội bộ công ty trên Internet, xây đụng hệ thống mạng cục bộ cho việc trao đổi dữ liệu được dễ dàng hươn 3. Các giải pháp công nghệ tương ứng liên quan: Internet Protocol Security (IPsec) là một bộ giao thức bảo mật Internet Protocol (IP) thông tin liên lạc bằng cách xác thực và mã hóa mỗi gói tin IP của một phiên giao tiếp. IPsec cũng bao gồm các giao thức cho việc thiết lập xác thực lẫn nhau giữa các đại lý vào đầu của các phiên họp và đàm phán của các phím mã hóa được sử dụng trong phiên. IPsec là chương trình điều hành bảo mật end-to-end trong Layer Internet của Nghị định thư Internet Suite . Nó có thể được sử dụng trong bảo vệ luồng dữ liệu giữa một cặp máy chủ (host-to-host), giữa một cặp cổng an ninh (network-to-network), hoặc giữa một cổng an ninh và một máy chủ (network-to-host). Giao thức L2TP(Layer 2 Tunneling Protocol) là một giao thức đường hầm được sử dụng để hỗ trợ mạng riêng ảo (VPN) hoặc như là một phần của việc cung cấp các dịch vụ bởi các ISP. Nó không cung cấp bất kỳ mã hóa hay bảo mật của chính nó, nó dựa trên một giao thức mã hóa mà nó đi qua trong vòng đường hầm để cung cấp sự riêng tư Giao thức xác thực mở rộng EAP(Extensible Authentication Protocol), là một giao thức thường xuyên được sử dụng trong các mạng không dây và kết nối Point-to-Point . Nó được định nghĩa trong RFC 3748 , RFC 2284 đã lỗi thời, và đã được cập nhật bằng RFC 5247. EAP là một giao thức cung cấp cho vận chuyển và sử dụng vật liệu keying và các thông số được tạo ra bởi phương pháp EAP. Có nhiều phương pháp được định nghĩa bởi RFC và một số phương pháp nhà cung cấp cụ thể và đề xuất mới tồn tại. EAP là một giao thức dây , thay vào đó nó chỉ định nghĩa các định dạng tin nhắn. Mỗi giao thức sử dụng EAP định nghĩa một cách để đóng gói các thông điệp EAP trong tin nhắn của giao thức. 4. Các giải pháp mô hình triển khai hiện có.: Giải pháp: Virtual Private Networks (VPN) có tên gọi chung của những kết nối “riêng” và bảo mật đựa trên một hệ thống kết nối chung, thường là internet, cho phép mở rộng hệ thống mạng tới các văn phòng ở xa (remote office ), các người dùng làm việc tại nhà ( Home user, home telecommuter), các người dùng di động ( Mobile user ) và cả các đối tượng thương mại (Busimess Partner). Mục đích: - Đáp ứng nhu cầu truy cập dữ liệu và ứng dụng cho người dùng ở xa, bên ngoài thông tin thông qua Internet - Áp dụng cho các tổ chức có nhiều văn phòng chi nhánh, giữa các văn phòng cần trao đổi dữ liệu với nhau. Ví dụ: Một công ty đa quốc gia có nhu cầu chia sẻ thông tin giữa các chi nhánh đặt tại nhiều nuớc khác nhau, có thể xây dựng một hệ thống VPN Site-to-Site kết nối hai văn phòng tạo một đường truyền riêng trên mạng Internet phục vụ quá trình truyền thông an toàn, hiệu quả. - Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập. Hệ thống Intranet VPN có thể đáp ứng tình huống này. - Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa. - Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, … - Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết. Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu.
Trang 1
NỘI DUNG LỜI NÓI ĐẦU.
Chương I: Giới thiệu.
1. Lịch sử.
2. Nhu cầu ứng dụng.
3. Các giải pháp công nghệ liên quan.
4. Các giải pháp mô hình triển khai hiện có.
Chương II: Tìm hiểu giao tức và thuật toán.
1. Sơ đồ nguyên lý tổng quát.
2. Giải thích các trường dữ liệu.
3. Các trường thông tin và nhiệm vụ.
Chương III: Kết quả thực nghiệm.
KẾT LUẬN.
LỜI CÁM ƠN
Chúng em xin bày tỏ lòng kính trọng và biết ơn sâu sắc tới thầy giáo ThS Văn Thiên Hoàng đã tận tình chỉ bảo và giúp đỡ chúng em hoàn thành đề tài môn này Đồng thời chúng em xin được cảm ơn các thầy cô giáo trường Đại Học Kỹ Thuật Công Nghệ TP.Hồ Chí Minh, những người đã trang bị cho chúng em những kiến thức giúp
em hoàn thành tốt đồ án chuyên ngành này
Nhóm 7:
Huỳnh Đức Thọ MSSV: 1081020095
Trang 2
LỜI MỞ ĐẦU
Cùng với sự phát triển của công nghệ thông tin, công nghệ mạng máy tính và đặc biệt là mạng Internet ngày càng phát triển đa dạng và phong phú Các dịch vụ trên mạng Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội Các thông tin trao đổi trên Internet cũng đa dạng cả về nội dung và hình thức, trong đó có rất nhiều thông tin cần bảo mật cao bởi tính kinh tế, tính chính xác và tin cậy của nó.Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải đảm bảo tính ổn định và an toàn cao Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn, do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản trị là hết sức quan trọng và cần thiết.Xuất phát từ những thực tế nêu trên, hiện nay trên thế giới đã xuất hiện rất nhiều công nghệ liên quan đến bảo mật hệ thống và mạng máy tính, việc nắm bắt những công nghệ này là hết sức cần thiết
Xuất phát từ yêu cầu mở rộng Internet để thân thiện hơn với người sử dụng VPN đã được nghiên cứu và triển khai ứng dụng trong thực tế, với những tính năng hỗ trợ đáp ứng được băng thông, triển khai dễ dàng, và đáp ứng được các yêu cầu kĩ thuật, kinh tế
Khi nghiên cứu và triển khai ứng dụng giao thức PPTP trong VPN, người ta đặc biệt quan tâm tới tính bảo mật an toàn thông tin của nó Do môi trường truyền dẫn đường hầm riêng nên PPTP an toàn và bảo mật cao tránh sự tấn công của các Hacker
Trang 3PPTP được viết tắt từ Point-to-Point Tunneling Protocol tức là giao thức đường hầm,
là một phương thức của mạng riêng ảo VPN (Virtual Private Network) Sữ dụng một kênh điều khiển qua giao thức TCP và GRE, hoạt đọng để đóng gói PPP Mục đích
sữ dụng giao thức này để cung cấp mật độ bảo mật truy cập từ xa như sản phẩm điển hình của VPN
VPN (Virtual Private Network) là một phương thức bảo mật đường truyền giữa hai điểm, công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí Trước đây, để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote Access quay số dựa trên mạng điện thoại Phương thức này vừa tốn kém vừa không an toàn VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống riêng được gọi là tunnel Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn ngừa trường hợp "trộm" gói tin trên đường truyền
Đặc điểm kỹ thuật:
PPTP là giao thức được xác nhận là RFC 2637
Trang 4
PPTP được diễn giải bằng thông tin liên lạc peer trên TCP(Transmission Control Protocol) tại cổng 1723 Sau khi kết nối với TCP để khởi động thì GRE sẽ quản lý như một tunneling thứ 2 mà cùng peer
3. Các giải pháp công nghệ tương ứng liên quan:
Internet Protocol Security (IPsec) là một bộ giao thức bảo mật Internet Protocol (IP) thông tin liên lạc bằng cách xác thực và mã hóa mỗi gói tin IP của một phiên giao tiếp IPsec cũng bao gồm các giao thức cho việc thiết lập xác thực lẫn nhau giữa các đại lý vào đầu của các phiên họp và đàm phán của các phím mã hóa được sử dụng trong phiên IPsec là chương trình điều hành bảo mật end-to-end trong Layer Internet của Nghị định thư Internet Suite Nó có thể được sử dụng trong bảo vệ luồng dữ liệu giữa một cặp máy chủ (host-to-host), giữa một cặp cổng an ninh (network-to-network), hoặc giữa một cổng an ninh và một máy chủ (network-to-host) Giao thức L2TP(Layer 2 Tunneling Protocol) là một giao thức đường hầm được sử dụng để hỗ trợ mạng riêng ảo (VPN) hoặc như là một phần của việc cung cấp các dịch vụ bởi các ISP Nó không cung cấp bất kỳ mã hóa hay bảo mật của chính nó, nó dựa trên một giao thức mã hóa mà nó đi qua trong vòng đường hầm để cung cấp sự riêng tư
Giao thức xác thực mở rộng EAP(Extensible Authentication Protocol), là một giao thức thường xuyên được sử dụng trong các mạng không dây và kết nối Point-to-Point Nó được định nghĩa trong RFC 3748 , RFC 2284 đã lỗi thời, và đã được cập nhật bằng RFC 5247 EAP là một giao thức cung cấp cho vận chuyển và sử dụng vật liệu keying và các thông số được tạo ra bởi phương pháp EAP Có nhiều phương pháp được định nghĩa bởi RFC và một số phương pháp nhà cung cấp cụ thể và đề xuất mới tồn tại EAP là một giao thức dây , thay vào đó nó chỉ định nghĩa các định dạng tin nhắn Mỗi giao thức sử dụng EAP định nghĩa một cách để đóng gói các thông điệp EAP trong tin nhắn của giao thức
4. Các giải pháp mô hình triển khai hiện có.:
Giải pháp:
Trang 5
Virtual Private Networks (VPN) có tên gọi chung của những kết nối “riêng” và bảo mật đựa trên một hệ thống kết nối chung, thường là internet, cho phép mở rộng hệ thống mạng tới các văn phòng ở xa (remote office ), các người dùng làm việc tại nhà ( Home user, home telecommuter), các người dùng di động ( Mobile user ) và cả các đối tượng thương mại (Busimess Partner)
- Trong một số tổ chức, quá trình truyền dữ liệu giữa một số bộ phận cần bảo đảm tính riêng tư, không cho phép những bộ phận khác truy cập Hệ thống Intranet VPN
có thể đáp ứng tình huống này
- Quản lý văn phòng một cách hiệu quả, giám sát công việc từ xa
- Tích hợp các hệ thống công nghệ cao như Camera quan sát, điện thoại trên nền tảng Internet, Voice chat, …
- Đẩy mạnh hiệu quả kinh doanh, bộ phận quản lý muốn các nhân viên kinh doanh trong quá trình công tác ở bên ngoài có thể truy cập báo cáo bán hàng (Sale Reports) chia sẻ trên File Server và có thể tương tác với máy tính của họ trong văn phòng khi cần thiết Ngoài ra, đối với các dữ liệu mật, nhạy cảm như báo cáo doanh số, trong quá trình truyền có thể áp dụng các cơ chế mã hóa chặt chẽ để nâng cao độ an toàn của dữ liệu
Trang 6
Tiếc kiệm chi phí
Remote Access còn được gọi là Dial-up riêng ảo (VPDN) là một kết nối người dùng đến LAN , thường là nhu cầu của một tổ chức có nhiều nhân viên cần kiên hệ đến mạng riêng của công ty từ nhiều địa điểm rất xa
VD: công ty muốn thiết lập một VPN lớn đến một nhà cung cấp dịch vụ doanh nghiệp (ESP) Doanh nghiệp này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng ở xa một phần mềm máy khách cho máy tính của họ sau đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy cập vào mạng riêng của công ty Loại VPN này cho phép các kết nối an toàn, có mật mã
Trang 7
Chương II: Tìm hiểu giáo thức, thuật toán.
1. Sơ đồ nguyên lý tổng quát:
PPTP là một phần mở rộng của giao thức Point to Point (PPP) Bởi vì PPTP có thể tận dụng các tính năng của PPP Ví dụ: PPTP cho phép đóng gói của nhiều giao thức,
Trang 8
dụng xác thực thông qua PAP, Chap, và MA-Chap, PPTP có thể sử dụng để xác thực các thiết bị 1. 2 Giải thích các trường dữ liệu. Control Message Message Code Start-Control-Connection-Request 1
Start-Control-Connection-Reply 2
Stop-Control-Connection-Request 3
Stop-Control-Connection-Reply 4
Echo-Request 5
Echo-Reply 6
(Call Management) Outgoing-Call-Request 7
Outgoing-Call-Reply 8
Incoming-Call-Request 9
Incoming-Call-Reply 10
Incoming-Call-Connected 11
Call-Clear-Request 12
Call-Disconnect-Notify 13 (Error Reporting)
Trang 9
WAN-Error-Notify 14 (PPP Session Control)
Set-Link-Info 15
Giải thích các trường dữ liệu:
a. Start-Control-Connection-Request: là một thông điệp điều khiển PPTP sử dụng để thiết lập kết nối điều khiển giữa một PNS và PAC mỗi PNS-PAC cặp yêu cầu một kết nối điều khiển chuyên dụng được thành lập Một kết nối điều khiển phải được thiết lập trước khi bất kỳ thông điệp khác PPTP có thể được ban hành Việc thành lập kiểm soát kết nối có thể được khởi xướng bởi các PNS hoặc PAC
b. Start-Control-Connection-Reply: là một thông điệp kiểm soát PPTP gửi trả lời một tin nhắn Start-Control-Connection-Request nhận được Điều này tin nhắn có chứa một mã số kết quả cho thấy các kết quả của kiểm soát nỗ lực thành lập kết nối
c. Stop-Control-Connection-Request: là một thông điệp điều khiển PPTP gửi một đồng đẳng của một kết nối điều khiển PAC-PNS để thông báo cho các peer khác rằng các kết nối điều khiển nên được đóng lại Ngoài ra để đóng cửa điều khiển kết nối, tất cả các cuộc gọi người dùng hoạt động ngầm được xóa
d. Stop-Control-Connection-Reply: là một thông điệp điều khiển PPTP gửi một đồng đẳng của một kết nối điều khiển PAC-PNS khi nhận một peer Control-Connection-Yêu cầu từ các peer khác
e. Echo-Request: là một thông điệp kiểm soát PPTP được gửi bởi một trong hai đồng đẳng của một PAC-PNS kiểm soát kết nối Thông điệp này kiểm soát được sử dụng như một "giữ sống "cho kết nối kiểm soát các vấn đề ngang hàng nhận được
f. Echo-Reply: là một thông điệp kiểm soát PPTP được gửi bởi một trong hai đồng đẳng của một PAC-PNS kiểm soát kết nối nhận được một Echo-Request
g. Outgoing-Call-Request: là một thông điệp kiểm soát PPTP gửi bởi PNS PAC để cho biết rằng một cuộc gọi đi từ các PAC là được thành lập Yêu cầu này cung cấp PAC với thông tin cần thiết để thực hiện cuộc gọi Nó cũng
Trang 10số cụ thể được sử dụng cho cuộc gọi.
i. Incoming-Call-Request: là một thông điệp điều khiển PPTP gửi PAC PNS chỉ ra rằng một cuộc gọi trong nước được thành lập từ PAC Yêu cầu này cung cấp các PNS với thông tin tham số cho các cuộc gọi đến
j. Incoming-Call-Reply: là một thông điệp kiểm soát PPTP gửi PNS PAC trong phản ứng với một tin nhắn đến-Call-Yêu cầu nhận được Các trả lời cho biết kết quả của các cuộc gọi đến Nó cũng cung cấp thông tin cho phép PAC để điều tiết việc truyền tải dữ liệu để PNS cho phiên này
k. Call-Disconnect-Notify: là một thông điệp kiểm soát PPTP gửi PNS PAC chỉ ra rằng một cuộc gọi cụ thể là bị ngắt kết nối Các gọi bị xóa có thể là hoặc một cuộc gọi đến hoặc đi, trong bất kỳ nhà nước PAC trả lời tin nhắn này với một cuộc gọi-Ngắt kết nối thông báo tin nhắn
l. Set-Link-Info: là một thông điệp kiểm soát PPTP gửi bởi PNS PAC để thiết lập tùy chọn PPP-thương lượng Bởi vì các tùy chọn này có thể thay đổi bất cứ lúc nào trong suốt thời gian của cuộc gọi, PAC phải có khả năng cập nhật thông tin cuộc gọi nội bộ của mình năng động và thực hiện PPP đàm phán về một phiên PPP hoạt động
3 Các trường thông tin và nhiệm vụ.
1) Xác nhận(Nhận biết được các bên tham gia giao tiếp không bị giải mã)
2) Điều khiển truy cập(Thông tin điều khiển được truy cập)
3) Bảo mật dữ liệu(Gồm dữ liệu về tên thuật toán, dữ liệu phục cho việc trao đổi khóa mật, dữ liệu công khai dữ liệu mã hóa)
Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo VPN, đó là:
• Đường hầm (Tunnelling) cho phép làm “ảo” một mạng riêng
Đường hầm: là kết nối giữa 2 điểm cuối khi cần thiết Khi kết nối này sẽ được giải phóng khi không truyền dữ liệu dành băng thông cho các kết nối khác Kết nối này mang tính lôgích “ảo” không phụ thuộc vào cấu trúc vật lý của mạng Nó che giấu các các thiết bị như bộ định tuyến, chuyển mạch và trong suốt đối với người dùng
Trang 11
Đường hầm được tạo ra bằng cách đóng gói các gói tin (Encapsulate) để truyền qua Internet Đóng gói có thể mã hoá gói gốc và thêm vào tiêu đề IP mới cho gói Tại điểm cuối, cổng dạng gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời (Temporary hay Dynamic)
Thông thường các mạng riêng ảo VPN sử dụng dạng đường hầm động Đường hầm động rất hiệu quả cho VPN, vì khi không có nhu cầu trao đổi thông tin thì được huỷ
bỏ Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN tại các cổng bảo mật (Security Gateway), khi đó người dùng trên các LAN có thể sự dụng đường hầm này Còn đối với trường hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng đường hầm trên máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích
• Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang tính riêng tư
Trong VPN sử dụng cơ chế đường hầm (Tunnelling) và các giao thức tầng 2
và tầng 3, xác thực người dùng, kiểm soát truy nhập, bảo mật dữ liệu bằng mã hoá, vì
vậy VPN có tính bảo mật cao, giảm thiểu khả năng tấn công, thất thoát dữ liệu
Mặc dù theo nghiên cứu trên thì 802.1x là một chuẩn bảo mật khá an toàn, tuy nhiên
nó vẫn tồn tại những nhược điểm của nó, nó vẫn chưa thể chống lại sự tấn công DOS, một số đặc tính lại yêu cầu đặc biệt về thiết bị phần cứng, do đó việc tất yếu là phải kết hợp các phương pháp bảo mật với nhau, đồng thời với việc đưa ra các chính sách bảo mật hợp lí
Trang 12
Theo các vần đề trên thì một số chính sách mà bản thân 802.1x đã đưa ra nhằm khắc phục những nhược điểm của mình là: bảo mật về mặt thiết bị vật lí, phân cấp quyền hợp lí, luôn bật tính năng tối ưu nhất, do mọi tính năng hầu như đều có thể enable hoặc disable Sử dụng các thiểt bị quét phổ để xác định các thiết bị nghe trộm, cung như xác định công suất phát hợp lí để tránh tín hiệu sóng bị rò rỉ ra ngoài phạm vi cần thiết
Bên cạnh đó cũng có thể tích hợp công nghệ VPN để bảo mật cho kết nối WLAN Khi VPN server được tích hợp vào AP, các client sử dụng phần mềm VPN client, sử dụng các giao thức như PPTP hoặc Ipsec để hình thành một đường hầm trực tiếp tới AP
Trước tiên client liên kết tới điểm truy nhập, sau đó quay số kết nối VPN, được yêu cầu thực hiện để client đi qua được AP Tất cả lưu lượng được qua thông qua đường hầm, và có thể được mã hóa để thêm một lớp an toàn
4) Toàn vẹn dữ liệu (Xác nhận được dữ liệu nhận là đúng không bi sữa đổi)
Ví dụ: Như thỏa thuận hàm băm là gì ? Dữ liệu băm là gì ? dữ liệu gì được chọn để băm cho bai toán phần mềm
PPPTP được định nghĩa bởi IETF trong RFC 2673 Protocol này đưọc thiết kế bởi Microsoft để cho phép các kết nối chi phi thấp đến các mạng của doanh nghiệp thông qua mạng Internet công cộng Các phiên kết nối PPTP bảo mật cho phép kết nối vào mạng doanh nghiệp thông qua Internet Các cuộc gọi này thường được gọi vào các thiết bị phần cứng, sau đó thiết bị này kết nối vào một Windows NT server FEP (front end processor) sẽ truyền các gói PPP từ người dùng cuối và sau đó đóng gói các gói đó vào mạng WAN Bởi vì PPP hỗ trợ nhiều giao thức khác nhau (IP, IPX, NetBEUI), nó có thể truy cập các hạ tầng mạng rất khác nhau Kiến trúc này bao gồm các ứng dụng client/server trong đó client là các PC của người dùng, chạy PPTP Về phía server, sẽ có các dial-in routers, VPN concentrator Cả hai đầu đều có thể khởi tạo tunnel Khi người dùng ở xa khởi tạo một tunnel, nó được gọi là chế độ xung phong (voluntary mode) Khi tunnel được tạo từ server, chế độ này được gọi là compulsory mode Một NAS có thể khởi tạo một tunnel ngay cả khi một client không có chạy PPTP
PPTP sẽ đóng gói các frame PPP vào các IP datagrams để truyền trên hệ thống mạng
IP, chẳng hạn như mạng Internet/Intranet PPTP sẽ kế thừa các đặc tính của PPP như
mã hóa, nén…PPTP yêu cầu một hạ tầng mạng IP giữa một PPTP clients và một
Trang 13Quá trình xác thực diễn ra trong giai đoạn tạo các kết nối VPN PPTP sử dụng cùng một cơ chế nhưng các kết nối PPP; nghĩa là cũng dùng PAP hoặc CHAP Một phiên bản nâng cao của CHAP, được gọi là MS-CHAP được tạo ra bởi Microsoft dùng các thông tin trong NT domain Một chọn lựa khác cho quá trình xác thực là IETF PPP (Extensible Authentication Protocol –EAP) Microsoft cũng đã tích hợp một giao thức khác gọi là Microsoft Point-to-Point Encryption (MPPE)4 để mã hóa traffic trên các kết nối PPP.MPPE dựa trên thuật toán RSA R4 (Rovest, Shamir, and Adelman (RSA) RC4).
Nếu quá trình mã hóa trên toàn bộ kết nối là cần thiết, IPSEC có thể mã hóa IP traffic
từ đầu kết nối cho đến cuối kết nối (end-to-end) sau khi một kênh PPTP đã được thiết lập
Đối với Windows 2000, cả hai giao thức EAP-Transport Level Security (EAP-TLS) hoặc MS-CHAP phải được dùng cho dữ liệu bên trong các PPP frame.PPTP Control Connection and Tunnel Maintenance:Kết nối PPTP giữa địa chỉ IP của PPTP client và IP address của PPTP server dùng port 1723 Các gói dữ liệu PPTP mang các thông tin điều khiển kết nối để duy trì PPTP tunnel.Sau giai đoạn bắt tay ban đầu, hai bên sẽ trao đổi một loạt các thông điệp bao gồm 12 thông điệp thiết lập và duy trì kết nối
5) Chống đối họ (Dữ liệu nào làm căn cứ để bên tham gia chối bỏ để tham gia, phục vụ cho việc giải quyết sau này)
Chú ý: tìm tài liệu vào google.com gõ RFC và tên đề tài
Trang 14
Chương III: Kết quả thực nghiệm minh họa.
1. Mô hình triển khai thực nghiệm
1.Xây dựng một Remote Access VPN
- Một máy chủ cài đặt Windows Server 2003 hoặc Windows Server 2000 làm máy chủ VPN (VPN Server), có 1 card mạng kết nối với hệ thống mạng nội bộ và một card mạng kết nối tới lớp mạng chạy dịch vụ Internet bên ngoài ADSL (IP tĩnh, nếu dùng IP động thì phải sử dụng kết hợp với các dịch vụ Dynamic DNS như dynDNS.org hay no-ip.com) để kết nối với bên ngoài (Internet)
1.2 Yêu cầu phần mềm :
- Một máy tính VPN server sử dụng Windows server 2003
- Một máy tính VPN client sử dụng Windows XP, Vista hay Windows 7
Mô hình Remote Access VPN :
Gồm một máy tính làm server VPN và một máy client
Trang 15DDNS có nhiệm vụ cập nhật địa chỉ IP WAN cho kết nối
Để thuận tiện cho quá trình truy cập người ta sử dụng tên miền thay thế cho IP WAN Giả sử ta có tên miền là ttp07b.homeip.net tương ứng với địa chỉ IP WAN 118.112.10.156 , khi IPWAN thay đổi thành 1 địa chỉ khác như 118.68.9.169 thì dịch
vụ DDNS sẽ tự động cập nhật địa chỉ IPWAN mới cho tên miền ttp07b.homeip.net
=> Như vậy chúng ta không cần quan tâm IP WAN mà chỉ cần nhớ đến tên miền mà thôi
Ta có thể đăng ký tài khoản ở các trang no-ip.com hoặc dyndns.com Sau khi đăng
ký xong thì mở mail kích hoạt tài khoản , vào lại trang no-ip.com hoặc dyndns.com đăng nhập bằng accoutn đã đăng ký rồi tạo một tên miền
Trang 17
Sau đó click Next để hoàn thành
Trang 18
b) Cấu hình một VPN server trên Windows 2003 :
Bước 1: Cài đặt các dịch vụ trên Routing and Remote Access
Trước khi cài VPN, cần Stop dịch vụ Windows Firewall/Internet Connection Sharing (ICS) và chuyển dịch vụ đó sang chế độ Disable (mặc định sau khi cài là Automatic).Chạy Services Manager bằng cách click Start->Programs-> Administrative Tools-
>Services Giao diện của Services Manager như hình :
Trang 20
Click Next để tiếp tục
Trang 21
Click Next để tiếp tục
Trang 22
Click Next để tiếp tục
Trang 23
Click Next để tiếp tục vào cấu hình VPN
Trang 24
Cho phép cấu hình Routing and Remote Access Server
Trang 25
chọn VPN server và LAN routing
Cho phép lựa chọn các dịch vụ có trong Routing and Remote Access
Trang 26
dịch vụ đã được cài đặt , nhấn Finish để hoàn thành
Trang 27
Nhấn Next để Start các dịch vụ đó
Trang 28
Nhấn Finish để kết thúc Sau bước này là cấu hình VPN server