TRIỂN KHAI HỆ THỐNG VPN CLIENT TO SITE CHO DOANH NGHIỆP NHỎ

Người sử dụng cần ựược ựảm bảo các dữ liệu thông qua mạng VPN ựạt ựược mức ựộ an toàn giống như trong một hệ thống mạng dùng riêng do họ tự xây dựng và quản lý.. Intranet VPNs là một VPN

MỤC LỤC

LỜI MỞ ðẦU 3

BẢNG ðỐI CHIẾU CỤM TỪ VIẾT TẮT 4

CHƯƠNG 1 5

TỔNG QUAN VỀ VPN (VIRTUAL PRIVATE NETWORK) 5

1.1 ðỊNH NGHĨA, CHỨC NĂNG VÀ ƯU ðIỂM CỦA VPN 5

1.1.1 Khái niệm cơ bản về VPN 5

1.1.2 Chức năng của VPN 6

1.1.3 Ưu ñiểm của VPN 6

1.1.4 Các yêu cầu cơ bản ñối với một giải pháp VPN 8

1.1.5 ðường hầm và mã hóa 9

1.2 CÁC KIỂU VPN 9

1.2.1 VPN truy cập từ xa (Remote Access VPNs) 10

1.2.2 VPN nội bộ (Intranet VPNs) 11

1.2.3 VPN mở rộng (Extranet VPNs) 13

CHƯƠNG 2 14

CÁC GIAO THỨC BẢO MẬT TRÊN VPN 14

2.1 CÁC GIAO THỨC ðƯỜNG HẦM TRONG VPN 14

2.1.1 Giao thức ñường hầm ñiểm nối ñiểm (PPTP) 15

2.1.2 Giao thức chuyển tiếp lớp hai (L2F) 19

2.1.3 Giao thức ñường hầm lớp hai (L2TP) 21

2.1.4 Giao thức ñóng gói ñịnh tuyến chung (GRE) 26

2.1.5 Giao thức bảo mật IP (IPSec) 27

2.2 BẢO MẬT TRONG VPN 32

2.2.1 Tổng quan về an ninh mạng 32

2.2.2 Một số phương thức tấn công mạng phổ biến 33

2.2.3 Các kỹ thuật bảo mật trong VPN 35

CHƯƠNG 3 37

TRIỂN KHAI HỆ THỐNG VPN CLIENT TO SITE CHO DOANH NGHIỆP NHỎ 37

3.1 PHÂN TÍCH NHU CẦU SỬ DỤNG VPN 37

3.1.1 Hạ tầng mạng hiện tại 37

3.1.2 Nhu cầu của doanh nghiệp ñối với dịch vụ VPN 37

3.2 CÁC BƯỚC TRIỂN KHAI 38

3.2.1 Phần cứng, phần mềm 38

KẾT LUẬN 49

TÀI LIỆU THAM KHẢO 51

Bên cạnh ựó, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn

Do ựó ựối với mỗi hệ thống, nhiệm vụ bảo mật ựược ựặt ra cho người quản trị mạng

là hết sức quan trọng và cần thiết Xuất phát từ những thực tế ựó, ựã có nhiều công nghệ liên quan ựến bảo mật hệ thống mạng máy tắnh xuất hiện, việc nắm bắt các công nghệ này là rất cần thiết

Chắnh vì vậy, thông qua việc nghiên cứu một cách tổng quan về bảo mật hệ thống và công nghệ liên quan ựến bảo mật hệ thống ựó là công nghệ Mạng Riêng

Ảo (Virtual Private Network - VPN) trong ựồ án này của tôi có thể góp phần vào việc hiểu biết thêm và nắm bắt rõ kỹ thuật VPN trong doanh nghiệp cũng như trong nhà trường giúp cho việc học tập và nghiên cứu

Bảo mật hệ thống và kỹ thuật VPN là một vấn ựề rộng rãi và còn mới ựối với Việt Nam, mặc dù là sinh viên học ngành quản trị mạng nhưng kinh nghiệm làm việc và kỹ thuật còn hạn chế, nội dung của tài liệu còn có phần sai sót nên mong các Thầy cùng các bạn sinh viên ựóng góp nhiều ý kiến bổ sung thêm ựể tôi có thể hoàn thành ựồ án này một cách chắnh xác và hữu ắch hơn Trong quá trình xây dựng ựồ án này, tôi ựã nhận ựược nhiều sự giúp ựỡ, góp ý của các giảng viên cùng các bạn trong lớp Tôi xin chân thành cảm ơn sự hướng dẫn của Thầy Trần Bàn Thạch là thầy trực tiếp hướng dẫn ựồ án chuyên ngành cho tôi, giúp tôi có thể hoàn thành ựồ

án này

đà Nẵng, ngàyẦ.thángẦ.năm 2010

Sinh viên thực hiện

Tăng Viết Tuân

BẢNG đỐI CHIẾU CỤM TỪ VIẾT TẮT

Danh sách ựiều khiển truy nhập Access Control List (ACL)

đóng gói bảo mật tải Encapsulation Security Payload (ESP)

Giao thức mã hóa ựịnh tuyến Generic Routing Encapsulution (GRE)

Nhà cung cấp dịch vụ Internet Internet Service Provides (ISP)

Nhóm ựặc nhiệm kỹ thuật Internet Internet Engineering Task Force (IETF)

Giao thức thông ựiệp ựiều khiển

Giao thức quản lý nhóm Internet Internet Group Management Protocol (IGMP)

Giao thức ựiều khiển chuyển ựổi Transfer Control Protocol/Internet Protocol (TCP/IP)

Truy cập tập trung giao thức tầng

Giao thức ựường hầm lớp 2 Layer 2 Tunneling Protocol (L2TP)

Mô hình liên kết các hệ thống mở Open Systems Interconnection (OSI)

Giao thức ựiểm nối ựiểm Point to Point Protocol (PPP)

Giao thức ựường hầm ựiểm nối

CHƯƠNG 1 TỔNG QUAN VỀ VPN (VIRTUAL PRIVATE NETWORK)

1.1 ðỊNH NGHĨA, CHỨC NĂNG VÀ ƯU ðIỂM CỦA VPN

1.1.1 Khái niệm cơ bản về VPN

Phương án truyền thông nhanh, an toàn và tin cậy ñang trở thành mối quan tâm của nhiều doanh nghiệp, ñặc biệt là các doanh nghiệp có các ñịa ñiểm phân tán về mặt ñịa lý Nếu như trước ñây giải pháp thông thường là thuê các ñường truyền riêng (leased lines) ñể duy trì mạng WAN (Wide Are Network) Các ñường truyền này giới hạn từ ISDN (128Kbps) ñến ñường cáp quang OC3 (Optical carrier-3, 155Mbps) Mỗi mạng WAN ñều có các ñiểm thuận lợi trên một mạng công cộng như Internet trong ñộ tin cậy, hiệu năng và tính an toàn, bảo mật Nhưng ñể bảo trì một mạng WAN, ñặc biệt khi sử dụng các ñường truyền riêng, có thể trở nên quá ñắt khi doanh nghiệp muốn mở rộng các chi nhánh

Khi tính phổ biến của Internet gia tăng, các doanh nghiệp ñầu tư vào nó như một phương tiện quảng bá và mở rộng các mạng mà họ sở hữu Ban ñầu là các mạng nội

bộ (Intranet) mà các site ñược bảo mật bằng mật khẩu ñược thiết kế cho việc sử dụng chỉ bởi các thành viên trong công ty

Line, mỗi VPN sử dụng các kết nối ảo ñược dẫn qua ñường Internet từ mạng riêng của công ty tới các site của các nhân viên từ xa

Những thiết bị ở ñầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall Những thiết bị này có thể ñược quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP

VPN ñược gọi là mạng riêng ảo vì ñây là một cách thiết lập một mạng riêng qua một mạng công cộng sử dụng các kết nối tạm thời Những kết nối bảo mật ñược thiết lập giữa hai host, giữa host và mạng hoặc giữa hai mạng với nhau

Một VPN có thể xây dựng bằng cách sử dụng “ðường hầm” và “Mã hóa” VPN

có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI VPN là sự cải tiến cơ sở hạ tầng mạng WAN mà làm thay ñổi hay làm tăng thêm tính chất của các mạng cục bộ

1.1.2 Chức năng của VPN

VPN cung cấp ba chức năng chính:

truyền chúng ngang qua mạng Bằng cách làm như vậy, không một ai có thể truy

cập thông tin mà không ñược phép Và nếu có lấy ñược thì cũng không ñọc ñược

truyền qua mạng Internet mà không có sự thay ñổi nào

gốc của gói dữ liệu, ñảm bảo và công nhận nguồn thông tin

1.1.3 Ưu ñiểm của VPN

VPN có nhiều ưu ñiểm hơn so với các mạng leased line truyền thống Các ưu ñiểm cơ bản ñó là:

một mạng VPN sẽ ñược thu nhỏ, do chỉ phải trả ít hơn cho việc thuê băng thông ñường truyền, các thiết bị mạng ñường trục và hoạt ñộng của hệ thống Giá thành cho việc kết nối LAN to LAN giảm từ 20-30% so với việc sử dụng ñường truyền

leased line truyền thống Việc truy cập từ xa thì giảm từ 60-80%

VPN tạo ra tính mềm dẻo cho khả năng quản lý Internet: Các VPN ñã kế thừa phát huy hơn nữa tính mềm dẻo và khả năng mở rộng kiến trúc mạng hơn là các

mạng WAN truyền thống ðiều này giúp các doanh nghiệp có thể nhanh chóng và hiệu quả kinh tế cho việc mở rộng hay hủy bỏ kết nối của các trụ sở ở xa, các người

sử dụng di ñộng…,và mở rộng các ñối tác kinh doanh khi có nhu cầu

hành một mạng cục bộ: Các doanh nghiệp có thể cho phếp sử dụng một vài hay tất

cả các dịch vụ của mạng WAN, giúp các doanh nghiệp có thể tập trung vaofcacs ñối

tượng kinh doanh chính thay vì quản lý một mạng WAN hay mạng quay số từ xa

lý: Một Backbone IP sẽ loại bỏ các PVC (Permanent Virtual Circuit) cố ñịnh tương

ứng với các giao thức kết nối như là Frame Relay và ATM ðiều này tạo ra một

kiểu mạng lưới hoàn chỉnh trong khi giảm ñược ñộ phức tạp và giá thành

Hình 1.2 Ưu ñiểm của VPN so với mạng truyền thông Một mạng VPN có ñược những ưu ñiểm của mạng cục bộ trên cơ sở hạ tầng của mạng IP công cộng Các ưu ñiểm này bao gồm tính bảo mật và sử dụng ña giao thức

Một mạng ảo ñược tạo ra nhờ các giao thức ñường hầm trên một kết nối IP chuẩn Các loại công nghệ ñường hầm ñược dùng phổ biến cho truy cập VPN gồm

có giao thức ñịnh ñường hầm ñiểm-ñiểm PPTP (Point to Point Tunneling Protocol), chuyển tiếp lớp 2 L2F (Layer 2 Forwarding) hoặc giao thức ñịnh ñường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) và IPSec (IP Security) hoặc gói ñịnh tuyến chung GRE (Generic Router Encapsulation) ñể tạo nên các ñường hầm ảo thường trực

1.1.4 Các yêu cầu cơ bản ựối với một giải pháp VPN

Có 4 yêu cầu cần ựạt ựược khi xây dựng mạng riêng ảo:

dựng các hệ thống mạng nội bộ và diện rộng của mình dựa trên các thủ tục khác nhau và không tuân theo một chuẩn nhất ựịnh của nhà cung cấp dịch vụ Rất nhiều các hệ thống mạng không sử dụng các chuẩn TCP/IP vì vậy không thể kết nối trực tiếp với Internet để có thể sử dụng ựược IP VPN tất cả các hệ thống mạng riêng ựều phải ựược chuyển sang một hệ thống ựịa chỉ theo chuẩn sử dụng trong Internet cũng như bổ sung các tắnh năng về tạo kênh kết nối ảo, cài ựặt cổng kết nối Internet

có chức năng trong việc chuyển ựổi các thủ tục khác nhau sang chuẩn IP 77% số lượng khách hàng ựược hỏi yêu cầu khi chon một nhà cung cấp dịch vụ IP VPN

phải tương thắch với các thiết bị hiện có của họ

nhất ựối với một giải pháp VPN Người sử dụng cần ựược ựảm bảo các dữ liệu thông qua mạng VPN ựạt ựược mức ựộ an toàn giống như trong một hệ thống mạng

dùng riêng do họ tự xây dựng và quản lý

Việc cung cấp các tắnh năng bảo ựảm an toàn cần ựảm bảo hai mục tiêu sau:

- Cung cấp tắnh năng an toàn thắch hợp bao gồm: cung cấp mật khẩu cho người sử dụng trong mạng và mã hóa dữ liệu khi truyền

- đơn giản trong việc duy trì quản lý, sử dụng đòi hỏi thuận tiện và ựơn giản cho người sử dụng cũng như nhà quản trị mạng trong việc cài ựặt cũng như quản trị hệ thống

Tắnh khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp ựược

tắnh bảo ựảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền

một mạng lưới có khả năng ựảm bảo chất lượng dịch vụ cung cấp ựầu cuối ựến ựầu cuối QoS liên quan ựến khả năng ựảm bảo ựộ trễ dịch vụ trong một phạm vi nhất

ựịnh hoặc liên quan ựến cả hai vấn ựề trên

1.1.5 ðường hầm và mã hóa

Chức năng chính của VPN ñó là cung cấp sự bảo mật bằng cách mã hóa qua một ñường hầm

Hình 1.3 ðường hầm và mã hóa của VPN

một kết nối dường như một dòng lưu lượng duy nhất trên ñường dây ðồng thời còn tạo cho VPN khả năng duy trì những yêu cầu về bảo mật và quyền ưu tiên như ñã ñược áp dụng trong mạng nội bộ, bảo ñảm cho vai trò kiểm soát dòng lưu chuyển

dữ liệu ðường hầm cũng làm cho VPN có tính riêng tư Mã hóa ñược sử dụng ñể

tạo kết nối ñường hầm ñể dữ liệu chỉ có thể ñược ñọc bởi người nhận và người gửi

ñọc ñược bởi người nhận Khi mà càng có nhiều thông tin lưu thông trên mạng thì

sự cần thiết ñối với việc mã hóa thông tin càng trở nên quan trọng Mã hóa sẽ biến ñổi nội dung thông tin thành một văn bản mật mã mà nó trở nên vô nghĩa trong dạng mật mã của nó Chức năng giải mã ñể khôi phục văn bản mật mã thành nội dung thông tin có thể dùng ñược cho người nhận Mã hóa là tính năng tùy chọn nó cũng ñóng góp vào ñặc ñiểm “riêng tư” của VPN Chỉ nên sử dụng mã hóa cho những dòng dữ liệu quan trọng ñặc biệt, còn bình thường thì không cần vì việc mã

hóa có thể ảnh hưởng xấu ñến tốc ñộ, tăng gánh nặng cho bộ xử lý

1.2 CÁC KIỂU VPN

VPNs nhằm hướng vào ba yêu cầu cơ bản sau ñây:

việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng

Kết nối thông tin liên lạc giữa các chi nhánh văn phòng từ xa

ðược ñiều khiển truy nhập tài nguyên mạng khi cần thiết của khách hàng, nhà cung cấp và những ñối tượng quan trọng của công ty nhằm hợp tác kinh doanh Dựa trên những yêu cầu cơ bản ñó, ngày nay VPNs ñã phát triển và phân chia làm thành ba kiểu VPN chính như sau:

1.2.1 VPN truy cập từ xa (Remote Access VPNs)

Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, Mobile và các thiết bị truyền thông của nhân viên các chi nhánh kết nối ñến tài nguyên mạng của tổ chức

Remote Access VPNs mô tả việc các người dùng ở xa sử dụng các phần mềm VPN ñể truy cập vào mạng Intranet của công ty họ thông qua gateway hoặc VPN concentrator (bản chất là một server) Vì lý do ñó nên giải pháp này ñược gọi là client/server Trong giải pháp này thì người dùng thường sử dụng công nghệ WAN truyền thống ñể tạo lại các Tunnel về mạng của họ

Hướng phát triển mới trong Remote Access VPNs là dùng wireless VPN, trong

ñó một nhân viên có thể truy cập về mạng của họ thông qua mạng không dây Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless terminal

và sau ñó về mạng của công ty

Một số thành phần chính:

chứng nhận các yêu cầu gửi tới

khá xa so với trung tâm

truy cập từ xa bởi người dùng

nhánh văn phòng chỉ cần cài ñặt một kết nối cục bộ ñến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối ñến tài nguyên thông qua Internet

Hình 1.4 Mô hình Remote Access VPNs Một số thuận lợi của Remote Access VPNs:

- Sự cần thiết của RAS và việc kết hợp với modem ñược loại trừ

- Sự cần thiết hỗ trợ cho người dùng cá nhân ñược loại trừ bởi vì kết nối từ xa ñã ñược tạo ñiều kiện thuận lợi bởi ISP

- Việc quay số từ xa ñược loại trừ

- Giảm giá thành chi phí cho các kết nối với khoảng cách xa

- Tốc ñộ kết nối sẽ cao hơn so với kết nối trực tiếp ñến những khoảng cách xa Một số bất lợi khác:

- Không ñảm bảo ñược chất lượng phục vụ

- Khả năng mất dữ liệu rất cao

- Do phải truyền thông qua Internet nên khi trao ñổi các gói dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh rất chậm

ðể giải quyết vấn ñề trên, sự tốn kém của WAN backbone ñược thay thế bởi các kết nối Internet với chi phí thấp, ñiều này có thể giảm một lượng chi phí ñáng kể cuản việc triển khai mạng Intranet

Intranet VPNs là một VPN nội bộ ñược sử dụng ñể bảo mật các kết nối giữa các ñịa ñiểm khác nhau của một công ty Các VPN nội bộ liên kết các trụ sở chính, các văn phòng và các văn phòng chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối mà luôn luôn ñược mã hóa dữ liệu Kiểu VPN này thường ñược cấu hình như là một VPN Site-to-Site

Hình 1.5 Mô hình Intranet VPNs Một số thuận lợi của Intranet VPNs:

- Giảm chi phí mua router ñược sử dụng ở WAN backbone

- Giảm nhân sự ở các trạm kết nối

- Dể dàng thiết lập những kết nối Peer-to-Peer mới vì có môi trường Internet làm trung gian

- Hiệu quả kinh tế có thể ñạt ñược bằng cách sử dụng ñường hầm VPN kết hợp với

kỹ thuật chuyển mạch nhanh như FR

- Truy xuất thông tin nhanh hơn và tốt hơn nhờ kết nối Dial-up cục bộ với ISP

- Giảm chi phí vận hành cho các doanh nghiệp

- Có thể gây quá tải, chậm hệ thống khi truyền những dữ liệu ña phương tiện vì phụ thuộc vào mạng Internet

1.2.3 VPN mở rộng (Extranet VPNs)

Không giống như giải pháp Intranet VPN và Remote Access VPN, Extranet VPN không tách riêng với thế giới bên ngoài Extranet VPN cho phép ñiều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các ñối tác, khách hàng hay nhà cung cấp, những người ñóng vai trò quan trọng trong hoạt ñộng thương mại của tổ chức

Hình 1.6 Mô hình Extranet VPNs Các VPN mở rộng cung cấp một ñường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các ñối tác qua một cơ sở hạ tầng công cộng sử dụng các kết nối

mà luôn luôn ñược bảo mật Kiểu VPN này thường ñược cấu hình như là một VPN Site-to-Site Sự khác nhau giữa một VPN nội bộ và một VPN mở rộng ñó là sự truy cập mạng mà ñược công nhận ở một trong hai ñầu cuối của VPN

Một số thuận lợi của Extranet VPNs:

- Giảm chi phí rất nhiều so với phương pháp truyền thống

- Dễ bảo trì và chỉnh sữa các thiết lập có sẵn

- Do sử dụng ñường truyền Internet nên sẽ có nhiều sự lựa chọn dịch vụ sao cho phù hợp với nhu cầu tổ chức

- Do các thành phần Internet ñược bảo trì bởi ISP (nhà cung cấp dịch vụ Internet) nên giảm ñược chi phí nhân sự do ñó giảm chi phí vận hành của toàn hệ thống Một số bất lợi khác:

- Nguy cơ bị tấn công DoS khá cao

- Tăng rủi ro thâm nhập vào Intranet của tổ chức

- Gây chậm ñường truyền và hệ thống khi truyền dữ liệu ña phương tiện do phụ thuộc ñường truyền vào Internet

Hình 1.7 Mô hình ba kiểu VPN

CHƯƠNG 2 CÁC GIAO THỨC BẢO MẬT TRÊN VPN 2.1 CÁC GIAO THỨC ðƯỜNG HẦM TRONG VPN

Giao thức ñường hầm là một nền tảng trong VPN Giao thức ñường hầm ñóng vai trò quan trọng trong việc thực hiện ñóng gói và vận chuyển gói tin ñể truyền trên ñường mạng công cộng Có ba giao thức ñường hầm cơ bản và ñược sử dụng nhiều trong thực tế và ñang ñược sử dụng hiện nay là giao thức tầng hầm chuyển tiếp lớp 2 L2F, giao thức ñường hầm ñiểm tới ñiểm (PPTP), giao thức tầng hầm lớp

2 Layer Trong chương này sẽ ñi sâu hơn và cụ thể hơn các giao thức ñường hầm nói trên Nó liên quan ñến việc thực hiện IP-VPN trên mạng công cộng

2.1.1 Giao thức ựường hầm ựiểm nối ựiểm (PPTP)

Giao thức này ựược nghiên cứu và phát triển bởi công ty chuyên về thiết bị công nghệ viễn thông Trên cơ sở của giao thức này là tách các chức năng chung và riêng của việc truy nhập từ xa, dựa trên cơ sở hạ tầng Internet có sẵn ựể tạo kết nối ựường hầm giữa người dùng và mạng riêng ảo Người dùng ở xa có thể dùng phương pháp quay số tới các nhà cung cấp dịch vụ Internet ựể có thể tạo ựường hầm riêng ựể kết nối tới truy nhập tới mạng riêng ảo của người dùng ựó Giao thức PPTP ựược xây dựng dựa trên nền tảng của PPP, nó có thể cung cấp khả năng truy nhập tạo ựường hầm thông qua Internet ựến các site ựắch PPTP sử dụng giao thức ựóng gói tin ựịnh tuyến chung GRE ựược mô tả ựể ựóng lại và tách gói PPP Giao thức này cho phép PPTP linh hoạt trong xử lý các giao thức khác

PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức ựóng gói, tách gói IP, là truyền ựi trên chỗ kết nối ựiểm tới ựiểm từ máy này sang máy khác

PPTP ựóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP ựể truyền qua mạng IP PPTP dùng kết nối TCP ựể khởi tạo và duy trì, kết thức ựường hầm và dùng một gói ựịnh tuyến chung GRE ựể ựóng gói các khung PPP Phần tải của khung PPP có thể ựược mã hoá và nén lại

PPTP sử dụng PPP ựể thực hiện các chức năng thiết lập và kết thức kết nối vật lý, xác ựịnh người dùng, và tạo các gói dữ liệu PPP

PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng PPTP khách có thể ựược ựấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS ựể thiết lập kết nối IP Khi kết nối ựược thực hiện có nghĩa là người dùng ựã ựược xác nhận đó là giai ựoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn ựược cung cấp bởi ISP Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP Một số cơ chế xác thực ựược sử dụng là:

Authentication) : Giao thức xác thực mật khẩu CHAP cũng ựược thiết kế tương tự như giao thức PAP nhưng CHAP là giao thức bảo mật hơn, sử dụng phương pháp

bắt tay ba chiều để hoạt động và chống lại các tấn cơng quay lại bằng cách sử dụng các giá trị bí mật duy nhất và khơng thể đốn và giải được

 Giao thức xác định mật khẩu PAP (Password Authentication Protocol) : Giao thức xác thực mật khẩu PAP được thiết kế một cách đơn giản cho một máy tính tự xác thực đến một máy tính khác khi giao thức điểm – điểm (Point-to-Point Protocol) được sử dụng làm giao thức truyền thơng PAP là một giao thức bắt tay hai chiều để hoạt động PAP khơng bảo mật bởi vì thơng tin xác thực được truyền đi

rõ ràng và khơng cĩ gì bảo mật chống lại tấn cơng trở lại hay lặp lại quá nhiều bởi những người tấn cơng

Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đĩng gĩi của PPP để đĩng gĩi các gĩi truyền trong đường hầm ðể cĩ thể dựa trên những ưu điểm của kết nối tạo bởi PPP, PPTP định nghĩa hai loại gĩi là điểu khiển và dữ liệu, sau đĩ gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu PPTP tách các kênh điều khiển và kênh dữ liệu thành những luồng điều khiển với giao thức điều khiển truyền dữ liệu TCP và luồng dữ liệu với giao thức IP Kết nối TCP tạo ra giữa các máy khách và máy chủ được sử dụng để truyền thơng báo điều khiển

Các gĩi dữ liệu là dữ liệu thơng thường của người dùng Các gĩi điều khiển được đưa vào theo một chu kì để lấy thơng tin và trạng thái kết nối và quản lý báo hiệu giữa các máy khách PPTP và máy chủ PPTP Các gĩi điều khiển cũng được dùng

để gửi các thơng tin quản lý thiết bị, thơng tin cấu hình giữa hai đầu đường hầm Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các máy khách và máy chủ PPTP Máy chủ PPTP là một Server cĩ sử dụng giao thức PPTP với một giao diện được nối với Internet và một giao diện khác nối với Intranet, cịn phần mềm client cĩ thể nằm ở máy người dùng từ xa hoặc tại các máy chủ ISP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và địa chỉ máy chủ Kết nối điều khiển PPTP mang theo các gĩi tin điều khiển và quản lý được sử dụng để duy trì đường hầm PPTP Các bản tin này bao gồm PPTP yêu cầu phản hồi và PPTP đáp lại phản hồi định kỳ để phát hiện các lỗi kết nối giữa các máy trạm và máy chủ PPTP Các gĩi tin của kết nối điều khiển PPTP bao gồm tiêu đề IP,

tiêu ựề TCP và bản tin ựiều khiển PPTP và tiêu ựề, phần cuối của lớp liên kết dữ liệu

Hình 2.1 Gói dữ liệu kết nối ựiều khiển PPTP

đóng gói khung PPP và gói ựịnh tuyến chung GRE

Dữ liệu ựường hầm PPTP ựược ựóng gói thông qua các mức ựược mô tả theo mô hình

Hình 2.2 Mô hình ựóng gói dữ liệu ựường hầm PPTP Phần tải của khung PPP ban ựầu ựược mã hoá và ựóng gói với tiêu ựề PPP ựể tạo

ra khung PPP Khung PPP sau ựó ựược ựóng gói với phần tiêu ựề của phiên bản giao thức GRE sửa ựổi

GRE là giao thức ựóng gói chung, cung cấp cơ chế ựóng gói dữ liệu ựể ựịnh tuyến qua mạng IP đối với PPTP, phần tiêu ựề của GRE ựược sửa ựổi một số ựiểm

ựó là Một trường xác nhận dài 32 bits ựược thêm vào Một bits xác nhận ựược sử dụng ựể chỉ ựịnh sự có mặt của trường xác nhận 32 bits trường Key ựược thay thế bằng trường ựộ dài Payload 16 bits và trường chỉ số cuộc gọi 16 bits Trường chỉ số cuộc gọi ựược thiết lập bởi máy trạm PPTP trong quá trình khởi tạo ựường hầm

đóng gói IP

Trong khi truyền tải phần tải PPP và các tiêu ựề GRE sau ựó ựược ựóng gói với một tiêu ựề IP chứa các thông tin ựịa chỉ nguồn và ựắch thắch hợp cho máy trạm và máy chủ PPTP

đóng gói lớp liên kết dữ liệu

để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ ựựơc ựóng gói với một tiêu ựề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý ựầu ra Như trong mạng LAN thì nếu gói tin IP ựựơc gửi qua giao diện Ethernet, nó sẽ ựược gói với phần tiêu ựề và ựuôi Ethernet Nếu gói tin IP ựược gửi qua ựường

truyền WAN ñiểm tới ñiểm nó sẽ ñược ñóng gói với phần tiêu ñề và ñuôi của giao thức PPP

Sơ ñồ ñóng gói trong giao thức PPTP

Quá trình ñóng gói PPTP từ một máy trạm qua kết nối truy nhập VPN từ xa sử dụng modem ñược mô phỏng theo hình dưới ñây:

Hình 2.3 Sơ ñồ ñóng gói PPTP

- Các gói tin IP, IPX, hoặc khung NetBEUI ñược ñưa tới giao diện ảo ñại diện cho kết nối VPN bằng các giao thức tương ứng sử dụng ñặc tả giao diện thiết bị mạng NDIS

- NDIS ñưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hoá và nén dữ liệu, cũng như cung cấp tiêu ñề PPP phần tiêu ñề PPP này chỉ gồm trường mã số giao thức PPP không có trường Flags và trường chuổi kiểm tra khung (FCS) Giả ñịnh trường ñịa chỉ và ñiều khiển ñược thoả thuận ở giao thức ñiều khiển ñường truyền (LCP) trong quá trình kết nối PPP

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi ñóng gói khung PPP với phần tiêu ñề GRE Trong tiêu ñề GRE, trường chỉ số cuộc gọi ñược ñặt giá trị thích hợp xác ñịnh ñường hầm

- Giao thức PPTP sau ñó sẽ gửi gói tin vừa tạo ra tới TCP/IP

- TCP/IP ñóng gói dữ liệu ñường hầm PPTP với phần tiêu ñề IP sau ñó gửi kết quả tới giao diện ñại diện cho kết nối quay số tới ISP cục bộ NDIS

- NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu ñề và ñuôi PPP

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng ñại diện cho phần cứng quay số

Khi nhận ñược ñược dữ liệu ñường hầm PPTP, máy trạm và máy chủ PPTP, sẽ thực hiện các bước sau:

- Xử lý và loại bỏ gói phần tiêu ñề và ñuôi của lớp liên kết dữ liệu hay gói tin

- Xử lý và loại bỏ tiêu ñề IP

- Xử lý và loại bỏ tiêu ñề GRE và PPP

- Giải mã hoặc nén phần tải tin PPP

- Xử lý phần tải tin ñể nhận hoặc chuyển tiếp

mô hình OSI Việc hỗ trợ truyền dữ liệu ở lớp 2, PPTP có thể lan truyền trong ñường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói tin

IP trong ñường hầm

 Nhược ñiểm: Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật do nó dùng mã hóa ñồng bộ trong khóa ñược xuất phát từ việc nó sử dụng mã hóa ñối xứng là cách tạo ra khóa từ mật khẩu của người dùng ðiều này càng nguy hiểm hơn vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận Giao thức tạo ñường hầm kế tiếp (L2F) ñược phát triển nhằm cải thiện bảo mật với mục ñích này

2.1.2 Giao thức chuyển tiếp lớp hai (L2F)

Giao thức L2F ñược nghiên cứu và phát triển sớm nhất và là một trong những phương pháp truyền thống ñể cho người sử dụng ở truy nhập từ xa vào mạng các doanh nghiêp thông qua thiết bị L2F cung cấp các giải cho dịch vụ quay số ảo bằng thiết bị một ñường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet

Nó cho phép ñóng gói các gói tin PPP trong khuôn dạng L2F và ñịnh ñường hầm ở lớp liên kết dữ liệu

Giao thức chuyển tiếp L2F ñóng gói những gói tin lớp 2, sau ñó trong truyền chúng

ñi qua mạng Hệ thống sử dụng L2F gồm các thành phần sau:

 Máy trạm truy nhập mạng NAS: hướng lưu lượng ñến và ñi giữa các máy khách

ở xa và Home Gateway

gồm một số kết nối

xem như một phiên

Home Gateway là ñích

Hình 2.4 Hệ thống sử dụng L2F Quá trình hoạt ñộng của giao thức ñường hầm chuyển tiếp là một quá trình tương ñối phức tạp Một người sử dụng ở xa quay số tới hệ thống NAS và khởi ñầu một kết nối PPP tới ISP Với hệ thống NAS và máy trạm có thể trao ñổi các gói giao thức ñiều khiển liên kết NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới ñiểm tên miền ñể quyết ñịnh xem người sử dụng có hay không yêu cầu dịch vụ L2F

Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận ñịa chỉ của Gateway ñích Một ñường hầm ñược thiết lập từ NAS tới Gateway ñích nếu giữa chúng có chưa có ñường hầm nào Sự thành lập ñường hầm bao gồm giai ñoạn xác thực từ ISP tới Gateway ñích ñể chống lại tấn công bởi những kẻ thứ ba Một kết nối PPP mới ñược tạo ra trong ñường hầm, ñiều này có tác ñộng kéo dài phiên PPP mới ñược tạo ra người sử dụng ở xa tới Home Gateway Kết nối này ñược thiết lập theo một quy trình như sau Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP như thoả thuận bởi ñầu cuối người sử dụng và NAS Home

Gateway chấp nhận kết nối hay thoả thuận lại LCP và xác thực lại người sử dụng Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó ựóng gói lưu lượng vào trong các khung L2F và hướng chúng vào trong ựường hầm Tại Home Gateway khung ựược tách bỏ và dữ liệu ựóng gói ựược hướng tới mạng một doanh nghiệp hay người dùng

Khi hệ thống ựã thiết lập ựiểm ựắch ựường hầm và những phiên kết nối, ta phải ựiều khiển và quản lý lưu lượng L2F bằng cách Ngăn cản tạo những ựắch ựến, ựường hầm và các phiên mới đóng và mở lại tất cả hay chọn lựa những ựiểm ựắch, ựường hầm và phiên, có khả năng kiểm tra tổng UDP Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào các ựường hầm kết nối

- Nâng cao bảo mật cho quá trình giao dịch

- Có nền tảng ựộc lập

- Không cần những sự lắp ựặt ựặc biệt với ISP

- Hỗ trợ một phạm vi rộng rãi các công nghệ mạng như ATM, IPX, NetBEUI, và Frame Relay

- L2F yêu cầu cấu hình và hỗ trợ lớn

- Thực hiện L2F dựa trên ISP Nếu trên ISP không hỗ trợ L2F thì không thể triển khai L2F ựược

2.1.3 Giao thức ựường hầm lớp hai (L2TP)

Giao thức ựịnh ựường hầm lớp 2-L2TP (Layer 2 Tunneling Protocol) là một mở rộng của PPP đây là một bản thảo tiêu chuẩn của IETF xuất phát từ Cisco L2F và giao thức ựịnh ựường hầm ựiểm Ờ ựiểm của Microsoft Tiêu chuẩn L2TP ựược hoàn tất vào cuối năm 1998 L2TP là một công nghệ chắnh của Cisco Access VPN cung cấp và phân phối phạm vi ựiều khiển bảo mật ựầy ựủ và các ựặc ựiểm quản lý chắnh sách, bao gồm việc ựiều khiển bảo mật cho ựầu cuối người dùng

Hình 2.5 ðường hầm L2TP

cấp dựa trên yêu cầu kết nối Internet ñến người dùng từ xa, là những người quay số (thông qua PSTN hoặc ISDN) sử dụng kết nối PPP NASs phản hồi lại xác nhận người dùng từ xa ở nhà cung cấp ISP cuối và xác ñịnh nếu có yêu cầu kết nối ảo Giống như PPTP NASs, L2TP NASs ñược ñặt tại ISP site và hành ñộng như client trong qui trình thiết lập L2TP tunnel NASs có thể hồi ñáp và hỗ trợ nhiều yêu cầu kết nối ñồng thời và có thể hỗ trợ một phạm vi rộng các client

 L2TP Access Concentrator (LAC): Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một ñường hầm thông qua một mạng công cộng (như PSTN, ISDN, hoặc Internet) ñến LNS ở tại ñiểm cuối mạng chủ LACs phục vụ như ñiểm kết thúc của môi trường vật lý giữa client và LNS của mạng chủ

 L2TP Network Server (LNS): LNSs ñược ñặt tại cuối mạng chủ Do ñó, chúng dùng ñể kết thúc kết nối L2TP ở cuối mạng chủ theo cùng cách kết thúc ñường hầm

từ client của LACs Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập ñường hầm và xác nhận người dùng, là người khởi tạo yêu cầu kết nối Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo

Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặc mạng chung khác, theo các bước tuần tự sau ñây:

Bước 1: Người dùng từ xa gửi yêu cầu kết nối ñến ISP’s NAS gần nhất của nó và bắt ñầu khởi tạo một kết nối PPP với nhà ISP cuối

Bước 2: NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối NAS dùng phương pháp xác nhận PPP như PAP, CHAP, SPAP, và EAP cho mục ñích này

Bước 3: Sau ñó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của mạng ñích

Bước 4: Kế tiếp, LAC thiết lập một ñường hầm LAC-LNS thông qua mạng trung gian giữa hai ñầu cuối.ðường hầm trung gian có thể là ATM, Frame Relay, hoặc IP/UDP

Bước 5: Sau khi ñường hầm ñã ñược thiết lập thành công, LAC chỉ ñịnh một Call

ID (CID) ñến kết nối và gửi một thông ñiệp thông báo ñến LNS Thông báo xác ñịnh này chứa thông tin có thể ñược dùng ñể xác nhận người dùng Thông ñiệp cũng mang theo LCP options dùng ñể thoả thuận giữa người dùng và LAC

Bước 6: LNS dùng thông tin ñã nhận ñược từ thông ñiệp thông báo ñể xác nhận người dùng cuối Nếu người dùng ñược xác nhận thành công và LNS chấp nhận yêu cầu ñường hầm, một giao diện PPP ảo (L2TP tunnel) ñược thiết lập cùng với sự giúp ñỡ của LCP options nhận ñược trong thông ñiệp thông báo

Bước 7: Sau ñó người dùng từ xa và LNS bắt ñầu trao ñổi dữ liệu thông qua ñường hầm

Hình 2.6 Mô tả quy trình thiết lập L2TP tunnel

Tương tự PPTP tunneled packets, L2TP ñóng gói dữ liệu trải qua nhiều tầng ñóng gói Sau ñây là một số giai ñoạn ñóng gói của L2TP data tunneling:

PPP ñóng gói dữ liệu không giống phương thức ñóng gói của PPTP, dữ liệu không ñược mã hóa trước khi ñóng gói Chỉ PPP header ñược thêm vào dữ liệu payload gốc

L2TP ñóng gói khung của PPP Sau khi original payload ñược ñóng gói bên trong một PPP packet, một L2TP header ñược thêm vào nó

UDP Encapsulation of L2TP frames Kế tiếp, gói dữ liệu ñóng gói L2TP ñược ñóng gói thêm nữa bên trong một UDP frame Hay nói cách khác, một UDP header ñược thêm vào L2TP frame ñã ñóng gói Cổng nguồn và ñích bên trong UDP header ñược thiết lập ñến 1710 theo chỉ ñịnh

IPSec Encapsulation of UDP datagrams Sau khi L2TP frame trở thành UDP ñã ñược ñóng gói, UDP frame này ñược mã hoá và một phần ñầu IPSec ESP ñược thêm vào nó Một phần ñuôi IPSec AH cũng ñược chèn vào gói dữ liệu ñã ñược mã hóa và ñóng gói

IP Encapsulation of IPSec-encapsulated datagrams Kế tiếp, phần ựầu IP cuối cùng ựược thêm vào gói dữ liệu IPSec ựã ựược ựóng gói Phần ựầu IP chứa ựựng ựịa chỉ IP của L2TP server (LNS) và người dùng từ xa

Hình 2.7 Mô hình hoàn tất quá trình ựóng gói dữ liệu qua ựường hầm L2TP đóng gói tầng Data Link Phần ựầu và phần cuối tầng Data Link cuối cùng ựược thêm vào gói dữ liệu IP xuất phát từ quá trình ựóng gói IP cuối cùng Phần ựầu và phần cuối của tầng Data Link giúp gói dữ liệu ựi ựến nút ựắch Nếu nút ựắch là nội

bộ, phần ựầu và phần cuối tầng Data Link ựược dựa trên công nghệ LAN (vắ dụ, chúng có thể là mạng Ethernet) Ở một khắa cạnh khác, nếu gói dữ liệu là phương tiện cho một vị trắ từ xa, phần ựầu và phần cuối PPP ựược thêm vào gói dữ liệu L2TP ựã ựóng gói

Qui trình xử lý de-tunneling những gói dữ liệu L2TP ựã tunnel thì ngược lại với qui trình ựường hầm Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận ựược L2TP tunneled packet, trước tiên nó xử lý gói dữ liệu bằng cách gỡ bỏ Data

Link layer header and trailer Kế tiếp, gói dữ liệu ñược xử lý sâu hơn và phần IP header ñược gỡ bỏ Gói dữ liệu sau ñó ñược xác nhận bằng việc sử dụng thông tin mang theo bên trong phần IPSec ESP header và AH trailer Phần IPSec ESP header cũng ñược dùng ñể giải mã và mã hóa thông tin Kế tiếp, phần UDP header ñược xử

lý rồi loại ra Phần Tunnel ID và phần Call ID trong phần L2TP header dùng ñể nhận dạng phần L2TP tunnel và phiên làm việc Cuối cùng, phần PPP header ñược

xử lý và ñược gỡ bỏ và phần PPP payload ñược chuyển hướng ñến protocol driver thích hợp cho qui trình xử lý

Hình 2.8 Mô hình hoàn tất quá trình xử lý gói dữ liệu khi ra khỏi ñường hầm

L2TP

2.1.4 Giao thức ñóng gói ñịnh tuyến chung (GRE)

giao thức khác vào bên trong các ñường hầm IP