Mạng riêng ảo (VPN) luận văn tốt nghiệp đại học

Để đáp ứng được những yêu cầu đó trong quá khứ có 2 loại hình dịch vụ viễn thông mà các tổ chức, doanh nghiệp có thể lựa chọn sử dụng cho kết nối: - Thứ nhất, thuê các đường Leased-line

TRƯỜNG ĐẠI HỌC VINH KHOA CÔNG NGHỆ THÔNG TIN

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

LỜI CẢM ƠN

Em xin chân thành cảm ơn thầy giáo TS.Lê Ngọc Xuân người đã định hướng và hướng dẫn đề tài này Thầy đã tận tình giúp đỡ em trong quá trình thực hiện đề tài

Em xin chân thành cảm ơn các thầy cô trong khoa Công Nghệ Thông Tin cũng như tất cả các thầy cô trường Đại Học Vinh và bạn bè cùng khóa đã dìu dắt

và giúp đỡ em trong suốt những năm học qua Xin cảm ơn gia đình và bạn bè, những người luôn khuyến khích và giúp đỡ tôi trong mọi hoàn cảnh koa khăn

Mặc dù đã cố gắng để hoàn thành luận văn nhưng cũng không tránh khỏi những thiếu sót, mong thầy cô và các bạn sẽ có những góp ý, chỉ bảo thêm để

em có thể tiếp tục đi sâu tìm hiểu và đưa VPN vào ứng dụng trong thực tế công tác

Xin chân thành cảm ơn!

Mục lục

Trang

CHƯƠNG I - TỔNG QUAN VỀ VPN 6

1.1 Các chức năng, ưu điểm và nhược điểm của VPN 7

1.1.1 Các chức năng của VPN 7

1.1.2 Ưu điểm của VPN 7

1.1.3 Nhược điểm của VPN 9

1.2 Các loại mạng VPN 9

1.2.1 VPN truy nhập từ xa ( Remote access VPN) 9

1.2.2 VPN điểm tới điểm 11

1.3 Các cơ chế an toàn trong VPN 12

1.4 Các giao thức dùng trong VPN 13

1.4.1 Point-To-Point Protocol (PPP) 13

1.4.2 Layer Forword -L2F 14

1.4.3 Giao thức đường ngầm lớp 2-PPTP 14

1.4.5 Generic Routing Encapsulation (GRE) 15

1.4.6 Giao thức bảo mật IPSec: 15

CHƯƠNG II - CÁC GIAO THỨC 17

2.1 GIAO THỨC BẢO MẬT IPSEC 17

2.1.1 Giới thiệu về IPSec 17

2.1.2 Những tính năng chính của IPSec 18

2.1.3 Những chế độ chính trong IPSec 19

2.1.4 Giao thức xác thực(AH) và đóng gói tải tin an toàn(ESP) 21

2.1.5 Kết hợp an ninh và hoạt động trao đổi khoá 25

2.1.6 Các vấn đề tồn tại trong IPSec 29

2.2 GIAO THỨC ĐƯỜNG NGẦM PPTP VÀ L2TP 29

2.2.1 Point-to-point Tunneling Protocol (PPTP) 29

CHƯƠNG III - THIẾT KẾ VÀ CÀI ĐẶT VPN 37

3.1.1 Các vấn đề về mạng 38

3.1.2 Các vấn đề về bảo mật 39

3.1.3 Các vấn đề về ISP 39

3.2 CÀI ĐẶT VPN VỚI GIAO THỨC PPTP 39

3.2.1 Mô hình Client to Site 40

3.2.2 Mô hình Site to Site 53

Kết luận 69

Hướng phát triển đề tài 70

Tài liệu tham khảo 71

LỜI NÓI ĐẦU

Trong thời đại ngày nay khoa học kỹ thuật đang phát triển một cách vượt bậc trong đó sự phát triển của công nghệ thông tin, mạng máy tính và đặc biệt là mạng Internet Các dịch vụ trên mạng Internet đã xâm nhập vào hầu hết các lĩnh vực trong đời sống xã hội

Yêu cầu phải đảm bảo tính ổn định, an toàn cao và đồng thời giảm chi phí đầu tư cho cơ sở hạ tầng mạng có ý nghĩa quan trọng đối với các cơ quan, doanh nghiệp

Một yêu cầu đặt ra cho các cơ quan, doanh nghiệp là phải luôn cập nhật những thông tin mới nhất, chính xác nhất và phải đảm bảo độ tin cậy cao về các chi nhánh của mình trên toàn cầu, cũng như các đối tác các khách hàng Để làm được điều này, thì các nhân viên ở xa và khách hàng ở xa phải truy cập được vào Intranet của công ty

Để đáp ứng được những yêu cầu đó trong quá khứ có 2 loại hình dịch vụ viễn thông mà các tổ chức, doanh nghiệp có thể lựa chọn sử dụng cho kết nối:

- Thứ nhất, thuê các đường Leased-line của các nhà cung cấp dịch vụ Internet để kết nối tát cả các mạng con của công ty lại với nhau Phương pháp này rất tốn kém cho việc xây dựng ban đầu cũng như trong quá trình vận hành, bảo dưỡng hay mở rộng sau này

- Thứ 2, có thể sử dụng Internet để liên lạc với nhau, tuy nhiên phương pháp này lại không đáp ứng được tính bảo mật cao

Xuất phát từ thực tế trên, sự ra đời của kỹ thuật mạng riêng ảo VPN đã dung hòa 2 loại hình dịch vụ trên, nó có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại có các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế Với chi phí hợp lí, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng và hiệu quả

Đây là lý do dẫn tới việc tôi chọn đề tài cho khóa luận tốt nghiệp của mình " Mạng riêng ảo".

Mạng riêng ảo( Virtual Private Network - VPN) là một giải pháp hiệu quả cho phép thông dữ liệu một cách an toàn với chi phí thấp, giảm nhẹ các công việc quản lí hoạt động của mạng, linh hoạt trong việc truy nhập từ xa Để kết nối

từ máy trạm đến máy chủ có hiệu lực, các máy tính sử dụng giao thức PPTP,L2TP, IPSec hỗ trợ mạng VPN

Nội dung của luận văn chia thành 3 chương:

Chương 1: Tổng quan về VPN

Chương 2: Các giao thức

Chương 3: Thiết kế và cài đặt VPN

Do giới hạn của khóa luận tốt nghiệp đại học nên em không có nhiều cơ hội tiếp xúc thực tế cũng như còn thiếu kinh nghiệm khi bước vào nghiên cứu công nghệ mới,nên không thể tránh khỏi nhiều thiếu sót Em rất mong nhận được sự góp

ý từ các thầy cô và các bạn cũng như từ những người nghiên cứu về VPN

Vinh,2011

Sinh viên thực hiện

Hồ Thi Nghĩa

CHƯƠNG I - TỔNG QUAN VỀ VPN

Giải pháp VPN(Virtual Private Network) được thiết kế cho những tổ chức

có xu hướng kết nối thông tin từ xa nhưng địa bàn hoạt động rộng (trong vùng hay toàn cầu) Tài nguyên lưu ở trung tâm có thể kết nối cập nhật từ nhiều nguồn nên tiết kiệm được chi phí, thời gian và không cần có đường trực tiếp Một mạng VPN bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, các điểm kết nối hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài

Hình 1.1 Sơ đồ mạng VPN

VPN là một mạng riêng ảo sử dụng hệ thống mạng công cộng như IP, ATM, Frame Relay hay Internet (thông dụng internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm Thay vì dùng các kết nối trực tiếp, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.Để có thể gửi

và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật.VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi gửi và nơi nhận giống như một kết nối point-to-point trên mạng riêng Để tạo ra một đường ống bảo mật đó, dữ liệu phải được

mã hoá hoặc che giấu,mà chỉ cung cấp phần đầu gói dữ liệu là thông tin về đường đi cho phép nó có thể đến đích thông qua mạng công cộng một cách

nhanh chóng Sự mã hoá này đảm bảo tính an toàn trên đường truyền Liên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Các kết nối VPN được gọi là đường ống VPN (VPN Tunnel).

Tính riêng của VPN thể hiện ở chỗ dữ liệu truyền luôn được giữ bí mật và chỉ có thể truy nhập bởi những người sử dụng được trao quyền Điều này rất quan trọng bởi vì giao thức Internet ban đầu không được thiết kế để hỗ trợ các mức độ bảo mật Do đó, bảo mật sẽ được cung cấp bằng cách thêm phần mềm hay phần cứng

1.1 Các chức năng, ưu điểm và nhược điểm của VPN

1.1.1 Các chức năng của VPN

VPN cung cấp các chức năng chính: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality)

phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác

trộn nào trong quá trình truyền dẫn

truyền nhằm bảo đảm tính riêng tư và toàn vẹn dữ liệu

1.1.2 Ưu điểm của VPN

Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty Nó không chỉ đơn giản hoá việc trao đổi thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn cho phép giảm chi phí rất nhiều so với việc mua thiết bị và đường dây cho mạng WAN Những lợi ích này dù trực tiếp hay gián tiếp gồm:

1 Tăng tính bảo mật:

Cấu tạo VPN ngăn chặn sự truy cập của những người dùng không được phép Kết quả, dữ liệu thông qua đường ngầm thì tương đối an toàn, cho dù thực

tế được trao đổi thông qua một môi trường không an toàn và chung như Internet chẳng hạn.

2 Sự hiệu quả về chi phí

VPN sử dụng mạng công cộng như Internet làm trung gian để truyền dữ liệu đến đích Điều này tạo ra một giải pháp vô cùng hiệu quả về chi phí khi sử dụng, đặc biệt là khi bạn so sánh nó với việc triển khai một mạng Intranet riêng khi đường thuê lealine trải dài trên toàn cầu hoặc khoảng cách xa Thêm vào đó,

tổ chức có thể tiết kiệm một số tiền đáng kể dùng để chi phí cho việc bảo trì và quản lý

3 Giảm thiểu các yêu cầu về thiết bị

Bằng việc cung cấp một giải pháp đơn giản cho các xí nghiệp truy cập bằng cách quay số truy cập Internet, VPN yêu cầu về thiết bị ít hơn, đơn giản hơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích (adapter) cho các thiết bị đầu cuối và các máy chủ truy cập từ xa

4 Tiết kiệm địa chỉ IP

Như đã đề cập ở trên, tunneling cho phép các giao thức không định tuyến, không địa chỉ IP có thể chèn vào bên trong một gói sử dụng một đại chỉ IP duy nhất toàn cầu Kết quả, thay vì phải mua và đăng kí địa chỉ IP này cho một nút trong mạng, hệ thống mạng có thể mua một khối nhỏ các địa chỉ IP toàn cầu duy nhất Khi một nút trong mạng riêng thiết lập một kết nối VPN, bất kỳ một địa chỉ IP sẵn có nào trong khối có thể được dùng gắn vào gói dữ liệu no-IP Vì thế, mạng riêng có thể giảm sự cần thiết địa chỉ IP trong một tổ chức

5 Đáp ứng được nhu cầu thương mại

Đối với các thiết bị và công nghệ viễn thông mới thì những vấn đề cần quan tâm là chuẩn hoá, các khả năng quản trị, mở rộng và tích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năng thương mại của sản phẩm Các dịch vụ VPN tuân theo chuẩn chung hiện nay, một phần để đảm bảo khả năng làm việc của sản phẩm nhưng có lẽ quan trọng hơn là để sản phẩm của

1.1.3 Nhược điểm của VPN

1 Sự rủi ro an ninh

Một mạng riêng ảo thường rẻ và hiệu quả hơn nhiều so với giải pháp sử dụng kênh thuê riêng.Tuy nhiên nó cũng tiềm ẩn nhiều rủi ro an ninh khó lường trước

2 Độ tin cậy và sự thực thi

VPN sử dụng phương pháp mã hoá để đảm bảo dữ liệu, và các hàm mật

mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khá nặng Nhiệm

vụ của người quản trị mạng là quản lý tải trên máy chủ bằng cách giới hạn số kết nối đồng thời để biết máy chủ nàod có thể điều khiển Tuy nhiên, khi số người

cố gắng kết nối với VPN đột nhiên tăng vọt và phá vỡ hết quá trình truyền tin, thì chính nhân viên quản trị cũng không thể kết nối được vì tất cả các cổng của VPN đều bận Điều đó chính là động cơ thúc đẩy người quản trị tạo ra các khoá làm việc

1.2 Các loại mạng VPN

Mạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau VPN nhằm hướng vào 3 yêu cầu cơ bản sau:

cầm tay, và việc liên lạc giữa các nhân viên của một tổ chức tới các tài nguyên mạng

•Nối kết thông tin liên lạc giữa các chi nhánh văn phòng từ xa

hàng, nhà cung cấp và những đối tượng quan trọng của công ty nhằm hợp tác kinh doanh

Dựa vào những khả năng mà mạng riêng ảo mang lại, có thể phân chúng thành 2 loại

1.2.1 VPN truy nhập từ xa ( Remote access VPN)

Hay cũng được gọi là Virtual Private Dial-up Network (VPDN), đây là dạng kết nối User-to-Lan áp dụng cho các công ty mà các nhân viên có nhu cầu

kết nối tới mạng riêng (private network) từ các địa điểm từ xa Remote accsess VPN cho phép truy cập bất cứ lúc nào bằng Remote, mobile và các thiết bị truyền thông của nhân viên chi nhánh kết nối đến tài nguyên mạng của tổ chức Đây cũng được hiểu là kết nối client-to-site.

Remote Access VPN mô tả việc những người dùng ở xa sử dụng các phần mềm VPN để truy cập vào Intranet của công ty thông qua gateway hoặc VPN concentrator( bản chất một Server) Trong giải pháp này người dùng thường sử dụng các công nghệ WAN truyền thống để tạo các tunnel về mạng nội bộ của họ

Một hướng phát triển khá mới trong Remote access VPN là dùng wireless VPN, kiểu kết nối không dây Trong thiết kế này các kết nối không dây cần phải kết nối về một trạm wireless rồi sau đó về mạng của công ty Trong cả

2 trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn gọi là tunnel

Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu đảm bảo yêu cầu được xuất phát từ một nguồn tin cậy Thông thường điều này dựa trên cùng một chính sách về bảo mật của công ty

Hình 1.2 Remote Access VPN

1.2.2 VPN điểm tới điểm

VPN điểm tới điểm là giải pháp kết nối các hệ thống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN Trong tình huống này quá trình xác thực ban đầu cho người sử dụng sẽ là quá trình xác thực giữa các thiết bị Các thiết bị này hoạt động như cổng an ninh, truyền lưu lượng một cách an toàn

từ site này đến site khác Các thiết bị định tuyến hay tường lửa với hỗ trợ VPN đều có khả năng thực hiện kết nối này Sự khác nhau giữa VPN truy nhập từ xa

và VPN điểm tới điểm chỉ mang tính tượng trưng Nhiều thiết bị mới có thể hoạt động theo cả hai cách này

VPN điểm tới điểm là việc sử dụng mật mã dành cho nhiều người để kết nối nhiều điểm cố định với nhau thông qua một mạng như Internet Loại này có thể dựa trên Intranet hoặc Extranet

Hình 1.3 VPN điểm tới điểm

1.2.2.1 Intranet VPN

VPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm, được

sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty

Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên cở sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy cập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty

Hình 1.4: Intranet VPN

1.2.2.2 Extranet VPN

VPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp đường ngầm bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông qua một cơ sở hạ tầng công cộng( Internet) Kiểu VPN này sử dụng các kết nối luôn được bảo mật và nó không bị cô lập bên ngoài như VPN cục bộ hay truy nhập từ xa

Hình 1.5: Extranet VPN

1.3 Các cơ chế an toàn trong VPN

đổi dữ liệu theo một chuẩn nhất định, dữ liệu chỉ có thể được đọc bởi người dùng mong muốn,để đọc được dữ liệu người nhận buộc phải có chính xác 1

khoá giải mã dữ liệu Theo phương pháp truyền thống người nhận và người gửi

dữ liệu sẽ có cùng một khoá để có thể giải mã và mã hoá dữ liệu

chắc chắn dữ liệu sẽ được chuyển đến người nhận đồng thời cũng đảm bảo thông tin nhận được nguyên vẹn Ở hình thức cơ bản, authentication đòi hỏi ít nhất phải nhập vào username và password để có thể truy nhập vào tài nguyên Trong một số tình huống phức tạp, sẽ có thêm secret-key hoặc public-key để mã hoá dữ liệu

hoặc ngăn cấm tài nguyên mạng sau khi đã thực hiện Authentication

Các thành phần của PPP gồm có LCP( Link control Protocol) và NCP (Network control Protocol):

- Giao thức điều khiển liên kết LCP (Link Control Protocol) được đề cập đến trong RFC 1570 dùng thiết lập, điều chỉnh cấu hình, và huỷ bỏ một liên kết Hơn thế nữa LCP còn có cơ chế Link Quality monitoring (LQM) có thể được cấu hình kết hợp với một cơ chế chứng thực Password Authentication Protocol (PAP) hay Challenge Handshake Authentication Protocol(CHAP)

- Giao thức điều khiển mạng NCP (Network Control Protocol) được đề cập đến trong RFC, NCP làm nhiệm vụ thiết lập, điều chỉnh cấu hình và huỷ bỏ truyền dữ liệu

1.4.2 Layer Forword -L2F

Do Cisco phát triển, L2F sẽ sử dụng bất kỳ một cơ chế xác nhận do PPP

hỗ trợ Giao thức L2F được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy nhập vào một mạng công ty thông qua thiết

bị truy cập từ xa L2F cung cấp giải pháp cho dịch vụ quay số bằng cách thiết lập một đường ngầm bảo mật thông qua cơ sở hạ tầng như Internet Nó cho phép đóng gói PPP trong khuôn dạng L2F và định đường ngầm ở lớp liên kết dữ liệu

Hình 1.6 Giao thức PPTP

1.4 .4 Layer 2 Tunneling Protocol-L2TP :

L2TP được phát triển gần đây nhất, là sản phẩm do các thành vỉên trong PPTP Forum hình thành nên, Cisco và IETF (Internet Engineering Task Force)

Nó tích hợp các tính năng của cả PPTP và L2F, L2TP đồng thời cũng hỗ trợ IPSec

L2TP có thể sử dụng như giao thức kênh thông tin - tunneling protocol trong mô hình VPN Site-to-Site cũng như VPN tuy nhập từ xa Trong thực tế,

1.4.5 Generic Routing Encapsulation (GRE)

GRE là một giao thức tạo đường hầm được phát triển bởi Cisco System Giao thức này có thể đóng gói đa giao thức như đóng gói IP,IPX,Apple Talk và bất kỳ các gói giao thức khác vào bên trong ở xa nhau qua một mạng IP Trong GRE tunnel thì các điểm cuối đường hầm không lưu giữ bất cứ thông tin nào về trạng thái hay tính sẵn dùng của điểm truy nhập từ xa Đặc điểm này giúp cho nhà cugng cấp dịch vụ cung cấp đường hầm cho khách hàng của họ mà không cần phải suy nghĩ về kỹ thuật tạo đường hầm trong mạng của nhà cung cấp dịch

vụ cuối cùng Ngoài ra đặc điểm này còn tạo ra tính mềm dẻo cho người sử dụng, người sử dụng có thể thay đổi cấu hình cho kiến trúc IP của họ mà không cần lo lắng về vấn đề kết nối

1.4.6 Giao thức bảo mật IPSec :

Giao thức IPSec được IETF phát triển để thiết lập tính bảo mật trong mạng IP ở cấp độ gói IPSec được định nghĩa là một họ giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, xác thực, toàn vẹn dữ liệu và điều khiển

truy nhập Nó là một tập các tiêu chuẩn mở làm việc cùng nhau, được giới thiệu lần đầu tiên trong các RFC 1825-1829 vào năm 1995.

Để xây dựng một VPN bảo mật, chúng ta có 2 cách:

VPN bảo mật Dùng cách này có thể giảm thiểu chi phí và việc quản lý sẽ đơn giản hơn

thích hợp với những công ty đòi hỏi tính bảo mật cao, tuy nhiên dùng cách này thì chi phí tốn kém và việc quản lý sẽ phức tạp hơn

CHƯƠNG II - CÁC GIAO THỨC

2.1 GIAO THỨC BẢO MẬT IPSEC

Cùng với sự phát triển và mở rộng của Internet thì việc trao đổi thông tin giữa các chi nhánh, văn phòng ở xa trong một công ty hay với các đối tác kinh doanh bên ngoài không còn là vấn đề khó khăn như trước Tuy nhiên, đi đôi với việc hỗ trợ kinh doanh hiệu quả thì nguy cơ mất an ninh dữ liệu hay bị tấn công phá hoại qua mạng cũng có thể xảy ra Chính vì vậy vấn đề an ninh an toàn dữ liệu khi truyền qua mạng công cộng đã trở nên có ý nghĩa đặc biệt quan trọng

Giao thức IPSec (Internet protocol Security) được phát triển để giải quyết vấn đề bảo đảm an ninh cho thông tin truyền qua mạng Internet và được coi là giao thức tốt nhất cho việc thực hiện IP-VPN Chương này trình bày những đặc điểm quan trọng của IPSec

2.1.1 Giới thiệu về IPSec

Giao thức IPsec được làm việc tại tầng Network Layer – layer 3 của mô hình OSI Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI) Điều này tạo ra tính mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng

4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này IPsec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của

mô hình OSI Với một ứng dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn

Mọi giao tiếp trong một mạng trên cơ sở IP đều dự trên các giao thức IP

Do đó, khi một cơ chế bảo mật cao được tích hợp với giao thức IP, toàn bộ mạng được bảo mật bởi vì các giao tiếp đều đi qua tầng 3(Đó là lí do tại sao IPSec được phát triển ở giao thức tầng 3 thay vì tầng 2)

IPSec VPN dùng các dịch vụ được định nghĩa trong IPSec để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng.

Ngoài ra,với IPSec tất cả các ứng dụng đang chạy ở tầng ứng dụng của

mô hình OSI đều độc lập trên tầng 3 khi định tuyến dữ liệu từ nguồn đến đích Bởi vì IPSec được tích hợp chặt chẽ với IP, nên những ứng dụng có thể dùng các dịch vụ kế thừa tính năng bảo mật mà không cần phải có sự thay đổi lớn lao nào Cũng giống IP, IPSec trong suốt với người dùng cuối, là người mà không cần quan tâm đến cơ chế bảo mật mở rộng liên tục đằng sau một chuỗi các hoạt động

IPSec hoạt động dựa trên mô hình ngang hàng (peer-to-peer) hơn là mô hình client/server Một tổ chức an ninh (SA) là một qui ước giữa hai bên trong

đó thúc đẩy các trao đổi giữa hai bên giao tiếp Mỗi bên giao tiếp (có thể là thiết

bị, phần mềm) phải thống nhất với nhau về các chính sách hoặc các quy tắc bằng cách sẽ dò tìm các chính sách này với đối tác tìm năng của nó

2.1.2 Những tính năng chính của IPSec

integrity) IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận Các giao thức IPSec đưa ra khả năng bảo

vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ

cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén

Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch Một phần quan trọng nữa,

IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu

Hai tính năng đầu tiên của bộ IPSec: authentication and data integrity, và confidentiality, được cung cấp bởi hai giao thức chính của trong bộ giao thức IPSec Những giao thức này bao gồm Authentication Header (AH) và Encapsulating Security Payload (ESP) Tính năng thứ ba, key management, nằm trong bộ giao thức khác, được bộ IPSec chấp nhận bởi nó là một dịch vụ quản lý khóa mạnh Giao thức này là IKE

Tiêu đề gốc

ESP- chế độ truyền tải Được mật mã

thấy địa chỉ nguồn và đích của gói tin, có thể thực hiện một số xử lý dựa trên các thông tin của tiêu đề IP.Tuy nhiên, nếu dữ liệu được mật mã bởi ESP thì sẽ không biết được thông tin cụ thể bên trong gói dữ liệu.Theo IETF, chế độ truyền tải chỉ có thể được dùng khi 2 hệ thống đầu cuối IP-VPN hỗ trợ IPSec.

2.1.3.2 Chế độ đường ngầm

Trong chế độ đường ngầm, toàn bộ gói IP ban đầu bao gồm cả tiêu đề được xác thực hoặc mật mã, sau đó được đóng gói với một tiêu đề IP mới Địa chỉ IP bên ngoài được sử dụng cho định tuyến gói IP qua Internet và địa chỉ nguồn chính là gateway

AH- chế độ đường hầm

Tiêu đề mở

Tiêu đề AH

Tiêu đề ESP

A,B) Khi sử dụng chế độ đường ngầm, các đầu cuối của IPSec-VPN không cần phải thay đổi ứng dụng hay hệ điều hành.

Hình 2.3: Thiết bị mạng thực hiện IPSec trong chế độ đường ngầm

2.1.4 Giao thức xác thực(AH) và đóng gói tải tin an toàn(ESP)

2.1.4.1 Giao thức tiêu đề xác thực AH

Giao thức tiêu đề xác thực AH được định nghĩa trong RFC 1826 và sau đó phát triển lại trong REC 2402 AH cung cấp khả năng xác thực nguồn gốc dữ liệu(Data Origin Authentication), kiểm tra tính toàn vẹn dữ liệu(Data Integrity)

và dịch vụ chống phát lại(Anti-replay Service) AH đảm bảo dữ liệu không bị thay đổi khi nó di chuyển qua cả network Nó cũng đảm bảo dữ liệu giống như ban đầu từ người gởi Nó cho phép xác thực các trường tiêu đề IP cũng như dữ liệu của các giao thức lớp trên Tuy nhiên, do một số trường của tiêu đề IP thay đổi trong khi truyền và phía phát không dự đoán trước được giá trị của chúng khi tới phía thu,giá trị của các trường này không bảo vệ được bằng AH Có thể nói AH chỉ bảo vệ một phần của tiêu đề IP mà thôi AH không cung cấp bất cứ

xử lý nào để bảo mật dữ liệu của các lớp trên,tất cả đều được truyền dưới dạng văn bản rõ AH nhanh hơn ESP, nên có thể chọn AH trong trường hợp cần yêu cầu chắc chắn về nguồn gốc và tính toàn vẹn dữ liệu mà tính bảo mật không yêu cầu

AH cung cấp chức năng xác thực bằng cách thực hiện một hàm băm một chiều(one-way Hash Function) đối với dữ liệu của gói để tạo ra một đoạn mã

xác thực(Hash hay Message Digest) Đoạn mã này được chèn vào thông tin của gói truyền đi Khi đó, bất cứ thay đổi nào đối với nội dung của gói trong quá trình truyền đi đều được phía thu phát hiện khi nó thực hiện cùng một hàm băm một chiều đối với gói dữ liệu nhận được và đối với giá trị mã xác thực truyền cùng với gói dữ liệu AH được sử dụng cho toàn bộ gói dữ liệu, ngoại trừ một

mố trường tiêu đề IP có thể thay đổi trong quá trình truyền Có 2 thuật toán chính để hỗ trợ toàn vẹn bản tin là MD5 và SHA-1(Secure Hash Algorithm-1) Chúng sử dụng cơ chế khoá băm gọi là HMAC( Hashed-keyed Message Authentication Code)

a AH mode

AH có 2 mode: Transport và Tunnel

- Tunnel mode, AH tạo một IP Header mới cho mỗi tin

- Transport mode, AH không tạo IP Header mới

Trong cấu trúc IPSec mà sử dụng gateway, địa chỉ thật của IP nguồn và đích của các gói tin phải thay đổi thành địa chỉ IP của gateway Vì trong Transport mode không thay đổi IP Header hoặc tạo ra một IP Header mới, Transport mode thường sử dụng trong cấu trúc host-to-host

AH cung cấp tính năng đảm bảo tính toàn vẹn cho toàn bộ gói tin, bất kỳ mode nào được sử dụng

Original packet

OriginalP Header

TCP Header

Data

AH Tunnel mode packet

New IP Header

AH Header OriginalP

Header

TCP Header

IP Header TCP Header Data

Bước 1: Tiêu đề IP và phần tải tin được băm (Hashed).

Bước 2: Hash được sử dụng để xây dựng một tiêu đề AH, được chèn vào gói dữ liệu ban đầu

Bước 3: Gói dữ liệu mới được truyền tới đối tượng ngang hàng IPSec.Bước 4: Đối tượng ngang hàng IPSec băm (Hash) tiêu đề IP và phần tải tin của gói dữ liệu

Bước 5: Đối tượng ngang hàng lấy Hash đã được truyền từ tiêu đề AH.Bước 6: Đối tượng ngang hàng so sánh 2 giá trị Hash và kết luận gói tin

có bị thay đổi không

2.1 4.2 Giao thức đóng gói tải tin an toàn ESP

ESP là giao thức bảo mật chính thứ hai,được mô tả trong RFC 2406.ESP

là một giao thức bảo mật có thể sử dụng cho việc cung cấp tính bảo mật và sự xác thực ESP cung cấp tính bảo mật bằng cách thực hiện sự mã hoá ở lớp Network trong mô hình OSI Sự mã hoá gói dữ liệu IP che đậy phần tải tin dữ liệu ESP cung cấp sự xác thực cho gói tin IP nội bộ và tiêu đề ESP Sự xác thực cung cấp sự xác thực nguồn gốc dữ liệu và tính toàn vẹn

ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần bảo

mã hoá và chỉ cần cho authentication, nhưng sử dụng mã hoá mà không yêu cầu xác thực không đảm bảo tính bảo mật

Khi sử dụng ESP có thể mật mã bản tin.Các tiêu chuẩn cơ bản để mật mã

là DES( Data Encryption Standard)có độ dài 56 bit, 3DES( Triple DES) có độ dài khoá 168 bit và AES( Advanced Encrytion Standard) có độ dài 128, 192

hoặc 256 bit Các thuật toán này sử dụng một khoá để mã hoá và giải mã thông tin

a ESP modeESP có 2 mode: Transport và tunnelTunnel mode : ESP tạo ra một IP Header mới cho mỗi gói tin IP Header mới liệt kê các đầu cuối của ESP Tunnel nguồn và đích của gói tin

Original packet

OriginalIP Header

TCP Header Data

ESP Tunnel

mode packet

New IP header

ESP Header

OriginalIP Header

TCP Header Data

ESP Trailer

ESP authen.data

encrypted

Authenticated (integrity protocol)

Hình 2.6: ESP Tunnel Mode Packet

Trong Transport mode, ESP dùng IP Header gốc thay vì tạo một IP header mới ESP có thể chỉ mã hoá và/hoặc đảm bảo tính toàn vẹn nội dung gói tin và một số thành phần ESP nhưng không có với IP Header Giao thức ESP không tương thích với NAT

Giao thức AH, ESP trong Transport mode thường sử dụng trong cấu trúc host-to-host và sử dụng Tunnel mode cho các giao tiếp giữa hai mạng với nhau

IP Header

TCP Header Data

IP Header

ESP Header

TCP Header Data

ESP Trailer

ESP Authen.data

Bước 1: Tải tin được mã hoá.

Bước 2: Sau khi tải tin được mã hoá sẽ được gửi qua Hash( cung cấp

sự xác thực nguồn gốc và tính toàn vẹn dữ liệu)

Bước 3: Gói dữ liệu được truyền tới đối tượng ngang hàng IPSec

Bước 4: Đối tượng ngang hàng xác thực các gói dữ liệu đầu vào

Bước 5: Giải mã dữ liệu nơi nhận

2.1.5 Kết hợp an ninh và hoạt động trao đổi khoá

2.1.5.1 Kết hợp an ninh

2.1.5.1.1 SA trong IPSec

Theo IETF thì dịch vụ bảo mật quan hệ giữa hai hoặc nhiều thực thể để thoả thuận truyền thông an toàn được gọi là SA (Security Association) Một SA

là một kết nối đơn công, nghĩa là với mỗi cặp truyền thông với nhau, có ít nhất 2

SA ( một từ A tới B và một từ B tới A) Khi lưu lượng cần truyền trực tiếp 2 chiều qua VPN, giao thức trao đổi khoá IKE (Internet Key Exchange) thiết lập một cặp SA trực tiếp và sau đó có thể thiết lập thêm nhiều SA khác Mỗi SA có thời gian sống riêng SA được nhận dạng duy nhất bởi bộ 3 gồm: chỉ dẫn thông

số an ninh(SPI), địa chỉ IP đích và một nhận dạng giao thức an toàn ( AH hay ESP) Tập các giá trị SPI trong dãy từ 1 đến 255 Theo nguyên lý, địa chỉ IP đích có thể là một địa chỉ đơn nhất( unticast), một địa chỉ quảng bá( broatcast) hay một địa chỉ nhóm (multicast) Tuy nhiên cơ chế quản lý SA hiện nay được định nghĩa chỉ cho những SA đơn nhất

Một liên kết an ninh có thể là một trong 2 kiểu: Transport và tunnel, phụ thuộc vào kiểu của giao thức sử dụng SA Một liên kết kiểu Transport là một liên kết an toàn giữa 2 host, hoặc liên kết an toàn được yêu cầu giữa 2 hệ thống trung gian dọc trên đường truyền Trong trường hợp khác, kiểu Transport cũng

có thể được sử dụng để hỗ trợ IP-in-IP hay đường ngầm GRE qua các SA SA kiểu Tunnel là một SA cơ bản được ứng dụng tới một đường ngầm IP

SA cung cấp nhiều lựa chọn cho các dịch vụ IPSec , nó phụ thuộc vào giao thức an toàn được lựa chọn (AH hay ESP), kiểu SA, điểm kết thúc của SA

đó và một sự tuyển chọn của các dịch vụ tuỳ ý các bên trong giao thức đó Như khi sử dụng AH để xác minh nguồn gốc dữ liệu, tính toàn vẹn phi kết nối cho gói IP, có thể sử dụng dịch vụ chống phát lại hoặc không tuỳ thuộc các bên.

Khi một bên IP-VPN muốn gửi lưu lượng IPSec tới đầu bên kia, nó kiểm tra để biết nếu có một SA đã tồn tại trong cơ sở dữ liệu hay chưa để 2 bên có thể

sử dụng dịch vụ an ninh theo yêu cầu Nếu nó tìm được một SA tồn tại, nó để SPI của SA này trong tiêu đề IPSec, thực hiện các thuật toán mã hoá và gửi gói tin đi Bên thu sẽ lấy SPI, địa chỉ đích và giao thức IPSec( AH hay ESP) và tìm

SA trong cơ sở dữ liệu phù hợp để xử lý gói tin đó Lưu ý rằng một đầu cuối VPN có thể đồng thời có thể kết nối nhiều IPSec, vì vậy cũng có nghĩa tồn tại nhiều SA

IP-2.1.5.1.2 Cơ sở dữ liệu SA

Có 2 cơ sở dữ liệu: cơ sở dữ liệu chính sách an ninh (Security Policy Database SPD) và cơ sở dữ liệu kết hợp an ninh (Security Associantion Database SAD)

thuộc vào các nhân tố như nguồn, đích, đi ra hay đi vào Nắm giữ thông tin về các dịch vụ bảo mật kèm theo với một danh sách thứ tự chính sách các điểm vào

và ra Giống như firewall rules và packet filters, những điểm truy cập này định nghĩa lưu lượng nào được xử lý và lưu lượng nào bị từ chối theo từng chuẩn của IPSec

toán và khóa AH hay ESP, số trình tự, kiểu giao thức và thời gian sống của SA Cho xử lý đi ra, lối vào SPD trỏ tới một lối vào trong SAD SAD quyết định SA nào được sử dụng cho một gói đã cho Cho xử lý đi vào, SAD được tham khảo

để quyết định gói được xử lý như thế nào

2.1.5.2 Hoạt động trao đổi khoá

Quá trình trao đổi khóa và quản lý khóa là một phần quan trọng của IPSec bởi vì một số khóa phải được trao đổi để các bên có thể giao tiếp với nhau an

bao gồm: khóa bằng tay (manual keying) và IKE, trong đó IKE dựa trên ISAKMP/Oakley IKE thực hiện xác thực các bên quá trình này sử dụng thuật toán khoá băm cùng với một trong 3 loại

- Khoá chia sẻ( Pre- shared Key)

- Chữ ký số RSA ( RSA Signatures)

- Số ngẫu nhiên mật mã ( RSA- encrypted nonces)

IKE giúp các bên giao tiếp hoà hợp các tham số bảo mật và khoá xác nhận trước khi một phiên bảo mật IPSec được triển khai Ngoài việc hoà hợp và thiết lập các tham số bảo mật và khóa mã hoá, IKE cũng sửa đổi những tham số khi cần thiết trong suốt phiên làm việc IKE cũng đảm nhiệm việc xoá bỏ những SAs và các khoá sau một phiên giao dịch hoàn thành Thuận lợi chính của IKE gồm:

 IKE không phải là một công nghệ độc lập, do đó nó có thể dùng với bất kỳ cơ chế bảo mật nào

 Cơ chế IKE mặc dù không nhanh nhưng hiệu quả cao bởi vì một lượng lớn những hiệp hội bảo mật thoả thuận với nhau với một vài thông điệp khá ít

2.1.5.2.1 IKE Phases

Giai đoạn I và II là hai giai đoạn tạo nên phiên làm việc dựa trên IKE, hình trình bày một số đặc điểm chung của hai giai đoạn Trong một phiên làm việc IKE, nó giả sử đã có một kênh bảo mật được thiết lập sẵn Kênh bảo mật này phải được thiết lập trước khi có bất cứ thoả thuận nào xảy ra

a Giai đoạn I của IKE

Đầu tiên IKE xác nhận các điểm thông tin, và sau đó thiết lập một kênh bảo mật cho sự thiết lập SA Tiếp đó, các bên thông tin thoả thuận một ISAKMP

SA đồng ý lẫn nhau, bao gồm các thuật toán mã hoá, hàm băm, và các phương pháp xác nhận bảo vệ mã khoá

Sau khi cơ chế mã hoá và hàm băm đã được đồng ý ở trên, một khoá chia sẻ bí mật được phát sinh Theo sau là những thông tin được dùng để phát sinh khoá bí mật:

Giá trị Diffie-Hellman

Nếu hai bên đồng ý sử dụng phương pháp xác nhận dựa trên public key, chúng cần trao đổi IDs Sau khi trao đổi các thông tin cần thiết, cả 2 bên phát sinh những key riêng của chính mình sử dụng để chia sẻ bí mật Theo cách này, những khoá mã hoá được phát sinh mà không cần thực sự trao đổi bất kỳ khoá nào thông qua mạng

b Giai đoạn II của IKE

Trong khi giai đoạn I thoả thuận thiết lập SA cho ISAKMP, giai đoạn II giải quyết việc thiết lập SAs cho IPSec SAs dùng nhiều dịch vụ khác nhau thoả thuận Cơ chế xác nhận, hàm băm, và thuật toán mã hoá bảo vệ gói dữ liệu IPSec tiếp theo (sử dụng AH hoặc ESP) dưới hình thức một phần của SA

Sự thoả thuận của giai đoạn xảy ra thường xuyên hơn giai đoạn1.Điển hình,sự thoả thuận có thể lặp lại sau 4-5 phút Sự thay đổi thường xuyên các mã khoá ngăn cản các hacker bẻ gãy những khoá này và sau đó là nội dung của gói

dữ liệu

Tổng quát, một phiên làm việc ở giai đoạn II tương đương với một phiên làm việc đơn của giai đoạn I Tuy nhiên, nhiều sự thay đổi ở giai đoạn II cũng có thể được hỗ trợ bởi một trường hợp đơn ở giai đoạn I Điều này làm quá trình giao dịch chậm của IKE tỏ ra tương đối nhanh hơn Oakley là một trong số các giao thức của IKE

2.1.5.2.2 IKE Mode

Chế độ IKE phổ biến thường được triển khai:

• Chế độ nhanh (Quick mode)

2.1.6 Các vấn đề tồn tại trong IPSec

Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết để đảm bảo thiết lập kết nối VPN an toàn qua mạng Internet, nó vẫn còn ở trong giai đoạn phát triển để hướng tới hoàn thiện Sau đây là một số vấn đề còn tồn tại trên IPSec :

- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng của mạng giảm xuống Vấn đề này cso thể được khắc phục bằng cách nén dữ liệu trước khi mã hoá

- IKE vẫn là công nghệ chưa thực sự khẳng định được khả năng của mình Phương thức chuyển khoá bằng tay lại không thích hợp cho mạng có số lượng lớn các đối tượng di động

- IKE được thiết kế chỉ để hỗ trợ bảo mật lưu lượng IP, không hỗ trợ các dạng lưu lượng khác

- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn

đề khó đối với các trạm làm việc và máy PC năng lực yếu

- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ của một quốc gia

2.2 GIAO THỨC ĐƯỜNG NGẦM PPTP VÀ L2TP

2.2.1 Point-to-point Tunneling Protocol (PPTP)

Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy nhập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để toạ kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương có thể tạo đường ngầm bảo mật tới mạng riêng của họ Giao thức PPTP được xây dựng dựa trên giao thức kết nối quay số PPP, và giao thức đóng gói định tuyến chung (GNE), đóng và tách các gói PPP

PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn PPTP không những tạo điều kiện dễ dàng cho việc bảo mật các

giao dịch thông qua TCP/IP trong môi trường mạng chung mà còn qua mạng riêng Intranet.

- Công dụng của PSTNs ( Public Switched Telephone Networks): PPTP cho phép sử dụng PSTNs cho việc triển khai VPNs Kết quả là, quá trình xử lý

sự phát triển VPN đặc biệt đơn giản và tổng chi phí cho việc triển khai thì khá thấp Đối với những doanh nghiệp có kết nối mạng diện rộng dựa trên các đường thuê bao leased line được loại bỏ

- Hỗ trợ giao thức Non-IP: PPTP cũng hỗ trợ một số giao thức triển khai mạng thông thường khác như TCP/IP, IPX, NetBEUI, và NetBIOS

2.2.1.1 Duy trì đường ngầm bằng bản tin điều khiển PPTP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (có cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP ( sử dụng cổng TCP dành riêng 1723) Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lý cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP Các bản tin này bao gồm các bản tin PPTP Echo- Request và PPTP Encho- Reply định kỳ để phát hiện các lỗi kết nối giữa PPTP client và PPTP Server Các gói của kết nối điều khiển PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP

và các header, trailer của lớp đường truyền dữ liệu

Data link

Header Ip TCP

PPTP Control Message

Data link Trailer

Hình 3.1: Gói dữ liệu của kết nối điều khiển PPTP2.2.1.2 Xử lý dữ liệu đường ngầm PPTP

Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP Server

• Xử lý phần Payload để nhận hoặc chuyển tiếp

2.2.1.3 Triển khai VPN dựa trên PPTP

Bất kỳ quá trình giao dịch nào dựa trên PPTP triển khai ít nhất 3 thành phần đó là:

Apple’s Macintosh Một số nền tảng khác không hỗ trợ PPTP cũng có thể có lợi cho các dịch vụ bằng cách dùng PPP client router dựng sẵn

 Nhược điểm

IPSec là nhwngx công nghệ có tính bảo mật cao hơn

client

PPTP chỉ là giải pháp tạm thời, bởi vì PPTP chỉ thích hợp cho máy quay

số truy nhập với lượng người dùng hạn chế Do vậy nó bộc lộ rõ điểm yếu này khi xây dựng kết nối LAN-To-LAN Khi sử dụng kết nối VPN PPTP mà có hỗ trợ thiết bị của ISP thì quyền quản lý sẽ bị chia sẻ cho ISP Vì nhuengx lý do này mà trong thực tế các nhà cung cấp đều có kế hoạch thay thế PPTP bằng L2TP

2.2.2 Layer 2 Tunneling Protocol (L2TP)

Giao thức định đường ngầm lớp 2 L2TP được phát triển bởi IETF, để tránh việc 2 giao thức đường ngầm không tương thích cùng tồn tại gây khó khăn cho người sử dụng kết hợp 2 giao thức L2F và PPTP phát triển thành L2TP L2TP được xây dựng dựa trên cơ sở tận dụng các ưu điểm của 2 giao thức này, đồng thời có thể sử dụng được trong tất cả các trường hợp ứng dụng của 2 giao thức này Một đường ngầm L2TP có thể khởi tạo từ một PC ở xa quay về L2TP Network Server(LNS) hay từ L2TP Access Control (LAC) về LNS

L2TP mang đặc tính của PPTP và L2F tuy nhiên L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F Điều này cho phép L2TP

hỗ trợ truyền thông tin qua nhiều môi trường khác nhau như X25, Frame Relay, ATM, L2TP là giao thức lớp 2 nên cho phép các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX,NetBEUI Giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS

2.2.2.1 Hoạt động của L2TP

L2TP dựa trên PPP để tạo kết nối quay số giữa Client và máy chủ truy nhập mạng (NAS) L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực đầu tiên, tạo gói dữ liệu PPP và đóng gói kết nối khi kết thúc phiên làm việc Sau khi PPP tạo kết nối xong, L2TP sẽ xác định NAS có chấp nhận người dùng hay không và sẵn sàng đóng vai trò làm điẻm kết thúc đường hầm cho người sử dụng Sau khi đường hầm được tạo ra L2TP sẽ sử dụng giao thức đóng gói dữ liệu để truyeenf lên môi trường mà ISP đã sử dụng

L2TP đóng gói các khung PPP để truyền qua mạng IP, X.25, Frame Relay hoặc ATM Tuy nhiên, hiện nay mới chỉ có L2TP trên mạng IP được định nghĩa.Khi truyền qua mạng IP, các khung L2TP được đóng gói như các bản tin UDP L2TP có thể sử dụng như một giao thức đường ngầm thông qua Internet hoặc qua mạng riêng Intranet L2TP dùng bản tin UDP qua mạng IP cho các dữ liệu đường ngầm cũng như dữ liệu duy trì đường ngầm.Phần tải của khung PPP

đã đóng gói có thể được mật mã và nén Mật mã trong các kết nối L2TP thường

mã IPSec.Tuy nhiên , đay không phải là kết nối IP-VPN vì dữ liệu riêng được đón gói bởi L2TP không được mật mã Các kết nối L2TP không mật mã có thể

sử dụng tạm thời để sửa các lỗi kết nối L2TP dùng IPSec

2.2.2.2 Duy trì đường ngầm bằng bản tin điều khiển L2TP

Không giống PPTP, việc duy trì đường ngầm L2TP không được thực hiện thông qua một keet nối TCP riêng biệt Các lưu lượng điều khiển và duy trì cuộc gọi được gửi đi như các bản tin UDP giữa máy trạm và máy chủ L2TP (đều sử dụng cổng UDP 1701) Các bản tin điều khiển L2TP qua mạng IP được gửi như các gói UDP Gói UDP lại được mật mã bởi IPSec ESP như hình:

Mã hoá bởi IPSec

Hình 3.2: Bản tin điều khiển L2TP

Vì không sử dụng kết nối TCP, L2TP dùng là thứ tự bản tin để đảm bảo việc truyền các bản tin L2TP Trong bản tin điều khiển L2TP, trường Next- Received (tương tự như TCP Acknowledgment) và Next-Sent (tượng tự như TCP Sequence Number) được sử dụng để duy trì bản tin điều khiển Các gói không đúng thứ tự bị loại bỏ Các trường Next-Sent và Next- Received cũng có thể được sử dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm

Tiêu đề UDP

Bản tin L2TP

Phần đuôi IPSec ESP

Phần đuôi xác thực IPSec ESP

Phần đuôi liên két dữ liệu

2.2.2.3 Đóng gói dữ liệu đường ngầm L2TP

Dữ liệu đường ngầm L2TP được thực hiện thông qua nhiều mức đóng gói:

PPP và một tiêu đề L2TP

các địa chỉ cổng nguồn và đích được đặt bằng 1701

mã và đóng gói với tiêu đề IPSec ESP, đuôi IPSec ESP, đuôi IPSec Authentication

của máy trạm và máy chủ

LAN hoặc WAN, gói IP cuối cùng sẽ được đóng gói với phần tiêu đề và đuôi tương ứng với kỹ thuật liên kết giao diện vật lý đầu ra Ví dụ: khi gói IP được gửi vào giao diện Ethenet, nó sẽ được đóng gói với tiêu đề và đuôi Ethenet Khi các gói IP được gửi trên đường truyền WAN điểm tới điểm , chúng được đóng gói với tiêu đề và đuôi PPP

Cấu trúc cuối cùng của gói dữ liệu đường ngầm L2TP trên nền IPSSec:

Tiêu đề UDP

Tiêu đề L2TP

Tiêu đề PPP

Tải PPP(IP,IPX, NetBEUI)

Phần đuôi IPSec ESP

Phần đuôi nhận thực IPSec ESP

Phần đuôi liên kết

dữ liệu

Được mã hoá

Được xác thực

Hình 3.3: Đóng gói dữ liệu đường ngầm L2TP

2.2.2.4 Xử lý dữ liệu tại đầu cuối đường ngầm L2TP trên nền IPSec

Khi nhận dữ liệu đường ngầm L2TP trên nền IPSSec,máy trạm và máy chủ L2TP sẽ được thực hiện các bước sau:

• Xử lý loại bỏ tiêu đề và đuôi của lớp liên kết dữ liệu

ESP

để xác định đường ngầm L2TP cụ thể

để xử lý

2.2.2.5 Triển khai VPN dựa trên L2TP

Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơ bản: