ĐỒ ÁN: TRIỂN KHAI VPN TRÊN TMG2010

Tổng quan1.1.1 Định nghĩa VPN: VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng PrivatNetworkthông qua các mạng công cộng căn bản mỗi VPN là một mạng riêng rẽ sử dụng mộtmạng

LỜI MỞ ĐẦU

Cùng với xu thế toàn cầu hóa, sự mở rộng giao lưu hợp tác quốc tế ngày càngtăng, quan hệ hợp tác kinh doanh không chỉ dừng lại trong phạm vi một huyện, mộttỉnh, một nước mà còn mở rộng ra toàn thế giới Một công ty có thể có chi nhánh , cócác đối tác kinh doanh ở nhiều quốc gia và giữa họ luôn có nhu cầu trao đổi thông tinvới nhau Để bảo đảm bí mật các thông tin được trao đổi thì theo cách truyền thốngngười ta dùng các kênh thuê riêng, nhưng nhược điểm là nó đắt tiền, gây lãng phí tàinguyên khi dữ liêu trao đổi không nhiều và không thường xuyên Vì thế người ta đãnghiên cứu ra những công nghệ khác vẫn có thể đáp ứng được nhu cầu trao đổi thôngtin như thế nhưng đỡ tốn kém và thuận tiện hơn, đó là giải pháp mạng riêng ảo

VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một giảipháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi thông tin

từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và bảo mật Hơnthế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí cho những liên kết

từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu)

Ngày nay, giải pháp mạng riêng ảo được ứng dụng ngày càng nhiều với côngnghệ luôn được cải tiến để an toàn hơn Vì thế, em đã chọn đề tài “Tìm hiểu mạng riêng ảo (VPN) và triển khai mô hình VPN site to site trên TGM 2010 ” Nội dung đề

tài gồm hai phần chính là tìm hiểu khái quát về mạng riêng ảo và triển khai mô hìnhVPN site to site (PPTP) trên TMG 2010

Với khả năng và kiến thức còn hạn chế, đề tài không tránh khỏi những thiếu sót,

và hạn chế về nội dung, em mong nhận được sự góp ý sửa chữa của thầy cô và cácbạn

MỤC LỤC

LỜI MỞ ĐẦU 1

MỤC LỤC 2

CHƯƠNG 1:TỔNG QUAN VỀ VPN 4

1.1 Tổng quan 4

1.1.1 Định nghĩa VPN: 4

1.1.2 Lịch sử phát triển của VPN: 4

1.1.3 Phân loại VPN: 5

1.1.4 Lợi ích của VPN: 5

1.1.5 Chức năng của VPN: 6

1.1.6 Các ưu và nhược điểm của VPN: 6

1.1.6.1 ưu điểm: 6

1.1.6.2 nhược điểm: 7

1.2.Các đạng kết nối mạng riêng ảo: 7

1.2.1 Remote Access VPN 7

1.2.1.1Một số thành phần chính : 8

1.2.1.2 Ưu và nhược điểm của Remote Access VPN 9

1.2.2 Mạng VPN cục bộ (Intranet VPN) 10

1.2.2.1Những ưu điểm của mạng VPN cục bộ : 11

1.2.2.2 Các nhược điểm của mạng VPN cục bộ 11

1.2.3 Mạng VPN mở rộng (Extranet VPN) 12

1.2.3.1Một số thuận lợi của Extranet : 13

1.2.3.2Một số bất lợi của Extranet : 13

1.3 An toàn bảo mật của VPN trên Intrenet 13

1.3.1 Bảo mật trong VPN 13

1.3.2 Sự an toàn và tin cậy: 14

1.3.3 Hình thức an toàn 14

1.4 các yêu cầu cơ bản đối với một giải pháp vpn 15

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo 15

1.4.1 Tính tương thích 15

1.4.2 Tính bảo mật 15

1.4.3 Tính khả dụng 16

1.4.4 Khả năng hoạt động tương tác 16

CHƯƠNG 2 CÁC GIAO THỨC VÀ KẾT NỐI TUNNEL TRONG VPN 17

2.1 Tìm hiểu giao thức IPSec(IP Security) 17

2.1.1 khái quát về IPSec: 17

2.1.2 Kiến trúc IPSec: 18

2.1.3 Các dịch vụ của IPSec: 19

2.1.4 Ưu khuyết điểm của IPSec: 19

2.1.5 Các chế độ hoạt động của IPSec: 19

2.1.5.1 Transport Mode (chế độ vận chuyển) 19

2.1.5.2 Tunnel Mode (chế độ đường hầm): 20

2.2 Giao thức Point-to-Point Tunneling Protocol(PPTP) 21

2.2.1 khái quát về PPTP: 21

2.2.2 Vai trò của PPP trong giao dịch PPTP 22

2.2.3 Các thành phần của quá trình giao dịch PPTP 23

2.2.3.1 PPTP Clients 23

2.2.3.2 PPTP Servers 24

2.2.3.3 PPTP Network Access Servers (NASs) 24

2.2.4.Quá trình xữ lý PPTP 24

2.2.4.1 Điều khiển kết nối PPTP 24

2.2.4.2 Quá trình tạo đường hầm dữ liệu và xữ lý PPTP 25

2.2.5 Bảo mật trong PPTP 25

2.2.5.1 Mã hóa và nén dữ liệu PPTP 26

2.2.5.2 PPTP Data Authentication 26

2.2.5.3 Điều khiển truy cập PPTP 26

2.2.5.4 Trích lọc các gói dữ liệu PPTP 26

2.2.6 Sơ đồ đóng gói PPTP 27

2.2.7 Ưu điểm và khuyết điểm của PPTP: 27

2.3 Giao thức Layer 2 Tunneling Protocol ( L2TP) 28

2.3.1 khái niệm: 28

2.3.2.Các thành phần của L2TP 29

2.3.2.1 Network Access Server (NAS) 29

2.3.2.2 Bộ tập kết truy cập L2TP 29

2.3.2.3 L2TP Network Server 29

2.3.4 Qui trình xữ lý L2TP 29

2.3.5.Quan hệ giữa L2TP và PPP 30

2.3.6 Sơ đồ đóng gói L2TP trên nền IPSec 31

2.3.7.Ưu điểm và khuyết điểm của L2TP : 32

2.4 Thiết lập kết nối tunnel 32

2.4.1 Các loại giao thức 32

2.4.2 Kỹ thuật Tunneling trong mạng VPN 33

2.4.2.1 Kỹ thuật Tunneling trong mạng VPN truy cập từ xa 33

2.4.2.2 Kỹ thuật Tunneling trong mạng VPN điểm nối điểm 33

CHƯƠNG 3: TRIỂN KHAI MÔ HÌNH SITE TO SITE TRÊN TMG 2010 34

3.1 Mô hình: 34

3.2 TRIỂN KHAI CHI TIẾT MÔ HÌNH SITE TO SITE 35

Tài liệu tham khảo 53

CHƯƠNG 1:TỔNG QUAN VỀ VPN1.1 Tổng quan

1.1.1 Định nghĩa VPN:

VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( PrivatNetwork)thông qua các mạng công cộng căn bản mỗi VPN là một mạng riêng rẽ sử dụng mộtmạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) haynhiều người sử dụng từ xa Thay cho việc sử dụng kết nối thực, chuyên dùng nhưđường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từmạng riêng của các công ty tới các site hay các nhân viên từ xa

1.1.2 Lịch sử phát triển của VPN:

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn

từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quảvới các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng(WAN) Trướckia,hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng các đườngthuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin với nhau.Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây

chuyên dùng cho các khách hang lớn Colisee có thể cung cấp phương thức gọi sốchuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượng dịch vụ mà đưa racướcphí và nhiều tính năng quản lý khác

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tênriêng là mạng

được định nghĩa bằng phần mềm SDN

- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho mộtsố xí

nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần30% chi phí,

đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstracủa

Ô-xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiênở khu vục châu Á– TháiBìnhDương

- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác

đầu tư Unisource, cung cấp dịch vụ VPN

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên minh toàn cầu Worldparners, cung cấp càng loạt dịch vụ quốc tế, trong đó có dịch vụ VPN.

- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert,cung cấp dịch

vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu(GVPNS).

- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp

(French Telecom) kết thành liên minh Global One

- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN,Công nghệ này

có mặt tr ên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo…Các mạng VPN

xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại một khả năng mới,một cái nh ìn mới cho VPN Công nghệ VPN là giải pháp thông tin tối ưu cho cáccông ty, tổ chức có nhiều văn phòng, chi nhánh lựa chọn

Ngày nay, với sự phát triển công nghệ, cơ sở hạ tầng mạng IP (Internet)ngày mộthoàn thiện đã làm cho khả năng của VPN ngày một hoàn thiện.Hiện nay, VPN khôngchỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụdữ liệu, hình ảnh và các dịch vụ

đa phương tiện

- VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết nốinhiều điểm cố định với nhau thông qua một mạng công cộng như Internet Loại này cóthể dựa trên Intranet hoặc Extranet Loại dựa trên Intranet: Nếu một công ty có vài địađiểm từ xa muốn tham gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPNintranet (VPN nội bộ) để nối LAN với LAN Loại dựa trên Extranet: Khi một công ty

có mối quan hệ mật thiết với một công ty khác (ví dụ như đối tác cung cấp, kháchhàng ), họ có thể xây dựng một VPN extranet (VPN mở rộng) kết nối LAN với LAN

để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung

1.1.4 Lợi ích của VPN:

Lợi ích cho công ty:

- Mở rộng kết nối ra nhiều khu vực và cả thế giới

- Tăng cường an ninh mạng

- Giảm chi phí so với thiết lập mạng WAN truyền thống

- Giúp nhân viên làm việc từ xa, do đó giảm chi phí giao thông và tăng khả năngtương tác

- Đơn giản hoá mô hình kiến trúc mạng

- Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp trênmạng IP tích hợp được một số ưu điểm của mạng này đó là khả năng liên kết lớn,mạng lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch vụ.

Đối với nhà cung cấp dịch vụ:

- Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch vụ gia tănggiá trị khác kèm theo

- Tăng hiệu quả sử dụng mạng internet hiện tại

- Kéo theo khả năng tư vấn thiết kế mạng cho khách hàng đây là một yếu tố quantrọng tạo ra mối quan hệ gắn bó giữa nhà cung cấp dịch vụ với khách hàng đặc biệt làcác khách hàng lớn

- Đầu tư không lớn hiệu quả đem lại cao

- Mở ra lĩnh vực kinh doanh mới đối với nhà cung cấp dịchvụ Thiết bị sử dụngcho mạng VPN

1.1.5 Chức năng của VPN:

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toànvẹn(Integrity) và tính bảo mật (Confidentiality)

a)Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác

thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mongmuốn chứ không phải là một người khác

b)Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ

sự xáo trộn nào trong quá trình truyền dẫn

c)Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua

mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm như vậy, khôngmột ai có thể truy nhập thông tin mà không được phép Thậm chí nếu có lấy được thìcũng không đọc được

1.1.6 Các ưu và nhược điểm của VPN:

1.1.6.1 ưu điểm:

Mạng riêng ảo mang lại lợi ích thực sự và tức thời cho các công ty, giúp đơn giảnhoá việc trao đổi thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mởrộng Intranet đến từng văn phòng Những lợi ích trực tiếp và gián tiếp mà VPN manglại bao gồm: tiết kiệm chi phí, tính linh hoạt, khả năng mở rộng, v.v…

a)Tiết kiệm chi phí : Việc sử dụng VPN sẽ giúp các công ty giảm được chi phí

đầu tư và chi phí thường xuyên Nhiều số liệu cho thấy, giá thành cho việc kết nốiLAN-to-LAN giảm từ 20 tới 30% so với việc sử dụng đường thuê riêng truyền thống,còn đối với việc truy nhập từ xa giảm từ 60 tới 80%

b)Tính linh hoạt: Tính linh hoạt ở đây không chỉ thể hiện trong quá trình vận

hành và khai thác mà nó còn thực sự mềm dẻo đối với yêu cầu sử dụng Khách hàng

có thể sử động

c)Khả năng mở rộng: Do VPN được xây dựng dựa trên cơ sở hạ tầng mạng công

cộng nên bất cứ ở nơi nào có mạng công cộng (như Internet) đều có thể triển khaiVPN.Dễ dàng mở rộng băng thông hay gỡ bỏ VPN khi không có nhu cầu’

d)Giảm thiểu các hỗ trợ kỹ thuật: Việc chuẩn hoá trên một kiểu kết nối từ đối

tượng di động đến một POP của ISP và việc chuẩn hoá các yêu cầu về bảo mật đã làmgiảm thiểu nhu cầu về nguồn hỗ trợ kỹ thuật cho mạng VPN

e)Giảm thiểu các yêu cầu về thiết bị :Bằng việc cung cấp một giải pháp truy nhập

cho các doanh nghiệp qua đường Internet, VPN yêu cầu về thiết bị ít hơn và đơn giảnhơn nhiều so với việc bảo trì các modem riêng biệt, các card tương thích cho thiết bịđầu cuối và các máy chủ truy nhập từ xa

f)Đáp ứng các nhu cầu thương mại: Đối với các thiết bị và công nghệ viễn thông

mới thì những vấn đề cần quan tâm là chuẩn hoá, các khả năng quản trị, mở rộng vàtích hợp mạng, tính kế thừa, độ tin cậy và hiệu suất hoạt động, đặc biệt là khả năngthương mại của sản phẩm

1.1.6.2 nhược điểm:

a)Phụ thuộc nhiều vào chất lượng của mạng Internet: Sự quá tải hay tắc nghẽn

mạng làm ảnh hưởng đến chất lượng truyền thông tin

b) Thiếu các giao thức kế thừa hỗ trợ : VPN hiện nay dựa hoàn toàn trên cơ sở kỹ

thuật IP.Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes) và cácthiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày Kết quả là VPNskhông phù

hợp được với các thiết bị và giao thứcc)Vấn đề an ninh:Một mạng riêng ảo thường rẻ

và hiệu quả hơn so với giải pháp sử dụng kênh thuê riêng Tuy nhiên, nó cũng tiềm ẩnnhiều rủi ro an ninh khó lường trướcvà do đó sự an toàn sẽ không là tuyệt đối

d)Độ tin cậy và sự thực thi : VPN sử dụng phương pháp mã hoá để bảo mật dữ

liệu, và các hàm mật mã phức tạp có thể dẫn đến lưu lượng tải trên các máy chủ là khánặng

1.2.Các đạng kết nối mạng riêng ảo:

Phân loại kỹ thuật VPN dựa trên 3 yêu cầu cơ bản:

- Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thờigian nào

- Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

- Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấphay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan Dựa vàonhững yêu cầu cơ bản trên VPN được chia thành :

- Mạng VPN truy cập từ xa (Remote Access VPN)

1.2.1.2 Ưu và nhược điểm của Remote Access VPN

- Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

- Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở tốc độcao hơn so với các truy nhập khoảng cách xa

- VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì chúng

hỗ trợ mức thấp nhất của dịch vụ kết nối

b) nhược điểm:

- Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ

- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu cóthễ đi ra ngoài và bị thất thoát

- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều nàygây khó khăn cho quá trình xác nhận Thêm vào đó, việc nén dữ liệu IP và PPP-baseddiễn ra vô cùng chậm chạp và tồi tệ

- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn nhưcác gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

- Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo chất lượng dịch

vụ Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đángkể.Thêm vào đó việc nén dữ liệu IP xảy ra chậm

- Do phải truyền dữ liệu thông qua internet, nên khi trao đổi các dữ liệu lớn thì sẽrất chậm.

1.2.2 Mạng VPN cục bộ (Intranet VPN).

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khácnhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánhtrên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.Điều nàycho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phéptrong toàn bộ mạng của công ty

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mởrộng,tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưngvẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPNSite- to- Site

Intranet VPN thường được sử dụng để kết nối các văn phòng chi nhánh của tổchức vớimạng intranet trung tâm Trong hệ thống intranet không sử dụng kĩ thuật VPNthì ở mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router

Mô hình intranet sử dụng mạng trục WAN

Hệ thống có chi phí cao bởi có ít nhất là hai router cần thiết để kết nối

Sự vận hành,bảo trì và quản lý intranet yêu cầu chi phí phụ thuộc vào lưu lượngtruyền tải tin của mạng và diện tích địa lý của mạng intranet

Với sự bổ sung giải pháp VPN thì chi phí đắt đỏ của WAN backboneđược thay thếbằng chi phí thấp của kết nối internet, qua đó tổng chi phí chomạng intranet sẽ giảm xuống.Giải pháp này được mô tả như hình dưới:

Mô hình intranet xây dựng trên VPN

1.2.2.1Những ưu điểm của mạng VPN cục bộ :

- Hiệu quả chi phí hơn do giảm số lượng router được sữ dụng theo mô hình WANbackbone

- Giảm thiểu đáng kể số lượng hổ trợ yêu cầu người dùng cá nhân qua toàn cầu,các trạm ở một số remote site khác nhau

- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấpnhững kết nối mới ngang hàng

- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ,loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việcthực hiện Intranet

1.2.2.2 Các nhược điểm của mạng VPN cục bộ

- Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công Internet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of-service), vẫn còn là một mối đe doạ an toàn thông tin

cộng Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao

- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tinmulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet

- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên,

và QoS cũng không được đảm bảo

1.2.3 Mạng VPN mở rộng (Extranet VPN)

Không giống như Intranet và Remote Access-based, Extranet không hoàn toàncách li từ bên ngoài (outer-world), Extranet cho phép truy cập những tài nguyên mạngcần thiết của các đối tác kinh doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tácnhững người giữ vai trò quan trọng trong tổ chức

Mô hình mạng Extranet truyền thống.

Mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng biệt trên Intranet kết hợplại với nhau để tạo ra một Extranet Ðiều này làm cho khó triển khai và quản lý do cónhiều mạng, đồng thời cũng khó khăn cho cá nhân làm công việc bảo trì và quản trị.Thêm nữa là mạng Extranet sẽ dễ mở rộng do điều này sẽ làm rối tung toàn bộ mạngIntranet và có thể ảnh hưởng đến các kết nối bên ngoài mạng Sẽ có những vấn đề bạngặp phải bất thình lình khi kết nối một Intranet vào một mạng Extranet Triển khai vàthiết kế một mạng Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trịmạng

Mô hình Extranet VPN khắc phục những nhược điểm đó của mô hình Extranettruyền thống Sự bổ sung của VPN giúp cho nhiệm vụ cài đặt cho các mạng ngoài trởnên dễ dàng hơn và giảm chi phí Thiết lập extranet VPN được mô tả như dưới:

Mô hình Extranet xây dựng trên VPN

1.2.3.1Một số thuận lợi của Extranet :

- Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối khilựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức

- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp (ISP) nêncũng giảm chi phí bảo trì khi thuê nhân viên bảo trì

- Dễ dàng triển khai, quản lý và chỉnh sữa thông tin

1.2.3.2Một số bất lợi của Extranet :

- Sự đe dọa về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn tồn tại

- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet

- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao đổidiễn ra chậm chạp

- Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên

1.3 An toàn bảo mật của VPN trên Intrenet

1.3.1 Bảo mật trong VPN

a) Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet Bạn

có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thứcđược chuyển qua Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thểnâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành InternetCisco IOS thích hợp Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN

b) Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính

khác thì chỉ có máy đó mới giải mã được Có hai loại là mật mã riêng và mật mãchung

c) Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí

mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng Mã riêng yêu cầubạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, đểmáy tính của người nhận có thể giải mã được

d) Mật mã chung (Public-Key Encryption) kết hợp mã riêng và một mã công cộng.

Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp chobất kỳ máy nào muốn liên hệ (một cách an toàn) với nó Để giải mã một message, máytính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêngcủa nó nữa Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy(PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì

e) Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh

cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhậptoàndiện hơn

f) IPSec có hai cơ chế mã hóa là Tunnel và Transport Tunnel mã hóa tiêu đề(header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước Chỉnhững hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này Ngoà ra, tất

cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thốngphải có các thiết lập bảo mật giống nhau IPSec có thể mã hóa dữ liệu giữa nhiều thiết

bị khác nhau như router với router, firewall với router, PC với router PC với máy chủ

g) Máy chủ AAA : AAA là viết tắt của ba chữ Authentication (thẩm định quyền

truy cập) Authorization (cho phép) và Accounting (kiểm soát) Các server này đượcdùng để đảm bảo truy cập an toàn hơn Khi yêu cầu thiết lập một kết nối được gửi tới

từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra Các thông tin về những hoạđộng của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn

1.3.2 Sự an toàn và tin cậy:

Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì một

hệ thống đáng tin cậy được Thuộc tính này của một hệ thống đựơc viện dẫn như sựđáng tin cậy được

Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

- Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trong khoản thờigian.Tính sẵn sang thường đựơc thực hiện qua những

hệ thống phần cứng dự phòng

- Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiện các chứcnăng của nó trong một chu kỳ thời gian Sự tin cậy khác với tính sẵn sang , nó được

đo trong cả một chu kỳ của thời gian Nói tương ứng tới tính liên tục của một dịch vụ

- Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của nóchính xác hoặc thực hiện trong trường hợp thất bại một ứng xử không thiệt hạinào xuất hiện

- Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cảcác tài nguyên hệ thống

Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn đảm bảo an toàn ởbất kỳ thời gian nào Nó đảm bảo không một sự và chạm nào mà không cảnh báothông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh để xem xét:

- Tính bí mật

- Tính toàn vẹn

Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không thay đổitrong một ứng xử không hợp pháp trong thời gian tồn tại của nó Tính sẵn sang, sự antoàn và anh ninh là những thành phần phụ thuộc lẫn nhau Sự an ninh bảo vệ hệ thốngkhỏi những mối đe doạ và sự tấn công Nó đảm bảo một hệ thống an toàn luôn sẵnsang và đáng tin cậy

1.3.3 Hình thức an toàn

Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó

Có 3 kiểu khác nhau của sự an toàn:

• Sự an toàn vật lý

• An toàn bắt nguồn

Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe doạ vật lýbên ngoài như sự can thiệp, mất cắp thông tin, động đất và nước làm ngập lụt Tất cảnhững thông tin nhạy cảm trong những tài nguyên phần cứng của hệ thống cần sự bảo

vệ chống lại tất cả những sự bảo vệ này

An toàn thông tin: Liên quan đến tính dễ bị tổn thương trong phần mềm, phần

cứng và sự kết hợp của phần cứng và phần mềm Nó có thể được chia vào sự an toàn

và truyền thông máy tính Sự an toàn máy tính bao trùm việc bảo vệ của cácđối tượng chống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơchế điều khiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chếphần cứng, kỹ thuật mã hoá… Sự an toàn truyền thông bảo vệ đối tượng truyền

An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe doạ mà

con người lợi dụng tới một hệ thống máy tính Những mối đe doạ này có thể là hoạtđộng nhân sự Sự an toàn nhân sự bao bao trùm việc bảo vệ của những đối tượngchống lại sự tấn công từ những người dùng uỷ quyền

Mỗi người dùng của hệ thống có những đặc quyền để truy nhập những tài nguyênnhất định Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại những ngườidùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm dụng những đặcquyền của họ, cho nên sự giáo dục nhận thức rất quan trọng để nó thực sự là một cơchế bảo vệ sự an toàn hệ thống Thống kê cho thấy những người dùng uỷ quyền có tỷ

lệ đe doạ cao hơn cho một hệ thống máy tính so với từ bên ngoài tấn công Nhữngthông tin được thống kê cho thấy chỉ có 10% của tất cả các nguy hại máy tính đựơcthực hiện từ bên ngoài hệ thống, trong khi có đến 40% là bởi những người dùng trongcuộc và khoảng 50% là bởi người làm thuê

1.4 các yêu cầu cơ bản đối với một giải pháp vpn

Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo

1.4.2 Tính bảo mật

Tính bảo mật (Security): Tính bảo mật cho khách hàng là một yếu tố quan trọngnhất đối với một giải pháp VPN Người sử dụng cần được đảm bảo các dữ liệu thôngqua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống mạng dùngriêng do họ tự xây dựng và quản lý Việc cung cấp tính năng bảo đảm an toàn cần đảmbảo hai mục tiêu sau

- Cung cấp tính năng an toàn thích hợp bao gồm: cung cấp mật khẩu cho người sửdụng trong mạng và mã hoá dữ liệu khi truyề

- Đơn giản trong việc duy trì quản lý, sử dụng Đòi hỏi thuận tiện và đơn giản chongười sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệthống

1.4.3 Tính khả dụng

Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp đượctính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền.Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới cókhả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối QoS liên quanđến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên quan đến

cả hai vấn đề trên

1.4.4 Khả năng hoạt động tương tác

Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêuchuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hoá một cách toàn diện, cácnhà sản xuất thiết bị vẫn phát triển các chuẩn kỹ thuật riêng của mình Vì vậy cần chú

ý việc lựa chọn thiết nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tínhđồng bộ của thiết bị sử dụng Trên thế giới hiện có tới 60 giải pháp khác nhau liênquan đến

CHƯƠNG 2 CÁC GIAO THỨC VÀ KẾT NỐI TUNNEL

TRONG VPN

Trong VPN có 3 giao thức chính để xây dựng lên một “mạng riêng ảo” hoànchỉnh đó là:

+ IP Sec (IP Security)

+ PPTP (Point-to-Point Tunneling Protocol)

+ L2TP (Layer 2 Tunneling Protocol)

Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược điểmkhác nhau khi triển khai vào mạng VPN

2.1 Tìm hiểu giao thức IPSec(IP Security)

2.1.1 khái quát về IPSec:

IPSec là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữliệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham giaVPN.Các thiết bị này có thể là các hot hoặc là các sercurity gateway (router,firewalls,VPN concentrator, )hoặc là giữa 1 hot và gateway như trong rường hợpremote access VPNs IPSec bảo vệ đa luồng dữ liệu giữa các peers, và 1getway có thẻ

hỗ trợ đồng thời nhiều nguồn dữ liệu

IPSec hoạt đồng ở lớp mạng và sử dụng giao thức Internet Key Exchange (IKE)

để thảo thuận các giao thức giữa các bên tham gia và IPSec sẽ phát khóa mã hóa vàxác thực để dùng

IPSec cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI.IPSec được thiết kế như phần mở rộng của giao thức IP, được thực hiện thống nhấttrong cả hai phiên bản IPv4 và IPv6 Đối với IPv4, việc áp dụng IPSec là một tuỳchọn, nhưng đối với IPv6, giao thức bảo mật này được triển khai bắt buộc

2.1.2 Kiến trúc IPSec:

IPSec là một giao thức phức tạp, dựa trên nền của nhiều kỹ thuật cơ sở khác nhaunhư mật mã, xác thực, trao đổi khoá… Xét về mặt kiến trúc, IPSec được xây dựng dựatrên các thành phần cơ bản sau đây:

-Kiến trúc IPSec (RFC 2401): Quy định các cấu trúc, các khái niệm và yêu cầucủa IPSec

- Giao thức ESP (RFC 2406): Mô tả giao thức ESP, là một giao thức mật mã vàxác thực thông tin trong IPSec

- Giao thức AH (RFC 2402): Định nghĩa một giao thức khác với chức năng gầngiống ESP Như vậy khi triển khai IPSec, người sử dụng có thể chọn dùng ESP hoặc

AH, mỗi giao thức có ưu và nhược điểm riêng

- Thuật toán mật mã: Định nghĩa các thuật toán mã hoá và giải mã sử dụng trongIPSec IPSec chủ yếu dựa vào các thuật toán mã hoá đối xứng

- Thuật toán xác thực: Định nghĩa các thuật toán xác thực thông tin sử dụng trong

- Xét về mặt ứng dụng, IPSec thực chất là một giao thức hoạt động song song với

IP nhằm cung cấp 2 chức năng cơ bản mà IP nguyên thuỷ chưa có, đó là mã hoá và

xác thực gói dữ liệu Một cách khái quát có thể xem IPSec là một tổ hợp gồm haithành phần:

+ Giao thức đóng gói, gồm AH và ESP

+ Giao thức trao đổi khoá IKE (Internet Key Exchange)

2.1.3 Các dịch vụ của IPSec:

- Quản lý truy xuất (access control)

- Toàn vẹn dữ liệu ở chế độ không kết nối (connectionless integrity)

- Xác thực nguồn gốc dữ liệu (data origin authentication )

- Chống phát lại (anti-replay)

- Mã hoá dữ liệu (encryption)

- Bảo mật dòng lưu lượng (traffic flow confidentiality)

2.1.4 Ưu khuyết điểm của IPSec:

- IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứngdụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùngphải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet

b Hạn chế:

- Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào cáctiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống.Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các

kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa

- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ cácdạng lưu lượng khác

- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khóđối với các trạm làm việc và máy PC năng lực yếu

- Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối vớichính phủ một số quốc gia

2.1.5 Các chế độ hoạt động của IPSec:

2.1.5.1 Transport Mode (chế độ vận chuyển)

- Transport mode cung cấp cơ chế bảo vệ cho dữ liệu của các lớp cao hơn (TCP,UDP hoặc ICMP) Trong Transport mode, phần IPSec header được chèn vào giữaphần IP header và phần header của giao thức tầng trên, như hình mô tả bên dưới, AH

và ESP sẽ được đặt sau IP header nguyên thủy Vì vậy chỉ có tải (IP payload) là được

mã hóa và IP header ban đầu là được giữ nguyên vẹn Transport mode có thể đượcdùng khi cả hai host hỗ trợ IPSec Chế độ transport này có thuận lợi là chỉ thêm vàovài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địachỉ đích cuối cùng của gói Khả năng này cho phép các tác vụ xử lý đặc biệt trên cácmạng trung gian dựa trên các thông tin trong IP header Tuy nhiên các thông tin Layer

4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói

Trong chế độ đường hầm, các gói tin IP gốc được đóng gói trong một gói IP, vàmột tiêu đề IPSec(AH hoặc ESP) được chèn vào giữa các tiêu đề bên ngoài và bêntrong Bởi vì điều này đóng gói với một gói tin IP ‘bên ngoài’, chế độ chế đọ đườnghầm có thể sử đụng để cung cấp dịch vụ an ninh giữa các trang wed thay mặt cho cácnút IP đằng sau các bộ định tuyến cổng giao tiếp với mỗi trang wed Ngoài ra, chế độnày có thể sử dụng cho các kịch bản telecommuter kết nối từ một máy chủ kết thúc vớimột cửa ngõ IPSec tại một trang wed.Hình dưới cho thấy một gói tin IP được bảo vệbởi IPSec trong chế độ đường hầm.

Trong AH Tunnel mode, phần đầu mới (AH) được chèn vào giữa phần headermớivà phần header nguyên bản, như hình bên dưới

ESP Tunnel mode

2.2 Giao thức Point-to-Point Tunneling Protocol(PPTP)

2.2.1 khái quát về PPTP:

PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa remote client

và enterprise server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trunggian Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend

Communications, 3COM, US Robotics, và ECI Telematics), PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn PPTP không những tạo điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn qua mạng riêng intranet

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm chonhững kết nối từ xa Giao thức PPTP là sự mở rộng của giao thức PPP cơ bản chonên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà nó chỉ hỗ trợkết nối từ điểm tới điểm

PPTP chỉ hỗ trợ IP, IPX, NetBIOS, NetBEUI, PPTP không làm thay đổi PPP mà

nó chỉ là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thôngPPP

2.2.2 Vai trò của PPP trong giao dịch PPTP

PPTP là phần mở rộng của PPP, nó không thay đổi công nghệ PPP Nó chỉ địnhnghĩa một phương pháp mới trong việc vận chuyển lưu lượng VPN thông qua mộtmạng chung không an toàn Khá giống PPP, PPTP cũng không hổ trợ đa kết nối, tất cảcác kết nối PPTP đều ở dạng điểm-điểm PPP thực hiện một số chức năng giao dịchdựa trên PPP :

• Thiết lặp và kết thúc các kết nối vật lý giữa 2 đầu cuối thông tin

three responsibilities of PPP in a PPTP transaction.

2.2.3 Các thành phần của quá trình giao dịch PPTP

B t k quá trình giao d ch nào d a trên PPTP tri n khai ít nh t 3 thành ph n, các thành ph n

Không giống những yêu cầu cho các phiên kết nối VPN từ xa, yêu cầu cho mộtphiên VPN đến một mạng cục bộ không yêu cầu một kết nối đến ISP’s NAS Cả client

và server đều đã được kết nối về mặt vật lý, việc tạo ra một kết nối đến ISP’s NAS làkhông cần thiết Client, trong trường hợp này, chỉ yêu cầu các phiên kết nối quay sốbằng thiết bị VPN trên server

Khi các gói dữ liệu yêu cầu định tuyến cho một yêu cầu từ xa và một yêu cầu kếtnối cục bộ khác nhau, gói dữ liệu được gắn kèm với 2 yêu cầu được xử lý khác nhau

Gói dữ liệu PPTP đến một server cục bộ mà được đặt trên thiế bị vật lý trung gian gắnkèm card mạng của PPTP client Ngược lại, gói dữ liệu PPTP đến remote server đượcđịnh tuyến thông qua phương tiện truyền thông vật lý được gắn kèm trong thiết bịthông tin, chẳng hạn như router

2.2.3.2 PPTP Servers

PPTP Servers là những nút mạng hổ trợ PPTP và có khả năng duy trì cá cyêu cầu cho các phiên VPN từ những nút khác (từ xa hoặc nội bộ) Để đáp lại nhữngyêu cầu từ xa, những server phải hổ trợ khả năng định tuyến

2.2.3.3 PPTP Network Access Servers (NASs)

PPTP NASs được đặt tại nhà cung cấp dịch vụ ISP và cung cấp kết nối Internetđến các client sử dụng PPP để quay số Khả năng có nhiều client đồng thời đưa ra yêucầu phiên một VPN là rất cao, những server phải có khả năng hổ trợ đồng thời nhiềuclient Hơn nữa, PPTP client không bị hạn chế với các hệ điều hành không phải củaMicrosoft Do đó, PPTP NASs có khả năng xữ lý dùng nhiều hệ điều hành khác nhaunhư Microsoft's Windows, Unix, và Apple's

2.2.4.Quá trình xữ lý PPTP

PPTP tận dụng 3 quá trình xữ lý để bảo đảm cho thông tin liên lạc PPTP thôngqua môi trường không an toàn Những quá trình đó là :

• Quá trình thiết lặp kết nối PPP

• Điều khiển kết nối

• PPTP tunneling và trao đổi dữ liệu

2.2.4.1 Điều khiển kết nối PPTP

Sau khi kết nối PPP giữa PPTP client và server được thiết lặp, quá trình điềukhiển PPTP bắt đầu Như hình 5-7, PPTP connection control được thiết lặp dựa trên cơ

sở địa chỉ IP của client và server, sử dụng cổng TCP động và chiếm giữ cổng TCP

1723 Sau khi quá trình điều khiển kết nối được thiết lặp, các thông tin điều khiển vàquản lý sẽ được trao đổi giữa các bên có liên quan trong quá trình giao tiếp Nhữngthông tin đảm nhiệm vai trò bảo trì, quản lý và kết thúc PPP tunnel Những thông điệpnày là những thông điệp có định kỳ bao gồm "PPTP-Echo-Request, PPTP-Echo-Reply" dùng để giúp đỡ trong việc dò tìm các kết nối PPTP hư hỏng giữa server vàclient

Trao đổi các thông điệp điều khiển PPTP trên một kết nối PPP

2.2.4.2 Quá trình tạo đường hầm dữ liệu và xữ lý PPTP.

Một gói dữ liệu PPTP phải trãi qua nhiều giai đoạn đóng gói, bao gồm những giaiđoạn sau:

1 Quá trình đóng gói dữ liệu Thông tin nguyên bản (tối đa) được mã hóa vàđược đóng gói bên trong một PPP frame Một PPP header được thêm vào frame

2 Quá trình đóng gói các PPP frame Tổng hợp các PPP frame sau đó đóng góibên trong một Generic Routing Encapsulation (GRE) đã được sửa đổi GRE headerchứa trường 4-byte Acknowledgement và một bit Acknowledgement hồi đáp Ngoài

ra, trường khóa trong GRE frame được thay thế bằng trường 2 byte long gọi chiều dàitối đa và 2 byte long được xem là ID PPTP client xây dựng những trường này khi nótạo ra PPTP tuunel

3 Quá trình đóng gói GRE Kết tếp, một IP header đã được đóng gói bên tronggói GRE được thêm vào PPP frame Phần IP header này chứa dựng địa chỉ IP nguồncủa PPTP client và đích của server

4 Quá trình đóng gói tầng Data Link PPTP là một giao thức tạo đường hầm nằm

ở tầng 2 Vì vậy, phần header của Data Link và phần đuôi giữ vai trò quan trọng trongviệc tạo đường hầm cho dữ liệu Trước khi được đặt vào môi trường truyền thông, tầngData Link thêm phần đầu và đuôi của nó vào gói dữ liệu Nếu gói dữ liệu được truyềnqua PPTP tunnel cục bộ, gói dữ liệu được đóng gói bằng phần đầu và đuôi theo côngnghệ LAN (như Ethernet) Ơû một khía cạnh khác, nếu tunnel được đáp lại thông quamột kết nối WAN, phần đầu và đuôi mà được thêm vào gói dữ liệu một lần nữa thìkhông thay đổi

Quá trình hình thành dữ liệu đường hầm PPTP

• Trích lọc Packet

Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kết hợp với firewall và router

2.2.5.1 Mã hóa và nén dữ liệu PPTP

PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu Thay vì nó dùng dịch vụ

mã hóa được đưa ra bởi PPP PPP lần lượt dùng Microsoft Point-to-Point Encryption(MPPE), đây là phương pháp mã hóa shared secret

Phương pháp shared secret thường dùng cho mục đích mã hóa trong trường hợpPPP là ID của người dùng và nó tương ứng với mật khẩu 40-bit session key thườngdùng để mã hóa user ID và mật khẩu xuất phát từ thuật toán hàm băm được chứa trên

cả client và server Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4.khóa này được dùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel Tuy nhiên, 40-bit key thì quá ngắn và quá yếu kém đối với các kỹ thuật hack ngày nay Vì thế, phiênbản 128-bit key đã ra đời Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải đượclàm tươi sau 256 gói packet

2.2.5.2 PPTP Data Authentication

PPTP hổ trợ một số chơ chế xác nhận cơ bản của Microsoft sau :

- CHAP (Microsoft Challenge Handshake Authentication Protocol) CHAP là một phiên bản tùy biến của Microsoft của CHAP, và được dùng làm phươngpháp xác nhận cơ bản cho PPP Bởi vì nó tương đối mạnh như CHAP, chức năng củaMS-CHAP thì hoàn toàn tương tự CHAP Hai điểm khác nhau chính giữa hai cơ chế làCHAP dựa trên thuất toán hàm băm RSA MD5, MS-CHAP thì dựa trên RSA RC4 vàDES Vì lý do thực tế MS-CHAP đã được phát triển đơn độc cho các sản phẩm củaMicrosoft (Windows 9x và một số phiên bản Windows NT), nó không được hổ trợ bởicác nền tảng khác

- PAP (Password Authentication Protocol) PAP thì đơn giản và thường đượctriển khai nhiều nhất trong giao thức xác nhận quay số Nó cũng được dùng để xácnhận các kết nối PPP Tuy nhiên, nó gửi user ID và mật khẩu trong một định dạngchưa mã hóa thông qua kết nối Một kẻ hở khác của PAP là chỉ xác nhận một lần điểmthông tin cuối o giai đoạn thiết lặp kết nối Vì lí do đó, nếu một hacker xâm nhập vàokết nối được một lần, anh hoặc cô ta sẽ không phải lo lắng gì thêm nữa về xác nhận.Chính vì lí do đó, PAP được xem là một giao thức xác nhận kém nhất và vì thế nókhông được ưa thích trong cơ chế xác nhận của VPN

2.2.5.3 Điều khiển truy cập PPTP

Sau khi PPTP client từ xa được xác nhận thành công, nó sẽ truy cập vào tàinguyên mạng đã bị giới hạn vì lí do bảo mật Để đạt được mục tiêu này, có thể triểnkhai một số cơ chế điều khiển truy cập sau :

• Access rights

• Permissions

• Workgroups

2.2.5.4 Trích lọc các gói dữ liệu PPTP