Đồ án VPN (Virtual Private Network)

đồ án tốt nghiệp VPN (Virtual Private Network), đồ án vpn mạng riêng ảo VPN (Virtual Private Network),đồ án công nghệ VPN (Virtual Private Network),đồ án mạng riêng ảo VPN (Virtual Private Network),đồ án tốt nghiệp mạng VPN (Virtual Private Network),đồ án về mạng riêng ảoVPN (Virtual Private Network),Tìm hiểu mạng ảo VPN (Virtual Private Network)

LỜI CẢM TẠ

Qua những tháng ngày chúng em học tập dưới mái trường thân yêu, những điều bổ ích mà thầy cô đã tận tình giảng dạy chúng em Từ những kiến thức đó, chúng em đã đúc kết ra được những hiểu biết vô cùng quý giá và từ những bài học ấy chúng em đã làm ra đồ án này Tuy đồ án có rất nhiều thiếu xót , và cũng có những điều chúng em chưa hiểu được, mong quý thầy cô giúp chúng em cải thiện lại những điều chúng em còn đang vướng mắc, để hoàn thiện tốt hơn đồ án cơ sở này Qua những lời tâm tình này, chúng em xin cảm ơn đến quý thầy cô và đặc biệt xin gửi lời cảm ơn nhất đến thầy Văn Thiên Hoàng, thầy đã có rất nhiều công sức hướng dẫn đồ án này, đã luôn lắng nghe những gì chúng em trình bày và đã chỉ bảo tường tận cho chúng em.

Xin chân thành cảm ơn Quý thầy cô!

MỤC LỤC

CHƯƠNG 1: TÌM HIỂU TỔNG QUAN ĐỒ ÁN

1.1 Giới thiệu nguồn gốc đồ án 5

1.2 Nhiệm vụ đồ án 5

1.3 Tóm tắt đồ án 5

CHƯƠNG 2: NGHIÊN CỨU VPN CƠ SỞ LÝ THUYẾT 2.1 Định nghĩa VPN là gì? 7

2.2 Các dạng kết nối VPN 9

2.3 Những thành phần VPN 9

2.4 Vai trò và cơ chế hoạt động 10

2.4.1 VPN Server 10

2.4.1.1 Vai trò của VPN Server 10

2.4.1.2Các chức năng chính VPN Server 10

2.4.1.3Cơ chế hoạt động của VPN 11

2.4.2 VPN client (Mạng riêng ảo cho máy khách) 11

2.4.2.1VaitròVPNclient 11

2.4.2.2CơchếhoạtđộngVPNclient 12

2.4.3 Tunnel (Đường hầm) 12

2.4.4 Kết nối VPN 12

2.4.5 Đường hầm giao thức 12

2.4.6 Đường hầm dữ liệu 12

2.4.7 Transit liên mạng 13

CHƯƠNG 3: CÁC GIAO THỨC HOẠT ĐỘNG VPN 3.1 Giao thức đường hầm điểm – điểm PPTP 14

3.1.1 Các thành phần của PPTP 15

3.1.2 Áp dụng các thực tế PPTP 16

3.2 Giao thức lớp 2-L2F(Layer 2 Forwarding) 17

3.2.1 Các thành phần & hoạt động L2F 17

3.2.2 Quản lý L2F 18

3.3 Giao thức định hướng L2TP 19

3.3.1 Các thành phần của L2TP 19

3.3.2 Áp dụng trong thực tế của L2TP 20

3.3.3 Giao thức đường hầm lớp 2-L2TP 21

3.4 Giao thức bảo mật IP-IPSEC 22

3.4.1Khung giao thức IPSec 23

3.4.1.1 Giao thức AH 24

3.4.1.2 Giao thức ESP 25

3.4.1.3 Hoạt động của AH&ESP 27

3.4.2 Hoạt động của IPSec 29

3.4.3 Hạn chế trong IPSec 36

3.5 SSL VPNs(Sercure Sockets Layer) 36

3.5.1Giới thiệu về SSL trong VPN 36

3.5.2 Chức năng của SSL 37

3.6 GRE(Generic Routing Encapsulation) 38

3.6.1 Giới thiệu GRE 38

3.6.2 Cơ chế hoạt động của GRE 39

3.6.3 GRE over IPSec 40

3.6.3.1 Cơ chế hoạt động GRE over IPSec 40

3.7 Giao thức L2TPv3 40

3.7.1 Tổng quan L2TPv3 40

3.7.2 L2TPv3 cung cấp những gì? 41

3.7.3 Hoạt động L2TPv3 42

3.7.3.1 Mô tả L2TPv3 43

3.7.3.2 Đóng gói, gói tin với L2TPv3 43

3.7.4 Hỗ trợ nguyên chế độ 44

3.7.5 Hỗ trợ Frame Relay 45

3.7.6 Frame Relay subinterfac hạn chế 46

3.7.8EthernethỗtrợL2TPv3 47

3.7.9 VLAN ID Rewrite L2TPv3 Egress Tunnel VLAN 48

3.7.9.1 Hành động trên Router đóng gói 49

3.7.9.2 Hoạt động trên Router Decapsulation Tunnel 49

3.8 Hạn chế 49

CHƯƠNG 4: TRIỄN KHAI THỰC NGHIỆM MÔ HÌNH VPN

Chữ viết tắt

STT Chữ viết Ỹ nghĩa

1 VPN Virtual Private Network

2 VPN Server Virtual Private Network Server

3 VPN client Virtual Private Network Client

4 PPTP Point-to-Point Tunneling Protocol

8 AH , ESP Extrasensory perception

9 SSL Secure Sockets layer

10 GRE Generic Routing Encapsulation

11 L2TPv3 Tunneling Protocol phiên bản 3

CHƯƠNG 1: TÌM HIỂU TỔNG QUAN ĐỒ ÁN

1.1 Giới thiệu nguồn gốc đồ án

Thời đại trước, thông tin được truy cập từ xa trên máy tính được thực hiện là nhờkết nối quay số Các kết nối làm việc trên đường điện thoại có tốc độ khoảng 56kbps.Tốc độ là vấn đề cần phải được giải quyết , tuy nhiên một vấn đề lớn hơn là chi phícho các kết nối với khoảng cách dài cần có cho việc truy cập

Với sự phát triễn không ngừng của công nghệ thông tin, các tài liệu, thông tin đượctrao đổi một cách với nhau một cách nhanh chóng, nhưng đối với những thông tin, tàiliệu quan trọng chỉ cho 1 nhóm người hay thành viên , nhân viên trong một tổ chức,một công ty, một doanh nghiệp thì sao ? Những thông tin này có bị rơi vào tay củanhững kẻ trộm công nghệ hay không Họ dùng tài liệu này vào những việc xấu, haybán cho một công ty khác để làm ra một sản phẩm được trộm lấy, mà bản quyền khôngphải của họ, làm tổn thất ngân sách cho các công ty bị mất cắp Vấn đề này , khiến chocác công ty, doanh nghiệp phải nhức đầu về việc bảo mật mạng cục bộ (LAN) củachính công ty họ

Mạng riêng ảo Virtual Private Network( VPN) là giải pháp cung cấp một mô hìnhmạng diện rộng Wide Area Network( WAN) an toàn cho các tổ chức hiện nay Cácdoanh nghiệp có thể kết nối các chi nhánh với nhau thông qua mạng Internet côngcộng mà vẫn giữ được yêu cầu về bảo mật Hơn thế nữa , VPN còn giảm thiểu chi phícho những liên kết từ xa từ vì địa bàn rộng (trên toàn quốc hay toàn cầu)

Qua những gì chúng em hiểu biết được sự lo lắng băn khoăn, an toàn bảo mật khitrao đổi thông tin giữa các tổ chức, cá nhân Với sự hướng dẫn, giúp đỡ của thầy cô,chúng em chọn đồ án cơ sở này, để nghiên cứu các thành phần , vai trò, các hoạt độngtừng thành phần, và các chi tiết giao thức trong mỗi hoạt động thành phần đó để xâydựng một mạng riêng ảo VPN.Ứng dụng và triễn khai cài đặt trên các hệ thống mạng

1.2 Nhiệm vụ đồ án.

Là tìm hiểu định nghĩa VPN, các thành phần mạng VPN Vai trò và cơ chế hoạtđộng của từng thành phần Các giao thức trong mọi hoạt động VPN, chi tiết từng giaothức Tìm hiểu một VPN Server, các quy trình sử dụng nó Các giao thức áp dụng khitriễn khai VPN Mô hình thực nghiệm minh hoạ Và tìm hiểu đầy đủ giao thứcL2TPv3

1.3 Tóm tắt đồ án.

Gồm có 4 chương:

Chương 1:Tổng quan đồ án

Giới thiệu , nhiệm vụ , và cấu trúc đồ án

Chương 2:Cơ sở lý thuyết

Chương này giúp hiểu VPN là gì, các thành phần và giao thức kết nối, ưu điểm vàkhuyết điểm mà VPN mang lại

Chương 3: Triễn khai mô hình thực nghiệm

Sau những cơ sở lý thuyết xây dựng một mô hình rõ ràng hơn, giúp dễ hiểu hơnqua những minh hoạ demo Đây là trọng tâm của đồ án dựa trên mô hình mạngWAN qua VPN

Chương 4 : Kết luận và kiến nghị về VPN

Các bước triễn khai và quá trình xây dựng đạt được và không làm được

CHƯƠNG 2: NGHIÊN CỨU VPN CƠ SỞ LÝ THUYẾT2.1 Định nghĩa VPN là gì?

VPN được viết tắt bởi (Virtual Private Network) là một mạng riêng ảo, đáp ứngnhu cầu truy cập từ xa vào mạng nội bộ văn phòng chính để trao đổi dữ liệu hay sửdụng ứng dụng ngày càng phổ biến đã thúc đẩy sự phát triển của VPN Tuy nhiên vì lý

do mạng Internet là một mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất

kì ở đâu và bất kì thời gian nào nên xuất hiện nhiều nguy cơ thông tin trao đổi có thể

bị truy cập trái phép Mục đích đầu tiên của VPN là đáp ứng các yêu cầu bảo mật, khảnăng truyền tải thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý

Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF),VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ vàcông cộng như mạng Internet hay IP backbones riêng

Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạngcông cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầucuối Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical

"tunnels") Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như làgiao thức thông tin point-to-point

Hình 2.1.1 Mô hình mạng VPN

Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường làInternet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ

xa Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi VPN

sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tớicác site hay các nhân viên từ xa

Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính antoàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền tạo ra mộtđường ống bảo mật (Tunnel) giữa nơi nhận và nơi gửi giống như một kết nối point-to-point trên mạng riêng

Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hoá hay có cơchế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi chophép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng Dữ liệuđược mã hoá một cách cẩn thận do đó nếu các gói packet bị bắt lại trên đường truyềncông cộng cũng không thể đọc được nội dùng vì không có khoá (key ) để giải mã

Hình 2.1.2 VPN và mô hình OSILiên kết với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN Một mạngVPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạngLAN khác tại những văn phòng từ xa, các điểm kết nối (như 'Văn phòng' tại gia) hoặcngười sử dụng (Nhân viên di động) truy cập đến từ bên ngoài Các đường kết nối VPNthường được gọi là đường ống VPN (Tunnel VPN)

Hình 2.1.3- Mô hình mạng VPN

2.2 Các dạng kết nối VPN

Phân loại kỹ thuật dựa trên 3 yêu cầu cơ bản:

 Người sử dụng ở xa có thể truy cập vào tài nguyên mạng đoàn thể bất kỳ thời giannào

 Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau

 Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung cấphay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan Dựa vàonhững yêu cầu cơ bản trên VPN được chia thành :

- Mạng VPN truy cập từ xa (Remote Access VPN)

- Mạng VPN cục bộ (Intranet VPN)

- Mạng VPN mở rộng (Extranet VPN)

2.3 Những thành phần của VPN

-VPN server (Mạng riêng ảo Máy chủ)

Một máy tính chấp nhận các kết nối VPN từ máy khách VPN

-VPN client (Mạng riêng ảo cho máy khách)

Một máy tính để khởi tạo một kết nối VPN đến một máy chủ VPN server Một khách.hàng VPN client có thể là một máy tính cá nhân hoặc một router

Hình 2.3.1 Các thành phần VPN

2.4 Vai trò và cơ chế hoạt động của từng thành phần

2.4.1 VPN server (Mạng riêng ảo Máy chủ):

2.4.1.1 Vai trò của VPN server:

VPN servers là các thiết bị mạng chuyên dụng chạy phần mềm server Phụ thuộcvào các yêu cầu của tổ chức, có thể có một hay nhiều VPN server Bởi vì một serverVPN phải cung cấp các dịch vụ cho các khách hàng VPN ở xa cũng như ở địa phương,chúng luôn sẵn sàng và sẵn sàng chấp nhận các yêu cầu

Hình 2.4.1.1 VPN Server

2.4.1.2 Các chức năng chính VPN Server:

Chức năng chính của các VPN server bao gồm các nhiệm vụ sau:

- Lắng nghe các yêu cầu kết nối cho VPN

- Dàn xếp các yêu cầu và thông số kết nối, như là kỹ thuật mật mã và kỹ thuật xácnhận.

2.4.1.3 Cơ chế hoạt động của VPN

VPN Severs có thể hỗ trợ hai hay nhiều card mạng Một hay nhiều card được sửdụng để kết nối chung vào mạng nội bộ của tổ chức, trong khi các card mạng khácthường được sử dụng để kết nối chúng vào internet Trong trường hợp sau cùng, VPNservers giống như VPN gateway hay router

Hình 2.4.1.3: Card mạng Ip VPN.

Lưu ý: Một VPN Server có thể hoạt động như một gateway hay một router, nếu sốlượng yêu cầu hoặc số người sử dụng thấp ( cho tới 20) Nếu VPN server phải hỗ trợmột lượng lớn các users và hoạt động như là một router hoặc một gateway, gánh nặngcủa đường hầm, mã hóa, xác nhận, tường lửa và định tuyến sẽ làm cho server chạychậm, kéo theo hiệu suất của toàn hệ thống giảm Thêm vào đó, rất khó để bảo vệthông tin được lưu trữ trên server Vì thế VPN Sever phải thật chuyên nghiệp để chỉphục vụ khách VPN và các yêu cầu

2.4.2 VPN client (Mạng riêng ảo cho máy khách)

2.4.2.1 Vai trò VPN client.

VPN Clients là các máy cục bộ hay ở xa khởi tạo một kết nối VPN với VPN Server

và vào mạng từ xa sau khi chúng đã được xác nhận đầu cuối của mạng từ xa Chỉ saukhi đăng nhập thành công VPN server và client có thể giao tiếp với nhau Tổng quát,

một VPN Client là một phần mềm Tuy nhiên nó cũng có thể là phần cứng chuyêndụng Một router phần cứng VPN với khả năng định tuyến cuộc gọi theo yêu cầu, cái

mà quay số tới router phần cứng VPN khác, là một ví dụ của thiết bị phần cứngchuyên dụng

2.4.2.2Cơ chế hoạt động VPN client:

Với sự gia tăng lực lượng lao động của một tổ chức, rất nhiều người dùng (VPNclients) có các dữ liệu không đồng bộ Các người dùng này có thể sử dụng VPN đểtrao đổi một cách an toàn tới mạng nội bộ của tổ chức

• Các mô tả tiêu biểu của một VPN client bao gồm các phần sau :

Các người giao tiếp từ xa sử dụng Internet hoặc mạng công cộng để kết nối nguồn tàinguyên củatổ chức từ nhà

• Những người sử dụng laptops, palmyops và notebooks, những người mà sửdụng mạng công cộng để kết nối với mạng nội bộ của tổ chức để truy cập mail và cáctài nguyên nội bộ khác

• Các nhà quản trị từ xa, những người sử dụng mạng công cộng trung gian, như

là internet, để kết nối với các nơi ở xa để quản lý giám sát, khắc phục sự cố, hoặc cấuhình các dịch vụ và thiết bị

Lưu ý: Nó có thể tạo ra một đường hầm và gửi dữ liệu thông qua các đường hầm mà

không cần mã hóa Đây không phải là một kết nối VPN bởi vì các dữ liệu cá nhânđược gửi qua một mạng chia sẻ hoặc của cộng đồng trong một hình thức không được

mã hóa và dễ dàng có thể đọc được

2.4.5 Đường hầm giao thức

Giao thức được sử dụng để quản lý các đường hầm và đóng gói dữ liệu cá nhân

Dữ liệu là đường hầm cũng phải được mã hóa là một kết nối VPN Windows Server

2003 gia đình bao gồm PPTP và L2TP giao thức đường hầm Để biết thêm thông tin,xem Point-to-Point Tunneling Protocol , giao thức Layer Two Tunneling

2.4.6 Đường hầm dữ liệu

Dữ liệu thường được gửi qua một liên kết điểm-điểm tin

• Trên Windows Server 2003, Web Edition, và Windows Server 2003, StandardEdition, bạn có thể tạo ra lên đến 1.000 Point-to-Point Tunneling Protocol(PPTP) cổng, và bạn có thể tạo tối đa đến 1.000 lớp Two Tunneling Protocol(L2TP) cổng Tuy nhiên, Windows Server 2003, Web Edition, có thể chấp nhậnchỉ có một mạng riêng ảo (VPN) kết nối tại một thời điểm Windows Server

2003, Standard Edition, có thể chấp nhận lên đến 1.000 đồng thời kết nối VPN.Nếu 1000 khách hàng VPN được kết nối, cố gắng kết nối tiếp tục bị từ chối chođến khi số lượng kết nối giảm xuống dưới 1.000

CHƯƠNG 3: CÁC GIAO THỨC HOẠT ĐỘNG VPN3.1 Giao thức đường hầm điểm-điểm PPTP ( Point-to-Point Tunneling Protocol )

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm chonhững kết nối từ xa Giao thức PPTP là sự mở rộng của giao thức PPP cơ bản cho nêngiao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà nó chỉ hỗ trợ kếtnối từ điểm tới điểm, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảomật thông qua Internet đến site đích

Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập

từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở

xa (client) và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụInternet là có thể tạo đường hầm bảo mật tới mạng riêng của họ

PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic RoutingEncapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phépPPTP linh hoạt xử lý các giao thức khác không phải IP như: IPX, NetBEUI,NetBIOS

Áp dụng trong thực tế của L2TP

- Mô hình PPTP

Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực PPTP cóthể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá

khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- PointEncryption) để sử dụng cho PPTP.

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữliệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI Bằng cách hỗ trợ việc truyền dữliệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IPtrong khi IPSec chỉ có thể truyền các gói IP trong đường hầm

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP Lọcgói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào Internet ,mạng riêng hay cả hai

Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như máy chủPPTP nằm sau tường lửa PPTP được thiết kế sau cho chỉ có một cổng TCP/IP (1723)được sử dụng để chuyển dữ liệu đi Sự khiếm khuyết của cấu hình cổng này có thể làm

cho tường lửa dễ bị tấn công hơn Nếu như tường lửa được cấu hình để lọc gói thì phảithiết lập nó cho phép GRE đi qua.

Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng tương

tự máy chủ PPTP được gọi là chuyển mạch đường hầm Mục đích của chuyển mạchđường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rộng đườnghầm từ mạng của ISP đến mạng riêng Chuyển mạch đường hầm có thể được sử dụngtại tường lửa làm tăng khả năng quản lý truy cập từ xa vào tài nguyên của mạng nội

bộ, nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP hoặc tên củangười dùng từ xa

Phần mềm client PPTP

Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phầnmềm nào cho các client, chỉ cần một kết nối PPP chuẩn Nếu như các thiết bị của ISPkhông hỗ trợ PPTP thì một client Windows (hoặc phần mềm tương tự) vẫn có thể tạokết nối bảo mật bằng cách: đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay sốmột lần nữa thông qua cổng PPTP ảo được thiết lập ở client

Client PPTP đã có sẵn ở Win 9x và các hệ điều hành sau này Khi chọn clientPPTP cần phải so sánh các chức năng của nó với máy chủ PPTP đã có Không phải tất

cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu công cụ này thì khôngthể tận dụng được ưu điểm mã hoá trong RRAS

Máy chủ truy cập mạng NAS

Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa(Remote Access Server) hay bộ tập trung truy cập (Access Concentrator) NAS cungcấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tính cước và cókhả năng chịu đựng lỗi tại ISP POP NAS của ISP được thiết kế cho phép một sốlượng lớn người dùng có thể quay số truy cập vào cùng một lúc

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP, để

hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh Trongtruờng hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máy chủPPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm, điểmkết thúc còn lại là máy chủ tại đầu mạng riêng

3.1.2 Áp dụng thực tế PPTP

PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế hoạch thaythế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá PPTP thích hợp cho

quay số truy cập với số lượng người dung giới hạn hơn là cho VPN kết nối LAN–LAN Một vấn đề của PPTP là xử lý xác thực quyền người dùng thông qua Windowshay thông qua RADIUS Máy chủ PPTP cũng quá tải với một số lượng người dùngquay số truy cập hay một lưu lượng lớn dữ liệu truyền qua, mà điều này là một yêu cầucủa kết nối LAN – LAN Khi sử dụng VPN PPTP mà có hỗ trợ thiết bị của ISP thì một

số quyền quản lý phải chia sẻ cho ISP Tính bảo mật của PPTP không mạnh bằngIPSec Tuy nhiên, quản lý bảo mật trong PPTP lại đơn giản hơn

3.2 Giao thức định hướng lớp 2 - L2F ( Layer 2 Forwarding )

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựatrên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay

số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộngnhư Internet L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống

để cho những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bịtruy cập từ xa

L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữliệu

3.2.1 Các thành phần & hoạt động của L2F

L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyềnxuyên qua một mạng

Hình 3.2.1 - Mô hình đặc trưng L2F

L2F sử dụng các thiết bị:

NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và gateway

home Hệ thống ERX hoạt động như NAS

Tunnel: Định hướng đường đi giữa NAS và home gateway Một đường hầm gồm

một số kết nối

Home gateway: Ngang hàng với NAS.

Kết nối (connection): Là một kết nối PPP trong đường hầm Trong CLI, một kết

nối L2F được xem như là một phiên

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm Trong

trường hợp này thì Home gateway là điểm đích

Hoạt động L2F bao gồm các tiến trình: thiết lập kết nối, đường hầm và phiên làmviệc

Ví dụ minh hoạ hoạt động của L2F:

 Một người sử dụng ở xa quay số tới hệ thống NAS và bắt đầu một kết nối PPP tớiISP

 Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP(Link Control Protocol)

 NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên miền (domain name) hay xácthực RADIUS để kiểm tra xem có hay không có user yêu cầu dịch vụ L2F

 Nếu user yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gatewayđích (home gateway)

 Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa cóđường hầm nào Sự thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tớigateway đích để chống lại tấn công bởi những kẻ thứ ba

 Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo dàiphiên PPP từ user ở xa tới home gateway Kết nối này được thiết lập như sau: Homegateway tiếp nhận các lựa chọn và tất cả thông tin xác thực PAP/CHAP, như đã thoảthuận bởi thiết bị đầu cuối của user và NAS Home gateway chấp nhận kết nối hoặcthoả thuận lại LCP và xác thực lại user

 Khi NAS tiếp nhận lưu lượng dữ liệu từ user, nó lấy gói và đóng gói lưu lượngvào trong một khung L2F và hướng nó vào trong đường hầm

 Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tớimạng công ty

3.2.2 Quản lý L2F

Khi hệ thống đã thiết lập những điểm đích, những đường hầm tunnel, và nhữngphiên kết nối ta phải điều khiển và quản lý lưu lượng L2F như sau:

 Ngăn cản tạo những điểm đích, những đường hầm tunnel, những phiên mới

 Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường hầm tunnel,những phiên

 Có khả năng kiểm tra tổng UDP

 Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào những đường hầm

và những kết nối

Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiên tớiđiểm đích đó; Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các phiên trongđường hầm đó

3.3 Giao thức định hướng L2TP

3.3.1 Các thành phần của L2TP

Bởi vì chức năng chính của L2TP là quay số truy cập VPN thông qua Internet nêncác thành phần của L2TP bao gồm: bộ tập trung truy cập mạng, máy chủ L2TP, và cácL2TP client Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc mộtđường hầm, LAC và LNS LNS có thể cài đặt ngay tại công ty và điều hành bởi mộtnhóm làm việc của công ty còn LAC thì thường được hỗ trợ của ISP Các thành phần

cơ bản của L2TP như hình vẽ:

Hình 3.4- Các thành phần cơ bản của L2TP

Máy chủ mạng L2TP

Máy chủ L2TP có hai chức năng chính là: đóng vai trò là điểm kết thúc của đườnghầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN riêng và ngược lại.Máy chủ chuyển các gói đến máy tính đích bằng cách xử lý gói L2TP để có được địachỉ mạng của máy tính đích.

Không giống như máy chủ PPTP, máy chủ L2TP không có khả năng lọc các gói.Chức năng lọc gói trong L2TP được thực hiện bởi tường lửa.Tuy nhiên trong thực tế,người ta tích hợp máy chủ mạng và tường lửa Việc tích hợp này mang lại một số ưuđiểm hơn so với PPTP, đó là:

- L2TP không đòi hỏi chỉ có một cổng duy nhất gán cho tường lửa như trongPPTP Chương trình quản lý có thể tuỳ chọn cổng để gán cho tường lửa, điều nàygây khó khăn cho kẻ tấn công khi cố gắng tấn công vào một cổng đã biết trongkhi cổng đó có thể đã thay đổi

- Luồng dữ liệu và thông tin điều khiển được truyền trên cùng một UDP nên việcthiết lập tường lửa sẽ đơn giản hơn Do một số tường lửa không hỗ trợ GRE nênchúng tương thích với L2TP hơn là với PPTP

Phần mềm client L2TP

Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần phần cứng hay phầnmềm nào cho các client, chỉ cần kết nối chuẩn PPP là đủ Tuy nhiên, với các thiết lậptrên thì không sử dụng được mã hoá của IPSec Do vậy ta nên sử dụng các client tươngthích L2TP cho L2TP VPN

Một số đặc điểm của phần mềm client L2TP

- Tương thích với các thành phần khác của IPSec như: máy chủ mã hoá, giaothức chuyển khoá, giải thuật mã hoá,…

- Đưa ra một thông báo rõ ràng khi IPSec đang hoạt động

- Hỗ trợ tải SA về

- Hàm băm (hashing) xử lý được các địa chỉ IP động

- Có cơ chế bảo mật khoá (mã hoá khoá với mật khẩu)

- Có cơ chế chuyển đổi mã hoá một cách tự động và định kỳ

- Chặn hoàn toàn các lưu lượng không IPSec

Các bộ tập trung truy cập mạng

Một ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP để hỗ trợcho các client L2TP chạy trên các nền khác nhau như Unix, Windows, Macintosh.Các ISP có thể cung cấp các dịch vụ L2TP mà không cần phải thêm các thiết bị hỗtrợ L2TP vào máy chủ truy cập của họ, điều này đòi hỏi tất cả người dùng phải có

client L2TP tại máy của họ Điều này cho phép người dùng có thể sử dụng dịch vụ củanhiều ISP khi mà mô hình mạng của họ rộng lớn về mặt địa lý

3.3.2 Áp dụng trong thực tế của L2TP

Việc lựa chọn một nhà cung cấp dịch vụ L2TP có thể thay đổi tuỳ theo yêu cầuthiết kế mạng Nếu thiết kế một VPN đòi hỏi mã hoá đầu cuối-đầu cuối thì cần cài cácclient tương thích L2TP tại các host từ xa và thoả thuận với ISP là sẽ xử lý mã hoá từmáy đầu cuối đến tận máy chủ của mạng VPN Nếu xây dựng một mạng với mức độbảo mật thấp hơn, khả năng chịu đựng lỗi cao hơn và chỉ muốn bảo mật dữ liệu khi nó

đi trong đường hầm trên Inernet thì thoả thuận với ISP để họ hỗ trợ LAC và mã hoá dữliệu chỉ từ đoạn LAC đến LNS của mạng riêng

L2TP là một thế hệ giao thức quay số truy cập mới của VPN Nó phối hợp nhữngđặc tính tốt nhất của PPTP và L2F Hầu hết các nhà cung cấp sản phẩm PPTP đều đưa

ra các sản phẩm tương thích L2TP hoặc sẽ giới thiệu sau này

Mặc dù L2TP chủ yếu chạy trên mạng IP, nhưng khả năng chạy trên các mạngkhác như Frame Relay, ATM đã làm cho nó thêm phổ biến L2TP cho phép một lượnglớn client từ xa được kết nối vào VPN hay cho các kết nối LAN-LAN có dung lượnglớn L2TP có cơ chế điều khiển luồng để làm giảm tắc nghẽn trên đường hầm L2TP.L2TP cho phép thiết lập nhiều đường hầm với cùng LAC và LNS Mỗi đườnghầm có thể gán cho một ngưòi dùng xác định, hoặc một nhóm các người dùng và gáncho các môi trường khác nhau tuỳ theo thuộc tính chất lượng phục vụ QoS của ngườidùng

3.3.3 Giao thức đường hầm lớp 2 - L2TP

Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và chuyển tiếp lớp 2 PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng Hai công

L2F-ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF

Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêngcho việc truyền các gói ở lớp 2 Một điểm khác biệt chính giữa L2F và PPTP là L2Fkhông phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lýkhác Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêngcách thức các gói được điều khiển trong môi trường khác Nhưng nó cũng hỗ trợTACACS+ và RADIUS cho việc xác thực Có hai mức xác thực người dùng: đầu tiên

ở ISP trước khi thiết lập đường hầm, sau đó là ở cổng nối của mạng riêng sau khi kếtnối được thiết lập

L2TP mang đặc tính của PPTP và L2F Tuy nhiên, L2TP định nghĩa riêng một giaothức đường hầm dựa trên hoạt động của L2F Nó cho phép L2TP truyền thông quanhiều môi trường gói khác nhau như X.25, Frame Relay, ATM Mặc dù nhiều công cụchủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệthống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm Một mạng ATMhay frame Relay có thể áp dụng cho đường hầm L2TP.

Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thứcđiều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI Cũnggiống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS

Mặc dù Microsoft đã làm cho PPTP trở thành tùy chọn phổ biến khi xây dựng VPNbằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhưng công tycũng đã hỗ trợ thêm L2TP

3.4 Giao thức bảo mật IP - IPSEC

Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn có.Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và cácviện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như bâygiờ khi mà Internet trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi trênInternet và đối tượng sử dụng Internet rộng hơn bao gồm cả các Hacker

Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thứcIPSec Họ giao thức IPSec đầu tiên được dùng cho xác thực, mã hoá các gói dữ liệu

IP, được chuẩn hoá thành các RFC từ 1825 đến 1829 vào năm 1995 Họ giao thức này

mô tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP,gói IP là đơn vị dữ liệu cơ sở trong mạng IP IPSec định nghĩa 2 loại tiêu đề cho cácgói IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề IP – AH (IPAuthentication Header) điều khiển việc xác thực và hai là đóng gói tải tin an toàn ESP(Encapsulation Security Payload) cho mục đích mã hoá

IPSec không phải là một giao thức Nó là một khung của các tập giao thức chuẩn

mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương phápnhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu.IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng củacông ty Nó đảm bảo truyền thông tin cậy trên mạng IP công cộng đối với các ứngdụng

IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền nhữngluồng dữ liệu Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệluồng dữ liệu giữa hai Host.

IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việctriển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã đượcthay đổi cho phù hợp với IPv4 Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4 nhưngđối với IPv6 thì có sẵn IPSec

3.4.1 Khung giao thức IPSec

IPSec là khung của các chuẩn mở, được phát triển bởi IETF

Hình 3.4.1- Khung giao thức được sử dụng trong IPSecMột số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec

• Giao thức bảo mật IP (IPSec)

+ AH (Authentication Header)

+ ESP (Encapsulation Security Payload)

• Mã hoá bản tin

+ DES (Data Encryption Standard)

+ 3 DES (Triple DES)

• Các chức năng toàn vẹn bản tin

+ HMAC (Hash – ased Message Authentication Code)

+ MD5 (Message Digest 5)

+ SHA-1 (Secure Hash Algorithm -1)

• Nhận thực đối tác (peer Authentication)

+ Rivest, Shamir, and Adelman (RSA) Digital Signatures

+ RSA Encrypted Nonces

• Quản lý khoá

+ DH (Diffie- Hellman)

+ CA (Certificate Authority)

• Kết hợp an ninh

+ IKE (Internet Key Exchange)

+ ISAKMP (Internet Security Association and Key Management Protocol)

IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảomật, toàn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng Những điểm nganghàng có thể là những cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến,những tường lửa, những bộ tập trung VPN …) hay có thể giữa một host và một cổngnối bảo mật, như trong VPN truy cập từ xa

Hai giao thức chính của IPSec là AH (Authentication Header) và ESP(Encapsulation Security Payload )

*AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP truyềngiữa hai hệ thống Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay đổi trongkhi truyền không Do AH không cung cấp khả năng mật mã dữ liệu nên các dữ liệuđều được truyền dưới dạng bản rõ

*ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữliệu, kiểm tra tính toàn vẹn dữ liệu ESP đảm bảo tính bí mật của thông tin thông quaviệc mật mã ở lớp IP Tất cả các lưu lượng ESP đều được mật mã giữa hai hệ thống

3.4.1.1 Giao thức AH

Hình 3.4.1.1- Khuôn dạng gói AH

 Next header (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau AH Giá trịcủa trường này được lựa chọn từ tập các giá trị số giao thức IP được định nghĩa bởiIANA (TCP_6; UDP_ 17)

 Payload length (8bit): Xác định độ dài của AH theo đơn vị 32bit (4 Byte)

 Reserved (16 bit): trường này dùng để dự trữ sử dụng trong tương lai Giá trị củatrường này có thể đặt bằng 0 và có tham gia trong việc tính Authentication Data

 Security Parameter Index (SPI):

- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESPcho phép nhận dạng duy nhất SA cho gói dữ liệu này Các giá trị SPI từ 1÷255được dành riêng để sử dụng trong tương lai SPI thường được lựa chọn bởiphía thu khi thiết lập SA SPI là trường bắt buộc

- Giá trị SPI 0 được sử dụng cục bộ Có thẻ sử dụng giá trị này để chỉ ra chưa có

SA nào tồn tại

 Sequence number (SN):

- Trường 32 bit không dấu chứa một giá trị đếm tăng dần SN là trường bắt buộccho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụ thểnào việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyềntrường này, còn phía thu có thể không cần phải xử lý nó

- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiếtlập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1) Nếu dịch vụ anti-replay được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiếtlập một SA mới, và do đó là một khoá mới) trước khi truyền gói thứ 232 củamột SA

 Authentication Data:

- Trường này có độ dài biến đổi chứa một một giá trị kiểm tra tính toàn vẹn ICV(Integrity Check Value) cho gói tin Độ dài của trường này bằng số nguyên lần

32 bit (hay 4 Byte)

- Trường này có thể chứa một phần dữ liệu đệm kiểu tường minh (Explicitpadding) để đảm bảo độ dài của AH header là số nguyên lần 32 bit (đối vớiIPv4) hoặc 64 bit (đối với IPv6)

3.4.1.2 Giao thức ESP

Hình 3.4.1.2 - Khuôn dạng gói ESPTrong đó:

 Security Parameter Index (SPI):

- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh ESPcho phép nhận dạng duy nhất SA cho gói dữ liệu này Các giá trị SPI từ 1÷255được dành riêng để sử dụng trong tương lai SPI thường được lựa chọn bởiphía thu khi thiết lập SA SPI là trường bắt buộc

- Giá trị SPI 0 được sử dụng cục bộ Có thẻ sử dụng giá trị này để chỉ ra chưa có

SA nào tồn tại

 Sequence number (SN):

- Trường 32 bit không dấu chứa một giá trị đếm tăng dần (SN) SN là trường bắtbuộc cho dù phía thu không thực hiện dịch vụ chống trùng lặp cho một SA cụthể nào việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luôn phải truyềntrường này, còn phía thu có thể không cần phải xử lý nó

- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được thiếtlập (gói đầu tiên được truyền đi sử dụng SA sẽ có SN=1) Nếu dịch vụ anti-replay được lựa chọn thì được phát đi sẽ không được lặp lại (bằng cách thiếtlập một SA mới, và do đó là một khoá mới) trước khi truyền gói thứ 232 củamột SA

 Payload Data

- Trường này có độ dài biến đổi chứa dữ liệu mô tả trong Next header PayloadData là trường bắt buộc và có độ dài bằng số nguyên lần Byte

 Padding

- Nếu thuật toán mật mã được sử dụng yêu cầu bản rõ (cleartext hay plaintext)phải là số nguyên lần khối các Byte (trong mật mã khối) thì Padding field được

sử dụng để thêm vào Plaintext để có kích thước yêu cầu

- Padding cần thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4Byte để phân biệt rõ ràng với trường Authentication Data

- Ngoài ra padding còn có thể được sử dụng để che dấu độ dài thực của Payload,tuy nhiên mục đích này phải được cân nhắc vì nó ảnh hưởng tói băng tầntruyền dẫn Bên gửi có thể thêm 0÷255 Padding Byte

 Pad length

- Trường này xác định số padding Byte đã thêm vào Các giá trị hợp lệ là 0÷255.Pad length là trường bắt buộc

 Next header (8bit)

- Là một trường bắt buộc Next header xác định kiểu dữ liệu chứa trong PayloadData Giá trị của trường này được lựa chọn từ tập các giá trị IP ProtocolNumbers định nghĩa bởi IANA

 Authentication Data

- Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn vẹn ICV(integrity Check Value) tính trên dữ liệu của toàn bộ gói ESP (trừ trườngAuthentication Data) Độ dài của trường phụ thuộc vào hàm xác thực được lựachọn Trường này là tuỳ chọn, và chỉ được thêm vào nếu dịch vụauthentication được lựa chọn cho SA đang xét Thuật toán xác thực phải chỉ ra

độ dài của ICV và các bước xử lý cũng như các luật so sánh cần thực hiện đểkiểm tra tính toàn vẹn của gói tin

3.4.1.3 Hoạt động của AH và ESP trong các chế độ (mode)

AH và ESP đều có thể được sử dụng cho các gói tin IP theo hai cách khác nhautương ứng với hai mode: Transport mode và Tunnel mode

 Transport mode:

Được sử dụng phổ biến cho những kết nối giữa các host hay giữa các thiết bị cóchức năng như những host Ví dụ, một cổng nối IPSec (đó có thể là bộ định tuyếnphần mềm IOS, FIX Firewall, hay bộ tập trung VPN 3000 của Cisco) có thể xem như

là một host khi được truy nhập bởi một nhà quản lý cấu hình hay những hoạt độngđiều khiển khác

Transport mode cho phép bảo vệ phần tải tin của gói dữ liệu, cung cấp cơ chế bảomật cho các giao thức ở lớp trên, nhưng không bảo vệ IP header vì phần IP headerluôn ở dạng “clear”.

Trong Transport mode, AH được chèn vào sau tiêu đề IP và trước các giao thức lớptrên (TCP, UDP) hoặc bất kỳ tiêu đề IPSec đã được chèn vào trước đó

 Tunnel mode:

Được sử dụng giữa các cổng nối như các bộ định tuyến, những FIX Firewall,những bộ tập trung Tunnel mode cũng được sử dụng phổ biến khi một host kết nối tớimột trong những cổng nối đó để gia tăng truy nhập tới các mạng được điều khiển bởicổng nối đó, như trong trường hợp những người dùng từ xa quay số truy cập tới một

bộ định tuyến hay bộ tập trung

Hình 3.4.1.3.1- Khuôn dạng gói tin IPv4 trước và sau khi xử lý AH

Hình 3.4.1.3.2 - Khuôn dạng gói tin IPv6 trước và sau khi xử lý AH

Hình 3.4.1.3.3 - Khuôn dạng gói tin IPv4 trước và sau khi xử lý ESP

Hình 3.4.1.3.3 - Khuôn dạng gói tin IPv6 trước và sau khi xử lý ESP

Để có thể áp dụng AH và ESP trong chế độ Transport mode và Tunnel mode,IPSec yêu cầu phải hỗ trợ được cho tổ hợp của Transport mode và Tunnel mode Điềunày được thực hiện bằng cách sử dụng Tunnel mode để mã hoá và xác thực các gói vàtiêu đề của nó rồi gắn AH hoặc ESP, hoặc dùng cả hai trong chế độ Transport mode đểbảo mật cho tiêu đề mới được tạo ra AH và ESP không thể sử dụng chung trongTunnel mode bởi vì ESP đã có cơ chế tuỳ chọn xác thực, tuỳ chọn này nên sử dụngtrong Tunnel mode khi các gói cần phải mã hoá và xác thực

3.4.2 Hoat động của IPSec

Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với cácdịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bước chính nhưsau:

Hình 3.4.2.1 - 5 bước hoạt động của IPSec.

 A gửi lưu lượng cần bảo vệ tới B

 Router A và B thoả thuận một phiên trao đổi IKE Phase 1

IKE SA ← IKE Phase → IKE SA

 Router A và B thoả thuận một phiên trao đổi IKE Phase 2

IPSec SA ← IKE Phase → IPSec SA

 Thông tin được truyền dẫn qua đường hầm IPSec

 Kết thúc đường hầm IPSec

5 bước hoạt động của IPSec:

Bước 1- Kích hoạt lưu lượng cần bảo vệ.

Hình 3.4.2.2 - Thương lượngViệc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chính sách anninh (Security Policy) của một mạng VPN Chính sách được sử dụng để quyết định

lưu lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở dạng bản rõ (clear

text) không cần bảo vệ) Chính sách sau đó sẽ được thực hiện ở giao diện của mỗi đối

tác IPSec

Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho quaIPSec, hoặc huỷ gói dữ liệu Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, ngườiquản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu Các cơ

sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và các thuật toánđược sử dụng cho luồng lưu lượng

Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bước tiếptheo: Thoả thuận một trao đổi IKE Phase 1

Bước 2 – IKE Phase 1

Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKEpolicy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác.IKE Phase 1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressivemode).

Hình 3.4.2.3 - IKE Phase 1

Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận:

- Trao đổi thứ nhất : Các thuật toán mật mã và xác thực (sử dụng để bảo vệ cáctrao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác

- Trao đổi thứ hai : Sử dụng trao đổi DH để tạo các khoá bí mật chung (sharedsecret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đốitác Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thựckhác

- Trao đổi thứ ba: Xác minh nhận dạng của nhau (xác thực đối tác) Kết quảchính của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theocủa hai đối tác

Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn) Hầu hếtmọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE;tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử dụng để xácđịnh nhận dạng thông qua một bên thứ ba (third party) Bên nhận gửi trở lại mọi thứcần thiết để hoàn thành (complete) việc trao đổi Cuối cùng bên khởi tạo khẳng định(confirm) việc trao đổi

Các tập chính sách IKE

Khi thiết lập một kết nối an toàn giữa Host A và Host B thông qua Internet, mộtđường hầm an toàn được thiết lập giữa Router A và Router B Thông qua đường hầm,các giao thức mật mã, xác thực và các giao thức khác được thoả thuận Thay vì phảithoả hiệp từng giao thức một, các giao thức được nhóm thành các tập, chính là tập

chính sách IKE (IKE policy set) Các tập chính sách IKE được trao đổi trong IKEPhase 1 ở chế độ chính và trong trao đổi thứ nhất Nếu một chính sách thống nhất(matching policy) được tìm thấy ở hai phía thì chế độ chính tiếp tục Nếu không tìmthấy chính sách thống nhất nào thì đường hầm sẽ bị loại bỏ.

Hình 3.4.2.4- Tập chính sách IKE

Ví dụ: Router A gửi các tập chính sách IKE Policy 10 và IKE Policy 20 tới Router

B Router B so sánh với tập chính sách của nó, IKE Policy 15, với các tập chính sáchnhận được từ Router A Trong trường hợp này, một chính sách thống nhất được tìmthấy: IKE Policy 10 của Router A và IKE Policy 15 của Router B là tương đương.Trong nhiều ứng dụng điểm - điểm, mỗi bên chỉ cần định nghĩa một tập các chínhsách IKE Tuy nhiên ở mạng trung tâm có thể phải định nghĩa nhiều chính sách IKE đểđáp ứng nhu cầu của tất cả các đối tác từ xa

Trao đổi khoá Diffie-Hellman

Trao đổi khoá Diffie-Hellman là một phương pháp mật mã khoá công khai chophép hai bên thiết lập một khoá bí mật chung qua một môi trường truyền thông antoàn Khoá mật mã này sẽ được sử dụng để tạo ra tất cả các khoá xác thực và mã hoákhác

Khi đã hoàn thành việc thoả thuận các nhóm, khoá bí mật chung SKEYID sẽ đượctính SKEYID được sử dụng để tạo ra 3 khoá khác SKEYID_a, SKEYID_e,SKEYID_d Mỗi khoá có một mục đích riêng: SKEYID_a được sử dụng trong quátrình xác thực

SKEYID_e được sử dụng trong quá trình mật mã