CÁC GIAO THỨC ĐƯỜNG HẦM.doc

CÁC GIAO THỨC ĐƯỜNG HẦM

CHƯƠNG 2

CÁC GIAO THỨC ĐƯỜNG HẦM VPN

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương ứng để truyền qua Internet Giao thức đường hầm là cốt lõi của giải pháp VPN Có 4 giao thức đường hầm được sử dụng trong VPN đó là:

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)

- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)

- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol) - Giao thức bảo mật IP - IPSec (Internet Protocol Security)

2.1 Giao thức định hướng lớp 2 - L2F

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa

L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ liệu

2.1.1 Cấu trúc gói của L2F

K: Trường “Key” có mặt nếu bít này được thiết lập.

P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập.

S: Trường “Sequence” có mặt nếu bít này được thiết lập.

Reserved: luôn được đặt là: 00000000.

Version : Phiên bản chính của L2F dùng để tạo gói 3 bit này luôn là 111.Protocol : Xác định giao thức đóng gói L2F.

Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.

Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel).Client ID: Giúp tách đường hầm tại những điểm cuối.

Length: chiều dài của gói (tính bằng Byte) không bao gồm phần checksum.Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu.

Trường này có khi bít F=1.

Key: Trường này được trình bày nếu bit K được thiết lập Đây là một phần của

quá trình nhận thực.

Checksum: Kiểm tra tổng của gói Trường checksum có nếu bít C=1

2.1.2 Ưu nhược điểm của L2F

Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức - Được cung cấp bởi nhiều nhà cung cấp.

Nhược điểm:

- Không có mã hoá.

- Yếu trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm.

2.1.3 Thực hiện L2F

L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền xuyên qua một mạng L2F sử dụng các thiết bị:

NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và

gateway home Hệ thống ERX hoạt động như NAS.

Tunne:l Định hướng đường đi giữa NAS và home gateway Một đường

hầm gồm một số kết nối.

Home gateway: Ngang hàng với NAS.

Kết nối (connection): Là một kết nối PPP trong đường hầm Trong CLI,

một kết nối L2F được xem như là một phiên.

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm Trong

trường hợp này thì Home gateway là điểm đích.

Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và phiên làm việc Ta xem xét ví dụ minh hoạ hoạt động của L2F:

1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP.

2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol)

3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay nhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F

4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway đích (home gateway)

5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa có đường hầm nào Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba 6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo

dài phiên PPP từ người sử dụng ở xa tới home gateway Kết nối này được thiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và NAS Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng

7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm

8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới mạng công ty

2.1.5 Quản lý L2F

Khi hệ thống đã thiết lập những điểm đích, những đường hầm tunnel, và những phiên kết nối ta phải điều khiển và quản lý lưu lượng L2F như sau:

- Ngăn cản tạo những điểm đích, những đường hầm tunnel, những phiên mới.

- Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường hầm tunnel, những phiên.

- Có khả năng kiểm tra tổng UDP.

- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào của những đường hầm và những kết nối

Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiên tới điểm đích đó; Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các phiên trong đường hầm đó Ví dụ, Sự kết thúc ở điểm đích đóng tất cả các đường hầm và phiên tới điểm đích đó.

L2F cung cấp các lệnh đểthực hiện các chức năng Ví dụ

L2F checksum: mục đích để kiểm tra toàn vẹn dữ liệu của các khung L2F sử dụng kiểm tra tổng UDP, ví dụ host 1(config)#l2f checksum

L2F destruct-timeout: sử dụng để thiết lập thời gian rỗi, giá trị thiết lập trong dải 10 -:- 3600 giây, ví dụ host1 (config)#l2f destruct-timeout 1200

2.2 Giao thức đường hầm điểm-điểm PPTP

Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum Nhóm này bao gồm 3 công ty: Ascend comm., Microsoft, ECI Telematicsunication và US Robotic Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ.

Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, NETBEUI.

Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point-to- Point Encryption) để sử dụng cho PPTP.

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.

PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/ IP rất phổ biến hiện nay Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối; Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau.

PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-điểm từ máy gửi đến máy nhận Để viêc truyền thông có thể diễn ra thì mỗi PPP phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu.

Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi các ISP Việc xác thực được thực hiện bởi PAP hay CHAP.

Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật để tránh khỏi bị tấn công thử và lỗi CHAP là một phương thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge value) duy nhất và không thể đoán trước được CHAP phát ra giá trị thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình thế bị tấn công.

PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và máy chủ truy cập mạng PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý - Xác thực người dùng.

- Tạo các gói dữ liệu PPP.

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm.

Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển và kênh dữ liệu Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng để trưyền thông báo điều khiển.

Các gói dữ liệu là dữ liêu thông thường của người dùng Các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu giữa client PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client PPTP và máy chủ PPTP Phần mềm client có thể nằm ở máy người dùng từ xa hay nằm ở tại máy chủ của ISP.

Hình 2.4:Các giao thức dùng trong một kết nối PPTP

Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm.

PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào? Ethernet, Frame Relay hay kết nối PPP?

Hình 2.5 : bọc gói PPTP/ GRE

PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói.

b) Cấu trúc gói của PPTP

*Đóng gói dữ liệu đường hầm PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung PPP,đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu.

Cấu trúc gói dữ liệu đã được đóng gói

Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra khung PPP Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE.

Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit.

- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường nhận dạng cuộc gọi 16 bit Trường nhận dạng cuộc goi Call ID được thiết lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP.

- Một trường xác nhận dài 32 bit được thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP.

+ Đóng gói các gói GRE

Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server.

+ Đóng gói lớp liên kết dữ liệu

Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần kết thúc (Trailer) của lớp liên kết dữ liệu Ví dụ, Nếu IP datagram được gửi qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói với phần Header và Trailer của giao thức PPP.

- Xử lý và loại bỏ GRE Header và PPP Header

- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết - Xử lý phần payload để nhận hoặc chuyển tiếp.

- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụng NDIS (Network Driver Interface specification).

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và cung cấp PPP header Phần mào đầu PPP này chỉ bao gồm trường mã số giao thức PPP (PPP protocol ID field), không có các trường flag và FCS (frame check sequence) Giả định trưòng địa chỉ và điều khiển đã được thoả thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP.

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần mào đầu GRE Trong GRE header, trường Call ID đựoc đặt giá trị thích hợp để xác định đường hầm.

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP.

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử dụng NDIS.

- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer - NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho

phần cứng quay số

c) Đường hầm

PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác nhau Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tính của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP) Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt buộc.

Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng Khi sử dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình thường Đường hầm tự nguyện thường được sư dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet.

Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ truy cập từ xa Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông qua RAS

Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đường hầm tự nguyện Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và được các site trong VPN mà thôi).

Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểm kết nối Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc.

Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng nằm ngoài đường hầm nên dễ bị tấn công.

Hình 2.8 : đường hầm bắt buộc và đường hầm tự nguyện

Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài (token) hay thẻ thông minh (smart card).

d) Xác thực người dùng quay số từ xa (RADIUS)

RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu client/ server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các người dùng trong các phiên làm việc RADIUS client/server sử dụng máy chủ truy cập mạng NAS để quản lý kết nối người dùng Ngoài chức năng của máy chủ truy cập mạng nó còn có một số chức năng cho RADIUS client NAS sẽ nhận dạng người dùng, thông in về mật khẩu rồi chuyển đến máy chủ RADIUS Máy chủ RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho NAS để cung cấp dịch vụ cho người dùng RADIUS tạo một cơ sở dữ liệu tập trung về người dùng, các loại dịch vụ sẵn có, một dải modem đa chủng loại Trong RADIUS thông tin người dùng được lưu trong máy chủ RADIUS.

RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng cho mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay đổi dữ liệu người dùng Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người dùng từ máy chủ RADIUS Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó cần phải lưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng.

Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và cấp quyền:

- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm - Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm

và cố gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm - Xác thực tại hai đầu của đường hầm

Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều khiển tiến trình truy cập mạng Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ thuộc cách RADIUS trả lời xác thực Tuỳ chọn thứ ba có độ tin cậy cao và làm việc tốt nếu như sử dụng máy chủ Proxy RADIUS.

e) Xác thực và mã hoá

Các client PPTP được xác thực cũng tương tự như các client RAS được xác thực từ máy chủ PPP Microsoft hỗ trợ xác thực CHAP, PAP, CHAP MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của người dùng PAP và CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu xa và tại máy cục bộ Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu sẽ thay đổi Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khác nhau cho những người dùng khác nhau tại cùng một máy tính ở xa Bởi vì khi cấp quyền đã được gán cho một máy tính thì mọi người dùng tại máy tính đó đều có đặc quyền truy cập mạng như nhau.

Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft – MPPE (Microsoft point-to-Point Encryption) Phương thức này dựa trên chuẩn RSA RC4, giao thức điều khiển nén CCP (Compression Control Protocol) được sử dụng bởi PPP để thoả hiệp việc mã hoá MS-CHAP được dùng để kiểm tra tính hợp lý người dùng đầu cuối tại tên miền Windows NT.

IP, IPX, NETBEUI

IP, IPX, NETBEUIIP, IPX, NETBEUI

Hình 2.9: Mã hoá gói trong PPTP

Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ có thể cài đặt một phần mềm nâng cấp lên 128 bit MPPE mã hoá các gói PPP tại client trước khi chuyển chúng vào đường hầm PPTP nên các gói được bảo mật từ trạm làm việc đến máy chủ PPTP Việc thay đổi khoá phiên có thể được thoả thuận lại sau mỗi gói hay sau một số gói

f) Đường hầm kết nối LAN-LAN

Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối vào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN không được hỗ trợ Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợ đường hầm kết nối LAN-LAN Kể từ đó các nhà cung cấp khác cũng đã cung cấp các máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN.

Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên, do kiến trúc PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều khiển bởi CHAP hoặc thông qua MS-CHAP Để tạo đường hầm giữa hai site, máy chủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia Khi đó máy chủ PPTP trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại, do đó một đường hầm tự nguyện được tạo ra giữa hai site.

Hình 2.10 : Đường hầm kết nối LAN-LAN

Do đường hầm PPTP có thể được đón gói bởi bất kỳ giao thức mạng nào được hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài nguyên tại site kia dựa trên quyền truy cập của họ Điều này có nghĩa là cần phải có site quản lý để đảm bảo người dùng tại một site có quyền truy cập vào site kia Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết lập một mối quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vào tài nguyên của các site.

2.2.2 Sử dụng PPTP

Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng dùng cho phương thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP,

Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm người của công ty quản lý nhưng NAS phải do ISP hỗ trợ.

a) Máy chủ PPTP

Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết nối của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LAN riêng Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để được địa chỉ mạng của máy tính đích.

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào Internet , mạng riêng hay cả hai.

Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu như máy chủ PPTP nằm sau tường lửa PPTP được thiết kế sau cho chỉ có một cổng TCP/IP (1723) được sử dụng để chuyển dữ liệu đi Sự khiếm khuyết của cấu hình cổng này có thể làm cho tường lửa dễ bị tấn công hơn Nếu như tường lửa được cấu hình để lọc gói thì phải thiét lập nó cho phép GRE đi qua.

Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năng tương tự máy chủ PPTP được gọi là chuyển mạch đường hầm Mục đích của chuyển mạch đường hầm là mở rộng đường hầm từ một mạng đến một mạng khác, trải rông đường hầm từ mạng của ISP đến mạng riêng Chuển mạch đường hầm có thể được sử dụng tại tường lửa làm tăng khả năng quản lý truy cập từ xa vào tài nguyên của mạng nội bộ, nó có thể kiểm tra các gói đến và về, giao thức của các khung PPP hoặc tên của người dùng từ xa.

b) Phần mềm client PPTP

Nếu như các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn Nếu như các thiết bị của ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tương tự) vẫn có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo được thiết lập ở client.

Client PPTP đã có sẵn ở Win NT, Win 9x và các hệ điều hành sau này Khi chọn client PPTP cần phẩi so sánh các chức năng của nó với máy chủ PPTP đã có Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếu thiếu công cụ này thì không thể tận dụng được ưu điểm mã hoá trong RRAS

c) Máy chủ truy cập mạng RAS

Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa (Remote Access Server) hay bộ tập trung truy cập (Access Concentrator) NAS cung cấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tính cước và có khả năng chịu đựng lỗi tại ISP POP NAS của ISP được thiết kế cho phép một số lượng lớn người dùng có thể quay số truy cập vào cùng một lúc.

Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phép PPTP, để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows, Macintosh Trong truờng hợp này, máy chủ ISP đóng vai trò như một client PPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành một điểm cuối của đường hầm, điểm kết thúc còn lại là máy chủ tại đầu mạng riêng

2.2.3 Khả năng áp dụng trong thực tế của PPTP

PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kế hoạch thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá PPTP thích hợp cho quay số truy cập với số lượng người dung giới hạn hơn là cho VPN kết nối LAN–LAN Một vấn đề của PPTP là xử lý xác thực quyền người dùng thông qua Windows NT hay thông qua RADIUS Máy chủ PPTP cũng qua tải với một số lượng người dùng quay số truy cập hay một lưu lượng lớn dữ liệu trưyền qua, mà điều này là một yêu cầu của kết nối LAN – LAN Khi sử dụng VPN PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền quản lý phải chia sẻ cho ISP Tính bảo mật của PPTP không mạnh bằng IPSec Tuy nhiên, quản ý bảo mật trong PPTP lại đơn giản hơn

2.3 Giao thức đường hầm lớp 2 - L2TP

Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F- chuyển tiếp lớp 2 PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF.

Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2 Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý khác Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực Có hai mức

xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập

L2TP mang dặc tính của PPTP và L2F Tuy nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F Nó cho phép L2TP truyền thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm Một mạng ATM hay frame Relay có thể áp dụng cho đường hầm L2TP.

Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS.

Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhưng công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Windows 98

2.3.1 Dạng thức của L2TP

Các thành phần chức năng của L2TP bao gồm: giao thức điểm-điểm, đường hầm, hệ thống xác thực và mã hoá L2TP có thể sử dụng quản lý khoá để tăng thêm độ bảo mật Kiến trúc của L2TP như hình vẽ:

a) PPP và L2TP

L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cập mạng NAS L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực ban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc.

Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấp nhận người dùng và sẵn sàng đóng vai trò là điểm kết thúc của đường hầm cho người dùng đó Sau khi đường hầm được thiết lập, L2TP sẽ đóng các gói PPP rồi truyền lên môi trường mà ISP gán cho đường hầm đó L2TP có thể tạo nhiều đường hầm giữa NAS của ISP và máy chủ mạng, và gán nhiều phiên làm việc cho đường hầm L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên làm việc và chèn vào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc nào?

Ta có thể thực hiện chọn và gán một phiên làm việc của người dùng vào một đường hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, với cách này cho phép gán các người dùng khác nhau vào các môi truờng đường hầm tuỳ Tiêu đề môi trường khung

Tiêu đề phân phối môi trường

Hình 2.13: các giao thức sử dụng trong một kết nối L2TP

Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo điều khiển và thông báo dữ liệu Thông báo điều khiển có chức năng điều khiển việc thiết lập, quản lý và giải phóng phiên làm việc trên đường hầm Thông báo điều khiển cũng cho ta biết tốc độ truyền và tham số của bộ đệm dùng để điều

khiển luồng các gói PPP trong một phiên làm việc Tuy nhiên, L2TP truyền cả hai loại thông báo này trên cùng gói dữ liệu UDP và chung trên một luồng.

Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSI nên trong thông báo dữ liệu L2TP bao gồm tiêu đề môi trường để chỉ ra đường hầm làm việc trong môi trường nào? Tuỳ thuộc vào ISP mà môi trường có thể là Ethernet, X.25, Frame Relay, ATM, hay liên kết PPP.

L2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung truy cập L2TP_ LAC (L2TP Access Concentrator)) và máy chủ của mạng riêng (hay máy chủ mạng L2TP _LNS ( L2TP network Server) )

b) Cấu trúc gói dữ liệu L2TP

*Đóng gói dữ liệu đường hầm L2TP

Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói Hình vẽ chỉ ra cấu trúc cuối cùng của dữ liệu đường hầm L2TP trên nền IPSec.

Tuỳ thuộc vào chính sách IPSec, gói UDP được mật mã và đóng gói với ESP IPSec header và ESP IPSec Trailer, IPSec Authentication Trailer.

+ Đóng gói IP

Gói IPSec được đóng gói với IP header chứa địa chỉ IP ngưồn và đích của VPN client và VPN server.

+ Đóng gói lớp liên kết dữ liệu

Do đường hầm L2TP hoạt động ở lớp 2 của mô hình OSI- lớp liên kết dữ liệu nên các IP datagram cuối cùng sẽ được đóng gói với phần header và trailer tương ứng với kỹ thuật ở lớp đường truyền dữ liệu của giao diện vật lý đầu ra Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet thì IPdatagram này sẽ được đóng gói với Ethernet header và Ethernet Trailer Khi các IP datagram được gửi trên đường truyền WAN điểm-tới-điểm (chẳng hạn đường dây điện thoại hay ISDN, ) thì IPdatagram được đóng gói với PPP header và PPP trailer.

* Xử lý dữ liệu đường hầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:

- Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu - Xử lý và loại bỏ IP header.

- Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP header.

- Dùng IPSec ESP header để giải mã phần gói đã mật mã - Xử lý UDP header và gửi gói L2TP tới lớp L2TP.

- L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đường hầm L2TP cụ thể.

- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giao thức để xử lý.

* Sơ đồ đóng gói L2TP trên nền IPSec

Sơ đồ đóng gói L2TP qua kiến trúc mạng từ một VPN client thông qua một kết nối VPN truy cập từ xa sử dụng một modem tương tự như hình vẽ:

Các bước của quá trình:

- Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giao diện ảo đại diện cho kết nối VPN sử dụng NDIS bằng giao thức thích hợp - NDIS đưa Packet tới NDISWAN, tại đây có thể nén và cung cấp PPP

header chỉ bao gồm trường PPP protocol ID Các trường Flag hay FCS không được thêm vào.

- NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP frame với một L2TP header Trong L2TP header, Tunnel ID và Call ID được thiết lập các giá trị thích hợp để xác định đường hầm.

- Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng 1701 với các địa chỉ IP của VPN client và VPN server.

- Giao thức TCP/IP xây dựng một gói IP với các IP header và UDP header thích hợp Sau đó IPSec sẽ phân tích gói IP và so sánh với ác chính sách IPSec hiện thời Dựa trên những thiết lập trong chính sách, IPSec đóng gói và mật mã phần bản tin UDP của gói tin IP sử dụng các ESP header và ESP trailer phù hợp IP header ban đầu với Protocol field được dặt là 50 được thêm vào phía trước của gói ESP Giao thức TCP/IP sau đó gửi gói

tin thu được tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử dụng NDIS.

- NDIS gửi gói tới NDISWAN.

- NDISWAN cung cấp PPP header, PPP trailer và gửi khung PPP thu đựoc tới cổng WAN thích hợp đại diện cho phần cứng dial-up

c) Đường hầm L2TP

L2TP sử dụng những lớp đường hầm tương tự như PPTP, tuỳ theo người dùng sử dụng là client PPP hay client L2TP mà sử dụng đường hầm là tự nguyện hay bắt buộc.

Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mục đích cụ thể Khi sử dụng đường hầm tự nguyện thì người dùng có thể đồng thời mở đường hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất kỳ trên Internet theo giao thức TCP/IP bình thường Điểm kết thúc của đường hầm tự nguyện nằm ở máy tính người dùng Đường hầm tự nguyện thường được sử dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet gửi thông qua Internet.

Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từ phía nguời dùng và không cho phép người dùng chọn lựa Do đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng đầu cuối Đường hầm bắt buộc định trước điểm kết thúc, nằm ở LAC của ISP và nên kiểu đường hầm này điều khiển truy cập tốt hơn so với đường hầm tự nguyện Nếu như vì tính bảo mật mà không cho người dùng truy cập vào Internet công cộng nhưng vẫn cho phép dùng Internet để truy nhập VPN.

Một ưu điểm của đường hầm bắt buộc là một đường hầm có thể tải nhiều kết nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm việc Một khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người dùng nằm ngoài đường hầm nên đẽ bị tấn công.

Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm cho người dùng, nhưng điều này gây lãng phí tài nguyên mạng Có cách khác cho phép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đường hầm động Những đường hầm động này được thiết lập trong L2TP bằng cách kết nối với máy chủ RADIUS.

Để RADIUS có thể điều khiển việc thiết lập một đường hầm thì nó cần phải lưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng Sử dụng máy chủ RADIUS để thiết lập đường hầm bắt buộc có một số ưu điểm như:

- Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng.

- Tính cước thể dựa trên số điện thoại hoặc các phương thức xác thực khác.

d) Xác thực và mã hóa trong L2TP

Quá trình xác thực người dùng trong L2TP điễn ra trong 3 giai đoạn: giai đoạn 1 diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) điễn ra ở máy chủ của mạng riêng.

Trong giai đoạn đầu, ISP sử dụng số điện thoại của người dùng hoặc tên người dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường hầm đến máy chủ mạng riêng Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đường hầm và khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủ của mạng riêng Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2.