CÁC GIAO THỨC ĐƯỜNG HẦM.doc

CÁC GIAO THỨC ĐƯỜNG HẦM

CHƯƠNG 2

CÁC GIAO THỨC ĐƯỜNG HẦM VPN

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và

an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm Mộtgiao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể

cả Trailer) tương ứng để truyền qua Internet Giao thức đường hầm là cốt lõi củagiải pháp VPN Có 4 giao thức đường hầm được sử dụng trong VPN đó là:

- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)

- Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling

protocol)

- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)

- Giao thức bảo mật IP - IPSec (Internet Protocol Security)

2.1 Giao thức định hướng lớp 2 - L2F

Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được pháttriển dựa trên giao thức PPP (Point-to-Point Protocol) L2F cung cấp giải phápcho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua

cơ sở hạ tầng công cộng như Internet L2F là giao thức được phát triển sớmnhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cậpvào một mạng công ty thông qua thiết bị truy cập từ xa

L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liênkết dữ liệu

2.1.1 Cấu trúc gói của L2F

KeyDataCkecksums

Hình 2.1: Khuôn dạng gói của L2FTrong đó:

F: Trường “Offset” có mặt nếu bit này được thiết lập.

K: Trường “Key” có mặt nếu bít này được thiết lập.

P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập.

S: Trường “Sequence” có mặt nếu bít này được thiết lập.

Reserved: luôn được đặt là: 00000000.

Version : Phiên bản chính của L2F dùng để tạo gói 3 bit này luôn là 111.

Protocol : Xác định giao thức đóng gói L2F.

Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.

Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel).

Client ID: Giúp tách đường hầm tại những điểm cuối.

Length: chiều dài của gói (tính bằng Byte) không bao gồm phần checksum Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu.

Trường này có khi bít F=1

Key: Trường này được trình bày nếu bit K được thiết lập Đây là một phần của

quá trình nhận thực

Checksum: Kiểm tra tổng của gói Trường checksum có nếu bít C=1

2.1.2 Ưu nhược điểm của L2F

Ưu điểm:

- Cho phép thiết lập đường hầm đa giao thức

- Được cung cấp bởi nhiều nhà cung cấp

Nhược điểm:

- Không có mã hoá

- Yếu trong việc xác thực người dùng

- Không có điều khiển luồng cho đường hầm

2.1.3 Thực hiện L2F

L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP,truyền xuyên qua một mạng L2F sử dụng các thiết bị:

NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) và

gateway home Hệ thống ERX hoạt động như NAS

Tunne:l Định hướng đường đi giữa NAS và home gateway Một đường

hầm gồm một số kết nối

Home gateway: Ngang hàng với NAS.

Kết nối (connection): Là một kết nối PPP trong đường hầm Trong CLI,

một kết nối L2F được xem như là một phiên

Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm Trong

trường hợp này thì Home gateway là điểm đích

Remote

User

RADIUS Server

gateway

Data Tunnel

Mạng riêng Mạng của ISP

4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địachỉ của gateway đích (home gateway)

5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúngchưa có đường hầm nào Sự thành lập đường hầm bao gồm giai đoạn nhậnthực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba.6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéodài phiên PPP từ người sử dụng ở xa tới home gateway Kết nối này đượcthiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thôngtin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng

và NAS Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP vànhận thực lại người sử dụng

7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói vàđóng gói lưu lượng vào trong một khung L2F và hướng nó vào trongđường hầm

8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói đượchướng tới mạng công ty

- Có khả năng kiểm tra tổng UDP

- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào củanhững đường hầm và những kết nối

Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm vàphiên tới điểm đích đó; Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả cácphiên trong đường hầm đó Ví dụ, Sự kết thúc ở điểm đích đóng tất cả cácđường hầm và phiên tới điểm đích đó

L2F cung cấp các lệnh đểthực hiện các chức năng Ví dụ

L2F checksum: mục đích để kiểm tra toàn vẹn dữ liệu của các khung L2F sửdụng kiểm tra tổng UDP, ví dụ host 1(config)#l2f checksum

L2F destruct-timeout: sử dụng để thiết lập thời gian rỗi, giá trị thiết lập trongdải 10 -:- 3600 giây, ví dụ host1 (config)#l2f destruct-timeout 1200

2.2 Giao thức đường hầm điểm-điểm PPTP

Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi mộtnhóm các công ty được gọi là PPTP Forum Nhóm này bao gồm 3 công ty:Ascend comm., Microsoft, ECI Telematicsunication và US Robotic Ý tưởng cơ

sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợidụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa(client) và mạng riêng Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch

vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ

Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả

năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site

đích PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing

Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho

phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX,

NETBEUI

Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực

PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương

thức mã hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft

Point-to- Point Encryption) để sử dụng cho PPTP

Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết

dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI Bằng cách hỗ trợ việc

truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao

thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm

2.2.1 Kiến trúc của PPTP

Giải thuật mã hóa

Giải thuật xác thực

Bọc gói định tuyến chung

Hình 2.3: Kiến trúc của PPTP

a) PPP và PPTP

PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/

IP rất phổ biến hiện nay Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP

bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để

truyền nối tiếp Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điều khiển

liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm tra kết

nối; Giao thức điều khiển mạng NCP (Network Control Protocol) cho việc thiết

lập và cấu hình các giao thức lớp mạng khác nhau

PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm từ máy gửi đến máy nhận Để viêc truyền thông có thể diễn ra thì mỗi PPPphải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu.

điểm-Khi một kết nối PPP được thiết lập thì người dùng thường đã được xácthực Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cungcấp bởi các ISP Việc xác thực được thực hiện bởi PAP hay CHAP

Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản vàkhông có bảo mật để tránh khỏi bị tấn công thử và lỗi CHAP là một phươngthức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều CHAPchống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố(challenge value) duy nhất và không thể đoán trước được CHAP phát ra giá trịthách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thểgiới hạn số lần bị đặt vào tình thế bị tấn công

PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng

và máy chủ truy cập mạng PPTP sử dụng PPP để thực hiện các chức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người dùng

- Tạo các gói dữ liệu PPP

Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP

để đóng các gói truyền trong đường hầm

Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loạigói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điềukhiển và kênh dữ liệu Sau đó PPTP phân tách các kênh điều khiển và kênh vàkênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giaothức IP Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng

để trưyền thông báo điều khiển

Các gói dữ liệu là dữ liêu thông thường của người dùng Các gói điều khiểnđược gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệugiữa client PPTP và máy chủ PPTP Các gói điều khiển cũng được dùng để gửicác thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữaclient PPTP và máy chủ PPTP Phần mềm client có thể nằm ở máy người dùng

từ xa hay nằm ở tại máy chủ của ISP

Mạng riêng đựoc bảo vệ

Gói dữ liệu IP,IPX, NETBEUI

Tiêu đề GRE Tiêu đề môi trường khung

Tiêu đề IP Tiêu đề phân phối môi trường

Khung Ethernet Gói tải PPP

Truy cập từ xa của ISP Mạng riêng ảo VPN

Hình 2.4:Các giao thức dùng trong một kết nối PPTP

Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữaclient và máy chủ PPTP Các gói PPTP chứa các gói dữ liệu IP Các gói dữ liệuđược đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập,ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm

PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trườngtruyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thứcnào? Ethernet, Frame Relay hay kết nối PPP?

Hình 2.5 : bọc gói PPTP/ GREPPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệutruyền đi Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói

b) Cấu trúc gói của PPTP

*Đóng gói dữ liệu đường hầm PPTP

Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng góikhung PPP,đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu

Cấu trúc gói dữ liệu đã được đóng gói

Tiêu đề IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được

mã hoá (IP, IPX, NETBEUI)

Phần đuôi liên kết dữ liệu

Tiêu đề

liên kết dữ liệu

Hình 2.6: Cấu trúc gói dữ liệu trong đường hầm PPTP

+ Đóng gói khung PPP

Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo

ra khung PPP Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bảnsửa đổi giao thức GRE

Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:

- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xácnhận 32 bit

- Trường Key được thay thế bằng trường độ dài Payload 16bit và trườngnhận dạng cuộc gọi 16 bit Trường nhận dạng cuộc goi Call ID được thiếtlập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP

- Một trường xác nhận dài 32 bit được thêm vào

GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửiqua mạng IP

+ Đóng gói các gói GRE

Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng góivới một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client vàPPTP server

+ Đóng gói lớp liên kết dữ liệu

Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong môhình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) vàphần kết thúc (Trailer) của lớp liên kết dữ liệu Ví dụ, Nếu IP datagram được gửiqua giao diện Ethernet thì sẽ được đóng gói với phần Header và TrailerEthernet Nếu IP datagram được gửi thông qua đường truyền WAN điểm tớiđiểm thì sẽ được đóng gói với phần Header và Trailer của giao thức PPP

- Xử lý và loại bỏ GRE Header và PPP Header

- Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết

- Xử lý phần payload để nhận hoặc chuyển tiếp

Tiêu đề IP

Tiêu đề GRE

Tiêu đề PPP

Tải PPP được

mã hoá (IP, IPX, NETBEUI)

Phần đuôi liên kết

- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giaodiện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN)

sử dụng NDIS (Network Driver Interface specification)

- NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu vàcung cấp PPP header Phần mào đầu PPP này chỉ bao gồm trường mã sốgiao thức PPP (PPP protocol ID field), không có các trường flag và FCS(frame check sequence) Giả định trưòng địa chỉ và điều khiển đã được thoảthuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol)trong quá trình kết nối PPP

- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP vớiphần mào đầu GRE Trong GRE header, trường Call ID đựoc đặt giá trịthích hợp để xác định đường hầm

- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửigói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sửdụng NDIS.

- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện chophần cứng quay số

c) Đường hầm

PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khácnhau Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máytính của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải

hỗ trợ PPTP) Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắtbuộc

Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng Khi sửdụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầmbảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởigiao thức TCP/IP bình thường Đường hầm tự nguyện thường được sư dụng đểcung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thôngqua Internet

Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trongsuốt đối với người dùng Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủtruy cập từ xa Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đềuphải thông qua RAS

Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thểtruy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so vớiđường hầm tự nguyện Nếu vì tính bảo mật mà không cho người dùng truy cậpInternet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internetcông cộng nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉcho truy cập và được các site trong VPN mà thôi)

Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiềuđiểm kết nối Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đaphiên làm việc

Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến ngườidùng nằm ngoài đường hầm nên dễ bị tấn công

Đường hầm bắt buộc

Hình 2.8 : đường hầm bắt buộc và đường hầm tự nguyện

Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đólà: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực ngườidùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻbài (token) hay thẻ thông minh (smart card)

d) Xác thực người dùng quay số từ xa (RADIUS)

RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểuclient/ server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ

xa của các người dùng trong các phiên làm việc RADIUS client/server sử dụngmáy chủ truy cập mạng NAS để quản lý kết nối người dùng Ngoài chức năngcủa máy chủ truy cập mạng nó còn có một số chức năng cho RADIUS client.NAS sẽ nhận dạng người dùng, thông in về mật khẩu rồi chuyển đến máy chủRADIUS Máy chủ RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từchối dữ liệu cấu hình cho NAS để cung cấp dịch vụ cho người dùng RADIUStạo một cơ sở dữ liệu tập trung về người dùng, các loại dịch vụ sẵn có, một dảimodem đa chủng loại Trong RADIUS thông tin người dùng được lưu trongmáy chủ RADIUS

RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùngcho mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thayđổi dữ liệu người dùng Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu ngườidùng từ máy chủ RADIUS Để RADIUS có thể điều khiển việc thiết lập mộtđường hầm, nó cần phải lưu các thuộc tính của đường hầm Các thuộc tính nàybao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ củamáy chủ và môi trường truyền dẫn trong đường hầm được sử dụng.

Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực vàcấp quyền:

- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm

- Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm

và cố gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm

- Xác thực tại hai đầu của đường hầm

Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điềukhiển tiến trình truy cập mạng Tuỳ chọn thứ hai có độ tin cậy trung bình, nóphụ thuộc cách RADIUS trả lời xác thực Tuỳ chọn thứ ba có độ tin cậy cao vàlàm việc tốt nếu như sử dụng máy chủ Proxy RADIUS

e) Xác thực và mã hoá

Các client PPTP được xác thực cũng tương tự như các client RAS được xácthực từ máy chủ PPP Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của ngườidùng PAP và CHAP có nhược điểm là cả hai dựa trên mật khẩu lưu tại máy đầu

xa và tại máy cục bộ Nếu như máy tính bị điều khiển bởi kẻ tấn công từ mạngthì mật khẩu sẽ thay đổi Với PAP và CHAP không thể gán các đặc quyền truycập mạng khác nhau cho những người dùng khác nhau tại cùng một máy tính ở

xa Bởi vì khi cấp quyền đã được gán cho một máy tính thì mọi người dùng tạimáy tính đó đều có đặc quyền truy cập mạng như nhau

Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm của Microsoft –MPPE (Microsoft point-to-Point Encryption) Phương thức này dựa trên chuẩnRSA RC4, giao thức điều khiển nén CCP (Compression Control Protocol) được

sử dụng bởi PPP để thoả hiệp việc mã hoá MS-CHAP được dùng để kiểm tratính hợp lý người dùng đầu cuối tại tên miền Windows NT

Máy chủ Computer

Client

IP, IPX, NETBEUI

IP, IPX, NETBEUI IP, IPX, NETBEUI

PPP

GRE

PPP GRE PPP

Hình 2.9: Mã hoá gói trong PPTP Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng tại Mỹ

có thể cài đặt một phần mềm nâng cấp lên 128 bit MPPE mã hoá các gói PPPtại client trước khi chuyển chúng vào đường hầm PPTP nên các gói được bảomật từ trạm làm việc đến máy chủ PPTP Việc thay đổi khoá phiên có thể đượcthoả thuận lại sau mỗi gói hay sau một số gói

f) Đường hầm kết nối LAN-LAN

Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nốivào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN không được hỗ trợ Mãi đến khi Microsoft giới thiệu máy chủ định hướng

và truy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thìmới hỗ trợ đường hầm kết nối LAN-LAN Kể từ đó các nhà cung cấp khác cũng

đã cung cấp các máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nốiLAN-LAN

Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống nhưIPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN Tuy nhiên, do kiến trúcPPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điềukhiển bởi CHAP hoặc thông qua MS-CHAP Để tạo đường hầm giữa hai site,máy chủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia Khi đó máychủ PPTP trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại,

do đó một đường hầm tự nguyện được tạo ra giữa hai site

Máy chủ PPTP Computer

Computer Computer

Mạng riêng đựoc bảo vệ

Máy chủ PPTP

Hình 2.10 : Đường hầm kết nối LAN-LAN

Do đường hầm PPTP có thể được đón gói bởi bất kỳ giao thức mạng nàođược hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tàinguyên tại site kia dựa trên quyền truy cập của họ Điều này có nghĩa là cần phải

có site quản lý để đảm bảo người dùng tại một site có quyền truy cập vào sitekia Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiếtlập một mối quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vàotài nguyên của các site

Máy chủ mạng PPTP

Mạng riêng

được bảo vệ

Mạng riêng được bảo vệ

Kết nối LAN-LAN

Client PPTP

Client PPTP

Bộ tập trung truy cập mạng PPTP

Kết nối Client -LAN NAS

Hình 2.11: Các thành phần cơ bản của một VPN sử dụng PPTP

Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm ngườicủa công ty quản lý nhưng NAS phải do ISP hỗ trợ

a) Máy chủ PPTP

Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kếtnối của đường hầm PPTP và chuyển các gói đến từ đường hầm tới mạng LANriêng Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP đểđược địa chỉ mạng của máy tính đích

Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP.Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vàoInternet , mạng riêng hay cả hai

Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu nhưmáy chủ PPTP nằm sau tường lửa PPTP được thiết kế sau cho chỉ có một cổngTCP/IP (1723) được sử dụng để chuyển dữ liệu đi Sự khiếm khuyết của cấuhình cổng này có thể làm cho tường lửa dễ bị tấn công hơn Nếu như tường lửađược cấu hình để lọc gói thì phải thiét lập nó cho phép GRE đi qua

Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có chức năngtương tự máy chủ PPTP được gọi là chuyển mạch đường hầm Mục đích củachuyển mạch đường hầm là mở rộng đường hầm từ một mạng đến một mạngkhác, trải rông đường hầm từ mạng của ISP đến mạng riêng Chuển mạch đườnghầm có thể được sử dụng tại tường lửa làm tăng khả năng quản lý truy cập từ xavào tài nguyên của mạng nội bộ, nó có thể kiểm tra các gói đến và về, giao thứccủa các khung PPP hoặc tên của người dùng từ xa

Client PPTP đã có sẵn ở Win NT, Win 9x và các hệ điều hành sau này Khichọn client PPTP cần phẩi so sánh các chức năng của nó với máy chủ PPTP đã

có Không phải tất cả các phần mềm client PPTP đều hỗ trợ MS-CHAP, nếuthiếu công cụ này thì không thể tận dụng được ưu điểm mã hoá trong RRAS

c) Máy chủ truy cập mạng RAS

Máy chủ truy cập mạng NAS còn có tên gọi khác là Máy chủ truy cập từ xa(Remote Access Server) hay bộ tập trung truy cập (Access Concentrator) NAScung cấp khả năng truy cập đường dây dựa trên phần mềm và có khả năng tínhcước và có khả năng chịu đựng lỗi tại ISP POP NAS của ISP được thiết kế chophép một số lượng lớn người dùng có thể quay số truy cập vào cùng một lúc.Nếu một ISP cung cấp dịch vụ PPTP thì cần phải cài một NAS cho phépPPTP, để hỗ trợ các client chạy trên các nền khác nhau như Unix, Windows,Macintosh Trong truờng hợp này, máy chủ ISP đóng vai trò như một clientPPTP kết nối với máy chủ PPTP tại mạng riêng và máy chủ ISP trở thành mộtđiểm cuối của đường hầm, điểm kết thúc còn lại là máy chủ tại đầu mạng riêng

2.2.3 Khả năng áp dụng trong thực tế của PPTP

PPTP là một giải pháp tạm thời vì hầu hết các nhà cung cấp đều có kếhoạch thay thế PPTP bằng L2TP khi mà giao thức này đã được chuẩn hoá PPTPthích hợp cho quay số truy cập với số lượng người dung giới hạn hơn là choVPN kết nối LAN–LAN Một vấn đề của PPTP là xử lý xác thực quyền ngườidùng thông qua Windows NT hay thông qua RADIUS Máy chủ PPTP cũng quatải với một số lượng người dùng quay số truy cập hay một lưu lượng lớn dữ liệutrưyền qua, mà điều này là một yêu cầu của kết nối LAN – LAN Khi sử dụngVPN PPTP mà có hỗ trợ thiết bị của ISP thì một số quyền quản lý phải chia sẻcho ISP Tính bảo mật của PPTP không mạnh bằng IPSec Tuy nhiên, quản ýbảo mật trong PPTP lại đơn giản hơn

2.3 Giao thức đường hầm lớp 2 - L2TP

Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP vàL2F- chuyển tiếp lớp 2 PPTP do Microsoft đưa ra còn L2F do Cisco khởixướng Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng kýchuẩn hoá tại IETF

Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đónggói riêng cho việc truyền các gói ở lớp 2 Một điểm khác biệt chính giữa L2F vàPPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ởmôi trường vật lý khác Bởi vì GRE không sử dụng như giao thức đóng gói, nênL2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác.Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực Có hai mức

xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ởcổng nối của mạng riêng sau khi kết nối được thiết lập

L2TP mang dặc tính của PPTP và L2F Tuy nhiên, L2TP định nghĩa riêngmột giao thức đường hầm dựa trên hoạt động của L2F Nó cho phép L2TPtruyền thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay,ATM Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng

IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làmgiao thức đường hầm Một mạng ATM hay frame Relay có thể áp dụng chođường hầm L2TP

Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng cácgiao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặcNETBEUI Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAPhay RADIUS

Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xâydựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windowsnhưng công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 vàWindows 98

2.3.1 Dạng thức của L2TP

Các thành phần chức năng của L2TP bao gồm: giao thức điểm-điểm,đường hầm, hệ thống xác thực và mã hoá L2TP có thể sử dụng quản lý khoá đểtăng thêm độ bảo mật Kiến trúc của L2TP như hình vẽ:

Hình 2.12: kiến trúc của L2TP

a) PPP và L2TP

L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cậpmạng NAS L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xácthực ban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc.Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấpnhận người dùng và sẵn sàng đóng vai trò là điểm kết thúc của đường hầm chongười dùng đó Sau khi đường hầm được thiết lập, L2TP sẽ đóng các gói PPPrồi truyền lên môi trường mà ISP gán cho đường hầm đó L2TP có thể tạo nhiềuđường hầm giữa NAS của ISP và máy chủ mạng, và gán nhiều phiên làm việccho đường hầm L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiênlàm việc và chèn vào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làmviệc nào?

Ta có thể thực hiện chọn và gán một phiên làm việc của người dùng vàomột đường hầm thay vì ghép nhiều phiên làm việc vào một đường hầm, với cáchnày cho phép gán các người dùng khác nhau vào các môi truờng đường hầm tuỳtheo chất lượng dịch vụ

Mạng riêng đựoc bảo vệ

Gói dữ liệu IP, IPX, NETBEUI

Tiêu đề IP Tiêu đề môi trường khung

Tiêu đề phân phối môi trường (IP, ATM, X.25)

Khung Ethernet Gói tải PPP

Truy cập từ xa của ISP Mạng riêng ảo VPN

Hình 2.13: các giao thức sử dụng trong một kết nối L2TP

Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báođiều khiển và thông báo dữ liệu Thông báo điều khiển có chức năng điều khiểnviệc thiết lập, quản lý và giải phóng phiên làm việc trên đường hầm Thông báođiều khiển cũng cho ta biết tốc độ truyền và tham số của bộ đệm dùng để điều

khiển luồng các gói PPP trong một phiên làm việc Tuy nhiên, L2TP truyền cảhai loại thông báo này trên cùng gói dữ liệu UDP và chung trên một luồng.

Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSInên trong thông báo dữ liệu L2TP bao gồm tiêu đề môi trường để chỉ ra đườnghầm làm việc trong môi trường nào? Tuỳ thuộc vào ISP mà môi trường có thể làEthernet, X.25, Frame Relay, ATM, hay liên kết PPP

Tải PPPPPP

Hình 2.14: Bọc gói L2TPL2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung truycập L2TP_ LAC (L2TP Access Concentrator)) và máy chủ của mạng riêng (haymáy chủ mạng L2TP _LNS ( L2TP network Server) )

b) Cấu trúc gói dữ liệu L2TP

*Đóng gói dữ liệu đường hầm L2TP

Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức đóng gói.Hình vẽ chỉ ra cấu trúc cuối cùng của dữ liệu đường hầm L2TP trên nền IPSec

Tiêu đề UDP

Tiêu đề L2TP

Tiêu đề PPP

Tải PPP (IP, IPX, NetBEUI)

Phần đuôi ESP IPSec

Phần đuôi nhận thực ESP IPSec

Phần đuôi liên kết

dữ liệu Được mã hoá

Gói IPSec được đóng gói với IP header chứa địa chỉ IP ngưồn và đích của VPNclient và VPN server.

+ Đóng gói lớp liên kết dữ liệu

Do đường hầm L2TP hoạt động ở lớp 2 của mô hình OSI- lớp liên kết dữliệu nên các IP datagram cuối cùng sẽ được đóng gói với phần header và trailertương ứng với kỹ thuật ở lớp đường truyền dữ liệu của giao diện vật lý đầu ra

Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet thì IPdatagramnày sẽ được đóng gói với Ethernet header và Ethernet Trailer Khi các IPdatagram được gửi trên đường truyền WAN điểm-tới-điểm (chẳng hạn đườngdây điện thoại hay ISDN, ) thì IPdatagram được đóng gói với PPP header vàPPP trailer

* Xử lý dữ liệu đường hầm L2TP trên nền IPSec

Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hayL2TP server sẽ thực hiện các bước sau:

- Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu

- Xử lý và loại bỏ IP header

- Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESPheader

- Dùng IPSec ESP header để giải mã phần gói đã mật mã

- Xử lý UDP header và gửi gói L2TP tới lớp L2TP

- L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đườnghầm L2TP cụ thể

- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giaothức để xử lý

* Sơ đồ đóng gói L2TP trên nền IPSec

Sơ đồ đóng gói L2TP qua kiến trúc mạng từ một VPN client thông qua mộtkết nối VPN truy cập từ xa sử dụng một modem tương tự như hình vẽ:

Tiêu đề UDP

Tiêu đề L2TP

Tiêu đề PPP

Tải PPP (IP, IPX, NetBEUI)

Phần đuôi ESP IPSec

Phần đuôi nhận thực ESP IPSec

Phần đuôi liên kết

dữ liệu Được mã hoá

Được xác thực

Hình 2.16: Sơ đồ đóng gói L2TP Các bước của quá trình:

- Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giaodiện ảo đại diện cho kết nối VPN sử dụng NDIS bằng giao thức thích hợp

- NDIS đưa Packet tới NDISWAN, tại đây có thể nén và cung cấp PPPheader chỉ bao gồm trường PPP protocol ID Các trường Flag hay FCSkhông được thêm vào

- NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP framevới một L2TP header Trong L2TP header, Tunnel ID và Call ID đượcthiết lập các giá trị thích hợp để xác định đường hầm

- Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin để gửigói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng 1701 với cácđịa chỉ IP của VPN client và VPN server

- Giao thức TCP/IP xây dựng một gói IP với các IP header và UDP headerthích hợp Sau đó IPSec sẽ phân tích gói IP và so sánh với ác chính sáchIPSec hiện thời Dựa trên những thiết lập trong chính sách, IPSec đóng gói

và mật mã phần bản tin UDP của gói tin IP sử dụng các ESP header vàESP trailer phù hợp IP header ban đầu với Protocol field được dặt là 50được thêm vào phía trước của gói ESP Giao thức TCP/IP sau đó gửi gói

tin thu được tới giao diện đại diện cho kết nối quay số tới ISP địa phương

sử dụng NDIS

- NDIS gửi gói tới NDISWAN

- NDISWAN cung cấp PPP header, PPP trailer và gửi khung PPP thu đựoctới cổng WAN thích hợp đại diện cho phần cứng dial-up

c) Đường hầm L2TP

L2TP sử dụng những lớp đường hầm tương tự như PPTP, tuỳ theo ngườidùng sử dụng là client PPP hay client L2TP mà sử dụng đường hầm là tựnguyện hay bắt buộc

Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mụcđích cụ thể Khi sử dụng đường hầm tự nguyện thì người dùng có thể đồng thời

mở đường hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất

kỳ trên Internet theo giao thức TCP/IP bình thường Điểm kết thúc của đườnghầm tự nguyện nằm ở máy tính người dùng Đường hầm tự nguyện thường được

sử dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet gửithông qua Internet

Internet

mạng L2TP Client L2TP

Client L2TP

Computer

Computer Computer

Máy chủ mạng L2TP

Mạng riêng

được bảo vệ

Mạng riêng được bảo vệ

Đường hầm bắt buộc (L2TP)

Hình 2.17: Các đường hầm tự nguyện và bắt buộc

Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từphía nguời dùng và không cho phép người dùng chọn lựa Do đường hầm bắtbuộc được tạo ra không thông qua người dùng nên nó trong suốt đối với ngườidùng đầu cuối Đường hầm bắt buộc định trước điểm kết thúc, nằm ở LAC củaISP và nên kiểu đường hầm này điều khiển truy cập tốt hơn so với đường hầm tựnguyện Nếu như vì tính bảo mật mà không cho người dùng truy cập vàoInternet công cộng nhưng vẫn cho phép dùng Internet để truy nhập VPN.

Một ưu điểm của đường hầm bắt buộc là một đường hầm có thể tải nhiềukết nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làmviệc Một khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến ngườidùng nằm ngoài đường hầm nên đẽ bị tấn công

Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm chongười dùng, nhưng điều này gây lãng phí tài nguyên mạng Có cách khác chophép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đường hầm động.Những đường hầm động này được thiết lập trong L2TP bằng cách kết nối vớimáy chủ RADIUS

Để RADIUS có thể điều khiển việc thiết lập một đường hầm thì nó cầnphải lưu các thuộc tính của đường hầm Các thuộc tính này bao gồm: giao thứcđường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trườngtruyền dẫn trong đường hầm được sử dụng Sử dụng máy chủ RADIUS để thiếtlập đường hầm bắt buộc có một số ưu điểm như:

- Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thựcngười dùng

- Tính cước thể dựa trên số điện thoại hoặc các phương thức xác thực khác

d) Xác thực và mã hóa trong L2TP

Quá trình xác thực người dùng trong L2TP điễn ra trong 3 giai đoạn: giaiđoạn 1 diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) điễn ra ở máy chủcủa mạng riêng

Trong giai đoạn đầu, ISP sử dụng số điện thoại của người dùng hoặc tênngười dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đườnghầm đến máy chủ mạng riêng Khi đường hầm được thiết lập, LAC của ISP chỉđịnh một số nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trongđường hầm và khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủcủa mạng riêng Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2