Đang tải... (xem toàn văn)
Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 7'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Set-Link-Info Call-Clear-Request Call-DisconnectNotify WAN-Error-Notify Stop-ControlConnection-Request Stop-ControlConnection-Reply Thơng điệp từ phía khác tới thiết lập lựa chọn liên quan đến PPP Thông điệp từ PPTP client bắt đầu kết thúc đường hầm Phản hồi từ PPTP server tới Call-Clear-Request Client Nó thơng điệp khởi tạo việc kết thúc đường hầm từ Server Thông điệp từ PPTP server đến tất PPTP Client kết nối để thông báo lỗi giao diện PPP server Thông điệp từ PPTP client server để thông báo đến thực thể cuối khác để kết thúc kiểm soát kết nối Phản hồi từ thực thể cuối bên tới thơng điệp Stop-ControlConnection-Request Như mơ tả hình 2.8, thơng điệp kiểm sốt PPTP đóng gói vào gói TCP Vì vậy, sau thiết lập kết nối PPP với Server Client từ xa, kết nối TCP thiết lập Kết nối sau thường dùng để trao đổi thơng điệp kiểm sốt PPTP IP TCP PPTP Control Data Link TCP Header Message Trailer Header Hình 2.8 Kiểm sốt PPTP gói liệu TCP Data Link Header Xử lý định đường hầm liệu PPTP Một gói liệu PPTP phải trải qua nhiều giai đoạn đóng gói Đó giai đoạn sau: Bao gói liệu: Thơng tin gốc mã hố sau bao gói vào bên Frame PPP Một tiêu đề PPP thêm vào Frame Bao gói Frame PPP: Frame PPP kết sau bao gói vào đóng gói định tuyến chung(GRE) sửa đổi Tiêu đề GRE sửa đổi chứa trường ACK byte bit ACK tương ứng thông báo có mặt trường ACK Hơn nữa, trường khố frame GRE thay trường có độ dài byte gọi độ dài tải trường có độ dài byte gọi định danh gọi PPTP client thiết lập trường tạo đường hầm PPTP Bao gói gói liệu GRE: Tiếp theo, tiêu đề IP thêm vào khung PPP, bao gói vào gói GRE Tiêu đề IP chứa địa IP PPTP client nguồn PPTP Server đích Bao gói tầng liên kết liệu: Như biết, PPTP giao thức tạo đường hầm tầng 2, vậy, tiêu đề tầng liên kết liệu lần theo đánh dấu quy luật quan trọng đường hầm liệu trước đặt lên phương tiện truyền phát, tầng liên kết liệu thêm vào tiêu đề đánh dấu cho gói liệu Nếu gói liệu phải chuyển qua đường hầm PPTP cục bộ, gói liệu đóng gói vào đánh dấu tiêu đề theo công nghệ - LAN(như Ethenet chẳng hạn) Mặt khác, đường hầm trải qua liên kết WAN, tiêu đề đánh dấu thêm vào gói liệu lần PPP Payload Encryption Encryption PPP Payload Data Link Header PPP Header Encryption PPP Payload GRE Header PPP Header Encryption PPP Payload IP Header GRE Header PPP Header Encryption PPP Payload IP Header GRE Header PPP Header Encryption PPP Payload Data Link Trailer Hình 2.9 Mơ tả tiến trình xử lý liệu PPTP đường hầm Chú ý: GRE chế đóng gói thơng dụng đơn giản cho liệu dựa IP GRE thường dùng ISP để chuyển tiếp thông tin định tuyến Intranet họ Tuy nhiên, Router backbone thuộc Internet ISP lọc lưu lượng dựa GRE Vì đường hầm thiết lập mang liệu cách an tồn bí mật tới người nhận Khi liệu PPTP truyền thành công đến người nhận, người nhận phải xử lý gói liệu đóng gói đường hầm để thu liệu gốc Quá trình ngược lại với trình định đường hầm liệu PPTP Như ta thấy hình 2.10, để lấy lại liệu gốc Node PPTP người nhận phải thực bước sau: - Người nhận loại bỏ tiêu đề đánh dấu tầng liên kết liệu thêm vào người gửi - Tiếp đó, loại bỏ tiêu đề GRE - Tiêu đề IP xử lý loại bỏ - Tiêu đề PPP xử lý loại bỏ - Cuối cùng, thông tin gốc giải mã (nếu yêu cầu) Dada Link IP Header Header GRE Header PPP Encryption PPP Data Link Header Payload Trailer IP Header GRE Header PPP Encryption PPP Header Payload GRE Header PPP Encryption PPP Header Payload PPP Encryption PPP Header Payload Encryption PPP Payload Decryption PPP Payload Hình 2.10 Qúa trình xử lý gói liệu để nhận gói liệu gốc 2.2.1.4 Bảo mật PPTP PPTP đưa nhiều dịch vụ bảo mật xây dựng sẵn khác cho PPTP Server Client Các dịch vụ bảo mật bao gồm: Mã hóa nén liệu, xác thực, kiểm soát truy cập lọc gói tin Hơn chế bảo mật đề cập trên, PPTP dùng chung với Firewall Router Mã hoá nén liệu PPTP PPTP không cung cấp chế mã hố để bảo mật liệu Thay vào đó, sử dụng dịch vụ mã hố đề xuất PPP PPP sử dụng mã hoá Microsoft Point–to-Point, dựa phương pháp mã hố chia sẻ bí mật 2 Xác thực liệu PPTP PPTP hỗ trợ chế xác thực Microsoft sau đây: a Giao thức xác thực có thăm dị trước Microsoft(MS-CHAP) MS-CHAP phiên thương mại Microsoft dùng cho xác thực dựa PPP Vì tương đồng cao với CHAP, chức MS-CHAP giống với CHAP Điểm khác chúng CHAP dựa RSA thuật toán MD5 MS-CHAP dựa RSA RCA DES Mục đích MS-CHAP phát triển cho sản phẩm Microsoft, khơng hỗ trợ khác b Giao thức xác thực mật khẩu(PAP) Là giao thức đơn giản giao thức xác thực đường quay số thơng dụng Nó dùng để xác thực kết nối dựa PPP Tuy nhiên gửi ID mật người dùng qua liên kết mà khơng mã hố Và vậy, không đưa bảo vệ từ việc phát lại hay thử lặp công lỗi Một lỗ hỗng PAP khác thực thể truyền thông cuối xác thực lần khởi tạo kết nối Vì vậy, kẻ cơng vượt qua lần khơng cịn phải lo lắng vấn đề xác thực tương lai nữa! Vì lý này, PAP xem giao thức xác thực phức tạp khơng phải chế xác thực ưa thích VPN Kiểm soát truy cập PPTP Sau Client PPTP từ xa xác thực thành công, truy cập đến tài nguyên mạng bị hạn chế mục đích bảo mật nâng cao Mục tiêu hoàn thành việc thực thi bổ sung chế kiểm soát truy cập như: Quyền truy cập, mức cho phép, nhóm lọc gói PPTP Lọc gói PPTP cho phép Server PPTP mạng riêng chấp nhận định tuyến gói từ Client PPTP xác thực thành công Kết là, Client PPTP xác thực truy cập lại tới mạng từ xa xác định Trong cách này, PPTP không cung cấp chế xác thực, kiểm soát truy cập mã hố, mà cịn làm tăng thêm an toàn mạng PPTP với FireWall Router Các thiết bị PPTP chấp nhận lưu lượng TCP IP cổng 1723 47 Tuy nhiên, PPTP dùng chung với FireWall Router, lưu lượng dự tính cho cổng định tuyến qua Firewall Router, chúng lọc lưu lượng sở danh sách kiểm sốt truy cập (ACL) sách bảo mật khác, PPTP nâng cao dịch vụ bảo mật mà đưa 2.2.1.5 Các tính PPTP Tính sẵn có PPTP hỗ trợ nhiều hệ điều hành: Window NT Server, Workstation Vì vậy, PPTP thực sẵn có Platform người sử dụng Không cần mua thêm phần mềm bổ sung Microsoft đưa cách nâng cấp PPTP tất phiên Windows, bổ sung nhiều nhánh Switch truy cập từ xa thiết bị Ascend, 3Com ECI Telematics PPTP trở thành phần gói tin hệ điều hành mạng phần lớn Switch truy cập từ xa Một nhà quản trị mạng Window NT thử nghiệm VPN mà khơng cần tốn thêm chi phí Dễ thi hành Nhiều nhà quản trị mạng Window NT quen thuộc với cách thiết lập giao thức mạng RAS sử dụng PPTP khơng khó khăn với họ Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua ISP sử dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP cần bổ sung địa IP RAS Server vào Profile họ, ISP dễ dàng đóng gói gói tin PPP theo khn dạng PPTP Tạo đường hầm đa giao thức Đây tính vượt trội PPTP, vài phần mềm tạo đường hầm cho phép tạo đường hầm với gói tin IP giao thức PPTP tạo đường hầm cho tất giao thức mà máy chủ RAS cho phép Khả sử dụng địa IP không đăng ký cách đồng Khi người dùng VPN tạo kết nối PPTP tới máy chủ RAS máy chủ gán cho địa IP Địa phần dãi địa IP tổ chức thế, hệ thống người sử dụng RAS trực tuyến mạng IP tổ chức Các tổ chức khơng sử dụng địa IP đăng ký (là địa cung cấp quan có thẩm quyền, hệ thống mạng) hệ thống mạng riêng Cơ quan thẩm quyền Internet Assigned Numbers (IANA) thiết lập khối địa IP không đăng ký để sử dụng mạng riêng Intranet hệ thống mạng không cho phép truy cập Internet hay truy cập qua Router Nếu công ty có sử dụng tập địa khơng đăng ký RAS Client sử dụng giao thức PPTP để thiết lập kết nối, cung cấp địa số địa truy cập tới ... thẩm quyền, hệ thống mạng) hệ thống mạng riêng Cơ quan thẩm quyền Internet Assigned Numbers (IANA) thiết lập khối địa IP không đăng ký để sử dụng mạng riêng Intranet hệ thống mạng không cho phép... thực bước sau: - Người nhận loại bỏ tiêu đề đánh dấu tầng liên kết liệu thêm vào người gửi - Tiếp đó, loại bỏ tiêu đề GRE - Tiêu đề IP xử lý loại bỏ - Tiêu đề PPP xử lý loại bỏ - Cuối cùng, thông... liên kết mà khơng mã hố Và vậy, khơng đưa bảo vệ từ việc phát lại hay thử lặp công lỗi Một lỗ hỗng PAP khác thực thể truyền thông cuối xác thực lần khởi tạo kết nối Vì vậy, kẻ cơng vượt qua lần