Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 11'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
Stop-Control-ConnectionReply Stop-Control-ConnectionNotification Phản hồi ngược lại từ thực thể cuối thông điệp Stop-Control-Connection-Request Phản hồi ngược lại từ thực thể cuối biết đường hầm bị kết thúc 2.2.3.6 Bảo mật L2TP L2TP sử dụng phương thức xác thực PPP để xác thực người dùng Sơ đồ xác thực bao gồm: - PAP SPAP - EAP - CHAP Ngồi chế xác thực nói L2TP sử dụng IPSec để xác thực gói liệu riêng Mặc dù điều làm giảm đáng kể tốc độ giao dịch Dùng IPSec để xác thực gói đảm bảo Hacker Cracker thay đổi liệu đường hầm bạn 2.2.3.7 Những ưu nhược điểm L2TP Những thuận lợi L2TP liệt kê sau: - L2TP giải pháp chung Trong nhiều trường hợp khác, độc lập với Platform, hỗ trợ nhiều cơng nghệ mạng Hơn nữa, hỗ trợ giao dịch qua liên kết WAN Non-IP mà không cần IP - Đường hầm L2TP suốt ISP với người dùng từ xa Vì khơng cần phải cấu hình thêm ISP người dùng cuối - L2TP cho phép tổ chức kiểm soát xác thực người dùng thay cho ISP - L2TP cung cấp kiểm soát luồng kết gói liệu bị loại bỏ cách tuỳ ý đường hầm bị đầy Điều làm cho giao dịch L2TP nhanh giao dịch dựa L2F - L2TP cho phép người dùng từ xa chưa đăng ký địa IP truy cập tới mạng từ xa qua mạng công cộng - L2TP nâng cao bảo mật sử dụng mã hóa đường truyền tải dựa IPSec tạo lập đường hầm thực thi khả xác thực gói IPSec Tuy nhiên có số nhược điểm Đó là: - L2TP chậm PPP L2F sử dụng IPSec để xác thực gói tin nhận 2.2.4 So sánh giao thức đường hầm truy cập từ xa Bảng sau đưa so sánh giao thức đường hầm truy cập từ xa bật, L2F, PPTP, L2TP Bảng 2.3 Tổng hợp so sánh giao thức VPN tích hợp với tầng Feature PPTP L2F L2TP Hỗ trợ nhiều giao thức Yes Yes Yes Hỗ trợ nhiều liên kết PPP Hỗ trợ nhiều kết nối đường hầm Các chế độ hoạt động hỗ trợ Các chế độ đường hầm hỗ trợ Giao thức Carrier No No Yes Yes Yes Yes Giao thức kiểm soát TCP, Port: UDP, Port: 1701 1723 MS-CHAP, CHAP, PAP, SPAP, EAP, PAP IPSec, RADIUS RADIUS & & TACACS MPPE MPPE, IPSec Các chế xác thực Các chế mã hoá Incoming & Incoming Outgoing Voluntary Voluntary & Compulsory IP/GRE IP/UDP, IP/FR, IP/ATM Incoming Voluntary & Compulsory IP/UDP, IP/FR, IP/ATM UDP, Port: 1701 CHAP, PAP, SPAP, EAP, IPSec, TACACS MPPE, IPSec, ECP 2.5 Lập mã xác thực giao thức đường hầm tầng Phần thảo luận tùy chọn xác thực mã hóa sử dụng cho giao thức đường hầm tầng đề cập 2.5.1 Các tùy chọn xác thực Xác thực yêu cầu then chốt với giải pháp VPN, số kỹ thuật xác thực truy cập từ xa thường sử dụng thích hợp chúng cho giải pháp VPN 2.5.1.1 Giao thức xác thực mật (Password Authentication Protocol PAP) Là giao thức đơn giản giao thức xác thực kết nối đường quay số tới ISP thơng dụng Nó dùng để xác thực kết nối dựa PPP, xác thực người dùng PPP trước kết nối thiết lập Tuy nhiên gửi ID mật người dùng qua liên kết mà khơng mã hố Và vậy, khơng đưa bảo vệ từ việc phát lại hay thử lặp công lỗi PAP có lỗ hỗng khác thực thể truyền thông cuối xác thực lần khởi tạo kết nối Vì vậy, kẻ cơng vượt qua lần khơng cịn phải lo lắng vấn đề xác thực tương lai nữa! Vì lý này, PAP xem giao thức xác thực phức tạp khơng phải chế xác thực ưa thích VPN 2.5.1.2 Giao thức xác thực có thăm dị trước (Challenge Handshake Authentication Protocol - CHAP) CHAP phát triển để nhằm vào việc giải vấn đề gửi mật dạng rõ sử dụng PAP Trong CHAP Client thay đổi định danh, đáp lại giá trị hàm băm nhận qua hàm băm MD5 Nếu giống với giá trị Server cuối sử dụng thủ tục Client Client xác thực thành cơng, khơng có mật rõ trao đổi tiến trình Vấn đề khác thường tích hợp với PAP thực thể truyền thơng cuối xác thực lần tiến trình trao đổi thơng tin Vì CHAP xác thực nhiều lần phiên, tạo khó khăn cho kẻ cơng muốn phá vỡ q trình truyền thơng 2.5.1.3 Giao thức xác thực có thăm dị trước Microsoft (Microsoft CHAP) MS-CHAP phiên thương mại Microsoft dùng cho xác thực dựa PPP Vì tương đồng cao với CHAP, chức MS-CHAP giống với CHAP Điểm khác chúng CHAP dựa RSA thuật tốn MD5 MS-CHAP dựa RSA RCA DES Mục đích MS-CHAP phát triển cho sản phẩm Microsoft, khơng hỗ trợ khác 2.5.1.4 Giao thức xác thực mật Shiva (Shiva Password Authentication Protocol - SPAP) SPAP phương pháp độc quyền cho việc xác thực Client quay số số Client Microsoft Nó cung cấp giao thức thăm dò trước bước Client Server với Password mã hóa Trong số kịch bản, SPAP cung cấp thêm số chức CallBack, đổi mật tạo kết nối ảo 2.5.1.5 Giao thực xác thực mở rộng (Extensible Authentication Protocol EAP) Không giống phương pháp PAP CHAP, chúng thực thi thời gian cấu hình LCP, thiết lập kết nối PPP EAP thực sau pha LCP, lúc xác thực PPP thực Vì lý đó, EAP cho phép xác thực phạm vi rộng tăng số lượng tham số kết nối dùng tuỳ chọn thông tin xác thực 2.5.1.6 Kiến trúc bảo mật IP (IP Security) Kiến trúc IPSec bao gồm giao thức: Giao thức xác thực tiêu đề (Authentication Header - AH) giao thức bao gói tải bảo mật(Encapsulating Security Payload - ESP) Cả giao thức xác thực gói liệu phiên làm việc, thay cho người dùng thời điểm thiết lập phiên làm việc hay nhiều lần phiên AH ESP cung cấp bảo vệ lại Điều làm cho xác thực IPSecurity an toàn nhiều so với tùy chọn xác thực PPP truyền thống, phát sinh trình xử lý Overhead cao thiết bị thực IPSec giao thức bảo mật khuyến cáo cho L2TP sử dụng với L2F với PPTP mặt lý thuyết 2.5.1.7 RADIUS and TACACS RADIUS TACACS cung cấp trung tâm xác thực với người dùng truy cập từ xa Cả công nghệ làm việc theo cách tương tự Một Server truy cập từ xa thực thi RADIUS hay TACACS Client để chuyển tiếp yêu cầu xác thực tới Server trung tâm, nơi yêu cầu xử lý cấp quyền truy cập từ chối truy cập RADIUS TACACS cho phép chuyển thơng tin cấu hình từ Client tới sở liêu trung tâm RADIUS kết nối vào hệ thống xác thực trung tâm khác Kerberos, DCE RACF 2.5.1.8 ID bảo mật ID bảo mật phát triển công ty Security Dynamic, dựa khả xác thực nhân tố Người dùng không yêu cầu Password để xác thực thành cơng mà cịn mã PIN bí mật dạng số ngẫu nhiên thay đổi qua lần Password lưu trữ sở liệu Server so sánh với Password người dùng nhập vào đăng nhập Số ngẫu nhiên tạo cho người dùng Server thay đổi khoảng thời gian định Người dùng cung cấp thiết bị dạng thẻ chứa khoá (key chain token) thẻ thơng minh (smart card), có chip vi xử lý thực việc tính tốn số ngẫu nhiên giống Server Chip có đồng hồ đồng hồn tồn với Server người dùng có khả đăng nhập thành công việc nhập vào Password PIN có thiết bị thẻ SecureID dựa mơ hình Client/Server tương tự với RADIUS TACACS, Server truy cập hoạt động Client/Proxy SecureID để chuyển tiếp yêu cầu xác thực tới Server trung tâm, Server thường gọi ACE/Server SecureID dùng hệ thống xác thực thứ cấp với RADIUS 2.5.2 Tuỳ chọn mã hoá Mã hoá trao đổi khoá yêu cầu then chốt với VPN, phần sau ta thảo luận số kỹ thuật mã hoá truy cập từ xa thường sử dụng thích hợp chúng với VPN 2.5.2.1 Mã hoá điểm tới điểm Microsoft(Microsoft Point-to-Point Encryption - MPPE) MPPE sử dụng hàm băm MD4 tạo xác thực phương pháp MSCHAP để nhận khóa mật cho kết nối PPP Đây phương pháp mã hố điển hình dùng cho PPTP với Client Microsoft Thuật toán mã hoá dùng cho MPPE RC4 với khố 40bit, xem yếu với kỹ thuật Hacker tiên tiến ngày Microsoft đưa phiên với khoá 128bit cho thị trường Mỹ Microsoft thực thi PPTP theo cách thức sau 256 gói liệu mã hóa Refresh lại khóa 2.5.2.2 Giao thức kiểm sốt mã hóa(Encryption Control Protocol - ECP) ECP dùng để thương lượng mã hóa với kết nối PPP, làmột kết nối thiết lập xác thực ECP cho phép sử dụng thuật toán mã hóa khác thị khơng cung cấp khả Refresh khóa Thuật tốn mã hóa chuẩn DES khách hàng tự chọn thuật tốn mà họ ưa thích để thực 2.5.2.3 IPSec IPSec mang lại chức mã hóa với giao thức đóng gói tải bảo mật sử dụng giao thức trao đổi khóa Internet cho việc sinh khóa làm tươi khóa ESP ... thảo luận số kỹ thuật mã hoá truy cập từ xa thường sử dụng thích hợp chúng với VPN 2.5.2.1 Mã hoá điểm tới điểm Microsoft(Microsoft Point-to-Point Encryption - MPPE) MPPE sử dụng hàm băm MD4 tạo. .. liên kết mà khơng mã hố Và vậy, không đưa bảo vệ từ việc phát lại hay thử lặp công lỗi PAP có lỗ hỗng khác thực thể truyền thông cuối xác thực lần khởi tạo kết nối Vì vậy, kẻ cơng vượt qua lần... tiến trình Vấn đề khác thường tích hợp với PAP thực thể truyền thông cuối xác thực lần tiến trình trao đổi thơng tin Vì CHAP xác thực nhiều lần phiên, tạo khó khăn cho kẻ cơng muốn phá vỡ q trình