Một giải pháp VPN cần thiết phải cung cấp được tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng truyền. Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên quan đến khả năng đảm bảo độ trễ dich vụ trong một phạm vi nhất định hoặc liên quan đến cả hai vấn đề trên.
Mặc dù VPN đã xuất hiện trên thị trường khoảng 2 năm trở lại đây nhưng các tiêu chuẩn liên quan đến dịch vụ này vẫn chưa được tiêu chuẩn hóa một cách toàn diện, các nhà sản xuất thiết kế vẫn phát triển các tiêu chuẩn kỷ thuật tiêng của mình.
Vì vậy cần chú ý lựa chọn thiết bị nào trong khi phát triển mạng riêng ảo, cũng như đảm bảo tính đồng bộ của thiết bị sử dụng. Trên thế giới hiện có tới 60 giả pháp khác nhau liên quan đến.
2. CÁC GIAO THỨC KẾT NỐI TUNNEL TRONG VPN
Trong VPN có 3 giao thức chính để xây dựng một mạng riêng ảo hoàn chỉnh đó là:
- IPSEC (IP Security)
- PPTP (Point to Point Tuneling Protocol) - L2TP (Layer 2 Tunneling Protocol)
Tùy vào từng ứng dụng và mục đích cụ thể mà mỗi giao thức có thể có những ưu nhược điểm khác nhau khi triển khai vào mạng VPN.
Trong đồ án này sẽ thực hiện triển khai mô hình VPN trên máy ảo sử dụng giao thức PPTP nên chúng ta sẽ chỉ đi sâu nghiên cứu giao thức PPTP.
2.1 Giao thức IPSEC
IPSEC là sự tập hợp của các chuẩn mở được thiết lập để đảm bảo sự cẩn mật dữ liệu, đảm bảo tính toàn vẹn dữ liệu, và chứng thực dữ liệu giữa các thiết bị tham gia VPN. Các thiết bị này có thể là các host hoặc các Sercurity Gateway (Router, Firewalls, VPN concentralor,…) hoặc là giữa một host và một Gateway như trong trường hợp Remote Access VPN. IPSEC bảo vệ đa luồng dữ liệu giữa các Peers, và 1 Gateway có thể hỗ trợ đồng thời nhiều nguồn dữ liệu.
IPSEC hoạt động ở lớp mạng và sử dụng giao thức Internet Key Exchange (IKE) để thỏa thuận các giao thức giữa các bên tham gia và IPSEC sẽ phát khóa mã hóa và xác thực để dùng.
Vị trí của IPSEC trong mô hình OSI
Ưu , nhược điểm của IPSEC
o Ưu điểm:
- Khi IPSEC được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSEC có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải sử lý thêm các công việc liên quan đến bảo mật.
- IPSEC được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSEC được triển khai.
- IPSEC có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phứt tạp mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.
o Nhược điểm:
- Tất cả các gói được xử lý theo IPSEC sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kỹ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.
- IPSEC được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSEC vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phần mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia.
2.2 Giao thức Point-to-Point Tunneling Protocol (PPTP) 2.2.1 Khái quát về PPTP 2.2.1 Khái quát về PPTP
PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa Remote Client và Enterprise Server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trung gian. Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend Communications, 3COM, US Robotics, và ECI Telematics) , PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn. PPTP không những tạo ra điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn qua mạng riêng intranet.
PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho những kết nối từ xa. Giao thức PPTP là một sự mở rộng của giao thức PPP cơ bản cho nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà có nó chỉ hỗ trợ kết nối từ điểm tới điểm.
Mô hình VPN sử dụng giao thức PPTP
PPTP chỉ hỗ trợ IP, IPX, Net BEUI, PPTP không làm thay đổi PPP mà nó chỉ là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông PPP.
Minh họa một gói tin PPTP
2.2.2 Bảo mật trong PPTP
PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server. Những dịch vụ này bao gồm các dịch vụ sau: (adsbygoogle = window.adsbygoogle || []).push({});
• Mã hóa và nén dữ liệu.
• Thẩm định quyền ( Authentication).
• Điều khiển truy cập ( Accsee control).
• Trích học Packet.
Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kết hợp với firewall va router.
Mã hóa và nén dữ liệu PPTP
PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu. Thay vì nó dùng dịch vụ mã hóa được đưa ra bởi PPP. PPP lần lượt dùng Microsoft Point-to-Point Encryption (MPPE), đây là phương pháp mã hóa shared secret.
Phương pháp shared secret thường dùng trong mục đích mã hóa trong trường hợp PPP là ID của người dùng và nó tương ứng với mật khẩu. 40-bit session key thường dùng để mã hóa user. Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4. Khóa này được dùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel. Tuy nhiên, 40- bit key thì quá ngắn và quá yếu kém đói với các kĩ thuật hack ngày nay. Vì thế, phiên bản 128-bit key ra đời. Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải được làm tươi sau 256 gói packet.
PPTP Data Authentication IP
Header HeaderGRE HeaderPPP (IP datagram, IPX datagram, NetBEUI frame)PPP Payload Encrypted
- MS-CHAP ( Microsoft Challenge Handshake Authentication Protocol). MS- CHAP là một phiên bản tùy biến của Microsoft của CHAP và được dùng làm phương pháp xác nhận cơ bản cho PPP. Bởi vì nó tương đối mạnh như CHAP, chức năng của MS-CHAP thì hoàn toàn tương tự CHAP. Hai điểm khác nhau chính giữa hai cơ chế này là CHAP dựa trên thuật toán hàm băm RSA MD5, MS-CHAP thì dựa trên RSA RC4 và DES. Vì lý do thực tế MS-CHAP đã phát triển đơn độc cho các sản phẩm của Microsoft ( Windows 9x và một số phiên bản Windows NT), nó không được hổ trợ bởi các nền tảng khác.
- PAP ( Pasword Authentication Protocol). PAP là phương pháp đơn giản và thương được triển khai nhiều nhất trong giao thức xác nhận quay số. Nó cũng dùng để các nhận các kết nối PPP. Tuy nhiên, nó gửi user ID và mật khẩu trong một định dạng chưa mã hóa thông qua kết nối. Một kẻ hở khác của PAP là chie xác nhận 1 lần điêmt thông tin cuối ở giai đoạn thiết lập kết nối. Vì lý do đó, nếu một hacker xâm nhập vào kết nối được một lần, anh ta sẽ không phải lo lắng gì hơn nữa về xác nhận. Chính vì lý do đó, PAP được xem là một giao thức xác nhận kém nhất và vì thế nó không được ưu thích trong cơ chế xác nhận của VPN.
Điều kiện truy cập PPTP.
Sau khi PPTP Client từ xa được xác nhận thành công, nó sẽ truy csspj vào tài nguyên mạng đã bị giới hạn bới lý do bảo mật, Để đạt được mục tiêu này, có thể triển khai một số cơ chế điều khiển truy cập sau:
• Access rights
•Permissions
•Workgroups
Trích lọc các gói dữ liệu PPTP
Việc trích lọc các gói dữ liệu PPTP cho phép một PPTP server trên một mạng riêng chấp nhận và định tuyến các gói dữ liệu từ những PPP client đã được xá nhận thành công. Kết quả, chỉ có những PPP Client đã được xác nhận mới được cấp quyền truy cập vào mạng từ xa riêng biệt. Bằng cách này, PPTP không chỉ cung cấp các cơ chế xác nhận, điều khiển truy cập và mã hóa mà còn tăng độ bảo mật trong mạng.
2.2.3 Ưu điểm và nhược điểm của PPTP.
• PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft ( các sản phẩm được sử dụng rất rộng rãi)
• PPTP có thể hỗ trợ các giao thức non- IP.
• PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux và Apple’sMacintosh. Các nền không hổ trợ PPTP có thể các dịch vụ của PPTP bằng cách sử dụng bộ định tuyến được cài đặt sắn khả năng của máy khách PPTP.
Nhược điểm của PPTP:
• PPTP bảo mật yếu hơn so với kỷ thuật L2TP và IPSec.
• PPTP phụ thuộc nền.
• PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh.
• Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng như máy chủ truy cập từ xa cũng phải cấu hình trong trường hợp sử dụng các giải pháp định tuyến bằng đường quay số.
Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với mã khóa phát sinh từ password của user. Điều náy càng nguy hiểm hơn khi password được gửi trong môi trường không an toàn để chứng thực. Giao thức đường hầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảo mật.
2.3 Giao thức L2TP2.3.1 Khái niệm: 2.3.1 Khái niệm: (adsbygoogle = window.adsbygoogle || []).push({});
L2TP là một kỹ thuật này sinh để cung cấp một kết nối từ xa tới một Intranet của một tập đoàn hay tổ chức. L2TP là giao thức được phát triển hòa trộn giữa hai giao thức L2F và PPTP. Cấu trúc L2TP IP Header UDP Header L2TP Header PPP Payload
(IP Datagram, IPX Datagram) PPP
Header
PPP Frame L2TP Frame UDP Frame
L2TP cung cấp một kỹ thuật để xây dựng cho một kết nối đường hầm qua giao thức điểm nối điểm PPP. Đường hầm có thể bắt đầu được tạo ra giữa người dùng từ xa tới người cung cấp dịch vụ.
Giao thức L2TP không những cung cấp các kết nối từ xa của người dùng trong một mạng riêng ảo VPN mà còn có thể hỗ trợ các giao thông đa thủ tục, đó là tất cả các giao thức lớp mạng hỗ trợ bởi giao thức PPP đáng tin cậy. Hơn nữa, L2TP cung cấp sự hỗ trợ cho bất kỳ sự định vị cho bất kỳ lớp mạng nào lên sơ đồ kết nối thông qua Internet.
2.3.2. Ưu , nhược điểm của L2TP
Ưu điểm:
- L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng. Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết Non-IP của mạng WAN mà không cần IP.
- Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP. Do đó nó không yêu cầu bổ sung cấu hình của user từ xa và ISP.
- L2TP cho phép tổ chức kiểm soát chứng thực User.
- L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải. Do đó giao tác trên L2TP nhanh hơn giao tác trên L2F.
- L2TP cho phép user với địa chỉ IP chưa được đăng ký có thể truy nhập mạng từ xa thông qua mạng công cộng.
- L2TP tăng cường bảo mật bằng cách mã hóa dữ liệu dựa trên đường hầm IPSEC trong suốt và khả năng chứng thực gói của IPSEC.
Khuyết điểm:
- L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEC để chứng thực từng gói nhận được.
- Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm bộ định tuyến và máy phục vụ truy cập từ xa.
2.3.2 Thiết lập kết nối tunnel Các loại giao thức
Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề chứa các thông tin đinh tuyến có thể truyền qua hệ thống mạng trung gian theo những đường ống riêng.
Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ
Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel ( Tunnen Interface), nơi gói tin đi vào và đi ra trong mạng.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau
•Giao thức truyền tải ( Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đi qua.
•Giao thức mã hóa dữ liệu ( Encapsulating Protocol) là giao thức ( như GRE, IPSec, L2F, PPTP, L2TP) được bao quanh gói dữ liệu gốc.
•Giao thức gói tin (Pass enger Protocol ) là giao thức của dữ liệu được truyền đi ( như IPX, NetBeui, IP).
Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet bên trong một gói IP và gửi nó an toàn qua mạng Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng ( không định tuyến) bên trong một gói khác dùng địa chỉ IP chung ( định tuyến) để mở rộng một mạng riêng trên Internet.
Kỹ thuật tunneling trong mạng VPN truy cập từ xa
Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN, nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn tryền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN . Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.
Mô hình Tunneling truy cập từ xa Kỹ thuật Tunneling trong mạng điểm nối điểm
Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu“ đóng gói” giao thức gói tin ( Pasenger Protocol ) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả 2 giao diện Tunnel (adsbygoogle = window.adsbygoogle || []).push({});
3. TRIỂN KHAI MÔ HÌNH VPN
3.1 Triển khai mô hình VPN site – to – site trên local :
Mô hình VPN site –to – site
3.2 Vai trò và chức năng của các thiết bị trong mô hình
- 2 Máy windows Server 2008 làm máy chủ VPN
- 2 Máy chủ VPN có hai card mạng: một card đặt tên là LAN, là card Internal. Một card đặt tên là WAN là card External.
+ Card LAN : Server Hà Nội là 10.10.10.1/24 và Server Sài Gòn là 20.20.20.1/24
+ Card WAN : Server Hà Nội là 192.168.1.1/24 và Server Sài Gòn là 192168.1.2/24
- Sử dụng một 2 máy cài Windows XP làm máy client. Địa chỉ máy client Hà Nội là 10.10.10.2/24 và Client Sài Gòn là 20.20.20.2/24
3.3 Tổng quan các bước thực hiện
Bước 1: Đặt địa chỉ IP cho các máy Bước 2: Cài DCPROMO
Bước 3: Cấu hình dịch vụ DNS
Bước 4: Cài đặt network policy và access services
3.4 Tiến hành :
- Gắn địa chỉ IP
+ client Hà Nội : cả 2 client này IP phải cùng miền với card WAN trên máy VPN Server
+ client Sài Gòn
+ Server Sài Gòn
- Cài DCPROMO nâng cấp Domain Controller : ta làm trên cả 2 máy chỉ thay đổi