Giao thức Point to Point Tunneling Protocol

Một phần của tài liệu tìm hiểu và triển khai dịch vụ vpn và triển khai dịch vụ mail server (Trang 33)

2.2.1 Khái quát về PPTP

PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa Remote Client và Enterprise Server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trung gian. Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend Communications, 3COM, US Robotics, và ECI Telematics) , PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn. PPTP không những tạo ra điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn qua mạng riêng intranet.

PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm cho những kết nối từ xa. Giao thức PPTP là một sự mở rộng của giao thức PPP cơ bản cho nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà có nó chỉ hỗ trợ kết nối từ điểm tới điểm.

Mô hình VPN sử dụng giao thức PPTP

PPTP chỉ hỗ trợ IP, IPX, Net BEUI, PPTP không làm thay đổi PPP mà nó chỉ là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở giao thông PPP.

Minh họa một gói tin PPTP

2.2.2 Bảo mật trong PPTP

PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server. Những dịch vụ này bao gồm các dịch vụ sau:

• Mã hóa và nén dữ liệu.

• Thẩm định quyền ( Authentication).

• Điều khiển truy cập ( Accsee control).

• Trích học Packet.

Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kết hợp với firewall va router.

 Mã hóa và nén dữ liệu PPTP

PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu. Thay vì nó dùng dịch vụ mã hóa được đưa ra bởi PPP. PPP lần lượt dùng Microsoft Point-to-Point Encryption (MPPE), đây là phương pháp mã hóa shared secret.

Phương pháp shared secret thường dùng trong mục đích mã hóa trong trường hợp PPP là ID của người dùng và nó tương ứng với mật khẩu. 40-bit session key thường dùng để mã hóa user. Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4. Khóa này được dùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel. Tuy nhiên, 40- bit key thì quá ngắn và quá yếu kém đói với các kĩ thuật hack ngày nay. Vì thế, phiên bản 128-bit key ra đời. Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải được làm tươi sau 256 gói packet.

 PPTP Data Authentication IP

Header HeaderGRE HeaderPPP (IP datagram, IPX datagram, NetBEUI frame)PPP Payload Encrypted

- MS-CHAP ( Microsoft Challenge Handshake Authentication Protocol). MS- CHAP là một phiên bản tùy biến của Microsoft của CHAP và được dùng làm phương pháp xác nhận cơ bản cho PPP. Bởi vì nó tương đối mạnh như CHAP, chức năng của MS-CHAP thì hoàn toàn tương tự CHAP. Hai điểm khác nhau chính giữa hai cơ chế này là CHAP dựa trên thuật toán hàm băm RSA MD5, MS-CHAP thì dựa trên RSA RC4 và DES. Vì lý do thực tế MS-CHAP đã phát triển đơn độc cho các sản phẩm của Microsoft ( Windows 9x và một số phiên bản Windows NT), nó không được hổ trợ bởi các nền tảng khác.

- PAP ( Pasword Authentication Protocol). PAP là phương pháp đơn giản và thương được triển khai nhiều nhất trong giao thức xác nhận quay số. Nó cũng dùng để các nhận các kết nối PPP. Tuy nhiên, nó gửi user ID và mật khẩu trong một định dạng chưa mã hóa thông qua kết nối. Một kẻ hở khác của PAP là chie xác nhận 1 lần điêmt thông tin cuối ở giai đoạn thiết lập kết nối. Vì lý do đó, nếu một hacker xâm nhập vào kết nối được một lần, anh ta sẽ không phải lo lắng gì hơn nữa về xác nhận. Chính vì lý do đó, PAP được xem là một giao thức xác nhận kém nhất và vì thế nó không được ưu thích trong cơ chế xác nhận của VPN.

 Điều kiện truy cập PPTP.

Sau khi PPTP Client từ xa được xác nhận thành công, nó sẽ truy csspj vào tài nguyên mạng đã bị giới hạn bới lý do bảo mật, Để đạt được mục tiêu này, có thể triển khai một số cơ chế điều khiển truy cập sau:

• Access rights

•Permissions

•Workgroups

 Trích lọc các gói dữ liệu PPTP

Việc trích lọc các gói dữ liệu PPTP cho phép một PPTP server trên một mạng riêng chấp nhận và định tuyến các gói dữ liệu từ những PPP client đã được xá nhận thành công. Kết quả, chỉ có những PPP Client đã được xác nhận mới được cấp quyền truy cập vào mạng từ xa riêng biệt. Bằng cách này, PPTP không chỉ cung cấp các cơ chế xác nhận, điều khiển truy cập và mã hóa mà còn tăng độ bảo mật trong mạng.

2.2.3 Ưu điểm và nhược điểm của PPTP.

• PPTP là một giải pháp được xây dựng trên nền các sản phẩm của Microsoft ( các sản phẩm được sử dụng rất rộng rãi)

• PPTP có thể hỗ trợ các giao thức non- IP.

• PPTP được hỗ trợ trên nhiều nền khác nhau như Unix, Linux và Apple’sMacintosh. Các nền không hổ trợ PPTP có thể các dịch vụ của PPTP bằng cách sử dụng bộ định tuyến được cài đặt sắn khả năng của máy khách PPTP.

 Nhược điểm của PPTP:

• PPTP bảo mật yếu hơn so với kỷ thuật L2TP và IPSec.

• PPTP phụ thuộc nền.

• PPTP yêu cầu máy chủ và máy khách phải có cấu hình mạnh.

• Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng như máy chủ truy cập từ xa cũng phải cấu hình trong trường hợp sử dụng các giải pháp định tuyến bằng đường quay số.

Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với mã khóa phát sinh từ password của user. Điều náy càng nguy hiểm hơn khi password được gửi trong môi trường không an toàn để chứng thực. Giao thức đường hầm Layer 2 Forwarding (L2F) được phát triển để tăng cường khả năng bảo mật.

2.3 Giao thức L2TP2.3.1 Khái niệm: 2.3.1 Khái niệm:

L2TP là một kỹ thuật này sinh để cung cấp một kết nối từ xa tới một Intranet của một tập đoàn hay tổ chức. L2TP là giao thức được phát triển hòa trộn giữa hai giao thức L2F và PPTP. Cấu trúc L2TP IP Header UDP Header L2TP Header PPP Payload

(IP Datagram, IPX Datagram) PPP

Header

PPP Frame L2TP Frame UDP Frame

L2TP cung cấp một kỹ thuật để xây dựng cho một kết nối đường hầm qua giao thức điểm nối điểm PPP. Đường hầm có thể bắt đầu được tạo ra giữa người dùng từ xa tới người cung cấp dịch vụ.

Giao thức L2TP không những cung cấp các kết nối từ xa của người dùng trong một mạng riêng ảo VPN mà còn có thể hỗ trợ các giao thông đa thủ tục, đó là tất cả các giao thức lớp mạng hỗ trợ bởi giao thức PPP đáng tin cậy. Hơn nữa, L2TP cung cấp sự hỗ trợ cho bất kỳ sự định vị cho bất kỳ lớp mạng nào lên sơ đồ kết nối thông qua Internet.

2.3.2. Ưu , nhược điểm của L2TP

 Ưu điểm:

- L2TP là một giải pháp chung, không phụ thuộc nền và hỗ trợ nhiều kỹ thuật mạng. Hơn nữa L2TP có thể hỗ trợ giao tác thông qua liên kết Non-IP của mạng WAN mà không cần IP.

- Đường hầm L2TP chỉ đơn thuần là user từ xa hoặc ISP. Do đó nó không yêu cầu bổ sung cấu hình của user từ xa và ISP.

- L2TP cho phép tổ chức kiểm soát chứng thực User.

- L2TP hỗ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đường hầm quá tải. Do đó giao tác trên L2TP nhanh hơn giao tác trên L2F.

- L2TP cho phép user với địa chỉ IP chưa được đăng ký có thể truy nhập mạng từ xa thông qua mạng công cộng.

- L2TP tăng cường bảo mật bằng cách mã hóa dữ liệu dựa trên đường hầm IPSEC trong suốt và khả năng chứng thực gói của IPSEC.

 Khuyết điểm:

- L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSEC để chứng thực từng gói nhận được.

- Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm bộ định tuyến và máy phục vụ truy cập từ xa.

2.3.2 Thiết lập kết nối tunnel Các loại giao thức

Hầu hết các VPN đều dựa vào kỹ thuật gọi là Tunneling để tạo ra một mạng riêng trên nền Internet. Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớp tiêu đề chứa các thông tin đinh tuyến có thể truyền qua hệ thống mạng trung gian theo những đường ống riêng.

Khi gói tin được truyền đến đích, chúng được tách lớp tiêu đề và chuyển đến các máy trạm cuối cùng cần nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ

Giao thức của gói tin bọc ngoài được cả mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là giao diện Tunnel ( Tunnen Interface), nơi gói tin đi vào và đi ra trong mạng.

Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau

•Giao thức truyền tải ( Carrier Protocol) là giao thức được sử dụng bởi mạng có thông tin đi qua.

•Giao thức mã hóa dữ liệu ( Encapsulating Protocol) là giao thức ( như GRE, IPSec, L2F, PPTP, L2TP) được bao quanh gói dữ liệu gốc.

•Giao thức gói tin (Pass enger Protocol ) là giao thức của dữ liệu được truyền đi ( như IPX, NetBeui, IP).

Người dùng có thể đặt một gói tin sử dụng giao thức không được hỗ trợ trên Internet bên trong một gói IP và gửi nó an toàn qua mạng Internet. Hoặc, họ có thể đặt một gói tin dùng địa chỉ IP riêng ( không định tuyến) bên trong một gói khác dùng địa chỉ IP chung ( định tuyến) để mở rộng một mạng riêng trên Internet.

Kỹ thuật tunneling trong mạng VPN truy cập từ xa

Tunneling là một phần quan trọng trong việc xây dựng một mạng VPN, nó thường dùng giao thức điểm nối điểm PPP (Point to Point Protocol). Là một phần của TCP/IP, PPP đóng vai trò truyền tải các giao thức IP khác khi liên hệ trên mạng giữa máy chủ và máy truy cập từ xa. Các chuẩn tryền thông sử dụng để quản lý các Tunnel và đóng gói dữ liệu của VPN . Nói tóm lại, kỹ thuật Tunneling cho mạng VPN truy cập từ xa phụ thuộc vào PPP.

Mô hình Tunneling truy cập từ xa Kỹ thuật Tunneling trong mạng điểm nối điểm

Trong VPN loại này, giao thức mã hóa định tuyến GRE (Generic Routing Encapsulation) cung cấp cơ cấu“ đóng gói” giao thức gói tin ( Pasenger Protocol ) để truyền đi trên giao thức truyền tải (Carier Protocol). Nó bao gồm thông tin về loại gói tin mà bạn đang mã hóa và thông tin về kết nối giữa máy chủ với máy khách. Nhưng IPSec hoạt động tốt trên cả hai loại mạng VPN truy cập từ xa và điểm nối điểm. Tất nhiên, nó phải được hỗ trợ ở cả 2 giao diện Tunnel

3. TRIỂN KHAI MÔ HÌNH VPN

3.1 Triển khai mô hình VPN site – to – site trên local :

Mô hình VPN site –to – site

3.2 Vai trò và chức năng của các thiết bị trong mô hình

- 2 Máy windows Server 2008 làm máy chủ VPN

- 2 Máy chủ VPN có hai card mạng: một card đặt tên là LAN, là card Internal. Một card đặt tên là WAN là card External.

+ Card LAN : Server Hà Nội là 10.10.10.1/24 và Server Sài Gòn là 20.20.20.1/24

+ Card WAN : Server Hà Nội là 192.168.1.1/24 và Server Sài Gòn là 192168.1.2/24

- Sử dụng một 2 máy cài Windows XP làm máy client. Địa chỉ máy client Hà Nội là 10.10.10.2/24 và Client Sài Gòn là 20.20.20.2/24

3.3 Tổng quan các bước thực hiện

Bước 1: Đặt địa chỉ IP cho các máy Bước 2: Cài DCPROMO

Bước 3: Cấu hình dịch vụ DNS

Bước 4: Cài đặt network policy và access services

3.4 Tiến hành :

- Gắn địa chỉ IP

+ client Hà Nội : cả 2 client này IP phải cùng miền với card WAN trên máy VPN Server

+ client Sài Gòn

+ Server Sài Gòn

- Cài DCPROMO nâng cấp Domain Controller : ta làm trên cả 2 máy chỉ thay đổi tên miền theo từng máy

+ click “ create a new domain in a new forest” để tạo tên miền mới

+ ta nhập tên miền vào : Trên Server Hà Nội thì ta nhập Athena.edu.vn, trên Server Sài Gòn là Athena.com.vn

+ chọn Windows Server 2008

Để nguyên các thư viện, click NEXT

+ Thiết lập khôi phục mật khẩu cho admin

+ sau khi khởi động lại ta kiểm tra domain trên từng máy Server Server Hà Nội

Server Sài Gòn

- Cấu hình DNS Server

+ ta click vào Start >> Administrative Tools >> DNS >> Server Hà Nội >> Forward Lookup Zones >>> Athena.edu.vn >>> New Host

+ tại ô name ta gõ www , tại ô địa chỉ IP Address ta gõ địa chỉ IP của Server

+ tạo phân giải ngược cho domain : click phải vào Reverse Lookup Zones >> New Zones

+ click phải vào 10.10.10.in-addr.arpa >> New Pointer ( PRT)

+ click Allow

+ ta thử phân giải domain trong cmd

Server Sài Gòn

- Cài đặt Network Policy and Access Services :

- Cấu hình VPN , kiểm tra và tiến hành share file

+ tạo User cấp quyền truy cập từ xa : Start >> Administrative Tools >> Active Directory User and Computers

+ cấp quyền truy cập VPN cho User vừa tạo : click phải User vừa tạo >> properties >> Dial- In >> click chọn Allow access >> Apply >> ok

+ Cấu hình Routing and Remote Access

+ click Next

+ chọn tất cả trừ Dial – Up Access ra

+ click phải vào Server >>> properties

+ chọn tab IPv4 >> click Static Address Pool >> điền vào dãy IP mà bạn muốn cho Server sử dụng và cấp phát cho máy trạm khi kết nối VPN

+ click phải vào Network Interfaces >> New Demand – Dial Interface…

+ nhập User đã tạo của máy VPN Server cần kết nối tới

+ chọn kiểu kết nối VPN

+ nhập vào IP card WAN của máy cần kết nối tới

+ tại Demand – Dial Interface Wizard >> Add >> ta điền vào địa chỉ mạng LAN của mạng cần kết nối tới

+ click Finish để kết thúc phần cài đặt

+ tạo kết nối VPN trên 2 Server để thông qua 2 Server này thì 2 client có thể thấy nhau , vào Network and Sharing Center

+ click vào Set up a connection or network , chọn Connect to a workplace

+ chọn I’ll set up an Internet connection later

+ nhập User và password của Server cần kết nối tới

+ đăng nhập để kết nối VPN giữa 2 Server + vào Manage network connections

+ click phải vào biểu tượng kết nối VPN vừa tạo >> connect . nhập User và password của VPN Server cần kết nối tới

+ đợi quá trình xác thực hoàn tất

+ tiến hành ping để kiểm tra giữa 2 client sau khi kết nối được VPN Ping từ client Hà Nội

Ping từ client Sài Gòn

+ tiến hành chia sẻ dữ liệu giữa 2 máy client Truy nhập vào client Sài Gòn

Nhập user và password của client Sài Gòn

+ đã kết nối thành công, và thấy được dữ liệu ở trên client Hà Nội

4. TRIỂN KHAI MÔ HÌNH VPN CLIENT TO SITE TRÊN MÔI TRƯỜNG INTERNET ( VPS )

4.1 Mô hình tổng quát:

- 1 VPS chạy Windows Server 2003 - 2 Máy client ra được Internet

4.2 Tổng quan các bước thực hiện :

Một phần của tài liệu tìm hiểu và triển khai dịch vụ vpn và triển khai dịch vụ mail server (Trang 33)

(159 trang)