Dịch vụ mạng quay số truyền thống được thực hiện thông qua Internet và dựa trên kỹ thuật IP. Do đó một số giải pháp tạo đường hầm, như PPP và PPTP, trên cơ sở hạ tầng IP thành công hơn so với các công nghệ mạng đương thời hiện nay, như ATM, Frame Relay… Khi đó bảo mật lại là một vấn đề quan trọng trong quá trình truyền thông. Như đã trình bày MS-CHAP của PPTP không thực sự là phương pháp bảo mật tốt, do đó các tổ chức buộc phải tìm một giải pháp tốt hơn để có thể áp dụng với nhiều dịch vụ quay số ảo.
Cisco Systems, cùng với Nortel, một trong những nhà cung cấp hàng đầu đã đưa ra những định hướng cho các giải pháp bảo mật :
• Cho phép bảo mật trong quá trình truyền thông.
• Cung cấp khả năng truy cập trên cơ sở hạ tầng của Internet và các mạng trung gian khác.
• Hỗ trợ nhiều công nghệ mạng khác nhau như ATM, FDDI, IPX, Net-BEUI, và Frame Relay.
Kết quả của quá trình nghiên cứu mà Cisco đưa ra là L2F. Ngoài khả năng cung cấp đầy đủ các chức năng trên, L2F có một tiến bộ cơ bản trong kỹ thuật truy cập từ xa: đường hầm L2F có thể hỗ trợ đồng thời nhiều phiên trên cùng một đưòng hầm. Do vậy có thể có nhiều người dùng từ xa truy cập mạng nội bộ trên cùng một kết nối quay số. Đa kết nối trong một đường hầm ở L2F được thực hiện bằng cách biểu diễn mỗi kết nối dưới dạng một kết nối PPP. Các kết nối này có thể được tạo ra từ một hoặc nhiều người dùng từ xa.
Hình 2.14. Đường hầm L2F 2.3.1. Quá trình hoạt động L2F
Khi một người dùng từ xa quay số khởi tạo một kết nối đến một host đặt trong một mạng Intranet riêng. Quá trình xử lý được thực hiện theo tuần tự sau :
1. Người dùng từ xa khởi tạo một kết nối PPP đến nhà cung cấp dịch vụ mạng ISP. Nếu người dùng từ xa là một phần của mạng cục bộ LAN, người dùng có thể sử dụng ISDN hoặc những cách kết nối khác để kết nối đến ISP. Nếu người dùng không phải là một phần của mạng Intranet thì phải dùng các dịch vụ trên cơ sở PSTN.
2. Nếu máy chủ truy cập mạng NAS chấp nhận các yêu cầu kết nối, một kết nối PPP sẽ được thiết lập giữa người dùng và NAS.
3. Người dùng được chứng thực ở ISP bằng cơ chế CHAP hoặc PAP.
4. Một đường hầm được khởi tạo tới cổng của mạng đích nếu trước đó chưa sẵn có đường hầm nào.
5. Sau khi đường hầm được thiết lập, một ID (MID) được xác định tại kết nối. Một thông báo cũng sẽ được gửi đến cổng mạng thông báo cho cổng biết có yêu cầu kết nối từ một người dùng từ xa.
6. Cổng có thể chấp nhận hoặc từ chối yêu cầu kết nối. Nếu yêu cầu bị từ chối, người dùng sẽ được cho biết nguyên nhân yêu cầu không thực hiện và kết nối quay số được kết thúc. Ngược lại, nếu yêu cầu được chấp nhận, cổng mạng sẽ
gửi thông báo cài đặt đến người dùng từ xa. Thông tin hồi đáp này có thể bao gồm thông tin xác nhận, được sử dụng để xác nhận người từ xa.
7. Sau khi người dùng được cổng mạng xác nhận, một giao diện ảo được thiết lập giữa hai đầu cuối.
Hình 2.15. Quá trình thiết lập đường hầm L2F giữa máy chủ và máy khách từ xa. 2.3.2. Đường hầm L2F
Khi yêu cầu kết nối từ người dùng từ xa được chấp thuận, một đường hầm được thiết lập giữa máy chủ truy cập mạng của nhà cung cấp và cổng mạng từ xa.
49
Sau khi đường hầm giữa hai đầu cuối đã xác lập, các bản tin lớp 2 có thể trao đổi thông qua đường hầm theo các bước sau :
1. Người dùng từ xa gửi các bản tin đến NAS đặt tại ISP.
2. POP loại bỏ thông tin về lớp Data Link và gắn header và trailer của L2F vào bản tin. Bản tin mới vừa đóng gói sẽ được chuyển đến mạng đích thông qua đường hầm.
3. Cổng mạng từ xa nhận các gói dữ liệu từ đường hầm, bỏ header và trailer của L2F và chuyển bản tin đến nút đích bên trong mạng intranet.
4. Nút đích xử lý những bản tin nhận được như những bản tin bình thường khi
chưa qua đường hầm.
Hình 2.17. Định dạng bản tin L2F
Bản tin phản hồi từ máy chủ tới máy khách cũng được đóng gói và gỡ gói, ngược lại với quy trình từ máy khách tới máy chủ.
2.3.3. Bảo mật trong L2F
L2F cung cấp hai dịch vụ bảo mật
2.3.3.1. Mã hóa dữ liệu
L2F sử dụng phương pháp mã hóa điểm-nối-điểm của Microsoft (MPPE). Tuy nhiên, MPPE không phải là giải pháp an toàn trước các kỹ thuật tấn công ngày nay. Vì vậy, L2F sử dụng thêm phương pháp mã hóa dựa trên IPSec để đảm bảo dữ liệu được bảo mật trên suốt đường truyền. IPSec sử dụng 2 giao thức để mã hóa – đóng gói dữ liệu nguồn ESP và chứng thực tiêu đề AH. Hơn nữa để tăng tính bảo mật khóa trong quá trình trao đổi khóa, IPSec còn sử dụng một giao thức thứ ba – giao thức trao đổi khóa IKE. (adsbygoogle = window.adsbygoogle || []).push({});
Ưu điểm lớn nhất của công nghệ mã hóa IPSec là thực hiện chứng thực trên từng gói dữ liệu riêng biệt thay vì chứng thực trên từng người dùng. Tuy nhiên, chứng
thực trên từng gói sẽ chậm hơn rất nhiều so với chứng thực trên từng người dùng. IPSec được sử dụng làm giao thức bảo mật trong các các giao thức đường hầm của mạng riêng ảo như PPTP, L2F, hoặc L2TP…
2.3.3.2. Cơ chế chứng thực dữ liệu
Phương pháp chứng thực của L2F được thực hiện ở 2 mức. Mức đầu tiên xảy ra khi người dùng từ xa quay số đến nhà cung cấp dịch vụ mạng. Mức thứ hai được thực hiện bởi cổng mạng, và đường hầm giữa hai điểm đầu cuối chỉ được thiết lập khi người dùng từ xa được chứng thực.
Giống như PPTP, L2F cũng dùng dịch vụ bảo mật được hỗ trợ bởi PPP cho mục đích chứng thực. L2F sử dụng PAP để xác nhận người dùng từ xa khi cổng L2F nhận được một yêu cầu kết nối. Để tăng tính bảo mật dữ liệu L2F sử dụng quy trình chứng thực:
• CHAP: CHAP được phát triển để khắc phục nhược điểm gửi mật khẩu ở dạng văn bản của PAP. Đối với CHAP, khi người dùng từ xa yêu cầu được xác nhận, nó đáp lại bằng một giá trị băm bí mật được tạo ra từ thuật toán băm MD5. Nếu giá trị
này ở máy chủ được tính toán theo đúng quy trình ở máy khách thì máy khách sẽ
được chứng thực thành công. Do đó, sẽ không có những mật khẩu dưới dạng văn bản được trao đổi trong suốt qui trình xử lý. Mặt khác để khắc phục nhược điểm chỉ chứng thực một lần trong suốt phiên truyền thống của PAP, thì CHAP có thể thực hiện chứng thực nhiều lần trong cùng 1 phiên, đảm bảo hệ thống truyền thông khó bị tấn công hơn.
• EAP: Không giống phương pháp PAP và CHAP, EAP được thực hiện sau giai đoạn LCP, khi kết nối PPP đã được chứng thực. Do đó EAP chứng thực tốt hơn nhờ sử dụng thêm các thông số tùy chọn của kêt nối.
2.3.4. Ưu điểm và nhược điểm của L2F
Mặc dù L2F yêu cầu mở rộng xử lý với LCP và các thông số chứng thực khác nhưng nó hiệu quả hơn PPTP vì nó là giải pháp cho gửi frame ở mức thấp hơn và cũng cung cấp giải pháp nền tốt hơn cho mạng riêng ảo so với PPTP.
Những ưu điểm chính của L2F:
- Tăng cường bảo mật trong truyền thông
- Độc lập nền
- Hỗ trợ nhiều kỹ thuật mạng : ATM, FDDI, IPX, NetBEUI và Frame Relay. Nhược điểm của L2F:
- Yêu cầu hỗ trợ cấu hình mạnh.
- Việc hiện thực L2F phụ thuộc nhiều vào nhà cung cấp dịch vụ mạng. Nếu nhà cung cấp không hỗ trợ L2F thì không thể thực hiện được L2F.
- L2F không cung cấp kiểm soát luồng. Do đó khi đường hầm có quá nhiều gói có thể dẫn đến mất gói, làm giảm tốc độ truyền dữ liệu..
- Việc chứng thực và mã hóa ở L2F làm cho tốc độ trong đường hầm của L2F thấp hơn so với PPTP.
L2F và PPTP là hai kỹ thuật sử dụng đường hầm được cung cấp cho thị trường dịch vụ mạng riêng ảo. Tuy nhiên do sự khác nhau giữa hai giao thức nên chúng không tương thích với nhau. Do đó IETF đã quyết định đưa ra một giao thức mới kết hợp những ưu điểm của hai giao thức trên để làm chuẩn cho VPN: Giao thức đường hầm lớp 2 L2TP
2.4. Giao thức L2TP (Layer 2 Tunneling Protocol)
Được phát triển bởi IETF và được chứng nhận bởi những nhà công nghiệp khổng lồ như Cisco Systems, Microsoft, 3COM, và Ascend, L2TP là sự kết hợp của hai giao thức PPTP và L2F. L2TP cung cấp dịch vụ mềm dẻo với giá cả truy cập từ xa hiệu quả của L2F và tốc độ kết nối điểm tới điểm nhanh của PPTP.
Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F:
• L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP.
• L2TP không yêu cầu triển khai thêm bất cứ phần mềm nào, do đó cả người dùng và mạng riêng Intranet cũng không cần triển khai thêm các phần mềm chuyên biệt.
• L2TP cho phép người dùng từ xa truy cập vào mạng nội bộ thông qua mạng công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư).
• Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng. Do đó, nhà cung cấp không cần cập nhật dữ liệu chứng thực hoặc quyền truy cập của người dùng từ xa. Hơn nữa, mạng riêng intranet có thể tự xác định các truy cập tới nó và có các cơ chế bảo mật riêng. Điều này làm qui trình thiết lập đường hầm nhanh hơn so với giao thức tạo đường hầm trước đây.
2.4.1. Các thành phần của L2TP
Quá trình truyền thông của L2TP được thực hiện dựa trên ba bộ phận: máy chủ truy cập mạng - NAS, bộ tập kết truy cập - LAC, và máy chủ mạng - LNS.
Hình 2.18. Các thành phần của L2TP 2.4.1.1. Máy chủ truy cập mạng - NAS (adsbygoogle = window.adsbygoogle || []).push({});
Máy chủ truy cập mạng NAS là thiết bị truy cập điểm-nối-điểm cung cấp dựa trên yêu cầu kết nối Internet đến người dùng quay số (thông qua PSTN hoặc ISDN) sử dụng kết nối PPP từ xa. NAS chịu trách nhiệm xác nhận người dùng từ xa ở phía nhà cung cấp dịch vụ mạng và xác định nếu có yêu cầu kết nối ảo. Giống như PPTP NAS, L2TP NAS được đặt tại phía nhà cung cấp dịch vụ mạng và hoạt động như
máy khách trong quá trình thiết lập đường hầm L2TP. NAS có thể chịu trách nhiệm và hỗ trợ đồng thời nhiều yêu cầu kết nối.
2.4.1.2. Bộ tập kết truy cập L2TP - LAC
Vai trò của LAC trong công nghệ tạo đường hầm L2TP là thiết lập một đường hầm thông qua một mạng công cộng (như PSTN, ISDN, hoặc Internet) đến LNS tại mạng đích. LAC có thể coi là điểm kết thúc kết nối vật lý giữa máy khách và LNS của mạng đích.
LAC thường được đặt tại phía nhà cung cấp dịch vụ mạng. Tuy nhiên, người dùng từ xa cũng có thể hoạt đông như LAC trong trường hợp tạo hầm L2TP bị động.
2.4.1.3. Máy chủ mạng L2TP - LNS
LNSs được đặt tại mạng đích. Do đó, chúng dùng để kết thúc kết nối L2TP ở mạng đích khi LAC kết thúc đường hầm từ máy khách. Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập một đường hầm và chứng thực người dùng, là người khởi tạo yêu cầu kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó sẽ tạo một giao diện ảo.
2.4.2. Quá trình hoạt động của L2TP 2.4.2.1. Kiểm soát kết nối L2TP 2.4.2.1. Kiểm soát kết nối L2TP
Không giống PPTP, kết nối L2TP điều khiển và quản lý các frame dựa trên giao thức UDP. Định dạng một bản tin điều khiển L2TP chuẩn được mô tả như hình dưới đây.
Hình 2.19. Định dạng bản tin điều khiển L2TP
Giao thức UDP là giao thức vô hướng, không tin cậy, dữ liệu gửi đi không theo thứ tự và có thể bị mất trên đường truyền do đó các bản tin L2TP cũng dễ bị mất trước khi đến bên nhận. Vì thế, L2TP triển khai một kỹ thuật gọi là đánh số bản tin.
Kỹ thuật này đảm bảo các bản tin được gửi đến bên nhận theo đúng trình tự. Hai trường đặc biệt, Next-Received và Next-Sent, được dùng trong bản tin điều khiển L2TP đảm bảo rằng các gói dữ liệu được gửi đi theo đúng trình tự.
Bảng 2.2. Danh sách một số bản tin điều khiển và duy trì L2TP
Tên Mô tả
Start-Control-
Connection-Request
Yêu cầu thiết lập kết nối từ máy khách L2TP.
Start-Control- Connection-Reply
Trả lời bản tin yêu cầu thiết lập kết nối từ máy khách của máy chủ LNS. Thông điệp này cũng được gửi như một hồi đáp đến thông điệp Outgoing-Call-Reply.
Start-Control-
Connection-Connected
Trả lời bản tin Start-Control-Connection-Reply từ máy khách
Outgoing-Call-Request Yêu cầu tạo đường hầm tới LNS của máy khách. Yêu cầu này chứa Call ID để nhận dạng cuộc gọi bên trong đường hầm.
Outgoing-Call-Reply Trả lời bản tin Outgoing-Call-Request từ máy khách của máy chủ LNS.
Hello Thông điệp duy trì kết nối được gửi bởi máy chủ LNS hoặc máy khách. Nếu thông điệp này không được phía còn lại chấp nhận , đường hầm sẽ bị ngắt.
Set-Link-Info Thông điệp từ một trong 2 bên để thiết lập các thông số lựa chọn của PPP.
Call-Disconnect-Notify Trả lời từ máy chủ L2TP để chỉ ra cuộc gọi nào trong đường hầm L2TP bị ngắt.
WAN-Error-Notify Thông điệp từ máy chủ L2TP (LNS) đến tất cả các máy khách L2TP đang kết nối để thông báo lỗi trong giao tiếp PPP của máy chủ.
Stop-Control-
Connection-Request Thông lại kết thúc kiđiệp từể máy khách hom soát kết nối. ặc máy chủ L2TP để báo cho phía còn Stop-Control- (adsbygoogle = window.adsbygoogle || []).push({});
Connection-Reply Trlại. ả lời thông điệp Stop-Control-Connection-Request từ phía còn
56
Tên Mô tả
Stop-Control-
Connection-Notification
Trả lời từ phía còn lại để thông báo kết thúc đường hầm
2.4.2.2. Quá trình đóng gói dữ liệu đường hầm
Cũng giống gói dữ liệu trong đường hầm PPTP, gói dữ liệu L2TP cũng trải qua nhiều tầng đóng gói khác nhau:
Hình 2.20. Quy trình đóng gói dữ liệu L2TP tại bên phát.
• Đóng gói dữ liệu PPP: Không giống phương thức đóng gói của PPTP, dữ liệu
không được mã hóa trước khi đóng gói. Chỉ PPP header được thêm vào dữ liệu gốc.
• Đóng gói frame L2TP: Sau khi dữ liệu gốc được đóng gói bên trong gói PPP,
một L2TP header được thêm vào nó.
• Đóng gói frame UDP: một UDP header được thêm vào gói dữ liệu L2TP. Cổng
nguồn và đích bên trong UDP header được thiết lập là 1710.
• Đóng gói bảo mật dữ liệu UDP: Sau khi L2TP được đóng gói trong UDP, bản
tin UDP đã đóng gói được mã hoá và header ESP được thêm vào nó. Một phần trailer IPSec AH cũng được chèn vào gói dữ liệu đã được mã hóa và đóng gói.
• Đóng gói IP: header IP cuối cùng được thêm vào gói dữ liệu IPSec đã được đóng gói. Phần header IP này chứa địa chỉ IP của máy chủ L2TP (LNS) và người dùng từ xa.
• Đóng gói lớp 2: Phần header và trailer tầng Data Link cuối cùng được thêm vào
gói dữ liệu IP xuất phát từ quá trình đóng gói IP cuối cùng, giúp gói dữ liệu đi đến
nút đích. Nếu nút đích là nội bộ, header và trailer tầng Data Link được dựa trên
công nghệ LAN (như Ethernet). Trường hợp gói dữ liệu được gửi tới một nút đích ở xa, phần header và trailer PPP được thêm vào gói dữ liệu L2TP đã đóng gói.
Qui trình xử lý gói dữ liệu tại nút đích khi đi qua đường hầm ngược lại với qui