L2F cung cấp hai dịch vụ bảo mật
2.3.3.1. Mã hóa dữ liệu
L2F sử dụng phương pháp mã hóa điểm-nối-điểm của Microsoft (MPPE). Tuy nhiên, MPPE không phải là giải pháp an toàn trước các kỹ thuật tấn công ngày nay. Vì vậy, L2F sử dụng thêm phương pháp mã hóa dựa trên IPSec để đảm bảo dữ liệu được bảo mật trên suốt đường truyền. IPSec sử dụng 2 giao thức để mã hóa – đóng gói dữ liệu nguồn ESP và chứng thực tiêu đề AH. Hơn nữa để tăng tính bảo mật khóa trong quá trình trao đổi khóa, IPSec còn sử dụng một giao thức thứ ba – giao thức trao đổi khóa IKE.
Ưu điểm lớn nhất của công nghệ mã hóa IPSec là thực hiện chứng thực trên từng gói dữ liệu riêng biệt thay vì chứng thực trên từng người dùng. Tuy nhiên, chứng
thực trên từng gói sẽ chậm hơn rất nhiều so với chứng thực trên từng người dùng. IPSec được sử dụng làm giao thức bảo mật trong các các giao thức đường hầm của mạng riêng ảo như PPTP, L2F, hoặc L2TP…
2.3.3.2. Cơ chế chứng thực dữ liệu
Phương pháp chứng thực của L2F được thực hiện ở 2 mức. Mức đầu tiên xảy ra khi người dùng từ xa quay số đến nhà cung cấp dịch vụ mạng. Mức thứ hai được thực hiện bởi cổng mạng, và đường hầm giữa hai điểm đầu cuối chỉ được thiết lập khi người dùng từ xa được chứng thực.
Giống như PPTP, L2F cũng dùng dịch vụ bảo mật được hỗ trợ bởi PPP cho mục đích chứng thực. L2F sử dụng PAP để xác nhận người dùng từ xa khi cổng L2F nhận được một yêu cầu kết nối. Để tăng tính bảo mật dữ liệu L2F sử dụng quy trình chứng thực:
• CHAP: CHAP được phát triển để khắc phục nhược điểm gửi mật khẩu ở dạng văn bản của PAP. Đối với CHAP, khi người dùng từ xa yêu cầu được xác nhận, nó đáp lại bằng một giá trị băm bí mật được tạo ra từ thuật toán băm MD5. Nếu giá trị
này ở máy chủ được tính toán theo đúng quy trình ở máy khách thì máy khách sẽ
được chứng thực thành công. Do đó, sẽ không có những mật khẩu dưới dạng văn bản được trao đổi trong suốt qui trình xử lý. Mặt khác để khắc phục nhược điểm chỉ chứng thực một lần trong suốt phiên truyền thống của PAP, thì CHAP có thể thực hiện chứng thực nhiều lần trong cùng 1 phiên, đảm bảo hệ thống truyền thông khó bị tấn công hơn.
• EAP: Không giống phương pháp PAP và CHAP, EAP được thực hiện sau giai đoạn LCP, khi kết nối PPP đã được chứng thực. Do đó EAP chứng thực tốt hơn nhờ sử dụng thêm các thông số tùy chọn của kêt nối.