BẢO MẬT TRONG VPN
3.3.Bảo mật trong L2TP
Việc xác thực người dùng diễn ra trong 3 giai đoạn: Giai đoạn 1 tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) tại máy chủ mạng riêng.
Trong giai đoạn 1, ISP có thể sử dụng số điện thoại của người dùng hoặc tên người dùng để xác định dịch vụ L2TP và khởi tạo kết nối đường hầm đến máy chủ của VPN. Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi mới để định dạng cho kết nối trong đường hầm và khởi tạo phiên làm việc.
Máy chủ VPN tiến hành tiếp bước 2 là quyết định chấp nhận hay từ chối cuộc gọi dựa vào các thông tin xác thực từ cuộc gọi của ISP chuyển đến. Thông tin đó có thể mang CHAP, PAP, EAP hay bất cứ thông tin xác thực nào.
Sau khi cuộc gọi được chấp nhận thì máy chủ VPN có thể khởi động giai đoạn 3 tại lớp PPP. Bước này tương tự như máy chủ xác thực một người dùng quay số truy nhập vào thẳng máy chủ.
Mật mã Bản mã Giải mã Khóa KE
Bản rõ Bản rõ ban đầu
Việc sử dụng các giao thức xác thực đơn giản nhưng không bảo mật cho các luồng dữ liệu điều khiển và thông báo dữ liệu tạo kẽ hở cho tấn công chèn gói dữ liệu để chiếm quyền điều khiển đường hầm, hay kết nối PPP, hoặc phá vỡ việc đàm phán PPP, lấy cắp mật khẩu người dùng. Mã hoá PPP không có xác thực địa chỉ, toàn vẹn dữ liệu, quản lý khoá nên bảo mật này yếu không an toàn trong kênh L2TP.
Vì vậy, để có được xác thực như mong muốn, cần phải phân phối khoá và có giao thức quản lý khoá. Về mã hoá, sử dụng IPSec cung cấp bảo mật cao để bảo vệ gói mức IP, tối thiểu cũng phải được thực hiện cho L2TP trên IP. Việc quản lý khoá được thực hiện thông qua liên kết bảo mật SA, nó sẽ giúp 2 đối tượng truyền thông xác định phương thức mã hoá, nhưng việc chuyển giao khóa lại do IKE thực hiện.