Protocol) :
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP
và L2F- chuyển tiếp lớp 2. PPTP do Microsoft đưa ra cịn L2F do Cisco khởi xướng. Hai cơng ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn
Giống như PPTP, L2TP là giao thức đường hầm, nĩ sử dụng tiêu đề đĩng
gĩi riêng cho việc truyền các gĩi ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F khơng phụ thuộc vào IP và GRE, cho phép nĩ cĩ thể làm việc ở mơi trường vật lý khác. Bởi vì GRE khơng sử dụng như giao thức đĩng gĩi, nên L2F
định nghĩa riêng cách thức các gĩi được điều khiển trong mơi trường khác. Nhưng
nĩ cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực. Cĩ hai mức xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đĩ là ở cổng nối của
mạng riêng sau khi kết nối được thiết lập.
L2TP mang dặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F. Nĩ cho phép L2TP truyền
thơng qua nhiều mơi trường gĩi khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều cơng cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng cĩ thể
thiết lập một hệ thống L2TP mà khơng cần phải sử dụng IP làm giao thức đường
hầm. Một mạng ATM hay frame Relay cĩ thể áp dụng cho đường hầm L2TP.
Do L2TP là giao thức ở lớp 2 nên nĩ cho phép người dùng sử dụng các
giao thức điều khiển một cách mềm dẻo khơng chỉ là IP mà cĩ thể là IPX hoặc
NETBEUI. Cũng giống như PPTP, L2TP cũng cĩ cơ chế xác thực PAP, CHAP hay
RADIUS.
Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi
xây dựng VPN bằng cách hỗ trợ giao thức này sẵn cĩ trong hệ điều hành Windows
nhưng cơng ty cũng cĩ kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Windows 98.
a) Duy trì đường hầm ngầm bằng bản tin điều khiển L2TP :
Khơng giống PPTP, việc duy trì đường ngầm L2TP khơng được thực hiện thơng
qua một kết nối TCP riêng biệt. Các lưu lượng điều khiển và duy trì cuộc gọi được
gửi đi như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP
server đều sử dụng cổng UDP 1701).
Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram. UDP
Hình 43: Bản tin điều khiển L2TP
Vì kết nối TCP khơng được sử dụng, L2TP dùng thứ tự bản tin để đảm bảo việc
truyền các bản tin L2TP. Trong bản tin điều khiển L2TP, trường Next-Received
(tương tự như TCP Acknowledgment) và Next-Sent (tương tự như TCP Sequence Number) được sử dụng để duy trì thực tự các bản tin điều khiển. Các gĩi khơng đúng thứ tự bị loại bỏ. Các trường Next-Sent và Next-Received cũng cĩ thể được sử
dụng để truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm.
L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm. Trong bản tin điều khiển L2TP
và phần tiêu đề L2TP của dữ liệu đường ngầm cĩ một mã số đường ngầm (Tunnel ID) để xác định đường ngầm, và một mã số cuộc gọi (Call ID)để xác định cuộc gọi trong đường ngầm đĩ.
b) Đường ngầm dữ liệu L2TP
Đường ngầm dữ liệu L2TP được thực hiện thơng qua nhiều mức đĩng gĩi. Hình 44 chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên nên IPSec.
Hình 44 : Đĩng bao gĩi tin L2TP
-Đĩng gĩi L2TP: phần tải PPP ban đầu được đĩng gĩi với một PPP Header
và một L2TP Trailer.
- Đĩng gĩi UDP: gĩi L2TP sau đĩ được đĩng gĩi với một UDP Header, các địa chỉ cổng nguồn và đích được đặt bằng 1701.
-Đĩng gĩi IPSec: tuỳ thuộc vào chính sách IPSec, gĩi UDP được mật mã và
đĩng gĩi với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer.
-Đĩng gĩi lớp đường truyền dữ liệu: để truyền đi được trên đường truyền
LAN hoặc WAN, IP datagram cuối cùng sẽ được đĩng gĩi với phần Header và
Trailer tương ứng với kỹ thuật lớp đường truyển dữ liệu của giao diện vật lý đầu ra.
Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet, IP datagram sẽ được đĩng gĩi với Ethernet Header và Trailer. Khi các IP datagram được gửi trên
đường truyền WAN điểm tới điểm (chẳng hạn đường dây điện thoại ISDN), IP datagram được đĩng gĩi với PPP Header và Trailer.
c) Xử lý dữ liệu đường ngầm L2TP trên nền IPSec
Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP
server sẽ thực hiện các bước sau:
Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu.
Xử lý và loại bỏ IP Header.
Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP Header.
Dùng IPSec ESP Header để giải mã phần gĩi đã mật mã.
Xử lý UDP Header và gửi gĩi L2TP tới L2TP.
L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP Header để xác định đường ngầm L2TP cụ thể.
Dùng PPP Header để xác định PPP Payload và chuyển tiếp nĩ tới đúng
giao thức để xử lý.
d) Sơ đồ đĩng gĩi L2TP trên nền IPSec
Các bước sau mơ tả quá trình đĩ:
Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới
giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp. NDIS đưa các gĩi tới NDISWAN, tại đây cĩ thể nen và cung cấp PPP
Header chỉ bao gồm trường chỉ số PPP Protocol. Các trương Flag hay FCS khơng được thêm vào.
NDISWAN gửi khung PPP tới giao thức L2TP, nơi đĩng gĩi PPP
Frame với một L2TL Header. Trong L2TP Header, chỉ số đường ngầm và chỉ số
cuộc gọi được thiết lập với các giá trị thịch hợp để xác định đường ngầm.
Giao thức L2TP gửi gĩi thu được tới giao thức TCP/IP với thơng tin để
gửi gĩi L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địa chỉ IP của IP-VPN client và IP-VPN server.
Giao thức TCP/IP xây dựng một gĩi IP với các IP Header và UDP Header thích hợp. IPSec sau đĩ sẽ phân tích gĩi IP và so sánh nĩ với chính sách
IPSec hiện thời. Dựa trên những thiết lập trong chính sách, IPSec đĩng gĩi và mật
mã phần bản tin UDP của gĩi IP sử dụng các ESP Header và Trailer phù hợp. IP Header ban đầu với Protocol field được đặt là 50 được thêm vào phía trước của gĩi
ESP. Giao thức TCP/IP sau đĩ gửi gĩi thu được tới giao diện đại diện cho kết nối
quay số tới local ISP sử dụng NDIS. NDIS gửi số tới NDISWAN.
NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thu được tới cổng AN thích hợp đại diện cho phần cứng dial-up.
e) Ưu điểm và khuyết điểm của L2TP :
Ưu điểm:
L2TP là một giải pháp chung, khơng phụ thuộc nền và hỗ trợ nhiều kỹ
thuật mạng. Hơn nữa L2TP cĩ thể hỗ trợ giao tác thơng qua liên kết non- IP của mạng WAN mà khơng cần IP.
L2TP hỗ trợ kiểm sốt luồng và các gĩi dữ liệu bị loại bỏ khi đường hầm
quá tải. do đĩ giao tác trên L2TP nhanh hơn giao tác trên L2F.
L2TP cho phép users với địa chỉ IP chưa được đăng ký cĩ thể truy cập
mạng từ xa thơng qua mạng cơng cộng.
L2TP tăng cường bảo mật bằng cách cách mã hĩa dữ liệu dựa trên IPSec trên suốt đường hầm và khả năng chưng thực gĩi của IPSec.
Khuyết điểm:
L2TP chậm hơn PPTP và L2F vì nĩ sử dụng IPSEc để chứng thực từng
gĩi nhận đựoc..
Mặc dù PPTP được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu
hình thêm bộ định tuyến và máy phục vụ truy cập từ xa.
1.3.5. Giao thức bảo mật IPSec (Intrenet Protocol Security) :
Các giao thức nguyên thuỷ TCP/IP khơng bao gồm các đặc tính bảo mật vốn cĩ. Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các viện nghiên cứu thì vấn đề bảo mật dữ liệu khơng phải là vấn đề quan trọng như
bây giờ khi mà Internet trở nên phổ biến, các ứng dụng thương mại cĩ mặt khắp nơi trên Internet và đối tượng sử dụng Internet rộng hơn bao gồm cả các Hacker.
Để thiết lập tính bảo mật trong IP ở cấp độ gĩi, IETF đã đưa ra họ giao thức
IPSec. Họ giao thức IPSec đầu tiên đựoc dung cho xác thực, mã hố các gĩi dữ liệu IP, được chuẩn hố thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức
này mơ tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gĩi IP, gĩi IP là đơn vị dữ kiệu cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề cho các gĩi IP để điều khiển quá trình xác thực và mã hố: một là xác thực tiêu đề
IP – AH (IP Authentication Header) điều khiển việc xác thực và hai là đĩng gĩi tải
tin an tồn ESP (Encapsulation Security Payload) cho mục đích mã hố.
IPSec khơng phải là một giao thức. Nĩ là một khung của các tập giao thức
chuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật tốn, các khố và
phương pháp nhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự
tối ưu cho mạng của cơng ty. Nĩ đảm bảo truyền thơng tin cậy trên mạng IP cơng
cộng đối với các ứng dụng.
IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền
những luồng dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để
bảo vệ luồng dữ liệu giữa hai Host.
IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc
triển khai IPv6 cịn chậm và sự cần thiết phải bảo mật các gĩi IP nên IPSec đã được thay đổi cho phù hợp với IPv4.
a)Khung giao thức IPSec :
IPSec là khung của các chuẩn mở, được phát triển bởi IETF.
Hình 46: Khung giao thức được sử dụng trong IPSec
Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.
-Giao thức bảo mật IP (IPSec)
+ AH (Authentication Header)
+ ESP (Encapsulation Security Payload) -Mã hố bản tin
+ DES (Data Encryption Standard) + 3 DES (Triple DES)
-Các chức năng toàn vẹn bản tin
-Nhận thực đối tác (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures + RSA Encrypted Nonces
-Quản lý khố
+ DH (Diffie- Hellman) + CA (Certificate Authority) -Kết hợp an ninh
+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management Protocol)
IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo
mật, toàn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang
hàng cĩ thể là những cặp Host hay những cặp cổng nối bảo mật (những bộ định
tuyến, những tường lửa, những bộ tập trung VPN …) hay cĩ thể giữa một host và một cổng nối bảo mật, như trong VPN truy cập từ xa.
Hai giao thức chính của IPSec là AH (Authentication Header) và ESP (Encapsulation Security Payload ).
-AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gĩi IP truyền
giữa hai hệ thống. Nĩ là một phương tiện để kiểm tra xem dữ liệu cĩ bị thay đổi trong khi truyền khơng. Do AH khơng cung cấp khả năng mật mã dữ liệu
nên các dữ liệu đều được truyền dưới dạng bản rõ.
-ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ
liệu, kiểm tra tính toàn vẹn dữ liệu. ESP đảm bảo tính bí mật của thơng tin
thơng qua việc mật mã ở lớp IP. Tất cả các lưu lượng ESP đều được mật mã giữa hai hệ thống.
Giao thức AH
Hình 47 : Khuơn dạng gĩi AH
+ Next header (8bit): Xác định kiểu dữ liệu của phần Payload tiếp sau AH. Giá trị
của trường này được lựa chọn từ tập các giá trị số giao thức IP được định nghĩa bởi
IANA (TCP_6; UDP_ 17).
+ Payload length (8bit): Xác định độ dài của AH theo đơn vị 32bit (4 Byte).
+ Reserved (16 bit): trường này dùng để dự trữ sử dụng trong tương lai. Giá trị của trường này cĩ thể đặt bằng 0 và cĩ tham gia trong việc tính Authentication Data.
+ Security Parameter Index (SPI):
- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh
ESP cho phép nhận dạng duy nhất SA cho gĩi dữ liệu này. Các giá trị SPI từ 1÷255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa
chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc.
- Giá trị SPI 0 được sử dụng cục bộ. Cĩ thẻ sử dụng giá trị này để chỉ ra chưa
cĩ SA nào tồn tại.
+ Sequence number (SN):
- Trường 32 bit khơng dấu chứa một giá trị đếm tăng dần. SN là trưịng bắt
buộc cho dù phía thu khơng thực hiện dịch vụ chống trùng lặp cho một SA
- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được
thiết lập (gĩi đầu tiên được truyền đi sử dụng SA sẽ cĩ SN=1). Nếu dịch vụ
anti-replay được lựa chọn thì được phát đi sẽ khơng được lặp lại (bằng cách
thiết lập một SA mới, và do đĩ là một khố mới) trước khi truyền gĩi thứ 232
của một SA.
+ Authentication Data:
Trường này cĩ độ dài biến đổi chứa một một giá trị kiểm tra tính tồn vẹn ICV (integrity Check Value) cho gĩi tin. Độ dài của trường này bằng số nguyên lần 32
bit (hay 4 Byte).
Trường này cĩ thể chứa một phần dữ liệu đệm kiểu tường minh (Explicit padding) để đảm bảo độ dài của AH header là số nguyên lần 32 bit (đối với IPv4) hoặc 64 bit (đối với IPv6).
Giao thức ESP
Khuơn dạng ESP
Hình 48: Khuơn dạng gĩi ESP Trong đĩ:
+ Security Parameter Index (SPI):
- SPI là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh
1÷255 được dành riêng để sử dụng trong tương lai. SPI thường được lựa
chọn bởi phía thu khi thiết lập SA. SPI là trường bắt buộc.
- Giá trị SPI 0 được sử dụng cục bộ. Cĩ thẻ sử dụng giá trị này để chỉ ra chưa
cĩ SA nào tồn tại.
+ Sequence number (SN):
- Trường 32 bit khơng dấu chứa một giá trị đếm tăng dần (SN). SN là trưịng bắt buộc cho dù phía thu khơng thực hiện dịch vụ chống trùng lặp cho một
SA cụ thể nào. việc xử lý SN tuỳ thuộc phía thu, nghĩa là phía phát luơn phải truyền trường này, cịn phía thu cĩ thể khơng cần phải xử lý nĩ.
- Bộ đếm của phía phát và phía thu đều được khởi tạo 0 khi một SA được
thiết lập (gĩi đầu tiên được truyền đi sử dụng SA sẽ cĩ SN=1). Nếu dịch vụ
anti-replay được lựa chọn thì được phát đi sẽ khơng được lặp lại (bằng cách
thiết lập một SA mới, và do đĩ là một khố mới) trước khi truyền gĩi thứ 232
của một SA.
+ Payload Data
Trường này cĩ độ dài biến đổi chứa dữ liệu mơ tả trong Next header. Payload Data là trường bắt buộc và cĩ độ dài bằng số nguyên lần Byte.
+ Padding
Nếu thuật tốn mật mã được sử dụng yêu cầu bản rõ (cleartext hay plaintext) phải là số nguyên lần khối các Byte (trong mật mã khối) thì Padding field được sử
dụng để thêm vào Plaintext để cĩ kích thước yêu cầu.
Padding cần thiết để đảm bảo phần dữ liệu mật mã sẽ kết thúc ở biên giới 4 Byte để phân biệt rõ ràng với trường Authentication Data.
Ngồi ra padding cịn cĩ thể được sử dụng để che dấu độ dài thực của Payload,
tuy nhiên mục dích này phải được cân nhắc vì nĩ ảnh hưởng tĩi băng tần truyền