3 Giao thức PPTP và L2TP
3.3.1 Quan hệ giữa L2TP với PPP
Giao thức định đường hầm lớp 2, L2TP là sự kết hợp giữa hai giao thức đó là PPTP và L2F. Giống như PPTP, L2F là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2. Điểm khác biệt giữa
PPTP và L2F là L2F không phụ thuộc vào IP và GRE. Cho phép nó có thể làm việc ở các môi trương vật lý khác. L2TP mang đặc tính của PPTP và L2F. Tuy
nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của
L2F. L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cập
mạng ( NAS ). L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành xác thực đầu,
tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc. L2TP có thể tạo
Tiêu đề IP Tiêu đề GREv2
Gói tải PPP
IP, IPX và gói dữ liệu NETBEUI
Tiêu đề môi trường phân phối
(IP,ATM,X.25) Khung Ethernet Tiêu đề MT Khung PPP Server Client Di động Chuyển mạch truy nhập từ xa của ISP ` ` ` Host Host LAN Hình 27
L2TP cũng giống với PPTP là nó cũng có 2 thông báo:
Thông báo điều khiển
Thông báo dữ liệu
Cũng tương tự như PPP, sau khi đường hầm được thiết lập thì dữ liệu được
truyền từ client sang máy chủ PPTP chứa các gói dữ liệu IP. Gói dữ liệu IP được đóng gói tiêu đề như hình sau.
Hình 28: Bộ lọc gói L2TP
L2TP cũng sử dụng những lớp đường hầm như PPTP.
Đường hầm tự nguyện: Tạo theo yêu cầu của người dùng
Giao thức L2TP có thể hỗ trợ sự truy cập mạng LAN từ xa sử dụng bất kỳ
giao thức lớp mạng nào được hỗ trợ bởi giao thức PPP qua các phiên đường hầm và cái đó trực tiếp được quản lý bởi việc kết thúc kết nối PPP trong sự truy nhập
cổng vào mạng Intranet của một tổ chức hay một tập đoàn.
Hình 29
Trong giao thức L2TP có một số phần tử tham gia vào việc thiết lập đường hầm:
L2TP Access Concentrator (LAC): Bộ tập trung truy nhập giao
thức.
Bộ tập trung truy nhập LAC được đinh vị tại nhà cung cập dịch vụ
ISP qua giao thức POP cung cấp các kết nối vật lý của người dùng từ xa. Trong LAC phương tiện truyền thông vật lý được kết thúc và nó có thể được nối tới mạng điện thoại chuyển mạch công cộng PSTN
hoặc mạng số tích hợp đa dịch vụ ISDN. Qua bộ tập trung LAC này,
người ta có thể thiết lập kết nối đường hầm L2TP qua bộ định tuyến
LAC router tới người dùng đầu cuối nơiđường hầm được kết thúc.
L2TP Network Server ( LNS): Máy chủ phục vụ L2TP
LNS tiếp nhận các phiên kết nối của người dùng từ xa, chỉ có một kết
nối đơn được sử dụng trên LNS để kết thúc các kênh kết nối gọi đến
từ những người dùng từ xa từ các phương tiện truyền thông khác nhau như ISDN, V120 …
Bộ tập trung đa truy nhập cũng có thể được sử dụng như LNS khi nó được sử dụng như cổng vào truy nhập Intranet tập đoàn.
NAS là một thiết bị truy nhập từ điểm tới điểm đáp ứng những yêu cầu truy nhập của người dùng từ xa qua ISDN hay PSTN.
NAS thành lập và điều khiển các phiên họp và đường hầm + Người dùng từ xa bắt đầu một kết nối PPP tới NAS
+ NAS chấp nhận cuộc gọi
+ Sự chứng thực người dùng đầu cuối được máy chủ uỷ nhiệm cho
phép tới NAS
+ Người dùng đầu cuối thiết lập kết nối với LNS để tạo ra đường hầm
tới Intranet tập đoàn. Các phiên kết nối được LAC quản lý và các gói dữ liệu được gửi qua đường hầm LAC LNS, mỗi LAC và LNS theo dõi tình trạng các kết nối của người dùng.
Hình 30
+ Người dùng từ xa cũng được xác nhận bởi máy chủ chứng thực của
cổng ra vào LNS trước khi được chấp nhận kết nối đường hầm.
+ LNS chấp nhận kết nối và thiết lập đường hầm L2TP và NAS chứng
thực.
+ LNS trao đổi với người dùng từ xa qua giao thức PPP.
L2PT có thể hỗ trợ các hàm sau:
Thiết lập đương hầm của người dùng đơn quay số trong những
khách hang
Sự xuyên đường hầm bằng các chương trình chuyển vận nhỏ.
Đầu vào của một kết nối gọi tới LNS từ LAC.
Thiết lập đa đường hầm.
Uỷ nhiệm chứng thực cho PAP và CHAP
Sự chứng thực điểm cuối của đường hầm.
Che dấu cặp thuộc tính để truyền một mật khẩu PAP uỷ nhiệm.
Sự xuyên đường hầm sử dụng một lookup table.
Sự xuyên đường hầm sử dụng tên lookup người dùng PPP trong hệ
thống AAA.
Những kiểu đường hầm L2TP:
Hình 31
Một đường hầm bắt buộc được thiết lập như sau:
Người dùng từ xa bắt đầu một kết nối PPP tới nhà cung cấp dịch
vụ ISP
Nhà cung cấp dịch vụ ISP chấp nhận kết nối và mối liên kết PPP được thành lập
ISP thiết lập một đường hầm L2TP tới LNS, nếu LNS chấp nhận
kết nối thì LAC đóng gói PPP với L2TP và chuyển vào đường
hầm, LNS chấp nhận khung này, tước bở L2TP và sử lý đầu vào PPP.
LNS sử dụng chứng thực để làm cho có hiệu lực với người dùng
sau đó gán địa chỉ IP
Hình 33 : Đóng gói dữ liệu trong đường hầm L2TP
Thiết lập kết nối mạng riêng ảo từ xa sử dụng L2TP và IPSec.
Hình 34: Sử dụng IPSec để bảo vệ L2TP trong đương hầm bắt buộc giữa người
Ví dụ: Công ty được hỗ trợ bởi nhà cung cấp dịch vụ VPN. Có nghĩa là ISP cung cấp kết nối Internet cho công ty có máy chủ Proxy RADIUS và LAC. Còn ở tại công ty duy trì máy chủ RADIUS và LNS
Hình 36:Quay số L2TP truy nhập VPN
L2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối
hợp những đặc điểm tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản
phẩm PPTP đều đưa ra các sản phẩm tương thích L2TP hoặc giới thiệu sau này. Mặc dù nó chạy chủ yếu trên mạng IP nhưng nó cũng không có khả năng chạy
trên mạng Frame Relay, ATM điều này càng làm cho nó càng trở nên phổ biến.
3.6 So sánh giữa PPTP và L2TP
Cả hai PPTP và L2TP\IPSec sử dụng giao thức kết nối điểm - điểm để
cung cấp một vỏ bọc cơ sở cho dữ liệu, và sau đó nối thêm phần header vào để
truyền qua các mạng làm việc. Tuy nhiên có những cái khác sau đây:
Với PPTP, dữ liệu được bắt đầu mã hoá sau khi PPP kết nối xử lý (
và, bởi vậy, PPP được xác thực ) là hoàn thành. Với L2TP\IPSec, dữ liệu được bắt đầu mã hoá trước khi PPP kết nối xử lý bằng đàm phán một IPSec liên kết bảo mật.
PPTP kết nối sử dụng MPPE, mỗi chuỗi mật mã là một cơ bản trên RSA RC-4 thuật toán mã hoá sử dụng 40, 56, hoặc 128 bit các
khoá mã hoá. Chuỗi mật mã mã hoá dữ liệu như một bit các chuỗi
kết nối L2TP\IPSec sử dụng DES, cái nào là một khối mật mã mà sử dụng hoặc một khoá 56 bit cho DES, hoặc 3 khoá 56 bit cho 3-
DES. Các khối mật mã mã hoá dữ liệu trong các khối riêng biệt (
các khối 64 bit, trong trường hợp của DES).
Các kết nối PPTP yêu cầu chỉ sử dụng mức chứng thực qua một
giao thức chứng thực PPP cơ bản. Các kết nối L2TP\IPSec yêu cầu như sử dụng mức chứng thực và thêm mức máy tính chứng thực sử
dụng máy tính cấp chứng nhận.
3.6.1 Ưu điểm của L2TP.
Sau đây là những thuận lợi sử dụng L2TP\IPSec hơn PPTP trong
Windows 2000:
IPSec cung cấp cho mỗi gói dữ liệu chứng thực ( Chứng minh dữ
liệu đã được gửi bởi người dùng cho phép), toàn ven dữ liệu
(Chứng minh là dữ liệu đã không bị sửa đổi trong quá trình truyền ), replay protection ( Ngăn cản từ việc gửi lại một chuỗi của các
gói lấy được ), và dữ liệu tin cậy ( Ngăn cản từ việc phiên dịch các
gói lấy được với ngoài các khoá mã hoá). Bởi trái ngược, PPP
cung cấp chỉ cho mỗi gói dữ liệu tin cậy.
Các kết nối L2TP/IPSec cung cấp chứng thực chắc chắn bằng yêu cầu cả hai chứng thực mức máy tính qua giấy chứng nhận và mức
chứng thực người dùng qua một giao thức chứng thực PPP.
Các gói PPP thay đổi trong thời gian mức chứng thực người dùng là không bao giờ gửi dạng không phải bảng mã vì kết nối PPP xử
lý cho L2TP/IPSec xuất hiện sau khi IPSec liên kết bảo mật (SAs) đã được thiết lập. Nếu chặc, xác thực PPP thay đổi để một vài kiểu
của các giao thức xác thực PPP có thể sử dụng thực thi các tấn
công từ điển ngoại tuyến và quyết định sử dụng các mật khẩu. Bởi
mã hoá thay đổi xác thực PPP, các tấn công từ điển ngoại tuyến là chỉ có thể thực hiện được sau khi các gói mã hoá đã hoàn thành giải mã.