Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (cĩ cổng TCP được cấp phát động) và địa chỉ IP của máy chủ PPTP (sử dụng cổng TCP dành riêng 1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lí cuộc gọi PPTP được sử dụng để duy trì đường ngầm PPTP. Các bản tin này bao gồm các bản tin PPTP Echo - Request và PPTP Encho - Reply định kỳđể phát hiện các lỗi kết nối
giữa PPTP client và PPTP server. Các gĩi của kết nối điều khiển PPTP bao gồm IP header, TCP header, các bản tin điều khiển PPTP và các header, trailer của lớp đường truyền dữ liệu.
Hình 2.7: Gĩi dữ liệu của kết nối điều khiển PPTP 2.4.1.2 Đĩng gĩi dữ liệu đường ngầm PPTP
a) Đĩng gĩi khung PPP: Dữ liệu đường ngầm PPTP được đĩng gĩi thơng qua nhiều mức. Hình 2.8 là cấu trúc dữ liệu đã được đĩng gĩi.
Hình 2.8: Dữ liệu đường ngầm PPTP
Phần tải của khung PPP ban đầu được mật mã và đĩng gĩi với phần tiêu đề PPP
để tạo ra khung PPP. Khung PPP sau đĩ được đĩng gĩi với phần tiêu đề của phiên bản sửa đổi giao thức GRE (Generic Routing Encapsulation: giao thức đĩng gĩi định tuyến chung), giao thức này cung cấp cơ chế chung cho phép đĩng gĩi dữ liệu để gửi qua mạng IP.
Đối với PPTP, phần Header của GRE được sửa đổi một sốđiểm sau:
• Một bit xác nhận được sử dụng để khẳng định sự cĩ mặt của trường xác nhận 32 bit.
• Trường Key được thay thế bằng trường độ dài Payload 16 bit và trường chỉ số cuộc gọi 16 bit. Trường chỉ số cuộc gọi được thiết lập bởi PPTP client trong quá trình khởi tạo đường ngầm PPTP.
• Một trường xác nhận dài 32 bit được thêm vào.
b) Đĩng gĩi các GRE: Phẩn tải PPP (đã được mật mã) và các GRE Header sau đĩ
được đĩng gĩi với một tiêu đề IP chứa các thơng tin địa chỉ nguồn và đích thích hợp cho PPTP client và PPTP server.
c) Đĩng gĩi lớp liên kết dữ liệu: để cĩ thể truyền qua mạng LAN hoặc WAN, IP datagram cuối cùng sẽ được đĩng gĩi với một Header và Trailer của lớp liên kết dữ
liệu ở giao diện vật lý đầu ra. Ví dụ, nếu IP datagram được gửi qua giao diện Ethernet, nĩ sẽ được gĩi với phần Header và Trailer Ethernet. Nếu IP datagram được gửi qua
đường truyền WAN điểm tới điểm (ví dụ như đường điện thoại tương tự hoặc ISDN), nĩ sẽđược đĩng gĩi với phần Header và Trailer của giao thức PPP.
2.4.1.3 Xử lí dữ liệu đường ngầm PPTP
Khi nhận được dữ liệu đường ngầm PPTP, PPTP client hoặc PPTP server sẽ
thực hiện các bước sau:
• Xử lý và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu. • Xử lý và loại bỏ IP Header.
• Xử lý và loại bỏ GRE Header và PPP Header.
• Giải mã hoặc/và giải nén phần PPP Payload (Nếu cần thiết). • Xử lý phần Payload để nhận hoặc chuyển tiếp.
2.4.1.4 Sơđồđĩng gĩi
Hình 2.9 là sơđồđĩng gĩi PPTP qua kiến trúc mạng (từ một IP-VPN client qua kết nối truy nhập từ xa VPN, sử dụng modem tương tự).
text TCP/IP IPX PPTP Async NetBEU I X.25 ISDN L2TP Data link Trailer GRE Header Data link Header Encrypted PPP Payload (IP Datagram, IPX Datagram, NetBEUI Frame) IP Header PPP Heade r NDIS NDISWAN Bắt đầu gĩi ở đây
Cấu trúc gĩi tin cuối cùng
Hình 2.9: Sơđồđĩng gĩi PPTP
Quá trình được mơ tả các bước sau:
•Các IP datagram và IPX datagram hoặc khung NetBEUI được đưa tới giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụng NDIS (Network Driver Interface Specification).
•NDIS đưa gĩi dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu, và cung cấp PPP Header. Phần tiêu đề PPP này chỉ gồm trường mã số giao thức PPP (PPP
Protocol ID Field), khơng cĩ các trường Flags và FCS (Frame Check Sequence). Giả định trường địa chỉ và điều khiển đã được thỏa thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP.
•NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đĩng gĩi khung PPP với phần tiêu đề GRE. Trong GRE Header, trường chỉ số cuộc gọi được đặt giá trị thích hợp để
xác định đường ngầm.
•Giao thức PPTP sau đĩ sẽ gửi gĩi vừa hình thành tới giao thức TCP/IP.
•TCP/IP dĩng gĩi dữ liệu đường ngầm PPTP với phần tiêu đề IP, sau đĩ gửi kết quả tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS.
•NDIS gửi gĩi tin tới NDISWAN, nơi cung cấp các phần PPP Header và Trailer. •NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số (ví dụ, cổng khơng đồng bộ cho kết nối modem).
2.4.2 L2TP (Layer Two Tunneling Protocol)
Để tránh việc hai giao thức đường ngầm khơng tương thích cùng tồn tại gây khĩ khăn cho người sử dụng, IETF đã kết hợp và phát triển hai giao thức L2F và PPTP thành L2TP, trên cơ sở tận dụng các ưu điểm của cả hai giao thức này, đồng thời cĩ thể sử dụng được trong tất cả các trường hợp ứng dụng của PPTP và L2F. L2TP được mơ tả trong khuyến nghị RFC 2661.
L2TP đĩng gĩi các khung PPP để truyền qua mạng IP, X.25, Frame Relay, hoặc ATM. Hiện nay mới chỉ cĩ L2TP trên mạng IP được định nghĩa. Khi truyền qua mạng IP, các khung L2TP được đĩng gĩi như các bản tin UDP, L2TP cĩ thể được sử dụng như một giao thức đường ngầm thơng qua Internet hoặc các mạng riêng Intranet. L2TP dùng các bản tin UDP qua mạng IP cho các dữ liệu đường ngầm cũng như các dữ liệu bảo dưỡng đường ngầm. Phần tải của khung PPP đã đĩng gĩi cĩ thể được mật mã, nén. Tuy nhiên mật mã trong các kết nối L2TP thường được thực hiện bởi IPSec ESP (chứ khơng phải MPPE nhưđối với PPTP). Cũng cĩ thể tạo kết nối L2TP khơng mật mã IPSec. Tuy nhiên, đây khơng phải là kết nối IP-VPN vì dữ liệu riêng được đĩng gĩi bởi L2TP khơng được mật mã. Các kết nối L2TP khơng mật mã cĩ thể sử dụng tạm thời để sửa lỗi các kết nối L2TP dùng IPSec.
L2TP giả định tồn tại mạng IP giữa L2TP client (VPN client dùng giao thức
đường ngầm L2TP và IPSec). L2TP client cĩ thể được nối trực tiếp tới mạng IP để
truy nhập tới L2TP server hoặc gián tiếp thơng qua việc quay số tới máy chủ truy nhập mạng (Network Access Server - NAS) để thiết lập kết nối IP. Việc xác thực trong quá trình hình thành đường ngầm L2TP phải sử dụng các cơ chế xác thực như trong các
kết nối PPP như EAP, MS-CHAP, CHAP, PAP. Máy chủ L2TP là máy chủ IP-VPN sử
dụng giao thức L2TP với một giao diện nối với Internet và một giao diện khác nối với mạng Intranet. Các dữ liệu đường ngầm và dữ liệu duy trì đường ngầm cĩ cùng cấu trúc gĩi.
2.4.2.1 Duy trì đường ngầm bằng bản tin điều khiển L2TP
Khơng giống PPTP, việc duy trì đường ngầm L2TP khơng được thực hiện thơng qua một kết nối TCP riêng biệt. Các lưu lượng điều khiển và duy trì cuộc gọi
được gửi đi như các bản tin UDP giữa L2TP client và L2TP server (L2TP client và L2TP server đều sử dụng cổng UDP 1701).
Các bản tin điều khiển L2TP qua mạng IP được gửi như các UDP datagram. UDP datagram lại được mật mã bởi IPSec ESP như trên hình 2.10.
Hình 2.10: Bản tin điều khiển L2TP
Vì kết nối TCP khơng được sử dụng, L2TP dùng thứ tự bản tin đểđảm bảo việc truyền các bản tin L2TP. Trong bản tin điều khiển L2TP, trường Next-Received (tương tự như TCP Acknowledgment) và Next-Sent (tương tự như TCP Sequence Number) được sử dụng để duy trì thực tự các bản tin điều khiển. Các gĩi khơng đúng thứ tự bị loại bỏ. Các trường Next-Sent và Next-Received cũng cĩ thểđược sử dụng để
truyền dẫn tuần tự và điều khiển luồng cho các dữ liệu đường ngầm.
L2TP hỗ trợ nhiều cuộc gọi trên mỗi đường ngầm. Trong bản tin điều khiển L2TP và phần tiêu đề L2TP của dữ liệu đường ngầm cĩ một mã số đường ngầm (Tunnel ID) để xác định đường ngầm, và một mã số cuộc gọi (Call ID)để xác định cuộc gọi trong đường ngầm đĩ.
2.4.2.2 Đường ngầm dữ liệu L2TP
Đường ngầm dữ liệu L2TP được thực hiện thơng qua nhiều mức đĩng gĩi. Hình 2.11 chỉ ra cấu trúc cuối cùng của dữ liệu đường ngầm L2TP trên nên IPSec.
Hình 2.11: Đĩng bao gĩi tin L2TP
a) Đĩng gĩi L2TP: phần tải PPP ban đầu được đĩng gĩi với một PPP Header và một L2TP Trailer.
b) Đĩng gĩi UDP: gĩi L2TP sau đĩ được đĩng gĩi với một UDP Header, các địa chỉ
cổng nguồn và đích được đặt bằng 1701.
c)Đĩng gĩi IPSec: tuỳ thuộc vào chính sách IPSec, gĩi UDP được mật mã và đĩng gĩi với IPSec ESP Header, IPSec ESP Trailer, IPSec Authentication Trailer.
d) Đĩng gĩi IP: gĩi IPSec được đĩng gĩi với IP Header chứa địa chỉ IP nguồn và đích của IP-VPN client và IP-VPN server.
e)Đĩng gĩi lớp đường truyền dữ liệu:để truyền đi được trên đường truyền LAN hoặc WAN, IP datagram cuối cùng sẽđược đĩng gĩi với phần Header và Trailer tương ứng với kỹ thuật lớp đường truyển dữ liệu của giao diện vật lý đầu ra. Ví dụ, khi các IP datagram được gửi vào một giao diện Ethernet, IP datagram sẽ được đĩng gĩi với Ethernet Header và Trailer. Khi các IP datagram được gửi trên đường truyền WAN
điểm tới điểm (chẳng hạn đường dây điện thoại ISDN), IP datagram được đĩng gĩi với PPP Header và Trailer.
2.4.2.3 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec
Khi nhận được dữ liệu đường ngầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:
• Xử lý và loại bỏ Header va Trailer của lớp đường truyền dữ liệu. • Xử lý và loại bỏ IP Header.
• Dùng IPSec ESP Auth Trailer để xác thực IP payload và IPSec ESP Header. • Dùng IPSec ESP Header để giải mã phần gĩi đã mật mã.
• Xử lý UDP Header và gửi gĩi L2TP tới L2TP.
• L2TP dùng chỉ số đường ngầm và chỉ số cuộc gọi trong L2TP Header để
xác định đường ngầm L2TP cụ thể.
• Dùng PPP Header để xác định PPP Payload và chuyển tiếp nĩ tới đúng giao thức để xử lý.
2.4.2.4 Sơđồđĩng gĩi L2TP trên nền IPSec
Hình 2.12 là sơ đồ đĩng gĩi L2TP qua kiến trúc mạng từ một IP-VPN client thơng qua một kết nối IP-VPN truy nhập từ xa sử dụng một modem tương tự.
Hình 2.12: Sơđồđĩng gĩi L2TP
Các bước sau mơ tả quá trình đĩ:
• Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới giao diện ảo đại diện cho kết nối IP-VPN sử dụng NDIS bằng giao thức thích hợp.
• NDIS đưa các gĩi tới NDISWAN, tại đây cĩ thể nen và cung cấp PPP Header chỉ bao gồm trường chỉ số PPP Protocol. Các trương Flag hay FCS khơng
được thêm vào.
• NDISWAN gửi khung PPP tới giao thức L2TP, nơi đĩng gĩi PPP Frame với một L2TL Header. Trong L2TP Header, chỉ số đường ngầm và chỉ số cuộc gọi
được thiết lập với các giá trị thịch hợp để xác định đường ngầm.
• Giao thức L2TP gửi gĩi thu được tới giao thức TCP/IP với thơng tin để
gửi gĩi L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng UDP 1701 với các địa chỉ IP của IP-VPN client và IP-VPN server.
• Giao thức TCP/IP xây dựng một gĩi IP với các IP Header và UDP Header thích hợp. IPSec sau đĩ sẽ phân tích gĩi IP và so sánh nĩ với chính sách IPSec hiện thời. Dựa trên những thiết lập trong chính sách, IPSec đĩng gĩi và mật mã phần bản tin UDP của gĩi IP sử dụng các ESP Header và Trailer phù hợp. IP Header ban đầu với Protocol field được đặt là 50 được thêm vào phía trước của gĩi ESP. Giao thức TCP/IP sau đĩ gửi gĩi thu được tới giao diện đại diện cho kết nối quay số tới local ISP sử dụng NDIS.
• NDISWAN cung cấp PPP Header và Trailer và gửi khung PPP thu được tới cổng AN thích hợp đại diện cho phần cứng dial-up.
2.5 Tổng kết
Chương này đã đưa ra khái niêm và giới thiệu chung về cơng nghệ IP-VPN.
Đây là một cơng nghệ khơng mới, nhưng với sự phát triển mạnh mẽ của mạng Internet trên tồn cầu thì thị trường IP-VPN sẽ rất phát triển. Với các tổ chức cĩ mạng lưới rộng khắp, sử dụng cơng nghệ này sẽ rất hiệu quả trong truyền thơng giữa các thành viên của hãng ở các vùng địa lí khác nhau, đảm bảo phát triển các văn phịng mới một cách mềm dẻo, dễ dàng tiếp cận với khách hàng một cách trực tiếp và điều quan trọng là tính an tồn thơng tin.
Theo cấu trúc cơ bản, cĩ 2 loại VPN: Site-to-Site IP-VPN và Remote VPN. Trong đĩ Site-to-Site bao gồm 2 mơ hình là: Intranet IP-VPN được sử dụng để kết nối các mạng LAN văn phịng ở xa của một tổ chức; Extranet IP-VPN được sử dụng cho các ứng dụng kết nối trực tuyến tới khách hàng của tổ chức. Từ những khái niệm được trình bày ta cĩ thể nhận ra rằng đối tuợng và phạm vi kết nối của Extranet VPN cĩ phần rộng hơn Intranet VPN. Do đối tượng kết nối luơn thay đổi và khĩ cĩ thể đảm bảo trước nên yêu cầu bảo mật cũng cao hơn. Remote IP-VPN được ứng dụng cho những người làm việc lưu động hoặc những văn phịng ở xa dung lượng nhỏ.
Mạng IP-VPN bao gồm các khối cơ bản sau: điều khiển truy nhập, nhận thực, an ninh, truyền Tunnel và các thỏa thuận mức dịch vụ. Đây là những vấn đề rất phức tạp và yêu cầu nhiều giao thức kết hợp với nhau để thực hiện được các chức năng của mạng IP-VPN một cách hiện quả. Trong đĩ, đường ngầm là nền tảng của IP-VPN.
Trong chương này giới thiệu chung về các giao thức đường ngầm đang tồn tại sử dụng cho IP-VPN, trong đĩ hai giao thức đường ngầm PPTP và L2TP là 2 giao thức đã hịan thành và hoạt động phổ biến trong giai đoạn hiện nay.
Chương tiếp theo trình bày về giao thức IPSec, một giao thức được xem như tối
CHƯƠNG 3
GIAO THỨC IPSEC CHO IP-VPN 3.1 Gới thiệu
Trong chương 2 đã trình bày về các giao thức đường ngầm PPTP và L2TP sử
dụng để xây dựng mạng IP-VPN. Trong chương này sẽ trình bày về giao thức IPSec, một giao thức được coi là tối ưu nhất cho IP-VPN. Như ta đã biết, mạng Internet nguyên thủy được phát triển để truyền thơng giữa các máy tính tin cây, vì vậy nĩ khơng hỗ trợ các dịch vụ an ninh. Cùng với sự phát triển rộng khắp của Internet trên tịan cầu thì vấn đề an ninh là một trong những vấn đề quan trọng. Giao thức IPSec được phát triển để giải quyết vấn đề an ninh này và trong IP-VPN là một trong những ứng dụng của nĩ.
3.1.1 Khái niệm về IPSec
IPSec (Internet Protocol Security) là một giao thức được IETF phát triển. IPSec
được định nghĩa là một giao thức trong tầng mạng cung cấp các dịch vụ bảo mật, nhận thực, tồn vẹn dữ liệu và điều khiển truy cập. Nĩ là một tập hợp các tiêu chuẩn mở làm việc cùng nhau giữa các phần thiết bị.
Một cách chung nhất, IPSec cho phép một đường ngầm bảo mật thiết lập giữa 2 mạng riêng và nhận thực hai đầu của đường ngầm này. Các thiết bị giữa hai đầu đường ngầm cĩ thể là một cặp host, hoặc một cặp cổng bảo mật (cĩ thể là router, firewall, bộ
tập trung VPN) hoặc một cặp thiết bị gồm một host và một cổng bảo mật. Đường ngầm đĩng vai trị là một kênh truyền bảo mật giữa hai đầu và các gĩi dữ liệu yêu cầu an tồn được truyền trên đĩ. IPSec cũng thực hiện đĩng gĩi dữ liệu các thơng tin để
thiết lập, duy trì và hủy bỏ kênh truyền khi khơng dùng đến nữa. Các gĩi tin truyền trong đường ngầm cĩ khuơn dạng giống như các gĩi tin bình thường khác và khơng làm thay đổi các thiết bị, kiến trúc cũng như những ứng dụng hiện cĩ trên mạng trung gian, qua đĩ cho phép giảm đáng kể chi phí để triển khai và quản lý.
IPSec cĩ hai cơ chế cơ bản để đảm bảo an tồn dữ liệu đĩ là AH