1, Khái niệm:
PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàn giữa một Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra một VPN qua một mạng dựa trên IP. Được phát triển bởi Consortium PPTP (Tập đoàn Microsoft, Ascend Communications, 3COM, US Robotics,và ECI Telematics). PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn. PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng.
Hai hiện tượng đóng vai trò chính vào sự thành công của PPTP trong việc bảo mật các kết nối đường dài là:
+ Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN): PPTP cho phép sử dụng PSTN(Public Switched Telephone Network) để thực thi VPN. Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng chi phí thực thi giảm một cách đáng kể. Lý do này hoàn toàn dễ hiểu – vì
những yếu tố cần thiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa trên đường Leased Line và các Server truyền thông chuyên dụng hoàn toàn bị loại bỏ.
+ Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, và NetBIOS. Vì vậy, PPTP đã chứng tỏ là thành công trong việc triển khai VPN qua một mạng LAN riêng cũng như qua mạng công cộng. 2, Các tiến trình PPTP:
PPTP bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua phương tiện không an toàn. Ba tiến trình đó là:
- Thiết lập kết nối dựa trên PPP - Kiểm soát kết nối
- Tạo đường hầm PPTP và truyền dữ liệu. 2.1, Thiết lập kết nối dựa trên PPP:
Một kết nối Vật lý được thực hiện dựa trên PPP được tiến hành đầu tiên.
2.2, Kiểm soát kết nối PPTP
Sau khi một kết nối vật lý dựa trên PPP được thiết lập giữa PPTP Client và Server, quá trình kiểm soát kết nối PPTP bắt đầu. Như trong hình 2.7, Kiểm soát kết nối PPTP được thiết lập dựa trên địa chỉ IP của PPTP Client và Server. Nó sử dụng cổng TCP phân phối động và cổng TCP giành riêng số 1723. Sau khi kiểm soát kết nối được thiết lập, nó thực hiện việc kiểm soát và quản lý các thông điệp được trao đổi giữa các nhóm truyền thông. Các thông điệp này có nhiệm vụ duy trì, quản lý và kết thúc đường hầm PPTP. Các thông điệp này bao gồm cả chu kỳ giao dịch của các thông điệp "PPTP-Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiện lỗi kết nối giữa PPTP Server và Client.
Hình 3.3 Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP
Một số thông điệp thường dùng để kiểm soát PPTP :
Hình 3.4 Các thông điệp kiểm soát PPTP thông dụng
Các thông điệp kiểm soát PPTP được đóng gói vào trong các gói TCP. Vì vậy, sau khi đã thiết lập một kết nối PPP với Server hoặc Client từ xa, một kết nối TCP được thiết lập. Kết nối này sau đó thường được dùng để trao đổi các thông điệp kiểm soát PPTP.
2.3, Xử lý và định hướng đường hầm dữ liệu PPTP :
Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói. Đó là các giai đoạn sau:
+ Bao gói dữ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên trong một Frame PPP. Một tiêu đề PPP được thêm vào Frame.
+ Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trong một sự đóng gói định tuyến chung(GRE) đã sửa đổi. Tiêu đề GRE sửa đổi chứa một trường ACK 4 byte và một bit ACK tương ứng thông báo sự có mặt của trường ACK. Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độ dài 2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc gọi. PPTP client thiết lập các trường này khi nó tạo đường hầm PPTP.
+ Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vào khung PPP, và được bao gói vào trong gói GRE. Tiêu đề IP này chứa địa chỉ IP của PPTP client nguồn và PPTP Server đích.
+ Bao gói tầng liên kết dữ liệu: Như chúng ta đã biết, PPTP là một giao thức tạo đường hầm tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánh dấu là các quy luật quan trọng trong đường hầm dữ liệu. trước khi được đặt lên các phương tiện truyền phát, tầng liên kết dữ liệu thêm vào tiêu đề của chính nó và đánh dấu cho các gói dữ liệu. Nếu gói dữ liệu phải chuyển qua một đường hầm PPTP cục bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu đề theo công nghệ - LAN(như Ethenet chẳng hạn). Mặt khác, nếu đường hầm được trải qua một liên kết WAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một lần.
Hình 3.5 Mô tả tiến trình xử lý dữ liệu PPTP đường hầm
GRE là một cơ chế đóng gói thông dụng đơn giản cho các dữ liệu dựa trên IP. GRE thường được dùng bởi các ISP để chuyển tiếp thông tin định tuyến trong Intranet của họ. Tuy nhiên, các Router backbone thuộc Internet của ISP sẽ lọc lưu lượng dựa trên GRE này. Vì vậy các đường hầm đã được thiết lập có thể mang dữ liệu một cách an toàn và bí mật tới người nhận.
Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhận phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm để thu được dữ liệu gốc. Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP. Để lấy lại dữ liệu gốc thì Node PPTP của người nhận phải thực hiện các bước sau:
- Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được thêm vào bởi người gửi.
- Tiếp đó, loại bỏ tiêu đề GRE - Tiêu đề IP được xử lý và loại bỏ - Tiêu đề PPP được xử lý và loại bỏ.
Hình 3.6 Qúa trình xử lý gói dữ liệu để nhận được gói dữ liệu gốc
3, Bảo mật trong PPTP :
PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP
Server và Client. Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ
liệu, xác thực, kiểm soát truy cập và lọc gói tin. Hơn nữa các cơ chế bảo
mật được đề cập ở trên, PPTP có thể được dùng chung với Firewall và
Router.
3.1, Mã hoá và nén dữ liệu PPTP :
PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu. Thay vào đó, nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP. PPP lần lượt sử dụng mã hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí mật.
3.2, Xác thực dữ liệu PPTP :
PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây:
3.2.1, Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP) : MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA
RCA và DES. Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó không được hỗ trợ bởi các nền khác.
3.2.2, Giao thức xác thực mật khẩu(PAP) :
Là giao thức đơn giản và là giao thức xác thực đường quay số thông dụng nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP. Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá. Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi. Một lỗ hỗng của PAP khác là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai nữa! Vì lý do này, PAP được xem như là một giao thức xác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa thích trong VPN.
3.2, Kiểm soát truy cập PPTP:
Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cập của nó đến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mật nâng cao. Mục tiêu này được hoàn thành bởi việc thực thi bổ sung cơ chế kiểm soát truy cập như: Quyền truy cập, mức cho phép, nhóm và lọc gói PPTP Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấp nhận và định tuyến các gói chỉ từ các Client PPTP đã được xác thực thành công. Kết quả là, chỉ các Client PPTP đã được xác thực mới có thể truy cập lại tới mạng từ xa đã xác định.
Trong cách này, PPTP không chỉ cung cấp các cơ chế xác thực, kiểm soát truy cập và mã hoá, mà còn làm tăng thêm sự an toàn của mạng. 3.3, PPTP với FireWall và Router :
Các thiết bị PPTP chấp nhận lưu lượng TCP và IP tại cổng 1723 và 47. Tuy nhiên, khi PPTP dùng chung với FireWall và Router, lưu lượng đã được dự tính cho các cổng này được định tuyến qua Firewall hoặc Router,
chúng lọc lưu lượng trên cơ sở danh sách kiểm soát truy cập (ACL) và các chính sách bảo mật khác, PPTP nâng cao các dịch vụ bảo mật mà nó đưa ra.
4, Các tính năng mà PPTP đáp ứng: 4.1, Tính sẵn có:
PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trong Workstation. Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng. Không cần mua thêm các phần mềm bổ sung vì Microsoft đã đưa ra cách nâng cấp PPTP trong tất cả các phiên bản Windows, được bổ sung trong nhiều nhánh của các Switch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics. PPTP đã trở thành một phần của các gói tin hệ điều hành mạng và phần lớn các Switch truy cập từ xa. Một nhà quản trị mạng Window NT có thể thử nghiệm một VPN ngay lập tức mà không cần tốn thêm một chi phí nào.
4.2. Dễ thi hành :
Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giao thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ. Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sử dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổ sung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói tin PPP theo khuôn dạng PPTP.
4.3, Tạo đường hầm đa giao thức:
Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉ cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép.
4.4, Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ :
Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ được máy chủ gán cho một địa chỉ IP. Địa chỉ này có thể là một phần trong dãi địa chỉ IP của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP của tổ chức đó. Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (là những địa chỉ được cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệ thống mạng) trên hệ thống mạng riêng. Cơ quan thẩm quyền Internet Assigned Numbers (IANA) sẽ thiết lập các khối địa chỉ IP không đăng ký để sử dụng trên các mạng riêng hoặc Intranet và các hệ thống mạng này không cho phép các truy cập Internet hay các truy cập qua Router. Nếu một công ty có sử dụng một tập các địa chỉ không đăng ký khi một RAS Client sử dụng giao thức PPTP để thiết lập kết nối, sẽ được cung cấp một địa chỉ trong số địa chỉ đó và truy cập tới mạng nội bộ của công ty. Nếu một người sử dụng ở xa quay số kết nối tới ISP và cố gắng truy cập tới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ phải mở ra một cổng nào đó cho người sử dụng vào mạng cục bộ, điều này có thể tạo ra lỗ hỗng. Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thể vào mạng cục bộ.
