ECP có thể được dùng để thương lượng mã hóa với một kết nối PPP, làmột kết nối đã được thiết lập và xác thực. ECP cho phép sử dụng các thuật toán mã hóa khác nhau trong mỗi chỉ thị nhưng không cung cấp khả năng Refresh khóa. Thuật toán mã hóa chuẩn là DES nhưng khách hàng có thể tự chọn thuật toán mà họ ưa thích để thực hiện.
IPSec mang lại chức năng mã hóa với giao thức đóng gói tải bảo mật và sử dụng giao thức trao đổi khóa Internet cho việc sinh khóa và làm tươi khóa. ESP có khả năng mã hóa trên từng gói dữ liệu trong một phiên giao dịch và đưa ra thuật toán mã hóa ở các mức độ: thấp, trung bình, mạnh và rất mạnh để có thể lựa chọn từ DES 40bit đến Trip DES 192bit. IKE xác thực các bên cần trao đổi thông tin mật dựa trên các thuật toán xác thực mạnh cũng như mã hóa các thông điệp làm tươi khóa. Các khóa được sinh bởi IKE sau đó được sử dụng bởi IKE. ESP cung cấp tùy chọn xác thực trên từng gói dữ liệu và bảo vệ lại. Điều này làm cho IPSec phức tạp và an toàn hơn các tùy chọn xác thực PPP truyền thống. Nhưng nó cũng làm xuất hiện quá trình xử lý Overhead nhiều hơn tại thiết bị thực thi. IPSec là giao thức bảo mật được khuyến cáo cho L2TP và cũng có thể được dùng với L2F.
Tổng kết
Trong chương này, chúng ta đã tìm hiểu về các giao thức được hầm tại tầng 2 của mô hình OSI. Các giao thức này là PPTP, L2F, L2TP. Chúng ta cũng tìm hiểu chi tiết về cách thức làm việc của các giao thức, bao gồm cả các thành phần, các tiến trình và việc duy trì kiểm soát kết nối được áp dụng cho mỗi giao thức. Chúng ta đã xem xét các tiến trình thiết lập một đường hầm của mỗi giao thức cũng như việc xử lý dữ liệu đường hầm và quy tắc của nó trong việc bảo mật dữ liệu. Chúng ta cũng đã xem xét khía cạnh bảo mật của mỗi giao thức, bao gồm cả các cơ chế mã hóa và xác thực khác nhau được sử dụng bởi mỗi giao thức để bảo đảm an toàn cho dữ liệu trong khi truyền qua đường hầm. Cuối cùng, chúng ta xem xét những ưu nhược điểm của mỗi giao thức.
Câu hỏi ôn tập
1. Những giao thức đường hầm nào sau đây được gắn với tầng 2 của mô hình OSI? a. PPTP
b. L2F c. IPSec d. L2TP
2. Cổng mạng được dùng bởi L2F cho việc thiết lập và kiểm soát kết nối là____________.
a. TCP: 1701 b. UDP: 1723 c. UDP: 1701 d. TCP: 1723
3. Cổng mạng được dùng bởi PPTP cho việc định đường hầm dữ liệu tới đích là____________.
a. IP: 47 b. TCP: 47 c. UDP: 47 d. TCP: 1723
a. Link Control Protocol b. Link termination
c. Network Control Protocol d. Link establishment
5. Giao thức đường hầm nào sau đây được hỗ trợ bởi Windows NT 4.0 Server? a. PPTP
b. L2TP c. L2F
d. Tất cả giao thức trên
6. Những thành phần nào sau đây là của một đường hầm L2TP? a. LLC
b. LNS c. NAS d. LSN
7. Giao thức đường hầm đầu nào sau đây lần đầu tiên cho phép nhiều kết nối trên đường hầm?
a. PPTP b. L2TP c. L2F
d. Không có giao thức nào 8. Câu nào sau đây về L2F là đúng?
a. It is a proprietary tunneling protocol by Cisco. b. It offers advanced flow-control services. c. It supports voluntary tunnels.
d. It supports compulsory tunnels.
9. Giao thức đường hầm nào sau đây hỗ trợ IKE? a. PPTP
c. IPSec d. L2F
Chương III Các giao thức mạng riêng ảo tại tẩng 3
Trong chương II chúng ta đã nghiên cứu về các giao thức mạng riêng ảo, như PPTP, L2TP, L2F tại tầng 2 của mô hình OSI. Trong chương này sẽ nghiên cứu giao thức mạng riêng ảo hoạt động tại tầng 3 của mô hình OSI. Với đặc tính quản lý khóa, bảo mật và xác thực mạnh của IPSec, nó nổi bật lên như một chuẩn mạng riêng ảo thực tế. Trong thực tế, phần lớn giải pháp mạng riêng ảo ngày nay thường dựa trên IPSec. Vì vậy, IPSec là gì? Làm thế nào để nó đảm bảo an toàn cho các giao dịch trong khi truyền dữ liệu? Tại sao nó lại trở nên thông dụng? Chương này sẽ cố gắng trả lời các câu hỏi này.
Đúng như tên gọi, giao thức IPSec thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nội dung thông tin.
Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3(Lớp mạng) của mô hình OSI, như trong hình 3.1
Application Layer Presentation Layer
Session Layer Transport Layer Data Link Layer
Physical Layer
IPSec Network Layer
Hình 3.1 Vị trí của IPSec trong mô hình OSI