II. Tổng quan về IPSEC
c) Đờng hầm L2TP
PPTP cho phép ngời dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác nhau. Ngời dùng có thể chỉ định điểm kết thúc của đờng hầm ở ngay tại máy tính của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP). Có hai lớp đờng hầm: Đờng hầm tự nguyên và đờng hầm bắt buộc.
Đờng hầm tự nguyện: đợc tạo ra theo yêu cầu của ngời dùng. Khi sử dụng đ- ờng hầm tự nguyện, ngời dùng có thể đồng thời mở một đờng hầm bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình thờng. Đờng hầm tự nguyện thờng đợc s dụng để cung cấp tính riêng t và toàn vẹn dữ liệu cho lu lợng Intranet đợc gửi thông qua Internet.
Đờng hầm bắt buộc đợc tạo ra không thông qua ngời dùng nên nó trong suốt đối với ngời dùng. Điểm kết thúc của đơng hầm bắt buộc nằm ở máy chủ truy cập từ xa. Tất cả dữ liệu truyền đi từ ngời dùng qua đờng hầm PPTP đều phải thông qua RAS.
Do đờng hầm bắt buộc định trớc điểm kết thúc và ngời dùng không thể truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đờng hầm tự nguyện. Nếu vì tính bảo mật mà không cho ngời dùng truy cập Internet công cộng thì đờng hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và đợc các site trong VPN mà thôi).
Một u điểm nữa của đờng hầm bắt buộc là một đuờng hầm có nhiều điểm kết nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc.
Một khuyết điểm của đờng hầm bắt buộc là kết nối từ RAS đến ngời dùng nằm ngoài đờng hầm nên dễ bị tấn công.
Hình 2.8 : đờng hầm bắt buộc và đờng hầm tự nguyện
Sử dụng RADIUS để cung cấp đờng hầm bắt buộc có một vài u điểm đó là: Các đờng hầm có thể đợc định nghĩa và kiểm tra dựa trên xác thực ngời dùng và tính cớc dựa vào số điện thoại, các phơng thức xác thực khác nh thẻ bài (token) hay thẻ thông minh (smart card).
d) Xác thực và mã hoá
Các client PPTP đợc xác thực cũng tơng tự nh các client RAS đợc xác thực từ máy chủ PPP. Microsoft hỗ trợ xác thực CHAP, PAP, MS-CHAP. MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đố từ mật khẩu của ngời dùng. PAP và CHAP có nhợc điểm là cả hai dựa trên mật khẩu lu tại máy đầu xa và tại máy cục bộ. Nếu nh máy tính bị điều khiển bởi kẻ tấn công từ mạng thì mật khẩu sẽ thay đổi. Với PAP và CHAP không thể gán các đặc quyền truy cập mạng khác nhau cho những ngời dùng khác nhau tại cùng một máy tính ở xa. Bởi vì khi cấp quyền đã đợc gán cho một máy tính thì mọi ngời dùng tại máy tính đó đều có đặc quyền truy cập mạng nh nhau.
Với PPTP thì dữ liệu đợc mã hoá theo mã hóa điểm-điểm của Microsoft - MPPE (Microsoft point-to-Point Encryption). Phơng thức này dựa trên chuẩn RSA
RC4, giao thức điều khiển nén CCP (Compression Control Protocol) đợc sử dụng bởi PPP để thoả hiệp việc mã hoá. MS-CHAP đợc dùng để kiểm tra tính hợp lý ng- ời dùng đầu cuối tại tên miền Windows NT.
Hình 2.9: Mã hoá gói trong PPTP
Một khoá phiên 40 bit đợc sử dụng cho mã hoá nhng ngời dùng tại Mỹ có thể cài đặt một phần mềm nâng cấp lên 128 bit. MPPE mã hoá các gói PPP tại client trớc khi chuyển chúng vào đờng hầm PPTP nên các gói đợc bảo mật từ trạm làm việc đến máy chủ PPTP. Việc thay đổi khoá phiên có thể đợc thoả thuận lại sau mỗi gói hay sau một số gói.
e) Đờng hầm kết nối LAN-LAN
Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối vào một mạng riêng thông qua mạng Internet, những đờng hầm kết nối LAN-LAN không đợc hỗ trợ. Mãi đến khi Microsoft giới thiệu máy chủ định hớng và truy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợ đờng hầm kết nối LAN-LAN. Kể từ đó các nhà cung cấp khác cũng đã cung cấp các máy chủ tơng thích với PPTP có hỗ trợ đờng hầm kết nối LAN-LAN.
Đờng hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống nh IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN. Tuy nhiên, do kiến trúc PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực đợc điều khiển bởi CHAP hoặc thông qua MS-CHAP. Để tạo đờng hầm giữa hai site, máy chủ PPTP tại mỗi site sẽ đợc xác thực bởi PPTP ở site kia. Khi đó máy chủ PPTP trở
thành client PPTP của máy chủ PPTP ở đầu bên kia và ngợc lại, do đó một đờng hầm tự nguyện đợc tạo ra giữa hai site.
Hình 2.10 : Đờng hầm kết nối LAN-LAN
Do đờng hầm PPTP có thể đợc đón gói bởi bất kỳ giao thức mạng nào đợc hỗ trợ (IP, IPX, NETBEUI), ngời dùng tại một site có thể truy cập vào tài nguyên tại site kia dựa trên quyền truy cập của họ.
2.2.2 Sử dụng PPTP
Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập mạng dùng cho phơng thức quay số truy cập bảo mật vào VPN, một máy chủ PPTP, và PPTP client.
Hình 2.11: Các thành phần cơ bản của một VPN sử dụng PPTP
Các máy chủ PPTP có thể đặt tại mạng của công ty và do một nhóm ngời của công ty quản lý nhng NAS phải do ISP hỗ trợ.
a) Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là điểm kết nối của đờng hầm PPTP và chuyển các gói đến từ đờng hầm tới mạng LAN riêng. Máy chủ PPTP chuyển các gói đến máy đích bằng cách xử lý gói PPTP để đợc địa chỉ mạng của máy tính đích.
Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói PPTP. Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép truy cập vào Internet , mạng riêng hay cả hai.
Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu nh máy chủ PPTP nằm sau tờng lửa. PPTP đợc thiết kế sau cho chỉ có một cổng TCP/IP (1723) đợc sử dụng để chuyển dữ liệu đi. Sự khiếm khuyết của cấu hình cổng này có thể làm cho tờng lửa dễ bị tấn công hơn. Nếu nh tờng lửa đợc cấu hình để lọc gói thì phải thiét lập nó cho phép GRE đi qua.
b) Phần mềm client PPTP
Nếu nh các thiết bị của ISP đã hỗ trợ PPTP thì không cần phần cứng hay phần mềm nào cho các client, chỉ cần một kết nối PPP chuẩn. Nếu nh các thiết bị của ISP không hỗ trợ PPTP thì một client Win NT (hoặc phần mềm tơng tự) vẫn có thể tạo kết nối bảo mật bằng cách: Đầu tiên quay số kết nối tới ISP bằng PPP, sau đó quay số một lần nữa thông qua cổng PPTP ảo đợc thiết lập ở client.
2.3 Giao thức đờng hầm lớp 2 - L2TP
Giao thức đờng hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F- chuyển tiếp lớp 2. PPTP do Microsoft đa ra còn L2F do Cisco khởi xớng. Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF.
Giống nh PPTP, L2TP là giao thức đờng hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trờng vật lý khác.
L2TP mang dặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một giao thức đờng hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông qua nhiều môi trờng gói khác nhau nh X.25, Frame Relay, ATM. Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đờng hầm. Một mạng ATM hay frame Relay có thể áp dụng cho đờng hầm L2TP.
2.3.1 Kiến trúc của L2TP
Các thành phần chức năng của L2TP bao gồm: giao thức điểm-điểm, đờng hầm, hệ thống xác thực và mã hoá. L2TP có thể sử dụng quản lý khoá để tăng thêm độ bảo mật. Kiến trúc của L2TP nh hình vẽ:
Hình 2.12: kiến trúc của L2TP
f) PPP và L2TP
L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cập mạng NAS. L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành giai đoạn xác thực ban đầu, tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc.
Sau khi PPP tạo kết nối xong, L2TP sẽ các định NAS tại site chính có chấp nhận ngời dùng và sẵn sàng đóng vai trò là điểm kết thúc của đờng hầm cho ngời dùng đó. Sau khi đờng hầm đợc thiết lập, L2TP sẽ đóng các gói PPP rồi truyền lên môi trờng mà ISP gán cho đờng hầm đó. L2TP có thể tạo nhiều đờng hầm giữa NAS của ISP và máy chủ mạng, và gán nhiều phiên làm việc cho đờng hầm. L2TP tạo ra các số nhận dạng cuộc gọi (Call ID) cho mỗi phiên làm việc và chèn vào tiêu đề L2TP của mỗi gói để chỉ ra nó thuộc phiên làm việc nào?
Ta có thể thực hiện chọn và gán một phiên làm việc của ngời dùng vào một đờng hầm thay vì ghép nhiều phiên làm việc vào một đờng hầm, với cách này cho phép gán các ngời dùng khác nhau vào các môi truờng đờng hầm tuỳ theo chất l- ợng dịch vụ.
Hình 2.13: các giao thức sử dụng trong một kết nối L2TP
Giống nh PPTP, L2TP cũng định nghĩa hai loại thông báo đó là thông báo điều khiển và thông báo dữ liệu. Thông báo điều khiển có chức năng điều khiển việc thiết lập, quản lý và giải phóng phiên làm việc trên đờng hầm. Thông báo điều khiển cũng cho ta biết tốc độ truyền và tham số của bộ đệm dùng để điều khiển luồng các gói PPP trong một phiên làm việc. Tuy nhiên, L2TP truyền cả hai loại thông báo này trên cùng gói dữ liệu UDP và chung trên một luồng.
Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình OSI nên trong thông báo dữ liệu L2TP bao gồm tiêu đề môi trờng để chỉ ra đờng hầm làm việc trong môi trờng nào? Tuỳ thuộc vào ISP mà môi trờng có thể là Ethernet, X.25, Frame Relay, ATM, hay liên kết PPP.
Hình 2.14: Bọc gói L2TP
L2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung truy cập L2TP_ LAC (L2TP Access Concentrator)) và máy chủ của mạng riêng (hay máy chủ mạng L2TP _LNS ( L2TP network Server) ).
g) Cấu trúc gói dữ liệu L2TP
*Đóng gói dữ liệu đờng hầm L2TP
Đờng hầm dữ liệu L2TP đợc thực hiện thông qua nhiều mức đóng gói. Hình vẽ chỉ ra cấu trúc cuối cùng của dữ liệu đờng hầm L2TP trên nền IPSec.
Hình 2.15: Cấu trúc gói dữ liệu trong đờng hầm L2TP + Đóng gói L2TP
phần tải PPP ban đầu đợc đóng gói với một PPP header và một L2TP header. + Đóng gói UDP
Gói L2TP sau đó đợc đóng gói với một UDP header, các địa chỉ nguồn và đích đợc đặt bằng 1701.
+ Đóng gói IPSec
Tuỳ thuộc vào chính sách IPSec, gói UDP đợc mật mã và đóng gói với ESP IPSec header và ESP IPSec Trailer, IPSec Authentication Trailer.
+ Đóng gói IP
Gói IPSec đợc đóng gói với IP header chứa địa chỉ IP ngồn và đích của VPN client và VPN server.
+ Đóng gói lớp liên kết dữ liệu
Do đờng hầm L2TP hoạt động ở lớp 2 của mô hình OSI- lớp liên kết dữ liệu nên các IP datagram cuối cùng sẽ đợc đóng gói với phần header và trailer tơng ứng với kỹ thuật ở lớp đờng truyền dữ liệu của giao diện vật lý đầu ra. Ví dụ, khi các IP datagram đợc gửi vào một giao diện Ethernet thì IPdatagram này sẽ đợc đóng gói với Ethernet header và Ethernet Trailer. Khi các IP datagram đợc gửi trên đờng truyền WAN điểm-tới-điểm (chẳng hạn đờng dây điện thoại hay ISDN, ) thì IPdatagram đợc đóng gói với PPP header và PPP trailer.
* Xử lý dữ liệu đờng hầm L2TP trên nền IPSec
Khi nhận đợc dữ liệu đờng hầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bớc sau:
- Xử lý và loại bỏ header và trailer của lớp đờng truyền dữ liệu.
- Xử lý và loại bỏ IP header.
- Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP header.
- Dùng IPSec ESP header để giải mã phần gói đã mật mã.
- L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đờng hầm L2TP cụ thể.
- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giao thức để xử lý.
h) Đờng hầm L2TP
L2TP sử dụng những lớp đờng hầm tơng tự nh PPTP, tuỳ theo ngời dùng sử dụng là client PPP hay client L2TP mà sử dụng đờng hầm là tự nguyện hay bắt buộc.
Đờng hầm tự nguyện đợc tạo ra theo yêu cầu của ngời dùng cho mục đích cụ thể. Khi sử dụng đờng hầm tự nguyện thì ngời dùng có thể đồng thời mở đờng hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất kỳ trên Internet theo giao thức TCP/IP bình thờng. Điểm kết thúc của đờng hầm tự nguyện nằm ở máy tính ngời dùng. Đờng hầm tự nguyện thờng đợc sử dụng để cung cấp tính riêng t và toàn vẹn dữ liệu cho lu lợng Intranet gửi thông qua Internet.
Đờng hầm bắt buộc đợc tạo tự động không cần bất kỳ hành động nào từ phía nguời dùng và không cho phép ngời dùng chọn lựa. Do đờng hầm bắt buộc đợc tạo ra không thông qua ngời dùng nên nó trong suốt đối với ngời dùng đầu cuối. Đờng hầm bắt buộc định trớc điểm kết thúc, nằm ở LAC của ISP và nên kiểu đờng hầm này điều khiển truy cập tốt hơn so với đờng hầm tự nguyện.
Một u điểm của đờng hầm bắt buộc là một đờng hầm có thể tải nhiều kết nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm việc. Một khuyết điểm của đờng hầm bắt buộc là kết nối từ LAC đến ngời dùng nằm ngoài đờng hầm nên đẽ bị tấn công.
i) Đờng hầm kết nối LAN-LAN
Mục đích ban đầu của L2TP là để quay số truy cập VPN sử dụng client PPP, nhng L2TP cũng thích hợp cho kết nối LAN-LAN trong VPN.
Đờng hầm kết nối LAN-LAN đợc thiết lập giữa hai máy chủ L2TP nhng ít nhất một trong 2 máy chủ phải có kết nối tới ISP để khởi tạo phiên làm việc PPP. Hai máy chủ đóng vai trò vừa là LAC, vừa là LNS và có thể khởi tạo hay kết thúc đờng hầm khi cần.
Hình 2.18: Đờng hầm kết nối LAN-LAN
j) Quản lý khoá
Khi hai đối tợng muốn chuyển giao dữ liệu một cách bảo mật và khả thi thì cần phải đảm bảo chắc chắn rằng cả hai bên xử lý dữ liệu nh nhau. Cả hai bên phải cùng sử dụng chung giải thuật mã hoá, cùng chiều dài từ khoá, cùng chung một khoá dữ liệu. Điều này đợc xử lý thông qua bảo mật kết hợp SA.
Bởi vì chức năng chính của L2TP là quay số truy cập VPN thông qua Internet nên các thành phần của L2TP bao gồm: bộ tập trung truy cập mạng, máy chủ L2TP, và các L2TP client. Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một đờng hầm, LAC và LNS. LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm việc của công ty còn LAC thì thờng đợc hỗ trợ của ISP. Các thành phần cơ bản của L2TP nh hình vẽ: