5. 4M ng chuy nm ch gói X2
7.4.M ng riên go VPN (Virtual Private Networks)
M ng máy tính ban đ u đ c tri n khai v i 2 k thu t chính: đ ng thuê riêng (Leased Line) cho các k t n i c đnh và đ ng quay s (Dial-up) cho các k t n i không th ng xuyên. Các m ng này có tính b o m t cao, nh ng khi l u l ng thay đ i và đòi h i t c đ cao nên đã thúc đ y hình thành m t ki u m ng d li u m i, m ng riêng o. M ng riêng o đ c xây d ng trên các kênh lôgích có tính “ o”. Xu h ng h i t c a các m ng trên n n NGN t o đi u ki n cho s xu t hi n nhi u d ch v m i, trong đó có d ch v m ng riêng o.
M ng riêng o là m t m ng máy tính, trong đó các đi m c a khách hàng đ c k t n i v i nhau trên m t c s h t ng chia s v i cùng m t chính sách truy nh p và b o m t nh trong m ng riêng. Có 2 d ng chính m ng riêng o VPN là: Remote Access VPN , Site - to - Site VPN (Intranet VPN và Extranet VPN).
Remote Access VPN (Client - to - LAN VPN) cho phép th c hi n các k t n i truy nh p t xa đ i v i ng i s d ng di đ ng (máy tính cá nhân ho c các Personal Digital Assistant) v i m ng chính (LAN ho c WAN) qua đ ng quay s , ISDN, đ ng thuê bao s DSL.
Site- to - Site VPN dùng đ k t n i các m ng t i các v trí khác nhau thông qua k t n i VPN. Có th chia lo i này ra 2 lo i khác: Intranet VPN và Extranet VPN. Intranet VPN k t n i các v n phòng xa v i tr s chính th ng là các m ng LAN v i nhau. Extranet VPN là khi Intranet VPN c a m t khách hàng m r ng k t n i v i m t Intranet VPN khác.
B o m t là m t y u t quan tr ng b o đ m cho VPN ho t đ ng an toàn và hi u qu . K t h p v i các th t c xác th c ng òi dùng, d li u đ c b o m t thông qua các k t n i đ ng h m (Tunnel) đ c t o ra tr c khi truy n d li u. Tunnel là k t n i o đi m - đi m (Point to Point) và làm cho m ng VPN ho t đ ng nh m t m ng riêng. D li u truy n trên VPN có th đ c mã hoá theo nhi u thu t toán khác nhau v i các đ b o m t khác nhau. Ng i qu n tr m ng có th l a ch n tu theo yêu c u b o m t và t c đ truy n d n. Gi i pháp VPN đ c thi t k phù h p cho nh ng t ch c có xu h ng t ng kh n ng thông tin t xa, các ho t đ ng phân b trên ph m vi đa lý r ng và có các c s d li u, kho d li u, h th ng thông tin dùng riêng v i yêu c u đ m b o an ninh cao.
Ch t l ng d ch v QoS, các tho thu n (Service Level Agreement-SLA) v i các ISP liên quan đ n đ tr trung bình c a gói trên m ng, ho c kèm theo ch đnh v gi i h n d i c a b ng thông. B o đ m cho QoS là m t vi c c n đ c th ng nh t v ph ng di n qu n lý đ i v i các ISP. T t c các giao th c s d ng trong m ng VPN, các gói d li u IP đ c mã hoá (RSA RC-4 trong PPTP ho c mã khóa công khai khác trong L2TP, IPSec) và sau đó đóng gói (ESP), thêm tiêu đ IP m i đ t o đ ng h m trên m ng IP công c ng. Nh v y, khi gói tin MTU b th t l c trên m ng IP công c ng thì thông tin trong đó đã đ c mã hoá nên k phá ho i khó có th dò tìm thông tin th c s ch a trong b n tin. Trong các giao th c PPTP và L2TP, mã hoá gói tin đã đ c th c hi n t ng i dùng cho đ n máy ch c a VPN. Vi c m t mát gói tin d n đ n vi c ph i truy n l i toàn b gói tin, đi u này gây nên đ tr chung đ i v i VPN và nh h ng đ n QoS c a m ng VPN.
7.4.2. Ki n trúc c a m ng riêng o
Hai thành ph n c b n c a Internet t o nên m ng riêng o VPN, đó là:
• ng h m (Tunnelling) cho phép làm “ o” m t m ng riêng.
A B 1 2 A B A B a ch ngu n a ch đích ClientA Server Security Gateway 1 Security Gateway 2 c mã hoá Internet
Data DataData
Hình 7.3: C u trúc m t đ ng h m
ng h m: là k t n i gi a 2 đi m cu i khi c n thi t. Khi k t n i này s đ c gi i phóng khi không truy n d li u dành b ng thông cho các k t n i khác. K t n i này mang tính lôgích “ o” không ph thu c vào c u trúc v t lý c a m ng. Nó che gi u các các thi t b nh b đnh tuy n, chuy n m ch và trong su t đ i v i ng i dùng.
Client VPN Server Security Gateway 1 Security Gateway 2 LAN Internet
Hình 7.4: ng h m trong các c u trúc LAN và Client.
ng h m đ c t o ra b ng cách đóng gói các gói tin (Encapsulate) đ truy n qua Internet. óng gói có th mã hoá gói g c và thêm vào tiêu đ IP m i cho gói. T i đi m cu i, c ng
nh d ng gói tin t o đ ng h m: IP Header, AH, ESP, Tiêu đ và d li u.
ng h m có 2 lo i: Th ng tr c (Permanent) và t m th i (Temporary hay Dynamic). Thông th ng các m ng riêng o VPN s d ng d ng đ ng h m đ ng. ng h m đ ng r t hi u qu cho VPN, vì khi không có nhu c u trao đ i thông tin thì đ c hu b . ng h m có th k t n i 2 đi m cu i theo ki u LAN- to - LAN t i các c ng b o m t (Security Gateway), khi đó ng i dùng trên các LAN có th s d ng đ ng h m này. Còn đ i v i tr ng h p Client- to - LAN, thì Client ph i kh i t o vi c xây d ng đ ng h m trên máy ng i dùng đ thông tin v i c ng b o m t đ đ n m ng LAN đích.
7.4.3. Nh ng u đi m c a m ng VPN
Chi phí: Công ngh VPN cho phép ti t ki m đáng k chi phí thuê kênh riêng ho c các cu c g i đ ng dài b ng chi phí cu c g i n i h t. H n n a, s d ng k t n i đ n ISP còn cho phép v a s d ng VPN v a truy nh p Internet. Công ngh VPN cho phép s d ng b ng thông đ t hi u qu cao nh t. Gi m nhi u chi phí qu n lý, b o trì h th ng.
Tính b o m t: Trong VPN s d ng c ch đ ng h m (Tunnelling) và các giao th c t ng 2 và t ng 3, xác th c ng i dùng, ki m soát truy nh p, b o m t d li u b ng mã hoá, vì v y VPN có tính b o m t cao, gi m thi u kh n ng t n công, th t thoát d li u.
Truy nh p d dàng: Ng i s d ng trên VPN, ngoài vi c s d ng các tài nguyên trên VPN còn đ c s d ng các d ch v khác c a Internet mà không c n quan tâm đ n ph n ph c t p t ng d i.
7.4.4. Giao th c PPTP (Point to Point Tunnelling Protocol)
PPP là giao th c t ng 2-Data link, truy nh p m ng WAN nh HDLC, SDLC, X.25, Frame Relay, Dial on Demand. PPP có th s d ng cho nhi u giao th c l p trên nh TCP/IP, Novell/IPX, Apple Talk nh s d ng NCP - Network Control Protocol. PPP s d ng Link Control Protocol đ thi t l p và đi u khi n các k t n i. PPP s d ng giao th c xác th c PAP ho c CHAP.
PPTP d a trên PPP đ th c thi các ch c n ng sau: - Thi t l p và k t thúc k t n i vât lý.
- Xác th c ng i dùng - T o gói d li u PPP.
7.4.5. Giao th c L2F (Layer Two Forwarding Protocol)
Giao th c L2FP do hãng Cisco phát tri n, dùng đ truy n các khung SLIP/PPP qua Internet. L2F ho t đ ng t ng 2 (Data Link) trong mô hình OSI. C ng nh PPTP, L2F đ c thi t k nh là m t giao th c Tunnel, s d ng các đnh ngh a đóng gói d li u riêng c a nó đ truy n các gói tin m c 2. M t s khác nhau gi a PPTP và L2F là t o Tunnel trong giao th c L2F không ph thu c vào IP và GRE, đi u này cho phép nó làm vi c v i các môi tr ng v t lý khác nhau.
C ng nh PPTP, L2F s d ng ch c n ng c a PPP đ cung c p m t k t n i truy c p t xa và k t n i này có th đ c đi qua m t tunnel thông qua Internet đ t i đích. Tuy nhiên L2TP đnh ngh a giao th c t o tunnel riêng c a nó, d a trên c c u c a L2F. C c u này ti p t c đnh ngh a vi c truy n L2TP qua các m ng chuy n m ch gói nh X25, Frame Relay và ATM. M c dù nhi u
cách th c hi n L2TP t p trung vào vi c s d ng giao th c UDP trên m ng IP, ta v n có kh n ng thi t l p m t h th ng L2TP không s d ng IP. M t m ng s d ng ATM ho c Frame Relay c ng có th đ c tri n khai cho các tunnel L2TP.
7.4.6. Giao th c L2TP (Layer Two Tunnelling Protocol) (adsbygoogle = window.adsbygoogle || []).push({});
Giao th c L2TP đ c s d ng đ xác th c ng i s d ng Dial-up và Tunnel các k t n i SLIP/PPP qua Internet. Vì L2TP là giao th c l p 2, nên h tr cho ng i s d ng các kh n ng m m d o nh PPTP trong vi c truy n t i các giao th c không ph i là IP, ví d nh là IPX và NETBEUI. L2TP PPP Giao th c AH Qu n lý khoá Giao th c ESP Gi i thu t Mã hoá Gi i thu t Xác th c Hình 7.5: Ki n trúc c a L2TP. LAN Internet L2TP Network Server ISP L2TP Acces Concentratcy
Delivery media Header (IP, ATM,X25) L2TP Header
PPP Framing media Header
PPP, Payload packets Ethernet IP, IPX and NetBeui Datagram
B o m t trong L2TP: Vi c xác th c ng i dùng trong 3 giai đo n: Giai đo n 1 t i ISP, giai đo n 2 và giai đo n 3 (tu ch n) t i máy ch m ng riêng. Trong giai đo n 1, ISP có th s d ng s đi n tho i c a ng i dùng ho c tên ng i dùng đ xác đnh d ch v L2TP và kh i t o k t n i đ ng h m đ n máy ch c a VPN. Khi đ ng h m đ c thi t l p, LAC c a ISP ch đnh m t s nh n d ng cu c g i (Call ID) m i đ đnh d nh cho k t n i trong đ ng h m và kh i t o phiên làm vi c b ng cách chuy n thông tin xác th c cho máy ch VPN. Máy ch VPN ti n hành ti p b c 2 là quy t đnh ch p nh n hay t ch i cu c g i d a vào các thông tin xác th c t cu c g i c a ISP chuy n đ n. Thông tin đó có th mang CHAP, PAP, EAP hay b t c thông tin xác th c nào. Sau khi cu c g i đ c ch p nh n, máy ch VPN có th kh i đ ng giai đo n 3 t i l p PPP, b c náy t ng t nh máy ch xác th c m t ng i dùng quay s truy nh p vào th ngr máy ch .
Vi c s d ng các giao th c xác th c đ n gi n nh ng không b o m t cho các lu ng d li u đi u khi n và thông báo d li u t o k h cho vi c chèn gói d li u đ chi m quy n đi u khi n đ ng h m, hay k t n i PPP, ho c phá v vi c đàm phán PPP, l y c p m t kh u ng i dùng. Mã hoá PPP không có xác th c đa ch , toàn v n d li u, qu n lý khoá nên b o m t này y u không an toàn trong kênh L2TP. Vì v y, đ có đ c xác th c nh mong mu n, c n ph i phân ph i khoá và có giao th c qu n lý khoá. V mã hoá, s d ng IPSec cung c p b o m t cao đ b o v gói m c IP, t i thi u c ng ph i đ c th c hi n cho L2TP trên IP. Vi c qu n lý khoá đ c th c hi n thông qua liên k t b o m t - Security Association( SA). SA giúp 2 đ i t ng truy n thông xác đnh ph ng th c mã hoá, nh ng vi c chuy n giao khoá l i do IKE th c hi n. N i dung này s đ c nói rõ h n trong giao th c IPSec.
7.4.7. Giao th c IPSEC
IPSec b o đ m tính tin c y, tính toàn v n và tính xác th c truy n d li u qua m ng IP công c ng. IPSec đnh ngh a 2 lo i tiêu đ cho gói IP đi u khi n quá trình xác th c và mã hóa: m t là xác th c tiêu đ Authentication Header (AH), hai là đóng gói b o m t t i Encapsulating Security Payload (ESP). Xác th c tiêu đ AH đ m b o tính toàn v n cho tiêu đ gói và d li u. Trong khi đó đóng gói b o m t t i ESP th c hi n mã hóa và đ m b o tính toàn v n cho gói d li u nh ng không b o v tiêu đ cho gói IP nh AH. IPsec s d ng giao th c Internet Key Exchange IKE đ th a thu n liên k t b o m t SA gi a hai th c th và trao đ i các thông tin khóa. IKE c n đ c s d ng ph n l n các ng d ng th c t đ đem l i thông tin liên l c an toàn trên di n r ng.
* Xác th c tiêu đ AH: AH m t trong nh ng giao th c b o m t IPsec đ m b o tính toàn v n cho tiêu đ gói và d li u c ng nh vi c ch ng th c ng i s d ng. Nó đ m b o ch ng phát l i và ch ng xâm nh p trái phép nh m t tùy ch n. Trong nh ng phiên b n đ u c a IPsec đóng gói b o m t t i ESP ch th c hi n mã hóa mà không có ch ng th c nên AH và ESP đ c dùng k t h p còn nh ng phiên b n sau ESP đã có thêm kh n ng ch ng th c. Tuy nhiên AH v n đ c dùng do đ m b o vi c ch ng th c cho toàn b tiêu đ và d li u c ng nh vi c đ n gi n h n đ i v i truy n t i d li u trên m ng IP ch yêu c u ch ng th c.
AH có hai ch đ : Transport và Tunnel. Ch đ Tunnel AH t o ra tiêu đ IP cho m i gói còn ch đ Transport AH không t o ra tiêu đ IP m i. Hai ch đ AH luôn đ m b o tính toàn v n (Integrity), ch ng th c (Authentication) cho toàn b gói.
* X lý đ m b o tính toàn v n: IPsec dùng thu t toán mã ch ng th c thông báo b m HMAC (Hash Message Authentication Code) th ng là HMAC-MD5 hay HMAC-SHA-1. N i
phát giá tr b m đ c đ a vào gói và g i cho n i nh n. N i nh n s tái t o giá tr b m b ng khóa chia s và ki m tra s trùng kh p giá tr b m qua đó đ m b o tính toàn v n c a gói d li u. Tuy nhiên IPsec không b o v tính toàn v n cho t t c các tr ng trong tiêu đ c a IP. M t s tr ng trong tiêu đ IP nh TTL (Time to Live) và tr ng ki m tra tiêu đ IP có th thay đ i trong quá trình truy n. N u th c hi n tính giá tr b m cho t t c các tr ng c a tiêu đ IP thì nh ng tr ng đã nêu trên s b thay đ i khi chuy n ti p và t i n i nh n giá tr b m s b sai khác. gi i quy t v n đ này giá tr b m s không tính đ n nh ng tr ng c a tiêu đ IP có th thay đ i h p pháp trong quá trình truy n.
* ESP c ng có hai ch đ : Transport và Tunnel. Ch đ Tunnel ESP t o tiêu đ IP m i cho m i gói. Ch đ này có th mã hóa và đ m b o tính toàn v n c a d li u hay ch th c hi n mã hóa toàn b gói IP g c. Vi c mã hóa toàn b gói IP (g m c tiêu đ IP và t i IP) giúp che đ c đa ch cho gói IP g c. Ch đ Transport ESP dùng lai tiêu đ c a gói IP g c ch mã hóa và đ m b o tính toàn v n cho t i c a gói IP g c. C hai ch đ ch ng th c đ đ m b o tính toàn v n đ c l u tr ng ESP Auth.
* X lý mã hóa: ESP dùng h m t đ i x ng đ mã hóa gói d li u, ngh a là thu và phát đ u dùng cùng m t lo i khóa đ mã hóa và gi i mã d li u. ESP th ng dùng lo i mã kh i AES-CBC