Các giao thức sử dụng trong công nghệ mạng riêng ảo (VPN)

Một phần của tài liệu Nghiên cứu và thử nghiệm hạ tầng pki, mạng riêng ảo vpn áp dụng cho trường đại học văn hóa thể thao và du lịch (Trang 55 - 86)

Vấn đề chính đặt ra đối với mạng riêng ảo là an ninh. Ba giao thức chính đề xuất

cho VPN là IPSec, PPTP, và L2TP. Các giao thức sử dụng trong VPN bao gồm các giao thức đường hầm tại tầng 2 và IPSec tại tầng 3.

Các giao thức đường hầm tầng 2 là cơ sở để xây dựng VPN và bảo mật các giao dịch qua VPN.Một số sao giao thức đường hầm được thực hiện tại tầng 2- tầng liên kết dữ liệu của mô hình OSI bao gồm: giao thức hầm điểm – điểm( PPTP), giao thức chuyển tiếp lớp ( L2F), giao thức đường hầm lớp 2 ( L2TP).

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 55

- L2F( Layer 2 Forwarding): do Cisco phát triển, L2F sử dụng bất kỳ một cơ chế xác nhận do PPP hỗ trợ

- PPTP( Point- to- Point Tunneling Protocol ): do PPTP Forum phát triển, một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI Telematics. PPTP hỗ trợ cho mã hóa 40bit và 128 bit được sử dụng cho bất kỳ cơ chế xác nhận nào sử dụng trong PPP.

- L2TP( Layer 2 Tunneling Protocol): được phát triển gần đây nhất, L2TP là sản phẩm do các thành viên trong nhóm PPTP Forum, Cisco và IETF hình thành nên. Nó tích hợp các tính năng của cả PPTP và L2F, đồng thời L2TP cũng hỗ trợ IPSec.

Vị trí của L2F, PPTP, L2TP trong mô hình OSI

Hình 2.7. Vị trí của L2F, PPTP, L2TP trong mô hình OSI

Giao thức IPSec tầng 3 thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nội dung

thông tin.

Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3 của mô hình OSI

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 56

Application Layer Presentation Layer

Session Layer Transport Layer

Data Link Layer Physical Layer

IPSec Network Layer

Hình 2.8. Vị trí IPSec trong mô hình OSI

2.5.1. Giao thức đường hầm điểmđiểm - PPTP. 2.5.1.1. Giao thức kết nối điểm điểm PPP

PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng của mạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng. PPP có thể điều khiển bất kỳ DTE hoặc DCE nào bao gồm: EIA/TIA-232-C và ITU-T V.35. PPP không hạn

chế tỷ lệ truyền dữ liệu. Trong khi truyền dữ liệu bị hạn chế bởi giao diện DTE/DCE đang dùng. PPP là nền tảng của các giao thức đường hầm layer2.

Ngoài việc hỗ trợ đa giao thức tầng mạng (IP và non IP) , PPP còn chịu trách nhiệm về các chức năng sau:

- Chỉ định và quản trị các gói IP thành các gói không IP. - Cấu hình và kiểm tra các liên kết đã thiết lập.

- Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu.

- Phát hiện lỗi trong khi truyền dữ liệu.

- Dồn kênh các giao thức mạng lớp hai.

- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ. PPP thực hiện các chức năng này theo ba chuẩn:

- Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm.

- Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ của giao thức kiểm soát liên kết(Link Control Protocol – LCP).

- Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗi trong khi truyền theo dạng của giao thức kiểm soát mạng (Network Control Protocol - NCP)

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 57

2.5.1.2. Giao thức đường hầm điểm (PPTP)

PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàn giữa một Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra một VPN qua một mạng dựa trên IP. Được phát triển bởi Consortium PPTP (Tập đoàn Microsoft, Ascend Communications, 3COM, US Robotics,và ECI Telematics). PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn. PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng

Intranet riêng.

PPTP cho phép sử dụng PSTN(Public Switched Telephone Network) để thực thi VPN. Nên quá trình triển khai VPN đơn giản và tổng chi phí thực thi giảm một cách đáng kể.

PPTP Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, và NetBIOS.

PPP đóng vai trò chính trong các giao dịch dựa trên PPTP.

2.5.1.3. Vai trò của PPP trong các giao dịch PPTP

PPTP là một sự mở rộng logic của PPP, PPTP định nghĩa một cách vận chuyển lưu lượng PPP mới qua các mạng công cộng không an toàn.

Hình 2.9. Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP

PPTP không hỗ trợ nhiều kết nối. Tất cả các kết nối được hỗ trợ bởi PPTP phải là kết nối điểm - điểm, ngoài ra, trong giao dịch dựa trên PPTP thì PPP chịu trách nhiệm:

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 58

- Thiết lập và kết thúc các kết nối vật lý giữa các thực thể truyền thông cuối.

- Xác thực các Client PPTP.

- Mã hoá các gói dữ liệu IPX, NetBEUI, NetBIOS, và TCP/IP để tạo các gói PPP và bảo mật việc trao đổi dữ liệu giữa các nhóm liên quan.

Xửlý và định đường hầm dữ liệu PPTP

* Một gói dữ liệu PPTP phải trải qua nhiều giaiđoạn đóng gói:

- Bao gói dữ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên trong một Frame PPP. Một tiêu đề PPP được thêm vào Frame.

- Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trong một sự đóng gói định tuyến chung (GRE) đã sửa đổi. Tiêu đề GRE sửa đổi chứa một trường ACK 4 byte và một bit ACK tương ứng thông báo sự có mặt của trường ACK. Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độ dài 2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc gọi. PPTP client thiết lập các trường này khi nó tạo đường hầm PPTP.

- Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vào khung PPP, và được bao gói vào trong gói GRE. Tiêu đề IP này chứa địa chỉ IP của PPTP client nguồn và PPTP Server đích.

- Bao gói tầng liên kết dữ liệu: Như chúng ta đã biết, PPTP là một giao thức tạo đường hầm tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánh dấu là các quy luật quan trọng trong đường hầm dữ liệu. trước khi được đặt lên các phương tiện truyền phát, tầng liên kết dữ liệu thêm vào tiêu đề của chính nó và đánh dấu cho các gói dữ liệu. Nếu gói dữ liệu phải chuyển qua một đường hầm PPTP cục bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu đề theo công nghệ - LAN(như Ethenet chẳng hạn). Mặt khác, nếu đường hầm được trải qua một liên kết WAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một lần.

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 59

Hình 2.10. Mô tả tiến trình xử lý dữ liệu PPTP đường hầm

* Lấy lại dữ liệu gốc, Node PPTP của người nhận phải thực hiện các bước sau: Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhận phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm để thu được dữ liệu gốc. Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP.

- Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được thêm vào bởi người gửi.

- Tiếp đó, loại bỏ tiêu đề GRE

- Tiêu đề IP được xử lý và loạibỏ

- Tiêu đề PPP được xử lý và loại bỏ.

- Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu)

Bảo mật PPTP

PPTP cung cấp các dịch vụ bảo mật bao gồm: Mã hóa và nén dữ liệu, xác thực, kiểm soát truy cập và lọc gói tin.

* Mã hoá và nén dữ liệu PPTP:

PPTP sử dụng dịch vụ mã hoá được đề xuất bởi PPP. PPP lần lượt sử dụng mã

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 60

* Xác thực dữ liệu PPTP: (hỗ trợ các cơ chế xác thực của Microsoft) - Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP). - Giao thức xác thực mật khẩu(PAP).

- Kiểm soát truy cập PPTP. - PPTP với FireWall và Router.

Các tính năng của PPTP

* Tính sẵn có: PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trong Workstation. Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng.

* Dễ thi hành: Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giao thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ.

Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sử dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổ sung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói tin PPP theo khuôn dạng PPTP.

* Tạo đường hầm đa giao thức: Đây là tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉ cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép.

* Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ:

2.5.2. Giao thức chuyển tiếp tầng 2 –L2F.

L2F được phát triển theo hướng có khả năng bảo mật các giao dịch.

- Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung

gian khác.

- Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay.

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 61

Hình 2.11. Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng

2.5.2.1. Bảo mật L2F

L2F cung cấp các dịch vụ: Mã hoá dữ liệu và xác thực 1. Mã hoá dữ liệu L2F

- L2F sử dụng MPPE cho các chức năng mã hoá cơ bản. Tuy nhiên nó không an toàn với các kỹ thuật Hacking tiên tiến ngày nay. Và nó cũng phải sử dụng mã hoá dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bí mật.

2. Xác thực dữ liệu L2F

- Xác thực L2F được hoàn thành tại hai mức. Mức thứ nhất của xác thực khi một người dùng từ xa sử dụng đường quay số tới NAS của ISP. Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ sau khi người dùng được xác thực thành công. Mức thứ hai của xác thực được thực hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa.

- Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP cho xác thực. Kết quả là L2F sử dụng PAP để xác thực một Client từ xa khi một Gateway L2F nhận một yêu cầu kết nối. L2F cũng sử dụng lược đồ xác thực như sau để nâng cao tính bảo mật dữ liệu:

- Giao thức xác thực có thăm dò trước(CHAP)

- Giao thực xác thực mở rộng (EAP)

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 62

Mặc dù L2F yêu cầu mở rộng để khắc phục sự khác nhau với LCP và các tuỳ chọn xác thực, nhưng nó đắt hơn PPTP vì nó là giải pháp chuyển tiếp Frame ở mức thấp, nó cũng cung cấp một giải pháp VPN nền cho mạng doanh nghiệp tốt hơn PPTP.

* Những ưu điểm chính của việc thực thi một giải pháp L2F bao gồm:

- Nâng cao tính bảo mật của các phiên giao dịch.

- Độc lập với nền.

- Không cần phải đàm phán với ISP.

- Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI, IPX, NetBEUI, và Frame

Relay.

* Ngoài những ưu điểm trên, nó cũng có một số nhược điểm:

- Việc thực thi giải pháp dựa trên L2F phụ thuộc nhiều vào ISP, nếu ISP không hỗ trợ L2F thì không thể thực hiện được giải pháp này.

- L2F không cung cấp kiểm soát luồng. Và như vậy, nếu đường hầm bị đầy thì các gói dữ liệu có thểbị xoá tuỳ tiện. Điều này là nguyên nhân của việc phải phát lại gói dữ liệu, nó làm chậm tốc độ truyền.

- Do kết hợp cả xác thực và mã hoá, các giao dịch thực hiện qua đường hầm dựa trên L2F là chậm khi so sánh với PPTP.

2.5.3 Giao thức đường hầm tầng 2 – L2TP

Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco, Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F. L2TF cung cấp sựmềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP.

L2TP là sự tích hợp các đặc trưng của L2F và PPTP

- L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Nó

có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông thường.

- L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành.

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 63

- L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truycập một mạng từ xa qua một mạng công cộng.

- Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa.

- Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế, đường hầm này mở rộng tới Gateway của mạng đích. Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP.

Hình 2.12. Đường hầm L2TP

Khi một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như các thông điệp giao thức UDP. L2TP sử dụng các thông điệp UDP này cho cả dữ liệu đường hầm cũng như việc duy trì đường hầm. Cũng vì vậy, dữ liệu đường hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có cùng cấu

trúc gói.

2.5.3.1. Các thành phần của L2TP

Một Server truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS).

1. Server truy cập mạng (NAS)

Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng và quyết định

Luận văn thạc sỹ

Lê Ngọc Hoàn Trang 64

một xem kết nối quay số ảo có phải là yêu cầu thật hay không. Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix, Linux,…)

2. Bộ tập trung truy cập L2TP (LAC)

LAC chịu trách nhiệm thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng. LAC server như là điểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ.

Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằm

Một phần của tài liệu Nghiên cứu và thử nghiệm hạ tầng pki, mạng riêng ảo vpn áp dụng cho trường đại học văn hóa thể thao và du lịch (Trang 55 - 86)

(95 trang)