Cách thức tạo đường hầm

Một phần của tài liệu chương 5 bảo đảm an toàn mạng (Trang 47 - 52)

- Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên, ngoài trường địa chỉ IP được kiểm tra, còn

Cách thức tạo đường hầm

 Đường hầm được tạo ra bằng cách đóng gói các gói tin (Encapsulate) để truyền qua Internet. Đóng gói có thể mã hoá gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, dạng gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu.  Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời

(Temporary hay Dynamic).

 Thông thường các mạng riêng ảo VPN sử dụng dạng đường hầm động. Đường hầm động rất hiệu quả cho VPN, vì khi không có nhu cầu trao đổi thông tin thì được huỷ bỏ.

 Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN tại các cổng bảo mật (Security Gateway), khi đó người dùng trên các LAN có thể sự dụng đường hầm này. Còn đối với trường hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng đường hầm trên máy người dùng để thông tin với cổng bảo mật để đến mạng LAN đích.

V.4.3. Những ưu điểm của mạng VPN

Chi phí:

 Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê kênh riêng hoặc các cuộc gọi đường dài bằng chi phí cuộc gọi nội hạt.

 Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử dụng VPN vừa truy nhập Internet.

 Công nghệ VPN cho phép sử dụng băng thông đạt hiệu quả cao nhất. Giảm nhiều chi phí quản lý, bảo trì hệ thống.

Truy nhập dễ dàng:

 Người sử dụng trên VPN, ngoài việc sử dụng các tài nguyên trên VPN còn được sử dụng các dịch vụ khác của Internet mà không cần quan tâm đến phần phức tạp ở tầng dưới.

V.4.4. Giao thức PPTP (Point to Point Tunnelling Protocol) PPP là giao thức tầng 2-Data link, truy nhập mạng WAN  PPP là giao thức tầng 2-Data link, truy nhập mạng WAN

như HDLC, SDLC, X.25, Frame Relay, Dial on Demand.

 PPP có thể sử dụng cho nhiều giao thức lớp trên như TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP - Network Control Protocol.

 PPP sử dụng Link Control Protocol để thiết lập và điều khiển các kết nối. PPP sử dụng giao thức xác thực PAP hoặc CHAP.

 PPTP dựa trên PPP để thực thi các chức năng sau:  Thiết lập và kết thúc kết nối vât lý.

 Xác thực người dùng  Tạo gói dữ liệu PPP.

V.4.5. Giao thức L2F (Layer Two Forwarding Protocol)

 Giao thức L2FP do hãng Cisco phát triển, dùng để truyền các khung SLIP/PPP qua Internet. L2F hoạt động ở tầng 2 (Data Link) trong mô hình OSI.

 Cũng như PPTP, L2F được thiết kế như là một giao thức Tunnel, sử dụng các định nghĩa đóng gói dữ liệu riêng của nó để truyền các gói tin ở mức 2.

 Một sự khác nhau giữa PPTP và L2F là tạo Tunnel trong giao thức L2F không phụ thuộc vào IP và GRE, điều này cho phép nó làm việc với các môi trường vật lý khác nhau.  Cũng như PPTP, L2F sử dụng chức năng của PPP để cung

cấp một kết nối truy cập từ xa và kết nối này có thể được đi qua một tunnel thông qua Internet để tới đích.

 Tuy nhiên L2TP định nghĩa giao thức tạo tunnel riêng của nó, dựa trên cơ cấu của L2F. Cơ cấu này tiếp tục định nghĩa việc truyền L2TP qua các mạng chuyển mạch gói như X25, Frame Relay và ATM.

 Mặc dù nhiều cách thực hiện L2TP tập trung vào việc sử dụng giao thức UDP trên mạng IP, ta vẫn có khả năng thiết lập một hệ thống L2TP không sử dụng IP.

 Một mạng sử dụng ATM hoặc Frame Relay cũng có thể được triển khai cho các tunnel L2TP.

 Giao thức L2TP được sử dụng để xác thực người sử dụng Dial-up và Tunnel các kết nối SLIP/PPP qua Internet. Vì L2TP là giao thức lớp 2, nên hỗ trợ cho người sử dụng các khả năng mềm dẻo như PPTP trong việc truyền tải các giao thức không phải là IP, ví dụ như là IPX và NETBEUI.

V.4.7. Giao thức IPSEC

 IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực truyền dữ liệu qua mạng IP công cộng. IPSec định nghĩa 2 loại tiêu đề cho gói IP điều khiển quá trình xác thực và mã hóa:

 Một là xác thực tiêu đề Authentication Header (AH), hai là đóng gói bảo mật tải Encapsulating Security Payload (ESP).

 Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ liệu.

 Đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính toàn vẹn cho gói dữ liệu nhưng không bảo vệ tiêu đề cho gói IP như AH.

 IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa thuận liên kết bảo mật SA giữa hai thực thể và trao đổi các thông tin khóa. IKE cần được sử dụng phần lớn các ứng dụng thực tế để đem lại thông tin liên lạc an toàn trên diện rộng.

Một phần của tài liệu chương 5 bảo đảm an toàn mạng (Trang 47 - 52)

Tải bản đầy đủ (PPT)

(52 trang)