CHƢƠNG 2 CÁC GIAO THỨC ĐƢỜNG HẦM
2.2 Giao thức đƣờng hầm điểm tới điểm – PPTP
2.2.1 Hoạt động của PPTP
PPP đã trở thành giao thức truy nhập vào Internet và các mạng IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phƣơng thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp. PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-điểm từ máy gửi đến máy nhận.
PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IP datagram để truyền qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo, duy trì, kết thúc đƣờng hầm, và một phiên bản của giao thức GRE để đóng gói các khung PPP. Phần tải tin của khung PPP có thể đƣợc mật mã và/hoặc nén.
PPTP sử dụng PPP để thực hiện các chức năng: - Thiết lập và kết thúc kết nối vật lý
- Xác thực ngƣời dùng - Tạo các gói dữ liệu PPP
PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client sử dụng PPTP) và PPTP server (VPN server sử dụng PPTP). PPTP client có thể đƣợc nối trực tiếp qua việc quay số tới máy chủ truy nhập mạng NAS để thiết lập kết nối IP. Khi một kết nối PPP đƣợc thiết lập thì ngƣời dùng thƣờng đã đƣợc xác thực. Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn đƣợc cung cấp bởi các ISP.
Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP. Các cơ chế xác thực đó có thể là:
- EAP (Extensible Authentication Protocol) – Giao thức xác thực mở rộng
- CHAP (Challenge Handshake Authentication Protocol) – Giao thức xác
thực đòi hỏi bắt tay
- PAP (Password Authentication Protocol) – Giao thức xác thực mật khẩu
Với PAP mật khẩu đƣợc gửi qua kết nối dƣới dạng văn bản đơn giản và không có bảo mật. CHAP là một giao thức xác thực mạnh hơn, sử dụng phƣơng thức bắt tay ba chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (Challenge Value) duy nhất và không thể đoán trƣớc đƣợc.
PPTP cũng thừa hƣởng việc mật mã và/hoặc nén phần tải tin của PPP. Để mật mã phần tải tin PPP có thể sử dụng phƣơng thức mã hoá điểm tới điểm MPPE (Microsoft Point to Point Encryption). MPPE chỉ cung cấp mật mã mức truyền dẫn, không cung cấp mật mã đầu cuối đến đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến đầu cuối thì có thể sử dụng IPSec để mật mã lƣu lƣợng IP giữa các đầu cuối sau khi đƣờng hầm PPTP đã đƣợc thiết lập.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đƣờng hầm. Để tận dụng ƣu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói là điều khiển và dữ liệu, sau đó gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối TCP tạo giữa máy trạm PPTP (client) và máy chủ PPTP (server) đƣợc sử dụng để trƣyền thông báo điều khiển.
Các gói dữ liệu là dữ liệu thông thƣờng của ngƣời dùng. Các gói điều khiển đƣợc gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa ứng dụng khách PPTP và máy chủ PPTP. Các gói điều khiển cũng đƣợc dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đƣờng hầm.
Kênh điều khiển đƣợc yêu cầu cho việc thiết lập một đƣờng hầm giữa máy trạm và máy chủ PPTP. Máy chủ PPTP là một server sử dụng giao thức PPTP với một giao diện nối với Internet và một giao diện khác nối với Intranet, còn phần mềm client có thể nằm ở máy ngƣời dùng từ xa hoặc tại máy chủ của ISP.