IV, Khoỏ mó từng gúi dữ liệu
6. Bảo mật mạng khụng dõy với mạng riờng ảo
6.3 Cỏc giao thức của VPN
Bộ giao thức IPSec
Giao thức IPSec cung cṍp các dịch vụ bảo mọ̃t dạng mọ̃t mã , hụ̃ trợ nhiờ̀u chức năng khác như tính xác thực , tớnh tớch hợp , tớnh điều khiển truy cọ̃p và đụ̣ tin cọ̃y. Cỏc dịch vụ nà y nằm trờn tõ̀ng mạng của chụ̀ng giao t hức. Ban đõ̀u, cỏc dịch vụ tọ̃p trung vào tính bảo mọ̃t giữ a máy tính với máy tính . Từ đú dẫn đến việc phải bảo mật cho mạng con với mạng con , và kiến trỳc mạng mỏy chủ với mỏy con.
79
Vṍn đờ̀ được triờ̉n khai trờn cơ sở ISAKMP (Internet Security Association and Key Manangement Protocol ), định nghĩa các thủ tục và định dạng gúi tin cho việc thiết lập, dàn xếp, điờ̀u chỉnh, và hủy bỏ cỏc liờn hiệp an toàn. Liờn hiợ̀p an toàn (security association) là mụ̣t mụ́i quan hợ̀ giữa hai hay nhiờ̀u thực thờ̉ (tức là các máy tính trờn các phía khác nhau của Internet ) mụ tả cỏch thức chỳng sử dụng cỏc dịch vụ bảo mật để truyền t hụng an toàn. Mụ́i quan hợ̀ nà y được xem như mụ̣t thỏa thuọ̃n giữa cỏc thực thể , vỡ cả hai đều phải tỏn thành cỏch thức hoạt động của cỏc những dịch vụ bảo mật.
ISAKMP nụ̉i bọ̃t với các giao thức trao đụ̉i khóa theo thứ tự , tỏch biệt được các chi tiờ́t quản lý liờn hiợ̀p an toàn với chi tiờ́t trao đụ̉i khóa. Cú nhiều giao thức trao đụ̉i khóa khác nhau, với các thuụ̣c tính bảo mọ̃t khác nhau.
IPSec bao gồm 3 thành phần chớnh: Authentication Header (AH), Encapsulating Security Payload (ESP), và Internet Key Exchange (IKE).
- AH: được thờm vào sau tiếp đầu IP, cung cấp chứng thực mức gúi và cỏc dịch vụ toàn vẹn dữ liệu, đảm bảo rằng gúi khụng bị giả mạo trờn đường truyền và toàn vẹn đến người nhận.
- ESP: Sử dụng kỹ thuật mó húa mạnh (RC5, 3DES,Blowfish…), đúng gúi thụng tin ,cung cấp tin cậy, chứng thực dữ liệu gốc, toàn vẹn dữ liệu, giới hạn lưu lượng truyền và khả năng che dấu thụng tin IP bờn nhận và bờn gửi.
- IKE: Khúa là cụng cụ để mó húa nhưng cần phải trao đổi giữa cỏc bờn trước khi sử dụng. Để trao đổi khúa an toàn, giao thức IKE hỗ trợ cỏc giải thuật mó húa 3DES, giải thuật chia Tiger, giải thuật chữ ký điện tử RSA, giải thuật chứng thực MD5.
PPTP và L2TP / IPSec.
Mụ̣t sáng kiờ́n tương tự là L 2TP (Layer 2 Tunneling Protocol) kờ́t hợp PPTP (Point - to - Point Tunneling Protocol) của Microsoft với L 2F (Layer 2
80
Forwarding) của Cisco . Trong khi IPSec được thiờ́t kờ́ chỉ dùng cho IP , thỡ L2TP hụ̃ trợ cho IP và các giao thức khác nữa.
Giao thức đường hầm PPTP - Point-to-Point Tunneling Protocol
PPTP là mụ̣t trong s ố cỏc dịch vụ quay số ảo . Mụ̣t người dùng từ xa muụ́n nụ́i với mụ̣t mạng LAN cụ̣ng tác từ mụ̣t vị trí mà bình thường là phải sử dụng đến một cuộc quay số đường dài , thay vì vọ̃y người dùng nụ́i kờ́t vào ISP tại địa phương . Sau đó thiờ́t lọ̃p mụ̣t liờn kờ́t ảo băng qua Internet đờ̉ đờ́n mạng LAN này. Như vọ̃y, chỉ cần tạo ra một liờn kết cục bộ và người dựng cú thờ̉ có được mụ̣t nụ́i kờ́t đường dài thụng qua Internet , núi chung là miễn phớ . Viợ̀c xác thực quyờ̀n và mã hóa có thờ̉ yờu cõ̀u thờm trong các phiờn quay sụ́ ảo để hỗ trợ cỏc nối kết riờng tư hay bảo mật.
PPTP là mụ̣t đờ̀ xuṍt của Microsoft cho các dịch vụ quay sụ́ ảo tuõn theo các chuõ̉n năm 1996 của IETF. Theo điờ̀u nà y, sự phát triờ̉n của PPTP võ̃n còn phụ thuụ̣c vào IETF . Cựng lỳc ấy, Cisco đã phát triờ̉n giao thức L 2F (Layer 2 Forwarding), là một giao thức tương đương , sau đó cả Microsoft và Cisco đã trụ̣n chung các đặc tính trong hai giao thức của riờng họ để tạo ra L2TP (Layer 2 Tunneling Protocol ), cũng được IETF xem như một tiờu chuõ̉n.
PPTP được cung cṍp cùng với Windows NT Server như mụ̣t giải pháp hụ̃ trợ các nụ́i kờ́t đường hõ̀m trờn Internet giữa các client từ xa và cỏc server cụ̣ng tác. Hụ̃ trợ Client áp dụng cho người dùng của Windows và Macintosh.
PPTP biờ́n Internet thành hợ̀ thụ́ng mạng riờng ảo và cắt bỏ chi phí đắt tiờ̀n từ các kờnh thuờ bao cũng như các cuụ̣c gọi đường dài . Ngoài ra, nú cũn cắt bỏ chi phí cài đặt và duy trì hàng đống modem tại các site hợp tác . Theo phương thức truyền thống , site hợp tác phải duy trì hàng loạt modem nụ́i với server truy cọ̃p . Người dùng quay sụ́ hõ̀u hờ́t từ đường dõy điợ̀n tho ại đường dài để truy cập server . Với VPN, cỏc người dựng từ xa quay số vào ISP địa
81
phương và nhọ̃n được mụ̣t nụ́i kờ́t trực tiờ́p đờ́n cửa vào hợ̀ thụ́ng LAN thụng qua các nụ́i kờ́t PPTP khi băng qua Internet.
PPTP gửi các gói tin theo “đường ngõ̀m” (tunnel) băng qua Internet. Ta cú thể tưởng tượng tunnel như một ống dẫn , thụng qua đó bṍt kỳ loại gói tin nào cũng cú thể chuyển qua . Cỏc giao thức gúi tin của người dựng được đúng gúi thành từng datagram kiểu IP đờ̉ có thờ̉ tự chúng vượt qua Internet , như vọ̃y các người dùng có thờ̉ truy cọ̃p các mạng cụ̣ng tác với hõ̀u hờ́t các giao thức mạng , bao gụ̀m IPX , AppleTalk, và cỏc loại khỏc . Chỳ ý rằng PPTP là phõ̀n mở rụ̣ng của PPP. Nú mở rụ̣ng chuyờ̉n frame PPP thẳng đờ́n site hợp tác. (Bỡnh thường nú chỉ chuyển từ người dựng đến ISP).
Quỏ trỡnh cài đặt thường là một Windows client với trỡnh điều khiển PPTP như là trình điờ̀u khiờ̉n WAN của nó . Mỏy client truy cọ̃p đờ́n LAN từ xa bằng cách nụ́i vào Windows NT RAS (Remote Access Server: Server truy cọ̃p từ xa ) tại site hợp tỏc cú hỗ trợ PPTP . Trong suụ́t phiờn đàm phán khởi đõ̀u, sẽ cú một khúa 40-bit được trao đụ̉i giữa client và server , và khúa này được sử dụng đờ̉ bảo vợ̀ phiờn truyờ̀n thụng qua phương pháp mã hóa RSA RC4. Để chứng thực, PPTP hỗ trợ MS-CHAP, MS-CHAP v2 và EAP-TLS. Cỏc giao thức MS-CHAP, MS-CHAP v2 thực hiện sử dụng cỏc username và password. Giao thức EAP_TLS sử dụng chứng chỉ server và client, yờu cầu một hạ tầng PKI. MS-CHAPv2 mạnh hơn nhiều MS-CHAP và cung cấp chứng thực lẫn nhau. Khi được sử dụng với password mạnh, MS-CHAPv2 thường được xem như một lựa chọn cú thể chấp nhận được khi bạn sử dụng MS-CHAP v2 điểm cốt yếu là đũi hỏi luật password mạnh (vớ dụ, 8 hay nhiều ký tự và hỗn hợp cả ký tự cao và thấp, cỏc dấu và cỏc ký tự đặc biệt). EAP_TLS dựa trờn cỏc chứng chỉ để chứng thực, cung cấp phương thức mạnh để chứng thực.
82
L2TP
L2TP cũng chứa các đặc điờ̉m củ a PPTP (Point-to-Point Tunneling Protocol) ở trờn. Microsoft và Cisco Systems phát triờ̉n các giao thức tương tự với những mục đích khác nhau. Cả hai cụng nghệ làm cho cỏc tổ chức chuyển cỏc dịch vụ truy cập từ xa sang ISP , nhưng vì Cisco là cụng ty phõ̀n cứng , giao thức L2F của họ yờu cõ̀u phõ̀n cứng tại ISP phải được nõng cṍp thành các thiờ́t bị tương thích với L2F. PPTP là giải pháp phõ̀n mờ̀m đòi hỏi nõng cṍp ít tụ́n kém. L2F cũng hụ̃ trợ các giao thức ở tõ̀ng 3, trong khi PPTP chỉ là giải phỏp IP. L2TP được cải tiờ́n dựa trờn L 2F. Nú khụng yờu cầu phần cứng đặc biợ̀t và hụ̃ trợ nhiờ̀u giao thức . Quản lý lưu lượng là chức năng chính được đưa vào.
Kờ́t nụ́i Internet điờ̉n hình cho ngư ời dựng dial -up đòi hỏi giao thức PPP (Point-to-Point Protocol). PPP là giao thức tõ̀ng 2, nú đúng khung dữ liệu để cú thể gởi đi bằng kết nối dial -up. Giao thức này cho phép người dùng chạy phần mềm TCP /IP chẳng hạn như Web Brow ser giụ́ng như khi kờ́t nụ́i trực tiờ́p với Internet . Thọ̃t vọ̃y, cỏc gúi TCP/IP được đưa vào các khung PPP để truyền qua liờn kết dial -up đờ́n mụ̣t ISP (Internet Service Provider). ISP này sẽ tỏch ra cỏc bú TCP/IP và chuyờ̉n chúng lờn Internet.
L2TP nõng cṍp PPP bằng cách cung cṍp giải pháp cho người dùng từ xa mở rụ̣ng liờn kờ́t PPP trờn Internet trờn tṍt cả các đường đờ́n mụ̣t địa chỉ . Vờ̀ cơ bản , mụ̣t đường hõ̀m (tunnel) được thiờ́t lọ̃p trờn Internet từ ISP đờ́n mụ̣t địa chỉ và các khung được truyờ̀n qua đường hõ̀m này. Mụ̣t khi đường hõ̀m được thiờ́t đặt , ISP khụng còn vai trò gì nữa và người dùng liờn lạc với địa chỉ này giụ́ng như qua kờ́t nụ́i dial-up trực tiờ́p.Giao thức cung cṍp dial-up ảo vì người dùng thực tờ́ khụng gọi đờ́n nơi đó, nhưng khi kờ́t nụ́i xong, nú cú vẻ như là dial -up. Vỡ cú dựng tạo khung PPP , người dùng từ xa có thờ̉ truy cọ̃p đờ́n các nơi bằng nhiờ̀u giao thức như IP , IPX, SNA, v.v...Nơi nhọ̃n kờ́t
83
nụ́i cung cṍp địa chỉ IP cho người dùng từ xa thay cho ISP . Điờ̀u này làm nhẹ bớt vṍn đờ̀ rút ngắn địa chỉ với ISP và Internet.L2TP cung cṍp các hợ̀ đõ̀u cuụ́i tớnh trong suốt, nghĩa là người dựng từ xa và nơi truy cập khụng yờu cõ̀u phõ̀n mờ̀m đặc biợ̀t đờ̉ sử dụng dịch vụ mụ̣t cách an toàn.