Cỏc giao thức của VPN

IV, Khoỏ mó từng gúi dữ liệu

6.3Cỏc giao thức của VPN

6. Bảo mật mạng khụng dõy với mạng riờng ảo

6.3Cỏc giao thức của VPN

Bộ giao thức IPSec

Giao thức IPSec cung cṍp các dịch vụ bảo mọ̃t dạng mọ̃t mã , hụ̃ trợ nhiờ̀u chức năng khác như tính xác thực , tớnh tớch hợp , tớnh điều khiển truy cọ̃p và đụ̣ tin cọ̃y. Cỏc dịch vụ nà y nằm trờn tõ̀ng mạng của chụ̀ng giao t hức. Ban đõ̀u, cỏc dịch vụ tọ̃p trung vào tính bảo mọ̃t giữ a máy tính với máy tính . Từ đú dẫn đến việc phải bảo mật cho mạng con với mạng con , và kiến trỳc mạng mỏy chủ với mỏy con.

Vṍn đờ̀ được triờ̉n khai trờn cơ sở ISAKMP (Internet Security Association and Key Manangement Protocol ), định nghĩa các thủ tục và định dạng gúi tin cho việc thiết lập, dàn xếp, điờ̀u chỉnh, và hủy bỏ cỏc liờn hiệp an toàn. Liờn hiợ̀p an toàn (security association) là mụ̣t mụ́i quan hợ̀ giữa hai hay nhiờ̀u thực thờ̉ (tức là các máy tính trờn các phía khác nhau của Internet ) mụ tả cỏch thức chỳng sử dụng cỏc dịch vụ bảo mật để truyền t hụng an toàn. Mụ́i quan hợ̀ nà y được xem như mụ̣t thỏa thuọ̃n giữa cỏc thực thể , vỡ cả hai đều phải tỏn thành cỏch thức hoạt động của cỏc những dịch vụ bảo mật.

ISAKMP nụ̉i bọ̃t với các giao thức trao đụ̉i khóa theo thứ tự , tỏch biệt được các chi tiờ́t quản lý liờn hiợ̀p an toàn với chi tiờ́t trao đụ̉i khóa. Cú nhiều giao thức trao đụ̉i khóa khác nhau, với các thuụ̣c tính bảo mọ̃t khác nhau.

IPSec bao gồm 3 thành phần chớnh: Authentication Header (AH), Encapsulating Security Payload (ESP), và Internet Key Exchange (IKE).

- AH: được thờm vào sau tiếp đầu IP, cung cấp chứng thực mức gúi và cỏc dịch vụ toàn vẹn dữ liệu, đảm bảo rằng gúi khụng bị giả mạo trờn đường truyền và toàn vẹn đến người nhận.

- ESP: Sử dụng kỹ thuật mó húa mạnh (RC5, 3DES,Blowfish…), đúng gúi thụng tin ,cung cấp tin cậy, chứng thực dữ liệu gốc, toàn vẹn dữ liệu, giới hạn lưu lượng truyền và khả năng che dấu thụng tin IP bờn nhận và bờn gửi.

- IKE: Khúa là cụng cụ để mó húa nhưng cần phải trao đổi giữa cỏc bờn trước khi sử dụng. Để trao đổi khúa an toàn, giao thức IKE hỗ trợ cỏc giải thuật mó húa 3DES, giải thuật chia Tiger, giải thuật chữ ký điện tử RSA, giải thuật chứng thực MD5.

PPTP và L2TP / IPSec.

Mụ̣t sáng kiờ́n tương tự là L 2TP (Layer 2 Tunneling Protocol) kờ́t hợp PPTP (Point - to - Point Tunneling Protocol) của Microsoft với L 2F (Layer 2

Forwarding) của Cisco . Trong khi IPSec được thiờ́t kờ́ chỉ dùng cho IP , thỡ L2TP hụ̃ trợ cho IP và các giao thức khác nữa.

Giao thức đường hầm PPTP - Point-to-Point Tunneling Protocol

PPTP là mụ̣t trong s ố cỏc dịch vụ quay số ảo . Mụ̣t người dùng từ xa muụ́n nụ́i với mụ̣t mạng LAN cụ̣ng tác từ mụ̣t vị trí mà bình thường là phải sử dụng đến một cuộc quay số đường dài , thay vì vọ̃y người dùng nụ́i kờ́t vào ISP tại địa phương . Sau đó thiờ́t lọ̃p mụ̣t liờn kờ́t ảo băng qua Internet đờ̉ đờ́n mạng LAN này. Như vọ̃y, chỉ cần tạo ra một liờn kết cục bộ và người dựng cú thờ̉ có được mụ̣t nụ́i kờ́t đường dài thụng qua Internet , núi chung là miễn phớ . Viợ̀c xác thực quyờ̀n và mã hóa có thờ̉ yờu cõ̀u thờm trong các phiờn quay sụ́ ảo để hỗ trợ cỏc nối kết riờng tư hay bảo mật.

PPTP là mụ̣t đờ̀ xuṍt của Microsoft cho các dịch vụ quay sụ́ ảo tuõn theo các chuõ̉n năm 1996 của IETF. Theo điờ̀u nà y, sự phát triờ̉n của PPTP võ̃n còn phụ thuụ̣c vào IETF . Cựng lỳc ấy, Cisco đã phát triờ̉n giao thức L 2F (Layer 2 Forwarding), là một giao thức tương đương , sau đó cả Microsoft và Cisco đã trụ̣n chung các đặc tính trong hai giao thức của riờng họ để tạo ra L2TP (Layer 2 Tunneling Protocol ), cũng được IETF xem như một tiờu chuõ̉n.

PPTP được cung cṍp cùng với Windows NT Server như mụ̣t giải pháp hụ̃ trợ các nụ́i kờ́t đường hõ̀m trờn Internet giữa các client từ xa và cỏc server cụ̣ng tác. Hụ̃ trợ Client áp dụng cho người dùng của Windows và Macintosh.

PPTP biờ́n Internet thành hợ̀ thụ́ng mạng riờng ảo và cắt bỏ chi phí đắt tiờ̀n từ các kờnh thuờ bao cũng như các cuụ̣c gọi đường dài . Ngoài ra, nú cũn cắt bỏ chi phí cài đặt và duy trì hàng đống modem tại các site hợp tác . Theo phương thức truyền thống , site hợp tác phải duy trì hàng loạt modem nụ́i với server truy cọ̃p . Người dùng quay sụ́ hõ̀u hờ́t từ đường dõy điợ̀n tho ại đường dài để truy cập server . Với VPN, cỏc người dựng từ xa quay số vào ISP địa

phương và nhọ̃n được mụ̣t nụ́i kờ́t trực tiờ́p đờ́n cửa vào hợ̀ thụ́ng LAN thụng qua các nụ́i kờ́t PPTP khi băng qua Internet.

PPTP gửi các gói tin theo “đường ngõ̀m” (tunnel) băng qua Internet. Ta cú thể tưởng tượng tunnel như một ống dẫn , thụng qua đó bṍt kỳ loại gói tin nào cũng cú thể chuyển qua . Cỏc giao thức gúi tin của người dựng được đúng gúi thành từng datagram kiểu IP đờ̉ có thờ̉ tự chúng vượt qua Internet , như vọ̃y các người dùng có thờ̉ truy cọ̃p các mạng cụ̣ng tác với hõ̀u hờ́t các giao thức mạng , bao gụ̀m IPX , AppleTalk, và cỏc loại khỏc . Chỳ ý rằng PPTP là phõ̀n mở rụ̣ng của PPP. Nú mở rụ̣ng chuyờ̉n frame PPP thẳng đờ́n site hợp tác. (Bỡnh thường nú chỉ chuyển từ người dựng đến ISP).

Quỏ trỡnh cài đặt thường là một Windows client với trỡnh điều khiển PPTP như là trình điờ̀u khiờ̉n WAN của nó . Mỏy client truy cọ̃p đờ́n LAN từ xa bằng cách nụ́i vào Windows NT RAS (Remote Access Server: Server truy cọ̃p từ xa ) tại site hợp tỏc cú hỗ trợ PPTP . Trong suụ́t phiờn đàm phán khởi đõ̀u, sẽ cú một khúa 40-bit được trao đụ̉i giữa client và server , và khúa này được sử dụng đờ̉ bảo vợ̀ phiờn truyờ̀n thụng qua phương pháp mã hóa RSA RC4. Để chứng thực, PPTP hỗ trợ MS-CHAP, MS-CHAP v2 và EAP-TLS. Cỏc giao thức MS-CHAP, MS-CHAP v2 thực hiện sử dụng cỏc username và password. Giao thức EAP_TLS sử dụng chứng chỉ server và client, yờu cầu một hạ tầng PKI. MS-CHAPv2 mạnh hơn nhiều MS-CHAP và cung cấp chứng thực lẫn nhau. Khi được sử dụng với password mạnh, MS-CHAPv2 thường được xem như một lựa chọn cú thể chấp nhận được khi bạn sử dụng MS-CHAP v2 điểm cốt yếu là đũi hỏi luật password mạnh (vớ dụ, 8 hay nhiều ký tự và hỗn hợp cả ký tự cao và thấp, cỏc dấu và cỏc ký tự đặc biệt). EAP_TLS dựa trờn cỏc chứng chỉ để chứng thực, cung cấp phương thức mạnh để chứng thực.

L2TP

L2TP cũng chứa các đặc điờ̉m củ a PPTP (Point-to-Point Tunneling Protocol) ở trờn. Microsoft và Cisco Systems phát triờ̉n các giao thức tương tự với những mục đích khác nhau. Cả hai cụng nghệ làm cho cỏc tổ chức chuyển cỏc dịch vụ truy cập từ xa sang ISP , nhưng vì Cisco là cụng ty phõ̀n cứng , giao thức L2F của họ yờu cõ̀u phõ̀n cứng tại ISP phải được nõng cṍp thành các thiờ́t bị tương thích với L2F. PPTP là giải pháp phõ̀n mờ̀m đòi hỏi nõng cṍp ít tụ́n kém. L2F cũng hụ̃ trợ các giao thức ở tõ̀ng 3, trong khi PPTP chỉ là giải phỏp IP. L2TP được cải tiờ́n dựa trờn L 2F. Nú khụng yờu cầu phần cứng đặc biợ̀t và hụ̃ trợ nhiờ̀u giao thức . Quản lý lưu lượng là chức năng chính được đưa vào.

Kờ́t nụ́i Internet điờ̉n hình cho ngư ời dựng dial -up đòi hỏi giao thức PPP (Point-to-Point Protocol). PPP là giao thức tõ̀ng 2, nú đúng khung dữ liệu để cú thể gởi đi bằng kết nối dial -up. Giao thức này cho phép người dùng chạy phần mềm TCP /IP chẳng hạn như Web Brow ser giụ́ng như khi kờ́t nụ́i trực tiờ́p với Internet . Thọ̃t vọ̃y, cỏc gúi TCP/IP được đưa vào các khung PPP để truyền qua liờn kết dial -up đờ́n mụ̣t ISP (Internet Service Provider). ISP này sẽ tỏch ra cỏc bú TCP/IP và chuyờ̉n chúng lờn Internet.

L2TP nõng cṍp PPP bằng cách cung cṍp giải pháp cho người dùng từ xa mở rụ̣ng liờn kờ́t PPP trờn Internet trờn tṍt cả các đường đờ́n mụ̣t địa chỉ . Vờ̀ cơ bản , mụ̣t đường hõ̀m (tunnel) được thiờ́t lọ̃p trờn Internet từ ISP đờ́n mụ̣t địa chỉ và các khung được truyờ̀n qua đường hõ̀m này. Mụ̣t khi đường hõ̀m được thiờ́t đặt , ISP khụng còn vai trò gì nữa và người dùng liờn lạc với địa chỉ này giụ́ng như qua kờ́t nụ́i dial-up trực tiờ́p.Giao thức cung cṍp dial-up ảo vì người dùng thực tờ́ khụng gọi đờ́n nơi đó, nhưng khi kờ́t nụ́i xong, nú cú vẻ như là dial -up. Vỡ cú dựng tạo khung PPP , người dùng từ xa có thờ̉ truy cọ̃p đờ́n các nơi bằng nhiờ̀u giao thức như IP , IPX, SNA, v.v...Nơi nhọ̃n kờ́t

nụ́i cung cṍp địa chỉ IP cho người dùng từ xa thay cho ISP . Điờ̀u này làm nhẹ bớt vṍn đờ̀ rút ngắn địa chỉ với ISP và Internet.L2TP cung cṍp các hợ̀ đõ̀u cuụ́i tớnh trong suốt, nghĩa là người dựng từ xa và nơi truy cập khụng yờu cõ̀u phõ̀n mờ̀m đặc biợ̀t đờ̉ sử dụng dịch vụ mụ̣t cách an toàn.

Một số thành phần kỹ thuật khỏc

Cỏc giải phỏp truyền thống