Đề tài Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Checkpoint

Mục lục Chương 1: Công nghệ mạng riêng ảo. 1.1. Tính cần thiết của mạng riêng ảo……………………………………... 1.2. Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng….. 1.2.1. Khái niệm về mạng riêng ảo. ………………………………………….. 1.2.2. Các mô hình mạng riêng ảo thông dụng………………………………….8 1.2.2.1. VPN Remote Access……………………………………………………8 1.2.2.2. VPN site – to – site………………………………………………………9 1.3. Các yêu cầu đối với VPN, ưu điểm, nhược điểm của VPN………14 1.3.1. Các yêu cầ đối với VPN ………………………………………………….14 1.3.2. Ưu nhược điểm của VPN………………………………………………15 1.4. Các giao thức sử dụng trong VPN…………………………………17 1.4.1. Giao thức đường hầm điểm điểm - PPTP……………………………18 1.4.2. Giao thức chuyển tiếp tầng 2 - L2F……………………………………32 1.4.3. Giao thức đường hầm tầng 2 – L2TP. ………………………………36 1.4.4. Giao thức IPSec. …………………………………………………………46 1.4.5. Giao thức SSL. …………………………………………………………58 1.4.6. Giao thức MPLS………………………………………………………59 Chương 2: Giải pháp mạng riêng ảo của Check Point. 2.1. Giới thiệu về tường lửa Check Point………………………………64 2.1.1. Kiến trúc tường lửa Check Point…………………………………64 2.1.2. Các mô hình triển khai…………………………………………….68 2.2. Chức năng VPN của tường lửa Check Point……………………….70 2.2.1. Cơ bản về chức năng VPN. ……………………………………….70 2.2.1.1. Các thành phần VPN…………………………………………….70 2.2.1.2. Các thuật ngữ, khái niệm đặc trưng… ........................................71 2.2.1.3. Site to site VPN…………………………………………………73 2.2.1.4. VPN Communities( cộng đồng VPN )………………………….73 2.2.1.5. Remote Access VPN……………………………………………74 2.2.2. Giao thức trao đổi khóa Internet – IKE(Internet Key Exchange)..74 2.2.2.1. IKE Phase1………………………………………………………75 2.2.2.2.IKE Phase 2………………………………………………………79 2.2.2.3. Các phương pháp mã hóa và đảm bảo tính toàn vẹn………….80 2.2.2.4. Các chế độ trong Phase 1………………………………………..81 2.2.2.5. Bảo vệ lại tấn công DoS IKE…………………………………….82 2.2.3. Cơ sở hạ tầng khóa công khai PKI……………………………….85 Chương 3: Triển khai VPN trên Check Point. 3.1 Mô hình VPN Remote Access……………………………………….86 3.1.1. Mô hình……………………………………………………………………86 Các bước cấu hình…………………………………………………………... 3.1.2.1Cấu hình VPN Remote Access sử dụng xác thực Pre-share key..88 3.1.2.2. Cấu hình xác thực sử dụng certificate………………………………106 3.1.2.3 Cấu hình sử dụng tài khoản domain (ldap user ) để thực hiện kết với VPN tới gateway…………………....................................................................111 3.2. Mô hình VPN Site- to- Site……………………………………………….116 3.2.1. Mô hình ………………………………………………………………….116 3.2.2. Các bước cấu hình………………………………………………...117 Chương 4: Một số vấn đề an toàn của Check Point 4.1.Xung đột địa chỉ IP trong cấu hình VPN-Tunnel…….………………….129 4.1.1. Mô hình…………………………………………………………………..129 4.1.2. Các bước thực hiện tấn công DoS như sau………………………….... 131 4.1.3. Giải pháp. ……………………………………………………………….131 Danh mục hình vẽ Hình 1. Thiết lập truy cập từ xa không có VPN Hình 2. Thiết lập VPN truy cập từ xa Hình 3. Thiết lập Intranet sử dụng WAN Hình 4. Thiết lập Intranet dựa trên VPN Hình 5. Mạng Extranet truyền thống Hình 6. Mạng Extranet dựa trên VPN Hình 7. Vị trí của L2F, PPTP, L2TP trong mô hình OSI Hình 8. Vị trí IPSec trong mô hình OSI Hình 9. Thiết lập liên kết PPP và trao đổi dữ liệu Hình 10. Định dạng của một Frame PPP điển hình Hình 11. Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP Hình 12. Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP Hình 13. Truyền các gói PPTP đến Node đích Hình 14. Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP Hình 15. Kiểm soát PPTP trong gói dữ liệu TCP Hình 16. Mô tả tiến trình xử lý dữ liệu PPTP đường hầm Hình 17. Các gói tin trong kết nối PPTP Hình 18. Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng Hình 19. Thiết lập một đường hầm L2F giữa người dùng từ xa và Server Hình 20 Quá trình định đường hầm dữ liệu dựa trên L2F Hình 21. Đường hầm L2TP Hình 22. Mô tả quá trình thiết lập đường hầm L2TP Hình 23. Quá trình xử lý định đường hầm dữ liệu L2TP Hình 23. Đường hầm L2TP bắt buộc Hình 24. Thiết lâp một đường hầm L2TP bắt buộc Hình 25 Đường hầm L2TP tự nguyện Hình 26 Quá trình thiết lập đường hầm L2TP tự nguyện Hình 27 Định dạng thông điệp kiểm soát L2TP Hình 28 Vị trí của IPSec trong mô hình OSI Hình 29. Kiến trúc bộ giao thức IPSec Hình 30 Mô tả ba trường của một IPSec SA Hình 31.Khuôn dạng gói tin AH Hình 32. Gói tin IP trước và sau khi xử lý AH trong chế độ Transport Hình 33. Khuôn dạng gói tin AH trong chế độ Tunnel. Hình 34. Khuôn dạng ESP Hình 35. Gói ESP trong chế độ Transport Hình 36. Gói ESP trong chế độ Tunnel Hình 37. Mô hình mạng MPLS Hình 38: Kiến trúc tường lửa Check Point Hình 39: Smart DashBoard Hình 40: SmartView Tracker Hình 41: SmartView Monitor Hình 42: SmartUpdate Hình 43: Mô hình triển khai Stand-alone Hình 44. Mô hình triển khai Distributed Hình 45 Hai kiểu cộng đồng VPN Hình 46. Client từ xa tới host đằng sau gateway. Hình 47. IKE Phase1 Hình 48. Gói tin đề xuất các thuật toán Hình 49. Gói tin lựa chọn thuật toán Hình 50. IKE Phase2a Hình 51 Đường hầm VPN Hình 52. Các thuật toán mã hóa, toàn vẹn của IKE Hình 53. Cấu hình các tùy chọn chống IKE DoS Attack Hình 54. Mô hình VPN Remote Access Hình 55. Các bước cấu hình VPN Remote Access Hình 56: Bật chức năng VPN trên tường lửa Check Point Hình 57. Dải địa chỉ tự do hệ thống sinh ra khi bật chức năng VPN Hình 58. Cấu hình Office Mode Hình 59. Tạo User trên gateway Hình 60. Định nghĩa VPN Community và Participants Hình 61. Tạo luật kết nối VPN client- to –site Hình 62. Bảng luật cho remote Access Hình 63. Địa chỉ IP của Remote User Hình 64. Cài đặt SecureClient Hình 65. Tạo Site trên máy Remote User Hình 66: Thực hiện kết nối từ máy client Hình 67. Test kết quả sau khi kết nối VPN remote access Hình 68. Khởi tạo chứng chỉ cho user Hình 69. Kết nối VPN Remote Access sử dụng chứng chỉ Hình 70. Tạo tài khoản ldap trên gateway Hình 71. Kết nối bằng tài khoản của ldap server Hình 72. Cấu hình SSL clients Hình 73. Kết nối SSL VPN Hình 74. Mô hình VPN Site-to-Site Hình 75. Thiết lập VPN domain Hình 76. Đưa tường lửa vào VPN Community Hình 77. Tạo mạng đối tác Hình 78. Tạo tường lửa đối tác Hình 79. Cấu hình cộng đồng VPN MyIntranet Hình 80. Cấu hình Presharekey giữa 2 gateway Hình 81. Tạo luật cho VPN site-to-site Hình 82. Kiểm tra tunnle được tạo bằng SmartViewMonitor Hình 83. Test kết quả VPN site-to-site Hình 84. Mô hình tấn công DoS. Danh mục các từ viết tắt Giới thiệu Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu không thể thiếu trong cuộc sống và trong công việc của mọi cá nhân, các cơ quan nhà nước và tổ chức kinh doanh. Để đáp ứng được nhu cầu trao đổi thông tin ngày càng tăng mạng máy tính cũng phát triển với tốc độ chóng mặt. Nhu cầu mở rộng mạng của các công ty, tổ chức ngày càng tăng. Thêm vào đó là các yêu cầu về bảo mật của dữ liệu trên đường truyền. Vì thế VPN - Virtural Private Network được sử dụng như một giải pháp cho mở rộng mạng của công ty, đồng thời là giải pháp an toàn cho lưu thông và giao dịch trong mạng. VPN cho phép truy cập từ xa an toàn đến các nguồn tài nguyên trong mạng bên trong của công ty. Việc đảm bảo an toàn cho VPN cũng như xây dựng các chính sách an toàn luôn là vấn đề thường trực đối với các nhà quản trị mạng cũng như bản thân của tổ chức đó. VPN-1 Power của Check Point cung cấp một giải pháp tương đối toàn diện cho việc cung cấp một điểm truy cập giữa các mạng của tổ chức, hoặc với người dùng từ xa trên Internet. Đặc biệt phần mềm Check Point – VPN – 1 Power NGX đã ngày càng được nâng cấp về tính năng, khả năng hỗ trợ cũng như giao diện sử dụng nhằm đáp ứng những nhu cầu đó. Trong khuôn khổ báo cáo Đề tài nghiên cứu khoa học này, nhóm em xin đề cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo và giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng. Tên đề tài: “ Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa Check Point” Bài báo cáo nhóm em gồm 4 chương. - Chương 1: Nhóm em tìm hiểu về “Công nghệ Mạng riêng ảo”. Trong chương này chúng em trình bày về tính cần thiết của mạng riêng ảo, các khái niệm mạng riêng ảo, các mô hình mạng riêng ảo thông dụng, các giao thức sử dụng trong mạng riêng ảo. - Chương 2: Nhóm em tìm hiểu về “ Giải pháp mạng riêng ảo của CheckPoint”. Trong chương này chúng em tìm hiểu về tường lửa CheckPoint, các mô hình triển khai, chức năng VPN của Check Point, - Chương 3: “ Triển khai VPN trên Check Point ”. Trong chương này chúng em xây dựng 2 mô hình VPN Remote Access và VPN site-to-site. - Chương 4: “Một số vấn đề an toàn của Check Point” . Trong chương này chúng em trình bày cách thử nghiệm tấn công DoS giữa các kết nối VPN. Trong quá trình thực hiện đề tài này ngoài những cố gắng của bản thân chúng em đã nhận được sự giúp đỡ, động viên rất lớn từ các thầy cô và các bạn trong khoa, đặc biệt là thầy Hoàng Sỹ Tương. Cảm ơn thầy đã giúp đỡ tận tình để chúng em hoàn thành đề tài này.Em xin gửi lời cảm ơn đến các thầy,các cô trong Phòng Nghiên Cứu Khoa Học HV KT Mật Mã đã tạo điều kiện cho em được tìm hiểu, nghiên cứu nhằm nâng cao kiến thức về đề tài được giao. Do thời gian nghiên cứu đề tài chưa nhiều, kiến thức còn hạn chế , nên không thể tránh khỏi những sai sót, kính mong nhận được sự đóng góp ý kiến và chỉ bảo của các thầy cô trong Phòng Nghiên Cứu Khoa Học, các thầy cô trong các Khoa. Nhóm em xin chân thành cảm ơn ! Nhóm nghiên cứu khoa học Chương 1: Công nghệ mạng riêng ảo. 1.1. Tính cần thiết của mạng riêng ảo. “ Tại sao chúng ta sử dụng VPN ? ” . Ngày nay Internet phát triển mạnh mẽ từ mô hình đến công nghệ để giải quyết nhu cầu trao đổi thông tin của con người trên toàn thế giới. Tuy nhiên nhu cầu con người không chỉ dừng ở mức độ đó. Đối với nhân viên của một cơ quan, họ muốn đi đâu cũng có thể làm việc như ngồi tại công ty mình, có thể truy nhập vào tài nguyên nội bộ của công ty. Đối với các nhà quản trị muốn quản trị mạng của công ty mọi lúc mọi nơi…-> đây là nhu cầu rất thiết thực, cần phải có giải pháp để đáp ứng nhu cầu đó. Một công ty có nhiều chi nhánh ở nhiều nơi, và có nhiều đối tác -> họ muốn kết nối chi các chi nhánh, kết nối với đối tác bằng một đường kết nối riêng. Nếu đi thuê riêng các đường lease line thì chi phí rất đắt. Hơn nữa là vấn đề bảo mật dữ liệu truyền qua mạng, tiềm ẩn các nguy cơ: bị lộ thông tin quan trọng, bị thay đổi thông tin, bị giả mạo thông tin… Cần có một giải pháp, để giải quyết các yêu cầu trên? Công nghệ mạng riêng ảo (VPN- Virtual Private Network ) sử dụng cơ sở hạ tầng có sẵn Internet sinh ra đã giải quyết được các vấn đề trên. VPN đã giải quyết nhu cầu của người dùng di động, các nhà quản trị từ xa với mô hình Remote Access. Giải quyết yêu cầu kết nối giữa các chi nhánh, với đối tác của công ty mà không phải thuê đường lease line mà lại an toàn. Đặc biệt quan trọng là nó giải quyết được đòi hỏi về bảo mật 1.2. Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng. 1.2.1. Khái niệm về mạng riêng ảo. Mạng riêng ảo - Virtual Private Network, viết tắt là VPN. Có nhiều định nghĩa khác nhau về Mạng riêng ảo. Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet. Theo tài liệu của IBM. VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng. VPN truyền thông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng. Nói một cách khác VPN là mạng dữ liệu mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao thức đường hầm và các phương thức an toàn. VPN cho phép thiết lập các kết nối riêng với người dùng ở xa, các nhánh văn phòng và các đối tác sử dụng chung một mạng công cộng. Một mạng riêng ảo còn cho phép chia sẻ các nguồn dữ liệu chung được bảo vệ, nó sử dụng việc mã hóa dữ liệu để ngăn ngừa người dùng không được phép truy nhập đến dữ liệu và đảm bảo dữ liệu không bị sửa đổi Định đường hầm là một cơ chế dùng cho việc đóng gói một giao thức và trong một giao thức khác. Xét về ngữ cảnh , VPN định đường hầm che dấu giao thức lớp mạng nguyên thủy bằng cách mã hóa dữ liệu và chứa gói đã mã hóa vào trong một một gói IP khác , sau đó sẽ được chuyển đi một cách bảo mật qua mạng công cộng. Tại bên nhận, sau khi nhận gói này sẽ được phân phối đến thiết bị truy cập thích hợp, chẳng hạn một bộ định tuyến nào đó. VPN còn cung cấp các thỏa thuận về chất lượng dịch vụ( QoS). Thỏa thuận này được định ra một giới hạn cho phép về độ trễ trung bình của gói trong mạng. Ngoài ra, các thỏa thuận có thể kèm theo một sự chỉ định cho giới hạn của băng thông hiệu dụng cho mỗi người dùng. Qua đó có thể định nghĩa VPN một cách ngắn gọn theo công thức sau VPN= Định đường hầm + Bảo mật + Các thỏa thuận QoS 1.2.2. Các mô hình mạng riêng ảo thông dụng 1.2.2.1. VPN Remote Access VPN truy cập từ xa cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó. VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty. Theo mô hình mạng truyền thống(khi chưa thực hiện giải pháp VPN remote access ) để người dùng có thể truy cập từ xa yêu cầu: + Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa. + Kết nối Dialup tới mạng trung tâm + Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa Hình 1. Thiết lập truy cập từ xa không có VPN Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet. Hình 2. Thiết lập VPN truy cập từ xa 1.2.2.2. VPN site – to – site a. VPN cục bộ( Intranet VPN ). Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống. Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó. Theo mô hình mạng truyền thống (không sử dụng công nghệ VPN), mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian. Hình 3. Thiết lập Intranet sử dụng WAN Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng lớn thì chi phí càng cao. Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet. Hình 4. Thiết lập Intranet dựa trên VPN Ưu điểm của việc thiếp lập dựa trên VPN là: - Loại trừ được các Router từ đường WAN xương sống. - Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới. - Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet. Tuy nhiên cũng có một số nhược điểm: - Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng. - Khả năng mất các gói dữ liệu khi truyền vẫn còn cao. - Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet. - Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo b. Mạng riêng ảo mở rộng (Extranet VPN) Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống. Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp Theo cách thức truyền thống Hình 5. Mạng Extranet truyền thống Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị mạng. Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể. Hình 6. Mạng Extranet dựa trên VPN Ưu điểm chính của Extranet VPN là: + Chi phí rất nhỏ so với cách thức truyền thống. + Dễ thực thi, duy trì và dễ thay đổi + Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn + Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống. Tuy nhiên cũng có một số nhược điểm: + Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại + Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức + Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia. + Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật” 1.3. Các yêu cầu đối với VPN, ưu điểm, nhược điểm của VPN 1.3.1. Các yêu cầu đối với VPN Yêu cầu cơ bản đối với mạng riêng ảo là: Bảo mật, chất lượng dịch vụ,( QoS), tính sẵn sàng và tin cậy, khả năng tương thích, khả năng quản trị a. Bảo mật. Mạng riêng ảo phải đảm bảo tính bảo mật cao và toàn diện. Dữ liệu và tài nguyên trong mạng được bảo vệ theo các cách: - Thực thi kỹ thuật phòng thủ vòng ngoài( Firewall, NAT): chỉ cho phép các luồng lưu lượng đã được cấp quyền từ các nguồn tin cậy vào mạng. - Mã hóa: thực thi các cơ chế mã hóa dữ liệu để đảm bảo tính bí mật, xác thực và toàn vẹn cho dữ liệu khi truyền qua mạng không an toàn. IPSec nổi bật lên như một cơ chế mã hóa dữ liệu mạnh nhất. Ở đây, không chỉ mã hóa dữ liệu được truyền mà còn xác thực mỗi người dùng và từng gói dữ liệu riêng biệt. - Xác thực người dùng và gói dữ liệu: thiết lập định danh người dùng, quyết định người dùng có được phép truy cập vào các tài nguyên trong mạng hay không. Mô hình AAA là một ví dụ điển hình về hệ thống xác thực người dùng toàn diện. - Quản lý khóa: để mã hóa dữ liệu, VPN cần phải cung cấp khóa mật mã để tạo ra các đường hầm phiên. Do đó, cần phải tạo ra các khóa, phân phối, cập nhật và làm tươi chúng. b. Chất lượng dịch vụ ( QoS). Đảm bảo việc truyền dữ liệu trong suốt, không bị trễ, hạn chế lỗi ở mức thấp nhất. c. Tính sẵn sàng và tin cậy - Thời gian người dùng có thể truy cập vào mạng thường phụ thuộc và Isp và được đảm bảo bằng hợp đồng cung cấp dịch vụ. - Dữ liệu được phân phối đến người dùng trong mọi hoàn cảnh. d. Khả năng quản trị - Phải đảm bảo được toàn bộ các hoạt động và tài nguyên trong mạng. - Giám sát trạng thái thời gian thực, sự thực thi của VPN - ISP phải quản trị và kiểm soát những phần cơ sở hạ tầng của họ. e. Khả năng tương thích. - VPN phải tương thích với cả cơ sở hạ tầng mạng dựa trên IP và không dựa trên IP. - Với mạng trung gian dựa trên IP, VPN sử dụng Gateway IP để truyền các giao thức không IP thành IP ( chuyển đổi luồng lưu lượng), và đường hầm để đóng gói dữ liệu không IP thành gói dữ liệu IP. Đường hầm lúc này trở thành một thiết bị truyền tải. - Với trường hợp không sử dụng IP như Frame Relay, ATM thì công nghệ VPT được sử dụng. 1.3.2. Ưu nhược điểm của VPN a. Ưu điểm. Khả năng linh hoạt cao, có thể kết nối bất cứ khi nào, bất cứ nơi đâu, chỉ cần ở đó có thể truy cập Internet. Giá thành rẻ, chỉ mất chi phí cho việc truy cập Internet thông thường( giảm 60%-80% chi phí cho các máy trạm truy cập từ xa). Giảm chi phí thực hiện ( giảm chi phí cho các kênh thuê riêng đường dài – như các đường leased lines), và chi phí quản trị ( giảm được chi phí duy trì hoạt động và quản trị mạng WAN). Băng thông không hạn chế, chỉ phục thuộc vào tốc độ đường truyền Internet mà bạn sử dụng Nâng cao khả năng kết nối: số lượng kết nối đồng thời từ xa vào văn phòng công ty hoặc chi nhánh lớn, không hạn chế về số lượng, tùy thuộc vào nhu cầu khai thác dữ liệu sẽ có mô hình VPN cụ thể phù hợp với loại hình kinh doanh của doanh nghiệp. Đảm bảo khả năng bảo mật các giao dịch nhờ công nghệ đường hầm, dữ liệu được bảo mật ở mức độ nhất định. Công nghệ đường hầm sử dụng các biện pháp bảo mật như: mã hóa, xác thực truy cập, và cấp quyền( xác thực truy cập và bảo mật hệ thống) nhằm đảm bảo tính an toàn, tin cậy, tính xác thực của dữ liệu được truyền – nhận. Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập vào hệ thống mạng riêng ảo trong nội bộ. Nâng cao khả năng mở rộng: vì dựa trên Internet, nên cho phép Internet của một công ty có thể dễ dàng mở rộng và phát triển. Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng và dễ dàng tương thích với sự phát triển trong tương lai. Sử dụng hiệu quả băng thông: trong kết nối Internet bằng đường leased – line, băng thông vẫn bị chiếm dụng khi không có kết nối nào hoạt động. VPN chỉ tạo đường hầm logic để truyền dữ liệu, chỉ sử dụng băng thông khi cần truyền dữ liệu. Do đó, giảm được nguy cơ lãng phí băng thông. b. Nhược điểm. Phụ thuộc quá nhiều và mạng trung gian: sự thực thi của một mạng VPN phụ thuộc vào sự thực thi của mạng Internet. Yêu cầu về chuẩn: cả hai đầu đường hầm đều phải dùng cùng một thiết bị để đảm bảo khả năng vận hành ( interoperability). Khó thiết lập và quản trị: những máy client từ xa cần được cấu hình với những tham số bảo mật đúng. Thêm vào đó, những đường hầm bảo mật giữa phải được tích hợp với firewall ( firewall hỗ trợ NAT). VPN không dễ dàng vận hành cùng với thiết bị NAT Mọi giao thông qua VPN đều được mã hóa bất chấp nhu cầu cần mã hóa hay không-> dễ dẫn đến hiện tượng nghẽn cổ chai. Không cung cấp bảo vệ bên trong mạng: VPN kết thúc ở đầu mạng. Một khi nhân viên đã vào bên trong mạng, dữ liệu không còn được mã hóa nữa. Hơn nữa, các VPN không thể giới hạn nhân viên khỏi sự truy cập thoải mái bất kỳ server nào trên mạng nội bộ 1.4. Các giao thức sử dụng trong VPN Các giao thức sử dụng trong VPN bao gồm các giao thức đường hầm tại tầng 2 và IPSec tại tầng 3. Các giao thức đường hầm tầng 2 là cơ sở để xây dựng VPN và bảo mật các giao dịch qua VPN. Một số sao giao thức đường hầm được thực hiện tại tầng 2- tầng liên kết dữ liệu của mô hình OSI bao gồm: giao thức hầm điểm – điểm( PPTP), giao thức chuyển tiếp lớp ( L2F), giao thức đường hầm lớp 2 ( L2TP). - L2F( Layer 2 Forwarding): do Cisco phát triển, L2F sử dụng bất kỳ một cơ chế xác nhận do PPP hỗ trợ - PPTP( Point- to- Point Tunneling Protocol ): do PPTP Forum phát triển, một nhóm cộng tác bao gồm US Robotics, Microsoft, 3COM, Ascend và ECI Telematics. PPTP hỗ trợ cho mã hóa 40bit và 128 bit được sử dụng cho bất kỳ cơ chế xác nhận nào sử dụng trong PPP. - L2TP( Layer 2 Tunneling Protocol): được phát triển dần đây nhất, L2TP là sản phẩm do các thành viên trong nhóm PPTP Forum, Cisco và IETF hình thành nên. Nó tích hợp các tính năng của cả PPTP và L2F, đồng thời L2TP cũng hỗ trợ IPSec. Vị trí của L2F, PPTP, L2TP trong mô hình OSI Hình 7. Vị trí của L2F, PPTP, L2TP trong mô hình OSI Giao thức IPSec tầng 3 thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nội dung thông tin. Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3 của mô hình OSI Hình 8. Vị trí IPSec trong mô hình OSI 1.4.1. Giao thức đường hầm điểm điểm - PPTP. a. Giao thức kết nối điểm điểm PPP PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng của mạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng. PPP có thể điều khiển bất kỳ DTE hoặc DCE nào bao gồm: EIA/TIA-232-C và ITU-T V.35. PPP không hạn chế tỷ lệ truyền dữ liệu. Trong khi truyền dữ liệu bị hạn chế bởi giao diện DTE/DCE đang dùng. PPP là nền tảng của các giao thức đường hầm layer2. Ngoài việc hỗ trợ đa giao thức tầng mạng (IP và non IP) , PPP còn chịu trách nhiệm về các chức năng sau: - Chỉ định và quản trị các gói IP thành các gói không IP. - Cấu hình và kiểm tra các liên kết đã thiết lập. - Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu. - Phát hiện lỗi trong khi truyền dữ liệu. - Dồn kênh các giao thức mạng lớp hai. - Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ. PPP thực hiện các chức năng này theo ba chuẩn: - Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm. - Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ của giao thức kiểm soát liên kết(Link Control Protocol – LCP). - Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗi trong khi truyền theo dạng của giao thức kiểm soát mạng (Network Control Protocol - NCP) thích hợp. b. Quá trình thực hiện PPP Giao thức PPP được sử dụng để đóng gói các gói tin thành các khung PPP và gửi dữ liệu trên các kết nối điểm - điểm. Quá trình thương lượng kết nối PPP gồm 5 bước: 1. Sau khi các gói dữ liệu đã được đóng gói, Node nguồn gửi khung LCP qua kết nối điểm - điểm tới Node đích. 2. Các tham số này thường được dùng để cấu hình liên kết bằng việc chỉ rõ các tham số và kiểm tra liên kết đã được thiết lập. 3. Sau khi Node đích chấp nhận yêu cầu kết nối và một liên kết được thiết lập thành công, các tham số lựa chọn được thương lượng nếu đã chỉ rõ bởi các LCP. 4. Node nguồn sau đó gửi khung NCP để lựa chọn và cấu hình giao thức tầng mạng. 5. Sau khi giao thức tầng mạng yêu cầu được cấu hình thì cả hai bắt đầu trao đối dữ liệu. Hình 9. Thiết lập liên kết PPP và trao đổi dữ liệu Khi một liên kết PPP đã được thiết lập, nó tồn tại cho đến khi LCP hoặc NCP ra hiệu kết thúc liên kết. Liên kết cũng có thể được kết thúc trong trường hợp nó bị lỗi hoặc người dùng can thiệp vào. Định dạng gói PPP Hình 10. Định dạng của một Frame PPP điển hình - Flag: xác định điểm bắt đầu và kết thúc của một khung. - Address: Vì nó sử dụng các liên kết điểm - điểm->các trường này chứa chuỗi nhị phân là 11111111, đây là một địa chỉ Broadcast chuẩn. - Control: Trường này chứa chuỗi nhị phân là 00000011. Nó biểu thị rằng, Frame đang mang dữ liệu người dùng là một Frame không tuần tự. - Protocol: xác định giao thức mà dữ liệu được đóng gói trong trường dữ liệu của -- Frame. Giao thức trong trường này được chỉ rõ theo số đã gán trong RFC 3232. Độ dài của trường này là 2 byte. Tuy nhiên, trường này có thể thương lượng để là 1 byte nếu cả hai đồng ý. - Data: chứa thông tin đang được trao đổi giữa Node nguồn và đích. Độ dài của trường này có thay đổi, độ dài tối đa có thể lên đến 1500 byte. - FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra tính chính xác của thông tin đã nhận trong trường dữ liệu. c. Kiểm soát liên kết PPP Ngoài việc trao đổi thành công dữ liệu giữa hai Node, PPP cũng chịu trách nhiệm kiểm soát liên kết đã thiết lập giữa 2 thực thể truyền thông cuối. PPP sử dụng LCP cho chức năng này, trong đó LCP chịu trách nhiệm về các chức năng : - Hỗ trợ việc thiết lập liên kết. - Cấu hình liên kết đã thiết lập để thoả mãn các yêu cầu của các nhóm truyền thông. - Duy trì hiệu suất của liên kết PPP đã thiết lập. - Kết thúc liên kết nếu việc trao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất. LCP dựa trên kiểm soát liên kết gồm bốn pha: Thoả thuận và khởi tạo liên kết; Xác định chuẩn liên kết; Thoả thuận giao thức tầng mạng. Sau đây ta sẽ mô tả chi tiết bốn pha trong kiểm soát liên kết. - Thoả thuận và khởi tạo liên kết: Trước khi việc trao đổi dữ liệu dựa trên PPP giữa Node nguồn và đích được cho phép, LCP phải khởi tạo một kết nối giữa hai thực thể cuối và thoả thuận các tham số cấu hình. LCP sử dụng các Frame khởi tạo liên kết cho chức năng này. Khi mỗi thực thể cuối phản hồi lại bằng Frame cấu hình ACK của nó, pha này kết thúc. - Xác định tiêu chuẩn liên kết: Đây là pha tuỳ chọn trong đó tiêu chuẩn của liên kết đã thiết lập được xác định cho các liên kết khác nhau đã sẵn sàng cho việc thoả thuận các giao thức tầng mạng. - Thoả thuận giao thức tầng mạng: Trong pha này, ưu tiên giao thức tầng mạng của dữ liệu đã được đóng gói trong trường Protocol của Frame PPP được thoả thuận. - Kết thúc liên kết: Đây là pha cuối cùng của LCP và Server để kết thúc liên kết đã thiết lập giữa hai thực thể cuối. Việc kết thúc liên kết có thể theo trình tự hoặc đột xuất. Kết thúc đúng trình tự là kết thúc sau khi việc trao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất hay do yêu cầu của thực thể cuối. Kết thúc liên kết đột xuất có thể làm mất dữ liệu. Frame kết thúc liên kết dữ liệu được trao đổi giữa các nhóm có liên quan trước khi liên kết được giải phóng. Ngoài Frame thiết lập và kết thúc liên kết, PPP sử dụng một loại Frame thứ ba gọi là Frame duy trì liên kết. Các Frame này được trao đổi trong trường hợp có vấn đề liên quan đến liên kết, thường được dùng để quản trị và debug các liên kết dựa trên PPP. c. Giao thức đường hầm điểm (PPTP) PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàn giữa một Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra một VPN qua một mạng dựa trên IP. Được phát triển bởi Consortium PPTP (Tập đoàn Microsoft, Ascend Communications, 3COM, US Robotics,và ECI Telematics). PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn. PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng. PPTP cho phép sử dụng PSTN(Public Switched Telephone Network) để thực thi VPN. Nên quá trình triển khai VPN đơn giản và tổng chi phí thực thi giảm một cách đáng kể. PPTP Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, và NetBIOS. PPP đóng vai trò chính trong các giao dịch dựa trên PPTP. d.Vai trò của PPP trong các giao dịch PPTP PPTP là một sự mở rộng logic của PPP, PPTP định nghĩa một cách vận chuyển lưu lượng PPP mới qua các mạng công cộng không an toàn. Hình 11. Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP PPTP không hỗ trợ nhiều kết nối. Tất cả các kết nối được hỗ trợ bởi PPTP phải là kết nối điểm - điểm, ngoài ra, trong giao dịch dựa trên PPTP thì PPP chịu trách nhiệm: - Thiết lập và kết thúc các kết nối vật lý giữa các thực thể truyền thông cuối. - Xác thực các Client PPTP. - Mã hoá các gói dữ liệu IPX, NetBEUI, NetBIOS, và TCP/IP để tạo các gói PPP và bảo mật việc trao đổi dữ liệu giữa các nhóm liên quan. e. Các thành phần của giao dịch PPTP + PPTP Client Là một Node mạng hỗ trợ PPTP và có yêu cầu đến Node khác cho một phiên VPN. Nếu kết nối được yêu cầu từ một Server từ xa, PPTP Client phải sử dụng các dịch vụ trên NAS của ISP. Vì thế, PPTP Client phải được kết nối tới một Modem, cái thường được dùng để thiết lập một kết nối quay số PPP tới ISP. Hình 12. Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có thể định đường hầm yêu cầu tới thiết bị VPN trên mạng từ xa. Liên kết đến thiết bị VPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập một đường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung gian khác. Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên VPN tới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP. Cả Client và Server đều được kết nối vật lý đến cùng một mạng LAN, việc tạo ra một kết nối tới NAS của nhà cung cấp là không cần thiết. Trong trường hợp này client chỉ cần yêu cầu một phiên quay số đến thiết bị VPN trên Server. Như vậy thủ tục định tuyến của các gói PPTP cho một yêu cầu từ xa và một yêu cầu cục bộ là khác nhau, các gói của hai yêu cầu được xử lý khác nhau. Các gói PPTP đến Server cục bộ được đặt trên thiết bị vật lý gắn kèm với card mạng của PPTP Client. Gói PPTP đến Server từ xa được định tuyến qua một thiết bị vật lý gắn với một thiết bị truyền thông như một Router. Hình 13. Truyền các gói PPTP đến Node đích + Các Server PPTP Là một Node mạng có hỗ trợ PPTP và có khả năng bảo quản các yêu cầu cho phiên VPN từ các Node từ xa hay cục bộ. Để phản hồi các yêu cầu từ xa, các Server này cũng phải hỗ trợ khả năng định tuyến. Một RAS và hệ điều hành mạng khác có hỗ trợ PPTP, như WinNT 4.0, Windown server 2000, 2003 có khả năng hoạt động như một Server PPTP. +Các Server truy cập mạng PPTP (PPTP NAS) Các NAS PPTP được đặt tại ISP và cung cấp kết nối Internet tới các Client đang sử dụng đường quay số PPP. Xác suất nhiều Client cùng đồng thời yêu cầu một phiên VPN là rất cao. Các Server này phải có khả năng hỗ trợ các Client này. Ngoài ra, các PPTP Client có thể chạy trên nhiều hệ điều hành, vì vậy các NAS PPTP phải có khả năng hỗ trợ các Client dựa trên Window, các máy Unix. Tuy nhiên, các Client này phải hỗ trợ kết nối PPTP tới NAS. + Các tiến trình PPTP Bao gồm: Thiết lập kết nối dựa trên PPP. Kiểm soát kết nối. Tạo đường hầm PPTP và truyền dữ liệu. 1 Kiểm soát kết nối PPTP Sau khi một kết nối vật lý dựa trên PPP được thiết lập giữa PPTP Client và Server, quá trình kiểm soát kết nối PPTP bắt đầu. Kiểm soát kết nối PPTP được thiết lập dựa trên địa chỉ IP của PPTP Client và Server. Nó sử dụng cổng TCP động( phía client) và cổng TCP giành riêng số 1723(phía server). Sau khi kiểm soát kết nối được thiết lập, nó thực hiện việc kiểm soát và quản lý các thông điệp được trao đổi giữa các nhóm truyền thông. Các thông điệp này có nhiệm vụ duy trì, quản lý và kết thúc đường hầm PPTP. Các thông điệp này bao gồm cả chu kỳ giao dịch của các thông điệp "PPTP-Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiện lỗi kết nối giữa PPTP Server và Client. Hình 14. Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP Một số thông điệp thường dùng để kiểm soát PPTP . Bảng 2.1 Các thông điệp kiểm soát PPTP thông dụng Name Description Start-Control-Connection-Request Yêu cầu từ PPTP Client để thiết lập kết nối Start-Control-Connection-Reply Phản hồi từ PPTP server tới thông điệp Start-Control-Connection-Request của Client Outgoing-Call-Request Yêu cầu từ PPTP client tới server để thiết lập một đường hầm PPTP. Outgoing-Call-Reply Phản hồi từ PPTP server tới thông điệp Outgoing-Call-Request của Client. Echo-Request Cơ chế duy trì hoạt động từ Server hoặc Client. Nếu nhóm đối diện không trả lời thông điệp này thì đường hầm bị kết thúc. Echo-Reply Phản hồi tới thông điệp Echo-Request từ thực thể cuối đối diện. Set-Link-Info Thông điệp từ phía khách tới thiết lập các tham số liên quan đến PPP. Call-Clear-Request Thông điệp từ PPTP client bắt đầu kết thúc đường hầm. Call-Disconnect-Notify Phản hồi từ PPTP server tới Call-Clear-Request của Client. Nó cũng là thông điệp khởi tạo việc kết thúc đường hầm từ Server WAN-Error-Notify Thông điệp từ PPTP server đến tất cả các PPTP Client đã kết nối để thông báo lỗi trong giao diện PPP của server. Stop-Control-Connection-Request Thông điệp từ PPTP client hoặc server để thông báo đến thực thể cuối khác để kết thúc kiểm soát kết nối. Stop-Control-Connection-Reply Phản hồi từ thực thể cuối bên kia tới thông điệp Stop-Control-Connection-Request. Các thông điệp kiểm soát PPTP được đóng gói vào trong các gói TCP. Vì vậy, sau khi đã thiết lập một kết nối PPP với Server hoặc Client từ xa, một kết nối TCP được thiết lập. Kết nối này sau đó thường được dùng để trao đổi các thông điệp kiểm soát PPTP Hình 15. Kiểm soát PPTP trong gói dữ liệu TCP 2. Xử lý và định đường hầm dữ liệu PPTP Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói. Bao gói dữ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên trong một Frame PPP. Một tiêu đề PPP được thêm vào Frame. Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trong một sự đóng gói định tuyến chung(GRE) đã sửa đổi. Tiêu đề GRE sửa đổi chứa một trường ACK 4 byte và một bit ACK tương ứng thông báo sự có mặt của trường ACK. Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độ dài 2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc gọi. PPTP client thiết lập các trường này khi nó tạo đường hầm PPTP. Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vào khung PPP, và được bao gói vào trong gói GRE. Tiêu đề IP này chứa địa chỉ IP của PPTP client nguồn và PPTP Server đích. Bao gói tầng liên kết dữ liệu: Như chúng ta đã biết, PPTP là một giao thức tạo đường hầm tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánh dấu là các quy luật quan trọng trong đường hầm dữ liệu. trước khi được đặt lên các phương tiện truyền phát, tầng liên kết dữ liệu thêm vào tiêu đề của chính nó và đánh dấu cho các gói dữ liệu. Nếu gói dữ liệu phải chuyển qua một đường hầm PPTP cục bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu đề theo công nghệ - LAN(như Ethenet chẳng hạn). Mặt khác, nếu đường hầm được trải qua một liên kết WAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một lần. Hình 16. Mô tả tiến trình xử lý dữ liệu PPTP đường hầm Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhận phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm để thu được dữ liệu gốc. Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP. Để lấy lại dữ liệu gốc thì Node PPTP của người nhận phải thực hiện các bước sau: - Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được thêm vào bởi người gửi. - Tiếp đó, loại bỏ tiêu đề GRE - Tiêu đề IP được xử lý và loại bỏ - Tiêu đề PPP được xử lý và loại bỏ. - Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu) + Ví dụ một kết nối PPTP Hình 17. Các gói tin trong kết nối PPTP Client PPTP ở địa chỉ 172.16.1.3 Server PPTP ở địa chỉ 172.16.1.1 1. Client khởi tạo kết nối tới server ở cổng TCP 1723 -> server gửi lại gói ACK 2. Client gửi thông điệp Start-Control-Connection-Request 3. Server trả lời bằng gói Start-Control-Connection-Reply 4. Client gửi gói Outgoing-call-Request để yêu cầu thiết lập đường hầm 5. Server trả lời bằng gói Outgoing-call-Reply 6. Client gửi thông điệp Set-Link-Info để thiết lập các tham số của kết nối 7. Tunnel được thiết lập. + Bảo mật PPTP PPTP cung cấp các dịch vụ bảo mật bao gồm: Mã hóa và nén dữ liệu, xác thực, kiểm soát truy cập và lọc gói tin. 1. Mã hoá và nén dữ liệu PPTP PPTP sử dụng dịch vụ mã hoá được đề xuất bởi PPP. PPP lần lượt sử dụng mã hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí mật. 2. Xác thực dữ liệu PPTP PPTP hỗ trợ các cơ chế xác thực của Microsoft * Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP) MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES. Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó không được hỗ trợ bởi các nền khác. * Giao thức xác thực mật khẩu(PAP) Là giao thức đơn giản và là giao thức xác thực đường quay số thông dụng nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP. Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá. Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi. Một lỗ hỗng của PAP là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai nữa!. Nên PAP là một giao thức xác thực ít được sử dụng trong VPN. * Kiểm soát truy cập PPTP Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cập của nó đến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mật nâng cao. Mục tiêu này được hoàn thành bởi việc thực thi bổ sung cơ chế kiểm soát truy cập như: Quyền truy cập, mức cho phép, nhóm và lọc gói PPTP Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấp nhận và định tuyến các gói chỉ từ các Client PPTP đã được xác thực thành công. Kết quả là, chỉ các Client PPTP đã được xác thực mới có thể truy cập lại tới mạng từ xa đã xác định. PPTP không chỉ cung cấp các cơ chế xác thực, kiểm soát truy cập và mã hoá, mà còn làm tăng thêm sự an toàn của mạng. * PPTP với FireWall và Router Các thiết bị PPTP chấp nhận lưu lượng TCP và IP tại cổng 1723 và 47. Tuy nhiên, khi PPTP dùng chung với FireWall và Router, lưu lượng đã được dự tính cho các cổng này được định tuyến qua Firewall hoặc Router, chúng lọc lưu lượng trên cơ sở danh sách kiểm soát truy cập (ACL) và các chính sách bảo mật khác, PPTP nâng cao các dịch vụ bảo mật mà nó đưa ra. + Các tính năng của PPTP - Tính sẵn có PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trong Workstation. Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng. Không cần mua thêm các phần mềm bổ sung vì Microsoft đã đưa ra cách nâng cấp PPTP trong tất cả các phiên bản Windows, được bổ sung trong nhiều nhánh của các Switch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics. PPTP đã trở thành một phần của các gói tin hệ điều hành mạng và phần lớn các Switch truy cập từ xa. - Dễ thi hành Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giao thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ. Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sử dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổ sung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói tin PPP theo khuôn dạng PPTP. - Tạo đường hầm đa giao thức Đây là tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉ cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép. - Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ được máy chủ gán cho một địa chỉ IP. Địa chỉ này có thể là một phần trong dãi địa chỉ IP của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP của tổ chức đó. 1.4.2 Giao thức chuyển tiếp tầng 2 –L2F. L2F được phát triển theo hướng: Có khả năng bảo mật các giao dịch. - Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung gian khác. - Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay. Hình 18. Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng a. Tiến trình L2F 1. Người dùng từ xa khởi tạo một kết nối PPP tới ISP của họ. Nếu một người dùng từ xa là một phần của mạng LAN, người dùng có thể tận dụng ISDN hoặc liên kết để kết nối tới ISP. Nếu người dùng không phải là một phần của bất kỳ Intranet nào, họ có thể cần sử dụng các dịch vụ của PSTN. Hình 19. Thiết lập một đường hầm L2F giữa người dùng từ xa và Server 2. Nếu NAS đặt tại ISP chấp nhận yêu cầu kết nối, kết nối PPP được thiết lập giữa NAS và người dùng. 3. Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đều được sử dụng cho chức năng này. 4. Nếu không có đường hầm nào tới Gateway của mạng đích tồn tại, thì một đường hầm sẽ được khởi tạo. 5. Sau khi một đường hầm được thiết lập thành công, một ID (MID) đa công duy nhất được phân phối tới các kết nối. Một thông điệp thông báo cũng được gửi tới các Gateway của máy chủ mạng. Thông điệp này thông báo cho Gateway về yêu cầu kết nối từ một người dùng ở xa. 6. Gateway có thể chấp nhận hoặc từ chối yêu cầu kết nối này. Nếu yêu cầu bị từ chối, người dùng sẽ được thông báo lỗi và kết nối quay số kết thúc. Nếu yêu cầu được chấp nhận, máy chủ Gateway gửi thông báo khởi tạo cài đặt tới Client từ xa, phản hồi này có thể bao gồm cả thông tin xác thực, nó được dùng bởi Gateway để xác thực người dùng từ xa. 7. Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, một giao diện ảo được thiết lập giữa 2 đầu cuối. b. Đường hầm L2F Khi một người dùng từ xa đã được xác thực và yêu cầu kết nối được chấp nhận, một đường hầm giữa NAS của nhà cung cấp và Gateway máy chủ mạng được thiết lập. Hình 20 Quá trình định đường hầm dữ liệu dựa trên L2F Sau khi đường hầm giữa 2 đầu cuối được thiết lập xong-> Quá trình trao đổi các frame tầng 2 qua đường hầm : 1. Người dùng từ xa chuyển tiếp các frame thông thường tới NAS đặt tại ISP. 2. NAS cắt bỏ thông tin tầng liên kết dữ liệu hay các byte trình diễn, thêm vào tiêu đề L2F và đánh dấu frame. Sau khi frame được đóng gói mới thì được chuyển tiếp tới mạng đích qua đường hầm. 3. Gateway chấp nhận các gói đường hầm này, cắt bỏ tiêu đề L2F, đánh dấu và chuyển tiếp các frame tới Node đích trong mạng Intranet. Node đích xử lý các frame nhận được như là các gói không qua đường hầm. Bất kỳ một phản hồi nào từ máy chủ đích trong mạng phải qua quá trình ngược lại Frame sau đó được chuyển tiếp tới người dùng từ xa. Định dạng gói L2F c. Bảo mật L2F L2F cung cấp các dịch vụ: Mã hoá dữ liệu và xác thực 1. Mã hoá dữ liệu L2F - L2F sử dụng MPPE cho các chức năng mã hoá cơ bản. Tuy nhiên nó không an toàn với các kỹ thuật Hacking tiên tiến ngày nay. Và nó cũng phải sử dụng mã hoá dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bí mật. 2. Xác thực dữ liệu L2F - Xác thực L2F được hoàn thành tại hai mức. Mức thứ nhất của xác thực khi một người dùng từ xa sử dụng đường quay số tới NAS của ISP. Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ sau khi người dùng được xác thực thành công. Mức thứ hai của xác thực được thực hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa. - Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP cho xác thực. Kết quả là L2F sử dụng PAP để xác thực một Client từ xa khi một Gateway L2F nhận một yêu cầu kết nối. L2F cũng sử dụng lược đồ xác thực như sau để nâng cao tính bảo mật dữ liệu: - Giao thức xác thực có thăm dò trước(CHAP) - Giao thực xác thực mở rộng (EAP) d. Các ưu và nhược điểm của L2F Mặc dù L2F yêu cầu mở rộng để khắc phục sự khác nhau với LCP và các tuỳ chọn xác thực, nhưng nó đắt hơn PPTP vì nó là giải pháp chuyển tiếp Frame ở mức thấp, nó cũng cung cấp một giải pháp VPN nền cho mạng doanh nghiệp tốt hơn PPTP. Những ưu điểm chính của việc thực thi một giải pháp L2F bao gồm: - Nâng cao tính bảo mật của các phiên giao dịch. - Độc lập với nền. - Không cần phải đàm phán với ISP. - Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI, IPX, NetBEUI, và Frame Relay. Ngoài những ưu điểm trên, nó cũng có một số nhược điểm: - Việc thực thi giải pháp dựa trên L2F phụ thuộc nhiều vào ISP, nếu ISP không hỗ trợ L2F thì không thể thực hiện được giải pháp này. - L2F không cung cấp kiểm soát luồng. Và như vậy, nếu đường hầm bị đầy thì các gói dữ liệu có thể bị xoá tuỳ tiện. Điều này là nguyên nhân của việc phải phát lại gói dữ liệu, nó làm chậm tốc độ truyền. - Do kết hợp cả xác thực và mã hoá, các giao dịch thực hiện qua đường hầm dựa trên L2F là chậm khi so sánh với PPTP. 1.4.3 Giao thức đường hầm tầng 2 – L2TP Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco, Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F. L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP. L2TP là sự tích hợp các đặc trưng của L2F và PPTP - L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông thường. - L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành. - L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập một mạng từ xa qua một mạng công cộng. - Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có thể định nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước. - Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế, đường hầm này mở rộng tới Gateway của mạng đích. Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP. Hình 21. Đường hầm L2TP Khi một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như các thông điệp giao thức UDP. L2TP sử dụng các thông điệp UDP này cho cả dữ liệu đường hầm cũng như việc duy trì đường hầm. Cũng vì vậy, dữ liệu đường hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có cùng cấu trúc gói. a. Các thành phần của L2TP Một Server truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS). 1. Server truy cập mạng (NAS) Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không. Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix, Linux,…) 2. Bộ tập trung truy cập L2TP (LAC) LAC chịu trách nhiệm thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng. LAC server như là điểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ. Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằm cung cấp kết nối vật lý cho người truy cập từ xa. 3. Server mạng L2TP(LNS) LNS là điểm cuối đầu kia của một kết nối từ xa. Nó được đặt tại mạng trung tâm và cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc. Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo. b. Các tiến trình L2TP Hình 22. Mô tả quá trình thiết lập đường hầm L2TP Các bước thiết lập một đường hầm L2TP: 1) Client gửi một yêu cầu kết nối tới NAS của ISP 2) NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho chức năng này. 3) NAS khởi động LAC, nơi chứa thông tin về LNS của mạng đích. 4) Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian giữa hai đầu cuối. Môi trường đường hầm này có thể là ATM, Frame Relay hoặc IP/UDP. 5) Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS, thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng từ xa (người yêu cầu đường hầm ban đầu). Thông điệp này cũng mang cả tuỳ chọn LCP đã được thương lượng giữa người dùng với LAC. 6) LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực người dùng cuối. Nếu người dùng được xác thực thành công và LNS chấp nhận yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự trợ giúp của các tuỳ chọn nhận được từ thông điệp thông báo. 7) Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm. c. Dữ liệu đường hầm L2TP Hình 23. Quá trình xử lý định đường hầm dữ liệu L2TP Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều mức đóng gói bao gồm: - Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ liệu không được mã hoá trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào gói dữ liệu gốc được tải. - Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong một gói PPP, một tiêu đề L2TP được thêm vào. - Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói lại được đóng gói vào trong một Frame UDP. Tiếp sau đó, tiêu đề UDP được thêm vào Frame L2TP đã đóng gói. Cổng nguồn và đích trong UDP này được thiết lập là 1701. - Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật IPSec được thêm vào nó. Một đánh dấu xác thực tiêu đề IPSec cũng được gắn vào để mã hoá và đóng gói dữ liệu. - Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối cùng được thêm vào các gói IPSec đã đóng gói. Tiêu đề IP này chứa địa chỉ IP của LNS và người dùng từ xa. - Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng. Tiêu đề và đánh dấu này giúp cho gói dữ liệu tới được Node đích. Nếu Node đích là node cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN. Trong trường hợp khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP và đánh dấu được thêm vào gói dữ liệu đường hầm L2TP. Ở phía thu quá trình xử lý dữ liệu diễn ra ngược lại d. Mô hình đường hầm L2TP L2TP hỗ trợ 2 mô hình đường hầm: Đường hầm tự nguyện (Voluntary) và đường hầm bắt buộc (Compulsory). 1. Đường hầm L2TP kiểu bắt buộc Một đường hầm L2TP bắt buộc, được thiết lập giữa LAC của ISP sau cùng và LNS của mạng chủ. Để thiết lập thành công một đường hầm này thì ISP có khả năng hỗ trợ công nghệ L2TP. Hơn nữa, ISP cũng phải dùng một luật khoá trong việc thiết lập các đường hầm L2TP. Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) chỉ là một thực thể bị động. Khác với việc phát ra yêu cầu kết nối gốc, người dùng cuối không có vai trò trong tiến trình thiết lập đường hầm. Vì vậy, không có thay đổi lớn được yêu cầu tại người dùng cuối L2TP. Hình 23. Đường hầm L2TP bắt buộc Các bước thiết lập đường hầm bắt buộc Hình 24. Thiết lâp một đường hầm L2TP bắt buộc 1) Người dùng từ xa yêu cầu một kết nối từ NAS cục bộ tới ISP. 2) NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS biết được về định danh của người dùng yêu cầu kết nối. Nếu định danh của người dùng ánh xạ tới một thực thể trong cơ sở dữ liệu được duy trì ở ISP, dịch vụ đó cho phép người dùng được ánh xạ. NAS cũng xác định điểm cuối của đường hầm L2TP. 3) Nếu NAS chấp nhận kết nối, một liên kết PPP được thiết lập giữa ISP và người dùng từ xa. 4) LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng. 5) Nếu kết nối được chấp nhận bởi LNS, các Frame PPP trải qua việc tạo đường hầm L2TP. 6) LNS chấp nhận các Frame và khôi phục lại Frame PPP gốc. 7) Cuối cùng, LNS xác thực người dùng và nhận các gói dữ liệu. Nếu người dùng được xác nhận thành công, địa chỉ IP thích hợp được ánh xạ tới Frame và sau đó các Frame được chuyển tiếp tới Node đích trong Intranet. 2. Đường hầm L2TP kiểu tự nguyện Một đường hầm tự nguyện L2TP được thiết lập giữa người dùng từ xa và LNS đặt tại mạng chủ cuối cùng. Trong trường hợp này, người dùng từ xa tự hoạt động như một LAC. Bởi vì luật của ISP trong việc thiết lập đường hầm tự nguyện L2TP là tối thiểu. Cơ sở hạ tầng của ISP là trong suốt với người dùng cuối. Hình 25 Đường hầm L2TP tự nguyện Ưu điểm lớn nhất của đường hầm L2TP tự nguyện là nó cho phép người dùng từ xa kết nối đến Internet và thiết lập nhiều phiên VPN đồng thời. Tuy nhiên để sử dụng những ưu điểm này, người dùng từ xa phải gắn vào nhiều địa chỉ IP. Một trong nhiều IP này được dùng cho kết nối PPP tới ISP và thường được dùng để hỗ trợ cho mỗi đường hầm L2TP riêng biệt. Tuy nhiên ưu điểm này cũng có thể là một bất lợi đối với client từ xa, vì mạng chủ có thể dễ dàng bị tấn công. Hình 26 Quá trình thiết lập đường hầm L2TP tự nguyện Việc thiết lập một đường hầm loại này là đơn giản hơn thiết lập đường hầm bắt buộc vì người dùng từ xa tận dụng một kết nối PPP đã được thiết lập trước tới ISP sau cùng. Các bước thiết lập đường hầm bao gồm: 1) LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu đường hầm tới LNS. 2) Nếu yêu cầu đường hầm được chấp nhận bởi LNS, LAC tạo đường hầm cho các Frame PPP trên L2TP xác định và chuyển tiếp các frame này qua đường hầm. 3) LNS nhận được Frame đã qua đường hầm, loại bỏ thông tin đường hầm và xử lý Frame. 4) Cuối cùng, LNS xác thực định danh người dùng và nếu người dùng được xác thực thành công, thì chuyển tiếp Frame tới Node đích trong Intranet. Tiến trình thiết lập đường hầm L2TP tự nguyện được minh hoạ trong hình 2.22 Việc sử dụng L2TP trong VPN yêu cầu chi phí thấp tuy nhiên bên cạnh đó còn nhiều vấn đề về bảo mật vẫn chưa đáp ứng được. c. Kiểm soát kết nối L2TP PPTP sử dụng các kết nối TCP riêng cho việc duy trì đường hầm. Kiểm soát kết nối L2TP và các Frame quản trị được dựa trên UDP. Định dạng của thông điệp kiểm soát L2TP. Data Link Header IP Header IPSec ESP Header UDP Header L2TP Message IPSec ESP Trailer IPSec ESP Authentication Trailer Data Link Trailer Hình 27 Định dạng thông điệp kiểm soát L2TP Một số thông điệp duy trì và kiểm soát L2TP được sử dụng Name Description Start-Control-Connection-Request Yêu cầu từ Client L2TP để thiết lập kết nối điều khiển Start-Control-Connection-Reply Phản hồi từ Server L2TP với thông điệp Start-Control-Connection-Request của Client. Thông điệp này cũng được gửi như một trả lời cho thông điệp Outgoing-Call-Reply. Start-Control-Connection-Connected Trả lời từ Client L2TP cho thông điệp Start-Control-Connection-Reply của LNS. Outgoing-Call-Request Yêu cầu từ Client L2TP tới LNS để tạo đường hầm L2TP. Yêu cầu này chứa Call ID để định dang một yêu cầu trong đường hầm. Outgoing-Call-Reply Trả lời từ LNS L2TP cho thông điệpOutgoing-Call-Request của Client. Hello Thông điệp Keep-alive gửi bới LNS hoặc Client. Nếu thông điệp này không được chấp nhận bởi thực thể cuối khác thì đường hầm bị kết thúc. Set-Link-Info Thông điệp từ bên ngoài khác để thiết lập các tuỳ chọn PPP đã thương lượng. Call-Disconnect-Notify Phản hồi từ Server L2TP để cho biết yêu cầu nào đó trong đường hầm L2TP để được kết thúc. WAN-Error-Notify Thông điệp từ Server L2TP (LNS) tới tất cả các Client L2TP đã được kết nối để thông báo lỗi trong giao diện PPP của Server. Stop-Control-Connection-Request Thông điệp từ Client hoặc Server L2TP để thông báo cho các thực thể cuối khác về việc kết thúc kết nối điều khiển. Stop-Control-Connection-Reply Phản hồi ngược lại từ thực thể cuối đối với thông điệp Stop-Control-Connection-Request. Stop-Control-Connection-Notification Phản hồi ngược lại từ thực thể cuối để cho biết đường hầm bị kết thúc. d. Bảo mật L2TP L2TP sử dụng phương thức xác thực PPP để xác thực người dùng. Sơ đồ xác thực bao gồm: - PAP và SPAP. - EAP. - CHAP. Ngoài các cơ chế xác thực đã nói ở trên. L2TP còn sử dụng IPSec để xác thực các gói dữ liệu riêng. Dùng IPSec để xác thực từng gói đảm bảo rằng Hacker và Cracker không thể thay đổi được dữ liệu và đường hầm của bạn. e. Những ưu và nhược điểm của L2TP Ưu điểm: - L2TP là giải pháp chung. Trong nhiều trường hợp khác, nó độc lập với Platform, nó cũng hỗ trợ nhiều công nghệ mạng. Hơn nữa, nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP mà không cần một IP. - Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa. Vì vậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng. - L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP. - L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại bỏ một cách tuỳ ý nếu đường hầm bị đầy. Điều này làm cho các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F. - L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một mạng từ xa qua một mạng công cộng. - L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trên IPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói của IPSec. Tuy nhiên nó cũng có một số nhược điểm. Đó là: - L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực từng gói tin nhận được. 1.4.4 Giao thức IPSec Giao thức IPSec thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nội dung thông tin. Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3 của mô hình OSI Hình 28 Vị trí của IPSec trong mô hình OSI a. Kiến trúc an toàn IP (IPSec) +. Giới thiệu chung và các chuẩn Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và IPV6. Các giao thức tầng giao vận và các ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi gì. IPSec là một kiến trúc an toàn dựa trên chuẩn mở, nó có các đặc trưng: - Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại - Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an toàn - Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật - Cung cấp khả năng xác thực dựa trên chứng chỉ số - Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá - Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa như L2TP, PPTP IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các thiết bị khác nằm trên đoạn đường giữa hai đầu không phải bận tâm đến công việc mã hoá, trao đổi khoá bảo mật vv… khi chuyển tiếp dữ liệu. Đối với khách hàng, điều này đồng nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà không đòi hỏi sự đầu tư hay thay đổi quá lớn đối với hạ tầng mạng, người ta gọi giải pháp VPN ứng dụng giao thức IPSec là “Desktop VPN” vì toàn bộ chức năng bảo mật dữ liệu được thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan tâm đến các công tác bảo đảm an toàn. Khi sử dụng các thuật toán xác thực và mã hoá dữ liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi ích của các công nghệ này và tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo vệ luồng dữ liệu truyền trên mạng. Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP). AH được sử dụng để đảm bảo tính toàn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực đối với máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng nhưng kèm thêm khả năng bảo mật dữ liệu. Encapsulating Security Payload (ESP) protocol IP Security architecture Key management Protoccol Domain of  Interpretation AuthenticationHeader (AH) Protocol Encryption Algorithms Authentication Hình 29. Kiến trúc bộ giao thức IPSec Bộ giao thức IPSec mang lại ba khả năng chính, đó là: - Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế mạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đổi nào về nội dung của gói dữ liệu. Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự giả mạo, do thám hoặc tấn công dịch vụ. - Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ thuật mật mã cao cấp, nó ngăn chặn những người dùng trái phép truy cập dữ liệu trong khi nó đang được truyền đi. IPSec cũng sử dụng các cơ chế đường hầm để dấu địa chỉ IP của Node nguồn và đích đối với kẻ nghe trộm. - Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá Internet (IKE) để thương lượng giao thức bảo mật và thuật toán mã hóa trước và trong một phiên làm việc. IPSec phân phối, kiểm soát khoá và cập nhật các khoá này khi được yêu cầu. - Hai khả năng thứ nhất của IPSec, xác thực tính toàn vẹn dữ liệu và sự tin cậy được cung cấp bởi hai giao thức khoá trong bộ giao thức IPSec. Các giao thức này bao gồm AH và ESP. Khả năng thứ ba, quản trị khoá, nằm trong địa hạt của giao thức khác. Nó được chấp nhận bởi bộ IPSec vì dịch vụ quản lý khoá tốt của nó b. Liên kết bảo mật IPSec (SA-IPSec) Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec. Một SA là một kết nối logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec, được định danh một cách duy nhất bởi ba phần sau: Một IPSec SA được xác định là: - Các thuật toán, khoá, các giao thức xác thực. - Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao thức AH hoặc ESP của IPSec thích hợp. - Các thuật toán mã hoá, giải mã và các khoá. - Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống của khoá. - Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian sống. Hình 30 Mô tả ba trường của một IPSec SA - SPI(Security Parameter Index): 32 bít, định danh giao thức bảo mật, được xác định bởi trường giao thức bảo mật(Security Protocol). SPI thường được lựa chọn bởi hệ thống đích khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lôgic, được định nghĩa bởi người tạo SA. SPI có giá trị trong phạm vi 1 đến 255, giá trị 0 được dùng cho mục đích thực thi đặc biệt cục bộ - Địa chỉ IP đích: là địa chỉ IP của Node đích, có thể là một địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tại được định nghĩa chỉ với các địa chỉ unicast. - Giao thức bảo mật: mô tả giao thức bảo mật IPSec, là AH hoặc ESP. Trước khi hai máy chủ có thể liên lạc được với nhau sử dụng giao thức IPSec, chúng cần thống nhất các tham số cho kết nối( như cách xác thực lẫn nhau hay thuật toán mã hoá hai bên cùng sử dụng). Đây chính là việc liên kết bảo mật, đó chính là thoả thuận cách thức thống nhất được sử dụng cho việc bảo mật dữ liệu giữa hai đầu cuối. Một SA IPSec sử dụng hai cơ sở dữ liệu: + Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về các dịch vụ bảo mật. Định nghĩa luồng lưu lượng được xử lý hoặc bỏ qua. + Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan tới mỗi SA. Thông tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống của SA, chế độ giao thức và số tuần tự. c. Các giao thức của IPSec + Giao thức xác thực tiêu đề (AH) Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP. Tiêu đề này phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhận cuối cùng, tiêu đề này giúp nhận biết bất kỳ sự thay đổi nào về nội dung của gói dữ liệu bởi người dùng không mong muốn trong khi đang truyền, tuy nhiên AH không đảm bảo tính tin cậy. Để tạo một AH, một giá trị mã thông điệp cần xác thực qua hàm băm (HAMC) được tạo tại người gửi. Giá trị băm này được tạo trên cơ sở của SA, cái xác định trình tự giao dịch sẽ được áp dụng cho gói dữ liệu. Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu đề IP gốc. Tại người nhận cuối, HAMC được giải mã và được dùng để thiết lập việc xác thực người gửi cũng như tính toàn vẹn của thông điệp. AH có các đặc trưng cơ bản như sau: - Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại - Sử dụng mã xác thực thông điệp được băm(HMAC), dựa trên chia sẻ bí mật - Nội dung các gói tin không được mã hoá - Không sử dụng các trường changeable IP header để tính toán giá trị kiểm tra tính toàn vẹn(IVC) 1. Khuôn dạng gói tin Khuông dạng của gói tin theo giao thức .Các trường trong AH header đều là bắt buộc. Hình 31.Khuôn dạng gói tin AH - Next Header: nhận biết giao thức bảo mật, có độ dài 8 bít để xác định kiểu dữ liệu của phần Payload phía sau AH. Giá trị của trường này được chọn từ các giá trị của IP Protocol number được định nghĩa bởi IANA (Internet Assigned Numbers Authority). - Payload Length: Trường này chỉ định độ dài của thông điệp gắn sau tiêu đề AH. - Reserved: Trường 16 bit dự trữ để sử dụng cho tương lai, giá trị của trường này bằng 0. - SPI: Là một số 32 bit bất kì, cùng với địa chỉ IP đích và giao thức an ninh mạng cho phép nhận dạng một thiết lập an toàn duy nhất cho gói dữ liệu. SPI thường được lựa chọn bởi phía thu. - Sequence Number(SN): Trường gồm 32 bit sử dụng cho việc chống trùng lặp. Chống trùng lặp là một lựa chọn nhưng trường này là bắt buộc đối với phía phát. Bộ đếm của phía phát và thu khởi tạo 0 khi một liên kết an toàn (SA) được thiết lập, giá trị SN mỗi gói trong một SA phải hoàn toàn khác nhau để tránh trùng lặp. Nếu số gói vượt quá con số 232 thì một SA khác phải được thiết lập. - Authentication Data: Trường có độ dài biến đổi chứa một giá trị kiểm tra tính toàn vẹn (ICV) cho gói tin, ICV được tính bằng thuật toán đã được chọn khi thiết lập SA. Độ dài của trường này là số nguyên lần của 32 bit, chứa một phần dữ liệu đệm để đảm bảo độ dài của AH là n*32 bit. Giao thức AH sử dụng một hàm băm và băm toàn bộ gói tin trừ trường Authentication Data để tính ICV. 2. Chế độ hoạt động AH có thể sử dụng ở hai chế độ: Chế độ truyền tải (Transport) và chế độ đường hầm(Tunnel). - Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớp trên cùng với một số trường trong IP Header. Trong chế độ này, AH được chèn vào sau IP Header và trước một giao thức lớp trên như TCP hoặc UDP. Chế độ Transport thường được sử dụng bởi các Host chứ không được sử dụng bởi Gateway. Ưu điểm của chế độ này là đỡ tốn kém chi phí xử lý nhưng nó có khuyết điểm là các trường có thể thay đổi không được xác thực. Hình 32. Gói tin IP trước và sau khi xử lý AH trong chế độ Transport - Chế độ Tunnel: Trong chế độ Tunnel, một gói tin IP khác được thiết lập dựa trên các gói tin IP cũ. Header của gói IP cũ (bên trong) mang địa chỉ nguồn và đích cuối cùng, còn Header của gói IP mới (bên ngoài) mang địa chỉ để định tuyến trên Internet. Trong chế độ này, AH bảo vệ toàn bộ gói tin bên trong bao gồm cả Header. Đối với gói tin IP bên ngoài thì vị trí của AH như là trong chế độ transport. Hình 33. Khuôn dạng gói tin AH trong chế độ Tunnel. Ưu điểm của chế độ Tunnel là bảo vệ toàn bộ gói IP và các địa chỉ cá nhân trong IP Header, tuy nhiên có nhược điểm là tốn chi phí hơn nhiều để xử lý các gói tin. 3. Các thuật toán xác thực Các thuật toán xác thực để tính ICV được xác định bởi các liên kết bảo mật (SA). Các thuật toán xác thực thích hợp là các thuật toán hàm băm một chiều MD5 và SHA1 (Các thuật toán này bắt buộc một ứng dụng AH phải hỗ trợ). MD5 là chữ viết tắt của Message Digest #5 do Ron Rivest thuộc RSA Security Inc phát minh, tính giá trị Hash 128 bit từ một bản tin nhị phân có độ dài tuỳ ý. SHA được phát triển bởi NIST và NSA, SHA-1 tính giá trị Hash 160 bit từ một bản tin nhị phân có độ dài tuỳ ý. SHA-1 tương tự như MD5 nhưng an toàn hơn do kích thước băm lớn hơn. 4. Xử lý gói đầu vào Quá trình xử lý gói đầu vào được thực hiện ngược với quá trình xử lý gói đầu ra - Ghép mảnh: Nếu cần thiết, sẽ tiến hành ghép mảnh trước khi xử lý AH. - Tìm kiếm SA: Khi đã nhận được một gói tin chứa AH Header, phía thu sẽ xác định một SA phù hợp với địa chỉ IP đích, AH và SPI. Thông tin trong SA sẽ cho biết có cần kiểm tra trường Sequence Number(SN) hay không, có cần thêm trường Authentication Data hay không, các thuật toán và khoá để giải mã ICV. Nếu không có SA nào phù hợp thì phía thu sẽ loại bỏ gói tin. - Kiểm tra SN: Nếu bên thu không chọn dịch vụ chống lặp thì không cần kiểm tra trường SN. Nếu phía thu có sử dụng dịch vụ chống lặp cho một SA thì bộ đếm gói thu phải được khởi tạo = 0 khi thiết lập SA. Với mỗi gói tin vào khi phía thu tiếp nhận, sẽ kiểm tra có chứa số SN không lặp lại của bất kỳ gói nào trong thời gian tồn tại của SA đó. Nếu bị lặp, gói tin đó sẽ bị loại bỏ. 5. Xử lý gói đầu ra - Tìm SA: AH được thực hiện trên một gói tin khi đã xác định gói tin đó được liên kết với một SA, SA đó sẽ yêu cầu xử lý gói tin. - Tạo SN: Bộ đếm phía phát khởi tạo giá trị 0 khi một SA được thiết lập. Khi truyền một gói tin, bộ đếm sẽ tăng lên 1 và chèn giá trị này vào trường SN. Nếu phía phát lựa chọn dịch vụ AntiReplay sẽ kiểm tra để đảm bảo không bị lặp trước khi chèn một giá trị mới vào trường SN. - Tính ICV: AH ICV được tính dựa trên các dữ liệu sau: + Các trường trong IP Header có giá trị không đổi hoặc có giá trị không dự đoán được trong quá trình truyền tới điểm cuối. + Bản thân AH Header: Next Header, Payload, Length, Reserved, SPI, SN, Authentication Data (được đặt bằng 0), và explicit padding (nếu có). + Dữ liệu của các giao thức lớp trên. + Các trường có giá trị thay đổi sẽ được coi bằng 0 trong phép tính ICV các trường có giá trị thay đổi nhưng có thể dự đoán được thì sẽ giữ nguyên giá trị. - Padding: Có hai loại chèn padding là Authenticaiton Data và Implicit Packet Padding (chèn dữ liệu ngầm định). + Authenticaiton Data Padding: Nếu đầu ra của thuật toán xác thực là 96 bit thì không cần chèn thêm dữ liệu. Nhưng nếu ICV có kích thước khác thì phải chèn thêm, nội dung của phần chèn thêm là tuỳ chọn và được đặt sau Authentication Data. + Implicit Packet Padding: Đối với một số thuật toán xác thực, chuỗi byte để tính ICV phải là một số nguyên lần của khối n byte. Nếu độ dài gói IP không thoả mãn điều kiện đó thì Implicit Packet Padding sẽ được thêm vào phía cuối của gói. Các byte này bằng 0 và không được truyền đi cùng gói. - Phân mảnh: Khi cần thiết, phân mảnh sẽ được thực hiện + Giao thức đóng gói tải bảo mật(ESP) Mục đích chính của ESP là cung cấp sự tin cậy ,xác thực người gửi và xác minh tính toàn vẹn của dữ liệu trong khi truyền. ESP mã hoá nội dung của gói dữ liệu bằng cách dùng các thuật toán mã hoá, như đã xác định bởi SA. Một số thuật toán được sử dụng bởi ESP bao gồm: DES-CBG, NULL, CAST-128, IDEA và 3DES. Các thuật toán xác thực thường được dùng tương tự như trong AH là HMAC-MD5 và HMAC-SHA. 1. Khuôn dạng gói dữ liệu dựa trên ESP Bits 8 8 0-255 32 32 Hình 34. Khuôn dạng ESP Các trường trong ESP đều là bắt buộc: - SPI: Là một số 32 bit bất kỳ, cùng với địa chỉ IP đích và giao thức an ninh, ESP cho phép nhận dạng duy nhất SA cho gói dữ liệu này. Các giá trị SPI từ 1 đến 255 được dành riêng để sử dụng trong tương lai. Giá trị SPI = 0 để chỉ ra chưa có SA nào tồn tại. - SN: Giống như AH, trường SN chứa một giá trị đếm tăng dần để chống lặp lại. Mỗi SA được lựa chọn thì giá trị của trường này bắt đầu là 0. - Payload Data: Trường có độ dài biến đổi chứa dữ liệu mô tả trong Next Header. Payload Data là trường bắt buộc, được mã hoá bởi các thuật toán mã hoá, các thuật toán mã hoá này được lựa chọn ngay khi thiết lập SA. Trường này có độ dài bằng một số nguyên lần 1 byte. - Padding: Trường này được thêm vào để đoạn được mã hoá là một số nguyên lần của một khối các byte. Ngoài ra trường còn dùng để che dấu độ dài thực của Payload. - Pad Length: Trường này xác định số byte padding đã thêm vào (0 đến 225) - Next Header: Là trường 8 bit bắt buộc, nó chỉ ra kiểu dữ liệu trong Payload Data. Ví dụ một giao thức bậc cao hơn như TCP. Giá trị của trường được chọn trong chuẩn IP Protocol Number được đưa ra bởi IANA. - Authentication Data: Trường có độ dài biến đổi chứa giá trị ICV được tính cho gói ESP từ SPI đến Next Header. Authentication là trường không bắt buộc, được thêm vào nếu dịch vụ Authentication được lựa chọn cho SA đang xét. Các thuật toán để tính ICV là các thuật toán hàm băm một chiều MD5 hoặc SHA giống với AH. 2. Chế độ hoạt động Hình 35. Gói ESP trong chế độ Transport ESP cũng được sử dụng ở hai chế độ: Transport và Tunnel - Chế độ Transport: Chế độ Transport cho phép bảo vệ các giao thức lớp trên nhưng không bảo vệ IP Header. Các gói tin IP cũ được cắt phần tiêu đề ra, sau đó tiêu đề ESP được đưa vào giữa. ESP trailer sẽ được đưa vào cuối gói tin, cuối cùng là Authentication Data được đưa thêm vào. Chế độ Transport không mã hoá cũng không xác thực IP Header, tuy nhiên nó có chi phí xử lý thấp, chỉ được dùng cho các Host. Hình 36. Gói ESP trong chế độ Tunnel - Chế độ Tunnel: Trong chế độ này, gói IP mới được xây dựng cùng với một IP Header mới. Các IP Header bên trong mang địa chỉ nguồn và đích cuối cùng, còn IP Header bên ngoài mang địa chỉ định tuyến qua Internet. Ở chế độ này, ESP sẽ bảo vệ cả gói tin IP ban đầu bao gồm: Payload và IP header. Đối với gói IP bên ngoài thì vị trí của ESP giống như trong chế độ Transport. 3. Các thuật toán sử dụng trong ESP Các thuật toán bắt buộc bao gồm: - Các thuật toán mật mã: DES ở chế độ CBC, AES, NULL. Thuật toán mã hoá được xác định bởi SA. ESP làm việc với các thuật toán mã hoá đối xứng. Với sự có mặt của trường Padding, các thuật toán mã hoá có thể có đặc tính khối hoặc luồng. - Các thuật toán xác thực: Mã xác thực bản tin MAC sử dụng MD5, mã xác thực bản tin MAC sử dụng SHA, NULL (Không sử dụng mã xác thực) 4. Xử lý gói tin đầu ra Quá trình xử lý gói đầu ra bao gồm các bước sau: - Tìm kiếm SA: Giống như AH, ESP được thực hiện trên một gói tin chỉ khi nào bộ điều khiển IPSec đã xác định gói tin đó được liên kết với một SA. - Mã hoá gói tin: Tuỳ thuộc vào chế độ Tunnel hay Transport mà ESP thực hiện đóng gói toàn bộ gói tin hay chỉ đóng gói phần Payload. Thêm Padding nếu cần thiết, mã hoá các trường Payload Data, Padding, PadLength, Next Header theo các thuật toán đã được chỉ ra bởi SA. Nếu dịch vụ xác thực được lựa chọn thì việc mã hoá được thực hiện trước, quá trình mã hoá không bao gồm trường Authentication Data. Và quá trình xác thực được thực hiện sau. Thứ tự xử lý này cho phép nhanh chóng xác định và loại bỏ các gói lỗi hoặc lặp lại mà không cần phải giải mã gói tin, đồng thời cho phép phía thu xử lý song song cả hai việc: giải mã và xác thực. - Tạo SN: Quá trình này được thực hiện giống với AH. - Tính ICV: Nếu dịch vụ xác thực được lựa chọn thì phía phát sẽ tính các giá trị ICV trên gói dữ liệu ESP gồm các trường sau: SPI, SequenceNumber, Payload Data, Padding, PadLength và Next Header. Trong đó 4 trường cuối ở dạng đã mã hoá. ICV được tính dựa vào các thuật toán xác thực dùng hàm băm một chiều như MD5 và SHA-1. - Phân mảnh: Nếu cần thiết thì phân mảnh sẽ được thực hiện sau khi đã xử lý ESP. 5. Xử lý gói tin đầu vào Quá trình xử lý gói đầu vào gồm các bước ngược với quá trình xử lý gói tin đầu ra. - Ghép mảnh: Ghép mảnh được thực hiện trước khi xử lý ESP. Nếu một gói tin cần xử lý ESP ở dạng phân mảnh thì phía thu phải loại bỏ gói tin đó. - Tìm kiếm SA: Khi nhận được một gói tin chứa ESP Header, phía thu sẽ xác định một SA phù hợp dựa trên địa chỉ đích, giao thức bảo mật và SPI. Nếu không thể tìm thấy một SA nào phù hợp cho phiên truyền dẫn này thì phía thu sẽ loại bỏ gói tin. - Kiểm tra SN: Giống với kiểm tra SN trong AH. - Kiểm tra ICV: Nếu dịch vụ xác thực được lựa chọn phía thu sẽ tính ICV của gói ESP ngoại trừ trường Authentication Data rồi so sánh với ICV của gói tin nhận được. Nếu hai giá trị ICV này trùng nhau thì gói tin là hợp lệ, nếu không gói tin sẽ bị loại bỏ. Việc kiểm tra được tiến hành như sau: Trước tiên trường Authentication Data được tách ra khỏi ESP và lưu lại, sau đó kiểm tra độ dài gói ESP còn lại, nếu Padding đã được ngầm định thì các byte 0 được thêm vào sau trường Next Header sau đó sẽ tính ICV và so sánh với giá trị ICV được lưu trong trường Authentication Data. - Giải mã gói tin: Đầu tiên là giải mã ESP bao gồm các trường Payload Data, Padding, Padlength, NextHeader sử dụng khoá, thuật toán mật mã đã xác định bởi SA. Sau đó xử lý phần Padding theo đặc điểm của thuật toán, loại bỏ nó trước khi đưa lên các lớp trên. Cuối cùng là xây dựng lại gói tin IP ban đầu tuỳ thuộc vào chế độ Transport hay Tunnel. Nếu là Transport, xây dựng lại gói tin ban đầu từ IP Header và thông tin giao thức lớp trên trong Payload của ESP. Nếu là Tunnel, xây dựng lại gói tin ban đầu từ IP Header của gói bên ngoài và toàn bộ gói IP bên trong. 1.4.5. Giao thức SSL. SSL VPN là một giải cho phép người dùng thiết lập kết nối VPN thông qua Web. SSL đầu tiên được biết đến như một giao thức bảo vệ web (HTTP) giữa người sử dụng và web server.Thông thường nó giúp việc bảo vệ các thông tin nhạy cảm giữa người dùng và các server.Tuy nhiên có nhiều hãng đã sử dụng SSL để thực thi các giải pháp VPN. Một tiện ích chính mà SSL VPNs là không cần sử dụng software bên phía người dùng , chỉ yêu cầu người dùng có sử dụng trình duyệt web. SSL VPN là chỉ hỗ trợ mô hình remote access không dành cho site-to-site SSL VPNs hoạt động ở tầng session của mô hình OSI . Bởi vì client là 1 Web Browser nên các ứng dụng mà hỗ trợ WebBrowser mới làm việc với VPN. Chính vì vậy các ứng dụng như Telnet , FTP , SMTP, POP3 , multimedia , IP Telephony, Remote desktop và các cái khác không hỗ trợ … Tuy nhiên các hãng đã sử dụng Java hoặc Active X để giúp SSL VPN có thể hỗ trợ các ứng dựng không phải web. . Cần xem kỹ sản phầm các hãng hỗ trợ thế nào để phù hợp với nhu cầu của chúng ta. Thực thi SSL VPN . - Lý do chính các nhà quản trị sử dụng SSL VPN đó là không yêu cầu đặc biệt về phần mềm VPN client được cài sẵn lên phía user chính vì vậy người dùng cần SSL-enabled webserver thôi, thông thường kèm theo Java hoặc ActiveX được bật. Có 3 kiểu thực thi SSL client đó là : - Clientless : chỉ yêu cầu trình duyệt chính vì thế còn gọi là Web VPNs khi chỉ được sử dựng cho SSL VPN . Mục đích chính chỉ cung cấp web-based traffic - Thin client : thin client thông thường là Java hoặc ActiveX được tải về cài đặt trên desktop user. Tuy nhiều quá trình này tự động và nó hỗ trợ client sử dụng các dịch vụ non-web qua SSL VPN - Network client : network-based access , một phần mềm SSL client được đòi hỏi cần được cài đặt trên user desktop , toàn bộ traffic được bảo vệ bởi SSL .Nhưng cần đòi hỏi quyền Administrator trên máy cá nhân. 1.4.6. Giao thức MPLS Mạng MPLS VPN không sử dụng hoạt động đóng gói và mã hóa gói tin để đạt được mức độ bảo mật cao. MPLS VPN sử dụng bảng chuyển tiếp và các nhãn “tags” để tạo nên tính bảo mật cho mạng VPN. Kiến trúc mạng loại này sử dụng các tuyến mạng xác định để phân phối các dịch vụ VPN, và các cơ chế xử lý thông minh của MPLS VPN lúc này nằm hoàn toàn trong phần lõi của mạng. Trước tiên, ta hãy xem xét một số thuật ngữ được dùng trong mạng MPLS VPN. Thiết bị CPE trong MPLS-VPN chính là các CE (Customer Edge) router và các CE router này được nối với mạng của nhà cung cấp dịch vụ thông qua các PE (Provider Edge) router. Một mạng VPN sẽ bao gồm một nhóm các CE router kết nối với các PE router của nhà cung cấp dịch vụ. Tuy nhiên, chỉ những PE router mới có khái niệm về VPN, còn các CE router thì không “nhận thấy” những gì đang diễn ra bên trong mạng của nhà cung cấp dịch vụ và sẽ coi như chúng đang được kết nối với nhau thông qua một mạng riêng. Mỗi VPN được kết hợp với một bảng định tuyến - chuyển tiếp VPN (VRF) riêng biệt. VRF cung cấp các thông tin về mối quan hệ trong VPN của một site khách hàng khi được nối với PE router. Bảng VRF bao gồm thông tin bảng định tuyến IP (IP routing table), bảng CEF (Cisco Express Forwarding), các giao diện của bảng định tuyến; các quy tắc, các tham số của giao thức định tuyến... Mỗi site chỉ có thể kết hợp với một và chỉ một VRF. Các VRF của site khách hàng mang toàn bộ thông tin về các “tuyến” có sẵn từ site tới VPN mà nó là thành viên. Đối với mỗi VRF, thông tin sử dụng để chuyển tiếp các gói tin được lưu trong các bảng định tuyến IP và bảng CEF. Các bảng này được duy trì riêng rẽ cho từng VRF nên nó ngăn chặn được hiện tượng thông tin bị chuyển tiếp ra ngoài mạng VPN cũng như ngăn chặn các gói tin bên ngoài mạng VPN chuyển tiếp vào các router bên trong mạng VPN. đây chính là cơ chế bảo mật của MPLS VPN. Bên trong mỗi một MPLS VPN, có thể kết nối bất kỳ hai điểm nào với nhau và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm. Tham số phân biệt tuyến RD (Route Distinguisher) giúp nhận biết các địa chỉ IP thuộc VPN riêng biệt nào. Xét mô hình mạng như hình 2, có 3 VPN khác nhau và được xác định bởi các RD: 10, 20 và 30. Một mạng MPLS có thể hỗ trợ hàng trăm đến hàng nghìn VPN. Phần bên trong của kiến trúc mạng MPLS VPN được kết cấu bởi các thiết bị của nhà cung cấp. Những thiết bị này hình thành mạng lõi (core) MPLS và không được nối trực tiếp đến các CE router. Các chức năng VPN của một mạng MPLS-VPN sẽ được thực hiện bởi các PE router bao quanh mạng lõi này. Cả P router và PE router đều là các bộ định tuyến chuyển mạch nhãn LSR (Label Switch Router) trong mạng MPLS. Các site khách hàng có thể được kết nối với các PE router bằng nhiều cách khác nhau như T1, Frame Relay, DSL, ATM, v.v... Hình 37. Mô hình mạng MPLS Trong một mạng MPLS VPN, site phía khách hàng sẽ sử dụng IP thông thường mà không cần biết đến MPLS, IPSec hay bất cứ một chức năng VPN đặc biệt nào. Tại các PE router, một cặp VRF và RD sẽ tương ứng với mỗi liên kết đến site của khách hàng (customer site). Liên kết này có thể là một liên kết vật lý T1, Frame Relay hay ATM VC, DSL... Giá trị RD sẽ hoàn toàn “ẩn” và sẽ không được cấu hình tại các thiết bị của khách hàng. Sau đây chúng ta sẽ xem xét một ví dụ cụ thể đường đi của một gói tin trong mạng VPN của khách hàng từ PC A thuộc site A tới PC B thuộc site B thông qua mạng MPLS. - Gói tin đến từ site A của PE router R1 như một gói IP thông thường với địa chỉ đích 10.2.1.100. Site này thuộc mạng VPN với RD:10. - R1 sẽ tra cứu bảng chuyển tiếp VPN của nó và dựa vào bảng này để gán nhãn cho gói tin, trong trường hợp này là nhãn 56. Nhãn này mang thông tin về đích đến của gói tin trong mạng VPN với RD:10 RD Prefix Destination PE Label 10 10.1.0.0/16 216.70.128.216 318 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 10 10.5.0.0/16 216.70.128.84 109 - R1 chuyển tiếp gói tin dựa vào địa chỉ PE đích trong bảng FIB (Label Forwarding Information Base). Khi gói tin này được chuyển đi, nó sẽ được gán một nhãn MPLS trong bảng LIB. Nhãn này (188) tương ứng với nhãn được yêu cầu để chuyển tiếp gói tin đến R2, có địa chỉ IP là 216.70.128.192. - LSR1 tiếp nhận gói tin và thưc hiện hoạt động chuyển mạch nhãn thông thường. Trong ví dụ này, LSR1 tráo đổi nhãn 188 với nhãn 62, sau đó chuyển tiếp gói tin đến LSR2. - LSR2 tiếp nhận gói tin và thực hiện chức năng Penultimate Hop Popping bởi vì đây là chặng cuối cùng trước khi gói tin đến PE đích, LSR2 sẽ loại bỏ nhãn (62) và gửi gói tin tới R2 với nhãn 56. - Sau khi R2 tiếp nhận gói tin, nó sẽ tra nhãn 56 trong bảng chuyển tiếp VPN, trong trường hợp này, nhãn sẽ tương ứng với RD:10. Sau đó, R2 tham chiếu địa chỉ IP trong gói tin để xác định ra đích đến là RD:10 với địa chỉ IP 10.2.1.100. R2 xác định RD:10 và địa chỉ IP:10.2.1.100 là thuộc site được liên kết trực tiếp với R2 bởi một liên kết IP thông thường nên nó sẽ loại bỏ nhãn và chuyển tiếp gói IP tới site đó. RD Prefix Destination PE Label 10 10.1.0.0/16 216.70.128.216 318 10 10.2.0.0/16 216.70.128.192 56 10 10.3.0.0/16 216.70.128.133 32 10 10.4.0.0/16 216.70.128.60 210 10 10.5.0.0/16 216.70.128.84 109 Chú ý rằng địa chỉ IP 10.2.1.100 và 216.70.128.192 khác nhau về phạm vi, địa chỉ IP 10.2.1.100 thuộc mạng VPN với RD:10 và chỉ những gói tin bên trong VPN này mới có thể đến được địa chỉ này. Có thể có một địa chỉ IP 10.2.1.100 khác ở các VPN khác, nhưng chúng được đặc trưng bởi những RD khác nhau. địa chỉ 216.70.128.192 thuộc mạng đường trục và nó không thuộc một VPN nào. Một trong những ưu điểm lớn nhất của các MPLS VPN là không đòi hỏi các thiết bị CPE thông minh bởi vì toàn bộ các chức năng VPN được thực hiện ở phía trong mạng lõi của nhà cung cấp dịch vụ và hoàn toàn “trong suốt” đối với các CPE. Các CPE không đòi hỏi chức năng VPN và hỗ trợ IPSec. điều này có nghĩa là khách hàng không phải chi phí quá cao cho các thiết bị CPE. Trễ trong mạng được giữ ở mức thấp nhất vì các gói tin lưu chuyển trong mạng không phải thông qua các hoạt động như đóng gói và mã hóa. Sở dĩ không cần chức năng mã hóa là vì MPLS VPN tạo nên một mạng riêng. Phương pháp bảo mật này gần giống như bảo mật trong mạng Frame Relay. Thậm chí trễ trong MPLS VPN còn thấp hơn là trong mạng MPLS IP sử dụng chuyển mạch nhãn Việc tạo một mạng đầy đủ (full mesh) VPN là hoàn toàn đơn giản vì các MPLS VPN không sử dụng cơ chế tạo đường hầm. Vì vậy, cấu hình mặc định cho các mạng MPLS VPN là full mesh, trong đó các site được nối trực tiếp với PE vì vậy các site bất kỳ có thể trao đổi thông tin với nhau trong VPN. Và thậm chí, nếu site trung tâm gặp trục trặc, các spoke site vẫn có thể liên lạc với nhau. Hoạt động khai thác và bảo dưỡng cũng đơn giản hơn trong mạng MPLS-VPN. Hoạt động này chỉ cần thực hiện tại các thiết bị bên trong mạng core mà không cần phải tiếp xúc đến các CPE. Một khi một site đã được cấu hình xong, ta không cần đụng chạm đến nó nữa cho dù nếu muốn thêm một site mới vào mạng vì những thay đổi về cấu hình lúc này chỉ cần thực hiện tại PE mà nó nối tới. Vấn đề bảo mật thậm chí còn đơn giản hơn nhiều khi triển khai trong các mạng MPLS VPN vì một VPN khép kín bản thân nó đã đạt được sự an toàn thông tin do không có kết nối với mạng Internet công cộng. Nếu có nhu cầu truy nhập Internet, một tuyến sẽ được thiết lập để cung cấp khả năng truy nhập. Lúc này, một firewall sẽ được sử dụng trên tuyến này để đảm bảo một kết nối bảo mật cho toàn bộ mạng VPN. Cơ chế hoạt động này rõ ràng dễ dàng hơn nhiều cho hoạt động quản lý mạng vì chỉ cần duy trì các chính sách bảo mật cho một firewall duy nhất mà vẫn đảm bảo an toàn cho toàn bộ VPN Một ưu điểm nữa của các mạng MPLS VPN là chỉ cần một kết nối duy nhất cho mỗi remote site. So sánh với mạng Frame Relay truyền thống có 1 nút trung tâm và 10 remote site (mỗi một remote site sẽ cần một Frame Relay PVC) thì tại nút trung tâm (hub) sẽ cần 10 PVCs. Trong khi bên trong một mạng MPLS VPN chỉ cần duy nhất một PVC tại vị trí hub trung tâm nên chi phí mạng sẽ giảm đáng kể. Chương 2: Giải pháp mạng riêng ảo của Check Point. Tường lửa Check Point là một trong những sản phẩm nổi tiếng hiện nay, sử dụng công nghệ Stateful Inspection. Tường lửa có vai trò quan trọng trong việc xây dựng hệ thống VPN. Trong hầu hết các trường hợp VPN được sử dụng để bảo mật thông tin khi truyền qua môi trường không tin cậy. Thiết bị VPN được tích hợp với tường lửa là lựa chọn tốt nhất, nếu để thiết bị VPN trước tường lửa thì nó sẽ không được bảo vệ trước các tấn công từ mạng Internet, nếu để thiết bị VPN sau tường lửa thì vô hình chung đã tạo ra một kết nối không bảo mật( không được ghi log, không được xác thực, không được lọc gói…) đi từ Internet vào mạng trong vì tường lửa không thể kiểm soát bên trong các gói tin đã bị mã hóa bởi VPN. Vì thế mà hầu hết các tường lửa của Check Point đều hỗ trợ tính năng VPN. Phiên bản Check Point NGX R70 hỗ trợ tính năng VPN rất tốt. 2.1. Giới thiệu về tường lửa Check Point 2.1.1. Kiến trúc tường lửa Check Point. Tường lửa Check Point gồm 3 thành phần chính: Smart Console, SmartCenter (Management), Security Gateway (Enforcement) Hình 38: Kiến trúc tường lửa Check Point Smart Console: cung cấp các giao diện để quản trị, được cài trên máy của nhà quản trị. Các thành phần của Smart Console bao gồm: - Smart DashBoad: cung cấp các giao diện để soạn thảo các các chính sách về Firewall, NAT, IPS, VPN … cho tường lửa. Hình 39: Smart DashBoard - SmartView Tracker: dùng để quản lý và xem các log Hình 40: SmartView Tracker - SmartView Monitor: để giám sát hoạt động của firewall như các kết nối VPN hiện thời, hiệu suất hoạt động của firewall, lượng gói tin vào ra firewall…. Hình 41: SmartView Monitor - SmartUpdate: để quản lý các gói và các licenses Hình 42: SmartUpdate SmartCenter (Management): để lưu trữ các chính sách được định nghĩa bởi SmartDashboard trong cơ sở dữ liệu. Bao gồm các đối tượng mạng được định nghĩa bởi quản trị, người dùng, chính sách bảo mật, các log files Security Gateway: là thành phần bắt buộc của filewall. Để thực thi các chính sách đã được soạn thảo ở SmartConsole, lưu trữ ở SmartCenter. 2.1.2. Các mô hình triển khai Mô hình Stand- alone Hình 43: Mô hình triển khai Stand-alone Theo mô hình này: - Thành phần SmartCenter Server và Security Gateway được cài đặt trên cùng một máy. - Thành phần SmartConsole được cài đặt trên máy người quản trị. Mô hình phân Distributed Hình 44. Mô hình triển khai Distributed Theo mô hình này thì: - Thành phần Smart Console cài trên máy nhà quản trị - Thành phần SmartCenter Server: cài trên một máy. - Thành phần Security Gateway cài trên một máy khác với máy cài SmartCenter Server. Truyền thông giữa các thành phần Các thành phần SmartConsole, SmartCenter Server, Security Gateway trao đổi, truyền thông với nhau thông qua SIC( Security Internal Communication). SIC làm nhiệm vụ: - Xác thực SmartConsole khi kết nối tới SmartCenter. - Kiểm tra chính sách bảo mật load trên Security Gateway đúng là lấy từ SmartCenter - Đảm bảo tính bí mật và toàn vẹn cho dữ liệu truyền giữa các thành phần sử dụng chứng chỉ số. Hệ điều hành SECUREPLATFORM của Check Point Chúng ta có thể cài đặt phần mềm tường lửa lên các hệ điều hành của hãng thứ 3 như Window, Solaris, tuy nhiên để tối ưu hoạt động nên cài đặt trên SecurePlatform – Hệ điều hành riêng cho tường lửa Check Point. Về cơ bản SecurPlatform là hệ điều hành dựa trên linux( linux based, kên 2.4 và 2.6), có thể cài đặt trên máy chủ , thiết bị của Check Point hay thiết bị của third-party. Việc cài đặt có thể boot từ ổ CD hoặc cổng USB. Cấu hình có thể qua giao diện dòng lệnh hoặc qua giao diện web sau khi cài đặt 2.2. Chức năng VPN của tường lửa Check Point 2.2.1. Cơ bản về chức năng VPN. Giải pháp VPN của Check Point chủ yếu dựa trên các chuẩn của IPSec. Thực thi VPN đảm bảo các liên kết an toàn giữa các gateway hoặc giữa gateway và một client . Security Gateway của Check Point là giải pháp phần mềm tích hợp cung cấp liên kết an toàn hợp nhất các mạng, người dùng di động, và người dùng từ xa, các cơ quan, chi nhánh và đối tác kinh doanh trong một dải rộng các nền mở( open platform ) và các công cụ an toàn ( security appliances). Các Security Gateway của Check Point tích hợp kiểm soát truy nhập, xác thực, và mã hóa để đảm bảo an toàn cho các kết nối qua mạng công cộng Internet. Một triển khai điển hình là một Security Gateway kết nối với mạng công ty, và phần mềm truy cập từ xa cài đặt trên máy xách tay của người dùng di động. Những site khác được bảo vệ bằng những Security Gateway khác và truyền thông giữa tất cả các thành phần được kiểm soát và điều chỉnh bởi một chính sách an toàn chặt chẽ. 2.2.1.1. Các thành phần VPN VPN Endpoints( các điểm đầu cuối) , được biết như các gateway, nhóm các gateway, hoặc phần mềm client từ xa, là các thành phần tạo nên kết nối VPN VPN trust entities( các thực thể tin cậy): như các ICA( Internal Certificate Authority). ICA là một thành phần của Check Point được sử dụng để thiết lập sự tin cậy cho cho các kết nối giữa các gateway , xác thực các quản trị, và máy chủ thứ 3 tin cậy. ICA cung cấp chứng chỉ cho các gateway bên trong và client truy cập từ xa – các thành phần của kết nối VPN. VPN Management tool( các công cụ quản trị): máy chủ Security Management và SmartDashboard. SmartDashboard là SmartConsole được sử dụng để truy cập tới máy chủ Security Management. VPN Manager là một phần của SmartDashboard. SmartDashboard cho phép tổ chức định nghĩa và triển khai mạng nội bộ Intranet, và các VPN truy cập từ xa. 2.2.1.2. Các thuật ngữ, khái niệm đặc trưng. - VPN: một mạng riêng được cấu hình trong một mạng công cộng như Internet. - VPN tunnel: một kênh dành riêng hoặc liên kết được mã hóa giữa các gateway. - VPN Topology: yếu tố cơ bản của VPN là liên kết hoặc kênh được mã hóa. Các liên kết được tạo giữa các gateway. Tập hợp các kết nối này tạo thành topology . Topology thể hiện sơ đồ của VPN. Có 2 topology cơ bản trong VPN là Mesh và Star. - VPN gateway: điểm đầu cuối của kết nối được mã hóa, nơi mà có thể là bất kỳ thành phần nào hỗ trợ nền giao thức IPSec, các gateway có thể là các module độc lập, đơn lẻ được sắp xếp trong một tập hợp của “ tính sẵn sàng cao và sự phân chia tải” - VPN Domain: là một nhóm trong đó chỉ rõ các host hoặc mạng cho việc mã hóa các gói IP được thực thi. Một VPN gateway cung cấp một lối vào VPN domain. - Site to site VPN: là một đường hầm VPN giữa các gateway - Remote Access VPn: nói đến những người dùng từ xa truy cập mạng sử dụng phần mềm SecuRemote/SecureClient hoặc các client IPSec của bên thứ 3. Security Gateway cung cập dịch vụ truy cập từ xa cho người dùng từ xa. - Encryption Algorithm(giải thuật mã hóa): một tập hợp các quy trình biểu diễn toán học cho việc biểu diễn thông tin thành một dạng vô nghĩa, sự biến đổi và chuyển hóa toán học được điểu khiển bởi một khóa đặc biệt. Trong VPN, các thuật toán mã hóa bao gồm 3DES, AES đảm bảo chỉ các bên tham gia truyền thông mới có khả năng hiểu được bản tin. - Integrity(tính toàn vẹn): sự kiểm tra tính toàn vẹn đảm bảo thông báo không bị chặn bắt và thay đổi trong suốt quá trình truyền. - Trust( tính tin cậy): PKI , chứng chỉ và thẩm quyền chứng chỉ được tận dụng để thiết lập tính tin cậy giữa các gateway. - IKE và IPSec: các giao thức VPN an toàn sử dụng để quản lý các khóa mã hóa, và trao đổi các gói mã hóa. IPSec là một nền công nghệ mã hóa hỗ trợ các chuẩn khác nhau cung cấp các dịch vụ xác thực và mã hóa cho dữ liệu. IKE là giao thức chuẩn cho việc quản lý khóa. IKE nâng cao IPSec bằng việc cung cấp các thành phần phụ, tính mềm dẻo và dễ cấu hình. 2.2.1.3. Site to site VPN Trung tâm của VPN là một đường hầm được mã hóa, được tạo sử dụng giao thức IKE/IPSec. Hai bên là các Security Gateway hoặc các client truy cập từ xa. Mỗi bên trước tiên thương lượng một liên kết tạo sự tin cậy giữa chung. Tin cậy này được thiết lập