An toàn mạng riêng ảo

MỤC LỤC PHẦN I CÔNG NGHỆ MẠNG RIÊNG ẢO Chương I. Giới thiệu chung về Mạng riêng ảo Chương này, chúng ta bắt đầu bằng việc định nghĩa Mạng riêng ảo và những lợi ích cơ bản từ việc thực thi giải pháp Mạng riêng ảo. Chúng ta cũng xem xét các mô hình kết nối mạng riêng ảo thông dụng. 1.1. Các khái niệm cơ bản về mạng riêng ảo 1.1.1. Định nghĩa về Mạng riêng ảo Mạng riêng ảo, có tên tiếng Anh là Virtual Private Network, viết tắt là VPN. Sau đây ta thường gọi ngắn gọn theo tên viết tắt. Có nhiều định nghĩa khác nhau về Mạng riêng ảo. Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet. Theo tài liệu của IBM. VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng. VPN truyền thông tin một cách an toàn qua Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại thành một mạng Công ty mở rộng. Theo cách nói đơn giản, VPN là một sự mở rộng của mạng Intranet qua một mạng công cộng (như Internet) mà đảm bảo sự bảo mật và hiệu quả kết nối giữa 2 điểm truyền thông cuối. Mạng Intranet riêng được mở rộng nhờ sự trợ giúp của các “đường hầm”. Các đường hầm này cho phép các thực thể cuối trao đổi dữ liệu theo cách tương tự như truyền thông điểm - điểm. Và như trong hình 1.2, mạng riêng của các Công ty loại trừ được các đường Lease-Line chi phí cao. Một báo cáo nghiên cứu về VPN cho thấy: Có thể tiết kiệm từ 20% đến 47% chi phí mạng WAN khi thay thế các đường Lease-Line để truy cập mạng từ xa bằng VPN. Và với VPN truy cập từ xa có thể tiết kiệm từ 60% đến 80% chi phí khi sử dụng đường Dial-up để truy cập từ xa đến Công ty. Mạng riêng ảo đã thực sự chinh phục cuộc sống. Việc kết nối các mạng máy tính của các doanh nghiệp lâu nay vẫn được thực hiện trên các đường truyền thuê riêng, cũng có thể là kết nối Frame Relay hay ATM. Nhưng, rào cản lớn nhất đến với các doanh nghiệp tổ chức đó là chi phí. Chi phí từ nhà cung cấp dịch vụ, chi phí từ việc duy trì, vận hành hạ tầng mạng, các thiết bị riêng của doanh nghiệp... rất lớn. Vì vậy, điều dễ hiểu là trong thời gian dài, chúng ta gần như không thấy được nhiều ứng dụng, giải pháp hữu ích trên mạng diện rộng WAN. Rõ ràng, sự ra đời của công nghệ mạng riêng ảo đã cho phép các tổ chức, doanh nghiệp có thêm sự lựa chọn mới. Không phải vô cớ mà các chuyên gia viễn thông nhận định: “Mạng riêng ảo chính là công nghệ mạng WAN thế hệ mới”. 1.1.2. Một số ví dụ về Mạng riêng ảo: a) Ví dụ về các mô hình kết nối Mạng riêng ảo Nhân viên lưu động có thể quay số vào mạng của Công ty để truyền thông tin, cập nhật hệ thống đơn hàng Người quản lý kết nối từ nhà để xem doanh thu và quản lý các báo cáo Nhân viên tiếp thị kết nối từ văn phòng khách hàng để kiểm tra trạng thái đơn hàng Người quản lý bán hàng in đề xuất mới trên máy in, sẵn sàng nhận lại vào sáng sớm Nhân viên lưu động có thể quay số vào mạng của Công ty để in ấn , thậm chí cả fax Hình 1.1: Những người dùng di động, người dùng từ xa thiết lập kết nối VPN qua Internet đến mạng Công ty của họ để trao đổi dữ liệu, truy cập các tài nguyên giống như là họ đang ở trong Công ty. Hình 1.1 Hình 1.2: Là một ví dụ thiết lập VPN gồm một nhánh Văn phòng từ xa, một người dùng di động kết nối VPN đến mạng Văn phòng chính Hình 1.2 Hình 1.3: Một ví dụ đầy đủ hơn Hình 1.3 Một mạng VPN điển hình đầy đủ bao gồm mạng LAN chính tại trụ sở (Văn phòng chính), các mạng LAN khác tại những văn phòng từ xa, những đối tác kinh doanh, các điểm kết nối (như 'Văn phòng' tại gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. b) Ví dụ về ứng dụng Mạng riêng ảo Mới đây, ngày 11/08/2005, bệnh viện Nhi trung ương đã thử nghiệm thành công dịch vụ Mạng riêng ảo. Một ca chẩn đoán bệnh từ xa được thực hiện tại bệnh viên Nhi trung ương, đầu bên kia là bệnh viện Nghệ An và bệnh viện Hoà Bình. Thông qua dịch vụ truyền hình hội nghị “video conferencing” sử dụng công nghệ mạng riêng ảo, các chuyên gia y tế đầu ngành có thể cùng hội chẩn các ca bệnh "khó" tại bệnh viện tuyến dưới, từ đó đưa ra các chẩn đoán, phác đồ điều trị phù hợp cho người bệnh. Đây là một việc đã cũ với thế giới nhưng hoàn toàn mới với Việt Nam. 1.2. Những lợi ích cơ bản của Mạng riêng ảo VPN mang lại nhiều lợi ích, những lợi ích này bao gồm: - Giảm chi phí thực thi: Chi phí cho VPN ít hơn rất nhiều so với các giải pháp truyền thống dựa trên đường Lease-Line như Frame Relay, ATM hay ISDN. Bởi vì VPN loại trừ được những yếu tố cần thiết cho các kết nối đường dài bằng cách thay thế chúng bởi các kết nối cục bộ tới ISP hoặc điểm đại diện của ISP. - Giảm được chi phí thuê nhân viên và quản trị: Vì giảm được chi phí truyền thông đường dài. VPN cũng làm giảm được chi phí hoạt động của mạng dựa vào WAN một cách đáng kể. Hơn nữa, một tổ chức sẽ giảm được toàn bộ chi phí mạng nếu các thiết bị dùng trong mạng VPN được quản trị bởi ISP. Vì lúc này, thực tế là Tổ chức không cần thuê nhiều nhân viên mạng cao cấp. - Nâng cao khả năng kết nối: VPN tận dụng Internet để kết nối giữa các phần tử ở xa của một Intranet. Vì Internet có thể được truy cập toàn cầu, nên hầu hết các nhánh văn phòng, người dùng, người dùng di động từ xa đều có thể dễ dàng kết nối tới Intranet của Công ty mình. - Bảo mật các giao dịch: Vì VPN dùng công nghệ đường hầm để truyền dữ liệu qua mạng công cộng không an toàn. Dữ liệu đang truyền được bảo mật ở một mức độ nhất định, Thêm vào đó, công nghệ đường hầm sử dụng các biện pháp bảo mật như: Mã hoá, xác thực và cấp quyền để bảo đảm an toàn, tính tin cậy, tính xác thực của dữ liệu được truyền, Kết quả là VPN mang lại mức độ bảo mật cao cho việc truyền tin. - Sử dụng hiệu quả băng thông: Trong kết nối Internet dựa trên đường Lease-Line, băng thông hoàn toàn không được sử dụng trong một kết nối Internet không hoạt động. Các VPN, chỉ tạo các đường hầm logic đề truyền dữ liệu khi được yêu cầu, kết quả là băng thông mạng chỉ được sử dụng khi có một kết nối Internet hoạt động. Vì vậy làm giảm đáng kể nguy cơ lãng phí băng thông mạng. - Nâng cao khả năng mở rộng: Vì VPN dựa trên Internet, nên cho phép Intranet của một công ty có thể mở rộng và phát triển khi công việc kinh doanh cần phải thay đổi với phí tổn tối thiểu cho việc thêm các phương tiện, thiết bị. Điều này làm cho Intranet dựa trên VPN có khả năng mở rộng cao và dễ dàng tương thích với sự phát triển trong tương lai. Như chúng ta thấy, yêu cầu ứng dụng các công nghệ mới và mở rộng mạng đối với các mạng riêng ngày càng trở nên phức tạp và tốn kém. Với giải pháp mạng riêng ảo, chi phí này được tiết kiệm do sử dụng cơ sở hạ tầng là mạng truyền số liệu công cộng (ở Việt Nam, thực tế chi phí tốn kém cho mạng riêng là chi phí cho các kênh thuê riêng đường dài, các mạng riêng cũng không quá lớn và phức tạp, giải pháp VPN sẽ là giải pháp giúp tiết kiệm chi phí cho kênh truyền riêng cũng như sử dụng hiệu quả hơn cơ sở hạ tầng mạng truyền số liệu công cộng). Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào Internet. Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi của Internet. Các đường Lease-Line bảo đảm băng thông được xác định trong hợp đồng giữa nhà cung cấp và Công ty. Tuy nhiên không có một đảm bảo về sự thực thi của Internet. Một sự quá tải lưu lượng và tắc nghẽn mạng có thể ảnh hưởng và từ chối hoạt động của toàn bộ mạng dựa trên VPN. 1.3. Những yêu cầu đối với Mạng riêng ảo Như ta đã biết trong phần trước, VPN là một phương pháp để kết nối mạng Intranet tương đối đơn giản và bảo mật qua mạng công cộng như Internet. Công nghệ VPN không chỉ làm giảm chi phí thực thi một môi trường mạng bảo mật cao mà còn giảm chi phí cho việc quản trị và tổ chức nhân viên. Hơn nữa, nó mang lại sự sẵn sàng, sự tin cậy và hiệu quả cao trong việc sử dụng băng thông mạng. Làm thế nào để đưa ra giải pháp dựa trên VPN, các thành phần và yêu cầu của VPN là gì? Tất cả sẽ được xem xét trong phần này. VPN như là một phiên bản sửa đổi của mạng riêng, cho phép chúng ta dễ dàng thiết lập mạng LAN hoặc Intranet cùng với Internet và các mạng công cộng khác để truyền thông một cách bảo mật và kinh tế. Và như vậy, hầu hết các yêu cầu của VPN và của mạng riêng truyền thống là rất giống nhau. Tuy nhiên, trong VPN có các yêu cầu nổi bật như sau: Bảo mật, Chất lượng dịch vụ (QoS), Tính sẵn sàng, Tính tin cậy, Khả năng tương thích, Khả năng quản trị. 1.3.1. Bảo mật Các mạng riêng và Intranet mang lại môi trường bảo mật cao vì các tài nguyên mạng không được truy cập bởi mạng công cộng. Vì vậy, xác suất truy cập trái phép đến Intranet và các tài nguyên của nó là rất thấp. Tuy nhiên, nhận định này rất có thể không đúng với VPN có sử dụng Internet và các mạng công cộng khác như mạng điện thoại chuyển mạch công cộng (Public Switched Telephone Networks - PSTNs) cho truyền thông. Thiết lập VPN mang lại cho các Hacker, Cracker cơ hội thuận lợi để truy cập tới mạng riêng và luồng dữ liệu của nó qua các mạng công cộng. Vì vậy, mức độ bảo mật cao và toàn diện cần phải được thực thi một cách chặt chẽ. Dữ liệu và các tài nguyên cục bộ trong mạng có thể được bảo mật theo các cách như sau: + Thực thi các kỹ thuật phòng thủ vòng ngoài, chỉ cho phép các dòng lưu lượng đã cấp quyền từ các nguồn tin cậy vào mạng và từ chối tất cả các lưu lượng khác. Các Firewall và bộ dịch chuyển địa chỉ mạng(NAT) là các ví dụ về kỹ thuật phòng thủ. Firewall không chỉ kiểm tra kỹ lưu lượng vào mà còn cả với lưu lượng ra, vì vậy, đảm bảo một mức bảo mật cao. Bộ dịch chuyển địa chỉ là một ví dụ khác, nó không để lộ địa chỉ IP của nguồn tài nguyên cục bộ trong mạng. Và như vậy, kẻ tấn công không biết được đích của các tài nguyên đó trong mạng Intranet. + Xác thực(Authentication): Xác thực người dùng và các gói dữ liệu để thiết lập định danh của người dùng và quyết định anh ta có được phép truy cập tới các tài nguyên trong mạng hay không. Mô hình xác thực, cấp quyền, kiểm toán (AAA) là một ví dụ về hệ thống xác thực người dùng toàn diện. Đầu tiên hệ thống sẽ xác nhận người dùng truy cập vào mạng. Sau khi người dùng đã được xác thực thành công, họ chỉ có thể truy cập đến các tài nguyên đã được cấp quyền. Hơn nữa, một nhật ký chi tiết các hoạt động của tất cả các người dùng mạng cũng được duy trì, cho phép người quản trị mạng ghi lại những hoạt động trái phép, bất thường. + Mã hoá dữ liệu(Data Encryption): Thực thi các cơ chế mã hoá dữ liệu để đảm bảo tính xác thực, tính toàn vẹn và tính tin cậy của dữ liệu khi được truyền qua mạng không tin cậy. Bảo mật giao thức Internet(Internet Protocol Security - IPSec) nổi bật lên như một cơ chế mã hoá dữ liệu mạnh nhất. Nó không chỉ mã hoá dữ liệu đang được truyền mà còn cho phép xác thực mỗi người dùng và từng gói dữ liệu riêng biệt. + Quản lý khoá (Key Management): Để mã hoá dữ liệu, VPN cần cung cấp khoá mật mã để tạo ra các đường hầm phiên (session tunnull). Vì vậy, cần phải tạo ra các khoá, phân phối và cập nhật, làm tươi chúng. 1.3.2. Tính sẵn sàng và tin cậy Tính sẵn sàng chỉ tổng thời gian mà người dùng truy cập được vào mạng (uptime). Trong các mạng riêng và mạng Intranet, thời gian này là tương đối cao vì toàn bộ cơ sở hạ tầng mạng thuộc quyền sở hữu riêng và được kiểm soát đầy đủ bởi tổ chức. Tuy nhiên, VPN sử dụng các mạng tương tác trung gian như Internet và PSTN vì vậy các thiết lập dựa trên VPN phụ thuộc nhiều vào mạng trung gian. Trong trường hợp này, nhân tố tính sẵn sàng phụ thuộc vào nhà cung cấp dịch vụ (ISP). Thông thường, ISP đảm bảo tính sẵn sàng trong một bản “hợp đồng mức dịch vụ” (Service Level Agreement - SLA). SLA là bản hợp đồng được ký kết giữa ISP và người dùng (một tổ chức hoặc một công ty) để cam kết về thời gian truy cập mạng. Một số ISP đề xuất uptime rất cao, khoảng 99%. Nếu một tổ chức muốn đảm bảo tính sẵn sàng rất cao, thì tìm một ISP có cơ sở hạ tầng chuyển mạch xương sống có khả năng phục hồi cao. Đó là: + Khả năng định tuyến mạnh, nó cho phép định tuyến lại qua một đường thay thế trong trường hợp đường chính bị lỗi hoặc bị tắc nghẽn. Để đảm bảo hiệu suất cực đại, khả năng định tuyến này cũng hỗ trợ nhiều lựa chọn ưu tiên định tuyến khi được yêu cầu. + Dư thừa các đường truy cập, thường được dùng để đáp ứng yêu cầu tăng giải thông mạng. + Các thiết bị dự phòng hoàn toàn tự động vượt qua lỗi, các thiết bị này không chỉ gồm các thiết bị thay thế nóng mà còn là nguồn cung cấp điện và hệ thống làm lạnh Tính tin cậy cũng là một yêu cầu quan trọng nữa của VPN và nó liên quan mật thiết với nhân tố tính sẵn sàng. Tính tin cậy của giao dịch trong VPN đảm bảo rằng những người dùng cuối được phân phối dữ liệu trong mọi hoàn cảnh. Cũng như hầu hết các thiết lập mạng khác, tính tin cậy trong môi trường dựa trên VPN có thể đạt được bằng việc chuyển mạch các gói dữ liệu tới một đường dẫn khác nếu liên kết đã tạo hoặc thiết bị trong đường bị lỗi. Toàn bộ quá trình này là hoàn toàn trong suốt với người dùng cuối. 1.3.3. Chất lượng dịch vụ Trong một mạng riêng ảo, cũng như trong một mạng thông thường. Đều có mong muốn là mang lại tính trong suốt cho các gói dữ liệu khi chúng được truyền từ nguồn đến đích cũng như đảm bảo chất lượng các dịch vụ khác. Vấn đề với QoS là xác định như thế nào? có được đảm bảo hay không? là rất khó. Trừ khi có tắc nghẽn mạng, rất khó để chứng minh rằng QoS được đảm bảo. Chất lượng dịch vụ là khả năng phản hồi trong các hoàn cảnh tới hạn bằng cách gán một tỷ lệ để xác định giới hạn lỗi trong việc sử dụng băng thông mạng và các tài nguyên cho các ứng dụng. Các ứng dụng như giao dịch tài chính, quá trình đặt hàng từ các đối tác thương mại là tương đối nhạy cảm với băng thông. Các ứng dụng truyền video là rất nhạy cảm với độ trễ và đòi hỏi băng thông lớn để tránh hiện tượng chất lượng kém của giao dịch. 1.3.4. Khả năng quản trị Việc kiểm soát hoàn toàn các hoạt động và tài nguyên trong mạng, cùng với việc quản trị thích hợp là rất quan trọng đặt ra với tất cả các đơn vị có mạng kết nối phạm vi toàn cầu. Hầu hết các đơn vị được kết nối với các nguồn tài nguyên của thế giới bằng sự trợ giúp của nhà cung cấp dịch vụ. Kết quả là không thể kiểm soát tại 2 đầu cuối trong mạng Intranet của một đơn vị vì phải qua mạng Intranet trung gian của nhà cung cấp dịch vụ. Trong hoàn cảnh này, một đơn vị phải quản trị được tài nguyên cho đến cả mạng kinh doanh của họ, trong khi nhà cung cấp dịch vụ quản trị các thiết lập mạng của họ. Với sự sẵn có các thiết bị VPN của các hãng sản xuất bên ngoài và hợp đồng giữa tổ chức với nhà cung cấp dịch vụ thì có thể loại trừ được ranh giới vốn có của việc quản trị tài nguyên và quản trị toàn bộ phần riêng và phần công cộng của các phần cuối VPN. Một Công ty có thể quản trị, giám sát, hỗ trợ và duy trì mạng của họ như trong mô hình truyền thống, có thể kiểm soát toàn bộ truy cập mạng và có quyền giám sát trạng thái thời gian thực, sự thực thi của VPN. Hơn nữa Công ty cũng có thể giám sát phần công cộng của VPN. Tương tự, các ISP quản trị và kiểm soát phần cơ sở hạ tầng thuộc quyền kiểm soát của họ. Tuy nhiên, nếu được yêu cầu, nhà cung cấp dịch vụ cũng có thể quản trị toàn bộ cơ sở hạ tầng, bao gồm cả cơ sở hạ tầng VPN của người dùng. 1.3.5. Khả năng tương thích Như chúng ta đã biết VPN sử dụng mạng công cộng như là một kết nối đường dài, các mạng trung gian này có thể dựa trên IP như Internet hoặc cũng có thể dựa trên công nghệ mạng khác như Frame Relay (FR), Asynchronous Transfer Mode (ATM). Kết quả là VPN có thể sử dụng tất cả các kiểu công nghệ và giao thức cơ sở. Trong trường hợp mạng tương tác trung gian dựa trên IP, VPN phải có khả năng dùng địa chỉ IP và các ứng dụng IP, để đảm bảo tương thích với một cơ sở hạ tầng dựa trên IP, các phương pháp sau có thể được tích hợp vào VPN. Sử dụng Getway IP: Getway IP chuyển(hoặc dịch) các giao thức không dựa trên IP thành IP. Các thiết bị này có thể là các thiết bị mạng chuyên dụng hoặc cũng có thể là các giải pháp dựa trên phần mềm. Getway IP được cài đặt trên mọi Server và thường được dùng để chuyển đổi dòng lưu lượng. Sử dụng đường hầm: Đường hầm, như chúng ta đã biết, là kỹ thuật đóng gói các gói dữ liệu không IP thành các gói IP để truyền qua một cơ sở hạ tầng dựa trên IP. Các thiết bị cuối khác, khi nhận được các gói dữ liệu đã đóng gói này sẻ xử lý và loại bỏ phần tiêu đề IP để lấy lại dữ liệu gốc. “Đường hầm” bây giờ được xem như là một thiết bị tryền tải. Sử dụng định tuyến IP ảo(Virtual IP Routing - VIPR): như trong hình vẽ 1.4, VIPR làm việc bằng cách phân vùng lôgic một Router vật lý tại vị trí nhà cung cấp dịch vụ sau cùng(như là một phần cơ sở hạ tầng của ISP). Mỗi một phân vùng được cấu hình và quản trị như một Router vật lý và có thể hỗ trợ một VPN. Theo cách gọi đơn giản, mỗi một phân vùng lôgic được xem như một Router với đầy đủ các chức năng của nó. Kết quả là, phân vùng Router lôgic có thể hỗ trợ nhiều giao thức và có khả năng chứa địa chỉ IP riêng. Hình 1.4 Mô tả chung của VIPR Với các công nghệ và giao thức không dựa trên IP như FR, ATM, công nghệ đường điện thoại riêng ảo(Virtual Private Trunking - VPT) được sử dụng. Công nghệ VPT được mô tả như trong hình 1.5. Hình 1.5 Mô tả chung của VPT VPT tương thích với nhiều giao thức và được dựa trên công nghệ chuyển mạch gói. Vì vậy nó sử dụng các kênh cố định ảo(Permanent Virtual Circuits - PVC) và kênh chuyển mạch ảo(Switched Virtual Circuit - SVC) cho việc truyền dữ liệu. Để truyền dữ liệu thành công, VPT yêu cầu một thiết bị WAN như một Router có khả năng hỗ trợ FR và ATM. Để chắc chắn rằng các giao dịch thương mại có lợi nhuận, các PVC thường được dùng cho việc liên kết các Site trong một mạng riêng hoặc một Intranet. SVC lại thường được dùng để liên kết các Site trong một Extranet 1.4. Cách tiếp cận cơ bản thiết kế và cài đặt VPN Một ý tưởng và kế hoạch thiết kế tốt là yếu tố quan trọng khi thiết lập một mạng. Với bất kỳ VPN nào cũng vậy: Nếu sơ suất trong việc phân tích các yêu cầu của tổ chức sẽ kéo theo thiếu sót trong lập kế hoạch và ta sẽ thấy ảnh hưởng rất nhiều về sau. Lúc thiết kế và thực thi mạng VPN, chúng ta cần phải tuân thủ theo ý tưởng tối ưu hoá mọi thứ. Những vấn đề chính cần xem xét kỹ trong khi thiết kế và cài đặt VPN bao gồm: + Mô hình VPN nào được chọn để thực hiện? + Bảo mật + VPN sẽ được quản trị như thế nào? + Đánh địa chỉ và định tuyến + Các vấn đề liên quan đến DNS + Các vấn đề Router/Getway, firewall, NAT + Hiệu suất + Khả năng mở rộng và tương thích trong tương lai. 1.5. Các mô hình kết nối VPN thông dụng Mục tiêu của công nghệ VPN là quan tâm đến ba yêu cầu cơ bản sau: - Các nhân viên liên lạc từ xa, người dùng di động, người dùng từ xa của một Công ty có thể truy cập vào tài nguyên mạng của công ty họ bất cứ lúc nào - Có khả năng kết nối từ xa giữa các nhánh văn phòng. - Kiểm soát được truy cập của các khách hàng, nhà cung cấp là đối tác quan trọng đối với giao dịch thương mại của công ty. Với các yêu cầu cơ bản như trên, ngày nay, VPN được phát triển và phân thành ba loại như sau: VPN Truy cập từ xa (Remote Access VPN), VPN Cục bộ (Intranet VPN), VPN mở rộng (Extranet VPN) 1.5.1.VPN Truy cập từ xa (Remote Access VPN): Cung cấp các dịch vụ truy nhập VPN từ xa (remote access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tổ chức trên nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài nguyên mạng của Công ty họ như là họ đang kết nối trực tiếp vào mạng đó. Giống như tên gọi của nó, VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình, các yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyển hoặc các nhánh văn phòng từ xa mà không có một kết nối cố định tới Intranet của tổng công ty. Như trong hình 1.6, chuyển mạch truy cập từ xa thiết lập khi chưa có sự mở rộng của VPN bao gồm các thành phần chính như sau: + Một Remote Access Server: Nó được đặt tại mạng trung tâm để xác thực và cấp quyền cho các yêu cầu truy cập từ xa. + Kết nối Dialup tới mạng trung tâm + Người hỗ trợ chịu trách nhiệm cấu hình, duy trì và quản trị RAS và hỗ trợ người dùng từ xa Hình 1.6 Thiết lập truy cập từ xa không có VPN Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và người dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó để kết nối tới mạng của công ty qua Internet. Thiết lập VPN truy cập từ xa tương ứng được mô tả như trong hình 1.7. Hình 1.7 Thiết lập VPN truy cập từ xa 1.5.2. VPN Cục bộ (Intranet VPN) Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa, đây là một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung. Yêu cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở mạng trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như các dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời gian cũng như chi phí lắp đặt, hỗ trợ các đường dây thuê riêng theo các cách kết nối WAN truyền thống. Intranet VPN thường được dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó. Trong cách thiết lập Intranet không sử dụng công nghệ VPN, mỗi một mạng từ xa phải kết nối tới Intranet của tổ chức qua các Router trung gian. Thiết lập này được mô tả như trong hình 1.8. Hình 1.8 Thiết lập Intranet sử dụng WAN Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới một Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì và quản trị Intranet xương sống có thể là một việc cực kỳ tốn kém. Chẳng hạn, chi phí của Intranet toàn cầu có thể lên tới hàng ngàn USD/1 tháng. Phạm vi Intranet càng lớn thì chi phí càng cao. Với việc thực thi giải pháp VPN, đường WAN xương sống được thay thế bằng kết nối Internet chi phí thấp nên có thể giảm được tổng chi phí của việc thực thi toàn bộ Intranet. Một giải pháp Intranet VPN điển hình được mô tả như trong hình 1.9. Hình 1.9 Thiết lập VPN dựa trên VPN Ưu điểm của việc thiếp lập dựa trên VPN như trong hình 1.9 là: + Loại trừ được các Router từ đường WAN xương sống. + Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung cấp các liên kết ngang hàng mới. + Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn. Cùng với việc loại trừ các dịch vụ đường dài giúp cho tổ chức giảm được chi phí của hoạt động Intranet. Tuy nhiên cũng có một số nhược điểm: + Vì dữ liệu được định đường hầm qua một mạng chia sẽ công cộng nên các tấn công mạng như: từ chối dịch vụ vẫn đe doạ nghiêm trọng đến an ninh mạng. + Khả năng mất các gói dữ liệu khi truyền vẫn còn cao. + Đường truyền dữ liệu đầu trên như multimedia, độ trể truyền tin vẫn rất cao và thông lượng có thể bị giảm xuống rất thấp dưới sự hiện diện của Internet. + Vì sự hiện diện của kết nối Internet sự thực thi có thể bị gián đoạn và QoS có thể không được đảm bảo 1.5.3. Mạng riêng ảo mở rộng (Extranet VPN) Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử dụng vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng các đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự như Intranet VPN, Extranet VPN cũng có kiến trúc tương tự, tuy nhiên điểm khác biệt giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử dụng. So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bằng nhưng điều quan trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp sản phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các hợp đồng vào hệ thống sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy nhiên việc này rất khó thực hiện với công nghệ WAN truyền thống. Extranet VPN thường sử dụng các kết nối dành riêng và thêm vào các lớp bảo mật để xác thực và giới hạn truy nhập trên hệ thống. Không giống như Intranet VPN và Remote Access VPN. Extranet VPN không hẳn có nghĩa là “Xa hơn ngoài phạm vi”. Thực tế, Extranet VPN cho phép kiểm soát truy cập các tài nguyên mạng cần thiết với toàn bộ giao dịch thương mại mở rộng như: đối tác, khách hàng, nhà cung cấp Theo cách thức truyền thống, kết nối Extranet được thể hiện như trong hình 1-10 Hình 1.10 Mạng Extranet truyền thống Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet phải hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp trong việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mở rộng vì làm như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến các mạng mở rộng đã kết nối khác và đây có thể là một cơn ác mộng đối với các nhà thực thi và quản trị mạng. Thực thi giải pháp VPN làm cho công việc thiết lập một Extranet trở nên dễ dàng và giảm chi phí đáng kể. Hình 1.11 Mạng Extranet dựa trên VPN Ưu điểm chính của Extranet VPN là: + Chi phí rất nhỏ so với cách thức truyền thống. + Dễ thực thi, duy trì và dễ thay đổi + Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lớn + Vì một phần kết nối Internet được duy trì bởi ISP nên số lượng nhân viên hỗ trợ có thể giảm xuống. Tuy nhiên cũng có một số nhược điểm: + Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại + Tăng rủi ro vì các xâm nhập vào Intranet của tổ chức + Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các ứng dụng Multimedia. + Sự thực thi có thể bị gián đoạn và QoS cũng có thể không được bảo đảm Tuy có một số nhược điểm như đã mô tả, nhưng các ưu điểm của giải pháp VPN vẫn vượt trội, “Mạng riêng ảo - ưu thế của công nghệ, chi phí và bảo mật” 1.6. Các công nghệ và các chính sách an toàn Mạng riêng ảo 1.6.1. Sự cần thiết của chính sách an toàn Mạng Chính sách an toàn mạng có vai trò quan trọng trong việc bảo mật của một tổ chức và từng bước được vận dụng để thực thi bảo mật mạng. Không có một sản phẩm hay một giải pháp chuẩn chung cho một chính sách an toàn mạng. Nó thường được tạo ra và thực thi theo yêu cầu cụ thể của từng tổ chức. Một chính sách an toàn mạng thể hiện tầm nhìn của Công ty về cách thức sử dụng máy tính và cơ sở hạ tầng mạng để cung cấp các dịch vụ tốt nhất và nâng cao hiệu suất. Nó cũng phác thảo các thủ tục cần dùng để đối phó với các nguy cơ bảo mật, các vi phạm bảo mật. Một chính sách an toàn làm cho khả năng đối phó với các rủi ro, các nguy cơ bảo mật trong một Công ty sẽ tốt hơn. Hơn nữa, không thể thực thi bảo mật nếu ta không xác định được cần bảo vệ cái gì. Vì vậy cần có một chính sách bảo mật. Đó là một danh sách những gì sẽ được phép và không được phép, dựa vào đó để quyết định về bảo mật. Ta cũng có thể hình dung nó như là một tập các luật để quản lý người dùng truy cập tài nguyên của công ty, một thoả thuận chung để mọi người chấp nhận và tuân theo các luật đó. Một chính sách an toàn mạng toàn diện của Công ty phải được xác định theo sự phân tích các yêu cầu thương mại và phân tích bảo mật. Các vấn đề sau đây sẽ cung cấp cho ta một số nguyên tắc chung: + Những người nào mà chúng ta muốn ngăn chặn? + Người dùng từ xa cần truy cập đến hệ thống và mạng của chúng ta hay không? + Hệ thống có chứa thông tin mật hoặc nhạy cảm không? + Phân loại các thông tin mật hoặc nhạy cảm như thế nào? + Mật khẩu hoặc mã hoá có đủ bảo vệ không? + Chúng ta có cần truy cập Internet hay không? + Bao nhiêu truy cập tới hệ thống của ta từ Internet hoặc những người dùng bên ngoài mạng(như: các đối tác thương mại, nhà cung câp,) mà ta muốn cho phép? + Hành động nào ta sẽ thực hiện nếu phát hiện sự vi phạm bảo mật? + Những ai trong Công ty của ta sẽ phải tuân thủ và giám sát chính sách này? Đó là những nguyên tắc mang tính định hướng chung cho việc thiết lập và thực hiện một chính sách an toàn mạng. 1.6.2. Chính sách an toàn mạng Nếu hệ thống của ta có kết nối Internet thì rất có thể phải đương đầu với nhiều nguy cơ tấn công tiềm ẩn. Gateway hoặc Firewal là những hệ thống bảo vệ tốt, tuy nhiên cần phải lưu ý rằng: + Gateway không nên chạy nhiều ứng dụng hơn mức cần thiết vì các ứng dụng có những khiếm khuyết có thể bị khai thác. + Gateway nên hạn chế tối đa các loại và số lượng giao thức được cho phép đi qua nó hoặc các kết nối Terminate tại gateway từ bên ngoài, vì các giao thức cũng có thể tiềm ẩn nhiều lỗ hổng bảo mật. + Bất kỳ một hệ thống nào có chứa thông tin mật hoặc nhạy cảm đều không nên cho phép truy cập trực tiếp từ bên ngoài. + Tất cả các dịch vụ trong một Intranet thuộc Công ty nên tối thiểu việc yêu cầu xác thực mật khẩu và kiểm soát truy cập thích hợp. + Truy cập trực tiếp từ bên ngoài luôn phải được xác thực và kiểm toán Chính sách an toàn mạng xác định các dịch vụ sẽ được cho phép hoặc bị từ chối, cách thức các dịch vụ này sẽ được sử dụng và là ngoại lệ với các luật này. Mỗi luật trong chính sách an toàn mạng nên được thực thi trên một firewall hoặc RAS. Và chính sách an toàn mạng của một công ty phải trả lời được các câu hỏi sau: + Những ai được truy cập vào mạng của Công ty? Những Client, đối tác, khách hàng nào được cung cấp truy cập tới mạng của Công ty? + Những ai có thể kết nối tới mạng mở rộng, như của Client hay các đối tác. + Những ai có thể truy cập Internet từ mạng của Công ty? + Lúc nào thì tài khoản của một người dùng sẽ bị xoá? + Phải bảo mật các máy tính như thế nào trước khi chúng ở trong mạng có truy cập Internet không được bảo vệ. + Người dùng có thể tuỳ tiện tải các chương trình từ Internet hay không? + Kiểu mật khẩu nhân viên phải dùng là gì? Và có thường phải thay đổi hay không? + Các máy tính của người dùng từ xa, người dùng di động được bảo mật như thế nào? Họ phải làm gì để có thể truy cập an toàn tới mạng của công ty. + Những thông tin mật nào cần được bảo vệ? Có quy tắc lưu trữ các loại thông này hay không? 1.6.3. Chính sách an toàn Mạng riêng ảo Trong khi một chính sách an toàn mạng truyền thống xác định luồng thông tin nào bị từ chối và luồng thông tin nào được phép đi qua, một chính sách bảo mật VPN mô tả các đặc tính của việc bảo vệ hiện trạng luồng thông tin. Theo một nghĩa nào đó, nó là một tập con của chính sách an toàn mạng , vì nó chỉ cô đọng hơn và phụ thuộc vào vấn đề cho phép luồng thông tin giữa các đích nào đó trước khi nó có thể được bảo vệ. Một chính sách an toàn VPN mô tả hiện trạng luồng thông tin riêng được bảo vệ (nguồn, đích, các giao thức, các cổng) và các yêu cầu bảo mật (xác thực, mã hoá, độ dài khoá, quản lý khoá). Chính sách an toàn VPN có thể được định nghĩa trên thiết bị, tuy nhiên nên được thực thi trong một thư mục tập trung để cung cấp sự quản lý và mở rộng tốt hơn. Về cơ bản, các thiết bị cần phải có các chính sách phù hợp với việc mô tả dòng lưu lượng trước khi nó được phép đi vào các thiết bị. Trong khi thực hiện VPN cần lưu ý: + Chỉ có một kết nối mạng được cho phép. + VPN phải được thiết lập và quản trị bởi các nhóm quản trị của Công ty + Tất cả các máy kết nối tới mạng trong của công ty qua VPN phải dùng phần mềm Virus và cập nhật thường xuyên để quét + Người dùng VPN sẽ bị tự động ngắt kết nối nếu không có hoạt động gì sau một khoảng thời gian nhất định(chẳng hạn: sau 30 phút). Câu hỏi ôn tập 1. Mạng riêng ảo là gì? Nêu một số ví dụ về Mạng riêng ảo? 2.  Ba loại mô hình VPN là: __________, __________, và __________. Intranet Internet Extranet Remote Access 3. Khi tiếp cận cách thiết kế và thực hiện VPN cần xem xét những vấn đề nào? 4.  Thuật ngữ RAS là viết tắt của: __________. Remote Access Standard Remote Access Storage Remote Access Server Remote Access Subsystem 5.  Chọn câu đúng trong các câu sau đây? Intranet VPNs là độc lập với một WAN router Backbone Extranets VPN là giải pháp chi phí cao hơn và phức tạp hơn QoS không thể được đảm bảo trong một Intranet VPNs 6. Sự cần thiết của chính sách an toàn mạng 7. Nêu các nguyên tắc chung cho việc thiết lập chính sách an toàn mạng? 8. Chính sách an toàn mạng riêng ảo cần quan tâm đến những vấn đề nào? Chương 2. Giao thức mạng riêng ảo tại tẩng 2 Trong chương này chúng ta thảo luận các giao thức cho phép một kết nối tại tầng 2, điển hình như PPP được định đường hầm qua một mạng khác, điển hình như mạng IP. Điều này giống như một phương pháp phức tạp kéo theo nhiều overhead(phần thông tin phụ thêm được đưa vào), nhưng một số lợi ích nhận được từ phương pháp này rất hữu dụng cho việc xây dựng VPN. Chúng ta sẽ thấy rằng các giao thức đường hầm này là cơ sở để xây dựng VPN và bảo mật các giao dịch qua VPN. Một số giao thức đường hầm được thực hiện tại tầng 2 - tầng liên kết dữ liệu - của mô hình OSI, như được mô tả trong hình 2.1 Application Layer Presentation Layer Session Layer Transport Layer Network Layer L2F, PPTP, L2TP Data Link Layer Physical Layer Hình 2.1 Vị trí các giao thức đường hầm tầng 2 trong mô hình OSI Các giao thức này bao gồm: Giao thức đường hầm điểm - điểm (PPTP), Giao thức chuyển tiếp lớp 2 (L2F), Giao thức đường hầm lớp 2 (L2TP). 2.1. Giao thức PPP PPP là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng của mạng qua một loạt các điểm liên kết được thực hiện một cách dễ dàng. Thuận lợi lớn nhất của PPP là nó có thể điều khiển bất kỳ DTE hoặc DCE nào bao gồm: EIA/TIA-232-C và ITU-T V.35. Một điểm ưa thích của PPP là nó không hạn chế tỷ lệ truyền dữ liệu. Trong khi truyền dữ liệu bị hạn chế bởi giao diện DTE/DCE đang dùng. Cuối cùng, chỉ yêu cầu của PPP là sẵn sàng với các kết nối kép (2 cách). Nó có thể là đồng bộ hoặc không đồng bộ và có thể điều khiển cả các Switch hay các mode chuyên dụng. Ngoài việc đóng gói các dữ liệu theo giao thức IP, không theo giao thức IP và việc truyền nó qua một loạt các điểm liên kết, PPP cũng chịu trách nhiệm về các chức năng sau: - Chỉ định và quản trị các gói IP thành các gói không IP. - Cấu hình và kiểm tra các liên kết đã thiết lập. - Đồng bộ và không đồng bộ việc đóng gói các gói dữ liệu. - Phát hiện lỗi trong khi truyền dữ liệu. - Dồn kênh các giao thức mạng lớp hai. - Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh địa chỉ. PPP thực hiện các chức năng này theo ba chuẩn: - Chuẩn đóng gói dữ liệu qua liên kết điểm - điểm. - Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điểm với sự hỗ trợ của giao thức kiểm soát liên kết(Link Control Protocol – LCP). - Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện lỗi trong khi truyền theo dạng của giao thức kiểm soát mạng (Network Control Protocol - NCP) thích hợp. 2.1.1. Quá trình thực hiện PPP Giao thức PPP được sử dụng để đóng gói các gói tin thành các khung PPP và gửi dữ liệu trên các kết nối điểm - điểm. Có năm bước cần tiến hành trong quá trình thương lượng kết nối PPP, đó là: 1. Sau khi các gói dữ liệu đã được đóng gói, Node nguồn (hoặc khởi tạo) gửi khung LPC qua kết nối điểm - điểm tới Node đích. 2. Các tham số này thường được dùng để cấu hình liên kết bằng việc chỉ rõ các tham số và kiểm tra liên kết đã được thiết lập. 3. Sau khi Node đích chấp nhận yêu cầu kết nối và một liên kết được thiết lập thành công, các tham số lựa chọn được thương lượng nếu đã chỉ rõ bởi các LCP. 4. Node nguồn sau đó gửi khung NCP để lựa chọn và cấu hình giao thức tầng mạng. 5. Sau khi giao thức tầng mạng yêu cầu được cấu hình thì cả hai bắt đầu trao đối dữ liệu. Hình 2.2 Thiết lập liên kết PPP và trao đổi dữ liệu Khi một liên kết PPP đã được thiết lập, nó tồn tại cho đến khi LCP hoặc NCP ra hiệu kết thúc liên kết. Liên kết cũng có thể được kết thúc trong trường hợp nó bị lỗi hoặc người dùng can thiệp vào. 2.1.2. Định dạng gói PPP Sáu trường tạo thành khung PPP, như minh hoạ trong hình 2.3. Mô tả của các trường cấu tạo thành khung PPP như sau: Flag: Trường này xác định điểm bắt đầu và kết thúc của một khung. Độ dài của trường này là 1 byte. Address: Vì nó sử dụng các liên kết điểm - điểm. PPP không sử dụng các địa chỉ của các Node riêng lẻ. Vì thế, các trường này chứa chuỗi nhị phân là 11111111, đây là một địa chỉ Broadcast chuẩn. Độ dài của trường này là 1 byte. Control: Trường này chứa chuỗi nhị phân là 00000011. Nó biểu thị rằng, Frame đang mang dữ liệu người dùng là một Frame không tuần tự. Độ dài của trường này là 1 byte. Protocol: Trường này xác định giao thức mà dữ liệu được đóng gói trong trường dữ liệu của Frame. Giao thức trong trường này được chỉ rõ theo số đã gán trong RFC 3232. Độ dài của trường này là 2 byte. Tuy nhiên, trường này có thể thương lượng để là 1 byte nếu cả hai đồng ý. Data: Trường này chứa thông tin đang được trao đổi giữa Node nguồn và đích. Độ dài của trường này có thay đổi, độ dài tối đa có thể lên đến 1500 byte. FCS: Trường này chứa chuỗi kiểm tra giúp người nhận kiểm tra tính chính xác của thông tin đã nhận trong trường dữ liệu. Thông thường, độ dài của trường này là 2 byte. Tuy nhiên, việc thực thi PPP có thể thương lượng một FCS 4 byte để cải thiện việc phát hiện lỗi. Flag Address Control Variable Size Protocol Data FSC 1 Byte 1 Byte 1 Byte 2-4 Byte 2 Byte Hình 2.3 Định dạng của một Frame PPP điển hình 2.1.2. Kiểm soát liên kết PPP Ngoài việc trao đổi thành công dữ liệu giữa hai Node, PPP cũng chịu trách nhiệm kiểm soát liên kết đã thiết lập giữa 2 thực thể truyền thông cuối. PPP sử dụng LCP cho chức năng này, trong đó LCP chịu trách nhiệm về các chức năng sau: - Hỗ trợ việc thiết lập liên kết. - Cấu hình liên kết đã thiết lập để thoả mãn các yêu cầu của các nhóm truyền thông. - Duy trì hiệu suất của liên kết PPP đã thiết lập. - Kết thúc liên kết nếu việc trao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất. LCP dựa trên kiểm soát liên kết gồm bốn pha: Thoả thuận và khởi tạo liên kết; Xác định chuẩn liên kết; Thoả thuận giao thức tầng mạng. Sau đây ta sẽ mô tả chi tiết bốn pha trong kiểm soát liên kết. - Thoả thuận và khởi tạo liên kết: Trước khi việc trao đổi dữ liệu dựa trên PPP giữa Node nguồn và đích được cho phép, LCP phải khởi tạo một kết nối giữa hai thực thể cuối và thoả thuận các tham số cấu hình. LCP sử dụng các Frame khởi tạo liên kết cho chức năng này. Khi mỗi thực thể cuối phản hồi lại bằng Frame cấu hình ACK của nó, pha này kết thúc. - Xác định tiêu chuẩn liên kết: Đây là pha tuỳ chọn trong đó tiêu chuẩn của liên kết đã thiết lập được xác định cho các liên kết khác nhau đã sẵn sàng cho việc thoả thuận các giao thức tầng mạng. - Thoả thuận giao thức tầng mạng: Trong pha này, ưu tiên giao thức tầng mạng của dữ liệu đã được đóng gói trong trường Protocol của Frame PPP được thoả thuận. - Kết thúc liên kết: Đây là pha cuối cùng của LCP và Server để kết thúc liên kết đã thiết lập giữa hai thực thể cuối. Việc kết thúc liên kết có thể theo trình tự hoặc đột xuất. Kết thúc đúng trình tự là kết thúc sau khi việc trao đổi dữ liệu giữa hai thực thể cuối đã hoàn tất hay do yêu cầu của thực thể cuối. Kết thúc liên kết đột xuất có thể làm mất dữ liệu. Frame kết thúc liên kết dữ liệu được trao đổi giữa các nhóm có liên quan trước khi liên kết được giải phóng. Ngoài Frame thiết lập và kết thúc liên kết, PPP sử dụng một loại Frame thứ ba gọi là Frame duy trì liên kết. Các Frame này như tên gọi của nó, được trao đổi trong trường hợp có vấn đề liên quan đến liên kết, thường được dùng để quản trị và debug các liên kết dựa trên PPP. Mặc dù không được dùng trong VPN ngày nay, tuy nhiên công nghệ PPP là cơ sở của các giao thức đường hầm khác được dùng rộng khắp trong VPN ngày nay. Thực tế, tất cả các giao thức đường hầm thông dụng đều dựa trên PPP và đóng gói Frame PPP vào trong gói IP hoặc các gói dữ liệu khác để truyền qua mạng không đồng nhất. 2.2. Các giao thức đường hầm tại tầng 2 trong mô hình OSI 2.2.1. Giao thức đường hầm điểm (PPTP) PPTP là giải pháp độc quyền cho phép truyền dữ liệu một cách an toàn giữa một Client từ xa và một Server của Doanh nghiệp bằng việc tạo ra một VPN qua một mạng dựa trên IP. Được phát triển bởi Consortium PPTP (Tập đoàn Microsoft, Ascend Communications, 3COM, US Robotics,và ECI Telematics). PPTP đề xuất dựa vào yêu cầu của VPN qua mạng không an toàn. PPTP không chỉ có khả năng bảo mật các giao dịch qua các mạng công cộng dựa trên TCP/IP mà còn cả các giao dịch qua mạng Intranet riêng. Về phương diện lịch sử, hai hiện tượng đóng vai trò chính vào sự thành công của PPTP trong việc bảo mật các kết nối đường dài là: - Việc sử dụng các Mạng điện thoại chuyển mạch công cộng(PSTN): PPTP cho phép sử dụng PSTN(Public Switched Telephone Network) để thực thi VPN. Kết quả là, qúa trình triển khai VPN đơn giản đi rất nhiều và tổng chi phí thực thi giảm một cách đáng kể. Lý do này hoàn toàn dễ hiểu – vì những yếu tố cần thiết cho giải pháp kết nối doanh nghiệp quy mô rộng dựa trên đường Leased Line và các Server truyền thông chuyên dụng hoàn toàn bị loại bỏ. - Hỗ trợ các giao thức không dựa trên IP: Mặc dù dành cho các mạng dựa trên IP, PPTP cũng hỗ trợ các giao thức mạng khác như: TCP/IP, IPX, NetBEUI, và NetBIOS. Vì vậy, PPTP đã chứng tỏ là thành công trong việc triển khai VPN qua một mạng LAN riêng cũng như qua mạng công cộng. PPP đóng vai trò chính trong các giao dịch dựa trên PPTP. Ta sẽ thảo luận chi tiết hơn vấn đề này trong phần tiếp sau đây. 2.2.1.1. Vai trò của PPP trong các giao dịch PPTP PPTP là một sự mở rộng logic của PPP, PPTP không thay đổi dưới công nghệ PPP, nó chỉ định nghĩa một cách vận chuyển lưu lượng PPP mới qua các mạng công cộng không an toàn. Hình 2.4 Mô tả vai trò của PPP trong các giao dịch dựa trên PPTP Khá giống PPP, PPTP không hỗ trợ nhiều kết nối. Tất cả các kết nối được hỗ trợ bởi PPTP phải là kết nối điểm - điểm, ngoài ra, PPP đáp ứng các chức năng sau trong giao dịch dựa trên PPTP: - Thiết lập và kết thúc các kết nối vật lý giữa các thực thể truyền thông cuối. - Xác thực các Client PPTP. - Mã hoá các gói dữ liệu IPX, NetBEUI, NetBIOS, và TCP/IP để tạo các gói PPP và bảo mật việc trao đổi dữ liệu giữa các nhóm liên quan. 2.2.1.2. Các thành phần của giao dịch PPTP Bất kỳ một giao dịch dựa trên PPTP nào cũng gồm ít nhất 3 thành phần, các thành phần này bao gồm: - Một Client PPTP. - Một Server truy cập mạng (Network Access Server - NAS). - Một Server PPTP. 1. PPTP Client Một PPTP Client là một Node mạng hỗ trợ PPTP và có yêu cầu đến Node khác cho một phiên VPN. Nếu kết nối được yêu cầu từ một Server từ xa, PPTP Client phải sử dụng các dịch vụ trên NAS của ISP. Vì thế, PPTP Client phải được kết nối tới một Modem, cái thường được dùng để thiết lập một kết nối quay số PPP tới ISP. Hình 2.5 Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có thể định đường hầm yêu cầu tới thiết bị VPN trên mạng từ xa. Liên kết đến thiết bị VPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập một đường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung gian khác. Không giống như yêu cầu từ xa cho phiên VPN, yêu cầu cho một phiên VPN tới Server cục bộ không đòi hỏi một kết nối tới NAS của ISP. Cả Client và Server đều được kết nối vật lý đến cùng một mạng LAN, việc tạo ra một kết nối tới NAS của nhà cung cấp là không cần thiết. Client trong trường hợp này chỉ cần yêu cầu một phiên quay số đến thiết bị VPN trên Server. Như vậy thủ tục định tuyến của các gói PPTP cho một yêu cầu từ xa và một yêu cầu cục bộ là khác nhau, các gói của hai yêu cầu được xử lý khác nhau. Các gói PPTP đến Server cục bộ được đặt trên thiết bị vật lý gắn kèm với card mạng của PPTP Client. Gói PPTP đến Server từ xa được định tuyến qua một thiết bị vật lý gắn với một thiết bị truyền thông như một Router. Tất cả được minh hoạ như trong hình 2.6. Hình 2.6 Truyền các gói PPTP đến Node đích 2. Các Server PPTP Server truy cập PPTP là một Node mạng có hỗ trợ PPTP và có khả năng bảo quản các yêu cầu cho phiên VPN từ các Node từ xa hay cục bộ. Để phản hồi các yêu cầu từ xa, các Server này cũng phải hỗ trợ khả năng định tuyến. Một RAS và hệ điều hành mạng khác có hỗ trợ PPTP, chẳng hạn WinNT 4.0 có khả năng hoạt động như một Server PPTP. 3. Các Server truy cập mạng PPTP (PPTP NAS) Các NAS PPTP được đặt tại Site PPTP và cung cấp kết nối Internet tới các Client đang sử dụng đường quay số PPP. Xác suất nhiều Client cùng đồng thời yêu cầu một phiên VPN là rất cao. Các Server này phải có khả năng hỗ trợ các Client này. Ngoài ra, các PPTP Client không chỉ hạn chế với hệ điều hành mạng của Microsoft, vì vậy các NAS PPTP phải có khả năng hỗ trợ các Client dựa trên Window, các máy Unix. Tuy nhiên, điều quan trọng là các Client này hỗ trợ kết nối PPTP tới NAS. 2.2.1.3. Các tiến trình PPTP Bao gồm ba tiến trình để truyền thông an toàn dựa trên PPTP qua phương tiện không an toàn. Ba tiến trình đó là: Thiết lập kết nối dựa trên PPP. Kiểm soát kết nối. Tạo đường hầm PPTP và truyền dữ liệu. 1. Kiểm soát kết nối PPTP Sau khi một kết nối vật lý dựa trên PPP được thiết lập giữa PPTP Client và Server, quá trình kiểm soát kết nối PPTP bắt đầu. Như trong hình 2.7, Kiểm soát kết nối PPTP được thiết lập dựa trên địa chỉ IP của PPTP Client và Server. Nó sử dụng cổng TCP phân phối động và cổng TCP giành riêng số 1723. Sau khi kiểm soát kết nối được thiết lập, nó thực hiện việc kiểm soát và quản lý các thông điệp được trao đổi giữa các nhóm truyền thông. Các thông điệp này có nhiệm vụ duy trì, quản lý và kết thúc đường hầm PPTP. Các thông điệp này bao gồm cả chu kỳ giao dịch của các thông điệp "PPTP-Echo-Request, PPTP-Echo-Reply" chúng giúp phát hiện lỗi kết nối giữa PPTP Server và Client. Hình 2.7 Các thông điệp kiểm soát trao đổi dữ liệu PPTP qua PPP Một số thông điệp thường dùng để kiểm soát PPTP được liệt kê trong bảng sau đây: Bảng 2.1 Các thông điệp kiểm soát PPTP thông dụng Name Description Start-Control-Connection-Request Yêu cầu từ PPTP Client để thiết lập kết nối Start-Control-Connection-Reply Phản hồi từ PPTP server tới thông điệp Start-Control-Connection-Request của Client Outgoing-Call-Request Yêu cầu từ PPTP client tới server để thiết lập một đường hầm PPTP. Outgoing-Call-Reply Phản hồi từ PPTP server tới thông điệp Outgoing-Call-Request của Client. Echo-Request Cơ chế duy trì hoạt động từ Server hoặc Client. Nếu nhóm đối diện không trả lời thông điệp này thì đường hầm bị kết thúc. Echo-Reply Phản hồi tới thông điệp Echo-Request từ thực thể cuối đối diện. Set-Link-Info Thông điệp từ phía khác tới thiết lập các lựa chọn liên quan đến PPP. Call-Clear-Request Thông điệp từ PPTP client bắt đầu kết thúc đường hầm. Call-Disconnect-Notify Phản hồi từ PPTP server tới Call-Clear-Request của Client. Nó cũng là thông điệp khởi tạo việc kết thúc đường hầm từ Server WAN-Error-Notify Thông điệp từ PPTP server đến tất cả các PPTP Client đã kết nối để thông báo lỗi trong giao diện PPP của server. Stop-Control-Connection-Request Thông điệp từ PPTP client hoặc server để thông báo đến thực thể cuối khác để kết thúc kiểm soát kết nối. Stop-Control-Connection-Reply Phản hồi từ thực thể cuối bên kia tới thông điệp Stop-Control-Connection-Request. Như đã mô tả trong hình 2.8, các thông điệp kiểm soát PPTP được đóng gói vào trong các gói TCP. Vì vậy, sau khi đã thiết lập một kết nối PPP với Server hoặc Client từ xa, một kết nối TCP được thiết lập. Kết nối này sau đó thường được dùng để trao đổi các thông điệp kiểm soát PPTP. Data Link Header IP Header TCP Header TCP PPTP Control Message Data Link Trailer Hình 2.8 Kiểm soát PPTP trong gói dữ liệu TCP 2. Xử lý và định đường hầm dữ liệu PPTP Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói. Đó là các giai đoạn sau: Bao gói dữ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên trong một Frame PPP. Một tiêu đề PPP được thêm vào Frame. Bao gói Frame PPP: Frame PPP kết quả sau đó được bao gói vào trong một sự đóng gói định tuyến chung(GRE) đã sửa đổi. Tiêu đề GRE sửa đổi chứa một trường ACK 4 byte và một bit ACK tương ứng thông báo sự có mặt của trường ACK. Hơn nữa, trường khoá trong frame GRE được thay bởi một trường có độ dài 2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc gọi. PPTP client thiết lập các trường này khi nó tạo đường hầm PPTP. Bao gói các gói dữ liệu GRE: Tiếp theo, một tiêu đề IP được thêm vào khung PPP, và được bao gói vào trong gói GRE. Tiêu đề IP này chứa địa chỉ IP của PPTP client nguồn và PPTP Server đích. Bao gói tầng liên kết dữ liệu: Như chúng ta đã biết, PPTP là một giao thức tạo đường hầm tầng 2, vì vậy, tiêu đề tầng liên kết dữ liệu và lần theo sự đánh dấu là các quy luật quan trọng trong đường hầm dữ liệu. trước khi được đặt lên các phương tiện truyền phát, tầng liên kết dữ liệu thêm vào tiêu đề của chính nó và đánh dấu cho các gói dữ liệu. Nếu gói dữ liệu phải chuyển qua một đường hầm PPTP cục bộ, gói dữ liệu sẽ được đóng gói vào trong một đánh dấu và tiêu đề theo công nghệ - LAN(như Ethenet chẳng hạn). Mặt khác, nếu đường hầm được trải qua một liên kết WAN, tiêu đề và đánh dấu luôn được thêm vào gói dữ liệu một lần. Hình 2.9 Mô tả tiến trình xử lý dữ liệu PPTP đường hầm Chú ý: GRE là một cơ chế đóng gói thông dụng đơn giản cho các dữ liệu dựa trên IP. GRE thường được dùng bởi các ISP để chuyển tiếp thông tin định tuyến trong Intranet của họ. Tuy nhiên, các Router backbone thuộc Internet của ISP sẽ lọc lưu lượng dựa trên GRE này. Vì vậy các đường hầm đã được thiết lập có thể mang dữ liệu một cách an toàn và bí mật tới người nhận. Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhận phải xử lý các gói dữ liệu đã được đóng gói bằng đường hầm để thu được dữ liệu gốc. Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP. Như ta thấy trong hình 2.10, để lấy lại dữ liệu gốc thì Node PPTP của người nhận phải thực hiện các bước sau: - Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã được thêm vào bởi người gửi. - Tiếp đó, loại bỏ tiêu đề GRE - Tiêu đề IP được xử lý và loại bỏ - Tiêu đề PPP được xử lý và loại bỏ. - Cuối cùng, thông tin gốc được giải mã (nếu được yêu cầu) Hình 2.10 Qúa trình xử lý gói dữ liệu để nhận được gói dữ liệu gốc 2.2.1.4. Bảo mật PPTP PPTP đưa ra nhiều dịch vụ bảo mật xây dựng sẵn khác nhau cho PPTP Server và Client. Các dịch vụ bảo mật này bao gồm: Mã hóa và nén dữ liệu, xác thực, kiểm soát truy cập và lọc gói tin. Hơn nữa các cơ chế bảo mật được đề cập ở trên, PPTP có thể được dùng chung với Firewall và Router. 1. Mã hoá và nén dữ liệu PPTP PPTP không cung cấp một cơ chế mã hoá để bảo mật dữ liệu. Thay vào đó, nó sử dụng dịch vụ mã hoá được đề xuất bởi PPP. PPP lần lượt sử dụng mã hoá Microsoft Point–to-Point, nó dựa trên phương pháp mã hoá chia sẻ bí mật. 2. Xác thực dữ liệu PPTP PPTP hỗ trợ các cơ chế xác thực của Microsoft sau đây: a. Giao thức xác thực có thăm dò trước của Microsoft(MS-CHAP) MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES. Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó không được hỗ trợ bởi các nền khác. b. Giao thức xác thực mật khẩu(PAP) Là giao thức đơn giản và là giao thức xác thực đường quay số thông dụng nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP. Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá. Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi. Một lỗ hỗng của PAP khác là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai nữa!. Vì lý do này, PAP được xem như là một giao thức xác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa thích trong VPN. 3. Kiểm soát truy cập PPTP Sau khi một Client PPTP từ xa được xác thực thành công, sự truy cập của nó đến các tài nguyên trong mạng bị hạn chế bởi mục đích bảo mật nâng cao. Mục tiêu này được hoàn thành bởi việc thực thi bổ sung cơ chế kiểm soát truy cập như: Quyền truy cập, mức cho phép, nhóm và lọc gói PPTP Lọc gói PPTP cho phép một Server PPTP trên mạng riêng chỉ chấp nhận và định tuyến các gói chỉ từ các Client PPTP đã được xác thực thành công. Kết quả là, chỉ các Client PPTP đã được xác thực mới có thể truy cập lại tới mạng từ xa đã xác định. Trong cách này, PPTP không chỉ cung cấp các cơ chế xác thực, kiểm soát truy cập và mã hoá, mà còn làm tăng thêm sự an toàn của mạng. 4. PPTP với FireWall và Router Các thiết bị PPTP chấp nhận lưu lượng TCP và IP tại cổng 1723 và 47. Tuy nhiên, khi PPTP dùng chung với FireWall và Router, lưu lượng đã được dự tính cho các cổng này được định tuyến qua Firewall hoặc Router, chúng lọc lưu lượng trên cơ sở danh sách kiểm soát truy cập (ACL) và các chính sách bảo mật khác, PPTP nâng cao các dịch vụ bảo mật mà nó đưa ra. 2.2.1.5. Các tính năng của PPTP 1. Tính sẵn có PPTP được hỗ trợ trong nhiều hệ điều hành: trong Window NT Server, trong Workstation. Vì vậy, PPTP thực sự sẵn có trên các Platform của người sử dụng. Không cần mua thêm các phần mềm bổ sung vì Microsoft đã đưa ra cách nâng cấp PPTP trong tất cả các phiên bản Windows, được bổ sung trong nhiều nhánh của các Switch truy cập từ xa như các thiết bị Ascend, 3Com và ECI Telematics. PPTP đã trở thành một phần của các gói tin hệ điều hành mạng và phần lớn các Switch truy cập từ xa. Một nhà quản trị mạng Window NT có thể thử nghiệm một VPN ngay lập tức mà không cần tốn thêm một chi phí nào. 2. Dễ thi hành Nhiều nhà quản trị mạng Window NT đã quen thuộc với cách thiết lập các giao thức mạng và RAS vì vậy sử dụng PPTP cũng không khó khăn với họ. Những người sử dụng từ xa quay số kết nối tới RAS Server thông qua các ISP sử dụng Switch truy cập từ xa(Remote Accsess Switch) có hỗ trợ PPTP chỉ cần bổ sung địa chỉ IP của RAS Server vào Profile của họ, ISP dễ dàng đóng gói các gói tin PPP theo khuôn dạng PPTP. 3. Tạo đường hầm đa giao thức Đây là một tính năng vượt trội của PPTP, một vài phần mềm tạo đường hầm chỉ cho phép tạo đường hầm với các gói tin IP nhưng giao thức PPTP có thể tạo đường hầm cho tất cả các giao thức mà máy chủ RAS cho phép. 4. Khả năng sử dụng các địa chỉ IP không đăng ký một cách đồng bộ Khi một người dùng VPN tạo một kết nối PPTP tới máy chủ RAS sẽ được máy chủ gán cho một địa chỉ IP. Địa chỉ này có thể là một phần trong dãi địa chỉ IP của tổ chức vì thế, hệ thống người sử dụng RAS có thể trực tuyến trên mạng IP của tổ chức đó. Các tổ chức thỉnh thoảng không sử dụng địa chỉ IP đăng ký (là những địa chỉ được cung cấp bởi cơ quan có thẩm quyền, sẽ là duy nhất trên hệ thống mạng) trên hệ thống mạng riêng. Cơ quan thẩm quyền Internet Assigned Numbers (IANA) sẽ thiết lập các khối địa chỉ IP không đăng ký để sử dụng trên các mạng riêng hoặc Intranet và các hệ thống mạng này không cho phép các truy cập Internet hay các truy cập qua Router. Nếu một công ty có sử dụng một tập các địa chỉ không đăng ký khi một RAS Client sử dụng giao thức PPTP để thiết lập kết nối, sẽ được cung cấp một địa chỉ trong số địa chỉ đó và truy cập tới mạng nội bộ của công ty. Nếu một người sử dụng ở xa quay số kết nối tới ISP và cố gắng truy cập tới mạng không hỗ trợ giao thức PPTP, thì Firewall của tổ chức sẽ phải mở ra một cổng nào đó cho người sử dụng vào mạng cục bộ, điều này có thể tạo ra lỗ hỗng. Vì vậy, không phải khi nào họ kết nối tới ISP là cũng có thể vào mạng cục bộ. 2.2.2. Chuyển tiếp tầng 2 (L2F) Như đã đề cập trước đây, các dịch vụ mạng quay số truyền thống được thực hiện qua Internet và vì vậy dựa trên công nghệ IP. Điều này giải thích tại sao giải pháp đường hầm lại thông dụng như PPP và PPTP, chứng tỏ thành công hơn của cơ sở hạ tầng IP so với các công nghệ mạng đương thời như ATM, FR. Bảo mật là vấn đề khác. Bất chấp các yêu cầu của Microsoft về giao dịch bảo mật, PPTP dựa trên MS-CHAP không thật sự an toàn. Vấn đề này làm cho các tổ chức công nghiệp và các chuyên gia tìm đến các giải pháp thay thế có thể đem lại sự bảo mật liền mạch cho nhiều dịch vụ quay số ảo và nhiều giao thức. Cisco System cùng với Nortel là một trong các nhà cung cấp hàng đầu các giải pháp theo hướng: - Có khả năng bảo mật các giao dịch. - Cung cấp truy cập qua cơ sở hạ tầng của Internet và các mạng công cộng trung gian khác. - Hỗ trợ nhiều công nghệ mạng như ATM, FDDI, IPX, Net-BEUI, và Frame Relay. Hình 2.11 Đường hầm L2F từ POP của ISP tới Gateway của một mạng riêng Sau thời gian dài tìm kiếm, Cisco hiện tại đang mở rộng nghiên cứu L2F. Ngoài việc thực hiện đầy đủ những mục đích trên, L2F mang lại những thuận lợi khác trong công nghệ truy cập từ xa. Các đường hầm L2F có thể hỗ trợ nhiều phiên đồng thời trong cùng một đường hầm. Theo cách nói đơn giản hơn là nhiều người dùng từ xa có thể cùng truy cập vào mạng cục bộ riêng qua một kết nối quay số đơn. L2F đạt được điều này bằng cách định nghĩa nhiều kết nối trong một đường hầm nơi mỗi kết nối mô tả một dòng PPP đơn. Hơn nữa, các dòng này có thể bắt đầu từ một người dùng từ xa đơn lẻ hoặc từ nhiều người dùng. Vì một đường hầm có thể hỗ trợ nhiều kết nối đồng thời, một vài kết nối được yêu cầu từ một Site ở xa tới ISP và từ POP của ISP tới Gateway của mạng riêng. Điều này đặc biệt hữu ích trong việc giảm chi phí người dùng. Hình 2.11 mô tả đường hầm L2F 2.2.2.1. Tiến trình L2F Khi một Client quay số từ xa khởi tạo một kết nối tới Host cục bộ trong một Intranet riêng. Hình 2.12 Thiết lập một đường hầm L2F giữa người dùng từ xa và Server Các tiến trình sau được thực hiện tuần tự: 1. Người dùng từ xa khởi tạo một kết nối PPP tới ISP của họ. Nếu một người dùng từ xa là một phần của mạng LAN, người dùng có thể tận dụng ISDN hoặc liên kết để kết nối tới ISP. Nếu người dùng không phải là một phần của bất kỳ Intranet nào, họ có thể cần sử dụng các dịch vụ của PSTN. 2. Nếu NAS đặt tại POP của ISP chấp nhận yêu cầu kết nối, kết nối PPP được thiết lập giữa NAS và người dùng. 3. Người dùng được xác thực bởi ISP cuối cùng, cả CHAP và PAP đều được sử dụng cho chức năng này. 4. Nếu không có đường hầm nào tới Gateway của mạng đích tồn tại, thì một đường hầm sẽ được khởi tạo. 5. Sau khi một đường hầm được thiết lập thành công, một ID (MID) đa công duy nhất được phân phối tới các kết nối. Một thông điệp thông báo cũng được gửi tới các Gateway của máy chủ mạng. Thông điệp này thông báo cho Gateway về yêu cầu kết nối từ một người dùng ở xa. 6. Gateway có thể chấp nhận hoặc từ chối yêu cầu kết nối này. Nếu yêu cầu bị từ chối, người dùng sẽ được thông báo lỗi và kết nối quay số bị kết thúc. Trong trường hợp yêu cầu được chấp nhận, máy chủ Gateway gửi thông báo khởi tạo cài đặt tới Client từ xa, phản hồi này có thể bao gồm cả thông tin xác thực, nó được dùng bởi Gateway để xác thực người dùng từ xa. 7. Sau khi người dùng được xác thực bởi máy chủ Gateway mạng, một giao diện ảo được thiết lập giữa 2 đầu cuối. 2.2.2.2. Đường hầm L2F Khi một người dùng từ xa đã được xác thực và yêu cầu kết nối được chấp nhận, một đường hầm giữa NAS của nhà cung cấp và Gateway máy chủ mạng được thiết lập, như trong hình 2.13. Hình 2.13 Quá trình định đường hầm dữ liệu dựa trên L2F Sau khi đường hầm giữa 2 đầu cuối được thiết lập xong. Các Frame tầng 2 có thể được trao đổi qua đường hầm như sau: 1. Người dùng từ xa chuyển tiếp các frame thông thường tới NAS đặt tại ISP. 2. POP cắt bỏ thông tin tầng liên kết dữ liệu hay các byte trình diễn, thêm vào tiêu đề L2F và đánh dấu frame. Sau khi frame được đóng gói mới thì được chuyển tiếp tới mạng đích qua đường hầm. 3. Máy chủ Gateway mạng chấp nhận các gói đường hầm này, cắt bỏ tiêu đề L2F, đánh dấu và chuyển tiếp các frame tới Node đích trong mạng Intranet. Node đích xử lý các frame nhận được như là các gói không qua đường hầm. Chú ý: Đường hầm L2F được xem như là một “Giao diện ảo” Bất kỳ một phản hồi nào từ máy chủ đích trong mạng phải qua quá trình ngược lại. Đó là, host gửi một frame tầng liên kết dữ liệu thông thường tới Gateway, Gateway này sẽ đóng gói frame vào trong một gói L2F (như trong hình 2.14) và chuyển tiếp nó tới NAS đặt tại Site của ISP. NAS cắt bỏ thông tin L2F từ các frame và thêm vào thông tin tầng liên kết dữ liệu thích hợp với nó. Frame sau đó được chuyển tiếp tới người dùng từ xa. L2F Header Payload Packet(PPP/SLIP) L2F CheckSum Hình 2.14 định dạng gói L2F 2.2.2.3. Bảo mật L2F L2F cung cấp các dịch vụ: Mã hoá dữ liệu và xác thực 1. Mã hoá dữ liệu L2F L2F sử dụng MPPE cho các chức năng mã hoá cơ bản. Tuy nhiên nó không an toàn với các kỹ thuật Hacking tiên tiến ngày nay. Và nó cũng phải sử dụng mã hoá dựa trên IPSEC để đảm bảo dữ liệu được giao dịch bí mật. IPSec sử dụng hai giao thức cho chức năng mã hoá: đóng gói tải bảo mật(ESP) và xác thực tiêu đề (AH). Thêm vào đó, để làm tăng tính bảo mật của khoá trong pha trao đổi khoá, IPSec cũng sử dụng một giao thức bên thứ ba đó là trao đổi khoá Internet(IKE). 2. Xác thực dữ liệu L2F Xác thực L2F được hoàn thành tại hai mức. Mức thứ nhất của xác thực dựa trên L2F xuất hiện khi một người dùng từ xa sử dụng đường quay số tới POP của ISP. Tại đây, quá trình thiết lập đường hầm được bắt đầu chỉ sau khi người dùng được xác thực thành công. Mức thứ hai của xác thực được thực hiện bởi máy chủ Gateway của mạng, nó không thiết lập một đường hầm giữa hai điểm đầu cuối cho đến khi nó xác thực người dùng từ xa. Giống như PPTP, L2F cũng sử dụng các dịch vụ bảo mật được hỗ trợ bởi PPP cho xác thực. Kết quả là L2F sử dụng PAP để xác thực một Client từ xa khi một Gateway L2F nhận một yêu cầu kết nối. L2F cũng sử dụng lược đồ xác thực như sau để nâng cao tính bảo mật dữ liệu: - Giao thức xác thực có thăm dò trước(CHAP) - Giao thực xác thực mở rộng (EAP) 2.2.2.4. Các ưu và nhược điểm của L2F Mặc dù L2F yêu cầu mở rộng để khắc phục sự khác nhau với LCP và các tuỳ chọn xác thực, nhưng nó đắt hơn PPTP vì nó là giải pháp chuyển tiếp Frame ở mức thấp, nó cũng cung cấp một giải pháp VPN nền cho mạng doanh nghiệp tốt hơn PPTP. Những ưu điểm chính của việc thực thi một giải pháp L2F bao gồm: - Nâng cao tính bảo mật của các phiên giao dịch. - Độc lập với nền. - Không cần phải đàm phán với ISP. - Hỗ trợ nhiều công nghệ mạng như: ATM, FDDI, IPX, NetBEUI, và Frame Relay. Ngoài những ưu điểm trên, nó cũng có một số nhược điểm: - Việc thực thi giải pháp dựa trên L2F phụ thuộc nhiều vào ISP, nếu ISP không hỗ trợ L2F thì không thể thực hiện được giải pháp này. - L2F không cung cấp kiểm soát luồng. Và như vậy, nếu đường hầm bị đầy thì các gói dữ liệu có thể bị xoá tuỳ tiện. Điều này là nguyên nhân của việc phải phát lại gói dữ liệu, nó làm chậm tốc độ truyền. - Do kết hợp cả xác thực và mã hoá, các giao dịch thực hiện qua đường hầm dựa trên L2F là chậm khi so sánh với PPTP. Cùng với sự phát triển của L2F, có hai công nghệ đường hầm: L2F và PPTP cạnh tranh nhau trên thị trường VPN. Hai giao thức này không tương thích nhau. Kết quả là, các tổ chức đã gặp khó khăn vì yêu cầu của mỗi nơi một khác. IETF quyết định kết thúc sự rắc rối này bằng cách kết hợp cả hai công nghệ thành một giao thức và được dùng như một chuẩn trong giải pháp VPN. L2PT là kết quả của sự kết hợp này. 2.2.3. Giao thức đường hầm lớp 2 (L2TP) Được phát triển bởi IETF và được tán thành bởi các hãng lớn, như: Cisco, Microsoft, 3COM, và Ascend. L2TP là một sự kết hợp của các giao thức VPN trước đây như PPTP và L2F. Thực tế, nó là sự kết hợp những gì tốt nhất của PPTP và L2F. L2TF cung cấp sự mềm dẻo, khả năng mở rộng, giải pháp truy cập từ xa chi phí thấp của L2F và khả năng kết nối điểm - điểm nhanh nhất của PPTP. Điểm mấu chốt của những thuận lợi được mang lại bởi L2TP là sự tích hợp các đặc trưng của L2F và PPTP. Đó là những lợi ích sau: - L2TP hỗ trợ nhiều giao thức và công nghệ mạng, như IP, ATM, FR và PPP. Kết quả là nó có thể hỗ trợ các công nghệ riêng biệt bằng một thiết bị truy cập thông thường. - L2TP không yêu cầu bổ sung thêm bất kỳ phần mềm nào như thêm trình điều khiển hay hỗ trợ hệ điều hành. Cho nên người dùng từ xa cũng như người dùng trong Intranet riêng không cần phải thực thi các phần mềm đặc biệt. - L2TP cho phép những người dùng từ xa chưa đăng ký địa chỉ IP có thể truy cập một mạng từ xa qua một mạng công cộng. - Xác thực và cấp quyền L2TP được thực hiện bởi Gateway của mạng chủ. Vì vậy, ISP không cần phải duy trì một cơ sở dữ liệu xác thực người dùng hay quyền truy cập cho người dùng từ xa. Hơn nữa, trong mạng Intranet cũng có thể định nghĩa chính sách bảo mật và truy cập cho chính họ. Điều này làm cho tiến trình thiết lập đường hầm nhanh hơn nhiều so với các giao thức đường hầm trước. Đặc trưng chính của đường hầm L2TP là L2TP thiết lập đường hầm PPP mà không giống với PPTP là không kết thúc tại Site của ISP gần nhất. Để thay thế, đường hầm này mở rộng tới Gateway của mạng chủ (mạng đích). Như trong hình 2.15. Yêu cầu đường hầm L2TP có thể bị kết thúc bởi người dùng từ xa hoặc Gateway của ISP. Hình 2.15 Đường hầm L2TP Lúc một Frame PPP được gửi qua đường hầm L2TP, chúng được đóng gói lại như các thông điệp giao thức UDP. L2TP sử dụng các thông điệp UDP này cho cả dữ liệu đường hầm cũng như việc duy trì đường hầm. Cũng vì vậy, dữ liệu đường hầm L2TP và các gói duy trì đường hầm không giống với các giao thức trước có cùng cấu trúc gói. 2.2.3.1. Thành phần của L2TP Các giao dịch dựa trên L2TP tận dụng 3 thành phần cơ bản sau: Một Server truy cập mạng (NAS), một bộ tập trung truy cập L2TP (LAC) và một Server mạng L2TP (LNS). 1. Server truy cập mạng (NAS) Là thiết bị truy cập điểm - điểm, cung cấp kết nối Internet theo yêu cầu tới những người dùng quay số từ xa (qua một đường ISDN hoặc PSTN) dùng kết nối PPP. NAS chịu trách nhiệm xác thực những người dùng từ xa tại điểm ISP sau cùng và quyết định một xem kết nối quay số ảo có phải là yêu cầu thật hay không. Giống như NAS của PPTP, NAS của L2TP được đặt tại vị trí ISP và hoạt động như một Client trong tiến trình thiết lập đường hầm L2TP. NAS có thể trả lời và hỗ trợ nhiều yêu cầu kết nối đồng thời và có thể hỗ trợ nhiều loại Client (Sản phẩm của Microsoft, Unix, Linux,) 2. Bộ tập trung truy cập L2TP (LAC) Vai trò của LAC trong công nghệ đường hầm L2TP là thiết lập một đường hầm qua mạng công cộng (như PSTN, ISDN, hoặc Internet) tới LNS của mạng chủ sau cùng. Trong khía cạnh này, LAC server như là điểm kết thúc của môi trường vật lý giữa Client sau cùng và LNS của mạng chủ. Một điều quan trọng là LAC thường được đặt tại điểm xuất hiện của ISP nhằm cung cấp kết nối vật lý cho người truy cập từ xa. 3. Server mạng L2TP(LNS) LNS là điểm cuối đầu kia của một kết nối từ xa. Nó được đặt tại mạng trung tâm và có thể cho phép một hoặc nhiều cuộc kết nối từ xa cùng lúc. Khi một LNS nhận một yêu cầu cho một yêu cầu kết nối ảo từ một LAC, nó thiết lập đường hầm và xác thực người dùng đã khởi tạo kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo một giao diện ảo. 2.2.3.2. Các tiến trình L2TP Hình 2.16 Mô tả quá trình thiết lập đường hầm L2TP Khi một người dùng từ xa cần thiết lập một đường hầm L2TP qua mạng Internet hoặc mạng công cộng, tuần tự các bước như sau: 1) Người dùng từ xa gửi một yêu cầu kết nối tới NAS của ISP gần nhất và đồng thời khởi tạo một kết nối PPP với ISP sau cùng. 2) NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng cuối, NAS sử dụng phương pháp xác thực dựa trên PPP, như PAP, CHAP, SPAP và EAP cho chức năng này. 3) NAS sau đó khởi động LAC, nơi chứa thông tin về LNS của mạng đích. 4) Tiếp theo, LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian giữa hai đầu cuối. Môi trường đường hầm này có thể là ATM, Frame Relay hoặc IP/UDP. 5) Sau khi đường hầm đã được thiết lập thành công, LAC phân phối một định danh cuộc gọi(Call ID - CID) để kết nối và gửi thông điệp thông báo tới LNS, thông điệp này chứa thông tin mà có thể được dùng để xác thực người dùng từ xa (người yêu cầu đường hầm ban đầu). Thông điệp này cũng mang cả tuỳ chọn LCP đã được thương lượng giữa người dùng với LAC. 6) LNS sử dụng thông tin nhận được trong thông điệp thông báo để xác thực người dùng cuối. Nếu người dùng được xác thực thành công và LNS chấp nhận yêu cầu tạo lập đường hầm, một giao diện PPP ảo được thiết lập với sự trợ giúp của các tuỳ chọn nhận được từ thông điệp thông báo. 7) Người dùng từ xa và LNS bắt đầu trao đổi dữ liệu qua đường hầm. 2.2.3.3. Dữ liệu đường hầm L2TP Hình 2.17 Quá trình xử lý định đường hầm dữ liệu L2TP Tương tự như các gói đường hầm PPTP, các gói L2TP cũng trải qua nhiều mức đóng gói. Các giai đoạn này được minh hoạ trong hình 2.17, bao gồm: - Đóng gói PPP của dữ liệu: Không giống như đóng gói dựa trên PPTP, dữ liệu không được mã hoá trước khi đóng gói. Chỉ tiêu đề PPP được thêm vào gói dữ liệu gốc được tải. - Đóng gói L2TP của các Frame: Sau khi gói tải gốc được đóng gói vào trong một gói PPP, một tiêu đề L2TP được thêm vào. - Đóng gói UDP của các Frame: Tiếp theo, các gói dữ liệu L2TP đã đóng gói lại được đóng gói vào trong một Frame UDP. Tiếp sau đó, tiêu đề UDP được thêm vào Frame L2TP đã đóng gói. Cổng nguồn và đích trong UDP này được thiết lập là 1701. - Đóng gói IPSec của các gói dữ liệu UDP: Sau khi các Frame L2TP được đóng gói UDP, UDP này được mã hoá và một tiêu đề đóng gói tải bảo mật IPSec được thêm vào nó. Một đánh dấu xác thực tiêu đề IPSec cũng được gắn vào để mã hoá và đóng gói dữ liệu. - Đóng gói IP các gói dữ liệu IPSec đã bọc gói: Tiếp theo, tiêu đề IP cuối cùng được thêm vào các gói IPSec đã đóng gói. Tiêu đề IP này chứa địa chỉ IP của LNS và người dùng từ xa. - Đóng gói tầng liên kết dữ liệu: Một tiêu đề tầng liên kết dữ liệu và đánh dấu cuối cùng được thêm vào gói IP nhận được từ việc đóng gói IP cuối cùng. Tiêu đề và đánh dấu này giúp cho gói dữ liệu tới được Node đích. Nếu Node đích là node cục bộ, tiêu đề và đánh dấu dựa trên công nghệ mạng LAN. Trong trường hợp khác, nếu gói dữ liệu giành cho đích ở xa, một tiêu đề PPP và đánh dấu được thêm vào gói dữ liệu đường hầm L2TP. Hình 2.18 Tiến trình mở gói dữ liệu đường hầm L2TP Tiến trình mở gói dữ liệu đường hầm là ngược lại của thủ tục tạo đường hầm. Khi một thành phần L2TP (LNS hoặc người dùng cuối) nhận một gói dữ liệu đường hầm L2TP, trước tiên nó loại bỏ tiêu đề tầng liên kết dữ liệu và đánh dấu, tiếp đó gói dữ liệu được loại bỏ tiêu đề IP, gói dữ liệu sau đó được xác thực bằng việc dùng thông tin được mang trong tiêu đề ESP IPSec và đánh dấu AH, tiêu đề ESP IPSec cũng được dùng để giải mã thông tin. Tiếp theo tiêu đề UDP được xử lý và loại bỏ. Định danh đường hầm và CID trong tiêu đề L2TP phục vụ để định danh đường hầm L2TP và phiên làm việc. Cuối cùng, tiêu đề PPP được xử lý và loại bỏ, gói tải PPP được chuyển tiếp tới thiết bị giao thức thích hợp để xử lý. Hình 3.18 mô tả các tiến trình này. 2.2.3.4. Mô hình đường hầm L2TP L2TP hỗ trợ 2 mô hình đường hầm: Đường hầm tự nguyện (Voluntary) và đường hầm bắt buộc (Compulsory). Những đường hầm này vận dụng một luật quan trọng trong việc truyền dữ liệu từ một người dùng cuối này đến người dùng khác. 1. Đường hầm L2TP kiểu bắt buộc Một đường hầm L2TP bắt buộc, như ta thấy trong hình 2.19 được thiết lập giữa LAC của ISP sau cùng và LNS của mạng chủ. Điều quan trọng để thiết lập thành công một đường hầm như vậy là ISP có khả năng hỗ trợ công nghệ L2TP. Hơn nữa, ISP cũng phải dùng một luật khoá trong việc thiết lập các đường hầm L2TP. Trong đường hầm L2TP bắt buộc, người dùng cuối (hay client) chỉ là một thực thể bị động. Khác với việc phát ra yêu cầu kết nối gốc, người dùng cuối không có vai trò trong tiến trình thiết lập đường hầm. Vì vậy, không có thay đổi lớn được yêu cầu tại người dùng cuối L2TP. Hình 2.19 Đường hầm L2TP bắt buộc Việc tạo lập đường hầm L2TP được cân nhắc một tuỳ chọn tốt hơn từ quan điểm của bảo mật vì kết nối đường quay số tại người dùng cuối được dùng để thiết lập kết nối PPP với ISP. Kết quả là, người dùng không thể truy cập ngoại trừ qua Gateway trong Intranet. Nó cho phép người quản trị mạng thực thi các cơ chế bảo mật nghiêm ngặt, kiểm soát truy cập và các chiến lược kiểm toán. Hình 2.20 Thiết lâp một đường hầm L2TP bắt buộc Các bước thiết lập đường hầm bắt buộc được mô tả như trong hình 2.20 và bao gồm: 1) Người dùng từ xa yêu cầu một kết nối từ NAS cục bộ tới ISP. 2) NAS xác thực người dùng, tiến trình xác thực này cũng giúp cho NAS biết được về định danh của người dùng yêu cầu kết nối. Nếu định danh của người dùng ánh xạ tới một thực thể trong cơ sở dữ liệu được duy trì ở ISP, dịch vụ đó cho phép người dùng được ánh xạ. NAS cũng xác định điểm cuối của đường hầm L2TP. 3) Nếu NAS chấp nhận kết nối, một liên kết PPP được thiết lập giữa ISP và người dùng từ xa. 4) LAC khởi tạo một đường hầm L2TP tới LNS tại mạng chủ sau cùng. 5) Nếu kết nối được chấp nhận bởi LNS, các Frame PPP trải qua việc tạo đường hầm L2TP. 6) LNS chấp nhận các Frame và khôi phục lại Frame PPP gốc. 7) Cuối cùng, LNS xác thực người dùng và nhận các gói dữ liệu. Nếu người dùng được xác nhận thành công, địa chỉ IP thích hợp được ánh xạ tới Frame và sau đó các Frame được chuyển tiếp tới Node đích trong Intranet. 2. Đường hầm L2TP kiểu tự nguyện Một đường hầm tự nguyện L2TP như trong hình 2.21 được thiết lập giữa người dùng từ xa và LNS đặt tại mạng chủ cuối cùng. Trong trường hợp này, người dùng từ xa tự hoạt động như một LAC. Bởi vì luật của ISP trong việc thiết lập đường hầm tự nguyện L2TP là tối thiểu. Cơ sở hạ tầng của ISP là trong suốt với người dùng cuối. Điều này có thể làm cho bạn nhớ về đường hầm dựa trên PPP trong Intranet của ISP là trong suốt. Hình 2.21 Đường hầm L2TP tự nguyện Ưu điểm lớn nhất của đường hầm L2TP tự nguyện là nó cho phép người dùng từ xa kết nối đến Internet và thiết lập nhiều phiên VPN đồng thời. Tuy nhiên để sử dụng những ưu điểm này, người dùng từ xa phải gắn vào nhiều địa chỉ IP. Một trong nhiều IP này được dùng cho kết nối PPP tới ISP và thường được dùng để hỗ trợ cho mỗi đường hầm L2TP riêng biệt. Tuy nhiên ưu điểm này cũng có thể là một bất lợi đối với client từ xa, vì mạng chủ có thể dễ dàng bị tấn công. Hình 2.22 Quá trình thiết lập đường hầm L2TP tự nguyện Việc thiết lập một đường hầm loại này là đơn giản hơn thiết lập đường hầm bắt buộc vì người dùng từ xa tận dụng một kết nối PPP đã được thiết lập trước tới ISP sau cùng. Các bước thiết lập đường hầm bao gồm: 1) LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu đường hầm tới LNS. 2) Nếu yêu cầu đường hầm được chấp nhận bởi LNS, LAC tạo đường hầm cho các Frame PPP trên L2TP xác định và chuyển tiếp các frame này qua đường hầm. 3) LNS nhận được Frame đã qua đường hầm, loại bỏ thông tin đường hầm và xử lý Frame. 4) Cuối cùng, LNS xác thực định danh người dùng và nếu người dùng được xác thực thành công, thì chuyển tiếp Frame tới Node đích trong Intranet. Tiến trình thiết lập đường hầm L2TP tự nguyện được minh hoạ trong hình 2.22 Việc sử dụng L2TP trong VPN yêu cầu chi phí thấp tuy nhiên bên cạnh đó còn nhiều vấn đề về bảo mật vẫn chưa đáp ứng được. 2.2.3.5. Kiểm soát kết nối L2TP Chúng ta nhớ lại, PPTP sử dụng các kết nối TCP riêng cho việc duy trì đường hầm. Trường hợp khác, kiểm soát kết nối L2TP và các Frame quản trị được dựa trên UDP. Định dạng của thông điệp kiểm soát L2TP được mô tả như trong hình 2.23 Data Link Header IP Header IPSec ESP Header UDP Header L2TP Message IPSec ESP Trailer IPSec ESP Authentication Trailer Data Link Trailer Hình 2.23 Định dạng thông điệp kiểm soát L2TP Gói dữ liệu UDP, trên thông điệp kiểm soát L2TP là cơ sở, là khả năng kết nối. Điều này hàm ý rằng chúng có thể được phát ra ngoài trình tự và không được chấp nhận bởi người nhận ở phía bên kia. Vì lý do này, L2TP vận dụng kỹ thuật sắp tuần tự thông điệp. Kỹ thuật này đảm bảo rằng các thông điệp được phân phát tới những người dùng cuối đúng trình tự. Hai trường dữ liệu quan trọng: Next-Receiver và Next-Sent được sử dụng trong thông điệp kiểm soát L2TP để chắc chắn rằng các gói dữ liệu được phát tới người dùng hợp lệ. Bảng 2.2: Liệt kê một số thông điệp duy trì và kiểm soát L2TP được sử dụng Name Description Start-Control-Connection-Request Yêu cầu từ Client L2TP để thiết lập kết nối điều khiển Start-Control-Connection-Reply Phản hồi từ Server L2TP với thông điệp Start-Control-Connection-Request của Client. Thông điệp này cũng được gửi như một trả lời cho thông điệp Outgoing-Call-Reply. Start-Control-Connection-Connected Trả lời từ Client L2TP cho thông điệp Start-Control-Connection-Reply của LNS. Outgoing-Call-Request Yêu cầu từ Client L2TP tới LNS để tạo đường hầm L2TP. Yêu cầu này chứa Call ID để định dang một yêu cầu trong đường hầm. Outgoing-Call-Reply Trả lời từ LNS L2TP cho thông điệpOutgoing-Call-Request của Client. Hello Thông điệp Keep-alive gửi bới LNS hoặc Client. Nếu thông điệp này không được chấp nhận bởi thực thể cuối khác thì đường hầm bị kết thúc. Set-Link-Info Thông điệp từ bên ngoài khác để thiết lập các tuỳ chọn PPP đã thương lượng. Call-Disconnect-Notify Phản hồi từ Server L2TP để cho biết yêu cầu nào đó trong đường hầm L2TP để được kết thúc. WAN-Error-Notify Thông điệp từ Server L2TP (LNS) tới tất cả các Client L2TP đã được kết nối để thông báo lỗi trong giao diện PPP của Server. Stop-Control-Connection-Request Thông điệp từ Client hoặc Server L2TP để thông báo cho các thực thể cuối khác về việc kết thúc kết nối điều khiển. Stop-Control-Connection-Reply Phản hồi ngược lại từ thực thể cuối đối với thông điệp Stop-Control-Connection-Request. Stop-Control-Connection-Notification Phản hồi ngược lại từ thực thể cuối để cho biết đường hầm bị kết thúc. 2.2.3.6. Bảo mật L2TP L2TP sử dụng phương thức xác thực PPP để xác thực người dùng. Sơ đồ xác thực bao gồm: - PAP và SPAP. - EAP. - CHAP. Ngoài các cơ chế xác thực đã nói ở trên. L2TP còn sử dụng IPSec để xác thực các gói dữ liệu riêng. Mặc dù điều này làm giảm đáng kể tốc độ giao dịch. Dùng IPSec để xác thực từng gói đảm bảo rằng Hacker và Cracker không thể thay đổi được dữ liệu và đường hầm của bạn. 2.2.3.7. Những ưu và nhược điểm của L2TP Những thuận lợi chính của L2TP được liệt kê như sau: - L2TP là giải pháp chung. Trong nhiều trường hợp khác, nó độc lập với Platform, nó cũng hỗ trợ nhiều công nghệ mạng. Hơn nữa, nó cũng hỗ trợ giao dịch qua liên kết WAN Non-IP mà không cần một IP. - Đường hầm L2TP là trong suốt đối với ISP cũng như với người dùng từ xa. Vì vậy không cần phải cấu hình thêm tại ISP hoặc người dùng cuối cùng. - L2TP cho phép một tổ chức kiểm soát xác thực người dùng thay cho ISP. - L2TP cung cấp kiểm soát luồng và kết quả là các gói dữ liệu có thể bị loại bỏ một cách tuỳ ý nếu đường hầm bị đầy. Điều này làm cho các giao dịch L2TP nhanh hơn các giao dịch dựa trên L2F. - L2TP cho phép người dùng từ xa chưa đăng ký địa chỉ IP truy cập tới một mạng từ xa qua một mạng công cộng. - L2TP cũng nâng cao bảo mật do sử dụng mã hóa đường truyền tải dựa trên IPSec trong khi tạo lập đường hầm và thực thi khả năng xác thực trên từng gói của IPSec. Tuy nhiên nó cũng có một số nhược điểm. Đó là: - L2TP chậm hơn PPP hoặc L2F vì nó sử dụng IPSec để xác thực từng gói tin nhận được. 2.2.4. So sánh các giao thức đường hầm truy cập từ xa Bảng sau đưa ra một sự so sánh giữa 3 giao thức đường hầm truy cập từ xa nổi bật, L2F, PPTP, L2TP Bảng 2.3 Tổng hợp so sánh 3 giao thức VPN được tích hợp với tầng 2 Feature PPTP L2F L2TP Hỗ trợ nhiều giao thức Yes Yes Yes Hỗ trợ nhiều liên kết PPP No Yes Yes Hỗ trợ nhiều kết nối trên đường hầm No Yes Yes Các chế độ hoạt động được hỗ trợ Incoming & Outgoing Incoming Incoming Các chế độ đường hầm được hỗ trợ Voluntary Voluntary & Compulsory Voluntary & Compulsory Giao thức Carrier IP/GRE IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR, IP/ATM Giao thức kiểm soát TCP, Port: 1723 UDP, Port: 1701 UDP, Port: 1701 Các cơ chế xác thực MS-CHAP, PAP CHAP, PAP, SPAP, EAP, IPSec, RADIUS RADIUS & & TACACS CHAP, PAP, SPAP, EAP, IPSec, TACACS Các cơ chế mã hoá MPPE MPPE, IPSec MPPE, IPSec, ECP 2.5. Lập mã và xác thực trong các giao thức đường hầm tại tầng 2 Phần này chúng ta sẽ thảo luận về các tùy chọn xác thực và mã hóa được sử dụng cho các giao thức đường hầm tại tầng 2 đã đề cập ở trên 2.5.1. Các tùy chọn xác thực Xác thực là một trong những yêu cầu then chốt với các giải pháp VPN, một số kỹ thuật xác thực truy cập từ xa thường được sử dụng và sự thích hợp của chúng cho các giải pháp VPN. 2.5.1.1. Giao thức xác thực mật khẩu (Password Authentication Protocol - PAP) Là giao thức đơn giản nhất và là giao thức xác thực kết nối đường quay số tới ISP thông dụng nhất. Nó cũng được dùng để xác thực các kết nối dựa trên PPP, xác thực người dùng PPP trước khi một kết nối được thiết lập. Tuy nhiên nó gửi ID và mật khẩu của người dùng qua liên kết mà không mã hoá. Và như vậy, nó không đưa ra được sự bảo vệ từ việc phát lại hay thử lặp và các tấn công lỗi. PAP có các lỗ hỗng khác là các thực thể truyền thông cuối chỉ được xác thực một lần khi khởi tạo kết nối. Vì vậy, nếu kẻ tấn công vượt qua được một lần thì không còn phải lo lắng về vấn đề xác thực trong tương lai nữa!. Vì lý do này, PAP được xem như là một giao thức xác thực ít phức tạp nhất và không phải là cơ chế xác thực được ưa thích trong VPN. 2.5.1.2. Giao thức xác thực có thăm dò trước (Challenge Handshake Authentication Protocol - CHAP) CHAP được phát triển để nhằm vào việc giải quyết vấn đề gửi mật khẩu dạng rõ trong khi sử dụng PAP. Trong CHAP khi một Client thay đổi định danh, nó đáp lại bằng một giá trị hàm băm nhận được qua hàm băm MD5. Nếu giống với giá trị tại Server cuối sử dụng cùng thủ tục như ở Client thì Client được xác thực thành công, không có mật khẩu rõ được trao đổi trong tiến trình. Vấn đề khác thường tích hợp với PAP là thực thể truyền thông cuối chỉ được xác thực một lần trong một tiến trình trao đổi thông tin. Vì CHAP xác thực nhiều lần trong một phiên, nó tạo ra khó khăn cho kẻ tấn công muốn phá vỡ quá trình truyền thông. 2.5.1.3. Giao thức xác thực có thăm dò trước của Microsoft (Microsoft CHAP) MS-CHAP là phiên bản thương mại của Microsoft và được dùng cho xác thực dựa trên PPP. Vì sự tương đồng cao với CHAP, các chức năng của MS-CHAP khá giống với CHAP. Điểm khác nhau chính giữa chúng là trong khi CHAP dựa trên RSA và thuật toán MD5 thì MS-CHAP dựa trên RSA RCA và DES. Mục đích là MS-CHAP được phát triển chỉ cho các sản phẩm Microsoft, nó không được hỗ trợ bởi các nền khác. 2.5.1.4. Giao thức xác thực mật khẩu Shiva (Shiva Password Authentication Protocol - SPAP) SPAP là một phương pháp độc quyền cho việc xác thực các Client quay số và một số Client Microsoft. Nó cung cấp một giao thức thăm dò trước 2 bước giữa Client và Server với một Password đã mã hóa. Trong một số kịch bản, SPAP có thể cung cấp thêm một số chức năng như CallBack, đổi mật khẩu và tạo các kết nối ảo. 2.5.1.5. Giao thực xác thực mở rộng (Extensible Authentication Protocol - EAP) Không giống như các phương pháp PAP và CHAP, chúng được thực thi tại thời gian cấu hình LCP, trong khi thiết lập kết nối PPP. EAP được thực hiện sau pha LCP, lúc xác thực PPP được thực hiện. Vì lý do đó, EAP cho phép xác thực phạm vi rộng vì tăng số lượng các tham số kết nối có thể được dùng tuỳ chọn như thông tin xác thực. 2.5.1.6. Kiến trúc bảo mật IP (IP Security) Kiến trúc IPSec bao gồm 2 giao thức: Giao thức xác thực tiêu đề (Authentication Header - AH) và giao thức bao gói tải bảo mật(Encapsulating Security Payload - ESP). Cả 2 giao thức đều xác thực trên từng gói dữ liệu trong một phiên làm việc, thay cho trên từng người dùng tại thời điểm thiết lập phiên làm việc hay nhiều lần trong một phiên. AH và ESP cũng cung cấp sự bảo vệ lại. Điều này làm cho xác thực IPSecurity an toàn hơn nhiều so với các tùy chọn xác thực PPP truyền thống, nhưng nó cũng phát sinh một quá trình xử lý Overhead khá cao tại các thiết bị thực hiện. IPSec là giao thức bảo mật được khuyến cáo cho L2TP và có thể được sử dụng cùng với L2F cũng như với PPTP về mặt lý thuyết 2.5.1.7 RADIUS and TACACS RADIUS và TACACS cung cấp một trung tâm xác thực với người dùng truy cập từ xa. Cả 2 công nghệ làm việc theo cách tương tự nhau. Một Server truy cập từ xa thực thi một RADIUS hay TACACS Client để chuyển tiếp các yêu cầu xác thực tới một Server trung tâm, nơi yêu cầu được xử lý và được cấp quyền truy cập hoặc từ chối truy cập. RADIUS và TACACS cũng cho phép chuyển thông tin cấu hình từ Client tới một cơ sở dữ liêu trung tâm. RADIUS có thể được kết nối vào một hệ thống xác thực trung tâm khác như Kerberos, DCE và RACF 2.5.1.8. ID bảo mật ID bảo mật được phát triển bởi công ty Security Dynamic, dựa trên khả năng xác thực 2 nhân tố. Người dùng không chỉ yêu cầu một Password để xác thực thành công mà còn cả một mã PIN bí mật dưới dạng một số ngẫu nhiên có thể thay đổi qua mỗi lần. Password được lưu trữ trong một cơ sở dữ liệu tại Server và được so sánh với Password do người dùng nhập vào khi đăng nhập. Số ngẫu nhiên được tạo cho mỗi người dùng tại Server và được thay đổi trong mỗi một khoảng thời gian nhất định. Người dùng được cung cấp một thiết bị dưới dạng một thẻ bài chứa khoá (key chain token) hoặc một thẻ thông minh (smart card), trong đó có một con chip vi xử lý thực hiện việc tính toán số ngẫu nhiên giống như là Server. Chip đó có một đồng hồ đồng bộ hoàn toàn với Server vì vậy người dùng có khả năng đăng nhập thành công bằng việc nhập vào Password và PIN đã có trên thiết bị thẻ. SecureID dựa trên mô hình Client/Server tương tự với RADIUS và TACACS, trong đó một Server truy cập hoạt động như một Client/Proxy SecureID để chuyển tiếp yêu cầu xác thực tới Server trung tâm, Server này thường được gọi là ACE/Server. SecureID cũng được dùng như một hệ thống xác thực thứ cấp với RADIUS. 2.5.2. Tuỳ chọn mã hoá Mã hoá và trao đổi khoá là 2 yêu cầu then chốt với VPN, trong phần sau ta sẽ thảo luận về một số kỹ thuật mã hoá truy cập từ xa thường được sử dụng và sự thích hợp của chúng với VPN 2.5.2.1. Mã hoá điểm tới điểm của Microsoft(Microsoft Point-to-Point Encryption - MPPE) MPPE sử dụng hàm băm MD4 được tạo khi xác thực bằng phương pháp MS-CHAP để nhận được khóa mật cho một kết nối PPP. Đây là một phương pháp mã hoá điển hình được dùng cho PPTP với các Client Microsoft. Thuật toán mã hoá dùng cho MPPE là RC4 với khoá 40bit, nó được xem là rất yếu với những kỹ thuật Hacker tiên tiến ngày nay. Microsoft cũng đưa ra một phiên bản với khoá 128bit cho thị trường Mỹ. Microsoft thực thi PPTP theo cách thức là cứ sau 256 gói dữ liệu được mã hóa thì Refresh lại khóa 2.5.2.2. Giao thức kiểm soát mã hóa(Encryption Control Protocol - ECP) ECP có thể được dùng để thương lượng mã hóa với một kết nối PPP, làmột kết nối đã được thiết lập và xác thực. ECP cho phép sử dụng các thuật toán mã hóa khác nhau trong mỗi chỉ thị nhưng không cung cấp khả năng Refresh khóa. Thuật toán mã hóa chuẩn là DES nhưng khách hàng có thể tự chọn thuật toán mà họ ưa thích để thực hiện. 2.5.2.3. IPSec IPSec mang lại chức năng mã hóa với giao thức đóng gói tải bảo mật và sử dụng giao thức trao đổi khóa Internet cho việc sinh khóa và làm tươi khóa. ESP có khả năng mã hóa trên từng gói dữ liệu trong một phiên giao dịch và đưa ra thuật toán mã hóa ở các mức độ: thấp, trung bình, mạnh và rất mạnh để có thể lựa chọn từ DES 40bit đến Trip DES 192bit. IKE xác thực các bên cần trao đổi thông tin mật dựa trên các thuật toán xác thực mạnh cũng như mã hóa các thông điệp làm tươi khóa. Các khóa được sinh bởi IKE sau đó được sử dụng bởi IKE. ESP cung cấp tùy chọn xác thực trên từng gói dữ liệu và bảo vệ lại. Điều này làm cho IPSec phức tạp và an toàn hơn các tùy chọn xác thực PPP truyền thống. Nhưng nó cũng làm xuất hiện quá trình xử lý Overhead nhiều hơn tại thiết bị thực thi. IPSec là giao thức bảo mật được khuyến cáo cho L2TP và cũng có thể được dùng với L2F. Tổng kết Trong chương này, chúng ta đã tìm hiểu về các giao thức được hầm tại tầng 2 của mô hình OSI. Các giao thức này là PPTP, L2F, L2TP. Chúng ta cũng tìm hiểu chi tiết về cách thức làm việc của các giao thức, bao gồm cả các thành phần, các tiến trình và việc duy trì kiểm soát kết nối được áp dụng cho mỗi giao thức. Chúng ta đã xem xét các tiến trình thiết lập một đường hầm của mỗi giao thức cũng như việc xử lý dữ liệu đường hầm và quy tắc của nó trong việc bảo mật dữ liệu. Chúng ta cũng đã xem xét khía cạnh bảo mật của mỗi giao thức, bao gồm cả các cơ chế mã hóa và xác thực khác nhau được sử dụng bởi mỗi giao thức để bảo đảm an toàn cho dữ liệu trong khi truyền qua đường hầm. Cuối cùng, chúng ta xem xét những ưu nhược điểm của mỗi giao thức. Câu hỏi ôn tập 1. Những giao thức đường hầm nào sau đây được gắn với tầng 2 của mô hình OSI? PPTP L2F IPSec L2TP 2. Cổng mạng được dùng bởi L2F cho việc thiết lập và kiểm soát kết nối là____________. TCP: 1701 UDP: 1723 UDP: 1701 TCP: 1723 3. Cổng mạng được dùng bởi PPTP cho việc định đường hầm dữ liệu tới đích là____________. IP: 47 TCP: 47 UDP: 47 TCP: 1723 4. Frame hợp lệ nào sau đây được dùng cho việc kiểm soát kết nối? Link Control Protocol Link termination Network Control Protocol Link establishment 5. Giao thức đường hầm nào sau đây được hỗ trợ bởi Windows NT 4.0 Server? PPTP L2TP L2F Tất cả giao thức trên 6. Những thành phần nào sau đây là của một đường hầm L2TP? LLC LNS NAS LSN 7. Giao thức đường hầm đầu nào sau đây lần đầu tiên cho phép nhiều kết nối trên đường hầm? PPTP L2TP L2F Không có giao thức nào 8. Câu nào sau đây về L2F là đúng? It is a proprietary tunneling protocol by Cisco. It offers advanced flow-control services. It supports voluntary tunnels. It supports compulsory tunnels. 9. Giao thức đường hầm nào sau đây hỗ trợ IKE? PPTP L2TP IPSec L2F Chương III Các giao thức mạng riêng ảo tại tẩng 3 Trong chương II chúng ta đã nghiên cứu về các giao thức mạng riêng ảo, như PPTP, L2TP, L2F tại tầng 2 của mô hình OSI. Trong chương này sẽ nghiên cứu giao thức mạng riêng ảo hoạt động tại tầng 3 của mô hình OSI. Với đặc tính quản lý khóa, bảo mật và xác thực mạnh của IPSec, nó nổi bật lên như một chuẩn mạng riêng ảo thực tế. Trong thực tế, phần lớn giải pháp mạng riêng ảo ngày nay thường dựa trên IPSec. Vì vậy, IPSec là gì? Làm thế nào để nó đảm bảo an toàn cho các giao dịch trong khi truyền dữ liệu? Tại sao nó lại trở nên thông dụng? Chương này sẽ cố gắng trả lời các câu hỏi này. Đúng như tên gọi, giao thức IPSec thực hiện việc bảo mật các gói IP. Giao thức IPSec cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo mật nội dung thông tin. Thuật ngữ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào một bộ của các giao thức (AH, ESP, FIP-140-1, và các chuẩn khác) mà đã được IETF phát triển. Mục đích chính đằng sau sự phát triển của IPSec là cung cấp một khung bảo mật tại lớp 3(Lớp mạng) của mô hình OSI, như trong hình 3.1 Hình 3.1 Vị trí của IPSec trong mô hình OSI 3.1. Kiến trúc an toàn IP (IPSec) Trong phần này chúng ta sẽ xem xét khái quát về kiến trúc an toàn cho giao thức Internet(IPSec) - một công nghệ mà phần lớn các giải pháp mạng riêng ảo đều dựa vào nó. 3.1.1. Giới thiệu chung và các chuẩn Kiến trúc IPSec cung cấp một bộ khung an toàn tại tầng IP với cả IPV4 và IPV6. Bằng cách cung cấp khả năng an toàn tại tầng này, các giao thức tầng giao vận và các ứng dụng có thể dùng IPSec để đảm bảo an toàn mà không phải thay đổi gì cả. Một số ứng dụng cung cấp dịch vụ bảo mật trên tầng ứng dụng như SSL hay TLS. Đối với các giao thức này, trình ứng dụng gọi tới ứng dụng bảo mật do tầng dưới cung cấp để tạo các ứng dụng bảo mật (ví dụ như giao diện cung cấp các hỗ trợ bảo mật -SSPI). Trong sản phẩm Window 2000 cung cấp giao diện chung cho phép các ứng dụng ở tầng trên truy nhập vào các module bảo mật ở tầng dưới), các ứng dụng ít nhất cần nhận thức được vấn đề bảo mật. IPSec giải quyết được yêu cầu này bằng cách chuyển vấn đề bảo mật xuống tầng 3. Điều này cho phép các ứng dụng duy trì được tính không phụ thuộc vào hạ tầng bảo mật của các tầng dưới. Các gói IP sẽ được bảo vệ mà không phụ thuộc vào các ứng dụng đã sinh ra chúng. Nói một cách khác, các ứng dụng không cần biết tới vấn đề bảo mật trên nền IP. Các quy tắc bảo mật được định nghĩa thống nhất giữa các nhà quản trị mà không phụ thuộc vào một ứng dụng nào được chạy trên hệ thống và IPSec là trong suốt đối với các ứng dụng. Điều này đem lại những lợi ích vô cùng to lớn, đó là khả năng xác thực, bảo mật và kể cả mã hoá dữ liệu được truyền qua bất kỳ mạng IP nào. Như vậy, IPSec cung cấp khả năng bảo mật đầu cuối - tới - đầu cuối giữa các máy tính và mạng máy tính. IPSec là một kiến trúc an toàn dựa trên chuẩn mở, nó có các đặc trưng sau: - Cung cấp tính xác thực, mã hóa, toàn vẹn dữ liệu và bảo vệ sự phát lại - Cung cấp khả năng tạo và tự động làm tươi các khóa mật mã một cách an toàn - Sử dụng các thuật toán mật mã mạnh để cung cấp tính bảo mật - Cung cấp khả năng xác thực dựa trên chứng chỉ số - Điều chỉnh các thuật toán mật mã và các giao thức trao đổi khoá - Cung cấp tính năng an toàn cho các giao thức đường hầm truy cập từ xa như L2TP, PPTP IPSec cung cấp khả năng bảo mật thông tin giữa hai đầu cuối nên chỉ có nơi gửi và nơi nhận là cần biết chi tiết về các vấn đề liên quan đến bảo mật. Các thiết bị khác nằm trên đoạn đường giữa hai đầu không phải bận tâm đến công việc mã hoá, trao đổi khoá bảo mật vv khi chuyển tiếp dữ liệu. Đối với khách hàng, điều này đồng nghĩa với việc một chế độ bảo mật mức cao có thể được thiết lập mà không đòi hỏi sự đầu tư hay thay đổi quá lớn đối với hạ tầng mạng, người ta gọi giải pháp VPN ứng dụng giao thức IPSec là “Desktop VPN” vì toàn bộ chức năng bảo mật dữ liệu được thực hiện ngay tại trạm làm việc và các thiết bị mạng không cần quan tâm đến các công tác bảo đảm an toàn. Khi sử dụng các thuật toán xác thực và mã hoá dữ liệu đã được chuẩn hoá, IPSec đã khai thác tối đa lợi ích của các công nghệ này và tạo ra một cách tiếp cận hiệu quả tới mục tiêu bảo vệ luồng dữ liệu truyền trên mạng. Công việc bảo mật các gói tin IP được thực hiện bằng hai giao thức: Xác thực tiêu đề(AH) và đóng gói tải bảo mật(ESP). AH được sử dụng để đảm bảo tính toàn vẹn của dữ liệu, cung cấp khả năng bảo vệ trước sự giả mạo và chế độ xác thực đối với máy chủ. ESP cũng thực hiện các chức năng tương tự như AH nhưng nhưng kèm thêm khả năng bảo mật dữ liệu. Cũng cần nhấn mạnh rằng cả hai giao thức này đều không chỉ ra bất kỳ một thuật toán mã hoá và xác thực cụ thể nào mà chỉ tạo ra khả năng ứng dụng tốt nhất một trong các thuật toán đang hiện hành. Encapsulating Security Payload (ESP) protocol IP Security architecture Key management Protoccol Domain of Interpretation AuthenticationHeader (AH) Protocol Encryption Algorithms Authentication Hình 3.25: Kiến trúc bộ giao thức IPSec Bộ giao thức IPSec mang lại ba khả năng chính, đó là: - Đảm bảo tính toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế mạnh để xác minh tính xác thực của người gửi và nhận ra bất kỳ sự thay đổi nào không bị phát giác trước đó về nội dung của gói dữ liệu bởi người nhận không mong muốn. Giao thức IPSec mang lại sự bảo vệ tốt chống lại sự giả mạo, do thám hoặc tấn công dịch vụ. - Sự tin cậy: Giao thức IPSec mã hoá dữ liệu bằng việc dùng các kỹ thuật mật mã cao cấp, nó ngăn chặn những người dùng trái phép truy cập dữ liệu trong khi nó đang được truyền đi. IPSec cũng sử dụng các cơ chế đường hầm để dấu địa chỉ IP của Node nguồn và đích đối với kẻ nghe trộm. - Quản lý khóa: IPSec sử dụng giao thức bên thứ ba, trao đổi khoá Internet (IKE) để thương lượng giao thức bảo mật và thuật toán mã hóa trước và trong một phiên làm việc. Quan trọng hơn, IPSec phân phối, kiểm soát khoá và cập nhật các khoá này khi được yêu cầu. Hai khả năng thứ nhất của IPSec, xác thực tính toàn vẹn dữ liệu và sự tin cậy được cung cấp bởi hai giao thức khoá trong bộ giao thức IPSec. Các giao thức này bao gồm AH và ESP. Khả năng thứ ba, quản trị khoá, nằm trong địa hạt của giao thức khác. Nó được chấp nhận bởi bộ IPSec vì dịch vụ quản lý khoá tốt của nó 3.1.2. Liên kết bảo mật IPSec (SA-IPSec) Liên kết bảo mật là một khái niệm cơ sở của giao thức IPSec. Như một lời trích dẫn của các nhà phát triển IPSec: Một SA là một kết nối logic theo hướng duy nhất giữa hai thực thể sử dụng các dịch vụ IPSec, được định danh một cách duy nhất bởi ba phần sau: Một IPSec SA được xác định là: - Các thuật toán, khoá, các giao thức xác thực. - Mô hình và khoá cho các thuật toán xác thực được dùng bởi các giao thức AH hoặc ESP của IPSec thích hợp. - Các thuật toán mã hoá, giải mã và các khoá. - Thông tin liên quan đến khoá như: thời gian thay đổi và thời gian sống của khoá. - Thông tin liên quan đến chính SA, bao gồm: địa chỉ nguồn SA, thời gian sống. Sau đây ta sẽ lần lượt xem xét ba phần của một SA Hình 3.3 Mô tả ba trường của một IPSec SA Như hình minh hoạ 3.3, một SA gồm 3 trường - SPI(Security Parameter Index): Là một trường 32 bít, nó định danh giao thức bảo mật, được xác định bởi trường giao thức bảo mật(Security Protocol), từ IPSec thích hợp đang sử dụng. SPI được mang như một phần trên tiêu đề của giao thức bảo mật và thường được lựa chọn bởi hệ thống đích trong khi thương lượng thiết lập SA. SPI chỉ có ý nghĩa lôgic, được định nghĩa bởi người tạo SA. SPI nhận các giá trị trong phạm vi 1 đến 255, giá trị 0 được dùng cho mục đích thực thi đặc biệt cục bộ - Địa chỉ IP đích: Đây là địa chỉ IP của Node đích. Mặc dù nó có thể là một địa chỉ broadcast, unicast hoặc multicast, các cơ chế quản trị SA hiện tại được định nghĩa chỉ với các địa chỉ unicast. - Giao thức bảo mật: Trường này mô tả giao thức bảo mật IPSec, nó có thể là AH hoặc ESP. Trước khi hai máy chủ có thể liên lạc được với nhau sử dụng giao thức IPSec, chúng cần thống nhất các hướng dẫn cho phiên làm việc đó (ví dụ như cách xác thực lẫn nhau hay thuật toán mã hoá hai bên cùng sử dụng). Đây chính là việc liên kết bảo mật, đó chính là thoả thuận cách thức thống nhất được sử dụng cho việc bảo mật dữ liệu giữa hai đầu cuối. Một SA IPSec sử dụng hai cơ sở dữ liệu: + Cơ sở dữ liệu chính sách bảo mật (SPD): duy trì thông tin về dịch vụ bảo mật trong một danh sách có thứ tự của các thực thể chính sách vào ra. Rất giống với các luật và bộ lọc gói tin của Firewall. Các thực thể này định nghĩa lưu lượng phải được xử lý và lưu lượng được bỏ qua trên các chuẩn IPSec. + Cơ sở dữ liệu liên kết bảo mật(SAD): duy trì thông tin liên quan tới mỗi SA. Thông tin này bao gồm cả các khoá và thuật toán, khoảng thời gian sống của SA, chế độ giao thức và số tuần tự. Liên kết bảo mật là đa hướng, có nghĩa là cần thiết lập các liên kết bảo mật khác nhau cho luồng dữ liệu đi và đến. Thêm vào đó, nếu máy chủ liên lạc với một hay nhiều máy chủ khác trong cùng một thời điểm thì cũng cần thiết lập từng đó liên kết. Các liên kết bảo mật được lưu trữ trong cơ sở dữ liệu tại mỗi máy tính với chỉ số về thông số bảo mật (SPI) cho mỗi phần tiêu đề AH và ESP tương ứng. Phía nhận sẽ sử dụng các thông số này để quyết định sẽ áp dụng liên kết bảo mật nào để xử lý gói tin vừa nhận được. Trên thực tế, thủ tục trao đổi khoá Internet (IKE) là thủ tục cho phép quản lý việc tạo ra các liên kết bảo mật và tạo ra các khoá bảo mật để bảo vệ nội dung thông tin. IKE sử dụng thuật toán Diffie- Hellman để tạo ra và quản lý các khoá bí mật, thiết lập kênh trao đổi khoá đối xứng dùng cho việc mã hoá và giải mã thông tin giữa hai đầu, cuối. 3.1.3. Các giao thức của IPSec Đó là các giao thức xác thực tiêu đề (AH) và giao thức đóng gói tải bảo mật (ESP). Các giao thức này có thể được cấu hình để bảo vệ toàn bộ phần thân của gói tin IP hoặc chỉ riêng phần thông tin liên quan đến các giao thức ở tầng trên. AH được định nghĩa bởi nhóm làm việc RFC 2402, đảm bảo tính toàn vẹn dữ liệu trên đường truyền bằng khoá H (Hàm băm – Hashing function). AH thực hiện phần thuật toán băm cả phần đầu và phần thân của gói tin IP nhưng không áp dụng cho các thông tin sẽ thay đổi trên đường truyền như số đếm của mỗi nút mạng, vì thế AH cho phép thay đổi thông tin địa chỉ và đảm bảo dữ liệu của gói tin IP sẽ không bị nghe