Đề tài Tổng quan về VPN
Tài liệu Đề tài Tổng quan về VPN: Khoá luận tốt nghiệp Đại học Công nghệ Lê Anh Hưng K49DB 1 Mục lục Lời mở đầu Chương 1: Tổng quan về VPN 1. Tổng Quan ...................................................................................................... 5 1.1 Định nghĩa VPN ................................................................................... 5 1.2 Lợi ích của VPN .................................................................................. 6 1.3 Chức năng của VPN ............................................................................. 7 2 Định nghĩa “đường hầm” và “mã hoá” ......................................................... 7 2.1 Định nghĩa đường hầm: ........................................................................ 7 2.2 Cấu trúc một gói tin IP trong đường hầm: ............................................ 8 2.3 Mã hoá và giải mã (Encryption/Deccryption): ...................................... 8 2.4 Một số thuật ngữ sử dụng trong VPN: ........................
Bạn đang xem trước 20 trang mẫu tài liệu Đề tài Tổng quan về VPN, để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 1
Mục lục
Lời mở đầu
Chương 1: Tổng quan về VPN
1. Tổng Quan ...................................................................................................... 5
1.1 Định nghĩa VPN ................................................................................... 5
1.2 Lợi ích của VPN .................................................................................. 6
1.3 Chức năng của VPN ............................................................................. 7
2 Định nghĩa “đường hầm” và “mã hoá” ......................................................... 7
2.1 Định nghĩa đường hầm: ........................................................................ 7
2.2 Cấu trúc một gói tin IP trong đường hầm: ............................................ 8
2.3 Mã hoá và giải mã (Encryption/Deccryption): ...................................... 8
2.4 Một số thuật ngữ sử dụng trong VPN: .................................................. 8
2.5 Các thuật toán được sử dụng trong mã hoá thông tin ............................ 9
3 Các dạng kêt nối mạng riêng ảo VPN ......................................................... 10
3.1 Truy cập VPN (Remote Access VPNs) .............................................. 10
3.1.1 Một số thành phần chính ............................................................. 11
3.1.2 Thuận lợi chính của Remote Access VPNs: ................................ 12
3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác
như: .................................................................................................... 12
3.2 Site – To – Site VPN ......................................................................... 13
3.2.1 Intranet........................................................................................ 14
3.2.2 Extranet VPNs (VPN mở rộng) ................................................... 16
4. VPN và các vấn đề an toàn bảo mật trên Internet. ..................................... 18
4.1 An toàn và tin cậy. ............................................................................. 19
4.2 Hình thức an toàn ............................................................................... 20
Chương 2: Giao thức trong VPN
1 Bộ giao thức IPSec (IP Security Protocol): ................................................ 22
1.1 Cấu trúc bảo mật ..................................................................................... 22
1.1.1 Hiện trạng ......................................................................................... 23
2 Chế độ làm việc của IPSec .......................................................................... 23
2.1 Chế độ chuyển vận (Transport mode) ................................................. 23
2.2 Chế độ đường hầm ( Tunnel Mode ):.................................................. 24
3 Giao thức PPTP và L2TP ............................................................................. 31
3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling
Protocol) ....................................................................................................... 31
3.1.1 Quan hệ giữa PPTP và PPP ......................................................... 32
3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol) .................... 34
3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol)............... 35
3.3.1 Quan hệ giữa L2TP với PPP ............................................................ 36
3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview). .......... 38
3.5 Ứng dụng L2TP trong VPN................................................................. 42
3.6 So sánh giữa PPTP và L2TP ............................................................... 42
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 2
3.6.1 Ưu điểm của L2TP. ........................................................................ 43
3.6.2 Ưu điểm của PPTP ...................................................................... 43
Chương 3: Mã hoá và chứng thực trong VPN
1. Mã hoá trong VPN. ...................................................................................... 45
1.1 Thuật toán mã hoá DES...................................................................... 45
1.1.1 Mô tả DES .................................................................................. 46
1.1.2 Ưu và nhược điểm của DES ....................................................... 47
1.1.3 Ứng dụng của thuật toán DES trong thực tế. ............................... 47
1.2 Thuật toán mã hoá 3DES. ................................................................... 48
1.2.1 Mô tả 3DES. ............................................................................... 48
1.2.2 Ưu và nhược điểm của 3DES ...................................................... 49
1.3 Giải thuật hàm băm (Secure Hash Algorithm). ................................... 49
1.4 Giải thuật RSA ................................................................................... 49
2 Chứng thực trong VPN ................................................................................ 50
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực bằng
mật khẩu. ...................................................................................................... 51
2.2 Challenge Handshare Authentication Protocol (CHAP). ..................... 52
3 Firewall ........................................................................................................ 52
3.1 Khái niệm về Firewall. ....................................................................... 52
3.2 Các thành phần của Firewall. ............................................................. 53
3.2.1 Bộ lọc gói (Packet Filtering Router). ........................................... 53
3.2.2 Cổng ứng dụng (Application-level gateway) ............................... 55
3.2.3 Cổng vòng (Circuit-level Gateway) .................................................. 57
3.3 Những hạn chế từ Firewall ................................................................. 58
3.4 Thiết lập chính sách cho Firewall ....................................................... 58
3.5 Một số loại Firewall ........................................................................... 59
3.5.1 Screened Host Firewall. .................................................................... 60
3.5.2 Screened-Subnet Firewall ................................................................. 61
3.6 Mô hình kết hợp Firewall với VPN. ........................................................ 62
Chương 4: Cấu hình VPN trên thiết bị Cisco
1. Mô hình Site –to – Site VPN và Extranet VPN ....................................... 64
1.1 Kịch bản Site – to – site VPN ............................................................. 64
1.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình site – to –site
VPN .................................................................................................... 64
1.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Site – to – Site VPN ............ 65
2.1 Kịch bản Extranet............................................................................... 65
2.1.1 Phân chia các thành phần địa chỉ vật lý của mô hình Extranet VPN
.................................................................................................... 66
2.1.2 Bảng địa chỉ chi tiết cho mô hình mạng Extranet VPN ............... 66
2 Cấu hình đường hầm (tunnel) ...................................................................... 67
2.1 Sự định cấu hình một GRE Tunnel ..................................................... 68
2.1.1 Sự cấu hình giao diện đường hầm, Nguồn, và Đích ..................... 68
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 3
2.1.2 Kiểm tra giao diện đường hầm, Nguồn, và Đích.......................... 70
2.2 Cấu hình một IPSec Tunnel: ............................................................... 70
3 Cấu hình NAT (Network Address Translation). ........................................ 71
3.1 Cấu hình Static Inside Source Address Translation............................ 73
3.2 Kiểm tra Static Inside Source Address Translation. ........................... 73
4 Cấu hình sự mã hoá và IPSec. ..................................................................... 74
4.1. Cấu hình những chính sách IKE: ........................................................ 75
4.1.1 Tạo ra những chính sách IKE. ..................................................... 76
4.1.2 Cấu hình bổ xung thêm yêu cầu cho những chính sách IKE: ....... 77
4.1.3 Cấu hình Những khoá dùng chung .............................................. 78
4.2 Cấu hình cổng vào cho sự thao tác giữa chứng chỉ số. ........................ 80
4.2.1 Kiểm tra IKE Policies ................................................................. 81
4.2.2 Cấu hình khoá dùng chung khác ................................................. 81
4.3 Cấu hình IPSec và chế độ IPSec tunnel. ............................................. 82
4.3.1 Tạo ra những danh sách truy nhập mật mã. ................................. 83
4.3.2 Kiểm tra những danh sách mật mã. ............................................. 83
4.4 Định nghĩa những tập hợp biến đổi và cấu hình chế độ IPSec tunnel .. 83
4.4.1 Kiểm tra những tập hợp biến đổi và chế độ IPSec tunnel............. 85
4.5 Cấu hình Crypto Maps. ...................................................................... 85
4.5.1 Tạo ra những mục Crypto Map. .................................................. 85
4.5.2 Kiểm tra những mục Crypto map ................................................ 88
4.5.3 Áp dụng Crypto map vào Interface.............................................. 88
4.5.4 Kiểm tra sự kết hợp Crypto Map trên interface............................ 89
5. Cấu hình những tính năng Cisco IOS Firewall .......................................... 89
5.1 Tạo ra Access list mở rộng và sử dụng số Access list ......................... 90
5.2 Kiểm tra Access list mở rộng ............................................................. 90
5.3 Áp dụng Access-list tới Interface ....................................................... 90
5.4 Kiểm tra Access-list được áp dụng chính xác ........................................ 91
Chương 5: Cấu hình VPN trên Widows Server 2003
1. Giới thiệu chung ........................................................................................... 92
2. Cài đặt VPN Server ............................................................................................. 92
3. Cấu hình VPN Server .......................................................................................... 99
3.1. Route and Remote Access Properties ..................................................... 99
3.2. Ports Properties .................................................................................... 102
3.3. Remote Access Policies ....................................................................... 103
4. Tạo User trên Windows cho phép sử dụng VPN ............................................. 104
5. VPN Client trên Windows XP .......................................................................... 106
6. Quản lý kết nối trên VPN Server............................................................... 113
Kết luận .................................................................................................................. 115
Tài liệu tham khảo ................................................................................................. 116
CÁC THUẬT NGỮ VIẾT TĂT .............................................................................. 117
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 4
Lời mở đầu
Trước kia, cách truy cập thông tin từ xa trên máy tính được thực hiện là
sử dụng một kết nối quay số. Các kết nối RAS dial-up làm việc trên các đường
điện thoại POTS (Plain Old Telephone Service) thông thường và có tốc độ đạt
vào khoảng 56kbps. Tốc độ là một vấn đề lớn đối với các kết nối dial-up RAS,
tuy nhiên một vấn đề lớn hơn là chi phí cho các kết nối đối với khoảng cách dài
cần có cho việc truy cập
Ngày nay với sự phát triển bùng nổ, mạng Internet ngày càng được mở
rộng, khó kiểm soát và kèm theo đó là sự mất an toàn trong việc trao đổi thông
tin trên mạng, các thông tin dữ liệu trao đổi trên mạng có thể bị rò rỉ hoặc bị
đánh cắp khiến cho các tổ chức như: Các doanh nghiệp, Ngân hàng, Công ty …
và các doanh nhân lo ngại về vấn đề an toàn và bảo mật thông tin dữ liệu trong
các mạng cục bộ của mình (LAN) khi trao đổi thông tin qua mạng công cộng
Internet.
VPN ( Virtual Private Network) là giải pháp được đưa ra để cung cấp một
giải pháp an toàn cho các: Tổ chức, doanh nghiệp … và các doanh nhân trao đổi
thông tin từ mạng cục bộ của mình xuyên qua mạng Internet một cách an toàn và
bảo mật. Hơn thế nữa nó còn giúp cho các doanh nghiệp giảm thiểu được chi phí
cho những liên kết từ xa vì địa bàn rộng (trên toàn quốc hay toàn cầu).
Là một sinh viên công nghệ, phần nào em cũng hiểu được sự băn khoăn
và lo lắng về sự mất an toàn bảo mật khi trao đổi thông tin của các tổ chức, cá
nhân. Với sự hướng dẫn, và giúp đỡ của thầy cô và bạn bè, em chọn đề tài mạng
riêng ảo (VPN) để nghiên cứu và các giải pháp công nghệ cho vấn đề xây dựng
mạng riêng ảo. Nghiên cứu các mô hình truy cập, các phương pháp xác thực và
ứng dụng triển khai cài đặt trên các hệ thống mạng.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 5
Chương 1
TỔNG QUAN VỀ VPN
1. Tổng Quan
Trong thời đại ngày nay. Internet đã phát triển mạnh mẽ về mặt mô hình
cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được
thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến
người sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy và
mạng mà người sử dụng đó đang sử dụng. Để làm được điều này người ta sử
dụng một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN với nhau.
Các máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP –Internet
service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn tiếp
tục phải giải quyết là năng lực truyền thông của các mạng viễn thông công cộng.
Với Internet, những dịch vụ như giáo dục từ xa, mua hang trực tuyến, tư vấn y
tế,và rất nhiều điều khác đã trở thành hiện thực. Tuy nhiên do Internet có phạm
vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó khăn
trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ.
Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thoã mãn những yêu cầu
trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của Internet, đó
chính là mô hình mạng riên ảo (Virtual Private Network – VPN ). Với mô hình
mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính
năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý riêng được
sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại nhà
riêng, trên đường đi hay các văn phòng chi nhánh có thể kết nối an toàn đến máy
chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng công cộng.
Nó có thể đảm bảo an toàn thông tin giữa các đại lý, người cung cấp, và các đối
tác kinh doanh với nhau trong môi trường truyền thông rộng lớn. Trong nhiều
trường hợp VPN cũng giống như WAN (Wire Area Network), tuy nhiên đặc tính
quyết định của VPN là chúng có thể dùng mạng công cộng như Internet mà đảm
bảo tính riêng tư và tiết kiệm hơn nhiều
1.1 Định nghĩa VPN
VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng ( Private
Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng
riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các
site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng
kết nối thực, chuyên dùng như đường leased-line, mỗi VPN sử dụng các kết nối
ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 6
các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng
mà vẫn bảo đảm tính an toàn và bảo mật VPN cung cấp các cơ chế mã hoá dữ
liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi
(Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra
một đường ống bảo mật đó, dữ liệu phải được mã hoá hay cơ chế giấu đi, chỉ
cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có
thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ liệu được
mã hoá một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công
cộng cũng không thể đọc được nội dùng vì không có khoá để giải mã. Liên kết
với dữ liệu được mã hoá và đóng gói được gọi là kết nối VPN. Các đường kết
nối VPN thường được gọi là đường ống VPN (Tunnel)
Hình 1: Mô hình mạng VPN
1.2 Lợi ích của VPN
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và
những mạng leased-line. Những lợi ích đầu tiên bao gồm:
Chi phí thấp hơn những mạng riêng: VPN có thể giảm chi phí khi
truyền tới 20-40% so với những mạng thuộc mạng leased-line và giảm
việc chi phí truy cập từ xa từ 60-80%
Tính linh hoạt cho khả năng kinh tế trên Internet: VPN vốn đã có tính
linh hoạt và có thể leo thang những kiến trúc mạng hơn là những
mạng cổ điển, băng cách nào đó nó có thể hoạt động kinh doanh
nhanh chóng và chi phí một cách hiệu quả cho việc kết nối từ xa của
những văn phòng, những vị trí ngoài quốc tế, những người truyền
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 7
thông, những người dùng điện thoại di động, những người hoạt động
kinh doanh bên ngoài như những yêu cầu kinh doanh đã đòi hỏi
Đơn giản hóa những gánh nặng
Những cấu trúc mạng ống, vì thế giảm việc quản lý những gánh nặng:
Sử dụng một giao thức Internet backbone loại trừ những PVC tĩnh hợp
với kết nối hướng những giao thức như là Frame Relay và ATM
Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với
những người không có quyền truy cập và cho phép truy cập đối với
những người dùng có quyền truy cập
Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được mã hoá
do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa
chỉ bên ngoài Internet
1.3 Chức năng của VPN
VPN cung cấp 4 chức năng chính
Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu
trước khi truyền chúng ngang qua mạng. Bằng cách làm như vậy,
không một ai có thể truy nhập thông tin mà không được phép, mà nếu
lấy được thông tin thì cũng không đọc được vì thông tin đã được mã
hoá
Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra
rằng dữ liệu đã được truyền qua mạng Internet mà không có sự thay
đổi nào
Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác
thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông
tin
2 Định nghĩa “đường hầm” và “mã hoá”
Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mật
thông tin bằng cách mã hoá và chứng thực qua một đường hầm (tunnel)
2.1 Định nghĩa đường hầm:
Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã
hoá bằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật
thông tin vì dữ liệu sau khi mã hoá sẽ lưu chuyển trong một đường hầm được
thiết lập giữa người gửi và người nhận cho nên sẽ tránh được sự mất cắp, xem
trộm thông tin, đường hầm chính là đặc tính ảo của VPN.
Các giao thức định đường hầm được sử dụng trong VPN như sau:
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 8
L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm lớp
2
PPTP (Point-to-Point Tunneling Protocol)
L2F (Layer 2 Forwarding)
Các VPN nội bộ và VPN mở rộng có thể sử dụng các công nghệ:
IP Sec (IP security)
GRE (Genenic Routing Encapsulation)
2.2 Cấu trúc một gói tin IP trong đường hầm:
Tunnel mode packet
IP AH ESP Header Data
2.3 Mã hoá và giải mã (Encryption/Deccryption):
Biến đổi nội dùng thông tin nguyên bản ở dạng đọc được (clear text hay
plain text) thành một dạng văn bản mật mã vô nghĩa không đọc được
(cyphertex), vì vậy nó không có khả năng đọc được hay khả năng sử dụng bởi
những người dùng không được phép. Giải mã là quá trình ngược lại của mã hoá,
tức là biến đổi văn bản đã mã hoá thành dạng đọc được bởi những người dùng
được phép
2.4 Một số thuật ngữ sử dụng trong VPN:
Hệ thống mã hoá (Crysystem): là một hệ thống để thực hiện mã hoá hay
giải mã, xác thực người dùng, băm (hashing), và các quá trình trao đổi khoá, một
hệ thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc
vào yêu cầu cho một vài loại traffic người dùng cụ thể.
Hàm băm (hashing): là một kỹ thuật toàn vẹn dữ liệu mà sử dụng một công thức
hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và một khoá
mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố đinh. Bản
tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích. Ở nơi nhận việc tính
toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bị thay đổi
trong khi truyền trên mạng.
Xác thực (Authentication): Là quá trình của việc nhận biết một người sử
dụng hay quá trình truy cập hệ thống máy tính hoặc kết nối mạng. Xác thực chắc
chắn rằng cá nhân hay một tiến trình là hoàn toàn xác định
Original packet
Hình 2: Cấu trúc một gói tin IP trong đường
hầm
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 9
Cho phép (Authorization): Là hoạt động kiểm tra thực thể đó có được
phép thực hiện những quyền hạn cụ thể nào
Quản lý khoá (Key management): Một khoá thông tin, thường là một dãy
ngẫu nhiên hoặc trông giống như các số nhị phân ngẫu nhiên, được sử dụng ban
đầu để thiết lập và thay đổi một cách định kỳ sự hoạt động trong một hệ thống
mật mã. Quản lý khoá là sự giám sát và điều khiển tiến trình nhờ các khoá được
tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dùng hay loại bỏ.
Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ mà được
tin tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc các
người dùng bằng cách tạo ra và gán các chứng nhận số như các chứng nhận khoá
công cộng, cho mục đích mã hoá. Một CA đảm bảo cho sự lien kết giữa các
thành phần bảo mật trong chứng nhận.
2.5 Các thuật toán được sử dụng trong mã hoá thông tin:
DES (Data Encryption Security)
3DES (Triple Data Encryption Security)
SHA (Secure Hash Algorithm)
AH ( Authentication Header): La giao thức bảo mật giúp xác thực dữ liệu,
bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính
duy nhất của gói tin). AH được nhúng vào trong dữ liệu để bảo vệ.
ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung
cấp sự tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu, và xác thực nguồn gốc dữ
liệu, các dịch vụ “anti-replay”. ESP đóng gói dữ liệu để bảo vệ. Oakley và
Skeme mỗi cái định nghĩa một phương thức để thiết lập một sự trao đổi khoá xác
thực, cái đó bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ tự mà các
khoá được sử lý và các khoá được sử dụng như thế nào.
ISAKMP (Internet Security Association and Key Management):
IKE (Internet Key Exchange): Là giao thức lai mà triển khai trao đổi khóa
Oakley và trao đổi khoá Skeme bên trong khung ISAKMP (Protocol): Là một
khung giao thức mà định nghĩa các định dạng tải tin, các giao thức triển khai một
giao thức trao đổi khoá và sự trao đổi của một SA (Security Association)
SA (Security Association): Là một tập các chính sách và các khoá được
sử dụng để bảo vệ thông tin. ISAKMP SA là các chính sách chung và các khoá
được sử dụng bởi các đối tượng ngang hang đàm phán trong giao thức này để
bảo vệ thông tin của chúng
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 10
AAA (Authentication, Authorization và Accouting): là các dịch vụ bảo
mật mạng mà cung cấp các khung chính qua đó điều khiển truy cập được đặt trên
Router hay các Server truy cập. Hai sự lựa chọn chính cho AAA là TACACS+
và RADIUS
TACACS+ (Terminal Access Controller Access Control System Plus): Là
một ứng dụng bảo mật mà cung cấp sự xác thực tập trung của các người dùng cố
gắng truy nhập tới Router hay mạng truy cập Server.
RADIUS (Remote Authentication Dial-In User Service): Là một hệ thống
phân tán client/server mà bảo mật các truy cập không được phép tới mạng.
3 Các dạng kêt nối mạng riêng ảo VPN
3.1 Truy cập VPN (Remote Access VPNs)
Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote,
mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài
nguyên mạng của tổ chức
Remote Access VPN mô tả công việc các người dùng ở xa sử dụng các
phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway
hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này
thường được gọi là client/server. Trong giải pháp này, các người dùng thường
thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng
HO của họ
Một hướng phát triển khá mới trong remote access VPN là dùng wireless
VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối
không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một
trạm wireless (Wireless terminal) và sau đó về mạng của công ty. Trong cả hai
trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo
mật, còn được gọi là tunnel
Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực
ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy.
Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của
công ty. Chính sách này bao gồm: quy trình (Procedure), kỹ thuật, server (such
as Remote Authentication Dial-In User Service [RADIUS], Terminal Access
Controller Access Control System Plus [TACACS+] …).
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 11
3.1.1 Một số thành phần chính
Remote Access Server (RAS): được đặt tại trung tâm có nhiệm vụ xác
nhận và chứng nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số
yêu cầu ở khá xa so với trung tâm.
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và
hỗ trợ truy cập từ xa bởi người dùng.
Hình 3 Thiết lập một non-VPN remote access
Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc
các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp
dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet. Thông
tin Remote Access Setup được mô tả bởi hình vẽ sau:
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 12
Hình 4 Thiêt lập một VPN remote access
3.1.2 Thuận lợi chính của Remote Access VPNs:
- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ
xa đã được tạo điều kiện thuận lợi bởi ISP.
- Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những
kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ.
- Giảm giá thành chi phí kết nối với khoảng cách xa.
- Do đây là một kết nối mang tính cục bộ, do vậy tố độ kết nối sẽ cao hơn so
với kết nối trực tiếp đến những khoảng cách xa.
- VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ
dịch vụ truy cập ở mức độ tối thiểu nhật cho dù có sự tăng nhanh chóng các
kết nối đồng thời đến mạng.
3.1.3 Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác
như:
- Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu
có thể đi ra ngoài và bị thất thoát.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 13
- Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể,
điều này gây khó khăn cho quá trính xác nhận. Thêm vào đó, việc nén dữ
liệu IP và PPP-based diễn ra vô cùng chậm chạp và tồi tệ.
- Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
3.2 Site – To – Site VPN
Site –to – site : Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới
mạng của một vị trí khác thông qua VPN. Trong hoàn cảnh này thì việc chứng
thực ban đầu giữa các thiết bị mạng được giao cho người sử dụng. Nơi mà có
một kết nối VPN được thiết lập giữa chúng. Khi đó các thiết bị này đóng vài trò
như là một gateway, và đảm bảo rằng việc lưu thông đã được dự tính trước cho
các site khác. Các Router và Firewall tương thích với VPN, và các bộ tập trung
VPN chuyên dụng đều cung cấp chức năng này.
Hình 5 Site – to – site VPN
Site – to –Site VPN có thể được xem như là Intranet VPN hoặc Extranet
VPN. Nếu chúng ta xem xét chúng dưới góc độ chứng thực nó có thể được xem
như là một intranet VPN, ngược lại chúng được xem như một extranet VPN.
Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiể bởi cả hai
(Intranet và Extranet VPN) theo các site tương ứng của chúng. Giải pháp Site –
To – Site VPN không phải là một remote access VPN nhưng nó được thêm vào
đây vì tính chất hoàn thiện của nó.
Sự phân biệt giữa remote access VPN và Site – To – Site VPN chỉ đơn
thuần mang tính chất tượng trưng và xa hơn là nó được cung cấp cho mục đích
thảo luận. Ví dụ như là các thiết bị VPN dựa trên phần cứng mới (Router Cisco
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 14
3002 chẳng hạn) ở đây để phân loại được, chúng ta phải áp dụng cả hai cách, bởi
vì harware-based client có thể xuất hiện nếu một thiết bị đang truy cập vào
mạng. Mặc dù một mạng có thể có nhiều thiết bị VPN đang vận hành. Một ví dụ
khác như là một chế độ mở rộng của giải pháp Ez VPN bằng cách dùng Router
806 và 17xx
Site –to –Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường
hầm bảo mật, đường hầm bảo mật này có thể sử dụng các giao thức PPTP,
L2TP, hoặc IPSec, mục đích của Site –to –Site VPN là kết nối hại mạng không
có đường nối lại với nhau, không có việc thoả hiệp tích hợp, chứng thực, sự cẩn
mật của dữ liệu, bạn có thể thiết lập một Site – to –Site VPN thông qua sự kết
hợp của các thiết bị VPN concentrators, Router, và Firewalls.
Kết nối Site –to –Site VPN được thiết kế để tạo một kết nối mạng trực
tiếp, hiệu quả bất chấp khoảng cách vật lý giữa chúng. Có thể kết nối này luân
chuyển thông qua Internet hoặc một mạng không được tin cậy. Bạn phải đảm
bảo vấn đề bảo mật bằng cách sử dụng sự mã hoá dữ liệu trên tấ cả các gói dữ
liệu đang luân chuyển giữa các mạng đó.
3.2.1 Intranet
Hình 6 Thiết lập Intranet sử dụng WAN backbone
Intranet VPNs hay còn gọi là các VPN nội bộ sẽ kết nối các mạng của trụ
sở chính, văn phòng và các chi nhánh từ xa qua một cơ sở hạ tầng mạng dùng
chung như Internet thành một mạng riêng tư của một tập đoàn hay một tổ chức
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 15
gồm nhiều công ty và văn phòng làm việc mà các kết nối này luôn luôn được mã
hoá thông tin
Intranet VPN được sử dụng để kết nối đến các chi nhánh văn phòng của
tổ chức đến Corporate Intranet (Backbone Router) sử dụng campus router (Hình
7)
Theo mô hình bên trên sẽ rất tốn chi phí do phải sử dụng 2 Router để thiết
lập được mạng, thêm vào đó, việc triển khai, bảo trì và quản lý mạng Intranet
Backbone sẽ rất tốn kém còn tuỳ thuộnc vào lượng lưu thông trên mạng đi trên
nó và phạm vi địa lý của toàn bộ mạng Intranet.
Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế
bởi các kết nối Internet với chi phí thấp, điều này có thể một lượng chi phí đáng
kể của việc triển khai mạng Intranet (Hình 1-5)
Hình 7 Thiếp lập Intranet dựa trên VPN
Những thuận lợi chính của Intranet setup dựa trên VPN theo hình 7.
- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình
WAN backbone.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 16
- Giảm thiểu số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các
trạm ở một số remote site khác nhau.
- Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp
những kết nối mới ngang hang.
- Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp
dịch vụ, loại bỏ vấn đề khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi
phí cho việc thực hiện Intranet.
Những bất lợi chính kết hợp với cách giải quyết:
- Bởi vì dữ liệu vẫn còn tunnel trong quá trình chia sẻ trên mạng công
cộng-Internet và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ
(denial-of service), vẫn còn là một mối đe doạ an toàn thông tin.
- Khả năng mất dữ liệu trong lúc di chuyển thông tin cũng rất cao
- Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập
tin multimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua
Internet.
- Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường
xuyên, và QoS cũng không được bảo đảm.
3.2.2 Extranet VPNs (VPN mở rộng)
Hình 8 Extranet VPN
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 17
Extranet là sự mở rộng từ những Intranet liên kết các khách hàng, những
nhà cung cấp, những đối tác hay những nhân viên làm việc trong các Intranet
qua cơ sở hạ tầng dùng chung chia sẽ những kết nối.
Không giốn như intranet và Remote Access –based, Extranet không an
toàn cách ly từ bên ngoài (outer-world), Extranet cho phép truy nhập những tài
nguyên mạng cần thiết kế của các đối tác kinh doanh, chẳng hạn như khách
hang, nhà cung cấp, đối tác những người giữ vài trò quan trọng trong tổ chức.
Hình 9 Thiết lập mạng Extranet theo truyền thống
Như hình trên, mạng Extranet rất tốn kém do có nhiều đoạn mạng riêng
biệt trên intranet kết hợp lại với nhau để tạo ra một Extranet. Điều này làm cho
khó triển khai và quản lý do có nhiều mạng, đồng thời cũng khó khăn cho cá
nhân làm công việc bảo trì và quản trị. Thêm nữa là mạng Extranet dễ mở rộng
do điều này sẽ làm rối tung toàn bộ mạng Intranet và có thể ảnh hưởng đến các
kết nối bên ngoài mạng. Sẽ có những vấn đề bạn gặp phải bất thình lình khi kết
nối một Intranet vào một mạng Extranet. Triển khai và thiết kế một mạng
Extranet có thể là một cơn ác mộng của các nhà thiết kế và quản trị mạng.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 18
Hình 10: Thiết lập Extranet
Một số thuận lợi của Extranet:
Do hoạt động trên môi trường Internet, bạn có thể lựa chọn nhà phân phối
khi lựa chọn và đưa ra phương pháp giải quyết tuỳ theo nhu cầu của tổ chức. Bởi
vì một phần Internet-connectivity được bảo trì bởi nhà cung cấp ISP nên cũng
giảm chi phí bảo trì khi thuê nhân viên bảo trì. Dễ dàng triển khai, quản lý và
chỉnh sữa thông tin.
Một số bất lợi:
- Sự đe doạ về tính an toàn, như bị tấn công bằng từ chối dịch vụ vẫn còn
tồn tại
- Tăng thêm nguy hiểm sự xâm nhập đối với tổ chức trên Extranet.
- Do dựa trên Internet nên khi dữ liệu là các loại high-end data thì việc trao
đổi diễn ra chậm chạp.
- Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên.
4. VPN và các vấn đề an toàn bảo mật trên Internet.
Như chúng ta đã biết, sự phát triển bùng nổ và mở rộng mạng toàn cầu
Internet ngày càng tăng, hàng tháng có khoảng 10.000 mạng mới kết nối vào
Internet kèm theo đó là vấn đề làm sao để có thể trao đổi thông tin dữ liệu một
cách an toàn qua mạng công cộng như Internet. Hàng năm sự rò rỉ và mất cắp
thông tin dữ liêu đã gây thiệt hại rất lớn về kinh tế trên toàn thế giới. Các tội
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 19
phạm tin tặc “ hacker” luôn tìm mọi cách để nghe trộm, đánh cắp thông tin dữ
liệu nhạy cảm như: thẻ tín dụng, tài khoản người dùng, các thông tin kinh tế
nhạy cảm... của các tổ chức hay cá nhân.
Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn
và bảo mật thông tin trên Internet như thế nào ?
Câu trả lời để các tổ chức, các doanh nghiệp, cá nhân cảm thấy yên tâm
khi trao đổi thông tin dữ liệu qua mạng Internet là sử dụng công nghệ mạng
riêng ảo VPN.
Thực chất công nghệ chính được sử dụng trong mạng riêng ảo VPN là tạo
ra một đường hầm (tunnel) mã hoá và chứng thực dữ liệu giữa hai đầu kết nối.
Các thông tin dữ liệu sẽ được mã hoá và chứng thực trước khi được lưu chuyển
trong một đường hầm riêng biệt, qua đó sẽ tránh được những cặp mắt tò mò
muốn đánh cắp thông tin
4.1 An toàn và tin cậy.
Sự an toàn của hệ thống máy tính là một bộ phận của khả năng bảo trì
một hệ thống đáng tin cậy được. Thuộc tính này của một hệ thống đựơc viện dẫn
như sự đáng tin cậy được. Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:
Tính sẵn sang: Khả năng sẵn sang phục vụ, đáp ứng yêu cầu trong
khoản thời gian. Tính sẵn sang thường đựơc thực hiện qua những
hệ thống phần cứng dự phòng.
Sự tin cậy: Nó đình nghĩa xác xuất của hệ thống thực hiện các
chức năng của nó trong một chu kỳ thời gian. Sự tin cậy khác với
tính sẵn sang , nó được đo trong cả một chu kỳ của thời gian. Nó
tương ứng tới tính liên tục của một dịch vụ.
Sự an toàn: Nó chỉ báo hiệu một hệ thống thực hiện những chức
năng của nó chính xác hoặc thực hiện trong trường hợp thất bại
một ứng xử không thiệt hại nào xuất hiện.
Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự
bảo vệ tất cả các tài nguyên hệ thống
Một hệ thống máy tính đáng tin cậy ở mức cao nhất là luôn đảm bảo an
toàn ở bất kỳ thời gian nào. Nó đảm bảo không một sự và chạm nào mà không
cảnh báo thông tin có cảm giác, lưu tâm đến dữ liệu có cảm giác có 2 khía cạnh
để xem xét:
Tính bí mật.
Tính toàn vẹn
Thuật ngữ tính bảo mật như được xác định có nghĩa rằng dữ liệu không
thay đổi trong một ứng xử không hợp pháp trong thời gian tồn tại của nó. Tính
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 20
sẵn sang, sự an toàn và anh ninh là những thành phần phụ thuộc lẫn nhau. Sự an
ninh bảo vệ hệ thống khỏi những mối đe doạ và sự tấn công. Nó đảm bảo một hệ
thống an toàn luôn sẵn sang và đáng tin cậy.
4.2 Hình thức an toàn
Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần
của nó
Có 3 kiểu khác nhau của sự an toàn:
Sự an toàn phần cứng
Sự an toàn thông tin
Sự an toàn quản trị
An toàn phần cứng:
Những mối đe doạ và tấn công có liên quan tới phần cứng của hệ thống.
Nó có thể được phân ra vào 2 phạm trù:
Sự an toàn vật lý
An toàn bắt nguồn
Sự an toàn vật lý bảo vệ phần cứng trong hệ thống khỏi những mối đe doạ
vật lý bên ngoài như sự can thiệp, mất cắp thông tin, động đất và nước làm ngập
lụt. Tất cả những thông tin nhạy cảm trong những tài nguyên phần cứng của hệ
thống cần sự bảo vệ chống lại tất cả những sự bảo vệ này.
An toàn thông tin:
Liên quan đến tính dễ bị tổn thương trong phần mềm, phần cứng và sự kết
hợp của phần cứng và phần mềm. Nó có thể được chia vào sự an toàn và truyền
thông máy tính. Sự an toàn máy tính bao trùm việc bảo vệ của các đối tượng
chống lại sự phơi bày và sự dễ bị tổn thương của hệ thống, bao gồm các cơ chế
điều khiển truy nhập, các cơ chế điều khiển bắt buộc chính sách an toàn, cơ chế
phần cứng, kỹ thuật mã hoá… Sự an toàn truyền thông bảo vệ đối tượng truyền.
An toàn quản trị:
An toàn quản trị liên quan đến tất cả các mối đe doạ mà con người lợi
dụng tới một hệ thống máy tính. Những mối đe doạ này có thể là hoạt động nhân
sự. Sự an toàn nhân sự bao bao trùm việc bảo vệ của những đối tượng chống lại
sự tấn công từ những người dùng uỷ quyền.
Mỗi người dùng của hệ thống có những đặc quyền để truy nhập những tài
nguyên nhất định. Sự an toàn nhân sự chứa đựng những cơ chế bảo vệ chống lại
những người dùng cố tình tìm kiếm được những đặc quyền cao hơn hoặc lạm
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 21
dụng những đặc quyền của họ, cho nên sự giáo dục nhận thức rất quan trọng để
nó thực sự là một cơ chế bảo vệ sự an toàn hệ thống. Thống kê cho thấy những
người dùng uỷ quyền có tỷ lệ đe doạ cao hơn cho một hệ thống máy tính so với
từ bên ngoài tấn công. Những thông tin được thống kê cho thấy chỉ có 10% của
tất cả các nguy hại máy tính đựơc thực hiện từ bên ngoài hệ thống, trong khi có
đến 40% là bởi những người dùng trong cuộc và khoảng 50% là bởi người làm
thuê cũ
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 22
Chương 2
GIAO THỨC TRONG VPN
Trong VPN có 3 giao thức chính để xây dựng lên một “mạng riêng ảo”
hoàn chỉnh đó là
IP Sec (IP Security)
PPTP (Point-to-Point Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol)
Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có ưu và nhược
điểm khác nhau khi triển khai vào mạng VPN
1 Bộ giao thức IPSec (IP Security Protocol):
IPSec thực chất không phải là một giao thức, nó chỉ là một khung của các
tập giao thức chuẩn mở rộng được thiết kế để cung cấp tính xác thực và toàn vẹn
dữ liệu. Giao thức IPSec được làm việc tại tầng Network Layer- Layer 3 của mô
hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được
thực hiện từ tầng transport layer trở lên (Từ tầng 4 đến tầng 7 của mô hình OSI).
Điều này tạo ra tính mềm dẻo cho IPSec, giao thức này có thể hoạt động tại tầng
4 với TCP, UDP, hầu hết các giao thức sử dụng tại tầng này. IPSec có một tính
năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của
mô hình OSI. Với một ứng dụng sử dụng IPSec mã (code) không bị thay đổi,
nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các
tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
1.1 Cấu trúc bảo mật
IPSec được triển khai (1) sử dụng các giao thức cung cấp mật mã
(cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền,
(2) phương thức xác thực và (3) thiết lập các thông số mã hoá.
Xây dựng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật
đơn giản khi kêt hợp các thuật toán và các thông số (ví dụ như các khoá-keys) là
nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các
giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá
trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc
vào người quản trị IPSec bởi vì IPSec bao gồm một nhóm các giao thức bảo mật
đáp ứng mã hoá và xác thực cho mỗi gói tin IP.
Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp
cho một gói tin outgoing (đi ra ngoài), IPSec sử dụng các thông số Security
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 23
Parameter Index (SPI), mỗi quá trình Index ( đánh thứ tự và lưu trong dữ liệu –
Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association
Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin,
cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật cho mỗi gói tin. Một
quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi
IPSec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB.
Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group,
và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả
hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó
cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi
có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ
biết được các keys được gửi đi trong dữ liệu. Chú ý các chuẩn không miêu tả
làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.
1.1.1 Hiện trạng
IPSec là một phần bắt buộc của IPv6, có thể được lựa chọn khi sử dụng
IPv4. Trong khi các chuẩn đã được thiết kế cho các phiên bản IP giống nhau,
phổ biến hiện nay là áp dụng và triển khai trên nền tảng IPv4.
Các giao thức IPSec được định nghĩa từ RFCs 1825 -1829, và được phổ biến
năm 1995. Năm 1998, được nâng cấp với các phiên bản RFC 2401-2412, nó
không tương thích với chuẩn 1825-1829. Trong tháng 12 năm 2005, thế hệ thứ 3
của chuẩn IPSec, RFC 4301-4309. Cũng không khác nhiều so với chuẩn RFC
2401-2412 nhưng thế hệ mới được cung cấp chuẩn IKE second. Trong thế hệ
mới này IP security cũng được viết tắt lại là IPSec.
2 Chế độ làm việc của IPSec
2.1 Chế độ chuyển vận (Transport mode)
Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ với
máy khác mà không có sự can thiệp nào của các gateway làm nhiệm vụ an ninh
mạng.
Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin
được mã hoá và hoặc xác thực. Trong quá trình Routing, cả IP header
đều không bị chỉnh sữa hay mã hoá; tuy nhiên khi authentication
header được sử dụng, địa chỉ IP không thể chỉnh sửa ( ví dụ như port
number). Transport mode sử dụng trong tình huống giao tiếp host-to-
host.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 24
Điều này có nghĩa là đóng gói các thông tin trong IPSec cho NAT
traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi
NAT-T
2.2 Chế độ đường hầm ( Tunnel Mode ):
Chế độ này hỗ trợ khả năng truy nhập từ xa và liên kết an toàn các
Website. Chế độ chuyển vận sử dụng AH và ESP đối với phần của tầng chuyển
vận trong một gói tin IP. Phần dữ liệu thực của giao thức IP này là phần duy nhất
được bảo vệ trong toàn gói tin. Phần header của gói tin IP với địa chỉ của điểm
truyền và điểm nhận không bảo vệ. Khi áp dụng cả AH và ESP thì AH được áp
dụng sau để tính ra tính toàn vẹn của dữ liệu trên tổng lượng dữ liệu. Mặt khác
chế độ đường hầm cho phép mã hoá và tiếp nhận đối với toàn bộ gói tin IP. Các
cổng bảo mật sử dụng chế độ này để cung cấp các dịch vụ bảo mật thay cho các
thực thể khác trên mạng. Các điểm truyền thông đầu cuối được bảo vệ bên trong
các gói tin IP đến trong khi các điểm cuối mã hoá lại được lưu trong các gói tin
IP truyền đi. Một gateway bảo mật thực hiện phân tách gói tin IP đến cho điểm
nhận cuối cùng sau khi IPSec hoàn thành việc sử lý của mình. Trong chế độ
đường hầm, địa chỉ IP của điểm đến được bảo vệ.
Trong chế độ đường hầm, có một phần header IP phụ được thêm vào, còn
trong chế độ chuyển vận thì không có điều này. IPSec định ra chế độ đường
hầm để áp dụng cho AH và ESP.
Khi host 1 muốn giao tiếp với host 2, nó có thể sử dụng chế độ đường
hầm để cho phép các gateway bảo mật có thể cung cấp các dịch vụ để đảm bảo
an toàn cho việc liên lạc giữa hai nút mạng trên mạng công cộng.
IPSec cho phép chế độ bảo mật theo nhiều lớp và theo nhiều tuyến truyền.
Trong đó, phần header của gói tin nội tại được hoàn toàn bao bọc bởi phần
header của gói tin được phát đi. Tuy vậy, phải có một điều kiện là các tuyến
truyền không được gối chồng lên nhau.
Đối với việc sử lý luồng dữ liệu truyền đi, tầng IP sẽ tham chiếu đến SPD
(Security Policy Database ) để quyết định các dịch vụ bảo mật cần áp dụng.
Các bộ chọn lọc được lấy ra từ các phần header sử dụng để chỉ ra một cách
thức hoạt động cho SPD. Nếu hoạt động của SPD là áp dụng tính năng bảo mật
thì sẽ có một con trỏ, trỏ đến SA trong SADB ( Security Association Database
) được trả về. Trường hợp SA không có trong SADB thì IKE sẽ được kích
hoạt. Sau đó các phần header AH và ESP được bổ xùng theo cách mà SA định
ra và gói tin sẽ được truyền đi.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 25
Với việc sử lý luồng dữ liệu gửi đến, sau khi nhận được một gói tin, tầng
có nhiệm vụ bảo mật sẽ kiểm tra danh mục các phương thức bảo mật để đưa ra
các hành động sau đây: huỷ bỏ, bỏ qua hoặc áp dụng. Nếu hành động là áp
dụng mà SA không tồn tại thì gói tin sẽ bị bỏ qua. Tuy nhiên, nếu SA có trong
SADB thì gói tin sẽ được chuyển đến tầng tiếp theo để xử lý. Nếu gói tin có
chứa các phần header của dịch vụ IPSec thì stack của IPSec sẽ thu nhận gói tin
này và thực hiện sử lý. Trong quá trình sử lý, IPSec lấy ra phấn SPI, phần địa
chỉ nguồn và địa chỉ đích của gói tin. Đồng thời, SADB được đánh số theo các
tham số để chọn ra SA nhất địn để sử dụng: SPT, địa chỉ đích hoặc là giao
thức.
Hình 11
+ IPSec cho phép thiết lập các mối truyền thông riêng biệt và đảm bảo tính bí
mật trên mạng internet mà không cần biết đến các ứng dụng đang chạy trên
máy đó hay các giao thức ở tầng cao hơn như tầng vận chuyển
( Transport layer).
Hình 12
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 26
+ IPSec là bộ giao thức có khả năng thẩm định dữ liệu ở cả hai phía người gửi và
người nhận, đảm bảo tính bí mật và toàn vẹn dữ liệu bằng cách mã hoá chứng
thực. IPSec có khả năng thích ứng với tất cả các trình ứng dụng chạy trên mạng
IP.
+ IPSec hoạt động hiệu quả và nhanh hơn các ứng dụng bảo mật hoạt động ở
tầng ứng dụng ( Application layer)
Hình 13
+ IPSec có thể được coi như là một lớp dưới của giao thức TCP/IP, lớp này kiểm
soát các người dùng truy nhập dựa vào một chính sách an toàn về mỗi máy tính
và một tổ chức đàm phán an ninh giữa người gửi và người nhận.
Giao thức đóng gói an toàn ESP ( Encapsulation Security
Payload): là giao thức số 50 được gán bởi IANA. ESP là một giao
thức bảo mật có thể được sử dụng cho việc cung cấp tính bảo mật
và xác thực các gói dữ liệu khỏi sự nhòm ngó của người dùng
không được phép. ESP cung cấp phần tải tin của gói dữ liệu, ESP
cung cấp sự xác thực cho gói tin IP nội bộ và phần tiêu đề ESP. Sự
xác thực cung cấp sự xác thực về nguồn gốc và tính toàn vẹn của
gói dữ liệu. ESP là giao thức hỗ trợ và kiểu mã hoá đối xứng như:
Blowfish, DES. Thuật toán mã hoá dữ liệu mặc định sử dụng trong
IPSec là thuật toán DES 56 bit. Trong các sản phẩm và thiết bị
mạng của Cisco dùng trong VPN còn sử dụng việc mã hoá dữ liệu
tôt hơn bằng cách sử dụng thuật toán 3DES( Triple Data
Encryption Security ) 128 bit.
+ Giao thức ESP có thể được sử dụng độc lập hoặc kết hợp với giao thức chứng
thực đầu mục AH ( Authentication Header ) tuỳ thuộc vào từng môi trường. Hai
giao thức ESP và AH đều cung cấp tính toàn vẹn, xác thực các gói dữ liệu.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 27
+ Giao thức ESP cũng có thể bảo vệ được tính duy nhất của gói tin bằng cách
yêu cầu bên nhận đặt bit “ replay” trong tiêu đề để chỉ ra rằng gói tin đã được
gửi.
Giao thức chứng thực mục đầu AH ( Authentication Header
Protocol).
Trong hệ thống IPSec có một đầu mục đặc biệt: Đầu mục chứng thực AH
được thiết kế để cung cấp hầu hết dịch vụ chứng thực cho dữ liệu IP.
Với IP v4
Hình 14.1
Với IP v6
Hình 14.2
Giao thức trao đổi chìa khoá Inernet ( IKE ).
AH và ESP là những giao thức mà IPSec yêu cầu những bí mật dùng
chung trong việc phân phối khoá, do đó các chìa khoá có thể mất cắp khi trao đổi
qua lại. Do đó một cơ chế trao đổi chìa khoá an toàn cho IPSec phải thoả mãn
yêu cầu sau
Không phụ thuộc vào các thuật toán đặc biệt.
Không phụ thuộc vào một nghi thức trao đổi khoá đặc biệt,
Sự chứng thực của những thực thể quản lý khoá
Thiết lập các SA trên các tuyến giao thông không an toàn.
Sử dụng hiệu quả các nguồn tài nguyên.
Giao thức IKE dựa trên khung của Hiệp hội quản lý chìa khóa trên Internet và
Giao thức phân phối khoá Oakley
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 28
Giao thức IKE có các đặc tính sau:
+ Các chìa khoá phát sinh và những thủ tục nhận biết.
+ Tự động làm mới lại chìa khoá.
+ Giải quyết vấn đề một khoá.
+ Mỗi một giao thức an toàn ( AH, ESP ) có một không gian chỉ số an
toàn của chính mình
+ Gắn sẵn sự bảo vệ.
+ Chống lại các cuộc tấn công làm nghẽn mạch tài nguyên như: Tấn công
từ chối dịch vụ DoS ( Denial- of- Service ).
+ Tiếp cận hai giai đoạn
Thiết lập những SA cho khoá trao đổi.
Thiết lập SA cho dữ liệu chuyển.
+ Sử dụng chữ ký số.
+ Dùng chung khoá.
Giao thức IKE thiết kế ra để cung cấp 5 khả năng:
Cung cấp những phương tiện cho hai bên về sự đồng ý những giao
thức, thuật toán và những chìa khoá để sử dụng.
Đảm bảo trao đổi khoá đến đúng người dùng.
Quản lý những chìa khoá sau khi được chấp nhận.
Đảm bảo rằng sự điều khiển và trao đổi khoá an toàn.
Cho phép sự chứng thực động giữa các đối tượng ngang hang.
Để thiết lập một hiệp hội khoá IKE bắt đầu từ một điểm, chủ nhà hay
cổng vào an toàn một Intranet tập đoàn, ta cần thiết kế 4 khoản.
Một giải thuật để mã hoá dữ liệu.
Một giải thuật hàm băm để giảm bớt dữ liệu ở trên.
Một phương pháp chứng thực dữ liệu.
Thông tin về nhóm người dùng khi trao đổi Diffie-Hellman
Trước khi IPSec gửi xác nhận hoặc mã hoá dữ liệu IP, giữa hai người gửi
và người nhận phải thống nhất về giải thuật mã hoá và chìa khoá mã hoá hoặc
những chìa khoá để sử dụng. IPSec sử dụng giao thức IKE để tự thiết lập những
giao thức đàm phán về những chìa khoá mã hoá, thuật toán sử dụng.
Giao thức IKE cung cấp sự chứng thực sơ cấp: việc xác minh sự nhận biết
các hệ thống từ xa trước khi bàn bạc, thương lượng về chìa khoá và giải thuật.
Giao thức IKE là giao thức lai ghép của 3 giao thức: ISAKMP ( Internet
Security Association and Key Management Protocol ), Oakley, SKEME.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 29
Giao thức ISAKMP cung cấp một khung cho sự trao đổi chứng thực và
chìa khoá.
Giao thức Oakley mô tả những kiểu trao đổi chìa khoá.
Giao thức SKEME đinh nghĩa kỹ thuật trao đổi chìa khoá.
Trong ISAKMP có hai kênh thành lập SA ( Security Association - Hiệp
hội an toàn ).
Giao thức IKE có hai luồng chung:
ISAKMP thực hiện lần một ( kiểu chính): Đàm phán thiết lập Hiệp
hội an toàn ISAKMP, một kênh an toàn truyền thông từ xa hơn
nữa cho IKE, hai hệ thống phát sinh một chìa khoá dùng chung
Diffie-Ellman. Xác minh nhận biết hệ thống từ xa ( Chứng thực sơ
cấp ).
Node A Node B
Public Value
Private Value
Public Value
Private Value
Shared Secret
Value
Shared Secret
Value
Private Value combined
with Public Value B
Private Value B combined
with Public Value A
A B
=
A B
A B
A&B select Diffie-Hellman Group
Step 2
Step 1
Step 3
Hình 15: Sơ đồ hình thành khoá dùng chung Diffie-Hellman
ISAKMP thực hiện lần 2 ( Kiểu nhanh). Sử dụng kênh truyền
thông an toàn của ISAKMP SA cho sự mã hoá IPSec AH hoặc
ESP.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 30
Hình 16: Thiết lập SA
+ Sự chứng thực sơ cấp IKE ( IKE Primary Authentication ):
IKE phải xác nhận những hệ thống sử dụng thuật toán Diffie-Hellman, qui trình
này được gọi là chứng thực sơ cấp.
IKE có thể sử dụng hai phương pháp chứng thực sơ cấp:
Chữ ký số ( Digital Signatures).
Khoá dùng chung ( Pre-shared keys)
Chữ ký số và sự mã hoá chìa khoá công cộng là cơ sở về sự mã hoá chìa
khoá bất đối xứng và yêu cầu một cơ chế phân phối những chìa khoá công cộng.
Sự chứng thực chữ ký số ( IKE Digital Signature Authentication ):
Một chữ ký số tương tự như một giá trị hàm băm chìa khoá đối
xứng. Sự khác nhau giữa chúng là chỉ có một người nắm giữ chìa
khoá riêng mới có thể phát sinh ra chữ ký số, trong khi mọi người
giữ chìa khoá đối xứng có thể phát sinh một giá trị hàm băm chìa
khoá đối xứng,
Sự chứng thực khoá dùng chung ( IKE Pre-Shared Key
Authentication ): Với sự chứng thực khoá dùng, giữa người gửi và
người nhận phải trao đổi bằng tay và định hình một chìa khoá dùng
chung đối xứng. Khoá dùng chung chỉ được sử dụng để chứng
thực sơ cấp.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 31
3 Giao thức PPTP và L2TP
Hình 17
3.1 Giao thức định đường hầm điểm tới điểm (Point-to-Point Tunneling
Protocol)
PPTP là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường hầm
cho những kết nối từ xa. Giao thức PPTP là sự mở rộng của giao thức PPP cơ
bản cho nên giao thức PPTP không hỗ trợ những kết nối nhiều điểm liên tục mà
nó chỉ hỗ trợ kết nối từ điểm tới điểm.
Hình 18
PPTP chỉ hỗ trợ IP, IPX, NetBIOS, NetBEUI, PPTP không làm thay đổi
PPP mà nó chỉ là giải pháp mới, một cách tạo đường hầm trong việc chuyên chở
giao thông PPP.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 32
Hình 19
Hình 20
3.1.1 Quan hệ giữa PPTP và PPP
PPP đã trở thành giao thức quay số truy cập Internet và các mạng TCP/IP
rất phổ biến hiện nay. Giao thức này làm việc ở lớp thứ 2 trong mô hình OSI.
PPP bao gồm các phương pháp đóng gói cho các loại gói dữ liệu khác nhau để
truyền nối tiếp. PPTP dựa trên PPP để tạo ra các kết nối quay số giữa khách
hàng và máy chủ truy cập mạng. PPTP dựa trên PPP để thực thi các chức năng.
Thiết lập và kết thúc kết nối vật lý.
Xác thực các người dùng.
Tạo ra gói dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để
đóng gói các gói truyền trong đường hầm như dưới đây:
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 33
Hình 21
Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại
gói: Gói điều khiển và gói dữ liệu rồi gán chúng voà hai kênh riêng. Sau đó,
PPTP phân tách các kênh điều khiển và kênh dữ liệu thành luồng diều khiển với
giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối TCP được tạo ra giữa
client PPTP với máy chủ PPTP được sử dụng để chuyển thông báo điều khiển.
Sau khi đường hầm được thiết lập thì dữ liệu được truyền từ client sang
máy chủ PPTP chứa các gói dữ liệu IP. Gói dữ liệu IP được đóng gói tiêu đề như
hình sau:
Hình 22
Khi đóng gói nó có sử dụng số ID của host cho điều khiển truy cập. ACK
cho giám sát tốc độ truyền dữ liệu trong đường hầm
PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền
đi. Chế độ này làm giảm tối thiểu kích thước dữ liệu phải truyền lại do mất gói.
PPTP cho phép người dùng và các ISP có thể tạo ra nhiều loại đường hầm
khác nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại
máy tính của mình nếu như có cài client PPTP, hay tại máy chủ ISP nếu như
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 34
máy tính của họ chỉ có PPP mà không có PPTP. Đường hầm được chia ra làm
hai loại:
Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng
cho mục đích xác định.
Đường hầm bắt buộc được tạo ra không thông qua người dùng cho
nên nó trong suốt đối với người dùng đầu cuối.
3.2 Giao thức chuyển tiếp lớp 2 (Layer 2 Forwarding Protocol)
Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ
thống mạng của Cisco trong lúc giao thức PPP đang phát triển, nó là một giao
thức cho phép một máy tính của người dùng truy nhập vào một intranet của một
tổ chức xuyên qua cơ sở hạ tầng mạng công cộng Internet với sự an toàn và điều
khiển được bảo trì. Tương tự như giao thức định đường hầm điểm tới điểm
PPTP, giao thức L2F cho phép sự truy nhập mạng riêng ảo an toàn xuyên qua cơ
sở hạ tầng mạng công cộng Internet bằng cách tạo ra một đường hầm giữa hai
điểm kết nối.
Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ
IP, IPX, NetBIOS, NetBEUI, còn L2F định đường hầm không tuỳ thuộc vào
mạng IP, L2F có thể làm việc với nhiều thủ tục mạng khác nhau như: Frame
Relay, ATM, FDDI…. Một L2F hỗ trợ việc định đường hầm cho hơn một kết
nối, giới hạn của giao thức PPTP. L2F có thể làm được điều này trong khi nó
định nghĩa những kết nối bên trong đường hầm, đây là một đặc điểm hữu ích
của L2F. Trong tình trạng nơi có nhiều một người đang dùng truy nhập từ xa mà
chỉ có duy nhất một kết nối được thoả mãn yêu cầu.
Hình 23
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 35
Hình 24
L2F sử dụng giao thức PPP cho sự chứng thực khách hang như giao thức
PPTP, tuy nhiên L2F còn hỗ trợ chứng thực người dùng quay số từ xa RADIUS
( Remote Authentication Dial-up User Service ) và hệ thống điều khiển giám sát
đầu cuối TACACS+ ( Terminal Access Controller Access Control System ).
Sự chứng thực L2F thể hiện ở hai mức: đầu tiên khi người dùng từ xa kết
nối tới nhà cung cấp dịch vụ ISP qua giao thức bưu điện POP sau đó kết nối
được chuyển tới cổng vào mạng Intranet của tổ chức. L2F chuyển những gói dữ
liệu xuyên qua một đường hầm riêng ảo giữa hai đầu cuối của một kết nối điểm
tới điểm, L2F làm điều này tại giao thức.
L2F là một lớp hai giao thức cho nên L2F có thể sử dụng cho những giao
thức khác IP như: IPX, NetBEUI…
Với giao thức L2F, một sự an toàn đầy đủ giữa hai đầu điểm cuối VPN có
thể được tạo ra và sử dụng, nó là một giải pháp biến đổi được và đáng tin cậy.
3.3 Giao thức định đường hầm lớp 2 (Layer 2 Tunneling Protocol)
L2TP là một kỹ thuật nảy sinh để cung cấp một kết nối từ xa tới một
Intranet tập đoàn hay tổ chức. L2TP là giao thức được phát triển hoà trộn giữa
hai giao thức PPTP và L2F.
Hình 25
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 36
L2TP cung cấp một kỹ thuật để xây dựng cho một kết nối đường hầm qua
giao thức điểm tới điểm PPP. Đường hầm có thể vắ đầu được tạo ra giữa người
dùng từ xa tới nhà cung cấp dịch vụ.
Hình 26
Giao thức L2TP không những cung cấp các kết nối từ xa của người dùng
trong một mạng riêng ảo VPN mà còn có thể hỗ trợ các giao thông đa thủ tục, đó
là tất cả các giao thức lớp mạng hỗ trợ bởi giao thức PPP đáng tin cậy. Hơn nữa,
L2TP cung cấp sự hỗ trợ cho bất kỳ sự định vị cho bất kỳ lớp mạng nào lên sơ
đồ kết nối qua Internet.
3.3.1 Quan hệ giữa L2TP với PPP
Giao thức định đường hầm lớp 2, L2TP là sự kết hợp giữa hai giao thức
đó là PPTP và L2F. Giống như PPTP, L2F là giao thức đường hầm, nó sử dụng
tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2. Điểm khác biệt giữa
PPTP và L2F là L2F không phụ thuộc vào IP và GRE. Cho phép nó có thể làm
việc ở các môi trương vật lý khác. L2TP mang đặc tính của PPTP và L2F. Tuy
nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của
L2F. L2TP dựa trên PPP để tạo kết nối quay số giữa client và máy chủ truy cập
mạng ( NAS ). L2TP sử dụng PPP để tạo kết nối vật lý, tiến hành xác thực đầu,
tạo gói dữ liệu PPP và đóng kết nối khi kết thúc phiên làm việc. L2TP có thể tạo
nhiều đường hầm giữa ISP và các máy chủ mạng client.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 37
Tiêu đề IP
Tiêu đề GREv2
Gói tải PPP
IP, IPX và gói dữ liệu NETBEUI
Tiêu đề môi trường phân phối
(IP,ATM,X.25)
Khung Ethernet
Tiêu đề
MT Khung
PPP
ServerClient Di động
Chuyển mạch truy nhập từ xa
của ISP
`
`
`
Host
Host
LAN
Hình 27
L2TP cũng giống với PPTP là nó cũng có 2 thông báo:
Thông báo điều khiển
Thông báo dữ liệu
Cũng tương tự như PPP, sau khi đường hầm được thiết lập thì dữ liệu được
truyền từ client sang máy chủ PPTP chứa các gói dữ liệu IP. Gói dữ liệu IP được
đóng gói tiêu đề như hình sau.
Hình 28: Bộ lọc gói L2TP
L2TP cũng sử dụng những lớp đường hầm như PPTP.
Đường hầm tự nguyện: Tạo theo yêu cầu của người dùng
Đường hầm bắt buộc: Được tạo tự động ( Người dùng không được
lựa chọn ).
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 38
3.4 Tổng quan giao thức đinh đường hầm lớp 2 ( L2TP Overview).
Giao thức L2TP có thể hỗ trợ sự truy cập mạng LAN từ xa sử dụng bất kỳ
giao thức lớp mạng nào được hỗ trợ bởi giao thức PPP qua các phiên đường hầm
và cái đó trực tiếp được quản lý bởi việc kết thúc kết nối PPP trong sự truy nhập
cổng vào mạng Intranet của một tổ chức hay một tập đoàn.
Hình 29
Trong giao thức L2TP có một số phần tử tham gia vào việc thiết lập đường hầm:
L2TP Access Concentrator (LAC): Bộ tập trung truy nhập giao
thức.
Bộ tập trung truy nhập LAC được đinh vị tại nhà cung cập dịch vụ
ISP qua giao thức POP cung cấp các kết nối vật lý của người dùng từ
xa. Trong LAC phương tiện truyền thông vật lý được kết thúc và nó
có thể được nối tới mạng điện thoại chuyển mạch công cộng PSTN
hoặc mạng số tích hợp đa dịch vụ ISDN. Qua bộ tập trung LAC này,
người ta có thể thiết lập kết nối đường hầm L2TP qua bộ định tuyến
LAC router tới người dùng đầu cuối nơi đường hầm được kết thúc.
L2TP Network Server ( LNS): Máy chủ phục vụ L2TP
LNS tiếp nhận các phiên kết nối của người dùng từ xa, chỉ có một kết
nối đơn được sử dụng trên LNS để kết thúc các kênh kết nối gọi đến
từ những người dùng từ xa từ các phương tiện truyền thông khác nhau
như ISDN, V120 …
Bộ tập trung đa truy nhập cũng có thể được sử dụng như LNS khi nó
được sử dụng như cổng vào truy nhập Intranet tập đoàn.
Network Access Server (NAS): Máy chủ truy cập mạng.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 39
NAS là một thiết bị truy nhập từ điểm tới điểm đáp ứng những yêu
cầu truy nhập của người dùng từ xa qua ISDN hay PSTN.
NAS thành lập và điều khiển các phiên họp và đường hầm
+ Người dùng từ xa bắt đầu một kết nối PPP tới NAS
+ NAS chấp nhận cuộc gọi
+ Sự chứng thực người dùng đầu cuối được máy chủ uỷ nhiệm cho
phép tới NAS
+ Người dùng đầu cuối thiết lập kết nối với LNS để tạo ra đường hầm
tới Intranet tập đoàn. Các phiên kết nối được LAC quản lý và các gói
dữ liệu được gửi qua đường hầm LAC LNS, mỗi LAC và LNS theo
dõi tình trạng các kết nối của người dùng.
Hình 30
+ Người dùng từ xa cũng được xác nhận bởi máy chủ chứng thực của
cổng ra vào LNS trước khi được chấp nhận kết nối đường hầm.
+ LNS chấp nhận kết nối và thiết lập đường hầm L2TP và NAS chứng
thực.
+ LNS trao đổi với người dùng từ xa qua giao thức PPP.
L2PT có thể hỗ trợ các hàm sau:
Thiết lập đương hầm của người dùng đơn quay số trong những
khách hang
Sự xuyên đường hầm bằng các chương trình chuyển vận nhỏ.
Đầu vào của một kết nối gọi tới LNS từ LAC.
Thiết lập đa đường hầm.
Uỷ nhiệm chứng thực cho PAP và CHAP
Sự chứng thực điểm cuối của đường hầm.
Che dấu cặp thuộc tính để truyền một mật khẩu PAP uỷ nhiệm.
Sự xuyên đường hầm sử dụng một lookup table.
Sự xuyên đường hầm sử dụng tên lookup người dùng PPP trong hệ
thống AAA.
Những kiểu đường hầm L2TP:
Những đương hầm L2TP bắt buộc: Với kiểu đường hầm L2TP bắt
buộc này thì đường hầm L2TP được thiết lập giữa LAC, nhà cung
cấp dịch vụ ISP và một LNS ở tại mạng Intranet của tập đoàn.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 40
Hình 31
Một đường hầm bắt buộc được thiết lập như sau:
Người dùng từ xa bắt đầu một kết nối PPP tới nhà cung cấp dịch
vụ ISP
Nhà cung cấp dịch vụ ISP chấp nhận kết nối và mối liên kết PPP
được thành lập
ISP thiết lập một đường hầm L2TP tới LNS, nếu LNS chấp nhận
kết nối thì LAC đóng gói PPP với L2TP và chuyển vào đường
hầm, LNS chấp nhận khung này, tước bở L2TP và sử lý đầu vào
PPP.
LNS sử dụng chứng thực để làm cho có hiệu lực với người dùng
sau đó gán địa chỉ IP
Hình 32
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 41
Hình 33 : Đóng gói dữ liệu trong đường hầm L2TP
Thiết lập kết nối mạng riêng ảo từ xa sử dụng L2TP và IPSec.
Hình 34: Sử dụng IPSec để bảo vệ L2TP trong đương hầm bắt buộc giữa người
dùng từ xa với một cổng vào tập đoàn
Hình 35
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 42
3.5 Ứng dụng L2TP trong VPN.
Ví dụ: Công ty được hỗ trợ bởi nhà cung cấp dịch vụ VPN. Có nghĩa là
ISP cung cấp kết nối Internet cho công ty có máy chủ Proxy RADIUS và LAC.
Còn ở tại công ty duy trì máy chủ RADIUS và LNS
Hình 36:Quay số L2TP truy nhập VPN
L2TP là một thế hệ giao thức quay số truy cập mới của VPN. Nó phối
hợp những đặc điểm tốt nhất của PPTP và L2F. Hầu hết các nhà cung cấp sản
phẩm PPTP đều đưa ra các sản phẩm tương thích L2TP hoặc giới thiệu sau này.
Mặc dù nó chạy chủ yếu trên mạng IP nhưng nó cũng không có khả năng chạy
trên mạng Frame Relay, ATM điều này càng làm cho nó càng trở nên phổ biến.
3.6 So sánh giữa PPTP và L2TP
Cả hai PPTP và L2TP\IPSec sử dụng giao thức kết nối điểm - điểm để
cung cấp một vỏ bọc cơ sở cho dữ liệu, và sau đó nối thêm phần header vào để
truyền qua các mạng làm việc. Tuy nhiên có những cái khác sau đây:
Với PPTP, dữ liệu được bắt đầu mã hoá sau khi PPP kết nối xử lý (
và, bởi vậy, PPP được xác thực ) là hoàn thành. Với L2TP\IPSec,
dữ liệu được bắt đầu mã hoá trước khi PPP kết nối xử lý bằng đàm
phán một IPSec liên kết bảo mật.
PPTP kết nối sử dụng MPPE, mỗi chuỗi mật mã là một cơ bản trên
RSA RC-4 thuật toán mã hoá sử dụng 40, 56, hoặc 128 bit các
khoá mã hoá. Chuỗi mật mã mã hoá dữ liệu như một bit các chuỗi
kết nối L2TP\IPSec sử dụng DES, cái nào là một khối mật mã mà
sử dụng hoặc một khoá 56 bit cho DES, hoặc 3 khoá 56 bit cho 3-
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 43
DES. Các khối mật mã mã hoá dữ liệu trong các khối riêng biệt (
các khối 64 bit, trong trường hợp của DES).
Các kết nối PPTP yêu cầu chỉ sử dụng mức chứng thực qua một
giao thức chứng thực PPP cơ bản. Các kết nối L2TP\IPSec yêu cầu
như sử dụng mức chứng thực và thêm mức máy tính chứng thực sử
dụng máy tính cấp chứng nhận.
3.6.1 Ưu điểm của L2TP.
Sau đây là những thuận lợi sử dụng L2TP\IPSec hơn PPTP trong
Windows 2000:
IPSec cung cấp cho mỗi gói dữ liệu chứng thực ( Chứng minh dữ
liệu đã được gửi bởi người dùng cho phép), toàn ven dữ liệu
(Chứng minh là dữ liệu đã không bị sửa đổi trong quá trình truyền
), replay protection ( Ngăn cản từ việc gửi lại một chuỗi của các
gói lấy được ), và dữ liệu tin cậy ( Ngăn cản từ việc phiên dịch các
gói lấy được với ngoài các khoá mã hoá). Bởi trái ngược, PPP
cung cấp chỉ cho mỗi gói dữ liệu tin cậy.
Các kết nối L2TP/IPSec cung cấp chứng thực chắc chắn bằng yêu
cầu cả hai chứng thực mức máy tính qua giấy chứng nhận và mức
chứng thực người dùng qua một giao thức chứng thực PPP.
Các gói PPP thay đổi trong thời gian mức chứng thực người dùng
là không bao giờ gửi dạng không phải bảng mã vì kết nối PPP xử
lý cho L2TP/IPSec xuất hiện sau khi IPSec liên kết bảo mật (SAs)
đã được thiết lập. Nếu chặc, xác thực PPP thay đổi để một vài kiểu
của các giao thức xác thực PPP có thể sử dụng thực thi các tấn
công từ điển ngoại tuyến và quyết định sử dụng các mật khẩu. Bởi
mã hoá thay đổi xác thực PPP, các tấn công từ điển ngoại tuyến là
chỉ có thể thực hiện được sau khi các gói mã hoá đã hoàn thành
giải mã.
3.6.2 Ưu điểm của PPTP
Sau đây là những thuận lợi của PPTP hơn L2TP/ IPSec trong Windows
2000.
PPTP không yêu cầu một chứng nhận cơ sở hạ tầng. L2TP/IPSec
yêu cầu một chứng nhận cơ sở hạ tầng để đưa ra các chứng nhận
máy tính tới máy chủ VPN và tất cả các máy khách.
PPTP có thể sử dụng bằng các máy tính chạy Windows XP,
Windows 2000 …với mạng Windows quay số thực thi và cập nhật
bảo mật. L2TP/IPSec có thể chỉ sử dụng với Windows XP và
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 44
Windows 2000 các máy khách VPN. Chỉ các khách hỗ trợ giao
thức L2TP/IPSec, và sử dụng các chứng nhận.
Các máy khách và các máy chủ PPTP có thể đặt giữa một máy
truyền địa chỉ mạng (NAT) nếu NAT có máy phụ trách thích hợp
cho giao thông PPTP. Các máy khách hoặc máy chủ L2TP/IPSec
cơ bản không thể đặt giữa một NATunnless cả hai hỗ trợ IPSec
NAT traversal (NAT-T). IPSec NAT-T là hỗ trợ bởi Windows
Server 2003
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 45
Chương 3
MÃ HÓA VÀ CHỨNG THỰC TRONG VPN
Ngày nay mạng máy tính đã trở nên phổ biến và là thành phần không thể
thiếu đối với mỗi người trong chúng ta cũng như các quốc gia. Các ứng dụng,
dịch vụ trên mạng máy tính: thư điện tử, chuyển và nhận tiền, thương mại điện
tử, chính phủ điện tử… đã trở nên phổ biến, thuận lợi và quan trọng thì yêu cầu
về an toàn mạng, về an ninh dữ liệu trên mạng ngày càng trở nên cấp bách và
cần thiết. Tổ chức Interpol đã khuyến cáo về các nguy cơ đối với mạng máy tính
như:
Sự truy nhập trái phép và ăn cắp thông tin.
Sữa đổi dữ liệu máy tính.
Sao chép trái phép.
Làm tê liệt mạng máy tính.
Những tấn công khác …
Do đó, thông tin trên mạng, dù đang truyền hay được lưu trữ đều cần
được bảo vệ hoặc các thông tin đó cần được giữ bí mật hoặc chúng phải được
cho phép người ta kiểm tra để tin tưởng rằng chúng không bị sửa đổi so với dạng
nguyên thuỷ của mình và chúng đúng là của người đã gửi cho ta, hơn nữa niềm
tin đó phải được pháp luật hỗ trợ. Do đó rất nhiều quốc gia trên thế giới rất quan
tâm đến vấn đề này, các nhà khoa học đã nghiên cứu và đưa ra các thuật toán mã
hoá để bảo mật thông tin ngày một tốt hơn tránh nguy cơ rò rỉ, mất mát thông tin
cho người dùng, các doanh nghiệp và các quốc gia khi giao dịch, trao đổi thông
tin qua mạng toàn cầu Internet.
Trong ứng dụng công nghệ “ Mạng riêng ảo ” VPN, các thuật toán mã
hoá được ứng dụng trong từng lớp giao thức mà người dùng tuỳ chọn cách mã
hoá thông tin bằng thuật toán mã hoá như DES, 3-DES ..
1. Mã hoá trong VPN.
1.1 Thuật toán mã hoá DES
Thuật toán mã hoá DES được IBM phát triển vào những năm 1970 sau đó
được Uỷ ban tiêu chuẩn Quốc gia Hoa Kỳ (The National Bureau of Standard).
Ngày nay là NIST chấp nhận ngày 15-5-1973. DES đã trở thành chuẩn mã hoá
dữ liệu chính thức cho Chính phủ Hoa Kỳ và năm 1977 và trở thành hệ mật được
sử dụng rộng rãi nhất trên thế giới.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 46
Thuật toán mã hoá DES có thể thoả mãn các yêu cầu sau:
Thuật toán phải có độ an toàn cao.
Thuật toán phải được định nghĩa đầy đủ và hoàn toàn dễ hiểu.
Độ an toàn phải nằm ở khóa, không phụ thuộc vào tính bí mật của
thuật toán.
Thuật toán phải sẵn sàng cung cấp cho mọi người dùng.
Thuật toán phải thích nghi được với việc dùng cho các ứng dụng
khác nhau.
Thuật toán phải được cài đặt được một cách tiết kiệm trong các
thiết bị điên từ.
Thuật toán khi sử dụng phải phát huy tối đa hiệu quả.
Thuật toán phải có khả năng hợp thức hoá.
Thuật toán phải có tính thương mại.
1.1.1 Mô tả DES
Một mô tả đầy đủ về DES được nêu ra trong Công báo về chuẩn xử lý
thông tin Liên bang số 46 ngày 15-1-1977. DES mã hoá một dòng bit rõ x có độ
dài 64 với khoá K là dòng 56 bit, đưa ra bản mã y cũng là một dãy bit có độ dài
64.
Hình 37 Mô tả DES
| x | =64; | y | = 64; | k | = 56
Thuật toán DES gồm 3 giai đoạn:
Cho bản rõ x, ta tính được x0 qua việc hoán vị các bít của x theo
hoán vị đầu IP:
X0 = IP(x)=L0R0
L0 là 32 bit đầu tiên của x0, R0 là 32 bit còn lại và IP là hoán vị đầu
cố định
Lặp 16 vòng.
1≤ i ≤16
Li = Ri-1;
Ri = Li-1 ө f(Ri-1,k);
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 47
Dấu “ө” thể hiện phép toán “ hoặc loại trừ” hai dãy bit, f là một
hàm, ki là những dãy dài 48 bit được tạo từ khoá k bởi thuật toán
riêng.
Li-1 Ri-1
Li Ri
Hình 38: Một vòng của DES
Bản mã y được tính toán bởi hoán vị IP-1 của R16L16, chú ý đảo
ngược vị trí của L16 và R16
Y= IP-1 (R16L16)
L16 R16
R16 L16
Các mẫu hoạt động của DES: như ta đã thấy, đầu vào của DES chỉ có 8
byte, vậy mà văn bản cần mã lại có thể rất dài, cỡ vài kbyte chẳng hạn. Để giải
quyết vấn đề này, người ta đã đề ra 4 mẫu hoạt động cho DES là:
Electronic CodeBook mode (ECB).
Cippher FeedBack mode (CFB).
Cipher Block Chaining mode (CBC).
Output FeedBack mode (OFB).
1.1.2 Ưu và nhược điểm của DES
- Ưu điểm: Thuật toán mã hoá DES tốc độ mã hoá dữ liệu rất nhanh.
- Nhược điểm: Do DES có kích cỡ của không gian khoá 256 là quá nhỏ,
không đủ an toàn, cho nên những máy có mục đích đặc biệt có thể sẽ bẻ
gãy và dò ra khoá rất nhanh.
1.1.3 Ứng dụng của thuật toán DES trong thực tế.
Một ứng dụng rất quan trọng của DES là ứng dụng cho các văn bản trong
giao dịch ngân hang sử dụng các tiêu chuẩn được hiệp hội các ngân hang Mỹ
ki
+
f
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 48
phát triển. DES được sử dụng để mã hoá các số nhận dạng cá nhân (Pins) và các
văn bản về tài khoản được máy thu ngân tự động thực hiện (ATMs)…
1.2 Thuật toán mã hoá 3DES.
Thuật toán mã hoá 3DES là một biến thể phụ của DES, như ta đã biết
DES vẫn tồn tại nhiều nhược điểm như: Có thể bẽ gãy bằng những máy có mục
đích đặc biệt để tìm ra khóa.
1.2.1 Mô tả 3DES.
Thuật toán mã hoá 3DES gồm 3 chìa khoá 64 bit, tức là toàn bộ chiều dài
khoá là 192 bit
Trong khi mã hoá riên tư, chúng ta đơn giản là nhập toàn bộ 192 bit khoá đơn là
vào mỗi 3 chìa khoá cá nhân.
Des Encryption
Des Encryption
Des Encryption
Key 1
Ciphertext
Plaintext
Key 2
Key 3
Hình 39: Mô tả 3DES
Thủ tục mã hoá cũng tương tự DES nhưng nó được lặp lại 3 lần tức là
tăng lên 3 lần DES. Dữ liệu được mã hoá với chìa khoá đầu tiên, và được giải
mã với chìa khoá 2, sau đó mã hoá lần nữa với chìa khoá thứ 3 để thu được dữ
liệu mã hoá cuối cùng.
+ Các mẫu hoạt động của 3DES:
Triple ECB (Triple Electronic Code Book): Sách mã hoá điện tử.
Triple CBC (Triple Cipher Chaining): Móc nối khối ký số.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 49
1.2.2 Ưu và nhược điểm của 3DES
- Ưu điểm: Khác với DES, thuật toán mã hoá 3DES được mã hoá 3 lần
DES với kích cỡ không gian khoá 168 bit cho nên an toàn hơn rất nhiều
so với DES.
- Nhược điểm: Vì 3DES sử dụng 3 lần mã hoá DES cho nên tốc độ mã hoá
sẽ chậm hơn rất nhiều so với DES. Phần mềm ứng dụng tỏ ra rất chậm đối
với hình ảnh số và một số ứng dụng dữ liệu tốc độ cao vì kích thước khối
64 bit vẫn còn là một nhược điểm đối với những hệ có tốc độ của thế kỷ
21.
1.3 Giải thuật hàm băm (Secure Hash Algorithm).
Đối với các sơ đồ chữ ký thông thường, ta chỉ có thể ký các bức điện nhỏ.
Chẳng hạn khi dùng chuẩn chữ ký số DSS, một tài liệu dài 160 bit sẽ được ký
bằng chữ dài 320 bit. Trên thực tế ta cần ký các tài liệu dài hơn nhiều ( Chằng
hạn, một tài liệu về pháp luật có thể dài nhiều Megabyte ).
Giải pháp để giải quyết các vấn đề này là dùng hàm Hash mã khoá công
khai nhanh. Hàm này dựa trên nội dùng một tài liệu có độ dài tuỳ ý để tạo ra một
“bản tóm tắt” của tài liệu với kích thước quy định (160 bit nếu dùng DSS). Sau
đó, “bản tóm tắt” của tài liệu này (dữ liệu ra của hàm Hash) sẽ được ký. Việc
dùng hàm Hash với DSS được biểu diễn như sau.
Bức điện: m: Độ dài tuỳ ý
Tính bản tóm lược thông báo: z=h(m)
160 bit
Khi B muốn ký bức điện x, trước tiên B tạo một bản tóm tắt z của tài liệu
bằng cách sử dụng hàm băm h và sau đó dùng khoá bí mật của mình để tìm chữ
ký s (s=Sigk(z); trong đó Sigk là hàm mã hoá RSA với khoá bí mật của B). Tiếp
theo, B gửi cặp (m,s) đến cho A. Để xác thực trước hết A phải khôi phục bản
tóm tắt của tài liệu bằng hàm h (z=h(m)) và sau đó thực hiện kiểm tra xem
Verk(m,s) có bằng true hay không.
1.4 Giải thuật RSA
RSA là một hệ mật mã khoá công khai phổ biến và cũng đa năng nhất
trong thực tế, được phát minh bởi Rivest, Shamir và Adleman được coi như là
một hệ chuẩn đối với các hệ mật mã khoá công khai.
RSA dựa trên tính khó của bài toán phân tích các số lớn thành ra thừa số
nguyên tố: biết một số nguyên tố nhân chúng với nhau để thu được một hợp số là
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 50
bài toán dễ. Còn khi biết hợp số, để phân tích nó ra thành thừa số nguyên tố là
bài toán rất khó mà hầu như không thực hiện được nếu 2 nguyên tố đó là những
số lớn.
Giả sử n là một số nguyên tố và là tích của hai số nguyên tố lớn khác
nhau p và q (n=p.q). Ta chọn một số nguyên tố với µ(n)=(p-1)(q-1),và tính b=a-1
Mod µ(n), tức là a.b ≡ 1 mod µ(n).
Hệ RSA được mô tả như sau:
Lấy n=p.q, trong đó p và q là hai số nguyên tố.Đặt P=C=Zn:
K={(n,b,a):ab ≡ 1 mod µ(n)},
Trong đó (n, b) là khoá công khai, còn a là khoá bí mật
Với K = (K’,K”), K’ = (n,b), K” = a, ta định nghĩa
ek’(x) = xb mod n
dk”(y) = yb mod n
Với x, y Є Zn
Ta thấy rằng với mọi x Є Zn* (Tức là x Є Zn và x là nguyên tố với n)
Dk” (ek’(x))= (xb)a = xab = xt.µ(n) + 1 = x mod n
Với x ЄZn\Zn* ta vẫn có đẳng thức nói trên, vì khi đó hoặc x chia hết cho p và x
nguyên tố với q hoặc x chia hết cho q và x nguyên tố với p. Trong cả hai trường
hợp đó ta đều có:
xt.µ(n) + 1 = x mod p
xt.µ(n) + 1 = x mod q
Từ đó suy ra ta có xt.µ(n) + 1 = x mod n.
2 Chứng thực trong VPN.
Sự chứng thực là một bộ phận cấu trúc của sự an toàn mạng riêng ảo
VPN, có thể ta có một hệ thống đáng tin cậy xác nhận những mạng, người dùng
và dịch vụ mạng nhưng như vậy chưa hẳn đã là một hệ thống an toàn tuyệt đối,
ta không thể kiểm soát được các truy nhập vào hệ thống tài nguyên mạng tập
đoàn của ta trước những người dùng bất hợp pháp. Cho nên một giải pháp có thể
điều khiển và ngăn cản người dùng bất hợp pháp cố tình truy nhập hệ thống là ta
sử dụng phương pháp chứng thực.
Hình 40: Kịch bản của sự chứng thực
Sự chứng thực thì dựa vào một trong ba thuộc tính sau:
Something you have : Chìa khoá hay một thẻ dấu hiệu
Something you know: Mật khẩu
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 51
Something you are: Tiếng nói hay quét võng mạc
Người dùng có thể chứng thực bằng:
Password.
One-time Password (s/key).
USB ikey.
Smart card.
PKI/ certificate
IP.
Tuy nhiên đó chỉ là những phương pháp chứng thực đơn, không thích hợp
hay chưa đủ mạnh mẽ để bảo vệ những hệ thống, thay vào đó các chuyên gia an
toàn giới thiệu phương pháp chứng thực mạnh mẽ, áp dụng hai trong những
thuộc tính trước cho sự chứng thực.
Sự đa dạng của những hệ thống mạng VPN sẵn có hiện thời phụ thuộc
vào những phương pháp khác nhau của sự chứng thực hoặc những sự kết hợp
của chúng, Ngoài các phương pháp chứng thực đơn, trong mạng riêng ảo VPN
còn sử dụng sự chứng thực bằng giao thức.
Giao thức chứng thực:
Password Authentication Protocol (PAP).
Challenge Handshare Authentication Protocol (CHAP).
Extensible Authentication Protocol (EAP).
Remote Authentication Dial-up User Services (RADIUS).
Máy chủ chứng thực:
Radius.
Kerberos.
LDAP.
NT domain.
Solaris Pluggable Authentication Modules (PAM).
Novell Directory Services (NDS).
2.1 Password Authentication Protocol (PAP): Giao thức chứng thực
bằng mật khẩu.
Giao thức chứng thực mật khẩu PAP trước kia được thiết kế ra chính là để
một máy tính xác nhận máy tính khác thông qua giao thức từ điểm tới điểm PPP
được sử dụng như thủ tục truyền tin. Sự chứng thực PAP có thể được sử dụng tại
nơi bắt đầu một mối liên kết PPP tức là khi một máy trạm truy nhập từ xa tới hệ
thống mạng tập đoàn nó phải gửi ID (tên người dùng) và mật khẩu tới hệ thống
mạng đích, ở đó máy chủ điều khiển truy nhập NAS có nhiệm vụ chứng thực
máy trạm của người dùng đó có được phép truy nhập tới tài nguyên mạng của
tập đoàn hay không.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 52
Tuy nhiên, sự chứng thực bằng giao thức chứng thực bằng mật khẩu chưa
đủ sự an toàn và tin cậy vì thông tin chứng thực được trao đổi không an toàn
trong môi trường mạng công cộng Internet nên các tội phạm tin học có thể nghe
trôm, đánh cắp thông tin để từ đó đoán ra được mật khẩu truy nhập vào hệ thống.
2.2 Challenge Handshare Authentication Protocol (CHAP).
Giao thức CHAP được thiết kế tương tự giao thức PAP nhưng có độ an
toàn cao hơn nhiều. Cũng như giao thức PAP, giao thức CHAP cũng có thể được
sử dụng tại nơi bắt đầu một mối liên kết PPP và sau đó lặp lại sau khi mối liên
kết đó được thiết lập.
3 Firewall
3.1 Khái niệm về Firewall.
Firewall là một thuật ngữ có nguồn gốc từ một kỹ thuật thiết kế trong xây
dựng để ngăn chặn, hạn chế hoả hoạn.
Trong công nghệ mạng thông tin, Firewall là một kỹ thuật được tích hợp
vào hệ thống mạng nhằm mục đích:
Ngăn chặn và hạn chế các truy nhập trái phép, nhằm bảo vệ các
nguồn tài nguyên , thông tin dữ liệu.
Cấm truy nhập từ bên trong (Intranet) tới một số địa chỉ nhất định
trên Internet
Cũng có thể hiểu Firewall là một cơ chế để bảo vệ một mạng tin cậy khỏi
các mạng không tin cậy như mạng công cộng Internet.
Thông thường Firewall được đặt giữa mạng tin cậy bên trong như mạng Intranet
của một công ty hay một tổ chức và mạng không tin cậy như Internet.
Mô hình Firewall
Hình 41
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 53
Chức năng của tương lửa Firewall: Là kiểm soát luồng thông tin ra, vào
giữa mạng tin cậy (Intranet) và mạng không tin cậy Internet. Thiết lập cơ chế
điều khiển các luồng thông tin cụ thể là:
Cho phép hoặc cấm những dịch vụ truy nhập từ mạng tin cậy ra
ngoài mạng không tin cậy (Từ mạng Intranet tới mạng Internet).
Cho phép hoặc cấm những dịch vụ truy nhập từ mạng không tin
cậy vào trong mạng tin cậy.
Theo dõi và điều khiển các luồng dữ liệu giữa Internet và Intranet.
Kiểm soát các địa chỉ truy nhập hoặc cấm địa chỉ truy nhập.
Kiểm soát người dùng và việc truy nhập của người dùng.
3.2 Các thành phần của Firewall.
Firewall có thể phân loại thành 3 dạng cơ bản:
Bộ lọc gói (Packet Filters)
Máy phục vụ uỷ nhiệm (Proxy Server) bao gồm
1. Cổng ứng dụng (Application Gateway).
2. Cổng mạch (Circuit level gateway).
Bộ lọc gói có trạng thái (Statefull Packet Filters)
Hình 42
Để xây dựng Firewall hoạt động có hiệu quả nhất, nên sử dụng kết hợp tất
cả các thành phần trên
3.2.1 Bộ lọc gói (Packet Filtering Router).
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 54
Hình 43
Khi nói đến việc lưu thông dữ liệu giữa các mạng với nhau thông qua
Firewall thì điều đó có nghĩa rằng Firewall hoạt động chặt chẽ với giao thức
TCP/IP.
Nguyên lý:
Bộ lọc packet cho phép hay từ chối mỗi packet mà nó nhận được. Nó
kiểm tra toàn bộ đoạn dữ liệu để quyết định xem đoạn dữ liệu đó có thoã mãn
một trong số các luật lệ của bộ lọc packet hay không. Các luật lệ lọc packet này
là dựa trên các thông tin ở đầu mỗi packet (Packet header) dùng để cho phép
truyền các packet đó ở trên mạng. Đó là:
Địa chỉ IP nơi xuất phát (IP Source address)
Địa chỉ IP nơi nhận (IP Destination address)
Những thủ tục truyền tin (TCP,UDP. ICMP, IP tunnel)
Cổng TCP/UDP nơi xuất phát
Cổng TCP/UDP nơi nhận
Dạng thông báo ICMP (ICMP message type)
Giao diện packet đến (Incomming interface of packet)
Giao diện packet đi (outcomming interface of packet)
Nếu luật lệ lọc packet được thoã mãn thì packet được chuyển qua
Firewall.Nếu không thoã mãn, packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể
ngăn cản được các kết nối vào các máy chủ hoặc mạng nào đó được xác định,
hoặc khoá việc truy cập vào hệ thống mạng nội bộ từ những địa chỉ không cho
phép. Hơn nữa, việc kiểm soát các cổng làm cho Firewall có khả năng chỉ cho
phép một số loại kết nối nhất định vào các loại máy chủ nào đó, hoặc chỉ có
những dịch vụ (Telnet, SMTP, FTP …) được phép mới chạy được trên hệ thống
mạng cục bộ.
Ưu điểm
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 55
Đa số các hệ thống Firewall đều sử dụng bộ lọc packet. Một trong những
ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet
đã được bao gồm trong mỗi phần mềm Router.
Ngoài ra, bộ lọc packet là trong suốt đối với người sử dụng và các ứng dụng, vì
vậy nó không yêu cầu sự huấn luyện, đào tạo đặc biệt nào cả.
Hạn chế
Việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, đòi hỏi
người quản trị mạng cần có hiểu biết chi tiết về các dịch vụ Internet, các dạng
packet header, và các giá trị cụ thể có thể nhận trên mỗi trường. Khi đòi hỏi về
sự lọc càng lớn, các luật lọc càng trở nên dài và phức tạp, rất khó để quản lý và
điểu khiển.
Do làm việc dựa trên header của các packet, rõ rang là bộ lọc packet
không kiểm soát được nội dùng thông tin của packet. Các packet chuyển qua vẫn
có thể mang theo những hành động với ý đồ lấy cắp thông tin hay phá hoại của
kẻ xấu.
3.2.2 Cổng ứng dụng (Application-level gateway)
Hình 44
Nguyên lý:
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 56
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát
các loại dịch vụ, giao thức được phép truy cập vào hệ thống mạng.
Cơ chế hoạt động dựa trên cách thức gọi là Proxy service. Proxy service
là các bộ mã đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản
trị mạng không cài đặt Proxy code cho một ứng dụng nào đó, dịch vụ tương ứng
sẽ không được cung cấp và do đó không thể chuyển thông tin qua Firewall.
Ngoài ra, Proxy code có thể được định cấu hình để hỗ trợ chỉ một số đặc điểm
trong ứng dụng mà người quản trị mạng cho là chấp nhận đựơc trong khi từ chối
những đặc điểm khác.
Một cổng ứng dụng thường được coi như một pháo đài (bastion host), bởi
vì nó được thiết kế đặc biệt để chống lại sự tấn công từ bên ngoài. Những biện
pháp đảm bảo an ninh mạng của một bastion host là:
Bastion host luôn chạy các version an toàn (Secure version) của
các phần mềm hệ thống. Các version an toàn này được thiết kế
chuyên cho mục đích chống lại sự tấn công vào Openrating
System, cũng như đảm bảo sự tích hợp Firewall.
Chỉ những dịch vụ mà người quản trị mạng cho là cần thiết mới
được cài đặt trên bastion host, đơn giản chỉ vì nếu một dịch vụ
không được cài đặt, nó không thể bị tấn công. Thông thường, chỉ
một số giới hạn các ứng dụng cho các dịch vụ Telnet, DNS, FTP,
SMTP và xác thực user là được cài đặt trên bastion host
Bastion host có thể yêu cầu nhiều mức độ xác thực khác nhau, ví
dụ như: user name, password hay smart card.
Mỗi một proxy được đặt cấu hình để cho phép truy nhập chỉ một
số các máy chủ nhất định. Điều này có nghĩa rằng bộ lệnh và đặc
điểm thiết lập cho mỗi proxy chỉ đúng với một số máy chủ trên
toàn hệ thống.
Mỗi proxy duy trì một quyển nhật ký ghi chép lại toàn bộ chi tiết
của giao thông qua nó, mỗi sự kết nối, khoảng thời gian kết nối.
Nhật ký này rất có ích trong việc tìm theo dấu vết hay ngăn chặn
kẻ phá hoại.
Mỗi proxy độc lập với các proxies khác trên bastion host. Điều này
cho phép dễ dàng quá trình cài đặt một proxy mới, hay tháo gỡ một
proxy đang có vấn đề.
Ưu điểm:
Cho phép người quản trị mạng hoàn toàn điều khiển được từng dịch vụ
trên mạng, bởi vì ứng dụng proxy hạn chế bộ lệnh và quyết định những máy chủ
nào có thể truy cập đựơc bởi các dịch vụ.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 57
Cho phép người quản trị mạng hoàn toàn điều khiển được những dịch vụ
nào cho phép, bởi vì sự vắng mặt của các proxy cho các dịch vụ tương ứng có
nghĩa là các dịch vụ ấy bị khoá
Cổng ứng dụng cho phép kiểm tra độ xác thực rất tốt, và nó có nhật ký
ghi chép lại thông tin về truy nhập hệ thống.
Luật lệ lọc Filltering cho cổng ứng dụng là dễ dàng cấu hình và kiểm tra
hơn so với bộ lọc packet.
Hạn chế:
Yêu cầu các user thay đổi thao tác, hoặc thay đổi phần mềm đã cài đặt
trên máy client cho truy nhập vào các dịch vụ proxy. Chẳng hạn, dịch vụ telnet
truy nhập qua cổng ứng dụng đòi hỏi hai bước để nối với máy chủ chứ không
phải chỉ một bước. Tuy nhiên, đã có một số phần mềm client cho phép chạy ứng
dụng trên cổng ứng dụng là trong suốt, bằng cách cho phép user chỉ ra máy đích
chứ không phải cổng ứng dụng trên Telnet.
3.2.3 Cổng vòng (Circuit-level Gateway)
Hình 45
Nguyên lý:
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 58
Cổng vòng là một chức năng đặc biệt có thể thực hiện được bởi một cổng
ứng dụng. Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP là không
thực hiện bất kỳ một hành động xử lý hay lọc packet nào.
Cổng vòng làm việc như một sợi dây sao chép các byte giữa kết nối bên
trong (inside connection) và các kết nối bên ngoài (outside connection). Tuy
nhiên, vì sự kết nối này xuất hiện từ hệ thống Firewall, nó che dấu thông tin về
mạng nội bộ.
Cổng vòng thường được sử dụng cho các kết nối ra ngoài, nơi mà các
người quản trị mạng thật sự tin tưởng những người dùng bên trong.
Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn hợp
cung cấp cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi.
Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người
trong mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi
vẫn cung cấp chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn
công bên ngoài.
3.3 Những hạn chế từ Firewall
Firewall không đủ thông minh để có thể hiểu được từng loại thông tin và
phân tích nội dùng tốt hay xấu của nó. Firewall chỉ có thể ngăn chặn sự xâm
nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các
thông số địa chỉ.
Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này
không đi qua nó. Một cách cụ thể, Firewall không thể chống lại một cuộc tấn
công từ một đường Dial-up, hoặc sự dò rỉ thông tin do dữ liệu bị sao chép bất
hợp pháp lên đĩa mềm.
Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu. Khi có
một số chương trình được chuyển theo thư điện tử, vượt qua Firewall vào trong
mạng được bảo vệ và bắt đầu hoạt động ở đây.
Một ví dụ là các virus máy tính. Firewall không thể làm nhiệm vụ quét
virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên
tục của các virus mới và do đó có rất nhiều cách để mã hoá dữ liệu, thoát khỏi
khả năng kiểm soát của firewall.
Tuy nhiên, Firewall vẫn là giải pháp hữu hiệu được sử dụng rộng rãi.
3.4 Thiết lập chính sách cho Firewall.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 59
Các chính sách được thông báo trước để người quản lý mạng và người
dùng mạng biết được mình có thể làm được những gì, có thể truy cập hay không
thể truy cập tới những Webside nào trên mạng.
Một số điểm chú ý khi thiết lập chính xách cơ bản của Firewall:
Ngăn chặn tất cả lưu lượng vào ra, sau đó chỉ cho phép một số được đi qua. Tất
cả lưu lượng vào ra khỏi mạng đều phải chuyển qua bức tường lửa để kiểm tra
và sang lọc những lưu lượng có thể qua được.
Không dùng firewall như là nơi lưu trữ thông tin chung đa chức năng
hoặc chạy chương trình.
Không cho phép mật mã hay các địa chỉ bên trong mạng qua tường lửa.
Nếu như mạng cần phải cung câp dich vụ cho mạng Internet thì đặt dịch
vụ ra ngoài tường lửa.
Lưu trữ lại các thông tin dữ liệu quan trọng của dịch vụ công cộng bằng
cách tạo ra máy chủ Stand-by.
3.5 Một số loại Firewall
Packet-Filltering Firewall
Dual-Homed Gateway Firewall
Screened Host Firewall
Hình 46
Ưu điểm:
Tốc độ cao
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 60
Dễ dàng thích ứng với các dịch vụ mới xuất hiện
Giá thành thấp, cấu hình và quản trị đơn giản
Trong suốt đối với user
Hạn chế:
Có tất cả hạn chế của một packet-filltering router: Dễ bị tấn công vào các
bộ lọc mà cấu hình được đặt không hoàn hảo, hoặc bị tấn công nhầm dưới những
dịch vụ đã được phép (giả mạo địa chỉ IP).
Bởi vì các packet được trao đổi trực tiếp giữa hai mạng thông qua router,
nguy cơ bị tấn công được quyết định bởi các host và dịch vụ được phép.Điều đó
dẫn đến mỗi một host được phép truy nhập trực tiếp vào Internet cần phải được
cung cấp một hệ thống xác thực phức tạp, và người quản trị phải thường xuyên
kiểm tra xem có dấu hiệu của sự tấn công nào không.
Một số packet-filltering không đảm bảo yêu cầu về trạng thái dừng an
toàn. Khi cơ chế kiểm soát các gói tin không làm việc, những hệ này sẽ làm việc
như một router, chuyển tất cả các kết nối giữa hai mạng: mạng nội bộ và mạng
bên ngoài dẫn đến tất cả hệ thống trên mạng nội bộ có thể bị tấn công.
3.5.1 Screened Host Firewall.
Hệ thống này bao gồm một Packet-filltering router và một bastion host.
Hệ thống này cung cấp độ bảo mật cao hơn hệ thống trên, vì nó thực hiện bảo
mật cả ở tầng Network và ở tầng ứng dụng. Đồng thời, kẻ tấn công phải phá bỏ
cả hai tầng bảo mật để tấn công vào mạng nội bộ
Hình 47: Screened Host Firewall
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 61
Hình 48
3.5.2 Screened-Subnet Firewall
Hình 49
Hệ thống bao gồm hai packet-filltering router và một bastion host. Hệ
thống có độ an toàn cao nhất vì nó cung cấp bảo mật ở cả lớp mạng và lớp ứng
dụng, trong khi định nghĩa một mạng “ phi quân sự”. Mạng DMZ đóng vài trò
như một mạng nhỏ, cô lập đặt giữa mạng công cộng Internet và mạng nội bộ. Cơ
bản, một DMZ được cấu hình sao cho các hệ thống trên Internet và mạng nội bộ
chỉ có thể truy nhập được một số giới hạn các hệ thống trên mạng DMZ và sự
truyền trực tiếp qua mạng DMZ là không thể được. Với những thông tin đến,
router ngoài chống lại những sự tấn công (như giả mạo địa chỉ IP), và điều khiển
truy nhập tới DMZ. Hệ thống chỉ cho phép bên ngoài truy nhập vào bastion host.
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 62
Router trong cung cấp sự bảo vệ thứ hai bằng cách điều khiển DMZ truy nhập
mạng nội bộ với những truyền thông bắt đầu từ bastion host.
Với những thông tin đi, Router trong điều khiển truy nhập mạng nội bộ
truy nhập tới DMZ. Nó chỉ cho phép các hệ thống bên trong truy nhập bastion
host và có thể cả Information server. Quy luật Filltering trên router ngoài yêu
cầu sử dụng dịch vụ proxy bằng cách chỉ cho phép thông tin ra bắt nguồn từ
bastion host.
Ưu điểm:
Muốn tấn công cần phá vỡ ba tầng bảo vệ: Router ngoài, bastion host và
router trong.
Bởi vì Router ngoài chỉ quảng cáo DMZ network tới Internet, hệ thống
mạng nội bộ là không thể nhìn thấy (invisible). Chỉ có một số hệ thống đã được
chọn ra trên DMZ là được biết đến bởi Internet qua routing table và DNS
information exchange.
Bởi vì Router bên trong chỉ quảng cáo DMZ network tới mạng nội bộ,
các hệ thống trong mạng nội bộ không thể truy cập trực tiếp vào Internet. Điều
này đảm bảo rằng những user bên trong bắt buộc phải truy nhập Internet qua
dịch vụ proxy.
3.6 Mô hình kết hợp Firewall với VPN.
Như chúng ta đã biết tường lửa là một thiết bị bao gồm cả hai phần cứng
và phần mềm được đặt giữa một mạng tin cậy cần được bảo vệ tới mạng không
tin cậy bên ngoài như mạng công cộng Internet bảo vệ mạng riêng ảo VPN của
một công ty hay một tập đoàn thoát khỏi sự nguy hiểm đến từ các mạng không
tin cậy cũng như những người dùng không hợp pháp có tình truy nhập vào mạng
để khai thác tài nguyên thông tin.
Hình 50: Mô hình sử dụng Firewall điều khiển truy nhập giữa hai mạng máy tính
Khoá luận tốt nghiệp Đại học Công nghệ
Lê Anh Hưng K49DB 63
Các luồng trao đổi thông tin dữ liệu và những yêu cầu truy nhập giữa hai
mạng máy tính đều phải đi qua Firewall
Một mạng riêng ảo VPN cung cấp những phiên kết nối an toàn dựa trên
cơ sở hạ tầng mạng công cộng Internet, do đó mạng riêng ảo VPN sẽ làm giảm
chi phí xây dựng cơ sở hạ tầng một mạng máy tính cũng như giá thành truy cập
từ xa bằng việc sử dụng tài nguyên, cơ sở hạ tầng mạng công cộng Internet dùng
chung bởi nhiều người dùng.
Công nghệ mạng riêng ảo VPN đã cho phép những công ty xây dựng
những mạng Intranet để liên kết các trụ sở, chi nhánh văn phòng tới mạng tập
đoàn. VPN được sử dụng kết hợp với Firewall để cung cấp sự bảo vệ an toàn
Các file đính kèm theo tài liệu này:
luan_van_nghien_cuu_vpn__4892.pdf
