MỤC LỤC
Lời mở đầu. 1
Lý thuyết. 2
I. Tổng quan về mạng riêng ảo. 2
I.1. Mạng riêng ảo là gì? 2
I.2. Sự thuận lợi và bất lợi của VPNs. 2
I.3. Phân loại mạng riêng ảo. 3
I.4. Phân loại VPN. 3
I.5.Các thành phần của VPN 4
II. VPN VÀ BẢO MẬT INTERNET VPN. 7
II.1.1. Kiến trúc mạng VPN. 7
II.1.2. Bảo mật trong VPN. 8
II.3. Kiến trúc VPN của Cisco. 9
II.4. Mô hình xác thực 12
II.5. Firewall. 13
III. Thiết kế phần cứng VPN. 14
III.1. Phần cứng VPN. 14
III.2.Vấn đề kết nối VPN. 15
III.3. Giải pháp VPN của SISSCO. 15
Ứng dụng mạng riêng ảo VPN trong tập đoàn Phú Thái 19
I- Công nghệ VPN/MPLS. 20
II - VPN point-to-point. 20
2.1. Các thiết bị cần thiết. 21
2.2 Giao thức truyền thông 22
2.4 Các thiết bị sử dụng trong mạng 31
Thành viên nhóm. 34
Tài liệu tham khảo. 35
36 trang |
Chia sẻ: netpro | Lượt xem: 6119 | Lượt tải: 1
Bạn đang xem trước 20 trang tài liệu Đề tài VPN và bảo mật Internet VPN, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ên gốc được gửi đến FA bởi bộ khởi tạo. Nó cũng chứa đựng phần đầu nguyên gốc.
II. VPN VÀ BẢO MẬT INTERNET VPN.
II.1.1. Kiến trúc mạng VPN.
Đường hầm:phần ảo trong VPN.
Các kết nối được thiết lập trên nhu cầu tổ chức.
Một nối chỉ được tạo ra giữa 2 site khi cần thiết.
Việc tạo đường hầm tạo ra kết nối đặc biệt giữa 2 điểm cuối.
Việc tạo đường hầm tạo ra một kết nối đặc biệt giữa dòng dữ liệu và thông tin người dùng.
Các dịch vụ bảo mật- phần riêng trong VPN.
Các dịch vụ bảo mật trong VPN bao gồm:
Xác thực.
Điều khiển truy cập.
Tin cậy.
Tính toàn vẹn dữ liệu.
Việc xác thực người dùng và tính tòan vẹn dữ liệu phụ thuộc vào các tiến trình mã hóa.
II.1.2. Bảo mật trong VPN.
Tường lửa.
Mật mã truy cập:bao gồm mật mã riêng và mật mã chung.
Giao thức bảo mật Internet.
Máy chủ AAA (Authentication Authorization Accounting)- kiểm soát việc cho phép thẩm định quyền truy cập.
Tường lửa.
Tường lửa (firewall): là rào chắn vững chắc giữa mạng riêng và Internet. Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói tin và giao thức được chuyển qua. Một số sản phẩm dùng cho VPN như router 1700 của Cisco có thể nâng cấp để gộp những tính năng của tường lửa bằng cách chạy hệ điều hành Internet Cisco IOS thích hợp. Tốt nhất là hãy cài tường lửa thật tốt trước khi thiết lập VPN.
Mã truy cập.
Mật mã truy cập: là khi một máy tính mã hóa dữ liệu và gửi nó tới một máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã riêng và mật mã chung.
Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với những máy tính nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã được.
Mật mã chung (Public-Key Encryption): kết hợp mã riêng và một mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên hệ (một cách an toàn) với nó. Để giải mã một message, máy tính phải dùng mã chung được máy tính nguồn cung cấp, đồng thời cần đến mã riêng của nó nữa. Có một ứng dụng loại này được dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã hóa hầu như bất cứ thứ gì.
II.1.3. Giao thức bảo mật giao thức Internet (IPSec).
Giao thức bảo mật giao thức Internet (IPSec) cung cấp những tính năng an ninh cao cấp như các thuật toán mã hóa tốt hơn, quá trình thẩm định quyền đăng nhập toàn diện hơn.
IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như router với router…..
Máy chủ AAA.
AAA : là viết tắt của ba chữ Authentication (thẩm định quyền truy cập), Authorization (cho phép) và Accounting (kiểm soát). Các server này được dùng để đảm bảo truy cập an toàn hơn. Khi yêu cầu thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ AAA để kiểm tra. Các thông tin về những hoạt động của người sử dụng là hết sức cần thiết để theo dõi vì mục đích an toàn.
II.2. Một số giao thức cho VPN.
- Bảo mật IP: là 1 chuẩn mở đảm bảo cho quá trình trao đổi dữ liệu được an toàn.
- Giao thức đường hầm điểm-điểm: là sự lựa chọn thay thế cho giao thức bảo mật IP.
- Giao thức đường hầm lớp 2: là giao thức đảm bảo cho vận chuyển dữ liệu trên Internet được an tòan.
IP Security (IPSec).
IP Security (IPSec) : Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo chắc chắn quá trình trao đổi dữ liệu được an toàn và phương thức xác nhận người dùng qua mạng công cộng. Không giống với những kỹ thuật mã hoá khác, IPSec thực hiện ở tầng thứ 7 trong mô hình OSI (Open System Interconnect). Vì thế, chúng có thể chạy độc lập so với các ứng dụng chạy trên mạng. Và vì thế mạng của bạn sẽ được bảo mật hơn mà không cần dùng bất kỳ chương trình bảo mật nào.
Point-to-point Tunneling Protocol.
(PPTP) : Phát triển bởi Microsoft, 3COM, và Ascend Communications, PPTP là một sự chọn lựa để thay thế cho IPSec. Tuy nhiên IPSec vẫn còn được sử dụng nhiều trong một số Tunneling Protocol. PPTP thực hiện ở tầng thứ 2 (Data Link Layer).
Layer 2 Tunneling Protocol (L2TP)
Ðược phát triển bởi Cisco System, L2TP được dự định sẽ thay thế cho IPSec. Tuy nhiên IPSec vẫn chiếm ưu thế hơn so về bảo mật trên Internet. L2TP là sự kết hợp giữa Layer 2 Forwarding (L2F) và PPTP và được dùng để đóng gói các frame sữ dụng giao thức Point-to-point để gởi qua các loại mạng như X.25, FR, ATM.
Ghi chú : L2F là một protocol được đăng ký độc quyền bởi Cisco System để đảm bảo việc vận chuyễn dữ liệu trên mạng Internet được an toàn.
II.3. Kiến trúc VPN của Cisco.
Khối truy cập VPN.
Khối truy cập làm nền cho các ứng dụng thương mại được thiết kế tuân theo các yêu cầu và quy định giống như mạng riêng của công ty.
Khối bảo mật.
Kiến trúc xác thực.
Trong môi trường truy cập VPN, khía cạnh bảo mật quan trọng nhất liên quan đến việc nhận ra một người dùng của công ty và thiết lập đến một đường hầm đến cổng nối của công ty. Cổng nối này phải có khả năng xác thực được ngưới dùng, các quyền truy cập và tính cước.
Xác thực đơn phương.
Để xác thực người dùng đầu tiên Client sẽ thiết lập kết nối mạng cung cấp dịch vụ thông qua một POP, sau đó kết nối thiết lập thứ hai với mạng khách hàng.
Các điểm cuôí trong truy cập đường hầm của VPN xác thực với nhau. Kế tiếp người dùng kết nối với các thiết bị đầu cuối khách hàng (CPE). Các cổng nối người dùng sử dụng giao thức phân tích chất lượng thành viên và giao thức Internet nối tiếp SLIP (Serial Line Internet Protocol) và được xác thực thông qua các một giao thức xác định tên mật khẩu như: PAP (Password Authentication Protocol), giao thức xác định yêu cầu bắt tay CHAP (Chanllenge Handshak Protocol) hay một hệ thống điều khiển truy nhập cứng.
Đây là kiến trúc điển hình của VPN.
VPN Logical.
Khách hàng tiềm năng cuả VPN.
Mô hình mạng cơ bản lớp 3 của VPN.
Tunelling.
II.4. Mô hình xác thực
a.Xác thực đơn phương
Internet VPN
Mobile
Customer
Telecommuser
POP
Nhµ cung cÊp dÞch vô Internet
Cæng nèi c«ng ty
Central Site cña c«ng ty
X¸c thùc C
X¸c thùc C
b. Mô hình xác thực song phương.
Đầu tiên, người dùng sẽ quay số đến điểm truy cập POP của ISP, sau đó ISP sẽ nhận diện người gọi thông qua một số nhận diện chung. Máy chủ truy cập mạng NAS (Network access Server) sẽ biết được số nhận diện này thuộc mạng khách hàng nào. Kế tiếp, NAS sẽ thiếp lập một đường hầm với cổng nối phiá khách hàng. Cuối cùng, người dùng được xác thực lần thứ hai bởi cổng nối phía mạng công ty
Mô hình xác thực song phương.
Internet VPN
Mobile
Customer
Telecommuser
POP
Nhµ cung cÊp dÞch vô Internet
Cæng nèi c«ng ty
X¸c thùc C
X¸c thùc I
Central Site cña c«ng ty
X¸c thùc C
II.5. Firewall.
C Cisco IPX Firewall cho phép 64000 kết nối hoạt động cùng một lúc, hoạt đ ộng dựa trên thuật toán bảo mật tương thích ASA (Adaptive security Aloritm), thu ật toán này bảo mật đến các mạng máy nội bộ.
Các đặc điểm chính:
-Điều khiển truy cập dựa ngữ cảnh CBAC (Context-based access control):
Cung cấp bảo mật, lọc các ứng dụng cho lưu lượng IP, cung cấp các giao thức mới nhất.
- Java bloking-bảo mật chống lại Java applet nguy hiểm chỉ cho phép các apple từ các nguồn đáng tin cậy.
- Phát hiện và ngăn ngừa từ chối các dịch vụ (Denial-of-service detection and prevention) để bảo mật các tài nguyên bộ định tuyến chống lại các tấn công thông thường.
- Cảnh báo thời gian thực (real-time alert) cảnh báo trong trường hợp của các tấn công từ chối các dịch vụ và các tình trạng đặc biệt khác.
- Theo dõi và kiểm tra (audit trail): do tìm người truy cập bằng thời gian, địa chỉ, nguồn và đích, cộng tổng số byte được chuyển đi.
Mô hình bức tường lửa (1).
VPN nằm phía trước firewall.
Mô hình bức tường lửa (2).VPN server năm phía sau Firewall.
III. Thiết kế phần cứng VPN.
Phần cứng VPN.
Một số kết nối VPN.
Giải pháp VPN của Cissco
III.1. Phần cứng VPN.
VPN hoạt động dựa trên nguyên lý lợi dụng cơ sở hạ tầng của mạng công cộng đã có để xây dựng mạng riêng.
Một trong những điểm khác nhau giữa sản phẩm thông dụng hiện nay là ở các thiết bị đường hầm. Một cổng nối bảo mật có thể tạo ra một đường hầm để liên kết với Lan đến một cổng nối khác hoặc chỉ một host đầu xa có thể tạo ra một đường hầm để kết nối một cổng nối và Lan mà không có số.
Khi khách hàng không đủ tài nguyên thì một sản phẩm duy nhất được tích hợp các chức năng khác nhau có sức lôi quấn đặc biệt. Việc cài đặt một đường hầm có thể khiến cho việc thiết lập một VPN trở lên dễ dàng hơn.
Một trong những vấn đề lớn nhất đối với các thiết bị là hỗ trợ việc đồng bộ hoá.
Yêu cầu thiết kế VPN.
Để thiết kế VPN hữu dụng cần khảo sát và đề ra yêu cầu thiết kế sát với nhu cầu khai thác sử dụng. Các yêu cầu gồm:
Có bao nhiêu người dùng cho mỗi site?
Loại kết nối: thường trực hay yêu cầu?
Lưu lượng mạng do site phát sinh biến đổi lưu lượng theo giờ, ngày, lưu lượng dự phòng?
Tần suất kết nối theo yêu cầu, độ tin cậy cần thiết?
Có cần site hỗ trợ người dùng từ xa không?
Kĩ thuật cơ bản của VPN.
Các giao thức đường hầm phan loại theo lớp mà nó hoạt động dựa trên đó. Vd: giao thức đường hầm lớp 2 là: PPTP, L2TP, LFP.
Các khối của một VPN: gồm hai thành phần là tuyến kết nối đến internet do ISP cung cấp. Và phần mềm và phần cứng để bảo mật dữ liệu trước khi truyền ra internet.
Giao thức cơ bản của VPN.
Giao thức an ninh internet (IP security protocol).
Được thực hiện bởi IEIF (internet engineering task force).
Tương thích với cả IPv4 và IPv6.
Có hai chế độ mã hoá: chế độ truyền (bảo vệ payload) và chế độ đường hầm (bảo vệ payload và header).
III.2.Vấn đề kết nối VPN.
Lựa chọn giải pháp thích hợp cho WAN, RAS, VPN.
Lựa chọn ISP nên chộn cùng một ISP cho các kết nối, QoS.
Giải quyết các sự cố: lỗi kết nối, lỗi nhận thức, định tuyến thoả thuận với ISP.
Gợi ý về an ninh giới hạn người truy cập, giới hạn tài nguyên.
III.3. Giải pháp VPN của SISSCO.
TYPE
Application
As atternatiive to
Benefit
Remote access
VPN
Remote dial
connectivity.
Dedicated dial
ISDN.
Ubiquitous access lower cost.
Site to site VPN.
Site to site internal connectivity.
Leased line frame relay (ATM).
Extend
connectivity
increased.
Extranet VPN.
Biz to biz external connectivity.
Fax, mail, EDI (electronic data interchange).
Facilitates
e-commerce.
VPN product function matrix.
Site to site VPN.
Remote Access VPN.
IOS VPN
router
Primary role.
Allencompassing site to site
connectivity features
Provides routiny, QoS,
WAN interfaces, multicast and multiprotocol support.
Basic remote access
functionality.
PIX.
Solution for security organizations that prefer operating firewalls.
Provides full firewall features.
Basic site to site functionality.
Provides most remote
access features.
Solution for security
organizations that prefer
operating firewalls.
Provides full firewall
features.
VPN 3000 concertrators.
Basic site to site functionality.
Primary role.
Full featured remote
access solution.
Remote Access VPNs .
Cisco VPN 3000.
Connection of remote sites, users and partners across VPN.
High density, low bandwidth connections.
WAN Router.
PIX Firewall .
Cisco VPN 3000 Concentrator.
Cisco Secure ACS (AAA).
WAN Router.
PIX Firewall .
Cisco VPN 3000 Concentrator.
Cisco Secure ACS (AAA).
Internet VPN
Central Site
Mobile
Customer
Telecommuter
POP
Cisco VPN Clients
Microsoft Win 2000 (IPSec)
Microsoft Win 9x/NT (PPTP)
Cisco VPN 3002
Hardware VPN Client
Ứng dụng mạng riêng ảo VPN trong tập đoàn Phú Thái
Phú Thái là tập đoàn phân phối hàng hóa hàng đầu ở Việt Nam. Với 2500 nhân viên và mạng lưới kinh doanh, phân phối trên khắp cả nước. Trụ sở chính ở Hà Nội(189 Trường Chinh-Hà Nội) và có 3 chi nhánh lớn nhất là ở Hải Phòng, Đà Nẵng, TP.HCM và nhiều trung tâm khác.
Lựa chọn mạng riêng ảo VPN
Trước đó mỗi trung tâm, công ty có một hệ thống máy tính riêng để phục vụ sản xuất kinh doanh nên việc trao đổi thông tin rất khó khăn và tốn kém đặc biệt là việc trao đổi dữ liệu giữa các hệ thống máy tính của tập đoàn .
Với mạng riêng ảo VPN đã làm tăng khẳ năng kết nối và trao đổi thông tin, tăng năng suất lao động, phân phối, truy cập dễ dàng giữa các trung tâm
Mạng VPN/MPLS trong tập đoàn
Công nghệ VPN/MPLS.
MPLS-Multi Protocol Label Switching(công nghệ chuyển mạch nhãn đa giao thức).
Tập đoàn sử dụng dịch vụ mạng IP VPN/MPLS do EICVINA cung cấp. Đây là một dịch vụ mạng có thể dùng cho các ứng dụng khác nhau, cho phép việc trao đổi thông tin một cách an toàn bằng nhiều lựa chọn kết nối với nhiều tính năng nổi trội: kết nối trực tiếp giữa các điểm bất kỳ, nhiều lựa chọn công nghệ kết nối, tích hợp dữ liệu, thoại & và video, độ bảo mật cao, dễ sử dụng.
Như vậy, với VPN dựa trên MPLS, DN hoàn toàn có thể đạt được các mục tiêu của mình như: điều khiển nhiều hơn trên hạ tầng mạng, cung cấp đa lớp dịch vụ tới người sử dụng, đảm bảo hiệu năng đáp ứng theo yêu cầu của ứng dụng, hỗ trợ hội tụ đa công nghệ với nhiều kiểu lưu lượng trên cùng một mạng đơn.
Nhờ ưu điểm vượt trội của chất lượng dịch vụ qua mạng IP và là phương án triển khai VPN theo công nghệ mới, khắc phục được nhiều vấn đề mà các công nghệ ra đời trước nó chưa giải quyết được, MPLS thực sự là một lựa chọn hiệu quả trong triển khai hạ tầng thông tin DN.
II – VPN point-to-point.
Mô hình VPN ở đây là VPN point-to-point: các nút điểm là Hà Nội và Hải Phòng, Đà Nẵng, TP.HCM. Tập đoàn sử dụng VPN điểm- điểm giữa trụ sở chính và các chi nhánh.
2.1 Mô hình điểm-nối-điểm giữa Hà Nội và TP.HCM
2.1 Các thiết bị cần thiết.
Trong mô hình VPN điểm -điểm giữa Hà Nội và TP.HCM, mỗi điểm cần nhiều máy làm các nhiệm vụ khác nhau: một máy chủ kiểm soát domain, máy chủ IAS, máy chủ thẩm định quyền truy cập, một Router VPN…Ngoài ra tại mỗi chi nhánh là một mạng LAN với các Server và nhiều Client. Tại Hà Nội có 30 Client và các chi nhánh khác là 20 Client.
2.1.1.1 Tên máy tính và Vai trò
CLIENT1 chạy Windows XP Professional, bản SP2 : Máy khách
ROUTER1 chạy Windows Server 2003, bản SP1, Standard Edition: Máy chủ VPN & Router trả lời
INTERNET chạy Windows Server 2003, bản SP1, Standard Edition: Router Internet
ROUTER2 chạy Windows Server 2003, bản SP1, Standard Edition: Máy chủ VPN- & Router gọi
CLIENT2 chạy Windows XP Professional, bản SP2: Máy khách
Mô hình minh họa cho kết nối Hà Nội vàTP.HCM
Trong mô hình trên: Client 1 là đại diện cho cả mạng LAN ở trụ sở chính Hà Nội, bao gồm các Server nối với 30 Client, các Hub và Switch, Firewall
Client 2 đại diện cho mạng LAN ở chi nhánh TP.HCM, gồm các Server, 20 client, các hub, switch và được bảo mật bởi Firewall
Ngoài ra, mạng còn cần 4 Hub:
Một hub để nối Hà Nội( CLIENT 1) với router trả lời( ROUTER 1).
Một hub nối TP.HCM ( CLIENT 2) với router gọi ( ROUTER 2).
Một hub để nối router trả lời( ROUTER 1) với Internet ( INTERNET ).
Một hub để nối router gọi ( ROUTER 2) với Internet (INTERNET).
2.1.1.2 Địa chỉ IP.
1.Địa chỉ IP cho mạng con ở văn phòng Hà Nội
Máy tính/Giao diện Địa chỉ IP
CLIENT 172.16.4.3
ROUTER1 (tới Intranet của Hà Nội) 172.16.4.1
2.Địa chỉ IP cho các mạng con Internet
Máy tính/Giao diện Địa chỉ IP
ROUTER1 (tới Internet) 10.1.0.2
INTERNET (tới ROUTER1) 10.1.0.1
ROUTER2 (tới Internet) 10.2.0.2
INTERNET (tới ROUTER2) 10.2.0.1
3.Địa chỉ IP cho mạng con ở văn phòng TP HCM
Máy tính/Giao diện Địa chỉ IP
ROUTER2 (tới mạng Intranet của TP HCM) 172.16.56.1
CLIENT2 172.16.56.3
2.2 Giao thức truyền thông
Trong mô hình VPN/MPLS này có sử dụng kết hợp cả hai giao thức PPTP và L2TP.
2.2.1 Giao thức PPTP
Point-to-Point Tunneling Protocol (PPTP).
PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa remote client và enterprise server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trung gian. Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend Communications, 3COM, US Robotics, và ECI Telematics), PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn. PPTP không những tạo điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn qua mạng riêng intranet.
2.2.1.1 Đặc trưng của PPTP.
Công dụng của PSTNs (Public Switched Telephone Networks): PPTP cho phép sử dụng PSTNs cho việc triển khai VPNs. Kết quả là, quá trình xử lý sự phát triển VPN đặc biệt đơn giản và tổng chi phí cho việc triển khai thì khá thấp. Đối với những doanh nghiệp có kết nối mạng diện rộng dựa trên các đường thuê bao leased line được loại bỏ.
Hỗ trợ giao thức Non-IP: PPTP cũng hổ trợ một số giao thức triển khai mạng thông thường khác như TCP/IP, IPX, NetBEUI, và NetBIOS.
2.2.1.2 Vai trò của PPP trong giao dịch PPTP.
PPTP là phần mở rộng của PPP, nó không thay đổi công nghệ PPP. Nó chỉ định nghĩa một phương pháp mới trong việc vận chuyển lưu lượng VPN thông qua một mạng chung không an toàn. Khá giống PPP, PPTP cũng không hổ trợ đa kết nối, tất cả các kết nối PPTP đều ở dạng điểm-điểm. PPP thực hiện một số chức năng giao dịch dựa trên PPTP :
- Thiết lập và kết thúc các kết nối vật lý giữa 2 đầu cuối thông tin.
- Xác thực PPTP clients.
- Mã hóa IPX, NetBEUI, NetBIOS, TCP/IP datagrams để tạo ra PPP datagrams và bảo mật dữ liệu trao đổi giữa các bên có liên quan.
2.2.1.3 Các thành phần của quá trình giao dịch PPTP.
Bất kỳ quá trình giao dịch nào dựa trên PPTP triển khai ít nhất 3 thành phần, các thành phần đó là :
- PPTP client
- Network Access Server (NAS)
- PPTP server
2.2.1.3.1 PPTP Clients.
Một PPTP client là một nút mạng hổ trợ PPTP và có thể yêu cầu những nút khác cho một phiên VPN. Nếu kết nối được yêu cầu từ một remote server. PPTP client phải sử dụng dịch vụ của ISP’s NAS. Vì lý do đó, client phải dùng modem để kết nối vào kết nối PPP tới nhà ISP. PPTP client cũng phải được kết nối vào thiết bị VPN để có thể tunnel yêu cầu (và dữ liệu tiếp theo, nếu yêu cầu được chấp nhận) đến thiết bị VPN trên mạng từ xa. Kết nối đến các thiết bị VPN từ xa sử dụng kết nối quay số đầu tiên đến ISP’s NAS để thiết lặp một tunnel giữa hai thiết bị VPN thông quan Internet hoặc các mạng trung gian khác.
Không giống những yêu cầu cho các phiên kết nối VPN từ xa, yêu cầu cho một phiên VPN đến một mạng cục bộ không yêu cầu một kết nối đến ISP’s NAS. Cả client và server đều đã được kết nối về mặt vật lý, việc tạo ra một kết nối đến ISP’s NAS là không cần thiết. Client, trong trường hợp này, chỉ yêu cầu các phiên kết nối quay số bằng thiết bị VPN trên server.
Khi các gói dữ liệu yêu cầu định tuyến cho một yêu cầu từ xa và một yêu cầu kết nối cục bộ khác nhau, gói dữ liệu được gắn kèm với 2 yêu cầu được xử lý khác nhau. Gói dữ liệu PPTP đến một server cục bộ mà được đặt trên thiế bị vật lý trung gian gắn kèm card mạng của PPTP client. Ngược lại, gói dữ liệu PPTP đến remote server được định tuyến thông qua phương tiện truyền thông vật lý được gắn kèm trong thiết bị thông tin, chẳng hạn như router.
2.2.1.3.2 PPTP Servers.
PPTP Servers law những nút mạng hổ trợ PPTP và có khả năng duy trì các yêu cầu cho các phiên VPN từ những nút khác (từ xa hoặc nội bộ). Để đáp lại những yêu cầu từ xa, những server phải hổ trợ khả năng định tuyến.
2.2.1.3.PPTP Network Access Servers (NASs)
PPTP NASs được đặt tại nhà cung cấp dịch vụ ISP và cung cấp kết nối Internet đến các client sử dụng PPP để quay số. Khả năng có nhiều client đồng thời đưa ra yêu cầu phiên một VPN là rất cao, những server phải có khả năng hổ trợ đồng thời nhiều client. Hơn nữa, PPTP client không bị hạn chế với các hệ điều hành không phải của Microsoft. Do đó, PPTP NASs có khả năng xữ lý dùng nhiều hệ điều hành khác nhau như Microsoft's Windows, Unix, và Apple's Macintosh
2.2.1.4 Quá trình xử lý PPTP.
PPTP tận dụng 3 quá trình xữ lý để bảo đảm cho thông tin liên lạc PPTP thông qua môi trường không an toàn. Những quá trình đó là :
· Quá trình thiết lặp kết nối PPP
· Điều khiển kết nối
· PPTP tunneling và trao đổi dữ liệu
2.2.1.5 Điều khiển kết nối PPTP.
Sau khi kết nối PPP giữa PPTP client và server được thiết lặp, quá trình điều khiển PPTP bắt đầu. PPTP connection control được thiết lặp dựa trên cơ sở địa chỉ IP của client và server, sử dụng cổng TCP động và chiếm giữ cổng TCP 1723. Sau khi quá trình điều khiển kết nối được thiết lặp, các thông tin điều khiển và quản lý sẽ được trao đổi giữa các bên có liên quan trong quá trình giao tiếp. Những thông tin đảm nhiệm vai trò bảo trì, quản lý và kết thúc PPP tunnel. Những thông điệp này là những thông điệp có định kỳ bao gồm "PPTP-Echo-Request, PPTP-Echo-Reply" dùng để giúp đỡ trong việc dò tìm các kết nối PPTP hư hỏng giữa server và client.
2.2.1.6 Quá trình tạo đường hầm dữ liệu và xử lý PPTP.
Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói, bao gồm những giai đoạn sau:
1. Quá trình đóng gói dữ liệu: Thông tin nguyên bản (tối đa) được mã hóa và được đóng gói bên trong một PPP frame. Một PPP header được thêm vào frame.
2. Quá trình đóng gói các PPP frame: Tổng hợp các PPP frame sau đó đóng gói bên trong một Generic Routing Encapsulation (GRE) đã được sửa đổi. GRE header chứa trường 4-byte Acknowledgement và một bit Acknowledgement hồi đáp. Ngoài ra, trường khóa trong GRE frame được thay thế bằng trường 2 byte long gọi chiều dài tối đa và 2 byte long được xem là ID. PPTP client xây dựng những trường này khi nó tạo ra PPTP tunnel.
3. Quá trình đóng gói GRE: Kế tiếp, một IP header đã được đóng gói bên trong gói GRE được thêm vào PPP frame. Phần IP header này chứa dựng địa chỉ IP nguồn của PPTP client và đích của server.
4. Quá trình đóng gói tầng Data Link: PPTP là một giao thức tạo đường hầm nằm ở tầng 2. Vì vậy, phần header của Data Link và phần đuôi giữ vai trò quan trọng trong việc tạo đường hầm cho dữ liệu. Trước khi được đặt vào môi trường truyền thông, tầng Data Link thêm phần đầu và đuôi của nó vào gói dữ liệu. Nếu gói dữ liệu được truyền qua PPTP tunnel cục bộ, gói dữ liệu được đóng gói bằng phần đầu và đuôi theo công nghệ LAN (như Ethernet). Ơ một khía cạnh khác, nếu tunnel được đáp lại thông qua một kết nối WAN, phần đầu và đuôi mà được thêm vào gói dữ liệu một lần nữa thì không thay đổi.
Quá trình xử lý trích xuất PPTP-tunneled data một cách chính xác công việc phục hồi dữ liệu PPTP đã tạo hầm. Các bước để nhận được dữ liệu nguyên gốc :
Người nhận xử lý và gỡ bỏ phần đầu và phần đuôi của tầng Data Link header mà đã được thêm vào bởi người gửi.
Kế tiếp, phần đầu GRE được gỡ bỏ.
Phần đầu IP được xử lý và được gỡ bỏ.
Phần đầu PPP được xử lý và được gỡ bỏ.
Cuối cùng, thông tin nguyên bản được giải mã (nếu yêu cầu).
2.2.1.7 Bảo mật trong PPTP.
PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server. Những dịch vụ này bao gồm các dịch vụ sau :
· Mã hóa và nén gữ liệu.
· Thẩm định quyền (Authentication).
· Điều khiển truy cập (Access control).
· Trích lọc Packet.
Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kết hợp với firewall và router.
2.2.1.8. Mã hóa và nén dữ liệu PPTP.
PPTP không cung cấp cơ chế mã hóa bảo mật dữ liệu. Thay vì nó dùng dịch vụ mã hóa được đưa ra bởi PPP. PPP lần lượt dùng Microsoft Point-to-Point Encryption (MPPE), đây là phương pháp mã hóa shared secret.
Phương pháp shared secret thường dùng cho mục đích mã hóa trong trường hợp PPP là ID của người dùng và nó tương ứng với mật khẩu. 40-bit session key thường dùng để mã hóa user ID và mật khẩu xuất phát từ thuật toán hàm băm được chứa trên cả client và server. Thuật toán băm được dùng để cấp khóa là thuật toán RSA RC4. Khóa này được dùng để mã hóa tất cả dữ liệu được trao đổi qua tunnel. Tuy nhiên, 40-bit key thì quá ngắn và quá yếu kém đối với các kỹ thuật hack ngày nay. Vì thế, phiên bản 128-bit key đã ra đời. Nhằm làm giảm rủi ro, Microsoft đòi hỏi khóa phải được làm tươi sau 256 gói packet.
2.2.2 Layer 2 Tunneling Protocol (L2TP)
Được phát triển bởi IETF và được chứng nhận bởi những nhà công nghiệp như Cisco Systems, Microsoft, 3COM, và Ascend, L2TP là một giao thức VPN được kết hợp sớm nhất, PPTP và L2F. Thật vậy, nó kết hợp những đặc điểm tốt nhất của PPTP và L2F. L2TP cung cấp tính linh động, có thể thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và khả năng kết nối điểm - điểm nhanh của PPTP.
Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm :
L2TP hổ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP.
L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như driver và hệ điều hành hổ trợ. Do đó, cả người dùng và mạng riêng Intranet cũng không cần triển khai thêm các phần mềm chuyên biệt.
L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư).
Các file đính kèm theo tài liệu này:
- Mạng riêng ảo.DOC