Đồ án Nghiên cứu kỹ thuật mạng riêng ảo

ể cấu hình kết nối theo tham số xác định và kiểm tra các kết nối đã được thiết lập nếu có. 3. Sau khi nút đích chấp nhận yêu cầu kết nối và một kết nối được thiết lập thành công, những tùy chọn thuận lợi được đã đàm phán, được xác định bởi LCPs. 4. Sau khi nút nguồn gửi các frame NCP để lựa chọn và cấu hình các giao thức tầng mạng. 5. Sau khi các giao thức tầng mạng đã được cấu hình , 2 điểm cuối bắt dầu trao đổi dữ liệu cho nhau. PPP Packet Format Có 6 trường cấu thành một PPP frame : Flag: Trường này chỉ định phần đầu và phần đuôi của 1 frame. Chiều dài của trường này là1 byte. Address: Bởi vì sử dụng kết nối điểm-điểm, PPP không dùng địa chỉ của các nút riêng lẻ. Do đó, trường này chứa một chuỗi số nhị phân 11111111, là địa chỉ broadcast. Chiều dài của trường này là 1 byte. Control: Trường này chứa dãy số nhị phân 00000011, có nghĩa là frame đang mang dữ liệu của người dùng là một frame thiếu trình tự, chỉ ra tính chất quá trình giao dịch không kết nối của PPP. Chiều dài của trường này là 1 byte. Protocol: Trường này chỉ ra giao thức của dữ liệu đã được đóng gói trong trường dữ liệu của frame. Giao thức trong trường này được xác định theo con số đính kèm trong bộ RFC 3232. Chiều dài của trường này là 2 byte. Tuy nhiên, cũng có thể là 1 byte nếu cả hai ngang cấp. Data: Trường này chứa đựng thông tin hiện tại được trao đổi giữa các nút nguồn và đích. Chiều dài của trường này rất khác nhau, tuy nhiên chiều dài tối đa của trường này có thể lớn hơn 1500 byte. FCS (Frame Check Sequence): Trường này chứa đựng trình tự kiểm tra giúp người nhận xác nhận chính xác thông tin vừa nhận trong trường dữ liệu. Thông thường, chiều dài của trường là 2 byte. Tuy nhiên, việc triển khai PPP có thể đạt đến 4 byte FCS nhằm mục đích tăng khả năng phát hiện lỗi. Hình 2.1.2: Định dạng của một PPP frame điển hình 2.1.3. PPP Link Contro Để tăng khả năng thành công khi trao đổi dữ liệu giữa 2 nút, PPP cũng đảm nhiệm chức năng điều khiển kết nối được thiết lập giữa hai thông tin đầu cuối. PPP sử dụng LCP trong mục đích này. Sau đây là những chức năng của LCP : - Giúp đỡ thiết lập nối kết PPP. - Cấu hính các nối kết đã được thiết lập nhằm đáp ứng các yêu cầu của các bên thông tin. - Thực hiện chức năng bảo trì thường xuyên các kết nối PPP. - Kết thúc nối kết nếu dữ liệu trao đổi giữa hai đầu cuối hoàn thành. Lưu ý :Trong PPP, thuật ngữ “link” (nối kết) đại diện cho kết nối điểm-điểm. LCP dựa trên điều khiển kết nối xảy ra trong 4 giai đoạn, giai đoạn thiết lập kết nối và đàm phán, giai đoạn xác định chất lượng kết nối, giai đoạn đàm phán giao thức tầng mạng, và giai đoạn kết thúc kết nối. Mô tả dưới đây tổng kết lại 4 giai đoạn điều khiển kết nối : Link establishment and negotiation: Trước khi có bất kỳ sự trao đổi dựa trên PPP có thể xảy ra giữa 2 nút nguồn và đích, LCP phải thiết lập (mở) kết nối giữa 2 đầu cuối và đàm phán các tham số cấu hình. LCP dùng Link-establishment frames cho mục đích này. Khi mỗi đầu cuối trả lại với chính Configuration-Ack frame của nó, giai đoạn này kết thúc. Link quality determination: Giai đoạn này là giai đoạn tùy chọn, nhằm xác định xem chất lượng của kết nối đã sẵn sàng cho các giao thức tầng mạng không. Network-layer protocol negotiation: Trong giai đoạn này, dữ liệu của giao thức tầng dưới (tầng Network) mà đã được đóng gói trong trường Protocol của PPP frame được đàm phán. Link termination: Đây là giai đoạn cuối cùng của LCP và dùng để kết thúc kết nối PPP đã thiết lập trước giữa hai đầu cuối. Công việc kết thúc kết nối có thể diễn ra suôn sẻ, tế nhị và cũng có thể đột ngột, bất thình lình. Sự ngắt kết nối tế nhị xảy ra sau khi dữ liệu trao đổi giữa hai đầu cuối hoàn thành, hoặc ở yêu cầu của một trong hai bên (đầu cuối). Một sự kiện vật lý, như mất người vận chuyển hoặc hết thời hạn của một khoảng thời gian nhàn rổi, sự ngắt kết nối bất thình lình sẽ xảy ra. Link-termination frames được trao đổi giữa các bên có liên quan trước khi bị ngắt kết nối. 2.2. POINT – TO – POINT TUNNELING PROTOCOL (PPTP). PPTP là một giải pháp độc quyền cung cấp khả năng bảo mật giữa remote client và enterprise server bằng việc tạo ra một VPN thông qua một IP trên cơ sở mạng trung gian. Được phát triển bởi PPTP Consortium (Microsoft Corporation, Ascend Communications, 3COM, US Robotics, và ECI Telematics), PPTP được đưa ra dựa trên yêu cầu VPNs thông qua mạng trung gian không an toàn. PPTP không những tạo điều kiện dễ dàng cho việc bảo mật các giao dịch thông qua TCP/IP trong môi trường mạng chung, mà còn qua mạng riêng intranet. 1/. Công dụng của PSTNs (Public Switched Telephone Networks). PPTP cho phép sử dụng PSTNs cho việc triển khai VPNs. Kết quả là, quá trình xử lý sự phát triển VPN đặc biệt đơn giản và tổng chi phí cho việc triển khai thì khá thấp. Đối với những doanh nghiệp có kết nối mạng diện rộng dựa trên các đường thuê bao leased line được loại bỏ. 2/. Hỗ trợ giao thức Non-IP. PPTP cũng hỗ trợ một số giao thức triển khai mạng thông thường khác như  TCP/IP, IPX, NetBEUI và NetBIOS. 2.2.1. Vai trò của PPP trong giao dịch PPTP PPTP là phần mở rộng của PPP, nó không thay đổi công nghệ PPP. Nó chỉ định nghĩa một phương pháp mới trong việc vận chuyển lưu lượng VPN thông qua một mạng chung không an toàn. Khá giống PPP, PPTP cũng không hỗ trợ đa kết nối, tất cả các kết nối PPTP đều ở dạng  điểm-điểm. PPP thực hiện một số chức năng giao dịch dựa trên PPP : - Thiết lập và kết thúc các kết nối vật lý giữa 2 đầu cuối thông tin. - Xác thực PPTP clients. - Mã hóa IPX, NetBEUI, NetBIOS, TCP/IP datagrams để tạo ra PPP datagrams và bảo mật dữ liệu trao đổi giữa các bên có liên quan. 2.2.2.Các thành phần của quá trình giao dịch PPTP Bất kỳ quá trình giao dịch nào dựa trên PPTP triển khai ít nhất 3 thành phần, các thành phần đó là : - PPTP client - Network Access Server (NAS) - PPTP server 2.2.3.Quá trình xử lý PPTP PPTP tận dụng 3 quá trình xử lý để bảo đảm cho thông tin liên lạc PPTP thông qua môi trường không an toàn. Những quá trình đó là : - Quá trình thiết lập kết nối PPP - Điều khiển kết nối - PPTP tunneling và trao đổi dữ liệu 2.2.4. Bảo mật trong PPTP PPTP đưa ra một số dịch vụ khác nhau cho PPTP client và server. Những dịch vụ này bao gồm các dịch vụ sau : - Mã hóa và nén dữ liệu. - Thẩm định quyền (Authentication) - Điều khiển truy cập (Access control) - Trích lọc Packet Ngoài các cơ chế bảo mật cơ bản nói trên, PPTP có thể được sử dụng kết hợp với firewall và router. 2.2.5. Những thuận lợi và khó khăn của PPTP Sau đây là những thuận lợi chính của PPTP : - PPTP được gửi kèm như một giải pháp cùng với sản phẩm của Microsoft, được dùng phổ biến rộng rãi. - PPTP có thể hỗ trợ các giao thức non-IP. - PPTP được hỗ trợ bởi nhiều nền tảng khác nhau, như  Unix, Linux, và Apple's Macintosh. Một số nền tảng khác không hỗ trợ PPTP cũng có thể có lợi cho các dịch vụ bằng cách dùng PPP client router dựng sẵn. Việc triển khai PPTP cũng có một mặt khác. PPTP cũng bao gồm những bất lợi chính sau : - PPTP là một tùy chọn yếu kém sự khôn ngoan trong bảo mật. L2TP và IPSec là những công nghệ có tính bảo mật cao hơn. - PPTP không phụ thuộc nền. - PPTP đòi hỏi chi phí trong việc cấu hình ở PPTP server cũng như client. - PPTP được kèm theo như một giải pháp dựng sẵn trong VPN, Routing và Remote Access Server (RRAS) có thể cần được cấu hình trong giải pháp Dial-on-Demand định tuyến. Bất lợi lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật do nó dùng mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng mã hóa đối xứng là cách tạo ra khóa từ mật khẩu của người dùng. Điều này càng nguy hiểm hơn vì mật khẩu thường gởi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận. Giao thức tạo đường hầm kế tiếp Layer 2 Forwarding (L2F) được phát triển nhằm cải thiện bảo mật với mục đích này. 2.3. LAYER 2 FORWARDING (L2F) Cisco Systems, cùng với Nortel, là một trong những nhà cung cấp hàng đầu đã bắt đầu làm việc nhằm các mục đích sau : - Cho phép bảo mật trong giao dịch. - Cung cấp khả năng truy cập dựa trên cơ sở hạ tầng của Internet và các mạng trung gian khác. - Hỗ trợ nhiều công nghệ mạng khác nhau như ATM, FDDI, IPX, Net-BEUI, và Frame Relay. 2.3.1.Quá trình xử lý của L2F Khi một người dùng quay số từ xa khởi tạo một kết nối đến một host đặt trong một mạng Intranet riêng. Quá trình xử lý được thực hiện theo tuần tự sau : 1/. Người dùng từ xa khởi tạo một kết nối PPP đến nhà ISP của nó. Nếu người dùng từ xa là một phần của một mạng LAN, người dùng có thể thuê ISDN hoặc những cách kết nối khác để kết nối đến ISP. Một sự lựa chọn khác, nếu người dùng không phải là một phần của bất kỳ mạng Intranet nào, anh hoặc cô ấy cần dùng các dịch vụ trên cơ sở PSTN. 2/. Nếu NAS thực hiện ở ISP’s POP chấp nhận các yêu cầu kết nối, kết nối PPP được thiết lập giữa người dùng và NAS. 3/. Sau đó, người dùng được xác nhận ở nhà ISP bằng cơ chế CHAP hoặc PAP. 4/. Nếu không có tunnel tồn đến gateway của mạng mong muốn, một sẽ được khởi tạo. 5/. Sau khi một kế nối được thiết lập, một số ID đa cổng duy nhất (MID) được xác định tại kết nối. Một thông báo cũng sẽ được gửi đến cổng mạng. Thông báo này xác định cho cổng biết có yêu cầu kết nối từ một người dùng từ xa. 6/. Cổng có thể chấp nhận hoặc từ chối yêu cầu kết nối. Nếu yêu cầu bị từ chối, người dùng sẽ được cho biết nguyên nhân yêu cầu không thực hiện và kết nối quay số được kết thúc. Mặt khác, nếu yêu cầu được chấp nhận, host gateway gửi thông báo cài đặt đến người dùng từ xa. Thông tin hồi đáp này có thể bao gồm thông tin xác nhận, mà được sử dụng để xác nhận người từ xa. 7/. Sau khi người dùng được host network gateway xác nhận, một giao diện ảo (virtual interface) được thiết lập giữa hai đầu cuối. 2.3.2. L2F Tunneling. Sau khi tunnel giữa hai đầu cuối đã xác nhận, Layer 2 frames có thể trao đổi thông qua tunnel theo các bước sau : Người dùng từ xa chuyển hướng các normal frame đến NAS được đặt tại ISP. POP lưu chuyển thông tin của tầng Data Link hoặc các transparency bytes và gắn phần đầu và đuôi của L2F vào frame. Frame mới vừa đóng gói sẽ được chuyển hướng đến mạng đích thông qua tunnel. Host network gateway chấp nhận những gói dữ liệu đã được tunnel, lưu chuyển phần đầu và phần đuôi của L2F và chuyển hướng các frame đến nút đích bên trong mạng intranet. Nút đích xử lý những frame nhận được như những frame chưa được tunnel. 2.3.3. L2F Security. L2F cung cấp một số dịch vụ sau: Mã hóa dữ liệu, Cơ chế xác nhận. L2F sử dụng Microsoft Point-to-Point Encryption làm phương pháp mã hóa cơ bản. Phương pháp xác nhận của L2F được hoàn thành ở 2 mức độ Challenge Handshake Authentication Protocol và Extensible Authentication Protocol. Những thuận lợi và bất lợi của L2F Mặc dù L2F yêu cầu mở rộng xữ lý với các LCP và phương pháp tùy chọn khác nhau, nó được dùng rộng rãi hơn so với PPTP bởi vì nó là một giải pháp chuyển hướng frame ở cấp thấp. Nó cũng cung cấp một nền tảng giải pháp VPN tốt hơn PPTP đối với mạng doanh nghiệp. Những thuận lợi chính của việc triển khai giải pháp L2F bao gồm : - Nâng cao bảo mật cho quá trình giao dịch. - Có nền tảng độc lập. - Không cần những sự sắp đặt đặc biệt với ISP. - Hỗ trợ một phạm vi rộng rãi các công nghệ mạng  như  ATM, FDDI, IPX, NetBEUI và Frame Relay Ngoài những điểm thuận lợi trên còn có một vài điểm không thuận lợi kết hợp với L2F. - Giải pháp dựa vào L2F đòi hỏi có sự hỗ trợ và cấu hình mở rộng.. - Những thay đổi của một giải pháp dựa trên L2F thì phụ thuộc nhiều vào ISP. Nếu ISP không hỗ trợ L2F, thì sự thay đổi của giải pháp này là không thể. - L2F không cung cấp dòng điều khiển. Do vậy, nếu tunnel là những gói dữ liệu được đóng gói thì có thể được bỏ đi một cách tùy tiện. Điều này gây ra sự truyền lại dữ liệu, mà xa hơn làm chậm tốc độ giao dịch. - Do chi phí lớn kết hợp với sự mã hóa và cấp quyền L2F, nên giao dịch thực hiện qua tunnels dựa trên L2F thì chậm hơn so với PPTP 2.4. LAYER 2 TUNNELING PROTOCOL (L2TP). Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm : - L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP. - L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như driver và hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet cũng không cần triển khai thêm các phần mềm chuyên biệt. - L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư). - Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi host network gateways. Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người dùng từ xa. Hơn nữa, mạng riêng intranet có thể định nghĩa những chính sách truy cập riêng cho chính bản thân. Điều này làm quy trình xử lý của việc thiết lập tunnel nhanh hơn so với giao thức tạo hầm trước đây. 2.4.1. Các thành phần của L2TP Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP Network Server (LNS). L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối Internet đến người dùng từ xa, là những người quay số (thông qua PSTN hoặc ISDN) sử dụng kết nối PPP. NASs phản hồi lại xác nhận người dùng từ xa ở nhà cung cấp ISP cuối và xác định nếu có yêu cầu kết nối ảo. Giống như PPTP NASs, L2TP NASs được đặt tại ISP site và hành động như client trong quy trình thiết lập L2TP tunnel. NASs có thể hồi đáp và hỗ trợ nhiều yêu cầu kết  nối đồng thời và có thể hỗ trợ một phạm vi rộng các client (như các sản phẩm mạng của Microsoft, Unix, Linux, VAX-VMS, ). LNSs, được đặt tại mạng cuối chủ. Do đó, chúng dùng để kết thúc kết nối L2TP ở mạng cuối chủ theo cùng cách kết thúc tunnel từ client của LACs. Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập tunnel và xác nhận người dùng, là người khởi tạo yêu cầu kết nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo. 2.4.2. Qui trình xử lý L2TP. Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặc mạng chung khác, theo các bước tuần tự sau đây : 1. Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất của nó, và bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối. 2. NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối. NAS dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này. 3. Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của mạng đích. 4. Kế tiếp, LAC thiết lập một LAC-LNS tunnel thông qua mạng trung gian giữa hai đầu cuối. Tunnel trung gian có thể là ATM, Frame Relay, hoặc IP/UDP. 5. Sau khi tunnel đã được thiết lập thành công, LAC chỉ định một Call ID (CID) đến kết nối và gửi một thông điệp thông báo đến LNS. Thông báo xác định này chứa thông tin có thể được dùng để xác nhận người dùng. Thông điệp cũng mang theo LCP options dùng để thoả thuận giữa người dùng và LAC. 6. LNS dùng thông tin đã nhận được từ thông điệp thông báo để xác nhận người dùng cuối. Nếu người dùng được xác nhận thành công và LNS chấp nhận yêu cầu tunnel, một giao diện PPP ảo (L2TP tunnel) được thiết lập cùng với sự giúp đỡ của LCP options nhận được trong thông điệp thông báo. 7. Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua tunnel. L2TP Data Tunneling. Tương tự PPTP tunneled packets, L2TP data packets trải qua nhiều tầng đóng gói. Sau đây là một số giai đoạn đóng gói của L2TP data tunneling : PPP Encapsulation of data: Không giống phương thức đóng gói của PPTP, dữ liệu không được mã hóa trước khi đóng gói. Chỉ PPP header được thêm vào dữ liệu payload gốc. L2TP Encapsulation of PPP frames: Sau khi original payload được đóng gói bên trong một PPP packet, một L2TP header được thêm vào nó. UDP Encapsulation of L2TP frames: Kế tiếp, gói dữ liệu đóng gói L2TP được đóng gói thêm nữa bên trong một UDP frame. Hay nói cách khác, một UDP header được thêm vào L2TP frame đã đóng gói. Cổng nguồn và đích bên trong UDP header được thiết lập đến 1710 theo chỉ định. IPSec Encapsulation of UDP datagrams: Sau khi L2TP frame trở thành UDP đã được đóng gói, UDP frame này được mã hoá và một phần đầu IPSec ESP được thêm vào nó. Một phần đuôi IPSec AH cũng được chèn vào gói dữ liệu đã được mã hóa và đóng gói.   IP Encapsulation of IPSec-encapsulated datagrams: Kế tiếp, phần đầu IP cuối cùng được thêm vào gói dữ liệu IPSec đã được đóng gói. Phần đầu IP chứa đựng địa chỉ IP của L2TP server (LNS) và người dùng từ xa. Data Link layer encapsulation: Phần đầu và phần cuối tầng Data Link cuối cùng được thêm vào gói dữ liệu IP xuất phát từ quá trình đóng gói IP cuối cùng. Phần đầu và phần cuối của tầng Data Link giúp gói dữ liệu đi đến nút đích. Nếu nút đích là nội bộ, phần đầu và phần cuối tầng Data Link được dựa trên công nghệ LAN (ví dụ, chúng có thể là mạng Ethernet). Ở một khía cạnh khác, nếu gói dữ liệu là phương tiện  cho một remote destination, phần đầu và phần cuối PPP được thêm vào gói dữ liệu L2TP đã đóng gói. L2TP hỗ trợ 2 chế độ - compulsory tunnel mode và voluntary tunnel mode. Những  tunnels này giữ một vai trò quan trọng trong bảo mật giao dịch dữ liệu từ điểm cuối đến điểm khác. 2.4.4. L2TP Security. L2TP dùng phương pháp xác nhận của PPP để xác nhận người dùng. Sơ đồ phổ biến triển khai L2TP authentication bao gồm: PAP và SPAP, EAP, CHAP Ngoài các cơ chế xác nhận được kể trên, L2TP cũng dùng IPSec để xác nhận những gói dữ liệu riêng biệt. Mặc dù điều này làm giảm đáng kể tốc độ của quá trình giao dịch, việc dùng IPSec cho việc xác nhận mỗi gói dữ liệu nhằm đảm bảo rằng các hacker và cracker không thể thay đổi tunnel và dữ liệu của bạn. 2.4.5. Những thuận lợi và bất lợi của L2TP. Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây : - L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập. Nó cũng hỗ trợ nhiều công nghệ mạng khác nhau. Ngoài ra, nó còn hỗ trợ giao dịch qua nối kết WAN non-IP mà không cần một IP. - L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa. Do đó, không đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP. - L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP phải làm điều này. - L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu xuống tùy ý nếu tunnel quá tải. Điều này làm cho quá trình giao dịch bằng L2TP nhanh hơn so với quá trình giao dịch bằng L2F. - L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địa chỉ IP truy cập vào mạng từ xa thông qua một mạng công cộng. - L2TP nâng cao tính bảo mật do sử dụng IPSec-based payload encryption trong suốt qua trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ liệu. Ngoài ra việc triển khai L2TP cũng gặp một số bất lợi sau : - L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi gói dữ liệu nhận được. - Mặc dù PPTP được lưu chuyển như một giải pháp VPN dựng sẵn, một Routing and Remote Access Server (RRAS) cần có những cấu hình mở rộng.        2.5. IPSEC Thuật ngữ IPSec là một từ viết tắt của thuật Internet Protocol Security. Nó có quan hệ tới một số bộ giao thức (AH, ESP, FIP-140-1, và một số chuẩn khác) được phát triển bởi Internet Engineering Task Force (IETF). Mục đích chính của việc phát triển IPSec là cung cấp một cơ cấu bảo mật ở tầng 3 (Network layer) của mô hình OSI. SPI (Security Parameter Index). Đây là một trường 32 bit dùng nhận dạng giao thức bảo mật, được định nghĩa bởi trường Security protocol, trong bộ IPSec đang dùng. SPI được mang theo như là một phần đầu của giao thức bảo mật và thường được chọn bởi hệ thống đích trong suốt quá trình thỏa thuận của SA. Destination IP address. Đây là địa chỉ IP của nút đích. Mặc dù nó có thể là địa chỉ broadcast, unicast, hay multicast, nhưng cơ chế quản lý hiện tại của SA chỉ được định nghĩa cho hệ thống unicast. Security protocol. Phần này mô tả giao thức bảo mật IPSec, có thể là AH hoặc ESP. Bộ IPSec đưa ra 3 khả năng chính bao gồm : Tính xác nhận và tính nguyên vẹn dữ liệu (Authentication and data integrity): IPSec cung cấp một cơ chế mạnh mẽ để xác nhận tính chất xác thực của người gửi và kiểm chứng bất kỳ sự sửa đổi không được bảo vệ trước đó của nội dung gói dữ liệu bởi người nhận. Các giao thức IPSec đưa ra khả năng bảo vệ mạnh để chống lại các dạng tấn công giả mạo, đánh hơi và từ chối dịch vụ. Sự cẩn mật (Confidentiality): Các giao thức IPSec mã hóa dữ liệu bằng cách sử dụng kỹ thuật mã hóa cao cấp, giúp ngăn cản người chưa chứng thực truy cập dữ liệu trên đường đi của nó. IPSec cũng dùng cơ chế tạo hầm để ẩn địa chỉ IP của nút nguồn (người gửi) và nút đích (người nhận) từ những kẻ nghe lén. Quản lý khóa (Key management). IPSec dùng một giao thức thứ ba, Internet Key Exchange (IKE), để thỏa thuận các giao thức bảo mật và các thuật toán mã hóa trước và trong suốt phiên giao dịch. Một phần quan trọng nữa, IPSec phân phối và kiểm tra các khóa mã và cập nhật những khóa đó khi được yêu cầu. IPSec được triển khai bằng 2 chế độ : transport và tunnel. Chương 3: QUẢN LÝ VPN VPN hỗ trợ việc quản lý địa chỉ mạng một cách hiệu quả hơn. Để hoạt động trên mạng Internet, các nút mạng cần có một địa chỉ IP duy nhất, các công ty thông qua đăng ký thường được cấp một khoảng địa chỉ IP này. Quản lý hiệu quả khoảng địa chỉ này để không gây lãng phí là một vấn đề phức tạp nếu công ty có tổ chức phức tạp và rải rác ở nhiều địa điểm. VPN hỗ trợ quản lý hiệu quả hơn các địa chỉ IP bằng cách sử dụng DHCP hoặc NAT. Địa chỉ IP được cung cấp khi có yêu cầu và được giải phóng khi sử dụng xong. Dùng DHCP để đạt được các địa chỉ IP sẽ làm đơn giản việc cấu hình. Tuy nhiên phải chắc chắn khoảng địa chỉ DHCP cho mạng cấp dưới dành cho các kết nối Intranet của VPN Server phải có đủ địa chỉ cho tất cả các máy tính vật lý kết nối tới và số lượng cổng L2TP và PPTP lớn nhất. 1.Giải quyết các vấn đề kết nối. Các vấn đề về kết nối có thể do một số nguyên nhân sau: - Lỗi đường truyền: đường truyền lỗi, switch bận - Lỗi tại nhà cung cấp dịch vụ: tín hiệu bận, modem hoặc Router hỏng. - Lỗi từ người sử dụng cuối cùng. Modem hoặc Router tại những người sử dụng cuối hỏng. Modem hoặc Router tại người sử dụng không tương thích với Modem và Router tại nhà cung cấp dịch vụ. Lỗi cấu hình. Bên cạnh đó, lỗi này có thể có nguyên nhân từ việc dùng các cổng trên Firewall. Một vài gói tin VPN sử dụng các cổng TCP hoặc UDP để truyền thông( ví dụ: PPTP sử dụng TCP với số hiệu cổng là 1723). Nếu như các cổng này không mở thì không thể nào tạo được các kết nối VPN. Có thể các cổng này bị khóa tại nhà cung cấp dịch vụ hoặc trên các Router của chính người sử dụng. 2.Giải quyết các lỗi xác thực. Một vài nguyên nhân gây ra các lỗi định danh: - Một tên đăng nhập hoặc mật khẩu không tương thích. Lỗi này xảy ra khi các máy đang kết nối hoặc người dùng ở xa nghĩ tên đăng nhập và mật khẩu khác. Gây ra bởi lỗi in hoặc các khóa trong hệ thống khóa công khai không tương thích. - Hệ thống kết nối và các hệ thống cuối sử dụng các phương thức xác thực khác nhau. Ví dụ: Các máy kết nối sử dụng phương thức định danh PAP( Password Authorization Protocol). Trong khi đó hệ thống cuối sử dụng phương thức định danh CHAP( Challendge Handshake Authentication Protocol). 3.Giải quyết các vấn đề định tuyến. Khi người sử dụng kết nối thành công tới nhà cung cấp dịch vụ của họ nhưng gặp rắc rối khi kết nối tới một host nào đó trên mạng hoặc ra khỏi mạng Internet. Đây chính là lỗi định tuyến, các lỗi này thường do cấu hình. Các địa chỉ IP hoặc Getway trên hệ thống không được thiết lập chính xác. Cũng có thể nhà cung cấp dịch vụ không có một Router cho người dùng đó. Các thiết bị không tương thích trong hệ thống. Thiết bị của nhà cung cấp dịch vụ , thiết bị của người sử dụng truy cập hệ thống. Tuy nhiên, lỗi định tuyến cũng có thể do bất cứ một điểm kết nối nào trên đường truyền backbone giữa hệ thống và người dùng cuối bị lỗi. Người quản trị hệ thống và nhà cung cấp dịch vụ của họ cùng điều chỉnh những vấn đề này. Và tốt nhất là người quản trị phải biết lỗi ở đâu để báo cáo lên cấp trên. 4. Giao tiếp với nhà cung cấp dịchvụ. Để VPN hoạt động có hiệu quả, khi hợp tác với một nhà cung cấp dịch vụ, nhà quản trị nên đưa ra các thông tin nhiều nhất có thể. Ít nhất cũng phải đưa ra các thông tin sau: - Sản phẩm VPN mà hệ thống đang dùng là gì? - Địa chỉ IP của hệ thống là gì? - Địa chỉ IP của các máy chủ VPN cuối hoặc Router là gì? - Các cổng TCP hoặc UDP mà VPN sử dụng nếu nhà cung cấp dịch vụ có cổng này tại Firewall. - Đưa ra các câu lệnh Ping hay Traceroute để giải thích các sự cố. Và đây là một vài đánh giá để lựa chọn được các nhà cung cấp dịch vụ tốt nhất. - Những nhà cung cấp dịch vụ đã có lịch sử hoạt động: Nhà cung cấp dịch vụ quốc gia được nhiều người biết đến hoặc các nhà cung cấp dịch vụ nội hạt danh tiếng. - Nếu có thể, nhà quản trị luôn giao tiếp với một nhà cung cấp dịch vụ để họ tiếp cận được các vấn đề mà hệ thống đã trải qua. Điều này không chỉ bảo các dịch vụ tốt hơn mà còn giữ được số lượng người ít nhất 5. Tươn