Embed Size (px)
Citation preview
- GIÁO VIÊN: NGUYỄN HIẾU MINH
9/5/2012 1
1) Một Số Khái Niệm Cơ Bản Về VPN
2) Phân loại VPN
3) PPTP VPN
4) IPSEC VPN
5) MPLS VPN
9/5/2012 2
Mục đích: Đảm bảo trao đổi thông tin an
toàn giữa các mạng nội bộ cũng như
những máy tính riêng lẻ qua mạng công
cộng.
Mục đích chính: Cung cấp tính an toàn,
tính hiệu quả trong mạng trong khi vẫn
đảm bảo cân bằng giá thành cho toàn bộ
quá trình xây dựng mạng.
9/5/2012 3
Mã hoá bảo mật dữ liệu (Encryption): Là
quá trình xử lý dữ liệu theo một thuât
toán mật mã nao đo và dữ liệu chỉ có thể
đọc được bởi người dùng hợp lệ.
Xác thực (Authentication): Là quá trình
xác thực sự hợp lệ của người dùng (hoặc
thiết bị).
Cấp quyền (Authorization): Là quá trình
xử lý cấp quyền truy cập hoặc ngăn cấm
vào tài nguyên trên mạng sau khi đã thực
hiện xác thực.
9/5/2012 4
VPNs đầu tiên đã được đưa ra bởi AT&T từ
cuối những năm 80 và được biết như
Software Defined Networks (SDNs).
Thế hệ thứ hai của VPNs ra đời từ sự xuất
hiện của mạng dịch vụ tích hợp kỹ thuật số
(Integrated Services Digital Network - ISDN)
từ đầu những năm 90.
9/5/2012 5
9/5/2012 6
Sau khi thế hệ thứ hai của VPNs ra đời, thị trường VPNs tạm thời lắng động và chậm tiến triển, cho tới khi có sự nổi lên của hai công nghệ Frame Relay (FR) và Asynchronous Tranfer Mode (ATM). Thế hệ thứ ba của VPNs đã phát triển dựa theo 2 công nghệ này.
Hai công nghệ này phát triển dựa trên khái niệm về Virtual Circuit Switching, theo đó, các gói dữ liệu sẽ không chứa địa chỉ nguồn và đích. Thay vào đó, chúng sẽ mang những con trỏ, trỏ đến các virtual circuit nơi mà dữ liệu nguồn và đích sẽ được truyền.
Công nghệ Virtual Circuit switching có tốc độ truyền dữ liệu cao (160 Mbs hoặc cao hơn) hơn so với thế hệ trước - X.25, ISDN.
Tuy nhiên việc đóng gói IP lưu thông bên trong gói Frame Relay và ATM cells chậm.
Ngoài ra, mạng FR-based và ATM-based cũng không cung cấp phương pháp xác nhận packet-level end-to-end và mã hóa cho những ứng dụng high-end chẳng hạn như multimedia.
9/5/2012 7
IP Security (IPSec): Ðược phát triển bởi IETF, IPSec là một chuẩn mở đảm bảo quá trình trao đổi dữ liệu được an toàn và phương thức xác nhận người dùng qua mạng công cộng.
Không giống với những kỹ thuật mã hoá khác, IPSec thực hiện ở tầng thứ 3 trong mô hình OSI. Vì thế, chúng có thể chạy độc lập so với các ứng dụng chạy trên mạng.
9/5/2012 8
Point-to-point Tunneling Protocol
(PPTP): Phát triển bởi Microsoft, 3COM,
và Ascend Communications, PPTP là một
sự chọn lựa để thay thế cho IPSec. Tuy
nhiên IPSec vẫn còn được sử dụng nhiều
trong một số Tunneling Protocol.
PPTP thực hiện ở tầng thứ 2 (Data Link
Layer).
9/5/2012 9
9/5/2012 10
Layer 2 Tunneling Protocol (L2TP): Ðược phát
triển bởi Cisco System. L2TP là sự kết hợp giữa
Layer 2 Forwarding (L2F) và PPTP và được dùng
để đóng gói các frame sử dụng giao thức Point-
to-point để gửi qua các mạng như X.25, FR,
ATM.
Giảm thiểu chi phí triển khai.
Giảm chi phí quản lý.
Cải thiện kết nối.
An toàn trong giao dịch.
Hiệu quả về băng thông.
Khả năng mở rộng.
9/5/2012 11
Phụ thuộc môi trường Internet.
Thiếu sự hỗ trợ cho một số giao
thức kế thừa.
9/5/2012 12
VPNs nhằm hướng vào 3 yêu cầu cơ bản
sau:
Có thể truy cập từ xa bất cứ lúc nào, giữa các
nhân viên của một tổ chức tới các tài nguyên
mạng.
Nối kết thông tin liên lạc giữa các chi nhánh văn
phòng từ xa.
Truy nhập tài nguyên mạng khi cần của khách
hàng, nhà cung cấp và những đối tượng quan
trọng của công ty nhằm hợp tác kinh doanh.
9/5/2012 13
9/5/2012 14
Remote Access VPNs.
Intranet VPNs.
Extranet VPNs.
Remote Access VPNs: Cho phép truy cập bất
cứ lúc nào bằng thiết bị truyền thông của
nhân viên các chi nhánh kết nối đến tài
nguyên mạng của tổ chức.
9/5/2012 15
Remote Access Server (RAS): được đặt tại
trung tâm có nhiệm vụ xác nhận và chứng
nhận các yêu cầu gửi tới.
Quay số kết nối đến trung tâm, điều này sẽ
làm tăng chi phí cho một số yêu cầu ở khá xa
so với trung tâm.
9/5/2012 16
9/5/2012 17
Bằng việc triển khai Remote Access VPNs,
những người dùng từ xa hoặc các chi nhánh
văn phòng chỉ cần cài đặt một kết nối cục bộ
đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP
và kết nối đến tài nguyên thông qua Internet.
9/5/2012 18
9/5/2012 19
Sự cần thiết của RAS và việc kết hợp với modem được loại trừ.
Sự cần thiết hô trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP
Việc quay số từ những khoảng cách xa được loại trừ, thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ. Giảm giá thành chi phí cho các kết nối với khoảng cách xa.
9/5/2012 20
Do đây là một kết nối mang tính cục bộ, do
vậy tốc độ nối kết sẽ cao hơn so với kết
nối trực tiếp đến những khoảng cách xa.
VPNs cung cấp khả năng truy cập đến trung
tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy
cập ở mức độ tối thiểu nhất cho dù có sự
tăng nhanh chóng các kết nối đồng thời
đến mạng.
9/5/2012 21
Khó bảo đảm được chất lượng phục vụ. Khả năng mất dữ liệu là rất cao, thêm
nữa là các phân đoạn của gói dữ liệu có thể bị thất thoát.
Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP-based diễn ra chậm chạp.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm.
9/5/2012 22
9/5/2012 23
9/5/2012 24
Intranet VPNs được sử dụng để kết nối các
chi nhánh văn phòng của tổ chức đến
Corporate Intranet (backbone router) sử
dụng campus router.
Theo mô hình trên sẽ rất tốn chi phí do
phải sử dụng 2 router để thiết lập được
mạng, thêm vào đó, việc triển khai, bảo trì
và quản lý mạng Intranet Backbone sẽ rất
tốn kém còn tùy thuộc vào lượng lưu thông
trên mạng đi trên nó và phạm vi địa lý của
toàn bộ mạng Intranet.
9/5/2012 25
Hiệu quả chi phí hơn do giảm số lượng
router được sử dụng theo mô hình WAN
backbone
Giảm thiểu đáng kể số lượng hỗ trợ yêu
cầu người dùng cá nhân qua toàn mạng.
9/5/2012 26
Bởi vì Internet hoạt động như một kết nối
trung gian, nó dễ dàng cung cấp những
kết nối mới ngang hàng.
Kết nối nhanh hơn và tốt hơn do về bản
chất kết nối đến nhà cung cấp dịch vụ,
loại bỏ vấn đề về khoảng cách xa và thêm
nữa giúp tổ chức giảm thiểu chi phí cho
việc thực hiện Intranet.
9/5/2012 27
Bởi vì dữ liệu vẫn còn tunnel trong suốt quá
trình chia sẻ trên mạng công cộng và những nguy
cơ tấn công, như tấn công bằng từ chối dịch vụ
(denial-of-service), vẫn còn là một mối đe dọa
an toàn thông tin.
Khả năng mất dữ liệu trong lúc di chuyển thông
tin cũng vẫn rất cao.
9/5/2012 28
Trong một số trường hợp, nhất là khi dữ
liệu là loại high-end, như các tập tin
mulltimedia, việc trao đổi dữ liệu sẽ rất
chậm chạp do được truyền thông qua
Internet.
Do là kết nối dựa trên Internet, nên tính
hiệu quả không liên tục, thường xuyên, và
QoS cũng không được đảm bảo.
9/5/2012 29
Không giống như Intranet và Remote Access-
based, Extranet không hoàn toàn cách li từ
bên ngoài (outer-world), Extranet cho phép
truy cập những tài nguyên mạng cần thiết
của các đối tác kinh doanh, chẳng hạn như
khách hàng, nhà cung cấp, đối tác những
người giữ vai trò quan trọng trong tổ chức.
9/5/2012 30
9/5/2012 31
9/5/2012 32
Mạng Extranet rất tốn kém do có nhiều
đoạn mạng riêng biệt trên Intranet kết
hợp lại với nhau để tạo ra một Extranet.
Ðiều này làm cho khó triển khai và quản lý
do có nhiều mạng, đồng thời cũng khó
khăn cho cá nhân làm công việc bảo trì và
quản trị.
Mạng Extranet sẽ dễ mở rộng do điều này
sẽ làm rối mạng Intranet và có thể ảnh
hưởng đến các kết nối bên ngoài mạng. Sẽ
có những vấn đề gặp phải bất thình lình
khi kết nối một Intranet vào một mạng
Extranet.
Triển khai và thiết kế một mạng Extranet
có thể là một cơn ác mộng của các nhà
thiết kế và quản trị mạng.
9/5/2012 33
9/5/2012 34
Do hoạt động trên môi trường Internet, có
thể lựa chọn nhà phân phối khi lựa chọn
và đưa ra phương pháp giải quyết tuỳ theo
nhu cầu của tổ chức.
Bởi vì một phần Internet-connectivity
được bảo trì bởi nhà cung cấp (ISP) nên
cũng giảm chi phí bảo trì khi thuê nhân
viên bảo trì.
Dễ dàng triển khai, quản lý và chỉnh sửa
thông tin.
9/5/2012 35
Sự đe dọa về tính an toàn, như bị tấn công
bằng từ chối dịch vụ vẫn còn tồn tại.
Tăng thêm nguy hiểm sự xâm nhập đối với
tổ chức trên Extranet.
Do dựa trên Internet nên khi dữ liệu là các
loại high-end data thì việc trao đổi diễn ra
chậm chạp.
Do dựa trên Internet, QoS cũng không
được bảo đảm thường xuyên.
9/5/2012 36
Internet được xem là một môi trường không
an toàn, dữ liệu truyền qua dễ bị sự truy cập
bất hợp pháp và nguy hiểm.
Sự ra đời của VPN, dựa trên giao thức
Tunneling đã làm giảm một lượng đáng kể số
lượng rủi ro không an toàn. Vì thế, làm thế
nào để bảo đảm dữ liệu được an toàn qua
VPN?
9/5/2012 37
Các mối tấn công từ bên ngoài cũng có mức
độ nguy hiểm tương đương với bị tấn công
từ bên trong, một số tài nguyên và dịch vụ
mạng có thể bị làm cho không sử dụng được
trong một thời gian dài.
Trong trường hợp này, toàn bộ tài nguyên
mạng sẽ không thể được truy cập bởi người
dùng.
9/5/2012 38
Khi trao đổi dữ liệu trên mạng, dữ liệu có
thể bị ngăn chặn bởi những hành động
không được phép. Kết quả là những thông
tin có thể bị mất.
Trong trường hợp này, dữ liệu của tổ
chức đã bị chặn lại.
9/5/2012 39
Thông tin bị chặn có thể bị sửa đổi và người
nhận thông tin có thể sẽ nhận được những
thông tin sai lệch hoặc bị xáo trộn.
Điều này khiến cho tổ chức có thể phải mất
tiền, hoặc những dữ liệu quan trọng.
9/5/2012 40
Theo kiểu này, những người dùng không
hợp pháp cũng được xem như những
người dùng hợp pháp.
Sau khi truy cập vào hệ thống mạng,
những cá nhân này sẽ phổ biến những
thông tin giả mạo và có hại đến những
người dùng khác trong mạng.
9/5/2012 41
9/5/2012 42
Login ID and password
RADIUS server
Two-Factor Token-Based Technique
9/5/2012 43
MAC
DAC
RBAC
9/5/2012 44
Đối xứng (Symmetric)
Bất đối xứng (Asymmetric)
9/5/2012 45
Nghe trộm và xem lén dữ liệu.
Chỉnh sửa và đánh cắp lén dữ liệu.
Giả mạo thông tin.
Chống chối từ.
9/5/2012 46
9/5/2012 47
Để có thể thiết lập hoàn chỉnh một tunnel giữa hai
nút thông tin đầu cuối, tunneling đưa ra 4 thành
phần yêu cầu sau :
Mạng đích (Target network). Là mạng trong đó chứa
các dữ liệu tài nguyên mà người dùng từ xa cần truy
cập để sử dụng, là những người khởi tạo ra phiên
yêu cầu VPN.
Nút khởi tạo (Initiator node). Người dùng khách
hoặc máy chủ khởi tạo phiên VPN. Nút khởi tạo có
thể là một phần của mạng cục bộ hoặc có thể là
người dùng.
9/5/2012 48
9/5/2012 49
HA (Home Agent). Chương trình thường trú tại
các nút mạng (router) trong mạng đích. HA nhận
và xác nhận những yêu cầu gửi đến để xác thực
chúng từ những host đã được ủy quyền. Khi xác
nhận thành công nút khởi tạo, HA cho phép thiết
lập tunnel.
FA (Foreign Agent). Chương trình thường trú tại
các nút khởi tạo hoặc ở nút truy cập (router) của
mạng khởi tạo. Các nút khởi tạo dùng FA để yêu
cầu một phiên VPN từ HA ở mạng đích.
The process of transferring data across a
tunnel.
9/5/2012 50
Giai đoạn I. Nút khởi tạo (hoặc người
dùng từ xa) yêu cầu một phiên làm việc
VPN và được xác nhận bởi HA tương ứng.
Giai đoạn II. Dữ liệu thực sự được
chuyển qua mạng thông qua tunnel.
9/5/2012 51
Một kết nối yêu cầu được khởi tạo và những tham số phiên được đàm phán. Nếu yêu cầu được chấp nhận và tham số phiên được đàm phán thành công, một tunnel được thiết lập giữa hai nút thông tin đầu cuối.
1.Nút khởi tạo gửi yêu cầu kết nối đến vị trí FA trong mạng.
2.FA xác nhận yêu cầu bằng cách thông qua tên truy cập và mật khẩu được cung cấp bởi người dùng.
9/5/2012 52
3.Nếu tên truy cập và mật khẩu cung cấp bởi
người dùng không hợp lệ, yêu cầu phiên làm
việc VPN bị từ chối. Ngược lại, nếu quá trình xác
nhận sự thống nhất của FA thành công, nó sẽ
chuyển yêu cầu đến mạng đích HA.
4.Nếu yêu cầu được HA chấp nhận, FA gửi login ID
đã được mã hóa và mật khẩu tương ứng đến nó.
9/5/2012 53
5.HA kiểm chứng thông tin đã được cung cấp.
Nếu quá trình kiểm chứng thành công, HA
gửi những Register Reply, phụ thuộc vào một
số tunnel đến FA.
6.Một tunnel được thiết lập khi FA nhận
Register Reply và số tunnel.
9/5/2012 54
1.Nút khởi tạo bắt đầu chuyển các gói dữ
liệu đến FA.
2.FA tạo tunnel header và chèn nó vào từng
gói dữ liệu. Thông tin header của giao thức
định tuyến (được đàm phán trong giai đoạn
I) sau đó được gắn vào gói dữ liệu.
3.FA chuyển các gói dữ liệu đã mã hóa đến
HA bằng cách sử dụng tunnel number đã
được cung cấp.
9/5/2012 55
4.Trong quá trình nhận thông tin mã hóa,
HA gỏ bỏ tunnel header và header của
giao thức định tuyến, đưa gói dữ liệu trở
về dạng nguyên bản của nó.
5.Dữ liệu nguyên gốc sau đó được chuyển
hướng đến nút mong muốn cần đến trong
mạng.
9/5/2012 56
Trước khi gói dữ liệu nguyên gốc được phân phát
đến mạng đích thông qua tunnel, nó đã được mã
hóa bởi FA. Gói dữ liệu mã hóa này được đề cập
như một tunneled packet. Định dạng của một
tunneled packet được mô tả theo hình bên dưới.
9/5/2012 57
9/5/2012 58
Header of the routable protocol. Phần đầu
chứa địa chỉ nguồn (FA) và đích (HA).
Bởi vì quá trình giao dịch thông qua Internet
là dựa trên cơ sở IP, phần đầu này là phần IP
header chuẩn phổ biến và chứa địa chỉ IP
của FA, HA tham gia trong qua trình giao
dịch.
Tunnel packet header. Phần đầu này
chứa 5 phần sau:
o Protocol type. Trường này chỉ ra loại giao
thức của gói dữ liệu nguyên gốc (hoặc
pay-load).
o Kiểm tra tổng (Checksum). Phần này
chứa thông tin kiểm tra tổng quát liệu gói
dữ liệu có bị mất mát trong suốt qua trình
giao dịch. Thông tin này tùy chọn.
9/5/2012 59
Khóa (Key). Thông tin này được dùng để nhận
dạng hoặc xác nhận nguồn thực của dữ liệu (bộ
khởi tạo).
Số tuần tự (Sequence number). Trường này
chứa đựng 1 con số mà chỉ ra số tuần tự của gói
dữ liệu trong một loạt các gói dữ liệu đãvà đang
trao đổi.
Source routing. Trường này chứa đựng thêm
thông tin định tuyến, phần này tuỳ chọn.
9/5/2012 60
Payload. Gói dữ liệu nguyên gốc được gửi
đến FA bởi bộ khởi tạo. Nó cũng chứa đựng
phần đầu nguyên gốc.
9/5/2012 61
Voluntary tunnels (end-to-end tunnels),
được tạo ra từ yêu cầu của người dùng
máy khách. Kết quả là, các nút khởi tạo
hoạt động như điểm cuối tunnel.
Do đó, một tunnel riêng rẽ được tạo ra
cho mỗi cặp thông tin.
Sau khi mối giao thông giữa 2 điểm cuối
kết thúc, tunnel sẽ ngắt.
9/5/2012 62
9/5/2012 63
Trong trường hợp người dùng từ xa sử dụng
kết nối dial-up, đầu tiên máy khách cần thiết
lặp kết nối đến mạng trung gian. Đây là bước
mở đầu cho việc thiết lặp những tunnel và
chưa hoàn thành bởi các giao thức tunneling.
Chỉ sau khi một kết nối quay số được thiết
lặp có thể bộ khởi tạo thiết lặp tunnel đến
nút mong muốn đến.
9/5/2012 64
Tuy nhiên, sẽ ít phức tạp hơn trong trường
hợp người dùng là một phần của mạng cục
bộ.
Trong trường hợp này, máy khách đã kết nối
vào mạng trung gian. Vì thế, không cần thiết
để thiết lập một kết nối quay số riêng biệt
tới mạng trung gian.
9/5/2012 65
Không giống voluntary tunnels được yêu cầu
và được tạo bởi các nút người dùng,
compulsory tunnels được tạo và cấu hình bởi
thiết bị trung gian.
Network Attached Storages (NASs) hoặc dial-
up servers như thiết bị trung gian. Loại
tunneling này được tham khảo như
compulsory tunneling bởi vì bộ khởi tạo phải
dùng tunnel được tạo bởi thiết bị trung gian.
9/5/2012 66
9/5/2012 67
Bởi vì nút khởi tạo không nằm trong phần
tạo và cấu hình tunnel, nó không hoạt
động như tunnel endpoint.
Trong trường hợp này, các thiết bị trung
gian có trách nhiệm làm cho tunnel phục
vụ như các tunnel endpoint.
9/5/2012 68
Ngoài ra, không giống như voluntary
tunneling, trong một tunnel riêng biệt được
chia thành mỗi cặp trong các nút giao tiếp,
compulsory tunnels có thể được chia sẽ bởi
nhiều phương tiện thông tin.
Kết quả, tunnel không kết thúc cho đến khi
thông tin cuối cùng hoàn thành.
9/5/2012 69
Voluntary tunnels
Nút khởi tạo hoạt động như tunnel endpoint.
Một tunnel riêng biệt được dùng cung cấp cho
mỗi thông tin đang đi trên đường.
Một tunnel kết thúc khi dữ liệu trao đổi giữa
hai điểm cuối hoàn thành.
Dữ liệu trao đổi giữa 2 điểm cuối nhanh hơn.
Đây là những tunnel ngắn hạn.
9/5/2012 70
Thiết bị trung gian hoạt động như tunnel endpoint.
Tunnel giống nhau được chia sẽ bởi nhiều thông tin.
Tunnel không kết thúc cho đến khi cặp thông tin cuối hoàn thanh quá trình giao dịch dữ liệu.
Dữ liệu trao đổi giữa hai thực thể được
so sánh là chậm hơn bởi vì tunnel giống
nhau được chia sẽ qua nhiều kết nối.
Đây là những tunnel dài hạn.
9/5/2012 71
Công nghệ Tunneling sử dụng 3 loại giao
thức.
9/5/2012 72
Giao thức này dùng để định tuyến các
tunneled packet đến nơi mà chúng dự định
đến thông qua mạng trung gian.
Những tunneled packets được đóng gói
bên trong các gói của giao thức này. Bởi vì
nó phải định tuyến gói dữ liệu thông qua
một môi trường mạng trung gian hỗn tạp,
như Internet, giao thức này phải được hỗ
trợ trên phương diện rộng.
9/5/2012 73
Những giao thức này thường dùng để đóng
gói tải gốc. Thêm vào đó, giao thức đóng gói
cũng chịu trách nhiệm cho việc tạo, bảo
quản, và kết thúc đối với tunnel.
Ngày nay, PPTP, L2TP, và IPSec là những giao
thức được dùng phổ biến.
9/5/2012 74
Dữ liệu gốc cần được đóng gói vì mục đích
giao dịch thông qua tunnel phụ thuộc vào
giao thức này.
PPP và SLIP (Serial Line Internet Protocol) là
các giao thức thông hành thường dùng.
9/5/2012 75
PPP là một giao thức đóng gói dữ liệu thuận tiện trong việc vận chuyển lưu thông mạng thông qua các kết nối point-to-point.
Thuận lợi lớn nhất của PPP là nó có thể hoạt động đem lại hiệu quả cho bất kỳ Data Terminal Equipment (DTE) hoặc Data Connection Equipment (DCE) bao gồm EIA/TIA-232-C và ITU-T V.35. Một điểm yêu thích nữa của PPP là nó không giới hạn tỉ lệ giao dịch.
Cuối cùng, chỉ thiết bị PPP có thể cho một kết nối kép (2 chiều) có thể đối xứng hoặc không đối xứng và có thể thao tác theo phương thức chuyển mạch hoặc chuyên dụng.
9/5/2012 76
1. Sau khi đóng gói các dữ liệu, nút nguồn (hay bộ
khởi tạo) gửi LCP frame thông qua liên kết điểm-
điểm đến nút cần đến.
2. Những frame này được dùng để cấu hình kết nối
theo tham số xác định và kiểm tra các kết nối đã
được thiết lặp nếu có.
3. Sau khi nút đích chấp nhận yêu cầu kết nối và một
kết nối được thiết lặp thành công, những tùy chọn
thuận lợi được đã đàm phán, được xác định bời
LCPs.
9/5/2012 77
4. Sau đó nút nguồn gửi các frame NCP để
lựa chọn và cấu hình các giao thức tầng
mạng.
5. Sau khi các giao thức tầng mạng đã được
cấu hình, 2 điểm cuối bắt đầu trao đổi dữ
liệu cho nhau.
9/5/2012 78
9/5/2012 79
9/5/2012 80
Flag. Trường này chỉ định phần đầu và
phần đuôi của 1 frame. Chiều dài của
trường này là 1 byte.
Address. Bởi vì sử dụng kết nối điểm-
điểm, PPP không dùng địa chỉ của các nút
riêng lẻ. Do đó, trường này chứa một
chuỗi số nhị phân 11111111, là địa chỉ
broadcast. Chiều dài của trường này là 1
byte.
9/5/2012 81
Control. Trường này chứa dãy số nhị phân
00000011, có nghĩa là frame đang mang dữ
liệu của người dùng là một frame thiếu trình
tự chỉ ra tính chất quá trình giao dịch không
kết nối của PPP. Chiều dài của trường này là
1 byte.
9/5/2012 82
PPTP là một giải pháp cung cấp khả năng bảo
mật giữa remote client và enterprise server
bằng việc tạo ra một VPN thông qua một IP trên
cơ sở mạng trung gian.
Được phát triển bởi PPTP Consortium (Microsoft
Corporation, Ascend Communications, 3COM, US
Robotics, và ECI Telematics), PPTP được đưa ra
dựa trên yêu cầu VPNs thông qua mạng trung
gian không an toàn.
9/5/2012 83
9/5/2012 84
Thiết lập và kết thúc các kết nối vật lý giữa
2 đầu cuối thông tin.
Xác thực PPTP clients.
Mã hóa IPX, NetBEUI, NetBIOS, TCP/IP
datagrams để tạo ra PPP datagrams và bảo
mật dữ liệu trao đổi giữa các bên có liên
quan.
9/5/2012 85
PPTP client
Network Access Server (NAS)
PPTP server
9/5/2012 86
Một PPTP client là một nút mạng hỗ trợ
PPTP và có thể yêu cầu những nút khác
cho một phiên VPN.
Nếu kết nối được yêu cầu từ một remote
user. PPTP client phải sử dụng dịch vụ
của ISP’s NAS. Vì lý do đó, client phải
dùng modem để kết nối vào kết nối PPP
tới nhà ISP.
9/5/2012 87
PPTP client cũng phải được kết nối vào
thiết bị VPN để có thể tunnel yêu cầu (và
dữ liệu tiếp theo, nếu yêu cầu được chấp
nhận) đến thiết bị VPN trên mạng từ xa.
Kết nối đến các thiết bị VPN từ xa sử
dụng kết nối quay số đầu tiên đến ISP’s
NAS để thiết lặp một tunnel giữa hai thiết
bị VPN thông quan Internet hoặc các
mạng trung gian khác.
9/5/2012 88
Không giống những yêu cầu cho các phiên
kết nối VPN từ xa, yêu cầu cho một phiên
VPN đến từ một mạng cục bộ không yêu cầu
một kết nối đến ISP’s NAS. Cả client và
server đều đã được kết nối về mặt vật lý,
việc tạo ra một kết nối đến ISP’s NAS là
không cần thiết. Client, trong trường hợp
này, chỉ yêu cầu các phiên kết nối quay số
bằng thiết bị VPN trên server.
9/5/2012 89
PPTP Servers là những nút mạng hỗ trợ PPTP
và có khả năng duy trì các yêu cầu cho các
phiên VPN từ những nút khác (từ xa hoặc nội
bộ). Để đáp lại những yêu cầu từ xa, những
server phải hỗ trợ khả năng định tuyến.
9/5/2012 90
PPTP NASs được đặt tại nhà cung cấp dịch
vụ ISP và cung cấp kết nối Internet đến
các client sử dụng PPP để quay số.
Khả năng có nhiều client đồng thời đưa ra
yêu cầu phiên một VPN là rất cao, những
server phải có khả năng hỗ trợ đồng thời
nhiều client.
9/5/2012 91
Hơn nữa, PPTP client không bị hạn chế với
các hệ điều hành không phải của Microsoft.
Do đó, PPTP NASs có khả năng xử lý dùng
nhiều hệ điều hành khác nhau như Microsoft's
Windows, Unix, và Apple's Macintosh.
9/5/2012 92
PPTP thực hiện 3 quá trình xử lý để bảo đảm
cho thông tin liên lạc PPTP thông qua môi
trường không an toàn. Những quá trình đó là
Quá trình thiết lập kết nối PPP
Điều khiển kết nối
PPTP tunneling và trao đổi dữ liệu
9/5/2012 93
9/5/2012 94
Sau khi kết nối PPP giữa PPTP client và server
được thiết lập, quá trình điều khiển PPTP bắt
đầu.
PPTP connection control được thiết lập dựa trên
cơ sở địa chỉ IP của client và server, sử dụng
cổng TCP động và chiếm giữ cổng TCP 1723.
9/5/2012 95
Sau khi quá trình điều khiển kết nối được
thiết lặp, các thông tin điều khiển và quản lý
sẽ được trao đổi giữa các bên có liên quan
trong quá trình giao tiếp. Những thông tin
đảm nhiệm vai trò bảo trì, quản lý và kết
thúc PPP tunnel. Những thông điệp này là
những thông điệp có định kỳ bao gồm "PPTP-
Echo-Request, PPTP-Echo-Reply" dùng để
giúp đỡ trong việc dò tìm các kết nối PPTP
hư hỏng giữa server và client.
9/5/2012 96
Một gói dữ liệu PPTP phải trải qua nhiều
giai đoạn đóng gói, bao gồm những giai
đoạn sau:
9/5/2012 97
1. Quá trình đóng gói dữ liệu. Thông tin
nguyên bản được mã hóa và được đóng
gói bên trong một PPP frame. Một PPP
header được thêm vào frame.
9/5/2012 98
2. Quá trình đóng gói các PPP frame. Tổng hợp
các PPP frame sau đó đóng gói bên trong một
Generic Routing Encapsulation (GRE) đã được
sửa đổi.
GRE header chứa trường 4-byte
Acknowledgement và một bit Acknowledgement
hồi đáp. Ngoài ra, trường khóa trong GRE frame
được thay thế bằng trường 2 byte và 2 byte
được xem là ID. PPTP client xây dựng những
trường này khi nó tạo ra PPTP tuunel.
9/5/2012 99
3. Quá trình đóng gói GRE. Kết tếp, một IP
header đã được đóng gói bên trong gói GRE
được thêm vào PPP frame. Phần IP header này
chứa dựng địa chỉ IP nguồn của PPTP client và
đích của server.
9/5/2012 100
4. Quá trình đóng gói tầng Data Link. PPTP là
một giao thức tạo đường hầm nằm ở tầng 2. Vì
vậy, phần header của Data Link và phần đuôi giữ
vai trò quan trọng trong việc tạo đường hầm cho
dữ liệu. Trước khi được đặt vào môi trường
truyền thông, tầng Data Link thêm phần đầu và
đuôi của nó vào gói dữ liệu.
Nếu gói dữ liệu được truyền qua PPTP tunnel
cục bộ, gói dữ liệu được đóng gói bằng phần đầu
và đuôi theo công nghệ LAN (như Ethernet).
9/5/2012 101
9/5/2012 102
PPTP được tích hợp như một giải pháp cùng với
sản phẩm của Microsoft, được dùng phổ biến
rộng rãi.
PPTP có thể hổ trợ các giao thức non-IP.
PPTP được hỗ trợ bởi nhiều nền tảng khác nhau,
như Unix, Linux, và Apple's Macintosh. Một số
nền tảng khác không hỗ trợ PPTP cũng có thể có
lợi cho các dịch vụ bằng cách dùng PPP client
router dựng sẵn.
9/5/2012 103
PPTP là một tùy chọn yếu kém trong bảo
mật. L2TP và IPSec là những công nghệ có
tính bảo mật cao hơn.
PPTP đòi hỏi chi phí trong việc cấu hình ở
PPTP server cũng như client.
Mặc dù PPTP được kèm theo như một giải
pháp dựng sẵn trong VPN, Routing và
Remote Access Server (RRAS) có thể cần
được cấu hình trong giải pháp Dial-on-
Demand định tuyến.
9/5/2012 104
Mã hóa và nén giữ liệu.
Xác thực(Authentication)
Điều khiển truy cập (Access control)
Trích lọc gói tin
9/5/2012 105
PPTP không cung cấp cơ chế mã hóa bảo mật
dữ liệu.
Nó dùng dịch vụ mã hóa được đưa ra bởi
PPP.
PPP dùng Microsoft Point-to-Point Encryption
(MPPE), đây là phương pháp mã hóa shared
secret.
9/5/2012 106
Phương pháp shared secret thường dùng
cho mục đích mã hóa trong trường hợp
PPP là ID của người dùng và mật khẩu.
40-bit session key thường dùng để mã hóa
user ID và mật khẩu xuất phát từ thuật
toán hàm băm được chứa trên cả client
và server.
9/5/2012 107
Thuật toán băm được dùng để cấp khóa là
thuật toán RSA RC4. khóa này được dùng để
mã hóa tất cả dữ liệu được trao đổi qua
tunnel.
Tuy nhiên, 40-bit key thì quá ngắn và quá yếu
kém đối với các kỹ thuật hack ngày nay. Vì
thế, phiên bản 128-bit key đã ra đời. Nhằm
làm giảm rủi ro, Microsoft đòi hỏi khóa phải
được làm tươi sau 256 gói packet.
9/5/2012 108
MS-CHAP (Microsoft Challenge Handshake
Authentication Protocol). MS-CHAP là một phiên bản
tùy biến của Microsoft của CHAP, và được dùng làm
phương pháp xác nhận cơ bản cho PPP.
Hai điểm khác nhau chính giữa hai cơ chế là CHAP dựa
trên thuất toán hàm băm RSA MD5, MS-CHAP thì dựa
trên RSA RC4 và DES. Vì lý do thực tế MS-CHAP đã được
phát triển đơn độc cho các sản phẩm của Microsoft
(Windows 9x và một số phiên bản Windows NT), nó
không được hổ trợ bởi các nền tảng khác.
9/5/2012 109
PAP (Password Authentication Protocol). PAP thì
đơn giản và thường được triển khai nhiều nhất trong
giao thức xác nhận quay số. Nó cũng được dùng để
xác nhận các kết nối PPP. Tuy nhiên, nó gửi user ID và
mật khẩu trong một định dạng chưa mã hóa thông
qua kết nối.
Một kẽ hở khác của PAP là chỉ xác nhận một lần điểm
thông tin cuối ở giai đoạn thiết lập kết nối.
Chính vì lí do đó, PAP được xem là một giao thức xác
nhận kém nhất và vì thế nó không được ưa thích
trong cơ chế xác nhận của VPN.
9/5/2012 110
Sau khi PPTP client từ xa được xác nhận
thành công, nó sẽ truy cập vào tài nguyên
mạng đã bị giới hạn vì lí do bảo mật. Để đạt
được mục tiêu này, có thể triển khai một số
cơ chế điều khiển truy cập sau :
Access rights
Permissions
Workgroups
9/5/2012 111
Việc trích lọc các gói dữ liệu PPTP cho phép một
PPTP server trên một mạng riêng chấp nhận và định
tuyến các gói dữ liệu từ những PPP client đã được
xác nhận thành công.
Kết quả, chỉ có những PPP client đã được xác nhận
mới được cấp quyền truy cập vào mạng từ xa chuyên
biệt. Bằng cách này, PPTP không chỉ cung cấp các cơ
chế xác nhận, điều khiển truy cập và mã hóa, mà còn
tăng độ bảo mật trong mạng.
9/5/2012 112
Sau đây là những thuận lợi chính của PPTP:
PPTP được gửi kèm như một giải pháp cùng với sản phẩm của Microsoft, được dùng phổ biến rộng rãi.
PPTP có thể hỗ trợ các giao thức non-IP.
PPTP được hỗ trợ bởi nhiều nền tảng khác nhau, như Unix, Linux, và Apple's Macintosh.
Một số nền tảng khác không hô trợ PPTP cũng có thể có lợi cho các dịch vụ bằng cách dùng PPP client router dựng sẵn.
9/5/2012 113
Thuật ngữ IPSec là một từ viết tắt của thuật
Internet Protocol Security. Nó có quan hệ tới
một số bộ giao thức (AH, ESP, FIP-140-1, và
một số chuẩn khác) được phát triển bởi
Internet Engineering Task Force (IETF).
Mục đích chính của việc phát triển IPSec là
cung cấp một cơ cấu bảo mật ở tầng 3
(Network layer) của mô hình OSI
9/5/2012 114
9/5/2012 115
Mọi giao tiếp trong một mạng trên cơ sở IP
đều dựa trên các giao thức IP. Do đó, khi một
cơ chế bảo mật được tích hợp với giao thức
IP, toàn bộ mạng được bảo mật bởi vì các
giao tiếp đều đi qua tầng 3. (Đó là lý do tại
sao IPSec được phát triển ở giao thức tầng 3
thay vì tầng 2).
9/5/2012 116
Ngoài ra,với IPSec tất cả các ứng dụng đang
chạy ở tầng ứng dụng của mô hình OSI đều độc
lập trên tầng 3 khi định tuyến dữ liệu từ nguồn
đến đích.
IPSec được tích hợp chặt chẽ với IP, nên những
ứng dụng có thể dùng các dịch vụ kế thừa tính
năng bảo mật mà không cần phải có sự thay đổi
lớn lao nào.
Cũng giống IP, IPSec trong suốt với người dùng
cuối.
9/5/2012 117
Security Associations (SAs) là một khái niệm
cơ bản của bộ giao thức IPSec.
SA là một kết nối logic theo môt hướng giữa
hai thực thể sử dụng các dịch vụ IPSec.
9/5/2012 118
9/5/2012 119
SPI (Security Parameter Index). Đây là một
trường 32 bit dùng nhận dạng giao thức bảo
mật, được định nghĩa bởi trường Security
protocol, trong bộ IPSec đang dùng.
SPI được mang theo như là một phần đầu
của giao thức bảo mật và thường được chọn
bởi hệ thống đích trong suốt quá trình thỏa
thuận của SA.
9/5/2012 120
Destination IP address. Đây là địa chỉ IP
của nút đích. Mặc dù nó có thể là địa chỉ
broadcast, unicast, hay multicast, nhưng
cơ chế quản lý hiện tại của SA chỉ được
định nghĩa cho hệ thống unicast.
Security protocol. Phần này mô tả giao
thức bảo mật IPSec, có thể là AH hoặc
ESP.
9/5/2012 121
Bởi vì bản chất theo một chiều duy nhất của SA,
cho nên 2 SA phải được định nghĩa cho hai bên
thông tin đầu cuối, một cho mỗi hướng.
Ngoài ra, SA có thể cung cấp các dịch vụ bảo mật
cho một phiên VPN được bảo vệ bởi AH hoặc
ESP. Do vậy, nếu một phiên cần bảo vệ kép bởi
cả hai AH và ESP, 2 SA phải được định nghĩa cho
mỗi hướng. Việc thiết lập này của SA được gọi là
SA bundle.
9/5/2012 122
Security Association Database (SAD) nắm giữ
thông tin liên quan đến mỗi SA. Thông tin
này bao gồm thuật toán khóa, thời gian sống
của SA, và chuỗi số tuần tự.
9/5/2012 123
Cơ sở dữ liệu thức hai của IPSec SA,
Security Policy Database (SPD), nắm giữ
thông tin về các dịch vụ bảo mật kèm
theo với một danh sách thứ tự chính sách
các điểm vào và ra.
Giống như firewall rules và packet filters,
những điểm truy cập này định nghĩa lưu
lượng nào được xữ lý và lưu lượng nào bị
từ chối theo từng chuẩn của IPSec.
9/5/2012 124
Tính xác nhận và Tính nguyên vẹn dữ liệu
(Authentication and data integrity). IPSec cung
cấp một cơ chế mạnh mẽ để xác nhận tính chất
xác thực của người gửi và kiểm chứng bất kỳ sự
sữa đổi không được bảo vệ trước đó của nội
dung gói dữ liệu bởi người nhận.
Các giao thức IPSec đưa ra khả năng bảo vệ
mạnh để chống lại các dạng tấn công giả mạo,
đánh hơi và từ chối dịch vụ.
9/5/2012 125
Sự bảo mật (Confidentiality). Các giao
thức IPSec mã hóa dữ liệu bằng cách sử
dụng kỹ thuật mã hóa cao cấp, giúp ngăn
cản người chưa chứng thực truy cập dữ
liệu trên đường đi của nó.
IPSec cũng dùng cơ chế tạo hầm để ẩn địa
chỉ IP của nút nguồn (người gửi) và nút
đích (người nhận) từ những kẻ nghe lén.
9/5/2012 126
Quản lý khóa (Key management). IPSec
dùng một giao thức thứ ba, Internet Key
Exchange (IKE), để thỏa thuận các giao
thức bao mật và các thuật toán mã hóa
trước và trong suốt phiên giao dịch.
Một phần quan trọng nữa, IPSec phân
phối và kiểm tra các khóa mã và cập nhật
những khóa đó khi được yêu cầu.
9/5/2012 127
Hai tính năng đầu tiên của bộ IPSec,
authentication and data integrity, và
confidentiality, được cung cấp bởi hai
giao thức chính của trong bộ giao thức
IPSec.
Những giao thức này bao gồm
Authentication Header (AH) và
Encapsulating Security Payload (ESP).
9/5/2012 128
Tính năng thứ ba, key management,
nằm trong bộ giao thức khác, được
bộ IPSec chấp nhận bởi nó là một
dịch vụ quản lý khóa mạnh. Giao
thức này là IKE.
9/5/2012 129
SAs trong IPSec hiện tại được triển khai
bằng 2 chế độ.
Được mô tả ở hình sau, đó là chế độ
Transport và chế độ Tunnel. Cả AH và ESP
có thể làm việc với một trong hai chế độ
này.
9/5/2012 130
9/5/2012 131
Transport mode bảo vệ giao thức tầng trên
và các ứng dụng.
Trong Transport mode, phần IPSec header
được chèn vào giữa phần IP header và phần
header của giao thức tầng trên, như hình mô
tả bên dưới.
9/5/2012 132
9/5/2012 133
9/5/2012 134
9/5/2012 135
Không giống Transport mode, Tunnel mode
bảo vệ toàn bộ gói dữ liệu. Toàn bộ gói
dữ liệu IP được đóng gói trong một gói dữ
liệu IP khác và một IPSec header được
chèn vào giữa phần đầu nguyên bản và
phần đầu mới của IP.
9/5/2012 136
9/5/2012 137
9/5/2012 138
9/5/2012 139
Về cơ bản được biết như ISAKMP/Oakley, ISAKMP là
chữ viết tắc của Internet Security Association and
Key Management Protocol, IKE giúp các bên giao tiếp
hòa hợp các tham số bảo mật và khóa xác nhận
trước khi một phiên bảo mật IPSec được triển khai.
Ngoài việc hòa hợp và thiết lập các tham số bảo mật
và khóa mã hóa, IKE cũng sữa đổi những tham số khi
cần thiết trong suốt phiên làm việc. IKE cũng đảm
nhiệm việc xoá bỏ những SAs và các khóa sau khi
một phiên giao dịch hoàn thành.
9/5/2012 140
IKE không phải là một công nghệ độc lập,
do đó nó có thể dùng với bất kỳ cơ chế
bảo mật nào.
Cơ chế IKE, mặc dù không nhanh, nhưng
hiệu quả cao bởi vì một lượng lớn những
liên kêt bảo mật thỏa thuận với nhau với
một vài thông điệp khá ít.
9/5/2012 141
Giai đoạn I và II là hai giai đoạn tạo nên
phiên làm việc dựa trên IKE.
Trong một phiên làm việc IKE, nó giả sử đã
có một kênh bảo mật được thiết lập sẵn.
Kênh bảo mật này phải được thiết lập trước
khi có bất kỳ thỏa thuận nào xảy ra.
9/5/2012 142
9/5/2012 143
Giai đoạn I của IKE đầu tiên xác nhận các
điểm thông tin, và sau đó thiết lập một
kênh bảo mật cho sự thiết lâp SA.
Tiếp đó, các bên thông tin thỏa thuận
một ISAKMP SA đồng ý lẫn nhau, bao gồm
các thuật toán mã hóa, hàm băm, và các
phương pháp xác nhận bảo vệ mã khóa.
9/5/2012 144
Giá trị Diffie-Hellman
SPI của ISAKMP SA ở dạng cookies
Số ngâ u nhiên known as nonces
(used for signing purposes)
9/5/2012 145
Trong khi giai đoạn I thỏa thuận thiết lập SA
cho ISAKMP, giai đoạn II giải quyết bằng việc
thiết lập SAs cho IPSec.
Trong giai đoạn này, SAs dùng nhiều dịch vụ
khác nhau thỏa thuận. Cơ chế xác nhận, hàm
băm, và thuật toán mã hóa bảo vệ gói dữ
liệu IPSec tiếp theo (sử dụng AH và ESP) dưới
hình thức một phần của giai đoạn SA.
9/5/2012 146
Nhiều doanh nghiệp đang dân thực
hiê n việc thay thế dịch vụ VPN lớp 2
truyền thống như ATM hay Frame Relay
(FR) bằng các dịch vụ dựa trên MPLS.
Liệu MPLS có thể cung cấp bảo mật
tương đương với VPN lớp 2 truyền
thống như ATM và Frame Relay?
9/5/2012 147
MPLS cho phép các VPN khác nhau sử dụng một dải địa chỉ
như nhau và được sử dụng như dải địa chỉ riêng
[RFC1918].
Điều này đạt được nhờ việc đưa thêm Tham số phân biệt
định tuyến (route distinguisher - RD) 64 bit vào mỗi địa chỉ
IPv4, làm cho các địa chỉ VPN duy nhất cũng trở thành duy
nhất trong lõi MPLS. Địa chỉ mở rộng này cũng được gọi là
“địa chỉ VPN - IPv4” (hình 1). Do vậy, các khách hàng của
một dịch vụ MPLS không cần thay đổi địa chỉ hiện thời của
họ trong mạng.
9/5/2012 148
Vì lý do bảo mật, các công ty cung cấp dịch vụ và
khách hàng thường không muốn cấu trúc mạng của
họ bị lộ ra ngoài. Điều này làm cho việc tấn công bị
khó khăn hơn. Nếu một kẻ tấn công không biết về
mục tiêu, anh ta chỉ có thể suy đoán địa chỉ IP hoặc
cố tìm ra địa chỉ IP bằng cách thử.
Do phần lớn các cuộc tấn công từ chối dịch vụ DoS
(Denial - of - Service) không cung cấp phản hồi cho
các kẻ tấn công nên việc tấn công một mạng sẽ là
khó khăn.
9/5/2012 149
9/5/2012 150
