tài liệu về vpn ipsec - trển khai vpn có ipsec trên windows server

Triển Khai Hệ Thống VPN có IPSEC GVHD: Trần Nữ Vĩ Thức

SVTH: Đặng Thị Cẩm Lời – Trần Văn Diệp Trang 1

Chương 1: Tổng Quan Về VPN

1 Tổng Quan.

Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi thông tin,

dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên bức thiết vì vậy

Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối Internet thông qua nhà cung

cấp dịch vụ (ISP – Internet service Provide), sử dụng một giao thức chung là TCP/IP.

Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của mạng viễn

thông công cộng. Với Internet, những dịch vụ như mua bán trực tuyến, giáo dục từ xa

hay tư vấn trực tuyến… đã trở nên dễ dàng. Tuy nhiên Internet có phạm vi toàn cầu

và không tổ chức hay chính phủ nào có thể quản lý , cho nên việc đảm bảo an toàn và

bảo mật dữ liệu hay quản lý các dịch vụ là một vấn đề lớn cần phải giải quyết. Từ đó

các nhà khoa học đã nghiên cứu và đưa ra một mô hình mạng mới, nhằm đáp ứng

được nhu cầu trên mà vẫn tận dụng cơ sở hạ tầng đang có của Internet, đó là mô hình

mạng riêng ảo (VPN – Virtual Private Network ). Với mô hình này, chúng ta không

phải đầu tư thêm quá nhiều trang thiết bị , cơ sở hạ tầng mà vẫn đảm bảo các tính

năng như bảo mật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của mạng này.

VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các văn phòng

chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng

được cung cấp bởi mạng công cộng. Nó đảm bảo an toàn thông tin giữa các tổ chức,

công ty hoặc chi nhánh, văn phòng, người cung cấp hay các đối tác kinh doanh trong

môi trường truyền thông rộng lớn.

Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng công

cộng như Internet, mà vẫn đảm báo tính bảo mật và tiết kiệm chi phí.

1.1 Lịch sử phát triển của VPN

Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo (VPN), bắt nguồn

từ yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả

với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN).



Trước kia, hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) trước kia sử dụng

các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc thông tin

với nhau.

Các mốc đánh dấu sự phát triển của VPN:

- Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây

chuyên dùng cho các khách hàng lớn. Colisee có thể cung cấp phương thức gọi

số chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng dịch vụ mà đưa

ra cước phí và nhiều tính năng quản lý khác.

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là

mạng được định nghĩa bằng phần mềm SDN.

- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.

- Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xí

nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần 30%

chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.

- Năm 1990, MCI và Sprint đưa ra dịch vụ VPN quốc tế VPN; Telstra của Ô-

xtrây-li-a đưa ra dich vụ VPN rong nước đầu tiên ở khu vục châu Á – Thái

Bình Dương.

- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác

đầu tư Unisource, cung cấp dịch vụ VPN.

- Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên minh

toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó có dịch vụ

VPN.

- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp

dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…



- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu

(GVPNS).

- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp

(French Telecom) kết thành liên minh Global One.

- Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Công nghệ

này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội thảo…Các

mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công cộng đã mang lại

một khả năng mới, một cái nhìn mới cho VPN. Công nghệ VPN là giải pháp

thông tin tối ưu cho các công ty, tổ chức có nhiều văn phòng, chi nhánh lựa

chọn. Ngày nay, với sự phát triển của công nghệ, cơ sở hạ tầng mạng IP

(Internet) ngày một hoàn thiện đã làm cho khả năng của VPN ngày một hoàn

thiện.

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ

liệu, hình ảnh và các dịch vụ đa phương tiện.

1.2 Định nghĩa VPN

VPN được hiểu đơn giản là sự mở rộng của một mạng riêng (Private Network)

thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng

một mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ)

hay nhiều người sử dụng từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như

đường leased-line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet từ

mạng riêng của các công ty tới các site các nhân viên từ xa. Để có thể gửi và nhận dữ

liệu thông qua mạng công cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung

cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa

nơi nhận và nơi gửi gọi là Tunnel , Tunnel giống như một kết nối point-to-point trên

mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa

theo cơ chế giấu đi, chỉ cung cấp phần đầu gói tin (header) là thông tin về đường đi



cho phép nó có thể đi tới đích thông qua mạng công cộng một cách nhanh chống. dữ

liệu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt trên đường truyền

công cộng cũng không thể đọc nội dung vì không có khóa đề giải mã, liên kết với dữ

liệu mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết nối VPN thường

được gọi là đường ống VPN (Tunnel).

Hình 1: Mô Hình Kết Nối VPN.

1.3 Các thành phần tạo nên VPN.

Để triển khai một hệ thống VPN bạn cần có một số thành phần cơ bản sau,

nhưng việc tạo ra hệ thống VPN thì mỗi người sẽ có một sự lựa chọn thành phần khác

nhau để phù hợp với công ty hay mục đích của mỗi người.

1.3.1 VPN client

Một khách hàng VPN có thể là một máy tính hoặc nó có thể là một bộ định

tuyến. Loại VPN khách hàng sử dụng cho mạng của công ty thực sự phụ thuộc

vào nhu cầu cá nhân của công ty đó.



Mặt khác, nếu công ty có một vài nhân viên những người đi du lịch thường

xuyên và cần phải truy cập vào mạng của công ty trên đường đi, bạn có thể sẽ

được hưởng lợi từ việc thiết lập máy tính xách tay của nhân viên như VPN khách

hàng.

Về mặt kỹ thuật, bất kỳ hệ điều hành có thể hoạt động như một VPN khách

hàng miễn là nó hỗ trợ PPTP, L2TP, hoặc giao thức IPSec. Trong các hệ điều hành

của Microsoft, bạn có thể sử dụng 2000, và XP thậm chí là Window 7. Mặc dù tất

cả các hệ điều hành này về mặt kỹ thuật sẽ làm việc như khách hàng, nhưng tốt

nhất vẫn là Windows XP bởi vì nó khả năng hỗ trợ L2TP và IPSec và thông dụng.

1.3.2 VPN Server

Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàng

VPN. Về mặt kỹ thuật, chúng ta có thể sử dụng Windows NT Server 4.0,

Windows 2000 Server, hoặc Windows Server 2003 hay Window Server 2008 như

là một máy chủ VPN.

VPN Server khá đơn giản. Nó là một máy chủ cứng Windows Server 2008

chạy Routing và Remote Access (RRAS). Khi một kết nối VPN đã được chứng

thực, các máy chủ VPN chỉ đơn giản là hoạt động như một bộ định tuyến cung cấp

cho khách hàng VPN có thể truy cập đến một mạng riêng.

1.3.3 IAS Server

Một trong những yêu cầu bổ sung cho một máy chủ VPN là cần có một

máy chủ RADIUS(Remote Authentication Dial In User Service). RADIUS là

một server sử dụng dịch vụ quay số xác thực từ xa. RADIUS là cơ chế mà các nhà

cung cấp dịch vụ Internet thường sử dụng để xác thực các thuê bao để thiết lập kết

nối Internet.



Microsoft cũng có phiên bản riêng của RADIUS được gọi là Dịch vụ xác

thực Internet hoặc IAS( International Accounting Standards ) . Các dịch vụ IAS có

cả trên Windows Server 2008.

1.3.4 Firewall

Các thành phần khác theo yêu cầu của VPN là một tường lửa tốt. Máy chủ

VPN của chấp nhận kết nối từ thế giới bên ngoài, nhưng điều đó không có nghĩa là

thế giới bên ngoài cần phải có quyền truy cập đầy đủ đến máy chủ VPN. Chúng ta

phải sử dụng một tường lửa để chặn bất kỳ cổng không sử dụng.

Yêu cầu cơ bản cho việc thiết lập kết nối VPN là địa chỉ IP của máy chủ VPN có

thông qua tường lửa của bạn để tiếp cận với máy chủ VPN.

Nếu bạn nghiêm túc về an ninh (và nếu có ngân sách),chúng ta có thể đặt

một máy chủ ISA giữa chu vi tường lửa và máy chủ VPN. Ý tưởng là có thể cấu

hình tường lửa để chỉ đạo tất cả lưu lượng truy cập VPN có liên quan đến ISA

Server chứ không phải là máy chủ VPN. ISA Server sau đó hoạt động như một

proxy VPN. Cả hai khách hàng VPN và VPN Server chỉ giao tiếp với máy chủ

ISA. Họ không bao giờ giao tiếp trực tiếp với nhau. Điều này có nghĩa rằng ISA

Server được che chắn các máy chủ VPN từ khách hàng truy cập trực tiếp, vì thế

cho máy chủ VPN thêm một lớp bảo vệ.

1.3.5 Chọn một Giao thức Tunneling

Khi VPN khách hàng truy cập vào một máy chủ VPN, họ làm như vậy qua

một đường hầm ảo. Một đường hầm là không có gì hơn một lối đi an toàn qua môi

trường không an toàn (thường là Internet). Tuy nhiên, đường hầm thì không tự

nhiên mà có. Nó đòi hỏi việc sử dụng một giao thức đường hầm. Có một số giao

thức để lựa chọn để tạo đường hầm như : IPSec, L2TP , PPTP, GRE. Nhưng lựa



chọn giao thức đường hầm đúng cho công ty, hay nhu cầu của mỗi người là một

quyết định quan trọng khi lập kế hoạch thiết kế VPN.

Lợi thế lớn nhất mà L2TP hơn PPTP là nó dựa trên IPSec. IPSec mã hóa dữ

liệu, cung cấp xác thực dữ liệu , dữ liệu của người gửi sẽ được mã hóa và đảm bảo

không bị thay đổi nội dung trong khi truyền. Hơn nữa, IPSec được thiết kế để ngăn

chặn các cuộc tấn công replay.

Mặc dù L2TP có vẻ là có lợi thế hơn so với PPTP, nhưng PPTP cũng có lợi

thế riêng đó là khả năng tương thích. PPTP hoạt động tốt với các hệ điều hành

Windows hơn L2TP.

1.3.6 Authentication Protocol

Trong quá trình thiết lập một VPN, chúng ta phải chọn một giao thức xác

thực. Hầu hết mọi người chọn MS-CHAP v2. MS-CHAP tương đối an toàn, và nó

làm việc với khách hàng VPN sử dụng hệ điều hành Windows. Lựa chọn tốt nhất

là MS-CHAP.

1.4 Lợi ích và Hạn chế của việc sử dụng VPN.

1.4.1 Lợi ích.

Việc sử dụng mạng riêng ảo là một nhu cầu và là xu thế của công nghệ truyền

thông bởi vì nó có một số ưu điểm như:

Giảm thiểu chi phí triển khai và duy trì hệ thống:

- Với VPN việc triển khai hệ thống đáp ứng đầy đủ nhu cầu truyền tải hay tính

bảo mật an toàn dữ liệu nhưng chi phí thì khá rẻ vì VPN giảm thiểu tối đa phí

thuê đường truyền dài thay vào đó là sự tận dụng lại hệ thống mạng Internet

có sẵn.



- Phí duy trì hệ thống cũng là một vấn đề đáng quan tâm , Với VPN phí duy trì

rất rẻ , hơn thế nữa bằng việc thuê hạ tầng có sẵn của các công ty dịch vụ

Internet thì chi phí duy trì sẽ không còn đáng lo ngại.

Cải thiện kết nối.

- Vượt qua bộ lọc chặn truy cập Web: VPN là một lựa chọn tốt để có thể vượt

qua được bộ lọc Internet, đây là lý do tại sao VPN được sử dụng nhiều tại

một số nước có sự kiểm duyệt Internet khắt khe.

- Việc thay đổi địa chỉ IP: Nếu muốn thay đổi IP khác thì VPN có thể giúp

chúng làm điều này việc này giúp ta có thể che dấu được địa chỉ của mình

tránh được sự xâm hại hay ý đồ xấu của những hacker (kẻ tấn công, tin tặc)

bên ngoài mạng.

An toàn trong giao dịch.

- Việc trao đổi thông tin trong công việc là nhiều và liên tục, nhưng vấn đề bảo

mật thông tin thì cực kì quan trọng, với VPN chúng ta sẽ không phải lo lắng

quá nhiều về việc đó , VPN sử dụng cơ chế giấu đi, các dữ liệu sẽ được mã

hóa và thông tin dữ liệu được bảo bọc bởi gói tin Header (phần đầu gói tin

ghi địa chỉ đầu - cuối của gói tin) và truyền đi nhanh chóng dựa vào Internet.

- VPN đáp ứng tốt việc chia sẽ gói tin và dữ liệu trong một thời gian dài.

Khả năng điều khiển từ xa.

- Thời đại hiện nay, Mọi người làm việc muốn tiết kiệm thời gian và giảm chi

phí, vì vậy việc một người làm việc tại nhà mà vẫn có thể giải quyết tốt

những công việc của họ thì thật là tuyệt vời. Với VPN người dùng có thể truy

cập vào hệ thống mạng từ bất kì đâu ở nhà thậm chí là một quán coffe chỉ cần

nơi đó có Internet (ở đây hệ thống VPN sử dụng Internet), vì vậy nó rất có lợi

đối cho việc thực hiện công việc từ xa.

Khả năng mở rộng hệ thống tốt.

- Chi phí để xây dựng một hệ thống mạng lưới chuyên dụng (sử dụng cáp

mạng) cho một công ty lúc đầu có thể là hợp lý, tuy nhiên công ty ngày càng



phát triển nhu cầu mở rộng hệ thống mạng là cần thiết vì vậy VPN là một lựa

chọn hợp lý bởi vì VPN không phụ thuộc quá nhiều vào vấn đề “hệ thống”,

nói một cách đơn giản là khi muốn mở rộng thì chỉ cần tạo thêm đường ống

(tunnel) kết nối dưa trên hạ tầng Internet có sẵn.

1.4.2 Hạn chế.

Mặc dù phổ biến nhưng mạng riêng ảo (VPN) không hẳn là hoàn hảo và hạn

chế thì luôn luôn tồn tại trọng bất kì hệ thống mạng nào. Một số hạn chế cần lưu ý

khi triển khai hệ thống VPN:

VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu hình và cài

đặt phải cẩn thận, chính xác đảm bảo tính an toàn trên hệ thống mạng Internet

công cộng.

Độ tin cậy và hiệu xuất của một VPN dựa trên Internet không phải là dưới sự

kiểm soát trực tiếp của công ty , vì vậy giải pháp thay thế là hãy sử dụng một

nhà cung cấp dịch vụ (ISP) tốt và chất lượng.

Việc sử dụng các sản phầm VPN và các giải pháp của các nhà cung cấp khác

nhau không phải lúc nào cũng tương thích do các vấn đề về tiêu chuẩn công

nghệ VPN. Khi sử dụng pha trộn và kết hợp các thiết bị sẽ có thể gây ra những

vấn đề kỹ thuật hoặc nếu sử dụng không đúng cách sẽ lãng phí rất nhiều chi phí

triển khai hệ thống.

Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề bảo mật

cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn

phòng bằng máy tính xách tay, máy tính riêng, khi đó các nếu máy tính của họ

thực hiện hàng loạt các ứng dụng khác, ngoài việc kết nối tới văn phòng làm

việc thì hacker (kẻ tấn công, tin tặc) có thể lợi dụng yếu điểm từ máy tính cá

nhân của họ tấn công vào hệ thống của công ty. Vì vậy việc bảo mật cá nhân

luôn được các chuyên gia khuyến cáo phải đảm bảo an toàn.

1.5 Chức Năng của VPN.

Một số chức năng chính của VPN :



Độ tin cậy (Confidentiality): Người gửi có thể mã hóa các gói dữ liệu trước

khi truyền chúng ngang qua mạng. Bằng cách đó, không ai có thể truy nhập

thông tin mà không được cho phép, nếu lấy được thông tin thì cũng không đọc

được vì thông tin đã được mã hóa.

Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra dữ liệu

nhận được sau khi truyền qua Internet có bị thay đổi hay không.

Xác thực nguồn gốc (Origin Authentication): Khi nhận được dữ liệu điều mà

đầu tiên phải làm là xác thực ngồn gốc của dữ liệu, VPN cho phép người dùng

xác thực thông tin, nguồn gốc của dữ liệu.

1.6 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di

động vào mạng nội bộ của công ty.

Nối liền các chi nhánh, văn phòng di động.

Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung

cấp dịch vụ hoặc các đối tượng bên ngoài khác.

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

Mạng VPN truy nhập từ xa (Remote Access VPN)

Mạng VPN cục bộ (Intranet VPN)

Mạng VPN mở rộng (Extranet VPN)

1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN)

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời

điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập

vào mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình nhất. Bởi



vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi nào có

mạng Internet.

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông

qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn

duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị di

động, những người sử dụng di động, những chi nhánh và những bạn hàng của

công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng

bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp

và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử

dụng.

Hình 2 : Mô hình mạng VPN truy nhập từ xa

a) Các ưu điểm của mạng VPN truy nhập từ xa:

Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì

quá trình kết nối từ xa được các ISP thực hiện.



Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối

khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng

Internet.

Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ở

tốc độ cao hơn so với các truy nhập khoảng cách xa.

VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vì

chúng hỗ trợ mức thấp nhất của dịch vụ kết nối.

b) Nhược điểm của mạng VPN truy cập từ xa:

Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS.

Nguy cơ bị mất dữ liệu cao. Hơn nữa, nguy cơ các gói có thể bị phân phát

không đến nơi hoặc mất gói.

Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách

đáng kể.

1.6.2 Mạng VPN cục bộ ( Intranet VPN)

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm

khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi

nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo

mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ

liệu được phép trong toàn bộ mạng của công ty.

Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả

năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi



phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình

như là một VPN Site- to- Site.

v¨n phßng ë xa

Router

InternetInternetPOPPOP

Remote siteCentral site

or

PIX Firewall

Văn phòng

trung tâm

Hình 3: Mô hình mạng VPN cục bộ

a) Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao

gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng

thông qua một hay nhiều nhà cung cấp dịch vụ).

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa.

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó

có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới.

- Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụng đường

ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao.

Ví dụ như công nghệ Frame Relay, ATM.

b) Nhược điểm chính của mạng cục bộ dựa trên giải pháp VPN :

- Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho

nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độ chất

lượng dịch vụ (QoS).



- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.

- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu

cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trong

môi trường Internet.

1.6.3 Mạng VPN mở rộng (Extranet)

Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng

VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở

rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng

cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng,

và các nhà cung cấp… .

Intranet

DSL

cable

Extranet

Business-to-business

Router

InternetInternetPOPPOP

Remote siteCentral site

or

PIX Firewall

Văn phòng

ở xa

Văn phòng

trung tâm

DSL

Hình 4: Mô hình mạng VPN mở rộng

Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các

nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng

các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site. Sự

khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được

công nhận ở một trong hai đầu cuối của VPN.



a) Những ưu điểm chính của mạng VPN mở rộng:

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống.

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động.

- Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên có nhiều cơ

hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phù hợp với các nhu cầu

của mỗi công ty hơn.

- Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm

được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậy giảm được chi phí vận

hành của toàn mạng.

a) Nhược điểm của mạng VPN mở rộng :

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng

vẫn tồn tại.

- Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêu cầu truyền

dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường

Internet.

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.

2 Các giao thức sử dụng trong VPN.

2.1 Bộ giao thức IPSec.

Internet Protocol Security (IPSec) là một bộ giao thức bảo mật (Internet Protocol

-IP) thông tin liên lạc, bằng cách xác thực và mã hóa mỗi gói tin IP của một phiên

giao dịch, IPSec cũng bao gồm các giao thức cho việc thiết lập xác thực lẫn nhau giữa

các đại lý trong các phiên giao dịch và đàm phán bằng cách sử dụng các key mã hóa.

IPSec là một chương trình điều hành bảo mật end-to-end trong các Layer

Internet (lớp kết nối internet) của Internet Protocol Suite (IPS - giao thức chuẩn trong

internet). Nó được sử dụng để việc bảo vệ luồng dữ liệu giữa một cặp máy (host-to-



host), giữa hai mạng (network-to-network), hay giữa một mạng với một máy chủ

(network-to-host).

Nguồn gốc IPSec ban đầu được phát triển tại phòng thí nghiệm Nghiên cứu hải

quân và là một phần của dự án nghiên cứu của DARPA (Defense Advanced Research

Projects Agency - cơ quan nghiên công nghệ tiên tiến của bộ quốc phòng Mỹ ). Trong

đó ESP đã được bắt nguồn trực tiếp thứ giao thức SP3D, chứ không phải được bắt

nguồn từ lớp ISO Security Network Protocol (NLSP), các đặc trưng kĩ thuật của giao

thức SP3D được đưa ra bởi NIST(National Institute of Standards and Technology –

Viện tiêu chuẩn và công nghệ), nhưng SP3D được thiết kế để bảo mật hệ thống mạng

bởi cơ quan an ninh Quốc gia (NSP), IPSec AH bắt nguồn từ các tiêu chuẩn

IETF(Internet Engineering Task Force).

2.1.1 Kiến Trúc.

Bộ giao thức IPSec là một tiêu chuẩn mở, IPSec sử dụng các giao thức để thực

hiện các chức năng khác nhau, IPSec gồm các thành phần sau:

Authentication Header(AH): cung cấp kết nối an toàn và xác thực nguồn gốc

dữ liệu cho gói tin IP, đưa ra chính sách bảo vệ chống lại các cuộc tấn công.

Encapsulating Security (ESP): Cung cấp bảo mật, xác thực nguồn gốc dữ liệu,

kết nối toàn vẹn, kiểm soát các luồng dữ liệu một cách an toàn.

Security Associations (SA):Cung cấp những thuật toán và thông số cần thiết để

AH và ESP hoạt động. Đưa ra một cách thức trao đổi khóa ( ISAKMP-

Internet Security Association and Key Management Protocol) tính toán và

cung cấp khóa chia sẻ (Pre-shared keys) như : IKE(Internet Key Exchange),

IKEv2, KINK (Kerberized Internet Negotiation of Keys), hoặc IPSECKEY.



Hình 5: Sơ đồ các thành phần của IPSec và luồng dịch chuyển.

2.2 Giao thức PPTP và L2TP và SSTP .

2.2.1 Giao thức PPTP (Point-to-Point Tunneling Protocol).

PPTP là một phương thức của mạng riêng ảo, được phát triển bởi Microsoft kết

hợp với một số công ty khác, nó sử dụng một kênh điều khiển qua giao thức TCP và

đường hầm GRE để đóng gói các gói dữ liệu PPP (Point-to-Point). PPTP là một

phần của các tiêu chuẩn Internet Point-to-Point (PPP), PPTP sử dụng các loại xác

thực như PPP (PAP, SPAP, CHAP, MS-CHAP, và EAP).

PPTP thiết lập đường hầm nhưng không cung cấp mã hóa, nó mã hóa bằng

cách sử dụng giao thức Microsoft Point-to-Point Encrytion (MPPE) để tạo ra một

VPN an toàn. PPTP có chi phí tương đối thấp, điều này giải thích tại sao PPTP

thường được sử dụng nhiều bởi các khách hàng của Microsoft.

a) Nguyên tắc hoạt động của PPTP.

PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay.

Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương

thức đóng gói, tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này



sang máy khác.

PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP

để truyền qua mạng IP. PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thúc

đường hầm và dùng một gói định tuyến chung GRE để đóng gói các khung PPP.

Phần tải của khung PPP có thể được mã hoá và nén lại.

PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thúc kết nối

vật lý, xác định người dùng, và tạo các gói dữ liệu PPP.

PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng.

PPTP khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng

NAS để thiết lập kết nối IP. Khi kết nối được thực hiện có nghĩa là người dùng đã

được xác nhận. Đó là giai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn được

cung cấp bởi ISP. Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử

dụng các cơ chế xác thực của kết nối PPP.

Một số cơ chế xác thực được sử dụng là:

Giao thức xác thực mở rộng EAP.

Giao thức xác thực có thử thách bắt tay CHAP.

Giao thức xác định mật khẩu PAP.

Giao thức PAP hoạt động trên nguyên tắc mật khẩu được gửi qua kết nối

dưới dạng văn bản đơn giản và không có bảo mật. CHAP là giao thức các thức

mạnh hơn, sử dụng phương pháp bắt tay ba chiều để hoạt động, và chống lại các

tấn công quay lại bằng cách sử dụng các giá trị bí mật duy nhất và không thể đoán

và giải được. PPTP cũng được các nhà phát triển công nghệ đưa vào việc mật mã

và nén phần tải tin của PPP. Để mật mã phần tải tin PPP có thể sử dụng phương

thức mã hoá điểm tới điểm MPPE.

MPPE chỉ cung cấp mật mã trong lúc truyền dữ liệu trên đường truyền không

cung cấp mật mã tại các thiết bị đầu cuối tới đầu cuối. Nếu cần sử dụng mật mã

đầu cuối đến đầu cuối thì có thể dùng giao thức IPSec để bảo mật lưu lượng IP

giữa các đầu cuối sau khi đường hầm PPTP được thiết lập.



Khi PPP được thiết lập kết nối, PPTP sử dụng quy luật đóng gói của PPP để

đóng gói các gói truyền trong đường hầm. Để có thể dựa trên những ưu điểm của

kết nối tạo bởi PPP, PPTP định nghĩa hai loại gói là điểu khiển và dữ liệu, sau đó

gán chúng vào hai kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP tách các

kênh điều khiển và kênh dữ liệu thành những luồng điều khiển với giao thức điều

khiển truyền dữ liệu TCP và luồng dữ liệu với giao thức IP. Kết nối TCP tạo ra

giữa các máy khách và máy chủ được sử dụng để truyền thông báo điều khiển.

Các gói dữ liệu là dữ liệu thông thường của người dùng. Các gói điều khiển

được đưa vào theo một chu kì để lấy thông tin và trạng thái kết nối và quản lý báo

hiệu giữa ứng máy khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được

dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường

hầm.

Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa các

máy khách và máy chủ PPTP. Máy chủ PPTP là một Server có sử dụng giao thức

PPTP với một giao diện được nối với Internet và một giao diện khác nối với

Intranet, còn phần mềm client có thể nằm ở máy người dùng từ xa hoặc tại các

máy chủ ISP.

b) Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP.

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy khách PPTP và

địa chỉ máy chủ. Kết nối điều khiển PPTP mang theo các gói tin điều khiển và

quản lý được sử dụng để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP

yêu cầu phản hồi và PPTP đáp lại phải hồi định kì để phát hiện các lỗi kết nối giữa

các máy trạm và máy chủ PPTP. Các gói tin của kết nối điều khiển PPTP bao gồm

tiêu đề IP, tiêu đề TCP và bản tin điều khiển PPTP và tiêu đề, phần cuối của lớp

liên kết dữ liệu.

c) Nguyên lý đóng gói dữ liệu đường hầm PPTP.

Đóng gói khung PPP và gói định tuyến chung GRE.Phần tải của khung PPP

ban đầu được mã hoá và đóng gói với tiêu đề PPP để tạo ra khung PPP. Khung



PPP sau đó được đóng gói với phần tiêu đề của phiên bản giao thức GRE sửa đổi.

GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu để định tuyến

qua mạng IP. Đối với PPTP, phần tiêu đề của GRE được sửa đổi một số điểm đó

là. Một trường xác nhận dài 32 bits được thêm vào. Một bits xác nhận được sử

dụng để chỉ định sự có mặt của trường xác nhận 32 bits. trường Key được thay thế

bằng trường độ dài Payload 16 bits và trường chỉ số cuộc gọi 16 bits. Trường chỉ

số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm.

Đóng gói IP

Trong khi truyền tải phần tải PPP và các tiêu đề GRE sau đó được đóng gói với

một tiêu đề IP chứa các thông tin địa chỉ nguồn và đích thích hợp cho máy trạm và

máy chủ PPTP.

Đóng gói lớp liên kết dữ liệu

Để có thể truyền qua mạng LAN hay WAN thì gói tin IP cuối cùng sẽ đựơc đóng

gói với một tiêu đề và phần cuối của lớp liên kết dữ liệu ở giao diện vật lý đầu ra.

Như trong mạng LAN thì nếu gói tin IP đựơc gửi qua giao diện Ethernet, nó sẽ

được gói với phần tiêu đề và đuôi Ethernet. Nếu gói tin IP được gửi qua đường

truyền WAN điểm tới điểm nó sẽ được đóng gói với phần tiêu đề và đuôi của giao

thức PPP.

- Các gói tin IP, IPX, hoặc khung NetBEUI được đưa tới giao diện ảo đại

diện cho kết nối VPN bằng các giao thức tương ứng sử dụng đặc tả giao

diện thiết bị mạng NDIS.

- NDIS đưa gói tin dữ liệu tới NDISWAN, nơi thực hiện việc mã hoá và nén

dữ liệu, cũng như cung cấp tiêu đề PPP phần tiêu đề PPP này chỉ gồm

trường mã số giao thức PPP không có trường Flags và trường chuổi kiểm

tra khung (FCS). Giả định trường địa chỉ và điều khiển được thoả thuận ở

giao thức điều khiển đường truyền (LCP) trong quá trình kết nối PPP.



- NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với

phần tiêu đề GRE. Trong tiêu đề GRE, trường chỉ số cuộc gọi được đặt giá

trị thích hợp xác định đường hầm.

- Giao thức PPTP sau đó sẽ gửi gói tin vừa tạo ra tới TCP/IP.

- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần tiêu đề IP sau đó gửi

kết quả tới giao diện đại diện cho kết nối quay số tới ISP cục bộ NDIS.

- NDIS gửi gói tin tới NDISWAN, cung cấp các tiêu đề và đuôi PPP.

- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho

phần cứng quay số.

d) Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP.

Khi nhận được dữ liệu đường hầm PPTP, máy trạm và máy chủ PPTP, sẽ

thực hiện các bước sau.

- Xử lý và loại bỏ gói phần tiêu đề và đuôi của lớp liên kết dữ liệu hay gói

tin.

- Xử lý và loại bỏ tiêu đề IP.

- Xử lý và loại bỏ tiêu đề GRE và PPP.

- Giải mã hoặc nén phần tải tin PPP.

- Xử lý phần tải tin để nhận hoặc chuyển tiếp.

e) Tính năng và hạn chế của PPTP.

Tính năng :

- PPTP tạo ra nhiều kết nối giữa các khách hàng mà không yêu cầu dịch vụ

đặc biệt ISP.

- PPTP phù hợp trên nhiều hệ điều hành thông dụng. (Microsoft ,Nortel

Network, TeteSystems…).

- PPTP hỗ trợ các dịch vụ IP, mã hóa các gói tin RC4 (56 bit hoặc 128 bit),

sử dụng port 1723 và các giao thức GRE.



Một số hạn chế:

Khó khăn lớn nhất gắn kèm với PPTP là cơ chế yếu kém về bảo mật do nó

dùng mã hóa đồng bộ trong khóa được xuất phát từ việc nó sử dụng mã hóa đối

xứng là cách tạo ra khóa từ mật khẩu của người dùng. Điều này càng nguy hiểm hơn

vì mật khẩu thường gửi dưới dạng phơi bày hoàn toàn trong quá trình xác nhận.

Giao thức tạo đường hầm kế tiếp (L2F) được phát triển nhằm cải thiện bảo mật với

mục đích này.

2.2.2 Giao thức đĩnh đường hầm lớp 2 (Layer 2 Tunneling Protocol).

IETF đã kết hợp hai giao thức PPTP và L2F và phát triển thành L2TP. Nó kết

hợp những đặc điểm tốt nhất của PPTP và L2F. Vì vậy, L2TP cung cấp tính linh

động, có thể thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và

khả năng kết nối điểm điểm nhanh của PPTP.

Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:

L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và

PPP.

L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều

khiển và hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet

cũng không cần triển khai thêm các phần mềm chuyên biệt.

L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng

công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư).

Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng

máy chủ. Do đó, ISP không cần giữ dữ liệu xác nhận hoặc quyền truy cập của người

dùng từ xa. Hơn nữa, mạng riêng intranet có thể định nghĩa những chính sách truy



cập riêng cho chính bản thân. Điều này làm qui trình xử lý của việc thiết lập đường

hầm nhanh hơn so với giao thức tạo hầm trước đây.

Điểm chính của L2TP tunnels là L2TP thiếp lập đường hầm PPP không giống

như PPTP, không kết thúc ở gần vùng của ISP. Thay vào đó, những đường hầm mở

rộng đến cổng của mạng máy chủ (hoặc đích), những yêu cầu của đường hầm L2TP

có thể khởi tạo bởi người dùng từ xa hoặc bởi cổng của ISP.

Khi PPP frames được gửi thông qua L2TP đường hầm, chúng được đóng

gói như những thông điệp User Datagram Protocol (UDP). L2TP dùng những thông

điệp UDP này cho việc tạo hầm dữ liệu cũng như duy trì đường hầm. Ngoài ra,

đường hầm dữ liệu và đường hầm duy trì gói tin, không giống những giao thức tạo

hầm trước, cả hai có cùng cấu trúc gói dữ liệu.

a) Các thành phần của L2TP.

Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network

Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP

Network Server (LNS).

Network Access Server (NAS)

- L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu kết nối

Internet đến người dùng từ xa, là những người quay số (thông qua PSTN hoặc

ISDN) sử dụng kết nối PPP. NASs phản hồi lại xác nhận người dùng từ xa ở

nhà cung cấp ISP cuối và xác định nếu có yêu cầu kết nối ảo. Giống như PPTP

NASs, L2TP NASs được đặt tại ISP site và hành động như client trong qui

trình thiết lập L2TP tunnel. NASs có thể hồi đáp và hỗ trợ nhiều yêu cầu kết

nối đồng thời và có thể hỗ trợ một phạm vi rộng các client .

Bộ tập kết truy cập L2TP (LAC)

- Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một đường hầm

thông qua một mạng công cộng (như PSTN, ISDN, hoặc Internet) đến LNS ở



tại điểm cuối mạng chủ. LACs phục vụ như điểm kết thúc của môi trường vật

lý giữa client và LNS của mạng chủ.

L2TP Network Server (LNS)

- LNSs được đặt tại cuối mạng chủ. Do đó, chúng dùng để kết thúc kết nối

L2TP ở cuối mạng chủ theo cùng cách kết thúc đường hầm từ client của LACs.

Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC, nó thiết lập

đường hầm và xác nhận người dùng, là người khởi tạo yêu cầu kết nối. Nếu

LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo.

b ) Qui trình xử lý L2TP.

Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet

hoặc mạng chung khác, theo các bước tuần tự sau đây:

Bước 1: Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất của

nó, và bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối.

Bước2: NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối.

NAS dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho

mục đích này.

Bước3: Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS

của mạng đích.

Bước4: Kế tiếp, LAC thiết lập một đường hầm LAC-LNS thông qua mạng

trung gian giữa hai đầu cuối. Đường hầm trung gian có thể là ATM, Frame

Relay, hoặc IP/UDP.

Bước 5: Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một

Call ID (CID) đến kết nối và gửi một thông điệp thông báo đến LNS. Thông

báo xác định này chứa thông tin có thể được dùng để xác nhận người dùng.

Thông điệp cũng mang theo LCP options dùng để thoả thuận giữa người



dùng và LAC.

Bước 6: LNS dùng thông tin đã nhận được từ thông điệp thông báo để xác

nhận người dùng cuối. Nếu người dùng được xác nhận thành công và LNS

chấp nhận yêu cầu đường hầm, một giao diện PPP ảo (L2TP tunnel) được

thiết lập cùng với sự giúp đỡ của LCP options nhận được trong thông điệp

thông báo.

Bước 7: Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua

đường hầm.

L2TP, giống PPTP và L2F, hỗ trợ hai chế độ hoạt động L2TP, bao gồm:

Chế độ gọi đến. Trong chế độ này, yêu cầu kết nối được khởi tạo bởi người dùng

từ xa. Chế độ gọi đi. Trong chế độ này, yêu cầu kết nối được khởi tạo bởi LNS.

Do đó, LNS chỉ dẫn LAC lập một cuộc gọi đến người dùng từ xa. Sau khi LAC

thiết lập cuộc gọi, người dùng từ xa và LNS có thể trao đổi những gói dữ liệu đã

qua đường hầm.

c) Dữ liệu đường hầm L2TP.

Tương tự PPTP tunneled packets, L2TP đóng gói dữ liệu trải qua nhiều

tầng đóng gói. Sau đây là một số giai đoạn đóng gói của L2TP data

tunneling:

PPP đóng gói dữ liệu không giống phương thức đóng gói của PPTP, dữ liệu

không được mã hóa trước khi đóng gói. Chỉ PPP header được thêm vào dữ

liệu payload gốc.

L2TP đóng gói khung của PPP. Sau khi original payload được đóng gói bên

trong một PPP packet, một L2TP header được thêm vào nó.

UDP Encapsulation of L2TP frames. Kế tiếp, gói dữ liệu đóng gói L2TP

được đóng gói thêm nữa bên trong một UDP frame. Hay nói cách khác, một

UDP header được thêm vào L2TP frame đã đóng gói. Cổng nguồn và đích

bên trong UDP header được thiết lập đến 1710 theo chỉ định.



PSec Encapsulation of UDP datagrams. Sau khi L2TP frame trở thành UDP

đã được đóng gói, UDP frame này được mã hoá và một phần đầu IPSec

ESP được thêm vào nó. Một phần đuôi IPSec AH cũng được chèn vào gói

dữ liệu đã được mã hóa và đóng gói.

IP Encapsulation of IPSec-encapsulated datagrams. Kế tiếp, phần đầu IP

cuối cùng được thêm vào gói dữ liệu IPSec đã được đóng gói. Phần đầu IP

chứa đựng địa chỉ IP của L2TP server (LNS) và người dùng từ xa.

Đóng gói tầng Data Link. Phần đầu và phần cuối tầng Data Link cuối cùng

được thêm vào gói dữ liệu IP xuất phát từ quá trình đóng gói IP cuối cùng.

Phần đầu và phần cuối của tầng Data Link giúp gói dữ liệu đi đến nút đích.

Nếu nút đích là nội bộ, phần đầu và phần cuối tầng Data Link được dựa

trên công nghệ LAN (ví dụ, chúng có thể là mạng Ethernet). Ở một khía

cạnh khác, nếu gói dữ liệu là phương tiện cho một vị trí từ xa, phần đầu và

phần cuối PPP được thêm vào gói dữ liệu L2TP đã đóng gói.

Qui trình xử lý de-tunneling những gói dữ liệu L2TP đã tunnel thì ngược lại

với qui trình đường hầm. Khi một thành phần L2TP (LNS hoặc người dùng

cuối) nhận được L2TP tunneled packet, trước tiên nó xử lý gói dữ liệu bằng

cách gỡ bỏ Data Link layer header and trailer. Kế tiếp, gói dữ liệu được xử

lý sâu hơn và phần IP header được gỡ bỏ.

Gói dữ liệu sau đó được xác nhận bằng việc sử dụng thông tin mang theo

bên trong phần IPSec ESP header và AH trailer. Phần IPSec ESP header

cũng được dùng để giải mã và mã hóa thông tin. Kế tiếp, phần UDP header

được xử lý rồi loại ra. Phần Tunnel ID và phần Call ID trong phần L2TP

header dùng để nhận dạng phần L2TP tunnel và phiên làm việc.



Cuối cùng, phần PPP header được xử lý và được gỡ bỏ và phần PPP

payload được chuyển hướng đến protocol driver thích hợp cho qui trình xử

lý.

d) Chế độ đường hầm L2TP.

L2TP hỗ trợ 2 chế độ - chế độ đường hầm bắt buộc và chế độ đường hầm tự

nguyện. Những đường hầm này giữ một vai trò quan trọng trong bảo mật giao dịch

dữ liệu từ điểm cuối đến điểm khác.

Trong chế độ đường hầm bắt buộc, khung PPP từ PC ở xa được tạo đường

hầm trong suốt tới mạng LAN. Điều này có nghĩa là Client ở xa không điều khiển

đường hầm và nó sẽ xuất hiện như nó được kết nối chính xác tới mạng công ty

thông qua một kết nối PPP. Phần mềm L2TP sẽ thêm L2TP header vào mỗi khung

PPP cái mà được tạo đường hầm. Header này được sử dụng ở một điểm cuối khác

của đường hầm, nơi mà gói tin L2TP có nhiều thành phần.

Các bước thiết lập L2TP đường hầm bắt buộc được mô tả theo các bước sau:

Bước 1: Người dùng từ xa yêu cầu một kết nối PPP từ NAS được đặt tại ISP site.

Bước 2: NAS xác nhận người dùng. Qui trình xác nhận này cũng giúp NAS biết

được cách thức người dùng yêu cầu kết nối.

Bước 3: Nếu NAS tự do chấp nhận yêu cầu kết nối, một kết nối PPP được thiết lập

giữa ISP và người dùng từ xa.

Bước 4: LAC khởi tạo một L2TP tunnel đến một LNS ở mạng chủ cuối.

Bước 5: Nếu kết nối được chấp nhận bởi LNS, PPP frames trải qua quá trình

L2TP tunneling. Những L2TP-tunneled frames này sau đó được chuyển đến LNS

thông qua L2TP tunnel.

Bước 6: LNS chấp nhận những frame này và phục hồi lại PPP frame gốc.

Bước 7: Cuối cùng, LNS xác nhận người dùng và nhận các gói dữ liệu. Nếu người



dùng được xác nhận hợp lệ, một địa chỉ IP thích hợp được ánh xạ đến frame

Bước 8: Sau đó frame này được chuyển đến nút đích trong mạng intranet.

Chế độ đường hầm tự nguyện có Client ở xa khi gắn liên chức năng LAC

và nó có thể điều khiển đường hầm. Từ khi giao thức L2TP hoạt động theo một

cách y hệt như khi sử dụng đường hầm bắt buộc, LNS sẽ không thấy sự khác biệt

giữa hai chế độ.

Thuận lợi lớn nhất của đường hầm tự nguyện L2TP là cho phép người

dùng từ xa kết nối vào internet và thiết lập nhiều phiên làm việc VPN đồng thời.

Tuy nhiên, để ứng dụng hiệu quả này, người dùng từ xa phải được gán nhiều địa

chỉ IP. Một trong những địa chỉ IP được dùng cho kết nối PPP đến ISP và một

được dùng để hỗ trợ cho mỗi L2TP tunnel riêng biệt. Nhưng lợi ích này cũng là

một bất lợi cho người dùng từ xa và do đó, mạng chủ có thể bị tổn hại bởi các

cuộc tấn công.

Việc thiết lập một voluntary L2TP tunnel thì đơn giản hơn việc thiết lập một

đường hầm bắt buộc bởi vì người dùng từ xa đảm nhiệm việc thiết lập lại kết nối

PPP đến điểm ISP cuối.

Các bước thiết lập đường hầm tự nguyện L2TP gồm :

Bước 1: LAC (trong trường hợp này là người dùng từ xa) phát ra một yêu cầu cho

một đường hầm tự nguyện L2TP đến LNS.

Bước 2: Nếu yêu cầu đường hầm được LNS chấp nhận, LAC tạo hầm các PPP

frame cho mỗi sự chỉ rõ L2TP và chuyển hướng những frame này thông qua

đường hầm.

Bước 3: LNS chấp nhận những khung đường hầm, lưu chuyển thông tin tạo hầm,

và xử lý các khung.

Bước 4: Cuối cùng, LNS xác nhận người dùng và nếu người dùng được xác nhận



thành công, chuyển hướng các frame đến nút cuối trong mạng Intranet.

e) Những thuận lợi và bất lợi của L2TP.

Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây:

L2TP là một giải pháp chung. Hay nói cách khác nó là một nền tảng độc lập.

Nó cũng hỗ trợ nhiều công nghệ mạng khác nhau. Ngoài ra, nó còn hỗ trợ giao

dịch qua kết nối WAN non-IP mà không cần một IP.

L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa. Do đó,

không đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP.

L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay vì ISP

phải làm điều này.

L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữ liệu

xuống tùy ý nếu đường hầm quá tải. Điều này làm cho qua trình giao dịch bằng

L2TP nhanh hơn so với quá trình giao dịch bằng L2F.

L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địa chỉ IP truy

cập vào mạng từ xa thông qua một mạng công cộng.

L2TP nâng cao tính bảo mật do sử dụng IPSec-based payload encryption trong

suốt qua trình tạo hầm, và khả năng triển khai xác nhận IPSec trên từng gói dữ

liệu.

Ngoài ra việc triển khai L2TP cũng gặp một số bất lợi sau:

L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xác nhận mỗi

gói dữ liệu nhận được.



Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, một Routing

and Remote Access Server (RRAS) cần có những cấu hình mở rộng

2.2.3 Secure Socket Tunneling Protocol (VPN-SSTP).

Hiện nay, ngoài 2 cơ chế PPTP và L2TP trên Windows Server 2008 và

Windows Vista Service Pack 1 còn hỗ trợ thêm một cơ chế kết nối mới là: Secure

Socket Tunneling Protocol (SSTP).

a) Giới thiệu.

SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN

trong Windows Vista và Windows Server 2008. SSTP sử dụng các kết nối HTTP

đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway. SSTP là một

giao thức rất an toàn vì các thông tin quan trọng của người dùng không được gửi

cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPN gateway.

SSTP cũng được biết đến với tư cách là PPP trên SSL, chính vì thế nó cũng có

nghĩa là bạn có thể sử dụng các cơ chế chứng thực PPP và EAP để bảo đảm cho

các kết nối SSTP được an toàn hơn.

b) Lý do sử dụng PPTP trong VPN.

Mạng riêng ảo VPN cung cấp một cách kết nối từ xa đến hệ thống mạng

thông qua Internet. Windows Server 2003 hỗ trợ các đường hầm VPN dựa vào

PPTP và L2TP/IPSec. Nếu người dùng truy cập từ xa ở đằng sau một

Firewall,những đường hầm này đòi hỏi các port riêng biệt được mở bên trong các

firewall như các port TCP 1723 và giao thức IP GRE để cho phép kết nối PPTP.

Có những tình huống như nhân viên ghé thăm khách hàng, địa điểm đối

tác hoặc khách sạn mà hệ thống chỉ cho truy cập web (HTTP,HTTPs),còn tất cả

các port khác bị ngăn chặn. Kết quả,những user từ xa này gặp phải vấn đề khi thực

hiện kết nối VPN do đó làm tăng cuộc gọi nhờ trợ giúp và giảm năng suất của

nhân viên. Secure Socket Tunneling Protocol(SSTP) là một đường hầm VPN mới

được giới thiệu trong Windows Server 2008 nhằm giải quyết vấn đề kết nối VPN



này.

SSTP thực hiện điều này bằng cách sử dụng HTTPs làm lớp vận chuyển

sao cho các kết nối VPN có thể đi qua các firewall, NAT và server web proxy

thường được cấu hình. Bởi vì kết nối HTTPs (TCP 443) thường được sử dụng để

truy cập các site Internet được bảo vệ như các web site thương mại, do đó HTTPs

thường được mở trong các firewall và có thể đi qua các Proxy web, router NAT.

VPN Server chạy trên nền Windows Server 2008 dựa vào SSTP để lắng

nghe các kết nối SSTP từ VPN client. SSTP server phải có một Computer

Certificate được cài đặt thuộc tính Server Authentication.Computer Certificate này

được sử dụng để xác thực server SSTP với client SSTP trong quá trình thiết lập

session SSL.Client hiệu lực hóa certificate của server SSTP.Để thực hiện điều này

thì Root CA cấp phát certificate cho SSTP server phải được cài đặt trên client

SSTP.

Đường hầm VPN dựa vào SSTP có chức năng như một đường hầm peer-

L2TP và dựa vào PPTP. Điều này có nghĩa PPTP được bao bọc trên SSTP mà sao

đó gửi các lưu lượng cho cho kết nối HTTPs. Như vậy,tất cả các tính năng khác

của VPN như kiểm tra sức khỏe dựa vào NAT, tải lưu lượng IPV6 trên VPN, các

thuật toán xác thực như username và smartcard...và client VPN dựa vào trình quản

lý kết nối vẫn không thay đổi đối với SSTP, PPTP và L2TP. Nó giup cho Admin

một đường dẫn di trú tốt để di chuyển từ L2TP/PPTP đến SSTP.

c) SSTP họat động như thế nào?

SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật

thông tin và dữ liệu. SSL cũng cung cấp cơ chế xác thưc các điểm cuối khi đuợc

yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa

vào PPP chạy trên để xác thực client với server. Nghĩa là Client xác thực server

bằng certificate và Server xác thực Client thông qua giao thức hiện có được hỗ trợ

bởi PPP.



Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm

giao tác tạo lập đường hầm, SSTP thiết lập session HTTPs với server từ xa tại port

443 ở một địa chỉ URL riêng biệt. Các xác lập proxy HTTP được cấu hình thông

qua IE sẽ được sử dụng để thiết lập kết nối này.

Với session HTTPs, client đòi hỏi server cung cấp certificate để xác

thực.Khi thiết lập quan hệ SSL hòan tất, các session HTTP được thíet lập trên đó.

Sau đó, SSTP được sử dụng để thương lượng các tham số giữa Client và Server.

Khi lớp SSTP được thiết lập, việc thương lượng SSTP được bắt đầu nhằm cung

cấp cơ chế xác thực client với server và tạo đường hầm cho dữ liệu.

Chương 2: Tìm hiểu về cơ chế mã hóa của IPSec.

1. Giới thiệu về IPSec.

1.1. Một số chế độ làm việc.

1.1.1. Chế độ giao vận.

Chế độ này hỗ trợ truyền thông tin giữa các máy hoặc giữa máy chủ với máy

khác mà không có sự can thiệp nào của các gateway làm nhiệm vụ an ninh mạng.

Trong Transport mode, chỉ những dữ liệu bạn giao tiếp các gói tin được mã hoá và

hoặc xác thực. Trong quá trình Routing, cả IP header đều không bị chỉnh sữa hay

mã hoá; tuy nhiên khi authentication header được sử dụng, địa chỉ IP không thể

chỉnh sửa ( ví dụ như port number). Transport mode sử dụng trong tình huống giao

tiếp host-tohost. Điều này có nghĩa là đóng gói các thông tin trong IPSec cho NAT

traversal được định nghĩa bởi các thông tin trong tài liệu của RFC bởi NAT-T.



Hình 6 – Cấu trúc gói tin IPSec ở chế độ Transport Mode

1.1.2. Chế độ đường hầm ( Tunnel Mode ):

Chế độ này hỗ trợ khả năng truy nhập từ xa và liên kết an toàn các Website.

Chế độ chuyển vận sử dụng AH và ESP đối với phần của tầng chuyển vận trong

một gói tin IP. Phần dữ liệu thực của giao thức IP này là phần duy nhất được bảo

vệ trong toàn gói tin. Phần header của gói tin IP với địa chỉ của điểm truyền và

điểm nhận không bảo vệ. Khi áp dụng cả AH và ESP thì AH được áp dụng sau để

tính ra tính toàn vẹn của dữ liệu trên tổng lượng dữ liệu. Mặt khác chế độ đường

hầm cho phép mã hoá và tiếp nhận đối với toàn bộ gói tin IP. Các cổng bảo mật sử

dụng chế độ này để cung cấp các dịch vụ bảo mật thay cho các thực thể khác trên

mạng. Các điểm truyền thông đầu cuối được bảo vệ bên trong các gói tin IP đến

trong khi các điểm cuối mã hoá lại được lưu trong các gói tin IP truyền đi. Một

gateway bảo mật thực hiện phân tách gói tin IP đến cho điểm nhận cuối cùng sau

khi IPSec hoàn thành việc sử lý của mình. Trong chế độ đường hầm, địa chỉ IP của

điểm đến được bảo vệ.



Hình 7. – Cấu trúc gói tin IPSec ở chế độ Tunnel Mode

Trong chế độ đường hầm, có một phần header IP phụ được thêm vào, còn

trong chế độ chuyển vận thì không có điều này. IPSec định ra chế độ đường hầm

để áp dụng cho AH và ESP.

Khi host 1 muốn giao tiếp với host 2, nó có thể sử dụng chế độ đường hầm

để cho phép các gateway bảo mật có thể cung cấp các dịch vụ để đảm bảo an toàn

cho việc liên lạc giữa hai nút mạng trên mạng công cộng.

IPSec cho phép chế độ bảo mật theo nhiều lớp và theo nhiều tuyến truyền.

Trong đó, phần header của gói tin nội tại được hoàn toàn bao bọc bởi phần header

của gói tin được phát đi. Tuy vậy, phải có một điều kiện là các tuyến truyền không

được gối chồng lên nhau.

Đối với việc sử lý luồng dữ liệu truyền đi, tầng IP sẽ tham chiếu đến SPD

(Security Policy Database) để quyết định các dịch vụ bảo mật cần áp dụng. Các bộ

chọn lọc được lấy ra từ các phần header sử dụng để chỉ ra một cách thức hoạt động

cho SPD. Nếu hoạt động của SPD là áp dụng tính năng bảo mật thì sẽ có một con

trỏ, trỏ đến SA trong SADB ( Security Association Database) được trả về. Trường

hợp SA không có trong SADB thì IKE sẽ được kích hoạt. Sau đó các phần header

AH và ESP được bổ xùng theo cách mà SA định ra và gói tin sẽ được truyền đi.



Với việc sử lý luồng dữ liệu gửi đến, sau khi nhận được một gói tin, tầng có

nhiệm vụ bảo mật sẽ kiểm tra danh mục các phương thức bảo mật để đưa ra các

hành động sau đây: huỷ bỏ, bỏ qua hoặc áp dụng. Nếu hành động là áp dụng mà

SA không tồn tại thì gói tin sẽ bị bỏ qua. Tuy nhiên, nếu SA có trong SADB thì

gói tin sẽ được chuyển đến tầng tiếp theo để xử lý. Nếu gói tin có chứa các phần

header của dịch vụ IPSec thì stack của IPSec sẽ thu nhận gói tin này và thực hiện

sử lý. Trong quá trình sử lý, IPSec lấy ra phấn SPI, phần địa chỉ nguồn và địa chỉ

đích của gói tin. Đồng thời, SADB được đánh số theo các tham số để chọn ra SA

nhất địn để sử dụng: SPT, địa chỉ đích hoặc là giao thức.

Hình 8

IPSec cho phép thiết lập các mối truyền thông riêng biệt và đảm bảo tính bí

mật trên mạng internet mà không cần biết đến các ứng dụng đang chạy trên

máy đó hay các giao thức ở tầng cao hơn như tầng vận chuyển ( Transport

layer).



Hình 9

IPSec là bộ giao thức có khả năng thẩm định dữ liệu ở cả hai phía người

gửi và người nhận, đảm bảo tính bí mật và toàn vẹn dữ liệu bằng cách mă

hoá chứng thực. IPSec có khả năng thích ứng với tất cả các t nh ứng dụng

chạy trên mạng IP.

IPSec hoạt động hiệu quả và nhanh hơn các ứng dụng bảo mật hoạt động ở

tầng ứng dụng (Application layer).



Hình 10

IPSec có thể được coi như là một lớp dưới của giao thức TCP/IP, lớp này

kiểm soát các người dùng truy nhập dựa vào một chính sách an toàn về mỗi

máy tính và một tổ chức đàm phán an ninh giữa người gửi và người nhận.

Giao thức đóng gói an toàn ESP ( Encapsulation Security Payload): là giao

thức số 50 được gán bởi IANA. ESP là một giao thức bảo mật có thể được sử

dụng cho việc cung cấp tính bảo mật và xác thực các gói dữ liệu khỏi sự nh m

ngó của người dùng không được phép. ESP cung cấp phần tải tin của gói dữ

liệu, ESP cung cấp sự xác thực cho gói tin IP nội bộ và phần tiêu đề ESP. Sự

xác thực cung cấp sự xác thực về nguồn gốc và tính toàn vẹn của gói dữ liệu.

ESP là giao thức hỗ trợ và kiểu mă hoá đối xứng như: Blowfish, DES. Thuật

toán mă hoá dữ liệu mặc định sử dụng trong IPSec là thuật toán DES 56 bit.

Trong các sản phẩm và thiết bị mạng của Cisco dùng trong VPN c n sử dụng

việc mă hoá dữ liệu tốt hơn bằng cách sử dụng thuật toán 3DES( Triple Data

Encryption Security ) 128 bit.

Giao thức ESP có thể được sử dụng độc lập hoặc kết hợp với giao thức

chứng thực đầu mục AH ( Authentication Header ) tuỳ thuộc vào từng môi



trường. Hai giao thức ESP và AH đều cung cấp tính toàn vẹn, xác thực các

gói dữ liệu.

Giao thức ESP cũng có thể bảo vệ được tính duy nhất của gói tin bằng cách

yêu cầu bên nhận đặt bit “ replay” trong tiêu đề để chỉ ra rằng gói tin đă

được gửi.

Giao thức chứng thực mục đầu AH ( Authentication Header Protocol ).

Trong hệ thống IPSec có một đầu mục đặc biệt: Đầu mục chứng thực AH

được thiết kế để cung cấp hầu hết dịch vụ chứng thực cho dữ liệu IP.

Với IP v4

Hình 11

Với IP v6

Hình 12

Giao thức trao đổi chìa khoá Inernet ( IKE ).



AH và ESP là những giao thức mà IPSec yêu cầu những bí mật dùng chung

trong việc phân phối khoá, do đó các chìa khoá có thể mất cắp khi trao đổi qua lại.

Do đó một cơ chế trao đổi chìa khoá an toàn cho IPSec phải thoả mãn yêu cầu sau.

Không phụ thuộc vào các thuật toán đặc biệt.

Không phụ thuộc vào một nghi thức trao đổi khoá đặc biệt.

Sự chứng thực của những thực thể quản lý khoá.

Thiết lập các SA trên các tuyến giao thông không an toàn.

Sử dụng hiệu quả các nguồn tài nguyên.

Giao thức IKE dựa trên khung của Hiệp hội quản lý ch a khóa trên Internet và

Giao thức phân phối khoá Oakley.

Giao thức IKE có các đặc tính sau:

+ Các chìa khoá phát sinh và những thủ tục nhận biết.

+ Tự động làm mới lại chìa khoá.

+ Giải quyết vấn đề một khoá.

+ Mỗi một giao thức an toàn ( AH, ESP ) có một không gian chỉ số an

toàn của chính mình.

+ Gắn sẵn sự bảo vệ.

+ Chống lại các cuộc tấn công làm nghẽn mạch tài nguyên như: Tấn công

từ chối dịch vụ DoS ( Denial- of- Service ).

+ Tiếp cận hai giai đoạn

Thiết lập những SA cho khoá trao đổi.

Thiết lập SA cho dữ liệu chuyển.

+ Sử dụng chữ ký số.

+ Dùng chung khoá.

Giao thức IKE thiết kế ra để cung cấp 5 khả năng:



Cung cấp những phương tiện cho hai bên về sự đồng ý những giao

thức,thuật toán và những chìa khoá để sử dụng.

Đảm bảo trao đổi khoá đến đúng người dùng.

Quản lý những ch a khoá sau khi được chấp nhận.

Đảm bảo rằng sự điều khiển và trao đổi khoá an toàn.

Cho phép sự chứng thực động giữa các đối tượng ngang hang.

1.2. Tìm hiểu về các giao thức.

1.2.1. Giao thức AH (Authentication Header).

AH được sử dụng trong các kết nối không có tính đảm bảo dữ liệu. Hơn

nữa nó là lựa chọ nhằm chống lại các tốn công replay attack bằng cách sử dụng

công nghệ chống tấn công sliding window và discarding older packets , AH

bảo vễ quá trính truyền dữ liệu khi sử dụng IP. Trong IPv4, IP Header có bao

gồm TOS, Flags, Fragment Offset, TTL, va Header checksum. AH thực hiện

trực tiếp trong phần đầu tiền của gói tin IP. Dưới đây là mô hình của AH

header.

Hình 13 : Cấu trúc gói tin AH

Ý nghĩa của từng trường:



Next header (8 Bits): Nhận dạng giao thức sử dụng truyền thông tin, các

định lại dữ liệu chứa trong tiêu đề AH.

Payload leghth (8 Bits): Độ lớn của gói tin AH tính bằng đơn vị (32 Bits) và

trừ đi 2 đơn vị.

(ví dụ: toàn bộ chiều dài tiêu đề AH là 6 thì chiều dài vùng Payoad

là 4).

RESERVED (16 Bits): Sử dụng trong tương lai (cho đến thơi điểm hiện

này nó được biểu diễn bằng các con số 0).

Security paramaters index (SPI – 32 Bits): Nhận ra các thông số bảo mật,

được tích hợp với địa chủ IP, và nhận dàng các thương lượng bào mật được

kết hợp vói các gói tin. Giá trị 1-255 được dành riêng, giá trị 0 sử dụng cho

mục đích đặc biệt, các giá trị khác dùng gắn cho SPI.

Sequence numbet (32 Bits): đây là một giá trị không đâu, luôn tăng và cho

phép cung cấp dịch vụ antireplay cho một SA. Thông tin này không nhất

thiết được dùng bới bên nhận nhưng nó có phải bao gôm thiết bị gửi. Chỉ số

này được khởi động về 0 khi SA được thiết lập. Nếu dịch dụ antureplay

dược dùng, chỉ số này không bao giờ dc phép lặp lại.Bởi vì bên gửi không

biết bên nhận có dùng dịch vụ antireplay hay không, SA sẽ được hủy và

một SA mới sẽ được tái thiết lập sau khi có 232 goi tin được truyền.

Authentication data (chiều dài không xác định): trường này chứa nhiều giá

trị Integrity Check Value (ICV) cho gói tin.Trường này phải là một số

nguyên bội số của 32 và có thể chứa các giá trị đệm (padding) để ấp đấy các

bít trống chp đủ 32 bits. Giá trị ICV này được dùng các giải thuật như

Message Authentication Code (MACs). MACs được dựa trên các giải thuật

mã hóa đồi xứng như DES và 3DES hoặc các hàm Hash một chiều dải nhưu

MD5 hoặc SHA-1. Khi tính choán chỉ số ICV, dùng trong MAC làm giá trị

này khó bị bẻ gãy. Mỗi đầu của một kết nối VPN sẽ tính toàn chỉ số ICV này



một cách độc lập. Nếu các giá trị này không trùng, gói tin sẽ bị bỏ qua. Điều

này giúp đảm bảo các gói tin không bị thay đổi trong quá trình truyền.

AH cung cấp các tính xác thực, tính nguyên vẹn và khâu lặp cho toàn bộ

gói tin bao gồm cả phần tiêu đề của IP (IP Header) và các gói dữ liệu được

chuyển trong các gói tin.

AH không cung cấp tính riêng tư, không mã hóa dữ liệu như vậy dữ liệu

có thể được đọc nhưng chúng sẽ được bảo vệ đề chống lại sự thay đổi. AH sẽ

sử dụng thuật toán Key AH đề đánh dấu gói dữ liệu nhằm đảm bảo tính toàn

vẹn của gói dữ liệu.

Hình 14: Các thành phần chứng thực trong AH.

Hình 15: Quá Trình tạo gói tin AH.

Quá trình tạo gói tin AH.



Khi một AH SA được khởi tạo lần đầu tiên , thuật toán xác thực và các

khóa được gi lại, và số chuỗi truy cập được thiết lập là 0. Khi IPsec xác định

rằng một gói tin sẽ ra bên ngoài có AH được áp dụng, nó nằm bên trong SA

thích hợp và thực hiện các dước sau:

Bước 1: Một tiêu đề AH mẫu được chèn vào giữa IP haeder và tiêu đề lớp

trên.

Bước 2: Số sepuence number tang dần và được lưu giữ trong các tiêu đề AH.

Vào thời gian này, AH kiểm tra để đảm bảo rằng số thứ tự sẽ không bị lặp,

Nếu lặp, AH sẽ tạo ra một SA mới và khởi tạo dãy số 0. Trong trường hợp số

sepeunce number không lặp, số thứ tự đó sẽ được tăng lên và được lưu giữ

trong các tiêu đề AH.

Bước 3: Phần còn lại của các trường AH, ngoại trừ của ICV, được làm đầy

đủ với chiều dài quy định.

Bước 4: Nếu cần. paddinh tùy ý được thêm vào tiêu đề AH đề đảm bảo rằng

nó là một bội số của 32 bit (64 bit cho IPv6).

Bước 5: Các trường có thể thay đổi trong IP Header và trường ICV trong tiêu

đề AH được đành 0, và ICV được tính trên toàn bộ datagram IP. Nếu có

nhiều nguồn định tuyền khác trong khi truyền (truyền qua các thiệt bị trung

gian) trong IP Header, địa chỉ dịch phải được đặt là địa chỉ cuối cùng trước

khi tính toán ICV.

Bước 6: các trường có thể thay đổi được làm đầy , và các ICV được lưu trữ

trong tiêu đề AH. Nếu có một nguồn định tuyền tùy chọn trung gian khac,

trường địa chỉ đích của tiêu đề IP được thiết lập các điểm đến trung gian.

Bước 7: các datagram IP được đặt và hàng đợi đầu ra cho truyền dẫn đến

đích của nó.

1.2.2. Giao thức ESP(Encapsulating security Pyload).



Giao thức ESP cung cấp xác thực, độ toàn vẹn, đảm bảo tính bảo mật của

gói tin. ESP cũng hỗ trợ tính năng cấu hình sử dụng trong tính huống chỉ cần

mã hóa hay chỉ cần xác thực.

Hình 16: Cấu trúc gói tin ESP.

Ý nghĩa các thành phần:

Security paramaters index (SPI – 32Bits): nhận ra các thông số được

tích hợp với địa chỉ IP, nhận dạng liên kết SA.

Sequence number (32 Bits): Tự động tang có tác dụng phát lại.

Payload data (độ dài bất kì): Đây là gói tin IP hoặc một phần của gói tin

ban đầu tùy thuộc vào chế độ (mode) của IPSec đang được dùng. Khi

dùng Tunnel Mode, trường hợp này chứa toàn bộ gói tin IP ban đầu.

Trong Transport Mode, nó chỉ bao gồm phần giao thức các lớp bên trên

của gói tin ban đầu. Chiều dài của pay load luôn là một số nguyên của

bytes.

Padding (độ dài bất kì): và Pad Length (8 Bits): Dữ liệu chèn vào độ dài

của nó.



Next Header (8 Bits): Nhận ra giao thức được sử dụng trong quá trình

truyền thông tin. Nếu là TCP giá trị là 6, nếu là UDP giá trị là 17 khi dùng

Transport Mode, khi dùng Tunnel Mode là 4 (IP-in-IP).

Authentication (Bội số của 32): bao gồm dữ liệu các thực cho gói tin,

được tính trên toàn bộ gói tin ESP trừ phần Authentication data. Các thuật

toán mã hóa bao gồm DES, 3DES,AES. Các thuật toán xác thực bao gồm

MD5 hoặc SHA-1. ESP còn cung cấp tính năng anti-repay để bào vệ các

gói tin không bị chỉnh sửa. ESP trong trạng thái vận chuyển sẽ không

đóng gói thuật toán trên toàn bộ gói tin mà chỉ đóng gói phần thân IP

Header. ESP có thể sử dụng độc lập hay kết hợp AH, dưới đây là mô hình

của quá trình thực thi ESP trên user data để trả về giữa 2 IPSec Peers.

Hình 17: Quá trình hoạt động của ESP.

ESP sử dụng mật mã đối xứng đề cung cấp mã hóa dữ liệu cho các gói tin

IPsec. Cho nên, đề kết hợp cả 2 đầu cuối để đều được bảo vệ bới ESP thì hai

bên phải sử dụng khóa giống nhau mới mã hóa và giải mã được gói tin. Khi

một đầu cuối mã hóa dữ liệu, nó sẽ chia dữ liệu thành các block nhỏ, và sau đó

thực hiện thao tác mã hóa nhiều lần sử dụng block dữ liệu và khóa. Thuật toán

mã hóa hoạt động trong chiều này được xem như Block Cipher Algorithms.

Khi một đầu cuối khác nhân được dữ liệu mã hóa, nó thực hiện giải mã sử



dụng key giống nhau và quá trình thực hiện tương tự, nhưng trong bước này

ngược với thao tác mã hóa. ESP có chỉ số IP Protocol là 50.

Quá trình gửi ESP.

Khi đã sẵn sang để được đặt trên hàng đợi ra, một datagram IP được

kiểm tra xem có thể xử lý bằng IPSec hay không? Nếu đóng gói ESP được

yêu cầu, thì cần biết chính xác SA hoạt động trong Transport Mode hay

Tunnel Mode. Quá trình xử ly thực hiện các bước sau:

Bước 1: SPD tìm kiếm một SA phù hợp với các thông tin chính xác như địa

chỉ đích, cổng, giao thức… nếu SA chưa tồn tại, một cặp SA được thương

lượng giữa hai bên truyền nhận.

Bước 2: Các số thứ tự từ SA tăng dần và được đặt trong tiêu đề ESP. Nếu

peer không vô hiệu hóa chức năng antireplay, số thứ tự được kiểm tra để chắc

chắn rằng nó không bằng 0.

Nước 3: Nếu cần thiết, Padding sẽ được thêm vào cho đủ số bit, chiều dài

pad và next header sẽ được làm đầy. nếu thuật toán mã hóa yêu cầu, IV được

thêm vào payload data(Initializanti vector – là một block tùy ý được XOR

bới block dữ liệu ban đầu trước khi mã hóa, để tránh tình trạng chuỗi mã hóa

giống nhau vì dữ liệu giống nhau), IV và payload data cùng ESP trailer sẽ

được mã hóa, sử dụng khóa và thuật toàn mã hóa đã được chỉ định trong SA.

Bước 4: ICV được tính trên ESP header, IV, payload data, trường ESP trailer

và đặt trong trường Authentication data, sử dụng hóa và thuật toán mã hóa

trong SA.

Bước 5: Nếu các gói dữ liệu kết quả yêu cầu phân mảnh, nó được thực hiện

tại thời điểm này. Trong Transport Mode, ESP chỉ được áp dụng cho toàn bộ

datagram IP. Ở Tunnel Mode, ESP có thể được áp dụng cho một mảnh

datagram IP.

Một lưu ý là trình tự trong quá trình mã hóa và xác thực rất quan trọng,

vì xác thực được thực hiện cuối cùng, ICV sẽ tính toán trên dữ liệu mã hóa



trước đó, có nghĩa là người nhận có thể thực hiện việc xác minh chứng thực

tương đối nhanh chóng trước khi thực hiện quá trính giải mã khá chậm. Điều

này có thể phần nào ngăn cản tấn công Dos bởi một loạt dữ liệu nhẫu nhiên

được mã hóa gửi tới đầu nhận.

Quá trình nhận ESP.

Vì dữ liệu đến có thể bị phân mảnh do quá trình định tuyến, chúng phải

được tái hợp. và sau khi tái hop, quá trình xử lý ESP sẽ được thực hiện qua

các bước sau:

Bước 1: SA nhận được bằng cách so sánh địa chỉ đích, giao thức(ESP) và

SPI của gói đến. Nếu không có SA nào tồn tại, gói sẽ bị loại bỏ.

Bước 2: nếu antireplay được kích hoạt, nó sẽ thực hiện việc kiểm tra một số

sequence number.

Bước 3: Gói tin được xác định thực bằng việc tính toán ICV dựa trên ESP

Header, payload và trường ESP trailer, sử dụng thuật toán mã hóa và khóa

trong SA, nếu xác thực thất bại, gói tin này sẽ bị loại bỏ. Nếu gói tin được

xác thực, nó sẽ được chấp nhận và đầu nhận cập nhập lại sequence number.

Bước 4: Payload và trường ESP trailer được mã hóa bằng việc sử dụng

thuật toán và khóa trong SA. Nếu Padding đã được thệm vào, nó cần được

kiểm tra để chắc chắn có những giá trị thích hộp cho thuật toán giải mã. Gói

IP gốc được tái hợp bỏ đi các trường ESP, việc tái hộp này phụ thuộc vào

việc sử dụng Transport Mode hay Tunnel Mode.



Hình 18: Bảng so sánh giữa AH và ESP.

2 Sử dụng IPSec.

2.1 Mục đích sử dụng.

IPSec được dùng để bảo mật dữ liệu khi truyền trên mạng. Người quản trị

thiết lập chuỗi chính sách được gọi là IPSec Policy. Những chính sách này bao

gồm bộ lọc chỉ rõ loại lưu lượng nào đòi hỏi phải mã hóa, chứ kí số hoặc cả hai.

Sau đó mỗi gói máy tính gửi đi được ấn định để tự nhận thấy liệu có phù hợp với

điều kiện của chính sách. Tiến trình này trong suốt với người dùng và các ứng

dụng bắt đầu truyền dữ liệu. Do IPSec được đóng trong gói IP chuẩn nên nó có thể

truyền trên mạng mà không đòi hỏi cấu hình đặc biệt trên thiết bị giữa hai host.

IPSec không thể mã hóa một số loại lưu lượng chẳng hạn broadcast, multicast và

gói giao thức Kerberos.

2.2 Ưu và nhược điểm khi sử dụng IPSec.

2.2.1 Ưu điểm

Lợi ích chính của IPSec là nó mã hóa trong suốt hoàn toàn đối với tất cả giao

thức lớp 3 của mô hình OSI và cao hơn.

IPSec cung cấp:

- Xác thực lẫn nhau trước và trong quá trình trao đổi.

- Sự cẩn mật trong suốt quá trình mã hóa của lưu lượng IP và xác thực số của

gói. IPSec có 2 chế độ: ESP (Encapsulating Security Payload) – mã hóa

dựa trên một hoặc một vài thuật toán nào đó và AH (Authentication

Header) – xác thực lưu lượng nhưng không mã hóa nó.

- Toàn vẹn lưu lượng IP bằng cách loại bỏ lưu lượng đã được thay đổi. Cả

ESP và AH đều dùng để xác nhận tính toàn vẹn của tất cả lưu lượng IP.

Nếu gói đã được thay đổi thì chữ kí số sẽ không đính kèm và gói sẽ bị hủy.



- Ngăn chặn tấn công: Cả ESP và AH dùng số tuần tự để bất cứ gói nào được

capture lại trong lần gửi lại sau đó sẽ dùng số không tuần tự. Dùng số được

sắp xếp theo thứ tự để chắc chắc rằng kẻ tấn công không thể dùng lại hay

gửi lại dữ liệu đã được capture để thiết lập phiên làm việc hoặc thu thập

thông tin bất hợp pháp. Dùng số tuần tự cũng để bảo vệ tấn công công bằng

cách chặn message và sau đó dùng message y hệt để truy nhập bất hợp pháp

vào tài nguyên, có thể là vài tháng sau đó.

2.2.2 Nhược điểm

Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào

các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng

giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước

khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được

chuẩn hóa.

IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các

dạng lưu lượng khác.

Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó

đối với các trạm làm việc và máy PC năng lực yếu.

Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối

với chính phủ một số quốc gia.

3 Triển Khai IPSec.

3.1 Cách IPSec bảo mật lưu lượng.



Cấu hình IPSec được thiết lập thông qua policy trên máy cục bộ hoặc policy

nhóm trong Active Directory directory service:

IPSec policies được cung cấp cho tất cả máy tính: Policy quy định cho bộ phận

điều khiển IPSec cách chạy và định nghĩa Security Association mà có thể được

thiết lập. Security asscociation chi phối giao thức mã hóa nào được sử dụng cho

loại lưu lượng nào và phương thức xác thực nào được thiết lập.

Security Association được thiết lập: Phần Internet Key Exchange (IKE) thiết lập

Security Association. IKE kết hợp giữa hai giao thức: Internet Security

Association và Key Management (ISAKMP) và Oakley Key Determination. Nếu

một máy client đòi hỏi certificate để xác thực và một client khác đòi hỏi giao thức

Kerberos, IKE sẽ không thể thiết lập security association (sự kết hợp bảo mật)

giữa hai máy. Nếu bạn nhìn thấy gói trong Network Monitor thì bạn sẽ thấy gói

ISAKMP nhưng bạn cũng sẽ không thấy bất cứ gói AH hay ESP theo sau.

Gói IP được mã hóa: Sau khi security association được thiết lập thì bộ điều khiển

IPSec giám sát toàn bộ lưu lượng IP, so sánh lưu lượng với bộ lọc được định

nghĩa.



3.2 IPSec Security Policy là gì?

Định nghĩa

IPSec security policy bao gồm một hoặc nhiều quy luật quyết định cách

hoạt động của IPSec

IPSec Security policy rules

Bạn triển khai IPSec bằng cách thiết lập policy. Mỗi policy có thể chứa

đựng một vài quy luật nhưng bạn chỉ có thể xác nhận một policy riêng lẻ tại

một thời điểm bất kì trên một máy. Bạn phải phối hợp tất cả quy luật được yêu

cầu thành một chính sách đơn. Mỗi quy luật bao gồm:

Bộ lọc: Bộ lọc quy định cho policy biết loại lưu lượng nào để áp dụng cho

filter action. Chẳng hạn, bạn có thể có bộ lọc nhận dạng chỉ lưu lượng giao

thức HTTP hoặc lưu lượng FTP.

Filter action: Filter action quyết định cho chính sách phải làm gì nếu lưu

lượng thỏa bộ lọc. Chẳng hạn, bạn có thể báo cho IPSec chặn đứng tất cả

lưu lượng FTP nhưng đòi hỏi mã hóa tất cả lưu lượng HTTP. Filter action

cũng có thể chỉ rõ thuật toán mã hóa và băm mà policy nên dùng.

Phương pháp xác thực: Có 3 phương pháp có thể xác thực: certificates,

giao thức Kerberos và Preshared key. Mỗi rule có thể chỉ rõ nhiều phương

pháp xác thực.

Policy mặc định

Ở Window 2000 hoặc sau đó, có 3 policy được cấu hình mặc định:

Client (Respond only): Nếu máy tính yêu cầu client dùng IPSec thì nó sẽ

đáp ứng với IPSec. Policy Client (Respond Only) sẽ không khởi tạo IPSec

trên chính nó. Policy này có 1 rule được gọi là Default Response rule. Rule

này cho phép host đáp ứng đòi hỏi ESP cũng như cả host trong Active

Directory domains tin cậy. ESP là chế độ IPSec cung cấp sự tin cậy cộng

với xác thực, toàn vẹn và chống truyền lại.



Server (Request Security): Bạn có thể dùng chính sách này trên cả server

và client. Chính sách này luôn cố gắng dùng IPSec nhưng có thể trở lại quá

trình liên lạc không bảo mật nếu client không được cấu hình với IPSec

policy. Chính sách Response Security có 3 rule. Rule thứ nhất là Default

Response đã được mô tả. Rule thứ hai cho phép lưu lượng ICMP. ICMP là

giao thức duy trì trong TCP/IP, thông báo lỗi và cho phép kết nối đơn giản.

Lệnh ping dùng ICMP để thực hiện việc gỡ rối TCP/IP. Mặc dù ICMP là

tiện ích chuẩn đoán tốt nhưng bạn có thể muốn vô hiệu hóa nó trong mạng

bảo mật cao vì có một vài đợt tấn công chống dựa trên ICMP. Rule thứ 3

đòi hỏi ESP cho tất cả lưu lượng IP.

Secure Server (Require Security): Bạn có thể sử dụng chính sách này trên

cả server và client. Nếu chính sách này được gán thì máy tính có thể chỉ

liên lạc trên IPSec và sẽ không bao giờ trở lại chế độ liên lạc không bảo

mật. Policy này cũng có 3 rule. Hai rule đầu là Default Response và Permit

ICMP thì đã được nói ở trên. Sự khác nhau trong policy Secure Server

(Require Security) là tất cả lưu lượng phải được mã hóa với ESP nếu

không server sẽ không liên lạc với nó. Rule ICMP ghi đè rule để đòi hỏi

bảo mật cho tất cả lưu lượng IP khác.

3.3 Các Policy làm việc như thế nào?



Thỏa thuận sự kết hợp bảo mật

Chúng ta đừng bao giờ so sánh các policy một cách riêng lẻ. Các máy tính

có thỏa thuận kế thợp bảo mật phải có policy bổ sung. Bảng trên chỉ ra các tác

động khi các policy mặc định làm việc với nhau. Nếu hai host có thể thỏa thuận

kết hợp bảo mật tương thích với nhau thì liên lạc có thể được thực hiện bằng cách

dùng IPSec. Nếu hai host có các policy không tương thích với nhau thì có thể

chúng sẽ trở lại dạng liên lạc không bảo mật hoặc không thể liên lạc với nhau.

Ví dụ về cách thức các policy làm việc với nhau

Bảng trên chỉ áp dụng cho các policy mặc định với các rule mặc định. Nếu

bạn áp policy với rule là máy A request ESP cho HTTP và máy B require AH cho

HTTP thì sau đó hai máy đó sẽ không thể thỏa thuận được sự kết hợp bảo mật.

Xác thực Kerberos là thiết lập mặc định cho tất cả các policy mặc định.

Giao thức Kerberos làm việc với máy tính trong hệ thống Active Directory nhưng

nếu một máy không là thành viên trong hệ thống đó thì các máy tính khác không

thể thỏa thuận xác thực. Nếu máy B được thay đổi để sử dụng chỉ certificate cho

xác thực lưu lượng IP thì không thể thiết lập kết hợp bảo mật. Có thể cấu hình lại



cho máy B yêu cầu giao thức Kerberos hoặc certificates. Khi thỏa phương pháp

xác thực thì xác thực có thể được thực hiện.

Nếu bạn thiết lập policy Secure Server (Require Security) thì máy tính đó

sẽ không thể liên lạc với bất kì máy nào không cài đặt IPSec. Chẳng hạn, máy tính

cần truy cập server chạy Microsoft SQL Server không có IPSec thì hệ thống sẽ bị

fail.

Nếu bạn thiết lập policy Server (Request Security) thì máy tính sẽ quay về

liên lạc không bảo mật với bất cứ máy tính nào không có policy. Policy IPSec sẽ

được thiết lập để bảo mật lưu lượng cần được bảo mật khi cho phép thực hiện các

liên lạc cơ bản.

4 Triển khai IPSec với Certificates.

4.1 Giới thiệu về Certificates.

Định nghĩa

Một certificate X.509 – certificate số là một giấy ủy nhiệm điện tử

thường được sử dụng cho việc xác thực và bảo mật trao đổi thông

tin trên hệ thống mạng mở chẳng hạn Internet, Extranets và

Intranets.

Một certificate nối kết một public key với thực thể nắm giữ private

key tương ứng. Chẳng hạn, bạn có thể mã hóa dữ liệu cho người

nhận với public key của họ và chắc chắn rằng chỉ người nhận có

private key dùng để giải mã dữ liệu.

Người cung cấp certificate được gọi là Certification Authority (CA).

Certificate được cung cấp cho người dùng, máy tính hoặc một dịch

vụ chẳng hạn IPSec.

Lợi ích của certificate



Một trong những lợi ích chính của certificate là host sẽ không còn duy trì

một tập password cho đối tượng riêng tư cần được xác thực như một điều kiện cho

phép truy cập. Điều đó thay cho việc host chỉ đơn thuần thiết lập sự tin cậy trong

một CA cung cấp certificate.

4.2 Tại sao dùng Certificates với IPSec để bảo mật lưu lượng.

Bảng sau miêu tả một vài trường hợp bạn có thể dùng certificate



Mục đích

Dùng certifiacate từ một CA đáng tin cậy được xem như phương pháp xác

thực giữa hai host IPSec cho phép các doanh nghiệp liên lạc với nhau. Bạn cũng

có thể dùng certificate để enable Windows Routing and Remote Access service để

giao tiếp bảo mật trên Internet với router lớp 3 hỗ trợ IPSec. Tuy nhiên, vì

certificate phức tạp hơn cả preshare keys hoặc giao thức Kerberos nên chúng đòi

hỏi nhiều về việc thiết lập của admin. Certificate chỉ là một thành phần của giải

pháp PKI. Mặc dù PKI đòi hỏi tài nguyên quản l. và lập kế hoạch nên

Giao thức Kerberos và preshared keys

Hai phương pháp khác cho việc xác thực giữa hai host dùng IPSec là:

Giao thức Kerberos: đối với lưu lượng giữa các máy tình trong cùng một

hệ thống domain thì việc dùng giao thức Kerberos mặc định là phương

pháp xác thực đơn giản nhất cho IPSec và không đòi hỏi bất cứ cấu hình

nào. Giao thức Kerberos là một thành phần cả Active Directory vì thế nó

cũng là thành phần của cấu trúc enterprise domain. Tuy nhiên, đối với các

client không hỗ trợ giao thức Kerberos hoặc các client không là thành phần

của kiến trúc Active Directory thì sử dụng preshared key hoặc X.509

certificate

Preshared keys: preshared key là chuỗi kí tự dài ngẫu nhiên được dùng làm

password giữa hai host IPSec. Preshared keys không bảo mật như giao

thức Kerberos hoặc certificate vì nó được cất trong đoạn clear text ở policy



IPSec. Nếu người tấn công giành được quyền truy cập của admin vào

policy thì sẽ thấy được preshared key. Preshared key cũng không được

dùng tốt cho cấu hình nhiều máy.

Chương 3:Triển Khai Hệ Thống VPN Có IPSec.

1.Mô hình triển khai:

VPN Server và DC nối với nhau bằng card CROSS.

VPN Server và VPN Client nối với nhau bằng card LAN.

VPN Server join to domain loidiep.itc.edu.

2. Các bước thực hiện:

- Cài đặt và cấu hình VPN Server.

- VPN Server cài đặt Certificate Services.

- VPN Server và VPN Client xin Certificate.



- CA cấp Certificate cho VPN Server và Client.

- VPN Server và VPN Client cài đặt Certificate.

- VPN Client tạo Connection.

- Test: truy cập DC và Join to Domain.

Bước 1: Cài đặt và cấu hình VPN Server

- VPN Server mở Routing & Remote Access -> Chuột phải Server2 -> Configure

and Enable Routing and Remote Access.

- Chọn Custom Configuration.



- Check ô VPN Access -> Next.

- Click Finish.



- Cấu hình cấp IP cho VPN Client khi kết nối thành công:

Chuột phải lên Server2 -> Properties.



- Qua tab IP -> Chọn Static Address Pool -> click Add.

- Cấp địa chỉ từ : 10.10.10.100 -> 10.10.10.149 (50 kết nối) -> OK



- Chọn Port, quan sát thấy VPN Server mặc định cho phép kết nối cả PPTP lẫn

L2TP. Cấu hình VPN Server ko cho phép kết nối PPTP, chỉ cho phép kết nối L2TP:

Chuột phải lên Port -> Properties.



- Chọn WAN Miniport (PPTP) -> click Configure.

- Bỏ check ô Remote Access Connections và Demand-dial routing connection-> OK



- Quan sát VPN Server bây giờ chỉ cho phép kết nối L2TP.



Bước 2: VPN Server cài đặt Certificate Services.

- Đầu tiên tiến hành cài đặt ASP.NET.

- Sau đó cài Certificate Services.

- Chọn Stand-alone root CA.



- Nhập tên CA (vd: DC).

- Màn hình Certificate Database -> Next.



- Màn hình cảnh báo chọn YES để đồng ý tạm thời stop IIS để hoàn tất quá trình cài

đặt.

- Màn hình cảnh báo về Security chọn YES.



Bước 3: VPN Server và VPN Client xin Certificate.

-VPN Server xin Certificate.

Mở Web Browser nhập: Địa chỉ CA/Certsrv (ở đây VPN Server cũng chính là CA

nên có thể nhập localhost/certsrv). Sau đó chọn Request a certificate.

- Chọn Advanced Certificate request.



- Chọn Create and submit s request to this CA.

-



- Phần NAME nhập tên máy VPN Server (ở đây là server2.loidiep.itc), phần Type

of Certificate bung ra và chọn IPSec Certificate .

-

- Check ô Store certificate int the local computer certificate store và click Submit.



- Cửa sô cảnh báo chọn YES



-VPN Client xin Certificate.

Trên VPN Client mở Web Browser nhập: địa chỉ CA/certsrv(192.168.1.3/certsrv)

và sau đó chọn Request a certificate.

- Chọn Advanced request -> Create and submit a request to this CA.

- Nhập tên máy VPN Client -> Type of Certificate chọn IPSec Certificate



- Check ô Store Certificate in the local computer certificate store sau đó click

Submit.



- Chọn YES ở cửa sổ cảnh báo và quan sát việc xin hoàn tất.

Bước 4: CA cấp Certificate cho VPN Server và VPN Client.

- Trên Certificate Server (cũng chính là VPN Server) mở Certificate Authority ( Start-

>Programs->Administrative Tools->Certificate Authority).

- Chọn Pending Requests và lần lượt chuột phải lên các Request của VPN Server và VPN

Client ở bước trên chọn All Task -> Issue.



- Chọn Issue Certificates, kiểm tra các certificate cho VPN Server

và VPN Client.



Bước 5: VPN Server và VPN Client cài đặt Certificate.

- Trên máy VPN Server mở Web Browser nhập localhost/certsrv -> chọn View the

status of a pending certificate request.

- Chọn IPSec Certificate.

- Chọn Install this certificate.



- Cửa sổ cảnh báo chọn YES.

- Quan sát đã cài đặt Certificate thành công.



- Kiểm tra xem Certificate có hợp lệ hay chưa:

Chọn Start->Run->MMC.

- Màn hình MMC click menu File -> Add/Remove Snap-in.



- click Add.



- Chọn Certificate -> click Add.

- Chọn Computer account.

- Chọn Local Computer -> Finish.



- Sau đó bung Certificates -> Personal -> Certificates và nhấp đúp lên Certificate

Server2.loidiep.itc.edu quan sát thấy hợp lệ.



- Trên máy VPN Client làm tương tự như trên VPN Server.

- Kiểm tra thấy Certificate của Client ko hợp lệ (chéo đỏ).

- Vì DC cấp Certificate cho VPN Client không nằm trong danh sách các CA tin

tưởng.



- Tiến hành download Certificate của Server

- Mở Web Browser nhập địa chỉ CA/Certsrv . Sau đó chọn Download a

CA Certificate, certificate chain, or CRL.



- Chọn Download CA certificate.

- Cửa sổ download -> click Save.

- Và lưu ngoài Desktop -> click Save. (chung ta có thể lưu tại một nơi nào cụ thể dễ

nhớ và tìm kiếm)



- Download hoàn tất click Close.

- Quay trở lại cửa sổ MMC (Console1.msc) và import Certificate của CA vừa

download về: bung Trusted Root Certification Authorities và chuột phải

lên Certificates -> All Task -> Import.



- Màn hình Welcome -> Next. Màn hình File to Import -> click Browse.



- Chỉ đường dẫn ra desktop (nơi lưu Certificate của CA ở bước trên vừa

download) -> Chọn Certificate của CA -> Open.

- Click Next.



- Màn hình Certificate Store -> click Next -> Finish.

- Quá trình Import thành công.



- Quan sát thấy DC đã có trong danh sách các CA tin tưởng.

- Kiểm tra lại Certificate đã hợp lệ.



- Trên máy DC tạo 1 domain user.

- Và cho user này quyền Allow Access.



Bước 6: VPN Client tạo connection.

- Trên VPN Client: Chuột phải My Network Places -> Properties. Click Create a

new Connection.

- Màn hình Welcome -> Next, màn hình Network Connection Type -> chọn

Connect to the network at my workplace.



- Màn hình Network connection -> chọn Virtual Private Network connection.

- Màn hình Connection name -> nhập Company name .



- Màn hình VPN Server Selection nhập địa chỉ VPN Server -> Next.



- Click -> Finish.

- Nhập User name, password; Check ô Save this User name and password for the

following users. > click Properties.



- Qua Tab Networking, phần Type of VPN chọn L2TP IPSec VPN -> click OK.

- Click Connect. Quan sát đã kết nối thành công.



Bước 7: Kiểm tra

- VPN Client truy cập máy DC thành công.

- VPN Client mở phần chỉnh địa chỉ IP card LAN và bổ sung Preferred DNS về

máy DC (172.16.3.2) -> OK.



- Tiến hành Join to domain loidiep.itc.edu -> OK.



- Restart lại máy VPN Client -> Cửa sổ logon chọn Log on to: LOIDIEP -> Check ô

Log on using dial-up connection (nhằm mục đích thực hiện kết nối VPN trước khi

đăng nhập) -> OK.

- Chọn Connection: itc.edu đã tạo ở bước trên -> Connect.



- Nhập User name và password -> Connect.

- Khi thực hiện xong kết nối, VPN Client đã log on thành công vào domain.

Tiến hành cài Adminpak.msi.



- Chờ cho quá trình setup xong.

- Click Finish.



- Sau khi cài đặt hoàn tất tiến hành mở Active Directory Users and Computers.

- Tạo thử 1 user. Quan sát thấy tạo thành công.

DANH SÁCH TỪ VIẾT TẮT VÀ TÀI LIỆU THAM KHẢO

1. DANH SÁCH CÁC TỪ VIẾT TẮT.

VPN - Virtual Private Network.

AH - Authentication Header.

ESP - Encapsulating Security Payload.

ISP - Internet service Provide.

PBX - Private Branch Exchange.

WAN -Wide Area Network.

LAN - Local Area Network.

RRAS - Routing và Remote Access.

RADIUS - Remote Authentication Dial In User Service.

L2TP - Layer 2 Tunneling Protocol.

SSTP - Secure Socket Tunneling Protocol.

PPTP - Point-to-Point Tunneling Protocol.

DARPA - Defense Advanced Research Projects Agency

NIST - National Institute of Standards and Technology

IETF - Internet Engineering Task Force

ISAKMP - Internet Security Association and Key Management Protocol.

IKE - Internet Key Exchange.

MPPE - Microsoft Point-to-Point Encrytion .

TCP - Transmission Control Protocol.

CHAP - Challenge-Handshake Authentication Protocol .

PAP - Password authentication protocol.

EAP - Extensible Authentication Protocol.

GRE - Generic routing encapsulation.

IP, IPX - Internet Protocol, Internetwork Packet Exchange.

ATM - Asynchronous Transfer Mode .

FR - Frame Relay.

PPP - Point-to-point Protocol.

NAS - Network Access Server .

LAC, LNS - L2TP Access Concentrator, L2TP Network Server.

UDP - User Datagram Protocol.

HTTP, HTTPs - Hypertext Tranfer Protocol , Hypertext Tranfer Protocol

Sercurity.

SSL - Secure Sockets Layer.

SADB - Security Association Database.

3DES - Triple Data Encryption Security.

DoS - Denial- of- Service.

ICV - Integrity Check Value .

2. TÀI LIỆU THAM KHẢO.

1. Microsoft Windows Server 2008: A Beginner’s Guide (Network

Professional’s Library) By Marty Matthews, 592 page.

2. Kỹ thuật mạng riêng ảo – VPN, Tác giả : TS.Trần Công Hùng , Học

Viện Bưu Chính Viễn Thông , Năm 2002.

3. Và một số tài liệu khác trên Internet tại các trang.

http://en.wikipedia.org/

http://www.technet.microsoft.com/

http://www.nhatnghe.com/forum/

http://en.wikipedia.org/

http://www.technet.microsoft.com/

http://www.nhatnghe.com/forum/