HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
CƠ SỞ TẠI THÀNH PHỐ HỒ CHÍ MINH
KHOA VIỄN THÔNG II
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KY THUẬT ĐIỆN TƯ TRUYÊN THÔNG
HỆ: CHÍNH QUY
NIÊN KHÓA: 2015 - 2020
Đề tài:
TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN
SITE TO SITE
Giáo viên hướng dẫn: ThS. NGUYỄN XUÂN KHÁNH
TP.HCM - tháng 07 / 2019
BÁO CÁO
THỰC TẬP TỐT NGHIỆP
CHUYÊN NGÀNH: KY THUẬT ĐIỆN TƯ TRUYÊN THÔNG
HỆ: CHÍNH QUY
NIÊN KHÓA: 2015 - 2020
Đề tài:
TÌM HIỂU, THIẾT KẾ VÀ TRIỂN KHAI DỊCH VỤ VPN
SITE TO SITE
Giáo viên hướng dẫn: ThS. NGUYỄN XUÂN KHÁNH
LỜI CẢM ƠN
Để hoàn thành chuyên đề báo cáo thực tập này trước hết em xin gửi đến quý thầy, cô
giáo trong khoa Viễn Thông trường Học viện Công nghệ Bưu chính Viễn thông lời
cảm ơn chân thành.
Đặc biệt, em xin gởi đến thầy Nguyễn Xuân Khánh, người đã tận tình hướng dẫn, giúp
đỡ em hoàn thành chuyên đề báo cáo thực tập này lời cảm ơn sâu sắc nhất. Sau 1 tháng
thực hiện đề tài, được sự hướng dẫn, chỉ bảo tận tình của thầy và sự cố gắng của bản
thân, em đã hoàn thành đề tài thực tập: “Tìm hiểu, thiết kế và triển khai dịch vụ VPN
site to site”
Em xin chân thành cảm ơn Ban Lãnh Đạo, các phòng ban của công ty đã tạo điều kiện
thuận lợi cho em được tìm hiểu thực tiễn trong suốt quá trình thực tập tại công ty.
Đồng thời nhà trường đã tạo cho em có cơ hội được thưc tập nơi mà em yêu thích, cho
em bước ra đời sống thực tế để áp dụng những kiến thức mà các thầy cô giáo đã giảng
dạy. Qua công việc thực tập này em nhận ra nhiều điều mới mẻ và bổ ích trong việc
kinh doanh để giúp ích cho công việc sau này của bản thân.
Vì kiến thức bản thân còn hạn chế, trong quá trình thực tập, hoàn thiện chuyên đề này
em không tránh khỏi những sai sót, kính mong nhận được những ý kiến đóng góp từ
cô cũng như quý công ty.
Một lần nữa em xin gửi lời cảm ơn sâu sắc đến toàn thể thầy cô, các anh chị đồng
nghiệp và bạn bè.
Tp. Hồ Chí Minh, ngày 25 ,tháng 07 , năm 2019
Người thực hiện
MỤC LỤC
MỞ ĐẦU....................................................................................................................... 1
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN................................................................... 2
1.1
Mục tiêu và ý nghĩa đề tài.................................................................................... 2
1.2
Phương pháp thực hiện........................................................................................ 2
1.3
Những nội dung chính......................................................................................... 2
1.3.1
Lý thuyết....................................................................................................... 2
1.3.2
Thực hành..................................................................................................... 2
1.4
Kết quả đạt được.................................................................................................. 2
CHƯƠNG 2: TỔNG QUAN VỀ VPN.......................................................................... 3
2.1 Định nghĩa, chức năng của VPN.............................................................................. 3
2.1.1 Khái niệm cơ bản về VPN................................................................................. 3
2.1.2 Chức năng của VPN.......................................................................................... 4
2.2 Các yêu cầu cơ bản của một giải pháp VPN............................................................ 4
2.3 Đường hầm và mã hóa............................................................................................. 5
2.4 Các dạng kết nối VPN............................................................................................. 6
2.4.1 Remote access VPN (VPN client to site).......................................................... 6
2.4.2 Site-to-site VPN ( Lan-to-lan)........................................................................... 7
CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN.......................................................... 9
3.1 Các giao thức đường hầm........................................................................................ 9
3.1.1 Giao thức chuyển tiếp lớp 2 (L2F – Layer 2 Forwarding Protocol).................. 9
3.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol)..................................... 12
3.1.2.1 Khái quát hoạt động của PPTP................................................................. 13
3.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP................................... 14
3.1.2.3 Đóng gói dữ liệu đường hầm PPTP.......................................................... 15
3.1.2.4 Ưu điểm và nhược điểm của PPTP........................................................... 16
3.1.3 Giao thức định đường hầm lớp 2 (L2TP – Layer 2 Tunneling Protocol).........16
3.1.3.1 Duy trì đường hầm bằng bản tin điều khiển L2TP................................... 18
3.1.3.2 Đóng gói dữ liệu đường hầm L2TP.......................................................... 18
3.1.3.3 Xử lý dữ liệu tại đầu cuối đường hầm L2TP trên nền IPSec....................19
3.1.3.4 Các thành phần của một hệ thống VPN sử dụng giao thức L2TP............19
MỤC LỤC
3.1.3.5 Ưu điểm và nhược điểm của L2TP........................................................... 20
3.2 Bộ giao thức IPSec (IP Security Protocol)............................................................. 21
3.2.1 Cấu trúc bảo mật............................................................................................. 21
3.2.2 Các chế độ làm việc của IPSec........................................................................ 22
3.2.2.1 Chế độ truyền tải (Transport mode)......................................................... 22
3.2.2.2 Chế độ đường hầm (Tunnel Mode).......................................................... 22
3.2.3 Các thành phần bên trong IPSec...................................................................... 23
3.2.3.1 Giao thức đóng gói tải tin an toàn ESP.................................................... 23
3.2.3.2 Giao thức xác thực đầu mục AH.............................................................. 26
3.2.3.3 Giao thức trao đổi chìa khóa (IKE).......................................................... 27
3.2.3.4 Một số vấn đề còn tồn đọng trong IPSec.................................................. 30
CHƯƠNG 4: LAB MÔ PHỎNG HỆ THỐNG VPN SITE-TO-SITE.......................... 31
4.1 Sơ đồ mạng............................................................................................................ 31
4.2 Các bước cấu hình................................................................................................. 31
4.3 Triển khai chi tiết................................................................................................... 31
CHƯƠNG 5: KẾT LUẬN VÀ HƯỚNG PHÁT TRIỂN............................................. 37
5.1 Đánh giá đề tài....................................................................................................... 37
5.2 Đánh giá bản thân.................................................................................................. 37
5.3 Hướng phát triển.................................................................................................... 37
THUẬT NGỮ VÀ CÁC TỪ VIẾT TẮT..................................................................... 38
TÀI LIỆU THAM KHẢO........................................................................................... 40
DANH MỤC HÌNH ẢNH
Hình 2. 1 Mô hình VPN cơ bản..................................................................................... 3
Hình 2. 2 Đường hầm VPN........................................................................................... 5
Hình 2. 3 Mô hình Remote access VPN........................................................................ 7
Hình 2. 4 Mô hình Site-to-Site VPN.............................................................................. 8
Hình 3. 1 Mô hình kết nối VPN sử dụng L2F.............................................................. 10
Hình 3. 2 Các thành phần trong hệ thống VPN sử dụng L2F....................................... 11
Hình 3. 3 Mô hình kết nối PPTP.................................................................................. 13
Hình 3. 4 Mô hình kết nối VPN sử dụng L2TP........................................................... 17
Hình 3. 5 Xử lý gói tin IP ở chế độ truyền tải.............................................................. 22
Hình 3. 6 Xử lý gói tin ở chế độ đường hầm............................................................... 23
Hình 3. 7 Các trường của ESP header.......................................................................... 24
Hình 3. 8 Ví dụ về ESP Header................................................................................... 24
Hình 3. 9 Quá trình mã hóa và hoạt động của giao thức ESP...................................... 25
Hình 3. 10 Một gói ESP............................................................................................... 25
Hình 3. 11 Quá trình AH xác thực và bảm đảm tính toàn vẹn dữ liệu.........................26
Hình 3. 12 Các trường của AH Header........................................................................ 27
Hình 4. 1 Sơ đồ mạng được sử dụng trong bài lab.......................................................31
Hình 4. 2 Ping từ PC1 qua PC2...................................................................................34
Hình 4. 3 Ping từ PC2 qua PC1...................................................................................35
Hình 4. 4 Kiểm tra crypto map....................................................................................35
Hình 4. 5 Kiểm tra IPSec SA.......................................................................................36
MỞ ĐẦU
Mạng riêng ảo VPN (Virtual Private Network) là một mạng riêng biệt sử dụng một
mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay
nhiều người dùng sử dụng từ xa. Thay vì sử dụng bởi một kết nối thực, chuyên dụng
như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet
từ mạng riêng của công ty tới các site của các nhân viên từ xa.
Một ứng dụng điển hình của VPN là cung cấp một kênh kết nối an toàn dựa trên kết
nối internet giúp cho những văn phòng chi nhánh / văn phòng ở xa hoặc những người
làm việc từ xa có thể dùng Internet truy cập tài nguyên công ty một cách bảo mật và
thoải mái như đang sử dụng máy tính nội bộ trong mạng công ty.
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall.
Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như
ISP.
Trang 1
CHƯƠNG 1: GIỚI THIỆU ĐỀ TÀI TTTN
CHƯƠNG 1: GIỚI THIỆU ĐÊ TÀI TTTN
1.1
Mục tiêu và ý nghĩa đề tài
Đề tài sẽ tập trung tìm hiểu về VPN, cách VPN hoạt động, các giao thức được sử
dụng, các ứng dụng của VPN trong thực tế.
Hy vọng rằng qua bài nghiên cứu này, chúng ta sẽ có được một cái nhìn sâu hơn về
công nghệnày, có thể ứng dụng vào việc triển khai cho các hệ thống mạng, góp phần
phát triển ngành mạng ở Việt Nam và trên toàn thế giới.
1.2
Phương pháp thực hiện
Nguồn tài liệu lấy từ trang chủ Cisco, từ các diễn đàn, cộng đồng về Network.
1.3
Thực hành dựa trên công cụ giả lập mạng như GNS3
Những nội dung chính
1.3.1
Lý thuyết
Tìm hiểu định nghĩa, các ứng dụng của công nghệ VPN.
Tìm hiểu các yêu cầu cơ bản của một giải pháp VPN
Tìm hiểu kiến trúc, các thành phần có trong công nghệ VPN.
Các đối tượng liên quan trong một hệ thống sử dụng công nghệ VPN.
1.3.2
Thực hành
Xây dựng bài lab mô phỏng cấu hình VPN site to site để làm rõ các bước khi cấu
hình VPN.
1.4
Kết quả đạt được
Nắm rõ các thành phần, cơ chế hoạt động của công nghệ VPN.
Triển khai được bài lab mô phỏng cấu hình VPN.
Bước đầu có những nhận xét, đánh giá về lợi ích mà VPN đem lại.
Trang 2
CHƯƠNG 2: TỔNG QUAN VỀ VPN
CHƯƠNG 2: TỔNG QUAN VÊ VPN
2.1 Định nghĩa, chức năng của VPN.
2.1.1 Khái niệm cơ bản về VPN
Phương án truyền thông nhanh, an toàn và tin cậy đang trở thành mối quan tâm của
nhiều doanh nghiệp, đặc biệt là các doanh nghiệp có nhiều cơ sở cách xa nhau. Nếu
như trước đây giải pháp thông thường là thuê các đường truyền riêng (leased lines) để
duy trì mạng WAN (Wide Are Network). Mỗi mạng WAN đều có các điểm thuận lợi
về độ tin cậy, hiệu năng và tính an toàn, bảo mật. Nhưng để bảo trì một mạng WAN,
đặc biệt khi sử dụng các đường truyền riêng, các doanh nghiệp sẽ phải tốn một khoản
đầu tư khá lớn.
Khi tính phổ biến của Internet gia tăng, các doanh nghiệp đầu tư vào nó như một
phương tiện quảng bá và mở rộng các mạng mà họ sở hữu. Ban đầu, là các mạng nội
bộ (Intranet) mà các site được bảo mật bằng mật khẩu được thiết kế cho việc sử dụng
chỉ bởi các thành viên trong công ty
Hình 2. 1 Mô hình VPN cơ bản
Về căn bản, mỗi VPN (virtual private network) là một mạng riêng rẽ sử dụng một
mạng chung (thường là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay
nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng
như đường Leased Line, mỗi VPN sử dụng các kết nối ảo được dẫn qua đường Internet
từ mạng riêng của công ty tới các site của các nhân viên từ xa.
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall.
Những thiết bị này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như
ISP.
VPN được gọi là mạng ảo vì đây là một cách thiết lập một mạng riêng qua một
mạng công cộng sử dụng các kết nối tạm thời. Những kết nối bảo mật được thiết lập
giữa 2 host, giữa host và mạng hoặc giữa hai mạng với nhau.
Trang 3
Một VPN có thể được xây dựng bằng cách sử dụng “Đường hầm” và “Mã hoá”.
VPN có thể xuất hiện ở bất cứ lớp nào trong mô hình OSI.
2.1.2 Chức năng của VPN
VPN cung cấp ba chức năng chính:
Tính tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữ liệu trước khi
truyền chúng ngang qua mạng. Bằng cách làm như vậy, không một ai có thể truy
cập thông tin mà không được cho phép. Và nếu có lấy được thì cũng không đọc
được.
Tính toàn vẹn dữ liệu ( Data Integrity): người nhận có thể kiểm tra rằng dữ liệu đã
được truyền qua mạng Internet mà không có sự thay đổi nào.
Tính xác thực (Origin Authentication): Người nhận có thể xác thực nguồn gốc của
gói dữ liệu, đảm bảo và công nhận nguồn thông tin.
2.2 Các yêu cầu cơ bản của một giải pháp VPN
Có 4 yêu cầu cần đạt được khi xây dựng mạng riêng ảo.
Tính tương thích (compatibility): Mỗi công ty, mỗi doanh nghiệp đều có thể tự xây
dựng các hệ thống mạng của mình mà không cần tuân theo một chuẩn nhất định
của nhà cung cấp dịch vụ. Rất nhiều các hệ thống mạng không sử dụng các chuẩn
TCP/IP vì vậykhông thể kết nối trực tiếp với Internet. Để có thể sử dụng được IP
VPN tất cả các hệ thống mạng riêng đều phải được chuyển sang một hệ thống địa
chỉ theo chuẩn sử dụng trong internet cũng như bổ sung các tính năng về tạo kênh
kết nối ảo, cài đặt cổng kết nối internet có chức năng trong việc chuyển đổi các
chuẩn khác nhau sang chuẩn IP. 77% số lượng khách hàng được hỏi yêu cầu khi
chọn một nhà cung cấp dịch vụ IP VPN phải tương thích với các thiết bị hiện có
của họ.
Tính bảo mật (security): Tính bảo mật cho khách hàng là một yếu tố quan trọng
nhất đối với một giải pháp VPN. Người sử dụng cần được đảm bảo các dữ liệu
thông qua mạng VPN đạt được mức độ an toàn giống như trong một hệ thống
mạng nội bộ do họ tự xây dựng và quản lý. Việc cung cấp tính năng bảo đảm an
toàn cần đảm bảo hai mục tiêu sau:
- Cung cấp tính năng an toàn thích hợp bao gồm cung cấp mật khẩu cho người sử
dụng trong mạng và mã hoá dữ liệu khi truyền.
- Đơn giản trong việc duy trì quản lý, sử dụng. Đòi hỏi thuận tiện và đơn giản cho
người sử dụng cũng như nhà quản trị mạng trong việc cài đặt cũng như quản trị hệ
thống.
Tính khả dụng (Availability): Một giải pháp VPN cần thiết phải cung cấp được
tính bảo đảm về chất lượng, hiệu suất sử dụng dịch vụ cũng như dung lượng
truyền.
Tiêu chuẩn về chất lượng dịch vụ (QoS): Tiêu chuẩn đánh giá của một mạng lưới
có khả năng đảm bảo chất lượng dịch vụ cung cấp đầu cuối đến đầu cuối. QoS liên
quan đến khả năng đảm bảo độ trễ dịch vụ trong một phạm vi nhất định hoặc liên
quan đến cả hai vấn đề trên.
2.3 Đường hầm và mã hóa
VPN cung cấp sự bảo mật bằng cách mã hoá thông qua một đường hầm.
Hình 2. 2 Đường hầm VPN
Đường hầm (Tunnel) cung cấp các kết nối logic, point-to-point qua mạng IP. Điều
này giúp tăng cường khả năng bảo mật. Các giải pháp đường hầm cho VPN là sử dụng
mã hoá để bảo vệ dữ liệu không bị xem trộm bởi bất kì ai không được phép và để thực
hiện đóng gói đa giao thức nếu cần thiết. Mã hoá được sử dụng khi tạo kết nối đường
hầm để dữ liệu chỉ có thể được đọc bởi người nhận và người gửi.
Mã hoá(Encryption) chắc chắn rằng bản tin không bị đọc bởi bất kỳ ai nhưng có thể
đọc được bởi người nhận. Khi mà càng có nhiều thông tin lưu thông trên mạng thì sự
cần thiết đối với việc mã hoá thông tin càng trở nên quan trọng. Mã hoá sẽ biến đổi nội
dung thông tin thành trong một văn bản mật mã bất kì. Người nhận sẽ được cung cấp
một công cụ để giải mã.
Một số thuật ngữ thường được sử dụng:
Hệ thống mã hoá (CryptoSystem): Là một hệ thống để thực hiện mã hoá hay giải
mã, xác thực người dùng, băm (hashing) và các quá trình trao đổi khoá, một hệ
thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau tuỳ thuộc vào
yêu cầu cho một vài loại traffic cụ thể.
Hàm băm (hashing): Là một kỹ thuật đảm bảo tính toàn vẹn dữ liệu, nó sử dụng
một công thức hoặc một thuật toán để biến đổi một bản tin có chiều dài thay đổi và
một khoá mật mã công cộng vào trong một chuỗi đơn các số liệu có chiều dài cố
định. Bản tin hay khoá và hash di chuyển trên mạng từ nguồn tới đích. Ở nơi nhận,
việc tính toán lại hash được sử dụng để kiểm tra rằng bản tin và khoá không bị
thay đổi trong khi truyền trên mạng.
Xác thực (Authentication): Là quá trình của việc nhận biết một người sử dụng hay
quá trình truy cập hệ thống máy tính hoặc kết nối mạng. Xác thực đảm bảo chắc
chắn rằng cá nhân hay một tiến trình là hợp lệ.
Cho phép (Authorization): Là hoạt động kiểm tra thực thể nào đó có được phép
thực hiện những quyền hạn cụ thể nào.
Dịch vụ chứng thực CA (Certificate of Authority): Một dịch vụ được tin tưởng để
bảo mật quá trình truyền tin giữa các thực thể mạng hoặc người dùng bằng cách
tạo ra và gán các chứng nhận số như các chứng nhận khoá công cộng cho mục
đích mã hoá. Một CA đảm bảo cho sự liên kết giữa các thành phần bảo mật trong
chứng nhận.
IKE (Internet Key Exchange): Là giao thức chịu trách nhiệm trao đổi khóa giữa
hai điểm kết nối VPN. IKE hỗ trợ ba kiểu xác thực là dùng khóa biết trước (preshare key), RSA và RSA signature. IKE lại dùng hai giao thức là Oakley Key
Exchange (mô tả kiểu trao đổi chìa khoá) và Skeme Key Exchange (định nghĩa kỹ
thuật trao đổi chìa khoá), mỗi giao thức định nghĩa một cách thức để thiết lập sự
trao đổi khoá xác thực, bao gồm cấu trúc tải tin, thông tin mà các tải tin mang, thứ
tự các khoá được xử lý và các khoá được sử dụng như thế nào.
AH (Authentication Header): Là giao thức bảo mật giúp xác thực dữ liệu, bảo đảm
tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất
của gói tin). AH được nhúng vào trong dữ liệu để bảo vệ.
ESP (Encapsulation Security Payload): Là một giao thức bảo mật cung cấp sự tin
cậy của dữ liệu, đảm bảo tính toàn vẹn dữ liệu và xác thực nguồn gốc dữ liệu. ESP
đóng gói dữ liệu để bảo vệ.
2.4 Các dạng kết nối VPN
2.4.1 Remote access VPN (VPN client to site)
Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client để truy cập
vào mạng Intranet của Công ty thông qua Gateway hoặc VPN concentrator (bản chất
là một server). Vì vậy, giải pháp này thường được gọi là client/server. Trong giải pháp
này, người dùng thường sử dụng các công nghệ WAN truyền thống để tạo ra các
tunnel về mạng trung tâm của họ.
Các thành phần chính của một giải pháp Remote access VPN bao gồm:
Remote Access Server (RAS): Thiết bị này được đặt tại trung tâm và có nhiệm vụ
xác thực và chứng nhận các yêu cầu gửi tới sau đó thiết lập kết nối.
Remote Access Client: Bằng việc triển khai Remote Access VPN qua Internet,
những người dùng từ xa hoặc các văn phòng chi nhánh chỉ cần thiết lập một kết
nối cục bộ đến nhà cung cấp dịch vụ Internet, sau đó có thể kết nối đến tài nguyên
của doanh nghiệp thông qua Remote Access VPN.
Hình 2. 3 Mô hình Remote access VPN
Ưu điểm và nhược điểm của Remote access VPN:
Ưu điểm Remote access VPN:
- VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kết nối
từ xa do các nhà cung cấp dịch vụ Internet đảm nhiệm.
- Giảm giá thành chi phí kết nối với khoảng cách xa vì các kết nối của VPN truy
nhập từ xa chính là các kết nối Internet.
-
VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ
truy cập ở mức độ tối thiểu.
Nhược điểm của Remote access VPN:
- Remote Access VPN không đảm bảo được chất lượng dịch vụ (QoS).
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có
thể bị thất thoát.
- Do độ phức tạp của thuật toán mã hoá nên gây khó khăn cho quá trình xác nhận.
2.4.2 Site-to-site VPN ( Lan-to-lan)
Site-to-Site VPN là giải pháp kết nối các hệ thống mạng ở những địa điểm khác
nhau với mạng trung tâm thông qua VPN. Trong trường hợp này, quá trình xác thực
ban đầu cho người sử dụng là quá trình xác thực giữa các thiết bị. Các thiết bị này hoạt
động như cổng an ninh (security gateway), truyền dẫn lưu lượng một cách an toàn từ
site này tới site kia. Các bộ định tuyến hay tường lửa hỗ trợ VPN đều có khả năng thực
hiện kết nối này. Sự khác nhau giữa Site-to-Site VPN và Remote Access VPN chỉ
mang tính tượng trưng. Nhiều thiết bị VPN mới có thể hoạt động theo cả hai cách này.
Hình 2. 4 Mô hình Site-to-Site VPN
Site-to-Site VPN có thể được phân làm 2 loại là Intranet VPN hoặc Extranet VPN
xét theo quan điểm chính sách quản lý. Nếu hạ tầng mạng có chung một nguồn quản
lý, nó có thể được xem như Intranet VPN, ngược lại, nó có thể được coi là Extranet
VPN. Việc truy nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị
tương ứng.
CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
CHƯƠNG 3: CÁC GIAO THỨC TRONG VPN
Trong VPN có 4 giao thức chính để thiết lập một “mạng riêng ảo” hoàn chỉnh đó là:
L2F - Layer 2 Forwarding Protocol
PPTP - Point-to-Point Tunneling Protocol
L2TP - Layer 2 Tunneling Protocol
IPSec - IP Security
Ngoài ra còn một số giao thức khác, tuy nhiên những giao thức này ít được sử dụng
bởi một số bất cập trong quá trình triển khai. Tuỳ theo từng lớp ứng dụng cụ thể mà
mỗi giao thức đều có ưu và nhược điểm khác nhau khi triển khai vào mạng VPN, việc
quan trọng là người thiết kế phải kết hợp các giao thức một cách linh hoạt.
3.1 Các giao thức đường hầm
Các giao thức đường hầm là nền tảng của công nghệ VPN, có nhiều giao thức
đường hầm khác nhau, việc sử dụng giao thức nào liên quan đến các phương pháp xác
thực và mã hóa đi kèm. Như đã giới thiệu ở trên, các giao thức đường hầm phổ biến
hiện nay là:
L2F - Layer 2 Forwarding Protocol
PPTP - Point-to-Point Tunneling Protocol
L2TP - Layer 2 Tunneling Protocol.
3.1.1 Giao thức chuyển tiếp lớp 2 (L2F – Layer 2 Forwarding Protocol)
Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trong các hệ thống
mạng của Cisco dựa trên giao thức PPP - Point to Point Protocol (là một giao thức
truyền thông nối tiếp lớp 2), L2F cho phép máy tính của người dùng truy nhập vào
mạng Intranet của một tổ chức thông qua cơ sở hạ tầng mạng công cộng Internet với
sự an toàn cao. Tương tự như giao thức định đường hầm điểm tới điểm PPTP, giao
thức L2F cho phép truy nhập mạng riêng ảo một cách an toàn xuyên qua cơ sở hạ tầng
mạng công cộng bằng cách tạo ra một đường hầm giữa hai điểm kết nối.
Sự khác nhau cơ bản giữa hai giao thức PPTP và L2F là PPTP chỉ hỗ trợ IP, IPX,
NetBIOS và NetBEUI, còn L2F định đường hầm không tuỳ thuộc vào mạng IP, L2F
có thể làm việc với nhiều công nghệ mạng khác nhau như: Frame Relay, ATM,
FDDI...
L2F hỗ trợ việc định đường hầm cho hơn một kết nối. L2F có thể làm được điều
này trong khi nó định nghĩa những kết nối bên trong đường hầm, đây là một đặc điểm
hữu ích của L2F trong trường hợp ở nơi có nhiều người sử dụng truy nhập từ xa mà
chỉ có duy nhất một kết nối được thoả mãn yêu cầu.
Trang 9
Laptop
L2F Tunnel
Laptop
PSTN
Eterprise Customer
Internet Service Provider
Laptop
Access VPN
Hình 3. 1 Mô hình kết nối VPN sử dụng L2F
L2F sử dụng giao thức PPP để chứng thực giống như giao thức PPTP, tuy nhiên
L2F còn hỗ trợ chứng thực người dùng quay số từ xa RADIUS (Remote
Authentication Dial-up User Service) và hệ thống điều khiển giám sát đầu cuối
TACACS+ (Terminal Access Controller Access Control System). Với giao thức L2F,
một sự an toàn đầy đủ giữa hai điểm kết nối VPN có thể được tạo ra và sử dụng, nó là
một giải pháp khá linh hoạt và đáng tin cậy.
Cấu trúc của 1 gói tin đi qua L2F VPN như sau:
1bit 1bit 1bit 1bit
F
K
P
S
8bit
1bit
3 bit
8 bit
8bit
Reserved
C
Version
Protocol
Sequence
Multiplex IP
Client ID
Length
Offset
Key
Data
Checksum
Trong đó, ý nghĩa của các trường như sau:
- F: chỉ định trường Offset có mặt
- K: chỉ định trường Key có mặt
- P: thiết lập độ ưu tiên (Priority) cho gói
- S: chỉ định trường Sequence có mặt
- Reserved: luôn được đặt là 00000000
- Version: phiên bản của L2F
- Protocol: xác định giao thức đóng gói L2F
- Sequence: số chuỗi được đưa ra nếu trong tiêu đề L2F có bit S = 1
- Multiplex ID: nhận dạng một kết nối riêng trong một đường hầm
- Client ID: giúp tách đường hầm tại những điểm cuối
- Length: chiều dài của gói (tính bằng byte) không bao gồm phần Checksum
- Offset: xác định số byte cách tiêu đề L2F, tại đó dữ liệu tải tin được bắt đầu.
- Key: là một phần của quá trình xác thực (có mặt khi bit K = 1)
- Checksum: tổng kiểm tra của gói (có mặt khi bit C = 1)
Hệ thống sử dụng L2F bao gồm các thành phần sau:
Hình 3. 2 Các thành phần trong hệ thống VPN sử dụng L2F
Máy chủ truy nhập mạng (NAS – Network Access Server): hướng lưu lượng đến
và đi giữa máy khách ở xa (Remote client) và Home Gateway.
Đường hầm (Tunnel): định hướng đường đi giữa NAS và Home Gateway. Một
đường hầm có thể bao gồm một số kết nối.
Home Gateway: ngang hàng với NAS, là phần tử cửa ngõ thuộc mạng riêng.
Kết nối (Connection): là một kết nối PPP trong đường hầm.
Điểm đích (Destination): là điểm kết thúc ở đầu xa của đường hầm, trong trường
hợp này thì Home Gateway chính là điểm đích.
Các bước hoạt động của L2F bao gồm: thiết lập kết nối, định đường hầm và phiên làm
việc. Cụ thể như sau:
Người sử dụng ở xa dial-up tới hệ thống NAS và khởi đầu một kết nối PPP tới
ISP.
Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP
(Link Control Protocol).
NAS sử dụng cơ sử dữ liệu cục bộ liên quan tới tên miền hay xác thực RADIUS
để quyết định xem người sử dụng có hay không yêu cầu dịch vụ L2F.
Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục, NAS thu nhận địa chỉ của
Gateway đích.
Một đường hầm được thiết lập từ NAS tới Gateway đích nếu giữa chúng chưa có
đường hầm nào. Việc thành lập đường hầm bao gồm giai đoạn xác thực từ ISP tới
Gateway đích để chống lại tấn công bởi kẻ thứ 3.
Một kết nối PPP mới được tạo ra trong đường hầm, điều này có tác động kéo dài
phiên PPP từ người sử dụng ở xa tới Home Gateway. Kết nối này được thiết lập
như sau: Home Gateway tiếp nhận các lựa chọn và tất cả thông tin xác thực
PAP/CHAP như đã thỏa thuận bởi đầu cuối người sử dụng và NAS. Home
Gateway chấp nhận kết nối hay thỏa thuận lại LCP và xác thực lại người sử dụng.
Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó đóng gói lưu lượng vào
trong các khung L2F và hướng chúng vào trong đường hầm.
Tại Home Gateway, khung L2F được tách bỏ và dữ liệu đóng gói được hướng tới
mạng công ty.
Ưu điểm và nhược điểm của L2F:
Ưu điểm:
- Cho phép thiết lập đường hầm đa giao thức.
- Được hỗ trợ bởi nhiều nhà cung cấp.
Nhược điểm:
- Không có mã hóa.
- Hạn chế trong việc xác thực người dùng.
- Không có điều khiển luồng cho đường hầm.
3.1.2 Giao thức PPTP (Point-to-Point Tunneling Protocol)
PPTP là kết quả của sự nỗ lực chung giữa Microsoft và một loạt các nhà cung cấp
thiết bị mạng như 3Com, Ascend Communications, ECI Telematics và U.S Robotics.
Ban đầu, những công ty này tạo ra PPTP Forum và đưa ra các thông số kỹ thuật mô tả
PPTP. Sau đó, họ gửi những thông số này tới IETF để được xem xét công nhận như là
một chuẩn Internet vào năm 1996. Ý tưởng cơ bản của giao thức này là tách các chức
năng chung và riêng của truy nhập từ xa, lợi dung cơ sở hạ tầng Internet sẵn có để tạo
kết nối bảo mật giữa người dùng ở xa và mạng riêng mà họ được phép truy nhập.
Người dùng ở xa chỉ việc kết nối tới nhà cung cấp dịch vụ Internet ở địa phương là có
thể tạo đường hầm bảo mật tới mạng riêng của họ.
Tương tự giao thức L2F, giao thức PPTP (Point-to-Point Tunneling Protocol) ban
đầu được phát triển và được thiết kế để giải quyết vấn đề tạo và duy trì các đường hầm
VPN trên các mạng công cộng dựa vào TCP/IP bằng cách sử dụng PPP. PPTP sử dụng
giao thức đóng gói định tuyến chung (GRE) được mô tả lại để đóng và tách gói PPP.
Giao thức này cho phép PPTP xử lý các giao thức khác không phải IP như IPX,
NetBEUI một cách linh hoạt
Network
Access
Server
(ISP POP)
PPTP
Server
Internet
`
Server
Server
PPP Connection
PPTP Connection (VPN)
Hình 3. 3 Mô hình kết nối PPTP
3.1.2.1 Khái quát hoạt động của PPTP
PPP đã trở thành giao thức truy nhập Internet và các mạng IP rất phổ biến hiện nay,
nó làm việc ở lớp liên kết dữ liệu (Datalink Layer) trong mô hình OSI. PPP bao gồm
các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp,
PPP có thể đóng các gói tin IP, IPX và NetBEUI để truyền đi trên kết nối điểm – điểm
từ máy gửi đến máy nhận.
PPTP đóng gói các khung dữ liệu của giao thức PPP và các IP datagram để truyền
qua mạng IP (Internet hoặc Intranet). PPTP dùng một kết nối TCP (gọi là kết nối điều
khiển PPTP) để khởi tạo, duy trì, kết thúc đường hầm và một phiên bản của giao thức
GRE để đóng gói các khung PPP. Phần tải tin của khung PPP có thể được mật mã hóa
và/hoặc nén.
PPTP sử dụng PPP để thực hiện các chức năng:
-
Thiết lập và kết thúc kết nối vật lý
Xác thực người sử dụng
Tạo các gói dữ liệu PPP
PPTP giả định tồn tại một mạng IP giữa PPTP client và PPTP server. PPTP client
có thể được kết nối trực tiếp thông qua việc dial-up tới máy chủ truy nhập mạng NAS
để thiết lập kết nối IP. Khi một kết nối PPP được thiết lập thì người dùng thường đã
được xác thực, đây là giai đoạn tùy chọn trong PPP, tuy nhiên nó luôn được cung cấp
bởi các ISP.
Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế
xác thực của kết nối PPP. Các cơ chế xác thực có thể là:
-
EAP (Extensible Authentication Protocol): giao thức xác thực mở rộng
-
CHAP (Challenge Handshake Authentication Protocol): giao thức xác thực đòi
hỏi bắt tay.
-
PAP (Password Authentication Protocol): giao thức xác thực mật khẩu.
Với PAP, mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản (clear text),
không có bảo mật. CHAP là một giao thức xác thực mạnh hơn sử dụng phương thức
bắt tay ba bước. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá
trị thách đố (Challenge Value) duy nhất và không thể đoán trước được.
PPTP cũng thừa hưởng vật mật mã và/hoặc nén phần tải tin từ PPP. Để mật mã
phần tải tin, PPP có thể sử dụng phương thức mã hóa điểm – tới – điểm MPPE
(Microsoft Point to Point Encryption). MPPE chỉ cung cấp mật mã mức truyền dẫn,
không cung cấp mật mã đầu cuối đến đầu cuối. Nếu cần sử dụng mật mã đầu cuối đến
đầu cuối thì có thể sử dụng IPSec để mật mã lưu lượng IP giữa các đầu cuối sau khi
đường hầm PPTP đã được thiết lập.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các qui luật đóng gói của PPP để đóng
các gói truyền trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra bởi PPP,
PPTP định nghĩa hai loại gói là gói điều khiển và gói dữ liệu, sau đó gán chúng vào hai
kênh riêng là kênh điều khiển và kênh dữ liệu. PPTP phân tách các kênh điều khiển và
kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức
IP. Kết nối TCP tạo giữa máy trạm PPTP và máy chủ PPTP được sử dụng để truyền tải
thông báo điều khiển.
Các gói dữ liệu là dữ liệu thông thường của người dùng, các gói điều khiển được
gửi theo chu kỳ để lấy thông tin về trạng thái kết nối và quản lý báo hiệu giữa ứng
dụng khách PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các
thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm.
3.1.2.2 Duy trì đường hầm bằng kết nối điều khiển PPTP
Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạm PPTP (cổng TCP
được cấp phát ngẫu nhiên) và địa chỉ IP của máy chủ PPTP (sử dụng cổng mặc định là
1723). Kết nối điều khiển PPTP mang các bản tin điều khiển và quản lý được sử dụng
để duy trì đường hầm PPTP. Các bản tin này bao gồm PPTP echo-request và PPTP
echo-reply định kỳ để phát hiện các lỗi kết nối giữa máy trạm và máy chủ PPTP. Các
- Xem thêm -