Luận văn
Cấu hình VPN site to site trên Windows Server 2008
LỜI CẢM ƠN
Đầu tiên cho em xin gửi lời cảm ơn đến tất cả các thầy cô trong khoa Kỹ
thuật - công nghệ trường Đại học Hà Tĩnh đã hỗ trợ, tạo điều kiện về cơ sở vật chất
cho em trong quá trình thực hiện khóa luận.
Đặc biệt em xin gửi lời cám ơn đến thầy Nguyễn Quốc Dũng – người đã
trực tiếp hướng dẫn em hoàn thành khóa luận này. Bên cạnh đó là những ý kiến
đóng góp của bạn bè, đã cho em nguồn động viên lớn để hoàn thành nhiệm vụ của
khóa luận. Qua đó, em đã đạt được nhiều tiến bộ về kiến thức cũng như những kĩ
năng làm việc bổ ích.
Em chân thành gửi lời cám ơn sâu sắc đến toàn thể thầy cô và các bạn!
Hà Tĩnh, ngày 25/05/2013
Lê Đức Long
1
LỜI CAM ĐOAN
Tôi xin cam đoan những kết quả nghiên cứu trong đề tài này hoàn toàn thực
tế. Nếu xảy ra bất kỳ trường hợp nào liên quan đến bản quyền, tôi xin chịu hoàn
toàn trách nhiệm.
Hà Tĩnh, ngày 24/05/2013
Lê Đức Long
2
MỤC LỤC
LỜI CÁM ƠN 1
LỜI CAM ĐOAN 2
LỜI MỞ ĐẦU 4
Chương 1. TỔNG QUAN CHUNG VỀ MẠNG VPN 5
1.1.Giới thiệu 5
1.2.Khái niệm VPN 6
1.3.Các loại mạng VPN 7
1.4. Ưu điểm của VPN. 8

VPN – Virtual Private Network ra đời sẽ là sự lựa chọn số một của các
doanh nghiệp, tổ chức, cơ quan khi muốn đảm bảo chắc chắn về độ an toàn, bảo mật
trong hệ thống mạng, cũng như về giải pháp tiết kiệm chi phí đầu tư cơ sở hạ tầng
mạng. VPN có thể xây dựng trên cơ sở hạ tầng sẵn có của mạng Internet nhưng lại
có được các tính chất của một mạng cục bộ như khi sử dụng các đường Leased-line.
Vì vậy, có thể nói VPN chính là sự lựa chọn tối ưu cho các doanh nghiệp kinh tế.
Với chi phí hợp lý, VPN có thể giúp doanh nghiệp tiếp xúc toàn cầu nhanh chóng
và hiệu quả hơn so với các giải pháp mạng diện rộng WAN. Với VPN, ta có thể
giảm chi phí xây dựng do tận dụng được cơ sở hạ tầng công cộng sẵn có, giảm chi
phí thường xuyên, mềm dẻo trong xây dựng.
4
CHƯƠNG 1. TỔNG QUAN CHUNG VỀ MẠNG VPN
1.1.Giới thiệu
Hiện nay, với sự phát triển mạnh mẽ như vũ bão của Internet về mặt mô hình
cho nền công nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết
kế để nhằm kết nối các mạng con khác nhau lại với nhau và cho phép thông tin
chuyển đến người sử dụng một cách nhanh chóng mà không cần xét đến máy và
mạng mà người sử dụng đó đang sử dụng. Để làm được điều này, người ta sử dụng
một máy tính đặc biệt gọi là Router để kết nối các LAN và WAN lại với nhau. Các
máy tính kết nối vào Internet thông qua nhà cung cấp dịch vụ (ISP – Internet
Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ thuật còn phải
tiếp tục giải quyết là năng lực truyền thông của các mạng viễn thông công cộng.
Với Internet, những dịch vụ như giáo dục từ xa, mua hàng trực tuyến, tư vấn y tế và
rất nhiều dịch vụ hữu ích khác đã trở thành hiện thực. Tuy nhiên do Internet có
phạm vi toàn cầu và không một tổ chức, chính phủ cụ thể nào quản lý nên rất khó
khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc quản lý các dịch vụ.
Từ đó người ta đã đưa ra một mô hình mạng mới nhằm thỏa mãn những yêu cầu
trên mà vẫn có thể tận dụng cơ sở hạ tầng hiện có của Internet, đó chính là mô hình
mạng riêng ảo (VPN – Virtual Private Network). Với mô hình mới này, người ta
không phải đầu tư thêm nhiều về cơ sở hạ tầng mà các tính năng như bảo mật, độ

một tổ chức với địa điểm hoặc người sử dụng ở xa.
Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường
thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên
ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và
thời gian.
1.3.Các loại mạng VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) và
VPN điểm-nối-điểm (site-to-site) :
1.3.1.VPN truy cập từ xa (Remote-Access ):
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (Virtual Private
Dial-up Network - VPDN), là một kết nối người dùng đến LAN, thường là nhu cầu
của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất
nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến
một nhà cung cấp dịch vụ doanh nghiệp (Enterprises Service Provider - ESP). ESP
này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng
từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng có thể
gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách để truy
cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an toàn, có
mật mã.
Nói cách khác, đây là dạng kết nối áp dụng cho các công ty mà các nhân viên
có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa. Điển
hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access diện
rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP. ESP cài đặt một công
nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần mềm
7
client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một số từ 1-
800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client để truy
cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những hãng
lớn với hàng trăm nhân viên thương mại. Remote-access VPN đảm bảo các kết nối
được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ xa qua

kết nối nội bộ giữa các phần xa nhau của intranet. Do Internet có thể được truy cập
toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử dụng cũng có thể kết
nối dễ dàng với mạng intranet chính.
- Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông
qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào đó, VPN
sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa, xác nhận và ủy
quyền. Do đó VPN được đánh giá cao bảo mật trong truyền tin.
- Hiệu suất băng thông: Sự lãng phí băng thông khi không có kết nối Internet
nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ được hình thành
khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ được sử dụng khi có kích
hoạt kết nối Internet. Do đó hạn chế rất nhiều sự lãng phí băng thông.
- Có thể nâng cấp dễ dàng: Bởi bì VPN dựa trên cơ sở Internet nên các nó
cho phép các mạng intranet các tổ chức có thể phát triển khi mà hoạt động kinh
doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung thêm vào tối
thiểu. Điều này làm mạng intranet có khả năng nâng cấp dễ dàng theo sự phát triển
trong tương lai mà không cần đầu tư lại nhiều cho cơ sở hạ tầng.
1.5. Nhược điểm.
- Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắc nghẽn
mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong mạng
VPN.
9
- Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay chưa hoàn toàn trên cơ
sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn (mainframes)
và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi ngày. Kết quả là VPN
không phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải
quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin
SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất
làm việc của cả mạng.
- Nhược điểm của các thiết bị VPN hiện nay :
+ Khi có một gói tin được gửi thông qua mạng Internet giữa 2 mạng Intranet,

(hard-wired) được dùng trong mạng LAN. Việc che dấu cơ sở hạ tầng của nhà cung
cấp dịch vụ ISP và Internet được thực hiện bởi một khái niệm gọi là định đường
hầm (tunneling).
Để tạo ra một đường hầm, điểm cuối nguồn phải đóng gói (encapsulate) các
gói (packets) của mình trong những gói IP (IP packets) cho việc truyền qua Internet.
Việc đóng gói trong VPN có thể bao gồm việc mã hóa gói gốc và thêm vào một tiêu
đề IP (IP header) mới cho gói. Tại điểm cuối nhận, cổng nối (gateway) gỡ bỏ tiêu
đề IP và giải mã gói nếu cần thiết và chuyền gói nguyên thủy đến đích của nó.
2.1.2.Các dịch vụ bảo mật
Đây là tính riêng quan trọng của VPN. Một mạng VPN cần cung cấp bốn
chức năng giới hạn để đảm bảo độ bảo mật cho dữ liệu. Bốn chức năng đó là:
-
Xác thực (Authentication): đảm bảo dữ liệu đến từ một nguồn yêu cầu.
11
- Điều khiển truy cập (Access control): hạn chế việc đạt được quyền cho phép
vào mạng của những người dùng bất hợp pháp.
- Tin cậy (Confidentiality): ngăn không cho một ai đó đọc hay sao chép dữ
liệu khi dữ liệu được truyền đi qua mạng Internet.
- Tính toàn vẹn của dữ liệu (Data integrity): đảm bảo không một ai làm thay
đổi dữ liệu khi nó truyền đi trên mạng.
Nhưng việc thực hiện bảo mật tại những mức độ này có thể diễn ra hai hình
thức mà nó tác động đến trách nhiệm của một cá nhân cho việc bảo mật dữ liệu của
riêng mình. Bảo mật có thể được thực hiện cho các thông tin đầu cuối – đến – đầu
cuối (end – to – end communication), ví như giữa hai máy tính, hay giữa các thành
phần mạng khác với nhau, ví dụ như tường lửa hay bộ định tuyến. Trong trường
hợp cuối có thể được xem như bảo mật kết nối nút-nút (node-to-node security).
Máy trạm


Cổng nối

Theo hình 3.3, chúng ta thấy có bốn thành phần chính của một mạng VPN,
đó là: Internet, cổng nối bảo mật (security gateway), máy chủ chính sách bảo mật
(security policy server) và cấp quyền CA (certificate authority).
Mạng LAN
được bảo vệ
Hình 2.2: Các thành phần trong một mạng
VPN
13
Mạng LAN
được bảo vệ
CHƯƠNG 3. BẢO MẬT TRONG MẠNG RIÊNG ẢO VPN
Một trong những mối quan tâm chính của bất kỳ tổ chức, công ty nào là việc
bảo mật dữ liệu của họ. Bảo mật dữ liệu chống lại các truy cập và thay đổi trái phép
không chỉ là một vấn đề trên các mạng. Việc truyền dữ liệu giữa các máy tính hay
giữa các mạng LAN với nhau có thể làm cho dữ liệu bị tấn công và dễ bị thâm nhập
hơn là khi dữ liệu vẫn còn trên một máy tính đơn.
Vấn đề bảo mật trên hệ thống mạng riêng ảo VPN dựa chủ yếu vào các vấn
đề về thiết lập đường hầm (tulneling), các dịch vụ bảo mật và các giao thức sử dụng
trong VPN. Những vấn đề trên đã được khái quát ở chương 2 (chương cấu trúc
VPN).
Chương 3 sẽ bàn về vấn đề bảo mật VPN và sẽ đi sâu hơn về hai giao thức
được chọn làm hai giao thức bảo mật trong khóa luận này là L2TP và IPSec.
Trước khi đi sâu vào vấn đề chính, chúng ta lướt qua các dạng tấn công
mạng hiện nay, từ đó sẽ có cái nhìn tổng quan hơn với việc bảo mật thế nào để ngăn
chặn những luồng tấn công đó:
3.1. Các dạng tấn công mạng.
3.1.1. Đánh lừa
Tấn công kiểu đánh lừa (spoofing) là việc một người tấn công có thể sử dụng
địa chỉ IP của một ai đó và giả vờ trả lời người khác.
3.1.2. Ăn cắp phiên

và các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng
dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc
sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì
đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
15
Hình 3.1 : IPSec và các giao thức được sử dụng trong VPN
3.2.1. Dạng thức của IPSec.
Hoạt động của IPSec ở mức cơ bản đòi hỏi phải có các phần chính đó là:
- Kết hợp bảo mật SA (Security Association).
- Xác thực tiêu đề AH (Authentication Header).
- Bọc gói bảo mật tải ESP (Encapsulating Security Payload).
- Chế độ làm việc.
3.2.1.1. Kết hợp bảo mật SA.
Để hai bên có thể truyền dữ liệu đã được bảo mật (dữ liệu đã được xác thực
hoặc được mã hóa hoặc cả hai) cả hai bên phải cùng thống nhất sử dụng giải thuật
mã hóa, làm thế nào để chuyển khóa và chuyển khóa nếu như cần. Cả hai bên cũng
cần thỏa thuận bao lâu thì sẽ thay đổi khóa một lần. Tất cả các thỏa thuận trên là do
SA đảm nhận. Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất một SA
và có thể đòi hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA riêng
cho nó. Do đó, một gói được xác thực đòi hỏi một SA, một gói được mã hóa cũng
yêu cầu một SA. Thậm chí nếu cùng dùng chung một giải thuật cho xác thực và mã
hóa thì cũng cần phải có 2SA khác nhau do sử dụng những bộ khóa khác nhau.
3.2.1.2. Xác thực tiêu đề AH.
16
Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sử
dụng cho các dịch vụ xác thực. AH được chèn vào giữa tiêu đề IP và nội dung phía
sau, không làm thay đổi gói dữ liệu.
Xác thực tiêu đề gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field),
chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter
Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data).

gửi lên mạng.
ESP cũng có thể sử dụng với mục đích xác thực. Trường xác thực ESP, một
trường tùy chọn trong ESP, bao gồm một tổng kiểm tra tổng mã hóa. Độ dài của
tổng kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng. Nó cũng có
thể được bỏ qua nếu như dịch vụ xác thực không được chọn trong ESP. Xác thực
được tính toán sau khi tiến trình mã hóa dữ liệu đã hoàn thành.
Dịch vụ xác thực cung cấp bởi AH khác so với ESP là dịch vụ xác thực trong
ESP không bảo mật tiêu đề IP đặt trước ESP mặc dù nó bảo mật tiêu đề IP đã bọc
gói trong chế độ đường hầm.
Hình 3.4: So sánh xác thực bởi AH và ESP
Nếu như AH được sử dụng với mục đích xác thực thì tại sao còn tùy chọn
xác thực trong ESP? AH chỉ sử dụng trong những trường hợp khi xác thực gói là
19
cần thiết. Mặt khác khi xác thực và tính riêng tư được yêu cầu thì sử dụng ESP với
tùy chọn xác thực sẽ tốt hơn. Sử dụng ESP cho mã hóa và xác thực, thay vì sử
dụng AH và ESP không có tùy chọn xác thực, sẽ giảm kích thước nên các gói sẽ
được xử lý hiệu quả hơn.
3.2.1.4. Chế độ làm việc trong IPSec
Có hai chế độ làm việc trong IPSec:
- Chế độ giao vận (Transport mode): Chỉ có đoạn lớp giao vận trong gói là
được xử lý. Chế độ này chỉ mã hóa phần payload của mỗi gói tin, nhưng bỏ đi phần
header. Nhược điểm của chế độ này là nó cho phép các thiết bị trong mạng nhìn
thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số xử lý (như phân
tích lưu lượng) dựa trên các thông tin của tiêu đề IP. Tuy nhiên, nếu dữ liệu được
mã hóa bởi ESP thì sẽ không biết được thông tin cụ thể từ bên trong gói tin IP là gì.
- Chế độ đường hầm (Tunnel mode): Toàn bộ gói sẽ được xử lý cho mã hóa
xác thực. Chế độ này mã hóa cả phần header và payload để cung cấp sự thay đổi
bảo mật nhiều hơn của gói tin.
3.2.2. Quản lý khóa
Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao

Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có số lượng lớn
các đối tượng di động.
- IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ
các dạng lưu lượng khác.
- Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề
khó đối với các trạm làm việc và máy PC năng lực yếu.
- Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế
đối với chính phủ một số quốc gia.
3.3. Giao thức Layer 2 Tunneling Protocol (L2TP).
L2TP là sự kết hợp của hai giao thức PPTP và giao thức chuyển tiếp lớp 2 -
L2F (Layer 2 Forwarding).
21
Hình 3.5: L2TP là sự kết hợp giữa PPTP và L2F
L2F là giao thức đường hầm, nó sử dụng giao thức đóng gói riêng cho việc
truyền các gói ở lớp 2. L2F không phụ thuộc vào IP và GRE (Generic Routing
Encapsulation – gói định tuyến chung), cho phép nó có thể làm việc ở môi trường
vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa
riêng cách thức các gói được điều khiển trong môi trường khác. L2F tận dụng PPP
để xác thực người dùng quay số truy cập. Nhưng nó cũng hỗ trợ TACACS+ và
RADIUS cho việc xác thực
3.3.1. PPTP và L2TP
Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là: thông báo
điều khiển và thông báo dữ liệu. Tuy nhiên, không giống như PPTP, L2TP truyền
cả hai thông báo vào trong một luồng. Nếu như đường hầm được truyền trên mạng
IP thì cả hai thông báo đều được gửi trên cùng gói dữ liệu UDP.
Thông báo điều khiển L2TP điều khiển việc thiết lập, quản lý và giải phóng
phiên làm việc trên đường hầm.
Do L2TP làm việc ở lớp thứ hai nên trong thông báo dữ liệu L2TP bao gồm
tiêu đề môi trường để chỉ ra đường hầm làm việc trong môi trường nào. Tùy theo
nhà cung cấp dịch vụ (ISP) mà môi trường có thể là Ethernet, X.25, Frame Relay,

- Quản lý các khóa ngay khi chúng được chấp nhận trong tiến trình thỏa thuận.
- Đảm các khóa được chuyển một cách bảo mật.
Chuyển khóa giống tương tự như quản lý SA. Khi cần tạo một SA cần phải
chuyển khóa. Do đó cấu trúc của IKE bọc chúng lại với nhau và chuyển chúng đi
như một gói tích hợp.
Bởi vì IKE dựa trên IP nên nó dễ dàng được ghép vào L2TP chạy trên mạng
IP hơn là trên mạng không phải IP.
3.3.5. Sử dụng L2TP
Thành phần quan trọng nhất của L2TP là định nghĩa điểm kết thúc một
đường hầm: LAC và LNS. Bởi vì các điểm này có thể nằm trên thiết bị ISP (nhà
cung cấp dịch vụ) nên phần mềm cho client di động có thể không cần thiết.
Mặc dù LNS có thể cài đặt ngay tại công ty và điều hành bởi một nhóm làm
việc của công ty, nhưng LAC nên nhờ hỗ trợ của ISP. Thực ra nếu như trên máy
client từ xa có cài sẵn client L2TP thì ISP không cần hỗ trợ thêm L2TP.
Tại site của mạng riêng, máy chủ L2TP đóng vai trò như cổng nối bảo mật,
kết nối xác thực với RADIUS. Client L2TP tại các máy tính xách tay của người
dùng có thể thực thi những chức năng giống như phần mềm client IPSec.
3.3.5.1 Các máy chủ mạng L2TP
Một máy chủ L2TP có hai chức năng chính là: nó đóng vai trò là điểm kết
thúc của đường hầm PPTP và chuyển các gói đến từ đường hầm đến mạng LAN.
Máy chủ L2TP chuyển các gói đên các máy đích bằng cách xử lý gói L2TP để có
được địa chỉ mạng của máy tính đích.
24