LỜI CẢM ƠN
Tôi muốn gửi lời cám ơn chân thành tới tất cả những người đã hỗ trợ và
giúp đỡ tôi trong quá trình hoàn thành quyển luận văn này.
Tôi muốn gửi lời cám ơn đặc biệt tới TS. Lê Ngọc Giao, người đã hướng dẫn
cho tôi hướng nghiên cứu của đề tài, người đã đưa ra những nhận xét quý giá và
trực tiếp hướng dẫn tôi trong quá trình nghiên cứu.
Tôi xin cám ơn các thầy cô giáo Học viện Công nghệ Bưu chính Viễn thông
và các đồng nghiệp tại Viễn thông Hà Nội – nơi tôi công tác, đã có những giúp đỡ
cho tôi trong quá trình công tác và học tập.
Cuối cùng, tôi xin gửi những lời cám ơn chân thành nhất tới cha mẹ, anh
em, bè bạn và vợ con của tôi, những người đã có nhiều động viên, khuyến khích với
tôi trong cuộc sống cũng như trong học tập.
Hà Nội – 08/2008
Nguyễn Minh Tuấn
i
MỤC LỤC
LỜI CẢM ƠN i
MỤC LỤC ii
THUẬT NGỮ VÀ CÁC CHỮ VIẾT TẮT vii
DANH MỤC HÌNH VẼ x
MỞ ĐẦU 1
CHƯƠNG 1: TỔNG QUAN VÀ CÁC TIÊU CHUẨN VỀ MẠNG RIÊNG ẢO 2
1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO 2
1.1.1 Vài nét về mạng riêng : 2
1.1.2 Khái niệm mạng riêng ảo – VPN : 2
1.1.2.1 Các yếu tố thúc đẩy sự phát triển của VPN: 2
1.1.2.2 Lợi ích của mạng riêng ảo VPN 3
1.2 CHUẨN HOÁ, PHÂN LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO LỚP 2
VÀ LỚP 3 4
1.2.1 Các chuẩn cho các mạng VPN 4
1.2.2 Giới thiệu về công nghệ: 4

3.1 AN TOÀN CƠ SỞ HẠ TẦNG 26
3.1.1 Những thách thức bảo mật doanh nghiệp 26
3.1.1 Những thách thức bảo mật doanh nghiệp 26
3.1.2 Chính sách bảo mật doanh nghiệp 26
3.1.2 Chính sách bảo mật doanh nghiệp 26
3.1.3 Bảo mật doanh nghiệp 27
3.1.3 Bảo mật doanh nghiệp 27
3.1.3.1 Bảo mật logic và bảo mật vật lý 28
3.1.3.1 Bảo mật logic và bảo mật vật lý 28
3.1.3.2 Simple Network Management Protocol – SNMP 29
3.1.3.2 Simple Network Management Protocol – SNMP 29
3.1.3.3 Nhận thực giao thức định tuyến – Routing Protocol Authentication 30
iii
3.1.3.3 Nhận thực giao thức định tuyến – Routing Protocol Authentication 30
3.1.3.4 Bộ lọc định tuyến – Routing Filter 30
3.1.3.4 Bộ lọc định tuyến – Routing Filter 30
3.1.3.5 HTTP Access 31
3.1.3.5 HTTP Access 31
3.2 CÔNG NGHỆ BẢO MẬT AAA 31
3.2 CÔNG NGHỆ BẢO MẬT AAA 31
3.2.1 Sự bảo mật điều khiển truy nhập 31
3.2.1 Sự bảo mật điều khiển truy nhập 31
3.2.1.1 Sự nhận thực 32
3.2.1.1 Sự nhận thực 32
3.2.1.2 Cho phép (Authorization) 34
3.2.1.2 Cho phép (Authorization) 34
3.2.1.3 Sự thanh toán (Accounting) 35
3.2.1.3 Sự thanh toán (Accounting) 35
3.2.2 Các giao thức AAA 35
3.2.2 Các giao thức AAA 35

3.4.2.2 Ánh xạ User-defined 53
3.4.2.3 Ánh xạ Host-defined 53
3.4.2.3 Ánh xạ Host-defined 53
3.4.3 Phát hiện sự xâm nhập tường lửa IOS 54
3.4.3 Phát hiện sự xâm nhập tường lửa IOS 54
3.5 CÔNG NGHỆ MÃ HOÁ 55
3.5 CÔNG NGHỆ MÃ HOÁ 55
3.5.1 Lợi ích của mã hoá 56
3.5.1 Lợi ích của mã hoá 56
3.5.2 Mã hoá khoá đối xứng và bất đối xứng 57
3.5.2 Mã hoá khoá đối xứng và bất đối xứng 57
3.5.2.1 Mã hoá khoá đối xứng 57
v
3.5.2.1 Mã hoá khoá đối xứng 57
3.5.2.2 Mã hoá khoá bất đối xứng 59
3.5.2.2 Mã hoá khoá bất đối xứng 59
3.5.2.3 Mã chung 62
3.5.2.3 Mã chung 62
3.6 INTERNET PROTOCOL SECURITY 62
3.6 INTERNET PROTOCOL SECURITY 62
3.6.1 Các kiểu gói IPSec 63
3.6.1 Các kiểu gói IPSec 63
3.6.1.1 Mào đầu nhận thực – AH 63
3.6.1.1 Mào đầu nhận thực – AH 63
3.6.1.2 Tải trọng bảo mật đóng gói 64
3.6.1.2 Tải trọng bảo mật đóng gói 64
3.6.2 Các chế độ hoạt động IPSec 64
3.6.2 Các chế độ hoạt động IPSec 64
3.6.2.1 Chế độ Transport 64
3.6.2.1 Chế độ Transport 64

BGP
Border Gateway Protocol
Giao thức cổng biên
CA Certification Authority Quyền Chứng nhận
CBAC Context-Based Access Control Sự điều khiển truy nhập dựa trên
ngữ cảnh
vii
CDS Certificate Distribution System Hệ thống phân phối chứng chỉ
CEF Cisco Express Forwading Cơ chế chuyển tiếp dựa trên mô
hình lớp 3 cải tiến, nó tối ưu hoá
hiệu năng mạng và cung cấp các
đặc tính lưu lượng internet cho
giao thức IP
DES Data Encryption Standard Chuẩn mã dữ liệu
DLCI Data link channel identifier Nhận dạng kênh liên kết dữ liệu
ERS Ethernet relay service Ethernet VPWS tính toán số
VLAN và đề xuất dịch vụ giống
như frame-relay cho người sử
dụng
EWS Ethernet wire service Ethernet VPWS phân phối các
dịch vụ dựa trên cổng (port-
based service)
FIB Forwarding Information Base Cơ sở thông tin chuyển tiếp
IDS Intrusion detection system Hệ thống phát hiện xâm nhập
IKE Internet key exchange Trao đổi khóa Internet
IKE SA IKE Security Association Liên kết bảo mật IKE
IPSec Internet Protocol Security. Bảo mật giao thức internet
ISAKMP Internet Security Association Key
Management Protocol
Giao thức quản lý khoá liên kết

Hệ thống điều khiển truy nhập
những thiết bị điều khiển truy
nhập đầu cuối
TLS Transport Layer Security Bảo mật lớp truyền dẫn
User
VPLS Multipoint virtual private LAN
service
Dịch vụ LAN riêng ảo đa điểm
VPN Virtual Private Network Mạng riêng ảo
VPDN Virtual Private Dial-up Network Mạng riêng ảo Dial-up
VPWS The point-to-point virtual
private wire service
Dịch vụ dây riêng ảo điểm-tới-
điểm
VPLS Multipoint virtual private LAN
service
Dịch vụ LAN riêng ảo đa điểm
VR Virtual Router Bộ định tuyến ảo
ix
DANH MỤC HÌNH VẼ
Hình 1.1: Kiến trúc L2VPN 5
Hình 1.2: Kiến trúc L2VPN 6
Hình 1.3: Kiến trúc đơn giản của VPLS 9
Hình 1.4: Hệ thống VPLS với PE phân bố 10
Hình 1.5: Các thành phần phổ biến của L3VPNs dựa trên nền mạng 11
Hình 2.1: Các phần tử của một mạng dựa trên VPN 18
Hình 2.2: Vai trò của một ISP giả trong việc truyền dữ liệu có hại cho một mạng
intranet của một tổ chức 19
Hình 2.3 Vai trò của một router giả trong việc truyền dữ liệu có hại cho một mạng
intranet của một tổ chức 20

hơn, quy mô lớn hơn và có nhiều vấn đề kỹ thuật cần giải quyết. Khi xây dựng
mạng riêng ảo thì cần đạt được 03 yêu cầu là tính xác thực, tính toàn vẹn và tính
bảo mật. Các yêu cầu này được đề cập trong luận văn “Nghiên cứu các giải pháp
đảm bảo an ninh cho mạng riêng ảo VPN”.
Luận văn được chia làm 03 chương. Chương 1 nói về tổng quan và các tiêu
chuẩn, phân loại về mạng riêng ảo. Chương 2 đề cập đến các yếu tố ảnh hưởng đến
an ninh mạng riêng ảo. Để có một mạng an toàn có nghĩa là các cơ chế bảo mật phải
được đặt đúng nơi, đúng chỗ và các giải pháp đảm bảo an ninh cho mạng riêng ảo
đó sẽ được trình bày trong chương 3.
Phần cuối cùng sẽ là kết luận của bản luận văn và hướng nghiên cứu tiếp theo.
1
CHƯƠNG 1: TỔNG QUAN VÀ CÁC TIÊU CHUẨN VỀ MẠNG RIÊNG
ẢO
1 TỔNG QUAN VỀ MẠNG RIÊNG ẢO
1.1.1 Vài nét về mạng riêng :
Mạng riêng là một thuật ngữ dùng để mô tả một mạng diện rộng g¦m những
thành phần công cộng nhưng được kiểm soát bởi một tổ chức. Mạng riêng được tạo
ra với sự kết nối đường dây điện thoại hay đường thuê bao chuyên biệt thuê từ
những nhà cung cấp truyền thông địa phương hay đường dài trong đó người cung
cấp dịch vụ bảo đảm cho một băng thông nhất định mà không người nào khác có
thể tranh giành (các băng thông này có thể vô dụng trong những lúc không có hoặc
ít lưu thông) .
Mạng máy tính ban đầu được triển khai với 2 kỹ thuật chính: đường thuê riêng
(leased line) cho các kết nối cố định và đường quay số (dial-up) cho các kết nối
không thường xuyên. Các mạng này có tính bảo mật cao, nhưng với lưu lượng dữ
liệu thay đổi và sự đòi hỏi tốc độ cao nên đã tạo sự thúc đẩy hình thành một kiểu
mạng dữ liệu mới. Các mạng riêng được xây dựng trên các kênh lôgích có tính
“ảo” đầu tiên đã được xây dựng trên mạng chuyển mạch gói X.25, Frame relay và
ATM.
1.1.2 Khái niệm mạng riêng ảo – VPN :

− Giảm thiểu thiết bị sử dụng.
− Chi phí thấp: giảm thiểu việc lãng phí băng thông, khách hàng có thể trả theo
cước lưu lượng sử dụng và thực tế chỉ phải trả cho chi phí kết nối Internet
thông thường, như vậy, cước phí của việc sử dụng đường truyền Internet phổ
thông sẽ rẻ hơn nhiều so với thuê đường truyền riêng.
− Quản lý dễ dàng.
− Khả năng lựa chọn tốc độ tối đa từ tốc độ 9,6 Kbit/s tới T1/E1, hoặc sử dụng
công nghệ DSL.
− Khả năng cung cấp dịch vụ một cách nhanh chóng: VPN được cung cấp trên
mạng IP tích hợp được một số ưu điểm, đó là khả năng liên kết lớn, mạng
3
lưới sẵn có vì vậy giảm thiểu thời gian cung cấp dịch vụ.
− Đối với nhà cung cấp dịch vụ:
+ Tăng doanh thu từ lưu lượng sử dụng cũng như xuất phát từ các dịch
vụ gia tăng giá trị khác kèm theo.
+ Tăng hiệu quả sử dụng mạng Internet hiện tại.
+ Đầu tư không lớn, hiệu quả đem lại cao.
+ Mở ra nhiều lĩnh vực kinh doanh mới đối với nhà cung cấp dịch vụ,
thiết bị sử dụng cho mạng VPN.
1.2 CHUẨN HOÁ, PHÂN LOẠI, CÔNG NGHỆ CÁC MẠNG RIÊNG ẢO
LỚP 2 VÀ LỚP 3
1.2.1 Các chuẩn cho các mạng VPN
Thuật ngữ mạng riêng ảo được hiểu rất rộng và nghĩa khác nhau đối với các đối
tượng khác nhau. Hơn nữa, có nhiều cách để phân biệt mạng VPN. Đầu tiên, cách
tiếp cận VPN được phân loại theo trách nhiệm quản lý. Việc chuẩn hoá chú trọng
đến lớp PPVPN (Provider Provisioned VPN), lớp được phân loại nhỏ hơn nữa theo
cách tiếp cận công nghệ cơ bản: sử dụng mạng đường trục đặc biệt lớp 1 hay lớp 2
hoặc là sử dụng mạng đường trục được điều khiển bởi các giao thức nền IP/MPLS.
Các mạng PPVPN đã được phân loại theo vị trí đặt thiết bị VPN đặc biệt như là:
mạng VPN dựa trên biên khách hàng (Customer edge-based VPNs) hay mạng VPN

Ứng dụng của công nghệ L2VPN là tạo ra hub và cấu trúc mạng hình lưới, lưới
cục bộ từ các kết nối điểm-tới-điểm để liên kết các site VPN. Điều này khác với mô
hình L3VPN, mô hình đưa ra dịch vụ kiểu point-to-cloud.
1.2.3.1 Kiến trúc L2VPN:
Cơ cấu tổ chức của L2VPN có thể tóm tắt như hình 1.1. Lưu lượng L2 trong
mạch ảo riêng biệt – mạng LAN ảo frame relay, ATM hay Ethernet (VLAN) - được
truyền qua mạng lõi (IP hay MPLS) trong đường giả lập (pseudo-wires). Phương
pháp này giúp phạm vi dịch vụ cung cấp cho một số lượng rất lớn khách hàng khi
các thiết bị định tuyến trong mạng gói chỉ cần biết về các đường hầm giữa hai thiết
bị biên mà không biết tất cả các kết nối L2 riêng biệt t¦n tại giữa hai thiết bị biên
đó. Tổng quát, tải L2 được đóng gói với mào đầu pseudo-wire và nó lại được đóng
gói trong mào đầu đường hầm. Mào đầu pseudo-wire hoạt động như một trường
tách kênh ở cuối đường hầm.
1.2.3.2 Phân loại L2VPN-over-Packet:
Hình 1.2: Kiến trúc L2VPN.
6
Hình 1.2 định nghĩa thuật ngữ được sử dụng khi phân loại các công nghệ
L2VPN-over-Packet. Một tập các dịch vụ có thể được phân phối qua mạng IP hoặc
sử dụng đường hầm dựa trên IP hoặc sử dụng đường hầm chuyển mạch nhãn đa
giao thức. Hai loại L2VPN là dịch vụ dây riêng ảo điểm-tới-điểm (VPWS) và dịch
vụ LAN riêng ảo đa điểm (VPLS). VPWS cung cấp sự cạnh tranh các kết nối L2
đối với các nhận dạng kênh liên kết dữ liệu (DLCI - Data link channel identifier)
frame relay, các mạch ảo cố định (PVC) ATM, khuôn dạng kênh thuê riêng và
Ethernet.
Trong trường hợp Ethernet VPWS, dịch vụ có thể là Ethernet relay service
(ERS) hoặc là Ethernet wire service (EWS). ERS đưa vào tính toán số VLAN và đề
xuất dịch vụ giống như frame-relay cho người sử dụng cuối với số VLAN thay thế
chức năng frame relay DLCI. EWS phân phối các dịch vụ dựa trên cổng (port-based
service) tức là bất cứ cái gì vận chuyển qua cổng trên đường giả lập (pseudo-wire)
và không có sự sửa chữa số VLAN đặc biệt nào.

được định rõ việc sử dụng cơ chế báo hiệu phát rộng hoặc cơ chế báo hiệu điểm tới
điểm.
Riêng dự phòng giả lập yêu cầu dự phòng các mạch đính kèm (AC -
attachment circuits) tại mỗi giao diện PE/CE, một đường giả lập chỉ rõ sự nhận biết
mạch ảo (VC - ID) và PE từ xa. VC - ID phải là duy nhất giữa đôi dây của các PE.
Mô hình dự phòng tự động được căn cứ trên khái niệm
“colored pools”
, nghĩa là
mỗi PE sẽ có nhóm các mạch nhận biết riêng biệt cho mỗi VPN khác nhau. Cơ chế
này cũng yêu cầu các AC dự phòng, nhưng mỗi AC được đặt trong một nhóm màu
đặc trưng. Bằng cách tự động phát hiện, mỗi PE biết được tất cả các PE khác với
nhóm cùng màu.
Những đề nghị sử dụng BGP như cơ chế tự động phát hiện là RADIUS cũng
được xem xét cho chức năng này.
b. Công nghệ VPLS
Tương tự VPWS, VPLS được xây dựng trên đường giả lập L2. Tuy nhiên, kiến
thức địa chỉ MAC ngu¦n, các khung unicast và broadcast, và chuyển tiếp dựa vào
địa chỉ MAC cũng được định nghĩa, vì vậy dịch vụ VPLS vận hành như một chuyển
mạch LAN tới người dùng cuối. Điều này này được minh họa trong hình 1.3.
8
Hình 1.3: Kiến trúc đơn giản của VPLS.
Điểm chính của dịch vụ VPLS là các site VPN kết nối giả lập phải sử dụng cấu
trúc lưới đầy đủ như vậy đường biên phân chia có thể được sử dụng để ngăn chặn
các vòng lặp. Việc ngăn chặn này cần cho việc thực hiện giao thức cây trong lõi
IP/MPLS. Qui tắc đường biên phân chia được dùng để dừng các vòng lặp, bằng việc
ngăn chặn một PE chuyển dữ liệu thu được từ một đường giả lập trong một VPLS
tới bất kỳ đường giả lập nào khác; nó chỉ được chuyển tới các mạch đính kèm.
Trong trường hợp VPWS, có những đề nghị cho sự thực hiện VPLS dựa vào
cơ chế báo hiệu điểm tới điểm và dựa vào cơ chế quảng bá dựa trên BGP.
Virtual Private LAN Services over MPLS sử dụng một mạng truy nhập dựa

forwading instances – VFI).
11
• Cả hai nhà cung cấp những cơ chế tương tự để tiếp nhận những thông tin có
thể với tới được (các mạng IP hoặc những mạng
subnets
) từ mỗi vị trí. Mỗi cơ chế
có thể sử dụng các giao thức định tuyến IP chuẩn hoặc cấu hình tĩnh.
• Cả hai định địa chỉ yêu cầu để phân phối tính có thể với tới (reachability) vị
trí khách hàng (hoặc định tuyến) qua VPN, và dễ dàng phát hiện các thành viên của
VPN.
• Cả hai sự hỗ trợ cấu trúc đường hầm tunnel giữa các PE hoặc các VR hỗ trợ
khách hàng trong một VPN. Các đường hầm làm đơn giản yêu cầu để bảo trì sự
phân lu¦ng dữ liệu giữa nhiều VPN khác nhau trong mạng của nhà cung cấp dịch
vụ. Phương pháp VR có thể sử dụng bất kỳ loại cơ chế đường hầm nào được hỗ trợ
bởi mạng của nhà cung cấp dịch vụ, bao g¦m các kênh ATM hoặc kênh Frame
relay, trong khi đó RFC 2547bis chỉ định nghĩa việc sử dụng đường hầm dựa trên
MPLS - hoặc IP.
Cả hai phương pháp L3VPN RFC 2547bis lẫn VR có thể làm cho việc sử
dụng tự động phát hiện dựa trên BGP (BGP-based auto-discovery) để cung cấp các
khả năng tham gia VPN. Tự động phát hiện dựa trên BGP là một cơ chế mà các
router PE (hoặc VR) điều khiển kết nối tới một VPN đặc biệt để phát hiện tất cả các
router PE khác (hoặc các VR) cùng được nối tới VPN đó. Để tự động phát hiện dựa
trên BGP làm việc, mỗi PE/VR sử dụng BGP để thông báo rằng nó kết nối tới một
VPN cụ thể nào đó. Tất cả các PE/VR khác trong mạng nhận các thông báo BGP
này.
a. Các mạng L3VPN theo RFC2547BIS
RFC 2547 bis mô tả một SP có một mạng đường trục IP cho phép MPLS có
thể cung cấp các mạng L3VPN đến các khách hàng như thế nào. RFC 2547 bis mô
tả sự tác động lẫn nhau giữa các router CE và router PE ngang hàng. Các CE gửi
các tuyến từ vị trí khách hàng tới các PE, điển hình sử dụng một giao thức định

giao diện lôgíc và định tuyến giữa các giao diện liên quan, cùng với những phương
tiện chuyển đổi các giao diện lôgíc thành những giao diện vật lý của PE. Các VR
đại diện cho các VPN khác nhau, như vậy chúng phải duy trì những bảng định
tuyến độc lập, và chúng bị cô lập một cách logic, sao cho, sự hoạt động của một
VR sẽ không ảnh hưởng tới các VR khác trên PE đó. Một khi các VR độc lập, một
vùng địa chỉ của VPN có thể ch¦ng lên vùng địa chỉ của VPN khác.
13
Từ quan điểm của khách hàng, VR xuất hiện như một bộ định tuyến liền kề
trong mạng khách hàng. CE trao đổi thông tin định tuyến với VR. CE gửi lu¦ng dữ
liệu tới những site VPN khác qua VR. VR nối tới một site CE chịu trách nhiệm trao
đổi thông tin định tuyến với tất cả các VR khác trong VPN đó.
c. Mạng L3VPN dựa trên nền IPSec – IPSec-based L3VPN
Kiểu thứ ba của phương pháp L3VPN phân biệt rõ ràng với các mô hình VR
và RFC 2547 bis. Nó nối liền các thiết bị CE tại nhiều site VPN qua Internet, trao
đổi các gói IP giữa các site. Để cung cấp sự an toàn cho lưu lượng VPN trong khi
nó truyền qua Internet, gần như tất cả các VPN dựa trên CE sử dụng IPSec. Như
vậy, một VPN IPSec dựa trên CE có thể được xây dựng và quản lý bởi một tổ chức,
hoặc do một SP cung cấp.
Nhiều vùng quan trọng khác nhau cho các VPN IPSec nói riêng đã hoàn toàn
được chỉ rõ bởi IETF, bao g¦m :
Tunnel mode với transport mode: Mặc dù RFC 2401 hiện tại chỉ rõ rằng chế
độ đường hầm chỉ có thể được sử dụng giữa các cổng Gateway IPSec (các CE), chế
độ truyền áp dụng cho dữ liệu được đóng gói IP-in-IP cung cấp sự an toàn tương
đương và những thuộc tính tốt hơn để hỗ trợ định tuyến động. RFC 2401 bis hiện tại
cho phép transport mode giữa những cổng Gateway, nhưng quan trọng vẫn còn có
tranh luận về việc làm thế nào để hai chế độ này tương tác với các giao thức định
tuyến động.
Chứng chỉ Số và IPSec: Việc sử dụng những chứng chỉ số bị ràng buộc tới cơ
sở hạ tầng khóa công khai (PKI) cung cấp những lợi ích an toàn cho các VPN
IPSec, nhưng vô số tùy chọn để cấu hình các chứng chỉ, cùng với các điều kiện giới