ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG

Đề tài:

Công nghệ mạng riêng ảo VPN: Các
giao thức đường hầm và bảo mật

CHƯƠNG 2
CÁC GIAO THỨC ĐƯỜNG HẦM VPN
Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ
liệu và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức
đường hầm. Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với
phần Header (và có thể cả Trailer) tương ứng để truyền qua Internet.
Giao thức đường hầm là cốt lõi của giải pháp VPN. Có 4 giao thức
đường hầm được sử dụng trong VPN đó là:
- Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding)
- Giao thức đường hầm điểm-điểm-PPTP (Point to Point
Tunneling protocol)
- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol)
- Giao thức bảo mật IP - IPSec (Internet Protocol Security)
2.1 Giao thức định hướng lớp 2 - L2F
Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và
được phát triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F
cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một
đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet.
L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống
để cho những người sử dụng ở xa truy cập vào một mạng công ty thông
qua thiết bị truy cập từ xa.
L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở
lớp liên kết dữ liệu.
2.1.1 Cấu trúc gói của L2F

Version : Phiên bản chính của L2F dùng để tạo gói. 3 bit này luôn là
111.
Protocol : Xác định giao thức đóng gói L2F.
Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.
Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm
(tunnel).
Client ID: Giúp tách đường hầm tại những điểm cuối.
Length: chiều dài của gói (tính bằng Byte) không bao gồm phần
checksum.
Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được
bắt đầu. Trường này có khi bít F=1.
Key: Trường này được trình bày nếu bit K được thiết lập. Đây là một
phần của quá trình nhận thực.
Checksum: Kiểm tra tổng của gói. Trường checksum có nếu bít C=1.
2.1.2 Ưu nhược điểm của L2F
Ưu điểm:
- Cho phép thiết lập đường hầm đa giao thức.
- Được cung cấp bởi nhiều nhà cung cấp.
Nhược điểm:
- Không có mã hoá.
- Yếu trong việc xác thực người dùng.
- Không có điều khiển luồng cho đường hầm.
2.1.3 Thực hiện L2F
L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng
gói PPP, truyền xuyên qua một mạng. L2F sử dụng các thiết bị:
NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client)
và gateway home. Hệ thống ERX hoạt động như NAS.
Tunne:l Định hướng đường đi giữa NAS và home gateway. Một
đường hầm gồm một số kết nối.
Home gateway: Ngang hàng với NAS.

và đóng gói lưu lượng vào trong một khung L2F và hướng nó vào
trong đường hầm.
8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói
được hướng tới mạng công ty.
2.1.5 Quản lý L2F
Khi hệ thống đã thiết lập những điểm đích, những đường hầm
tunnel, và những phiên kết nối ta phải điều khiển và quản lý lưu lượng
L2F như sau:
- Ngăn cản tạo những điểm đích, những đường hầm tunnel, những
phiên mới.
- Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường
hầm tunnel, những phiên.
- Có khả năng kiểm tra tổng UDP.
- Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào
của những đường hầm và những kết nối.
Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường
hầm và phiên tới điểm đích đó; Sự thay đổi một đường hầm làm ảnh
hưởng tới tất cả các phiên trong đường hầm đó. Ví dụ, Sự kết thúc ở
điểm đích đóng tất cả các đường hầm và phiên tới điểm đích đó.
L2F cung cấp các lệnh để thực hiện các chức năng. Ví dụ
L2F checksum: mục đích để kiểm tra toàn vẹn dữ liệu của các khung
L2F sử dụng kiểm tra tổng UDP, ví dụ host 1(config)#l2f checksum
L2F destruct-timeout: sử dụng để thiết lập thời gian rỗi, giá trị thiết
lập trong dải 10 -:- 3600 giây, ví dụ host1 (config)#l2f destruct-timeout
1200
2.2 Giao thức đường hầm điểm-điểm PPTP
Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi
một nhóm các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3
công ty: Ascend comm., Microsoft, ECI Telematicsunication và US
Robotic. Ý tưởng cơ sở của giao thức này là tách các chức năng chung

nghĩa hai bộ giao thức: giao thức điều khiển liên kết LCP (Link Control
Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối; Giao thức điều
khiển mạng NCP (Network Control Protocol) cho việc thiết lập và cấu
hình các giao thức lớp mạng khác nhau.
PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết
nối điểm-điểm từ máy gửi đến máy nhận. Để viêc truyền thông có thể
diễn ra thì mỗi PPP phải gửi gói LCP để kiểm tra cấu hình và kiểm tra
liên kết dữ liệu.
Khi một kết nối PPP được thiết lập thì người dùng thường đã được
xác thực. Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn
được cung cấp bởi các ISP. Việc xác thực được thực hiện bởi PAP hay
CHAP.
Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn
giản và không có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là
một phương thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt
tay 3 chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng
các giá trị thách đố (challenge value) duy nhất và không thể đoán trước
được. CHAP phát ra giá trị thách đố trong suốt và sau khi thiết lập xong
kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình thế bị
tấn công.
PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa
khách hàng và máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện
các chức năng:
- Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng.
- Tạo các gói dữ liệu PPP.
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói
của PPP để đóng các gói truyền trong đường hầm.
Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa
hai loại gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là

mất gói.
b) Cấu trúc gói của PPTP
*Đóng gói dữ liệu đường hầm PPTP
Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức:
đóng gói khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ
liệu.
Cấu trúc gói dữ liệu đã được đóng gói

Hình 2.6: Cấu trúc gói dữ liệu trong đường hầm PPTP
+ Đóng gói khung PPP
Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề
PPP để tạo ra khung PPP. Sau đó, khung PPP được đóng gói với phần
tiêu đề của phiên bản sửa đổi giao thức GRE.
Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau:
- Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường
xác nhận 32 bit.
- Trường Key được thay thế bằng trường độ dài Payload 16bit và
trường nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call
ID được thiết lập bởi PPTP client trong quá trình khởi tạo đường
hầm PPTP.
- Một trường xác nhận dài 32 bit được thêm vào.
GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để
gửi qua mạng IP.
+ Đóng gói các gói GRE
Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được
đóng gói với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho
PPTP client và PPTP server.
+ Đóng gói lớp liên kết dữ liệu
Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu
trong mô hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần

giá trị thích hợp để xác định đường hầm.
- Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức
TCP/IP.
- TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau
đó gửi gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP
địa phương sử dụng NDIS.
- NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và
trailer.
- NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại
diện cho phần cứng quay số.
c) Đường hầm
PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng
hầm khác nhau. Người dùng có thể chỉ định điểm kết thúc của đường
hầm ở ngay tại máy tính của mình nếu có cài PPTP, hay tại máy chủ của
ISP (máy tính của ISP phải hỗ trợ PPTP). Có hai lớp đường hầm: Đường
hầm tự nguyên và đường hầm bắt buộc.
Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng.
Khi sử dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một
đường hầm bảo mật thông qua Internet và có thể truy cập đến một Host
trên Internet bởi giao thức TCP/IP bình thường. Đường hầm tự nguyện
thường được sư dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho
lưu lượng Intranet được gửi thông qua Internet.
Đường hầm bắt buộc được tạo ra không thông qua người dùng nên
nó trong suốt đối với người dùng. Điểm kết thúc của đương hầm bắt
buộc nằm ở máy chủ truy cập từ xa. Tất cả dữ liệu truyền đi từ người
dùng qua đường hầm PPTP đều phải thông qua RAS.
Do đường hầm bắt buộc định trước điểm kết thúc và người dùng
không thể truy cập phần còn lại của Internet nên nó điều khiển truy nhập
tốt hơn so với đường hầm tự nguyện. Nếu vì tính bảo mật mà không cho
người dùng truy cập Internet công cộng thì đường hầm bắt buộc ngăn


Hình 2.8 : đường hầm bắt buộc và đường hầm tự nguyện