ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG

Đề tài:

Công nghệ mạng riêng ảo VPN: Các
giao thức đường hầm và bảo mật

CHƯƠNG 2
CÁC GIAO THỨC ĐƯỜNG HẦM VPN

Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu
điểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên
xác thực người dùng và tính cước dựa vào số điện thoại, các phương
thức xác thực khác như thẻ bài (token) hay thẻ thông minh (smart card).
a) Xác thực người dùng quay số từ xa (RADIUS)
RADIUS (Remote Authentication Dial-In User Service) sử dụng
kiểu client/ server để chứng nhận một cách bảo mật và quản trị các kết
nối mạng từ xa của các người dùng trong các phiên làm việc. RADIUS
client/server sử dụng máy chủ truy cập mạng NAS để quản lý kết nối
người dùng. Ngoài chức năng của máy chủ truy cập mạng nó còn có một
số chức năng cho RADIUS client. NAS sẽ nhận dạng người dùng, thông
in về mật khẩu rồi chuyển đến máy chủ RADIUS. Máy chủ RADIUS sẽ
trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho
NAS để cung cấp dịch vụ cho người dùng. RADIUS tạo một cơ sở dữ
liệu tập trung về người dùng, các loại dịch vụ sẵn có, một dải modem đa
chủng loại. Trong RADIUS thông tin người dùng được lưu trong máy
chủ RADIUS.
RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người
dùng cho mục đích xác thực, cấp quyền và tính cước, nhưng nó không
cho phép thay đổi dữ liệu người dùng. Máy chủ Proxy sẽ định kỳ cập
nhật cơ sở dữ liệu người dùng từ máy chủ RADIUS. Để RADIUS có thể

này dựa trên chuẩn RSA RC4, giao thức điều khiển nén CCP
(Compression Control Protocol) được sử dụng bởi PPP để thoả hiệp việc
mã hoá. MS-CHAP được dùng để kiểm tra tính hợp lý người dùng đầu
cuối tại tên miền Windows NT.
Internet
Máy chủ
Computer
Computer
Computer
Mạng riêng
được bảo vệ
LAN
Máy chủ
truy cập mạng
Client
Dữ liệu Dữ liệu
Dữ liệu
IP, IPX, NETBEUI
IP, IPX, NETBEUI
IP, IPX, NETBEUI
PPP
GRE
PPP
GRE
PPPHình 2.9: Mã hoá gói trong PPTP
Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùng
tại Mỹ có thể cài đặt một phần mềm nâng cấp lên 128 bit. MPPE mã hoá

Tổng quát một PPTP VPN yêu cầu phải có: một máy chủ truy cập
mạng dùng cho phương thức quay số truy cập bảo mật vào VPN, một
máy chủ PPTP, và PPTP client. Hình 2.11: Các thành phần cơ bản của một VPN sử dụng PPTP
Các máy chủ PPTP có thể đặt tại mạng của công ty và do một
nhóm người của công ty quản lý nhưng NAS phải do ISP hỗ trợ.
a) Máy chủ PPTP
Máy chủ PPTP thực hiện hai chức năng chính là: đóng vai trò là
điểm kết nối của đường hầm PPTP và chuyển các gói đến từ đường hầm
tới mạng LAN riêng. Máy chủ PPTP chuyển các gói đến máy đích bằng
cách xử lý gói PPTP để được địa chỉ mạng của máy tính đích.
Máy chủ PPTP cũng có khả năng lọc gói bằng cách sử dụng lọc gói
PPTP. Lọc gói PPTP có thể cho phép máy chủ ngăn cấm, chỉ cho phép
truy cập vào Internet , mạng riêng hay cả hai.
Thiết lập một máy chủ PPTP tại site mạng gây nên một giới hạn nếu
như máy chủ PPTP nằm sau tường lửa. PPTP được thiết kế sau cho chỉ
có một cổng TCP/IP (1723) được sử dụng để chuyển dữ liệu đi. Sự
khiếm khuyết của cấu hình cổng này có thể làm cho tường lửa dễ bị tấn
công hơn. Nếu như tường lửa được cấu hình để lọc gói thì phải thiét lập
nó cho phép GRE đi qua.
Một thiết bị khác được khởi xướng năm 1998 bởi hãng 3Com có
chức năng tương tự máy chủ PPTP được gọi là chuyển mạch đường
hầm. Mục đích của chuyển mạch đường hầm là mở rộng đường hầm từ
một mạng đến một mạng khác, trải rông đường hầm từ mạng của ISP
đến mạng riêng. Chuển mạch đường hầm có thể được sử dụng tại tường
lửa làm tăng khả năng quản lý truy cập từ xa vào tài nguyên của mạng
nội bộ, nó có thể kiểm tra các gói đến và về, giao thức của các khung
PPP hoặc tên của người dùng từ xa.

xác thực quyền người dùng thông qua Windows NT hay thông qua
RADIUS. Máy chủ PPTP cũng qua tải với một số lượng người dùng
quay số truy cập hay một lưu lượng lớn dữ liệu trưyền qua, mà điều này
là một yêu cầu của kết nối LAN – LAN. Khi sử dụng VPN PPTP mà có
hỗ trợ thiết bị của ISP thì một số quyền quản lý phải chia sẻ cho ISP.
Tính bảo mật của PPTP không mạnh bằng IPSec. Tuy nhiên, quản ý bảo
mật trong PPTP lại đơn giản hơn.
2.2 Giao thức đường hầm lớp 2 - L2TP
Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức
PPTP và L2F- chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do
Cisco khởi xướng. Hai công ty này đã hợp tác cùng kết hợp 2 giao thức
lại và đăng ký chuẩn hoá tại IETF.
Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề
đóng gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính
giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó
có thể làm việc ở môi trường vật lý khác. Bởi vì GRE không sử dụng
như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói
được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ
TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực người
dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ở cổng
nối của mạng riêng sau khi kết nối được thiết lập.
L2TP mang dặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa
riêng một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho
phép L2TP truyền thông qua nhiều môi trường gói khác nhau như X.25,
Frame Relay, ATM. Mặc dù nhiều công cụ chủ yếu của L2TP tập trung
cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà
không cần phải sử dụng IP làm giao thức đường hầm. Một mạng ATM
hay frame Relay có thể áp dụng cho đường hầm L2TP.
Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng
các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là

truờng đường hầm tuỳ theo chất lượng dịch vụ.
Hình 2.13: các giao thức sử dụng trong một kết nối L2TP
Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo đó là
thông báo điều khiển và thông báo dữ liệu. Thông báo điều khiển có
chức năng điều khiển việc thiết lập, quản lý và giải phóng phiên làm
việc trên đường hầm. Thông báo điều khiển cũng cho ta biết tốc độ
truyền và tham số của bộ đệm dùng để điều khiển luồng các gói PPP
trong một phiên làm việc. Tuy nhiên, L2TP truyền cả hai loại thông báo
này trên cùng gói dữ liệu UDP và chung trên một luồng.
Do L2TP làm việc ở lớp thứ hai- lớp liên kết dữ liệu trong mô hình
OSI nên trong thông báo dữ liệu L2TP bao gồm tiêu đề môi trường để
chỉ ra đường hầm làm việc trong môi trường nào? Tuỳ thuộc vào ISP mà
môi trường có thể là Ethernet, X.25, Frame Relay, ATM, hay liên kết
PPP. Hình 2.14: Bọc gói L2TP
L2TP cung cấp cơ chế điều khiển luồng giữa NAS (hay bộ tập trung
truy cập L2TP_ LAC (L2TP Access Concentrator)) và máy chủ của
mạng riêng (hay máy chủ mạng L2TP _LNS ( L2TP network Server) ).
b) Cấu trúc gói dữ liệu L2TP
*Đóng gói dữ liệu đường hầm L2TP
Đường hầm dữ liệu L2TP được thực hiện thông qua nhiều mức
đóng gói. Hình vẽ chỉ ra cấu trúc cuối cùng của dữ liệu đường hầm
L2TP trên nền IPSec.

Hình 2.15: Cấu trúc gói dữ liệu trong đường hầm L2TP

- Xử lý UDP header và gửi gói L2TP tới lớp L2TP.
- L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định
đường hầm L2TP cụ thể.
- Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới
dúng giao thức để xử lý.
* Sơ đồ đóng gói L2TP trên nền IPSec
Sơ đồ đóng gói L2TP qua kiến trúc mạng từ một VPN client thông
qua một kết nối VPN truy cập từ xa sử dụng một modem tương tự như
hình vẽ: Hình 2.16: Sơ đồ đóng gói L2TP
Các bước của quá trình:
- Một IP datagram, IPX datagram, hoặc NetBEUI Frame được đưa tới
giao diện ảo đại diện cho kết nối VPN sử dụng NDIS bằng giao
thức thích hợp.
- NDIS đưa Packet tới NDISWAN, tại đây có thể nén và cung cấp
PPP header chỉ bao gồm trường PPP protocol ID. Các trường Flag
hay FCS không được thêm vào.
- NDISWAN gửi khung PPP tới giao thức L2TP, nơi đóng gói PPP
frame với một L2TP header. Trong L2TP header, Tunnel ID và Call
ID được thiết lập các giá trị thích hợp để xác định đường hầm.
- Giao thức L2TP gửi gói thu được tới giao thức TCP/IP với thông tin
để gửi gói L2TP như một bản tin UDP từ cổng UDP 1701 tới cổng
1701 với các địa chỉ IP của VPN client và VPN server.
- Giao thức TCP/IP xây dựng một gói IP với các IP header và UDP
header thích hợp. Sau đó IPSec sẽ phân tích gói IP và so sánh với ác
chính sách IPSec hiện thời. Dựa trên những thiết lập trong chính
sách, IPSec đóng gói và mật mã phần bản tin UDP của gói tin IP sử
dụng các ESP header và ESP trailer phù hợp. IP header ban đầu với

Computer
Computer
Computer
ComputerComputer
Máy chủ
mạng L2TP
Máy chủ
mạng L2TP
Mạng riêng
được bảo vệ
Mạng riêng
được bảo vệ
Đường hầm
bắt buộc (L2TP)

Hình 2.17: Các đường hầm tự nguyện và bắt buộc