ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH QUỲNH
MẠNG RIÊNG ẢO VÀ BẢO MẬT TRONG
MẠNG RIÊNG ẢO
LUẬN VĂN THẠC SĨ
Hà Nội – 2011

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGUYỄN THANH QUỲNH



 9
1.2.2 



 9
1.2.3 



 9
1.2.4 





 10
1.2.5 Nhn xét 11
1.3 



 o 11
1.3.1 Khái nim 11
1.3.2 




 18
2.2.1 Khái nim 18
 làm vic ca PPTP 18
2.2.3 Hong ca PPTP 25
2.2.4 Nhn xét 26 2.3 

2TP 27
2.3.1 Khái nim 27
 làm vic ca L2TP 27
2.3.3 Hong ca giao thc L2TP 32
2.3.4 Nhn xét 33
2.4 

 34
2.4.1  34
2.4.2 Ch  



 li

 36
2.4.2.1   









 54
2.4.4.2  55
2.4.4.3 



 57
2.4.4.3  58
2.5 Kt lun 59
 MÔ PHNG HM IPSec VPN QUA INTERNET 60
3.1 







 60
3.2 



 -VPN Site-to-Site 60
3.2.1 
3.2.4.1 Thc hin ping 66
3.2.4.2 Thc hin phân tích gói tin 67
3.2.4.3 So sánh vi mt bc mã hóa bt k 68
3.3 Kt lun 70
3.4 





 70
3.5 Mt s mô hình VPN thc t t chc 71
3.5.1 Trin khai VPN thc t ti Cty TNHH Máy tính NÉT  NETCOM 71
3.5.2 Trin khai thc t ti B  73
KT LUN 75
TÀI LIU THAM KHO 77
1

BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT

Viết tắt
Chú giải tiếng Anh
Chú giải tiếng Việt
3DES
Triple DES

ARPA
Advanced Research Project
Agency
Cc nghiên cu các d án tiên tin
ca M
ARPANET
Advanced Research Project
Agency
Mng vin thông ca cc nghiên
cu d án tiên tin M
ATM
Asynchronous Transfer
Mode
c truyn tng
b
BGP
Border Gateway Protocol
Giao thnh tuyn cng min
B-ISDN
Broadband-Intergrated
Service Digital Network
Mng s tích hch v 
rng
BOOTP
Boot Protocol
Giao thc khu
CA
Certificate Authority
Thm quyn chng nhn
CBC

DNS
Domain Name System
H thông tên min
DSL
Digital Subscriber Line
Công ngh ng dây thuê bao s
DSLAM
DSL Access Multiplex
B ghép kênh DSL
DTE
Data Terminal Equipment
Thit b u cui s liu
EAP
Extensible Authentication
Protocol
Giao thc xác thc m rng
ECB
Electronic Code Book Mode
Ch  n t
ESP
Encapsulating Sercurity
Payload
Giao thi tin
FCS
Frame Check Sequence
Chui kim tra khung
FDDI
Fiber Distributed Data
Interface
Giao din d liu cáp quang phân

Giá tr kim tra tính toàn vn
IETF
Internet Engineering Task
Force
n k thut cho
Internet
IKE
Internet Key Exchange
Giao thi khóa
IKMP
Internet Key Management
Protocol
Giao thc qun lí khóa qua Internet
IN
Intelligent Network
Công ngh mng thông minh
IP
Internet Protocol
Giao thc lp Internet
IPSec
IP Security Protocol
Giao thc an ninh Internet
3

ISAKMP
Internet Security Association
and Key Management
Protocol
Giao thc kt hp an ninh và qun
lí khóa qua Internet

Message Authentication
Code
Mã nhn thc bn tin
MD5
Message Digest 5
Thut toán tóm tt bn tin MD5
MTU
Maximum Transfer Unit
 truyn ti ln nht
NAS
Network Access Server
Máy ch truy nhp mng
NGN
Next Generation Network
Mng th h k tip
NSA
National Sercurity Agency
c gia M
OSI
Open System
Interconnnection
Kt ni h thng m
OSPF
Open Shortest Path First
Giao thnh tuyn OSPF
PAP
Password Authentication
Protocol
Giao thc nhn thc khu lnh
PDU

Protocol
Giao thc phân gia ch c
RAS
Remote Access Service
Dch v truy nhp t xa
RFC
Request for Comment
Các tài liu v tiêu chun IP do

RIP
Realtime Internet Protocol
Giao thc báo hiu thi gian thc
RSA
Rivest-Shamir-Adleman
Tên mt quá trình mt mã bng
khóa công cng
SA
Security Association
Liên kt an ninh
SAD
SA Database
 d liu SA
SHA-1
Secure Hash Algorithm-1
Thu-1
SMTP
Simple Mail Transfer
Protocol
Giao thc truyn
SN

Hin nay, m nên ph bin trên toàn th gii. Internet không
ch phc v cho Giáo dc, 

, Kinh doanh, 

 mà nó còn th
hin rõ nét mt v c có thc s phát trin và hii hay
không là nh vào s phát trin h tng dng CNTT vào thc t. Vì
th vai trò ca nó là quá ln, 




























 . 





 ng
riêng o chy trên nn tng Internet.

Mca lu Mng Riêng o và Bo mt trong Mng Riêng o
tìm hiu nhng v n v b giao thc TCP/IP, tng quan v mng riêng
o  VPN, các giao thc bo mc ng dng trong mc bit
nhn mnh kt qu mô phng mô hình ng hm VPN IPSec site-to-site, ni
dung khoá lu

Chương 1, gii thiu tng quan v Internet, b giao thc TCP/IP
rõ cha tng phân lp ci thiu lch s phát trin
ca mng VPN, các chm ca mc bit, nhn mnh
v mt s loi m  ng v c ng dng và trin khai hin nay
ng VPN truy cp t xa, mng VPN site-to-site.

Chương 2 cp ti các giao thc bo mc s dng trong m
giao th ng hm  m PPTP, giao thng hm lp 2 L2TP.
c bic IPSec, là giao thc s dng

 





 /IP 
Transmission Control Protocol /





 . 
 






 (email), 









i thông tin trên mc thc hin mt cách chính xác và
an toàn. Có rt nhiu h giao thc thc hin trên mng thông tin máy
tính hing cc b, CCITT X25 dùng cho
mng din rc bit là h giao thc chun ca ISO (t chc tiêu chun
7

hóa quc t) da trên mô hình tham chiu by tng cho vic ni kt các h thng
m. Gn  xâm nhp ca Internet vào Vi c làm
quen vi h giao thc mi là TCP/IP mt hin t 

TCP/IP - Transmission Control Protocol/ Internet Protocol là mt h giao
thc cùng làm vic v cung cn truyn thông liên mng
c hình thành t nh
n 4 mi hoàn tc ph bin rng rãi
cho toàn b nhng máy tính s dng h u hành UNIX. Sau này Microsoft
 thành mt trong nhng giao thn ca h u
hành Windows 9x mà hi dt bn tho ca
phiên bc hình thành vi s cng tác ca nhiu nhà khoa hc thuc
các t chc Internet trên th gi ci tin nhng hn ch ca IPv4.
Khác vi mô hình ISO/OSI tng liên mng s dng giao thc kt ni mng
"không liên kt" (connectionless) IP, to thành ht nhân hong ca Internet.
Cùng vi các thu nh tuyn RIP, OSPF, BGP, tng liên mng IP cho
phép kt ni mt cách mm do và linh hot các loi mng "vt lý" khác nhau
      Giao th   i d liu "có liên kt"
(connection - c s dng  tng vn chuy m bo tính
chính xác và tin cy vii d liu da trên kin trúc kt ni "không liên
kt"  tng liên mng IP.
Các giao thc h tr ng dng ph bip t xa (telnet), chuyn
tp (FTP), dch v n t (SMTP), dch v tên
mit ph bing b phn cu thành ca

i gia các ng dc gi là stream, trong khi dùng UDP,
c gi là message.
Mi gói s lic gu trúc d
liu ca nó là packet. Lp Internet xem tt c các d lii và gi
là datagram. B giao thc TCP/IP có th dùng nhiu kiu khác nhau ca lp
mi cùng, mi loi có th có mt thut ng  truyn d liu.
9

Phn ln các mng kt cu phn d liu truyn i dng các packets hay
là các frames.
Application
Stream
Transport
Segment/datagram
Internet
Datagram
Network Access
Frame

1.2.1 Lơ
́
p Truy nhâ
̣
p ma
̣
ng
Lp Truy nhp mng/Network Access Layer là lp thp nht trong cu trúc
phân bc ca TCP/IP. Nhng giao thc  lp này cung cp cho h th
th truyn d liu trên các tng vt lý khác nhau ca m
cách thc truyn các khi d liu (datagram) IP. Các giao thc  lp này phi

 
                
UDP              best effort
delivery
TCP 
 (reliable byte stream):
 
 
 
 Các góc
 
1.2.4 Lơ
́
p Ƣ
́
ng du
̣
ng
             


  


giao 
 và  mô hình OSI
.

giao
 

Mng Riêng t kt ni mng tri h
tng mng công cng Internet) vi các chính sách qun lý và bo mt
ging cc b.

Hình 1.3 Mô hình mng riêng o
1.3.2 Tính năng va
̀
ƣu điê
̉
m của mng riêng ảo
1.3.2.1 Các tính năng của mng riêng ảo
Mng riêng o h tr các tính sau: tính xác thc, tính toàn vn và tính
bo mt.
12

Tính xác thực:  thit lp mt kt nc ht c hai phía phi
xác thc l khnh ri thông tin vi
mình mong mun ch không phi là mi khác.
Tính toàn vẹnm bo d liu không b m bo không có
bt k s xáo trn nào trong quá trình truy







.
Tính bảo mậti gi có th mã hoá các gói d lic khi truyn
qua mng công cng và d liu s c gii mã  phía thu. y không ai

loa
̣
i ma
̣
ng riêng ảo
Da vào cng ngh hoc da vào mô hình, cu trúc ca tng t chc mà có
th phân loi mng riêng o thành các loi khác nhau. Và nu da vào kin trúc
ca doanh nghip chúng ta có th phân loi mng riêng o thành ba loi sau:
13

- Mng riêng o truy nhp t xa (Remote Access VPN)
- Mng riêng o cc b (Intranet VPN)
- Mng riêng o m rng (Extranet VPN)
1.3.3.1 Mng riêng ảo truy nhâ
̣
p tƣ
̀
xa
Các mng riêng o truy nhp t xa cung cp kh ng truy nhp t xa. Ti
mi th ng có kh 
i, truy nhp vào mng ca công ty. Vì th i bt
c u có th truy nhp vào mng ca công ty bt c lúc nào, có th nói 
là mt s tin li rt riêng ca mng riêng o truy nhp t xa. 
Mng quay số riêng ảo (Virtual Private
Dial-up Network) hay VPDN-to-
công ty mà các nhân viên 



 



 
-Internet-
-of-se
 
15

 -
            
thông qua Internet.
 

1.3.3.3 Mng riêng ảo mơ
̉
rô
̣
ng

: m     



Hình 1.6 Mô hình mng VPN m rng

 Do ho

-  -  
 - 


nghip. Thông tin có mt giá tr c bit trong hu ht tt c mi hong, vì
vy thông tin cn phc bo v thích hp. Bo v thông tin khi s t
co v s phát trin liên tc và bn vng ca doanh nghip.
m bo cho doanh nghip ti thic các thit hi khi có ri ro xy ra,
ng thi tc các li nhuc t các hong kinh doanh.
Thông tin có th   i nhiu dt trên
giy, trên  cng máy vi tính, trên film hoc thông qua các cu
Bt k thông tin tn ti d c chia s
thì chúng phc bo mt mt cách phù hp.

Bảo mật thông tin nhằm mục đích
Thông tin tin cm bo thông tin ch c truy xut bi nhi có
ch
Thông tin trung thm bo  lý thông tin chính xác, an
toàn và trn vn.
Thông tin sm bo nhi có ch truy cp thông tin
mi lúc, mu.
Bo mt thông tin ch mang li li ích thit thc khi chúng ta xây dng mt
qui trình kim soát chc ch và hoàn chnh bao gm các chính sách, các th tc,
u t chc xây dc nhu cu
bo mt cho tng c th.

Ti sao cần bảo mật thông tin
n kh thng máy tính, thit b
sn xu      ng tài sn quan trng ca doanh
nghip. Thông tin trung thc, tin cy và sn sàn là nhng yu t cn thi duy
trì kh nh tranh, kh i nhun, kh  lý tình hung bt
ng trong doanh nghip. Thông tin có th b mt cp t nhiu nguyên nhân khác
 thng máy tính b t, sng thn, tình báo công
nghi thng máy tính

ng  lp 2 (lp liên kt d liu) trong khi IPSec chy  lp 3 ca mô hình
OSI. Bng cách h tr vic truyn d liu  lp th 2, PPTP có th truyn trong
ng hm bng các giao thc khác IP trong khi IPSec ch có th truyn các gói
ng hm.
2.2.2 Các cơ chế làm việc của PPTP

19

PPTP
PPP
Giải thuật mã
hóa
Giải thuật xác
thực
Bọc gói tin định
tuyếnHình 2.1 Mô hình PPTP

Giao thức PPP và PPTP
Giao thc  thành giao thc quay s truy cp vào Internet và các
mng TCP/IP rt ph bin hin nay, giao thc PPP làm vic  lp liên kt d
liu trong mô hình OSI, nó bao g gói, tách gói cho các
loi gói d li truyn ni tip. a
giao thc: giao thu khin liên kt - LCP (Link Control Protocol) cho vic
thit lp, cu hình và kim tra kt ni; Giao th u khin mng NCP
(Network Control Protocol) cho vic thit lp và cu hình các giao thc lp
mng khác nhau. Giao thc PPP có th     X, NETBEUI và
truyt nm-m t máy gn máy nh vic truyn thông

máy ch PPTP. Phn mm client có th nm  i dùng t xa hay nm 
ti máy ch ca ISP.
ng hc thit lp thì d lic truyn gia
máy khách và máy ch PPTP. Các gói PPTP cha các gói d liu IP. Các gói d
li GRE, s dng s ID cu khin truy
cp, ACK cho giám sát t d liu truyng hm. Giao thc PPTP
hong  lp liên kt d liu, nên cn ph ng truyn trong
gói tin  bit gói d liu c truyng hc nào,
Ethernet, Frame Relay hay kt ni PPP.

Môi trường
truyền
IP
GRE
PPP PPP PayloadHình 2.2 Gói tin PPTP
Giao thng hm  m  u khin t
nhm gii hn s ng d liu truy này làm gim ti thiu d liu
phi truyn li do mt gói.
Trƣờng gói tin của PPTP
D li ng h       u m  
p liên kt d liu. 
ng ca gói tin PPTP