TỔNG QUAN VỀ KỸ THUẬT MẠNG RIÊNG ẢO VPN
Tổng quan
Trong thời đại Internet phát triển mạnh mẽ, việc kết nối các mạng khác nhau trở nên dễ dàng nhờ vào router và giao thức TCP/IP Internet đã tạo ra nhiều dịch vụ hữu ích như giáo dục từ xa và mua sắm trực tuyến, nhưng cũng đặt ra thách thức về bảo mật dữ liệu do không có tổ chức nào quản lý Để khắc phục điều này, mô hình mạng riêng ảo (VPN) ra đời, cho phép người dùng kết nối an toàn qua hạ tầng công cộng mà không cần đầu tư thêm VPN đảm bảo tính bảo mật và độ tin cậy, giúp người dùng làm việc từ xa và bảo vệ thông tin giữa các đối tác kinh doanh trong môi trường truyền thông rộng lớn So với mạng diện rộng (WAN), VPN tiết kiệm hơn và đảm bảo tính riêng tư khi sử dụng Internet.
VPN là một công nghệ cho phép mở rộng mạng riêng qua các mạng công cộng, tạo ra một kết nối an toàn và bảo mật Mỗi VPN thực chất là một mạng riêng biệt, giúp người dùng truy cập internet một cách riêng tư và ẩn danh.
VPN (Mạng Riêng Ảo) sử dụng Internet để kết nối các mạng riêng lẻ và người dùng từ xa, thay thế cho các kết nối chuyên dụng như leased-line VPN tạo ra các kết nối ảo từ mạng riêng của doanh nghiệp đến các địa điểm hoặc nhân viên từ xa Để đảm bảo an toàn và bảo mật khi gửi và nhận dữ liệu qua mạng công cộng, VPN sử dụng cơ chế mã hóa để tạo ra một đường ống bảo mật (Tunnel) giữa nơi gửi và nhận, giống như kết nối point-to-point trên mạng riêng Dữ liệu được mã hóa cẩn thận, chỉ phần đầu gói dữ liệu (header) được cung cấp để xác định đường đi nhanh chóng đến đích Nhờ vào việc mã hóa này, nếu các gói dữ liệu bị bắt, nội dung của chúng vẫn không thể đọc được vì không có khóa giải mã Các kết nối này được gọi là kết nối VPN, với các đường kết nối VPN thường được gọi là đường ống VPN (Tunnel).
VPN cung cấp nhiều đặc tính hơn so với những mạng truyền thông và những mạng leased-line Những lợi ích đầu tiên bao gồm:
VPN giúp giảm chi phí truyền dữ liệu từ 20-40% so với các mạng leased-line, đồng thời giảm chi phí truy cập từ xa lên tới 60-80%.
VPN mang lại tính linh hoạt cho khả năng kinh tế trên Internet, cho phép kết nối từ xa hiệu quả cho các văn phòng và vị trí quốc tế Với khả năng mở rộng kiến trúc mạng, VPN hỗ trợ nhanh chóng và tiết kiệm chi phí cho những người dùng di động, người làm truyền thông và các doanh nghiệp hoạt động bên ngoài, đáp ứng nhu cầu kinh doanh hiện đại.
Hình 1 1: Mô hình mạng VPN
• Đơn giản hóa những gánh nặng
Cấu trúc mạng ống giúp giảm thiểu gánh nặng quản lý bằng cách sử dụng giao thức Internet backbone, loại bỏ PVC tĩnh và kết hợp với các giao thức kết nối như Frame Relay và ATM.
Tăng cường bảo mật là yếu tố quan trọng trong việc bảo vệ dữ liệu, khi thông tin nhạy cảm sẽ được ẩn đi khỏi những người không có quyền truy cập, đồng thời cho phép những người dùng có quyền truy cập dễ dàng tiếp cận thông tin cần thiết.
• Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP
Bảo mật địa chỉ IP là một lợi ích quan trọng của việc sử dụng VPN, vì thông tin được truyền qua mạng này được mã hóa, giúp che giấu địa chỉ IP nội bộ và chỉ hiển thị địa chỉ IP bên ngoài trên Internet.
VPN cung cấp 3 chức năng chính:
Sự tin cậy trong truyền tải dữ liệu là rất quan trọng, vì người gửi có thể mã hóa các gói dữ liệu trước khi chúng được gửi qua mạng Việc mã hóa này đảm bảo rằng chỉ những người được phép mới có thể truy cập thông tin, và ngay cả khi dữ liệu bị rò rỉ, nó cũng không thể được đọc hiểu do đã được mã hóa.
Tính toàn vẹn dữ liệu (Data Integrity) đảm bảo rằng người nhận có khả năng xác minh rằng dữ liệu được truyền qua mạng Internet không bị thay đổi trong quá trình truyền tải.
• Xác thực nguồn gốc (Origin Authentication): Người nhận có thể xác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhận nguồn thông tin
Định nghĩa “đường hầm” và “mã hóa”
Mạng riêng ảo (VPN) chủ yếu có chức năng bảo mật thông tin bằng cách sử dụng mã hóa và xác thực thông qua một đường hầm an toàn.
VPN cung cấp các kết nối logic và điểm tới điểm để vận chuyển dữ liệu mã hóa qua một đường hầm riêng biệt trên mạng IP, tăng cường tính bảo mật thông tin Dữ liệu mã hóa được chuyển qua đường hầm thiết lập giữa người gửi và người nhận, giúp ngăn chặn sự mất cắp và xem trộm thông tin Đường hầm này chính là đặc tính ảo của VPN.
Các giao thức định đường hầm được sử dụng trong VPN như sau:
• L2TP (layer 2 Tunneling Protocol): Giao thức định đường hầm lớp 2
• PPTP (Point-to-Point Tunneling Protocol)
Các VPN nội bộ (VPN layer 2) và VPN mở rộng (VPN Layer 3) có thể sử dụng các công nghệ:
1.2.2 Cấu trúc một gói tin IP trong đường hầm
IP AH ESP Header Data
Hình 1 2: Cấu trúc một gói tin trong đường hầm
1.2.3 Một số thuật ngữ sử dụng trong VPN
Hệ thống mã hóa (Crysystem) là một giải pháp toàn diện cho việc mã hóa và giải mã dữ liệu, xác thực người dùng, băm (hashing), cũng như quản lý quá trình trao đổi khoá Hệ thống này có khả năng áp dụng nhiều phương thức khác nhau, tùy thuộc vào yêu cầu của từng loại traffic người dùng cụ thể.
Hàm băm (Hashing) là kỹ thuật đảm bảo toàn vẹn dữ liệu, sử dụng thuật toán để chuyển đổi bản tin có chiều dài thay đổi và khóa mật mã công cộng thành chuỗi số liệu có chiều dài cố định Khi bản tin và khóa di chuyển trên mạng, tại nơi nhận, việc tính toán lại hàm băm được thực hiện để xác minh rằng bản tin và khóa không bị thay đổi trong quá trình truyền tải.
Xác thực (Authentication) là quá trình nhận diện người dùng khi truy cập vào hệ thống máy tính hoặc kết nối mạng, đảm bảo rằng cá nhân hoặc tiến trình được xác định một cách chính xác.
Cho phép (Authorization): Là hoạt động kiểm tra thực thể đó có được phép thực hiện những quyền hạn cụ thể nào
Quản lý khoá là quá trình giám sát và điều khiển việc sử dụng các khoá thông tin trong hệ thống mật mã Khoá thường là dãy số ngẫu nhiên hoặc nhị phân, được sử dụng để thiết lập và thay đổi hoạt động của hệ thống Các hoạt động trong quản lý khoá bao gồm tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dụng và loại bỏ khoá.
Dịch vụ chứng thực CA (Certificate of Authority) là một dịch vụ đáng tin cậy giúp bảo mật quá trình truyền tin giữa các thực thể mạng và người dùng Nó thực hiện việc tạo ra và gán các chứng nhận số, như chứng nhận khóa công cộng, nhằm mục đích mã hóa thông tin CA đảm bảo sự liên kết chặt chẽ giữa các thành phần bảo mật trong chứng nhận, góp phần nâng cao an ninh mạng.
Các dạng kết nối mạng riêng ảo VPN
1.3.1 Truy cập VPN (Remote Access VPNs)
VPN truy cập từ xa cho phép nhân viên tại các chi nhánh truy cập tài nguyên mạng của tổ chức mọi lúc, thông qua các thiết bị di động và truyền thông.
Remote Access VPN cho phép người dùng từ xa truy cập vào mạng Intranet của công ty thông qua phần mềm VPN, sử dụng gateway hoặc VPN concentrator Giải pháp này thường được gọi là mô hình client/server, trong đó người dùng sử dụng công nghệ WAN truyền thống để thiết lập các tunnel kết nối về mạng trụ sở.
Một xu hướng mới trong việc truy cập từ xa VPN là sử dụng wireless VPN, cho phép nhân viên kết nối vào mạng công ty qua kết nối không dây Thiết kế này yêu cầu các kết nối không dây phải liên kết với một trạm không dây (Wireless terminal) trước khi truy cập vào mạng công ty Phần mềm client trên máy PC hỗ trợ khởi tạo các kết nối bảo mật, còn được gọi là tunnel.
Một phần quan trọng trong thiết kế hệ thống là quá trình xác thực ban đầu, nhằm đảm bảo yêu cầu xuất phát từ nguồn tin cậy Giai đoạn này thường dựa trên chính sách bảo mật của công ty, bao gồm quy trình, kỹ thuật và các máy chủ như Remote Authentication Dial-In User Service (RADIUS) và Terminal Access Controller Access Control System Plus (TACACS+).
Một số thành phần chính
Remote Access Server (RAS ): được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới
Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm
Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng
RAS Máy chủ dữ liệu
Văn phòng từ xa Trụ sở của nhà cung cấp
Hình 1 3: Thiết lập một non-VPN remote access
Việc triển khai VPN truy cập từ xa cho phép người dùng từ xa hoặc các chi nhánh văn phòng dễ dàng thiết lập kết nối cục bộ với nhà cung cấp dịch vụ ISP hoặc điểm truy cập của ISP, từ đó truy cập tài nguyên qua Internet Hình ảnh minh họa cho cấu hình Remote Access Setup sẽ giúp người dùng hiểu rõ hơn về quy trình này.
RAS Máy chủ dữ liệu
Văn phòng từ xa Trụ sở của nhà cung cấp
Mạng Internet Đường hầm Tường lửa
Hình 1 4: Thiết lập một VPN remote access
* Thuận lợi chính của Remote Access VPNs
- Sự cần thiết của RAS và việc kết hợp với modem được loại trừ
- Sự cần thiết hỗ trợ cho người dùng cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bởi ISP
Việc quay số từ xa đã bị loại bỏ, và thay vào đó, các kết nối từ xa sẽ được thay thế bằng các kết nối cục bộ.
- Giảm giá thành chi phí kết nối với khoảng cách xa
Kết nối cục bộ mang lại tốc độ nhanh hơn so với kết nối từ xa, nhờ vào khoảng cách ngắn hơn giữa các thiết bị.
VPN cung cấp khả năng truy cập tốt hơn vào trung tâm, giúp duy trì dịch vụ truy cập tối thiểu ngay cả khi có sự gia tăng nhanh chóng về số lượng kết nối đồng thời đến mạng.
* Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như:
- Remote Access VPNs cũng không đảm bảo được chất lượng dịch vụ
- Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát
Do độ phức tạp của thuật toán mã hóa và overhead của giao thức tăng lên đáng kể, quá trình xác nhận gặp nhiều khó khăn Hơn nữa, việc nén dữ liệu IP và PPP-based diễn ra chậm, ảnh hưởng đến hiệu suất tổng thể.
Việc truyền dữ liệu qua Internet có thể gây ra sự chậm trễ khi trao đổi các tệp lớn như gói dữ liệu truyền thông, phim ảnh và âm thanh.
Kết nối site-to-site cho phép thiết lập mạng giữa hai vị trí thông qua VPN, trong đó người dùng chịu trách nhiệm về việc chứng thực ban đầu giữa các thiết bị mạng Khi kết nối VPN được thiết lập, các thiết bị hoạt động như gateway, đảm bảo lưu thông dữ liệu cho các site khác Các router, firewall tương thích với VPN và các bộ tập trung VPN chuyên dụng cung cấp chức năng cần thiết cho việc này.
Hình 1 5: Site-to-Site VPN
Site-to-Site VPN có thể được phân loại là Intranet VPN hoặc Extranet VPN, tùy thuộc vào cách thức chứng thực Khi xem xét từ góc độ chứng thực, nó được coi là một Intranet VPN, trong khi ở khía cạnh khác, nó có thể được xem như một Extranet VPN Mức độ kiểm soát truy cập giữa các site có thể được quản lý bởi cả hai loại VPN này Mặc dù giải pháp Site-to-Site VPN không phải là một remote access VPN, nhưng nó vẫn được đề cập do tính chất hoàn thiện của nó.
Site-to-Site VPN là một giải pháp kết nối hai mạng riêng biệt qua một đường hầm bảo mật, sử dụng các giao thức như PPTP, L2TP hoặc IPSec Mục tiêu chính của Site-to-Site VPN là liên kết hai mạng mà không cần kết nối trực tiếp, đảm bảo tính toàn vẹn, xác thực và bảo mật cho dữ liệu Để thiết lập một Site-to-Site VPN, bạn có thể sử dụng sự kết hợp của các thiết bị như VPN concentrators, router và firewall.
Kết nối Site-to-Site VPN tạo ra một mạng lưới trực tiếp và hiệu quả, bất chấp khoảng cách vật lý giữa các địa điểm Kết nối này có thể diễn ra qua Internet hoặc mạng không an toàn Để đảm bảo an ninh, việc mã hóa dữ liệu trên tất cả các gói dữ liệu là rất cần thiết trong quá trình truyền tải giữa các mạng.
Văn phòng chi nhành từ xa
Trụ sở của nhà cung cấp
Văn phòng chi nhánh từ xa Đường trục mạng WAN
Văn phòng chi nhánh từ xa
Hình 1 6: Thiết lập Intranet sử dụng đường trục mạng WAN
Intranet VPNs, hay còn gọi là VPN nội bộ, kết nối các mạng của trụ sở chính, văn phòng và chi nhánh từ xa thông qua hạ tầng mạng chung như Internet Điều này tạo thành một mạng riêng tư cho các tập đoàn hoặc tổ chức với nhiều công ty và văn phòng làm việc, đảm bảo rằng tất cả các kết nối đều được mã hóa thông tin để bảo vệ dữ liệu.
VPN và các vấn đề an toàn bảo mật trên Internet
Sự phát triển nhanh chóng của Internet đã dẫn đến việc hàng tháng có khoảng 10.000 mạng mới được kết nối, cho thấy sự mở rộng không ngừng của mạng toàn cầu này.
Việc trao đổi thông tin dữ liệu một cách an toàn qua mạng công cộng như Internet là một thách thức lớn, khi hàng năm, sự rò rỉ và mất cắp dữ liệu gây thiệt hại kinh tế nghiêm trọng trên toàn cầu Tội phạm tin tặc luôn tìm cách đánh cắp thông tin nhạy cảm, bao gồm thẻ tín dụng, tài khoản người dùng và các dữ liệu kinh tế quan trọng của tổ chức và cá nhân.
Vậy giải pháp sử dụng mạng riêng ảo VPN sẽ giải quyết vấn đề an toàn và bảo mật thông tin trên Internet như thế nào?
Để đảm bảo an toàn cho việc trao đổi thông tin dữ liệu qua Internet, các tổ chức, doanh nghiệp và cá nhân nên sử dụng công nghệ mạng riêng ảo (VPN) VPN giúp bảo vệ dữ liệu và mang lại sự yên tâm khi truyền tải thông tin trực tuyến.
Công nghệ chính của mạng riêng ảo VPN là tạo ra một đường hầm mã hóa và xác thực dữ liệu giữa hai đầu kết nối Thông tin dữ liệu được mã hóa và xác thực trước khi lưu chuyển trong đường hầm riêng biệt, giúp bảo vệ thông tin khỏi những kẻ muốn đánh cắp dữ liệu.
1.4.1 An toàn và tin cậy
Sự an toàn của hệ thống máy tính là yếu tố quan trọng trong việc duy trì một hệ thống đáng tin cậy Có bốn yếu tố chính ảnh hưởng đến độ tin cậy của hệ thống này.
Tính sẵn sàng là khả năng phục vụ và đáp ứng yêu cầu trong một khoảng thời gian nhất định Để đảm bảo tính sẵn sàng, các hệ thống phần cứng dự phòng thường được triển khai.
Sự tin cậy được định nghĩa là xác suất mà hệ thống thực hiện các chức năng của mình trong một khoảng thời gian nhất định Khác với tính sẵn sàng, sự tin cậy được đo lường trong toàn bộ chu kỳ thời gian và liên quan đến tính liên tục của dịch vụ.
Sự an toàn là yếu tố quan trọng, cho thấy một hệ thống hoạt động đúng chức năng của nó Trong trường hợp xảy ra sự cố, hệ thống cần đảm bảo rằng các hành vi không gây thiệt hại nào xuất hiện.
• Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ tất cả các tài nguyên hệ thống
Một hệ thống máy tính đáng tin cậy luôn đảm bảo an toàn liên tục, không để xảy ra bất kỳ sự cố nào mà không có cảnh báo Điều này liên quan đến việc lưu tâm đến dữ liệu, với hai khía cạnh quan trọng cần được xem xét.
Tính bảo mật được định nghĩa là dữ liệu không bị thay đổi trong các hành vi trái phép trong suốt thời gian tồn tại của nó Tính sẵn sàng, sự an toàn và an ninh là những yếu tố liên quan chặt chẽ với nhau, đảm bảo rằng hệ thống an toàn luôn sẵn sàng và đáng tin cậy.
Sự an toàn của hệ thống máy tính phụ thuộc vào tất cả những thành phần của nó
Có 3 kiểu khác nhau của sự an toàn:
• Sự an toàn phần cứng
• Sự an toàn thông tin
• Sự an toàn quản trị
Sự an toàn vật lý là yếu tố quan trọng để bảo vệ phần cứng hệ thống khỏi các mối đe dọa bên ngoài như can thiệp trái phép, mất cắp thông tin, động đất và ngập lụt Tất cả thông tin nhạy cảm trong tài nguyên phần cứng cần được bảo vệ nhằm đảm bảo an toàn trước những rủi ro này.
Tính dễ bị tổn thương trong phần mềm và phần cứng, cũng như sự kết hợp giữa chúng, liên quan đến an toàn và truyền thông máy tính An toàn máy tính tập trung vào việc bảo vệ các đối tượng khỏi sự phơi bày và những lỗ hổng của hệ thống, bao gồm cả các cơ chế kiểm soát truy cập.
Các cơ chế điều khiển bắt buộc chính sách an toàn, bao gồm phần cứng và kỹ thuật mã hóa, đóng vai trò quan trọng trong việc bảo vệ sự an toàn truyền thông Sự an toàn này đảm bảo rằng các đối tượng truyền được bảo vệ một cách hiệu quả.
An toàn quản trị đề cập đến việc bảo vệ hệ thống máy tính khỏi các mối đe dọa mà con người có thể khai thác Những mối đe dọa này thường liên quan đến hoạt động của nhân sự, trong đó sự an toàn nhân sự đóng vai trò quan trọng trong việc ngăn chặn các cuộc tấn công từ những người dùng được ủy quyền.
Mỗi người dùng trong hệ thống được cấp quyền truy cập vào các tài nguyên nhất định, nhưng điều này cũng tiềm ẩn rủi ro Để bảo vệ an toàn hệ thống, việc giáo dục nhận thức cho người dùng là rất quan trọng nhằm ngăn chặn hành vi lạm dụng quyền hạn Thống kê cho thấy người dùng ủy quyền có nguy cơ gây đe dọa cao hơn so với các cuộc tấn công từ bên ngoài, với chỉ 10% mối nguy đến từ bên ngoài, trong khi 40% do người dùng nội bộ và 50% từ những nhân viên cũ.
CÁC KỸ THUẬT GIAO THỨC TRONG MẠNG RIÊNG ẢO VPN LỚP 2, LỚP 3
Giới thiệu các giao thức đường hầm
Trong công nghệ VPN, có nhiều giao thức đường hầm khác nhau, và việc lựa chọn giao thức phù hợp liên quan đến các phương pháp xác thực và mã hóa Một số giao thức đường hầm phổ biến hiện nay bao gồm:
• Giao thức đường hầm chuyển tiếp lớp 2 (L2F) - VPN lớp 2
• Giao thức đường hầm điểm tới điểm (PPTP) - VPN lớp 2
• Giao thức đường hầm lớp 2 (L2TP) - VPN lớp 2
• GRE (Generic Routing Encapsulation) - VPN lớp 3
Giao thức L2F và PPTP đều được phát triển dựa trên giao thức PPP (Point to Point Protocol), một giao thức cơ bản sử dụng ở lớp 2 PPP cho phép chuyển gói tin dữ liệu qua mạng IP và hỗ trợ nhiều giao thức lớp trên L2F được nghiên cứu và phát triển bởi hãng Cisco.
Hai giao thức PPTP và L2TP, được phát triển bởi IETF, hiện đang được sử dụng phổ biến hơn L2F Trong số các giao thức đường hầm, IPSec nổi bật với khả năng bảo mật dữ liệu gói tin nhờ vào các phương pháp xác thực và mã hóa mạnh mẽ IPSec cũng mang tính linh động cao, không bị giới hạn bởi các thuật toán xác thực hay mã hóa cụ thể.
Giao thức đường hầm điểm tới điểm (PPTP)
Giao thức PPTP, được phát triển bởi công ty chuyên về thiết bị công nghệ viễn thông, tách biệt các chức năng truy cập từ xa dựa trên hạ tầng Internet hiện có, tạo ra kết nối đường hầm giữa người dùng và mạng riêng ảo Người dùng có thể quay số đến các nhà cung cấp dịch vụ Internet để thiết lập đường hầm riêng, đảm bảo truy cập an toàn vào mạng riêng ảo PPTP, được xây dựng trên nền tảng PPP, cung cấp khả năng truy cập qua Internet đến các site đích và sử dụng giao thức đóng gói tin GRE để xử lý và tách gói PPP, cho phép linh hoạt trong việc xử lý các giao thức khác.
2.2.1 Nguyên tắc hoạt động của PPTP
PPP (Point-to-Point Protocol) là giao thức truy cập Internet và mạng IP phổ biến, hoạt động tại lớp liên kết dữ liệu trong mô hình OSI Giao thức này bao gồm các phương thức đóng gói và tách gói IP, cho phép truyền tải dữ liệu giữa hai máy thông qua kết nối điểm tới điểm.
PPTP (Point-to-Point Tunneling Protocol) đóng gói dữ liệu của giao thức PPP vào các gói tin IP để truyền qua mạng IP Nó sử dụng kết nối TCP để khởi tạo, duy trì và kết thúc đường hầm, đồng thời áp dụng gói định tuyến GRE để đóng gói các khung PPP Bên cạnh đó, phần tải của khung PPP có khả năng được mã hóa và nén, giúp tăng cường hiệu suất truyền tải dữ liệu.
PPTP sử dụng giao thức PPP để thiết lập và kết thúc kết nối vật lý, xác định người dùng, cũng như tạo ra các gói dữ liệu PPP.
PPTP cho phép thiết lập một mạng IP giữa khách hàng và máy chủ, trong đó PPTP khách có thể kết nối trực tiếp với máy chủ qua mạng NAS để tạo kết nối IP Khi kết nối thành công, người dùng được xác nhận thông qua giai đoạn tùy chọn trong PPP, mặc dù luôn được cung cấp bởi ISP Quá trình xác thực trong thiết lập kết nối PPTP dựa vào các cơ chế xác thực của PPP, với một số cơ chế phổ biến được sử dụng.
• Giao thức xác thực mở rộng EAP
• Giao thức xác thực có thử thách bắt tay CHAP
• Giao thức xác định mật khẩu PAP
Giao thức PAP gửi mật khẩu qua kết nối dưới dạng văn bản đơn giản, không bảo mật, trong khi CHAP sử dụng phương pháp bắt tay ba chiều để tăng cường bảo mật và chống lại các tấn công quay lại nhờ vào các giá trị bí mật duy nhất Bên cạnh đó, PPTP cũng cung cấp các giải pháp mã hóa và nén cho phần tải tin của PPP, trong đó phương thức mã hóa MPPE chỉ bảo vệ dữ liệu trong quá trình truyền tải mà không bảo mật tại các thiết bị đầu cuối Để đảm bảo an toàn cho lưu lượng từ đầu cuối đến đầu cuối, giao thức IPSec là lựa chọn tối ưu.
IP giữa các đầu cuối sau khi đường hầm PPTP được thiết lập
Khi kết nối PPP được thiết lập, PPTP sử dụng quy luật đóng gói của PPP để truyền các gói trong đường hầm PPTP xác định hai loại gói là gói điều khiển và gói dữ liệu, sau đó phân chia chúng vào hai kênh riêng biệt Kênh điều khiển sử dụng giao thức TCP để xử lý các luồng điều khiển, trong khi kênh dữ liệu sử dụng giao thức IP để truyền tải dữ liệu Kết nối TCP giữa máy khách và máy chủ được sử dụng để truyền thông báo điều khiển một cách hiệu quả.
Các gói dữ liệu là thông tin người dùng, trong khi các gói điều khiển được sử dụng theo chu kỳ để thu thập thông tin và trạng thái kết nối, đồng thời quản lý tín hiệu giữa ứng dụng khách PPTP và máy chủ PPTP Ngoài ra, các gói điều khiển còn giúp truyền tải thông tin quản lý thiết bị và cấu hình giữa hai đầu của đường hầm.
Kênh điều khiển là yếu tố cần thiết để thiết lập đường hầm giữa máy khách và máy chủ PPTP Máy chủ PPTP hoạt động với giao thức PPTP, có một giao diện kết nối với Internet và một giao diện khác kết nối với Intranet Phần mềm client có thể được cài đặt trên máy người dùng từ xa hoặc trên các máy chủ ISP.
2.2.2 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP
Kết nối điều khiển PPTP là sự kết nối giữa địa chỉ IP của máy khách và máy chủ PPTP, chịu trách nhiệm mang theo các gói tin điều khiển và quản lý để duy trì đường hầm PPTP Các bản tin này bao gồm yêu cầu và phản hồi PPTP, được gửi định kỳ nhằm phát hiện lỗi kết nối giữa máy trạm và máy chủ Gói tin của kết nối điều khiển PPTP bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và phần cuối của lớp liên kết dữ liệu.
Tiêu đề liên kết dữ liệu Tiêu đề IP Tiêu đề TCP Bản tin điều khiển PPTP
Phần cuối của liên kết dữ liệu
Hình 2 1: Gói dữ liệu kết nối PPTP 2.2.3 Nguyên lý đóng gói dữ liệu đường hầm PPTP
Quan hệ giữa PPTP và PPP
PPP là giao thức phổ biến cho việc quay số truy cập Internet và mạng TCP/IP, hoạt động ở lớp 2 trong mô hình OSI Giao thức này cung cấp các phương pháp đóng gói cho nhiều loại gói dữ liệu khác nhau để truyền nối tiếp PPTP, dựa trên PPP, tạo ra các kết nối quay số giữa khách hàng và máy chủ truy cập mạng, đồng thời thực thi các chức năng quan trọng trong quá trình này.
• Thiết lập và kết thúc kết nối vật lý
• Tạo ra gói dữ liệu PPP
Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng gói các gói truyền trong đường hầm như dưới đây:
Tiêu đề phân phối môi trường Tiêu đề IP
Tiêu đề môi trường Khung
IP, IPX và gói dữ liệu NetBEUI
Chuyển mạch truy cập từ xa của ISP
PPTP tận dụng ưu điểm của kết nối PPP bằng cách định nghĩa hai loại gói: gói điều khiển và gói dữ liệu, phân tách chúng vào hai kênh riêng biệt PPTP sử dụng luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP Kết nối TCP giữa client PPTP và máy chủ PPTP được thiết lập để chuyển các thông báo điều khiển.
Sau khi thiết lập đường hầm, dữ liệu sẽ được truyền từ client đến máy chủ PPTP dưới dạng các gói dữ liệu IP Các gói dữ liệu IP này sẽ được đóng gói với tiêu đề tương ứng.
Tiêu đề liên kết dữ liệu Tiêu đề IP
Phần cuối của liên kết dữ liệu
Tiêu đề GRE Tiêu đề PPP Tải PPP được mã hóa
Hình 2 3: Mô hình đóng gói dữ liệu đường hầm PPTP Đóng gói khung PPP và gói định tuyến chung GRE
Khung PPP ban đầu được mã hoá và đóng gói với tiêu đề PPP, tạo thành khung PPP hoàn chỉnh Sau đó, khung này được đóng gói thêm với tiêu đề của phiên bản giao thức GRE sửa đổi.
GRE là giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu cho việc định tuyến qua mạng IP Trong trường hợp của PPTP, phần tiêu đề của GRE được điều chỉnh một số điểm nhất định.
Giao thức chuyển tiếp lớp 2 (L2F)
Giao thức L2F, được phát triển sớm nhất, là một trong những phương pháp truyền thống cho phép người dùng truy cập từ xa vào mạng doanh nghiệp thông qua thiết bị L2F cung cấp giải pháp dịch vụ quay số ảo bằng cách tạo ra một đường hầm bảo mật qua hạ tầng công cộng như Internet Giao thức này cho phép đóng gói các gói tin PPP trong định dạng L2F và thực hiện định tuyến hầm ở lớp liên kết dữ liệu.
2.3.1 Nguyên tắc hoạt động của L2F
Giao thức chuyển tiếp L2F đóng gói những gói tin lớp 2, sau đó trong truyền chúng đi qua mạng Hệ thống sử dụng L2F gồm các thành phần sau:
• Máy trạm truy cập mạng (NAS): định hướng lưu lượng đến và đi giữa các máy khách ở xa và Home Gateway
• Đường hầm: định hướng đường đi giữa NAS và Home Gateway Một đường gồm một số kết nối
• Kết nối: Là một kết nối PPP trong đường hầm Trong LCP (Link Control Protocol), một kết nối L2F được xem như là một phiên
• Điểm đích: Là điểm kết thúc ở đầu ra của đường hầm Trong trường hợp này thì Home Gateway là đích
Quá trình hoạt động của giao thức đường hầm chuyển tiếp (L2F) khá phức tạp Người dùng từ xa kết nối đến hệ thống NAS và bắt đầu một kết nối PPP tới ISP Hệ thống NAS và máy trạm có thể trao đổi các gói giao thức điều khiển liên kết Để xác định xem người dùng có yêu cầu dịch vụ L2F hay không, NAS sử dụng cơ sở dữ liệu cục bộ liên quan đến tên miền.
Người dùng truy nhập từ xa
Mạng của ISP Mạng riêng
Hình 2 5: Hệ thống sử dụng L2F
Khi người sử dụng yêu cầu L2F, NAS sẽ thu nhận địa chỉ của Gateway đích và thiết lập một đường hầm nếu chưa có đường hầm nào giữa chúng Quá trình này bao gồm giai đoạn xác thực từ ISP đến Gateway đích nhằm ngăn chặn các cuộc tấn công từ bên thứ ba Một kết nối PPP mới được tạo ra trong đường hầm, kéo dài phiên PPP của người sử dụng từ xa đến Home Gateway Home Gateway sẽ tiếp nhận các lựa chọn và thông tin xác thực PAP/CHAP theo thỏa thuận giữa người sử dụng và NAS, sau đó chấp nhận kết nối hoặc thỏa thuận lại LCP và xác thực người sử dụng.
28 tiếp nhận lưu lượng dữ liệu từ người sử dụng và đóng gói chúng vào các khung L2F Sau đó, lưu lượng này được chuyển hướng vào trong đường hầm Tại Home Gateway, khung được tách bỏ, và dữ liệu đóng gói được gửi đến mạng của doanh nghiệp hoặc người dùng.
Khi hệ thống đã thiết lập điểm đích đường hầm và các phiên kết nối, việc quản lý lưu lượng L2F trở nên cần thiết Điều này bao gồm việc ngăn chặn việc tạo ra những đích đến, đường hầm và phiên mới Người quản lý có thể đóng và mở lại tất cả hoặc lựa chọn từng điểm đích, đường hầm và phiên cụ thể, đồng thời kiểm tra tổng UDP Ngoài ra, cần thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu liên quan đến các đường hầm kết nối.
2.3.2 Những ưu, nhược điểm của L2F
Mặc dù L2F yêu cầu mở rộng xử lý với các LCP và phương pháp tùy chọn khác nhau, nhưng nó được ưa chuộng hơn PPTP do khả năng chuyển hướng khung ở cấp thấp Hơn nữa, L2F cung cấp nền tảng giải pháp VPN vượt trội hơn PPTP cho mạng doanh nghiệp.
Những ưu điểm chính khi triển khai giao thức L2F bao gồm:
• Nâng cao bảo mật cho quá trình giao dịch
• Có nền tảng độc lập
• Không cần những sự lắp đặt đặc biệt với ISP
• Hỗ trợ phạm vi rộng rãi các công nghệ mạng như ATM, IPX, NetBEUI và Frame Relay
Những khó khăn của việc triển khai L2F bao gồm:
• L2F yêu cầu cấu hình và hỗ trợ lớn
• Thực hiện L2F dựa trên ISP Nếu trên ISP không hỗ trợ L2F thì không thể triển khai L2F được
Giao thức đường hầm lớp 2 (L2TP)
Giao thức đường hầm lớp 2 (L2TP) là sự kết hợp giữa hai giao thức PPTP do Microsoft phát triển và L2F do Cisco khởi xướng Sự hợp tác giữa hai công ty này đã dẫn đến việc chuẩn hóa L2TP tại IETF.
Cung cấp tính linh động và hiệu quả chi phí, giải pháp truy cập từ xa của L2F kết hợp khả năng kết nối điểm điểm nhanh chóng của PPTP.
Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:
• L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP
L2TP không cần cài đặt thêm phần mềm nào, bao gồm cả điều khiển và hệ điều hành hỗ trợ Điều này giúp người dùng và mạng riêng Intranet không phải triển khai các phần mềm chuyên biệt, tạo sự thuận tiện trong việc sử dụng.
• L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư)
Quá trình xác nhận và chứng thực của L2TP được thực hiện bởi cổng mạng máy chủ, giúp ISP không cần lưu trữ dữ liệu xác nhận hay quyền truy cập của người dùng từ xa Mạng riêng intranet có thể thiết lập các chính sách truy cập riêng, làm cho việc thiết lập đường hầm trở nên nhanh chóng hơn so với các giao thức trước Điểm nổi bật của L2TP là nó thiết lập đường hầm PPP mà không kết thúc gần ISP, mà mở rộng đến cổng mạng máy chủ Yêu cầu đường hầm L2TP có thể được khởi tạo bởi người dùng từ xa hoặc cổng của ISP.
Khi các khung PPP được gửi qua hầm L2TP, chúng được đóng gói dưới dạng thông điệp User Datagram Protocol (UDP) L2TP sử dụng các thông điệp UDP này để thiết lập và duy trì hầm dữ liệu Đặc biệt, cả hầm dữ liệu và hầm duy trì đều có cấu trúc gói dữ liệu giống nhau, điều này khác biệt so với các giao thức hầm trước đây.
2.4.1 Các thành phần của L2TP
Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP Network Server (LNS)
L2TP NASs là thiết bị truy cập điểm-điểm cung cấp kết nối Internet cho người dùng từ xa thông qua PSTN hoặc ISDN với kết nối PPP Chúng xác nhận người dùng từ xa tại ISP và xác định yêu cầu kết nối ảo Tương tự như PPTP NASs, L2TP NASs được triển khai tại ISP và hoạt động như client trong quá trình thiết lập L2TP tunnel NASs có khả năng hồi đáp và hỗ trợ nhiều yêu cầu kết nối đồng thời, đáp ứng đa dạng các loại client.
Bộ tập kết truy cập L2TP (LAC)
LACs đóng vai trò quan trọng trong công nghệ tạo hầm L2TP, thiết lập một đường hầm qua mạng công cộng như PSTN, ISDN hoặc Internet đến LNS tại điểm cuối của mạng chủ Chúng hoạt động như điểm kết thúc của môi trường vật lý giữa client và LNS, đảm bảo việc truyền tải dữ liệu hiệu quả và an toàn.
LNS được đặt ở cuối mạng chủ, đóng vai trò quan trọng trong việc kết thúc kết nối L2TP tương tự như việc kết thúc đường hầm từ client của LACs Khi LNS nhận yêu cầu kết nối ảo từ LAC, nó sẽ thiết lập đường hầm và xác nhận thông tin người dùng khởi tạo yêu cầu Nếu LNS chấp nhận yêu cầu, nó sẽ tạo ra giao diện ảo để hoàn tất kết nối.
2.4.2 Quan hệ giữa L2TP với PPP
L2TP sử dụng PPP để thiết lập kết nối quay số giữa client và máy chủ truy cập mạng (NAS), bao gồm giai đoạn xác thực và tạo gói dữ liệu PPP Khi kết nối PPP hoàn tất, L2TP xác định NAS tại site chính để chấp nhận người dùng và đóng vai trò là điểm kết thúc đường hầm Sau khi đường hầm được tạo, L2TP sẽ đóng gói các gói PPP và truyền lên môi trường được ISP chỉ định L2TP tạo ra đường hầm giữa NAS của ISP và máy chủ mạng của client, cho phép gán nhiều phiên làm việc cho đường hầm, đồng thời tạo số nhận dạng cuộc gọi (Call ID) cho mỗi phiên và chèn Call ID vào tiêu đề L2TP của các gói để phân biệt các phiên làm việc.
Tiêu đề môi trường phân phối (IP, ATM) Tiêu đề IP
Tiêu đề môi trường Khung
IP, IPX và gói dữ liệu NetBEUI
Bộ tập trung truy cập
Hình 2 6: Các giao thức sử dụng trong một kết nối L2TP
L2TP có khả năng tạo ra nhiều đường hầm giữa NAS của ISP và máy chủ mạng của client Bằng cách gán một phiên làm việc của người dùng cho mỗi đường hầm, L2TP cho phép phân chia người dùng vào các môi trường khác nhau dựa trên chất lượng dịch vụ mà họ nhận được.
Giống như PPTP, L2TP cũng định nghĩa hai loại thông báo: thông báo điều khiển và thông báo dữ liệu Tuy nhiên, khác với PPTP, L2TP truyền cả hai loại thông báo này trên cùng một luồng Khi sử dụng đường hầm cho truyền tải trên mạng IP, cả hai loại thông báo được gửi trong cùng một gói dữ liệu UDP Do L2TP hoạt động ở lớp thứ hai, thông báo dữ liệu của L2TP bao gồm tiêu đề môi trường để chỉ ra đường hầm hoạt động trong môi trường nào, có thể là Ethernet, X.25, Frame Relay, ATM hoặc liên kết PPP tùy thuộc vào nhà cung cấp dịch vụ ISP.
Tiêu đề liên kết dữ liệu L2TP
Phần cuối của liên kết dữ liệu
Tiêu đề PPP Tải PPP được mã hóa
Hình 2 7: Mô hình đóng gói dữ liệu đường hầm L2TP
2.4.3 Quy trình xử lý L2TP
Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặc mạng chung khác, theo các bước tuần tự sau đây:
(1) Người dùng từ xa gửi yêu cầu kết nối đến ISP’s NAS gần nhất của nó, và bắt đầu khởi tạo một kết nối PPP với nhà ISP cuối
NAS xác nhận yêu cầu kết nối sau khi kiểm tra người dùng cuối, sử dụng các phương pháp xác thực PPP như PAP, CHAP, SPAP và EAP để đảm bảo tính bảo mật.
(3) Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với LNS của mạng đích
LAC thiết lập một đường hầm LAC-LNS qua mạng trung gian giữa hai đầu cuối, sử dụng các công nghệ như ATM, Frame Relay hoặc IP/UDP để đảm bảo kết nối hiệu quả.
(5) Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một Call
ID (CID) được sử dụng để kết nối và gửi thông điệp thông báo đến LNS, trong đó chứa thông tin xác nhận người dùng Thông điệp này cũng bao gồm các tùy chọn LCP nhằm thiết lập thỏa thuận giữa người dùng và LAC.
LNS sử dụng thông tin từ thông điệp thông báo để xác thực người dùng cuối Khi quá trình xác thực thành công và LNS chấp nhận yêu cầu kết nối, một giao diện PPP ảo (đường hầm L2TP) sẽ được thiết lập với sự hỗ trợ của LCP từ thông điệp thông báo.
(7) Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua đường hầm
Người sử dụng Điều khiển mạng
3) Chuyển tới LAC 4) Chấp nhận yêu cầu
Hình 2 8: Mô tả quy trình thiết lập đường hầm L2TP 2.4.4 Dữ liệu đường hầm L2TP
GRE (Generic Routing Encapsulation)
GRE (Generic Routing Encapsulation) là giao thức được Cisco phát triển, nhằm tạo ra kênh truyền ảo (tunnel) để vận chuyển các giao thức lớp mạng khác nhau.
3 thông qua mạng IP Đây là giao thức truyền thông đóng gói IP và tất cả các gói dữ liệu bên trong đường hầm IP (IP tunnel)
GRE Tunnel cho phép router Cisco đóng gói dữ liệu bằng một giao thức đặc trưng trong gói IP header, tạo ra một kết nối ảo điểm-điểm đến router Cisco đích Khi gói dữ liệu đến nơi, IP header sẽ được mở ra để truy cập thông tin bên trong.
GRE tunneling cho phép kết nối nhiều mạng con sử dụng các giao thức khác nhau trong một môi trường có giao thức chính, giúp cải thiện khả năng định tuyến cho các gói IP.
Ngoài ra, khi bạn muốn chạy các giao thức định tuyến động như OSPF/EIGRP xtrên các kênh VPN thì ta cũng phải dùng GRE tunnels
Một số đặc điểm chung của GRE tunnel:
• GRE tunnel giống IPsec Tunnel vì gói tin gốc được bọc bên ngoài 1 lớp
• GRE là không cung cấp điều khiển luồng (flow control)
• GRE thêm ít nhất và header 24byte, trong đó IP header mới 20 byte
• GRE hỗ trợ đa giao thức nên hỗ trợ bất kỳ giao thức lớp 3 nào chạy qua đường hầm(IP, IPX, Apple Talk )
• GRE cần thiết cho IP Multicast/ broadcast
• Không có cơ chế mã hóa
• Không có cơ chế hash
• Không có cơ chế xác thực nguồn gốc peer
2.5.2 Cơ chế hoạt động của GRE Để tạo ra các kênh truyền, GRE cũng thực hiện việc đóng gói gói tin tương tự như giao thức IPSec hoạt động ở Tunnel mode Trong quá trình đóng gói, GRE sẽ thêm các header mới vào gói tin, và header mới này cung cấp các thông số cần thiết dùng để truyền các gói tin thông qua môi trường trung gian
GRE thêm ít nhất 24 byte vào đầu gói tin, bao gồm 20 byte cho IP header dùng trong định tuyến và 4 byte cho GRE header Ngoài ra, GRE có thể tùy chọn thêm 12 byte mở rộng để cung cấp các tính năng tin cậy như checksum, key chứng thực và sequence number.
Hình 2 14: Cấu trúc gói tin được đóng thêm GRE header
Hai byte đầu tiên trong phần GRE header là GRE flag 2-byte Phần bày chứa các cờ dùng để chỉ định những tính năng tùy chọn của GRE
Bit 0 (checksum): Nếu bit này được bật lên (giá trị bằng 1) thỉ phần checksum được thêm vào sau trường Protocol type của GRE header
Bit 2 (key): Nếu bit này được bật lên thì phần Key tính năng chứng thực sẽ được áp dụng, đây như dạng password ở dạng clear text Khi một thiết bị tạo nhiều tunnel đến nhiều thiết bị đích thì key này được dùng để xác định các thiết bị đích
Bit 3 (Sequence number): Khi bit này được bật thì phần sequence number được thêm vào GRE header
Hai byte tiếp theo là phần Protocol Type chỉ ra giao thức lớp 3 của gói tin ban đầu được GRE đóng gói và truyền qua kênh truyền
Khi gói tin di chuyển qua tunnel, nó sẽ được thêm vào một GRE header Sau khi gói tin đến đầu bên kia của kênh truyền, GRE header sẽ được loại bỏ, trả lại gói tin nguyên bản ban đầu.
GRE là giao thức không bảo mật, việc kết hợp với IPSec sẽ giúp tăng cường tính năng bảo mật cho kênh truyền
Khi kết hợp IPSec với GRE, hệ thống mạng sẽ có khả năng định tuyến động trên kênh truyền, từ đó nâng cao khả năng mở rộng mạng một cách đáng kể.
Cơ chế hoạt động của GRE over IPSec
GRE over IPSec là sự kết hợp giữa GRE và IPSec, trong đó các gói tin GRE được truyền qua kênh bảo mật do IPSec thiết lập IPSec sẽ thực hiện việc đóng gói các gói tin GRE với các thông tin bảo mật của mình, đảm bảo an toàn cho quá trình truyền tải dữ liệu.
GRE over IPSec cũng có hai mode hoạt động; Tunnel mode và Transport mode:
Hình 2 15: Tunnel mode và Transport mode của GRE
Gói IP ban đầu sẽ được bao bọc bởi tiêu đề GRE, sau đó IPSec sẽ thêm tiêu đề IPSec để cung cấp các tính năng bảo mật cần thiết.
Khi gói tin GRE được gửi đi, nó sẽ trải qua quá trình truyền qua kênh Khi gói tin đến đích, các thao tác ngược lại sẽ được thực hiện để phục hồi gói tin về trạng thái ban đầu.
Giao thức bảo mật IP (IP Security Protocol)
2.6.1 Khái niệm, tổng quan về IPSec
IPSec (Internet Protocol Security) là giao thức do IETF phát triển, hoạt động ở tầng mạng để cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn dữ liệu và điều khiển truy cập Đây là một tập hợp các tiêu chuẩn mở, cho phép các thiết bị khác nhau làm việc cùng nhau hiệu quả.
Một cách chung nhất, IPSec cho phép một đường hầm bảo mật thiết lập giữa
Đường hầm IPSec tạo ra một kênh truyền bảo mật giữa hai đầu, có thể là cặp host hoặc cặp thiết bị bảo mật như router, firewall, hoặc VPN concentrator Chức năng của đường hầm là truyền tải các gói dữ liệu yêu cầu an toàn mà không làm thay đổi cấu trúc hoặc ứng dụng của mạng trung gian IPSec không chỉ thực hiện việc đóng gói dữ liệu mà còn thiết lập, duy trì và hủy bỏ kênh truyền khi không cần thiết, giúp giảm thiểu chi phí triển khai và quản lý mạng.
IPSec utilizes two fundamental mechanisms to ensure data security: Authentication Header (AH) and Encapsulating Security Payload (ESP) While IPSec is required to support ESP, it may optionally support AH as well.
AH cho phép xác thực nguồn gốc và kiểm tra tính toàn vẹn của dữ liệu, đồng thời cung cấp dịch vụ chống phát lại cho các gói IP giữa hai hệ thống Tuy nhiên, AH không cung cấp tính bảo mật, do đó thông tin được gửi đi ở dạng bản rõ.
ESP (Encapsulating Security Payload) là giao thức bảo mật cho các gói tin truyền tải, cung cấp tính năng mã hóa dữ liệu, xác thực nguồn gốc và kiểm tra tính toàn vẹn Nó đảm bảo tính bí mật thông tin bằng cách mã hóa gói tin IP, với toàn bộ lưu lượng ESP được mã hóa giữa hai hệ thống.
43 đặc điểm này thì xu hướng sẽ sử dụng ESP nhiều hơn AH để tăng tính an toàn cho dữ liệu
Cả AH và ESP đều là các phương tiện quản lý truy cập, dựa trên việc phân phối khóa mật mã và quản lý luồng giao thông liên quan đến các giao thức bảo mật.
Các giao thức này có thể được sử dụng độc lập hoặc kết hợp để cung cấp các giao thức an toàn trong IPv4 và IPv6, nhưng phương thức cung cấp dịch vụ của chúng là khác nhau IPSec, với cả hai giao thức AH và ESP, không chỉ định các thuật toán an toàn cụ thể mà thay vào đó cung cấp một khung chuẩn để áp dụng các thuật toán theo tiêu chuẩn công nghiệp IPSec sử dụng các thuật toán như Mã nhận thực bản tin trên cơ sở băm (HMAC) và thuật toán MD5 (Message Digest).
Thuật toán SHA-1 được sử dụng để đảm bảo tính toàn vẹn của bản tin, trong khi các thuật toán DES và 3DES thực hiện nhiệm vụ mã hóa dữ liệu Để xác thực các bên, thuật toán khóa chia sẻ trước, RSA cho chữ ký số và RSA cho mã hóa giá trị ngẫu nhiên (Nonces) cũng được áp dụng Bên cạnh đó, các tiêu chuẩn còn quy định việc sử dụng các thuật toán khác như IDEA, Blowfish và RC4.
IPSec sử dụng giao thức IKE (Internet Key Exchange) để xác thực hai bên và thương lượng các chính sách bảo mật, xác định thuật toán thiết lập kênh truyền và trao đổi khóa cho mỗi phiên kết nối Mạng áp dụng IPSec có khả năng tự động kiểm tra tính xác thực của thiết bị thông qua chứng chỉ số của người dùng Quá trình thương lượng này dẫn đến việc thiết lập các kết hợp an ninh (SAs) giữa các cặp bảo mật, với tính chất hai chiều trực tiếp Thông tin về các kết hợp an ninh được lưu trữ trong cơ sở dữ liệu liên kết an ninh, và mỗi SA được gán một số tham số an ninh trong bảng mục lục, đảm bảo rằng mỗi địa chỉ đích kết hợp với giao thức an ninh (ESP hoặc AH) sẽ có một SA duy nhất.
IPSec hỗ trợ hai chế độ mã hóa: transport và tunnel
Chế độ transport trong IPSec chỉ mã hóa phần payload của mỗi gói tin, trong khi phần header không bị ảnh hưởng Khi nhận gói tin, thiết bị tương thích với IPSec sẽ thực hiện giải mã từng gói tin một cách chính xác.
Sử dụng chế độ Transport giữa 2 Host
IP header bên ngoài Mã hóa
Chế độ transport bảo vệ phần tải tin của gói dữ liệu, trong khi địa chỉ IP nguồn được vận chuyển ở dạng "clear" để định tuyến qua Internet Mode transport ESP được áp dụng giữa hai máy, với địa chỉ đích là máy của chính nó Chế độ này chỉ cung cấp tính bảo mật cho các giao thức ở lớp cao hơn.
Chế độ này có nhược điểm là cho phép các thiết bị trong mạng nhìn thấy địa chỉ nguồn và đích của gói tin, từ đó có thể thực hiện phân tích lưu lượng dựa trên thông tin tiêu đề IP Tuy nhiên, khi dữ liệu được mã hóa bằng ESP, thông tin bên trong gói tin IP sẽ không được tiết lộ Theo IETF, chế độ truyền tải chỉ được áp dụng khi hai hệ thống đầu cuối IP-VPN thực hiện IPSec.
Chế độ tunnel mã hóa cả phần header và payload, mang lại bảo mật cao hơn cho gói tin Tại bên nhận, thiết bị tương thích IPSec sẽ tiến hành giải mã từng gói tin Một trong những giao thức phổ biến để xây dựng VPN là chế độ đường hầm IPSec.
Chỉ sử dụng chế độ Tunnel giữa 2 Gateway Ẩn đi địa chỉ IP của mạng an toàn
Chế độ đường hầm IPSec cho phép bộ định tuyến xử lý gói dữ liệu thay vì các trạm cuối, giúp bảo mật mà không cần thay đổi thiết bị đầu cuối Bộ định tuyến A sẽ xử lý các gói từ trạm A và gửi chúng qua đường hầm, trong khi bộ định tuyến B nhận và giải mã gói để chuyển đến trạm B Điều này đảm bảo rằng các trạm cuối vẫn giữ nguyên cấu hình, đồng thời các thiết bị trung gian chỉ thấy địa chỉ của hai bộ định tuyến Nhờ vậy, các đầu cuối của IPSec-VPN không cần thay đổi ứng dụng hay hệ điều hành.
IPSec không chỉ đơn thuần là một giao thức, mà là một khung các tập giao thức chuẩn mở nhằm mục đích cung cấp sự xác thực, tính toàn vẹn và độ tin cậy cho dữ liệu.
Hình 2 18: Khung giao thức được sử dụng trong IPSec
Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec:
- Giao thức bảo mật IP (IPSec):
- Các chức năng toàn vẹn bản tin
+ HMAC (Hash – ased Message Authentication Code)
- Nhận thực đối tác (peer Authentication)
+ Rivest, Shamir, and Adelman (RSA) Digital Signatures
+ ISAKMP (Internet Security Association and Key Management Protocol)
