bao mat vpn

I. TỔNG QUANG VỀ BẢO MẬT VPN

1.1 Tổng quan về an toàn bảo mật thông tin

1.1.1 Giới thiệu về bảo mật thông tin

Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về công nghệ thông tin không ngừng được phát triển ứng dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có rất nhiều phươg pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu.

An toàn thông tin bao gồm các nội dung sau:

- Tính bí mật: tính kín đáo riêng tư của thông tin

- Tính xác thực của thông tin, bao gồm xác thực đối tác, xác thực thông tin trao đổi.

- Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách nhiệm về thông tin mà mình đã gửi.

1.1.2 Một số giải pháp an toàn thông tin

Các mức bảo vệ trên mạng: Thực hiện một số giải pháp: Quyền truy nhập; Đăng ký tên /mật khẩu; Mã hoá dữ liệu; Tường lửa; Quản trị mạng

An toàn thông tin bằng mật mã: Để bảo vệ thông tin trên đường truyền người thực hiện các giải pháp mật mã nhằm mục đích để

Người không được phép đọc được thông tin. Đây là một lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong môi trườg mạng. Để bảo vệ thông tin bằng mật mã người ta thường tiếp cận theo hai hướng:

- Theo đường truyền (Link_Oriented_Security).

- Từ nút đến nút (End_to_End).

Theo cách thứ nhất thông tin được mã hoá để bảo vệ trên đường truyền giữa hai nút mà không quan tâm đến nguồn và đích của thông tin đó. Ở đây ta lưu ý rằng thông tin chỉ được bảo vệ trên đường truyền, tức là ở mỗi nút đều có quá trình giải mã sau đó mã hoá để truyền đi tiếp, do đó các nút cần phải được bảo vệ tốt.

1.2 Tổng quan về mạng riêng ảo VPN

1.2.1 Định nghĩa về mạng riêng ảo

Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng đƣợc triển khai trên một hạ tầng công cộng với các chính sách như là trong một mạng riêng. Hạ tầng công cộng này có thể là mạng IP, Frame Relay, ATM hay Internet.

1.2.2 Lợi ích của mạng riêng ảo

VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:

- Giảm chi phí thực thi

- Bảo mật các giao dịch

- Sử dụng hiệu quả băng thông

- Nâng cao khả năng mở rộng

Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên cạnh đó, nó cũng không tránh khỏi một số bất lợi như: Phụ thuộc nhiều vào Internet. Sự thực thi của một mạng dựa trên VPN phụ thuộc nhiều vào sự thực thi của Internet.

1.2.3 Mô hình mạng riêng ảo thông dụng

VPN được phát triển và phân thành 3 loại như sau:

VPN truy cập từ xa (Remote Access VPN): VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty.

VPN Cục bộ (Intranet VPN): Intranet VPN thƣờng đƣợc dùng để kết nối các nhánh Văn phòng từ xa của một tổ chức với Intranet trung tâm của tổ chức đó.

Mạng riêng ảo mở rộng (Extranet VPN): Khi một công ty có mối quan hệ mật thiết với một công ty khác (ví dụ nhƣ đối tác cung cấp, khách hàng...), họ có thể xây dựng một VPN extranet kết nối LAN với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trường chung.

1.2.4 Một số giao thức mạng riêng ảo

Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử dụng trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng.

- Point-to-Point Tunneling Protocol (PPTP)

- Layer2 Tunneling Protocol (L2TP)

- Secure Socket Layer (SSL)

- Internet Protocol Security (IPSec)

1.3 Những vấn đề bảo mật trong mạng riêng ảo

Nền tảng VPN có thể bị tấn công bằng rất nhiều cách. Dưới đây là một số loại tấn công phổ biến vào và hệ thống VPN

- Các mối đe dọa an ninh cho các thành phần VPN

- Các cuộc tấn công các giao thức VPN

- Các cuộc tấn công mật mã

- Các cuộc tấn công từ chối dịch vụ

1.3.1 Tấn công các thành phần mạng riêng ảo

Các yếu tố quan trọng nhất của một thiết lập VPN bao gồm:

- Người dùng truy cập từ xa

- Kêt nối trong phân đoạn ISP

- Internet công cộng

- Gateway của mạng 1.3.2 Tấn công giao thức mạng riêng ảo

Các giao thức VPN chính, PPTP, L2TP, và IPSec, cũng dễ bị tổn thương các mối đe dọa an ninh. Những phần sau mô tả về các cuộc tấn công trên các giao thức VPN.

Tấn công trên PPTP

PPTP là dễ bị tổn thương trên hai khía cạnh. Chúng bao gồm:

- Generic Routing Encapsulation (GRE)

- Mật khẩu trao đổi trong quá trình xác thực

Tấn công trên IPSec

Như chúng ta biết IPSec không phải là thuật toán mã hóa thuần túy cũng không phải một cơ chế xác thực. Trong thực tế, IPSec là một sự kết hợp của cả hai và giúp các thuật toán khác bảo vệ dữ liệu.

Tuy nhiên, IPSec là dễ bị các cuộc tấn công:

- Các cuộc tấn công chống lại thực hiện IPSec

- Tấn công chống lại quản lý khóa

- Các cuộc tấn công quản trị và ký tự đại diện

1.3.3 Tấn công mật mã

Mật mã như là một trong các thành phần bảo mật của một VPN. Tùy thuộc vào các kỹ thuật mật mã và các thuật toán khác nhau, các cuộc tấn công giải mã được biết là tồn tại. Những phần sau tìm hiểu về một số cách thức tấn công giải mã nổi tiếng:

- Chỉ có bản mã (ciphertext-Only)

- Tấn công biết bản rõ (know plaintext attacks)

- Tấn công lựa chọn bản rõ

- Man-in-the-Middle (tấn công trung gian)

- Tấn công Brute Force (duyệt toàn bộ)

- Tấn công thời gian (Timing attacks):

1.3.4 Tấn công từ chối dịch vụ

Các cuộc tấn công DoS đang trở nên khá phổ biến ngày này vì nó không yêu cầu bất kỳ phần mềm đặc biệt hoặc truy cập vào mạng mục tiêu. Chúng được dựa trên khái niệm của sự tắc nghẽn mạng. Bất kỳ kẻ xâm nhập có thể gây ra tắc nghẽn mạng bằng cách gửi các tải các dữ liệu rác vào mạng. Điều này làm cho các máy tính mục tiêu không thể được truy cập trong một khoảng thời gian bởi đường truyền bị quá tải hoặc máy tính mục tiêu không thể phục vụ do quá tải. Tình trạng quá tải thông tin thậm chí có thể dẫn đến việc sụp đổ của máy tính mục tiêu.

Một số phương pháp thường được sử dụng để bắt đầu cuộc tấn công DoS như sau:

- SYN Floods (lụt gói SYN)

- Broadcast Storm (bão gói tin quảng bá)

- Smurf DoS

- Ping of Death

II. CÁC KỸ THUẬT BẢO MẬT VPN

Một mạng riêng ảo hiệu quả bao gồm các đặc điểm sao:

Bảo mật (security)

Tin cậy (reliability)

Khả năng mở rộng (scalability)

Khả nẳng quản trị hệ thống mạng (network management)

Khả năng quản tri chính sách (policy management)

2.1. Bảo mật trong giao thức PPTP

Authentication: Để xác thực người sử dụng, PPTP cũng sử dụng các phương pháp xác thực giống như PPP: PAP, CHAP. Tuy nhiên, PPTP có bổ sung EAP (Extensible authentication protocol). EAP hỗ trợ nhiều cơ chế xác thực sử dụng mật khẩu tức thời, thẻ bài… Riêng đối với hệ điều hành Windows còn hỗ trợ thêm giao thức xác thực người dùng là MS-CHAP sử dụng thuật toán băm MD4 10

Data encryption: PPTP sử dụng mã hóa gói tin của PPP. Đối với PPTP do Microsoft đưa ra sử dụng giao thức mã hóa MPPE (Microsoft Point to Point Encryption) dựa trên chuẩn RC4 RSA. MPPE chỉ đáp ứng trong trường hợp các giao thức xác thực EAP-TLS hoặc MS-CHAP (phiên bản 1 hoặc 2) được sử dụng. MPPE có thể dụng các khóa mã 40-bit, 56 bit hoặc 128 bit. Ngầm định khóa có độ tin cậy cao nhất được hỗ trợ bởi VPN Client và VPN Server được xác định trong quá trình thiết lập kết nối. Nếu VPN server yêu cầu một khóa có độ tin cậy cao hơn khóa được hỗ trợ bởi VPN Client, thì Client sẽ bị từ chối khi cố gắng truy cập.

2.2. Bảo mật trong giao thức L2F

L2F cung cấp các dịch vụ bảo mật sau đây:

Data encryption

Authentication

L2F Data encryption

L2F sử dụng cơ chế MPPE(Microsoft point –to – point encryption) cho mục đích mã hóa cơ bản. Tuy nhiên, MPPE không phải là giải pháp an toàn cho hacker hiện nay. Vì vậy, L2F sủ dụng trên phương pháp mã hóa dựa trên IPSec(Internet Protocol Security) để chắt chắn dử liệu được bảo mật trên đường truyền.

L2F Authentication

L2F được thiết lập ở hai cấp độ:

Cấp độ thứ nhất là việc chứng thực L2F xảy ra khi một remote user quay số đến ISP’s POP. Tại đây, quá trình thiết lập một tunnel chỉ xảy ra khi user đó được chứng thực.

Cấp độ thứ hai thực hiện bởi gateway của máy chủ mạng. Gateway chỉ xác lập đương hầm giữa nó và NAS sau khi user đã chứng thực

2.3. Bảo mật trong giao thức L2TP

L2TP sử dụng phương thức xác thực PPP để xác thực người dùng. Sơ đồ xác thực

bao gồm:

- PAP và SPAP.

- EAP.

- CHAP.

Những phương pháp này đã được nói trong PPTP.

Ngoài các cơ chế chứng thực trên. L2TP củng sử dụng IPsec để chứng thực trên mỗi packet đảm bảo các hacker không thể tấn công được trong dữ liệu tunnel

L2TP over IPSec Authentication: IPSec đóng vai trò quang trọng trong trong việc bảo mật chứng thực gói L2TP. IPSec chứng thực các gói riêng lẻ sau khi remote user được chứng thực. Ngoài ra, IPSec còn quan tâm đến những việc sau:

Mã hóa các leartext của dử liệu gốc PPP

Tự động tạo ra các mã khóa và bảo mật việc trao đổi khóa trên đường hầm

L2TP data encryption: L2Tp thường sử dụng ECP(encryption control Protocol) để mã hóa. ECP được dung để giàn xếp các thuật toán thích hợp với nhau như DES sau khi lien kết được thiết lập. Vì vậy ECP cung cấp các khả năng mã hóa cải tiến them vào các cơ chế mã hóa hỗ trợ bởi PPP. Tuy nhiên, nhược điểm chính lien quan đến các ECP đó là các khóa. Khi mà trao đổi thong tin giữa hai đầu cuối, không được refresh định kỳ. Điều này làm cho hacker dể dàng bẻ khóa và đánh cấp dữ liệu.

2.4. Bảo mật trong IPSec

IPSec thực chất không phải là một giao thức, nó chỉ là một khung của các tập giao thức chuẩn mở rộng được thiết kế để cung cấp tính xác thực và toàn vẹn dữ liệu. Giao thức IPSec được làm việc tại tầng Network Layer- Layer 3 của mô hình OSI. Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (Từ tầng 4 đến tầng 7 của mô hình OSI). Điều này tạo ra tính mềm dẻo cho IPSec, giao thức này có thể hoạt động tại tầng 4 với TCP, UDP, hầu hết các giao thức sử

dụng tại tầng này. IPSec có một tính năng cao cấp hơn SSL và các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng dụng sử dụng IPSec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó sẽ bị thay đổi lớn.

Cấu trúc bảo mật:

IPSec được triển khai (1) sử dụng các giao thức cung cấp mật mã (cryptographic protocols) nhằm bảo mật gói tin (packet) trong quá trình truyền, (2) phương thức xác thực và (3) thiết lập các thông số mã hoá. Xây dựng khái niệm về bảo mật trên nền tảng IP. Một sự kết hợp bảo mật đơn giản khi kêt hợp các thuật toán và các thông số (ví dụ như các khoá-keys) là nền tảng trong việc mã hoá và xác thực trong một chiều. Tuy nhiên trong các giao tiếp hai chiều, các giao thức bảo mật sẽ làm việc với nhau và đáp ứng quá trình giao tiếp. Thực tế lựa chọn các thuật toán mã hoá và xác thực lại phụ thuộc vào người quản trị IPSec bởi vì IPSec bao gồm một nhóm các giao thức bảo mật đáp ứng mã hoá và xác thực cho mỗi gói tin IP. Trong các bước thực hiện phải quyết định cái gì cần bảo vệ và cung cấp cho một gói tin outgoing (đi ra ngoài), IPSec sử dụng các thông số Security Parameter Index (SPI), mỗi quá trình Index ( đánh thứ tự và lưu trong dữ liệu –Index ví như một cuốn danh bạ điện thoại) bao gồm Security Association Database (SADB), theo suốt chiều dài của địa chỉ đích trong header của gói tin, cùng với sự nhận dạng duy nhất của một thoả hiệp bảo mật cho mỗi gói tin. Một quá trình tương tự cũng được làm với gói tin đi vào (incoming packet), nơi IPSec thực hiện quá trình giải mã và kiểm tra các khoá từ SADB. Cho các gói multicast, một thoả hiệp bảo mật sẽ cung cấp cho một group, và thực hiện cho toàn bộ các receiver trong group đó. Có thể có hơn một thoả hiệp bảo mật cho một group, bằng cách sử dụng các SPI khác nhau, tuy nhiên nó cũng cho phép thực hiện nhiều mức độ bảo mật cho một group. Mỗi người gửi có thể có nhiều thoả hiệp bảo mật, cho phép xác thực, trong khi người nhận chỉ biết được các keys được gửi đi trong dữ liệu. Chú ý các chuẩn không miêu tả làm thế nào để các thoả hiệp và lựa chọn việc nhân bản từ group tới các cá nhân.

IPSec là chuẩn mở, cho phép truyền tin bảo mật trên mạng công cộng dựa trên thuật toán DES, 3DES… nhằm thực hiện việc mã hóa và giải mã. Có hai thành phần chính của IPSec là: Xác thực header (AH) và phương thức bảo mật tải tin (ESP).

2.4.1. Bảo mật trong AH

Giao thức xác thực tiêu đề thêm một tiêu đề vào gói IP. Như tên gọi của nó, tiêu đề

này phục vụ cho việc xác thực gói dữ liệu IP gốc tại người nhận cuối cùng, tiêu đề này

giúp nhận biết bất kỳ sự thay đổi nào về nội dung của gói dữ liệu bởi người dùng không

mong muốn trong khi đang truyền, tuy nhiên AH không đảm bảo tính tin cậy.

Để tạo một AH, một giá trị mã thông điệp cần xác thực qua hàm băm (HAMC) được

tạo tại người gửi. Giá trị băm này được tạo trên cơ sở của SA, cái xác định trình tự giao

dịch sẽ được áp dụng cho gói dữ liệu. Mã kết quả được gắn kèm vào gói dữ liệu sau tiêu

đề IP gốc. Tại người nhận cuối, HAMC được giải mã và được dùng để thiết lập việc xác

thực người gửi cũng như tính toàn vẹn của thông điệp.

AH không mang lại sự tin cậy trong một giao dịch. Nó chỉ thêm một tiêu đề vào

gói IP, phần còn lại của nội dung gói dữ liệu được để mặc. Hơn nữa, AH không bảo vệ

bất kỳ trường nào trong tiêu đề IP vì một trong số đó có thể thay đổi trong quá trình

truyền, chỉ các trường nào không thay đổi trong quá trình truyền là được bảo vệ bởi AH.

Địa chỉ IP nguồn và địa chỉ IP đích là những trường như vậy và vì thế được bảo vệ bởi

AH. Tóm lại, giao thức AH có các đặc trưng cơ bản như sau:

- Cung cấp tính toàn vẹn dữ liệu và bảo vệ chống phát lại

- Sử dụng mã xác thực thông điệp được băm(HMAC), dựa trên chia sẻ bí mật

- Nội dung các gói tin không được mã hoá

- Không sử dụng các trường changeable IP header để tính toán giá trị kiểm tra tính

toàn vẹn(IVC)

AH cũng cung cấp cơ chế kiểm tra toàn vẹn dữ liệu, chứng thực dữ liệu và chống tấn công. Nhưng không giống EPS, nó không cung cấp cơ chế bảo mật dữ liệu. Phần Header của AH đơn giản hơn nhiều so với EPS

Hình 2.1:Gói IP được bảo vệ bởi AH

AH là một giao thức IP, được xác định bởi giá trị 51 trong IP Header. Trong chế độ Transport, gá trị giao thức lớp trên được bảo vệ như UPD, TCP..., trong chế độ Tunnle, giá trị này là 4. Vị trí của AH trong chế độ Transport và Tunnle như trong hình sau:

Hình 2.1: Gói IP được bảo vệ bởi AH chế độ Transort va Tunnel

Trong chế độ Transport, AH là rất tốt cho kết nối các endpoint sử dụng IPSec, trong chế độ Tunnle AH đóng gói gói IP và thêm IP Header vào phía trước Header. Qua đó AH trong chế độ Tunnle được sử dụng để cung cấp kết nối VPN end-to-end bảo mật. Tuy nhiên phần nội dung của gói tin là không được bảo mật

2.4.2. Bảo mật trong ESP

Mục đích chính của ESP là cung cấp sự tin cậy thêm vào xác thực người gửi và xác

minh tính toàn vẹn của dữ liệu trong khi truyền. ESP mã hoá nội dung của gói dữ liệu

bằng cách dùng các thuật toán mã hoá, như đã xác định bởi SA. Một số thuật toán được

sử dụng bởi ESP bao gồm: DES-CBG, NULL, CAST-128, IDEA và 3DES. Các thuật

toán xác thực thường được dùng tương tự như trong AH là HMAC-MD5 và HMAC-

SHA.

Như đã so sánh với AH, AH mang lại tính xác thực và toàn vẹn dữ liệu đối với gói

dữ liệu IP. ESP không bảo vệ toàn bộ gói dữ liệu. Chỉ có payload được bảo vệ, như trong

hình 3.7. Tuy nhiên, ESP rất mạnh trong nhóm mã hoá. Nó cũng không chiếm dụng nhiều

CPU. Kết quả là nó nhanh hơn AH. Nhưng 24 byte mà nó thêm vào gói dữ liệu có thể làm

chậm xuống việc phân đoạn và tính toán thông lượng.

Giao thức đóng gói an toàn ESP ( Encapsulation Security Payload): là giao thức số 50 được gán bởi IANA. ESP là một giao thức bảo mật có thể được sử dụng cho việc cung cấp tính bảo mật và xác thực các gói dữ liệu khỏi sự nhòm ngó của người dùng không được phép. ESP cung cấp phần tải tin của gói dữ liệu, ESP cung cấp sự xác thực cho gói tin IP nội bộ và phần tiêu đề ESP. Sự xác thực cung cấp sự xác thực về nguồn gốc và tính toàn vẹn của gói dữ liệu. ESP là giao thức hỗ trợ và kiểu mã hoá đối xứng như: Blowfish, DES. Thuật toán mã hoá dữ liệu mặc định sử dụng trong IPSec là thuật toán DES 56 bit. Trong các sản phẩm và thiết bị mạng của Cisco dùng trong VPN còn sử dụng việc mã hoá dữ liệu tôt hơn bằng cách sử dụng thuật toán 3DES( Triple Data Encryption Security ) 128 bit.

Giao thức ESP có thể được sử dụng độc lập hoặc kết hợp với giao thức chứng thực đầu mục AH ( Authentication Header ) tuỳ thuộc vào từng môi trường. Hai giao thức ESP và AH đều cung cấp tính toàn vẹn, xác thực các gói dữ liệu.

Giao thức ESP cũng có thể bảo vệ được tính duy nhất của gói tin bằng cách yêu cầu bên nhận đặt bit “ replay” trong tiêu đề để chỉ ra rằng gói tin đã được gửi.

Hình 2.3: Gói dữ liệu IP được bảo vệ bởi ESP

ESP cung cấp sự bảo mật, toàn vẹn dữ liệu, và chứng thực nguồn gốc dữ liệu và dịch vụ chống tấn công Anti-reply

ESP điền giá trị 50 trong IP Header. ESP Header được chèn vào sau IP Header và trước Header của giao thức lớp trên. IP Header có thể là một IP Header mới trong chế độ Tunnle hoặc là IP Header nguồn nếu trong chế độ Transport.

Hình 2.4: Gói IP được bảo vệ bởi ESP chế độ Transort va Tunnel

Tham số bảo mật Security Parameter Index (SPI) trong ESP Header là một giá trị 32 bit được tích hợp với địa chỉ đích và giao thức trong IP Header.

SPI là một số được lựa chọn bởi Host đích trong suốt quá trình diễn ra thương lượng Public Key giữa các Peer-to-Peer. Số này tăng một cách tuần tự và nằm trong Header của người gửi. SPI kết hợp với cơ chế Slide Window tạo thành cơ chế chống tấn công Anti-Replay.

2.4.3. Quản lý và trao đổi khóa

AH và ESP là những giao thức mà IPSec yêu cầu những bí mật dùng chung trong việc phân phối khoá, do đó các chìa khoá có thể mất cắp khi trao đổi qua lại. Do đó một cơ chế trao đổi chìa khoá an toàn cho IPSec phải thoả mãn yêu cầu sau f Không phụ thuộc vào các thuật toán đặc biệt. Không phụ thuộc vào một nghi thức trao đổi khoá đặc biệt, Sự chứng thực của những thực thể quản lý khoá

Thiết lập các SA trên các tuyến giao thông không an toàn. Sử dụng hiệu quả các nguồn tài nguyên. Giao thức IKE dựa trên khung của Hiệp hội quản lý chìa khóa trên Internet và Giao thức phân phối khoá Oakley

Giao thức IKE có các đặc tính sau: + Các chìa khoá phát sinh và những thủ tục nhận biết. + Tự động làm mới lại chìa khoá. + Giải quyết vấn đề một khoá. + Mỗi một giao thức an toàn ( AH, ESP ) có một không gian chỉ số an toàn của chính mình + Gắn sẵn sự bảo vệ. + Chống lại các cuộc tấn công làm nghẽn mạch tài nguyên như: Tấn công từ chối dịch vụ DoS ( Denial- of- Service ). + Tiếp cận hai giai đoạn f Thiết lập những SA cho khoá trao đổi. Thiết lập SA cho dữ liệu chuyển. + Sử dụng chữ ký số. + Dùng chung khoá.

2.5 So sánh các giao thức đường hầm truy cập từ xa

Bảng sau đưa ra một sự so sánh giữa 3 giao thức đường hầm truy cập từ xa nổi bật,

L2F, PPTP, L2TP

Feature PPTP L2F L2TPHỗ trợ nhiều giao thức Yes Yes Yes

Hỗ trợ nhiều liên kết PPP No Yes YesHỗ trợ nhiều kết nối trên đường hầm

No Yes Yes

Các chế độ hoạt động được hỗ trợ

Incoming & Outgoing

Incoming Incoming

Các chế độ đường hầm được hỗ trợ

Voluntary Voluntary & Compulsory Voluntary & Compulsory

Giao thức Carrier IP/GRE IP/UDP, IP/FR, IP/ATM IP/UDP, IP/FR, IP/ATM

Giao thức kiểm soát TCP, Port: 1723

UDP, Port: 1701 UDP, Port: 1701

Các cơ chế xác thực MS-CHAP, PAP

CHAP, PAP, SPAP, EAP, IPSec, RADIUS RADIUS & & TACACS

CHAP, PAP, SPAP, EAP, IPSec, TACACS

Các cơ chế mã hoá MPPE MPPE, IPSec MPPE, IPSec, ECP

Bảng 2.3 Tổng hợp so sánh 3 giao thức VPN được tích hợp với tầng 2

III. ĐÁNH GIÁ VÀ SO SÁNH HIỆU NĂNG CỦA CÁC KỸ THUẬT BẢO MẬT VPN

3.1. Ưu và nhược điểm của PPTP

Ưu điểm

Với PPTP, dữ liệu dữ liệu được bắt đầu mã hóa sau khi PPP kết nối xử lýlà hoàn thành. Với L2TP dữ liệu được bắt đầu mã hóa trước khi PPP kết nối xử lý bằng đàm phán một IPSec lien kết bảo mật.

PPTP là một giải pháp được xây dưng trên nền các sản phẩm của Microsoft( các sản phẩm được sử dụng rất rộng rải).

PPTP có thể hổ trợ các giao thức Non-IP

PPTP không yêu cầu một chứng thực cở sở hạ tầng L2TP yêu cầu một chứng thực cở sở hạ tầng để đưa ra các chứng nhận máy tính tới máy chủ VPN và tất cả các máy khách

PPTP được xây dựng trên nhiều nền khác nhau như Unix, Linux. Các nền không hổ trợ PPTP có thể sử dụng các dịch vụ bằng cách sử dụng bộ định tuyến đã được cài đặt sẳn.

Nhược điểm

PPTP bảo mật kém hơn so với các kỹ thuật L2TP, IPSec.

PPTP phụ thuộc nền.

PPTP yêu cầu mấy client và máy server phải có cấu hình mạnh.

Mặc dù PPTP được cài đặt riêng cho VPN nhưng các bộ định tuyến cũng như máy chủ truy cập từ xa cũng phải có cấu hình trong trường hợp sử dụng các giải pháp định tuyến bằng đường truyền quay số.

Điểm yếu lớn nhất của PPTP là cơ chế bảo mật của nó yếu do sử dụng mã hóa với khóa mã phát sinh từ password của user. Điều này nguy hiểm hơn khi password được gói trong môi trường không an toàn để chứng thực. cho nên giao thức L2F được phát triển để khắc phục điểm yếu của PPTP.

3.2 Ưu điểm và nhược điểm của L2F

Mặc dù L2F yêu cầu mở rộng để khắc phục sự khác nhau với LCP và các tuỳ chọn

xác thực, nhưng nó đắt hơn PPTP vì nó là giải pháp chuyển tiếp Frame ở mức thấp, nó

cũng cung cấp một giải pháp VPN nền cho mạng doanh nghiệp tốt hơn PPTP.

Ưu điểm

Tăng cường tính bảo mất cho các giao dịch

Độc lập với các nền tản mạng.

Không cần các dàn xếp với ISP.

Hỗ trợ nhiều công nghệ mạng: ATM, Frame Relay, FDDI,…

Nhược điểm

Giải pháp L2F đòi hỏi cấu hình và hỗ trợ trong phạm vi lớn.

Việc thực hiện ISP phụ thuộc nhiều vào ISP. Nếu ISP không hỗ trợ L2F thì không thực hiện được giải pháp L2F.

L2F không cung cấp kiểm soát luồng, do đó khi đường hầm có quá nhiều gói tin thì các gói tin có thể bỏ qua tùy tiện. Đây là nguyên nhân làm giảm tốc độ đường truyền.

Việc chứng thực và mã hóa L2F làm cho tốc độ trong đường hầm của L2F chậm hơn so với PTTP.

L2F và PPTP là hai kỹ thuật sử dụng đường hầm được cung cấp cho thị trường dịch vụ mạng riêng ảo. Tuy nhiên do sự khác nhau giữa hai giao thức nên chúng không tương thích với nhau. Do đó IETF đã quyết định đưa ra một giao thức mới kết hợp ưu điểm của hai giao thức trên để làm chuẩn cho VPN: Layer 2 Tunnelling Protocol ( L2TP).

3.3 Ưu điểm và nhược điểm L2TP

Ưu điểm

Các kết nối L2TP cung cấp chứng thực chắn chắn bằng yêu cầu cả hai chứng thực mức máy tính qua giấy chứng nhận và mức chứng thực người dung qua giao một giao thức chứng thực PPP.

L2TP là giải pháp chung, không phụ thuộc nền và hỗ trợ kỹ thuật mạng. Hơn nữa, L2TP có thể hỗ trợ các giao thức thong qua lien kết Non-IP của mạng WAN mà không cần IP.

Đường hầm L2TP chỉ đơn thuần là người dung từ xa hoặc ISP. Do đó nó không yêu cầu bổ xung cấu hình của user từ xa và ISP.

L2TP cho phép tổ chức kiểm soát chứng thực user.

L2TP hổ trợ kiểm soát luồng và các gói dữ liệu bị loại bỏ khi đương hầm quá tải. Do đó thao tác trên L2TP nhanh hơn thao tác trên L2F.

L2TP cho phép người dung với địa chỉ IP chưa được đăng ký có thể truy cặp mạng từ xa thong qua mạng công cộng.

L2TP tang cường bảo mật bằng cách mã hóa dữ liệu dự trên IPSec trên suốt đường hầm và khả năng chứng thực gói của IPSec.

Nhược điểm

L2TP chậm hơn PPTP và L2F vì nó sử dụng IPSec để chứng thực từng gói nhận được.

Mặc dù PPTP được cài đặt riêng cho VPN nhưng phải cấu hình them bộ định tuyến và máy phục vụ cho việc truy cập từ xa.

3.4 Ưu điểm và nhược điểm cua IPSec

L2TP/IPSec cho phép chứng thực không chỉ cho User mà còn cho Computer bằng Certificates, trong môi trường L2TP/IPSec thì VPN Client không thể đặt sau NAT server, muốn sử dụng thì VPN Server và VPN Client phải hỗ trợ NAT-T

PPTP : việc mã hóa chỉ diễn ra khi VPN Tunel được thiết lập

PPTP: chứng thực bằng MS-CHAP v2,mã hóa bằng MPPE,đi port 1723

L2TP: chứng thực bằng MS-CHAP v2,mã hóa bằng IPSec,đi port 1701.Tuy nhiên,khi NAT port cho L2TP thì phải NAT thêm 2 port IKE (UDP,500) và NAT-T (UDP,4500)==> chỉ có Router chuyên dụng mới NAT đc

Ưu điểm

Khi IPSec được triển khai trên bức tường lửa hoặc bộ định tuyến của một mạng riêng, thì tính năng an toàn của IPSec có thể áp dụng cho toàn bộ vào ra mạng riêng đó mà các thành phần khác không cần phải xử lý thêm các công việc liên quan đến bảo mật.

IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời nó hoạt động trong suốt đối với các lớp này. Do vậy không cần phải thay đổi phần mềm hay cấu hình lại các dịch vụ khi IPSec được triển khai.

IPSec có thể được cấu hình để hoạt động một cách trong suốt đối với các ứng dụng đầu cuối, điều này giúp che giấu những chi tiết cấu hình phức tạp mà người dùng phải thực hiện khi kết nối đến mạng nội bộ từ xa thông qua mạng Internet.

IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP. Một khi kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng từ các ứng dụng truyền thống 8 như Web, thư điện tử, truyền tệp đến ứng dụng khác như: ICMP, VoIP …, các ứng dụng đa dịch vụ để cho phép đi qua kênh này. Đây là một ưu điểm của IPSec VPN, nhất là IPSec VPN có thể cung cấp kết nối an toàn cho các ứng dụng không dựa trên nền Web. Vì vậy, các máy khác dùng IPSec thực hiện kết nối VPN được gọi là fat-client do khả năng ứng dụng và dịch vụ. Trong khi đó khả năng truy cập các ứng dụng, dịch vụ của SSL VPN hạn chế hơn. SSL VPN cung cấp các ứng dụng dựa trên nền web: Email (POP3, IMAP, SMTP). Các máy khách chỉ cần dùng trình duyệt có hỗ trợ SSL, hoặc thực hiện kết nối VPN mà không cần cài đặt phần mềm client. Đa số các giải pháp SSL VPN không cung cấp các ứng dụng dùng cổng TCP động như FTP hay VoIP. Tuy nhiên, SSL VPN cũng hỗ trợ cả một số ứng dụng trên nền TCP sử dụng chương trình chuyển tiếp cổng như: Terminal Services

Nhược điểm

Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu và chưa được chuẩn hóa.

IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ các dạng lưu lượng khác.

Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề khó đối với các trạm làm việc và máy PC năng lực yếu.

Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế đối với chính phủ một số quốc gia.

IV. Dự phòng kết nối các VPN

4.1. Dự phòng VPN

Nếu bạn chỉ có 1 proxy VPN (tunnel) nằm giữa văn phòng chính với các văn phòng chi nhánh từ xa...

Với tính năng dự phòng VPN có thể duy trì kết nối một cách thường xuyên

giữa 2 site, khi mà một kết nối VPN bị rớt thì ngay lập tức kết nối VPN còn lại sẽ được thực hiện để kết nối được liên tục.

Một VPN TRUNK profile với thành viên thứ nhất là loại IPSec và thành viên thứ hai là L2TP trên IPSec được tạo ra để kết nối từ Router A tới Router B. Thông thường Router A sẽ kết nối đến router B thông qua proxy VPN của thành viên thứ nhất. Tuy nhiên, nếu kết nối bị off-line thì router A sẽ sử dụng proxy VPN của thành viên thứ hai để kết nối tới Router B ngay lập tức.

Hình 4.1 : Mô hình VPN Trunk

Chi nhánh ở Châu Á có thể sử dụng router Vigor như là một VPN client. Việc truyền tải ERP, Mail hoặc đặt hàng cho văn phòng chính tại Châu Âu diễn ra hằng ngày. Và router Vigor có thể giúp chúng ta xây dựng được một proxy VPN (dùng để sao lưu dự phòng) đến các chi nhánh tại Mỹ thông qua mạng LAN-to-LAN, VPN server tại Mỹ sẽ xây dựng một Routing / RIP khi proxy VPN bị off-line, các chi nhánh tại Châu Á có thể gửi dữ liệu (các dữ liệu này được truyền tới văn phòng chính tại Châu Âu) tới chi nhánh tại Mỹ và sau đó chi nhánh tại Mỹ sẽ truyền dữ liệu tới văn phòng chính tại Châu Âu thông qua VPN server bằng cách sử dụng kết nối VPN dự phòng.

Hình 4.2 : Mô hình dự phòng VPN

Hình 4.3: Mô hình dự phòng VPN

Trong chương này, chúng ta đã tìm hiểu về các giao thức được hầm tại tầng 2 của

mô hình OSI. Các giao thức này là PPTP, L2F, L2TP. Chúng ta cũng tìm hiểu chi tiết về

cách thức làm việc của các giao thức, bao gồm cả các thành phần, các tiến trình và việc

duy trì kiểm soát kết nối được áp dụng cho mỗi giao thức. Chúng ta đã xem xét các tiến

trình thiết lập một đường hầm của mỗi giao thức cũng như việc xử lý dữ liệu đường hầm

và quy tắc của nó trong việc bảo mật dữ liệu. Chúng ta cũng đã xem xét khía cạnh bảo

mật của mỗi giao thức, bao gồm cả các cơ chế mã hóa và xác thực khác nhau được sử

dụng bởi mỗi giao thức để bảo đảm an toàn cho dữ liệu trong khi truyền qua đường hầm.

Cuối cùng, chúng ta xem xét những ưu nhược điểm của mỗi giao thức.

bao mat vpn

Documents