ĐỀ TÀI VPN

Trần Xuân Vinh

Trịnh Xuân Hoàn
Lớp : 09HTHM
 NỘI DUNG

 Giới thiệu
 Bảo mật trong VPN
 Các giao thức trong VPN
 VPN - MPLS
 1. Lịch sử phát triển

 VPNs đầu tiên đã được phát sinh bởi AT&T từ cuối

những năm 80 và được biết như Software Defined
Networks (SDNs).
 Thế hệ thứ hai của VPNs ra đời từ sự xuất hiện của
công nghệ X.25 và mạng dịch vụ tích hợp kỹ thuật số
(Integrated Services Digital Network : ISDN) từ đầu
những năm 90. Hai công nghệ này cho phép truyền
những dòng gói (package streams) dữ liệu qua các
mạng chia sẽ chung
 1. Lịch sử phát triển

 Hai công nghệ: Frame Relay (FR) Asynchronous

Tranfer Mode (ATM). Thế hệ thứ ba của VPNs đã
phát triển dựa theo 2 công nghệ này.
 1 VPN LÀ GÌ?

 VPN (Virtual Private Network): Mạng riêng

áo là một mạng máy tính, trong đó các
điểm của khách hàng được kết nối với
nhau trên một cơ sở hạ tầng chia sẻ với
cùng một chính sách truy nhập và bảo mật
như trong mạng riêng
 1.2. Phân loại

 Remote Access VPN ( Client - to - LAN

VPN)
 1.2. Phân loại

 Site - to - Site
 2. BẢO MẬT TRONG VPN

 Trong kỹ thuật VPN, do thông tin được

truyền qua mạng thiếu an toàn như mạng
Internet thì bảo mật chính là yêu cầu quan
trọng nhất. Để đảm bảo rằng dữ liệu
không thể bị chặn hay truy xuất trái phép
hoặc có khả năng mất mát khi truyền tải.
VPNs cần có cơ chế mã hóa dữ liệu đủ an
toàn.
 2. BẢO MẬT TRONG VPN

 Một yêu cầu quan trọng khác khi lựa chọn

giải pháp VPN là phải phù hợp với cơ sở hạ
tầng mạng hiện có và giải pháp bảo mật ví
dụ như tường lửa, proxy, phần mềm chống
vius hay các hệ thống bảo mật khác, toàn
thể giải pháp cần được quản lý bởi chỉ một
ứng dụng.
 2. BẢO MẬT TRONG VPN

 Tường lửa (firewall): là rào chắn vững chắc giữa

mạng riêng và Internet. Chúng ta có thể thiết lập
các tường lửa để hạn chế số lượng cổng mở, loại
gói tin và giao thức được chuyển qua .Tốt nhất là
cài tường lửa thật tốt trước khi thiết lập VPN.
 Một số sản phẩm dùng cho VPN như router 1700
của Cisco có thể nâng cấp để gộp những tính
năng của tường lửa bằng cách chạy hệ điều hành
Internet Cisco IOS thích hợp (không nên đưa text
- Đưa hình vẽ).
 2. BẢO MẬT TRONG VPN

 Mật mã truy cập: là khi một máy tính mã hóa dữ

liệu và gửi nó tới một máy tính khác thì chỉ
có máy đó mới giải mã được.
 Có hai loại là mật mã riêng và mật mã chung.
– Mật mã riêng(Symmetric-Key Encryption): Mỗi máy
tính đều có một mã bí mật để mã hóa gói tin
trước khi gửi tới máy tính khác trong mạng. Mã
riêng yêu cầu chúng ta phải biết mình đang liên
hệ với những máy tính nào để có thể cài mã lên
đó, để máy tính của người nhận có thể giải mã
được
 2. BẢO MẬT TRONG VPN

 Mật mã chung (Public-Key Encryption): Kết hợp

mã riêng và một mã công cộng. Mã riêng này chỉ
có máy của nguời gửi nhận biết, còn mã chung thì
do máy của người gửi cấp cho bất kỳ máy nào
muốn liên hệ (một cách an toàn) với nó. Để giải
mã một message, máy tính phải dùng mã chung
được máy tính nguồn cung cấp, đồng thời cần đến
mã riêng của nó nữa. Có một ứng dụng loại này
được dùng rất phổ biến là Pretty Good Privacy
(PGP), cho phép bạn mã hóa hầu như bất cứ thứ
gì. (Tình đưa hình vẽ nhé, phần text in ra thôi)
 2. BẢO MẬT TRONG VPN
 Giao thức bảo mật giao thức Internet (IPSec): + Cung cấp những tính
năng an ninh cao cấp như các thuật toán mã hóa tốt hơn,
quá trình thẩm định quyền đăng nhập toàn diện hơn.
 + IPSec có hai cơ chế mã hóa là Tunnel và Transport.
Tunnel mã hóa tiêu đề (header) và kích thước của mỗi gói
tin còn Transport chỉ mã hóa kích thước. Chỉ những hệ
thống nào hỗ trợ IPSec mới có thể tận dụng được giao thức
này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã
khóa chung và các tường lửa trên mỗi hệ thống phải có các
thiết lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu
giữa nhiều thiết bị khác nhau như router với router ,
firewall với router, PC với router, PC với máy chủ.
 2. BẢO MẬT TRONG VPN

 Máy chủ AAA:

– AAA là viết tắt của ba chữ Authentication
(thẩm định quyền truy cập), Authorization (cho
phép) và Accounting (kiểm soát). Các server
này được dùng để đảm bảo truy cập an toàn
hơn. Khi yêu cầu thiết lập một kết nối được gửi
tới từ máy khách, nó sẽ phải qua máy chủ AAA
để kiểm tra. Các thông tin về những hoạt động
của người sử dụng là hết sức cần thiết để theo
dõi vì mục đích an toàn
 2. BẢO MẬT TRONG VPN

 Giao thức bảo mật giao thức Internet (IPSec): + Cung cấp
những tính năng an ninh cao cấp như các thuật toán
mã hóa tốt hơn, quá trình thẩm định quyền đăng
nhập toàn diện hơn.
– IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel
mã hóa tiêu đề (header) và kích thước của mỗi gói tin còn
Transport chỉ mã hóa kích thước. Chỉ những hệ thống nào
hỗ trợ IPSec mới có thể tận dụng được giao thức này.
Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa
chung và các tường lửa trên mỗi hệ thống phải có các thiết
lập bảo mật giống nhau. IPSec có thể mã hóa dữ liệu giữa
nhiều thiết bị khác nhau như router với router , firewall với
router, PC với router, PC với máy chủ.
 3. CÁC GIAO THỨC TRONG VPN

 Carrier protocol (giao thức sóng mang): Giao thức

được dùng để gửi gói tin đường hầm đến
đích thông qua mạng tương tác (giao thức
IP).
 Encapsulating protocol: Giao thức được dùng
để đóng gói payload ban đầu, đồng thời
đảm nhận chức năng tạo, bảo trì và kết
thúc đường hầm (giao thứcPPTP, L2TP,
IPSec).
 3. CÁC GIAO THỨC TRONG VPN

 Passenger protocol: Giao thức được dùng để

đóng gói dữ liệu gốc truyền qua đường
hầm (giao thức PPP , SLIP).
 3.1. Giao thức lớp 2 và lớp 3

 Vai trò của các giao thức lớp 2 và 3

 Tại sao trong VPN lại cài đặt giao thức ở các lớp này
 Các giao thức lớp 2 và lớp 3:  Lớp 2: PPP,
PPTP, L2F, L2TP  Lớp 3: IPSEC
3.2. Các giao thức lớp 2
 3.2.1. Giao thức PPP

 Chức năng: đảm nhận vai trò đóng gói và

truyền tải gói dữ liệu IP, non-IP trong
mạng thông qua chuỗi liên kết điểm - điểm.
 Các chức năng khác:
– Cấu hình và kiểm soát đường truyền được thiết
lập
– Đóng gói dữ liệu đồng bộ và bất đồng bộ
– Phát hiện lỗi trong quá trình truyền
– Dồn kênh
 3.2.1. Giao thức PPP

Nguyên Tắc
Hoạt động

Định dạng gói

tin
 3.2.2. Giao thức PPTP

 PPTP thực hiện các chức năng:

– Thiết lập và hủy bỏ kết nối giữa các thiết bị
truyền thông đầu/cuối
 Chứng thực máy khách PPTP.
– Mã hóa gói dữ liệu IPX, NetBEUI, NetBIOS, and
TCP/IP để tạo gói dữ liệu PPP.
 Các thành phần:
– Máy khách PPTP, Máy chủ PPTP, Máy chủ truy
cập mạng từ xa
 3.2.2. Giao thức PPTP

 Hoạt động: chia làm 3 giai đoạn

– Giai đoạn 1 - Thiết lập liên kết PPP: tương tự như PPP
– Giai đoạn 2 - Kiểm soát kết nối: các thông điệp kiểm
soát kết nối PPTP được đóng gói trong gói
TCP, được truyền theo chu kỳ để phát hiện lỗi
kết nối
 Giai đoạn 3: Tạo đường hầm và truyền dữ
liệu
 3.2.2. Giao thức PPTP

Bên gửi Bên nhận

 3.2.2. Giao thức PPTP

 Bảo mật PPTP

– Chứng thực dữ liệu PPTP: MS - CHAP, PAP  Mã hóa
và nén dữ liệu PPTP: MPPE, RSA RC4  Kiểm soát
truy cập PPTP: Access rights, Permissions, Access List

 PPTP kết hợp với tường lửa và các bộ định tuyến

 3.2.2. Giao thức PPTP

 Ưu điểm: phổ dụng, hỗ trợ các giao thức

non- IP ,Hỗ trợ nhiều nền tảng khác nhau
như Unix , Linux, …
 Nhược điểm: Yêu cầu máy chủ và máy khách
phải có cấu hình mạnh; Các bộ định tuyến
và máy chủ truy cập từ xa cần phải cấu
hình trong trường hợp sử dụng các giải
pháp định tuyến bằng đường dial-up .Bảo
mật yếu hơn so với L2TP và IPSec;
 3.2.3. Giao thức L2F

 Chức năng:
 Bảo mật giao tác.
– Phục vụ truy cập thông qua mạng Internet và
các mạng công cộng khác.
– Hỗ trợ kỹ thuật mạng diện rộng như ATM, FDDI,
IPX, Net- BEUI và Frame Relay
 Hỗ trợ đa kết nối.
– Hoạt động của L2F (gồm 2 giai đoạn) + Thiết
lập đường hầm L2F
 Tạo đường hầm dữ liệu
 3.2.3. Giao thức L2F

Giai đoạn I Giai đoạn II

Cấu trúc gói tin

 3.2.3. Giao thức L2F

 Bảo mật L2F

 Chứng thực dữ liệu L2F: EAP,CHAP,RADIUS, TACACS
– Mã hóa dữ liệu L2F: MPPE, mã hóa trên IPSec
 Nhận xét:
– Ưu điểm: Tăng cường bảo mật, độc lập với ISP, hỗ
trợ nhiều kỹ thuật mạng: ATM, FDDI, IPX …, hỗ
trợ đa kết nối.
– Nhược điểm: Yêu cầu hình mạnh ,không cung cấp
cơ chế kiểm soát luồng, thao tác chứng thực và
mã hóa ở L2F làm cho tốc độ trong đường hầm
thấp hơn so với PPTP.
 3.2.4. Giao thức L2TP

 Là sự kết hợp của PPTP và L2F

 Hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM,
FFR và PPP.
 Việc chứng thực và kiểm tra quyền truy nhập L2TP
được thực hiện tại gateway của máy chủ, quy trình
thiết lập đường hầm của L2TP nhanh hơn so với L2F.
 Yêu cầu thiết lập đường hầm L2TP có thể được khởi
tạo từ người sử dụng từ xa hoặc gateway của ISP.
 3.2.4. Giao thức L2TP

 Các thành phần

 Network Access Server (NAS)
 Bộ tập kết truy cập L2TP (L2TP Access
Concentrators - LACs)
 Máy phục vụ mạng L2TP (L2TP Network Server -
LNS
 3.2.4. Giao thức L2TP

 Hoạt động: chia thành 2 giai đoạn

– Giai đoạn 1 - Thiết lập đường hầm L2TP
 3.2.4. Giao thức L2TP

 Giai đoạn 2 - Thiết lập đường hầm dữ liệu,

Đóng gói dữ liệu L2TP