Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử dụng tường lửa checkpoint
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.16 MB, 135 trang )
Nghiên
Nghiêncứu
cứuvề
vềmạng
mạngriêng
riêngảo
ảovà
vàxây
xâydựng
dựnggiải
giảipháp
phápmạng
mạngriêng
riêngảo
ảosử
sử
dụng
dụng
tường
tườnglửa
lửaCheckpoint
Checkpoint
2.2.1.2.......................................................................................
Các
Mục lục
thuật ngữ, khái niệm đặc trưng................................71
Chương 1: Công nghệ mạng riêng ảo.
2.2.1.3.......................................................................................
Site
1.1. Tính cần thiết
mạng riêng ảo...................................................
to sitecủa
VPN..................................................................73
1.2. Khái niệm về mạng riêng ảo, mô hình mạng riêng ảo thông dụng
2.2.1.4....................................................................................... VPN
1.2.1.............................................................................................................
Khá
Communities( cộng đồng VPN )................................73
i niệm về mạng riêng ảo..............................................................
2.2.1.5....................................................................................... Rem
1.2.2.................................................................................................................. C
ác mô hình
mạng
riêng
ảo thông dụng...........................................8
ote
Access
VPN...........................................................74
1.2.2.1.......................................................................................................... VP
2.2.2. Access..........................................................................8
Giao thức trao đổi khóa Internet - IKE(Internet
N Remote
Key Exchange)..74
1.2.2.2..........................................................................................................
VP
N site - to - site..............................................................................9
2.2.2.1.IKE Phasel...............................................75
1.3. Các yêu cầu đối
vói VPN, ưu
điểm,
nhược điếm của VPN......14
2.2.2.2.IKE
Phase
2..............................................79
1.3.1.............................................................................................................Các
Các
2.2.2.3...........................................................................................................
yêu cầ đối
vóimã
VPN.......................................................................14
phương
pháp
hóa và đảm bảo tính toàn vẹn.......................80
1.3.2.............................................................................................................
Ưu 1
2.2.2.4..................................................................
Các chế độ trong Phase
nhưọc điểm của VPN...................................................................15
81
1.4. Các giao thức sử dụng trong VPN.............................................17
2.2.2.5........................................................................................................... Bảo
1.4.1.............................................................................................................
Gia
vệ lại tấn công DoS IKE...............................................................82
o thức đường hầm điểm điểm - PPTP.......................................18
2.2.3................................................................................................. Cơ
1.4.2.............................................................................................................
Gia
sở hạ tầng khóa công khai PKI.......................................85
o thức chuyển tiếp tầng 2 - L2F..................................................32
1.4.3............................................................................................................. Gia
o thức đưòng hầm tầng 2 - L2TP...............................................36
1.4.4............................................................................................................. Gia
o thức IPSec.................................................................................46
1.4.5............................................................................................................. Gia
o thức SSL....................................................................................58
Chương
3: Triển khai VPN trên Check Point.
1.4.6.............................................................................................................
Gia
o thức MPLS................................................................................59
Báo
Báocáo
cáoNCKH
NCKH--Khoa
KhoaAn
AnToàn
ToànThông
ThôngTin
Tin--Học
HọcViện
ViệnKỹ
KỹThuật
ThuậtMật
MậtMã
Mã21
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Chương 4: Một số vấn đề an toàn của Check Point
4.1. Xung đột địa chỉ IP trong cấu hình VPN-Tunnel......................129
4.1.1............................................................................................................. Mô
hình................................................................................................129
4.1.2............................................................................................................. Các
Danh mục hình vẽ
Hình 1. Thiết lập truy cập từ xa không có
VPN
Hình 2. Thiết lập VPN truy cập từ xa
Hình 3. Thiết lập Intranet sử dụng WAN
Hình 4. Thiết lập Intranet dựa trên VPN
Hình 5. Mạng Extranet truyền thống
Hình 6. Mạng Extranet dựa trên VPN
Hình 7. Vị trí của L2F, PPTP, L2TP trong mô hình OSI
Hình 8. Vị trí IPSec trong mô hình OSI
Hình 9. Thiết lập liên kết ppp và trao đoi dừ liệu
Hình 10. Định dạng của một Frame ppp điên hình
Hình 11. Mô tả vai trò của ppp trong các giao dịch dựa trên PPTP
Hình 12. Đường hầm PPTP và ba thành phần của giao dịch dựa trên PPTP
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 3
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Hình 19. Thiết lập một đường hầm L2F giữa người dùng từ xa và
Server
Hình 20 Quá trình định đường hâm dừ liệu dựa trên L2F
Hình 21. Đường hầm L2TP
Hình 22. Mô tả quá trình thiết lập đường hầm L2TP
Hình 23. Quả trình xử lý định đường hâm dữ liệu L2TP
Hình 23. Đường hâm L2TP bắt buộc
Hình 24. Thiết lâp một đường hâm L2TP bắt buộc
Hình 25 Đưòng hầm L2TP tự nguyên
Hình 26 Quá trình thiết lập đường hâm L2TP tự nguyên
Hình 27 Định dạng thông điệp kiêm soát L2TP
Hình 28 Vị trí của IPSec trong mô hình OSI
Hình 29. Kiến trúc bộ giao thức ĨPSec
Hình 30 Mô tả ba trường của một IPSec SA
Hình 31.Khuôn dạng gói tin AH
Hình 32. GÓI tin IP trước và sau khi xử lý AH trong chế độ
Transport
Hình 33. Khuôn dạng gói tin AH trong chế độ Tunneỉ.
Hình 34. Khuôn dạng ESP
Hình 35. Gói ESP trong chế độ Transport
Hình 36. Gói ESP trong chế độ Tunnel
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 4
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Hình 48. Gói tin đề xuất các thuật
toán
Hình 49. Gỏi tin lựa chọn thuật toán
Hình 50. ỈKE Phase2a
Hình 51 Đường hầm VPN
Hình 52. Các thuật toán mã hóa, toàn vẹn của IKE
Hình 55. Các bước câu hình VPN Remote Access
Hình 56: Bật chức năng VPN trên tường lửa Check Point
Hình 57. Dải địa chỉ tự do hệ thong sình ra khi bật chức năng
VPN
Hình 58. Cấu hình Offìce Mode
Hình 59. Tạo User trên gateway
Hình 60. Định nghĩa VPN Community và Participants
Hình 61. Tạo luật kết nổi VPN Client- to -site
Hình 62. Bảng luật cho remote Access
Hình 63. Địa chỉ IP của Remote User
Hình 64. Cài đặt SecureClient
Hình 65. Tạo Site trên máy Remote User
Hình 66: Thực hiện kết nối từ máy Client
Hình 67. Test kết quả sau khi kết nôi VPN remote access
Hình 68. Khởi tạo chứng chỉ cho User
Hình 69. Ket noi VPN Remote Access sử dụng chứng chỉ
Hình 70. Tạo tài khoản Idap trên gatexvay
Hình 71. Ket noi bang tài khoản của Idap server
Hình 72. Cẩu hình SSL clients
Hình 73. Kết nối SSL VPN
Hình 74. Mô hình VPN Site-to-Site
Hình 75. Thiết lập VPN domain
Hình 76. Đưa tường lửa vào VPN Communỉty
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 5
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Hình 78. Tạo tường lửa đối tác
Hình 79. Câu hình cộng đông VPN Mylntranet
Hình 80. Cấu hình Presharekey giữa 2 gatexvay
Hình 81. Tạo luật cho VPN site-to-site
Hình 82. Kiêm tra tunnỉe được tạo băng SmartVỉexvMonitor
Hình 83. Test kết quả VPN site-to-site
Hình 84. Mô hình tấn công DoS.
Danh mục các từ viết tắt
Giới thiệu
Ngày nay máy tính và mạng máy tính đã trở thành một nhu cầu không
thê
thiếu trong cuộc sống và trong công việc của mọi cá nhân, các cơ quan nhà
nước
và
tổ chức kinh doanh. Đẻ đáp ứng được nhu cầu trao đổi thông tin ngày càng
tăng
mạng máy tính cũng phát triên với tốc độ chóng mặt. Nhu cầu mở rộng mạng
của
các công ty, tổ chức ngày càng tăng. Thêm vào đó là các yêu cầu về bảo mật
của
dữ
liệu trên đường truyền. Vì thế VPN - Virtural Private Network được sử dụng
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 6
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Trong khuôn khố báo cáo Đe tài nghiên cứu khoa học này, nhóm em xin
đề
cập đến một chủ đề kỹ thuật đang rất được quan tâm hiện nay: Mạng riêng ảo
và
giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng.
Tên đề tài: “ Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng
riêng
ảo sử dụng tưòng lửa Check Point”
Bài báo cáo nhóm em gồm 4 chương.
- Chương 1: Nhóm em tìm hiểu về “Công nghệ Mạng riêng ảo”. Trong
chương này chúng em trình bày về tính cần thiết của mạng riêng ảo, các khái
niệm
mạng riêng ảo, các mô hình mạng riêng ảo thông dụng, các giao thức sử dụng
trong
mạng riêng ảo.
- Chương 2: Nhóm em tìm hiểu về “ Giải pháp mạng riêng ảo của
CheckPoint”. Trong chương này chúng em tìm hiểu về tường lửa CheckPoint,
các
mô hình triên khai, chức năng VPN của Check Point,
- Chương 3: “ Triển khai VPN trên Check Point ”. Trong chương này
chúng
em xây dựng 2 mô hình VPN Remote Access và VPN site-to-site.
- Chương 4: “Một sổ vấn đề an toàn của Check Point” . Trong chương
này
chúng em trình bày cách thử nghiệm tấn công DoS giữa các kết nối VPN.
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 7
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Chương 1: Công nghệ mạng riêng ảo.
1.1. Tính cần thiết của mạng riêng ảo.
“ Tại sao chúng ta sử dụng VPN ? ”
Ngày nay Internet phát triển mạnh mẽ từ mô hình đến công nghệ đế
giải
quyết nhu cầu trao đổi thông tin của con nguời trên toàn thế giới. Tuy nhiên
nhu
cầu
con người không chỉ dừng ở mức độ đó. Đối với nhân viên của một cơ quan,
họ
muốn đi đâu cũng có thể làm việc như ngồi tại công ty mình, có thể truy nhập
vào
tài nguyên nội bộ của công ty. Đối với các nhà quản trị muốn quản trị mạng
của
công ty mọi lúc mọi nơi...-> đây là nhu cầu rất thiết thực, cần phải có giải
pháp
để
đáp ứng nhu cầu đó.
Một công ty có nhiều chi nhánh ớ nhiều nơi, và có nhiều đối tác -> họ
muốn
kết nối chi các chi nhánh, kết nối với đối tác bàng một đuờng kết nối riêng.
Neu
thuê riêng các đường lease line thì chi phí rất đắt.
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 8
đi
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Mạng riêng ảo - Virtual Private Network, viết tắt là VPN. Có nhiều
định
nghĩa khác nhau về Mạng riêng ảo.
Theo VPN Consortium, VPN là mạng sử dụng mạng công cộng (như
Internet, ATM/Frame Relay của các nhà cung cấp dịch vụ) làm co sở hạ tầng
để
truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiêm soát được
truy
nhập. Nói cách khác, VPN được định nghĩa là liên kết của khách hàng được
triển
khai trên một hạ tầng công cộng với các chính sách như là trong một mạng
riêng.
Hạ tầng công cộng này có the là mạng IP, Frame Relay, ATM hay Internet.
Theo tài liệu của IBM. VPN là sự mở rộng một mạng Intranet riêng của
một
doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an
toàn,
thực chất là qua một đường hầm riêng. VPN truyền thông tin một cách an toàn
qua
Internet kết nối người dùng từ xa, nhánh văn phòng và các đối tác thương mại
thành
một mạng Công ty mở' rộng.
Nói một cách khác VPN là mạng dữ liệu mà nó sử dụng cơ sở hạ tầng
truyền
tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao
thức
đường hầm và các phương thức an toàn.
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 9
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Ngoài ra, các thỏa thuận có thể kèm theo một sự chỉ định cho giới hạn của
băng
thông hiệu dụng cho mỗi người dùng.
Qua đó có thể định nghĩa VPN một cách ngắn gọn theo công
thức
sau
VPN= Định đường hầm + Bảo mật + Các thỏa thuận QoS
1.2.2.
Các mô hình mạng riêng ảo thông dụng
1.2.2.1.
VPN Remote Access
VPN truy cập từ xa cung cấp các dịch vụ truy nhập VPN từ xa (remote
access hay dial-up VPN) đến một mạng Intranet hay Extranet của một tô chức
trên
nền hạ tầng mạng công cộng. Dịch vụ này cho phép người dùng truy xuất tài
nguyên mạng của Công ty họ như là họ đang kết nối trục tiếp vào mạng đó.
VPN truy cập từ xa cho phép người dùng từ xa, người dùng di động
của
một
tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty. Điển hình,
các
yêu cầu truy cập từ xa này được đưa ra bởi người dùng đang di chuyến hoặc
các
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 10
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Remote Office
Hình 1. Thiết lập truy cập từ xa không có VPN
Bằng việc thực thi giải pháp VPN truy cập từ xa, các nhánh văn phòng và
người
dùng từ xa chỉ cần thiết lập kết nối Dial-up cục bộ tới ISP và thông qua đó đc
Hình 2. Thiết lập VPN truy cập từ xa
VPN site - to site
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 11
1.2.2.2.
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
a. VPN cục bộ( Intranet VPN ).
Intranet VPN mở rộng các dịch vụ của mạng nội bộ tới các trụ sở ở xa,
đây
là
một mô hình liên mạng hướng phi kết nối qua một mạng WAN dùng chung.
Yêu
cầu ở đây là phải thực hiện được tất cả các dịch vụ mạng đã được thực hiện ở
mạng
trung tâm, bao gồm các dịch vụ về an ninh, VoIP, chất lượng dịch vụ cũng như
các
dịch vụ đa phương tiện (Multimedia). Mục đích của Intranet VPN là giảm thời
gian
Hình 3. Thiết lập Intranet sử dạng WAN
Thiết lập này mất chi phí rất cao vì cần ít nhất 2 Router để kết nối tới
một
Khu trung tâm từ xa để tới Intranet của tổ chức. Hơn nữa việc thực thi, duy trì
và
quản trị Intranet xương sống có thê là một việc cực kỳ tốn kém. Chăng hạn,
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 12
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Với việc thực thi giải pháp VPN, đường WAN xương sống được thay
thế
bàng kết nối Internet chi phí thấp nên có thể giảm được tồng chi phí của việc
Hình 4. Thiết lập Intranet dựa trên
VPN
Ưu điểm của việc thiếp lập dựa trên VPN là:
-
Loại trừ được các Router từ đường WAN xương sống.
-
Vì Internet hoạt động như một phương tiện kết nối, nó dễ dàng cung
cấp
các
liên
kết ngang hàng mới.
-
Vì kết nối tới các ISP cục bộ, khả năng truy cập nhanh hơn, tốt hơn.
Cùng
với
việc
loại trừ các dịch vụ đường dài giúp cho tô chức giảm được chi phí của
hoạt
động
Intranet.
Tuy nhiên cũng có một số nhược điểm:
-
Vì dừ liệu được định đường hầm qua một mạng chia sẽ công cộng nên
các
tấn
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 13
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Liên kết các khách hàng, các nhà cung cấp, hay cộng đồng người sử
dụng
vào mạng Intranet của một tổ chức trên nền hạ tầng mạng công cộng sử dụng
các
đường truyền thuê bao. Giải pháp này cũng cung cấp các chính sách như trong
mạng riêng của một tổ chức như đảm bảo tính bảo mật, tính ổn định. Tương tự
như
Intranet VPN, Extranet VPN cũng có kiên trúc tương tự, tuy nhiên diêm khác
biệt
giữa chúng là phạm vi các ứng dụng cho phép các đối tác Extranet VPN sử
dụng.
So với Intranet VPN thì vấn đề tiết kiệm chi phí không rõ bàng nhưng điều
quan
trọng là khả năng cộng tác với các đối tác, khách hàng hay các nhà cung cấp
sản
phẩm. Việc để cho khách hàng nhập trực tiếp dữ liệu về các họp đồng vào hệ
thống
sẽ tiết kiệm được rất nhiều thời gian cũng như các lỗi không đáng có, tuy
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 14
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Hình 5. Mạng Extranet truyền thong
Theo cách này chi phí cực đắt vì mỗi mạng riêng trong trong Intranet
phải
hoàn toàn thích hợp với mạng mở rộng. Đặc điểm này dẫn đến sự phức tạp
trong
việc quản trị và thực thi của các mạng khác nhau. Hơn nữa rất khó mớ rộng vì
làm
như vậy có thể phải thay đổi toàn bộ mạng Intranet và có thể ảnh hưởng đến
các
Ưu điếm chính của Extranet VPN là:
+ Chi phí rất nhỏ so với cách thức truyền thống.
+ Dễ thực thi, duy trì và dễ thay đôi
+ Dưới sự hiện diện của Internet, ta có thể chọn các đại lý lón
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 15
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Tuy nhiên cũng có một số nhược điểm:
+ Các nguy cơ an ninh như tấn công DOS vẫn còn tồn tại
+ Tăng rủi ro vì các xâm nhập vào Intranet của tô chức
+ Độ trễ truyền thông vẫn lớn và thông lượng bị giảm xuống rất thấp với các
ứng
dụng Multimedia.
+ Sự thực thi có thể bị gián đoạn và ỌoS cũng có thể không được bảo đảm
Tuy có một số nhược điềm như đã mô tả, nhưng các ưu điểm của giải pháp
VPN
vẫn vượt trội, “Mạng riêng ảo - im thế của công nghệ, chi phí và bảo mật”
1.3. Các yêu cầu đối vói VPN, ưu điểm, nhưọc điếm của VPN
1.3.1.
Các yêu cầu đối vói VPN
Yêu cầu cơ bản đổi với mạng riêng ảo là: Bảo mật, chất lượng dịch vụ,(
ỌoS), tính sẵn sàng và tin cậy, khả năng tương thích, khả năng quản trị
a. Báo mật.
Mạng riêng ảo phải đảm bảo tính bảo mật cao và toàn diện. Dữ liệu và
tài
nguyên trong mạng được bảo vệ theo các cách:
- Thực thi kỹ thuật phòng thủ vòng ngoài( Firewall, NAT): chỉ cho
phép
các
luồng lưu lượng đã được cấp quyền từ các nguồn tin cậy vào mạng.
- Mã hóa: thực thi các cơ chế mã hóa dừ liệu để đảm bảo tính bí mật,
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 16
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Đảm bảo việc truyền dữ liệu trong suốt, không bị trễ, hạn chế lỗi ở mức
thấp
nhất.
c. Tính sẵn sàng và tin cậy
- Thời gian người dùng có the truy cập vào mạng thường phụ thuộc và
Isp
và được đảm bảo bàng hợp đồng cung cấp dịch vụ.
- Dữ liệu được phân phối đến người dùng trong mọi hoàn cảnh.
d. Khả năng quản trị
- Phải đảm bảo được toàn bộ các hoạt động và tài nguyên trong mạng.
- Giám sát trạng thái thời gian thực, sự thực thi của VPN
- ISP phải quản trị và kiểm soát những phần cơ sở hạ tầng của họ.
e. Khả năng tưong thích.
- VPN phải tương thích với cả cơ sở hạ tầng mạng dựa trên IP và
không
dựa
trên IP.
- Với mạng trung gian dựa trên IP, VPN sử dụng Gateway IP đế truyền
các
giao
thức không IP thành IP ( chuyển đổi luồng lưu lượng), và đường hầm để đóng
gói
dữ
liệu
không IP thành gói dữ liệu IP. Đường hầm lúc này trở thành một thiết bị
truyền tải.
- Với trường hợp không sử dụng ĨP như Frame Relay, ATM thì công
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 17
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Nâng cao khả năng kết nối: số lượng kết nối đồng thời từ xa vào văn
phòng
công ty hoặc chi nhánh lớn, không hạn chế về số lượng, tùy thuộc vào nhu cầu
khai
thác dừ liệu sẽ có mô hình VPN cụ thể phù hợp với loại hình kinh doanh của
doanh
nghiệp.
Đảm bảo khả năng bảo mật các giao dịch nhờ công nghệ đường hầm,
dữ
liệu
được bảo mật ở mức độ nhất định. Công nghệ đường hầm sử dụng các biện
pháp
bảo mật như: mã hóa, xác thực truy cập, và cấp quyền( xác thực truy cập và
bảo
mật
hệ thống) nhằm đảm bảo tính an toàn, tin cậy, tính xác thực của dữ liệu được
truyền - nhận.
Quản lý các kết nối dễ dàng thông qua tên và mật khẩu truy cập vào hệ
thống
mạng riêng ảo trong nội bộ.
Nâng cao khả năng mở rộng: vì dựa trên Internet, nên cho phép Internet
của
một công ty có thể dễ dàng mở rộng và phát triển. Điều này làm cho Intranet
dựa
trên VPN có khả năng mở rộng và dễ dàng tuông thích với sự phát triển trong
tương lai.
Sử dụng hiệu quả băng thông: trong kết nối Internet bàng đường leased
-
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 18
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Mọi giao thông qua VPN đều được mã hóa bất chấp nhu cầu cần mã
hóa
hay
không-> dễ dẫn đến hiện tượng nghẽn cổ chai.
Không cung cấp bảo vệ bên trong mạng: VPN kết thúc ở đầu mạng.
Một khi nhân viên đã vào bên trong mạng, dừ liệu không còn được mã
hóa
nữa. Hơn nữa, các VPN không thế giới hạn nhân viên khỏi sự truy cập thoải
mái
bất
kỳ server nào trên mạng nội bộ
1.4. Các giao thức sử dụng trong VPN
Các giao thức sử dụng trong VPN bao gồm các giao thức đường hầm
tại
tầng
2 và IPSec tại tầng 3.
Các giao thức đường hầm tầng 2 là cơ sở để xây dựng VPN và bảo mật
các
giao dịch qua VPN. Một số sao giao thức đường hầm được thực hiện tại tầng
2tầng liên kết dừ liệu của mô hình OSI bao gồm: giao thức hầm điểm điểm(
PPTP),
giao thức chuyển tiếp lớp ( L2F), giao thức đường hầm lớp 2 ( L2TP).
- L2F( Layer 2 Forwarding): do Cisco phát triên, L2F sử dụng bất kỳ
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 19
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Hình 7. Vị trí của L2F, PPTP, L2TP trong mô hình OSI
Giao thức IPSec tầng 3 thực hiện việc bảo mật các gói ĨP. Giao thức IPSec
cung cấp khả năng xác thực nguồn thông tin, kiểm tra tính toàn vẹn và bảo
mật
nội
dung thông tin.
Thuật ngừ IPSec là viết tắt của Internet Protocol Security. Nó dựa vào
một
Application
Layer
Presentatio
n Layer
s ession
Layer
Tr a n s p o r t
—o| IP s dc
Hình 8. Vị trí ĨPSec trong mô hình OSI
1.4.1.
Giao thức đưòng hầm điểm điểm - PPTP.
a. Giao thức kết nối điểm điểm ppp
ppp là một giao thức đóng gói làm cho khả năng vận chuyển lưu lượng
của
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 20
Flag
Addr
Contr
Proto
Data
FSC
Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
giao diện
DTE/DCE
đang
dùng,
là nền
cáccấu
giao
thức
5. Sau
khi giao
thức
tầngppp
mạng
yêutảng
cầu của
được
hình
thìđường
cả haihầm
bắt
layer2.
đầu
trao
Ngoài việc hỗ trợ đa giao thức tầng mạng (IP và non IP), ppp còn chịu
trách
nhiệm về các chức năng sau:
-
Chỉ định và quản trị các gói IP thành các gói không IP.
-
Cấu hình và kiếm tra các liên kết đã thiết lập.
Hình 9. Thiết lập liên kết ppp và trao đôi dừ liệu
Khi-mộtĐồng
liên kết
ppp
đã được
lập, nó
tồngói
tạicác
chogói
đếndữkhi
LCP hoặc NCP
bộ và
không
đồngthiết
bộ việc
đóng
liệu.
ra hiệu kết thúc liên kết. Liên kết cùng có thể được kết thúc trong trường hợp
- Phát hiện lỗi trong khi truyền dữ liệu.
nó
bị
lỗi hoặc
người dùng can thiệp vào.
- Dồn kênh các giao thức mạng lóp hai.
\*- 1 Byte *ị--1 BẠT6-----------1 Byte-----
2 Byte ►! <—\r.B,ĩh__Ị*i—2-4 BytỂ—►!
- Thoả thuận các tham số không bắt buộc như nén dữ liệu và đánh
địa
chỉ.
Hình 10. Định dạng của một Frame ppp điên hình
ppp thực hiện các chức năng này theo ba chuẩn:
-
Flag: xác định điếm bắt đầu và kết thúc của một khung.
Chuẩn đóng gói dừ liệu qua liên kết điểm - điểm.
-
Address: Vì nó sử dụng các liên kết điếm - điềm->các trường này chứa
Chuẩn thiết lập, cấu hình và kiểm tra kết nối điểm - điềm với sự hồ trợ
chuồi
nhị
của
giao
phân là 11111111, đây là một địa chỉ Broadcast chuẩn.
thức kiêm soát liên kết(Link Control Protocol - LCP).
-
Control: Trường này chứa chuồi nhị phân là 00000011. Nó biểu thị
Chuẩn thiết lập, cấu hình các giao thức mạng khác nhau và phát hiện
ràng,
Frame
lồi
trong
khi
đang mang dừ liệu người dùng là một Frame không tuần tự.
truyền theo dạng của giao thức kiêm soát mạng (Network Control
-
Protocol
NCP)
Protocol: xác định giao thức mà dữ- liệu được đóng gói trong trường
thích
dừ hợp.
liệu
của
—
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 21
22
pp (T
Nghiên cứu về
vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
-
Ngoài
Frame thiết
vàchuỗi
kết thúc
liêntrakết,
pppngười
sử dụng
loạitra
Frame
FCS: Trường
này lập
chứa
kiểm
giúp
nhậnmột
kiểm
tính
thứ
chính
xác
của
ba gọi làthông
Frame
trì liên
kết. trường
Các Frame
này được trao đổi trong trường họp
tinduy
đã nhận
trong
dữ liệu.
có
c. Kiểm soát liên kết ppp
vấn đề liên quan đến liên kết, thường được dùng để quản trị và debug các liên
kết
Ngoài việc trao đối thành công dừ liệu giữa hai Node, ppp cũng chịu
dựa
tráchtrên ppp.
nhiệm
kết đã
thiết
lập (PPTP)
giữa 2 thực thê truyền thông cuối, ppp sử
c. kiêm
Giao soát
thứcliên
đưòng
hầm
điểm
dụng
PPTP
giải pháp
độc quyền
cho
phép
truyền
dữ về
liệu
một
cách
an :toàn
LCP cho
chứclànăng
này, trong
đó LCP
chịu
trách
nhiệm
các
chức
năng
giữa
Hỗ trợ
việc
liên của
kết. Doanh nghiệp bằng việc tạo ra một VPN
một -Client
từ xa
vàthiết
một lập
Server
qua
- Cấu hình liên kết đã thiết lậpđê thoả mãn các yêucầu của các nhóm
một mạng dựa trên IP. Được phát triên bới Consortium PPTP (Tập đoàn
truyền thông.
Microsoữ,
- Duy
trì hiệu suất của
liên kếtppp
đã thiết lập.ECI Telematics). PPTP đề
Ascend
Communications,
3COM,
us Robotics,và
xuất
- Ket thúc liên kết nếu việc trao đổi dữ liệu giữa hai
thực
thể
dựa vào yêu cầu của VPN qua mạng không an toàn. PPTP không chỉ có khả
đã hoàn
ppp đóng vai trò chính trong các giao dịch cuối
dựa trên
PPTP. tất.
LCPd.dựa
trên
soát liên
kếtcác
gồm
bốndịch
pha:PPTP
Thoả thuận và khởi tạo liên kết;
Vai
tròkiểm
của PPP
trong
giao
Xác
PPTPliên
là một
mởthuận
rộng giao
logic
của tầng
ppp, mạng.
PPTP
địnhNetvvork
nghĩa một cách vận
Private
định chuẩn
kết; sự
Thoả
thức
ISP's
ô chi tiết bốn pha trong kiểm soát liên kết.
Sau đây ta sẽ mô tả
-
Thoả thuận ©
và Establish
khởi tạo liên kết: Trước khi việc trao đổi dừ liệu dựa
Connection
User
trên
ppp
giũa
Qi Authenticat
ion
serName
&
ExoManye
Node nguồn và Dala
đích được
cho phép, LCP phải khởi tạo một kết nối
:©
giũa
hai
thực
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 23
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
PPTP không hỗ trợ nhiều kết nổi. Tất cả các kết nối được hỗ trợ bởi
PPTP
phải là kết nối điểm - điểm, ngoài ra, trong giao dịch dựa trên PPTP thì ppp
chịu
trách nhiệm:
-
Thiết lập và kết thúc các kết nổi vật lý giữa các thực thể truyền thông
cuối.
-
Xác thực các Client PPTP.
-
Mã hoá các gói dữ liệu IPX, NetBEUI, NetBIOS, và TCP/IP để tạo các
gói
ppp
và
bảo mật việc trao đổi dữ liệu giữa các nhóm liên quan.
ISP*8
Remote
(Private)
Intranet
J
PPTPTurmri
I
(TCP Connaction 4> PPTP
Hình 12. Đường hầm PPTP và ha thành phân của giao dịch dựa trên
PPTP
PPTP Client cũng phải được kết nối tới một thiết bị VPN và như vậy nó có
thể định đường hầm yêu càu tới thiết bị VPN trên mạng từ xa. Liên kết đến
thiết
bị
VPN từ xa trước hết sử dụng kết nối quay số tới NAS của ISP để thiết lập một
đường hầm giữa các thiết bị VPN qua Internet hoặc qua mạng trung gian
khác.
Hình 11. Mô tả vai trò của ppp trong các giao dịch dựa trên PPTP
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 25
24
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
một phiên quay số đến thiết bị VPN trên Server. Như vậy thủ tục định tuyến
của
các
gói PPTP cho một yêu cầu từ xa và một yêu cầu cục bộ là khác nhau, các gói
của
hai yêu cầu được xử lý khác nhau. Các gói PPTP đến Server cục bộ được đặt
trên
íõrê
l
ripỊ
[TC
P]
Packst tttter QRE
ancapculsllon
Packst af»or IP
•ncapaulation
Packat alter eocapau ỉaHon by the Locai Medlun
Hình 13. Tntyển các gói PPTP đến Node đích
+ Các Server PPTP
Là một Node mạng có hỗ trợ PPTP và có khả năng bảo quản các yêu
cầu
cho
phiên VPN từ các Node từ xa hay cục bộ. Đe phản hồi các yêu cầu từ xa, các
Server
này cũng phải hỗ trợ khả năng định tuyến. Một RAS và hệ điều hành mạng
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 26
Name
Description
Start-Control-
Yêu cầu từ PPTP Client để thiết lập kết nối
Nghiên cứu về
vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Phản hồi từ PPTP server tới thông điệp Start-Control-
ConnectionStart-ControlConnection-Reply
Outgoing-CallRequest
Outgoing-CallReply
Echo-Rcquest
Echo-Reply
Set-Link-Info
Call-Clear-
Connection-Request
của
Client
Một sổCác
thông
điệp
thường
dùng
kiểm
soát
thông
NAS
PPTP
điệp
kiểm
đượcsoát
đặt PPTP
tạiđểISP
được
và cung
đóngcấp
gói kết
vàonối
trong
Internet
các gói
tớiTCP.
các
PPTP
Yêu
cầu từ PPTP Client tới server để thiết lập . một
Vì
Client
đường
vậy,
thiết lập
mộtsốkết
nốiXác
pppsuất
với Server
hoặc Client
từ xa,thời
một yêu
kết
đangsau
sử khi
dụngđãđường
quay
ppp.
nhiều Client
cùng đồng
Phản
nối
cầuhồi từ PPTP server tới thông điệp Outgoing-CallRequest
của Client.
một phiên
VPN là rất cao.
Cơ chế duy trì hoạt động từ Server hoặc Client. Nếu
Các Server này
phải
khảsoát
năngPPTP
hồ trợ
các gói
Client
này.TCP
Ngoài ra, các
Hình
15.có
Kiểm
trong
dữ liệu
nhóm
đốiPPTP
diện không trả lời thông điệp này thì đường hầm bị
2. thê
Xử chạy
lý vàtrên
địnhnhiều
đường
dữ liệu
Client có
hệ hầm
điều hành,
vìPPTP
vậy các NAS PPTP phải có khả
Phản hồi tới thông điệp Echo-Request từ thực thể cuối
năng
đối
Một gói dữ liệu PPTP phải trải qua nhiều giai đoạn đóng gói.
hồ trợ các Client dựa trên Window, các máy Unix. Tuy nhiên, các Client này
Thông điệp từ phía khách tới thiết lập các tham số liên
phải Bao gói dừ liệu: Thông tin gốc được mã hoá và sau đó bao gói vào bên
quan
hồ trợ
kếttừnối
PPTP
tới NAS.
Thông
điệp
PPTP
Client
bắt đầu kết thúc đường hầm.
trong
Call-Disconnect-
một
Frame
ppp. Một
tiêu tới
đồ ppp
được thêm vào Frame.
Phản
hồi
từ PPTP
server
Call-Clear-Request
của
+ Các
tiến
trình
PPTP
Notiíy
Client.
Bao gồm:
gói Frame
PPP:kết
Frame
ppptrên
kết quả
đó được bao gói vào trong
Thiết
nốikết
dựa
ppp.sau
Kiểm
Nó cũng làBao
thông điệp
khởilập
tạo việc
thúc đường
hầm soát kết nối. Tạo đường
một
w AN-Er ro r-N 0
hầm
Thông
điệp từ PPTP server đến tất cả các PPTP Client
ti fy
sự
đóng
định
PPTP
và gói
truyền
dữtuyến
liệu. chung(GRE) đã sửa đổi. Tiêu đề GRE sửa đổi chứa
đã
kết
một
Stop-ControlThông điệp từ PPTP Client hoặc server đê thông báo
trường 1ACK
bytekết
vànối
mộtPPTP
bit ACK tương ứng thông báo sự có mặt của
Kiểm4soát
Connectionđên
thực
trường
ISP-6
Remote
Stop-ControlPhản hồi từ thực thê cuối bên (Prtvate)
kia tới thông điệp StopIntranet
ACK. Hơn nữa, trường khoá
trong frame GRE được thay bởi một trường có
Connection-Reply Control-Connection-Request.
độ T
dài
C
2 byte gọi là độ dài tải và một trường có độ dài 2 byte gọi là định danh cuộc
gọi.
PPTP Client thiết lập các trường này khi nó tạo đường hầm PPTP.
TCP/IP Camédton
Bao gói các gói dữ liệu GRE:
theo, MoaiaQBB
một tiêu đề IP được thêm vào
PPTPTiếp
Gontrol
khung
Hình 14. Các thông điệp kiêm soát trao đôi dừ liệu PPTP qua ppp
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 29
27
28
Nghiên cứu vê mạng riêng ảo và xây dựng giải pháp mạng riêng ảo sử
dụng
tường lửa Checkpoint
Hình 16. Mô tả tiến trình xử lý dữ liệu PPTP đường hầm
Khi dữ liệu PPTP được truyền thành công đến đúng người nhận, người nhận
phải xử lý các gói dừ liệu đã được đóng gói bàng đường hầm để thu được dừ
liệu
gốc. Quá trình này là ngược lại với quá trình định đường hầm dữ liệu PPTP.
Đe
lấy
lại dừ liệu gốc thì Node PPTP của người nhận phải thực hiện các bước sau:
-
Người nhận loại bỏ tiêu đề và đánh dấu của tầng liên kết dữ liệu đã
được
thêm
vào
bởi người gửi.
-
Tiếp đó, loại bỏ tiêu đề GRE
Báo cáo NCKH - Khoa An Toàn Thông Tin - Học Viện Kỹ Thuật Mật Mã 30
![[Luận văn]nghiên cứu tính toán, thiết kế và xây dựng kho lạnh thịt gia cầm công suất 4 tấnmẻ](https://media.store123doc.com/images/document/13/gu/hy/medium_hyo1375973692.jpg)
