Tải bản đầy đủ (.docx) (54 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

TÌM HIỂU VÀ TRIỂN KHAI L2TPIPSEC TRÊN WINDOWS SERVER

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.78 MB, 54 trang )

TRƯỜNG ĐẠI HỌC
KHOA CÔNG NGHỆ THÔNG TIN
-----***-----

AN NINH MẠNG
ĐỀ TÀI: TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC
TRÊN WINDOWS SERVER
Giảng viên hướng dẫn
Sinh viên thực hiện
Nhóm 08

Lớp Mạng Máy Tính K58

Hà Nội – 2017

Mục Lục


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

MỤC LỤC HÌNH ẢNH

NHÓM 08

MẠNG MÁY TÍNH 58

2


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER


CHƯƠNG 1: MẠNG RIÊNG ẢO VPN
1.1 VPN là gì
VPN -Virtual Private Network – Mạng riêng ảo là phương pháp làm cho 1
mạng công cộng (ví dụ mạng internet) hoạt động giống như 1 mạng cục bộ, có
cùng các đặc tính như bảo mật và tính ưu tiên mà người dùng từng ưu thích. VPN
cho phép thành lập các kết nối riêng với những người dùng ở xa, các văn phòng chi
nhánh của công ty và đối tác của công ty đang sử dụng chung 1 mạng công cộng.
Mạng diện rộng WAN truyền thống yêu cầu công ty phải trả chi phí và duy
trì nhiều loại đường dây riêng… Trong khi đó VPN không bị những rào cản về chi
phí như các mạng WAN do được thực hiện qua một mạng công cộng.
Mạng riêng ảo là công nghệ xây dựng hệ thống mạng riêng ảo nhằm đáp
ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây, để
truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote
Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không
an toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi
trường chia sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật
dữ liệu.
Về cơ bản, VPN là một mạng riêng sử dụng hệ thống mạng công cộng
(thường là Internet)để kết nối các địa điểm hoặc người sử dụng từ xa với một mạng
LAN ở trụ sở trung tâm. Thay vì dùng kết nối thật khá phức tạp như đường dây
thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng riêng
của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Giải pháp VPN được thiết kế cho những tổ chức có xu hướng tăng cường
thông tin từ xa vì địa bàn hoạt động rộng (trên toàn quốc hay toàn cầu). Tài nguyên
ở trung tâm có thể kết nối đến từ nhiều nguồn nên tiết kiệm được được chi phí và
thời gian.

NHÓM 08

MẠNG MÁY TÍNH 58


3


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Hình 1.1. 1 Mô hình chung về mạng VPN

1.2 Phân loại VPN
Có hai loại phổ biến hiện nay là VPN truy cập từ xa (Remote-Access) và
VPN điểm-nối-điểm (site-to-site)
1.2.1 VPN truy cập từ xa (Remote Access)
VPN truy cập từ xa còn được gọi là mạng Dial-up riêng ảo (Virtual Private
Dial-up Network - VPDN), là một kết nối người dùng đến LAN, thường là nhu cầu
của một tổ chức có nhiều nhân viên cần liên hệ với mạng riêng của mình từ rất
nhiều địa điểm ở xa. Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến
một nhà cung cấp dịch vụ doanh nghiệp (Enterprises Service Provider - ESP). ESP
này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử
dụng từ xa một phần mềm máy khách cho máy tính của họ. Sau đó, người sử dụng
có thể gọi một số miễn phí để liên hệ với NAS và dùng phần mềm VPN máy khách
để truy cập vào mạng riêng của công ty. Loại VPN này cho phép các kết nối an
toàn, có mật mã.
Nói cách khác, đây là dạng kết nối áp dụng cho các công ty mà các nhân
viên có nhu cầu kết nối tới mạng riêng (private network) từ các địa điểm từ xa.
Điển hình, mỗi công ty có thể hy vọng rằng cài đặt một mạng kiểu Remote-Access
diện rộng theo các tài nguyên từ một nhà cung cấp dịch vụ ESP. ESP cài đặt một
công nghệ Network Access Server (NAS) và cung cấp cho các user ở xa với phần
mềm client trên mỗi máy của họ. Các nhân viên từ xa này sau đó có thể quay một
số từ 1- 800 để kết nối được theo chuẩn NAS và sử dụng các phần mềm VPN client
để truy cập mạng công ty của họ. Các công ty khi sử dụng loại kết nối này là những

hãng lớn với hàng trăm nhân viên thương mại. Remote-access VPN đảm bảo các
kết nối được bảo mật, mã hoá giữa mạng riêng rẽ của công ty với các nhân viên từ
xa qua một nhà cung cấp dịch vụ thứ ba (third-party).
Ví dụ trong hình 1.1.1 thì kết nối giữa Văn phòng chính và Văn phòng tại
gia hoặc nhân viên di động là loại VPN truy cập từ xa.
NHÓM 08

MẠNG MÁY TÍNH 58

4


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

1.2.2 VPN site-to-site
VPN điểm-nối-điểm là việc sử dụng mật mã dành cho nhiều người để kết
nối nhiều điểm cố định với nhau thông qua một mạng công cộng như Internet. Loại
này có thể dựa trên Intranet hoặc Extranet.
• Loại dựa trên Intranet: Nếu một công ty có vài địa điểm từ xa muốn tham
gia vào một mạng riêng duy nhất, họ có thể tạo ra một VPN Intranet (VPN
nội bộ) để nối LAN với LAN.
• Loại dựa trên Extranet: Khi một công ty có mối quan hệ mật thiết với một
công ty khác (ví dụ như đối tác cung cấp, khách hàng...), họ có thể xây
dựng một VPN Extranet (VPN mở rộng) kết nối LAN với LAN để nhiều tổ
chức khác nhau có thể làm việc trên một môi trường chung.
Ví dụ trong hình 1.1.1 thì kết nối giữa Văn phòng chính và Văn phòng từ xa
là loại VPN Intranet, kết nối giữa Văn phòng chính với Đối tác kinh doanh là VPN
Extranet.
1.3 Ưu điểm VPN
• Giảm chi phí thiết lập:VPN có giá thành thấp hơn rất nhiều so với các giải

pháp truyền tin truyền thống như Frame Relay, ATM, hay ISDN. Lý do là
VPN đã loại bỏ các kết nối khoảng cách xa bằng cách thay thế chúng bằng
các kết nối nội bộ và mạng truyền tải như ISP, hay ISP's Point of Presence
(POP).
• Giảm chi phí vận hành quản lý: Bằng cách giảm chi phí viễn thông
khoảng cách xa, VPN cũng giảm chi phí vận hành mạng WAN một cách
đáng kể. Ngoài ra các tổ chức cũng có thể giảm được tổng chi phí thêm nếu
các thiết bị mạng WAN sử dụng trong VPN được quản lý bởi ISP. Một
nguyên nhân nữa giúp làm giảm chi phí vận hành là nhân sự, tổ chức không
mất chi phí để đào tạo và trả cho nhiều người người quản lý mạng.
• Nâng cao kết nối (Enhanced Connectivity): VPN sử dụng mạng Internet
cho kết nối nội bộ giữa các phần xa nhau của Intranet. Do Internet có thể
được truy cập toàn cầu, do đó ở bất cứ các chi nhánh ở xa nào thì người sử
dụng cũng có thể kết nối dễ dàng với mạng Intranet chính.
• Bảo mật: Bởi vì VPN sử dụng kĩ thuật tunneling để truyền dữ liệu thông
qua mạng công cộng cho nên tính bảo mật cũng được cải thiện. Thêm vào
đó, VPN sử dụng thêm các phương pháp tăng cường bảo mật như mã hóa,
xác nhận và ủy quyền. Do đó VPN được đánh giá cao bảo mật trong truyền
tin.
• Hiệu suất băng thông: Sự lãng phí băng thông khi không có kết nối
Internet nào được kích hoạt. Trong kĩ thuật VPN thì các “đường hầm” chỉ
được hình thành khi có yêu cầu truyền tải thông tin. Băng thông mạng chỉ
được sử dụng khi có kích hoạt kết nối Internet. Do đó hạn chế rất nhiều sự
lãng phí băng thông.

NHÓM 08

MẠNG MÁY TÍNH 58

5



TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

• Có thể nâng cấp dễ dàng: Bởi vì VPN dựa trên cơ sở Internet nên các nó
cho phép các mạng Intranet các tổ chức có thể phát triển khi mà hoạt động
kinh doanh phát triển hơn, mà yêu cầu nâng cấp, các thành phần bổ sung
thêm vào tối thiểu. Điều này làm mạng Intranet có khả năng nâng cấp dễ
dàng theo sự phát triển trong tương lai mà không cần đầu tư lại nhiều cho cơ
sở hạ tầng.
1.4 Nhược điểm VPN
• Phụ thuộc nhiều vào chất lượng mạng Internet: Sự quá tải hay tắc nghẽn
mạng có thể làm ảnh hưởng xấu đến chất lượng truyền tin của các máy trong
mạng VPN.
• Thiếu các giao thức kế thừa hỗ trợ: VPN hiện nay chưa hoàn toàn trên cơ
sở kĩ thuật IP. Tuy nhiên, nhiều tổ chức tiếp tục sử dụng máy tính lớn
(Mainframes) và các thiết bị và giao thức kế thừa cho việc truyền tin mỗi
ngày. Kết quả là VPN không phù hợp được với các thiết bị và giao thức này.
Vấn đề này có thể được giải quyết một cách chừng mực bởi các “Tunneling
Mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các
gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng.
• Nhược điểm của các thiết bị VPN hiện nay :
 Khi có một gói tin được gửi thông qua mạng Internet giữa 2 mạng Intranet,
thì gói tin này được gửi đến mọi đường hầm trong mạng. Điều này khiến
cho lưu lượng thông tin trao đổi gia tăng một cách đáng kể.
 Khi cấu hình mạng con thay đổi, các nhà quản trị mạng phải cập nhật, cấu
hình các thiết bị VPN theo phương pháp thủ công, chưa có những công cụ tự
động cập nhật lại tình trạng của các mạng con.
 Khi cấu hình của các Intranet phức tạp, như bao gồm nhiều mạng con, nhiều
mạng bên trong, thì thông tin của Intranet bên trong không được lưu trữ một

cách trọn vẹn đầy đủ.
 Thiết bị VPN hiện nay không hỗ trợ đối với những đường hầm được thiết
lập với cơ chế mã hóa có khóa thay đổi theo thời gian. Phương pháp mã hóa
dữ liệu trong những đường ống luôn được định trước, cả về phương pháp mã
hóa, khóa mã dữ liệu... Khi muốn thay đổi khóa mã hóa, nhà quản trị mạng
phải thực hiện việc thay đổi khóa một cách thủ công trên tất cả các thiết bị
VPN trong VPN đó.

CHƯƠNG 2: CÁC GIAO THỨC TRONG VPN
2.1 Giao thức Layer 2 Tunneling Protocol (L2TP)
Giao thức đường hầm lớp 2 (Layer 2 Tunneling Protocol - L2TP) là một
giao thức tiêu chuẩn được IETF (Internet Engineering Task Force) công nhận. Nó
kết hợp các đặc điểm tối ưu của 2 giao thức đã có trước đây là giao thức chuyển
tiếp lớp 2 (Layer 2 Forwarding - L2F) của Cisco và giao thức đường hầm điểmđiểm (Point to Point Tunneling Protocol - PPTP) của Microsoft.
NHÓM 08

MẠNG MÁY TÍNH 58

6


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Các phương pháp truy cập truyền thống trước đây chỉ cho phép các máy có
địa chỉ IP hoạt động, điều này gây hạn chế rất nhiều các ứng dụng có thể được thực
hiện qua VPN. L2TP hỗ trợ giải pháp đa giao thức, các địa chỉ IP chưa đăng ký
hoặc các địa chỉ IP cá nhân thông qua mạng Internet. Do đó nó cho phép các
phương tiện truy nhập đã tồn tại như Internet, Modem, máy chủ truy nhập, thiết bị
cuối ISDN (TAs) được sử dụng. Hơn nữa, nó cho phép khách hàng của công ty có
thể truy cập và nhận được một số dữ liệu bằng cách truy cập từ xa, điều này làm

giảm đáng kể chi phí phần cứng và cho phép các công ty xử lý một cách tập trung
việc truy cập dữ liệu của khách hàng.
L2TP có tất cả các đặc điểm ưu việt của L2F, ngoài ra còn có thêm các đặc
điểm khác. Một máy có cài đặt L2TP có thể hoạt động với một máy chủ cài đặt L2F
cũng như các máy chủ đã được nâng cấp lên chạy L2TP. LNS không yêu cầu thiết
lập lại cấu hình mỗi khi một LAC nào đó được nâng cấp từ L2F lên L2TP.
2.1.1 Thành phần thiết lập đường hầm L2TP
Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản: một Network
Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP
Network Server (LNS).
 Network Access Server (NAS)
L2TP NASs là thiết bị truy cập điểm-điểm cung cấp dựa trên yêu cầu
kết nối Internet đến người dùng từ xa, là những người quay số (thông qua
PSTN hoặc ISDN) sử dụng kết nối PPP. NASs phản hồi lại xác nhận
người dùng từ xa ở nhà cung cấp ISP cuối và xác định nếu có yêu cầu kết
nối ảo. Giống như PPTP NASs, L2TP NASs được đặt tại ISP site và hành
động như client trong qui trình thiết lập L2TP tunnel. NASs có thể hồi
đáp và hổ trợ nhiều yêu cầu kết nối đồng thời và có thể hổ trợ một phạm
vi rộng các client (như các sản phẩm mạng của Microsoft, Unix, Linux,
VAX-VMS,…)
 Bộ tập kết truy cập L2TP (LAC)
Vai trò của LACs trong công nghệ tạo hầm L2TP thiết lập một tunnel
thông qua một mạng công cộng (như PSTN, ISDN, hoặc Internet) đến
LNS ở tại điểm cuối mạng chủ. LACs phục vụ như điểm kết thúc của
môi trường vật lý giữa client và LNS của mạng chủ.
Điều cần nhớ là LACs thường được đặt tại ISP site. Tuy nhiên,, người
dùng từ xa cũng có thể hoạt động như LAC trong trường hợp tạo hầm
L2TP tự nguyện.
 L2TP Network Server (LNS)
LNSs được đặt tại mạng cuối chủ. Do đó, chúng dùng để kết thúc kết

nối. L2TP ở mạng cuối chủ theo cùng cách kết thúc tunnel từ client của
LACs. Khi một LNS nhận một yêu cầu cho một kết nối ảo từ một LAC,
nó thiết lập tunnel và xác nhận người dùng, là người khởi tạo yêu cầu kết
nối. Nếu LNS chấp nhận yêu cầu kết nối, nó tạo giao diện ảo.

NHÓM 08

MẠNG MÁY TÍNH 58

7


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

L2TP hỗ trợ 2 loại đường hầm - đường hẫm bắt buộc (compulsory tunnel,
còn có tên khác là đường hầm tĩnh - static tunnel ) và đường hầm tự nguyện
(voluntary tunnel, còn có tên khác là đường hầm động - dynamic tunnel). Những
đường hầm này đóng một vai trò quan trọng trong việc truyền dữ liệu an toàn từ
một nút tới một nút.
2.1.2 Đường hầm bắt buộc L2TP (L2TP Compulsory Tunnel Mode)
Một đường hầm bắt buộc L2TP được thiết lập giữa một đầu là LAC tại ISP
với một đầu khác là LNS tại mạng LAN của người dùng. Để có thể hỗ trợ VPN tại
ISP, việc thiết lập đường hầm bắt buộc này là rất cần thiết. Như vậy, trong trường
hợp này ISP đóng một vai trò quan trọng trong việc thiết lập đường hầm L2TP bởi
vì một phiên làm việc có thể thực hiện được hay không một phần do ISP quyết
định.

Hình 2.1.2. 1 Đường hầm bắt buộc L2TP

Trong trường hợp đường hầm bắt buộc L2TP, một người dùng từ xa thường

là một thực thể thụ động. Ngoài việc yêu cầu kết nối, người dùng này không đóng
bất cứ vai trò nào trong quá trình thiết lập đường hầm. Do đó, không cần có bất cứ
sự thay đổi nào tại phía người dùng.
Nghiên cứu về đường hầm L2TP đặc biệt quan trọng khi xem xét về bảo mật
vì người dùng từ xa dùng một kết nối PPP để dial-up đến ISP. Kết quả là, người
dùng này không thể truy cập Internet trừ khi đi qua gateway của tổ chức họ, điều
này cho phép những nhà quản trị mạng có thể thực thi những cơ chế nghiêm ngặt
về bảo mật, điều khiển truy cập và tính toán.
Các bước để thiết lập một đường hầm bắt buộc L2TP được mô tả như sau:
• Người dùng từ xa yêu cầu một kết nối PPP từ máy chủ truy cập NAS đặt tại
ISP.
• NAS xác thực người dùng. Quá trình xác thực này cũng giúp cho NAS biết
danh tính của người dùng đang yêu cầu kết nối. Nếu như định danh của
người dùng phù hợp với cơ sở dữ liệu của ISP, những dịch vụ tương ứng với
user này sẽ được cung cấp. Đồng thời NAS cũng xác định điểm cuối đường
hầm LNS.
• Nếu NAS đang rỗi để có thể nhận một yêu cầu kết nối, một kết nối PPP
được thiết lập giữa ISP với người dùng từ xa.
• LAC thiết lập một đường hầm với LNS.

NHÓM 08

MẠNG MÁY TÍNH 58

8


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

• Nếu như kết nối đã được LNS chấp nhận, các khung PPP được đưa qua

đường hầm L2TP. Những khung được đóng gói L2TP này sau đó được gửi
đến LNS thông qua đường hầm.
• Cuối cùng, LNS xác thực người dùng và chấp nhận các gói dữ liệu. Nếu việc
xác thực tốt đẹp, một địa chỉ IP thích hợp sẽ được đóng vào khung để sau đó
khung này được gửi đến nút đích nằm trong mạng Intranet.

Hình 2.1.2. 2 Thiết lập một đường hầm bắt buộc L2TP

2.1.3 Đường hầm tự nguyện L2TP (L2TP Voluntary Tunnel Mode)
Một đường hầm tự nguyện L2TP được thiết lập giữa một người dùng từ xa
với một LNS, LNS này được đặt tại LAN. Trong trường hợp này, người dùng tư xa
hoạt động giống như là một LAC. Bởi vì ISP gần như không có vai trò gì trong việc
thiết lập đường hầm tự nguyện L2TP cho nên cơ sở vật chất của ISP là trong suốt
đối với người dùng đầu cuối. Điều này khá giống với đường hầm được tạo ra bởi
giao thức PPTP.

Hình 2.1.3. 1 Đường hầm tự nguyện L2TP

Ưu điểm lớn nhất của đường hầm tự nguyện L2TP là nó cho phép người
dùng từ xa có thể truy cập Internet và thiết lập nhiều phiên làm việc VPN cùng một
NHÓM 08

MẠNG MÁY TÍNH 58

9


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

lúc. Tuy nhiên, để có thể sử dụng những lợi ích này, người dùng từ xa phải được

cấp nhiều địa chỉ IP. Một trong số các địa chỉ IP sẽ được sử dụng để tạo kết nối PPP
đến ISP và mỗi địa chỉ khác được dùng cho một đường hầm L2TP. Mặt khác, đây
cũng chính là một nhược điểm bởi vì người dùng từ xa, tiếp đó là LAN có thể bị
thâm nhập bởi các hacker. Thiết lập một đường hầm tự nguyện L2TP thì dễ hơn
thiết lập một đường hầm bắt buộc L2TP bởi vì người dùng từ xa đã tạo nên một kết
nối PPP đến ISP. Các bước để thiết lập đường hầm tự nguyện L2TP như sau:
• LAC (trong trường hợp này là người dùng từ xa), gửi một yêu cầu thiết lập
đường hầm tự nguyện đến LNS.
• Nếu như yêu cầu thiết lập đường hầm được chấp nhận bởi LNS, LAC sẽ
đưa vào đường hầm tương ứng của từng L2TP các khung PPP rồi truyền
chúng đi.
• LNS nhận các khung dữ liệu, tách bỏ các thông tin về đường hầm rồi xử lý
chúng.
• Cuối cùng, LNS xác thực định danh người dùng và nếu đây là người dùng
hợp lệ thì truyền dữ liệu đến nút đích trong mạng LAN.
Hình dưới đây mô tả quá trình thiết lập đường hầm tự nguyện L2TP:

Hình 2.1.3. 2 Thiết lập một đường hầm tự nguyện L2TP

2.1.4 Nguyên lý hoạt động
Khi một người dùng từ xa thiết lập một đường hầm L2TP thông qua Internet
hoặc các mạng công cộng khác, trình tự làm việc sẽ như sau:
• Người dùng từ xa gửi một yêu cầu kết nối đến NAS gần nhất của ISP trong
khi thiết lập một kết nối PPP với ISP.
• NAS chấp nhận yêu cầu kết nối sau khi xác thực người dùng. NAS sử dụng
phương pháp xác thực giống như của PPP, chẳng hạn PAP, CHAP, SPAP,
EAP để xác thực.
• NAS sau đó sẽ kích hoạt LAC, tại LAC chứa các thông tin về LNS ở mạng
đích.
NHÓM 08


MẠNG MÁY TÍNH 58

10


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

• Tiếp đó, LAC thiết lập một đường hầm với LNS thông qua môi trường
mạng giữa chúng (Internet, Frame Relay, ATM).
• Sau khi đường hầm được thiết lập, LAC cấp cho liên kết một Call ID và gửi
một thông điệp xác nhận đến LNS. Thông điệp xác nhận này chứa các
thông tin có thể được sử dụng để xác thực người dùng từ xa (người yêu cầu
khởi tạo đường hầm). Thông điệp này cũng mang LCP đã được thoả thuận
giữa người dùng với LAC.
• LNS sử dụng những thông tin nhận được từ thông điệp xác nhận để xác
thực người dùng từ xa. Nếu việc xác nhận thành công và LNS chấp nhận
yêu cầu đường hầm, một giao diện PPP ảo (đường hầm L2TP) được thiết
lập với sự trợ giúp của LCP nhận được từ gói tin xác nhận.
• Người dùng từ xa và LNS sau đó sẽ trao đổi dữ liệu thông qua đường hầm.

Hình 2.1.4. 1 Quá trình thiết lập đường hầm L2TP

2.2 Giao thức bảo mật IP Security – IPsec
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức
IPSec. Họ giao thức IPSec có kiến trúc cơ bản gồm 2 loại tiêu đề được sử dụng
trong gói IP để điều khiển quá trình xác thực và mã hóa: một là xác thực tiêu đề IPAH (IP-Authentication Header) là điều khiển việc xác thực và hai là bọc gói bảo
mật tải ESP (Encapsulating Security Payload) cho mục đích mã hóa.
IPSec được phát triển nhắm vào họ giao thức kế tiếp là IPv6, nhưng do việc
chấp nhận IPv6 còn lâu và cần thiết cho việc bảo mật các gói IP nên IPSec đã được

thay đổi cho phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tùy chọn đối với IPv4
nhưng đối với IPv6 thì đã có sẵn IPSec.
Giao thức IPsec làm việc tại tầng Network Layer – layer 3 của mô hình OSI.
Các giao thức bảo mật trên Internet khác như SSL, TLS và SSH, được thực hiện từ
tầng transport layer trở lên (Từ tầng 4 tới tầng 7 mô hình OSI). Điều này tạo ra tính
mềm dẻo cho IPsec, giao thức này có thể hoạt động từ tầng 4 với TCP, UDP, hầu
NHÓM 08

MẠNG MÁY TÍNH 58

11


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

hết các giao thức sử dụng tại tầng này. IPsec có một tính năng cao cấp hơn SSL và
các phương thức khác hoạt động tại các tầng trên của mô hình OSI. Với một ứng
dụng sử dụng IPsec mã (code) không bị thay đổi, nhưng nếu ứng dụng đó bắt buộc
sử dụng SSL và các giao thức bảo mật trên các tầng trên trong mô hình OSI thì
đoạn mã ứng dụng đó sẽ bị thay đổi lớn.
2.2.1 Các thành phần của IPsec
 Kết hợp bảo mật CA:
Để hai bên có thể truyền dữ liệu đã được bảo mật (dữ liệu đã được xác thực
hoặc được mã hóa hoặc cả hai) cả hai bên phải cùng thống nhất sử dụng giải thuật
mã hóa, làm thế nào để chuyển khóa và chuyển khóa nếu như cần. Cả hai bên cũng
cần thỏa thuận bao lâu thì sẽ thay đổi khóa một lần. Tất cả các thỏa thuận trên là do
SA đảm nhận. Việc truyền thông giữa bên gửi và bên nhận đòi hỏi ít nhất một SA
và có thể đòi hỏi nhiều hơn vì mỗi giao thức IPSec đòi hỏi phải có một SA riêng
cho nó. Do đó, một gói được xác thực đòi hỏi một SA, một gói được mã hóa cũng
yêu cầu một SA. Thậm chí nếu cùng dùng chung một giải thuật cho xác thực và mã

hóa thì cũng cần phải có 2SA khác nhau do sử dụng những bộ khóa khác nhau.
 Xác thực tiêu đề AH:

Hình 2.2.1. 1 Xác thực tiêu đề AH

Trong hệ thống IPSec, xác thực tiêu đề AH (Authentication Header) được sử
dụng cho các dịch vụ xác thực. AH được chèn vào giữa tiêu đề IP và nội dung phía
sau, không làm thay đổi gói dữ liệu.
Xác thực tiêu đề gồm 5 trường: trường tiêu đề kế tiếp (Next Header Field),
chiều dài tải (Payload Length), chỉ số tham số bảo mật SPI (Security Parameter
Index), số tuần tự (Sequence Number), dữ liệu xác thực (Authentication Data).
Hai khái niệm mới trong AH đó là SPI mang ý nghĩa chỉ ra thiết bị nhận gói
biết họ giao thức bảo mật mà phía gửi dùng trong truyền thông và dữ liệu xác thực
Authentication Data mang thông tin về giải thuật mã hóa được định nghĩa bởi SPI.
 Bọc gói bảo mật tải ESP (Encapsulating Security Payload)
NHÓM 08

MẠNG MÁY TÍNH 58

12


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Bọc gói dữ liệu tải được sử dụng cho việc mã hóa dữ liệu. Cũng giống như
AH, ESP được chèn vào giữa tiêu đề IP và nội dung tiếp theo của gói. Tuy nhiên
ESP có nhiệm vụ mã hóa dữ liệu nên nội dung gói sẽ bị thay đổi.

Hình 2.2.1. 2 Bọc gói dữ liệu tải ESP


Giống như AH, ESP cũng gồm có SPI (Security Parameter Index) để chỉ cho
bên nhận biết cơ chế bảo mật thích hợp cho việc xử lý gói. Số tuần tự (Sequence
Number) trong ESP là bộ đếm sẽ tăng mỗi khi một gói được gửi đến cùng một địa
chỉ và sử dụng cùng SPI. Số tuần tự chỉ ra có bao nhiêu gói được gửi đến có cùng
một nhóm các tham số. Số tuần tự giúp cho việc bảo mật chống lại các vụ tấn công
bằng cách chép các gói và gửi chúng sai thứ tự để làm rồi loạn quá trình truyền
thông. Phần còn lại của gói (ngoại trừ xác thực tiêu đề) sẽ được mã hóa trước khi
gửi lên mạng.
ESP cũng có thể sử dụng với mục đích xác thực. Trường xác thực ESP, một
trường tùy chọn trong ESP, bao gồm một tổng kiểm tra tổng mã hóa.Độ dài của
tổng kiểm tra này thay đổi tùy theo giải thuật xác thực được sử dụng. Nó cũng có
thể được bỏ qua nếu như dịch vụ xác thực không được chọn trong ESP. Xác thực
được tính toán sau khi tiến trình mã hóa dữ liệu đã hoàn thành.
Dịch vụ xác thực cung cấp bởi AH khác so với ESP là dịch vụ xác thực
trong ESP không bảo mật tiêu đề IP đặt trước ESP mặc dù nó bảo mật tiêu đề IP đã
bọc gói trong chế độ đường hầm.

NHÓM 08

MẠNG MÁY TÍNH 58

13


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Hình 2.2.1. 3 So sánh xác thực bởi AH và ESP

Nếu như AH được sử dụng với mục đích xác thực thì tại sao còn tùy chọn
xác thực trong ESP? AH chỉ sử dụng trong những trường hợp khi xác thực gói là

cần thiết. Mặt khác khi xác thực và tính riêng tư được yêu cầu thì sử dụng ESP với
tùy chọn xác thực sẽ tốt hơn. Sử dụng ESP cho mã hóa và xác thực, thay vì sử dụng
AH và ESP không có tùy chọn xác thực, sẽ giảm kích thước nên các gói sẽ được xử
lý hiệu quả hơn.
 Chế độ làm việc trong IPSec
Có hai chế độ làm việc trong IPSec:
• Chế độ giao vận (Transport mode): Chỉ có đoạn lớp giao vận trong gói là
được xử lý. Chế độ này chỉ mã hóa phần payload của mỗi gói tin, nhưng bỏ
đi phần header. Nhược điểm của chế độ này là nó cho phép các thiết bị trong
mạng nhìn thấy địa chỉ nguồn và đích của gói tin và có thể thực hiện một số
xử lý (như phân tích lưu lượng)dựa trên các thông tin của tiêu đề IP. Tuy
nhiên, nếu dữ liệu được mã hóa bởi ESP thì sẽ không biết được thông tin cụ
thể từ bên trong gói tin IP là gì.
• Chế độ đường hầm (Tunnel mode): Toàn bộ gói sẽ được xử lý cho mã hóa
xác thực. Chế độ này mã hóa cả phần header và payload để cung cấp sự thay
đổi bảo mật nhiều hơn của gói tin.
2.2.2 Quản lý khóa
Trong truyền thông sử dụng giao thức IPSec đòi hỏi phải có chuyển giao
khóa, do đó phải có cơ chế quản lý khóa. Có hai phương thức để chuyển khóa đó là
chuyển khóa bằng tay và chuyển khóa Internet IKE (Internet Key Exchange). Cả
hai phương thức này không thể thiếu trong IPSec. Phương thức chìa khóa trao tay
này chẳng hạn như khóa thương mại ghi trên giấy, trên đĩa mềm hay thông qua bưu
phẩm hoặc Email. Giao thức quản lý chuyển giao khóa mặc định trong IPSec là
Internet Key Exchange (IKE) là kết quả của kết hợp bảo mật Internet ISA(Internet
Security Association) và giao thức chuyển khóa (ISAKMP). IKE còn có tên gọi
khác là ISAKMP/Oakley.

NHÓM 08

MẠNG MÁY TÍNH 58


14


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

2.2.3 Những hạn chế của IPSec
Mặc dù IPSec đã sẵn sàng đưa ra các đặc tính cần thiết để đảm bảo thiết lập
kết nối VPN an toàn thông qua mạng Internet, nó vẫn còn ở trong giai đoạn phát
triển để hướng tới hoàn thiện. Sau đây là một số vấn đề đặt ra mà IPSec cần phải
giải quyết để hỗ trợ tốt hơn cho việc thực hiện VPN:
• Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước do phải thêm
vào các tiêu đề khác nhau, và điều này làm cho thông lượng hiệu dụng của
mạng giảm xuống. Vấn đề này có thể được khắc phục bằng cách nén dữ
liệu trước khi mã hóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu
và chưa được chuẩn hóa.
• IKE vẫn là công nghệ chưa thực sự khẳng định được khả năng của mình.
Phương thức chuyển khóa thủ công lại không thích hợp cho mạng có số
lượng lớn các đối tượng di động.
• IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP, không hỗ trợ
các dạng lưu lượng khác.
• Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn là một vấn đề
khó đối với các trạm làm việc và máy PC năng lực yếu.
• Việc phân phối các phần cứng và phầm mềm mật mã vẫn còn bị hạn chế
đối với chính phủ một số quốc gia.
2.3 L2TP và IPSec
Khi chạy trên môi trường IP, IPSec cung cấp dịch vụ bảo mật mức gói qua
ESP hoặc AH. Tất cả các gói dữ liệu cũng như điều khiển L2TP của mỗi đường
hầm giống hệt như gói dữ liệu UDP/IP trong hệ IPSec.
Nhằm tăng khả năng bảo mật cho việc truyền IP, IPSec xác định một cơ chế

hoạt động cho phép tạo đường hầm các gói IP. Việc mật mã hoá và xác thực ở mức
gói được cung cấp bởi đường hầm IPSec cũng tương đương với những dịch vụ do
L2TP cung cấp.
IPSec cũng đòi hỏi các đặc điểm điều khiển truy nhập để có thể hoạt động.
Những đặc điểm này cho phép các gói tin liên quan đến các tầng cao hơn như địa
chỉ IP, cổng... lọt qua. Theo cơ chế đường hầm L2TP, việc đi qua này được xem xét
bởi lớp PPP hoặc tầng mạng cao hơn L2TP. Các đặc điểm đó được điều khiển bởi
LNS thông qua chính sách của người bán, dựa trên việc xác thực PPP cho các user
hoặc là tại chính tầng mạng sử dụng phương thức vận chuyển IPSec cho việc giao
tiếp giữa các host.
Hai hình sau mô tả vai trò IPSec trong việc bảo vệ hai lọai đường hầm
L2TP:

NHÓM 08

MẠNG MÁY TÍNH 58

15


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Hình 2.3. 1 IPsec bảo vệ đường hầm bắt buộc L2TP

Hình 2.3. 2 IPsec bảo vệ đường hầm tự nguyện L2TP

CHƯƠNG 3: TRIỂN KHAI VPN SITE-TO-SITE L2TP/IPSEC TRÊN
WINDOWS SERVER 2008
Chuẩn bị:
• 2 Máy Windows Server 2008, một máy làm VPN Server HN, 1 máy

làm VPN Server HCM
• 2 Máy Windows XP làm client ở 2 site của mô hình
Chi tiết: Topology của bài lab cùng những cấu hình Virtual Network của
VMware được thể hiện chi tiết ở dưới đây

NHÓM 08

MẠNG MÁY TÍNH 58

16


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

NHÓM 08

MẠNG MÁY TÍNH 58

17


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

NHÓM 08

MẠNG MÁY TÍNH 58

18



TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Chi tiết thực hiện Cài đặt VPN Site-to-Site với giao thức L2TP/IPsec:
1.Tạo tài khoản và cấp quyền VPN
Tạo tài khoản (thực hiện trên máy VPN HN). Vào Server Manager ->
Configuration – >Local Users and Group. Click chuột phải vào Users chọn New
User…

NHÓM 08

MẠNG MÁY TÍNH 58

19


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Gán tên và mật khẩu cho tài khoản, chú ý tick chọn Password never
expires sau đó click OK

Cấp quyền VPN cho tài khoản. Click chuột phải vào tài khoản hcm
chọn Properties.

NHÓM 08

MẠNG MÁY TÍNH 58

20



TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Vào tab Dial-in tick chọn Allow access sau đó click OK.

Tương tự, tạo một tài khoản hn trên máy VPN HCM, sau đó cấp quyền
VPN.

NHÓM 08

MẠNG MÁY TÍNH 58

21


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

2. Cài đặt dịch vụ Routing and Remote Access
Vào server manager, click chuột phải vào Roles chọn Add
Roles -> Next -> Trên cửa sổ Select Server Roles tick chọn Network Policy and
Access Services.

Trên cửa sổ Select Role Services tick chọn dịch vụ Routing and Remote
Access Service sau đó click Next.

NHÓM 08

MẠNG MÁY TÍNH 58

22



TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Click Install để cài đặt.

Cuối cùng close để kết thúc quá trình cài đặt
Cài đặt tương tự trên cả 2 máy VPN HN và HCM
3. Cấu hình dịch vụ VPN Site-to-site
Trên VPN HN

NHÓM 08

MẠNG MÁY TÍNH 58

23


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Sau khi cài đặt xong dịch vụ RRAS vào Administrator Tools -> Routing and
Remote Access -> Click chuột phải lên HN(local) chọn Configuring and Enable
Routing and Remote Access

Trong cửa sổ Welcome to the Routing and Remote Access Server setup wizard
chọn Next

Trong cửa sổ Configuration tick chọn vào ô Secure connection between two
private network và Next.

NHÓM 08


MẠNG MÁY TÍNH 58

24


TÌM HIỂU VÀ TRIỂN KHAI L2TP/IPSEC TRÊN WINDOWS SERVER

Chọn Yes trên cửa sổ Demand-Dial Connections và Next.

Trên cửa sổ IP address Assignment tick chọn From a specified range of
address và Next.

NHÓM 08

MẠNG MÁY TÍNH 58

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×