Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 2_1

Chia sẻ: Tran Le Kim Yen Tran Le Kim Yen | Ngày: | Loại File: PDF | Số trang:18

Thêm vào BST

Báo xấu

152
lượt xem 44
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG CHƯƠNG 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPN Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 2_1

ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG Đề tài: Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật CHƯƠNG 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPN Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thức đường hầm. Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu với phần Header (và có thể cả Trailer) tương ứng để truyền qua Internet. Giao thức đường hầm là cốt lõi của giải pháp VPN. Có 4 giao thức đường hầm được sử dụng trong VPN đó là: - Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding) - Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol)
- Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol) - Giao thức bảo mật IP - IPSec (Internet Protocol Security) 2.1 Giao thức định hướng lớp 2 - L2F Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa. L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ liệu. 2.1.1 Cấu trúc gói của L2F 1bi 1b 1bi 1bi 8bit 1bi 3bit 8bit 8bit t it t t t F K P S Reserve C Versio Protocol Sequence d n Multiplex ID Client ID Length Offset
Key Data Ckecksums Hình 2.1: Khuôn dạng gói của L2F Trong đó: F: Trường “Offset” có mặt nếu bit này được thiết lập. K: Trường “Key” có mặt nếu bít này được thiết lập. P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập. S: Trường “Sequence” có mặt nếu bít này được thiết lập. Reserved: luôn được đặt là: 00000000. Version : Phiên bản chính của L2F dùng để tạo gói. 3 bit này luôn là 111. Protocol : Xác định giao thức đóng gói L2F. Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1. Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm (tunnel). Client ID: Giúp tách đường hầm tại những điểm cuối.
Length: chiều dài của gói (tính bằng Byte) không bao gồm phần checksum. Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin được bắt đầu. Trường này có khi bít F=1. Key: Trường này được trình bày nếu bit K được thiết lập. Đây là một phần của quá trình nhận thực. Checksum: Kiểm tra tổng của gói. Trường checksum có nếu bít C=1. 2.1.2 Ưu nhược điểm của L2F Ưu điểm: - Cho phép thiết lập đường hầm đa giao thức. - Được cung cấp bởi nhiều nhà cung cấp. Nhược điểm: - Không có mã hoá. - Yếu trong việc xác thực người dùng. - Không có điều khiển luồng cho đường hầm. 2.1.3 Thực hiện L2F L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đóng gói PPP, truyền xuyên qua một mạng. L2F sử dụng các thiết bị: NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) gateway home. Hệ thống ERX hoạt động như NAS. và
Tunne:l Định hướng đường đi giữa NAS và home gateway. Một đường hầm gồm một số kết nối. Home gateway: Ngang hàng với NAS. Kết nối (connection): Là một kết nối PPP trong đường hầm. Trong CLI, một kết nối L2F được xem như là một phiên. Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong trường hợp này thì Home gateway là điểm đích. Hình 2.2: Mô hình đặc trưng L2F 2.1.4 Hoạt động của L2F Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và phiên làm việc. Ta xem xét ví dụ minh hoạ hoạt động của L2F: 1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP.
2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol). 3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay nhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F. 4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway đích (home gateway). 5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba. 6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo dài phiên PPP từ người sử dụng ở xa tới home gateway. Kết nối này được thiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và NAS. Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng. 7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm.
8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới mạng công ty. 2.1.5 Quản lý L2F Khi hệ thống đã thiết lập những điểm đích, những đường hầm tunnel, và những phiên kết nối ta phải điều khiển và quản lý lưu lượng L2F như sau: - Ngăn cản tạo những điểm đích, những đường hầm tunnel, những phiên mới. - Đóng và mở lại tất cả hay chọn lựa những điểm đích, những đường hầm tunnel, những phiên. - Có khả năng kiểm tra tổng UDP. - Thiết lập thời gian rỗi cho hệ thống và lưu giữ cơ sở dữ liệu vào của những đường hầm và những kết nối. Sự thay đổi một điểm đích làm ảnh hưởng tới tất cả những đường hầm và phiên tới điểm đích đó; Sự thay đổi một đường hầm làm ảnh hưởng tới tất cả các phiên trong đường hầm đó. Ví dụ, Sự kết thúc ở điểm đích đóng tất cả các đường hầm và phiên tới điểm đích đó. L2F cung cấp các lệnh để thực hiện các chức năng. Ví dụ L2F checksum: mục đích để kiểm tra toàn vẹn dữ liệu của các khung L2F sử dụng kiểm tra tổng UDP, ví dụ host 1(config)#l2f checksum
L2F destruct-timeout: sử dụng để thiết lập thời gian rỗi, giá trị thiết lập trong dải 10 -:- 3600 giây, ví dụ host1 (config)#l2f destruct-timeout 1200 2.2 Giao thức đường hầm điểm-điểm PPTP Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend comm., Microsoft, ECI Telematicsunication và US Robotic. Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ. Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, NETBEUI. Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point Encryption) để sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm. 2.2.1 Kiến trúc của PPTP Hình 2.3: Kiến trúc của PPTP a) PPP và PPTP PPP đã trở thành giao thức quay số truy cập vào Internet và các mạng TCP/IP rất phổ biến hiện nay. Làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng, tách gói cho các loại gói dữ liệu khác nhau để truyền nối tiếp. Đặc biệt, PPP định nghĩa hai bộ giao thức: giao thức điều khiển liên kết LCP (Link Control Protocol) cho việc thiết lập, cấu hình và kiểm tra kết nối; Giao thức điều
khiển mạng NCP (Network Control Protocol) cho việc thiết lập và cấu hình các giao thức lớp mạng khác nhau. PPP có thể đóng các gói IP, IPX, NETBEUI và truyền đi trên kết nối điểm-điểm từ máy gửi đến máy nhận. Để viêc truyền thông có thể diễn ra thì mỗi PPP phải gửi gói LCP để kiểm tra cấu hình và kiểm tra liên kết dữ liệu. Khi một kết nối PPP được thiết lập thì người dùng thường đã được xác thực. Đây là giai đoạn tuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi các ISP. Việc xác thực được thực hiện bởi PAP hay CHAP. Với PAP mật khẩu được gửi qua kết nối dưới dạng văn bản đơn giản và không có bảo mật để tránh khỏi bị tấn công thử và lỗi. CHAP là một phương thức xác thực mạnh hơn, CHAP sử dụng phương thức bắt tay 3 chiều. CHAP chống lại các vụ tấn công quay lại bằng cách sử dụng các giá trị thách đố (challenge value) duy nhất và không thể đoán trước được. CHAP phát ra giá trị thách đố trong suốt và sau khi thiết lập xong kết nối, lập lại các thách đố có thể giới hạn số lần bị đặt vào tình thế bị tấn công. PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và máy chủ truy cập mạng. PPTP sử dụng PPP để thực hiện các chức năng: - Thiết lập và kết thúc kết nối vật lý.
- Xác thực người dùng. - Tạo các gói dữ liệu PPP. Sau khi PPP thiết lập kết nối, PPTP sử dụng các quy luật đóng gói của PPP để đóng các gói truyền trong đường hầm. Để tận dụng ưu điểm của kết nối tạo ra bởi PPP, PPTP định nghĩa hai loại gói: Gói điều khiển; Gói dữ liệu và gán chúng và 2 kênh riêng là kênh điều khiển và kênh dữ liệu. Sau đó PPTP phân tách các kênh điều khiển và kênh và kênh dữ liệu thành luồng điều khiển với giao thức TCP và luồng dữ liệu với giao thức IP. Kết nối TCP được tạo giữa client PPTP và máy chủ PPTP được sủ dụng để trưyền thông báo điều khiển. Các gói dữ liệu là dữ liêu thông thường của người dùng. Các gói điều khiển được gửi theo chu kỳ để lấy thông tin về trạng thài kết nối và quản lý báo hiệu giữa client PPTP và máy chủ PPTP. Các gói điều khiển cũng được dùng để gửi các thông tin quản lý thiết bị, thông tin cấu hình giữa hai đầu đường hầm. Kênh điều khiển được yêu cầu cho việc thiết lập một đường hầm giữa client PPTP và máy chủ PPTP. Phần mềm client có thể nằm ở máy người dùng từ xa hay nằm ở tại máy chủ của ISP.
Hình 2.4:Các giao thức dùng trong một kết nối PPTP Sau khi đường hầm được thiết lập thì dữ liệu người dùng được truyền giữa client và máy chủ PPTP. Các gói PPTP chứa các gói dữ liệu IP. Các gói dữ liệu được đóng gói bởi tiêu đề GRE, sử dụng số ID của Host cho điều khiển truy cập, ACK cho giám sát tốc độ dữ liệu truyền trong đường hầm. PPTP hoạt động ở lớp liên kết dữ liệu, nên cần phải có tiêu đề môi trường truyền trong gói để biết gói dữ liệu truyền trong đường hầm theo phương thức nào? Ethernet, Frame Relay hay kết nối PPP?
Hình 2.5 : bọc gói PPTP/ GRE PPTP cũng có cơ chế điều khiển tốc độ nhằm giới hạn số lượng dữ liệu truyền đi. Cơ chế này làm giảm tối thiểu dữ liệu phải truyền lại do mất gói. b) Cấu trúc gói của PPTP *Đóng gói dữ liệu đường hầm PPTP Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu. Cấu trúc gói dữ liệu đã được đóng gói Hình 2.6: Cấu trúc gói dữ liệu trong đường hầm PPTP + Đóng gói khung PPP Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE. Đối với PPTP, phần tiêu đề của GRE được sử đổi một số điểm sau: - Một bit xác nhận được sử dụng để khẳng định sự có mặt của trường xác nhận 32 bit.
- Trường Key được thay thế bằng trường độ dài Payload 16bit và trường nhận dạng cuộc gọi 16 bit. Trường nhận dạng cuộc goi Call ID được thiết lập bởi PPTP client trong quá trình khởi tạo đường hầm PPTP. - Một trường xác nhận dài 32 bit được thêm vào. GRE là giao thức cung cấp cơ chế chung cho phép đóng gói dữ liệu để gửi qua mạng IP. + Đóng gói các gói GRE Tiếp đó, phần tải PPP đã được mã hoá và phần tiêu đề GRE được đóng gói với một tiêu đề IP chứa thông tin địa chỉ nguồn và đích cho PPTP client và PPTP server. + Đóng gói lớp liên kết dữ liệu Do đường hầm của PPTP hoạt động ở lớp 2 - Lớp liên kết dữ liệu trong mô hình OSI nên lược đồ dữ liệu IP sẽ được đóng gói với phần tiêu đề (Header) và phần kết thúc (Trailer) của lớp liên kết dữ liệu. Ví dụ, Nếu IP datagram được gửi qua giao diện Ethernet thì sẽ được đóng gói với phần Header và Trailer Ethernet. Nếu IP datagram được gửi thông qua đường truyền WAN điểm tới điểm thì sẽ được đóng gói với phần Header và Trailer của giao thức PPP. * Xử lý dữ liệu đường hầm PPTP Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ thực hiện các bước xử lý:
- xử ký và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu. - Xử lý và loại bỏ IP Header. - Xử lý và loại bỏ GRE Header và PPP Header. - Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết. - Xử lý phần payload để nhận hoặc chuyển tiếp. * Sơ đồ đóng gói PPTP Hình 2.7: Sơ đồ đóng gói PPTP Quá trình:
- Các IP datagram, IPX datagram, hoặc NetBEUI frame được đưa tới giao diện ảo bằng giao thức tương ứng (giao diện ảo đại diện cho kết nối VPN) sử dụng NDIS (Network Driver Interface specification). - NDIS đưa gói dữ liệu tới NDISWAN, nơi thực hiện mật mã, nén dữ liệu và cung cấp PPP header. Phần mào đầu PPP này chỉ bao gồm trường mã số giao thức PPP (PPP protocol ID field), không có các trường flag và FCS (frame check sequence). Giả định trưòng địa chỉ và điều khiển đã được thoả thuận ở giao thức điều khiển đường truyền LCP (Link Control Protocol) trong quá trình kết nối PPP. - NDISWAN gửi dữ liệu tới giao thức PPTP, nơi đóng gói khung PPP với phần mào đầu GRE. Trong GRE header, trường Call ID đựoc đặt giá trị thích hợp để xác định đường hầm. - Giao thức PPTP sau đó sẽ gửi gói vừa hình thành tới giao thức TCP/IP. - TCP/IP đóng gói dữ liệu đường hầm PPTP với phần mào đầu IP, sau đó gửi gói kết quả tới giao diện đại diện cho kết nối quay số tới ISP địa phương sử dụng NDIS. - NDIS gửi gói NDISWAN, nó cung cấp các phần PPP header và trailer. - NDISWAN gửi khung PPP kết quả tới cổng WAN tương ứng đại diện cho phần cứng quay số. c) Đường hầm
PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tính của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP). Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt buộc. Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng. Khi sử dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình thường. Đường hầm tự nguyện thường được sư dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet. Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng. Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ truy cập từ xa. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông qua RAS. Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đường hầm tự nguyện. Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và được các site trong VPN mà thôi).
Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểm kết nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc. Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng nằm ngoài đường hầm nên dễ bị tấn công. Mạng riêng Client Computer Computer Internet Máy chủ Client Computer Đường hầm tự nguyện Computer Computer Computer Computer Internet Máy chủ Máy chủ Computer Đường hầm Computer bắt buộc Mạng riêng Mạng riêng được bảo vệ được bảo vệ Hình 2.8 : đường hầm bắt buộc và đường hầm tự nguyện