Tài liệu Nghiên cứu mạng riêng ảo và ứng dụng trong thương mại điện tử

1 MỞ ĐẦU Với sự phát triển nhanh chóng của công nghệ thông tin và viễn thông, thế giới ngày càng thu nhỏ và trở nên gần gũi. Nhiều công ty đang vượt qua ranh giới cục bộ và khu vực, vươn ra thị trường thế giới. Nhiều doanh nghiệp có tổ chức trải rộng khắp toàn quốc thậm chí vòng quanh thế giới, và tất cả họ đều đối mặt với một nhu cầu thiết thực: một cách thức nhằm duy trì những kết nối thông tin kịp thời, an toàn và hiệu quả cho dù văn phòng đặt tại bất cứ nơi đâu. Bên cạnh đó các hoạt động giao dịch thương mại đã không còn chỉ là các giao dịch truyền thống, mà thay vào đó, một xu thế đang phát triển mạnh mẽ và phù hợp thời đại là các giao dịch thương mại điện tử. Sự phát triển mạnh mẽ của thương mại điện tử sẽ mang đến cho xã hội một tiện ích vô cùng to lơn, khi đó các giao dịch sẽ diễn ra nhanh chóng, kịp thời và phù hợp trong khi người dùng chỉ cần ngồi ngay tại nhà mình. Tuy nhiên các giao dịch thương mại điện tử chỉ có thể gọi là thành công nếu nó đảm bảo được tính an toàn cho các giao dịch, nhất là các giao dịch này lại diễn ra trên môi trường internet – là môi trường luôn luôn tiềm ẩn rất nhiều nguy cơ mất an toàn dữ liệu. Từ đây, ta thấy song song với việc phát triển của thương mại điện tử thì cẩn phải nghiên cứu giải quyết vấn đề an toàn thông tin trong mỗi giao dịch. Nhận ra yêu cầu đó cùng với sự gợi ý của giáo viên hướng dẫn và dựa trên những tìm hiểu của em, em chọn đề tài nghiên cứu “Nghiên cứu mạng riêng ảo và ứng dụng trong thương mại điện tử”. Với mục đích nghiên cứu về công nghệ mạng riêng ảo, đề từ đó ứng dụng vào thương mại điện tử, tạo hành lang an toàn cho các giao dịch thương mại điện tử luận văn sẽ gồm 3 chương cụ thể như sau: Chương 1: Khái quát về mạng riêng ảo và thương mại điện tử Chương 2: Một số vấn đề về an toàn thông tin trong bài toán thỏa thuận ký kết hợp đồng điện tử. Chương 3: Chương trình thực nghiệm 2 Do hạn chế về nhiều mặt nên Luận văn chắc chắn không tránh khỏi những thiếu xót, rất mong được sự đóng góp ý kiến của Thầy, Cô và các bạn để Luận văn được hoàn thiện hơn. Em xin chân thành cảm ơn thầy giáo, PGS. TS Trịnh Nhật Tiến đã tận tình hướng dẫn và giúp đỡ em trong suốt quá trình hoàn thành luận văn. Em cũng xin trân thành cảm ơn các thầy, cô, bạn bè cùng toàn thể người thân đã giúp đỡ và chỉ bảo cho em trong thời gian thực hiện luận văn này. 3 Chương 1 KHÁI QUÁT VỀ MẠNG RIÊNG ẢO VÀ THƯƠNG MẠI ĐIỆN TỬ 1.1. KHÁI QUÁT VỀ MẠNG RIÊNG ẢO 1.1.1. Khái niệm mạng riêng ảo Cụm từ Virtual Private Network (mạng riêng ảo) thường được gọi tắt là VPN là một kỹ thuật đã xuất hiện từ lâu, tuy nhiên nó thực sự bùng nổ và trở nên cạnh tranh khi xuất hiện công nghệ mạng thông minh với đà phát triển mạnh mẽ của Internet. Trong thực tế, người ta thường nói tới hai khái niệm VPN đó là: mạng riêng ảo kiểu tin tưởng (Trusted VPN) và mạng riêng ảo an toàn (Secure VPN). Mạng riêng ảo kiểu tin tưởng được xem như một số mạch thuê của một nhà cung cấp dịch vụ viễn thông. Mỗi mạch thuê riêng hoạt động như một đường dây trong một mạng cục bộ. Tính riêng tư của trusted VPN thể hiện ở chỗ nhà cung cấp dịch vụ sẽ đảm bảo không có một ai sử dụng cùng mạch thuê riêng đó. Các mạng riêng xây dựng trên các đường dây thuê thuộc dạng “trusted VPN”. Mạng riêng ảo an toàn là các mạng riêng ảo có sử dụng mật mã để bảo mật dữ liệu. Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng (ví dụ: mạng Internet) như các dữ liệu khác để truyền tới đích và sau đó được giải mã dữ liệu tại phía thu. Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới đích. Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đó trên đường truyền thì cũng không có khả năng đọc được vì dữ liệu đã được mật mã. Mạng riêng ảo VPN được định nghĩa là một kết nối mạng triển khai trên cơ sở hạ tầng mạng công cộng (như mạng Internet) với các chính sách quản lý và bảo mật giống như mạng cục bộ. Hình 1.1: Mô hình mạng riêng ảo. 4 a) Chức năng VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication), tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality). Tính xác thực : Để thiết lập một kết nối VPN thì trước hết cả hai phía phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin với người mình mong muốn chứ không phải là một người khác. Tính toàn vẹn : Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn. Tính bảo mật : Người gửi có thể mã hoá các gói dữ liệu trước khi truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như vậy, không một ai có thể truy nhập thông tin mà không được phép. Thậm chí nếu có lấy được thì cũng không đọc được. b) Ưu điểm VPN mang lại lợi ích thực sự và tức thời cho các công ty, tổ chức. Có thể dùng VPN không chỉ để đơn giản hoá việc thông tin giữa các nhân viên làm việc ở xa, người dùng lưu động, mở rộng Intranet đến từng văn phòng, chi nhánh, thậm chí triển khai Extranet đến tận khách hàng và các đối tác chủ chốt mà còn làm giảm chi phí cho công việc trên thấp hơn nhiều so với việc mua thiết bị và đường dây cho mạng WAN riêng. Những lợi ích này dù trực tiếp hay gián tiếp đều bao gồm: Tiết kiệm chi phí (cost saving), tính mềm dẻo (flexibility), khả năng mở rộng (scalability) và một số ưu điểm khác 1.1.2. Phân loại mạng riêng ảo Dựa vào những yêu cầu cơ bản mạng riêng ảo được phân làm ba loại:  VPN truy nhập từ xa (Remote Access VPNs)  VPN Site – To – Site:  Mạng VPN cục bộ (Intranet VPN)  Mạng VPN mở rộng (Extranet VPN) a) VPN truy nhập từ xa (Remote access VPNs) 5 VPN truy nhập từ xa cung cấp cho các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy nhập từ xa vào mạng của công ty tại mọi thời điểm tại bất cứ đâu có mạng Internet. VPN truy nhập từ xa cho phép mở rộng mạng công ty tới những người sử dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn duy trì. Loại VPN này có thể dùng để cung cấp truy nhập an toàn cho các thiết bị di động, những người sử dụng di động, các chi nhánh và những bạn hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng. Hình 1.2: VPN truy nhập từ xa. b) VPN Site To Site Site-to-Site VPN được sử dụng để nối các site của các hãng phân tán về mặt địa lý, trong đó mỗi site có các địa chỉ mạng riêng được quản lý sao cho bình thường không xảy ra va chạm. Mạng VPN cục bộ (Intranet VPN) 6 Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty. Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn dữ liệu được phép trong toàn bộ mạng của công ty. Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo. Kiểu VPN này thường được cấu hình như là một VPN Site- to- Site. Hình 1.3: VPN cục bộ. Mạng VPN mở rộng (Extranet VPN) Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng VPN mở rộng không bị cô lập với “thế giới bên ngoài”. Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp… Hình 1.4: VPN mở rộng. 7 Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng. Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to– Site. Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đầu cuối của VPN. 1.1.3. Các giáo thức đường hầm trong mạng riêng ảo a) Giao thức định hướng L2F ( Layer 2 Forwarding). Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập và được phát triển dựa trên giao thức PPP (Point-to-Point Protocol). L2F cung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập một đường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet. L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thống để cho những người sử dụng ở xa truy cập vào một mạng công ty thông qua thiết bị truy cập từ xa. L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ở lớp liên kết dữ liệu. Ưu nhược điểm của L2F Ưu điểm: - Cho phép thiết lập đường hầm đa giao thức. - Được cung cấp bởi nhiều nhà cung cấp. Nhược điểm: - Không có mã hoá. - Yếu trong việc xác thực người dùng. - Không có điều khiển luồng cho đường hầm. Hoạt động của L2F Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đường hầm và phiên làm việc. Ta xem xét ví dụ minh hoạ hoạt động của L2F: 1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP. 2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol). 8 3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay nhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F. 4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway đích (home gateway). 5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba. 6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo dài phiên PPP từ người sử dụng ở xa tới home gateway. Kết nối này được thiết lập như sau: Home gateway tiếp nhận các lựa chọn và tất cả thông tin nhận thực PAP/CHAP, như đã thoả thuận bởi đầu cuối người sử dụng và NAS. Home gateway chấp nhận kết nối hay nó thoả thuận lại LCP và nhận thực lại người sử dụng. 7) Khi NAS tiếp nhận lưu lượng dữ liệu từ người sử dụng, nó lấy gói và đóng gói lưu lượng vào trong một khung L2F và hướng nó vào trong đường hầm. 8) Tại home gateway, khung L2F được tách bỏ, và dữ liệu đóng gói được hướng tới mạng công ty. b) Giao thức PPTP (Point –to- Point Tunneling Protocol) Giao thức đường hầm điểm–điểm PPTP được đưa ra đầu tiên bởi một nhóm các công ty được gọi là PPTP Forum. Nhóm này bao gồm 3 công ty: Ascend comm., Microsoft, ECI Telematicsunication và US Robotic. Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa người dùng ở xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thể tạo đường hầm bảo mật tới mạng riêng của họ. Giao thức PPTP được xây dựng dựa trên chức năng của PPP, cung cấp khả năng quay số truy cập tạo ra một đường hầm bảo mật thông qua Internet đến site đích. PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing 9 Encapsulation) được mô tả lại để đóng gói và tách gói PPP, giao thức này cho phép PPTP mềm dẻo xử lý các giao thức khác không phải IP như: IPX, NETBEUI. Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã hoá khác mạnh hơn đó là mã hoá điểm - điểm MPPE (Microsoft Point- to- Point Encryption) để sử dụng cho PPTP. Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ liệu) trong khi IPSec chạy ở lớp 3 của mô hình OSI. Bằng cách hỗ trợ việc truyền dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm. - Đóng gói dữ liệu đường hầm PPTP Dữ liệu đường hầm PPTP được đóng gói thông qua nhiều mức: đóng gói khung PPP, đóng gói các gói GRE, đóng gói lớp liên kết dữ liệu. Cấu trúc gói dữ liệu đã được đóng gói Hình 1.5: Cấu trúc gói dữ liệu trong đường hầm PPTP - Đóng gói khung PPP Phần tải PPP ban đầu được mật mã và đóng gói với phần tiêu đề PPP để tạo ra khung PPP. Sau đó, khung PPP được đóng gói với phần tiêu đề của phiên bản sửa đổi giao thức GRE. - Xử lý dữ liệu đường hầm PPTP Khi nhận được dữ liệu đường hầm PPTP, PPTP client hay PPTP server sẽ thực hiện các bước xử lý: - xử ký và loại bỏ phần Header và Trailer của lớp liên kết dữ liệu. - Xử lý và loại bỏ IP Header. - Xử lý và loại bỏ GRE Header và PPP Header. - Giải mã hoặc/và giải nén phần PPP payload nếu cần thiết. - Xử lý phần payload để nhận hoặc chuyển tiếp. 10 - Đường hầm PPTP cho phép người dùng và ISP có thể tạo ra nhiều loại đuờng hầm khác nhau. Người dùng có thể chỉ định điểm kết thúc của đường hầm ở ngay tại máy tính của mình nếu có cài PPTP, hay tại máy chủ của ISP (máy tính của ISP phải hỗ trợ PPTP). Có hai lớp đường hầm: Đường hầm tự nguyên và đường hầm bắt buộc. Đường hầm tự nguyện: được tạo ra theo yêu cầu của người dùng. Khi sử dụng đường hầm tự nguyện, người dùng có thể đồng thời mở một đường hầm bảo mật thông qua Internet và có thể truy cập đến một Host trên Internet bởi giao thức TCP/IP bình thường. Đường hầm tự nguyện thường được sư dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet được gửi thông qua Internet. Đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng. Điểm kết thúc của đương hầm bắt buộc nằm ở máy chủ truy cập từ xa. Tất cả dữ liệu truyền đi từ người dùng qua đường hầm PPTP đều phải thông qua RAS. Do đường hầm bắt buộc định trước điểm kết thúc và người dùng không thể truy cập phần còn lại của Internet nên nó điều khiển truy nhập tốt hơn so với đường hầm tự nguyện. Nếu vì tính bảo mật mà không cho người dùng truy cập Internet công cộng thì đường hầm bắt buộc ngăn không cho họ truy cập Internet công cộng nhưng vẫn cho phép họ dùng Internet để truy cập VPN (nghĩa là chỉ cho truy cập và được các site trong VPN mà thôi). Một ưu điểm nữa của đường hầm bắt buộc là một đuờng hầm có nhiều điểm kết nối. Đặc tính này làm giảm yêu cầu băng thông cho các ứng dụng đa phiên làm việc. Một khuyết điểm của đường hầm bắt buộc là kết nối từ RAS đến người dùng nằm ngoài đường hầm nên dễ bị tấn công. Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng và tính cước dựa vào số điện thoại, các phương thức xác thực khác như thẻ bài (token) hay thẻ thông minh (smart card). 11 - Xác thực người dùng quay số từ xa (RADIUS) RADIUS (Remote Authentication Dial-In User Service) sử dụng kiểu client/ server để chứng nhận một cách bảo mật và quản trị các kết nối mạng từ xa của các người dùng trong các phiên làm việc. RADIUS client/server sử dụng máy chủ truy cập mạng NAS để quản lý kết nối người dùng. Ngoài chức năng của máy chủ truy cập mạng nó còn có một số chức năng cho RADIUS client. NAS sẽ nhận dạng người dùng, thông in về mật khẩu rồi chuyển đến máy chủ RADIUS. Máy chủ RADIUS sẽ trả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình cho NAS để cung cấp dịch vụ cho người dùng. RADIUS tạo một cơ sở dữ liệu tập trung về người dùng, các loại dịch vụ sẵn có, một dải modem đa chủng loại. Trong RADIUS thông tin người dùng được lưu trong máy chủ RADIUS. RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin người dùng cho mục đích xác thực, cấp quyền và tính cước, nhưng nó không cho phép thay đổi dữ liệu người dùng. Máy chủ Proxy sẽ định kỳ cập nhật cơ sở dữ liệu người dùng từ máy chủ RADIUS. Để RADIUS có thể điều khiển việc thiết lập một đường hầm, nó cần phải lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng. Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xác thực và cấp quyền:  Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm.  Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm và cố gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm.  Xác thực tại hai đầu của đường hầm. Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mình ISP điều khiển tiến trình truy cập mạng. Tuỳ chọn thứ hai có độ tin cậy trung bình, nó phụ thuộc cách RADIUS trả lời xác thực. Tuỳ chọn thứ ba có độ tin cậy cao và làm việc tốt nếu như sử dụng máy chủ Proxy RADIUS. 12 - Đường hầm kết nối LAN-LAN Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay số kết nối vào một mạng riêng thông qua mạng Internet, những đường hầm kết nối LAN-LAN không được hỗ trợ. Mãi đến khi Microsoft giới thiệu máy chủ định hướng và truy cập từ xa (Routing and Remote Access Server) cho NT server 4.0 thì mới hỗ trợ đường hầm kết nối LAN-LAN. Kể từ đó các nhà cung cấp khác cũng đã cung cấp các máy chủ tương thích với PPTP có hỗ trợ đường hầm kết nối LAN-LAN. Đường hầm kết nối LAN-LAN diễn ra giữa hai máy chủ PPTP, giống như IPSec dùng 2 cổng nối bảo mật để kết nối 2 mạng LAN. Tuy nhiên, do kiến trúc PPTP không có hệ thống quản lý khoá nên việc cấp quyền và xác thực được điều khiển bởi CHAP hoặc thông qua MS-CHAP. Để tạo đường hầm giữa hai site, máy chủ PPTP tại mỗi site sẽ được xác thực bởi PPTP ở site kia. Khi đó máy chủ PPTP trở thành client PPTP của máy chủ PPTP ở đầu bên kia và ngược lại, do đó một đường hầm tự nguyện được tạo ra giữa hai site. Hình 1.6: Kết nối LAN - LAN trong PPTP. Do đường hầm PPTP có thể được đóng gói bởi bất kỳ giao thức mạng nào được hỗ trợ (IP, IPX, NETBEUI), người dùng tại một site có thể truy cập vào tài nguyên tại site kia dựa trên quyền truy cập của họ. Điều này có nghĩa là cần phải có site quản lý để đảm bảo người dùng tại một site có quyền truy cập vào site kia. Trong Windows NT mỗi site sẽ có miền bảo mật riêng và các site phải thiết lập một mối quan hệ tin cậy giữa các miền để cho phép người dùng truy cập vào tài nguyên của các site. 13 c) Giao thức L2TP ( Layer 2 Tunneling Protocol) Giao thức đường hầm lớp 2 L2TP là sự kết hợp giữa hai giao thức PPTP và L2F- chuyển tiếp lớp 2. PPTP do Microsoft đưa ra còn L2F do Cisco khởi xướng. Hai công ty này đã hợp tác cùng kết hợp 2 giao thức lại và đăng ký chuẩn hoá tại IETF. Giống như PPTP, L2TP là giao thức đường hầm, nó sử dụng tiêu đề đóng gói riêng cho việc truyền các gói ở lớp 2. Một điểm khác biệt chính giữa L2F và PPTP là L2F không phụ thuộc vào IP và GRE, cho phép nó có thể làm việc ở môi trường vật lý khác. Bởi vì GRE không sử dụng như giao thức đóng gói, nên L2F định nghĩa riêng cách thức các gói được điều khiển trong môi trường khác. Nhưng nó cũng hỗ trợ TACACS+ và RADIUS cho việc xác thực. Có hai mức xác thực người dùng: Đầu tiên ở ISP trước khi thiết lập đường hầm, Sau đó là ở cổng nối của mạng riêng sau khi kết nối được thiết lập. L2TP mang dặc tính của PPTP và L2F. Tuy nhiên, L2TP định nghĩa riêng một giao thức đường hầm dựa trên hoạt động của L2F. Nó cho phép L2TP truyền thông qua nhiều môi trường gói khác nhau như X.25, Frame Relay, ATM. Mặc dù nhiều công cụ chủ yếu của L2TP tập trung cho UDP của mạng IP, nhưng có thể thiết lập một hệ thống L2TP mà không cần phải sử dụng IP làm giao thức đường hầm. Một mạng ATM hay frame Relay có thể áp dụng cho đường hầm L2TP. Do L2TP là giao thức ở lớp 2 nên nó cho phép người dùng sử dụng các giao thức điều khiển một cách mềm dẻo không chỉ là IP mà có thể là IPX hoặc NETBEUI. Cũng giống như PPTP, L2TP cũng có cơ chế xác thực PAP, CHAP hay RADIUS. Mặc dù Microsoft đã làm cho PPTP trở nên cách chọn lựa phổ biến khi xây dựng VPN bằng cách hỗ trợ giao thức này sẵn có trong hệ điều hành Windows nhưng công ty cũng có kế hoạch hỗ trợ thêm L2TP trong Windows NT 4.0 và Windows 98. - Xử lý dữ liệu đường hầm L2TP trên nền IPSec  Khi nhận được dữ liệu đường hầm L2TP trên nền IPSec, L2TP client hay L2TP server sẽ thực hiện các bước sau:  Xử lý và loại bỏ header và trailer của lớp đường truyền dữ liệu. 14  Xử lý và loại bỏ IP header.  Dùng IPSec ESP Authentication để xác thực IP payload và IPSec ESP header.  Dùng IPSec ESP header để giải mã phần gói đã mật mã.  Xử lý UDP header và gửi gói L2TP tới lớp L2TP.  L2TP dùng Tunnel ID và Call ID trong L2TP header để xác định đường hầm L2TP cụ thể.  Dùng PPP header để xác định PPP payload và chuyển tiếp nó tới dúng giao thức để xử lý. - Đường hầm L2TP L2TP sử dụng những lớp đường hầm tương tự như PPTP, tuỳ theo người dùng sử dụng là client PPP hay client L2TP mà sử dụng đường hầm là tự nguyện hay bắt buộc. Đường hầm tự nguyện được tạo ra theo yêu cầu của người dùng cho mục đích cụ thể. Khi sử dụng đường hầm tự nguyện thì người dùng có thể đồng thời mở đường hầm bảo mật thông qua Internet, vừa có thể truy cập vào một host bất kỳ trên Internet theo giao thức TCP/IP bình thường. Điểm kết thúc của đường hầm tự nguyện nằm ở máy tính người dùng. Đường hầm tự nguyện thường được sử dụng để cung cấp tính riêng tư và toàn vẹn dữ liệu cho lưu lượng Intranet gửi thông qua Internet. Đường hầm bắt buộc được tạo tự động không cần bất kỳ hành động nào từ phía nguời dùng và không cho phép người dùng chọn lựa. Do đường hầm bắt buộc được tạo ra không thông qua người dùng nên nó trong suốt đối với người dùng đầu cuối. Đường hầm bắt buộc định trước điểm kết thúc, nằm ở LAC của ISP và nên kiểu đường hầm này điều khiển truy cập tốt hơn so với đường hầm tự nguyện. Nếu như vì tính bảo mật mà không cho người dùng truy cập vào Internet công cộng nhưng vẫn cho phép dùng Internet để truy nhập VPN. Một ưu điểm của đường hầm bắt buộc là một đường hầm có thể tải nhiều kết nối, điều này làm giảm băng thông mạng cho các ứng dụng đa phiên làm việc. Một 15 khuyết điểm của đường hầm bắt buộc là kết nối từ LAC đến người dùng nằm ngoài đường hầm nên dễ bị tấn công. Mặc dù ISP có thể chọn cách thiết lập tĩnh để định nghĩa đường hầm cho người dùng, nhưng điều này gây lãng phí tài nguyên mạng. Có cách khác cho phép sử dụng tài nguyên hiệu quả hơn bằng cách thiết lập đường hầm động. Những đường hầm động này được thiết lập trong L2TP bằng cách kết nối với máy chủ RADIUS. Để RADIUS có thể điều khiển việc thiết lập một đường hầm thì nó cần phải lưu các thuộc tính của đường hầm. Các thuộc tính này bao gồm: giao thức đường hầm được sử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyền dẫn trong đường hầm được sử dụng. Sử dụng máy chủ RADIUS để thiết lập đường hầm bắt buộc có một số ưu điểm như:  Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng.  Tính cước thể dựa trên số điện thoại hoặc các phương thức xác thực khác. - Xác thực và mã hóa trong L2TP Quá trình xác thực người dùng trong L2TP điễn ra trong 3 giai đoạn: giai đoạn 1 diễn ra tại ISP, giai đoạn 2 và giai đoạn 3 (tuỳ chọn) điễn ra ở máy chủ của mạng riêng. Trong giai đoạn đầu, ISP sử dụng số điện thoại của người dùng hoặc tên người dùng để xác định dịch vụ L2TP được yêu cầu và khởi tạo kết nối đường hầm đến máy chủ mạng riêng. Khi đường hầm được thiết lập, LAC của ISP chỉ định một số nhận dạng cuộc gọi (Call ID) mới để định danh cho kết nối trong đường hầm và khởi tạo phiên bằng cách chuyển thông tin xác thực đến máy chủ của mạng riêng. Máy chủ của mạng riêng sẽ tiến hành tiếp bước thứ 2. Giai đoạn 2, máy chủ của mạng riêng quyết định chấp nhận hay từ chối cuộc gói. Cuộc goi từ ISP chuyển đến có thể mạng thông tin CHAP, PAP hay bất kỳ thông tin xác thực nào, máy chủ sẽ dựa vào các thông tin này để quyết định chấp nhận hay từ chối. 16 Sau khi cuộc gọi được chấp nhận thì máy chủ có thể khởi động giai đoạn thứ 3 của quá trình xác thực (tại lớp PPP), đây là giai đoạn tuỳ chọn. bước này xem như máy chủ xác thực một người dùng quay số truy cập vào thẳng máy chủ. Kết quả của 3 giai đoạn này cho phép người dùng, ISP và máy chủ của mạng riêng xác định được tính chính xác của cuộc gọi nhưng vẫn chưa bảo mật cho dữ liệu. Để việc xác thực trong L2TP hiệu quả thì cần phải phân phối khoá. Mặc dù phân phối bằng tay có thể khả thi trong một số trường hợp nhưng về cơ bản thì cần phải có một giao thức quản lý khoá. d) Giao thức IPSec (IP Security) Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn có. Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như bây giờ khi mà Internet trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi trên Internet và đối tượng sử dụng Internet rộng hơn bao gồm cả các Hacker. Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức IPSec. Họ giao thức IPSec đầu tiên được dùng cho xác thực, mã hoá các gói dữ liệu IP, được chuẩn hoá thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức này mô tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong gói IP, gói IP là đơn vị dữ liệu cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề cho các gói IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề IP – AH (IP Authentication Header) điều khiển việc xác thực và hai là đóng gói tải tin an toàn ESP (Encapsulation Security Payload) cho mục đích mã hoá. IPSec không phải là một giao thức. Nó là một khung của các tập giao thức chuẩn mở cho phép những nhà quản trị mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực để cung cấp sự xác thực dữ liệu, tính toàn vẹn dữ liệu, và sự tin cậy dữ liệu. IPSec là sự lựa chọn cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của công ty. Nó đảm bảo truyền thông tin cậy trên mạng IP công cộng đối với các ứng dụng. 17 IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền những luồng dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệ luồng dữ liệu giữa hai Host. IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc triển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được thay đổi cho phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4 nhưng đối với IPv6 thì có sẵn IPSec. - Khung giao thức IPSec. IPSec là khung của các chuẩn mở, được phát triển bởi IETF. IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo mật, toàn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang hàng có thể là những cặp Host hay những cặp cổng nối bảo mật (những bộ định tuyến, những tường lửa, những bộ tập trung VPN …) hay có thể giữa một host và một cổng nối bảo mật, như trong VPN truy cập từ xa. Hai giao thức chính của IPSec là AH (Authentication Header) và ESP (Encapsulation Security Payload ). - AH: Cho phép xác thực và kiểm tra tính toàn vẹn dữ liệu của các gói IP truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu có bị thay đổi trong khi truyền không. Do AH không cung cấp khả năng mật mã dữ liệu nên các dữ liệu đều được truyền dưới dạng bản rõ. - ESP: Là một giao thức an toàn cho phép mật mã dữ liệu, xác thực nguồn gốc dữ liệu, kiểm tra tính toàn vẹn dữ liệu. ESP đảm bảo tính bí mật của thông tin thông qua việc mật mã ở lớp IP. Tất cả các lưu lượng ESP đều được mật mã giữa hai hệ thống. - Hoạt động của IPSec Ta biết rằng, mục đích chính của IPSec là bảo vệ luồng dữ liệu mong muốn với các dịch vụ bảo mật cần thiếtvà hoạt động của IPSec có thể chia thành 5 bước chính như sau: 18 A gửi lưu lượng cần bảo vệ tới B  Router A và B thoả thuận một phiên trao đổi IKE Phase 1 IKE SA ← IKE Phase → IKE SA  Router A và B thoả thuận một phiên trao đổi IKE Phase 2 IPSec SA ← IKE Phase → IPSec SA  Thông tin được truyền dẫn qua đường hầm IPSec  Kết thúc đường hầm IPSec Hình : 5 bước hoạt động của IPSec. Bước 1- Kích hoạt lưu lượng cần bảo vệ. Việc xác định lưu lượng nào cần được bảo vệ là một phần việc trong chính sách an ninh (Security Policy) của một mạng VPN. Chính sách được sử dụng để quyết định lưu lượng nào cần được bảo vệ và không cần bảo vệ (lưu lượng ở dạng bản rõ (clear text) không cần bảo vệ). Chính sách sau đó sẽ được thực hiện ở giao diện của mỗi đối tác IPSec. Đối với mỗi gói dữ liệu đầu vào và đầu ra sẽ có ba lựa chọn: Dùng IPSec, cho qua IPSec, hoặc huỷ gói dữ liệu. Đối với mọi gói dữ liệu được bảo vệ bởi IPSec, người quản trị hệ thống cần chỉ rõ các dịch vụ bảo mật được sử dụng cho gói dữ liệu. Các cơ sở dữ liệu, chính sách bảo mật chỉ rõ các giao thức IPSec, các node, và các thuật toán được sử dụng cho luồng lưu lượng. Ví dụ, các danh sách điều khiển truy nhập (ACLs – Access Control Lists) của các router được sử dụng để biết lưu lượng nào cần mật mã. ALCs định nghĩa bởi các dòng lệnh. 19 Chẳng hạn: - Lệnh Permit: Xác định lưu lượng phải được mật mã. - Lệnh deny: Xác định lưu lưọng phải được gửi đi dưới dạng không mật mã. Khi phát hiện ra lưu lượng cần bảo vệ thì một đối tác IPSec sẽ kích hoạt bước tiếp theo: Thoả thuận một trao đổi IKE Phase 1. Bước 2 – IKE Phase 1 Mục đích cơ bản của IKE Phase 1 là để thoả thuận các tập chính sách IKE (IKE policy), xác thực các đối tác ngang hàng, và thiết lập kênh an toàn giữa các đối tác. IKE Phase 1 có hai chế độ: Chế độ chính (main mode) và chế độ nhanh (Aggressive mode). Hình 1.7 : IKE Phase 1 Chế độ chính có 3 trao đổi hai chiều giữa bên khởi tạo và bên nhận: - Trao đổi thứ nhất – Các thuật toán mật mã và xác thực (sử dụng để bảo vệ các trao đổi thông tin IKE) sẽ được thoả thuận giữa các đối tác. - Trao đổi thứ hai – Sử dụng trao đổi DH để tạo các khoá bí mật chung (shared secret keys), trao đổi các số ngẫu nhiên (nonces) để khẳng định nhận dạng của mỗi đối tác. Khoá bí mật chung được sử dụng để tạo ra tất cả các khoá mật mã và xác thực khác. - Trao đổi thứ ba – xác minh nhận dạng của nhau (xác thực đối tác). Kết quả chính của chế độ chính là một đường truyền thông an toàn cho các trao đổi tiếp theo của hai đối tác. Chế độ nhanh thực hiện ít trao đổi hơn (tất nhiên là ít gói dữ liệu hơn). Hầu hết mọi thứ đều được thực hiện trong trao đổi thứ nhất: Thoả thuận tập chính sách IKE; tạo khoá công cộng DH; và một gói nhận dạng (identify packet), có thể sử 20 dụng để xác định nhận dạng thông qua một bên thứ ba (third party). Bên nhận gửi trở lại mọi thứ cần thiết để hoàn thành (complete)việc trao đổi. cuối cùng bên khởi tạo khẳng định (confirm) việc trao đổi. Bước 3 – IKE Phase 2 Mục đích của IKE Phase 2 là để thoả thuận các thông số bảo mật IPSec được sử dụng để bảo mật đường hầm IPSec. Hình 1.8 : Thoả thuận các thông số bảo mật IPSec IKE Phase 2 thức hiện các chức năng sau:  Thoả thuận các thông số bảo mật IPSec (IPSec security parameters), các tập chuyển đổi IPSec (IPSec transform sets).  Thiết lập các kết hợp an ninh IPSec (IPSec Security Associations).  Định kỳ thoả thuận lại IPSec SAs để đảm bảo tính an toàn của đường hầm.  Thực hiện một trao đổi DH bổ xung (khi đó các SA và các khoá mới được tạo ra, làm tăng tính an toàn của đường hầm). IKE Phase 2 chỉ có một chế độ được gọi là: Quick Mode Chế độ này diễn ra khi IKE đã thiết lập được đường hầm an toàn ở IKE Phase 1. IKE Phase 2 thoả thuận một tập chuyển đổi IPSec chung , tạo các khoá bí mật chung sủ dụng cho các thuật toán an ninh IPSec và thiết lập các SA IPSec. Quick mode trao đổi các nonce mà được sử dụng để tạo ra khoá mật mã chung mới và ngăn cản các tấn công “Replay” từ việc tạo ra các SA khong có thật. Quick mode cũng được sử dụng để thoả thuận lại một SA IPSec mới khi SA IPSec cũ đã hết hạn. Bước 4 – Đường hầm mật mã IPSec Sau khi đã hoàn thành IKE Phase 2 và quick mode đã thiết lập các kết hợp an ninh IPSec SA, lưu lượng trao đổi giữa Host A và Host B thông qua một đường hầm