Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 2_1

ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNGCHƯƠNG 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPNHiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữ liệu và an toàn dữ liệu trong VPN
Nội dung trích xuất từ tài liệu:
Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 2_1 ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG Đề tài:Công nghệ mạng riêng ảo VPN: Cácgiao thức đường hầm và bảo mật CHƯƠNG 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPN Hiện nay có nhiều giải pháp để giải quyết hai vấn đề về đóng gói dữliệu và an toàn dữ liệu trong VPN, dựa trên nền tảng là các giao thứcđường hầm. Một giao thức đường hầm sẽ thực hiện đóng gói dữ liệu vớiphần Header (và có thể cả Trailer) tương ứng để truyền qua Internet.Giao thức đường hầm là cốt lõi của giải pháp VPN. Có 4 giao thứcđường hầm được sử dụng trong VPN đó là: - Giao thức định hướng lớp 2 - L2F (Layer 2 Forwarding) - Giao thức đường hầm điểm-điểm-PPTP (Point to Point Tunneling protocol) - Giao thức đường hầm lớp 2 - L2TP (Layer 2 tunneling protocol) - Giao thức bảo mật IP - IPSec (Internet Protocol Security)2.1 Giao thức định hướng lớp 2 - L2F Giao thức định hướng lớp 2 L2F do Cisco phát triển độc lập vàđược phát triển dựa trên giao thức PPP (Point-to-Point Protocol). L2Fcung cấp giải pháp cho dịch vụ quay số ảo bằng cách thiết lập mộtđường hầm bảo mật thông qua cơ sở hạ tầng công cộng như Internet.L2F là giao thức được phát triển sớm nhất, là phương pháp truyền thốngđể cho những người sử dụng ở xa truy cập vào một mạng công ty thôngqua thiết bị truy cập từ xa. L2F cho phép đóng gói các gói PPP trong L2F, định đường hầm ởlớp liên kết dữ liệu.2.1.1 Cấu trúc gói của L2F1bi 1b 1bi 1bi 8bit 1bi 3bit 8bit 8bit t it t t t F K P S Reserve C Versio Protocol Sequence d n Multiplex ID Client ID Length Offset Key Data Ckecksums Hình 2.1: Khuôn dạng gói của L2FTrong đó:F: Trường “Offset” có mặt nếu bit này được thiết lập.K: Trường “Key” có mặt nếu bít này được thiết lập.P_ priority: Gói này là một gói ưu tiên nếu bít này được thiết lập.S: Trường “Sequence” có mặt nếu bít này được thiết lập.Reserved: luôn được đặt là: 00000000.Version : Phiên bản chính của L2F dùng để tạo gói. 3 bit này luôn là111.Protocol : Xác định giao thức đóng gói L2F.Sequence: Số chuỗi được đưa ra nếu trong L2F Header bít S=1.Multiplex ID: Nhận dạng một kết nối riêng trong một đường hầm(tunnel).Client ID: Giúp tách đường hầm tại những điểm cuối.Length: chiều dài của gói (tính bằng Byte) không bao gồm phầnchecksum.Offset: Xác định số Byte trước L2F Header, tại đó dữ liệu tải tin đượcbắt đầu. Trường này có khi bít F=1.Key: Trường này được trình bày nếu bit K được thiết lập. Đây là mộtphần của quá trình nhận thực.Checksum: Kiểm tra tổng của gói. Trường checksum có nếu bít C=1.2.1.2 Ưu nhược điểm của L2F Ưu điểm: - Cho phép thiết lập đường hầm đa giao thức. - Được cung cấp bởi nhiều nhà cung cấp. Nhược điểm: - Không có mã hoá. - Yếu trong việc xác thực người dùng. - Không có điều khiển luồng cho đường hầm.2.1.3 Thực hiện L2F L2F đóng gói những gói ở lớp 2 và trong trường hợp này là đónggói PPP, truyền xuyên qua một mạng. L2F sử dụng các thiết bị: NAS: Hướng lưu lượng đến và đi từ máy khách ở xa (remote client) gateway home. Hệ thống ERX hoạt động như NAS. và Tunne:l Định hướng đường đi giữa NAS và home gateway. Một đường hầm gồm một số kết nối. Home gateway: Ngang hàng với NAS. Kết nối (connection): Là một kết nối PPP trong đường hầm. Trong CLI, một kết nối L2F được xem như là một phiên. Điểm đích (Destination): Là điểm kết thúc ở đầu xa của đường hầm. Trong trường hợp này thì Home gateway là điểm đích. Hình 2.2: Mô hình đặc trưng L2F2.1.4 Hoạt động của L2F Hoạt động L2F bao gồm các hoạt động: thiết lập kết nối, đường hầmvà phiên làm việc. Ta xem xét ví dụ minh hoạ hoạt động của L2F: 1) Một người sử dụng ở xa quay số tới hệ thống NAS và khởi đầu một kết nối PPP tới ISP.2) Hệ thống NAS và máy khách trao đổi các gói giao thức điều khiển liên kết LCP (Link Control Protocol).3) NAS sử dụng cơ sở dữ liệu cục bộ liên quan tới tên vùng (domain name) hay nhận thực RADIUS để quyết định có hay không người sử dụng yêu cầu dịch vụ L2F.4) Nếu người sử dụng yêu cầu L2F thì quá trình tiếp tục: NAS thu nhận địa chỉ của gateway đích (home gateway).5) Một đường hầm được thiết lập từ NAS tới gateway đích nếu giữa chúng chưa có đường hầm nào. Sự thành lập đường hầm bao gồm giai đoạn nhận thực từ ISP tới gateway đích để chống lại tấn công bởi những kẻ thứ ba.6) Một kết nối PPP mới được tạo ra trong đường hầm, điều này tác động kéo dài phiên PPP từ người sử dụ ...