Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 2_2

ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNGCHƯƠNG 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPNSử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưu điểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trên xác thực người dùng
Nội dung trích xuất từ tài liệu:
Công nghệ mạng riêng ảo VPN: Các giao thức đường hầm và bảo mật chương 2_2 ĐỒ ÁN TỐT NGHIỆP HỆ THỐNG MẠNG Đề tài:Công nghệ mạng riêng ảo VPN: Cácgiao thức đường hầm và bảo mật CHƯƠNG 2 CÁC GIAO THỨC ĐƯỜNG HẦM VPN Sử dụng RADIUS để cung cấp đường hầm bắt buộc có một vài ưuđiểm đó là: Các đường hầm có thể được định nghĩa và kiểm tra dựa trênxác thực người dùng và tính cước dựa vào số điện thoại, các phươngthức xác thực khác như thẻ bài (token) hay thẻ thông minh (smart card).a) Xác thực người dùng quay số từ xa (RADIUS) RADIUS (Remote Authentication Dial-In User Service) sử dụngkiểu client/ server để chứng nhận một cách bảo mật và quản trị các kếtnối mạng từ xa của các người dùng trong các phiên làm việc. RADIUSclient/server sử dụng máy chủ truy cập mạng NAS để quản lý kết nốingười dùng. Ngoài chức năng của máy chủ truy cập mạng nó còn có mộtsố chức năng cho RADIUS client. NAS sẽ nhận dạng người dùng, thôngin về mật khẩu rồi chuyển đến máy chủ RADIUS. Máy chủ RADIUS sẽtrả lại trạng thái xác thực là chấp nhận hay từ chối dữ liệu cấu hình choNAS để cung cấp dịch vụ cho người dùng. RADIUS tạo một cơ sở dữliệu tập trung về người dùng, các loại dịch vụ sẵn có, một dải modem đachủng loại. Trong RADIUS thông tin người dùng được lưu trong máychủ RADIUS. RADIUS hỗ trợ cho máy chủ Proxy, là nơi lưu giữ thông tin ngườidùng cho mục đích xác thực, cấp quyền và tính cước, nhưng nó khôngcho phép thay đổi dữ liệu người dùng. Máy chủ Proxy sẽ định kỳ cậpnhật cơ sở dữ liệu người dùng từ máy chủ RADIUS. Để RADIUS có thểđiều khiển việc thiết lập một đường hầm, nó cần phải lưu các thuộc tínhcủa đường hầm. Các thuộc tính này bao gồm: giao thức đường hầm đượcsử dụng (PPTP hay L2TP), địa chỉ của máy chủ và môi trường truyềndẫn trong đường hầm được sử dụng. Khi kết hợp đường hầm với RADIUS, có ít nhất 3 tuỳ chọn cho xácthực và cấp quyền: - Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm. - Xác thực và nhận cấp quyền một lần tại RAS đặt tại cuối đường hầm và cố gắng chuyển đáp ứng của RADIUS đến đàu xa của đường hầm. Xác thực tại hai đầu của đường hầm. - Tuỳ chọn thứ nhất có độ tin cậy rất kém do chỉ yêu cầu một mìnhISP điều khiển tiến trình truy cập mạng. Tuỳ chọn thứ hai có độ tin cậytrung bình, nó phụ thuộc cách RADIUS trả lời xác thực. Tuỳ chọn thứba có độ tin cậy cao và làm việc tốt nếu như sử dụng máy chủ ProxyRADIUS.b) Xác thực và mã hoá Các client PPTP được xác thực cũng tương tự như các client RASđược xác thực từ máy chủ PPP. Microsoft hỗ trợ xác thực CHAP, PAP,MS-CHAP. MS-CHAP sử dụng hàm băm MD4 để tạo thẻ bài thách đốtừ mật khẩu của người dùng. PAP và CHAP có nhược điểm là cả hai dựatrên mật khẩu lưu tại máy đầu xa và tại máy cục bộ. Nếu như máy tính bịđiều khiển bởi kẻ tấn công từ mạng thì mật khẩu sẽ thay đổi. Với PAPvà CHAP không thể gán các đặc quyền truy cập mạng khác nhau chonhững người dùng khác nhau tại cùng một máy tính ở xa. Bởi vì khi cấpquyền đã được gán cho một máy tính thì mọi người dùng tại máy tính đóđều có đặc quyền truy cập mạng như nhau. Với PPTP thì dữ liệu được mã hoá theo mã hóa điểm-điểm củaMicrosoft – MPPE (Microsoft point-to-Point Encryption). Phương thứcnày dựa trên chuẩn RSA RC4, giao thức điều khiển nén CCP(Compression Control Protocol) được sử dụng bởi PPP để thoả hiệp việcmã hoá. MS-CHAP được dùng để kiểm tra tính hợp lý người dùng đầucuối tại tên miền Windows NT. Mạng riêng được bảo vệ Computer Internet Computer Client Máy chủ Máy chủ truy cập mạng Computer LAN PPP GRE GRE PPP PPP IP, IPX, NETBEUI IP, IPX, NETBEUI IP, IPX, NETBEUI Dữ liệu Dữ liệu Dữ liệu Hình 2.9: Mã hoá gói trong PPTP Một khoá phiên 40 bit được sử dụng cho mã hoá nhưng người dùngtại Mỹ có thể cài đặt một phần mềm nâng cấp lên 128 bit. MPPE mã hoácác gói PPP tại client trước khi chuyển chúng vào đường hầm PPTP nêncác gói được bảo mật từ trạm làm việc đến máy chủ PPTP. Việc thay đổikhoá phiên có thể được thoả thuận lại sau mỗi gói hay sau một số gói.c) Đường hầm kết nối LAN-LAN Giao thức PPTP nguyên thuỷ chỉ tập trung hỗ trợ cho việc quay sốkết nối vào một mạng riêng ...