Nghiên cứu IPv6 và thực nghiệm VPN trên IPv6

hông phù hợp được với các thiết bị và giao thức này. Vấn đề này có thể được giải quyết một cách chừng mực bởi các “tunneling mechanisms”. Nhưng các gói tin SNA và các lưu lượng non-IP bên cạnh các gói tin IP có thể sẽ làm chậm hiệu suất làm việc của cả mạng. Các Dạng VPN Remote access VPN Hình 1.2 mô tả phương pháp truy cập từ xa truyền thống. Hệ thống bao gồm các thành phần chính: Remote Access Server (RAS), nó xác định địa chỉ và kiểm tra xác nhận và ủy quyền của yêu cầu truy cập từ xa. Kết nối Dial-up với văn phòng trung tâm trong trường hợp kết nối với mà khoảng cách xa Nhân sự: những người có trách nhiệm cấu hình hệ thống, bảo trì và quản lý RAS và hỗ trợ người dùng ở xa. hình 2: VPN remote access Để nâng cấp Remote Access VPNs, người dùng xa và các văn phòng chi nhánh chỉ cần thiết lập kết nối dial-up địa phương với ISP hoặc ISP's POP và kết nối với mạng trung tâm thông qua Internet. Mô hình thiết lập Remote Access VPN được mô tả ở hình 1-3 Hình 3: VPN remote access setup v Ưu khuyết điểm của Remote Access VPNs so với Remote Access truyền thống: Không có thành phần RAS và các thành phần modem liên quan Không cần nhân sự hỗ trợ hệ thống do kết nối từ xa được thực hiện bởi ISP Kết nối dial-up khoảng cách xa được loại bỏ, thay vào đó là các kết nối địa phương. Do đó chi phí vận hành giảm rất nhiều. Vì kết nối dial-up là cục bộ nên modem vận hành truyền dữ liệu tốc độ cao hơn so với phải truyền dữ liệu đi xa. VPNs cho phép truy địa chỉ trung tâm (corporate site) tốt hơn bởi vì nó hỗ trợ mức thấp nhất truy cập dịch vụ bất kể số người sử dụng đồng thời truy cập mạng tăng cao. Khi số người sử dụng trong hệ thống VPN tăng, thì mặc dù chất lượng dịch vụ có giảm nhưng khả năng truy cập không hoàn toàn mất. Bên cạnh những ưu điểm của VPNs thì vẫn tồn tại một số khuyết điểm còn tồn tại của Remote Access truyền thống: Remote Access VPNs không đảm bảo chất lượng của dịch vụ QoS. Khả năng mất dữ liệu là rất cao. Thêm vào đó, gói tin có thể bị phân mảnh và mất trật tự Do tính phức tạp của thuật toán mã hóa, giao thức từ mão sẽ tăng lên khá nhiều. Điều này sẽ đưa đến quá trình xác nhận sẽ phức tạp hơn. Thêm vào đó, dữ liệu nén IP- and PPP-based là rất chậm và chất lượng ko tốt. Sự truyền tải thông tin phụ thuộc vào Internet, khi truyền tải dữ liệu đa phương tiện bằng “đường hầm” Remote Access VPN có thể gây chậm đường truyền. Intranet VPN Intranet VPNs thường được sử dụng để kết nối các văn phòng chi nhánh của tổ chức với mạng intranet trung tâm. Trong hệ thống intranet không sử dụng kĩ thuật VPN, thì mỗi site ở xa khi kết nối intranet trung tâm phải sử dụng campus router. Mô hình được mô tả như hình 1-4: Hình 4: VPN intranet Hệ thống mô tả ở trên có chi phí cao bởi vì có ít nhất là 2 router cần thiết để kết nối. Thêm vào đó, sự vận hành, bảo trì và quản lý intranet backbone có thể yêu cầu chi phí rất cao phụ thuộc vào lưu lượng truyền tải tin của mạng và diện tích địa lý của mạng intranet. Với sự bổ sung giải pháp VPN, thì chi phí đắt đỏ của WAN backbone được thay thế bằng chi phí thấp của kết nối Internet, qua đó tổng chi phí cho mạng intranet sẽ giảm xuống. Giải pháp VPNs được mô tả như hình 1-5: Hình 5: VPN extranet v Ưu điểm: Giảm chi phí cho router được sử dụng ở WAN backbone. Giảm số nhân sự hỗ trợ ở các nơi, các trạm Bởi vì Internet như là kết nối trung gian nên dễ dàng thiết lập các kết nối peer-to-peer mới. Hiệu quả kinh tế có thể đạt được bằng các sử dụng đường hầm VPN kết hợp với kĩ thuật chuyển mạch nhanh như FR Do kết nối dial-up cục bộ với ISP, sự truy xuất thông tin nhanh hơn và tốt hơn. Sự loại bỏ các kết nối đường dài giúp cho doanh nghiệp giảm chi phí vận hành intranet rất nhiều. v Khuyết điểm: Mặc dù dữ liệu truyền đi trong tunnel nhưng do truyền trên Internet - mạng chia sẻ công cộng- nên cũng tồn tại những nguy cơ bảo mật nguy hiểm như tấn công từ chối dịch vụ (denial-of-service) Khả năng mất gói dữ liệu khi truyền đi vẫn rất là cao. Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet. Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo Extranet VPN Không giống như giải pháp của intranet VPNs và remote access VPNs, extranet VPNs không tách riêng với thế giới ngoài. Extranet VPNs cho phép điều khiển sự truy xuất các tài nguyên mạng cho các thực thể ngoài tổ chức như các các đối tác, khách hàng hay nhà cung cấp những người đóng vai trò quan trọng trong hoạt động thương mại của tổ chức Mạng kết nối ngoài (extranet connectivity) truyền thống được mô tả ở hình1-6 Mô hình truyền thống có chi phí rất cao do mỗi mạng phân chia của intranet phải có bộ phận kết nối (tailoring) tương xứng các mạng ngoài. Do đó sẽ vận hành và quản lý rất phức tạp các mạng khác nhau. Ngoài ra yêu cầu nhân sự để bảo trì và quản lý hệ thống phức tạp này trình độ cao. Ngoài ra, với thiết lập dạng này sẽ không dễ mở rộng mạng do phải cài đặt lạu cho toàn bộ intranet và có thể gây ảnh hưởng đến các kết nối mạng ngoài khác. Sự bổ sung của VPNs giúp cho nhiệm vụ cài đặt cho các mạng ngoài trở nên dễ dàng hơn và giảm chi phí. Thiết lập extraner VPNs được mô tả như hình 1-7: v Ưu điểm: Giảm chi phí rất nhiều so với phương pháp truyền thống Dễ dàng cài đặt, bảo trì và chỉnh sửa các thiết lập có sẵn. Do sử dụng đường truyền Internet, bạn có nhiều sự lựa chọn dịch vụ cho giải pháp tailoring phù hợp với nhu cầu tổ chức Do các thành phần kết nối internet được bảo trì bởi ISP, giảm được chi phí nhân sự do đó giảm chi phí vận hành của toàn hệ thống. v Khuyết điểm: Nguy cơ bảo mât như tấn công từ chối dịch vụ vẫn còn tồn tại Tăng rủi ro cho sự xâm nhập vào intranet của tổ chức. Trong trường hợp truyền tải các dữ liệu đa phương tiện thì gây quá tải, chậm hệ thống và tốc độ truyền sẽ rất chậm do phụ thuộc vào mạng Internet. Do truyền dữ liệu dựa trên kết nối Internet nên chất lượng có thể không ổn đinh và QoS không thể đảm bảo. Mặc dù giải pháp VPN vẫn còn một số hạn chế nhưng các ưu điểm của VPNs đã thõa mãn rất tốt nhu cầu của các doanh nghiệp. Bảo Mật VPN Xác nhận người dùng và quản lý truy cập Xác nhận người dùng Cơ chế xác nhận người sử dụng là khi người sử dụng ở các điểm VPN muốn truy xuất tài nguyên trong mạng thì phải được xác nhận cho phép truy cập. Do đó chỉ có những người sử dụng được cho phép mới truy xuất tài nguyên mạng, giảm thiểu sự truy xuất trái phép các tài nguyên mạng. Sự xác nhận có thể bao gồm các thành phần sau hoạt động riêng biệt hay kết hợp với nhau: Đăng nhập ID và password: Người sử dụng dùng ID và password để xác nhận truy cập từ các nút VPN. S/Key password: Người dùng thiết lập S/KEY bằng cách chọn một password bí mật và một số nguyên n. Số nguyên này có ý nghĩa là số lần mà hàm mã hóa ( hiện tại là MD4) được áp dụng đối với password. Kết quả được lưu lại trên server tương ứng. Khi người sử dụng đăng nhập tạm thời, server yêu cầu. Phần mềm trên máy người sử dụng sẽ yêu cầu password bí mật và áp dụng lặp lại n-1 lần hàm mã hóa và gửi kết quả về server. Server sẽ áp dụng hàm này thêm 1 lần nữa lên kết quả vừa nhận được. Nếu kết quả nó đưa ra trùng lặp với giá trị được lưu trước đó thì người sử dụng xác nhận thành công. Người sử dụng được cho phép truy cập mạng, server sẽ thay thế và lưu giữ giá trị nhận được từ máy khách và giảm password counter. Remote Access Dial-In User Service (RADIUS). RADIUS là giao thức bảo mật Internet dựa trên mô hình máy chủ/máy khách. Máy truy cập vào mạng là máy khách và server RADIUS ở cuối mạng xác nhận máy khách. Tổng quát, server RADIUS xác nhận người sử dụng bằng danh sách username/password được lưu. RADIUS cũng có thể hoạt động như một máy khách để xác nhận người sử dụng của các hệ điều hành như UNIX, NT hay Netware. Thêm vào đó, server RADIUS cũng có thể hoạt động như một máy khách cho các server RADIUS khác. Để bảo mật cho các thông tin trên đường truyền giữa các máy khách và server RADIUS thì có thể sử dụng mã hóa sử dụng cơ chế xác nhận (authentication mechanisms) ví dụ như Password Authentication Protocol (PAP) và Challenge Handshake Authentication Protocol (CHAP). Two-factor token-based technique. Yêu cầu xác nhận bằng dấu hiệu (token) và password. Trong quá trình xác nhận, phần cứng (thiết bị điện) được sử dụng như các dấu hiệu và duy nhất như Personal Identification Number (PIN) được sử dụng làm password. Theo truyền thống thì các dấu hiệu là các thiết bị phần cứng (có thể là card), nhưng hiện nay thì một số nhà cung cấp sử dụng dấu hiệu dựa trên phần mềm Quản lý truy cập Sau khi người sử dụng xác nhận thành công thì mặc định người đó có thể truy cập đến tất cả các tài nguyên, dịch vụ và các ứng dụng trong nội bộ mạng. Nó có thể tăng các nguy cơ bảo mật cho người sử dụng bởi vì người sử dụng có thể cố ý hay không cố ý xáo trộn dữ liệu trên các thiết bị khác nhau. Bằng cách phân loại các loại dữ liệu quan trọng và các dữ liệu không quan trọng mà người sử dụng làm việc hằng ngày, bạn có thể ngăn chặn hiệu quả điều đó. Kết quả là sự truy cập có thể bị ngăn cấm đến thiết bị lưu trữ những thông tin quan trọng này Phân quyền quản lý truy cập cũng là 1 phần của quản lý truy cập. Nguy cơ bảo mật này có thể được giảm bằng cách giới hạn quyền truy cập của người sử dụng. Ví dụ, dữ liệu có thể được bảo vệ bằng cách cho phép các người sử dụng bình thường chỉ được phép đọc dữ liệu. Và một số người sử dụng đặc biệt mới có khả năng thay đổi hay xóa dữ liệu đó. Quản lý truy cập dựa trên mã xác nhận người sử dụng (ví dụ ID). Tuy nhiên một số thông số khác như địa chỉ IP nơi gửi hay nơi đến, địa chỉ cổng, và các nhóm có thể đóng vai trò quan trọng trong phương pháp quản lý truy cập truyền thống. Cơ chế quản lý truy cập hiện đại cũng dựa trên các thông số như thời gian, ngày, phần mềm ứng dụng, dịch vụ hay phương pháp xác nhận URL và cơ chế mã hóa Mã hóa dữ liệu Mã hóa dữ liệu hay mật mã là một phần quan trọng trong vấn đề bảo mật VPN và đóng vai trò quan trọng khi truyền dữ liệu quan trọng. Đó là cơ chế chuyển đổi dữ liệu sang định dạng khác mà không có khả năng đọc được gọi là ciphertex, do đó các truy xuất trái phép vào dữ liệu có thể ngăn được khi dữ liệu truyền qua môi trường trung gian không an toàn. Mã hóa dữ liệu có thể ngăn được các nguy cơ sau: Xem dữ liệu trái phép Thay đổi dữ liệu Dữ liệu giả Ngắt dịch vụ mạng Ở dữ liệu nhận được, người nhận phải giải mã trở lại định dạng ban đầu. Trong trường hợp ciphertext bị ngăn chặn trong quá trình truyền đi thì người có dữ liệu đó cũng không thể biết phương pháp để chuyển đổi nó về dạng ban đầu, do đó nó cũng trở nên vô dụng với người đó. Hình 3-2 mô phỏng mô hình phương pháp mã hóa truyền thống: Người gửi và nhận trong tiến trình mã hóa gọi là hệ thống mã hóa(cryptosystem). Cryptosystem thuộc một trong 2 dạng sau: Đồng bộ Không đồng bộ Cryptosystem được phân loại dựa theo số khóa (key) được sử dụng. Khóa có thể là số, từ hay đoạn cú pháp được sử dụng nhằm mã hóa và giải mã Hệ thống mã hóa đồng bộ Hệ thống mã hóa đồng bộ dựa trên một khóa duy nhất, đó là một chuỗi bit cố định độ dài. Nên cơ chế mã hóa này cũng được gọi là mã hóa khóa duy nhất. Khóa là cá nhân (bi mật) và được sử dụng cho mã hóa cũng như giải mã. Symmetric cryptosystems are based on a single key, which is a bit string of fixed length. Therefore, this encryption mechanism is also referred to as single-key encryption. The key is private (or secret) and is used for encryption as well as decryption. Trước khi truyền tải thông tin giữa 2 thành phần, khóa phải được chia sẻ với nhau. Người mã hóa thông tin gốc sử dụng khóa cá nhân và gửi đến cho người nhận. Khi nhận được dữ liệu đã được mã hóa, người nhận sử dụng cùng khóa đó để giải mã. Quá trình mã hóa đồng bộ được mô tả như hình 3-3 Như đã đề cập ơ trên, người nhận và nguời gửi cần phải chia sẻ cùng một khóa. Một phương pháp chia sẻ khóa là người nhận cung cấp khóa bí mật hóa đối với người nhận bằng cách gặp trực tiếp. Tuy nhiên điều này làm lãng phí thời gian và cũng mất đi ý nghĩa của truyền thông tin bằng mạng. Một phương pháp khác để chuyển khóa cho người nhận là bằng cách điện thoại. Nhưng phương pháp này có thể bị nghe trộm. Một cách khác nữa là gửi bằng thư hay email. Và cũng như các phương pháp trước, nguy cơ bị lấy mất thông tin là rất lớn. Bởi vì các phương pháp gửi khóa đều không an toàn, một giải pháp khả thi cho vấn đề này là làm cho độ dài khóa đủ lớn. Bất cứ người nào cũng cần phải “phá vỡ” hay giải mã khóa trước nếu muốn xem thông tinh gốc. Tuy nhiên với khóa có độ dài lớn thì việc giải mã khóa sẽ rất khó khăn. Phụ thuộc vào độ dài khóa, nhiều thuật toán mã hóa đồng bộ đã được phát triển qua nhiều năm, một số thuật toán phổ biến sử dụng mã hóa đồng bộ trong VPN là: Data Encryption Standard (DES). DES đề xuất độ dài khóa đến 128bit. Tuy nhiên kích thước khóa đã giảm xuống còn 56bits bởi chính phủ Mĩ nhằm tăng tốc độ thuật toán. Tuy nhiên với độ dài khóa được rút ngắn như vây thì thuật toán mã hóa này bảo mật không tốt, có thể bi tấn công ví dụ như tấn công Brute Force. Tong tấn công Brute Force thì khóa sẽ được tạo ra ngẫu nhiên và được ghép vào file text cho đến khi khóa đúng được xác định. Với độ dài khóa nhỏ hơn có thể dễ dàng tạo ra khóa đúng và hệ thống mã hóa mất tác dụng Triple Data Encryption Standard (3DES). Giống như hệ thống DES, 3DES cũng sử dụng khóa 56bit. Tuy nhiên, nó bảo mật tốt hơn do sử dụng 3 khóa khác nhau để mã hóa dữ liệu. Tiến trình thực hiện: Sử dụng khóa thứ nhất để mã hóa dữ liệu, sử dụng khóa thứ 2 để giải mã dữ liệu mã hóa bước 1 và cuối cùng sử dụng khóa 3 để mã hóa lần 2. Do đó nó tăng tính bảo mật nhưng cũng đồng thời do tính phức tạp của thuật toán nên chậm hơn gấp 3 lần so với DES. Ron's Code 4 (RC4). Phát triển bởi Ron Rivest, sử dụng khóa có độ dài thay đổi đến 256bit. Vì độ dài của khóa nên RC4 được xếp vào một trong các cơ chế mã hóa tốt nhất, nhưng cũng hoạt động nhanh. RC4 tạo một chuỗi byte ngẫu nhiên và XOR chúng với file văn vản gốc. Vì byte được tạo ngẫu nhiên nên RC4 yêu cầu khóa mới cho mỗi lần gửi đi thông tin. Hệ thống mã hóa xuất hiện 2 vấn đề chính. Đầu tiên là chỉ sử dụng một khóa cho mã hóa và giải mã. Nếu một người ngoài mà biết được khóa này thì tất cả thông tin truyền đạt sử dụng khóa này đều gặp nguy hiểm, nguy cơ mất mát cao. Di đó khóa cần được thay đổi theo chu kì. Vấn đề thứ 2 là số lượng thông tin lớn, quản lý khóa trở nên nhiệm vụ phức tạp. Thêm vào đó tổng chi phí cho thiết lập khóa ban đầu, phân phối hay thay thế các khóa chu kì là rất đắt và lãng phí thời gian. Hệ thống mã hóa không đồng bộ có thể giải quyết các vấn đề của hệ thống mã hóa đồng bộ. Hệ thống mã không đồng bộ Thay thế cho khóa duy nhất của hệ thống mã hóa đồng bộ, hệ thống mã hóa không đồng bộ sử dụng một cặp khóa liên quan toán học với nhau. Một khóa là cá nhân và chỉ được biết bởi chủ của cặp khóa này. Khóa thứ 2 là khóa chung và được phân phối tự do. Khóa chung được sử dụng cho mã hóa còn mã cá nhân được sử dụng cho giải mã thông tin. Trong giải pháp VPN, 2 hệ thống mã hóa không đồng bộ được sử dụng phổ biến nhất là Diffie-Hellman (DH) algorithm và the Rivest Shamir Adleman (RSA) algorithm. Thuật toán Diffie-Hellman Trong thuật toán Diffie-Hellman, mỗi thực thể giao tiếp cần 2 khóa, một để phân phối cho các thực thể khác và một khóa cá nhân b. Thuật toán The Rivest Shamir Adleman (RSA) RSA là cơ chế mã hóa mạnh, là chuẩn trong hệ thống mã hóa không đồng bộ. Không giống như Diffie-Hellman, thông tin gốc được mã hóa sử dụng khóa chung của người nhận, Người nhận sẽ khôi phục lại thông tin ban đầu bằng khóa chung của người gửi. Cơ sở hạ tầng khóa chung (Public Key Infrastructure - PKI) PKI là một bộ khung của các chính sách dể quản lý các khóa và thiết lập mộ phương pháp bảo mật cho việc trao đổi dữ liệu. Các sự trao đổi dữ liệu sử dụng PKI có thể xảy ra trong một tổ chức, một quốc gia, một khu công nghiệp hay một vùng. Để nâng cao sự quản lý khóa và bảo đảm các giao dịch dữ liệu có độ an toàn cao, một khung dựa trên PKI bao gồm các chính sách và thủ tục được hỗ trợ bởi các tài nguyên phần cứng và phần mềm. Chức năng chính của PKI như sau : Tạo ra các cặp khóa cá nhân và công cộng cho khách hàng PKI Tạo và xác nhận chữ ký số Đăng ký và xác nhận người sử dụng mới Cấp phát các sự chứng nhận cho người sử dụng Bám theo các khóa đã được cấp phát và lưu trữ lịch sử của mỗi khóa ( dùng để tham khảo trong tương lai) Thu hồi rút lại các giấy chứng nhận không hợp lệ hoặc quá hạn Xác nhận người sử dụng PKI Trước khi cố tìm hiểu công việc của PKI, chúng ta hãy tìm hiểu các thành phần tạo thành khung PKI Các thành phần PKI Các thành phần chính tạo thành khung PKI là Khách hàng PKI Người cấp giấy chứng nhận (CA) Người cấp giấy đăng ký (RA) Các giấy chứng nhận số Hệ thống phân phối các giấy chứng nhận (CDS) a. Khách hàng PKI Một khách hàng PKI là thực thể mà yêu cầu giấy chứng nhận số từ CA hoặc RA. Trườc khi một khách hàng PKI tham gia cvào các sự giao dịch dữ liệu, nó phải có được một giầy chứng nhận số. Để làm được điều này, khách hàng phát ra một yêu cầu về một giầy chứng nhận từ CA hoặc RA được chỉ định cho tổ chức. Khi một khách hàng được xác nhận thành công, nó nhận được giấy xác nhận mà nó yêu cầu. Sau khi nhận được giấy xác nhận, khách hàng sử dụng nó để nhận dạng mình. Tuy nhiên trách nhiệm duy nhất của khách hàng là bảo vệ giữ gìn giấy chứng nhận b. Certification Authority (CA) CA là một người thứ ba tin cậy cấp phát các gấiy chứng nhận số đến khách hàng PKI. Trườc khi cấp phát một xác nhận số, CA kiểm tra tính đồng nhất và tính xác thực của khách hàng PKI CA sử dụng các thủ tục và các nguyên tắc thực hiện riêng của nó để cấp phát các giấy chứng nhận số. NHư bạn kỳ vọng, quá trình cấp giấy chứng nhận thay đổi phụ thuộc vào cơ sở hạ tầng hợp lệ được hỗ trợ bởi CA, các chính sách tổ chức của nó, mứ độ của giấy chứng nhận được yêu cầu. Quá trình có thể yêu cầu một vài thông tin, như bằng lái xe, notarization hoặc dấu vân tay. Một ví dụ của một CA nổi tiếng là Verisign,Inc c. Registration Authority ( RA) Trước khi thỏa mãn một yêu cầu về giấy chứng nhận số, CA phải xác nhận và kiểm tra tính hợp lệ của yêu cầu. Tuy nhiên, bởi vì số lượng lớn các yêu cầu cho giấy chứng nhận số, CA ủy quyền trách nhiệm kiểm tra tính hợp lệ của yêu cầu cho RA. RA nhận tất cả các yêu cầu cấp giấy chứng nhận và kiểm tra chúng Sau khi một RA kiểm tra một yêu cầu thành công, nó chuyển yêu cầu tới CA. CA phát giấy chứng nhận yêu cầu và chuyển nó tới cho RA. Ra sau đ1o chuyển giấy chứng nhận tới khách hàng yêu cầu. Trong cách thực hiện này, RA đóng vai trò như một gnười trung gian giữa các khách hàng PKI và CA. d. Các giấy chứng nhận số Một giấy chứng nhận số là một tương đương về mặt điện tử của một thẻ xác nhận và được sử dụng để xác định duy nhất một thực thể trong suốt quá trình truyền. Bên cạnh việc xác định định dan của người chủ, các giấy chứng nhận số cũng loại bỏ cơ may của sự làm giả, vì thế giảm được nguy cơ của sự tạo ra dữ liệu, các giấy chứng nhận số cũng ngăn chặn có hiệu quả người gởi từ các thông tin không xác nhận Một giấy chứng nhận số bao gồm các thông tin giúp xác nhận tính hợp lệ của người gửi và bao gồm các thông tin sau : Dãy số của giấy chứng nhận Hạn sử dụng của giấy chứng nhận Chữ ký số của CA Khóa công cộng của khách hàng PKI Trong suốt một giao dịch, người gửi phải gửi giấy chứng nhận số của anh ấy hoặc cô ấy theo với tín hiệu đã mã hóa để xác nhận anh ấy hay cô ấy. Người nhận sử dụng khóa công cộng của CA để xác nhận tính hợp lệ của khóa công cộng của người gửi, cái mà được gắn vào thông tin gửi. Như trong trường hợp các khóa công cộng, khóa công công của CA được phổ biến rộng rãi và sẵn sàng cho tất cả. Khi người nhận đã đảm bào được định danh đúng của người gửi, người sử dụng dùng khóa công cộng của người gửi để giải mã thông tin thực sự e. Hệ thông phân phối giấy chứng nhận Hệ thống phân phối giấy chứng nhận là một kho chứa các giấy chứng nhận được cấp cho người sử dụng và tổ chức. Thêm nữa CDS sinh ra và lưu trữ các cặp khóa, mật hiệu các khóa công cộng sau khi đã xác nhận chúng, lưu trữ và thu hồi các khóa bị mất hay hết hạn.CDS cũng chịu trách nhiệm cho việc xuất các khóa công cộng tới các server dịch vụ thư mục Các giao dịch dựa trên PKI Như đã đề cập phía trên, PKI cung cấp bốn chức năng bo mật chính : sự cẩn mật, sự toàn vẹn, sự xác nhận và không có sự từ chối. Mỗi bước trong một giao dịch VPN được lặp lại một hay nhiều trong số các tính năng bảo mật này. Các bước trong một giao dịch dựa trên PKI là : Sự sinh ra cặp khóa. Trườc khi người gởi chuyển dữ liệu đến người nhận mong muốn, nó báo cho người nhận biết mục đích của nó về việc trao đổi dữ liệu. Như vậy thì, cà hai đầu sinh ra một cặp khóa tạo bởi khóa riw6ng và khóa công cộng. Đầu tiên, khóa cá nhân được tạo ra. Sau đó, khóa công cộng tương ứng được tạo bằng cách áp dụng một hàm băm một chiều đối với khóa riêng Sự tạo ra chữ ký số. Sau khi cặp khóa được tạo ra, một chữ ký số duy nhất được tạo ra. Chữ ký số này dùng để định danh người gửi dữ liệu. Để tạo ra chữ ký số, đầu tiên thông tin gốc bị băm. Nói một cách khác, một hàm băm được áp dụng vào tín hiệu gốc. Quá trình băm cho kết quả là một tập thông tin, cái mà sau đó được mã hóa với khóa các nhân của người gửi. Kết quả được gọi là chữ ký số Áp dụng mã hóa dữ liệu và chữ ký số.Sau khi một chữ ký số được tạo ra, thông tin gốc được mã hóa với khóa công cộng của người gửi. Kế tiếp, chữ ký số được tạo ợ trân được gắn vào thông tin đã mã hóa. Thông tin đã mã hóa và khóa công cộng của người gửi được chuyển tới người nhận. Thông tin được mã hóa sau ứo được truyền đến người nhận cùng với khóa công cộng của người gửi. Thay vì chuyển khóa công cộng dưới dạng văn bản rõ nghĩa thì khóa công cộng đầu tiên được mã hóa bởi khóa công cộng của người nhận. Để giải mã khó công cộng được mã hóa này, người sử dụng phải sử dụng khóa riêng của mình. Bởi vì khóa riêng của người nhận chỉ có người nhận biết, cơ hội để cho các người xâm phạm phá khóa công cộng là rất thấp. Khóa công cộng của người gửi còn được xem như là khóa phiên Nhận thông tin và xác nhận định danh người gửi. Trong lúc nhận thông tin mã hóa và khóa công cộng, người nhận có thể yêu cấu CA kiểm tra danh tính người gửi. CA làm được điều đó bằng cách kiểm tra chữ ký số được gắn với thông tin và báo kết quả cho người nhận biết. Nếu chữ ký số được kiểm tra thành công, người nhận tiếp tục qua 1trình giải mã thông tin. Nếu không người nhận sẽ từ chối và giao dịch sẽ kết thúc Sự giải mã thông tin. Sau khi định danh người gửi được xác nhận thành công, người nhận mã hóa thông tin. Để làm được như vậy người nhận đầu tiên phải giải mã khóa công cộng của người gửi bằng cách sử dụng khóa riêng của nó. Khi khóa công cộng của người gửi được ciết xuất thành công thì người nhận sẽ dùng nó để giải mã thông tin Sự xác nhận nội dung thông tin Cuối cùng, người nhận xác nhận kiểm tra nội dung của thông tin nhận được. Đầu tiên, chữ ký số được giải mã sử dụng khóa công cộng của người gửi và thông tin được chiết xuất ra. Thông tin mã hóa sẽ được băm qua một hàm băm và một tập thông tin mới được rút ra. tập thông tin nhận được va tập thông tin mới sinh ra được so sánh với nhau.nếu chúng phù hợp, dữ liệu không bị chặn đứng hoặc can thiệp vào trong quá trình truyền Ở phần kế, bạn sẽ được biết về các cách thực hiện PKI đa dạng được sử dụng phần lớn bởi các tổ chức trên thế giới Hiện thực PKI Như bạn đã biết, CAs giúp thiết lập định danh đúng của các thực thể giao tiếp. Tuy nhiên, CAs không những chứng thực các khách hàng PKI, mà còn các CAs khác bằng cách phát giấy chứng nhận số tới chúng. Cas được kiểm tra, xoay vòng, kiểm tra các CAs khác và chuỗi tiếp tục cho tới khi mỗi thực thể các thể tin tưởng các thực thể khác liên quan đến một giao dịch. Chuỗi chứng nhận này được biết đến như là đường đi của sự chứng nhận, và sự sắp xếp của CAs trong đường đi chứng nhận này được xem như cấu trúc của PKI Các loại chính của cấu trúc PKI bao gồm Cấu trúc CA đơn Cấu trúc danh sách tin cậy Cấu trúc có thứ bậc Cấu trúc mắt lưới Cấu trúc hỗn hợp a. Cấu trúc CA đơn Cấu trúc CA đơn là cấu trúc PKI đơn giản nhất. Như tên gọi của nó, cấu trúc này được dựa trên CA đơn, cái mà cấp phát các giấy chứng nhận, và khi cần thiết truy hồi các giấy chứng nhận. Tất cả các thực thể bên dưới có một mối quan hệ tin cậy đối với CA này. Bởi vì sự vắng mặt của các CA khác trong mô hình, cấu trúc này không hỗ trợ mối quan hệ tin cậy CA Hình 3-7 miêu tả cấu trúc của một CA đơn Cấu trúc CA đơn phù hợp với các tổ chức nhỏ bởi vì số lượng khách hàng PKI tương đối thấp và sự quản lý các khách hàng này không phải là một nhiệm vụ tiêu thụ thời gian b. Cấu trúc danh sách tin cậy Vì số lượng khách hàng PKI trong một tổ chức tăng, sự quản lý xác nhận và kiểm tra định danh trở nên phức tạp và tiêu tốn nhiều thời gian đối với một CA đơn. Tình huống này có thể được đơn giản bằng cách dùng nhiều CAs trong một cấu trúc. Với nhiều Cas, một khách hàng PKI đơn có thể yêu cầu các gấiy chứng nhận từ nhiều hơn một CA. Kết quả là, mỗi khách hàng phải lưu trữ một danh sách các mối liên hệ tin cậy với tất cả các CAs trong một cấu trúc – do đó có tên là cấu trúc danh sách tin cậy Hình 3-8 miêu tả cấu trúc danh sách tin cậy Như bạn thấy trong hình 3-8, cấu trúc không hỗ trợ các mối quan hệ tin cậy Ca c. Cấu trúc có thứ bậc Cấu trúc có thứ bậc là cấu trúc PKI được hiện thực phổ biến nhất và được sử dụng trong các tổ chức có quy mô lớn. Không giống các cấu trúc ở trên, mô hình này dựa trên các mối quan hệ tin cậy giữa các Cas khác nhau trong mô hình. Như tên gọi của nó, Cas được sắp xếp một cách có thứ bậc và chia xe một loại “cấp trên - cấp dưới ” của mối quan hệ tin cậy. CA cao nhất được xem như đỉnh CA và được xem như điểm bắt đầu của mô hình. Nó cấp phát giấy chứng nhận và kiểm tra định danh của các CAs cấp dưới của nó. Các CAs cấp dưới, xoay vòng, có thể cấp giấy chứng nhận tới các cấp dưới của chúng và khách hàng PKI. Tuy nhiên chúng không thể c6áp giấy chứng nhận cho cấp trên Hình 3 – 9 miêu tả cấu trúc có thứ bậc d. Cấu trúc mắt lưới Không giống như cấu trúc thứ bậc, trong một cấu trúc mắt lứơi các Cas chia sẻ một mối qun hệ tin cậy ngang hàng với các Cas khác. Kết quả là, chúng có thể cấp phát các giầy chứng nhận số lẫn nhau, điều này có nghĩa là, mối quan hệ tin cậy giữa các Cas là hai chiều. Các Cas cũng cấp phát giấy chứng nhận tới khách hàng PKi của chúng Hình 3-10 miêu tả cấu trúc mắt lưới PKI e. Cấu trúc PKI hỗn hợp Các cấu trúc trên phục vụ cho các yêu cầu của một tổ chức đơn. Tuy nhiên, viễn cảnh và sự hiện thực của cơ sở hạ tầng PKI trở nên phức tạp khi một tổ chức phải tác động tới các tổ chức khác, như là trương hợp với hầu hết các tổ chức ngày nay. vấn đề nằm ở khả năng của sự khác nhau trong mỗi cấu trúc PKI của mỗi tổ chức. Ví dụ, một tổ chức có thể sử dụng cấu trúc mắt lưới trong khi các tổ chức khác sử dụng cấu trúc CA đơn. Trong tình huống như vậy, một cấu trúc hỗn hợp chứng mính sự hữu ích vì nó cho phép sự tương tác thành công giữa hai tổ chức v Có ba loại cấu trúc hỗn hợp. Bao gồm Cấu trúc danh sách tin cậy mở rộng. Trong cấu trúc này, ấtt cả các khách hàng PKI giữ một danh sách mở rộng tất cả các điểm tin cậy trong cấu trúc của tổ chức khác thêm vào các điểm tin cậy trong tổ chức của chúng. Một điểm tin cậy trong cấu trúc của các hệ thông khác có thề hoặc là một CA đơn, nhiều hơn một CA, hợac tất cả các Cas của tổ chức khác. Hình 3-11 miêu tả cấu trúc danh sách tin cậy mở rộng giữa 3 tổ chức Cấu trúc xác nhận chéo. Trong cấu trúc hỗn hợp này, gốc CA của một cơ sở hạ tầng của một tổ chức lưu trữ một mối quan hệ ngang hàng với các Cas gốc của các tổ chức khác. Hình 3-12 miêu tả cấu trúc xác nhận chéo Cấu trúc CA cầu. Không giống cấu trúc xác nhận chéo, khi một mối quan hệ trực tiếp ngang hàng tồn tại giữa gốc Cas của mỗi cơ sở hạ tầng của mỗi tổ chức, một thực thể mới gọi là Bridge CA ( BCA) lưu giữ mối quan hệ ngang hàng giữa các Cas gốc. Hình 3-13 miêu tả cấu trúc CA cầu Các Giao Thức VPN Kỹ thuật đường hầm Kỹ thuật đường hầm là một thành phần cực kỳ quan trọng trong VPN, nó cho phép các tổ chức tạo một mạng riêng ngay trên internet hoặc các mạng công cộng khác. Mạng riêng ảo này không bị xâm nhập bởi “người lạ”, những cá nhân, máy tính không thuộc tổ chức của mạng riêng ảo này. v Lưu ý: Hiện nay mạng internet được sử dụng rộng rãi ở khắp nơi. Tuy nhiên bên cạnh mạng internet còn nhiều mạng khác được dùng để truyền các gói tin đi trên những khỏang cách khá xa. Đường hầm là kỹ thuật đóng gói tòan bộ dữ liệu của bất kỳ một định dạng giao thức nào khác. Header của Đường hầm sẽ được đính vào gói tin ban đầu sau đó đựơc truyền thông qua một cơ sở hạ tầng trung gian đến điểm đích. Một điểm quan trọng của kỹ thuật đường hầm là nó có thể giúp truyền những gói tin có giao thức không được hỗ trợ. Nếu gói tin này được gửi bình thường, mạng truyền dẫn trung gian không thể hiểu được gói tin này đến đâu vì không biết định dạng của nó. Đường hầm sẽ đính header vào gói tin gốc, phần header này sẽ cung cấp thông tin về lộ trình và đích đến của gói tin giúp mạng vận chuyển gói tin đến được nơi cần đến. v Lưu ý: Thuật ngữ đường hầm giống như công việc gửi thư. Sau khi bạn viết xong một lá thư, bạn sẽ đặt nó vào trong bì thư. Trên bì thư có địa chỉ người nhận. Sau khi bạn gửi lá thư, nó sẽ đến được người nhận theo địa chỉ ghi ở bì thư. Người nhận cần mở lá thư ra trước khi đọc nó. Trong kỹ thuật đường hầm thì lá thư giống như payload ban đầu còn bì thư giống như gói giao thức định tuyến bọc lấy payload. Địa chỉ trên lá thư tương tự như thông tin định tuyến dính vào bì thư. Hình 4.1 : quá trình đường hầm Giao thức đường hầm Kỹ thuật đường hầm sử dụng ba giao thức Carrier protocol (giao thức sóng mang). Giao thức được dùng để gửi gói tin đường hầm đến đích thông qua mạng tương tác. Gói tin đường hầm được đóng gói bên trong gói tinc của giao thức này. Do nó phải gửi gói tin qua một mạng không đồng nhất, ví dụ internet, giao thức này cần được hỗ trợ rộng rãi. Do đó nếu đường hầm được tạo ra trong internet, giao thức sóng mang thường được dùng là giao thức IP. Trong trường hợp mạng nội bộ, giao thức native routing được dùng làm giao thức sóng mang. Encapsulating protocol (giao thức đóng gói). Giao thức được dùng để đóng gói payload ban đầu. Giao thức đóng gói cũng chịu trách nhiệm tạo ra, bảo trì và kết thúc đường hầm. Ngày nay giao thức đóng gói thường là PPTP, L2TP, and IPSec. Passenger protocol (giao thức hành khách). Dữ liệu gốc cần được đóng gói để truyền qua mạng nhờ đường hầm thuộc về giao thức này. Giao thức hành khách thường là PPP and SLIP (Serial Line Internet Prbotocol) Figure 4-7: Định dạng gói tin đường hầm của giao thức đường hầm Ipsec IPSec có nghĩa là Internet Protocol SECurity. It refers to a suite of protocols (AH, ESP, FIP-140-1, v.v..) được phát triển bởi Internet Engineering Task Force (IETF). IPSec cung cấp chức năng bảo mật tại lớp thứ ba trong mô hình OSI ( lớp mạng ). Hình 6.1 : Vị trí của IPSec trong mô hình OSI Khi một cơ chế bảo mật mạnh được tích hợp vào IP, tòan bộ mạng sẽ được bảo mật vì mọi sự thông tin liên lạc phải thông qua lớp thứ ba ( đây là lý do tại sao IPSec lại được xây dựng ở lớp thứ ba thay vì lớp thứ hai ). Giao thức IPSec được phát triển cho phiên bản IP hiện tại là IP 4 và cho cả phiên bản sau của IP ( IP 6 ). Giao thức này không chỉ tương thích với mạng IP mà còn đối với nhiều mạng khác nữa. VớiIPSec, tất cả các ứng dụng chạy trên lớp ứng dụng của mô hình OSI khi truyền dẫn dữ liệu sẽ phụ thuộc và bị kiểm sóat bởi lớp mạng. IPSec đã được tích hợp vào IP, tất cả các ứng dụng mạng có thể sử dụng nó mà không cần phải điều chỉnh gì hết. Tương tự như IP, IPSec trong suốt đối với người dùng, người dùng không cần quan tâm đến cách thức để nó họat động. IPSec gồm ba chức năng chính sau : Xác thực và tòan vẹn dữ liệu. Tin cẩn. Quản lý khóa. a. Authentication Header Protocol Giao thức header xác thực (AH) đính thêm vào header của IP datagram. Header này cung cấp IP datagram gốc tại nơi nhận. Bên cạnh đó, header này giúp xác định bầt kì sự chỉnh sửa nào bởi các user trái phép khi dữ liệu truyền qua mạng. Tuy nhiên HA không cung cấp sự tin cẩn. Để tạo ra HA, Hashed Authentication Message Code (HMAC) được tạo ra tai nơi gửi. Mã hash code được tạo ra trên một SA xác định, xác định thứ tự biến đổi datagram. Mã sẽ được đính vào sau IP header ban đầu. Tại nơi nhận, HMAC được giải mã để xác định người gửi cũng như tính tòan vẹn của dữ liệu. Ø Ghi chú : Thông thường mã hash code được thực thi trong AH là HMAC-MD5 và HMAC-SHA1. DES-MAC thì có thể có hoặc không. AH không hề đưa ra một cơ chế tin cẩn khi truyền đi. Nó chỉ đơn thuần thêm một header vào IP datagram; phần còn lại của datagram được giữ nguyên như ban đầu. AH không bảo vệ bất kì trường nào trong IP header bởi vì chúng có thể thay đổi trong quá trình truyền. Trường duy nhất không thay đổi trong quá trình truyền sẽ được bảo vệ bởi AH. Ví dụ IP của nơi gửi và nơi nhận. Hình 6-3 minh họa IP datagram sau khi IPSec AH được thêm vào. Hình 6-3: Gói IP sau khi authentication header được thêm vào Độ dài AH là 24 bytes và cấu trúc định dạng của IPSec AH được mô tả như hình vẽ 6-4. Figure 6-4: Định dạng của IPSec Authentication Header v AH gồm có nhiều trường: Next Header. Trường xác định giao thức bảo mật Chiều dài Payload.Trường xác định chiều dài của thông điệp. Để dành. Trường này được để dành, không sử dụng. SPI (Chỉ số bảo mật). Trường xác định ngữ nghĩa của giao thức bảo mật trong nhiều giao thức bã(địa chỉ đích đến và giao thức bảo mật) Số thứ tự. Trường xác định trật tự các datagram. Dữ liệu xác thực. Trường chứa dữ liệu xác thực và Integrity Check Value (ICV) (giá trị kiểm tra tòan vẹn), dùng để kiểm tra tính tòan vẹn của dữ liệu truyền đi. b. Giao thức Encapsulating Security Payload (ESP) ESP giúp tăng độ tin cậy trong quá trình xác định người người và xác minh tính tòan vẹn của dữ liệu trong quá trình truyền qua mạng. ESP se mã hóa nội dung của datagram bằng các giải thuật mã hóa. Một vài giải thuật thường được sử dụng là : DES-CBG, NULL, CAST-128, IDEA, and 3DES. Giải thuật xác định tương tự như những giải thuật dùng trong HA là HMAC-MD5 và HMAC-SHA. So sánh ESP với AH ta thấy rằng : AH chú trọng đến việc xác minh và bảo vệ tòan vẹn dữ liệu của IP datagram, trong khi đó ESP chỉ bảo vệ phần payload (chứa nội dung cần truyền ) (Xem hình 6-5). ESP có cơ chế mã hóa khá mạnh nhờ đó nó không hề làm nặng CPU và chạy nhanh hơn so với AH. Tuy nhiên do ESP phải đính thêm 24 byte vào datagram nên nó khá chậm khi tính tóan và phân đọan. Figure 6-5: The IP packet after the ESP header and trailer are added Định dạng của datagram IP dựa trên ESP được minh họa ở hình 6-6 gồm những trường sau. SPI (Security Parameter Index). Trường này mô tả về ngữ cảnh của SA ( địa chỉ đích, giao thức sử dụng). Số thứ tự. Trường mô tả chuỗi các datagram trong phiên truyền thông tin này. Đệm. Trường dùng để đệm thêm vào payload nếu payload không đủ độ dài cần thiết. Chiều dài đệm. Trường mô tả độ dài của phần đệm thêm. Nó giúp máy nhận xác định ranh giới của phần payload gốc so với sau khi đệm thêm vào. Next Header. Trường xác định giao thức bảo mật để đóng gói. Dữ liệu xác thực. Trường chứa dữ liệu xác thực với giá trị kiểm tra tính tòan vẹn (ICV), dùng để kiểm tra tính tòan vẹn của thông điệp gửi đi IPSec Modes SA trong IPSec được thực thi trong hai mode (minh họa hình 6-7). Gồm đó mode truyền tải(Transport mode) và mode đường hầm (Tunnel mode). Cả AH va ESP đều họat động ở cả hai mode. Figure 6-7: The two IPSec modes a. Mode chuyền tải Mode chuyển tải bảo vệ các giao thức ở lớp trên và các trình ứng dụng. Trong mode chuyền tải, IPSec header được gắn vào giữa IP header và header của các giao thức lớp trên, minh họa hình 6-8 Figure 6-8: IPSec mode truyền tải Figure 6-9: AH mode vận chuyển. Đối với ESP, ESP trailer và ESP dữ liệu xác thực được đính vào sau payload ban đầu. Sau đó một header mới được thêm vào trước payload (minh họa hình 6-10). Figure 6-10: ESP mode truyền tải. Mode truyển tải ít sử lý ở phần đầu của datagram nên nó nhanh hơn. Tuy nhiên nó sẽ không hiệu quả với ESP hoặc các trường hợp không xác thực cũng như mã hóa IP header. b. Mode đường hầm Khác với mode truyền tải, mode đường hầm bảo vệ tòan bộ IP datagram. Tòan bộ IP datagram được bọc lại vởi một IP datagram khác, sau đó một IPSec header đính vào giữa IP header cũ và mới.(Hình 6-11 minh họa họat động của IPSec ở mode đường hầm. Figure 6-11: IPSec mode đường hầm Mode đường hầm của AH, một header mới (AH) được thêm vào giữa IP header mới và header cũ ( hình 6-12). Figure 6-12: AH mode đường hầm. Trong trường hợp của ESP, datagram ban đầu kết thúc bằng payload cho một gói tin ÉP mới, and, as a result of which, both encryption as well as authentication can be implemented with ease. Figure 6-13 represents the ESP Tunnel mode Figure 6-13: ESP mode đường hầm L2TP (Layer 2 tuneling Protocal) Được phát triển bởi IETF và được ủng hộ bởi các nhà công nghiệp khổng lồ như Cisco Systems, Microsoft, 3COM, và Ascend, L2TP là sự kết hợp hai giao thức VPN sơ khởi PPTP và L2F. Do đó L2TP kết hợp được các tính năng của L2F và PPTP. L2TP cung cấp dịch vụ mềm dẻo với giá cả truy cập từ xa hiệu quả của L2F và tốc độ kết nối điểm tới điểm nhanh của PPTP. Lợi ích của L2TP kết hợp từ các tính năng của L2F và PPTP: L2TP hỗ trợ nhiều giao thức và kỹ thuật mạng: IP, ATM, FFR và PPP. Do đó nó có thể hỗ trợ nhiều kỹ thuật khác nhau trên cùng thiết bị truy cập. L2TP cho phép nhiều kỹ thuật truy cập trung gian hệ thống thông qua Internet và các mạng công cộng khác, như. L2TP không yêu cầu phải hiện thực thêm phần mềm, các bộ phận điều khiển hay phần mềm hỗ trợ. Do vậy mà cả người dùng từ xa và mạng riêng nội bộ đều không cần phải thực thi phần mềm chuyện dụng L2TP cho phép người dùng từ xa chưa đằng địa chỉ IP hoặc sử dụng IP của riêng truy cập mạng từ xa thông qua mạng công cộng. Việc chứng thực và kiểm quyền L2TP được thực hiện tại gateway của máy chủ. Do đó ISPs không cần cập nhật dữ liệu chứng thực user hay quyền truy cập của user từ xa. Hơn nữa mạng riêng nội bộ cũng có thể tự xác định các truy cập tới nó và có các cơ chế bảo mật riêng. Điều này làm cho quy trình thiết lập đường hầm của L2TP nhanh hơn so với các nghi thức đường hầm trước nó. Tính năng chính của L2TP: thay vì kết thúc đường hầm tại ISP site gần nhất như PPTP thì L2TP mở rộng đương hầm đến gateway của máy chủ ( hoặc máy đích) của mạng. Vì vậy yêu cầu thiết lập đường hầm L2TP có thể được khởi tạo từ user từ xa và gateway của ISP Hình 5-15: Đường hầm L2TP.  Khi Frame PPP được gửi đi thông qua đương hầm L2TP, nó sẽ được đóng gói dưới dạng gói dữ liệu user : thông điệp UDP(Uer Datagram Protocol). L2TP sử dụng thông điệp UDP cho việc tạo đường hầm dữ liệu và bảo trì đường hầm. Vì vậy gói dữ liệu đường hầm và gói bảo trì đường hầm có chung cấu trúc. PPTP ( Point to point tuneling protocal) PPTP là một giải pháp mạng riêng cho phép bảo mật dữ liệu truyền giữa các máy khách di động và máy chủ bằng cách thiết lập mạng riêng ảo dựa trên nền IP của mạng internet. PPTP được phát triển bởi Microsoft Corporation, Ascend Communications, 3COM, US Robotics và ECI Telematics. PPTP không chỉ cung cấp đường truyền bảo mật thông qua mạng công cộng mà còn bảo mật trong mạng Chú ý: Vì Microsoft Corporation đóng vai trò chính trong việc phát triển PPTP nên tất cả các sản phẩm mạng của Microsoft như Window NT 4.0, Windown 2000 đều hỗ trợ PPTP. Có hai đặc tính nổi bật đóng vai trò quan trọng trong việc bảo mật của PPTP khi các kết nối có khoảng cách xa: Sử dụng mạng chuyển mạch điện thoại công cộng. PPTP cho phép sử dụng mạng chuyển mạch điện thoại công cộng để thực thi mạng riêng ảo. Và vậy việc thực thi mạng riêng ảo sẽ trở nên rất đơn giản và chi phí thấp bằng cách sử dụng đường leasline của doanh nghiệp để cung cấp thêm các dịch vụ truyền thông khác. Cung cấp giao thức Non_IP. Mặc dù được phát triển trên nền IP của mạng internet nhưng PPTP cũng hỗ trợ để hiện thực các giao thức mạng khác như TCP/IP, IPX, NetBEUI, và NetBIOS. Vì vậy, PPTP chứng tỏ khả năng có thể triển khai dễ dàng trên mạng riêng ảo thông qua mạng LAN hoặc mạng công cộng. PPTP đưa ra nhiều cơ chế bảo mật cho máy chủ và máy khách PPTP. Các dịch vụ bảo mật bao gồm: Mã hóa và nén dữ liệu Chứng thực Kiểm soát truy cập Lọc gói Với các cơ chế bảo mật trên, PPTP có thể được sử dụng kết hợp với tương lửa và các bộ định tuyến. a. Mã hóa và nén dữ liệu PPTP PPTP không cung cấp cơ chế mã hóa để bảo mật dữ liệu. Nó sử dụng dịch vụ mã hóa dữ liệu được cung cấp bởi PPP. Trên thực tế thì PPP sử dụng phương pháp mã hóa điểm tới điểm của Microsoft( MPPE- Microsoft Point-to-Point Encryption), dựa trên phưương pháp mã hóa công khai-bí mật. Mã công khai – bí mật được sử dụng trong PPP là ID của người dung và password tương ứng. 40 bit được dung để mã hóa ID và password theo giải thuật băm được lưu trữ trên cả máy chủ và máy khách. Giải thuật băm sẽ tạo khóa của mã RSA RC4. Khóa này sẽ được sử dụng để mã hóa dữ liệu truyền trong đường hầm PPTP. Tuy nhiên khóa 40 bits ngắn và không đủ để chống đỡ ký thuật hacking hiện nay, nên người ta có thể sử dụng khóa 128 bits. Để giảm các nguy cơ liên quan bảo mật, Microsoft đề nghị tạo lại mã mới sau khi gói thứ 256 được truyền đi. b. Chứng thực dữ liệu PPTP PPTP hỗ trợ các cơ chế chứng thực của Microsoft: MS-CHAP (Microsoft Challenge Handshake Authentication Protocol). PAP (Password Authentication Protocol). c. Kiểm soát truy cập PPTP Sau khi máy khách PPTP từ từ xa được chứng thực thành công thì nó có thể truy cập những nguồn lực bên trong của mạng, điều này có thể hạn chế mục đích tăng cường bảo mật. Tuy nhiên người ta vẫn có thể thực hiện mục tiêu bảo mật bằng các phương tiận kiểm soát truy cập: Access rights ( Quyền truy cập) Permissions ( Cho phép truy cập) Workgroups ( Truy cập theo nhóm) d. Lọc gói PPTP Lọc gói PPTP cho phép máy chủ của mạng riêng chấp nhận và định tuyến gói chỉ từ các máy khách đã được định quyền. Do vậy chỉ các máy khách đã được kiểm quyền mới có thể truy cập được đến các máy xác định của mạng từ xa.. Như vậy PPTP không chỉ cung cấp các dịch vụ chứng thực user, kiểm soát truy cập, các phương pháp mã hóa mà còn tăng khả năng bảo mật của mạng. e. PPTP với tường lửa và các bộ định tuyến Các thiết bị PPTP ( chủ và khách) nhận dữ liệu TCP và IP ở cổng 1723 và cổng 47. Tuy nhiên khi kết hợp với tường lửa và bộ định tuyến, lưu lượng đến các cổng này được định tuyến thông qua tường lửa và bộ định tuyến. Tường lửa và bộ định tuyến sẽ lọc dũ liệu dựa trên danh sách kiểm soát truy cập và các cơ chế bảo mật khác. Trong trường hợp này PPTP có thể tăng cường khả năng bảo mật mà nó cung cấp. Chương 3: Xây Dựng VPN Trên IPv6 Ý tưởng xây dựng mô hình bài Lab Ngày nay, IPv6 đã và đang dần được triển khai áp dụng trong một số mô hình mạng, sự ra đời và triển khai IPv6 là rất cần thiết nhưng cũng không thể phủ bỏ hệ thống mạng IPv4 được, do đó để đáp ứng nhu cầu thực tế chúng ta xây dựng hệ thống mạng IPv6 với những đường hầm qua IPv4 ma không ảnh hưởng gì đến hệ thống mạng. Chúng ta có hai mạng LAN đang sử dụng thuần IPv6 đó là site HANOI và site SAIGON, hai site này kết nối VPN với nhau thông qua mạng internet đang sử dụng IPv4, chúng ta xây dựng tunnel mã hóa bằng Ipsec. Từng bước xây dựng và cấu hình Phần mền và các thiết bị yêu cầu 3 router, dùng GNS3 để cấu hình router Router HANOI: Cisco router 3660. Ram of router: 256Mb. IOS router: c3660-jk9o3s-mz.123-17a.bin Router ISP: Cisco router 3660. Ram of router: 256Mb. IOS router: c3660-jk9o3s-mz.123-17a.bin Router SAIGON: Cisco router 3660 Ram of router: 256Mb. IOS router: c3660-jk9o3s-mz.123-17a.bin 2 pc chạy hệ điều hành XP và windown server Mô tả kết mối ta Ta có 2 site HANOI và SAIGON kết nối với nhau qua ISP Site HANOI có địa chỉ: 2100::/64 Cổng Ethennet có địa chỉ 2100::1/64 Cổng serial có địa chỉ 20.0.0.2/24 Tunnel có địa chỉ: 4000::1/64 Site SAIGON có địa chỉ: 3100::/64 Cổng Ethenet có địa chỉ: 3100::1/64 Cổng serial có địa chỉ 30.0.0.2/24 Tunnel có địa chỉ: 4000::2/64 Các bước cấu hình Cấu hình windown XP Cài đặt ipv6 C:\>netsh interface ipv6 install C:\>netsh intterface ipv6 add address “local Area connetion” 3001::2/64 Kiểm tra ip C:\>ipconfig/all Cấu hình window Server Cài đặt ipv6 C:\>netsh interface ipv6 install C:\>netsh intterface ipv6 add address “local Area connetion” 2001::2/64 Kiểm tra ip C:\>ipconfig/all Cấu hình Router HANOI Cấu hình địa chỉ ip cho các interface HANOI(config)#interface Ethenet1/0 HANOI(config-if)#ip address 2100::1/64 HANOI(config-if)#no shutdown HANOI(config)#interface serial2/0 HANOI(config-if)#ip address 20.0.0.2 255.255.255.0 HANOI(config-if)# clock rate 64000 Cấu hình isakmp policy HANOI(config)#ctypto isakmp policy 1 HANOI(config-isakmp)#encrypto 3des HANOI(config-isakmp)#hash sha HANOI(config-isakmp)#authentication pre-shared HANOI(config-isakmp)#group 2 HANOI(config-isakmp)#exit HANOI(config)#crypto isakmp key 123 address 30.0.0.2 Cấu hình ipsec HANOI(config)#ctypto ipsec transform-set myset esp-3des esp-sha- hmac HANOI(config)#ipv6 access-list dinhxuan HANOI(config-access-list)#permit ipv6 2100::/64 3100::/64 HANOI(config-crypto-transform-set)#exit HANOI(config)#crypto map mymap 1 ipsec-isakmp HANOI(config-crypto)#math address 100 HANOI(config-crypto)#set transform-set myset HANOI(config-crypto)#set peer 30.0.0.2 Cấu hình tunnel HANOI(config)#interface tunnel 1 HANOI(config-interface)#ipv6 enable HANOI(config-interface)#ipv6 address 4000::1/64 HANOI(config-interface)#tunnel source serial2/0 HANOI(config-interface)#tunnel destination 30.0.0.2 HANOI(config-interface)#tunnel mode ipv6 ip HANOI(config-interface)#crypto map mymap Cấu hình Router ISP Cấu hình ip các interface trên Router ISP ISP(config)# interface Serial1/0 ISP(config-interface)# ip address 20.0.0.1 255.255.255.0 ISP(config-interface)# clock rate 64000 ISP(config-interface)# no shutdown ISP(config)# interface Serial1/1 ISP(config-interface)# ip address 30.0.0.1 255.255.255.0 ISP(config-interface)# clock rate 64000 ISP(config-interface)# no shutdown Cấu hình Router SAIGON Cấu hình địa chỉ ip cho các interface SAIGON(config)#interface Ethenet1/0 SAIGON(config-if)#ip address 3100::1/64 SAIGON(config-if)#no shutdown SAIGON(config)#interface serial2/0 SAIGON(config-if)#ip address 30.0.0.2 255.255.255.0 SAIGON(config-if)# clock rate 64000 Cấu hình isakmp policy SAIGON(config)#ctypto isakmp policy 1 SAIGON(config-isakmp)#encrypto 3des SAIGON(config-isakmp)#hash sha SAIGON(config-isakmp)#authentication pre-shared SAIGON(config-isakmp)#group 2 SAIGON(config-isakmp)#exit SAIGON(config)#crypto isakmp key 123 address 20.0.0.2 Cấu hình ipsec SAIGON(config)#ctypto ipsec transform-set myset esp-3des esp-sha-hmac SAIGON(config)#ipv6 access-list dinhxuan SAIGON config-access-list)#permit ipv6 3100::/64 2100::/64 SAIGON(config-crypto-transform-set)#exit SAIGON(config)#crypto map mymap 1 ipsec-isakmp SAIGON(config-crypto)#math address 100 SAIGON(config-crypto)#set transform-set myset SAIGON(config-crypto)#set peer 30.0.0.2 Cấu hình tunnel SAIGON(config)#interface tunnel 1 SAIGON(config-interface)#ipv6 enable SAIGON(config-interface)#ipv6 address 4000::2/64 SAIGON(config-interface)#tunnel source serial2/0 SAIGON(config-interface)#tunnel destination 20.0.0.2 SAIGON(config-interface)#tunnel mode ipv6 ip SAIGON(config-interface)#crypto map mymap Kết quả Cấu hình địa chỉ ipv6 winxp Cấu hình địa chỉ win server Cấu hình router HANOI Cấu hình router ISP và SAIGON Kết quả Win Server ping đến Win XP và ngược lại Chương 4: kết luận và hướng phát triển Kết luận Sự phát triển của ngành công nghệ thông tin nói chung và ngành mạng máy tính nói riêng, nhiều công nghệ mới đã được áp dụng thành công và mang lại nhiều lợi ích đáng kể, giảm thiểu được chi phí, tăng cường tính an toàn trên toàn hệ thống mạng, đảm bảo tính toàn vẹn của dữ liệu trên hệ thống mạng. Sự bùng nổ về internet và cạn kiệt nguồn tài nguyên IPv4 dẫn đến rự ra đời của IPv6 với đề tài này sẽ cung cấp một số kiến thức cơ bản về IPv6 và VPN thêm vào đó là giải pháp phù hợp khi IPv6 ra đời mà vẫn chung sống không ảnh hưởng gì đến IPv4 trong khi IPv6 đang dần được thây thế. IPv6 ra đời sẽ không làm mất đi những tính năng và các dịnh vụ, công nghệ, giao thức... mà IPv4 đã mang lại ví dụ như VPN, MPLS, RADIUS..không dừng lại ở đây IPv6 còn có những tính năng vượt trội khăc thúc đẩy những công nghệ khác pháp triển để đáp ứng nhu cầu của con người. VPN là cộng nghệ không thế thiếu đối với những công ty đa quốc gia hay công ty nhiều chi nhánh, sự ra đời của IPv6 không ảnh hưởng gì đến mạng VPN ngược lại nó còn có một số tính năng giúp hệ thống VPN tốt hơn, như bảo mật hơn, nhanh hơn, giảm chi phí... Ngoài ra, còn có thể tạo ra mạng VPN mang địa chỉ IPv6 có thể xuyên qua internet sử dụng IPv4 Hướng phát triển Hiện nay, trên thế giới các nước có nền công nghệ thông tin phat triển như Mỹ, Nhật ... đã và đang triển khai các dịch vụ, công nghệ mang tính thuần IPv6, những thiết bị, những phần mên.. sẽ dần dần ra đời đáp ứng nhu cầu của con người, với tính năng và tài nguyên địa chỉ IP gần như là vô hạn IPv6 không những phát triển ở công nghệ thông tin, mà còn phát triển rộng lớn ở các lĩnh vự khác. Ở Việt Nam hiện nay mạng IPv6 đang trong giai đoạn nguyên cứu và thử nghiệp trong mạng lõi. Với những gì mà lợi ích của IPv6 mạng lại việc phát triển mạng IPv6 là tất yếu nhưng việc triển khai vẫn còn gặp những khó khăn do còn khan hiếm về thiết bị phần cứng, phần mềm hỗi trợ IPv6 và chi phí cho cơ sở hạ tầng mạng IPv4 là rất lớn khó có thể bỏ được. Tuy nhiên IPv6 vẫn phát triển mạnh và các thiết bị phần cứng và phần mềm cũng từ từ được tạo ra hỗ trợ cho IPv6, IPv6 vẫn từ từ thây thế IPv4 và phát triển sang lĩnh vực khác.