• If this is your first visit, be sure to check out the FAQ by clicking the link above. You may have to register before you can post: click the register link above to proceed. To start viewing messages, select the forum that you want to visit from the selection below.
Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Một chút thắc mắc về kết nối VPN mong được trả lời

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Một chút thắc mắc về kết nối VPN mong được trả lời

    Xin chào mọi người !

    Em có một chút thắc mắc như thế này xin được hỏi.
    Về kết nối VPN (Virtual Private Network) lúc trước em có nghe ở công ty FPT có cung cấp, được biết đó là một dạng kết nối mạng riêng ảo sẽ kết nối hai văn phòng có khoảng cách khá xa với nhau qua một kênh kết nối gọi là VPN tunel.
    Lúc đó giữa các văn phòng dù ở hai quốc gia khác nhau vẫn có thể giao tiếp với nhau như một mạng LAN nội bộ và tính bảo mật lại rất cao.
    Về thiết bị dùng cho kết nối là thiết bị có kết nối VPN hoặc loại router mà có hỗ trợ kết nối VPN trong đó. Em không nhớ rõ thiết bị gì nhưng cũng là của hãng cisco.
    Bây giờ em lại đọc trên báo có tin nói là chỉ có VDC là đại diện chính thức có cung cấp kết nối VPN duy nhất tại Việt Nam nghĩa là loại kết nối đó là như thế nào, em mong được tìm hiểu rõ nên chỉ biết tìm câu trả lời trên diễn đàn này thôi hi.hi.. :D

    Xin chân thành cám ơn mọi người trước !!!

    ptls_light

  • #2
    ptls_light

    Cách lập mạng VPN bây giờ họ hay dùng MPLS = Multiprotocol Label Switching.
    (mấy trăm VPN, và mỗi VPN có hàng trăm router cũng là bình thường ...)

    Bên VN như thế nào thì cá-voi cũng muốn biết.

    Thanks,

    Comment


    • #3
      - Theo mình được biết thì hiện nay VDC cũng đang dùng BGP/MPLS VPN, còn FPT thì thế nào mình không rõ.

      Comment


      • #4
        ptls_light ơi!
        Không phải đợi đến khoảng cách xa thì mới dựng VPN đâu.Khi nào cần bảo mật và toàn vẹn dữ liệu thì khi ấy phải có mặt VPN
        Cũng không riêng gì Router Cisco mới làm được chuyện này đâu,còn rất nhiều dòng FW cứng/mềm(Fortigate Firewall,www.fortinet.com),router khác(của TW)làm VPN cũng rất tuyệt!
        Anh ca_voi ơi,e có 2 chuyện muốn hỏi:
        -Chỉ cần 2 VPN peer ping được lẫn nhau là Tunnel có thể được thiết lập,không phụ thuộc peer đó là của ISP nào,đúng k anh?
        -Router Cisco có thiết lập Tunnel với 2 peer là Dynamic IP(Dial-up)-Static IP không?
        Hiện nay,tracert hay ping các địa chỉ của VDC đều k được,vậy BGP/MPLS VPN đại khái hoạt động thế nào vậy anh?Anh lam ơn chỉ dẫn dùm e nhe
        Trân trọng sự giúp đỡ
        Vietnamese Professionals (VnPro)
        Tel: +84 8 5124257 - 5125314
        Fax: +84 8 5124314
        149/1D Ung Văn Khiêm, P25, Q. Bình Thạnh
        Tp.Ho Chi Minh
        http://www.chuyenviet.com

        VnPro - The way to get knowledge

        Comment


        • #5
          Đúng không phải đợi đến khoảng cách xa thì mới dựng VPN, mà VPN là để tạo một kênh truyền bảo mật.
          Chỉ cần 2 note cần kết nối VPN có thế connect được với nhau qua PPTP (Port 1723 & GRE protocol) & IPSec.
          Có thiết lập Tunnel với 2 host là Dynamic IP(Dial-up)-Static IP.
          VPN của VDC hoạt động ở Layer 2. Còn VPN qua PPTP (Port 1723 & GRE protocol) & IPSec hoạt động ở layer3 không phụ thuộc vào ISP.
          duhd

          Comment


          • #6
            Re: Một chút thắc mắc về kết nối VPN mong được trả lời

            III. CÁC LOẠI VPN:

            Một mạng riêng ảo (VPN) chỉ ra việc truyền các dữ liệu riêng trên một hạ tầng mạng công cộng. So với các công nghệ khác, để hiểu về VPN và các đặc tính phức tạp thì người học gặp nhiều khó khăn. Bài viết này cố gắng đưa ra một quan điểm về phân loại VPN. Trong bài này, các vấn đề sau đây sẽ được trình bày:

            • Service provider VPNs: VPN cho nhà cung cấp dịch vụ
            • Enterprise VPNs: VPN dành cho doanh nghiệp.

            trong bài kế tiếp, VPN sẽ được phân loại theo chức năng hoặc theo công nghệ. Do đó các vấn đề sau sẽ được trình bày:

            • Các công nghệ VPNs ở lớp datalinks
            • IPSec and security associations
            • IPSec modes and protocols
            • Trao đổi khóa (Key exchange), băm (hashing) , và mã hóa (encryption) trong IPSec

            ----------------------------------
            III.1. Service Provider, Dedicated, and Access VPNs

            Trong thế giới truyền thông trước đây, các nhà cung cấp dịch vụ thường nhấn mạnh đến các dịch vụ truyền thông ở cấp thấp, ví dụ như leased line và Frame Relay. Trong thế giới truyền thông ngày nay, các nhà cung cấp dịch vụ thường làm việc với khách hàng để đáp ứng các nhu cầu về mạng của khách hàng thông qua việc sử dụng VPN.

            Dịch vụ VPN của các nhà cung cấp dịch vụ (còn được gọi là provider dependant VPN) là một trong những công nghệ chủ chốt mà các nhà cung cấp dịch vu sẽ dùng để cạnh tranh trong những năm sắp đến. VPN cho phép mở rộng các kết nối mạng của các doanh nghiệp và việc mở rộng này được triển khai trên hạ tầng mạng chung.

            Một VPN có thể được xây dựng trên hạ tầng mạng Internet hoặc trên mạng IP, FrameRelay, ATM của nhà cung cấp dịch vụ. Giải pháp này ngày nay còn được gọi là dedicated VPN hoặc là VPN kiểu cũ (legacy VPN).



            Một dịch vụ VPN mới được gọi là Remote Access to Multiprotocol Label Switching Virtual Private Network (RA to MPLS VPN). Dịch vụ này cho phép những người dùng mạng từ xa (remote user) kết nối vào mạng của công ty họ. Dịch vụ này quản lý các kết nối từ xa cho các người dùng cơ động, các văn phòng nhỏ. Giải pháp này còn được gọi là Access VPN.

            Từ quan điểm của nhà cung cấp dịch vụ, MPLS là một đồ hình mạng dạng full-mesh hoặc dạng hub-and-spokes, tùy thuộc vào khách hàng muốn kết nối các chi nhánh của họ như thế nào. Từ góc độ người dùng, các ISP sẽ cung cấp dịch vụ site-to-site VPN.

            ISP sẽ xây dựng một mạng IP riêng và cho phép các khách hàng khác nhau kết nối các site của họ trên mạng IP này. Công nghệ này cho phép các khách hàng riêng rẽ xem dịch vụ MPLS như thể họ đang có một mạng riêng kết nối các chi nhánh. Tình huống này cho phép khách hàng sử dụng những ưu điểm giống như của các công nghệ Layer 2 như FrameRelay và ATM nhưng lại có những đặc tính mở rộng và khả năng quản lý của layer 3. Ngoài ra, bởi vì MPLS chạy trên một mạng IP riêng chứ không phải là Internet, các ISP có thể cung cấp các mức khác nhau của chất lượng dịch vụ (QoS) và SLA. Tuy nhiên, do MPLS được dựa trên mạng riêng của nhà cung cấp dịch vụ, khả năng cung cấp dịch vụ bị giới hạn bởi các khu vực mà các ISP hoạt động.

            Giải pháp Remote Access to MPLS VPN cung cấp các chọn lựa mở rộng đối với hệ thống MPLS VPN hiện tại. Ở thời điểm hiện tại, một nhà cung cấp dịch vu ISP có thể tạo ra các kết nối VPN hiệu quả trên hạ tầng mạng của ISP thông qua các kết nối dialup, DSL, và Cable Modem (DOCSIS).

            Với việc giới thiệu dịch vụ Remote Access to MPLS VPN, các nhà cung cấp dịch vụ đã có thể tích hợp các phương thức truy cập khác nhau vào dịch vụ VPN của họ. Điều này cho phép các nhà cung cấp dịch vụ ISP cung cấp thêm nhiều gói dịch vụ đến các khách hàng. Các khuynh hướng công nghệ mới được ưa chuộng là dùng wireless, dùng vệ tinh và multiprotocol VPN. Gần đây, Cisco cũng đã công bố công nghệ Any Transport Over MPLS (AToM)2 tích hợp L2 tunneling vào mạng MPLS. Với việc dùng IP-based MPLS với IPSEC/L2TP, các nhà cung cấp dịch vụ có thể cải tiến khả năng mở rộng và hiện thực QoS.

            III.2. Enterprise VPNs Overview

            Enterprise VPN cung cấp các kết nối đưọc triển khai trên hạ tầng mạng công cộng với cùng một policy như mạng riêng, ở đó các người dùng có thể có cùng performance, ứng dụng và loại kết nối.

            Cisco chia các giải pháp VPN ra thành 3 loại chính:

            • Cisco Remote Access VPN
            • Cisco Site-to-Site VPN
            • Cisco Extranet VPN



            Remote Access và site-to-site VPN cung cấp cung cấp một giải pháp để xây dựng mạng riêng ảo cho mạng của doanh nghiệp. Các công ty có thể mở rộng mạng ra những nơi mà trước đây không thể mở rộng.

            Ví dụ trong nhiều ứng dụng, VPN cho phép tiết kiệm nhiều chi phí thông qua các kết nối VPN. Ngoài ra, thay vì có nhiều kết nối về cùng HQ (head quarter), VPN cho phép traffic cùng tích hợp vào một kết nối duy nhất.VPN còn tạo ra cơ hội để giảm chi phí bên trong và bên ngoài doanh nghiệp. Mạng Internet hiện nay thật sự là một hạ tầng rất tốt, cho phép doanh nghiệp thay đổi mạng của họ theo các chiều hướng chủ chốt sau đây:


            • Đối với Intranets: phần lớn các công ty, đặc biệt là các công ty lớn đều phải duy trì các kết nối WAN tốn kém. Dễ dàng nhận thấy rằng các chi phí của leased lines có thể bị cắt giảm bởi các kết nối VPN.
            • Đối với extranets: các giải pháp hiện hành cho các doanh nghiệp lớn và các đối tác của họ thường yêu cầu dùng các đường thuê bao riêng. VPN và Internet sẽ là một giải pháp thay thế nghiêm túc.
            • Đối với dịch vụ truy cập từ xa: thay vì dùng các đường kết nối tốc độ chậm hoặc các dịch vụ đắc tiền như ISDN/Frame Relay, các người dùng từ xa bây giờ đã có thể sử dụng VPN thông qua các công nghệ như:

            - Truy cập tốc độ cao DSL và các dịch vụ cable modem
            - ISDN, Dial, Frame Relay hoặc các dịch vụ được cung cấp bởi bưu điện.
            - Những người dùng cơ động (mobile user) cũng có thể tận dụng các kết nối tốc độ cao Ethernet trong các khách sạn, sân bay. Chỉ riêng yếu tố cắt giảm chi phí cuộc gọi đường dài trong trường hợp này cũng là một lý do rất thuyết phục để dùng VPN.
            - Một trong những lợi ích khác của VPN là các công ty có thể triển khai các ứng dụng mới ví dụ như e-commerce. Mặc dù Internet là một hạ tầng mạng tốt, một vài yếu tố cũng cần xem xét và được xem là trở ngại của Internet là bảo mật, QoS, độ tin cậy và khả năng quản lý
            Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

            Email : dangquangminh@vnpro.org
            https://www.facebook.com/groups/vietprofessional/

            Comment


            • #7
              Re: Một chút thắc mắc về kết nối VPN mong được trả lời

              III.3. Phân loại Enterprise VPN:

              Tất cả các công nghệ mới đòi hỏi việc phân loại để phân biệt nó với các giải pháp khác. Cisco phân loại các giải pháp VPN khác nhau vào hai nhóm chính:

              - Nhóm chức năng (functional): nhấn mạnh đến các thiết kế đặc biệt của VPN
              - Nhóm công nghệ (technological): định nghĩa giải pháp VPN dựa trên mô hình OSI và các protocol cho từng lớp.

              III.3.1. Phân loại VPN theo chức năng:

              Ba nhóm công nghệ VPN mà Cisco chia ra là Remote Access VPN, site-to-site VPN và firewall-based VPN. Cũng cần chú ý là có một kiểu phân loại khác là remote access VPN, Intranet VPN, extranet VPN.

              III.3.1.1 Remote Access VPNs

              Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO của họ.

              Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel.

              Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-In User Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…).

              III.3.1.2. Site-to-Site or LAN-to-LAN VPN

              Site-to-site hay còn gọi là LAN-to-LAN VPN là việc kết nối các hệ thống mạng ở các nơi khác nhau về mạng ở một vị trí khác thông qua VPN. Trong tình huống này, quá trình xác thực ban đầu cho những người dùng sẽ là quá trình xác thực giữa các thiết bị. Các thiết bị này hoạt động như security gateways, truyền traffic một cách an toàn cho site kia. Các routers hay firewall với khả năng VPN đều có khả năng thực hiện kết nối này.

              LAN-to-LAN VPN có thể được xem như một Intranet hoặc Extranet VPN nếu xét từ quan điểm quản lý chính sách. Nếu hạ tầng mạng này có chung một nguồn quản lý, nó có thể được xem như Intranet VPN. Ngược lại, nó có thể xem là extranet. Vấn đề truy cập giữa các sites phải được kiểm soát chặt chẽ bởi các thiết bị ở các site tương ứng.

              Sự khác nhau giữa remote access VPN và LAN-to-LAN VPN chỉ là mang tính tượng trưng. Một ví dụ là: các thiết bị VPN mới có thể hoạt động theo cả hai cách. Một ví dụ khác là chế độ mở rộng của giải pháp EzVPN bằng cách dùng 806 hoặc Cisco 17xx routers.

              III.3.1.3. Firewall-Based VPNs:

              Firewall-based VPN là giải pháp trong đó doanh nghiệp sẽ quản lý firewall và tự triển khai VPN hoặc nhà cung cấp dịch vụ sẽ cung cấp các tính năng firewall nâng cao để hỗ trợ VPN. Nhìn chung, giải pháp này dựa trên Cisco Pix firewall (??) bao gồm PIX 506 cho các văn phòng nhỏ, Pix 515 cho các doanh nghiệp vừa và Pix 525, 535 cho tầm cỡ nhà cung cấp dich vụ và doanh nghiệp lớn.

              Cisco cung cấp vài giải pháp cho VPN clients. Các giải pháp này bao gồm:

              • Concentrator-based VPN clients—Cisco VPN Client 3.x.x and the VPN 3002
              software and hardware client
              • Cisco IOS(router)-based VPN solutions—Cisco 806 and 17xx end-user routers, and
              EzVPN
              • Cisco PIX firewall-based solutions—Cisco PIX 501

              Một cách nhìn khác về giải pháp VPN của Cisco từ quan điểm phần mềm là

              • Software clients:

              — VPN client for Microsoft
              — VPN client for Solaris
              — VPN client for Linux
              — VPN client for wireless devices

              • Hardware clients:
              — Easy VPN
              — VPN 3002
              — 806 Router
              — PIX 501

              Với việc đưa vào Pix 501, giải pháp VPN sẽ mở rộng những chọn lưa cho người dùng.

              Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

              Email : dangquangminh@vnpro.org
              https://www.facebook.com/groups/vietprofessional/

              Comment


              • #8
                Re: Một chút thắc mắc về kết nối VPN mong được trả lời

                III.3.2. Phân loại VPN dựa trên công nghệ và mô hình OSI:

                Từ quan điểm công nghệ, VPN không phải là việc truyền các electrons trên hạ tầng mạng chung mà thật ra là việc truyền các packets trên các mạng khác. Các packets được truyền này sẽ được mã hóa và xác thực trong một cách để phân biệt nó với những packets khác. Thông thường điều này kết hợp với việc dùng một tunnel trong hệ thống mạng.

                Các giải pháp ban đầu bao gồm việc chia các mạch trong các tổng đài của nhà cung cấp dịch vụ trong đó ngăn ngừa các truy cập trái phép giữa các đường leased lines cho các doanh nghiệp riêng. Các giải pháp về sau bao gồm việc cài đặt các protocol Secure Socket layer cho các trình duyệt web và các ứng dụng khác. Việc triển khai này cho phép tất cả các ứng dụng được bảo vệ. Đây là giải pháp mã hoá VPN dựa trên lớp ứng dụng của TCP/IP.

                figure 19-3


                III.3.2.1. Datalink Layer VPN:

                Trong môi trường mạng công cộng, các giải thuật mã hóa lớp datalink có thể được hiện thực trong các thiết bị bên trong mạng riêng. Tuy nhiên, người dùng phải mã hóa traffic trước khi traffic đi vào routers.

                Rõ ràng là trong tình huống này, traffic phải được bridged hoặc được mã hóa/giải mã ở từng hop của mạng bởi vì lớp hai không có một sơ đồ địa chỉ duy nhất (có nhiều công nghệ ở Layer 2). Kết quả là frame phải được mã hóa/giải mã vài lần và dẫn đến kết quả là độ chậm trễ của hệ thống mạng tăng cao.

                ATM và Frame Relay thỉng thoảng được gọi là các mạng VPN vì nó dùng hạ tầng mạng chung để cung cấp các dịch vụ mạng riêng. Các công nghệ VPN ở lớp datalink được thiết kế để chạy trên lớp Datalink và bao gồm các protocol sau:

                • Point-to-Point Tunneling Protocol (PPTP) and generic routing encapsulation (GRE)
                • L2TP

                III.3.2.2. PPTP and GRE

                PPPTP được định nghĩa bởi IETF trong RFC 2673. Protocol này đưọc thiết kế bởi Microsoft để cho phép các kết nối chi phi thấp đến các mạng của doanh nghiệp thông qua mạng Internet công cộng. Các phiên kết nối PPTP bảo mật cho phép kết nối vào mạng doanh nghiệp thông qua Internet. Các cuộc gọi này thường được gọi vào các thiết bị phần cứng, sau đó thiết bị này kết nối vào một Windows NT server. FEP (front end processor) sẽ truyền các gói PPP từ người dùng cuối và sau đó đóng gói các gói đó vào mạng WAN. Bởi vì PPP hỗ trợ nhiều giao thức khác nhau (IP, IPX, NetBEUI), nó có thể truy cập các hạ tầng mạng rất khác nhau.

                Kiến trúc này bao gồm các ứng dụng client/server trong đó client là các PC của người dùng, chạy PPTP. Về phía server, sẽ có các dial-in routers, VPN concentrator.

                Cả hai đầu đều có thể khởi tạo tunnel. Khi người dùng ở xa khởi tạo một tunnel, nó được gọi là chế độ xung phong (voluntary mode). Khi tunnel được tạo từ server, chế độ này được gọi là compulsory mode. Một NAS có thể khởi tạo một tunnel ngay cả khi một client không có chạy PPTP.

                PPTP sẽ đóng gói các frame PPP vào các IP datagrams để truyền trên hệ thống mạng IP, chẳng hạn như mạng Internet/Intranet. PPTP sẽ kế thừa các đặc tính của PPP như mã hóa, nén…PPTP yêu cầu một hạ tầng mạng IP giữa một PPTP clients và một PPTP server. PPTP client có thể được kết nối vào một mạng IP mà PPTP server cũng kết nối vào mạng IP này. Hoặc PPTP clients cũng có thể quay vào một NAS để thiết lập kết nối IP.

                PPTP dùng TCP để tạo và hủy các tunnel. PPTP cũng dùng một phiên bản bổ sung của GRE để đóng gói PPP như là dữ liệu của tunnel. Tải của khung PPP có thể được mã hóa hoặc nén hoặc cả hai.

                GRE được định nghĩa trong RFC 1701 và 1702, đơn giản chỉ là một cơ chế để thực hiện quá trình đóng gói một giao thức lớp network tùy ý vào một giao thức khác. GRE cung cấp một cơ chế đơn giản, gọn nhẹ để đóng gói data để gửi trên mạng IP. Vì vậy PPTP có thể truyền các giao thức khác nhau ở lớp network, chẳng hạn như IP, IPX và NetBEUI.

                Quá trình xác thực diễn ra trong giai đoạn tạo các kết nối VPN PPTP sử dụng cùng một cơ chế nhưng các kết nối PPP; nghĩa là cũng dùng PAP hoặc CHAP. Một phiên bản nâng cao của CHAP, được gọi là MS-CHAP được tạo ra bởi Microsoft dùng các thông tin trong NT domain. Một chọn lựa khác cho quá trình xác thực là IETF PPP (Extensible Authentication Protocol –EAP). Microsoft cũng đã tích hợp một giao thức khác gọi là
                Microsoft Point-to-Point Encryption (MPPE)4 để mã hóa traffic trên các kết nối PPP.MPPE dựa trên thuật toán RSA R4 (Rovest, Shamir, and Adelman (RSA) RC4).

                Nếu quá trình mã hóa trên toàn bộ kết nối là cần thiết, IPSEC có thể mã hóa IP traffic từ đầu kết nối cho đến cuối kết nối (end-to-end) sau khi một kênh PPTP đã được thiết lập.

                Đối với Windows 2000, cả hai giao thức EAP-Transport Level Security (EAP-TLS) hoặc MS-CHAP phải được dùng cho dữ liệu bên trong các PPP frame.


                PPTP Control Connection and Tunnel Maintenance:

                Kết nối PPTP giữa địa chỉ IP của PPTP client và IP address của PPTP server dùng port 1723. Các gói dữ liệu PPTP mang các thông tin điều khiển kết nối để duy trì PPTP tunnel.

                Sau giai đoạn bắt tay ban đầu, hai bên sẽ trao đổi một loạt các thông điệp bao gồm 12 thông điệp thiết lập và duy trì kết nối.


                PPTP Data Tunneling PPTP

                Quá trình đóng gói dữ liệu thông qua nhiều mức đóng gói khác nhau. Cấu trúc được thể hiện trong hình sau:



                Dữ liệu ban đầu được mã hóa và đóng gói trong các PPP header để tạo ra các frame PPP. Frame PPP này sau đó sẽ được đóng gói với các GRE header.



                III.3.2.3. L2TP


                L2TP được mô tả trong RFC 2661. Giao thức này kết hợp tất cả các đặc điểm hay nhất của hai giao thức hiện có: Cisco’s Layer 2 Forwarding (L2F) and Microsoft’s PPTP.

                L2TP là một phiên bản mở rộng của PPP và là thành phần rất quan trọng của VPNs. L2TP được xem là có khả năng mở rộng hơn PPTP và nó cũng hoạt động ở chế độ PPTP. Một L2TP tunnel có thể khởi tạo từ một PC ở xa quay trở về L2TP Network server (LNS) hay từ L2TP access concentrator (LAC) và LNS. Mặc dù L2TP vẫn dùng PPP, nó định nghĩa cơ chế tunneling của riêng nó, tùy thuộc vào phương tiện truyền chứ không dùng GRE.

                L2TP có thể chuyển các giao thức lớp 3 khác nhau. L2TP có thể fùng PAP, CHAP và EAP cho vấn đề kiểm tra xác thực, tuy nhiên một sự khác nhau chủ yếu là traffic có thể được an toàn trên toàn bộ đường đi từ PC của người dùng đến mạng của công ty.

                L2TP có thể dùng hai kiểu thông điệp: thông điệp điều khiển và thông điệp dữ liệu.

                Các thông điệp điều khiển chịu trách nhiệm thiết lập, duy trì và hủy các tunnels. Các thông điệp dữ liệu đóng gói các frame PPP được chuyển trên tunnels. Các thông điệp điều khiển dùng các cơ chế điều khiển tin cậy bên trong L2TP để đảm bảo việc phân phối; trong khi các thông điệp dữ liệu không được truyền lại khi thông điệp bị mất trong quá trình truyền.

                Các khung PPP được truyền trên các kênh dữ liệu và được đóng gói bởi một L2TP header, sau đó được truyền bởi UDP/FrameRelay/ATM. Các thông điệp điều khiển được gửi trên các kênh tin cậy. Các chỉ số tuần tự (sequence number) phải có trong tất cả các thông điệp điều khiển. Chỉ số này sẽ giúp phát hiện hiện tượng mất packets.

                III.3.3. Network Layer (Layer 3) VPNs
                Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

                Email : dangquangminh@vnpro.org
                https://www.facebook.com/groups/vietprofessional/

                Comment


                • #9
                  Re: Một chút thắc mắc về kết nối VPN mong được trả lời

                  Phần này sẽ mô tả các chủ đề sau:

                  • Layer 3 tunneling
                  • Security associations and security policy for Internet Key Exchange (IKE) and IPSec
                  • Internet Security Association and Key Management Protocol (ISAKMP) and IPSec phases and modes
                  • IPSec modes
                  • IPSec protocols
                  • Authentication in VPN

                  III.3.3.1 Layer 3 Tunneling

                  Các công nghệ VPN ở lớp 3 được thiết kế để hoạt động ở lớp network của mô hình OSI. Một cách tiêu biểu, các công nghệ VPN này dùng các giao thức IP như là giao thức ở lớp network và nó có thể bao gồm các L2 VPN như Multiprotocol Label Switching (MPLS) hoặc bao gồm L3 IPSec.

                  Một IP tunnel hoạt động như một kênh đi xuyên suốt một mạng trục IP và traffic được gửi trên tunnel sẽ không thể nhận biết được bởi hạ tầng mạng IP bên dưới. Có rất nhiều cơ chế tunneling tồn tại bởi vì Layer 3 tunnel không phải là một công nghệ mới.

                  Ban đầu, IPSEc được xem như là một mở rộng của IPv4 với các đặc điểm bảo mật được thêm vào. Ở hiện tại, IPSec là một khung chuẩn cho các chuẩn mở để đảm bảo vấn đề giao tiếp an toàn trên mạng IP. IPSec dựa trên một kiến trúc được mô tả trong RFC 2401.

                  IPSec VPN dùng các dịch vụ được định nghĩa trong IPSec để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng.


                  III.3.3.2 Security Associations and Security Policy for IKE and IPSec

                  IPSec hoạt động dựa trên mô hình ngang hàng (peer-to-peer) hơn là mô hình client/server. Security Association (SA) là một qui ước giữa hai bên trong đó thúc đẩy các trao đổi giữa hai bên giao tiếp. Mỗi bên giao tiếp (có thể là thiết bị, phần mềm) phải thống nhất với nhau về các chính sách hoặc các qui tắc bằng cách sẽ dò tìm các chính sách này với đối tác tìm năng của nó.

                  Có hai kiểu SA: ISAKMP SA (còn được biết đến với tên gọi là IKE SAs) và IPSec SA. IKE SA là quá trình hai chiều và cung cấp một kênh giao tiếp bảo mật giữa hai bên. Thuật ngữ ‘hai chiều’ có ý nghĩa là khi đã được thiết lập, mỗi bên có thể khởi tạo chế độ QuickMode, Informational và NewGroupMode. IKE SA được nhận ra bởi các cookies của bên khởi tạo, được theo sau bởi các cookies của trả lời của phía đối tác. Thứ tự các cookies được thiết lập bởi phase 1 sẽ tiếp tục chỉ ra IKE SA, bất chấp chiều của nó. Chức năng chủ yếu của IKE là thiết lập và duy trì các SA. Các thuộc tính sau đây là mức tối thiểu phải được thống nhất giữa hai bên như là một phần của ISAKMP SA:

                  • Thuật giải mã hóa
                  • Thuật giải băm được dùng
                  • Phương thức xác thực sẽ dùng
                  • Thông tin về nhóm và giải thuật DH

                  IKE thực hiện quá trình dò tìm, quá trình xác thực, quản lý và trao đổi khóa. IKE sẽ dò tìm ra được một hợp đồng giữa hai đầu cuối IPSec và sau đó SA sẽ theo dõi tất cả các thành phần của một phiên làm việc IPSec. Sau khi đã dò tìm thành công, các thông số SA hợp lệ sẽ được lưu trữ trong cơ sở dữ liệu của SA.

                  ISAKMP liên quan rất chặt chẽ đến quản lý chính sách, trong đó cho phép các mức khác nhau của sự điều chỉnh. Khả năng thúc đẩy hoặc thay đổi chính sách trên thiết bị đầu cuối của người dùng là một trong những điểm chính của thiết kế VPN cho doanh nghiệp. VPN 3000 Concentrator có chế độ cấu hình, trong đó cho phép những người dùng ở xa có thể kiểm soát các chính sách, bao gồm DNS, WINS, IP address và domain name.

                  IPSEC SA là một chiều và được dùng cho quá trình trao đổi thật sự giữa hai thiết bị. Vì vậy, quá trình giao tiếp hai chiều giữa hai thiết bị yêu cầu ít nhất 2 IPSec SAs, mỗi SA cho một chiều, bởi vì IPSec Sa là các kết nối dữ liệu đơn chiều. Ví dụ, khi một phiên TCP hai chiều tồn tại giữa hai hệ thống, A và B, sẽ có một SA từ A về B và sẽ có 1 SA từ B về A. Nếu cả hai giao thức bảo mật, AH và ESP được áp dụng vào các dòng traffic một chiều, hai SA sẽ được tạo ra cho dòng dữ liệu.

                  Một SA được nhận ra bởi địa chỉ IP, một giao thức bảo mật (AH hay ESP) và một chỉ số SPU. Chỉ số SPI là một giá trị 32-bit được gán vào quá trình tạo SA bởi phía đầu kết nối IPSec. Giá trị SPI cho AH và ESP là không giống nhau cho cùng một dòng dữ liệu. Giá trị SPI là một field trong cả hai header của AH và ESP và nó được chỉ ra bởi SA cho tất cả các giao tiếp giữa hai node. Ba thành phần của SA cho phép đầu nhận kết hợp các gói nhận một cách phù hợp.

                  III.3.3. Quá trình bắt tay của ISAKMP and IPSec Phases and Modes

                  SA cho cả IKE và IPSec được dò tìm bởi IKE trong các giai đoạn và các chế độ khác nhau. Các thuật ngữ pha (phase) và chế độ (mode) mô tả các bước liên quan trong quá trình thiết lập một kết nối IPSec. Quá trình trao đổi khóa và quản lý khóa là một phần quan trọng của IPSec bởi vì một số khóa phải được trao đổi để các bên có thể giao tiếp với nhau an toàn.

                  Hai phương thức cho việc trao đổi và quản lý khóa được chỉ ra bởi IPSec bao gồm: khóa bằng tay (manual keying) và IKE, trong đó IKE dựa trên ISAKMP/Oakley. IKE có ba chế độ cho việc trao đổi khóa và thiết lập SAs: main, aggressive và quickmode.

                  Hai chế độ đầu tiên là của giai đoạn 1 (main và aggressive) trong đó thiết lập các kênh an toàn ban đầu – IKE SA. Một chế độ khác gọi là pha 2 (quick), trong chế độ này IPSEC SA sẽ được bắt tay. Mặc dù quá trình bảo vệ danh xưng không cần, chỉ có aggressive mode có thể được dùng để giảm thời gian cho quá trình bắt tay này.

                  Trong ISAKMP, pha 1 diển ra khi hai đối tác ISAKMP thiết lập một kết giao tiếp an toàn, đã xác thực. Các chế độ main và aggressive sẽ hoàn thành pha 1 và chỉ liên quan đến pha 1. Pha 2 diễn ra khi SA sẽ bắt đầu tiếp tục bắt tay trên các dịch vụ khác như IPSEc hoặc các dịch vụ yêu cầu các thông số khác. Chế độ quickmode sẽ hoàn tất quá trình trao đổi của pha 2 và chỉ được dùng trong pha 2. Trong IPSEc, pha 1 IKE sẽ dòm tìm IPSec Sa.

                  Hai chế độ sẽ được dùng trong giai đoạn này: main mode được dùng trong phần lớn các tình huống và aggressive mode được dùng trong một số tình huống khác. Aggressive mode thường là tiêu biểu cho các tình huống khi quá trình xác thực là không cần thiết hoặc đã được thực hiện trước đó). Người dùng sẽ không có cách kiểm sóat chế đô nào sẽ được dùng. Chế độ này là tự động và phụ thuộc vào cấu hình các thông số được cấu hình bởi hai đầu.

                  Trong pha 2, IKE sẽ bắt tay IPSec Sa và chỉ dùng quickmode. Các thông số và chức năng của IKE và IPSec và sự khác nhau giữa hai chế độ này được hiển thị trong hình:

                  Hình 19-10:



                  IPSec SA sẽ kết thúc thông qua quá trình xóa hoặc timeout. Khi SA kết thúc, khóa sẽ bị bỏ. Khi các IPSec SA là cần thiết, IKE sẽ thực hiện pha 2 mới, và nếu cần thiết, pha 1 mới sẽ được bắt tay. Một quá trình bắt tay thành công sẽ có kết quả là các SAs mới và khóa mới. Các SAs mới có thể được thiết lập trước khi các SAs bị hết hạn, và vì vậy một dòng dữ liệu mới có thể được truyền mà không bị ngắt quãng.


                  III.3.4. IPSec Modes
                  Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

                  Email : dangquangminh@vnpro.org
                  https://www.facebook.com/groups/vietprofessional/

                  Comment


                  • #10
                    Re: Một chút thắc mắc về kết nối VPN mong được trả lời

                    III.3.4. IPSec Modes

                    IPSec cung cấp một cơ chế giao tiếp tin cậy giữa hai host, hoặc từ 1 host đến một gateway hoặc giữa hai security gateway. Một security gateway là một thiết bị, chẳng hạn như một router hoặc một firewall hoặc một VPN concentrator cung cấp dịch vụ IPSec và truyền traffic qua tunnel đến đầu kia của tunnel. IPSec có thể hoạt động ở một trong hai chế độ: transport mode và tunnel mode.

                    Trong transport mode, AH và ESP sẽ được đặt sau IP header nguyên thủy. Vì vậy chỉ có tải (IP payload) là được mã hóa và IP header ban đầu là được giữ nguyên vẹn. Transport mode có thể được dùng khi cả hai host hỗ trợ IPSec. Chế độ transport này có thuận lợi là chỉ thêm vào vài bytes cho mỗi packets và nó cũng cho phép các thiết bị trên mạng thấy được địa chỉ đích cuối cùng của gói. Khả năng này cho phép các tác vụ xử lý đặc biệt trên các mạng trung gian (ví dụ như QoS) dựa trên các thông tin trong IP header. Tuy nhiên các thông tin Layer 4 sẽ bị mã hóa, làm giới hạn khả năng kiểm tra của gói.

                    Hiíh 19-4


                    Trong tunnel mode, toàn bộ gói IP ban đầu sẽ bị đóng gói bởi AH hoặc ESP và một IP header mới sẽ được bao bọc xung quanh gói dữ liệu. Toàn bộ các gói IP sẽ được mã hóa và trở thành dữ liệu mới của gói IP mới. Chế độ này cho phép những thiết bị mạng, chẳng hạn như router, hoạt động như một IPSec proxy thực hiện chức năng mã hóa thay cho host. Router nguồn sẽ mã hóa các packets và chuyển chúng dọc theo tunnel. Router đích sẽ giải mã gói IP ban đầu và chuyển nó về hệ thống cuối. Vì vậy header mới sẽ có địa chỉ nguồn chính là gateway.

                    Với tunnel hoạt động giữa hai security gateway, địa chỉ nguồn và đích có thể được mã hóa. Tunnel mode được dùng khi một trong hai đầu của kết nối IPSec là security gateway và địa chỉ đích thật sự phía sau các gateway không có hỗ trợ IPSec.

                    Hình 19-15


                    Giải thuật mặc định để tính toán checksum là hash-based message authentication-code (HMAC) kết hợp với MD5. Một cách khác nữa là HMAC sẽ kết hợp với SHA-1. Khi một thông điệp được nhận, checksum sẽ được tính toán và so sánh nó với giá trị được nhận. Bên nhận sẽ có thể kiểm tra xem là thông điệp đã bị thay đổi trong khi truyền hay không.


                    IP ESP and RFC 2406

                    ESP header được thiết kế để cung cấp 1 tất cả các đặc điểm bảo mật trong Ipv.4 và IP v.6. ESP có thể áp dụng riêng lẽ hoặc dùng kêt hợp với AH. ESP có thể được áp dụng giữa hai host giao tiếp, giữa hai security gateway và giữa 1 gateway và 1 host.

                    Hình 19-16


                    ESP cho phép truyền dữ liệu bảo mật, xác thực nguồn gốc dữ liệu, toàn vẹn dữ liệu và dịch vụ anti-replay. Các dịch vụ được cho phép phụ thuộc vào các tùy chọn ở thời điểm mà SA được thiết lập. ESP header sẽ được chèn vào sau IP header và trước các header của các giao thức lớp cao hơn. Hình 19-17 sẽ cho thấy IP v4 bị thay đổi như thế nào trong transport mode và 19-18 sẽ cho thấy các gói Ipv4 được truyền như thế nào trong tunnel mode.

                    Hình 19-17

                    Tính bảo mật trong ESP đạt được thông qua quá trình mã hóa. Mã hóa là quá trình nhận một đoạn text vào, chuyển qua một giải thuật toán và tạo ra một đoạn dữ liệu đã mã hóa. Quá trình giải mã là quá trình ngược lại. Các giải thuật mã hóa thường dựa trên một giá trị, gọi là một khóa, để mã hóa và giải mã.

                    Có hai dạng mã hóa được dùng ngày nay:

                    Mã hóa đồng bộ (khóa dùng chung) và mã hóa bất đồng bộ (public/private key). Mã hóa đồng bộ thì nhanh hơn mã hóa bất đồng bộ khoảng 1000 lần. Thông thường, với các giải thuật thiết kế tốt, các khóa dài hơn sẽ dẫn đến độ bảo mật cao hơn bởi vì nếu dùng brute-force thì phải thử nhiều trường hợp hơn.

                    ESP hỗ trợ cho một số giải thuật nén đồng bộ. DES là thuât giải mặc định dùng 56-bit và đã được sử dụng 20 năm. Tuy nhiên DES có thể bị tấn công kiểu brute-force. Vì vậy 3DES là chuẩn được khuyến cáo cho hầu hết các doanh nghiệp.

                    ESP mã hoa các thông tin về giao thức (ví dụ như TCP header) và dữ liệu thật sự. Dịch vụ xác thực của ESP không bảo vệ IP header mới.

                    Tháng 5 năm 2002, AES trở thành giải thuật mã hóa sau cùng được chấp thuận để bảo vệ truyền dữ liệu. AES là giải thuật mới, nhanh và an toàn hơn các giải thuật cũ. AES có 3 loại khóa khác nhau: 128, 192 và 256 bit.
                    Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

                    Email : dangquangminh@vnpro.org
                    https://www.facebook.com/groups/vietprofessional/

                    Comment


                    • #11
                      Re: Một chút thắc mắc về kết nối VPN mong được trả lời

                      Hình 19-17


                      Hình 19-18


                      III.3.5. Authentication in VPN
                      Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

                      Email : dangquangminh@vnpro.org
                      https://www.facebook.com/groups/vietprofessional/

                      Comment


                      • #12
                        Luôn tiện cho em hỏi một tí về băng thông : Khi tạo 10 đường hầm (VPN tunnel) cùng một lúc vào thiết bị VPN thì cần phải thuê đường truyền Internet với tốc độ là bao nhiêu ? nếu tất cả các VPN Client đều sử dụng dial-up (56kbps), dữ liệu được mã hóa là DES hay 3DES.
                        If I\'m wrong, please Correct me !!!!.
                        Thanks so much, my friends !!!!!!

                        prepro

                        Comment


                        • #13
                          Re: Một chút thắc mắc về kết nối VPN mong được trả lời

                          III.3.5. Quá trình xác thực trong VPN

                          Quá trình xác thực trong VPN bao gồm:

                          • Xác thực client, nhóm VPN và mật mã nhóm.
                          • Xác thực người dùng
                          • Quản lý khóa , giải thuật DH, phương pháp luận
                          • Cisco and IPSec message authentication (integrity) and condentiality


                          III.3.5.1. Client Authentication, VPN Group Name, and Group Password

                          Tên nhóm và mật mã của nhóm giúp đơn giản hóa một chính sách cần định nghĩa (policy) bởi vì một người dùng có thể là thành viên của một nhóm có chung một policy.

                          Ví dụ, chỉ cần một thay đổi nhỏ cho một nhóm thì sẽ tác động đến tất cả các thành viên trong nhóm đó. Nhóm và người dùng là các thành phần chủ chốt trong quản lý bảo mật của VPN. Dùng nhóm sẽ đơn giản hóa vấn đề quản lý hệ thống. Bước đầu có thể cấu hình một nhóm cơ bản, sau đó đến từng nhóm riêng và sau cùng là cấu hình từng thành viên của nhóm.

                          Khi cấu hình nhóm và người dùng, chỉ những thuộc tính khác với thuộc tính được định nghĩa trong nhóm cơ bản mới cần phải được định nghĩa. Tất cả các thuộc tính còn lại sẽ được kế thừa từ nhóm cơ bản.


                          Tên nhóm và mật mã của nhóm được lưu trữ cục bộ trên server/concentrator. Khi client cố gắng kết nối vào, client phải cung cấp tên nhóm và mật mã để được công nhận như là một người dùng hợp lệ. Sau khi đã bắt tay thành công, một thông điệp có tên là:
                          Peer Is a Cisco Unity Compliant Peer sẽ đươc tạo ra bởi cả hai thiết bị.

                          Một đặc tính quan trọng khác nữa là nguời quản trị có thể kết hợp các người dùng khác nhau vào các nhóm khác nhau. Ví dụ, một vài người dùng có NAT được cấu hình. Khi nhóm người dùng này kết nối vào concentrator, concentrator phải nhận ra và thực hiện điều chỉnh cách xử lý gói tin bị NAT của nhóm người này. Concentrator phải xác định là người dùng đang được NAT hay không dựa trên tên nhóm và mật mã dùng khi kết nối.

                          III.3.5.2. User/Identity Authentication

                          Một trong những chức năng cơ bản của trao đổi khóa là đảm bảo quá trình trao đổi diễn ra giữa các nguồn tin cậy. Điều này yêu cầu quá trình kiểm tra danh xưng và nó liên quan đến đặc tính non-repudiation. Các danh xưng của người dùng sử dụng các chữ ký điện tự và các cơ chế xác thực. Phần mềm Cisco VPN hỗ trợ các chứng thực điện tử sau:

                          • Simple Certicate Enrollment Protocol (SCEP) and certicates enrolled with
                          Microsoft Internet Explorer.
                          • Supported certification authorities (CAs) bao gồm Entrust, GTE Cybertrust,
                          Netscape, Baltimore, RSA, Keon, Verisign, and Microsoft.
                          • Entrust Intelligence Client support.
                          • Smartcards are supported through MS CAPI (CRYPT_NOHASHOID), and include
                          Activcard (Schlumberger cards), eAladdin, and Gemplus.

                          Các cơ chế xác thực bao gồm:

                          • RADIUS:
                          — State/Reply Message attributes (token cards)
                          — Security dynamics (RSA SecurID Ready)
                          — Microsoft NT domain authentication
                          — MSCHAPv2—NT password expiration
                          — X.509v3 digital certicates

                          • Extended Authentication (XAUTH) bên trong IKE: kiểm tra xác thực người dùng với IKE. XAUTH sẽ yêu cầu người dùng nhập username/mật mã. Thông tin này sau đó sẽ được kiểm tra thông qua việc sử dụng TACACS+/ RADIUS.



                          Quá trình kiểm tra xác thực của người dùng diễn ra giữa pha 1 và pha 2. Nếu người dùng đã xác thực thành công, quá trình thiết lập pha 2 (IPSEC SA) cho phép người dùng có thể gửi dữ liệu an toàn trên mạng. Nếu người dùng thất bại trong quá trình xác thực, sẽ không có pha 2 nào được thiết lập và người dùng sẽ không thể gửi dữ liệu.



                          III.3.5.3. Key Management, DH Algorithm, and Methodology:


                          Dịch vụ bảo mật (confidentialy) có thể được chọn lựa một cách độc lập với các dịch vụ khác. Tuy nhiên, việc sử dụng confidentialy mà không dùng kết hợp với các dịch vụ khác như integrity/authentication có thể là đối tượng của những kiểu tấn công. Vì vậy, quá trình xác thực được xem như là một chọn lựa kèm theo với condentiality. RFC 2401 định nghĩa hai phưong thức của xác thực và quản lý khóa. Các phuơng thức quản lý khóa hợp lệ bao gồm:

                          • Preshared keys
                          • Digital signature standard (DSS) signatures
                          • RSA signatures
                          • Encryption with RSA
                          • Revised encryption with RSA

                          trước khi IKE băt đầu, hai bên phải đồng ý là sẽ xác thực với nhau. Phương thức xác thực này được bắt tay trong IKE main mode. Các cơ chế sau đây được sử dụng:

                          • Cơ chế khóa biết trước bao gồm quá trình cài đặt bằng tay cùng khóa trên mỗi đầu kết nối.
                          • Các khóa đã mã hóa được tạo ra bởi cập khóa public/private. Sau đó khóa public của từng peer sẽ được sao chép cho tất cả các peer khác.
                          • Các xác thực điện tử được tạo ra bởi một bên thứ ba, gọi là CA để kiểm tra tính hợp lệ của từng peer.

                          Khi có thêm người dùng ở xa, một mức thứ nhì của quá trình xác thực người dùng diễn ra sau khi thiết bị đã được xác thực trong IKE SA. Một đầu sẽ khởi tạo một XAUTH đến người dùng ở xa, trong đó yêu cầu username/password. Sau khi quá trình xác thực đã hoàn thành, pha 2 sẽ kết nối mạng ở xa và mạng cục bộ.

                          Giải thuật DH vẫn được xem là giải thuật mã hóa mạnh nhất. Trong trao đổi khóa kiểu này, hai bên sẽ đồng ý với nhau một khóa bí mật duy nhất, được biết bởi chỉ 2 bên. Khóa bí mật này (shared secret key) sau đó sẽ mã hóa các giao tiếp giữa hai bên. Khóa này cũng được dùng để mã hóa các khóa đồng bộ (hoặc khóa để mã hóa dữ liệu – DES, 3DES, CAST…). Các hệ thống khóa sử dụng 2 khóa: khóa riêng (người dùng giữ khóa này bí mật) và khóa công cộng (có thể chia sẽ cho thế giới). Tuy nhiên cần chú ý là các khóa bất đồng bộ là khá chậm. Một thực tế hay được dùng ngày nay là dùng các khóa đồng bộ để mã hóa dữ liệu và hệ thống khóa bất đồng bộ để mã hóa các khóa đồng bộ. Đây là cách dùng DH.

                          Nền tảng cho giải thuật SH là độ khó trong quá trình tính toán logs trong toán học. Quá trình bắt đầu khi mỗi bên của kết nối tạo ra một khóa riêng. Mỗi bên sẽ tạo ra một khóa công cộng, là một dẫn xuất của khóa riêng, Hai hệ thống sẽ trao đổi khóa công cộng , sao cho mỗi phía kết nối sẽ có (1 khóa riêng của nó + khóa công cộng của đối tác).

                          Qui trình trao đổi khóa dùng DH vẫn có thể bị kiểu tấn công man-in-the-middle bời vì các đối tác tham dự đã không được xác thực. Quá trình tấn công bao gồm một ai đó giả lập khóa công cộng giả và gửi những khóa công cộng tùy ý. MIM có thể giả lập các traffic đã mã hóa, sau đó giải mã, chép và thay đổi nó, tái mã hóa với khóa giả rồi sau đó forward đi. Nếu thành công, cả hai đầu nhận đều không biết rằng đã có sự can thiệp trung gian.

                          RFC 2401 định nghĩa perfect forward secrecy (PFS),trong đó một khóa bí mật dùng chung sẽ được làm mới khi kết hợp khóa hiện hành với một con số ngẫu nhiên để tạo ra một khóa mới. PFS sẽ bắt buộc tính toán lại khóa hiện thời bằng cách dùng khóa công cộng và kỹ thuật DH. PFS cho phép một khóa mới được tính lại mà không có mối liên quan nào đến khóa trước đó.

                          PFS thì gần giống với SA lifetime, trong đó một SA sẽ đuợc xác định thời gian mà SA còn hợp lệ. Nó cũng xác định rằng một khóa được làm mới hay được tính toán lại trong khoảng thời gian bao lâu. Một chu kỳ sống lifetime có thể được đo lường bằng giây, áp dụng vào cả IKE SA and IPSec SAs.

                          IV. THIẾT KẾ MẠNG REMOTE-ACCESS VPN
                          Đặng Quang Minh, CCIEx2#11897 (Enterprise Infrastructure, Wireless), DEVNET, CCSI#31417

                          Email : dangquangminh@vnpro.org
                          https://www.facebook.com/groups/vietprofessional/

                          Comment

                          Working...
                          X