Tìm hiểu cách thức hoạt động của Mạng riêng ảo PPTP VPN

     

Là một giao thức đường hầm, Mạng riêng ảo PPTP VPN bao gồm các gói dữ liệu giao thức mạng trong một IP. Sau khi gói được chấp nhận, bất kỳ bộ định tuyến hoặc máy nào gặp nó từ điểm đó sẽ xử lý nó như một gói tin IP. Lợi ích của việc chấp nhận IP là nó cho phép nhiều giao thức khác nhau được định tuyến trên một phương tiện chỉ IP, chẳng hạn như Internet.

Tìm hiểu về Mạng riêng ảo PPTP VPN

Điều đầu tiên cần hiểu về Mạng riêng ảo PPTP VPN là nó xoay quanh Microsoft RAS cho Windows NT. RAS cho phép quản trị mạng thiết lập máy chủ Windows NT với ngân hàng modem làm điểm quay số cho người dùng từ xa. Xác thực cho người dùng RAS diễn ra trên máy chủ NT và phiên mạng được thiết lập bằng giao thức PPP.

Thông qua kết nối PPP, tất cả các giao thức được RAS cho phép có thể được vận chuyển: TCP / IP, NetBEUI và IPX / SPX. Để người dùng RAS nó xuất hiện như thể họ đang trực tiếp kết nối với mạng LAN của công ty; họ không nhận thấy sự khác biệt giữa RAS thông qua quay số trực tiếp và RAS qua Internet.

Tìm hiểu cách thức hoạt động của Mạng riêng ảo PPTP VPN

Mạng riêng ảo PPTP VPN được thiết kế để cho phép người dùng kết nối với một máy chủ RAS từ bất kỳ điểm nào trên Internet và vẫn có cùng xác thực, mã hóa và truy cập mạng LAN công ty mà họ có thể quay số trực tiếp vào nó. Thay vì quay số vào modem kết nối với máy chủ RAS, người dùng cuối quay số vào ISP của họ và sử dụng PPTP để thiết lập “cuộc gọi” tới máy chủ qua Internet. PPTP và RAS sử dụng phương pháp xác thực và mã hóa để tạo mạng riêng ảo.

Có hai trường hợp phổ biến cho loại VPN này:

Trong trường hợp đầu tiên, một người dùng từ xa đang quay số vào một ISP với công tắc truy cập từ xa hỗ trợ Mạng riêng ảo PPTP VPN kết nối với máy chủ RAS; trong lần thứ hai, người dùng đang kết nối với một ISP không cung cấp Mạng riêng ảo PPTP VPN và phải khởi tạo kết nối PPTP trên máy khách của họ.

Quay số vào ISP hỗ trợ Mạng riêng ảo PPTP VPN

Quay số vào một ISP hỗ trợ Mạng riêng ảo PPTP VPN yêu cầu ba điều:

1. Mạng mà bạn muốn thiết lập các loại mạng riêng ảo VPN phải có máy chủ Windows NT 4.0 RAS được kích hoạt Mạng riêng ảo PPTP VPN. Bằng “PPTP-enabled”, chúng tôi có nghĩa là giao thức PPTP được cài đặt và có các cổng quay số VPN được thiết lập trong RAS. Máy chủ cũng phải có thể truy cập được từ Internet.

2. ISP của bạn phải sử dụng công tắc truy cập từ xa hỗ trợ PPTP, chẳng hạn như dòng Ascend MAX 4000 hoặc Trung tâm mạng toàn bộ doanh nghiệp kiểm soát Robot của Hoa Kỳ. (Cùng nhau, hai sản phẩm này chiếm một phần đáng kể trong thị trường phần cứng quay số ISP.)

3. ISP của bạn phải thực sự cung cấp dịch vụ PPTP cho người dùng và phải bật dịch vụ này cho tài khoản của bạn.

Để cung cấp một kịch bản điển hình, một văn phòng công ty trung tâm đã thiết lập một máy chủ Windows NT 4.0 chạy Mạng riêng ảo PPTP VPN và RAS.

Quay số vào ISP không hỗ trợ Mạng riêng ảo PPTP VPN

Để một ISP hỗ trợ Mạng riêng ảo PPTP VPN, họ phải sử dụng một trong các thiết bị chuyển mạch truy cập từ xa mà chúng tôi đã đề cập ở đầu chương này. Không phải mọi ISP đều sử dụng các thiết bị chuyển mạch truy cập từ xa đó và một số không sử dụng các thiết bị này.

Thay vào đó, họ có thể sử dụng modem kết nối với một thẻ nối tiếp multiport trong một hệ thống Unix, hoặc một số thiết bị máy chủ đầu cuối khác. Những người khác có thể có phần cứng thích hợp, nhưng chọn không triển khai Mạng riêng ảo PPTP VPN vì họ không muốn bị buộc phải hỗ trợ kỹ thuật cho các kết nối đường hầm. Bất kể lý do gì, có khả năng ISP của bạn không thể cung cấp PPTP; tuy nhiên, điều đó không có nghĩa là bạn không thể sử dụng nó.

Kịch bản này yêu cầu hai điều: đầu tiên, bạn lại cần phải có một máy chủ Windows NT 4.0 RAS với PPTP được cài đặt trên mạng của bạn, và nó phải được truy cập từ Internet; thứ hai, máy trạm Windows NT Workstation, Windows 95 hoặc Windows 98 của bạn phải có giao thức PPTP và mạng quay số được cài đặt.

Trên bộ định tuyến và tường lửa của công ty, cổng TCP / IP mà Mạng riêng ảo PPTP VPN tạo ra một ổ cắm phải được mở cho cả lưu lượng vào và ra. Nếu phần còn lại của mạng được bảo vệ bởi tường lửa không cho phép lưu lượng truy cập Internet vào và ra, thì một điểm nhập vào mạng LAN được thiết lập, được bảo vệ bởi xác thực dựa trên người dùng.

Phân tích gói Mạng riêng ảo PPTP VPN

Gói mạng riêng ảo PPTP VPN dựa trên một tiêu chuẩn Internet khác được gọi là giao thức Generic Routing Encapsulation (GRE), có thể được sử dụng để giao thức đường hầm qua Internet. Phiên bản PPTP, được gọi là GREv2, thêm phần mở rộng cho các tính năng cụ thể như ID cuộc gọi và tốc độ kết nối.

Gói Mạng riêng ảo PPTP VPN được tạo thành từ tiêu đề phân phối, tiêu đề IP, tiêu đề GREv2 và gói tải trọng. Tiêu đề phân phối là giao thức khung cho bất kỳ phương tiện nào mà gói tin đang đi qua, cho dù đó là Ethernet, chuyển tiếp khung hoặc PPP. Header IP chứa thông tin cần thiết cho datagram IP.

Chẳng hạn như chiều dài gói tin và địa chỉ nguồn và đích. Tiêu đề GREv2 chứa thông tin về loại gói được chấp nhận, cũng như dữ liệu PPTP cụ thể liên quan đến kết nối giữa máy khách và máy chủ. Cuối cùng, gói tải trọng là chính gói dữ liệu thích hợp.

Trong trường hợp PPP, gói dữ liệu này là dữ liệu phiên PPP gốc được gửi giữa máy khách và máy chủ, và bên trong nó có thể là các gói IP, IPX hoặc NetBEUI.

Quy trình sử dụng Mạng riêng ảo PPTP VPN

Quá trình sử dụng Mạng riêng ảo PPTP VPN cho người dùng quay số vào một ISP hỗ trợ PPTP như sau:

Bước 1:

Người dùng quay số vào bộ chuyển đổi truy cập từ xa của ISP bằng PPP. Giữa máy khách và bộ chuyển đổi truy cập từ xa lưu thông các gói PPP được bao quanh bởi các khung giao thức PPP cụ thể đang được phân phối.

Bước 2:

Khi chuyển đổi, các khung hình cụ thể truyền thông bị tước đi, và cuộc gọi sẽ kích hoạt công tắc truy cập từ xa để mở một phiên đường hầm PPTP qua Internet giữa chính nó và máy chủ NT RAS được kích hoạt Mạng riêng ảo PPTP VPN được chỉ định trong hồ sơ của người dùng. Công tắc truy cập từ xa gói tải trọng PPP trong tiêu đề GREv2, sau đó là tiêu đề IP.

Cuối cùng, gói tin nhận được một tiêu đề phân phối trước khi đi ra khỏi công tắc. Trong suốt hành trình của gói, tiêu đề phân phối có thể thay đổi tùy thuộc vào loại phương tiện mà gói đang được gửi đi. Ví dụ, nó có thể đi từ Ethernet, để chuyển tiếp frame, sang Ethernet một lần nữa, sang PPP qua ISDN, và sang Ethernet một lần nữa trước khi cuối cùng đạt đến đích tại máy chủ RAS.

Bước 3:

Máy chủ RAS xử lý kết nối PPTP đến như một cuộc gọi đến, giống như khi nó đang đến qua một modem. Nó loại bỏ tiêu đề phân phối, tiêu đề IP và tiêu đề GREv2 từ gói tải trọng. Sau đó nó xử lý kết nối PPP như bình thường nếu người dùng truy cập qua kết nối modem. Máy chủ RAS xác thực ứng dụng khách PPP bằng cách sử dụng bất kỳ phương thức xác thực nào được yêu cầu trên máy chủ RAS: xác thực được mã hóa của Microsoft, xác thực được mã hóa hoặc bất kỳ loại xác thực nào (bao gồm văn bản rõ ràng).

Bước 4:

Trước khi các gói tin từ máy khách đến được mạng LAN, khung PPP sẽ bị loại bỏ khỏi các gói dữ liệu IP, NetBEUI hoặc IPX đính kèm.

Trong một tình huống mà người dùng RAS đang quay số vào một ISP không hỗ trợ Mạng riêng ảo PPTP VPN, phần lớn quy trình là như nhau. Thay đổi duy nhất sẽ ở bước 2. Thay vì công tắc truy cập từ xa bắt đầu phiên PPTP với máy chủ RAS, máy khách tạo kết nối PPTP với máy chủ RAS bằng cách sử dụng Mạng quay số (như chúng tôi đã nói trước đó). Do đó, các gói PPTP được gửi qua kết nối PPP chuẩn mà máy khách đang thực hiện với công tắc truy cập từ xa của ISP.

Tại thời điểm đó trong kết nối, gói dữ liệu PPP của máy khách được chấp nhận bởi PPTP, nó lại được chấp nhận lại bởi PPP. Tại công tắc truy cập từ xa, lớp đầu tiên của PPP bị tước bỏ, và tiêu đề phân phối, tiêu đề IP, tiêu đề GREv2 và gói tải trọng vẫn còn.

Mặc dù điều này vạch ra cách một cuộc gọi PPTP ban đầu được đặt, giao tiếp giữa máy khách và máy chủ tiến hành theo thứ tự chấp nhận như thế nào. Sự khác biệt chính là việc xác thực không còn cần phải thực hiện địa điểm.

Bảo mật Mạng riêng ảo PPTP VPN

Giống như hầu hết các hệ thống bảo mật, PPTP có hai thành phần: xác thực để ngăn chặn các kết nối không đúng và mã hóa dữ liệu được gửi sau khi kết nối được thực hiện.

Phương pháp xác thực RAS

Mạng riêng ảo PPTP VPN sử dụng xác thực RAS Windows NT. Các lựa chọn cho các kiểu xác thực khác nhau mà máy chủ RAS có thể chấp nhận được đặt trong các thuộc tính RAS trong “Thiết lập mã hóa.” Cài đặt này cho phép bạn chỉ định mức độ xác thực mà máy chủ RAS sẽ thực hiện đối với lần đăng nhập của máy khách. Phần này thảo luận về các tùy chọn bạn có: xác thực được mã hóa tiêu chuẩn, xác thực được mã hóa nâng cao của Microsoft và cho phép bất kỳ loại xác thực nào. Lựa chọn của bạn sẽ xác định mức độ bảo mật VPN của bạn.

Chấp nhận xác thực được mã hóa

Xác thực được mã hóa trong RAS thực sự là tiêu chuẩn xác thực Internet được gọi là CHAP (Giao thức xác thực bắt tay thử thách). CHAP được mô tả trong RFC 1994 như một phần mở rộng cho PPP trong đó mật khẩu văn bản rõ ràng không được truyền giữa máy khách và máy chủ. Thay vào đó, cả máy khách và máy chủ đều có một mật khẩu đã thỏa thuận, được gọi là “bí mật”, không bao giờ được gửi qua liên kết không được mã hóa.

Đây là cách xác thực CHAP xảy ra:

1. Máy chủ “không chấp nhận” máy khách để xác định chính nó khi máy khách cố kết nối.

2. Máy khách gửi bí mật thông qua thuật toán băm một chiều, MD5 của RSA. Thuật toán sử dụng các công thức toán học và các yếu tố ngẫu nhiên để đưa ra giá trị băm. “Một chiều” có nghĩa là giá trị băm không thể đảo ngược thành các phần tử gốc và việc sử dụng các phần tử ngẫu nhiên có nghĩa là ai đó đánh hơi kết nối sẽ ít có khả năng nhìn thấy cùng một giá trị hai lần. Giá trị băm được gửi qua kết nối đến máy chủ.

3. Máy chủ so sánh giá trị máy chủ được gửi tới phép tính giá trị băm của chính nó. Nếu hai giá trị khớp nhau, kết nối sẽ được xác thực. Nếu không, kết nối sẽ bị chấm dứt.

Một lợi ích khác của CHAP là quá trình xác thực này có thể diễn ra nhiều lần trong quá trình kết nối. Điều này hạn chế xác suất bị va chạm và có kẻ mạo danh “cướp” kết nối của bạn.

Trong trường hợp PPTP, bí mật là mật khẩu mà người dùng sử dụng để đăng nhập vào miền NT, cũng được biết bởi máy chủ RAS (trực tiếp hoặc thông qua dịch vụ miền NT).

Chấp nhận xác thực được mã hóa của Microsoft

Xác thực được mã hóa của Microsoft còn được gọi là MS-CHAP. MS-CHAP thực hiện băm MD4 của RSA, cũng như kỹ thuật băm DES. Các máy khách Windows 95/98 và Windows NT RAS sử dụng hàm băm MD4, không yêu cầu mật khẩu văn bản rõ ràng trên máy khách hoặc máy chủ. DES cho phép tương thích ngược với các máy khách RAS cũ hơn như Windows for Workgroups 3.11 và RAS 1.1a. Nếu không, MS-CHAP hoạt động giống như CHAP. Hạn chế chính của MS-CHAP là không phải mọi nền tảng đều có một máy khách PPP hỗ trợ nó.

Nếu người dùng từ xa của bạn là tất cả trên hệ thống Windows, tuy nhiên, đó là giao thức tốt nhất để sử dụng. Ngoài ra, bạn phải sử dụng nó để có được lợi ích bổ sung của mã hóa luồng dữ liệu qua PPTP. Chúng tôi sẽ giải thích lý do tại sao trong phần mã hóa dữ liệu.

Chấp nhận bất kỳ xác thực nào, bao gồm văn bản rõ ràng

Chấp nhận bất kỳ xác thực nào, bao gồm cả văn bản rõ ràng, có nghĩa là máy chủ RAS sẽ chấp nhận MS-CHAP, CHAP hoặc Giao thức xác thực mật khẩu (PAP). PAP từ lâu đã là một cách phổ biến để xác thực một kết nối PPP. Trên thực tế, hầu hết các ISP sử dụng xác thực PAP cho các kết nối quay số PPP của họ. Hạn chế chính của nó là nó gửi mật khẩu qua kết nối trong văn bản rõ ràng, có nghĩa là ai đó theo dõi kết nối giữa máy khách và máy chủ có thể xem trao đổi đăng nhập, sau đó đăng nhập sau đó với tư cách người đó.

PAP là phương pháp xác thực không phù hợp cho VPN, vì việc xác thực an toàn qua mạng công cộng là mục tiêu chính của VPN. Do đó, bạn nên yêu cầu xác thực CHAP hoặc MS-CHAP trên máy chủ PPTP của mình. Nếu người dùng từ xa của bạn sử dụng nhiều nền tảng khác nhau, bạn có thể thấy rằng không phải mọi khách hàng trên mọi nền tảng đều hỗ trợ xác thực CHAP hoặc MS-CHAP. Nếu bạn không thể tìm thấy thực thi CHAP cho một hệ điều hành cụ thể,

Mã hóa dữ liệu

Trong các thuộc tính RAS cho Windows NT, bạn sẽ tìm thấy một hộp kiểm để yêu cầu mã hóa dữ liệu cho kết nối RAS. Tùy chọn này sẽ làm cho tất cả dữ liệu đi qua luồng kết nối không thể đọc được với trình chặn. Bạn chỉ có thể kiểm tra hộp nếu tùy chọn yêu cầu xác thực mã hóa của Microsoft cũng được chọn, nghĩa là bạn chỉ có thể sử dụng nó nếu bạn đang sử dụng MS-CHAP. Lý do cho điều này là giá trị được tạo bởi băm MD4 được sử dụng bởi máy khách và máy khách RAS để lấy ra một khóa phiên để mã hóa. Thuật toán mã hóa được sử dụng là RC4 của RSA, với khóa phiên 40 bit.

Như chúng tôi đã nói trong Chương 2, luật xuất khẩu của Hoa Kỳ ngăn chặn việc phân phối mật mã có thể sử dụng các khóa phiên lớn hơn 40 bit. Mặt khác, các khóa của 40 bit thường được coi là quá dễ bị tổn thương khi truyền dữ liệu an toàn qua Internet. Để đáp ứng nhu cầu về các phương thức mã hóa tốt hơn, Microsoft đã bao gồm một mô-đun mã hóa “mạnh” 128 bit trong phiên bản duy nhất của dịch vụ Gói 3 của Hoa Kỳ cho Windows NT 4.0.

Hotline tư vấn miễn phí