An ninh mạng - Chương 5: Bảo đảm an toàn mạng

1CHƢƠNG 5 
BẢO ĐẢM AN TOÀN MẠNG
CuuDuongThanCong.com https://fb.com/tailieudientucntt
2Nội dung
I. Tổng quan về an ninh mạng.
II. Một số phương thức tấn công mạng
phổ biến.
III. Biện pháp đảm bảo an ninh mạng.
IV. Mạng riêng ảo VPN (Virtual Private
Networks).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
3V.1. Tổng quan về an ninh mạng
1. Khái niệm an ninh mạng
2. Các đặc trưng kỹ thuật của an toàn mạng
3. Các lỗ hổng và điểm yếu của mạng
4. Các biện pháp phát hiện hệ thống bị tấn công
CuuDuongThanCong.com https://fb.com/tailieudientucntt
4V.1.1. Khái niệm an ninh mạng
 Mục tiêu của việc kết nối mạng là để nhiều người sử dụng,
từ những vị trí địa lý khác nhau có thể sử dụng chung tài
nguyên, trao đổi thông tin với nhau.
 Do đặc điểm nhiều người sử dụng lại phân tán về mặt vật lý
nên việc bảo vệ các tài nguyên thông tin trên mạng, tránh
sự mất mát, xâm phạm là cần thiết và cấp bách.
 An ninh mạng có thể hiểu là cách bảo vệ, đảm bảo an
toàn cho tất cả các thành phần mạng bao gồm dữ liệu, thiết
bị, cơ sở hạ tầng mạng và đảm bảo mọi tài nguyên mạng
được sử dụng tương ứng với một chính sách hoạt động
được ấn định với những người có thẩm quyền tương ứng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
5An ninh mạng bao gồm:
 Xác định chính xác các khả năng, nguy cơ xâm phạm
mạng, các sự cố rủi ro đối với thiết bị, dữ liệu trên mạng để
có các giải pháp phù hợp đảm bảo an toàn mạng.
 Đánh giá nguy cơ tấn công của Hacker đến mạng, sự phát
tán virus...
 Phải nhận thấy an toàn mạng là một trong những vấn đề
cực kỳ quan trọng trong các hoạt động, giao dịch điện tử và
trong việc khai thác sử dụng các tài nguyên mạng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
6Khó khăn của việc bảo đảm an ninh mạng
 Một thách thức đối với an toàn mạng là xác định chính xác
cấp độ an toàn cần thiết cho việc điều khiển hệ thống và
các thành phần mạng.
 Đánh giá các nguy cơ, các lỗ hổng khiến mạng có thể bị
xâm phạm thông qua cách tiếp cận có cấu trúc.
 Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị,
nguy cơ virus, bọ gián điệp.., nguy cơ xoá, phá hoại CSDL,
ăn cắp mật khẩu,... nguy cơ đối với sự hoạt động của hệ
thống như nghẽn mạng, nhiễu điện tử...
 Đánh giá được hết những nguy cơ ảnh hưởng tới an ninh
mạng thì mới có thể có được những biện pháp tốt nhất.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
7Hình thức tấn công an ninh
 Về bản chất có thể phân loại các vi phạm thành hai loại vi
phạm thụ động và vi phạm chủ động.
 Thụ động và chủ động được hiểu theo nghĩa có can thiệp
vào nội dung và luồng thông tin có bị tráo đổi hay không.
 Vi phạm thụ động chỉ nhằm mục đích nắm bắt được thông
tin.
 Vi phạm chủ động là thực hiện sự biến đổi, xoá bỏ hoặc
thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằm
mục đích phá hoại.
 Các hành động vi phạm thụ động thường khó có thể phát
hiện nhưng có thể ngăn chặn hiệu quả. Trái lại vi phạm chủ
động rất dễ phát hiện nhưng lại khó ngăn chặn.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
8V.1.2. Các đặc trƣng kỹ thuật của an toàn mạng 
a. Tính xác thực (Authentification)
b. Tính khả dụng (Availability)
c. Tính bảo mật (Confidentialy)
d. Tính toàn vẹn (Integrity)
e. Tính khống chế (Accountlability)
f. Tính không thể chối cãi (Nonreputation)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
9a. Tính xác thực (Authentification)
 Kiểm tra tính xác thực của một thực thể giao tiếp trên
mạng. Một thực thể có thể là một người sử dụng, một
chương trình máy tính, hoặc một thiết bị phần cứng.
 Các hoạt động kiểm tra tính xác thực được đánh giá là
quan trọng nhất trong các hoạt động của một phương thức
bảo mật.
 Một hệ thống thông thường phải thực hiện kiểm tra tính xác
thực của một thực thể trước khi thực thể đó thực hiện kết
nối với hệ thống.
Cơ chế kiểm tra tín xác thực của các phương thức bảo
ật dựa vào 3 mô ình chính sau:
 Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví
dụ như Password, hoặc mã số thông số cá nhân PIN (Personal
Information Number).
 Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tra
cần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như
Private Key, hoặc số thẻ tín dụng.
 Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất,
đối tượng kiểm tra cần phải có những thông tin để định danh tính
duy nhất của mình ví dụ như thông qua giọng nói, dấu vân tay, chữ
ký ...
 Có thể phân loại bảo mật trên VPN theo các cách sau: mật
khẩu truyền thống hay mật khẩu một lần; xác thực thông
qua các giao thức (PAP, CHAP, RADIUS) hay phần cứng
(các loại thẻ card: smart card, token card, PC card), nhận
diện sinh trắc học (dấu vân tay, giọng nói, quét võng mạc)
CuuDuongThanCong.com https://fb.com/tailieudientucntt
10
Một số mức xác thực
password
Level 0
password One way 
function
Level 1
password
identity
One way 
function
Level 2
password
identity
timestamp
Encryptio
n
Level 3
CuuDuongThanCong.com https://fb.com/tailieudientucntt
11
One way functions
 Các hàm này được đưa ra nhằm mục đích “xáo trộn” thông
tin đầu vào sao cho thông tin đầu ra không thể được phục
hồi thành thông tin ban đầu.
 Hàm exclusive-OR (XOR):
C = b1 b2 b3  bn
 Tuy nhiên hàm XOR có thể bị bẻ khóa dễ dàng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
12
Thuật toán “Tiêu hoá” MD5
 Dùng cho chứng nhận thông tin đòi hỏi tính bảo mật cao.
 Làm thế nào chúng ta biết được thông tin gửi đến không bị
thay đổi?
message
MD5
digest MD5
= ?
CuuDuongThanCong.com https://fb.com/tailieudientucntt
13
Xác thực mức cao - tạo chữ ký số
Bản 
tóm lược
Hàm băm
Gắn với 
thông điệp dữ liệu
Mã hóa
Thông điệp dữ liệu
Khóa bí mật
Chữ ký số
Thông điệp dữ liệu 
được ký số
CuuDuongThanCong.com https://fb.com/tailieudientucntt
14
Thẩm định chữ ký số
Bản 
tóm lược
Hàm băm
Tách
Giải mã Thông điệp dữ liệu
Khóa công khai
Chữ ký số
Thông điệp dữ liệu 
 ... t
34
V.3.2. Bức tƣờng lửa (Firewall)
 Firewall là một hệ thống dùng để tăng cường khống chế
truy xuất, phòng ngừa đột nhập bên ngoài vào hệ thống sử
dụng tài nguyên của mạng một cách phi pháp.
 Tất cả thông tin đến và đi nhất thiết phải đi qua Firewall và
chịu sự kiểm tra của bức tường lửa. Firewall có 5 chức
năng lớn sau:
 Lọc gói dữ liệu đi vào/ra mạng lưới.
 Quản lý hành vi khai thác đi vào/ra mạng lưới
 Ngăn chặn một hành vi bất hợp pháp nào đó.
 Ghi chép nội dung tin tức và hoạt động qua bức tường lửa.
 Tiến hành đo thử giám sát và cảnh báo sự tấn công đối với
mạng lưới.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
35
Ƣu điểm, nhƣợc điểm của bức tƣờng lửa
a. Ưu điểm:
 Bảo vệ mạng nội bộ. Cho phép người quản trị mạng xác
định một điểm khống chế ngăn chặn để phòng ngừa tin
tặc, kẻ phá hoại, xâm nhập mạng nội bộ.
 Cấm không cho các loại dịch vụ kém an toàn ra vào mạng,
đồng thời chống trả sự công kích đến từ các đường khác.
 Tính an toàn tập trung, tính an toàn mạng được củng cố
trên hệ thống Firewall mà không phải phân bố trên tất cả
máy chủ của mạng.
 Bảo vệ những dịch vụ yếu kém trong mạng. Firewall dễ
dàng giám sát tính an toàn mạng và phát ra cảnh bảo.
 Firewall có thể giảm đi vấn đề không gian địa chỉ và che
dấu cấu trúc của mạng nội bộ.
 Tăng cường tính bảo mật, nhấn mạnh quyền sở hữu.
 Firewall được sử dụng để quản lý lưu lượng từ mạng ra
ngoài, xây dựng phương án chống nghẽn.
b. Nhược điểm
 Hạn chế dịch vụ có ích, vì để nâng cao tính an toàn mạng,
người quản trị hạn chế hoặc đóng nhiều dịch vụ có ích của
mạng.
 Không phòng hộ được sự tấn công của kẻ phá hoại trong
mạng nội bộ.
 Không thể ngăn chăn sự tấn công thông qua những con
đường khác ngoài bức tường lửa.
 Firewall Internet không thể hoàn toàn phòng ngừa được sự
phát tán phần mềm hoặc tệp đã nhiễm virus.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
36
Lọc gói tin tại firewall
CuuDuongThanCong.com https://fb.com/tailieudientucntt
37
V.3.3. Các loại Firewall 
 Firewall lọc gói:
- Thường là một bộ định tuyến có lọc.
- Khi nhận một gói dữ liệu, nó quyết định cho phép qua
hoặc từ chối bằng cách thẩm tra gói tin để xác định quy tắc
lọc gói dựa vào các thông tin của Header để đảm bảo quá
trình chuyển phát IP.
 Firewall cổng mạng hai ngăn:
- Là loại Firewall có hai cửa nối đến mạng khác.
- Ví dụ một cửa nối tới một mạng bên ngoài không tín
nhiệm còn một cửa nối tới một mạng nội bộ có thể tín
nhiệm.
- Đặc điểm lớn nhất Firewall loại này là gói tin IP bị chặn lại.
 Firewall che chắn (Screening):
- Máy chủ bắt buộ ó sự kết nối tới tất cả máy chủ bên
ngoài với máy chủ kiên cố, không cho phép kết nối trực tiếp
với áy chủ nội bộ.
- Firewall che chắn máy chủ là do bộ định tuyến lọc gói và
máy chủ kiên cố hợp thành.
- Hệ thống Firewall có cấp an toàn cao hơn so với hệ thống
Firewall lọc gói thông thường vì nó đảm bảo an toàn tầng
mạng (lọc gói) và tầng ứng dụng (dịch vụ đại lý).
 Firewall e chắn mạng con:
- Hệ thống Firewall che chắn mạng con dùng hai bộ định
tuyến lọc gói và một máy chủ kiên cố, cho phép thiết lập
hệ thống Firewall an toàn nhất, vì nó đảm bảo chức năng
an toàn tầng mạng v tầng ứng dụng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
38
V.3.4. Kỹ thuật Firewall
 Lọc khung (Frame Filtering):
 Hoạt động trong tầng 2 của mô hình OSI, có thể lọc,
kiểm tra được ở mức bit và nội dung của khung tin
(Ethernet/802.3, Token Ring 802.5, FDDI,...).
 Trong tầng này các khung dữ liệu không tin cậy sẽ bị từ
chối ngay trước khi vào mạng
- Một số Firewall hoạt động ở tầng mạng (tương tự như một
Router) thường cho phép tốc độ xử lý nhanh vì chỉ kiểm tra
địa chỉ IP nguồn mà không thực hiện lệnh trên Router,
không xác định địa chỉ sai hay bị cấm.
- Nó sử dụng địa chỉ IP nguồn làm chỉ thị, nếu một gói tin
mang địa chỉ nguồn là địa chỉ giả thì nó sẽ chiếm được
quyền truy nhập vào hệ thống.
- Tuy nhiên có nhiều biện pháp kỹ thuật có thể được áp
dụng cho việc lọc gói tin nhằm khắc phục nhược điểm trên,
ngoài trường địa chỉ IP được kiểm tra, còn có các thông tin
khác được kiểm tra với các quy tắc được tạo ra trên
Firewall, các thông tin này có thể là thời gian truy nhập,
giao thức sử dụng, cổng ...
 Lọc gói (Packet Filtering):
 Kiểu Firewall chung nhất là kiểu dựa trên tầng mạng của
mô hình OSI.
 Lọc gói cho phép hay từ chối gói tin mà nó nhận được.
 Nó kiểm tra toàn bộ đoạn dữ liệu để quyết định xem
đoạn dữ liệu đó có thoả mãn một trong số các quy định
của lọc Packet hay không.
 Các quy tắc lọc Packet dựa vào các thông tin trong
Packet Header.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
39
III.5. Kỹ thuật Proxy
 Là hệ thống Firewall thực hiện các kết nối thay cho các kết
nối trực tiếp từ máy khách yêu cầu.
 Proxy hoạt động dựa trên phần mềm. Khi một kết nối từ
một người sử dụng nào đó đến mạng sử dụng Proxy thì kết
nối đó sẽ bị chặn lại, sau đó Proxy sẽ kiểm tra các trường
có liên quan đến yêu cầu kết nối.
 Nếu việc kiểm tra thành công, có nghĩa là các trường thông
tin đáp ứng được các quy tắc đã đặt ra, nó sẽ tạo một cầu
kết nối giữa hai node với nhau.
Ưu điểm của kiểu Firewall loại này là không có chứ năng
chuyển tiếp các gói tin IP, và có thể điểu khiển một cách chi
tiết hơn các kết nối thông qua Firewall. Cung cấp nhiều
công cụ cho phép ghi lại các quá trình kết nối. Các gói tin
chuyển qua Firewall đều được kiểm tra kỹ lưỡng với các
quy tắc trên Firewall, điều này phải trả giá cho tốc độ xử lý.
 Khi một máy chủ nhận các gói tin từ mạng ngoài rồi chuyển
chúng vào mạng trong, sẽ tạo ra một lỗ hổng cho các kẻ
phá hoại (Hacker) xâm nhập từ mạng ngoài vào mạ
trong.
 Nhược điểm của kiểu Firewall này là hoạt động dựa trên
trình ứng dụng uỷ quyền (Proxy).
CuuDuongThanCong.com https://fb.com/tailieudientucntt
40
V.4. Mạng riêng ảo (VPN-Virtual Private Network)
1. Khái niệm
2. Kiến trúc của mạng riêng ảo
3. Những ưu điểm của mạng VPN
4. Giao thức PPTP (Point to Point Tunnelling
Protocol)
5. Giao thức L2F (Layer Two Forwarding Protocol)
6. Giao thức L2TP (Layer Two Tunnelling Protocol)
7. Giao thức IPSEC
CuuDuongThanCong.com https://fb.com/tailieudientucntt
41
V.4.1. Khái niệm mạng riêng ảo
 Mạng máy tính ban đầu được triển khai với 2 kỹ thuật
chính: đường thuê riêng (Leased Line) cho các kết nối cố
định và đường quay số (Dial-up) cho các kết nối không
thường xuyên.
 Các mạng này có tính bảo mật cao, nhưng khi lưu lượng
thay đổi và đòi hỏi tốc độ cao nên đã thúc đẩy hình thành
một kiểu mạng dữ liệu mới, mạng riêng ảo.
 Mạng riêng ảo được xây dựng trên các kênh logic có tính
“ảo”. Xu hướng hội tụ của các mạng trên nền NGN tạo điều
kiện cho sự xuất hiện nhiều dịch vụ mới, trong đó có dịch
vụ mạng riêng ảo.
 Mạng riêng ảo là một mạng máy tính, trong đó các điểm
của khách hàng được kết nối với nhau trên một cơ sở hạ
tầng chia sẻ với cùng một chính sách truy nhập và bảo mật
như trong mạng riêng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
42
 Có 2 dạng chính mạng riêng ảo VPN là:
 Remote Access VPN: cho phép thực hiện các kết nối
truy nhập từ xa đối với người sử dụng di động (máy tính
cá nhân hoặc các Personal Digital Assistant) với mạng
chính (LAN hoặc WAN) qua đường quay số, ISDN,
đường thuê bao số DSL.
 Site- to - Site VPN: dùng để kết nối các mạng tại các vị trí
khác nhau thông qua kết nối VPN.
 Có thể chia thành 2 loại khác:
 Intranet VPN kết nối các văn phòng ở xa với trụ sở chính
thường là các mạng LAN với nhau.
 Extranet VPN là khi Intranet VPN của một khách hàng
mở rộng kết nối với một Intranet VPN khác.
V.4.1. Khái niệm mạng riêng ảo
CuuDuongThanCong.com https://fb.com/tailieudientucntt
43
 Bảo mật là một yếu tố quan trọng bảo đảm cho VPN hoạt
động an toàn và hiệu quả. Kết hợp với các thủ tục xác thực
người dùng, dữ liệu được bảo mật thông qua các kết nối
đường hầm (Tunnel) được tạo ra trước khi truyền dữ liệu.
 Tunnel là kết nối ảo điểm - điểm (Point to Point) và làm cho
mạng VPN hoạt động như một mạng riêng.
 Dữ liệu truyền trên VPN có thể được mã hoá theo nhiều
thuật toán khác nhau với các độ bảo mật khác nhau.
 Người quản trị mạng có thể lựa chọn tuỳ theo yêu cầu bảo
mật và tốc độ truyền dẫn.
 Giải pháp VPN được thiết kế phù hợp cho những tổ chức
có xu hướng tăng khả năng thông tin từ xa, các hoạt động
phân bố trên phạm vi địa lý rộng và có các cơ sở dữ liệu,
kho dữ liệu, hệ thống thông tin dùng riêng với yêu cầu đảm
bảo an ninh cao.
V.4.1. Khái niệm mạng riêng ảo
CuuDuongThanCong.com https://fb.com/tailieudientucntt
44
V.4.2. Kiến trúc của mạng riêng ảo
 Hai thành phần cơ bản của Internet tạo nên mạng riêng ảo
VPN, đó là:
 Đường hầm (Tunnelling) cho phép làm “ảo” một mạng
riêng.
 Các dịch vụ bảo mật đa dạng cho phép dữ liệu mang
tính riêng tư.
 Đường hầm:
 Là kết nối giữa 2 điểm cuối khi cần thiết.
 Khi kết nối này sẽ được giải phóng khi không truyền dữ liệu
dành băng thông cho các kết nối khác.
 Kết nối này mang tính logic “ảo” không phụ thuộc vào cấu trúc
vật lý của mạng.
 Nó che giấu các các thiết bị như bộ định tuyến, chuyển mạch
và trong suốt đối với người dùng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
45
Cấu trúc một đƣờng hầm
CuuDuongThanCong.com https://fb.com/tailieudientucntt
46
Đƣờng hầm trong các cấu trúc LAN và Client
CuuDuongThanCong.com https://fb.com/tailieudientucntt
47
Cách thức tạo đƣờng hầm
 Đường hầm được tạo ra bằng cách đóng gói các gói tin
(Encapsulate) để truyền qua Internet. Đóng gói có thể mã hoá
gói gốc và thêm vào tiêu đề IP mới cho gói. Tại điểm cuối, dạng
gói tin tạo đường hầm: IP Header, AH, ESP, Tiêu đề và dữ liệu.
 Đường hầm có 2 loại: Thường trực (Permanent) và tạm thời
(Temporary hay Dynamic).
 Thông thường các mạng riêng ảo VPN sử dụng dạng đường
hầm động. Đường hầm động rất hiệu quả cho VPN, vì khi không
có nhu cầu trao đổi thông tin thì được huỷ bỏ.
 Đường hầm có thể kết nối 2 điểm cuối theo kiểu LAN- to - LAN
tại các cổng bảo mật (Security Gateway), khi đó người dùng trên
các LAN có thể sự dụng đường hầm này. Còn đối với trường
hợp Client- to - LAN, thì Client phải khởi tạo việc xây dựng
đường hầm trên máy người dùng để thông tin với cổng bảo mật
để đến mạng LAN đích.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
48
V.4.3. Những ƣu điểm của mạng VPN
 Chi phí:
 Công nghệ VPN cho phép tiết kiệm đáng kể chi phí thuê
kênh riêng hoặc các cuộc gọi đường dài bằng chi phí
cuộc gọi nội hạt.
 Hơn nữa, sử dụng kết nối đến ISP còn cho phép vừa sử
dụng VPN vừa truy nhập Internet.
 Công nghệ VPN cho phép sử dụng băng thông đạt hiệu
quả cao nhất. Giảm nhiều chi phí quản lý, bảo trì hệ
thống.
 Truy hập dễ dàng:
 Người sử dụng trên VPN, ngoài việc sử dụng các tài
nguyên trên VPN còn được sử dụng các dịch vụ khác
của Internet mà không cần quan tâm đến phần phức tạp
ở tầng dưới.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
49
V.4.4. Giao thức PPTP (Point to Point Tunnelling Protocol)
 PPP là giao thức tầng 2-Data link, truy nhập mạng WAN
như HDLC, SDLC, X.25, Frame Relay, Dial on Demand.
 PPP có thể sử dụng cho nhiều giao thức lớp trên như
TCP/IP, Novell/IPX, Apple Talk nhờ sử dụng NCP -
Network Control Protocol.
 PPP sử dụng Link Control Protocol để thiết lập và điều
khiển các kết nối. PPP sử dụng giao thức xác thực PAP
hoặc CHAP.
 PPTP dựa trên PPP để thực thi các chức năng sau:
 Thiết lập và kết thúc kết nối vât lý.
 Xác thực người dùng
 Tạo gói dữ liệu PPP.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
50
V.4.5. Giao thức L2F (Layer Two Forwarding Protocol)
 Giao thức L2FP do hãng Cisco phát triển, dùng để truyền
các khung SLIP/PPP qua Internet. L2F hoạt động ở tầng 2
(Data Link) trong mô hình OSI.
 Cũng như PPTP, L2F được thiết kế như là một giao thức
Tunnel, sử dụng các định nghĩa đóng gói dữ liệu riêng của
nó để truyền các gói tin ở mức 2.
 Một sự khác nhau giữa PPTP và L2F là tạo Tunnel trong
giao thức L2F không phụ thuộc vào IP và GRE, điều này
cho phép nó làm việc với các môi trường vật lý khác nhau.
 Cũng như PPTP, L2F sử dụng chức năng của PPP để cung
cấp một kết nối truy cập từ xa và kết nối này có thể được đi
qua một tunnel thông qua Internet để tới đích.
Tuy nhiên T định nghĩa giao t ức tạo tun el riêng của
nó, dựa trên cơ cấu của L2F. Cơ cấu này tiếp tục định
nghĩ việc t uyền L2TP qua các mạng chuyển mạch gói
như X25, Frame Relay và ATM.
 Mặc dù nhiều cách thực hiện L2TP tập trung vào việc sử
dụng giao thức UDP trên ạng IP, ta vẫn có khả năng thiết
lập một hệ thống L2TP không sử dụng IP.
 Một mạng sử dụng ATM hoặc Frame Relay cũng có thể
được triển khai cho các tunnel L2TP.
 Giao thức L2TP được sử dụng để xác thực người sử dụng
Dial-up và Tunnel các kết nối SLIP/PPP qua Internet. Vì
L2TP là giao thức lớp 2, nên hỗ trợ cho người sử dụng các
khả năng mềm dẻo như PPTP trong việc truyền tải các giao
thức không phải là IP, ví dụ như là IPX và NETBEUI.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
51
V.4.7. Giao thức IPSEC
 IPSec bảo đảm tính tin cậy, tính toàn vẹn và tính xác thực truyền
dữ liệu qua mạng IP công cộng. IPSec định nghĩa 2 loại tiêu đề
cho gói IP điều khiển quá trình xác thực và mã hóa:
 Một là xác thực tiêu đề Authentication Header (AH), hai là đóng
gói bảo mật tải Encapsulating Security Payload (ESP).
 Xác thực tiêu đề AH đảm bảo tính toàn vẹn cho tiêu đề gói và dữ
liệu.
 Đóng gói bảo mật tải ESP thực hiện mã hóa và đảm bảo tính
toàn vẹn cho gói dữ liệu nhưng không bảo vệ tiêu đề cho gói IP
như AH.
 IPsec sử dụng giao thức Internet Key Exchange IKE để thỏa
thuận liên kết bảo mật SA giữa hai thực thể và trao đổi các thông
tin khóa. IKE cần được sử dụng phần lớn các ứng dụng thực tế
để đem lại thông tin liên lạc an toàn trên diện rộng.
CuuDuongThanCong.com https://fb.com/tailieudientucntt
52
Thanksss
CuuDuongThanCong.com https://fb.com/tailieudientucntt