Đang tải... (xem toàn văn)
Bảo mật và mã hoá dữ liệu đường hầm tại công ty TNHH DAE MYUNG CHEMICAL Việt Nam 1. Lý do chọn đề tài. Ngày nay việc trao đổi thông tin ở trong công ty cũng như ở bên ngoài công ty rất phong phú và đa dạng.Cụ thể, làm việc qua camera, đi công tác nhưng vẩn làm việc qua internet. Điển hình, nhân viên ghé thăm khách hàng, đại điểm đối tác hoặc khách sạn mà hệ thống chỉ cho truy cập web ( HTTP, HTTPs) còn tất cả các port khác bị chặn. Kết quả , những server từ xa này gặp phải vấn đề khi thực hiện kết nối VPN do đó làm tăng cuộc gọi chờ trợ giúp và giảm năng xuất của nhân viên. Để thực hiện được vấn đề đó chúng ta cần cài đặt Secure Socket Tunneling Protocal ( SSTP ) là một đường hầm VPN được bảo mật và mã hóa dữ liệu. Công ty Dae Myung Chemical là một doanh nghiệp đang có tiềm năng phát triển lớn, sản phẩm của công ty đang được thị trường trong và ngoài nước đón nhận.Tuy nhiên qua mấy năm hoạt động cho đến nay, việc bảo mật và mã hóa dữ liệu là vấn đề cần thiết và cấp bách hàng đầu của công ty.Vì vậy xây dựng, phát triển hệ thống bảo mật và mã hóa dữ liệu là mục tiêu chiến lược phát triển của công ty đang được ban lãnh đạo quan tâm. Với kiến thức được trang bị khi còn ngồi trên ghế nhà trường và kinh nghiệm được tích lũy qua thời gian thực tập tại công ty, em chọn đề tài “ Bảo Mật và Mã Hóa Dữ Liệu Đường Hầm tại công ty TNHH DAE MYUNG CHEMICAL VN“. Trên cơ sở đó giúp ban lãnh đạo công ty xác định được tầm quan trọng trong việc bảo mật và mã hóa dữ liệu đường hầm, đưa ra các phương hướng, giải pháp đúng đắn và kịp thời để khắc phục sự cố xảy ra nhằm xây dựng và phát triển công ty ngày một tốt hơn trong thời đại đổi mới của đất nước và trên thế giới. 2. Giới hạn của đề tài. Chưa khai thác hết chức năng của Wirehack.
Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên MỤC LỤC SVTH: Lê Trường Sơn Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên CHƯƠNG 1: TỔNG QUAN VỀ ĐƠN VỊ THỰC TẬP 1.1.Tổng quan. Trước đây đất nước chúng ta trong nền kinh tế kế hoạch hóa tập trung còn lạc hậu, không hội nhập nền kinh tế thế giới, không đàm phán với các nước khác.Tất cả các công ty nhà nước quyết định mọi hoạt động trong nền kinh tế nước ta, trong đó các mối quan hệ giao dịch kinh tế bị giới hạn giữa các công ty nhà nước.Vì điều này đã làm hạn chế sự phát triển kinh tế nước ta lúc bấy giờ. Đến năm 1989 đất nước chúng ta dần chuyển sang kinh tế thị trường và có sự quản lý của nhà nước. Bên cạnh các công ty, xí nghiệp nhà nước đã ra đời với nhiều loại hình hoạt động của doanh nghiệp mới, trong đó phổ biến nhất là công ty trách nhiệm hữu hạn ( TNHH ). Được sự đãi ngộ, khuyến khích và sự hổ trợ của nhà nước.Công ty TNHH Dae Myung Chemical VN ra đời. Tên giao dịch : Công ty TNHH Dae Myung Chemical VN Co., Ltd Ngày thành lập : 10/ 03/ 2005 Địa chỉ : Đường số 5, khu công nghiệp Long Thành, Tỉnh Đồng Nai Điện thoại : 061.3514037 Fax : 061.3514041 Webside : http://gw.dmpoly.com Mã số thuế : 0301.948.302 Người đại diện theo pháp luật của công ty : Giám đốc Mr Park Jong Dae Số nhân viên : 1.000 người. Chứng nhận : ISO 9001:2008 Tin tưởng vào đường lối chính sách của Đảng, Nhà nước, Công ty TNHH Dae Myung Chemical Việt Nam đã mạnh dạn đầu từ, sản xuất, mở rộng lĩnh vực hoạt động kinh doanh, trải qua quá trình phát triển với bốn lần thay đổi giấy phép đầu tư đến nay công ty đã có 3 phân xưởng sản xuất, bao gồm: - Một trụ sở chính và một xưởng ở đường số 5, khu công nghiệp Long Thành, Tỉnh Đồng Nai. - Một xưởng ở đường số 7, khu công nghiệp Long Thành, Tỉnh Đồng Nai. 1.2.Lĩnh vực hoạt động. Sản xuất các loại màng bao bì phức hợp kín khí và thoáng khí, tấm nhựa pet, hỗn hợp tái chế do tận dụng quy trình sản suất của doanh nghiệp và các sản phẩm liên quan khác có chất lượng cao: sản xuất màng ghép lamination, nhựa hỗn hợp và các sản phẩm từ polyethylene. SVTH: Lê Trường Sơn Page2 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên Sản xuất vải không dệt ( Nonwoven ) và các sản phẩm từ polypropylene ( không bao gồm công đoạn nhuộm ). SVTH: Lê Trường Sơn Page3 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên CHƯƠNG 2.PHÂN TÍCH VÀ XÂY DỰNG MÔ HÌNH MẠNG 2.1.Giới thiệu. 2.1.1.Định nghĩa VPN. VPN được hiểu đơn giản như là sự mở rộng của một mạng riêng (private network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường là internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi một kết nối thực, chuyên dụng như đường leased line, mỗi VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các công ty tới các site hay các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật VPN cung cấp các cơ chế mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận và nơi gửi (Tunnel) giống như một kết nối point-to-point trên mạng riêng. Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng công cộng một cách nhanh chóng. Dữ lịêu được mã hóa một cách cẩn thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết nối VPN.Các đường kết nối VPN thường được gọi là đường ống VPN (VPN Tunnel). 2.1.2.Nguyên nhân hình thành SSTP. 2.1.2.1.Sự bất tiện của PPTP và L2TP. PPTP sử dụng TCP port 1723, và đóng gói gói tin bằng phương pháp Generic Routing Encapsulation (GRE). Với phương pháp GRE có thể nói gói tin PPTP có cấp độ bảo mật rất thấp vì gói tin PPTP chỉ được mã hóa sau khi các thông tin quan trọng đã được trao đổi. Cơ chế kết nối VPN có cấp độ bảo mật tốt hơn là L2TP chạy port 1701, vì L2TP sử dụng IPSec Encapsulating Security Payload (ESP) port 4500 và Internet Key Exchange (IKE) port 500 để mã hóa gói tin. Nhưng nếu VPN Client kết nối đến VPN Server bằng L2TP/IPSec thông qua NAT yêu cầu VPN Server và VPN Client phải có hổ trợ NAT-Traversal (NAT-T) SVTH: Lê Trường Sơn Page4 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên Với hai đặc điềm trên, nếu các Firewall và thiết bị NAT tại các điểm internet công cộng (trung tâm hội thảo, internet cafe…) chỉ cho phép các máy tính kết nối Web (HTTP và HTTPS), hoặc khi các máy Client truy cập internet thông qua Proxy server thì VPN Client sẽ không thể kết nối tới VPN Server thành công bằng cơ chế PPTP và L2TP/IPSec 2.1.2.2.Sự thuận tiện của VPN-SSTP. SSTP là cơ chế kết nối VPN bằng HTTP over Secure Socket Layer (HTTP over SSL) port 443. Thông thường, trong một hệ thống mạng hiện nay dù là các Firewall hay Proxy server đều cho phép truy cập HTTP và HTTPS. Vì vậy, dù ở bất cứ đâu các máy Client đều có thể kết nối VPN bằng cơ chế SSTP và đảm bảo bảo mật được gói tin vì áp dụng phương pháp mã hóa SSL 2.1.2.3.Một số dặc trưng của SSTP. SSTP được tích hợp hỗ trợ NAP để bảo vệ nguồn tài nguyên mạng tốt hơn bằng cách thi hành các chính sách về system health.SSTP thiết lập HTTP riêng lẻ thông qua session SSL từ SSTP client đến SSTP server. Dùng HTTP thông qua SSL Session sẽ giảm thiểu được chi phí và cân bằng tải tốt hơn SSTP không hỗ trợ VPN Site-to-Site. 2.1.3.Các giao thức trên nền VPN 2.1.3.1.IP Security ( IPSec) Các giao thức IPSec Để trao đổi và thỏa thuận các thông số nhầm tạo nên một môi trường bảo mật giữa 2 đầu cuối, IPSec dùng 3 giao thức: • IKE (Internet Key Exchange) • ESP (Encapsulation Security Payload) • AH (Authentication Header) Internet Key Exchange (IKE) Là giao thức thực hiện quá trình trao đổi khóa và thỏa thuận các thông số bảo mật như: thuật toán mã hóa được áp dụng, khoảng thời gian khóa cần được thay đổi . Sau khi thỏa thuận xong thì sẽ thiết lập “hợp đồng” giữa 2 bên, khi đó IPSec SA (Security Association) được tạo ra. SA là những thông số bảo mật đã được thỏa thuận thành công, các thông số SA này sẽ được lưu trong cơ sở dữ liệu của SA SVTH: Lê Trường Sơn Page5 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên Ngoài ra IKE còn dùng 2 giao thức khác để chứng thực đầu cuối và tạo khóa: ISAKMP (Internet Security Association and Key Management Protocol) và Oakley. ISAKMP: là giao thức thực hiện việc thiết lập, thỏa thuận và quản lý chính sách bảo mật SA. Oakley: là giao thức làm nhiệm vụ chứng thực khóa, bản chất là dùng thuật toán Diffie-Hellman để trao đổi khóa bí mật thông qua môi trường chưa bảo mật. Lưu ý: Giao thức IKE dùng UDP port 500. Encapsulating Security Payload (ESP): Là giao thức cung cấp sự an toàn, toàn vẹn, chứng thực nguồn dữ liệu và những tùy chọn khác, chẳng hạn anti-replay. ESP cung cấp gần như toàn bộ tính năng của IPSec, ngoài ra nó còn cung cấp tính năng mã hóa dữ liệu. Do đó, ESP được sử dụng phổ biến trong IPSec VPN. ESP bao gồm những tính năng sau: • Tính bảo mật (Data confidentiality) • Tính toàn vẹn dữ liệu (Data integrity) • Chứng thực nguồn dữ liệu (Data origin authentication) • Tránh trùng lặp (Anti-replay) Những tính năng trên cũng là những tính năng đặc trưng và chính yếu nhất của IPSec. Lưu ý: ESP sử dụng IP protocol number 50. Hoạt động của ESP ESP chèn một header vào sau phần IP header và trước header của giao thức lớp trên.Header này có thể là một IP header mới trong tunnel mode hoặc IP header của gói tin ban đầu trong transport mode. Authentication Header (AH): Là giao thức cung cấp sự toàn vẹn, chứng thực nguồn dữ liệu và một số tùy chọn khác.Nhưng khác với ESP, nó không cung cấp chức năng bảo mật (data confidential). AH đảm bảo dữ liệu không bị thay đổi trong quá trình truyền dẫn nhưng không mã hóa dữ liệu. Trường AH chỉ định cái sẽ theo sau AH header. Trong transport mode, nó sẽ là giá trị của giao thức lớp trên đang được bảo vệ (chẳng hạn UDP hoặc TCP). Trong tunnel mode, giá trị này là 4. SVTH: Lê Trường Sơn Page6 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên Trong tunnel mode, AH đóng gói gói tin IP và thêm vào một IP header trước AH header. 2.1.3.2.Point –to-Point Tunneling Protocol( PPTP). PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay. Nó làm việc ở lớp liên kết dữ liệu trong mô hình OSI, PPP bao gồm các phương thức đóng gói, tách gói IP, là truyền đi trên chỗ kết nối điểm tới điểm từ máy này sang máy khác. PPTP đóng các gói tin và khung dữ liệu của giao thức PPP vào các gói tin IP để truyền qua mạng IP. PPTP dùng kết nối TCP để khởi tạo và duy trì, kết thức đường hầm và dùng một gói định tuyến chung GRE để đóng gói các khung PPP. Phần tải của khung PPP có thể được mã hoá và nén lại. PPTP sử dụng PPP để thực hiện các chức năng thiết lập và kết thức kết nối vật lý, xác định người dùng, và tạo các gói dữ liệu PPP. PPTP có thể tồn tại một mạng IP giữa PPTP khách và PPTP chủ của mạng.PPTP khách có thể được đấu nối trực tiếp tới máy chủ thông qua truy nhập mạng NAS để thiết lập kết nối IP.Khi kết nối được thực hiện có nghĩa là người dùng đã được xác nhận.Đó là giai đoạn tuy chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi ISP.Việc xác thực trong quá trình thiết lập kết nối dựa trên PPTP sử dụng các cơ chế xác thực của kết nối PPP. Một số cơ chế xác thực được sử dụng là: • Giao thức xác thực mở rộng EAP. • Giao thức xác thực có thử thách bắt tay CHAP. • Giao thức xác định mật khẩu PAP. 2.1.3.3.Layer 2 Tunneling Protocol ( L2TP). IETF đã kết hợp hai giao thức PPTP và L2F và phát triển thành L2TP.Nó kết hợp những đặc điểm tốt nhất của PPTP và L2F.Vì vậy, L2TP cung cấp tính linh động, có thể thay đổi, và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F và khả năng kết nối điểm điểm nhanh của PPTP. Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm: • L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP. SVTH: Lê Trường Sơn Page7 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên • L2TP không yêu cầu việc triển khai thêm bất cứ phần mềm nào, như điều khiển và hệ điều hành hỗ trợ. Do đó, cả người dùng và mạng riêng Intranet cũng không cần triển khai thêm các phần mềm chuyên biệt. • L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa đăng ký (hoặc riêng tư). 2.1.3.4.Secure Socket Tunneling Protocol ( SSTP ). SSTP họat động trên HTTPs tức là chỉ HTTP sử dụng SSL cho sự bảo mật thông tin và dữ liệu.SSL cũng cung cấp cơ chế xác thực các điểm cuối khi đuợc yêu cầu sử dụng PKI.SSTP sử dụng SSL để xác thực server với client và nó dựa vào PPP chạy trên để xác thực client với server.Nghĩa là Client xác thực server bằng certificate và Server xác thực Client thông qua giao thức hiện có được hỗ trợ bởi PPP. Khi Client kết nối với Remote Access Server bằng cách sử dụng SSTP làm thao tác tạo lập đường hầm,SSTP thiết lập session HTTPs với server từ xa tại port 443 ở một địa chỉ URL riêng biệt.Các xác lập proxy HTTP được cấu hình thông qua IE sẽ được sử dụng để thiết lập kết nối này. Với session HTTPs, Client đòi hỏi server cung cấp certificate để xác thực.Khi thiết lập quan hệ SSL hòan tất, các session HTTP được thiếtt lập trên đó.Sau đó, SSTP được sử dụng để thương lượng các tham số giữa Client và Server.Khi lớp SSTP được thíêt lập,việc thương lượng SSTP được bắt đầu nhằm cung cấp cơ chế xác thực client với server và tạo đường hầm cho dữ liệu. 2.1.4.Các loại VPN trong thực tiễn. 2.1.4.1.Remote Access VPNs. Giống như gợi ý của tên gọi, Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức. Ðặc biệt là những người dùng thường xuyên di chuyển hoặc các chi nhánh văn phòng nhỏ mà không có kết nối thường xuyên đến mạng Intranet hợp tác. Các truy cập VPN thường yêu cầu một vài kiểu phần mềm client chạy trên máy tính của người sử dụng.Kiểu VPN này thường được gọi là VPN truy cập từ xa. Một số thành phần chính : SVTH: Lê Trường Sơn Page8 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên Remote Access Server (RAS) : được đặt tại trung tâm có nhiệm vụ xác nhận và chứng nhận các yêu cầu gửi tới. Quay số kết nối đến trung tâm, điều này sẽ làm giảm chi phí cho một số yêu cầu ở khá xa so với trung tâm. Hỗ trợ cho những người có nhiệm vụ cấu hình, bảo trì và quản lý RAS và hỗ trợ truy cập từ xa bởi người dùng. Bằng việc triển khai Remote Access VPNs, những người dùng từ xa hoặc các chi nhánh văn phòng chỉ cần cài đặt một kết nối cục bộ đến nhà cung cấp dịch vụ ISP hoặc ISP’s POP và kết nối đến tài nguyên thông qua Internet Thuận lợi chính của Remote Access VPNs : • Sự cần thiết của RAS và việc kết hợp với modem được loại trừ. • Sự cần thiết hỗ trợ cho người dung cá nhân được loại trừ bởi vì kết nối từ xa đã được tạo điều kiện thuận lợi bời ISP • Việc quay số từ những khoảng cách xa được loại trừ , thay vào đó, những kết nối với khoảng cách xa sẽ được thay thế bởi các kết nối cục bộ. • Giảm giá thành chi phí cho các kết nối với khoảng cách xa. • Do đây là một kết nối mang tính cục bộ, do vậy tốc độ nối kết sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa. • VPNs cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch vụ truy cập ở mức độ tối thiểu nhất cho dù có sự tăng nhanh chóng các kết nối đồng thời đến mạng. Ngoài những thuận lợi trên, VPNs cũng tồn tại một số bất lợi khác như : • Remote Access VPNs cũng không bảo đảm được chất lượng phục vụ. • Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của gói dữ liệu có thể đi ra ngoài và bị thất thoát. • Do độ phức tạp của thuật toán mã hoá, protocol overhead tăng đáng kể, điều này gây khó khăn cho quá trình xác nhận. Thêm vào đó, việc nén dữ liệu IP và PPP- based diễn ra vô cùng chậm chạp và tồi tệ. • Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm. 2.1.4.2.VPN Site –to-Site - Intranet VPNs: Intranet VPNs được sử dụng để kết nối đến các chi nhánh văn phòng của tổ chức đến Corporate Intranet (backbone router) sử dụng campus router. Theo mô hình này sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập được mạng, thêm SVTH: Lê Trường Sơn Page9 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS. Trần Vĩnh Xuyên vào đó, việc triển khai, bảo trì và quản lý mạng Intranet Backbone sẽ rất tốn kém còn tùy thuộc vào lượng lưu thông trên mạng đi trên nó và phạm vi địa lý của toàn bộ mạng Intranet. Ðể giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các kết nối Internet với chi phí thấp, điều này có thể giảm một lượng chi phí đáng kể của việc triển khai mạng Intranet. Intranet VPNs là một VPN nội bộ đươc sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một công ty.Điều này cho phép tất cả các địa điểm có thể truy cập các nguồn dữ liệu được phép trong toàn bộ mạng của công ty. Các VPN nội bộ liên kết trụ sở chính, các văn phòng, và các văn phòng chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối mà luôn luôn được mã hoá. Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site. Những thuận lợi chính của Intranet setup dựa trên VPN: Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mô hình WAN backbone Giảm thiểu đáng kể số lượng hỗ trợ yêu cầu người dùng cá nhân qua toàn cầu, các trạm ở một số remote site khác nhau. Bởi vì Internet hoạt động như một kết nối trung gian, nó dễ dàng cung cấp những kết nối mới ngang hàng. Kết nối nhanh hơn và tốt hơn do về bản chất kết nối đến nhà cung cấp dịch vụ, loại bỏ vấn đề về khoảng cách xa và thêm nữa giúp tổ chức giảm thiểu chi phí cho việc thực hiện Intranet. Những bất lợi chính kết hợp với cách giải quyết : Bởi vì dữ liệu vẫn còn tunnel trong suốt quá trình chia sẽ trên mạng công cộng- Internet-và những nguy cơ tấn công, như tấn công bằng từ chối dịch vụ (denial-of- service), vẫn còn là một mối đe doạ an toàn thông tin. Khả năng mất dữ liệu trong lúc di chuyễn thông tin cũng vẫn rất cao. Trong một số trường hợp, nhất là khi dữ liệu là loại high-end, như các tập tin mulltimedia, việc trao đổi dữ liệu sẽ rất chậm chạp do được truyền thông qua Internet. Do là kết nối dựa trên Internet, nên tính hiệu quả không liên tục, thường xuyên, và QoS cũng không được đảm bảo. - Extraner VPNs: SVTH: Lê Trường Sơn Page10 [...]... Server thay đổi trạng thái hiện tại thành Server_Call_Connected Trạng thái này tham chiếu đến thiết lập thành công của kết nối SSTP từ một SSTP client đã cho Trong trường hợp này, server tiếp tục gởi và nhận trọng tải lớp cao hơn (đó là, kiểm soát PPP và khung dữ liệu) , Thêm vào đó để gởi thông điệp SSTP_MSG_ECHO_REQUEST cho kết Page35 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS Trần Vĩnh Xuyên... tiết của giao thức đường hầm socket bảo mật bao gồm máy khách, máy chủ, và các mô hình dữ liệu phổ biến trừu tượng, cũng như các quy tắc xử lý thông điệp 2.2.2.1.Các chi tiết chung giữa SSTP client và SSTP server - Mô hình dữ liệu trừu tượng Cả hai máy khách và máy chủ SSTP duy trì trạng thái hiện tại cho mỗi kết nối SSTP Giá trị hiện tại liên quan đến cuộc tiến trình ngắt cuộc gọi và huỷ bỏ cuộc gọi... rằng phiên bản 1 hiện tại chỉ hỗ trợ cho những khung PPP SVTH: Lê Trường Sơn Page17 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS Trần Vĩnh Xuyên 2.2.1.4.2.Thuộc tính yêu cầu ràng buộc mã hoá Sơ đồ dưới đây quy định cụ thể các định dạng mà cần được sử dụng cho thuộc tính yêu cầu ràng buộc mã hoá Thuộc tính này được sử dụng bởi máy chủ trao đổi phương pháp này hỗ trợ băm và thời điểm này đến máy... thuộc tính ràng buộc mã hoá SVTH: Lê Trường Sơn Page20 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS Trần Vĩnh Xuyên Chiều dài gói tin (2 bytes): Một số nguyên 16 bit chưa được ấn định trong thứ tự byte mạng mà gói dữ liệu cho hai trường, đã được cấu hình trong định dạng dưới đây R (4 bits): Trường 4 bits này dành cho sử dụng tương lai Cần phải thiết lập thành 0 khi gởi và cần phải được bỏ qua... SSTP và vẫn còn hợp lệ trong khi các kết nối SSTP vẫn hoạt động .Tại bất kỳ điểm nào trong thời gian, biến giá trị hiện tại có thể có một trong cácgiá trị sau.Mỗi giá trị trình bày trạng thái hiện tại của trạng thái client • • • • Client_Call_Disconnected Client_Connect_Request_Sent Client_Connect_Ack_Received Client_Call_Connected SVTH: Lê Trường Sơn Page29 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm. .. Internet nên khi dữ liệu là các loại high-end data thì việc trao đổi diễn ra chậm chạp Do dựa trên Internet, QoS cũng không được bảo đảm thường xuyên 2.2.Phân tích gói tin và nguyên lý hoạt động 2.2.1.Cú pháp các thông điệp 2.2.1.1.Gói tin SSTP Sơ đồ dưới đây trình bày định dạng của gói tin SSTP mà được gửi trên kết nối HTTPS SVTH: Lê Trường Sơn Page11 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS... ác mộng của các nhà thiết kế và quản trị mạng Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp, và các đối tác qua một cơ sở hạ tầng công cộng sử dụng các kết nối mà luôn luôn được bảo mật Kiểu VPN này thường được cấu hình như là một VPN Site-to-Site Sự khác nhau giữa một VPN nội bộ và một VPN mở rộng đó là sự truy cập mạng mà được công nhận ở một trong hai đầu... riêng cho sử dụng tương lai Cần phải thiết lập thành 0 khi gởi và cần phải được bỏ qua trên sự tiếp nhận Nhận dạng thuộc tính (1 byte): Một trường 8 bit (1 byte) cần được sử dụng để chỉ rõ loại của thuộc tính, Giá trị của nò phải là 0x04 cho thuộc tính yêu cầu ràng buộc mã hoá SVTH: Lê Trường Sơn Page18 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS Trần Vĩnh Xuyên Chiều dài gói tin (2 bytes): Một... được - Trạng thái máy Thiết lập cuộc gọi Hình dưới đây trình bày trạng thái máy khi client thiết lập đường hầm SSTP gởi đi.Hình dưới đây đề cập đến trạng thái máy ngắt cuộc gọi và huỷ bỏ cuộc gọi Hình 4: client thiết lập cuộc gọi SVTH: Lê Trường Sơn Page31 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS Trần Vĩnh Xuyên Trạng thái máy client có những trạng thái dưới đây như đã trình bày trong... chứa biến dưới đây Trạng thái hiện tại: Một biến số nguyên trình bày trạng thái hiện tại cho kết nối chỉ định Biến Current State được khởi tạo khi một kết nối HTTPS đến và vẫn còn hợp lệ.Trong khi kết nối SSTP vẫn còn hoạt động .tại bất kỳ điểm nào trong SVTH: Lê Trường Sơn Page32 Đề Tài :Bảo Mật Và Mã Hóa Dữ Liệu Đường Hầm GVHD:ThS Trần Vĩnh Xuyên thời gian, Biến CurrentSrate có thế có một trong giá trị . Chemical VN Co., Ltd Ngày thành lập : 10/ 03/ 20 05 Địa chỉ : Đường số 5, khu công nghiệp Long Thành, Tỉnh Đồng Nai Điện thoại : 061. 351 4037 Fax : 061. 351 4041 Webside : http://gw.dmpoly.com Mã số. port 1701, vì L2TP sử dụng IPSec Encapsulating Security Payload (ESP) port 450 0 và Internet Key Exchange (IKE) port 50 0 để mã hóa gói tin. Nhưng nếu VPN Client kết nối đến VPN Server bằng L2TP/IPSec. thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng không thể đọc được nội dung vì không có khóa để giải mã. Liên kết với dữ liệu được mã hóa và đóng gói được gọi là kết