Tìm hiểu về VPN wireguard và thực nghiệm

BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VỀ GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD VÀ THỰC NGHIỆM Ngành An toàn thông tin Mã số Sinh viên thực hiện Nguyễn Thị Hà Chi Lớp AT13A Người hướng dẫn TS Trần Thị Lượng Khoa An toàn thông tin – Học viện Kỹ thuật mật mã Hà Nội, 2021 BAN CƠ YẾU CHÍNH PHỦ HỌC VIỆN KỸ THUẬT MẬT Mà ¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯ ĐỒ ÁN TỐT NGHIỆP TÌM HIỂU VỀ GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD VÀ THỰC NGHIỆM Ngành An toàn thông tin Mã số Sinh viên thự.

BAN CƠ YẾU CHÍNH PHỦ

BAN CƠ YẾU CHÍNH PHỦ

MỤC LỤC

DANH MỤC KÍ HIỆU VÀ VIẾT TẮT

VPN Virtual Private Network Mạng riêng ảo

PBX Private Branch Exchange Tổng đài điện thoại

ISP Internet Service Provider Nhà cung cấp dụng vụ InternetHTTPS Hypertext Transfer

Protocol Secure

Giao thức truyền tải siêu văn bản

bảo mậtIPSEC Internet Protocol Security Giao thức Internet an toànL2TP Layer 2 Tunneling

Protocol Giao thức đường hầm lớp 2PPP Point –to– Point Protocol Giao thức điểm – điểmPPTP Point-to-Point Tunneling

Protocol Giao thức đường hầm điểm – điểm

mạng InternetQoS Quality of Service Chất lượng dịch vụ

DANH MỤC HÌNH ẢNH

LỜI CẢM ƠN

Trong suốt quá trình học tập và thực tập tốt nghiệp cho đến khi làm đồ ántốt nghiệp, em luôn nhận được sự quan tâm, hướng dẫn và giúp đỡ tận tình củacác thầy, cô giáo trong Khoa An toàn thông tin – Học viện Kỹ thuật mật mãcùng với sự giúp đỡ của bạn bè

Lời đầu tiên, em xin được bày tỏ lòng biết ơn sâu sắc đến Ban giám đốcHọc viện, thầy(cô) giáo Khoa An toàn thông tin đã tận tình giúp đỡ cho tôi suốtthời gian học tại Học viện

Đặc biệt, em xin bày tỏ lòng biết ơn chân thành tới giảng viên TS Trần

Thị Lượng đã trực tiếp giúp đỡ, hướng dẫn em hoàn thành đồ án này.

Do trình độ kiến thức và thực tế còn hạn chế nên không thể tránh khỏinhững thiếu sót Vì thế, em rất mong nhận được sự quan tâm, đóng góp của thầy

cô giáo để đồ án của em được hoàn chỉnh hơn

Những ý kiến, đóng góp của thầy cô sẽ giúp em nhận ra những hạn chế vàqua đó em sẽ có thêm những nguồn tư liệu mới trên con đường học tập cũng nhưcông việc, nghiên cứu sau này

Em xin trân trọng cảm ơn!

SINH VIÊN THỰC HIỆN ĐỒ ÁN

Nguyễn Thị Hà Chi

bị gián đoạn Bên cạnh đó, giao thức truy cập này còn mang tính bảo mật cao

do dữ liệu không tiếp xúc trực tiếp với môi trường Internet

Đa phần hiện nay, các giao thức hay được sử dụng khi triển khai VPN làOpenVPN, IPSec, … tuy nhiên nhiều người dùng cho rằng hai giao thức này sửdụng chậm và khó cấu hình quản lý đúng cách Chính vì vậy giao thứcWireGuard đã ra đời nhằm mục đích khắc phục được nhược điểm đó Việc triểnkhai giao thức WireGuard sẽ giúp cho doanh nghiệp có thể sử dụng mạng VPNmột các hiệu quả và dễ dàng hơn giúp thông tin trở nên an toàn hơn

Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài “Tìm

hiểu về giao thức mạng riêng ảo Wireguard và thực nghiệm” nhằm khai thác

được những khía cạnh và ưu điểm của giao thức này, giúp mọi người có cái nhìntổng quan về giao thức mới Wireguard

Đồ án tốt nghiệp được chia thành 03 chương với nội dung chính như sau:

Chương 1: Tổng quan về VPN

Trình bày các khái niệm, ứng dụng và các ưu nhược điểm của các hệthống VPN hiện có đặc biệt và các giao thức truyền thống được sử dụng trongmạng VPN

Chương 2: Giao thức mạng riêng ảo Wireguard

Trình bày các đặc điểm cơ bản của giao thức Wireguard đang được pháttriển hiện nay với các ưu điểm và những vấn đề còn tồn tại của giao thức cũngnhư so sánh giao thức này với một số các giao thức VPN truyền thống

Chương 3: Thực nghiệm triển khai giao thức mạng riêng ảo Wireguard

Trình bày mô hình thực nghiệm bảo vệ hệ thống với VPN Wireguard vàthực nghiệm một số tính năng của giao thức mới

Do thời gian có hạn cũng như kiến thức thực tế của lĩnh vực rất rộng nênquá trình thực hiện đồ án chắc chắn không tránh khỏi thiếu sót Em rất mongnhận được các ý kiến đóng góp của các thầy cô để đồ án được hoàn thiện hơn

Em xin chân thành cảm ơn!

SINH VIÊN THỰC HIỆN ĐỒ ÁN

Nguyễn Thị Hà Chi

CHƯƠNG 1 TỔNG QUAN VỀ VPN

Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổithông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nênbức thiết vì vậy Internet đã bùng nổ Mọi người sử dụng máy tính kết nốiInternet thông qua nhà cung cấp dịch vụ, sử dụng một giao thức chung làTCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thôngcủa mạng viễn thông công cộng Với Internet, những dịch vụ như mua bán, traođổi trực tuyến, giáo dục từ xa hay tư vấn trực tuyến, … đã trở nên dễ dàng Tuynhiên Internet có phạm vi toàn cầu và không tổ chức hay chính phủ nào có thểquản lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch

vụ là một vấn đề lớn cần phải giải quyết Từ đó các nhà khoa học đã nghiên cứu

và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tậndụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN –Virtual Private Network) Với mô hình này, chúng ta không phải đầu tư thêmquá nhiều trang thiết bị, cơ sở hạ tầng mà vẫn đảm bảo các tính năng như bảomật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của mạng này

VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay cácvăn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng

cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó đảm bảo an toàn thông tingiữa các tổ chức, công ty hoặc chi nhánh, văn phòng, người cung cấp hay các đốitác kinh doanh trong môi trường truyền thông rộng lớn Đặc biệt, VPN còn tiếtkiệm chi phí đáng kể cho các tổ chức, công ty mà vẫn đảm bảo bí mật

1.1 Lịch sử phát triển

Sự xuất hiện mạng riêng ảo (VPN – Virtual Private Network), bắt nguồn từyêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quảvới các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN)

Trước kia hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) sử dụngcác đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việcthông tin với nhau

Các mốc đánh dấu sự phát triển của VPN:

• Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dâychuyên dùng cho các khách hàng lớn Colisee có thể cung cấp phươngthức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượngdịch vụ mà đưa ra cước phí và nhiều tính năng quảng lý khác

• Năm 1985, Sprint đưa ra VPN, AT&T (Công ty viễn thông đa quốc gia)đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng phầnmềm SDN

• Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom

• Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xínghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ

• Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN

• Năm 1990, MCI và Sprint đưa ra dịch vụ VPN; Telstra của Ostaylia đưa radịch vụ VPN trong nước đầu tiên ở khu vực Chấu Á – Thái Bình Dương

• Năm 1992, Viễn thông Hà Lan và Telia Thụy Điển thành lập công ty hợptác đầu tư Unisource, cung cấp dịch vụ VPN

• Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liênminh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó

Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức cónhiều văn phòng, chi nhánh lựa chọn Ngày nay, với sự phát triển của công

nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năngcủa VPN ngày một hoàn thiện

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho cácdịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện

1.2 Định nghĩa VPN

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hìnhcho đến công nghệ, đáp ứng các nhu cầu của người sử dụng Internet đã đượcthiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đếnngười sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy vàmạng mà người sử dụng đó đang dùng Để được điều này, người ta sử dụngmột máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau.Các máy tính kết nối với Internet thông qua nhà cung cấp dịch vụ (ISP –Internet Service Provider), cần một giao thức chung là TCP/IP Điều mà kỹthuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễnthông công cộng Với Internet, những dịch vụ như giáo dục từ xa, mua hàngtrực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực Tuynhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụthể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũngnhư trong việc quản lý các dịch vụ Từ đó, người ta đã đưa ra một mô hìnhmạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lạinhững cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo(Virtual Private Network – VPN)

Với mô hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạtầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thểquản lý riêng được sự hoạt động của mạng này VPN cho phép người sử dụnglàm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kết nối antoàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởimạng công cộng Nó có thể đảm bảo an toàn thông tin giữa các đại lý, ngườicung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thôngrộng lớn Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area

Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạngcông cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.

Mạng riêng ảo VPN là thuật ngữ vô cùng quen thuộc đối với những ngườitrong ngành công nghệ thông tin Nhiều người chỉ biết đơn giản nó là một loạimạng ảo mà không hiểu sâu và rõ bản chất của hệ thống VPN là gì?

VPN được hiểu đơn giản là sự mở rộng của một mạng riêng (PrivateNetwork) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạngriêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với cácsite (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụngkết nối thực, chuyên dùng như đường leased-line (kênh thuê riêng), mỗi VPN sửdụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của các công tytới các site các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạngcông cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp các cơ chế

mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận

và nơi gửi gọi là Tunnel - giống như một kết nối point-to-point trên mạng riêng

Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa theo cơchế giấu đi, chỉ cung cấp phần đầu gói tin (header) là thông tin về đường đi chophép nó có thể đi tới đích thông qua mạng công cộng một cách nhanh chóng Dữliệu được mã hóa một cách cẩn thận do đó nên nếu các gói tin bị bắt trên đườngtruyền công cộng cũng không thể đọc nội dung vì không có khóa đề giải mã,liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối VPN Các đường kếtnối VPN thường được gọi là đường ống VPN (Tunnel)

Hình 1 1: Mô hình kết nối VPN

1.3 Các thành phần tạo nên VPN

Để triển khai một hệ thống VPN người dùng cần có một số thành phần cơbản sau, nhưng việc tạo ra hệ thống VPN thì mỗi người sẽ có một sự lựa chọnthành phần khác nhau để phù hợp với công ty hay mục đích của mỗi người

1.3.1 VPN client

VPN client to site là loại VPN giúp cho một người dùng có thể kết nối đếnmột mạng riêng ở xa thông qua một VPN server Thông thường, để có thể sửdụng VPN client to site, máy tính của người dùng sẽ phải cài đặt một phần mềmVPN client để có thể kết nối được đến VPN server Một ví dụ điển hình và thôngdụng nhất đó là OpenVPN

Người dùng khởi động VPN client trên máy tính cá nhân, sử dụngusername/password để xác thực với VPN server, và sau đó sẽ khởi tạo mộtđường truyền VPN được mã hóa từ máy tính cá nhân của người dùng đến mạngriêng ở xa Sau đó dữ liệu từ máy tính của người dùng đến mạng ở xa sẽ đượctruyền trên đường truyền riêng an toàn và bảo mật

VPN client to site thường được sử dụng cho các mục đích:

• Giúp người dùng truy cập vào các mạng riêng ở xa, ví dụ như truy cậpvào các máy chủ chỉ có mạng LAN trong Datacenter

• Truy cập Internet an toàn và bảo mật hơn thông qua việc kết nối quaVPN.

• Giấu địa chỉ IP Public thật của máy tính cá nhân trên Internet

Một trong những ứng dụng cung cấp VPN client to site phổ biến nhất hiệnnay đó là OpenVPN

Hình 1 2: VPN Client to site 1.3.2 VPN Server

VPN Server là một máy chủ thông thường được cài đặt và cấu hình vớiphần mềm VPN Server Tuy nhiên, VPN Server thường có nhiều port(cổng) giaotiếp logic và vật lý hơn VPN server cung cấp kết nối và dịch vụ VPN cho cácmáy khách VPN từ xa và/hoặc máy khách VPN cục bộ Thông thường, VPNServer sử dụng một hoặc nhiều giao thức cho kết nối và truyền thông, chẳng hạnnhư giao thức point-to-point (PPP) Máy khách VPN trước tiên kết nối với máychủ VPN và phải tự xác thực trước khi được cấp quyền truy cập vào VPN

VPN Server được cài đặt trên máy chủ để xử lý và vận hành tất cả thànhphần và phần cứng truyền thông Ngoài ra phần mềm server còn có chức năng làcung cấp khả năng bảo mật và quản lý cơ chế kiểm soát truy cập khi thiết lậpquan hệ máy khách/máy chủ giữa các thiết bị Phần mềm VPN server sử dụngmột số giao thức VPN khác nhau bao gồm OpenVPN, IKEv2, SoftEther, PPTP,SSTP và L2TP / IPSec cho các kiểu kết nối VPN khác nhau

Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàngVPN Về mặt kỹ thuật, chúng ta có thể sử dụng Windows NT Server 4.0,Windows 2000 Server, hoặc Windows Server 2003 hay Window Server 2008 như

là một máy chủ VPN VPN Server khá đơn giản, nó là một máy chủ cứngWindows Server 2008 chạy Routing và Remote Access (RRAS) Khi một kết nốiVPN đã được chứng thực, các máy chủ VPN chỉ đơn giản là hoạt động như một

bộ định tuyến cung cấp cho khách hàng VPN có thể truy cập đến một mạng riêng

Hình 1 3: Đường hầm giữa VPN Client và VPN Server 1.3.3 ISA Server

ISA server là gì? Đó là một giải pháp kết nối chứa cả firewall và cache,hiệu quả, an toàn và bảo mật cho các doanh nghiệp chia sẻ băng thông tín hiệu,

sử dụng trong các mô hình mạng lớn và cả quy mô mạng trung bình, ISA serverđáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thốngmột cách an toàn

Máy chủ tăng tốc và bảo mật Internet (máy chủ ISA) là một máy chủ cungcấp tường lửa tổ chức và giải pháp bộ nhớ cache Web cho Windows cùng với kếtnối Internet an toàn, nhanh chóng và dễ quản lý

ISA giúp thực hiện chính sách bảo mật doanh nghiệp của tổ chức thôngqua các công cụ quản trị của nó, giúp điều chỉnh việc sử dụng dựa trên các tiêuchí nhóm, ứng dụng, đích, lịch biểu và nội dung của người dùng

Nền tảng mở rộng của nó cung cấp khả năng dự phòng phần cứng và cânbằng tải và cho phép sử dụng hiệu quả tài nguyên mạng thông qua các cơ chế bộnhớ đệm phức tạp của nó

Hình 1 4: ISA Server

Ưu điểm của ISA server:

• Được bảo vệ bởi hệ thống tường lửa – Fire wall trong khi kết nối Internet

• Tránh tối đa sự xâm phạm từ các đối tượng như hacker, virus, …

• Với các tổ chức, doanh nghiệp, mọi dữ liệu thông tin cần được bảo mật ởmức tuyệt đối Với máy các nhân lộ thông tin người dùng đã gây khó chịuthì với doanh nghiệp thì sẽ là những tổn thất về mặt tài sản, còn có thể là

cả uy tín nữa

1.3.4 Firewall

Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phầncứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát traffic vào, ra khỏi hệthống Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạngkhông an toàn Nó kiểm soát các truy cập đến nguồn lực của mạng thông quamột mô hình kiểm soát chủ động Nghĩa là, chỉ những traffic phù hợp với chínhsách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi traffickhác đều bị từ chối

Bất kì máy tính nào kết nối tới Internet cũng cần có firewall, giúp quản lýnhững gì được phép vào mạng và những gì được phép ra khỏi mạng Việc có một

“người gác cổng” như vậy để giám sát mọi việc xảy ra rất quan trọng bởi hai lý do:

Thứ nhất, bất kì máy tính kết nối mạng nào thường kết nối vĩnh viễn vớiInternet

Thứ hai, mỗi máy tính trực tuyến lại có một chữ ký điện tử riêng, đượcgọi là Internet Protocol address (hay còn gọi là địa chỉ IP): Nếu không cófirewall hỗ trợ, nó chẳng khác gì chuyện người dùng bật tất cả đèn lên và mởrộng cửa để đón trộm vào

Một firewall được cấu hình chính xác sẽ ngăn chặn điều này xảy ra vàgiúp máy tính “ẩn” một cách hiệu quả, cho phép người dùng thoải mái thưởngthức những gì thế giới trực tuyến mang lại Firewall không giống chương trìnhdiệt virus Thay vào đó, nó làm việc cùng với những công cụ này nhằm đảm bảorằng máy tính được bảo vệ từ hầu hết các mối tấn công nguy hại phổ biến

Hình 1 5: Firewall trong hệ thống 1.3.5 Giao thức Tunneling

Công nghệ mạng riêng ảo dựa trên khái niệm tunneling Giống như mộtđường ống nước chứa chất lỏng chảy bên trong nó, VPN tunnel cách ly và đónggói lưu lượng truy cập Internet, thường là với một số loại mã hóa để tạo ra mộttunnel riêng tư cho dữ liệu, khi nó truyền trong một mạng không bảo mật

Khi lưu lượng truy cập Internet truyền bên trong VPN tunnel, nó cungcấp kết nối riêng tư, bảo mật giữa máy tính của người dùng và một máy tínhhoặc máy chủ khác tại một trang web khác Khi được kết hợp với mã hóa

mạnh, việc tạo tunneling khiến dữ liệu của người dùng hầu như không thể bịxem trộm hoặc hack.

Hãy coi VPN tunneling là một quá trình đóng gói và mã hóa dữ liệu:

• Đóng gói dữ liệu: Đóng gói là quá trình gói một gói dữ liệu Internet bêntrong một gói khác, giống như khi người dùng đặt một lá thư bên trong mộtphong bì để gửi

• Mã hóa dữ liệu: Mã hóa làm xáo trộn và khóa nội dung của bức thư, tức là

dữ liệu của người dùng, để bất kỳ ai cũng không thể mở và đọc được ngoạitrừ người nhận dự định Tuy nhiên, chỉ có một tunnel là chưa đủ

Mặc dù VPN tunnel có thể được tạo mà không cần mã hóa, nhưng VPNtunnel thường không được coi là bảo mật trừ khi chúng được bảo vệ bằng một

số loại mã hóa Đây là lý do tại sao người dùng thường nghe thấy VPN được mô

tả là kết nối được mã hóa

Hình 1 6: VPN site to site

Ngoài các thành phần kể trên chúng ta cần hiểu rõ khái niệm đó là “giaothức xác thực” Một giao thức xác thực là một loại giao thức máy tính truyềnthông hoặc giao thức mật mã thiết kế đặc biệt để chuyển xác thực dữ liệu giữahai thực thể Nó cho phép thực thể nhận xác thực thể kết nối (ví dụ: Máy kháchkết nối với Máy chủ) cũng như xác thực chính nó với thực thể kết nối (Máy chủvới máy khách) bằng cách khai báo loại thông tin cần thiết để xác thực cũng như

cú pháp Đây là lớp bảo vệ quan trọng nhất cần thiết để giao tiếp an toàn trongmạng máy tính

có một số ưu điểm như:

Giảm thiểu chi phí triển khai và duy trì hệ thống: Việc sử dụng

một VPN sẽ giúp các công ty, tổ chức giảm chi phí đầu tư và chi phí thường xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ do chi phí phải trả ít hơn cho việc thuê băng thông

đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của

hệ thống mà VPN vẫn đáp ứng đầy đủ như cầu truyền tải hay tính bảo mật an toàn dữ liệu Thay vì việc phải thuê đường truyền dài thì VPN lại tận dụng lại hệ thống mạng Internet có sẵn

Cải thiện kết nối:

• Vượt qua bộ lọc chặn truy cập Web: VPN là một lựa chọn tốt để có thểvượt qua được bộ lọc Internet

• Thay đổi địa chỉ IP: Nếu muốn thay đổi IP khác thì VPN có thể giúpchúng làm điều này việc này giúp ta có thể che dấu được địa chỉ củamình tránh được sự xâm hại hay ý đồ xấu của những hacker (kẻ tấncông, tin tặc) bên ngoài mạng

An toàn trong giao dịch: việc trao đổi thông tin trong công việc là nhiều và

liên tục, nhưng vấn đề bảo mật thông tin thì cực kì quan trọng, với VPN chúng

ta sẽ không phải lo lắng quá nhiều về việc đó, VPN sử dụng cơ chế giấu đi, các

dữ liệu sẽ được mã hóa và thông tin dữ liệu được bao bọc bởi gói tin Header(phần đầu gói tin ghi địa chỉ đầu - cuối của gói tin) và truyền đi nhanh chóngdựa vào Internet VPN đáp ứng tốt việc chia sẽ gói tin và dữ liệu trong một thờigian dài

Khả năng điều khiển từ xa:

• Truy cập Business Network từ xa: VPN thường được các du khách đi dulịch lựa chọn với mục đích kinh doanh (business traveler) sử dụng đểtruy cập mạng lưới kinh doanh của họ, bao gồm tất cả các nguồn tàinguyên mạng cục bộ Các nguồn tài nguyên mạng cục bộ không đượctiếp xúc trực tiếp với Internet để tăng cường tính bảo mật

• Truy cập Home Network từ xa: Ngoài ra người dùng có thể thiết lập mộtVPN của riêng mình để truy cập khi đi du lịch Điều này sẽ cho phépngười dùng truy cập Windows Remote Desktop thông qua Internet, tức

là người dùng sẽ được phép truy cập vào máy tính cá nhân của mìnhthông qua Internet, chia sẻ các tập tin, làm việc trên dữ liệu máy tính ởnhà và thậm chí là chơi game trên máy tính đó

Khả năng mở rộng hệ thống tốt: chi phí để xây dựng một hệ thống mạng

lưới chuyên dụng (sử dụng cáp mạng) cho một công ty lúc đầu có thể là hợp lý, tuynhiên công ty ngày càng phát triển nhu cầu mở rộng hệ thống mạng là cần thiết vìvậy VPN là một lựa chọn hợp lý bởi vì VPN không phụ thuộc quá nhiều vào vấn

đề “hệ thống”, do VPN được xây dựng dựa trên cơ sở hạ tầng mạng Internet bất cứ

ở nơi nào có mạng công cộng là đều có thể triển khai VPN Mà mạng công cộng cómặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động

Bảo mật địa chỉ IP: bởi vì thông tin gửi đi trên VPN đã được mã hóa do đó

các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bênngoài Internet

Ẩn hoạt động duyệt web từ mạng cục bộ và ISP (nhà cung cấp Internet):

nếu đang sử dụng kết nối Wifi công cộng, và người dùng duyệt web trên cáctrang web không phải HTTPS, khi đó các hoạt động của người dùng sẽ được

hiển thị với mọi người (nếu họ biết cách để xem hoạt động của người dùng).Nếu muốn ẩn hoạt động duyệt web của mình để đảm bảo tính bảo mật, quyềnriêng tư, người dùng có thể kết nối với VPN Mạng cục bộ sẽ chỉ nhìn thấy mộtkết nối VPN an toàn và duy nhất Tất cả các traffic khác sẽ thông qua kết nốiVPN Và có thể sử dụng để bỏ qua việc giám sát của nhà cung cấp dịch vụInternet (ISP) của người dùng.

Trải nghiệm tốc dộ nhanh hơn: nhiều người dùng sử dụng kết nối VPN

để tải các file thông qua BitTorrent Điều này thực sự hữu ích nếu người dùngmuốn tải toàn bộ Torrent hợp lệ – nếu ISP của người dùng đang điều khiểnBitTorrent và nó khá chậm, người dùng có thể sử dụng BitTorrent trên VPN đểđược trải nghiệm tốc độ nhanh hơn

Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những

người không có quyền truy cập và cho phép truy cập đối với những người dùng

• VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấuhình và cài đặt phải cẩn thận, chính xác đảm bảo tính an toàn trên hệthống mạng Internet công cộng

• Độ tin cậy và hiệu xuất của một VPN dựa trên Internet không phải làdưới sự kiểm soát trực tiếp của công ty, vì vậy giải pháp thay thế là hãy

sử dụng một nhà cung cấp dịch vụ (ISP) tốt và chất lượng

• Việc sử dụng các sản phẩm VPN và các giải pháp của các nhà cungcấp khác nhau không phải lúc nào cũng tương thích do các vấn đề vềtiêu chuẩn công nghệ VPN Khi sử dụng pha trộn và kết hợp các thiết

bị sẽ có thể gây ra những vấn đề kỹ thuật hoặc nếu sử dụng khôngđúng cách sẽ lãng phí rất nhiều chi phí triển khai hệ thống

• Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đềbảo mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nốivới hệ thống văn phòng bằng máy tính xách tay, máy tính riêng, khi đócác nếu máy tính của họ thực hiện hàng loạt các ứng dụng khác, ngoàiviệc kết nối tới văn phòng làm việc thì hacker (kẻ tấn công, tin tặc) cóthể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệthống của công ty Vì vậy việc bảo mật cá nhân luôn được các chuyêngia khuyến cáo phải đảm bảo an toàn

• VPN không có khả năng quản lý Quality of Service (QoS) qua môitrường Internet, do vậy các gói dữ liệu - Data package vẫn có nguy cơ

bị thất lạc, rủi ro

• Khả năng quản lý của các đơn vị cung cấp VPN là có hạn nên máy tínhcủa người dùng vẫn có thể bị hack, tiềm ẩn nguy cơ bảo mật cho máytính của người dùng

• Nhiều trang web trực tuyến đang trở nên cảnh giác với VPN và tạo ranhiều trở ngại nhằm ngăn cản hay giảm lượng truy cập vào nội dung bịhạn chế Không may là người dùng cũng có thể sử dụng VPN vào cáchoạt động bất hợp pháp, khiến công nghệ này bị mang tiếng xấu

• Các VPN miễn phí sẽ giúp người dùng tiết kiệm được rất nhiều tiền,nhưng người dùng sẽ phải trả giá bằng sự an toàn của bản thân Vì thế,nếu muốn sử dụng VPN có đầy đủ các chức năng và cấu hình mạnh thìngười dùng phải chi trả một lượng ngân sách đáng kể, nhất định tùythuộc vào nhu cầu sử dụng theo từng tháng

1.5 Chức năng của VPN

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),tính toàn vẹn (Integrity) và tính bảo mật (Confidentiality)

a, Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía

phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin vớingười mình mong muốn chứ không phải một người nào khác

b, Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không

có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

c, Tính bảo mật: Người gửi có thể mã hoá các gói dữ liệu trước khi

truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cáchlàm như vậy, không một ai có thể truy nhập thông tin mà không được phép

Thậm chí nếu có lấy được thì cũng không đọc được

1.6 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơbản sau:

Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc

di động vào mạng nội bộ của công ty

• Nối liền các chi nhánh, văn phòng di động

• Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm

ba loại:

• Mạng VPN truy nhập từ xa (Remote Access VPN)

• Mạng VPN cục bộ (Intranet VPN)

• Mạng VPN mở rộng (Extranet VPN)

1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN)

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tại mọi thờiđiểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truynhập vào mạng của công ty Kiểu VPN truy nhập từ xa là kiểu VPN điển hìnhnhất Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơinào có mạng Internet

VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụngthông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty

vẫn duy trì Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị

di động, những người sử dụng di động, những chi nhánh và những người dùnghàng của công ty Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầngcông cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL vàcông nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máytính của người sử dụng

Hình 1 8: Mô hình VPN truy cập từ xa

a, Ưu điểm

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống như:

• Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi

vì quá trình kết nối từ xa được các ISP thực hiện

• Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nốikhoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạngInternet

• Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

• Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ởtốc độ cao hơn so với các truy nhập khoảng cách xa.

• VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vìchúng hỗ trợ mức thấp nhất của dịch vụ kết nối

b) Nhược điểm

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm như:

• Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

• Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phânphát không đến nơi hoặc mất gói

• Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cáchđáng kể

1.6.2 Mạng VPN cục bộ (Intranet VPN)

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chinhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảomật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các nguồn

dữ liệu được phép trong toàn bộ mạng của công ty Những VPN này vẫn cungcấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗtrợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảotính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site- to-Site

Hình 1 9: Mô hình mạng VPN cục bộ

a) Ưu điểm:

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

• Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiệnmạng thông qua một hay nhiều nhà cung cấp dịch vụ)

• Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

• Bởi vì những kết nối trung gian được thực hiện thông qua mạngInternet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấpmới

• Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụngđường ngầm VPN thông qua Internet kết hợp với công nghệ chuyểnmạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

b) Nhược điểm:

Tuy có nhiều ưu điểm nhưng mạng cục bộ dựa trên giải pháp VPN cũng

có những nhược điểm đi cùng:

• Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet –cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức độchất lượng dịch vụ (QoS)

• Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, vớiyêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trongmôi trường Internet

1.6.3 Mạng VPN mở rộng (Extranet)

Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tớinhững nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanhnhư là các đối tác, khách hàng, và các nhà cung cấp… Các VPN mở rộng cungcấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đốitác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luônluôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhaugiữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được côngnhận ở một trong hai đầu cuối của VPN

Hình 1 10: Mô hình VPN mở rộng

a) Ưu điểm

Những ưu điểm chính của mạng VPN mở rộng:

• Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạngtruyền thống

• Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạtđộng

• Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên

có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phùhợp với các nhu cầu của mỗi công ty hơn

• Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảotrì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậygiảm được chi phí vận hành của toàn mạng

b) Nhược điểm của mạng VPN mở rộng:

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn

có những nhược điểm đi cùng như:

• Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạngcông cộng vẫn tồn tại

• Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớntrong môi trường Internet

• Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

1.7 Các giao thức sử dụng trong VPN

1.7.1 Bộ giao thức IPSec

Internet Protocol Security (IPSec) là một bộ giao thức bảo mật (InternetProtocol -IP) thông tin liên lạc, bằng cách xác thực và mã hóa mỗi gói tin IP củamột phiên giao dịch, IPSec cũng bao gồm các giao thức cho việc thiết lập xácthực lẫn nhau giữa các đại lý trong các phiên giao dịch và đàm phán bằng cách

sử dụng các khoá mã hóa

IPSec là một chương trình điều hành bảo mật end-to-end trong các LayerInternet (lớp kết nối Internet) của Internet Protocol Suite (IPS - giao thức chuẩntrong Internet) Ngoài ra, nó có thể được sử dụng trong việc bảo vệ các luồng dữliệu giữa các máy đầu – cuối (transport mode), giữa các gateway với nhau(network-to-network, tunel mode), hoặc giữa một gateway với một máy đầu –cuối (network-to-host, hybrid mode)

IPSec là một công nghệ tạo VPN tầng network cung cấp tính bí mật,

toàn vẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế mạng để xác minh

tính xác thực của người gửi và nhận đồng thời chống lại sự giả mạo, do thámhoặc tấn công dịch vụ Giao thức IPSec mã hoá dữ liệu bằng các kỹ thuật bảo

mật cao cấp, ngăn chặn những người dùng trái phép truy cập dữ liệu khi đượctruyền đi.

Mạng IP ‒ bao gồm cả World Wide Web ‒ thiếu khả năng mã hoá và bảo

vệ quyền riêng tư VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp mộtframework cho việc giao tiếp được mã hóa và riêng tư trên web

Dưới đây là cái nhìn sâu hơn về IPSec và cách nó hoạt động với các VPNtunnel để bảo vệ dữ liệu qua những mạng không bảo mật

Hình 1 11: Đường hầm IPSec

Khi hai máy tính thiết lập kết nối VPN, chúng phải đồng thuận về một tậphợp các giao thức bảo mật và thuật toán mã hóa, đồng thời trao đổi khoá mật mã

để mở khóa và xem dữ liệu đã mã hóa

Đây là lúc IPSec phát huy vai trò IPSec làm việc với các VPN tunnel đểthiết lập kết nối hai chiều riêng tư giữa các thiết bị IPSec không phải là mộtgiao thức đơn lẻ; thay vào đó, đó là một bộ giao thức và tiêu chuẩn hoàn chỉnh,hoạt động cùng nhau để giúp đảm bảo tính bảo mật, toàn vẹn và xác thực củacác gói dữ liệu Internet đi qua VPN tunnel

Đây là cách IPSec tạo một VPN tunnel bảo mật :

• IPSec xác thực dữ liệu để đảm bảo tính toàn vẹn của gói dữ liệu trongquá trình truyền tải

• IPSec mã hóa lưu lượng truy cập Internet qua các VPN tunnel để khôngthể xem dữ liệu

• IPSec bảo vệ dữ liệu khỏi các cuộc tấn công Replay Attack, có thể dẫnđến việc đăng nhập trái phép.

• IPSec cho phép trao đổi khoá mật mã bảo mật giữa các máy tính

• IPSec cung cấp hai chế độ bảo mật : Tunnel và Transport

VPN IPSec bảo vệ dữ liệu truyền từ host đến host, mạng đến mạng, hostđến mạng và cổng đến gateway (được gọi là chế độ Tunnel, khi toàn bộ gói IPđược mã hóa và xác thực)

1.7.2 Giao thức PPTP (Point-to-Point Tunneling Protocol)

Point‒to‒Point Tunneling Protocol là giao thức mạng được sử dụng chủyếu với các máy tính Windows Ngày nay, nó bị coi là lỗi thời khi sử dụng trongcác mạng riêng ảo, vì có nhiều thiếu sót về bảo mật Tuy nhiên, PPTP vẫn được

sử dụng trong một số mạng

PPTP là một giao thức mạng được phát triển vào năm 1999 bởi một nhómnhà cung cấp, thành lập bởi Microsoft, Ascend Communications (một phần củaNokia), 3Com và nhiều nhóm khác PPTP được thiết kế để cải thiện Point‒to‒Point Protocol, giao thức lớp liên kết dữ liệu (Layer 2) được thiết kế để kết nốitrực tiếp hai router, trước đó

Mặc dù là giao thức nhanh và ổn định cho các mạng Windows, nhưngPPTP không còn được coi là bảo mật nữa PPTP đã được thay thế bởi các giaothức VPN tunneling an toàn và bảo mật hơn, bao gồm OpenVPN, L2TP/IPSec

và IKEv2/IPSec

Hình 1 12: Giao thức PPTP

PPTP là sự phát triển vượt bậc của PPP và do đó, dựa trên framework xácthực và mã hóa của nó Giống như tất cả các công nghệ tunneling, PPTP đónggói những gói dữ liệu, tạo ra một tunnel để dữ liệu truyền qua mạng IP

PPTP sử dụng thiết kế client‒server (thông số kỹ thuật có trong InternetRFC 2637) hoạt động ở Layer 2 của model OSI Khi VPN tunnel được thiết lập,PPTP hỗ trợ hai loại luồng thông tin:

• Tin nhắn điều khiển chuyển trực tiếp giữa VPN client và server

• Các gói dữ liệu đi qua tunnel, tức là đến hoặc từ VPN client

Mọi người thường lấy thông tin địa chỉ PPTP VPN server từ admin Chuỗikết nối có thể là tên server hoặc địa chỉ IP

Khi người dùng sử dụng thiết lập kết nối VPN, nó thường ảnh hưởng đếntốc độ Internet của người dùng do quá trình mã hóa Tuy nhiên, người dùngkhông phải lo lắng về điều đó khi sử dụng PPTP vì giao thức này được mã hóamức độ thấp

Mặc dù sử dụng PTPP có những ưu điểm nhưng nó cũng đi kèm với một

số hạn chế nhất định như:

• Bảo mật không đầy đủ

• Giao thức PPTP được coi là kém bảo mật nhất vì nó chỉ sử dụng mã hóa128‒bit để bảo vệ dữ liệu Vì vậy, nếu đang xử lý thông tin nhạy cảm,

người dùng nên chọn các giao thức VPN khác cung cấp mức độ bảo mậttốt hơn.

• Hiệu suất kém trên mạng không ổn định

• PPTP không phải là giao thức VPN đáng tin cậy nhất khi được sử dụngtrên các kết nối không ổn định ‒ người dùng sẽ thường gặp phải các vấn

đề về hiệu suất! Mặc dù nó có thể là một phương tiện được chấp nhận

để kết nối giữa các nhân viên và chia sẻ tài liệu, PPTP sẽ khiến ngườidùng thất vọng nếu người dùng có nhiều thông tin riêng tư cần chia sẻ

1.7.3 Giao thức L2TP (Layer 2 Tunneling Protocol).

Giao thức L2TP là viết tắt của Layer 2 Tunneling Protocol, và giốngnhư tên của nó, đây là một giao thức tunneling được thiết kế để hỗ trợ các kếtnối VPN Thật thú vị khi L2TP thường được ISP sử dụng để cho phép hoạtđộng VPN

L2TP được ra mắt lần đầu tiên vào năm 1999 Nó được thiết kế như một

sự kế thừa của PPTP, do cả Microsoft và Cisco phát triển Giao thức này sử dụngcác tính năng khác nhau từ giao thức PPTP của Microsoft và L2F (Layer 2Forwarding) của Cisco, sau đó cải thiện chúng

Hình 1 13: Giao thức L2TP/IPSec

L2TP Tunneling bắt đầu bằng cách kết nối LAC (L2TP AccessConcentrator – bộ tập trung truy cập L2TP) và LNS (L2TP Network Server –máy chủ mạng L2TP) ‒ hai điểm cuối của giao thức ‒ trên Internet Sau khi đạt

được điều đó, một layer liên kết PPP được kích hoạt và đóng gói lại, sau đó, lớpliên kết này được chuyển qua web.

Sau đó, kết nối PPP được khởi tạo bởi người dùng cuối (người dùng) vớiISP Khi LAC chấp nhận kết nối, liên kết PPP được thiết lập Sau đó, một vị trítrống trong tunnel mạng được chỉ định và yêu cầu sau đó được chuyển đến LNS

Cuối cùng, khi kết nối được xác thực và chấp nhận hoàn toàn, một giao diệnPPP ảo sẽ được tạo Tại thời điểm đó, các link frame (đơn vị truyền dữ liệu số trongmạng máy tính) có thể tự do đi qua tunnel Các frame được LNS chấp nhận, sau đóloại bỏ mã hóa L2TP và tiến hành xử lý chúng như các frame thông thường

Một số chi tiết kỹ thuật về giao thức L2TP

• L2TP thường được ghép nối với IPSec để đảm bảo payload dữ liệu

• Khi được ghép nối với IPSec, L2TP có thể sử dụng các key mã hóalên đến 256‒bit và thuật toán 3DES

L2TP thường được kết hợp với IPSec

• L2TP hoạt động trên nhiều nền tảng và được hỗ trợ trên các thiết bị

và hệ điều hành Windows và MacOS

• Tính năng mã hóa kép của L2TP mang đến khả năng bảo mật tốthơn, nhưng cũng có nghĩa là nó sử dụng nhiều tài nguyên hơn

• L2TP thường sử dụng cổng TCP 1701, nhưng khi nó được ghépnối với IPSec, nó cũng sử dụng các cổng UDP 500 (cho IKE ‒Internet Key Exchange), 4500 (cho NAT) và 1701 (cho lưu lượngL2TP)

 Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây:

• L2TP là một giải pháp chung Hay nói cách khác nó là một nền tảngđộc lập Nó cũng hỗ trợ nhiều công nghệ mạng khác nhau Ngoài ra, nócòn hỗ trợ giao dịch qua kết nối WAN non-IP mà không cần một IP

• L2TP tunneling trong suốt đối với ISP giống như người dùng từ xa Do

đó, không đòi hỏi bất kỳ cấu hình nào ở phía người dùng hay ở ISP

• L2TP cho phép một tổ chức điều khiển việc xác nhận người dùng thay

vì ISP phải làm điều này

• L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói dữliệu xuống tùy ý nếu đường hầm quá tải Điều này làm cho qua trìnhgiao dịch bằng L2TP nhanh hơn so với quá trình giao dịch bằng L2F

• L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địa chỉ

IP truy cập vào mạng từ xa thông qua một mạng công cộng

• L2TP nâng cao tính bảo mật do sử dụng IPSec-based payloadencryption trong suốt qua trình tạo hầm, và khả năng triển khai xácnhận IPSec trên từng gói dữ liệu

 Triển khai L2TP cũng gặp một số bất lợi sau:

– L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec để xácnhận mỗi gói dữ liệu nhận được

– Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn, mộtRouting and Remote Access Server (RRAS) cần có những cấu hình mởrộng

1.7.4 Giao thức Secure Socket Tunneling Protocol (VPN-SSTP)

SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPNtrong Windows Vista và Windows Server 2008 SSTP sử dụng các kết nối HTTP

đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway SSTP làmột giao thức rất an toàn vì các thông tin quan trọng của người dùng khôngđược gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập với VPNgateway SSTP cũng được biết đến với tư cách là PPP trên SSL, chính vì thế nócũng có nghĩa là ta có thể sử dụng các cơ chế chứng thực PPP và EAP để bảo

đảm cho các kết nối SSTP được an toàn hơn

SSL cho phép truyền tải và mã hóa dữ liệu, cũng như kiểm tra tính toànvẹn của lưu lượng Do đó, SSTP có thể vượt qua hầu hết các tường lửa và proxyserver bằng cách sử dụng kênh SSL qua cổng TCP 443

SSTP có sẵn để sử dụng trong môi trường Windows (kể từ Windows VistaSP1), trong RouterOS và trong SEIL (kể từ phiên bản firmware 3.50) SSTP cóthể được sử dụng với Winlogon hoặc xác thực thẻ thông minh, các chính sáchtruy cập từ xa và Windows VPN client, vì được tích hợp với kiến trúc RRAS

Như với các giao thức tunneling IP-over-TCP khác, SSTP chỉ hoạt độngtốt nếu có đủ băng thông trên liên kết mạng không được tạo tunnel Nếu không

có đủ băng thông, TCP timer (công cụ được sử dụng bởi TCP để tránh sự chậmtrễ quá mức trong quá trình giao tiếp) có thể sẽ hết hạn, gây ra sự sụt giảm lớn

về hiệu suất SSTP

Hệ thống của client kết nối với máy chủ thông qua TCP (TransmissionControl Port) SSL sử dụng cổng 443 để kết nối với máy chủ Để xác nhận kếtnối, nó yêu cầu xác thực người dùng và thường được xác thực bởi client Giaothức sử dụng chứng chỉ máy chủ để xác thực

Có nhiều lý do chứng thực sự phổ biến của SSTP Ví dụ, SSTP cung cấpmức bảo mật cao nhất, tức là mã hóa AES 256-bit Hơn nữa, cổng nó sử dụng cóthể né tránh hầu hết các loại tường lửa Vì SSTP là tài sản thuộc sở hữu củaMicrosoft nên nó hoàn toàn tương thích với Windows

Hình 1 14: Giao thức SSTP 1.7.5 Giao thức SSL

SSL (Secure Sockets Layer) là một giao thức cung cấp dịch vụ truyềnthông có bảo mật giữa client và server thông qua việc cho phép client và serverxác thực lẫn nhau sử dụng chữ ký số và bảo mật thông tin trao đổi qua lại bằngcách mã hoá các thông tin đó Giao thức SSL có 03 phiên bản:

• SSL v2: phiên bản đầu tiên của SSL do Netscape thiết kế, chưa có sựtrợ giúp chuỗi chứng chỉ (chain certìicate)

• SSL v3: SSL phiên bản 3.0 cũng do Netscape thiết kế, đã có sự trợgiúp cho chuỗi chứng chỉ và đã được sử dụng cho hầu hết các trìnhduyệt phổ thông

• TLS v1: Transport Layer Security phiên bản 1.0, do IETF (InternetEngineering Task Force) thiết kế dựa trên SSL v3 Tuy nhiên khôngđược hỗ trợ đối với nhiều trình duyệt thông dụng (ví dụ: Netscape).Hiện nay đã có các phiên bản mới của TLS đó là TLS v1.1 và TLSv1.2 Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1 Tuynhiên SSL là thuật ngữ được sử dụng rộng rãi hơn.

SSL là tiêu chuẩn của công nghệ bảo mật, truyền thông mã hoá giữa máychủ Web server và trình duyệt Tiêu chuẩn này hoạt động và đảm bảo rằng các

dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư vàtoàn vẹn SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trêntoàn thế giới, nó bảo vệ dữ liệu truyền đi trên môi trường Internet được an toàn

SSL đảm bảo rằng tất cả các dữ liệu được truyền giữa các máy chủ web vàcác trình duyệt được mang tính riêng tư, tách rời SSL được thiết kế như là mộtgiao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng Giaothức SSL hoạt động bên trên TCP/IP và bên dưới các giao thức ứng dụng tầngcao hơn như là HTTP, IMAP và FTP

SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đãđược chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

• Xác thực server: Cho phép người sử dụng xác thực được server muốn kếtnối Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắcchắn rằng certificate và public ID của server là có giá trị và được cấp phátbởi một CA (certificate authority) trong danh sách các CA đáng tin cậycủa client Điều này rất quan trọng đối với người dùng Ví dụ như khi gửi

mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệuserver sẽ nhận thông tin này có đúng là server mà họ định gửi đến không

• Xác thực Client: Cho phép phía server xác thực được người sử dụngmuốn kết nối Phía server cũng sử dụng các kỹ thuật mã hoá công khai đểkiểm tra xem chứng chỉ (certificate) và public ID của server có giá trị hay

không và được cấp phát bởi một CA (certificate authority) trong danhsách các CA đáng tin cậy của server không Điều này rất quan trọng đốivới các nhà cung cấp Ví dụ như khi một ngân hàng định gửi các thông tintài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra địnhdanh của người nhận.

• Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được

mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật Điều này rấtquan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư.Ngoài ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mãhoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổitrong dữ liệu (đó là các thuật toán băm – hash algorithm)

Giao thức SSL bao gồm 2 giao thức con:

• Giao thức SSL record: xác định các định dạng dùng để truyền dữ liệu

• Giao thức SSL handshake: sử dụng SSL record protocol để trao đổi một

số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL.Chắc rằng người dùng cũng đã nghe nhắc đến cụm từ chứng chỉ SSL (SSLCertificate) trên các website, vậy chứng chỉ SSL là gì?

Trước tiên, chúng ta nên biết rằng Giao thức bảo mật – SSL là một tiêuchuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy chủweb và trình duyệt Liên kết này đảm bảo tất cả các dữ liệu trao đổi giữa máychủ web và trình duyệt luôn được bảo mật và an toàn

SSL đảm bảo rằng tất cả các dữ liệu được truyền giữa các máy chủ web vàcác trình duyệt được mang tính riêng tư, tách rời SSL là một chuẩn công nghiệpđược sử dụng bởi hàng triệu trang web trong việc bảo vệ các giao dịch trựctuyến với khách hàng của họ

Chứng thư số SSL cài trên website của doanh nghiệp cho phép kháchhàng khi truy cập có thể xác minh được tính xác thực, tin cậy của website, đảmbảo mọi dữ liệu, thông tin trao đổi giữa website và khách hàng được mã hóa,tránh nguy cơ bị can thiệp

Hình 1 15: Chứng thư SSL

Ưu điểm của SSL VPN

• Dễ dàng vượt tường lửa: Do sử dụng duy nhất một port TCP/443 đểtạo VPN Tunnle TCP/443 là port thông dụng luôn được các tường lửacho phép đi qua

• Không phụ thuộc vào khả năng PassThrough VPN của NAT Device(Trường hợp nằm sau NAT Device)

• Thích hợp khi tạo VPN LAN-to-LAN giữa 3G và ADSL/FTTH (3G làmạng đứng sau một NAT device của ISP nên nếu sử dụng PPTP hayIPsec sẽ gặp phải khó khăn)

• Bảo mật cao do sử dụng chuẩn SSL 3.0

• Băng thông VPN cao (Tùy model dao động từ 50 ~ 500Mbps)