Slide VPN Virtual Private Network

VPN Virtual Private Network VPN Virtual Private Network Thành viên nhóm Nguyễn Quốc Khánh Đỗ Quang Anh Phạm Việt Hoàng Phân công thành viên Tài Liệu, Nội Dung Quốc Khánh, Quang Anh, Việt Hoàng Thiết Kế Slide Quốc Khánh, Quang Anh Demo Vmware Khánh (Vpn), Quang Anh (Vpn Sstp), Hoàng (Pptp,l2tp) Packet Tracer Hoàng (Vpn Site To Site) NỘI DUNG CHÍNH ĐỊNH NGHĨA VPN LỢI ÍCH, ỨNG DỤNG NỔI BẬT VỊ TRÍ LẮP ĐẶT, MÔ HÌNH TRIỂN KHAI HÌNH THỨC TRIỂN KHAI TÍNH CHẤT, ĐẶC TRƯNG CỦA VPN PHÂN LOẠI KẾT NỐI VPN 1 K.

Trang 1

VPN - Virtual Private Network

Thành viên nhóm:

Nguyễn Quốc Khánh

Đỗ Quang Anh Phạm Việt Hoàng

Trang 2

Phân công thành viên:

1 Tài Liệu, Nội Dung: Quốc Khánh, Quang Anh, Việt Hoàng

2 Thiết Kế Slide: Quốc Khánh, Quang Anh

• Vmware: Khánh (Vpn), Quang Anh (Vpn.Sstp), Hoàng (Pptp,l2tp)

• Packet Tracer: Hoàng (Vpn.Site To Site)

Trang 3

NỘI DUNG CHÍNH

1 ĐỊNH NGHĨA VPN

2 LỢI ÍCH, ỨNG DỤNG NỔI BẬT

3 VỊ TRÍ LẮP ĐẶT, MÔ HÌNH TRIỂN KHAI

4 HÌNH THỨC TRIỂN KHAI

5 TÍNH CHẤT, ĐẶC TRƯNG CỦA VPN

6 PHÂN LOẠI KẾT NỐI VPN

Trang 4

1 Khái niệm

- VPN (Virtual Private Network) Mạng ảo riêng tư: là một đường kết nối mạng vận chuyển thông tin qua một đường kết nối riêng tư dù vật lý đường vận chuyển đó vẫn là đi qua hạ tầng vật lý mạng công khai Internet Để đạt được tính bảo mật và riêng

tư, VPN có khả năng mã hóa đường vận chuyển thông tin (traffic) để đảm bảo thông tin vận chuyển sẽ luôn được bảo mật và toàn vẹn.

Trang 5

Tiết kiệm chi phí

Tính bảo mật cao

Khả năng mở rộng

2 Lợi ích của việc ứng dụng VPN

Tính tương thích

Trang 6

2.1 Tiết kiệm chi phí kết nối

• Sử dụng kết nối VPN giúp giảm thiểu chi phí kết nối và đồng thời cải thiện băng thông kết nối (VD: Với cá nhân, có thể khởi tạo một đường kết nối VPN tới một Server nước ngoài như thể

vị trí thiết bị mình đang ở tại nước đó, so với một đường kết nối dây như vậy thì chi phí phát sinh sẽ rất lớn Đối với các tổ chức công ty, việc sử dụng VPN sẽ loại bỏ nhu cầu các công ty phải đi tìm đường kết nối dây gây ra phát sinh chi phí lớn từ đó giúp giảm thiểu chi phí kết nối qua khoảng cách lớn – do chi cần một đường kết nối tới ISP như thông thường).

Trang 7

2.2 Tính bảo mật

• Đường VPN sử dụng các giao thức mã hóa và xác thức giúp bảo vệ dữ liệu trên đường truyền khỏi những truy cập độc hại, không xác thực

Trang 8

2.3 Khả năng mở rộng

• VPN cho phép các tổ chức sử dụng kết nối Internet để kết nối những người dùng mới vào tổ chức

mà không cần phải có hạ tầng cơ sở phức tạp

Trang 9

2.4 Tính tương thích

• VPN có thể được triển khai qua nhiều tùy chọn kết nối WAN (mạng diện rộng) bao gồm cả công nghệ băng thông rộng Từ đó tạo điều kiện cho các nhân viên, tổ chức làm việc từ xa có một đường kết nối tốc độ cao mà vẫn bảo đảm tính bảo mật khi truy cập tới mạng của tổ chức

Trang 10

Thường được triển khai tại các thiết bị Gateway hoặc Server như thiết bị Routing Layer 3 tại một tổ chức công

ty (VD: Router, Switch L3, Firewall hoặc là Server nội địa của công ty

Thường được triển khai tại các thiết bị Gateway hoặc Server như thiết bị Routing Layer 3 tại một tổ chức công

ty (VD: Router, Switch L3, Firewall hoặc là Server nội địa của công ty

Vị trí lắp đặt

- VPN có 2 mô hình chính:

+ Kết nối Site-to-Site (Kết nối giữa các Site): Kết nối này là kết nối giữa các Gateway của các mạng LAN với nhau nhằm kết nối VPN giữa

các mạng của các công ty tổ chức với nhau, kết nối này giới hạn giữa các thiết bị định tuyến với nhau như Router -> Các máy trong mạng sẽ không có nhận thức về đường kết nối VPN này

+ Kết nối Remote Acess/ Client-to-Site (kết nối truy cập từ xa): Đây là kết nối trực tiếp từ một máy client với một VPN server/ VPN

gateway, thường ứng dụng cho việc kết nối một nhân viên từ xa vào mạng công ty phục vụ cho việc kết nối và quản lý

- VPN có 2 mô hình chính:

+ Kết nối Site-to-Site (Kết nối giữa các Site): Kết nối này là kết nối giữa các Gateway của các mạng LAN với nhau nhằm kết nối VPN giữa

các mạng của các công ty tổ chức với nhau, kết nối này giới hạn giữa các thiết bị định tuyến với nhau như Router -> Các máy trong mạng sẽ không có nhận thức về đường kết nối VPN này

+ Kết nối Remote Acess/ Client-to-Site (kết nối truy cập từ xa): Đây là kết nối trực tiếp từ một máy client với một VPN server/ VPN

gateway, thường ứng dụng cho việc kết nối một nhân viên từ xa vào mạng công ty phục vụ cho việc kết nối và quản lý

Mô hình triển

khai

Mô hình triển

khai

3 Vị trí lắp đặt, mô hình triển khai

Trang 11

4 Hình thức triển khai VPN:

• VPN Enterprise – tập đoàn

VPN được tạo và quản lý bởi chính công ty và tập đoàn, thường sử dụng các giao thức như Ipsec hay SSL cho bảo mật

• Vpn service providerer – nhà cung cấp dịch vụ

VPN được tạo và quản lý bởi nhà cung cấp dịch vụ sử dụng MPLS – Multiprotocol Lable Switching ở Layer 2/3 để tạo kênh kết nối giữa các Site

và chia cách kết nối với kết nối của khách hành bình thường

Trang 12

1 Khả năng đóng gói

• Công nghệ VPN đóng gói dữ liệu riêng tư trong một Header chứa thông tin định tuyến qua đường kết nối VPN

• Công nghệ phổ biến cho ứng dụng này của VPN là giao thức GRE – Generic Routing Encapsulation GRE có khả năng đóng gói bất kỳ giao thức Layer 3 nào trong một IP packet thành một đường IP tunnel để tạo kết nối Point to Point ảo Từ

đó, GRE có thể kết hợp với IPsec tạo một đường kết nối VPN bảo mật và hỗ trợ định tuyến đa giao thức các gói tin Multicast L3

2 Tính xác thực

• Cấp độ người dùng - User Level: sử dụng xác thực PPP (Point to Point Protocol) VPN Server sẽ xác thực, ủy quyền VPN Client có phiên kết nối đến ở cấp độ người dùng Xác thực này cũng có thể trở thành 2 chiều, tức VPN Client cũng sẽ xác thực xem VPN Server có hợp lệ không

• Cấp độ máy tính - Computer Level: sử dụng IKE – Internet Key Exchange – giao thức trao đổi Key Internet (bảo mật xác thực đường truyền giữa 2 nơi) Ứng dụng trong việc khởi tạo phương thức bảo mật IPsec, VPN Client và Server sử dụng IKE để trao đổi chứng chỉ máy tính (Computer Certificate) hoặc khóa định trước (Preshared Key)

• Dựa theo nguồn và tính toàn vẹn dự liệu: Dữ liệu sẽ chứa hàm tổng kiểm tra mật mã (Cryptography Checksum) để xác nhận việc dữ liệu không bị thay đổi trong quá trình vận chuyển Hảm tổng kiểm tra mật mã này dựa vào một Key mã

hóa chia sẻ trước giữa thiết bị gửi và nhận trên đường VPN

3 Mã hóa dữ liệu

• Để đảm bảo tính toàn vẹn dữ liệu, thiết bị gửi sẽ mã hóa dữ liệu còn thiết bị nhận sẽ giải mã nó sử dụng một Key mã hóa chung Do đó gói tin trên đường truyền dù bị nghe lén, chặn lại bởi bên khác cũng sẽ không thể hiểu được nội dung

dữ liệu trong gói tin đó Vì vậy, độ dài Key mã hóa là một thông số cần được bảo đảm kết hợp với nhu cầu, khả năng hạ tầng của công ty để cân bằng giữa bảo mật và sử dụng hiệu quả tài nguyên phần cứng

5 Tính chất, đặc trưng kết nối VPN

Trang 13

6 Phân loại kết nối VPN

• Internet Protocol Security hoặc IPSec

IPSec được sử dụng để bảo mật thông tin liên lạc trên Internet qua mạng IP Bằng cách xác thực phiên (session) và mã hóa từng gói dữ liệu trong quá trình kết nối

IPSec hoạt động ở hai chế độ, chế độ Transport và chế độ Tunneling, để bảo vệ việc truyền dữ liệu giữa hai mạng khác nhau Chế độ Transport sẽ mã hóa các tin nhắn trong gói dữ liệu và chế độ Tunneling sẽ mã hóa toàn bộ dữ liệu trong gói tin IPSec cũng có thể sử dụng thêm các giao thức bảo mật khác để nâng cao hệ thống bảo mật

• Layer 2 Tunneling Protocol (L2TP)

L2TP là một giao thức Tunneling được kết hợp với một giao thức bảo mật VPN khác như IPSec để tạo ra một kết nối VPN bảo mật cao hơn L2TP tạo một tunneling (đường hầm) giữa hai điểm kết nối L2TP và IPSec, giúp mã hóa dữ liệu và xử lý giao tiếp an toàn giữa tunneling

• Point – to – Point Tunneling Protocol (PPTP)

PPTP tạo ra một tunneling và gói lại các gói dữ liệu Nó sử dụng giao thức Point – to – Point (PPP) để mã hóa dữ liệu giữa các kết nối PPTP là một trong những giao thức được sử dụng rộng rãi nhất và đã được sử dụng từ thời Windows 95, Ngoài Windows, PPTP cũng được sử dụng trên Mac và Linux

• Secure Sockets Layer (SSL) và Transport Layer Security (TLS)

SSL và TLS tạo kết nối VPN trong đó trình duyệt web đóng vai trò là ứng dụng khách và quyền truy cập của người dùng bị hạn chế trong các ứng dụng cụ thể thay vì toàn bộ mạng Giao thức SSL và TLS được sử dụng phổ biến nhất bởi các trang thương mại điện tử và các nhà cung cấp dịch vụ Các trình duyệt web chuyển SSL một cách dễ dàng và hầu như không cần người dùng thực hiện hành động nào, và các trình duyệt web được tích hợp với SSL và TLS Kết nối SSL có https ở đầu URL thay vì http như cũ

• OpenVPN

Là một VPN mã nguồn mở, rất hữu ích để tạo các kết nối Point – to – Point và Site – to – Site Nó sử dụng một giao thức bảo mật tùy chỉnh dựa trên SSL

và TLS

• Secure Shell (SSH)

SSH tạo một VPN tunnel (đường hầm VPN), việc truyền dữ liệu sẽ diễn ra trong đường hầm và cũng đảm bảo đường hầm được mã hóa Kết nối SSH được tạo bởi một máy khách SSH và dữ liệu được chuyển từ một cổng cục bộ đến máy chủ từ xa thông qua đường hầm được mã hóa