Đề tài tìm hiểu về giao thức mạng riêng ảo VPN wireguard và thực nghiệm

các giao thức hay được sử dụng khi triển khai VPN là OpenVPN, IPSec, … tuy nhiên nhiều người dùng cho rằng hai giao thức này sử dụng chậm và khó cấu hình quản lý đúng cách. Chính vì vậy giao thức mạng riêng ảo mới VPN WireGuard đã ra đời nhằm mục đích khắc phục được nhược điểm trên. Việc triển khai giao thức WireGuard sẽ giúp cho doanh nghiệp có thể sử dụng mạng VPN một các hiệu quả và dễ dàng hơn giúp thông tin trở nên an toàn hơn.Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài “Tìm hiểu về giao thức mạng riêng ảo Wireguard và thực nghiệm” nhằm khai thác được những khía cạnh và ưu điểm của giao thức này, giúp mọi người có cái nhìn tổng quan về giao thức mới Wireguard.

Học viện bưu chính viễn thông

Sinh viên thực hiện:

Nguyễn Minh anh

Người hướng dẫn:

TS Trần Thị Loan

Khoa An toàn thông tin – Học viện bưu chính viễn thông

Hà Nội, 2021

MỤC LỤC

MỤC LỤC i

DANH MỤC KÍ HIỆU VÀ VIẾT TẮT iii

DANH MỤC HÌNH ẢNH iv

LỜI CẢM ƠN vi

LỜI MỞ ĐẦU vii

Chương 1 TỔNG QUAN VỀ VPN 1

1.1 Lịch sử phát triển 1

1.2 Định nghĩa VPN 3

1.3 Các thành phần tạo nên VPN 5

1.3.1 VPN Clients 5

1.3.2 VPN Server 6

1.3.3 Firewall 7

1.3.4 ISA Server 8

1.3.5 Giao thức Tunneling 9

1.4 Lợi ích và hạn chế của việc sử dụng VPN 11

1.4.1 Lợi ích 11

1.4.2 Hạn chế 13

1.5 Chức năng của VPN 14

1.6 Phân loại mạng VPN 14

1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN) 15

1.6.2 Mạng VPN cục bộ (Intranet VPN) 17

1.6.3 Mạng VPN mở rộng (Extranet) 18

1.7 Các giao thức sử dụng trong VPN 20

1.7.1 Bộ giao thức IPSec 20

1.7.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) 22

1.7.3 Giao thức L2TP (Layer 2 Tunneling Protocol) 23

1.7.4 Giao thức Secure Socket Tunneling Protocol (VPN-SSTP) 25

1.7.5 Giao thức SSL 27

1.8 Giải pháp phòng chống một số tấn công lên VPN 31

1.8.1 Phòng chống tấn công BEAST 31

1.8.2 Phòng chống tấn công xen giữa 32

1.8.3 Phòng chống tấn công từ chối dịch vụ SSL (SSL Dos Attack) 34

CHƯƠNG 2: GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD 39

2.1 Giới thiệu chung về giao thức mạng riêng ảo WireGuard 40

2.1.1 Định nghĩa 40

2.1.2 Lịch sử hình thành và phát triển 41

2.1.3 Mục đích sử dụng giao thức mạng riêng ảo WireGuard 43

2.2 Đặc điểm của giao thức mạng riêng ảo WireGuard 43

2.2.1 Mô hình của giao thức mạng riêng ảo WireGuard 43

2.2.2 Tính bảo mật của mạng riêng ảo dựa trên WireGuard 45

2.2.3 Khả năng mở rộng của giao thức 45

2.3 Nguyên lý hoạt động của giao thức mạng riêng ảo WireGuard 46

2.4 Quá trình bắt tay và truyền dữ liệu 47

2.5 So sánh ưu, nhược điểm của giao thức WireGuard với một số giao thức VPN khác 50

2.5.1 Ưu điểm của giao thức mạng riêng ảo WireGuard 50

2.5.2 Nhược điểm của giao thức mạng riêng ảo WireGuard 52

2.5.3 So sánh giao thức mạng riêng ảo WireGuard với một số giao thức VPN khác 53

CHƯƠNG 3: THỰC NGHIỆM TRIỂN KHAI GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD 61

3.1 Mô hình thực nghiệm 61

3.2 Triển khai thực nghiệm 62

3.2.1 Thiết lập trên Server 62

3.2.2 Thiết lập trên các client 65

3.2.3 Bắt gói tin 68

3.3 Đánh giá kết quả thực nghiệm 70

KẾT LUẬN 72

TÀI LIỆU THAM KHẢO 73

PHỤ LỤC 74

DANH MỤC KÍ HIỆU VÀ VIẾT TẮT

VPN Virtual Private Network Mạng riêng ảo

PBX Private Branch Exchange Tổng đài điện thoại

ISP Internet Service Provider Nhà cung cấp dụng vụ InternetHTTPS Hypertext Transfer

Protocol Secure

Giao thức truyền tải siêu văn bản

bảo mậtIPSEC Internet Protocol Security Giao thức Internet an toànL2TP Layer 2 Tunneling

Protocol Giao thức đường hầm lớp 2PPP Point –to– Point Protocol Giao thức điểm – điểm

PPTP Point-to-Point Tunneling

Protocol Giao thức đường hầm điểm – điểm

mạng InternetQoS Quality of Service Chất lượng dịch vụ

DANH MỤC HÌNH

Hình 1 1: Mô hình kết nối VPN 5

Hình 1 2: Đường hầm giữa VPN Clients và VPN Server 6

Hình 1 3: Firewall cứng 8

Hình 1 4: ISA Server 9

Hình 1 5: VPN site to site 10

Hình 1 6: Giao thức xác thực 10

Hình 1 7: Mô hình VPN truy cập từ xa 16

Hình 1 8: Mô hình mạng VPN cục bộ 17

Hình 1 9: Mô hình VPN mở rộng 19

Hình 1 10: Đường hầm IPSec 21

Hình 1 11: Giao thức PPTP 22

Hình 1 12: Giao thức L2TP/IPSec 24

Hình 1 13: Giao thức SSTP 27

Hình 1 14: Chứng thư số SSL 29

Hình 1 15: Mô tả tấn công Beast attack 32

Hình 1 16; Mô hình tấn công xen giữa 33

Hình 1 17: Dấu hiệu tấn công xen giữa 33

Hình 1 18: Mô hình tấn công từ chối dịch vụ SSL 34

Hình 1 19: Sử dụng công cụ THC-SSL-TOOL để tấn công 35

Hình 1 20: Quá trình thỏa thuận kết nối bị lỗi 35

Hình 1 21: Hiển thị quá trình thỏa thuận kết nối bị lỗi 36

YHình 2 1: Biểu tượng Wireguard 40

Hình 2 2: Các dạng kết nối chính 43

Hình 2 3: Mô hình kết nối cơ bản sử dụng Wireguard 43

Hình 2 4: Quá trình bắt tay và truyền dữ liệu 47

Hình 2 5: Gói tin Request 48

Hình 2 6: Gói tin Response 48

Hình 2 7: Thông điệp truyền dữ liệu 49

Hình 2 8: Mã hóa trong Wireguard 50

YHình 3 1: Mô hình triển khai Wireguard 57

Hình 3 2: Cài đặt Wireguard từ Internet 58

Hình 3 3: Tạo khóa cho server 59

Hình 3 4: Cấu hình wg0.conf 59

Hình 3 5: Tạo file cấu hình cho các client 60

Hình 3 6: Cấu hình cho các client Linux 61

Hình 3 7: Cài đặt Wireguard trên Android 61

Hình 3 8: Cấu hình Wireguard cho client Android 62

Hình 3 9: Máy Android kết nối đến Server 62

Hình 3 10: Kết nối thành công đến mạng Wireguard 63

Hình 3 11: Cài đặt Wireguard trên máy Linux kết nối đến Server 63

Hình 3 12: Kiểm tra kết nối tại Server 64

Hình 3 13: Truy cập mạng nội bộ 64

Hình 3 14: Gói tin HTTP 64

Hình 3 15: Bát gói tin truyền thông giữa các client và server 65

Hình 3 16: Gói tin mã hóa với Wireguard 65

LỜI CẢM ƠN

Trong suốt quá trình học tập và thực tập tốt nghiệp cho đến khi làm đồ ántốt nghiệp, em luôn nhận được sự quan tâm, hướng dẫn và giúp đỡ tận tình củacác thầy, cô giáo trong Học viện và đặc biệt là thầy, cô giáo trong Khoa An toànthông tin – Học viện bưu chính viễn thông cùng với sự giúp đỡ của gia đình, bạnbè

Lời đầu tiên, em xin được bày tỏ lòng biết ơn sâu sắc đến Ban giám đốcHọc viện, các thầy, cô giáo trong Học viện và đặc biệt là thầy(cô) giáo Khoa Antoàn thông tin đã tận tình giúp đỡ cho em suốt thời gian học tại Học viện

Đặc biệt, em xin bày tỏ lòng biết ơn chân thành tới giảng viên TS Trần Thị Loan đã trực tiếp giúp đỡ, hướng dẫn em hoàn thành đồ án này.

Do trình độ kiến thức và thực tế còn hạn chế nên không thể tránh khỏinhững thiếu sót Vì thế, em rất mong nhận được sự quan tâm, đóng góp của thầy

cô giáo để đồ án của em được hoàn chỉnh hơn

Những ý kiến, đóng góp của thầy cô sẽ giúp em nhận ra những hạn chế vàqua đó em sẽ có thêm những nguồn tư liệu mới trên con đường học tập cũng nhưcông việc, nghiên cứu sau này

Em xin trân trọng cảm ơn!

SINH VIÊN THỰC HIỆN

ĐỒ ÁN

Nguyễn Minh Anh

Đa phần hiện nay, các giao thức hay được sử dụng khi triển khai VPN làOpenVPN, IPSec, … tuy nhiên nhiều người dùng cho rằng hai giao thức này sửdụng chậm và khó cấu hình quản lý đúng cách Chính vì vậy giao thức mạngriêng ảo mới VPN WireGuard đã ra đời nhằm mục đích khắc phục được nhượcđiểm trên Việc triển khai giao thức WireGuard sẽ giúp cho doanh nghiệp cóthể sử dụng mạng VPN một các hiệu quả và dễ dàng hơn giúp thông tin trở nên

Chương 2: Giao thức mạng riêng ảo Wireguard

Trình bày các đặc điểm cơ bản của giao thức Wireguard đang được pháttriển hiện nay với các ưu điểm và những vấn đề còn tồn tại của giao thức cũngnhư so sánh giao thức này với một số các giao thức VPN truyền thống

Chương 3: Thực nghiệm triển khai giao thức mạng riêng ảo Wireguard

Trình bày mô hình thực nghiệm bảo vệ hệ thống với VPN Wireguard vàthực nghiệm một số tính năng của giao thức mới

Do thời gian có hạn cũng như kiến thức thực tế của lĩnh vực rất rộng nênquá trình thực hiện đồ án chắc chắn không tránh khỏi thiếu sót Em rất mongnhận được các ý kiến đóng góp của các thầy cô để đồ án được hoàn thiện hơn

Em xin chân thành cảm ơn!

SINH VIÊN THỰC HIỆN ĐỒ ÁN

Nguyễn Minh Anh

CHƯƠNG 1 TỔNG QUAN VỀ VPN

Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổithông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nênbức thiết vì vậy Internet đã bùng nổ Mọi người sử dụng máy tính kết nốiInternet thông qua nhà cung cấp dịch vụ, sử dụng một giao thức chung làTCP/IP Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thôngcủa mạng viễn thông công cộng Với Internet, những dịch vụ như mua bán, traođổi trực tuyến, giáo dục từ xa hay tư vấn trực tuyến, … đã trở nên dễ dàng Tuynhiên Internet có phạm vi toàn cầu và không tổ chức hay chính phủ nào có thểquản lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch

vụ là một vấn đề lớn cần phải giải quyết Từ đó các nhà khoa học đã nghiên cứu

và đưa ra một mô hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tậndụng cơ sở hạ tầng đang có của Internet, đó là mô hình mạng riêng ảo (VPN –Virtual Private Network) Với mô hình này, người sử dụng không phải đầu tưthêm quá nhiều trang thiết bị, cơ sở hạ tầng mà vẫn đảm bảo các tính năng nhưbảo mật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của mạng này

VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay cácvăn phòng chi nhánh có thể kết nối an toàn đến máy chủ của tổ chức mình bằng

cơ sở hạ tầng được cung cấp bởi mạng công cộng Nó đảm bảo an toàn thông tingiữa các tổ chức, công ty hoặc chi nhánh, văn phòng, người cung cấp hay các đốitác kinh doanh trong môi trường truyền thông rộng lớn Đặc biệt, VPN còn tiếtkiệm chi phí đáng kể cho các tổ chức, công ty mà vẫn đảm bảo bí mật

1.1 Lịch sử phát triển

Sự xuất hiện mạng riêng ảo (VPN – Virtual Private Network), bắt nguồn từyêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quảvới các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN)

Trước kia hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) sửdụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thựchiện việc thông tin với nhau.

Các mốc đánh dấu sự phát triển của VPN:

 Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dâychuyên dùng cho các khách hàng lớn Colisee có thể cung cấp phươngthức gọi số chuyên dùng cho khách hàng Dịch vụ này căn cứ vào lượngdịch vụ mà đưa ra cước phí và nhiều tính năng quảng lý khác

 Năm 1985, Sprint đưa ra VPN, AT&T (Công ty viễn thông đa quốc gia)đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng phầnmềm SDN

 Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom

 Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xínghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ

 Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN

 Năm 1990, MCI và Sprint đưa ra dịch vụ VPN; Telstra của Ostaylia đưa radịch vụ VPN trong nước đầu tiên ở khu vực Chấu Á – Thái Bình Dương

 Năm 1992, Viễn thông Hà Lan và Telia Thụy Điển thành lập công ty hợptác đầu tư Unisource, cung cấp dịch vụ VPN

 Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liênminh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó

 Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Côngnghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hộithảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet côngcộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN.

Công nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức cónhiều văn phòng, chi nhánh lựa chọn Ngày nay, với sự phát triển của côngnghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khảnăng của VPN ngày một hoàn thiện

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho cácdịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện

1.2 Định nghĩa VPN

Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mô hìnhcho đến công nghệ, đáp ứng các nhu cầu của người sử dụng Internet đã đượcthiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đếnngười sử dụng một cách tự do và nhanh chóng mà không xem xét đến máy vàmạng mà người sử dụng đó đang dùng Để được điều này, các nhà khoa học

sử dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN vớinhau Các máy tính kết nối với Internet thông qua nhà cung cấp dịch vụ (ISP– Internet Service Provider), cần một giao thức chung là TCP/IP Điều mà kỹthuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễnthông công cộng Với Internet, những dịch vụ như giáo dục từ xa, mua hàngtrực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực Tuynhiên, do Internet có phạm vi toàn cầu và không một tổ chức, chính phủ cụthể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũngnhư trong việc quản lý các dịch vụ Từ đó, nhà nghiên cứu đã đưa ra một môhình mạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lạinhững cơ sở hạ tầng hiện có của Internet, đó chính là mô hình mạng riêng ảo(Virtual Private Network – VPN)

Với mô hình mới này, người dùng không phải đầu tư thêm nhiều về cơ

sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời cóthể quản lý riêng được sự hoạt động của mạng này VPN cho phép người sửdụng làm việc tại nhà, trên đường đi hay các văn phòng chi nhánh có thể kếtnối an toàn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấpbởi mạng công cộng Nó có thể đảm bảo an toàn thông tin giữa các đại lý,người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyềnthông rộng lớn Trong nhiều trường hợp VPN cũng giống như WAN (WideArea Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùngmạng công cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều

Mạng riêng ảo VPN là thuật ngữ vô cùng quen thuộc đối với những ngườitrong ngành công nghệ thông tin Nhiều người chỉ biết đơn giản nó là một loạimạng ảo mà không hiểu sâu và rõ bản chất của hệ thống VPN là gì?

VPN được hiểu đơn giản là sự mở rộng của một mạng riêng (PrivateNetwork) thông qua các mạng công cộng Về căn bản, mỗi VPN là một mạngriêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với cácsite (các mạng riêng lẻ) hay nhiều người sử dụng từ xa Thay cho việc sử dụngkết nối thực, chuyên dùng như đường leased-line (kênh thuê riêng), mỗi VPN sửdụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của các công tytới các site các nhân viên từ xa Để có thể gửi và nhận dữ liệu thông qua mạngcông cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp các cơ chế

mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận

và nơi gửi gọi là Tunnel - giống như một kết nối point-to-point trên mạng riêng

Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa theo cơchế giấu đi, chỉ cung cấp phần đầu gói tin (header) là thông tin về đường đi chophép nó có thể đi tới đích thông qua mạng công cộng một cách nhanh chóng Dữliệu được mã hóa một cách cẩn thận do đó nên nếu các gói tin bị bắt trên đườngtruyền công cộng cũng không thể đọc nội dung vì không có khóa đề giải mã,liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối VPN Các đường kếtnối VPN thường được gọi là đường ống VPN (Tunnel)

Hình 1 1: Mô hình kết nối VPN

1.3 Các thành phần tạo nên VPN

Để triển khai một hệ thống VPN người dùng cần có một số thành phần cơbản sau, nhưng việc tạo ra hệ thống VPN thì mỗi người sẽ có một sự lựa chọnthành phần khác nhau để phù hợp với công ty hay mục đích của mỗi người

Mặt khác, nếu công ty có một vài nhân viên những người đi du lịchthường xuyên và cần phải truy cập vào mạng của công ty trên đường đi, bạn cóthể sẽ được hưởng lợi từ việc thiết lập máy tính xách tay của nhân viên nhưVPN Client

Về mặt kỹ thuật, bất kỳ hệ điều hành có thể hoạt động như một VPNClient miễn là nó hỗ trợ PPTP, L2TP, hoặc giao thức IPSec

1.3.2 VPN Server

VPN Server là một máy chủ thông thường được cài đặt và cấu hình vớiphần mềm VPN Server Tuy nhiên, VPN Server thường có nhiều port(cổng)giao tiếp logic và vật lý hơn VPN Server cung cấp kết nối và dịch vụ VPN chocác máy khách VPN từ xa và/hoặc máy khách VPN cục bộ Thông thường, VPNServer sử dụng một hoặc nhiều giao thức cho kết nối và truyền thông, chẳng hạnnhư giao thức point-to-point (PPP) Máy khách VPN trước tiên kết nối với máychủ VPN và phải tự xác thực trước khi được cấp quyền truy cập vào VPN

VPN Server được cài đặt trên máy chủ để xử lý và vận hành tất cả thànhphần và phần cứng truyền thông Ngoài ra phần mềm server còn có chức năng làcung cấp khả năng bảo mật và quản lý cơ chế kiểm soát truy cập khi thiết lậpquan hệ máy khách/máy chủ giữa các thiết bị Phần mềm VPN server sử dụngmột số giao thức VPN khác nhau bao gồm OpenVPN, IKEv2, SoftEther, PPTP,SSTP và L2TP / IPSec cho các kiểu kết nối VPN khác nhau

Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàngVPN Về mặt kỹ thuật, có thể sử dụng Windows NT Server 4.0, Windows 2000Server, hoặc Windows Server 2003 hay Window Server 2008 như là một máychủ VPN VPN Server khá đơn giản, nó là một máy chủ cứng Windows Server

2008 chạy Routing và Remote Access (RRAS) Khi một kết nối VPN đã đượcchứng thực, các máy chủ VPN chỉ đơn giản là hoạt động như một bộ định tuyếncung cấp cho khách hàng VPN có thể truy cập đến một mạng riêng

Hình 1 2: Đường hầm giữa VPN Clients và VPN Server

1.3.3 Firewall

Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phầncứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát traffic vào, ra khỏi hệthống Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạngkhông an toàn Nó kiểm soát các truy cập đến nguồn lực của mạng thông quamột mô hình kiểm soát chủ động Nghĩa là, chỉ những traffic phù hợp với chínhsách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi traffickhác đều bị từ chối

Bất kì máy tính nào kết nối tới Internet cũng cần có firewall, giúp quản lýnhững gì được phép vào mạng và những gì được phép ra khỏi mạng Việc có một

“người gác cổng” như vậy để giám sát mọi việc xảy ra rất quan trọng bởi hai lý do:

Thứ nhất, bất kì máy tính kết nối mạng nào thường kết nối vĩnh viễn vớiInternet

Thứ hai, mỗi máy tính trực tuyến lại có một chữ ký điện tử riêng, đượcgọi là Internet Protocol address (hay còn gọi là địa chỉ IP): Nếu không cófirewall hỗ trợ, nó chẳng khác gì chuyện người dùng bật tất cả đèn lên và mởrộng cửa để đón trộm vào

Một firewall được cấu hình chính xác sẽ ngăn chặn điều này xảy ra vàgiúp máy tính “ẩn” một cách hiệu quả, cho phép người dùng thoải mái thưởngthức những gì thế giới trực tuyến mang lại Firewall không giống chương trìnhdiệt virus Thay vào đó, nó làm việc cùng với những công cụ này nhằm đảm bảorằng máy tính được bảo vệ từ hầu hết các mối tấn công nguy hại phổ biến

Hình 1 3: Firewall cứng 1.3.4 ISA Server

ISA Server là gì? Đó là một giải pháp kết nối chứa cả Firewall và cache,hiệu quả, an toàn và bảo mật cho các doanh nghiệp chia sẻ băng thông tín hiệu,

sử dụng trong các mô hình mạng lớn và cả quy mô mạng trung bình, ISA serverđáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thốngmột cách an toàn

Máy chủ tăng tốc và bảo mật Internet (máy chủ ISA) là một máy chủ cungcấp tường lửa tổ chức và giải pháp bộ nhớ cache Web cho Windows cùng vớikết nối Internet an toàn, nhanh chóng và dễ quản lý

ISA giúp thực hiện chính sách bảo mật doanh nghiệp của tổ chức thôngqua các công cụ quản trị của nó, giúp điều chỉnh việc sử dụng dựa trên các tiêuchí nhóm, ứng dụng, đích, lịch biểu và nội dung của người dùng

Nền tảng mở rộng của nó cung cấp khả năng dự phòng phần cứng và cânbằng tải và cho phép sử dụng hiệu quả tài nguyên mạng thông qua các cơ chế bộnhớ đệm phức tạp của nó

Hình 1 4: ISA Server

Ưu điểm của ISA server:

 Được bảo vệ bởi hệ thống tường lửa – Firewall trong khi kết nối Internet

 Tránh tối đa sự xâm phạm từ các đối tượng như hacker, virus, …

 Với các tổ chức, doanh nghiệp, mọi dữ liệu thông tin cần được bảo mật ởmức tuyệt đối Với máy các nhân lộ thông tin người dùng đã gây khó chịuthì với doanh nghiệp thì sẽ là những tổn thất về mặt tài sản, còn có thể là

cả uy tín nữa

1.3.5 Giao thức Tunneling

Công nghệ mạng riêng ảo dựa trên khái niệm tunneling Giống như mộtđường ống nước chứa chất lỏng chảy bên trong nó, VPN tunnel cách ly và đónggói lưu lượng truy cập Internet, thường là với một số loại mã hóa để tạo ra mộttunnel riêng tư cho dữ liệu, khi nó truyền trong một mạng không bảo mật

Khi lưu lượng truy cập Internet truyền bên trong VPN tunnel, nó cungcấp kết nối riêng tư, bảo mật giữa máy tính của người dùng và một máy tínhhoặc máy chủ khác tại một trang website khác Khi được kết hợp với mã hóamạnh, việc tạo tunneling khiến dữ liệu của người dùng hầu như không thể bịxem trộm hoặc hack

Về bản chất, đây là quá trình đặt toàn bộ gói tin vào trong một lớpheader (tiêu đề) chứa thông tin định tuyến có thể truyền qua hệ thống mạng

trung gian theo những "đường ống" riêng (tunnel) Khi gói tin được truyền đếnđích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cầnnhận dữ liệu Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụngchung một giao thức (tunnel protocol) Giao thức của gói tin bọc ngoài được cảmạng và hai điểm đầu cuối nhận biết Hai điểm đầu cuối này được gọi làTunnel Interface, nơi gói tin đi vào và đi ra trong mạng

Hình 1 5: VPN site to site

Ngoài các thành phần kể trên, một khái niệm cần hiểu rõ đó là “giao thứcxác thực” Một giao thức xác thực là một loại giao thức máy tính truyền thônghoặc giao thức mật mã thiết kế đặc biệt để chuyển xác thực dữ liệu giữa hai thựcthể Nó cho phép thực thể nhận xác thực thể kết nối (ví dụ: Máy khách kết nốivới Máy chủ) cũng như xác thực chính nó với thực thể kết nối (Máy chủ vớimáy khách) bằng cách khai báo loại thông tin cần thiết để xác thực cũng như cúpháp Đây là lớp bảo vệ quan trọng nhất cần thiết để giao tiếp an toàn trongmạng máy tính

có một số ưu điểm như:

Giảm thiểu chi phí triển khai và duy trì hệ thống: Việc sử dụng một

VPN sẽ giúp các công ty, tổ chức giảm chi phí đầu tư và chi phí thường

xuyên Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ

do chi phí phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết

bị mạng đường trục và duy trì hoạt động của hệ thống mà VPN vẫn đáp

ứng đầy đủ như cầu truyền tải hay tính bảo mật an toàn dữ liệu Thay vì

việc phải thuê đường truyền dài thì VPN lại tận dụng lại hệ thống mạng

Internet có sẵn

Thay đổi địa chỉ IP: Nếu muốn thay đổi IP khác thì VPN có thể giúp

chúng làm điều này việc này có thể che dấu được địa chỉ của mình tránh được sựxâm hại hay ý đồ xấu của những hacker (kẻ tấn công, tin tặc) bên ngoài mạng

An toàn trong giao dịch: việc trao đổi thông tin trong công việc là

nhiều và liên tục, nhưng vấn đề bảo mật thông tin thì cực kì quan trọng, vớiVPN sẽ không phải lo lắng quá nhiều về việc đó, VPN sử dụng cơ chế giấu

đi, các dữ liệu sẽ được mã hóa và thông tin dữ liệu được bao bọc bởi gói tin

Header (phần đầu gói tin ghi địa chỉ đầu - cuối của gói tin) và truyền đinhanh chóng dựa vào Internet VPN đáp ứng tốt việc chia sẽ gói tin và dữliệu trong một thời gian dài

Khả năng điều khiển từ xa:

 Truy cập Business Network từ xa: VPN thường được các du khách đi dulịch lựa chọn với mục đích kinh doanh (business traveler) sử dụng đểtruy cập mạng lưới kinh doanh của họ, bao gồm tất cả các nguồn tàinguyên mạng cục bộ Các nguồn tài nguyên mạng cục bộ không đượctiếp xúc trực tiếp với Internet để tăng cường tính bảo mật

 Truy cập Home Network từ xa: Ngoài ra người dùng có thể thiết lậpmột VPN của riêng mình để truy cập khi đi du lịch Điều này sẽ chophép người dùng truy cập Windows Remote Desktop thông quaInternet, tức là người dùng sẽ được phép truy cập vào máy tính cá nhâncủa mình thông qua Internet, chia sẻ các tập tin, làm việc trên dữ liệumáy tính ở nhà và thậm chí là chơi game trên máy tính đó

Khả năng mở rộng hệ thống tốt: chi phí để xây dựng một hệ thống

mạng lưới chuyên dụng (sử dụng cáp mạng) cho một công ty lúc đầu có thể làhợp lý, tuy nhiên công ty ngày càng phát triển nhu cầu mở rộng hệ thốngmạng là cần thiết vì vậy VPN là một lựa chọn phù hợp bởi vì VPN không phụthuộc quá nhiều vào vấn đề “hệ thống”, do VPN được xây dựng dựa trên cơ

sở hạ tầng mạng Internet bất cứ ở nơi nào có mạng công cộng là đều có thểtriển khai VPN Mà mạng công cộng có mặt ở khắp mọi nơi nên khả năng mởrộng của VPN là rất linh động

Bảo mật địa chỉ IP: bởi vì thông tin gửi đi trên VPN đã được mã hóa do đó

các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bênngoài Internet

Ẩn hoạt động duyệt web từ mạng cục bộ và ISP (nhà cung cấp Internet):

nếu đang sử dụng kết nối Wifi công cộng, và người dùng duyệt web trên cáctrang web không phải HTTPS, khi đó các hoạt động của người dùng sẽ đượchiển thị với mọi người (nếu họ biết cách để xem hoạt động của người dùng)

Nếu muốn ẩn hoạt động duyệt web của mình để đảm bảo tính bảo mật, quyềnriêng tư, người dùng có thể kết nối với VPN Mạng cục bộ sẽ chỉ nhìn thấy mộtkết nối VPN an toàn và duy nhất Tất cả các traffic khác sẽ thông qua kết nốiVPN Và có thể sử dụng để bỏ qua việc giám sát của nhà cung cấp dịch vụInternet (ISP) của người dùng.

Trải nghiệm tốc dộ nhanh hơn: nhiều người dùng sử dụng kết nối VPN

để tải các file thông qua BitTorrent Điều này thực sự hữu ích nếu người dùngmuốn tải toàn bộ Torrent hợp lệ – nếu ISP của người dùng đang điều khiểnBitTorrent và nó khá chậm, người dùng có thể sử dụng BitTorrent trên VPN đểđược trải nghiệm tốc độ nhanh hơn

Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những

người không có quyền truy cập và cho phép truy cập đối với những người dùng

 VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấuhình và cài đặt phải cẩn thận, chính xác đảm bảo tính an toàn trên hệthống mạng Internet công cộng

 Độ tin cậy và hiệu xuất của một VPN dựa trên Internet không phải làdưới sự kiểm soát trực tiếp của công ty, vì vậy giải pháp thay thế làhãy sử dụng một nhà cung cấp dịch vụ (ISP) tốt và chất lượng

 Việc sử dụng các sản phẩm VPN và các giải pháp của các nhà cungcấp khác nhau không phải lúc nào cũng tương thích do các vấn đề vềtiêu chuẩn công nghệ VPN Khi sử dụng pha trộn và kết hợp các thiết

bị sẽ có thể gây ra những vấn đề kỹ thuật hoặc nếu sử dụng khôngđúng cách sẽ lãng phí rất nhiều chi phí triển khai hệ thống

 Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đềbảo mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nốivới hệ thống văn phòng bằng máy tính xách tay, máy tính riêng, khi đócác nếu máy tính của họ thực hiện hàng loạt các ứng dụng khác, ngoàiviệc kết nối tới văn phòng làm việc thì hacker (kẻ tấn công, tin tặc) cóthể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệthống của công ty Vì vậy việc bảo mật cá nhân luôn được các chuyêngia khuyến cáo phải đảm bảo an toàn

 VPN không có khả năng quản lý Quality of Service (QoS) qua môitrường Internet, do vậy các gói dữ liệu - Data package vẫn có nguy cơ

bị thất lạc, rủi ro

 Khả năng quản lý của các đơn vị cung cấp VPN là có hạn nên máy tínhcủa người dùng vẫn có thể bị hack, tiềm ẩn nguy cơ bảo mật cho máytính của người dùng

 Nhiều trang web trực tuyến đang trở nên cảnh giác với VPN và tạo ranhiều trở ngại nhằm ngăn cản hay giảm lượng truy cập vào nội dung bịhạn chế Không may là người dùng cũng có thể sử dụng VPN vào cáchoạt động bất hợp pháp, khiến công nghệ này bị mang tiếng xấu

 Các VPN miễn phí sẽ giúp người dùng tiết kiệm được rất nhiều tiền,nhưng người dùng sẽ phải trả giá bằng sự an toàn của bản thân Vì thế,nếu muốn sử dụng VPN có đầy đủ các chức năng và cấu hình mạnh thìngười dùng phải chi trả một lượng ngân sách đáng kể, nhất định tùythuộc vào nhu cầu sử dụng theo từng tháng

1.5 Chức năng của VPN

VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),tính toàn vẹn (Integrity) và tính bí mật

a, Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía

phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thông tin vớingười mình mong muốn chứ không phải một người nào khác

b, Tính toàn vẹn: Đảm bảo dữ liệu không bị thay đổi hay đảm bảo không

có bất kỳ sự xáo trộn nào trong quá trình truyền dẫn

c, Tính bí mật: Người gửi có thể mã hoá các gói dữ liệu trước khi truyền

qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu Bằng cách làm nhưvậy, không một ai có thể truy nhập thông tin mà không được phép

Thậm chí nếu có lấy được thì cũng không đọc được

1.6 Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơbản sau:

Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc

di động vào mạng nội bộ của công ty

 Nối liền các chi nhánh, văn phòng di động

 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm

ba loại:

 Mạng VPN truy nhập từ xa (Remote Access VPN)

 Mạng VPN cục bộ (Intranet VPN)

 Mạng VPN mở rộng (Extranet VPN)

1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN)

Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa Tạimọi thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năngtrao đổi, truy nhập vào mạng của công ty Kiểu VPN truy nhập từ xa là kiểuVPN điển hình nhất Bởi vì, những VPN này có thể thiết lập bất kể thờiđiểm nào, từ bất cứ nơi nào có mạng Internet

VPN truy nhập từ xa mở rộng mạng công ty tới những người sửdụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sáchmạng công ty vẫn duy trì Chúng có thể dùng để cung cấp truy nhập an toàn

từ những thiết bị di động, những người sử dụng di động, những chi nhánh

và những người dùng hàng của công ty Những kiểu VPN này được thựchiện thông qua cơ sở hạ tầng công cộng bằng cách sử dụng công nghệISDN, quay số, IP di động, DSL và công nghệ cáp và thường yêu cầu mộtvài kiểu phần mềm client chạy trên máy tính của người sử dụng

Hình 1 7: Mô hình VPN truy cập từ xa

a, Ưu điểm

Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy nhập từ xa truyền thống như:

 Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi

vì quá trình kết nối từ xa được các ISP thực hiện

 Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nốikhoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạngInternet

 Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa

 Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động ởtốc độ cao hơn so với các truy nhập khoảng cách xa

 VPN cung cấp khả năng truy nhập tốt hơn đến các site của công ty bởi vìchúng hỗ trợ mức thấp nhất của dịch vụ kết nối

b) Nhược điểm

Mặc dù có nhiều ưu điểm nhưng mạng VPN truy nhập từ xa vẫn còn những nhược điểm như:

 Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

 Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phânphát không đến nơi hoặc mất gói

 Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cáchđáng kể

1.6.2 Mạng VPN cục bộ (Intranet VPN)

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểmkhác nhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng,chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoábảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn cácnguồn dữ liệu được phép trong toàn bộ mạng của công ty Những VPN nàyvẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tincậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫnđảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPNSite- to- Site

Hình 1 8: Mô hình mạng VPN cục bộ

a) Ưu điểm:

Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

 Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiệnmạng thông qua một hay nhiều nhà cung cấp dịch vụ)

 Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

 Bởi vì những kết nối trung gian được thực hiện thông qua mạngInternet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấpmới

 Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách sử dụngđường ngầm VPN thông qua Internet kết hợp với công nghệ chuyểnmạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

b) Nhược điểm:

Tuy có nhiều ưu điểm nhưng mạng cục bộ dựa trên giải pháp VPN cũng

có những nhược điểm đi cùng:

 Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet– cho nên vẫn còn những mối “đe dọa” về mức độ bảo mật dữ liệu và mức

độ chất lượng dịch vụ (QoS)

 Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, vớiyêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực là thách thức lớn trongmôi trường Internet

1.6.3 Mạng VPN mở rộng (Extranet)

Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tớinhững nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanhnhư là các đối tác, khách hàng, và các nhà cung cấp… Các VPN mở rộng cungcấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đốitác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luônluôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhaugiữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được côngnhận ở một trong hai đầu cuối của VPN

Hình 1 9: Mô hình VPN mở rộng

a) Ưu điểm

Những ưu điểm chính của mạng VPN mở rộng:

 Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạngtruyền thống

 Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đanghoạt động

 Vì mạng VPN mở rộng được xây dựng dựa trên mạng Internet nên

có nhiều cơ hội trong việc cung cấp dịch vụ và chọn lựa giải pháp phùhợp với các nhu cầu của mỗi công ty hơn

 Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảotrì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng, do vậygiảm được chi phí vận hành của toàn mạng

b) Nhược điểm của mạng VPN mở rộng:

Bên cạnh những ưu điểm ở trên giải pháp mạng VPN mở rộng cũng còn

có những nhược điểm đi cùng như:

 Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạngcông cộng vẫn tồn tại

 Truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớntrong môi trường Internet

 Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

1.7 Các giao thức sử dụng trong VPN

1.7.1 Bộ giao thức IPSec

Internet Protocol Security (IPSec) là một bộ giao thức bảo mật (InternetProtocol -IP) thông tin liên lạc, bằng cách xác thực và mã hóa mỗi gói tin IP củamột phiên giao dịch, IPSec cũng bao gồm các giao thức cho việc thiết lập xácthực lẫn nhau giữa các đại lý trong các phiên giao dịch và đàm phán bằng cách

sử dụng các khoá mã hóa

IPSec là một chương trình điều hành bảo mật end-to-end trong các LayerInternet (lớp kết nối Internet) của Internet Protocol Suite (IPS - giao thức chuẩntrong Internet) Ngoài ra, nó có thể được sử dụng trong việc bảo vệ các luồng dữliệu giữa các máy đầu – cuối (transport mode), giữa các gateway với nhau(network-to-network, tunel mode), hoặc giữa một gateway với một máy đầu –cuối (network-to-host, hybrid mode)

IPSec là một công nghệ tạo VPN tầng network cung cấp tính bí mật, toànvẹn và xác thực dữ liệu: IPSec cung cấp một cơ chế mạng để xác minh tính xácthực của người gửi và nhận đồng thời chống lại sự giả mạo, do thám hoặc tấncông dịch vụ Giao thức IPSec mã hoá dữ liệu bằng các kỹ thuật bảo mật caocấp, ngăn chặn những người dùng trái phép truy cập dữ liệu khi được truyền đi

Mạng IP ‒ bao gồm cả World Wide Web ‒ thiếu khả năng mã hoá và bảo

vệ quyền riêng tư VPN IPSec giải quyết điểm yếu này, bằng cách cung cấp mộtframework cho việc giao tiếp được mã hóa và riêng tư trên web

Dưới đây là cái nhìn sâu hơn về IPSec và cách nó hoạt động với các VPNtunnel để bảo vệ dữ liệu qua những mạng không bảo mật

Hình 1 10: Đường hầm IPSec

Khi hai máy tính thiết lập kết nối VPN, chúng phải đồng thuận về một tậphợp các giao thức bảo mật và thuật toán mã hóa, đồng thời trao đổi khoá mật mã

để mở khóa và xem dữ liệu đã mã hóa

Đây là lúc IPSec phát huy vai trò IPSec làm việc với các VPNtunnel để thiết lập kết nối hai chiều riêng tư giữa các thiết bị IPSec khôngphải là một giao thức đơn lẻ; thay vào đó, đó là một bộ giao thức và tiêuchuẩn hoàn chỉnh, hoạt động cùng nhau để giúp đảm bảo tính bảo mật, toànvẹn và xác thực của các gói dữ liệu Internet đi qua VPN tunnel

Đây là cách IPSec tạo một VPN tunnel bảo mật :

 IPSec xác thực dữ liệu để đảm bảo tính toàn vẹn của gói dữ liệu trongquá trình truyền tải

 IPSec mã hóa lưu lượng truy cập Internet qua các VPN tunnel để khôngthể xem dữ liệu

 IPSec bảo vệ dữ liệu khỏi các cuộc tấn công Replay Attack, có thể dẫnđến việc đăng nhập trái phép

 IPSec cho phép trao đổi khoá mật mã bảo mật giữa các máy tính

 IPSec cung cấp hai chế độ bảo mật : Tunnel và Transport

VPN IPSec bảo vệ dữ liệu truyền từ host đến host, mạng đến mạng,host đến mạng và cổng đến gateway (được gọi là chế độ Tunnel, khi toàn

bộ gói IP được mã hóa và xác thực)

1.7.2 Giao thức PPTP (Point-to-Point Tunneling Protocol)

Point‒to‒Point Tunneling Protocol là giao thức mạng được sử dụng chủyếu với các máy tính Windows Ngày nay, nó bị coi là lỗi thời khi sử dụng trongcác mạng riêng ảo, vì có nhiều thiếu sót về bảo mật Tuy nhiên, PPTP vẫn được

sử dụng trong một số mạng

PPTP là một giao thức mạng được phát triển vào năm 1999 bởi một nhómnhà cung cấp, thành lập bởi Microsoft, Ascend Communications (một phần củaNokia), 3Com và nhiều nhóm khác PPTP được thiết kế để cải thiện Point‒to‒Point Protocol, giao thức lớp liên kết dữ liệu (Layer 2) được thiết kế để kết nốitrực tiếp hai router, trước đó

Mặc dù là giao thức nhanh và ổn định cho các mạng Windows, nhưngPPTP không còn được coi là bảo mật nữa PPTP đã được thay thế bởi các giaothức VPN tunneling an toàn và bảo mật hơn, bao gồm OpenVPN, L2TP/IPSec

và IKEv2/IPSec

Hình 1 11: Giao thức PPTP

PPTP là sự phát triển vượt bậc của PPP và do đó, dựa trên framework xácthực và mã hóa của nó Giống như tất cả các công nghệ tunneling, PPTP đónggói những gói dữ liệu, tạo ra một tunnel để dữ liệu truyền qua mạng IP

PPTP sử dụng thiết kế client‒server (thông số kỹ thuật có trong InternetRFC 2637) hoạt động ở Layer 2 của model OSI Khi VPN tunnel được thiết lập,PPTP hỗ trợ hai loại luồng thông tin:

 Tin nhắn điều khiển chuyển trực tiếp giữa VPN client và server

 Các gói dữ liệu đi qua tunnel, tức là đến hoặc từ VPN client

Mọi người thường lấy thông tin địa chỉ PPTP VPN server từ admin Chuỗikết nối có thể là tên server hoặc địa chỉ IP

Khi người dùng sử dụng thiết lập kết nối VPN, nó thường ảnh hưởng đếntốc độ Internet của người dùng do quá trình mã hóa Tuy nhiên, người dùngkhông phải lo lắng về điều đó khi sử dụng PPTP vì giao thức này được mã hóamức độ thấp

Mặc dù sử dụng PTPP có những ưu điểm nhưng nó cũng đi kèm với một

số hạn chế nhất định như:

 Bảo mật không đầy đủ

 Giao thức PPTP được coi là kém bảo mật nhất vì nó chỉ sử dụng mã hóa128‒bit để bảo vệ dữ liệu Vì vậy, nếu đang xử lý thông tin nhạy cảm,người dùng nên chọn các giao thức VPN khác cung cấp mức độ bảo mậttốt hơn

 Hiệu suất kém trên mạng không ổn định

 PPTP không phải là giao thức VPN đáng tin cậy nhất khi được sử dụngtrên các kết nối không ổn định ‒ người dùng sẽ thường gặp phải các vấn

đề về hiệu suất! Mặc dù nó có thể là một phương tiện được chấp nhận

để kết nối giữa các nhân viên và chia sẻ tài liệu, PPTP sẽ khiến ngườidùng thất vọng nếu người dùng có nhiều thông tin riêng tư cần chia sẻ

1.7.3 Giao thức L2TP (Layer 2 Tunneling Protocol).

Giao thức L2TP là viết tắt của Layer 2 Tunneling Protocol, và giốngnhư tên của nó, đây là một giao thức tunneling được thiết kế để hỗ trợ các kếtnối VPN Thật thú vị khi L2TP thường được ISP sử dụng để cho phép hoạtđộng VPN

L2TP được ra mắt lần đầu tiên vào năm 1999 Nó được thiết kế như một

sự kế thừa của PPTP, do cả Microsoft và Cisco phát triển Giao thức này sửdụng các tính năng khác nhau từ giao thức PPTP của Microsoft và L2F (Layer 2Forwarding) của Cisco, sau đó cải thiện chúng

Hình 1 12: Giao thức L2TP/IPSec

L2TP Tunneling bắt đầu bằng cách kết nối LAC (L2TP AccessConcentrator – bộ tập trung truy cập L2TP) và LNS (L2TP Network Server –máy chủ mạng L2TP) ‒ hai điểm cuối của giao thức ‒ trên Internet Sau khi đạtđược điều đó, một layer liên kết PPP được kích hoạt và đóng gói lại, sau đó, lớpliên kết này được chuyển qua web

Sau đó, kết nối PPP được khởi tạo bởi người dùng cuối (người dùng) vớiISP Khi LAC chấp nhận kết nối, liên kết PPP được thiết lập Sau đó, một vị trítrống trong tunnel mạng được chỉ định và yêu cầu sau đó được chuyển đến LNS

Cuối cùng, khi kết nối được xác thực và chấp nhận hoàn toàn, một giao diệnPPP ảo sẽ được tạo Tại thời điểm đó, các link frame (đơn vị truyền dữ liệu số trongmạng máy tính) có thể tự do đi qua tunnel Các frame được LNS chấp nhận, sau đóloại bỏ mã hóa L2TP và tiến hành xử lý chúng như các frame thông thường

Một số chi tiết kỹ thuật về giao thức L2TP

 L2TP thường được ghép nối với IPSec để đảm bảo payload dữ liệu

 Khi được ghép nối với IPSec, L2TP có thể sử dụng các key mã hóalên đến 256‒bit và thuật toán 3DES

 L2TP hoạt động trên nhiều nền tảng và được hỗ trợ trên các thiết bị

và hệ điều hành Windows và MacOS

 Tính năng mã hóa kép của L2TP mang đến khả năng bảo mật tốthơn, nhưng cũng có nghĩa là nó sử dụng nhiều tài nguyên hơn

 L2TP thường sử dụng cổng TCP 1701, nhưng khi nó được ghépnối với IPSec, nó cũng sử dụng các cổng UDP 500 (cho IKE ‒Internet Key Exchange), 4500 (cho NAT) và 1701 (cho lưu lượngL2TP)

 Thuận lợi chính của L2TP được liệt kê theo danh sách dưới đây:

 L2TP là một giải pháp chung Hay nói cách khác nó là một nềntảng độc lập Nó cũng hỗ trợ nhiều công nghệ mạng khác nhau.Ngoài ra, nó còn hỗ trợ giao dịch qua kết nối WAN non-IP màkhông cần một IP

 L2TP tunneling trong suốt đối với ISP giống như người dùng từ

xa Do đó, không đòi hỏi bất kỳ cấu hình nào ở phía người dùnghay ở ISP

 L2TP cho phép một tổ chức điều khiển việc xác nhận người dùngthay vì ISP phải làm điều này

 L2TP cung cấp chức năng điều khiển cấp thấp có thể giảm các gói

dữ liệu xuống tùy ý nếu đường hầm quá tải Điều này làm cho quatrình giao dịch bằng L2TP nhanh hơn so với quá trình giao dịchbằng L2F

 L2TP cho phép người dùng từ xa chưa đăng ký (hoặc riêng tư) địachỉ IP truy cập vào mạng từ xa thông qua một mạng công cộng

 L2TP nâng cao tính bảo mật do sử dụng IPSec-based payloadencryption trong suốt qua trình tạo hầm, và khả năng triển khaixác nhận IPSec trên từng gói dữ liệu

 Triển khai L2TP cũng gặp một số bất lợi sau:

– L2TP chậm hơn so với PPTP hay L2F bởi vì nó dùng IPSec đểxác nhận mỗi gói dữ liệu nhận được

– Mặc dù PPTP được lưu chuyển như một giai pháp VPN dựng sẵn,một Routing and Remote Access Server (RRAS) cần có nhữngcấu hình mở rộng

1.7.4 Giao thức Secure Socket Tunneling Protocol (VPN-SSTP)

SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPNtrong Windows Vista và Windows Server 2008 SSTP sử dụng các kết nốiHTTP đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway.SSTP là một giao thức rất an toàn vì các thông tin quan trọng của người dùngkhông được gửi cho tới khi có một “đường hầm” SSL an toàn được thiết lập vớiVPN gateway SSTP cũng được biết đến với tư cách là PPP trên SSL, chính vìthế nó cũng có thể sử dụng các cơ chế chứng thực PPP và EAP để bảo đảm cho

các kết nối SSTP được an toàn hơn

SSTP cho phép truyền tải và mã hóa dữ liệu, cũng như kiểm tra tính toànvẹn của lưu lượng Do đó, SSTP có thể vượt qua hầu hết các tường lửa và proxyserver bằng cách sử dụng kênh SSL qua cổng TCP 443

SSTP có sẵn để sử dụng trong môi trường Windows (kể từ WindowsVista SP1), trong RouterOS và trong SEIL (kể từ phiên bản firmware 3.50).SSTP có thể được sử dụng với Winlogon hoặc xác thực thẻ thông minh, cácchính sách truy cập từ xa và Windows VPN client, vì được tích hợp với kiếntrúc RRAS

Như với các giao thức tunneling IP-over-TCP khác, SSTP chỉ hoạt độngtốt nếu có đủ băng thông trên liên kết mạng không được tạo tunnel Nếu không

có đủ băng thông, TCP timer (công cụ được sử dụng bởi TCP để tránh sự chậmtrễ quá mức trong quá trình giao tiếp) có thể sẽ hết hạn, gây ra sự sụt giảm lớn

về hiệu suất SSTP

Hệ thống của client kết nối với máy chủ thông qua TCP (TransmissionControl Port) SSL sử dụng cổng 443 để kết nối với máy chủ Để xác nhận kếtnối, nó yêu cầu xác thực người dùng và thường được xác thực bởi client Giaothức sử dụng chứng chỉ máy chủ để xác thực

Có nhiều lý do chứng thực sự phổ biến của SSTP Ví dụ, SSTP cung cấpmức bảo mật cao nhất, tức là mã hóa AES 256-bit Hơn nữa, cổng nó sử dụng cóthể né tránh hầu hết các loại tường lửa Vì SSTP là tài sản thuộc sở hữu củaMicrosoft nên nó hoàn toàn tương thích với Windows.

Hình 1 13: Giao thức SSTP 1.7.5 Giao thức SSL

SSL (Secure Sockets Layer) là một giao thức cung cấp dịch vụ truyềnthông có bảo mật giữa client và server thông qua việc cho phép client và serverxác thực lẫn nhau sử dụng chữ ký số và bảo mật thông tin trao đổi qua lại bằngcách mã hoá các thông tin đó Giao thức SSL có 03 phiên bản:

 SSL v2: phiên bản đầu tiên của SSL do Netscape thiết kế, chưa có sựtrợ giúp chuỗi chứng chỉ (chain certìicate)

 SSL v3: SSL phiên bản 3.0 cũng do Netscape thiết kế, đã có sự trợgiúp cho chuỗi chứng chỉ và đã được sử dụng cho hầu hết các trìnhduyệt phổ thông

 TLS v1: Transport Layer Security phiên bản 1.0, do IETF (InternetEngineering Task Force) thiết kế dựa trên SSL v3 Tuy nhiênkhông được hỗ trợ đối với nhiều trình duyệt thông dụng (ví dụ:Netscape) Hiện nay đã có các phiên bản mới của TLS đó là TLSv1.1 và TLS v1.2 Phiên bản TSL 1.0 tương đương với phiên bảnSSL 3.1 Tuy nhiên SSL là thuật ngữ được sử dụng rộng rãi hơn

SSL là tiêu chuẩn của công nghệ bảo mật, truyền thông mã hoá giữa máychủ Web server và trình duyệt Tiêu chuẩn này hoạt động và đảm bảo rằng các

dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư vàtoàn vẹn SSL hiện tại cũng là tiêu chuẩn bảo mật cho hàng triệu website trêntoàn thế giới, nó bảo vệ dữ liệu truyền đi trên môi trường Internet được an toàn

SSL đảm bảo rằng tất cả các dữ liệu được truyền giữa các máy chủweb và các trình duyệt được mang tính riêng tư, tách rời SSL được thiết kếnhư là một giao thức riêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiềuứng dụng Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giaothức ứng dụng tầng cao hơn như là HTTP, IMAP và FTP

SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đãđược chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

 Xác thực server: Cho phép người sử dụng xác thực được server muốn kếtnối Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai đểchắc chắn rằng certificate và public ID của server là có giá trị và được cấpphát bởi một CA (certificate authority) trong danh sách các CA đáng tincậy của client Điều này rất quan trọng đối với người dùng Ví dụ như khigửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệuserver sẽ nhận thông tin này có đúng là server mà họ định gửi đến không

 Xác thực Client: Cho phép phía server xác thực được người sử dụngmuốn kết nối Phía server cũng sử dụng các kỹ thuật mã hoá công khai đểkiểm tra xem chứng chỉ (certificate) và public ID của server có giá trị haykhông và được cấp phát bởi một CA (certificate authority) trong danhsách các CA đáng tin cậy của server không Điều này rất quan trọng đốivới các nhà cung cấp Ví dụ như khi một ngân hàng định gửi các thông tintài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra địnhdanh của người nhận

 Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được

mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật Điều này rấtquan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư

Ngoài ra, tất cả các dữ liệu được gửi đi trên một kết nối SSL đã được mãhoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổitrong dữ liệu (đó là các thuật toán băm – hash algorithm).

Giao thức SSL bao gồm 2 giao thức con:

 Giao thức SSL record: xác định các định dạng dùng để truyền dữ liệu

 Giao thức SSL handshake: sử dụng SSL record protocol để trao đổi một

số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL.Chắc rằng người dùng cũng đã nghe nhắc đến cụm từ chứng chỉ SSL(SSL Certificate) trên các website, vậy chứng chỉ SSL là gì?

Trước tiên, chúng ta nên biết rằng Giao thức bảo mật – SSL là một tiêuchuẩn an ninh công nghệ toàn cầu tạo ra một liên kết được mã hóa giữa máy chủweb và trình duyệt Liên kết này đảm bảo tất cả các dữ liệu trao đổi giữa máychủ web và trình duyệt luôn được bảo mật và an toàn

SSL đảm bảo rằng tất cả các dữ liệu được truyền giữa các máy chủ web

và các trình duyệt được mang tính riêng tư, tách rời SSL là một chuẩn côngnghiệp được sử dụng bởi hàng triệu trang web trong việc bảo vệ các giao dịchtrực tuyến với khách hàng của họ

Chứng thư số SSL cài trên website của doanh nghiệp cho phép kháchhàng khi truy cập có thể xác minh được tính xác thực, tin cậy của website, đảmbảo mọi dữ liệu, thông tin trao đổi giữa website và khách hàng được mã hóa,tránh nguy cơ bị can thiệp

Hình 1 14: Chứng thư số SSL

Ưu điểm của SSL VPN

 Dễ dàng vượt tường lửa: Do sử dụng duy nhất một port TCP/443 đểtạo VPN Tunnle TCP/443 là port thông dụng luôn được các tường lửacho phép đi qua

 Không phụ thuộc vào khả năng PassThrough VPN của NAT Device(Trường hợp nằm sau NAT Device)

 Thích hợp khi tạo VPN LAN-to-LAN giữa 3G và ADSL/FTTH (3G làmạng đứng sau một NAT device của ISP nên nếu sử dụng PPTP hayIPsec sẽ gặp phải khó khăn)

 Bảo mật cao do sử dụng chuẩn SSL 3.0

 Băng thông VPN cao (Tùy model dao động từ 50 ~ 500Mbps)