BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

TÌM HIỂU VỀ GIAO THỨC MẠNG RIÊNG ẢO
WIREGUARD VÀ THỰC NGHIỆM
Ngành: An tồn thơng tin
Mã số:

Sinh viên thực hiện:
Nguyễn Thị Hà Chi
Lớp: AT13A
Người hướng dẫn:
TS. Trần Thị Lượng
Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã

Hà Nội, 2021


BAN CƠ YẾU CHÍNH PHỦ
HỌC VIỆN KỸ THUẬT MẬT MÃ
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

TÌM HIỂU VỀ GIAO THỨC MẠNG RIÊNG ẢO
WIREGUARD VÀ THỰC NGHIỆM
Ngành: An tồn thơng tin
Mã số:

Sinh viên thực hiện:
Nguyễn Thị Hà Chi
Lớp: AT13A
Người hướng dẫn:
TS. Trần Thị Lượng
Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã

Hà Nội, 2021


MỤC LỤC

3


4


DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
Viết tắt
VPN
PBX
WAN
LAN
ISP
HTTPS
IPSEC
L2TP
PPP

PPTP

Đầy đủ
Virtual Private Network
Private Branch Exchange
Wide Area Network
Local Area Network
Internet Service Provider
Hypertext Transfer

Ý nghĩa
Mạng riêng ảo
Tổng đài điện thoại
Mạng diện rộng
Mạng nội bộ
Nhà cung cấp dụng vụ Internet
Giao thức truyền tải siêu văn bản

Protocol Secure
Internet Protocol Security
Layer 2 Tunneling

bảo mật
Giao thức Internet an toàn

Protocol
Point –to– Point Protocol
Point-to-Point Tunneling
Protocol


Giao thức điểm – điểm
Giao thức đường hầm điểm – điểm
Chuẩn giao thức truyền thông trên

TCP/IP
QoS

Giao thức đường hầm lớp 2

mạng Internet
Chất lượng dịch vụ

Quality of Service

5


DANH MỤC HÌNH ẢNH

6


LỜI CẢM ƠN
Trong suốt quá trình học tập và thực tập tốt nghiệp cho đến khi làm đồ án
tốt nghiệp, em luôn nhận được sự quan tâm, hướng dẫn và giúp đỡ tận tình của
các thầy, cơ giáo trong Khoa An tồn thơng tin – Học viện Kỹ thuật mật mã
cùng với sự giúp đỡ của bạn bè.
Lời đầu tiên, em xin được bày tỏ lòng biết ơn sâu sắc đến Ban giám đốc
Học viện, thầy(cơ) giáo Khoa An tồn thơng tin đã tận tình giúp đỡ cho tơi suốt
thời gian học tại Học viện.

Đặc biệt, em xin bày tỏ lòng biết ơn chân thành tới giảng viên TS. Trần
Thị Lượng đã trực tiếp giúp đỡ, hướng dẫn em hoàn thành đồ án này.
Do trình độ kiến thức và thực tế cịn hạn chế nên khơng thể tránh khỏi
những thiếu sót. Vì thế, em rất mong nhận được sự quan tâm, đóng góp của thầy
cơ giáo để đồ án của em được hồn chỉnh hơn.
Những ý kiến, đóng góp của thầy cô sẽ giúp em nhận ra những hạn chế và
qua đó em sẽ có thêm những nguồn tư liệu mới trên con đường học tập cũng như
công việc, nghiên cứu sau này.
Em xin trân trọng cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN

Nguyễn Thị Hà Chi

7


LỜI MỞ ĐẦU
Ngày nay, thời đại công nghệ thông tin ngày càng phát triển, nhu cầu sử
dụng của các doanh nghiệp và cá nhân ngày một tăng lên trên không gian mạng
cả về số lượng và chất lượng. Đặc biệt, trong môi trường các công ty, doanh
nghiệp, việc giữ an tồn thơng tin cho cả cá nhân của cơng nhân viên cũng như
là công ty là một điều hết sức quan trọng. Trong số các giải pháp an toàn như sử
dụng tường lửa, hệ thống IPS/IDS, … thì một biện pháp mà đa phần các công
ty lớn dùng đến là mạng riêng ảo VPN. VPN giúp cho nhân viên có thể dễ dàng
truy cập vào mạng lưới của công ty, thực hiện các thao tác trên toàn bộ dữ liệu
của cơng ty. Nhờ thế, người dùng có thể làm việc mọi lúc, mọi nơi mà không lo
bị gián đoạn. Bên cạnh đó, giao thức truy cập này cịn mang tính bảo mật cao
do dữ liệu không tiếp xúc trực tiếp với môi trường Internet.
Đa phần hiện nay, các giao thức hay được sử dụng khi triển khai VPN là
OpenVPN, IPSec, … tuy nhiên nhiều người dùng cho rằng hai giao thức này sử

dụng chậm và khó cấu hình quản lý đúng cách. Chính vì vậy giao thức
WireGuard đã ra đời nhằm mục đích khắc phục được nhược điểm đó. Việc triển
khai giao thức WireGuard sẽ giúp cho doanh nghiệp có thể sử dụng mạng VPN
một các hiệu quả và dễ dàng hơn giúp thơng tin trở nên an tồn hơn.
Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài “Tìm
hiểu về giao thức mạng riêng ảo Wireguard và thực nghiệm” nhằm khai thác
được những khía cạnh và ưu điểm của giao thức này, giúp mọi người có cái nhìn
tổng quan về giao thức mới Wireguard.
Đồ án tốt nghiệp được chia thành 03 chương với nội dung chính như sau:
Chương 1: Tổng quan về VPN
Trình bày các khái niệm, ứng dụng và các ưu nhược điểm của các hệ
thống VPN hiện có đặc biệt và các giao thức truyền thống được sử dụng trong
mạng VPN.
Chương 2: Giao thức mạng riêng ảo Wireguard

8


Trình bày các đặc điểm cơ bản của giao thức Wireguard đang được phát
triển hiện nay với các ưu điểm và những vấn đề còn tồn tại của giao thức cũng
như so sánh giao thức này với một số các giao thức VPN truyền thống.
Chương 3: Thực nghiệm triển khai giao thức mạng riêng ảo Wireguard
Trình bày mơ hình thực nghiệm bảo vệ hệ thống với VPN Wireguard và
thực nghiệm một số tính năng của giao thức mới.
Do thời gian có hạn cũng như kiến thức thực tế của lĩnh vực rất rộng nên
quá trình thực hiện đồ án chắc chắn khơng tránh khỏi thiếu sót. Em rất mong
nhận được các ý kiến đóng góp của các thầy cơ để đồ án được hoàn thiện hơn.
Em xin chân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN


Nguyễn Thị Hà Chi

9


CHƯƠNG 1. TỔNG QUAN VỀ VPN
Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi
thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên
bức thiết vì vậy Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối
Internet thông qua nhà cung cấp dịch vụ, sử dụng một giao thức chung là
TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông
của mạng viễn thông công cộng. Với Internet, những dịch vụ như mua bán, trao
đổi trực tuyến, giáo dục từ xa hay tư vấn trực tuyến, … đã trở nên dễ dàng. Tuy
nhiên Internet có phạm vi tồn cầu và khơng tổ chức hay chính phủ nào có thể
quản lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch
vụ là một vấn đề lớn cần phải giải quyết. Từ đó các nhà khoa học đã nghiên cứu
và đưa ra một mơ hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận
dụng cơ sở hạ tầng đang có của Internet, đó là mơ hình mạng riêng ảo (VPN –
Virtual Private Network). Với mơ hình này, chúng ta khơng phải đầu tư thêm
quá nhiều trang thiết bị, cơ sở hạ tầng mà vẫn đảm bảo các tính năng như bảo
mật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của mạng này.
VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các
văn phòng chi nhánh có thể kết nối an tồn đến máy chủ của tổ chức mình bằng
cơ sở hạ tầng được cung cấp bởi mạng cơng cộng. Nó đảm bảo an tồn thơng tin
giữa các tổ chức, cơng ty hoặc chi nhánh, văn phòng, người cung cấp hay các đối
tác kinh doanh trong môi trường truyền thông rộng lớn. Đặc biệt, VPN cịn tiết
kiệm chi phí đáng kể cho các tổ chức, cơng ty mà vẫn đảm bảo bí mật.
1.1. Lịch sử phát triển
Sự xuất hiện mạng riêng ảo (VPN – Virtual Private Network), bắt nguồn từ
yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả

với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN).
Trước kia hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) sử dụng
các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực hiện việc
thông tin với nhau.
10


Các mốc đánh dấu sự phát triển của VPN:
• Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây
chuyên dùng cho các khách hàng lớn. Colisee có thể cung cấp phương
thức gọi số chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng
dịch vụ mà đưa ra cước phí và nhiều tính năng quảng lý khác.
• Năm 1985, Sprint đưa ra VPN, AT&T (Cơng ty viễn thông đa quốc gia)
đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng phần
mềm SDN.
• Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
• Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xí
nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần
30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.
• Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.
• Năm 1990, MCI và Sprint đưa ra dịch vụ VPN; Telstra của Ostaylia đưa ra
dịch vụ VPN trong nước đầu tiên ở khu vực Chấu Á – Thái Bình Dương.
• Năm 1992, Viễn thơng Hà Lan và Telia Thụy Điển thành lập công ty hợp
tác đầu tư Unisource, cung cấp dịch vụ VPN.
• Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên
minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó
có dịch vụ VPN.
• Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung
cấp dịch vụ VPN, dịch vụ chuyển tiếp khung, ...
• Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN tồn cầu

(GVPNS).
• Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp
(French Telecom) kết thành liên minh Global One.
• Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Công
nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội
thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công
cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN.
Cơng nghệ VPN là giải pháp thông tin tối ưu cho các cơng ty, tổ chức có
nhiều văn phịng, chi nhánh lựa chọn. Ngày nay, với sự phát triển của công
11


nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng
của VPN ngày một hồn thiện.
Hiện nay, VPN khơng chỉ dùng cho dịch vụ thoại mà cịn dùng cho các
dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
1.2. Định nghĩa VPN
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mơ hình
cho đến cơng nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được
thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến
người sử dụng một cách tự do và nhanh chóng mà khơng xem xét đến máy và
mạng mà người sử dụng đó đang dùng. Để được điều này, người ta sử dụng
một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với nhau.
Các máy tính kết nối với Internet thơng qua nhà cung cấp dịch vụ (ISP –
Internet Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ
thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn
thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hàng
trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực. Tuy
nhiên, do Internet có phạm vi tồn cầu và khơng một tổ chức, chính phủ cụ
thể nào quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng

như trong việc quản lý các dịch vụ. Từ đó, người ta đã đưa ra một mơ hình
mạng mới nhằm thoả mãn những u cầu trên mà vẫn có thể tận dụng lại
những cơ sở hạ tầng hiện có của Internet, đó chính là mơ hình mạng riêng ảo
(Virtual Private Network – VPN).
Với mơ hình mới này, người ta không phải đầu tư thêm nhiều về cơ sở hạ
tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể
quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng
làm việc tại nhà, trên đường đi hay các văn phịng chi nhánh có thể kết nối an
tồn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi
mạng công cộng. Nó có thể đảm bảo an tồn thơng tin giữa các đại lý, người
cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền thông
rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wide Area
12


Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng
cơng cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.
Mạng riêng ảo VPN là thuật ngữ vô cùng quen thuộc đối với những người
trong ngành công nghệ thông tin. Nhiều người chỉ biết đơn giản nó là một loại
mạng ảo mà không hiểu sâu và rõ bản chất của hệ thống VPN là gì?
VPN được hiểu đơn giản là sự mở rộng của một mạng riêng (Private
Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng
riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các
site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng
kết nối thực, chuyên dùng như đường leased-line (kênh thuê riêng), mỗi VPN sử
dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của các công ty
tới các site các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thông qua mạng
công cộng mà vẫn đảm bảo tính an tồn và bảo mật, VPN cung cấp các cơ chế
mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận
và nơi gửi gọi là Tunnel - giống như một kết nối point-to-point trên mạng riêng.

Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa theo cơ
chế giấu đi, chỉ cung cấp phần đầu gói tin (header) là thơng tin về đường đi cho
phép nó có thể đi tới đích thơng qua mạng cơng cộng một cách nhanh chóng. Dữ
liệu được mã hóa một cách cẩn thận do đó nên nếu các gói tin bị bắt trên đường
truyền công cộng cũng không thể đọc nội dung vì khơng có khóa đề giải mã,
liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết
nối VPN thường được gọi là đường ống VPN (Tunnel).

13


Hình 1. 1: Mơ hình kết nối VPN
1.3. Các thành phần tạo nên VPN.
Để triển khai một hệ thống VPN người dùng cần có một số thành phần cơ
bản sau, nhưng việc tạo ra hệ thống VPN thì mỗi người sẽ có một sự lựa chọn
thành phần khác nhau để phù hợp với cơng ty hay mục đích của mỗi người.
1.3.1. VPN client
VPN client to site là loại VPN giúp cho một người dùng có thể kết nối đến
một mạng riêng ở xa thông qua một VPN server. Thông thường, để có thể sử
dụng VPN client to site, máy tính của người dùng sẽ phải cài đặt một phần mềm
VPN client để có thể kết nối được đến VPN server. Một ví dụ điển hình và thơng
dụng nhất đó là OpenVPN.
Người dùng khởi động VPN client trên máy tính cá nhân, sử dụng
username/password để xác thực với VPN server, và sau đó sẽ khởi tạo một
đường truyền VPN được mã hóa từ máy tính cá nhân của người dùng đến mạng
riêng ở xa. Sau đó dữ liệu từ máy tính của người dùng đến mạng ở xa sẽ được
truyền trên đường truyền riêng an toàn và bảo mật.
VPN client to site thường được sử dụng cho các mục đích:
•


Giúp người dùng truy cập vào các mạng riêng ở xa, ví dụ như truy cập
vào các máy chủ chỉ có mạng LAN trong Datacenter.
14


•

Truy cập Internet an tồn và bảo mật hơn thơng qua việc kết nối qua
VPN.

•

Giấu địa chỉ IP Public thật của máy tính cá nhân trên Internet.

Một trong những ứng dụng cung cấp VPN client to site phổ biến nhất hiện
nay đó là OpenVPN.

Hình 1. 2: VPN Client to site
1.3.2. VPN Server
VPN Server là một máy chủ thông thường được cài đặt và cấu hình với
phần mềm VPN Server. Tuy nhiên, VPN Server thường có nhiều port(cổng) giao
tiếp logic và vật lý hơn. VPN server cung cấp kết nối và dịch vụ VPN cho các
máy khách VPN từ xa và/hoặc máy khách VPN cục bộ. Thông thường, VPN
Server sử dụng một hoặc nhiều giao thức cho kết nối và truyền thông, chẳng hạn
như giao thức point-to-point (PPP). Máy khách VPN trước tiên kết nối với máy
chủ VPN và phải tự xác thực trước khi được cấp quyền truy cập vào VPN.
VPN Server được cài đặt trên máy chủ để xử lý và vận hành tất cả thành
phần và phần cứng truyền thơng. Ngồi ra phần mềm server cịn có chức năng là
cung cấp khả năng bảo mật và quản lý cơ chế kiểm soát truy cập khi thiết lập
quan hệ máy khách/máy chủ giữa các thiết bị. Phần mềm VPN server sử dụng

một số giao thức VPN khác nhau bao gồm OpenVPN, IKEv2, SoftEther, PPTP,
SSTP và L2TP / IPSec cho các kiểu kết nối VPN khác nhau.

15


Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàng
VPN. Về mặt kỹ thuật, chúng ta có thể sử dụng Windows NT Server 4.0,
Windows 2000 Server, hoặc Windows Server 2003 hay Window Server 2008 như
là một máy chủ VPN. VPN Server khá đơn giản, nó là một máy chủ cứng
Windows Server 2008 chạy Routing và Remote Access (RRAS). Khi một kết nối
VPN đã được chứng thực, các máy chủ VPN chỉ đơn giản là hoạt động như một
bộ định tuyến cung cấp cho khách hàng VPN có thể truy cập đến một mạng riêng.

Hình 1. 3: Đường hầm giữa VPN Client và VPN Server
1.3.3. ISA Server
ISA server là gì? Đó là một giải pháp kết nối chứa cả firewall và cache,
hiệu quả, an toàn và bảo mật cho các doanh nghiệp chia sẻ băng thông tín hiệu,
sử dụng trong các mơ hình mạng lớn và cả quy mơ mạng trung bình, ISA server
đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống
một cách an toàn.
Máy chủ tăng tốc và bảo mật Internet (máy chủ ISA) là một máy chủ cung
cấp tường lửa tổ chức và giải pháp bộ nhớ cache Web cho Windows cùng với kết
nối Internet an toàn, nhanh chóng và dễ quản lý.
ISA giúp thực hiện chính sách bảo mật doanh nghiệp của tổ chức thông
qua các cơng cụ quản trị của nó, giúp điều chỉnh việc sử dụng dựa trên các tiêu
chí nhóm, ứng dụng, đích, lịch biểu và nội dung của người dùng.
Nền tảng mở rộng của nó cung cấp khả năng dự phịng phần cứng và cân
bằng tải và cho phép sử dụng hiệu quả tài nguyên mạng thông qua các cơ chế bộ
nhớ đệm phức tạp của nó.

16


Hình 1. 4: ISA Server
Ưu điểm của ISA server:
•

Được bảo vệ bởi hệ thống tường lửa – Fire wall trong khi kết nối Internet.

•

Tránh tối đa sự xâm phạm từ các đối tượng như hacker, virus, …

•

Với các tổ chức, doanh nghiệp, mọi dữ liệu thông tin cần được bảo mật ở
mức tuyệt đối. Với máy các nhân lộ thông tin người dùng đã gây khó chịu
thì với doanh nghiệp thì sẽ là những tổn thất về mặt tài sản, cịn có thể là
cả uy tín nữa.

1.3.4. Firewall
Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần
cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát traffic vào, ra khỏi hệ
thống. Tường lửa hoạt động như một rào chắn giữa mạng an toàn và mạng
khơng an tồn. Nó kiểm sốt các truy cập đến nguồn lực của mạng thơng qua
một mơ hình kiểm soát chủ động. Nghĩa là, chỉ những traffic phù hợp với chính
sách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi traffic
khác đều bị từ chối.
Bất kì máy tính nào kết nối tới Internet cũng cần có firewall, giúp quản lý
những gì được phép vào mạng và những gì được phép ra khỏi mạng. Việc có một

“người gác cổng” như vậy để giám sát mọi việc xảy ra rất quan trọng bởi hai lý do:
17


Thứ nhất, bất kì máy tính kết nối mạng nào thường kết nối vĩnh viễn với
Internet.
Thứ hai, mỗi máy tính trực tuyến lại có một chữ ký điện tử riêng, được
gọi là Internet Protocol address (hay còn gọi là địa chỉ IP): Nếu khơng có
firewall hỗ trợ, nó chẳng khác gì chuyện người dùng bật tất cả đèn lên và mở
rộng cửa để đón trộm vào.
Một firewall được cấu hình chính xác sẽ ngăn chặn điều này xảy ra và
giúp máy tính “ẩn” một cách hiệu quả, cho phép người dùng thoải mái thưởng
thức những gì thế giới trực tuyến mang lại. Firewall khơng giống chương trình
diệt virus. Thay vào đó, nó làm việc cùng với những cơng cụ này nhằm đảm bảo
rằng máy tính được bảo vệ từ hầu hết các mối tấn cơng nguy hại phổ biến.

Hình 1. 5: Firewall trong hệ thống
1.3.5. Giao thức Tunneling
Công nghệ mạng riêng ảo dựa trên khái niệm tunneling. Giống như một
đường ống nước chứa chất lỏng chảy bên trong nó, VPN tunnel cách ly và đóng
gói lưu lượng truy cập Internet, thường là với một số loại mã hóa để tạo ra một
tunnel riêng tư cho dữ liệu, khi nó truyền trong một mạng không bảo mật.
Khi lưu lượng truy cập Internet truyền bên trong VPN tunnel, nó cung
cấp kết nối riêng tư, bảo mật giữa máy tính của người dùng và một máy tính
hoặc máy chủ khác tại một trang web khác. Khi được kết hợp với mã hóa
18


mạnh, việc tạo tunneling khiến dữ liệu của người dùng hầu như không thể bị
xem trộm hoặc hack.

Hãy coi VPN tunneling là một q trình đóng gói và mã hóa dữ liệu:
•

Đóng gói dữ liệu: Đóng gói là q trình gói một gói dữ liệu Internet bên
trong một gói khác, giống như khi người dùng đặt một lá thư bên trong một
phong bì để gửi.

• Mã hóa dữ liệu: Mã hóa làm xáo trộn và khóa nội dung của bức thư, tức là

dữ liệu của người dùng, để bất kỳ ai cũng không thể mở và đọc được ngoại
trừ người nhận dự định. Tuy nhiên, chỉ có một tunnel là chưa đủ.
Mặc dù VPN tunnel có thể được tạo mà khơng cần mã hóa, nhưng VPN
tunnel thường khơng được coi là bảo mật trừ khi chúng được bảo vệ bằng một
số loại mã hóa. Đây là lý do tại sao người dùng thường nghe thấy VPN được mô
tả là kết nối được mã hóa.

Hình 1. 6: VPN site to site
Ngồi các thành phần kể trên chúng ta cần hiểu rõ khái niệm đó là “giao
thức xác thực”. Một giao thức xác thực là một loại giao thức máy tính truyền
thơng hoặc giao thức mật mã thiết kế đặc biệt để chuyển xác thực dữ liệu giữa
hai thực thể. Nó cho phép thực thể nhận xác thực thể kết nối (ví dụ: Máy khách
kết nối với Máy chủ) cũng như xác thực chính nó với thực thể kết nối (Máy chủ
với máy khách) bằng cách khai báo loại thông tin cần thiết để xác thực cũng như
cú pháp. Đây là lớp bảo vệ quan trọng nhất cần thiết để giao tiếp an tồn trong
mạng máy tính.

19


Hình 1. 7: Giao thức xác thực

1.4. Lợi ích và hạn chế của việc sử dụng VPN.
1.4.1. Lợi ích
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Việc sử dụng
mạng riêng ảo là một nhu cầu và là xu thế của công nghệ truyền thông bởi vì nó
có một số ưu điểm như:
Giảm thiểu chi phí triển khai và duy trì hệ thống: Việc sử dụng
một VPN sẽ giúp các công ty, tổ chức giảm chi phí đầu tư và chi phí
thường xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ
được thu nhỏ do chi phí phải trả ít hơn cho việc thuê băng thông
đường truyền, các thiết bị mạng đường trục và duy trì hoạt động của
hệ thống mà VPN vẫn đáp ứng đầy đủ như cầu truyền tải hay tính bảo
mật an tồn dữ liệu. Thay vì việc phải th đường truyền dài thì VPN
lại tận dụng lại hệ thống mạng Internet có sẵn.
Cải thiện kết nối:
• Vượt qua bộ lọc chặn truy cập Web: VPN là một lựa chọn tốt để có thể

vượt qua được bộ lọc Internet.
• Thay đổi địa chỉ IP: Nếu muốn thay đổi IP khác thì VPN có thể giúp

chúng làm điều này việc này giúp ta có thể che dấu được địa chỉ của
mình tránh được sự xâm hại hay ý đồ xấu của những hacker (kẻ tấn
cơng, tin tặc) bên ngồi mạng.
An tồn trong giao dịch: việc trao đổi thông tin trong công việc là nhiều và
liên tục, nhưng vấn đề bảo mật thơng tin thì cực kì quan trọng, với VPN chúng
20


ta sẽ không phải lo lắng quá nhiều về việc đó, VPN sử dụng cơ chế giấu đi, các
dữ liệu sẽ được mã hóa và thơng tin dữ liệu được bao bọc bởi gói tin Header
(phần đầu gói tin ghi địa chỉ đầu - cuối của gói tin) và truyền đi nhanh chóng

dựa vào Internet. VPN đáp ứng tốt việc chia sẽ gói tin và dữ liệu trong một thời
gian dài.
Khả năng điều khiển từ xa:
•

Truy cập Business Network từ xa: VPN thường được các du khách đi du
lịch lựa chọn với mục đích kinh doanh (business traveler) sử dụng để
truy cập mạng lưới kinh doanh của họ, bao gồm tất cả các nguồn tài
nguyên mạng cục bộ. Các nguồn tài nguyên mạng cục bộ không được
tiếp xúc trực tiếp với Internet để tăng cường tính bảo mật.

•

Truy cập Home Network từ xa: Ngồi ra người dùng có thể thiết lập một
VPN của riêng mình để truy cập khi đi du lịch. Điều này sẽ cho phép
người dùng truy cập Windows Remote Desktop thông qua Internet, tức
là người dùng sẽ được phép truy cập vào máy tính cá nhân của mình
thơng qua Internet, chia sẻ các tập tin, làm việc trên dữ liệu máy tính ở
nhà và thậm chí là chơi game trên máy tính đó.
Khả năng mở rộng hệ thống tốt: chi phí để xây dựng một hệ thống mạng

lưới chuyên dụng (sử dụng cáp mạng) cho một công ty lúc đầu có thể là hợp lý, tuy
nhiên cơng ty ngày càng phát triển nhu cầu mở rộng hệ thống mạng là cần thiết vì
vậy VPN là một lựa chọn hợp lý bởi vì VPN khơng phụ thuộc q nhiều vào vấn
đề “hệ thống”, do VPN được xây dựng dựa trên cơ sở hạ tầng mạng Internet bất cứ
ở nơi nào có mạng cơng cộng là đều có thể triển khai VPN. Mà mạng cơng cộng có
mặt ở khắp mọi nơi nên khả năng mở rộng của VPN là rất linh động.
Bảo mật địa chỉ IP: bởi vì thơng tin gửi đi trên VPN đã được mã hóa do đó
các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên
ngoài Internet.

Ẩn hoạt động duyệt web từ mạng cục bộ và ISP (nhà cung cấp Internet):
nếu đang sử dụng kết nối Wifi công cộng, và người dùng duyệt web trên các
trang web không phải HTTPS, khi đó các hoạt động của người dùng sẽ được
21


hiển thị với mọi người (nếu họ biết cách để xem hoạt động của người dùng).
Nếu muốn ẩn hoạt động duyệt web của mình để đảm bảo tính bảo mật, quyền
riêng tư, người dùng có thể kết nối với VPN. Mạng cục bộ sẽ chỉ nhìn thấy một
kết nối VPN an toàn và duy nhất. Tất cả các traffic khác sẽ thơng qua kết nối
VPN. Và có thể sử dụng để bỏ qua việc giám sát của nhà cung cấp dịch vụ
Internet (ISP) của người dùng.
Trải nghiệm tốc dộ nhanh hơn: nhiều người dùng sử dụng kết nối VPN
để tải các file thông qua BitTorrent. Điều này thực sự hữu ích nếu người dùng
muốn tải toàn bộ Torrent hợp lệ – nếu ISP của người dùng đang điều khiển
BitTorrent và nó khá chậm, người dùng có thể sử dụng BitTorrent trên VPN để
được trải nghiệm tốc độ nhanh hơn.
Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những
người khơng có quyền truy cập và cho phép truy cập đối với những người dùng
có quyền truy cập.
Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP.
1.4.2. Hạn chế.
Mặc dù mạng riêng ảo (VPN) là phổ biến với nhiều ưu điểm nổi bật tuy
nhiên, nó khơng hẳn là hồn hảo và chúng ta luôn biết rằng hạn chế luôn luôn tồn
tại trọng bất kì hệ thống mạng nào. Một số hạn chế cần lưu ý khi triển khai hệ
thống VPN:
• VPN địi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu

hình và cài đặt phải cẩn thận, chính xác đảm bảo tính an tồn trên hệ
thống mạng Internet cơng cộng.

• Độ tin cậy và hiệu xuất của một VPN dựa trên Internet khơng phải là

dưới sự kiểm sốt trực tiếp của cơng ty, vì vậy giải pháp thay thế là hãy
sử dụng một nhà cung cấp dịch vụ (ISP) tốt và chất lượng.
• Việc sử dụng các sản phẩm VPN và các giải pháp của các nhà cung

cấp khác nhau khơng phải lúc nào cũng tương thích do các vấn đề về
tiêu chuẩn công nghệ VPN. Khi sử dụng pha trộn và kết hợp các thiết

22


bị sẽ có thể gây ra những vấn đề kỹ thuật hoặc nếu sử dụng khơng
đúng cách sẽ lãng phí rất nhiều chi phí triển khai hệ thống.
• Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề

bảo mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối
với hệ thống văn phịng bằng máy tính xách tay, máy tính riêng, khi đó
các nếu máy tính của họ thực hiện hàng loạt các ứng dụng khác, ngoài
việc kết nối tới văn phịng làm việc thì hacker (kẻ tấn cơng, tin tặc) có
thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn công vào hệ
thống của công ty. Vì vậy việc bảo mật cá nhân ln được các chun
gia khuyến cáo phải đảm bảo an tồn.
• VPN khơng có khả năng quản lý Quality of Service (QoS) qua mơi

trường Internet, do vậy các gói dữ liệu - Data package vẫn có nguy cơ
bị thất lạc, rủi ro.
• Khả năng quản lý của các đơn vị cung cấp VPN là có hạn nên máy tính

của người dùng vẫn có thể bị hack, tiềm ẩn nguy cơ bảo mật cho máy

tính của người dùng.
• Nhiều trang web trực tuyến đang trở nên cảnh giác với VPN và tạo ra

nhiều trở ngại nhằm ngăn cản hay giảm lượng truy cập vào nội dung bị
hạn chế. Không may là người dùng cũng có thể sử dụng VPN vào các
hoạt động bất hợp pháp, khiến cơng nghệ này bị mang tiếng xấu.
• Các VPN miễn phí sẽ giúp người dùng tiết kiệm được rất nhiều tiền,

nhưng người dùng sẽ phải trả giá bằng sự an tồn của bản thân. Vì thế,
nếu muốn sử dụng VPN có đầy đủ các chức năng và cấu hình mạnh thì
người dùng phải chi trả một lượng ngân sách đáng kể, nhất định tùy
thuộc vào nhu cầu sử dụng theo từng tháng.
1.5. Chức năng của VPN
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),
tính tồn vẹn (Integrity) và tính bảo mật (Confidentiality)

23


a, Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía
phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thơng tin với
người mình mong muốn chứ khơng phải một người nào khác.
b, Tính tồn vẹn: Đảm bảo dữ liệu khơng bị thay đổi hay đảm bảo khơng
có bất kỳ sự xáo trộn nào trong q trình truyền dẫn.
c, Tính bảo mật: Người gửi có thể mã hố các gói dữ liệu trước khi
truyền qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách
làm như vậy, khơng một ai có thể truy nhập thơng tin mà khơng được phép.
Thậm chí nếu có lấy được thì cũng không đọc được.
1.6. Phân loại mạng VPN
Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ

bản sau:
Tại mọi thời điểm, các nhân viên của cơng ty có thể truy nhập từ xa hoặc
di động vào mạng nội bộ của cơng ty.
• Nối liền các chi nhánh, văn phịng di động.
• Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà

cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm
ba loại:
• Mạng VPN truy nhập từ xa (Remote Access VPN)
• Mạng VPN cục bộ (Intranet VPN)
• Mạng VPN mở rộng (Extranet VPN)

1.6.1. Mạng VPN truy nhập từ xa (Remote Access VPN)
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi thời
điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao đổi, truy
nhập vào mạng của công ty. Kiểu VPN truy nhập từ xa là kiểu VPN điển hình
nhất. Bởi vì, những VPN này có thể thiết lập bất kể thời điểm nào, từ bất cứ nơi
nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng
thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty
24


vẫn duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn từ những thiết bị
di động, những người sử dụng di động, những chi nhánh và những người dùng
hàng của công ty. Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng
công cộng bằng cách sử dụng công nghệ ISDN, quay số, IP di động, DSL và
công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy
tính của người sử dụng.


Hình 1. 8: Mơ hình VPN truy cập từ xa
a, Ưu điểm
Các ưu điểm của mạng VPN truy nhập từ xa so với các phương pháp truy
nhập từ xa truyền thống như:
•

Mạng VPN truy nhập từ xa khơng cần sự hỗ trợ của nhân viên mạng bởi
vì quá trình kết nối từ xa được các ISP thực hiện.

•

Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thơng qua mạng
Internet.

•

Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng ở xa.

25