Tải bản đầy đủ (.pdf) (56 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị mạng

Tìm hiểu và đánh giá tính năng của một số sản phẩm VPN

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.38 MB, 56 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TỒN THƠNG TIN
------

CƠ SỞ AN TỒN THƠNG TIN
ĐỀ TÀI 15: TÌM HIỂU VÀ ĐÁNH GIÁ TÍNH NĂNG CỦA
MỘT SỐ SẢN PHẨM VPN

Sinh viên thực hiện:
Lê Mạnh Huy – AT170425
Đặng Văn Sâm – AT170442

Hà Nội, 10/2023


LỜI CẢM ƠN
Để hoàn thành tốt báo cáo này, ngoài sự nỗ lực của bản thân, chúng em còn
nhận được sự quan tâm, giúp đỡ của nhiều tập thể và cá nhân.
Nhóm chúng em xin chân thành cảm ơn các thầy cơ trường Học viện Kỹ thuật
mật mã nói chung, q thầy cơ của khoa An tồn thơng tin nói riêng đã tận tình dạy
bảo, truyền đạt kiến thức cho chúng em trong suốt q trình học.
Kính gửi đến Giáo viên bộ mơn Cơ sở An tồn thơng tin lời cảm ơn chân
thành, cảm ơn thầy đã giảng dạy và hướng dẫn cho nhóm chúng em trong q trình
thực hiện đề tài này. Thầy không chỉ hướng dẫn chúng em những kiến thức chuyên
ngành, mà còn giúp chúng em học thêm những kĩ năng, tinh thần, thái độ khi làm
việc nhóm.
Do kiến thức cịn nhiều hạn chế nên khơng thể tránh khỏi những thiếu sót
trong cách xây dựng đề tài, lỗi trình bày,.. Nhóm chúng em rất mong nhận được sự
đóng góp ý kiến của q thầy cơ để đề tài của em đạt được kết quả tốt hơn.
Chúng em xin chân thành cảm ơn!



MỤC LỤC
LỜI CẢM ƠN.................................................................................................2
MỤC LỤC.......................................................................................................3
DANH MỤC CÁC HÌNH ẢNH ....................................................................5
LỜI MỞ ĐẦU.................................................................................................7
CHƯƠNG 1: NGHIÊN CỨU VPN CƠ SỞ LÝ THUYẾT ........................8
1.1 Định nghĩa VPN là gì? ...........................................................................8
1.2 Các dạng kết nối VPN .........................................................................10
1.3 Những thành phần của VPN ................................................................11
1.4 Cơ chế hoạt động của VPN..................................................................12
1.5 Các giao thức hoạt động trong VPN ....................................................13
1.5.1 Giao thức đường hầm PPTP ........................................................13
1.5.2 Giao thức định hướng L2TP .........................................................14
1.5.3 Giao thức bảo mật IPSec ..............................................................15
1.5.4 Giao thức Open VPN ....................................................................18
1.5.5 Giao thức WireGuard ...................................................................18
CHƯƠNG 2: CÁC TIÊU CHÍ ĐÁNH GIÁ CÁC PHẦN MỀM VPN....20
2.1 Tốc độ ..................................................................................................20
2.2 Mã hóa và các giao thức bảo mật ........................................................21
2.3 Chính sách quyền riêng tư ...................................................................22
2.4 Khả năng truy cập nội dung toàn cầu ..................................................23
2.5 Khả năng tương thích với các thiết bị..................................................25
2.6 Trải nghiệm người dùng ......................................................................25
2.7 Chi phí..................................................................................................26
2.8 Tính năng đáng chú ý...........................................................................27


CHƯƠNG 3: ĐÁNH GIÁ CỤ THỂ CÁC CHI TIẾT PHẦN MỀM
TRONG TOP ..........................................................................................................29

3.1 Proton VPN ..........................................................................................29
3.2 Cyber Ghost VPN ................................................................................34
3.3 TunnelBear...........................................................................................40
PHỤ LỤC: HƯỚNG DẪN SỬ DỤNG .......................................................45
1 Proton VPN .............................................................................................45
2 Cyber Ghost VPN ...................................................................................49
3 TunnelBear..............................................................................................52
KẾT LUẬN ...................................................................................................55
TÀI LIỆU THAM KHẢO ...........................................................................56


DANH MỤC CÁC HÌNH ẢNH
Hình 1.1.1 Mơ hình mạng VPN .......................................................................9
Hình 1.1.2 VPN và mơ hình OSI .....................................................................9
Hình 1.1.3 Mơ hình mạng VPN .....................................................................10
Hình 1.2.1 Mơ hình Mạng VPN truy cập từ xa .............................................11
Hình 1.3.1 Các thành phần VPN ...................................................................12
Hình 1.5.1.1 Giao thức PPTP ........................................................................14
Hình 1.5.3.1 Khung giao thức được sử dụng trong IPSec .............................16
Hình 2.1.1 Tốc độ trung bình của top 10 VPN tại Hoa Kì ............................20
Hình 2.2.1. Tốc độ truyền dữ liệu của OpenVPN, IPSec, WireGuard ..........22
Hình 2.2.2 Tốc độ phải hồi của OpenVPN, IPSec, WireGuard ....................22
Hình 2.7.1 Bảng giá một số VPN ..................................................................27
Hình 3.1.1 Tốc độ của Proton VPN ...............................................................29
Hình 3.1.2 Các giao thức bảo mật của Proton VPN ......................................30
Hình 3.1.3 Các chế độ kết nối của Proton VPN ............................................32
Hình 3.2.1 Khả năng truy cập tồn cầu của Cyberghost ...............................36
Hình 3.2.2 Giao diện Cyberghost ..................................................................37
Hình 3.2.3 Trải nghiệm người dùng ..............................................................38
Hình 3.3.1 Giao diện TunnelBear ..................................................................42

Hình 3.3.2 VigilantBear .................................................................................43
Phụ lục 1.1 .....................................................................................................45
Phụ lục 1.2 .....................................................................................................45
Phụ lục 1.3 .....................................................................................................46
Phụ lục 1.4 .....................................................................................................46
Phụ lục 1.5 .....................................................................................................47
Phụ lục 1.6 .....................................................................................................47
Phụ lục 1.7 .....................................................................................................48
Phụ lục 1.8 .....................................................................................................48
Phụ lục 1.9 .....................................................................................................48
Phụ lục 1.10 ...................................................................................................48


Phụ lục 2.1 .....................................................................................................49
Phụ lục 2.2 .....................................................................................................49
Phụ lục 2.3 .....................................................................................................50
Phụ lục 2.4 .....................................................................................................50
Phụ lục 2.5 .....................................................................................................51
Phụ lục 2.6 .....................................................................................................51
Phụ lục 3.1 .....................................................................................................52
Phụ lục 3.2 .....................................................................................................52
Phụ lục 3.3 .....................................................................................................53
Phụ lục 3.4 .....................................................................................................53
Phụ lục 3.5 .....................................................................................................54


LỜI MỞ ĐẦU
Trong thời đại ngày nay, Internet đã phát triển mạnh mẽ về mặt mơ hình cho
nền cơng nghiệp, đáp ứng các nhu cầu của người sử dụng. Internet đã được thiết kế
để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến người sử dụng

một cách tự do và nhanh chóng mà khơng xem xét đến máy và mạng mà người sử
dụng đó đang sử dụng.
Để làm được điều này người ta sử dụng một máy tính đặc biệt gọi là Router
để kết nối các LAN và WAN với nhau. Các máy tính kết nối vào Internet thông qua
nhà cung cấp dịch vụ (ISP –Internet service Provider), cần một giao thức chung là
TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông của
các mạng viễn thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa,
mua hàng trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực. Tuy
nhiên do Internet có phạm vi tồn cầu và khơng một tổ chức, chính phủ cụ thể nào
quản lý nên rất khó khăn trong việc bảo mật và an toàn dữ liệu cũng như trong việc
quản lý các dịch vụ. Từ đó người ta đã đưa ra một mơ hình mạng mới nhằm thỏa
mãn những yêu cầu trên mà vẫn có thể tận dụng lại những cơ sở hạ tầng hiện có của
Internet, đó chính là mơ hình mạng riên ảo (Virtual Private Network – VPN).
Với mơ hình mới này, người ta khơng phải đầu tư thêm nhiều về cơ sở hạ tầng
mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có thể quản lý
riêng được sự hoạt động của mạng này. VPN cho phép người sử dụng làm việc tại
nhà riêng, trên đường đi hay các văn phịng chi nhánh có thể kết nối an tồn đến máy
chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp bởi mạng cơng cộng. Nó có
thể đảm bảo an tồn thơng tin giữa các đại lý, người cung cấp, và các đối tác kinh
doanh với nhau trong môi trường truyền thông rộng lớn.
Trong nhiều trường hợp VPN cũng giống như WAN (Wire Area Network),
tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng mạng cơng cộng như
Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.


CHƯƠNG 1: NGHIÊN CỨU VPN CƠ SỞ LÝ THUYẾT
1.1 Định nghĩa VPN là gì?
VPN (Virtual Private Network) - mạng riêng ảo, là một công nghệ mạng giúp
tạo kết nối mạng an tồn khi tham gia vào mạng cơng cộng như Internet hoặc mạng
riêng do một nhà cung cấp dịch vụ sở hữu. Các tập đoàn lớn, các cơ sở giáo dục và

cơ quan chính phủ sử dụng cơng nghệ VPN để cho phép người dùng từ xa kết nối
an toàn đến mạng riêng của cơ quan mình. Tuy nhiên vì lý do mạng Internet là một
mạng công cộng chia sẻ có thể được truy cập bởi bất cứ ai, bất kì ở đâu và bất kì thời
gian nào nên xuất hiện nhiều nguy cơ thơng tin trao đổi có thể bị truy cập trái phép.
Mục đích đầu tiên của VPN là đáp ứng các yêu cầu bảo mật, khả năng truyền tải
thông tin và độ tin cậy của mạng với chi phí bổ sung hợp lý.
Theo tiêu chuẩn được định nghĩa bởi Internet Engineering Task Force (IETF),
VPN là sự kết nối các mạng WAN riêng (Wide Area Network) sử dụng IP chia sẻ
và công cộng như mạng Internet hay IP backbones riêng.
Hiểu đơn giản, VPN là phần mở rộng mạng riêng (private intranet) sang mạng
công cộng (Internet) và đảm bảo hiệu suất truyền tin giữa hai thiết bị thông tin đầu
cuối. Sự mở rộng được thực hiện bởi các “đường hầm” logic (private logical
"tunnels"). Những đường hầm này giúp trao đổi dữ liệu giữa 2 điểm đầu cuối như là
giao thức thông tin point-to-point.


Hình 1.1.1 Mơ hình mạng VPN
Về căn bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạng chung (thường
là Internet) để kết nối cùng với các site (các mạng riêng lẻ) hay nhiều người sử dụng
từ xa. Thay cho việc sử dụng kết nối thực, chuyên dùng như đường leased-line, mỗi
VPN sử dụng các kết nối ảo được dẫn đường qua Internet từ mạng riêng của các
công ty tới các site hay các nhân viên từ xa.
Để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn bảo đảm
tính an tồn và bảo mật VPN cung cấp các cơ chế mã hoá dữ liệu trên đường truyền
tạo ra một đường ống bảo mật (Tunnel) giữa nơi nhận và nơi gửi giống như một kết
nối point-to-point trên mạng riêng.
Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hố hay có
cơ chế giấu đi, chỉ cung cấp phần đầu gói dữ liệu (header) là thơng tin về đường đi
cho phép nó có thể đi đến đích thơng qua mạng cơng cộng một cách nhanh chóng.
Dữ liệu được mã hố một cách cẩn thận do đó nếu các gói packet bị bắt lại trên

đường truyền công cộng cũng không thể đọc được nội dùng vì khơng có khố (key)
để giải mã.

Hình 1.1.2 VPN và mơ hình OSI


Liên kết với dữ liệu được mã hố và đóng gói được gọi là kết nối VPN. Một
mạng VPN điển hình bao gồm mạng LAN chính tại trụ sở (Văn phịng chính), các
mạng LAN khác tại những văn phịng từ xa, các điểm kết nối (như 'Văn phòng' tại
gia) hoặc người sử dụng (Nhân viên di động) truy cập đến từ bên ngoài. Các đường
kết nối VPN thường được gọi là đường ống VPN (Tunnel VPN).

Hình 1.1.3 Mơ hình mạng VPN
1.2 Các dạng kết nối VPN
Phân loại kỹ thuật dựa trên 3 yêu cầu cơ bản:

Người sử dụng ở xa có thể truy cập vào tài ngun mạng đồn thể bất kỳ thời
gian nào.


Kết nối nội bộ giữa các chi nhánh văn phòng ở xa nhau



Quản lý truy cập các tài nguyên mạng quan trọng của khách hàng, nhà cung

cấp hay các thực thể ngoài khác là điều quan trọng đối với tổ chức hay cơ quan.
Dựa vào những yêu cầu cơ bản trên VPN được chia thành:
-


Mạng VPN truy cập từ xa (Remote Access VPN).

-

Mạng VPN cục bộ (Intranet VPN).

-

Mạng VPN mở rộng (Extranet VPN).


Hình 1.2.1 Mơ hình Mạng VPN truy cập từ xa
1.3 Những thành phần của VPN
- VPN server (Mạng riêng ảo máy chủ)
Một máy tính chấp nhận các kết nối VPN từ máy khách VPN.
VPN servers là các thiết bị mạng chuyên dụng chạy phần mềm server. Phụ
thuộc vào các yêu cầu của tổ chức, có thể có một hay nhiều VPN server. Bởi vì một
server VPN phải cung cấp các dịch vụ cho các khách hàng VPN ở xa cũng như ở địa
phương, chúng luôn sẵn sàng và sẵn sàng chấp nhận các yêu cầu.
- VPN client (Mạng riêng ảo cho máy khách)
Một máy tính để khởi tạo một kết nối VPN đến một máy chủ VPN server. Một
khách hàng VPN client có thể là một máy tính cá nhân hoặc một router.
VPN Clients là các máy cục bộ hay ở xa khởi tạo một kết nối VPN với VPN
Server và vào mạng từ xa sau khi chúng đã được xác nhận đầu cuối của mạng từ xa.
Chỉ sau khi đăng nhập thành cơng VPN server và client có thể giao tiếp với nhau.
Tổng quát, một VPN Client là một phần mềm. Tuy nhiên nó cũng có thể là phần
cứng chuyên dụng.
- Tunnel (đường hầm):



Tunnel VPN là kênh an toàn để truyền dữ liệu qua Internet hoặc mạng cơng
cộng. Nó bao gồm việc đóng gói dữ liệu, mã hóa, và truyền dữ liệu qua mạng một
cách bảo mật. Tunnel đóng vai trị quan trọng trong việc bảo vệ tính bảo mật của dữ
liệu trong khi truyền tải.
- Kết nối VPN:
Kết nối VPN là quá trình thiết lập một kết nối mạng ảo riêng (Virtual Private
Network) giữa một máy tính hoặc thiết bị và một máy chủ VPN qua mạng Internet
hoặc mạng công cộng khác. Kết nối VPN được sử dụng để bảo vệ tính bảo mật và
quyền riêng tư của dữ liệu khi truyền qua mạng.
- Transit liên mạng
Transit internetwork là một thuật ngữ được sử dụng trong lĩnh vực mạng máy
tính để mơ tả một mạng máy tính lớn, phức tạp và phân tán, trong đó dữ liệu phải
truyền qua nhiều mạng con (subnet) hoặc mạng lớn hơn để đến được đích cuối cùng.

Hình 1.3.1 Các thành phần VPN
1.4 Cơ chế hoạt động của VPN
Khởi tạo kết nối: Khi người dùng hoặc thiết bị khởi động ứng dụng VPN hoặc
VPN client, một yêu cầu kết nối được gửi đến VPN server. Máy chủ VPN có thể ở
xa (trong trường hợp dịch vụ VPN trả phí) hoặc được quản lý bởi tổ chức (mạng
riêng ảo doanh nghiệp).
Xác thực và ủy quyền: Máy chủ VPN yêu cầu người dùng cung cấp thông tin
xác thực, chẳng hạn như tên người dùng và mật khẩu. Thông tin này sẽ được gửi đến
máy chủ VPN để xác thực. Sau khi xác thực thành công, máy chủ VPN ủy quyền
người dùng truy cập vào mạng riêng ảo.


Mã hóa dữ liệu: Khi kết nối VPN được thiết lập, dữ liệu truyền tải giữa máy
tính nguồn và máy chủ VPN được mã hóa bằng cách sử dụng giao thức mã hóa như
SSL/TLS, IPsec, L2TP hoặc PPTP. Mã hóa đảm bảo rằng dữ liệu không thể bị đánh
cắp hoặc hiểu được bởi người ngồi.

Đóng gói dữ liệu: Dữ liệu của người dùng sau đó được đóng gói thành các gói
tin hoặc frames với thơng tin header và trailer cần thiết để định tuyến và xác định
nguồn và đích. Điều này giúp đảm bảo rằng dữ liệu đến đúng đích và có thể được
xử lý đúng cách.
Truyền tải dữ liệu qua mạng cơng cộng: Dữ liệu đã được mã hóa và đóng gói
được gửi qua mạng cơng cộng (internet) đến máy chủ VPN đích. Dữ liệu trên internet
khơng thể đọc được do nó đã được mã hóa. Ta có thể truyền tải qua Tunnel điều này
bao gồm việc phải sử dụng giao thức tunneling.
Giải mã dữ liệu: Tại máy chủ VPN đích, dữ liệu được giải mã và trả về dạng
ban đầu để có thể được sử dụng và hiểu được bởi người dùng hoặc thiết bị đích.
Đóng kết nối: Khi người dùng khơng cịn cần sử dụng VPN hoặc muốn đăng
xuất, họ có thể đóng kết nối VPN để ngắt kết nối an toàn.
VPN cung cấp lớp bảo vệ bổ sung cho dữ liệu trên internet và cho phép người
dùng hoặc tổ chức truy cập vào mạng riêng ảo từ xa một cách an toàn và riêng tư.
Điều này rất hữu ích để bảo vệ thơng tin và truy cập tài nguyên mạng từ xa.
1.5 Các giao thức hoạt động trong VPN
1.5.1 Giao thức đường hầm PPTP
PPTP (Point-to-Point Tunneling Protocol) là một trong số nhiều kỹ thuật được
sử dụng để thiết lập đường hầm cho những kết nối từ xa. Giao thức PPTP là sự mở
rộng của giao thức PPP cơ bản cho nên giao thức PPTP không hỗ trợ những kết nối
nhiều điểm liên tục mà nó chỉ hỗ trợ kết nối từ điểm tới điểm, cung cấp khả năng
quay số truy cập tạo ra một đường hầm bảo mật thơng qua Internet đến site đích.
Ý tưởng cơ sở của giao thức này là tách các chức năng chung và riêng của
truy cập từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mật giữa
người dùng ở xa (client) và mạng riêng. Người dùng ở xa chỉ việc quay số tới nhà
cung cấp dịch vụ Internet là có thể tạo đường hầm bảo mật tới mạng riêng của họ.


PPTP sử dụng giao thức bọc gói định tuyến chung GRE (Generic Routing
Encapsulation) được mơ tả lại để đóng gói và tách gói PPP, giao thức này cho phép

PPTP linh hoạt xử lý qcác giao thức khác không phải IP như: IPX, NetBEUI,
NetBIOS.

Hình 1.5.1.1 Giao thức PPTP
- Mơ hình PPTP
Do PPTP dựa trên PPP nên nó cũng sử dụng PAP, CHAP để xác thực. PPTP
có thể sử dụng PPP để mã hoá dữ liệu nhưng Microsoft đã đưa ra phương thức mã
hố khác mạnh hơn đó là mã hố điểm - điểm MPPE (Microsoft Point- to- Point
Encryption) để sử dụng cho PPTP.
Một ưu điểm của PPTP là được thiết kế để hoạt động ở lớp 2 (lớp liên kết dữ
liệu) trong khi IPSec chạy ở lớp 3 của mơ hình OSI. Bằng cách hỗ trợ việc truyền
dữ liệu ở lớp thứ 2, PPTP có thể truyền trong đường hầm bằng các giao thức khác
IP trong khi IPSec chỉ có thể truyền các gói IP trong đường hầm.
1.5.2 Giao thức định hướng L2TP
Layer Two Tunneling Protocol (L2TP) là một phần mở rộng của Point-toPoint Tunneling Protocol (PPTP), nhà cung cấp internet (ISP) dùng nó để kích hoạt
VPN. Nhờ vào các giao thức mã hóa mà L2TP ln đảm bảo quyền riêng tư và tính
bảo mật cao.


L2TP có thể truyền hầu hết các kiểu dữ liệu L2 qua mạng IP hoặc Layer three
(L3). Quá trình này bắt đầu từ một tunnel giữa L2TP access concentrator (LAC) và
an L2TP network server (LNS) trên internet. Điều này giúp cho lớp liên kết Pointto-Point Protocol (PPP) được truyền từ internet.
Người dùng cuối khởi tạo kết nối PPP với ISP thông qua Integrated Services
Digital Network (ISDN) hoặc dịch vụ mạng điện thoại chuyển mạch cơng cộng.
L2TP kết hợp các tính năng tốt nhất từ hai tunnel protocols:
• PPTP từ Microsoft
• Layer2 Forwarding từ Cisco Systems
L2TP chứa hai thành phần cốt lõi:
• LAC – thiết bị kết thúc cuộc gọi vật lý
• LNS – thiết bị kết thúc và có thể xác thực luồng PPP.

L2TP còn khá mới mẻ, việc thực hiện PPP ở các phiên bản đầu còn một số
giới hạn, nhưng hiện nay đã được giải quyết. PPP định nghĩa một phương tiện đóng
gói để truyền các gói đa giao thức qua các liên kết point-to-point L2.
Trong trường hợp này, kết nối với máy chủ truy cập mạng (NAS) sẽ thông
qua ISDN, Asymmetric Digital Subscriber Line, Plain Old Telephone Service hoặc
các dịch vụ khác và PPP chạy qua kết nối đó. Tại đây, các điểm cuối phiên L2 và
PPP nằm trên cùng một NAS.
1.5.3 Giao thức bảo mật IPSec
Các giao thức nguyên thuỷ TCP/IP không bao gồm các đặc tính bảo mật vốn có.
Trong giai đoạn đầu của Internet khi mà người dùng thuộc các trường đại học và các
viện nghiên cứu thì vấn đề bảo mật dữ liệu không phải là vấn đề quan trọng như bây
giờ khi mà Internet trở nên phổ biến, các ứng dụng thương mại có mặt khắp nơi trên
Internet và đối tượng sử dụng Internet rộng hơn bao gồm cả các Hacker.
Để thiết lập tính bảo mật trong IP ở cấp độ gói, IETF đã đưa ra họ giao thức
IPSec. Họ giao thức IPSec đầu tiên được dùng cho xác thực, mã hoá các gói dữ liệu
IP, được chuẩn hố thành các RFC từ 1825 đến 1829 vào năm 1995. Họ giao thức
này mô tả kiến trúc cơ bản của IPSec bao gồm hai loại tiêu đề được sử dụng trong
gói IP, gói IP là đơn vị dữ liệu cơ sở trong mạng IP. IPSec định nghĩa 2 loại tiêu đề
cho các gói IP để điều khiển quá trình xác thực và mã hoá: một là xác thực tiêu đề


IP – AH (IP Authentication Header) điều khiển việc xác thực và hai là đóng gói tải
tin an tồn ESP (Encapsulation Security Payload) cho mục đích mã hố.
IPSec là một khung của các tập giao thức chuẩn mở cho phép những nhà quản
trị mạng lựa chọn thuật toán, các khoá và phương pháp nhận thực để cung cấp sự
xác thực dữ liệu, tính tồn vẹn dữ liệu, và sự tin cậy dữ liệu. IPSec là sự lựa chọn
cho bảo mật tổng thể các VPN, là phương án tối ưu cho mạng của cơng ty. Nó đảm
bảo truyền thơng tin cậy trên mạng IP công cộng đối với các ứng dụng.
IPsec tạo những đường hầm bảo mật xuyên qua mạng Internet để truyền những
luồng dữ liệu. Mỗi đường hầm bảo mật là một cặp những kết hợp an ninh để bảo vệ

luồng dữ liệu giữa hai Host.
IPSec là khung của các chuẩn mở, được phát triển bởi IETF.

Hình 1.5.3.1 Khung giao thức được sử dụng trong IPSec
Một số giao thức chính được khuyến khích sử dụng khi làm việc với IPSec.
• Giao thức bảo mật IP (IPSec)



+ AH (Authentication Header)
+ ESP (Encapsulation Security Payload)
Mã hố dữ liệu



+ DES (Data Encryption Standard)
+ 3DES (Triple DES)
Các chức năng toàn vẹn dữ liệu
+ HMAC (Hash – ased Message Authentication Code)
+ MD5 (Message Digest 5)




+ SHA-1 (Secure Hash Algorithm -1)
Nhận thực đối tác (peer Authentication)



+ Rivest, Shamir, and Adelman (RSA) Digital Signatures

+ RSA Encrypted Nonces
Quản lý khố



+ DH (Diffie- Hellman)
+ CA (Certificate Authority)
Kết hợp an ninh

+ IKE (Internet Key Exchange)
+ ISAKMP (Internet Security Association and Key Management
Protocol)
IPSec là tập hợp những tiêu chuẩn mở làm việc cùng nhau để thiết lập tính bảo
mật, tồn vẹn dữ liệu và nhận thực giữa các thiết bị ngang hàng. Những điểm ngang
hàng có thể là những cặp Host hay những cặp cổng nối bảo mật (những bộ định
tuyến, những tường lửa, những bộ tập trung VPN …) hay có thể giữa một host và
một cổng nối bảo mật, như trong VPN truy cập từ xa.
Hai giao thức chính của IPSec là AH (Authentication Header) và ESP
(Encapsulation Security Payload).
• AH: Cho phép xác thực và kiểm tra tính tồn vẹn dữ liệu của các gói IP
truyền giữa hai hệ thống. Nó là một phương tiện để kiểm tra xem dữ liệu
có bị thay đổi trong khi truyền khơng. Do AH không cung cấp khả năng
mật mã dữ liệu nên các dữ liệu đều được truyền dưới dạng bản rõ.
• ESP: Là một giao thức an tồn cho phép mật mã dữ liệu, xác thực nguồn
gốc dữ liệu, kiểm tra tính tồn vẹn dữ liệu. ESP đảm bảo tính bí mật của
thơng tin thơng qua việc mật mã ở lớp IP. Tất cả các lưu lượng ESP đều
được mật mã giữa hai hệ thống.
IPSec được phát triển nhắm vào họ giao thức IP kế tiếp là IPv6, nhưng do việc
triển khai IPv6 còn chậm và sự cần thiết phải bảo mật các gói IP nên IPSec đã được
thay đổi cho phù hợp với IPv4. Việc hỗ trợ cho IPSec chỉ là tuỳ chọn của IPv4 nhưng

đối với IPv6 thì có sẵn IPSec.


1.5.4 Giao thức Open VPN
OpenVPN là một giao thức mạng ảo mã nguồn mở (open-source) được sử
dụng để thiết lập kết nối mạng riêng ảo (VPN) an toàn qua internet. Nó cho phép
bạn tạo ra một kênh kết nối an toàn giữa các thiết bị hoặc mạng khác nhau qua mạng
Internet công cộng. OpenVPN sử dụng một loạt các công nghệ mật mã mạnh mẽ để
đảm bảo tính bảo mật của dữ liệu truyền qua kết nối VPN.
Các đặc điểm chính của OpenVPN bao gồm:
Mã nguồn mở: OpenVPN là một dự án mã nguồn mở, có nghĩa là mã nguồn
của nó được cơng bố cơng khai và có thể được sửa đổi và phát triển bởi cộng đồng.
Hỗ trợ đa nền tảng: OpenVPN có phiên bản cho nhiều hệ điều hành khác nhau,
bao gồm Windows, Linux, macOS, Android, và nhiều thiết bị mạng khác.
Tính bảo mật cao: OpenVPN sử dụng các phương pháp mã hóa mạnh mẽ như
TLS/SSL để đảm bảo tính bảo mật của dữ liệu trong q trình truyền tải.
Tùy chỉnh cao: Bạn có thể cấu hình OpenVPN để phù hợp với nhu cầu cụ thể
của bạn, bao gồm cấu hình định tuyến, cài đặt mạng riêng ảo, và quản lý chứng chỉ
bảo mật.
Hiệu suất tốt: OpenVPN thường có hiệu suất tốt và khả năng thích nghi với
nhiều môi trường mạng khác nhau.
OpenVPN đã trở thành một trong những giao thức VPN phổ biến nhất được
sử dụng trong doanh nghiệp và cá nhân để bảo vệ tính bảo mật và quyền riêng tư khi
kết nối với Internet.
1.5.5 Giao thức WireGuard
Mã nguồn WireGuard được phát triển bởi Jason A. Donenfeld, với bản phát
hành đầu tiên vào ngày 09/12/2016. Giải pháp này sử dụng một giao thức VPN mới
với các thành phần mật mã hiện đại (ví dụ như ChaCha20-Poly1305, Curve25519,
HKDF…), cùng với các bộ quy tắc giúp đảm bảo an toàn, và tốc độ vượt trội hơn
khá nhiều so với các giao thức bảo mật đường truyền phổ biến hiện nay như IPSec,

TLS, OpenVPN. WireGuard có một ưu điểm là dễ sử dụng, trong khi nhiều giao
thức khác như OpenVPN hay IPSec đều có hàng trăm nghìn dịng mã thì WireGuard


có mã nguồn mở với chỉ khoảng 4000 dịng mã (cho tới thời điểm hiện tại), điều này
có thể sẽ dẫn đến ít lỗi và giúp việc kiểm tra các vấn đề bảo mật được dễ dàng hơn.
WireGuard ban đầu được phát hành cho nhân Linux, nhưng hiện đã được phát
triển đa nền tảng hệ điều hành khác nhau (Windows, MacOS, BSD, iOS, Android…)
và có thể triển khai rộng rãi.
WireGuard sử dụng các phiên ngắn hạn với các khóa tạm thời để đảm bảo bí
mật chuyển tiếp (perfect forward secrecy).
WireGuard có một số đặc điểm quan trọng:
• Hiệu suất cao: WireGuard được thiết kế với hiệu suất là ưu tiên hàng
đầu. Nó được xây dựng với mục tiêu giảm độ trễ và tối ưu hóa hiệu suất
truyền dữ liệu, làm cho nó phù hợp cho cả các kết nối mạng tốc độ cao.
• Bảo mật: WireGuard sử dụng các giao thức mã hóa mạnh mẽ như
Curve25519 để bảo vệ dữ liệu truyền qua kết nối VPN. Nó cũng được
thiết kế để có mức bảo mật cao và giảm thiểu các điểm yếu tiềm ẩn.
• Mã nguồn mở: Giao thức WireGuard và các ứng dụng của nó có mã
nguồn mở, cho phép cộng đồng kiểm tra mã nguồn, tìm lỗ hổng bảo
mật và đóng góp vào sự phát triển của nó.
• Tích hợp dễ dàng: WireGuard có thư viện và ứng dụng cho nhiều hệ
điều hành và nền tảng, bao gồm Linux, Windows, macOS, Android, và
nhiều thiết bị khác. Điều này giúp tích hợp và triển khai nó trở nên dễ
dàng.
• Tiết kiệm tài nguyên: Giao thức WireGuard được thiết kế để tiêu tốn ít
tài nguyên hệ thống, giúp làm giảm mức tiêu thụ năng lượng và tài
nguyên máy tính so với một số giao thức VPN truyền thống.



CHƯƠNG 2: CÁC TIÊU CHÍ ĐÁNH GIÁ CÁC PHẦN
MỀM VPN
2.1 Tốc độ
Trên thực tế thì khi th VPN có thể sẽ làm chậm kết nối của người dùng, vì
lúc này dữ liệu đang được mã hóa và định tuyến qua một máy chủ khác. Đa số những
đơn vị cho thuê VPN thì sự khác biệt này hầu như là khơng đáng kể. Tuy nhiên vẫn
có một số những VPN khác có thể gây ra những chậm trễ nhất định. Do đó, để đảm
bảo hiệu quả cơng việc ở mức cao nhất hay đảm bảo rằng khi thuê VPN hãy chọn
một dịch vụ có băng thơng khơng giới hạn và nhiều máy chủ nhanh.
Tốc độ có thể thay đổi tùy thuộc vào máy chủ bạn kết nối và vị trí địa lý của
bạn. Một số máy chủ nhanh hơn so với các máy chủ khác, vì vậy bạn cần thử nhiều
máy chủ để tìm máy chủ phù hợp nhất.
Sử dụng một số ứng dụng kiểm tra tốc độ phổ biến như SpeedTest,
Cloudflare… TunnelBear cung cấp tốc độ đáp ứng nhu cầu của đa số mọi người
Tốc độ đơi khi có thể bị ảnh hưởng nếu VPN sử dụng vị trí ảo. Ví dụ: bạn
muốn kết nối với Malta và nhận địa chỉ IP của Malta, nhưng các máy chủ thực tế
được đặt ở một quốc gia khác.

Hình 2.1.1 Tốc độ trung bình của top 10 VPN tại Hoa Kì


2.2 Mã hóa và các giao thức bảo mật
Một trong những lý do chính khi th VPN đó chính là việc làm cho kết nối
của bạn được bảo nhất có thể. Khi bạn đang xem xét việc sử dụng một dịch vụ VPN
để bảo vệ sự riêng tư và an ninh trực tuyến của mình, có một số yếu tố quan trọng
liên quan đến mã hóa và giao thức bảo mật bạn nên xem xét:
Mã hóa:
AES (Advanced Encryption Standard): AES là một tiêu chuẩn mã hóa phổ
biến được sử dụng trong nhiều dịch vụ VPN. Nó có các biến thể mã hóa 128-bit,
192-bit và 256-bit.

3DES (Triple Data Encryption Standard): Một hệ thống mã hóa cũ hơn, nhưng
vẫn được sử dụng trong một số trường hợp. Tuy nhiên, nó khơng cịn được coi là đủ
mạnh để đảm bảo tính bảo mật tuyệt đối.
Giao thức bảo mật:
IKEv2/IPsec (Internet Key Exchange version 2/IP Security): Một giao thức
nhanh chóng và an tồn, thường được sử dụng trên thiết bị di động. Nó hỗ trợ tự
động kết nối lại nếu mất kết nối.
OpenVPN: OpenVPN là một giao thức mã hóa phổ biến và được coi là an
tồn. Nó có tích hợp mã hóa SSL/TLS và hỗ trợ cả mã hóa TCP và UDP. OpenVPN
có độ tin cậy cao và rất linh hoạt, cho phép tùy chỉnh cấu hình.
WireGuard: WireGuard là một giao thức VPN mới, nhanh chóng và an tồn.
Nó được thiết kế để đơn giản hóa cấu hình và có hiệu suất tốt.
Lựa chọn mã hóa và giao thức bảo mật phụ thuộc vào nhu cầu cụ thể của bạn
và cân nhắc giữa tính bảo mật và hiệu suất. Đảm bảo sử dụng dịch vụ VPN có chính
sách khơng lưu log và tn thủ quy định bảo mật để bảo vệ sự riêng tư của bạn.


Hình 2.2.1. Tốc độ truyền dữ liệu của OpenVPN, IPSec, WireGuard

Hình 2.2.2 Tốc độ phải hồi của OpenVPN, IPSec, WireGuard
2.3 Chính sách quyền riêng tư
Chính sách quyền riêng tư (Privacy Policy) trong VPN là một phần quan trọng
khi bạn đánh giá và lựa chọn một dịch vụ VPN. Điều này quyết định cách dịch vụ


VPN xử lý dữ liệu của bạn và có bảo vệ sự riêng tư của bạn như thế nào. Dưới đây
là những điểm quan trọng cần xem xét khi đọc và hiểu chính sách quyền riêng tư của
một dịch vụ VPN:
• Ghi lại hoạt động (Logs): Điều quan trọng là biết liệu dịch vụ VPN có lưu
trữ log về hoạt động trực tuyến của bạn hay khơng. VPN nên có chính sách

khơng lưu log (no-logs policy) hoặc chỉ lưu log tối thiểu và tạm thời để đảm
bảo sự riêng tư của bạn.
• Loại dữ liệu được thu thập: Đọc kỹ chính sách để biết liệu dịch vụ VPN có
thu thập thông tin cá nhân của bạn, như địa chỉ IP, thơng tin trình duyệt,
hoặc bất kỳ thơng tin nào khác không. Một số dịch vụ VPN sẽ thu thập
thông tin tài khoản như địa chỉ email, trong khi các dịch vụ khác có thể
khơng cần thơng tin cá nhân để đăng ký.
• Phân phối dữ liệu: Tìm hiểu xem dịch vụ VPN có chia sẻ thơng tin của bạn
với bên thứ ba khơng. Một số dịch vụ có thể bán dữ liệu của bạn cho quảng
cáo hoặc bên thứ ba khác để tạo doanh thu.
• Pháp luật và yêu cầu chính quyền: Chính sách nên đề cập đến cách dịch vụ
VPN ứng phó với u cầu từ chính quyền, bao gồm việc có cung cấp dữ
liệu người dùng trong trường hợp cần thiết.
• Bảo mật và mã hóa: Đảm bảo dịch vụ VPN sử dụng mã hóa mạnh và có
biện pháp bảo mật vượt trội để đảm bảo an toàn dữ liệu trong q trình
truyền tải.
• Đọc đánh giá và đánh giá độ tin cậy: Ngồi việc đọc chính sách, hãy đọc
đánh giá và phản hồi từ người dùng khác để biết thêm về kinh nghiệm thực
tế với dịch vụ VPN cụ thể.
Nắm vững chính sách quyền riêng tư của dịch vụ VPN trước khi sử dụng là
rất quan trọng để đảm bảo sự riêng tư và bảo mật của bạn khi trực tuyến.
2.4 Khả năng truy cập nội dung toàn cầu
Một điểm cộng lớn khi thuê VPN là chúng cho phép bạn vượt qua kiểm duyệt
và các hạn chế về địa lý. Tuy nhiên không phải VPN nào cũng đều được tạo ra như
nhau về vấn đề này. Bởi vậy, người dùng nên tìm hiểu chắc chắn rằng nhà cung cấp
đó có hỗ trợ những tính năng này trước khi bạn thuê VPN.


Bên cạnh đó, người dùng cũng có thể tận dụng dùng thử các bản dùng thử
miễn phí để có những trải nghiệm cũng như đánh giá chính xác nhất về chất lượng

dịch vụ trước khi thuê VPN sử dụng lâu dài.
• Địa điểm máy chủ VPN: Một dịch vụ VPN có thể có nhiều máy chủ ở
nhiều quốc gia khác nhau. Khả năng truy cập nội dung toàn cầu sẽ tốt
hơn nếu dịch vụ VPN có máy chủ ở nhiều nước trên khắp thế giới. Bằng
cách kết nối đến máy chủ ở một quốc gia cụ thể, bạn có thể "đổi địa điểm"
trực tuyến và truy cập nội dung censored hoặc geo-blocked ở nơi bạn
muốn.
• Mạng VPN ổn định: Một mạng VPN phải ổn định và có băng thơng đủ
lớn để bạn có thể xem video và tải xuống nội dung mà khơng gặp khó
khăn.
• Tính tương thích với dịch vụ đang sử dụng: Đôi khi, dịch vụ nội dung
như Netflix, Hulu hoặc BBC iPlayer có thể phát hiện và chặn truy cập từ
các dịch vụ VPN cụ thể. Chọn một VPN nổi tiếng và có sự tương thích
tốt với các dịch vụ nội dung này có thể giúp bạn tránh được tình trạng
này.
• Mức độ bảo mật và ẩn danh: Nếu bạn muốn truy cập nội dung toàn cầu
mà không bị giới hạn, bạn cần đảm bảo VPN bạn chọn có các tính năng
bảo mật và ẩn danh tốt. Điều này giúp bạn duyệt web mà không bị theo
dõi và truy cập nội dung mà không bị hạn chế về địa điểm.
• Hỗ trợ đa thiết bị: Nếu bạn muốn truy cập nội dung toàn cầu trên nhiều
thiết bị, đảm bảo dịch vụ VPN hỗ trợ đa thiết bị và có ứng dụng hoặc cài
đặt cho các nền tảng bạn sử dụng.
• Tốc độ kết nối: Tốc độ kết nối của VPN cũng quan trọng, đặc biệt khi
bạn xem video trực tuyến hoặc tải nội dung lớn. Chọn một dịch vụ VPN
với tốc độ kết nối cao và máy chủ gần vị trí địa lý của bạn có thể giúp cải
thiện trải nghiệm trực tuyến.
Khả năng truy cập nội dung tồn cầu thơng qua VPN phụ thuộc vào nhiều yếu
tố, bao gồm dịch vụ VPN bạn chọn, địa điểm máy chủ, tính năng bảo mật và tốc độ
kết nối. Lựa chọn một dịch vụ VPN uy tín và có máy chủ ở nhiều quốc gia có thể
giúp bạn truy cập nội dung toàn cầu một cách hiệu quả.



2.5 Khả năng tương thích với các thiết bị
Khả năng tương thích của dịch vụ VPN với các thiết bị là một yếu tố quan
trọng khi bạn quyết định sử dụng VPN. Điều này đảm bảo rằng bạn có thể sử dụng
VPN trên các thiết bị khác nhau và duyệt web một cách an toàn và riêng tư trên tất
cả các nền tảng. Dưới đây là một số điểm quan trọng về khả năng tương thích thiết
bị trong VPN:
• Hệ điều hành: Đa số dịch vụ VPN hỗ trợ các hệ điều hành phổ biến như
Windows, macOS, iOS (iPhone/iPad), Android và Linux. Nếu bạn sử dụng
một trong các hệ điều hành này, bạn có thể dễ dàng tìm và cài đặt ứng dụng
VPN.
• Điều kiện đăng ký đa thiết bị: Một số dịch vụ VPN có giới hạn về số lượng
thiết bị bạn có thể kết nối đồng thời. Điều này cần xem xét nếu bạn muốn
sử dụng VPN trên nhiều thiết bị. Chọn một dịch vụ VPN có chính sách đăng
ký đa thiết bị hoặc gia đình có thể giúp bạn tiết kiệm.
• Tương thích với các ứng dụng và dịch vụ: Điều này đặc biệt quan trọng nếu
bạn muốn truy cập các dịch vụ nội dung như Netflix, Hulu hoặc BBC
iPlayer thông qua VPN. Một số dịch vụ VPN có tích hợp để tương thích với
các dịch vụ này.
• Cài đặt thủ cơng: Nếu dịch vụ VPN khơng có ứng dụng cho thiết bị cụ thể
của bạn, bạn có thể cài đặt VPN thủ cơng trên thiết bị bằng cách sử dụng
thơng tin cấu hình cung cấp bởi dịch vụ.
• Tương thích với các trình duyệt: Một số dịch vụ VPN cung cấp tiện ích mở
rộng hoặc add-on cho các trình duyệt web phổ biến như Google Chrome
hoặc Mozilla Firefox.
Khi chọn dịch vụ VPN, hãy kiểm tra chính sách tương thích với các thiết bị
và nền tảng bạn sử dụng để đảm bảo bạn có khả năng duyệt web riêng tư và an toàn
trên tất cả các thiết bị của mình.
2.6 Trải nghiệm người dùng

Trải nghiệm người dùng (user experience) trong VPN quan trọng để đảm bảo
rằng việc sử dụng dịch vụ VPN là dễ dàng và hiệu quả. Dưới đây là những yếu tố
quan trọng ảnh hưởng đến trải nghiệm người dùng khi sử dụng VPN:


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×