Tải bản đầy đủ (.docx) (18 trang)
  1. Trang chủ
    2. >>
  2. Giáo án - Bài giảng
    3. >>
  3. Cao đẳng - Đại học

Đề tài tìm hiểu VPN (Virtual Private Network)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (355.35 KB, 18 trang )

MÔN HỌC THỰC TẬP MẠNG MÁY TÍNH

ĐỀ TÀI TÌM HIỂU
VIRTUAL PRIVATE NETWORK

1

Nguồn ảnh: />

2


MỤC LỤC

Phần 2: NỘI DUNG ĐỀ TÀI
I.

VPN là gì?
VPN từ viết tắt của Virtual Private Network, dịch ra tiếng Việt là hệ thống
mạng cá nhân ảo hay hệ thống mạng riêng ảo.
Là một mạng riêng (private) sử dụng hệ thống mạng công cộng (public)
(thường là Internet) để kết nối các địa điểm hoặc người sử dụng từ xa với một
mạng LAN ở trụ sở trung tâm, thay vì dùng kết nối thật khá phức tạp như đường
dây thuê bao số, VPN tạo ra các liên kết ảo được truyền qua Internet giữa mạng
riêng của một tổ chức với địa điểm hoặc người sử dụng ở xa.
Nếu hệ thống mạng theo mô hình Private với mức chi phí khá cao và đường
truyền riêng biệt để thực hiện kết nối tới các node thì công nghệ VPN đã giúp
người sử dụng cắt giảm rất nhiều lượng chi phí ban đầu cũng như phát sinh so với
hệ thống Public và Private Network, đồng thời cho phép doanh nghiệp, tổ chức
sử dụng giao tiếp WAN để kết nối tới hệ thống public và private tương ứng.
Lý do tại sao lại gọi là hệ thống ảo – Virtual bởi vì mô hình này không yêu


cầu thiết bị vật lý để bảo mật dữ liệu truyền tải. Công nghệ VPN sử dụng nhiều
Hình 1. Mô hình VPN (Nguồn ảnh: )
chế độ mã hóa thông tin khác nhau nhằm chống lại việc xâm nhập trái phép từ
phía hacker, các chương trình có chứa mã độc hoặc những phương pháp tấn công
hệ thống phổ biến, cụ thể VPN sử dụng kỹ thuật tunneling để đảm bảo mức độ an
ninh của dữ liệu, dễ dàng tương thích với nhiều hệ thống kỹ thuật khác
Hiện nay, VPN đang dần trở nên phổ biến hơn vì người dùng thường làm
việc ở nhiều nơi khác nhau chứ không hoàn toàn cố định như trước.
Cơ chế hoạt động của VPN:
• Cách thức làm việc của VPN cũng khá đơn giản, không khác biệt
nhiều so với các mô hình server – client thông thường.
• Server sẽ chịu trách nhiệm chính trong việc lưu trữ và chia sẻ dữ liệu
sau khi mã hóa, giám sát và cung cấp hệ thống gateway để giao tiếp
và xác nhận các tài khoản client trong khâu kết nối.
• Client VPN, cũng tương tự như client của hệ thống LAN, sẽ tiến hành
gửi yêu cầu – request tới server để nhận thông tin về dữ liệu chia sẻ,

3


khởi tạo kết nối tới các client khác trong cùng hệ thống VPN và xử lý
quá trình bảo mật dữ liệu qua ứng dụng được cung cấp.
II.

III.

Chức năng
VPN cung cấp 3 chức năng chính đó là:
Tính xác thực
Để thiết lập một kết nối VPN thì trước hết cả 2 phía cần phải

xác thực lẫn nhau để đảm bảo rằng mình đang trao đổi thông tin
đúng với người mà mình mong muốn chứ không phải là bất kỳ ai
khác.
Tính toàn vẹn
Đảm bảo dữ liệu không có bất kỳ sự xáo trộn hay thay đổi
nào trong quá trình truyền dẫn.
Tính bảo mật
Phía gửi có thể tiến hành mã hóa thông tin của mình trước
khi
gửi vào đường truyền và sau đó sẽ được giải mã tại phía nhận.
Điều
này giúp đảm bảo thông tin không bị lộ, hoặc đánh cắp, và thậm
chí
nếu có bị đánh cắp thì cũng không thể nào đọc được vì không thể giải mã.
Phân loại VPN
Mạng riêng ảo VPN cung cấp nhiều khả năng ứng dụng khác nhau. Yêu cầu
cơ bản đối với VPN là phải điều khiển được quyền truy nhập của khách hàng, các
nhà cung cấp dịch vụ cũng như các đối tượng bên ngoài khác. Dựa vào hình thức
ứng dụng và những khả năng mà mạng riêng ảo mang lại, có thể phân chúng
thành hai loại như sau:
VPN truy nhập từ xa (Remote Access VPN).
VPN điểm tới điểm (Site-to-Site VPN).
Trong đó mạng VPN điểm tới điểm lại được chia thành hai loại là:
VPN cục bộ (Intranet VPN).
VPN mở rộng (Extranet VPN).
1. VPN truy nhập từ xa (Remote Access VPN)
Đúng như tên gọi thì loại này cung cấp khả năng truy cập từ xa cho người sử
dụng. Thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn
kết nối vào mạng công ty một cách an toàn, văn phòng nhỏ ở xa kết nối vào văn
phòng trung tâm của công ty thông qua gateway hoặc bộ tập trung VPN (bản chất

là server)  giải pháp client/server.
Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép
người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server.
VPN là giải pháp thiết kế mạng khá hay, hoạt động nhờ vào sự kết hợp với các
giao thức đóng gói, MPLS, SSL, TLS,…

4
Hình 2. Mô hình VPN truy nhập từ xa


VPN truy nhập từ xa là kiểu điển hình nhất bởi vì chúng có thể được thiết
lập vào bất cứ thời điểm nào và tại bất kỳ đâu miễn là có mạng internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử dụng thông
qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách mạng công ty vẫn
duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn cho những nhân viên
thường xuyên phải đi lại, những chi nhánh hay đối tác, khách hàng của công ty.
Những kiểu VPN này được thực hiện thông qua cơ sở hạ tầng công cộng
bằng cách sử dụng công nghệ ISDN (Integrated Services Digital Network-Mạng
số tích hợp đa dịch vụ), quay số, IP di động, DSL (Digital Subscriber Line) hay
công nghệ cáp và thường yêu cầu một vài kiểu phần mềm client chạy trên máy
tính của người sử dụng: SoftEther VPN client, Avaya VPN Client,…
Một hướng phát triển khá mới trong VPN truy nhập từ xa là dùng VPN
không dây (Wireless), trong đó một nhân viên có thể truy nhập về mạng của họ
thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải
kết nối về một trạm không dây (Wireless Terminal) và sau đó về mạng của công
ty.
Trong cả hai trường hợp (có dây và không dây), phần mềm client trên máy
PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là đường hầm.
Một vấn đề quan trọng là việc thiết kế quá trình xác thực ban đầu để đảm
bảo yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu

này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao
gồm một số qui trình kỹ thuật và các ứng dụng chủ, ví dụ như Remote
Authentication Dial-In User Service (RADIUS), Terminal Access Controller
Access Control System Plus (TACACS+),…

điểm Nhược Ưu điểm

Ưu điểm && nhược điểm
-

VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng
bởi vì quá trình kết nối từ xa được các ISP thực hiện;

-

Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các

-

VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS;

-

Khả năng mất dữ liệu là rất cao, thêm nữa là các phân đoạn của
gói dữ liệu có thể đi ra ngoài và bị thất thoát.

2. VPN điểm tới điểm (Site-to-Site VPN)
VPN điểm tới điểm (Site-to-Site hay LAN-to-LAN) là giải pháp kết nối các
hệ thống mạng ở những nơi khác nhau với mạng trung tâm thông qua VPN.
Trong tình huống này, quá trình xác thực ban đầu cho người sử dụng sẽ là quá


5


trình xác thực giữa các thiết bị. Các thiết bị này hoạt động như Cổng an ninh
(Security Gateway), truyền lưu lượng một cách an toàn từ Site này đến Site kia.
Các thiết bị định tuyến hay tường lửa với hỗ trợ VPN đều có khả năng thực hiện
kết nối này. Sự khác nhau giữa VPN truy nhập từ xa và VPN điểm tới điểm chỉ
mang tính tượng trưng. Nhiều thiết bị VPN mới có thể hoạt động theo cả hai cách
này.
VPN điểm tới điểm có thể được xem như một VPN cục bộ hoặc mở rộng xét
từ quan điểm quản lý chính sách. Nếu hạ tầng mạng có chung một nguồn quản lý,
nó có thể được xem như VPN cục bộ. Ngược lại, nó có thể được coi là mở rộng.
Vấn đề truy nhập giữa các điểm phải được kiểm soát chặt chẽ bởi các thiết bị
tương ứng.
a. VPN cục bộ
VPN cục bộ là một dạng cấu hình tiêu biểu của VPN điểm tới điểm,
được sử dụng để bảo mật các kết nối giữa các địa điểm khác nhau của một
công ty (hình 1.3). Nó liên kết trụ sở chính, các văn phòng, chi nhánh trên
một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật.
VPN cục bộ cung cấp những đặc tính của mạng WAN như khả năng
mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi
phí thấp nhưng vẫn đảm bảo tính mềm dẻo.

điểm Nhược Ưu điểm

Ưu điểm && nhược điểm
-

3. Mô

VPNdiện
cục rộng
bộ có thể được thiết lập
CácHình
mạng
cục hình
bộ hay
thông qua một hay nhiều nhà cung cấp dịch vụ;

-

Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối

-

Do dữ liệu được truyền “ngầm” qua mạng công cộng
như Internet nên vẫn còn những mối đe dọa về mức độ
bảo mật dữ liệu và chất lượng dịch vụ (QoS);

b. VPN mở rộng
VPN mở rộng được cấu hình như một VPN điểm tới điểm, cung cấp
đường hầm bảo mật giữa các khách hàng, nhà cung cấp và đối tác thông
qua một cơ sở hạ tầng mạng công cộng. Kiểu VPN này sử dụng các kết nối
luôn được bảo mật và nó không bị cô lập với thế giới bên ngoài như các
trường hợp VPN cục bộ hay truy nhập từ xa.
Giải pháp VPN mở rộng cung cấp khả năng điều khiển truy nhập tới
những nguồn tài nguyên mạng cần thiết để mở rộng tới những đối tượng
kinh doanh. Sự khác nhau giữa VPN cục bộ và VPN mở rộng là sự truy
nhập mạng được công nhận ở một trong hai đầu cuối của VPN.


6
Hình 4. Mô hình mạng mở rộng


IV.

7

điểm Nhược Ưu điểm

Ưu điểm && nhược điểm
-

Chi phí cho VPN mở rộng thấp hơn nhiều so với các giải
pháp kết nối khác để cùng đạt được một mục đích như
vậy;

-

Vấn đề bảo mật thông tin gặp khó khăn hơn trong môi
trường mở rộng như vậy, và điều này làm tăng nguy cơ
rủi ro đối với mạng cục bộ của công ty;

Các thành phần của VPN
1. VPN Tunneling
Đây chính là điểm khác biệt cơ bản nhất của VPN so với mạng LAN
thông thường. Các bạn có thể hình dung đây là 1 dạng đường hầm trong đám
mây Internet mà qua đó, các yêu cầu gửi và nhận dữ liệu hoạt động.
Khái niệm Tunnel giúp ta hiểu hơn về mô hình hoạt động của hệ thống
mạng VPN: khi người dùng khởi tạo kết nối hoặc gửi dữ liệu qua VPN, giao

thức Tunneling sẽ được sử dụng bởi mạng VPN (ví dụ như PPTP, L2TP,
IPSec... ) sẽ “gói” toàn bộ lượng thông tin này vào 1 package khác, sau đó mã
hóa chúng và tiến hành gửi qua tunnel. Ở những điểm cuối cùng của địa chỉ
nhận, các giao thức hoạt động tương ứng của tunneling sẽ giải mã những
package này, say đó lọc nội dung nguyên bản, kiểm tra nguồn gốc của gói tin
cũng như các thông tin, dữ liệu đã được phân loại khác.
Việc phân loại Tunneling dựa trên nguồn gốc bắt đầu các kết nối. Và qua
đó, có 2 loại chính, đó là Compulsory và Voluntary Tunneling.
• Compulsory Tunneling
o Thường được khởi tạo bởi Network Access Server mà
không yêu cầu thông tin từ phía người sử dụng, nghĩa là
được quản lý bởi các nhà cung cấp dịch vụ.
o Các client VPN không được phép truy xuất thông tin
trên server VPN, kể từ khi chúng không phải chịu trách
nhiệm chính trong việc kiểm soát các kết nối mới được
khởi tạo.
o Compulsory Tunneling sẽ hoạt động ngay lập tức giữa
server và client VPN, đảm nhận chức năng chính trong
việc xác nhận tính hợp pháp của tài khoản client với server
VPN.
• Voluntary Tunneling
o Được khởi tạo, giám sát và quản lý bởi người dùng. Mô
hình này yêu cầu người dùng trực tiếp khởi tạo kết nối với
đơn vị ISP bằng cách chạy ứng dụng client VPN.


o Chúng ta có thể sử dụng nhiều phần mềm client VPN khác
nhau để tạo các tunnel có tính bảo mật cao đối với từng
server VPN riêng.
o Khi chương trình client VPN định thiết lập kết nối, nó sẽ

tiến hành xác định server VPN hoặc do người dùng chỉ
định.
o Voluntary Tunneling không yêu cầu quá nhiều, ngoại trừ
việc cài đặt thêm giao thức tunneling trên hệ thống của
người dùng.
2. Protocol
Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng
nội bộ bằng cách kết hợp thêm với các kết nối thông qua các mạng chia sẻ
hoặc mạng công cộng như Internet.
Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling)
bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông
tin sẽ được giải mã tại đích đến bằng cách loại bỏ gói IP để lấy ra thông tin
ban đầu.
Kỹ thuật Tunneling yêu cầu 3 giao thức khác nhau:
• Giao thức truyền tải (Carrier Protocol) là giao thức được sử dụng
bởi mạng có thông tin đang đi qua.
• Giao thức mã hóa dữ liệu (Encapsulating Protocol) là giao thức
(GRE, IPSec, L2F, PPTP, L2TP) được bọc quanh gói dữ liệu gốc.
• Giao thức gói tin (Passenger Protocol) là giao thức của dữ liệu
gốc được truyền đi (IPX, NetBeui, IP).
Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường
được sử dụng trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm
riêng. Chúng ta sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng.
a. PPTP (Point-to-Point Tunneling Protocol)
PPTP (Point-to-Point Tunneling Protocol) được tập đoàn PPTP
Forum phát triển. Giao thức này hỗ trợ mã hóa 40 bit và 128 bit, dùng
bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.

Hình 5. Mô hình sử dụng PPTP


8


Là một trong số nhiều kỹ thuật được sử dụng để thiết lập đường
hầm cho những kết nối từ xa và được hỗ trợ rộng rãi nhất giữa các máy
trạm chạy Windows. PPTP thiết lập đường hầm (tunnel) nhưng không
mã hóa. PPTP không yêu cầu hạ tầng mã khóa công cộng (Public Key
Infrastructure).
Là sự mở rộng của giao thức Internet chuẩn Point-to-Point (PPP).
PPTP sử dụng PPP để thực hiện các chức năng:
• Thiết lập và kết thúc kết nối vật lý.
• Xác thực người dùng: sử dụng cùng kiểu xác thực như PPP
(PAP, SPAP, CHAP, MS-CHAP, EAP).
• Tạo các gói dữ liệu PPP: PPTP định nghĩa 2 loại là gói điều
khiển và gói dữ liệu, chúng được gán vào 2 kênh khác nhau.

1. Sơ
đồ đóng
gói PPTP
PPTP đóngHình
gói các
khung
dữ liệu
của giao thực PPP vào các IP
datagram để truyền qua mạng IP (Internet hoặc Intranet).
b. L2TP (Layer 2 Tunneling Protocol)
L2TP (Layer 2 Tunneling Protocol) là sản phẩm của sự hợp tác giữa
các thành viên PPTP Forum, Cisco và IETF, có thể được sử dụng làm giao
thức đường hầm cho mạng VPN (cả 2 loại).
Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và

router, NAS và router, router và router. So với PPTP thì L2TP có nhiều
đặc tính mạnh và an toàn hơn vì yêu cầu sử dụng chứng chỉ số (digital
certificates) và xác thực người dùng được thực hiện thông qua cùng cơ chế
xác thực PPP.

9
Hình 7. Mô hình sử dụng L2TP (Nguồn: )


Giao thức Layer 2 Tunneling Protocol (L2TP) kết hợp các đặc điểm
của cả PPTP và giao thức Layer 2 Forwarding (L2F). Một trong các ưu
việt của L2TP so với PPTP là có có thể sử dụng trên các mạng ATM,
frame relay và X.25. Giống như PPTP, L2TP hoạt động tại lớp liên kết dữ
liệu (Data Link Layer) của mô hình mạng OSI.
L2TP có một vài ưu điểm:
• Khả năng bảo mật dữ liệu: với các cơ chế xác thực, chứng chỉ
số, đường hầm,…
• Toàn vẹn dữ liệu: bảo vệ chống lại việc sửa đổi dữ liệu trong
khoảng thời gian nó di chuyển từ người gửi đến người nhận.
• Khả năng xác thực nguồn gốc: xác định người dùng đã gửi dữ
liệu có thực sự đúng người.
• Khả năng bảo vệ chống gửi lại – replay protection (chống lại
việc hacker chặn dữ liệu đã được gửi, ví dụ: thông tin quyền
đăng nhập (credentials), rồi sau đó gửi lại (replay) chính thông
tin đó để bẫy máy chủ.
c. IPSec (Internet Protocol Security)
IPsec được tích hợp trong rất nhiều giải pháp VPN "tiêu chuẩn", đặc
biệt trong các giải pháp VPN gateway-to-gateway (site-to-site) để nối 2
mạng LAN với nhau. IPsec hoạt động tại network layer (Layer 3) trong mô
hình OSI.

IPSec có hai cơ chế mã hóa là Tunnel và Transport. Tunnel mã hóa
tiêu đề (header) và kích thước của mỗi gói tin còn Transport chỉ mã hóa
kích thước. Chỉ những hệ thống nào hỗ trợ IPSec mới có thể tận dụng
được giao thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã khóa
chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật
giống nhau.
IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa hai
gateway hoặc giữa máy tính trạm và gateway. Như tên của nó, IPsec chỉ
Hình 8. Mô hình VPN sử dụng IPSec (Nguồn: )
hoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based
network). Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạm
VPN phải được cài đặt sẵn phần mềm VPN client.
Việc xác thực được thực hiện thông qua giao thức Internet Key
Exchange (IKE) hoặc với chứng chỉ số (digital certificates) đây là phương
thức bảo mật hơn hoặc thông qua khóa mã chia sẻ (preshared key). IPSec

10


VPN có thể bảo vệ chống lại hầu hết các phương pháp tấn công thông
dụng bao gồm Denial of Service (DoS), replay, và "man-in-the-middle".
Rất nhiều nhà cung cấp đã tích hợp đặc tính "quản lý máy khách"
trong các phần mềm máy khách VPN của họ, cho phép thiết lập các chính
sách truy cập liên quan ví dụ như yêu cầu máy khách phải được cài đặt
phần mềm chống virus hoặc cài đặt phần mềm tường lửa cá nhân như là
điều kiện để cho phép truy cập vào VPN gateway.
d. SSL/TLS (Secure Sockets Layer/Transport Layer Security)
Một công nghệ VPN đang phát triển nhanh chóng và trở nên phổ biến
là Secure Sockets Layer (SSL) VPN. SSL VPN còn được gọi là giải pháp
"clientless". Điều này cũng có nghĩa là các giao thức có thể được xử lý bởi

SSL VPN sẽ bị hạn chế nhiều hơn  mang lại một lợi thế về bảo mật.
Với SSL VPN, thay vì cho phép VPN client truy xuất vào toàn bộ
mạng hoặc một mạng con (subnet) như với IPsec, có thể hạn chế chỉ cho
phép truy xuất tới một số ứng dụng cụ thể. Nếu một ứng dụng mà bạn
muốn họ truy cập không phải là là loại ứng dụng dựa trên trình duyệt
(browser-based), thì cần phải tạo ra một plug-ins Java hoặc Active-X để
làm cho ứng dụng đó có thể truy xuất được qua trình duyệt.
SSL VPN hoạt động ở tầng phiên (Session Layer) – cao hơn IPsec
trong mô hình OSI. Điều này cho nó khả năng điều khiển truy cập theo
khối tốt hơn. SSL VPN sử dụng chứng chỉ số (digital certificates) để xác
thực server. Mặc dù các phương pháp khác cũng có thể áp dụng, nhưng sử
dụng chứng chỉ số được ưa chuộng vì khả năng bảo mật cao nhất.
Dù cho không cần phần mềm VPN client trên máy khách (ngoại trừ
trình duyệt Web), SSL VPN gateways vẫn có thể cung cấp các tiện ích
"quản lý máy khách " bằng cách buộc trình duyệt phải chạy các applets, ví
Hình 9. Mô hình VPN sử dụng SSL/TSL (Nguồn: )
dụ để kiểm tra xem đã có phần mềm anti-virus hoạt động hay chưa trước
khi kết nối VPN được thiết lập.
3. Mã hóa
Hệ thống mã hoá (Crysystem): là một hệ thống để thực hiện mã hoá hay
giải mã, xác thực người dùng, băm (hashing), và các quá trình trao đổi khoá,
một hệ thống mã hoá có thể sử dụng một hay nhiều phương thức khác nhau
tuỳ thuộc vào yêu cầu cho một vài loại traffic người dùng cụ thể.

11
Hình 10. Minh họa quá trình mã hóa (Nguồn: )


Mật mã truy cập là khi một máy tính mã hóa dữ liệu và gửi nó tới một
máy tính khác thì chỉ có máy đó mới giải mã được. Có hai loại là mật mã

riêng và mật mã chung.


Mật mã riêng (Symmetric-Key Encryption): Mỗi máy tính đều có
một mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác
trong mạng. Mã riêng yêu cầu bạn phải biết mình đang liên hệ với
những máy tính nào để có thể cài mã lên đó, để máy tính của
người nhận có thể giải mã được.



Mật mã chung (Public-Key Encryption): kết hợp mã riêng và một
mã công cộng. Mã riêng này chỉ có máy của bạn nhận biết, còn
mã chung thì do máy của bạn cấp cho bất kỳ máy nào muốn liên
hệ (một cách an toàn) với nó. Để giải mã một message, máy tính
phải dùng mã chung được máy tính nguồn cung cấp, đồng thời
cần đến mã riêng của nó nữa. Có một ứng dụng loại này được
dùng rất phổ biến là Pretty Good Privacy (PGP), cho phép bạn mã
hóa hầu như bất cứ thứ gì.

Các thuật toán thường được sử dụng trong mã hóa: DES (Data
Encryption Security), 3DES (Triple Data Encryption Security), SHA (Secure
Hash Algorithm)…
4. Firewall
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet.
Kết hợp với IDS nhằm phát hiện hiện tượng bất thường, các hoạt động
trái xâm nhập phép vào hệ thống, đồng thời chống sự xâm nhập mạng bất hợp
pháp ngay từ bên ngoài mạng.
Có thể xem Firewall là một người bảo vệ có nhiệm vụ kiểm tra "giấy
thông hành" của bất cứ gói dữ liệu nào đi vào máy tính hay đi ra khỏi máy

tính của người sử dụng, chỉ cho phép những gói dữ liệu hợp lệ đi qua và loại
bỏ tất cả các gói dữ liệu không hợp lệ.
Firewall sẽ đảm bảo tất cả các dữ liệu đi vào là hợp lệ, ngăn ngừa những
người sử dụng bên ngoài đoạt quyền kiểm soát đối với máy tính.
Chức năng kiểm soát các dữ liệu đi ra của Firewall cũng rất quan trọng
vì sẽ ngăn ngừa những kẻ xâm nhập trái phép "cấy" những virus có hại vào
máy tính của để phát động các cuộc tấn công cửa sau tới những máy tính khác
trên mạng Internet.

12

Hình 11. VPN server đứng sau firewall (Nguồn: )
Hình 12. VPN server đứng trước firewall (Nguồn: )


Firewall ở mức packet kiểm tra thông tin nguồn và đích, firewall ở mức
application đóng vai trò một host giữa mạng của tổ chức và Internet.
Sức mạnh của Firewall nằm trong khả năng lọc lưu lượng dựa trên một
tập hợp các quy tắc bảo vệ, còn gọi là quy tắc bảo vệ do các nhà quản trị đưa
vào. Đây cũng có thể là nhược điểm lớn nhất của Firewall, bộ quy tắc xấu
hoặc không đầy đủ có thể mở lối cho kẻ tấn công, và mạng có thể không được
an toàn.
5. OpenVPN
OpenVPN là một phần mềm ứng dụng mã nguồn mở VPN hoàn toàn
miễn phí, thực hiện các kỹ thuật mạng riêng ảo (VPN) để tạo các kết nối an
toàn point-to-point, site-to-site hay truy cập từ xa. OpenVpn sử dụng giao thức
bảo mật SSL/TSL để trao đổi khóa, khả năng vượt qua NAT và tường lửa. Và
hiện đây được xem là giải pháp hoàn hảo nhất cho những ai muốn có một kết
nối bảo mật giữa hai mạng. Phần mềm này do James Yonan viết và được phổ
biến dưới giấy phép GNU GPL.

Open VPN cho phép các máy ngang hàng xác thực lẫn nhau bằng một
khóa bí mật được chia sẻ từ trước (pre-shared secret key), bằng chứng chỉ mã
công khai (public key certificate) hay tên người dùng/mật khẩu
(username/password),…được cung cấp kèm theo các hệ điều hành: Solaris,
Linux, OpenBSD, FreeBSD, NetBSD, Mac OS X, và Windows 2000/XP…
Chúng ta có thể hình dung router của mình là chiếc cầu nối để các mạng
kết nối vào. Máy tính của bạn và máy chủ OpenVPN (trong trường hợp này
chính là router) sẽ “bắt tay” với nhau bằng cách sử dụng chứng chỉ xác nhận
lẫn nhau. Sau khi xác nhận, cả máy khách và máy chủ sẽ đồng ý “tin tưởng”
nhau và cho phép truy cập vào mạng của server.
Hình 13. Minh họa mô hình sử dụng OpenVPN (Nguồn: )
OpenVPN sử dụng thiết bị Tun/Tap (hầu như có sẵn trên các bản Linux)
và openssl để xác nhận (authenticate), mã hóa (khi gởi) và giải mã (khi nhận)
đường truyền giữa hai bên thành chung một network.
Đặc điểm của OpenVPN:

13



Hỗ trợ VPN lớp 2 và lớp 3 : Vì vậy, các đường hầm OpenVPN trên
lớp 2 cũng có thể chuyển khung Ethernet, các gói dữ liệu IPX, và
Windows Network Browsing packets (NETBIOS), tất cả đều là
những vấn đề gặp phải trong hầu hết các giải phápVPN khác.



Bảo vệ người làm việc bên ngoài bằng bức tường lửa nội bộ.



14



Các kết nối OpenVPN có thể đi qua được hầu hết mọi tường lửa và
proxy: Khi truy cập các trang web HTTPS, thì đường hầm OpenVPN
làm việc. Việc thiết lập đường hầm OpenVPN bị cấm là rất hiếm.
OpenVPN có hỗ trợ ủy quyền đầy đủ bao gồm xác thực.



Hỗ trợ UDP và TCP: OpenVPN có thể được cấu hình để chạy dịch vụ
TCP hoặc UDP trên máy chủ hoặc khách hàng. Là một máy chủ,
OpenVPN chỉ đơn giản là chờ đợi cho đến khi một khách hàng yêu
cầu một kết nối, kết nối này được thiết lập theo cấu hình của khách
hàng.



Chỉ cần một cổng trong tường lửa được mở là cho phép nhiều kết nối
vào: Kể từ phần mềm OpenVPN 2.0, máy chủ đặc biệt này cho phép
nhiều kết nối vào trên cùng một cổng TCP hoặc UDP, đồng thời vẫn
sử dụng các cấu hình khác nhau cho mỗi một kết nối



Không có vấn đề gì với NAT: Cả máy chủ và máy khách OpenVPN
có thể nằm trong cùng một mạng và sử dụng các địa chỉ IP riêng .
Mỗi tường lửa có thể được dùng để gửi lưu lượng tới điểm cuối
đường hầm.




Giao diện ảo chấp nhận các quy tắc về tường lửa: Tất cả các qui tắc,
các cơ chế chuyển tiếp, và NAT có thể dùng chung đường hầm
OpenVPN. Nhưng giao thức IP cũng có thể , bạn có thể tạo đường
hầm VPN khác như IPsec bên trong đường hầm OpenVPN .



Độ linh hoạt cao với khả năng mở rộng kịch bản: OpenVPN cung cấp
nhiều điểm trong quá trình thiết lập kết nối để bắt đầu các kịch bản
riêng, những kịch bản có thể được sử dụng cho một loạt các mục đích
từ xác thực chuyển đổi dự phòng và nhiều hơn nữa.



Hỗ trợ khả năng hoạt động cao, trong suốt cho IP động: Hai đầu
đường hầm có thể sử dụng IP động và ít bị thay đổi. Nếu bị đổi IP,
các phiên làm việc của Windows Terminal Server và Secure Shell
(SSH) có thể chỉ bị ngưng trong vài giây và sẽ tiếp tục hoạt động bình
thường.



Hỗ trợ cho điện thoại di động và nhúng: Ngày càng có nhiều thiết bị
di động được hỗ trợ.




Cài đặt đơn giản trên bất kỳ hệ thống nào: Đơn giản hơn nhiều so với
IPsec. Thiết kế kiểu Môđun, chạy được trên cả client và server.


6. Một số thành phần khác
a. Máy chủ AAA
AAA (Authentication, Authorization và Accouting): là các dịch vụ
bảo mật mạng được đặt trên Router hay các Server truy cập. Khi yêu cầu
thiết lập một kết nối được gửi tới từ máy khách, nó sẽ phải qua máy chủ
AAA để kiểm tra.
AAA được sử dụng để đảm bảo truy cập mạng an toàn hơn với hai
sự lựa chọn chính là TACACS+ và RADIUS


TACACS+ (Terminal Access Controller Access Control
System Plus): Là một ứng dụng bảo mật mà cung cấp sự xác
thực tập trung của các người dùng cố gắng truy nhập tới
Router hay mạng truy cập Server.



RADIUS (Remote Authentication Dial-In User Service): Là
một hệ thống phân tán client/server mà bảo mật các truy cập
không được phép tới mạng.

b. Bộ xử lý trung tâm VPN

Có nhiều loại máy xử lý VPN của các hãng khác nhau, nhưng sản
phẩm của Cisco tỏ ra vượt trội ở một số tính năng. Tích hợp các kỹ thuật
mã hóa và thẩm định quyền truy cập cao cấp nhất hiện nay, máy xử lý

VPN được thiết kế chuyên biệt cho loại mạng này.
Chứa các module xử lý mã hóa SEP, cho phép người sử dụng dễ
dàng tăng dung
Hình 14. Bộ xử lý trung tâm VPN số hiệu 3000 của hãng Cisco.
lượng và số
lượng gói tin
truyền tải.
Dòng sản phẩm có các model thích hợp cho các mô hình doanh
nghiệp từ nhỏ đến lớn (từ 100 cho đến 10.000 điểm kết nối từ xa truy cập
cùng lúc).
c. Router dùng cho VPN

Thiết bị này cung cấp các tính năng truyền dẫn, bảo mật. Dựa trên hệ
điều hành Internet IOS của mình, hãng Cisco phát triển loại router thích
hợp cho mọi trường hợp, từ truy cập nhà-tới-văn phòng cho đến nhu cầu
của các doanh nghiệp quy mô lớn.

15

Hình 15. Router Linksys RV042 dùng trong VPN


d. Tường lửa PIX của Cisco

Firewall trao đổi Internet riêng (Private Internet Exchange) bao gồm
một cơ chế dịch địa chỉ mạng rất mạnh, máy chủ proxy, bộ lọc gói tin, các
tính năng VPN và chặn truy cập bất hợp pháp.
Thay vì dùng IOS, thiết bị này có hệ điều hành với khả năng tổ chức
cao, xoay sở được với nhiều giao thức, hoạt động rất mạnh bằng cách tập
trung vào IP.

V.

16

Ưu, nhược điểm của VPN
Mạng riêng ảo (VPN) thực sự mang lại hiểu quả khi giúp đơn giản hóa việc
trao đổi thông tin giữa các nhân viên, người dùng làm việc ở xa, lưu động; kết nối
các chi nhánh, văn phòng của công ty hay giữa công ty với khách hàng và các đối
tác. Những ưu điểm nổi bật của hệ thống VPN:
• Tiết kiệm chi phí: VPN có thể giảm chi phí khi truyền tới 20-40% so
với những mạng thuộc mạng leased-line và giảm việc chi phí truy cập
từ xa từ 60-80% (kể cả việc lắp đặt, bảo trì,…), giúp giảm chi phí cho
việc lắp đặt, bảo trì hệ thống hay thuê đường dây cho mạng WAN
riêng.
• Tính linh hoạt: không chỉ thể hiện trong quá trình vận hành, khai thác
mà còn thực sự mềm dẻo đối với nhu cầu sử dụng.
• Khả năng mở rộng (Scalability): do VPN được xây dựng dựa trên hệ
thống mạng công cộng nên bất cứ nơi nào có mạng internet đều có thể
triển khai cài đặt, vận hành VPN. Ngoài ra còn có thể dễ dàng nâng
cấp dịch vụ (băng thông lớn hơn) hoặc dễ dàng gỡ bỏ khi không có
nhu cầu sử dụng.
• Tăng tính bảo mật: các dữ liệu sẽ được phân quyền truy cập cho
người dùng, nghĩa là dữ liệu chỉ khả dụng đới với những người nào
được cấp quyền truy cập .
• Bảo mật địa chỉ IP: Bởi vì thông tin được gửi đi trên VPN đã được
mã hoá do đó các địa chỉ bên trong mạng riêng được che giấu và chỉ
sử dụng các địa chỉ bên ngoài Internet.
• Internet được dùng làm backbone: đây được xem là đặc điểm sống
còn, quyết định sự tồn tại của VPN, bởi nếu thiếu yếu tố Internet thì sẽ
không thể có VPN.

• Cấu trúc mạng ống (VPN tunnel): giúp gửi và nhận dữ liệu thông
qua mạng công cộng mà vẫn bảo đảm tính an tòan và bảo mật VPN
cung cấp các cơ chế mã hóa dữ liệu trên đường truyền, dữ liệu được
mã hóa hay che giấu đi chỉ cung cấp phần đầu gói dữ liệu (header) là
thông tin về đường đi cho phép nó có thể đi đến đích thông qua mạng


VI.

17

công cộng một cách nhanh chóng. Dữ lịêu được mã hóa một cách cẩn
thận do đó nếu các packet bị bắt lại trên đường truyền công cộng cũng
không thể đọc được nội dung vì không có khóa để giải mã.
Nhưng bên cạnh đó, có nhược điểm rất dễ nhận thấy như:
• VPN không có khả năng quản lý Quality of Service (QoS) (thông số
độ trễ và thông lượng) qua môi trường Internet, do vậy các gói dữ liệu
- Data package vẫn có nguy cơ bị thất lạc, rủi ro. Khả năng quản lý
của các đơn vị cung cấp VPN là có hạn, không ai có thể ngờ trước
được những gì có thể xảy ra với khách hàng của họ. Vì thế nhà cung
cấp dịch vụ (ISP) không thể cung cấp chất lượng 100% như cam kết
mà chỉ có thể cố hết sức.
• Phụ thuộc nhiều vào chất lượng mạng internet: sự quá tải hay nghẽn
mạng có thể gây ảnh hướng xấu đến chất lượng truyền tin cũng như
hiệu suất của toàn bộ hệ thống.
• Vấn đề bảo mật: mặt dù thường xuyên được nâng cấp, cải tiến, hỗ trợ,
…nhưng bảo mật vẫn là một vấn đề khá lớn đối với VPN bởi VPN
đưa các thông tin có tính riêng tư và quan trọng qua một mạng chung
có độ bảo mật kém và dễ bị tấn công, rò rỉ thông tin. Lý do tấn công
có thể là: sự cạnh tranh giữa các công ty, sự trả thù,…

Ứng dụng của VPN
Các mô hình doanh nghiệp có quy mô lớn như: trường học, bệnh viện... đều
ứng dụng VPN trong hệ thống của họ. Một hệ thống VPN có thể kết nối được
nhiều site khác nhau, dựa trên khu vực, diện tích địa lý... tượng tự như
chuẩn Wide Area Network (WAN).
Bên cạnh đó, VPN còn được dùng để "khuếch tán", mở rộng các mô hình
Intranet nhằm truyền tải thông tin, dữ liệu tốt hơn. Ví dụ, các trường học vẫn phải
dùng VPN để nối giữa các khuôn viên của trường (hoặc giữa các chi nhánh với
trụ sở chính) lại với nhau.
Ngoài ra, VPN còn được ứng dụng trong các lĩnh vực: Thư tín điện tử, phần
mềm quản lý, kế toán, chia sẻ tài nguyên sử dụng trong mạng nội bộ,…
Một số chương trình VPN miễn phí thông dụng hiện nay:
• ProXPN: hỗ trợ cho Windows, Mac, iPhone,…chỉ cần tải về là có thể
sử dụng.
• Gpass: cung cấp song song cả dịch vụ VPN và Web Proxy cho phép
bạn sử dụng trực tiếp ngay trong trình duyệt. GPass chỉ tương thích
với Windows và được bảo mật tốt.
• CyberGhost: cung cấp miễn phí cho người dùng 1GB băng thông mã
hóa hàng tháng. CyberGhost cũng chỉ tương thích với Windows.
• AnchorFree Hotspot Shield: hỗ trợ cho Windows, Mac và iPhone.
Hotspot Shield giới hạn băng thông dịch vụ của mình. Dịch vụ này lại


VII.
[1]
[2]
[3]
[4]
[5]


18

đặt quảng cáo trên các trang web của người sử dụng và có thể dễ
dàng loại bỏ nếu dùng Firefox và NoScript addon.
• SecurityKiss: chỉ tương thích với Windows, gói miễn phí cung cấp
cho người dùng 300MB băng thông/ ngày và không bị giới hạn tốc
độ.
• Best Free VPN Service: hỗ trợ tất cả các HĐH thông dụng như
Windows, Mac, Linux và các hệ điều hành trên điện thoại. Để tạo
công bằng cho thành viên, Best Free VPN tự động đổi mật khẩu mỗi
12 tiếng. Tốc độ thấp (tốc độ tải xuống 512Kbit/s và tải lên
256Kbit/s), không hỗ trợ BitTorrent hay P2P.
Tài liệu tham khảo
Slide hướng dẫn môn học Chuyên đề Hệ điều hành Linux và Thực tập Hệ điều
hành mạng của Khoa Công nghệ thông tin – ĐH KHTN TP.HCM.
Tài liệu tham khảo tại
Tài liệu tham khảo tại />Tài liệu tham khảo tại />Và một số tài liệu online, sách báo tham khảo khác.



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×