Bạn cần điều gì để biết về công nghệ VPN
Bạn cần điều gì để biết về công nghệ VPN
Chúng làm việc như thế nào, chúng có thể làm gì cho bạn và các vấn đề cần chú ý
Virtual Private Network (VPN) - Mạng riêng ảo đã mở rộng phạm vi của các
mạng LAN (Local Area Networks) mà không cần bất kì đường dây riêng nào. Các hãng
thương mại có thể dùng VPNs để cung cấp quyền truy cập mạng cho người dùng di
động và từ xa, kết nối các chi nhánh phân tán về mặt địa lí thành một mạng duy nhất và
cho phép sử dụng từ xa các trình ứng dụng dựa trên các dịch vụ trong công ty.
VPNs có thể sử dụng một hoặc cả hai kỹ thuật: dùng các kênh thuê bao riêng của
các nhà cung cấp dịch vụ (cái này gọi là một Trusted VPN) hoặc gửi các dữ liệu đã
được mã hóa lên mạng Internet (cái này gọi là Secure VPN). Dùng một Secure VPN qua
một Trusted VPN thì gọi là Hybrid VPN. Kết hợp cả hai loại của Secure VPN trong một
cổng vào, chẳng hạn như IPsec và SSL cũng gọi là Hybrid VPN.
Giáo trình mạng 1/16
Bạn cần điều gì để biết về công nghệ VPN
Trusted VPN
Qua nhiều năm, các Trusted VPN đã có sự thay đổi từ các thuê bao riêng từ các
đại lý viễn thông đến các thuê bao IP riêng từ các nhà cung cấp dịch vụ Internet. Công
nghệ chủ yếu của sự vận hành của Trusted VPN với mạng địa chỉ IP là các kênh ATM,
mạch tiếp sóng khung, và MPLS.
ATM và bộ tiếp sóng khung hoạt động tại tầng liên kết dữ liệu, là tầng 2 trong
mô hình OSI (tầng 1 là tầng vật lý, tầng 3 là tầng mạng). MPLS mô phỏng một số thuộc
tính của mạng chuyển mạch và mạng chuyển gói. Nó hoạt động cùng một tầng, thường
được coi là tầng “2,5” vì nó nằm ngay giữa tầng liên kết và tầng mạng. MPLS bắt đầu
thay thế ATM và bộ tiếp sóng khung để thực thi Trusted VPN với lượng lớn các doanh
nghiệp và nhà cung cấp dịch vụ.
Secure VPN
Secure VPN có thể dùng IPsec trong việc mã hoá. IPsec nằm trong giao thức
L2TP (Layer 2 Tunneling Protocol), trong thành phần SSL (Secure Sockets Layer) 3.0
hay trong TLS (Transport Layer Security) với bộ mã hoá, L2F (Layer Two Forwarding)
hay PPTP (Point-to-Point Tunneling Protocol). Chúng ta hãy xem qua các thành phần

chính này.
IPsec hay IP security – là tiêu chuẩn cho sự mã hoá cũng như cho thẩm định các
gói IP tại tầng mạng. IPsec có một tập hợp các giao thức mật mã với 2 mục đích: an
ninh gói mạng và thay đổi các khoá mật mã. Mộ số chuyên gia an ninh như Bruce
Schneier của Counterpane Internet Security, đã xem IPsec như là một giao thức cho
VPNs từ cuối những năm 1990. IPsec được hỗ trợ trong Windows XP, 2000, 2003 và
Vista; trong Linux 2.6 và các phiên bản sau; trong Mac OS X, Net BDS, FreeBDS và
OpenBDS, trong Solari, AIX, và HP-UX, trong VxWorks. Nhiều đã cung cấp dịch vụ
IPsec VPN server và IPsec VPN client.
Microsoft đã triển khai PPTP client trong tất cả các phiên bản của Windows kể
từ Windows 95 OSR2 và PPTP server trong tất cả các sản phẩm máy chủ từ Windows
NT 4.0. PPTP client cũng nằm trong Linux, Mac OS X, các thiết bị Palm PDA và các
thiết bị Windows Mobile 2003.
Giáo trình mạng 2/16
Bạn cần điều gì để biết về công nghệ VPN
PPTP rất phổ biến, nhất là trên các hệ thống của Windows. Bởi vì nó có thể dùng
rộng rãi, miễn phí và dễ cài đặt. Tuy nhiên khi được triển khai bởi Microsoft, nó không
phải là thành phần an toàn nhất của Secure VPN.
Schneier với “Mudge” của L0pht Heavy Industries đã tìm thấy và công bố các
thiếu sót trong Microsoft PPTP vào năm 1998. Microsoft đã nhanh chóng sửa chữa các
vấn đề này với MS-CHAPv2 và MPPE. Sau đó Scheier với Mudge đã công bố một bản
phân tích kiểm chứng các cải tiến vào năm 1999, nhưng chỉ ra rằng an toàn của
Microsoft PPTP vẫn phụ thuộc vào an toàn mật khẩu mỗi người dùng. Microsoft đã địa
chỉ hoá nguồn cung cấp này bằng cách ép quy ước độ mạnh của mật khẩu vào trong hệ
điều hành. Nhưng Shneier và Mudge vẫn cho rằng nên để IPsec là kẻ thừa kế Secure
VPN hơn là PPTP.
L2F là giao thức được phát triển muộn hơn bởi hãng Cissco. L2TP là sự kết hợp
ý tưởng của L2F và PPTP để tạo ra một giao thức tầng liên kết dữ liệu. Giao thức này
cung cấp một tunnel (đường dẫn ảo), nhưng không an toàn và có sự kiểm định. L2TP có
thể mang các session PPP trong tunnel. Cissco đã triển khai L2TP trong các router của

nó. Có một vài bổ sung mã nguồn mở của L2TP trong Linux.
L2TP/IPsec kết hợp đường dẫn ảo của L2TP với kênh an toàn của IPsec. Nó cho
phép thay đổi Internet Key Exchange dễ dàng hơn so với thuần IPsec . Microsoft đã
cung cấp một bản VPN client L2TP/IPsec miễn phí cho Windows 98, ME, và NT từ
năm 2002, và gắn một VPN client L2TP/IPsec cho Windows XP, 2000, 2003 và Vista.
Windows server 2003 và Windows 2000 server có L2TP/IPsec server.
SSL và TLS là các giao thức cho luồng dữ liệu an toàn tại tầng 4 của mô hình
OSI.. SSL 3.0 và TLS 1.0 là các bản thừa kế được dùng phổ biến với HTTP nhằm cho
phép bảo vệ các đường dẫn Web an toàn, gọi là HTTPS. Tuy nhiên SSL/TLS cũng
được dùng để tạo ra một đường dẫn ảo tunnel VPN. Ví dụ: OpenVPN là một gói VPN
nguồn mở cho Linux, xBSD, Mac OS X, Pocket PCs và Windows 2000, XP, 2003, và
Vista. Nó dùng SSL để cung cấp mã hoá cho cả dữ liệu và kênh điều khiển. Một vài
hãng đã cung cấp SSL VPN server và client.

Giáo trình mạng 3/16
Bạn cần điều gì để biết về công nghệ VPN
Lợi nhuận và sự rủi ro an ninh của VPNs
Một mạng riêng ảo có thể xoá bỏ các hàng rào địa lí trong kinh doanh, cho phép
các nhân viên làm việc một cách hiệu quả tại nhà và cho phép một doanh nghiệp kết nối
một cách an toàn tới các đại lý của họ cùng các hãng hợp tác. Một mạng riêng ảo
thường rẻ hơn và có hiệu quả hơn các đường riêng ảo.
Nhưng mặt khác, cách dùng của một VPN có thể phô bày các rủi ro an ninh tiềm
ẩn. Trong khi hầu hết các mạng riêng ảo đang được dùng khá an toàn thì một mạng
riêng ảo cũng có thể làm cho chính nó khó phá hoại hơn bằng cách bảo vệ tham số của
mạng một cách thích hợp. Phận sự của người quản trị mạng là áp dụng các tiêu chuẩn
an ninh giống nhau trong việc kết nối các máy tính tới mạng thông qua VPN khi các
máy tính kết nối trực tiếp vào mạng LAN.
Kết hợp đồng thời cách dùng của cả hai kiểu VPNs có thể thấy được tiềm năng
mạng của công ty này với công ty khác. Thêm vào đó, sử dụng phần mềm điều khiển từ
xa như PC Anywhere, GoToMyPC hay VNC kết hợp với một VPN có thể khai thác

được khả năng mạng của công ty tới các malware trong một máy trạm xa không kết nối
VPN.
Sự tin cậy, sự co giãn và sự thực thi của VPNs
Bởi Secure VPN sử dụng mã hoá, và vì một số hàm mật mã được dùng khá là
đắt tiền nên một VPN được dùng khá nặng có thể tải xuống server của nó. Đặc thù của
người quản trị là quản lí việc tải server bằng cách giới hạn số kết nối đồng thời để biết
server nào có thể điều khiển.
Khi số người cố gắng kết nối tới VPN đột nhiên tăng vọt đến đỉnh điểm, phá vỡ
hết quá trình truyền tin, các nhân viên cũng thấy chính họ không thể kết nối được.Vì tất
cả các cổng của VPN đều bận. Điểu đó chính là động cơ thúc đẩy người quản trị tạo ra
các khoá ứng dụng làm việc mà không đòi hỏi VPN. Chẳng hạn thiết lập dịch vụ proxy
hoặc dịch vụ Internet Message Access Protocol để cho phép nhân viên truy cập e-mail
từ nhà hay trên đường.
Quyết định giữa IPsec hay SSL/TLS để có viễn cảnh như thế nào có thể rất rắc
rối. Một điều cần cân nhắc là SSL/TLS có thể làm việc thông qua một tường lửa dựa
Giáo trình mạng 4/16
Bạn cần điều gì để biết về công nghệ VPN
trên NAT. IPsec thì không. Nhưng cả hai giao thức làm việc qua tường lửa thì sẽ không
dịch được địa chỉ.
IPsec mã hoá tất cả các lưu lượng IP truyền tải giữa hai máy tính. SSL/TLS thì
đặc tả một ứng dụng. SSL/TLS dùng các hàm mã hoá không đối xứng để thiết lập kết
nối. Nó bảo vệ hiệu quả hơn là dùng các hàm mã hoá đối xứng.
Trong các ứng dụng từ xa ở thế giới thực, người quản trị có thể quyết định kết
hợp và ghép các giao thức để tạo ra sự cân bằng tốt nhất cho sự thực thi và độ an toàn.
Ví dụ, các client có thể kết nối tới một Web-based thông qua tương lửa dùng đường dẫn
an toàn của SSL/TLS. Web server có thể kết nối tới một dịch vụ ứng dụng dùng IPsec,
và dịch vụ ứng dụng có thể kết nối tới một cơ sở dữ liệu ngang qua các tường lửa khác
cũng dùng SSL.
Sự co giãn của VPNs đôi khi có thể được chứng minh bởi cách dùng dành cho
các dịch vụ phần cứng. Tuy nhiên để làm được điều đó chúng ta phải vượt qua được

các mục đích cạnh tranh của các hãng VPN. Có lẽ đó sẽ là chủ đề cho một ngày khác.
Nguồn VPN
Mạng riêng ảo duy trì một danh sách thành viên của nó, một bảng các thành
phần của IPsec, và một bảng các thành phần của SSL VPN với sự đóng góp của mỗi
hãng kinh doanh. VPNC cũng cung cấp các CA với các chứng chỉ cơ bản , miễn phí,
nguồn mở thẩm định qua gói cho người quản trị.

Giáo trình mạng 5/16
Triển khai hệ thống IPSec/VPN trên Windows Server 2003
Triển khai hệ thống IPSec/VPN trên Windows Server 2003 -
Nhu cầu truy cập từ xa (ngoài văn phòng) mạng nội bộ để trao đổi dữ liệu hay sử
dụng ứng dụng ngày càng phổ biến. Đây là nhu cầu thiết thực, tuy nhiên do vấn đề bảo
mật và an toàn thông tin nên các công ty ngại "mở" hệ thống mạng nội bộ của mình để
cho phép nhân viên truy cập từ xa. Bài viết này trình bày giải pháp truy cập từ xa VPN
trên Windows Server 2003 có cơ chế mã hóa dựa trên giao thức IPSec nhằm đảm bảo
an toàn thông tin.
VPN
VPN (virtual private network) là công nghệ xây dựng hệ thống mạng riêng ảo
nhằm đáp ứng nhu cầu chia sẻ thông tin, truy cập từ xa và tiết kiệm chi phí. Trước đây,
để truy cập từ xa vào hệ thống mạng, người ta thường sử dụng phương thức Remote
Access quay số dựa trên mạng điện thoại. Phương thức này vừa tốn kém vừa không an
toàn. VPN cho phép các máy tính truyền thông với nhau thông qua một môi trường chia
sẻ như mạng Internet nhưng vẫn đảm bảo được tính riêng tư và bảo mật dữ liệu.
Để cung cấp kết nối giữa các máy tính, các gói thông tin được bao bọc bằng một
header có chứa những thông tin định tuyến, cho phép dữ liệu có thể gửi từ máy truyền
qua môi trường mạng chia sẻ và đến được máy nhận, như truyền trên các đường ống
riêng được gọi là tunnel. Để bảo đảm tính riêng tư và bảo mật trên môi trường chia sẻ
này, các gói tin được mã hoá và chỉ có thể giải mã với những khóa thích hợp, ngăn
ngừa trường hợp "trộm" gói tin trên đường truyền.
Các tình huống thông dụng của VPN:

- Remote Access: Đáp ứng nhu cầu
truy cập dữ liệu và ứng dụng cho người
dùng ở xa, bên ngoài công ty thông qua
Internet. Ví dụ khi người dùng muốn truy
cập vào cơ sở dữ liệu hay các file server,
gửi nhận email từ các mail server nội bộ
của công ty.
Giáo trình mạng 6/16