Học viện bưu chính viễn thơng
Hà Nội
¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

ĐỒ ÁN TỐT NGHIỆP

TÌM HIỂU VỀ GIAO THỨC MẠNG RIÊNG ẢO
WIREGUARD VÀ THỰC NGHIỆM
Ngành: An tồn thơng tin
Mã số: 7.48.02.02

Sinh viên thực hiện:
Nguyễn Minh anh
Người hướng dẫn:
TS. Trần Thị Loan
Khoa An tồn thơng tin – Học viện bưu chính viễn thơng

Hà Nội, 2021



MỤC LỤC

MỤC LỤC.................................................................................................................i
DANH MỤC KÍ HIỆU VÀ VIẾT TẮT................................................................iii
DANH MỤC HÌNH ẢNH......................................................................................iv
LỜI CẢM ƠN.........................................................................................................vi
LỜI MỞ ĐẦU........................................................................................................vii
Chương 1. TỔNG QUAN VỀ VPN........................................................................1
1.1. Lịch sử phát triển....................................................................................1
1.2. Định nghĩa VPN.......................................................................................3

1.3. Các thành phần tạo nên VPN.................................................................5
1.3.1. VPN Clients...........................................................................................5
1.3.2. VPN Server............................................................................................6
1.3.3. Firewall..................................................................................................7
1.3.4. ISA Server..............................................................................................8
1.3.5. Giao thức Tunneling..............................................................................9
1.4. Lợi ích và hạn chế của việc sử dụng VPN...........................................11
1.4.1. Lợi ích..................................................................................................11
1.4.2. Hạn chế................................................................................................13
1.5. Chức năng của VPN..............................................................................14
1.6. Phân loại mạng VPN.............................................................................14
1.6.1. Mạng VPN truy nhập từ xa (Remote Access VPN)..............................15
1.6.2. Mạng VPN cục bộ (Intranet VPN).......................................................17
1.6.3. Mạng VPN mở rộng (Extranet)...........................................................18
1.7. Các giao thức sử dụng trong VPN.......................................................20
1.7.1.
1.7.2.
1.7.3.
1.7.4.

Bộ giao thức IPSec..............................................................................20
Giao thức PPTP (Point-to-Point Tunneling Protocol)........................22
Giao thức L2TP (Layer 2 Tunneling Protocol)...................................23
Giao thức Secure Socket Tunneling Protocol (VPN-SSTP).
25
1.7.5. Giao thức SSL......................................................................................27
1.8. Giải pháp phòng chống một số tấn cơng lên VPN..............................31
1.8.1. Phịng chống tấn cơng BEAST.............................................................31
1.8.2. Phịng chống tấn cơng xen giữa..........................................................32
1.8.3. Phịng chống tấn công từ chối dịch vụ SSL (SSL Dos

Attack)..................................................................................................34
CHƯƠNG 2: GIAO THỨC MẠNG RIÊNG ẢO WIREGUARD
.................................................................................................................39
1


2.1. Giới thiệu chung về giao thức mạng riêng ảo WireGuard..................40
2.1.1. Định nghĩa............................................................................................40
2.1.2. Lịch sử hình thành và phát triển...........................................................41
2.1.3. Mục đích sử dụng giao thức mạng riêng ảo WireGuard.......................43
2.2. Đặc điểm của giao thức mạng riêng ảo WireGuard...........................43
2.2.1. Mô hình của giao thức mạng riêng ảo WireGuard...............................43
2.2.2. Tính bảo mật của mạng riêng ảo dựa trên WireGuard.........................45
2.2.3. Khả năng mở rộng của giao thức.........................................................45
2.3. Nguyên lý hoạt động của giao thức mạng riêng ảo
WireGuard.............................................................................................46
2.4. Quá trình bắt tay và truyền dữ liệu.....................................................47
2.5. So sánh ưu, nhược điểm của giao thức WireGuard với một
số giao thức VPN khác..........................................................................50
2.5.1 Ưu điểm của giao thức mạng riêng ảo WireGuard................................50
2.5.2 Nhược điểm của giao thức mạng riêng ảo WireGuard........................52
2.5.3. So sánh giao thức mạng riêng ảo WireGuard với một số giao
thức VPN khác......................................................................................53
CHƯƠNG 3: THỰC NGHIỆM TRIỂN KHAI GIAO THỨC
MẠNG RIÊNG ẢO WIREGUARD....................................................61
3.1. Mơ hình thực nghiệm.............................................................................61
3.2. Triển khai thực nghiệm.........................................................................62
3.2.1. Thiết lập trên Server.............................................................................62
3.2.2. Thiết lập trên các client........................................................................65
3.2.3. Bắt gói tin..............................................................................................68

3.3. Đánh giá kết quả thực nghiệm..............................................................70
KẾT LUẬN............................................................................................................72
TÀI LIỆU THAM KHẢO....................................................................................73
PHỤ LỤC...............................................................................................................74

2


DANH MỤC KÍ HIỆU VÀ VIẾT TẮT
Viết tắt
VPN
PBX
WAN
LAN
ISP
HTTPS
IPSEC
L2TP
PPP
PPTP

Đầy đủ
Virtual Private Network
Private Branch Exchange
Wide Area Network
Local Area Network
Internet Service Provider
Hypertext Transfer

Ý nghĩa

Mạng riêng ảo
Tổng đài điện thoại
Mạng diện rộng
Mạng nội bộ
Nhà cung cấp dụng vụ Internet
Giao thức truyền tải siêu văn bản

Protocol Secure
Internet Protocol Security
Layer 2 Tunneling

bảo mật
Giao thức Internet an toàn

Protocol
Point –to– Point Protocol
Point-to-Point Tunneling
Protocol

Giao thức điểm – điểm
Giao thức đường hầm điểm – điểm
Chuẩn giao thức truyền thông trên

TCP/IP
QoS

Giao thức đường hầm lớp 2

mạng Internet
Chất lượng dịch vụ


Quality of Service

3


DANH MỤC HÌNH
Hình 1. 1: Mơ hình kết nối VPN...........................................................................5
Hình 1. 2: Đường hầm giữa VPN Clients và VPN Server....................................6
Hình 1. 3: Firewall cứng........................................................................................8
Hình 1. 4: ISA Server............................................................................................9
Hình 1. 5: VPN site to site...................................................................................10
Hình 1. 6: Giao thức xác thực.............................................................................10
Hình 1. 7: Mơ hình VPN truy cập từ xa..............................................................16
Hình 1. 8: Mơ hình mạng VPN cục bộ................................................................17
Hình 1. 9: Mơ hình VPN mở rộng.......................................................................19
Hình 1. 10: Đường hầm IPSec............................................................................21
Hình 1. 11: Giao thức PPTP................................................................................22
Hình 1. 12: Giao thức L2TP/IPSec.....................................................................24
Hình 1. 13: Giao thức SSTP................................................................................27
Hình 1. 14: Chứng thư số SSL............................................................................29
Hình 1. 15: Mơ tả tấn cơng Beast attack.............................................................32
Hình 1. 16; Mơ hình tấn cơng xen giữa...............................................................33
Hình 1. 17: Dấu hiệu tấn cơng xen giữa..............................................................33
Hình 1. 18: Mơ hình tấn cơng từ chối dịch vụ SSL.............................................34
Hình 1. 19: Sử dụng cơng cụ THC-SSL-TOOL để tấn cơng...............................35
Hình 1. 20: Q trình thỏa thuận kết nối bị lỗi....................................................35
Hình 1. 21: Hiển thị quá trình thỏa thuận kết nối bị lỗi......................................36
YHình 2. 1: Biểu tượng Wireguard.....................................................................40
Hình 2. 2: Các dạng kết nối chính.......................................................................43

Hình 2. 3: Mơ hình kết nối cơ bản sử dụng Wireguard.......................................43
Hình 2. 4: Quá trình bắt tay và truyền dữ liệu.....................................................47
Hình 2. 5: Gói tin Request...................................................................................48
Hình 2. 6: Gói tin Response................................................................................48
Hình 2. 7: Thơng điệp truyền dữ liệu..................................................................49
Hình 2. 8: Mã hóa trong Wireguard....................................................................50
YHình 3. 1: Mơ hình triển khai Wireguard.........................................................57
Hình 3. 2: Cài đặt Wireguard từ Internet.............................................................58
Hình 3. 3: Tạo khóa cho server............................................................................59
Hình 3. 4: Cấu hình wg0.conf.............................................................................59
4


Hình 3. 5: Tạo file cấu hình cho các client..........................................................60
Hình 3. 6: Cấu hình cho các client Linux............................................................61
Hình 3. 7: Cài đặt Wireguard trên Android.........................................................61
Hình 3. 8: Cấu hình Wireguard cho client Android.............................................62
Hình 3. 9: Máy Android kết nối đến Server........................................................62
Hình 3. 10: Kết nối thành cơng đến mạng Wireguard.........................................63
Hình 3. 11: Cài đặt Wireguard trên máy Linux kết nối đến Server.....................63
Hình 3. 12: Kiểm tra kết nối tại Server...............................................................64
Hình 3. 13: Truy cập mạng nội bộ.......................................................................64
Hình 3. 14: Gói tin HTTP....................................................................................64
Hình 3. 15: Bát gói tin truyền thơng giữa các client và server............................65
Hình 3. 16: Gói tin mã hóa với Wireguard..........................................................65

5


LỜI CẢM ƠN

Trong suốt quá trình học tập và thực tập tốt nghiệp cho đến khi làm đồ án
tốt nghiệp, em luôn nhận được sự quan tâm, hướng dẫn và giúp đỡ tận tình của
các thầy, cơ giáo trong Học viện và đặc biệt là thầy, cô giáo trong Khoa An tồn
thơng tin – Học viện bưu chính viễn thơng cùng với sự giúp đỡ của gia đình, bạn
bè.
Lời đầu tiên, em xin được bày tỏ lòng biết ơn sâu sắc đến Ban giám đốc
Học viện, các thầy, cô giáo trong Học viện và đặc biệt là thầy(cô) giáo Khoa An
tồn thơng tin đã tận tình giúp đỡ cho em suốt thời gian học tại Học viện.
Đặc biệt, em xin bày tỏ lòng biết ơn chân thành tới giảng viên TS. Trần
Thị Loan đã trực tiếp giúp đỡ, hướng dẫn em hồn thành đồ án này.
Do trình độ kiến thức và thực tế cịn hạn chế nên khơng thể tránh khỏi
những thiếu sót. Vì thế, em rất mong nhận được sự quan tâm, đóng góp của thầy
cơ giáo để đồ án của em được hồn chỉnh hơn.
Những ý kiến, đóng góp của thầy cơ sẽ giúp em nhận ra những hạn chế và
qua đó em sẽ có thêm những nguồn tư liệu mới trên con đường học tập cũng như
công việc, nghiên cứu sau này.
Em xin trân trọng cảm ơn!
SINH VIÊN THỰC HIỆN
ĐỒ ÁN

Nguyễn Minh Anh

6


LỜI MỞ ĐẦU
Ngày nay, thời đại công nghệ thông tin ngày càng phát triển, nhu cầu sử
dụng của các doanh nghiệp và cá nhân ngày một tăng lên trên không gian mạng
cả về số lượng và chất lượng. Đặc biệt, trong môi trường các công ty, doanh
nghiệp, việc giữ an tồn thơng tin cho cơng nhân viên cũng như là công ty là

một điều hết sức quan trọng. Trong số các giải pháp an toàn như Google dirver,
Webservice, Onedriver, … thì một biện pháp bảo mật tốt hơn mà đa phần các
công ty lớn dùng đến là mạng riêng ảo VPN. VPN giúp cho nhân viên có thể dễ
dàng truy cập vào mạng lưới của công ty, thực hiện các thao tác trên tồn bộ dữ
liệu của cơng ty. Nhờ thế, người dùng có thể làm việc mọi lúc, mọi nơi mà
khơng lo bị gián đoạn. Bên cạnh đó, giao thức truy cập này cịn mang tính bảo
mật cao do dữ liệu không tiếp xúc trực tiếp với môi trường Internet.
Đa phần hiện nay, các giao thức hay được sử dụng khi triển khai VPN là
OpenVPN, IPSec, … tuy nhiên nhiều người dùng cho rằng hai giao thức này sử
dụng chậm và khó cấu hình quản lý đúng cách. Chính vì vậy giao thức mạng
riêng ảo mới VPN WireGuard đã ra đời nhằm mục đích khắc phục được nhược
điểm trên. Việc triển khai giao thức WireGuard sẽ giúp cho doanh nghiệp có thể
sử dụng mạng VPN một các hiệu quả và dễ dàng hơn giúp thơng tin trở nên an
tồn hơn.
Mục tiêu của việc nghiên cứu thực hiện đồ án tốt nghiệp với đề tài “Tìm
hiểu về giao thức mạng riêng ảo Wireguard và thực nghiệm” nhằm khai thác
được những khía cạnh và ưu điểm của giao thức này, giúp mọi người có cái nhìn
tổng quan về giao thức mới Wireguard.
Đồ án tốt nghiệp được chia thành 03 chương với nội dung chính như sau:
Chương 1: Tổng quan về VPN
Trình bày các khái niệm, ứng dụng và các ưu nhược điểm của các hệ
thống VPN hiện có đặc biệt và các giao thức truyền thống được sử dụng trong
mạng VPN.
Chương 2: Giao thức mạng riêng ảo Wireguard
7


Trình bày các đặc điểm cơ bản của giao thức Wireguard đang được phát
triển hiện nay với các ưu điểm và những vấn đề còn tồn tại của giao thức cũng
như so sánh giao thức này với một số các giao thức VPN truyền thống.

Chương 3: Thực nghiệm triển khai giao thức mạng riêng ảo Wireguard
Trình bày mơ hình thực nghiệm bảo vệ hệ thống với VPN Wireguard và
thực nghiệm một số tính năng của giao thức mới.
Do thời gian có hạn cũng như kiến thức thực tế của lĩnh vực rất rộng nên
quá trình thực hiện đồ án chắc chắn khơng tránh khỏi thiếu sót. Em rất mong
nhận được các ý kiến đóng góp của các thầy cơ để đồ án được hoàn thiện hơn.
Em xin chân thành cảm ơn!
SINH VIÊN THỰC HIỆN ĐỒ ÁN

Nguyễn Minh Anh

8


CHƯƠNG 1. TỔNG QUAN VỀ VPN
Cùng với sự phát triển mạnh mẽ của nền công nghiệp, nhu cầu trao đổi
thông tin, dữ liệu giữa những tổ chức, công ty, tập thể và các cá nhân trở nên
bức thiết vì vậy Internet đã bùng nổ. Mọi người sử dụng máy tính kết nối
Internet thông qua nhà cung cấp dịch vụ, sử dụng một giao thức chung là
TCP/IP. Điều mà kỹ thuật còn tiếp tục phải giải quyết là năng lực truyền thông
của mạng viễn thông công cộng. Với Internet, những dịch vụ như mua bán, trao
đổi trực tuyến, giáo dục từ xa hay tư vấn trực tuyến, … đã trở nên dễ dàng. Tuy
nhiên Internet có phạm vi tồn cầu và khơng tổ chức hay chính phủ nào có thể
quản lý, cho nên việc đảm bảo an toàn và bảo mật dữ liệu hay quản lý các dịch
vụ là một vấn đề lớn cần phải giải quyết. Từ đó các nhà khoa học đã nghiên cứu
và đưa ra một mơ hình mạng mới, nhằm đáp ứng được nhu cầu trên mà vẫn tận
dụng cơ sở hạ tầng đang có của Internet, đó là mơ hình mạng riêng ảo (VPN –
Virtual Private Network). Với mơ hình này, người sử dụng khơng phải đầu tư
thêm quá nhiều trang thiết bị, cơ sở hạ tầng mà vẫn đảm bảo các tính năng như
bảo mật, độ tin cậy đồng thời có thể quản lý riêng hoạt động của mạng này.

VPN cho phép người sử dụng làm việc tại nhà riêng, trên đường đi hay các
văn phịng chi nhánh có thể kết nối an tồn đến máy chủ của tổ chức mình bằng
cơ sở hạ tầng được cung cấp bởi mạng cơng cộng. Nó đảm bảo an tồn thơng tin
giữa các tổ chức, cơng ty hoặc chi nhánh, văn phòng, người cung cấp hay các đối
tác kinh doanh trong môi trường truyền thông rộng lớn. Đặc biệt, VPN cịn tiết
kiệm chi phí đáng kể cho các tổ chức, cơng ty mà vẫn đảm bảo bí mật.
1.1. Lịch sử phát triển
Sự xuất hiện mạng riêng ảo (VPN – Virtual Private Network), bắt nguồn từ
yêu cầu của khách hàng (client), mong muốn có thể kết nối một cách có hiệu quả
với các tổng đài thuê bao (PBX) lại với nhau thông qua mạng diện rộng (WAN).

1


Trước kia hệ thống điện thoại nhóm hoặc là mạng cục bộ (LAN) sử
dụng các đường thuê riêng cho việc tổ chức mạng chuyên dùng để thực
hiện việc thông tin với nhau.
Các mốc đánh dấu sự phát triển của VPN:
 Năm 1975, Franch Telecom đưa ra dịch vụ Colisee, cung cấp dịch vụ dây
chuyên dùng cho các khách hàng lớn. Colisee có thể cung cấp phương
thức gọi số chuyên dùng cho khách hàng. Dịch vụ này căn cứ vào lượng
dịch vụ mà đưa ra cước phí và nhiều tính năng quảng lý khác.
 Năm 1985, Sprint đưa ra VPN, AT&T (Công ty viễn thông đa quốc gia)
đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng phần
mềm SDN.
 Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom.
 Năm 1988, nổ ra đại chiến cước phí dịch vụ VPN ở Mỹ, làm cho một số xí
nghiệp vừa và nhỏ chịu nổi cước phí sử dụng VPN và có thể tiết kiệm gần
30% chi phí, đã kích thích sự phát triển nhanh chóng dịch vụ này tại Mỹ.
 Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN.

 Năm 1990, MCI và Sprint đưa ra dịch vụ VPN; Telstra của Ostaylia đưa ra
dịch vụ VPN trong nước đầu tiên ở khu vực Chấu Á – Thái Bình Dương.
 Năm 1992, Viễn thơng Hà Lan và Telia Thụy Điển thành lập công ty hợp
tác đầu tư Unisource, cung cấp dịch vụ VPN.
 Năm 1993, AT&T, KDD và viễn thông Singapo tuyên bố thành lập Liên
minh toàn cầu Worldparners, cung cấp hàng loạt dịch vụ quốc tế, trong đó
có dịch vụ VPN.
 Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung
cấp dịch vụ VPN, dịch vụ chuyển tiếp khung, ...
 Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu
(GVPNS).
 Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp
(French Telecom) kết thành liên minh Global One.
 Năm 1997 có thể coi là một năm rực rỡ đối với công nghệ VPN, Cơng
nghệ này có mặt trên khắp các tạp chí khoa học công nghệ, các cuộc hội

2


thảo…Các mạng VPN xây dựng trên cơ sở hạ tầng mạng Internet công
cộng đã mang lại một khả năng mới, một cái nhìn mới cho VPN.
Cơng nghệ VPN là giải pháp thông tin tối ưu cho các công ty, tổ chức có
nhiều văn phịng, chi nhánh lựa chọn. Ngày nay, với sự phát triển của công
nghệ, cơ sở hạ tầng mạng IP (Internet) ngày một hoàn thiện đã làm cho khả năng
của VPN ngày một hồn thiện.
Hiện nay, VPN khơng chỉ dùng cho dịch vụ thoại mà còn dùng cho các
dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện.
1.2. Định nghĩa VPN
Trong thời đại ngày nay, Internet đã phát triển mạnh về mặt mơ hình
cho đến công nghệ, đáp ứng các nhu cầu của người sử dụng. Internet đã được

thiết kế để kết nối nhiều mạng khác nhau và cho phép thông tin chuyển đến
người sử dụng một cách tự do và nhanh chóng mà khơng xem xét đến máy và
mạng mà người sử dụng đó đang dùng. Để được điều này, các nhà khoa học
sử dụng một máy tính đặc biệt gọi là router để kết nối các LAN và WAN với
nhau. Các máy tính kết nối với Internet thông qua nhà cung cấp dịch vụ (ISP
– Internet Service Provider), cần một giao thức chung là TCP/IP. Điều mà kỹ
thuật còn tiếp tục phải giải quyết là năng lực truyền thông của các mạng viễn
thông công cộng. Với Internet, những dịch vụ như giáo dục từ xa, mua hàng
trực tuyến, tư vấn y tế, và rất nhiều điều khác đã trở thành hiện thực. Tuy
nhiên, do Internet có phạm vi tồn cầu và khơng một tổ chức, chính phủ cụ
thể nào quản lý nên rất khó khăn trong việc bảo mật và an tồn dữ liệu cũng
như trong việc quản lý các dịch vụ. Từ đó, nhà nghiên cứu đã đưa ra một mơ
hình mạng mới nhằm thoả mãn những yêu cầu trên mà vẫn có thể tận dụng lại
những cơ sở hạ tầng hiện có của Internet, đó chính là mơ hình mạng riêng ảo
(Virtual Private Network – VPN).
Với mơ hình mới này, người dùng không phải đầu tư thêm nhiều về cơ
sở hạ tầng mà các tính năng như bảo mật, độ tin cậy vẫn đảm bảo, đồng thời có
thể quản lý riêng được sự hoạt động của mạng này. VPN cho phép người sử
3


dụng làm việc tại nhà, trên đường đi hay các văn phịng chi nhánh có thể kết
nối an tồn đến máy chủ của tổ chức mình bằng cơ sở hạ tầng được cung cấp
bởi mạng cơng cộng. Nó có thể đảm bảo an tồn thơng tin giữa các đại lý,
người cung cấp, và các đối tác kinh doanh với nhau trong môi trường truyền
thông rộng lớn. Trong nhiều trường hợp VPN cũng giống như WAN (Wide
Area Network), tuy nhiên đặc tính quyết định của VPN là chúng có thể dùng
mạng cơng cộng như Internet mà đảm bảo tính riêng tư và tiết kiệm hơn nhiều.
Mạng riêng ảo VPN là thuật ngữ vô cùng quen thuộc đối với những người
trong ngành công nghệ thông tin. Nhiều người chỉ biết đơn giản nó là một loại

mạng ảo mà khơng hiểu sâu và rõ bản chất của hệ thống VPN là gì?
VPN được hiểu đơn giản là sự mở rộng của một mạng riêng (Private
Network) thông qua các mạng công cộng. Về căn bản, mỗi VPN là một mạng
riêng rẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng với các
site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng
kết nối thực, chuyên dùng như đường leased-line (kênh thuê riêng), mỗi VPN sử
dụng các kết nối ảo được dẫn qua đường Internet từ mạng riêng của các công ty
tới các site các nhân viên từ xa. Để có thể gửi và nhận dữ liệu thơng qua mạng
cơng cộng mà vẫn đảm bảo tính an toàn và bảo mật, VPN cung cấp các cơ chế
mã hóa dữ liệu trên đường truyền tạo ra một đường ống bảo mật giữa nơi nhận
và nơi gửi gọi là Tunnel - giống như một kết nối point-to-point trên mạng riêng.
Để có thể tạo ra một đường ống bảo mật đó, dữ liệu phải được mã hóa theo cơ
chế giấu đi, chỉ cung cấp phần đầu gói tin (header) là thơng tin về đường đi cho
phép nó có thể đi tới đích thơng qua mạng cơng cộng một cách nhanh chóng. Dữ
liệu được mã hóa một cách cẩn thận do đó nên nếu các gói tin bị bắt trên đường
truyền cơng cộng cũng khơng thể đọc nội dung vì khơng có khóa đề giải mã,
liên kết với dữ liệu mã hóa và đóng gói được gọi là kết nối VPN. Các đường kết
nối VPN thường được gọi là đường ống VPN (Tunnel).

4


Hình 1. 1: Mơ hình kết nối VPN
1.3. Các thành phần tạo nên VPN.
Để triển khai một hệ thống VPN người dùng cần có một số thành phần cơ
bản sau, nhưng việc tạo ra hệ thống VPN thì mỗi người sẽ có một sự lựa chọn
thành phần khác nhau để phù hợp với cơng ty hay mục đích của mỗi người.
1.3.1. VPN Clients
VPN Clients cịn được hiểu rằng nó thuộc về phía khách hàng, nó là ứng
dụng dành cho máy khách và nó là thành phần tham gia vào hệ thống.

Một VPN Client có thể là một máy tính hoặc nó có thể là một bộ định
tuyến. Loại VPN khách hàng sử dụng cho mạng của công ty thực sự phụ thuộc
vào nhu cầu cá nhân của cơng ty đó.
Mặt khác, nếu cơng ty có một vài nhân viên những người đi du lịch
thường xuyên và cần phải truy cập vào mạng của cơng ty trên đường đi, bạn có
thể sẽ được hưởng lợi từ việc thiết lập máy tính xách tay của nhân viên như
VPN Client.
Về mặt kỹ thuật, bất kỳ hệ điều hành có thể hoạt động như một VPN
Client miễn là nó hỗ trợ PPTP, L2TP, hoặc giao thức IPSec.

5


1.3.2. VPN Server
VPN Server là một máy chủ thông thường được cài đặt và cấu hình với
phần mềm VPN Server. Tuy nhiên, VPN Server thường có nhiều port(cổng) giao
tiếp logic và vật lý hơn. VPN Server cung cấp kết nối và dịch vụ VPN cho các
máy khách VPN từ xa và/hoặc máy khách VPN cục bộ. Thông thường, VPN
Server sử dụng một hoặc nhiều giao thức cho kết nối và truyền thông, chẳng hạn
như giao thức point-to-point (PPP). Máy khách VPN trước tiên kết nối với máy
chủ VPN và phải tự xác thực trước khi được cấp quyền truy cập vào VPN.
VPN Server được cài đặt trên máy chủ để xử lý và vận hành tất cả thành
phần và phần cứng truyền thơng. Ngồi ra phần mềm server cịn có chức năng là
cung cấp khả năng bảo mật và quản lý cơ chế kiểm soát truy cập khi thiết lập
quan hệ máy khách/máy chủ giữa các thiết bị. Phần mềm VPN server sử dụng
một số giao thức VPN khác nhau bao gồm OpenVPN, IKEv2, SoftEther, PPTP,
SSTP và L2TP / IPSec cho các kiểu kết nối VPN khác nhau.
Các máy chủ VPN hoạt động như một điểm kết nối cho các khách hàng
VPN. Về mặt kỹ thuật, có thể sử dụng Windows NT Server 4.0, Windows 2000
Server, hoặc Windows Server 2003 hay Window Server 2008 như là một máy chủ

VPN. VPN Server khá đơn giản, nó là một máy chủ cứng Windows Server 2008
chạy Routing và Remote Access (RRAS). Khi một kết nối VPN đã được chứng
thực, các máy chủ VPN chỉ đơn giản là hoạt động như một bộ định tuyến cung
cấp cho khách hàng VPN có thể truy cập đến một mạng riêng.

Hình 1. 2: Đường hầm giữa VPN Clients và VPN Server
6


1.3.3. Firewall
Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần
cứng hoặc phần mềm, sử dụng các quy tắc để kiểm soát traffic vào, ra khỏi hệ
thống. Tường lửa hoạt động như một rào chắn giữa mạng an tồn và mạng
khơng an tồn. Nó kiểm sốt các truy cập đến nguồn lực của mạng thơng qua
một mơ hình kiểm sốt chủ động. Nghĩa là, chỉ những traffic phù hợp với chính
sách được định nghĩa trong tường lửa mới được truy cập vào mạng, mọi traffic
khác đều bị từ chối.
Bất kì máy tính nào kết nối tới Internet cũng cần có firewall, giúp quản lý
những gì được phép vào mạng và những gì được phép ra khỏi mạng. Việc có một
“người gác cổng” như vậy để giám sát mọi việc xảy ra rất quan trọng bởi hai lý do:
Thứ nhất, bất kì máy tính kết nối mạng nào thường kết nối vĩnh viễn với
Internet.
Thứ hai, mỗi máy tính trực tuyến lại có một chữ ký điện tử riêng, được
gọi là Internet Protocol address (hay còn gọi là địa chỉ IP): Nếu khơng có
firewall hỗ trợ, nó chẳng khác gì chuyện người dùng bật tất cả đèn lên và mở
rộng cửa để đón trộm vào.
Một firewall được cấu hình chính xác sẽ ngăn chặn điều này xảy ra và
giúp máy tính “ẩn” một cách hiệu quả, cho phép người dùng thoải mái thưởng
thức những gì thế giới trực tuyến mang lại. Firewall khơng giống chương trình
diệt virus. Thay vào đó, nó làm việc cùng với những cơng cụ này nhằm đảm bảo

rằng máy tính được bảo vệ từ hầu hết các mối tấn công nguy hại phổ biến.

7


Hình 1. 3: Firewall cứng
1.3.4. ISA Server
ISA Server là gì? Đó là một giải pháp kết nối chứa cả Firewall và cache,
hiệu quả, an toàn và bảo mật cho các doanh nghiệp chia sẻ băng thơng tín hiệu,
sử dụng trong các mơ hình mạng lớn và cả quy mơ mạng trung bình, ISA server
đáp ứng nhiều yêu cầu truy xuất của người dùng bên trong và ngoài hệ thống
một cách an toàn.
Máy chủ tăng tốc và bảo mật Internet (máy chủ ISA) là một máy chủ cung
cấp tường lửa tổ chức và giải pháp bộ nhớ cache Web cho Windows cùng với kết
nối Internet an tồn, nhanh chóng và dễ quản lý.
ISA giúp thực hiện chính sách bảo mật doanh nghiệp của tổ chức thông
qua các công cụ quản trị của nó, giúp điều chỉnh việc sử dụng dựa trên các tiêu
chí nhóm, ứng dụng, đích, lịch biểu và nội dung của người dùng.
Nền tảng mở rộng của nó cung cấp khả năng dự phòng phần cứng và cân
bằng tải và cho phép sử dụng hiệu quả tài nguyên mạng thông qua các cơ chế bộ
nhớ đệm phức tạp của nó.

8


Hình 1. 4: ISA Server
Ưu điểm của ISA server:
 Được bảo vệ bởi hệ thống tường lửa – Firewall trong khi kết nối Internet.



Tránh tối đa sự xâm phạm từ các đối tượng như hacker, virus, …

 Với các tổ chức, doanh nghiệp, mọi dữ liệu thông tin cần được bảo mật ở
mức tuyệt đối. Với máy các nhân lộ thơng tin người dùng đã gây khó chịu
thì với doanh nghiệp thì sẽ là những tổn thất về mặt tài sản, cịn có thể là
cả uy tín nữa.
1.3.5. Giao thức Tunneling
Công nghệ mạng riêng ảo dựa trên khái niệm tunneling. Giống như một
đường ống nước chứa chất lỏng chảy bên trong nó, VPN tunnel cách ly và đóng
gói lưu lượng truy cập Internet, thường là với một số loại mã hóa để tạo ra một
tunnel riêng tư cho dữ liệu, khi nó truyền trong một mạng khơng bảo mật.
Khi lưu lượng truy cập Internet truyền bên trong VPN tunnel, nó cung
cấp kết nối riêng tư, bảo mật giữa máy tính của người dùng và một máy tính
hoặc máy chủ khác tại một trang website khác. Khi được kết hợp với mã hóa
mạnh, việc tạo tunneling khiến dữ liệu của người dùng hầu như không thể bị
xem trộm hoặc hack.

9


Về bản chất, đây là q trình đặt tồn bộ gói tin vào trong một lớp
header (tiêu đề) chứa thơng tin định tuyến có thể truyền qua hệ thống mạng
trung gian theo những "đường ống" riêng (tunnel). Khi gói tin được truyền đến
đích, chúng được tách lớp header và chuyển đến các máy trạm cuối cùng cần
nhận dữ liệu. Để thiết lập kết nối Tunnel, máy khách và máy chủ phải sử dụng
chung một giao thức (tunnel protocol). Giao thức của gói tin bọc ngồi được cả
mạng và hai điểm đầu cuối nhận biết. Hai điểm đầu cuối này được gọi là
Tunnel Interface, nơi gói tin đi vào và đi ra trong mạng.

Hình 1. 5: VPN site to site

Ngồi các thành phần kể trên, một khái niệm cần hiểu rõ đó là “giao thức
xác thực”. Một giao thức xác thực là một loại giao thức máy tính truyền thơng
hoặc giao thức mật mã thiết kế đặc biệt để chuyển xác thực dữ liệu giữa hai thực
thể. Nó cho phép thực thể nhận xác thực thể kết nối (ví dụ: Máy khách kết nối
với Máy chủ) cũng như xác thực chính nó với thực thể kết nối (Máy chủ với
máy khách) bằng cách khai báo loại thông tin cần thiết để xác thực cũng như cú
pháp. Đây là lớp bảo vệ quan trọng nhất cần thiết để giao tiếp an toàn trong
mạng máy tính.

10


Hình 1. 6: Giao thức xác thực
1.4. Lợi ích và hạn chế của việc sử dụng VPN.
1.4.1. Lợi ích
VPN mang lại lợi ích thực sự và tức thời cho các công ty. Việc sử dụng
mạng riêng ảo là một nhu cầu và là xu thế của công nghệ truyền thông bởi vì nó
có một số ưu điểm như:
Giảm thiểu chi phí triển khai và duy trì hệ thống: Việc sử dụng một
VPN sẽ giúp các công ty, tổ chức giảm chi phí đầu tư và chi phí thường
xuyên. Tổng giá thành của việc sở hữu một mạng VPN sẽ được thu nhỏ do
chi phí phải trả ít hơn cho việc thuê băng thông đường truyền, các thiết bị
mạng đường trục và duy trì hoạt động của hệ thống mà VPN vẫn đáp ứng
đầy đủ như cầu truyền tải hay tính bảo mật an tồn dữ liệu. Thay vì việc
phải th đường truyền dài thì VPN lại tận dụng lại hệ thống mạng
Internet có sẵn.
Thay đổi địa chỉ IP: Nếu muốn thay đổi IP khác thì VPN có thể giúp
chúng làm điều này việc này có thể che dấu được địa chỉ của mình tránh được sự
xâm hại hay ý đồ xấu của những hacker (kẻ tấn công, tin tặc) bên ngồi mạng.
An tồn trong giao dịch: việc trao đổi thơng tin trong công việc là

nhiều và liên tục, nhưng vấn đề bảo mật thơng tin thì cực kì quan trọng, với
VPN sẽ không phải lo lắng quá nhiều về việc đó, VPN sử dụng cơ chế giấu
đi, các dữ liệu sẽ được mã hóa và thơng tin dữ liệu được bao bọc bởi gói tin
11


Header (phần đầu gói tin ghi địa chỉ đầu - cuối của gói tin) và truyền đi
nhanh chóng dựa vào Internet. VPN đáp ứng tốt việc chia sẽ gói tin và dữ
liệu trong một thời gian dài.
Khả năng điều khiển từ xa:
 Truy cập Business Network từ xa: VPN thường được các du khách đi du
lịch lựa chọn với mục đích kinh doanh (business traveler) sử dụng để
truy cập mạng lưới kinh doanh của họ, bao gồm tất cả các nguồn tài
nguyên mạng cục bộ. Các nguồn tài nguyên mạng cục bộ không được
tiếp xúc trực tiếp với Internet để tăng cường tính bảo mật.
 Truy cập Home Network từ xa: Ngồi ra người dùng có thể thiết lập một
VPN của riêng mình để truy cập khi đi du lịch. Điều này sẽ cho phép
người dùng truy cập Windows Remote Desktop thông qua Internet, tức
là người dùng sẽ được phép truy cập vào máy tính cá nhân của mình
thơng qua Internet, chia sẻ các tập tin, làm việc trên dữ liệu máy tính ở
nhà và thậm chí là chơi game trên máy tính đó.
Khả năng mở rộng hệ thống tốt: chi phí để xây dựng một hệ thống
mạng lưới chuyên dụng (sử dụng cáp mạng) cho một công ty lúc đầu có thể là
hợp lý, tuy nhiên cơng ty ngày càng phát triển nhu cầu mở rộng hệ thống
mạng là cần thiết vì vậy VPN là một lựa chọn phù hợp bởi vì VPN khơng phụ
thuộc q nhiều vào vấn đề “hệ thống”, do VPN được xây dựng dựa trên cơ
sở hạ tầng mạng Internet bất cứ ở nơi nào có mạng cơng cộng là đều có thể
triển khai VPN. Mà mạng cơng cộng có mặt ở khắp mọi nơi nên khả năng mở
rộng của VPN là rất linh động.
Bảo mật địa chỉ IP: bởi vì thơng tin gửi đi trên VPN đã được mã hóa do đó

các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên
ngoài Internet.
Ẩn hoạt động duyệt web từ mạng cục bộ và ISP (nhà cung cấp Internet):
nếu đang sử dụng kết nối Wifi công cộng, và người dùng duyệt web trên các
trang web không phải HTTPS, khi đó các hoạt động của người dùng sẽ được
hiển thị với mọi người (nếu họ biết cách để xem hoạt động của người dùng).
12


Nếu muốn ẩn hoạt động duyệt web của mình để đảm bảo tính bảo mật, quyền
riêng tư, người dùng có thể kết nối với VPN. Mạng cục bộ sẽ chỉ nhìn thấy một
kết nối VPN an tồn và duy nhất. Tất cả các traffic khác sẽ thông qua kết nối
VPN. Và có thể sử dụng để bỏ qua việc giám sát của nhà cung cấp dịch vụ
Internet (ISP) của người dùng.
Trải nghiệm tốc dộ nhanh hơn: nhiều người dùng sử dụng kết nối VPN
để tải các file thông qua BitTorrent. Điều này thực sự hữu ích nếu người dùng
muốn tải toàn bộ Torrent hợp lệ – nếu ISP của người dùng đang điều khiển
BitTorrent và nó khá chậm, người dùng có thể sử dụng BitTorrent trên VPN để
được trải nghiệm tốc độ nhanh hơn.
Tăng tính bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những
người không có quyền truy cập và cho phép truy cập đối với những người dùng
có quyền truy cập.
Hỗ trợ các giao thức mạng thông dụng nhất hiện nay như TCP/IP.
1.4.2. Hạn chế.
Mặc dù mạng riêng ảo (VPN) là phổ biến với nhiều ưu điểm nổi bật tuy
nhiên, nó khơng hẳn là hồn hảo và hạn chế ln ln tồn tại trọng bất kì hệ thống
mạng nào. Một số hạn chế cần lưu ý khi triển khai hệ thống VPN:
 VPN đòi hỏi sự hiểu biết chi tiết về vấn đề an ninh mạng, việc cấu

hình và cài đặt phải cẩn thận, chính xác đảm bảo tính an tồn trên hệ

thống mạng Internet công cộng.
 Độ tin cậy và hiệu xuất của một VPN dựa trên Internet không phải là

dưới sự kiểm sốt trực tiếp của cơng ty, vì vậy giải pháp thay thế là hãy
sử dụng một nhà cung cấp dịch vụ (ISP) tốt và chất lượng.
 Việc sử dụng các sản phẩm VPN và các giải pháp của các nhà cung

cấp khác nhau khơng phải lúc nào cũng tương thích do các vấn đề về
tiêu chuẩn công nghệ VPN. Khi sử dụng pha trộn và kết hợp các thiết
bị sẽ có thể gây ra những vấn đề kỹ thuật hoặc nếu sử dụng khơng
đúng cách sẽ lãng phí rất nhiều chi phí triển khai hệ thống.
13


 Một hạn chế hay nhược điểm rất khó tránh khỏi của VPN đó là vấn đề

bảo mật cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối
với hệ thống văn phịng bằng máy tính xách tay, máy tính riêng, khi đó
các nếu máy tính của họ thực hiện hàng loạt các ứng dụng khác, ngồi
việc kết nối tới văn phịng làm việc thì hacker (kẻ tấn cơng, tin tặc) có
thể lợi dụng yếu điểm từ máy tính cá nhân của họ tấn cơng vào hệ
thống của cơng ty. Vì vậy việc bảo mật cá nhân luôn được các chuyên
gia khuyến cáo phải đảm bảo an tồn.
 VPN khơng có khả năng quản lý Quality of Service (QoS) qua mơi

trường Internet, do vậy các gói dữ liệu - Data package vẫn có nguy cơ
bị thất lạc, rủi ro.
 Khả năng quản lý của các đơn vị cung cấp VPN là có hạn nên máy tính

của người dùng vẫn có thể bị hack, tiềm ẩn nguy cơ bảo mật cho máy

tính của người dùng.
 Nhiều trang web trực tuyến đang trở nên cảnh giác với VPN và tạo ra

nhiều trở ngại nhằm ngăn cản hay giảm lượng truy cập vào nội dung bị
hạn chế. Không may là người dùng cũng có thể sử dụng VPN vào các
hoạt động bất hợp pháp, khiến công nghệ này bị mang tiếng xấu.


Các VPN miễn phí sẽ giúp người dùng tiết kiệm được rất nhiều tiền,
nhưng người dùng sẽ phải trả giá bằng sự an tồn của bản thân. Vì thế,
nếu muốn sử dụng VPN có đầy đủ các chức năng và cấu hình mạnh thì
người dùng phải chi trả một lượng ngân sách đáng kể, nhất định tùy
thuộc vào nhu cầu sử dụng theo từng tháng.

1.5. Chức năng của VPN
VPN cung cấp ba chức năng chính đó là: tính xác thực (Authentication),
tính tồn vẹn (Integrity) và tính bí mật
a, Tính xác thực: Để thiết lập một kết nối VPN thì trước hết cả hai phía
phải xác thực lẫn nhau để khẳng định rằng mình đang trao đổi thơng tin với
người mình mong muốn chứ khơng phải một người nào khác.
14


b, Tính tồn vẹn: Đảm bảo dữ liệu khơng bị thay đổi hay đảm bảo khơng
có bất kỳ sự xáo trộn nào trong q trình truyền dẫn.
c, Tính bí mật: Người gửi có thể mã hố các gói dữ liệu trước khi truyền
qua mạng công cộng và dữ liệu sẽ được giải mã ở phía thu. Bằng cách làm như
vậy, khơng một ai có thể truy nhập thơng tin mà khơng được phép.
Thậm chí nếu có lấy được thì cũng không đọc được.
1.6. Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ
bản sau:
Tại mọi thời điểm, các nhân viên của cơng ty có thể truy nhập từ xa hoặc
di động vào mạng nội bộ của công ty.
 Nối liền các chi nhánh, văn phòng di động.
 Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà

cung cấp dịch vụ hoặc các đối tượng bên ngoài khác.
Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm
ba loại:
 Mạng VPN truy nhập từ xa (Remote Access VPN)
 Mạng VPN cục bộ (Intranet VPN)
 Mạng VPN mở rộng (Extranet VPN)

1.6.1. Mạng VPN truy nhập từ xa (Remote Access VPN)
Các VPN truy nhập từ xa cung cấp khả năng truy nhập từ xa. Tại mọi
thời điểm, các nhân viên, chi nhánh văn phòng di động có khả năng trao
đổi, truy nhập vào mạng của cơng ty. Kiểu VPN truy nhập từ xa là kiểu
VPN điển hình nhất. Bởi vì, những VPN này có thể thiết lập bất kể thời
điểm nào, từ bất cứ nơi nào có mạng Internet.
VPN truy nhập từ xa mở rộng mạng công ty tới những người sử
dụng thông qua cơ sở hạ tầng chia sẻ chung, trong khi những chính sách
mạng cơng ty vẫn duy trì. Chúng có thể dùng để cung cấp truy nhập an toàn
15