BỘ NỘI VỤ
TRƯỜNG ĐẠI HỌC NỘI VỤ HÀ NỘI

BÀI TẬP LỚN KẾT THÚC HỌC PHẦN
HỌC PHẦN: AN TOÀN HỆ THỐNG THÔNG TIN

TÊN ĐỀ TÀI:
NGHIÊN CỨU GIẢI PHÁP BẢO MẬT MẠNG RIÊNG ẢO VPN

HÀ NỘI – 2021


MỤC LỤC
A.PHẦN MỞ ĐẦU ................................................................................................ 1
1. Lý do chọn đề tài ............................................................................................. 1
2. Kết cấu bài tập lớn .......................................................................................... 1
B.NỘI DUNG......................................................................................................... 2
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN .............................. 2
1. Tổng quan ....................................................................................................... 2
1.1 Định nghĩa về mạng riêng ảo VPN ............................................................... 2
1.2 Cách VPN hoạt động ................................................................................... 3
1.3 Các thành phần cần thiết để tạo kết nối VPN .............................................. 4
1.4 Lợi ích và hạn chế của mạng riêng ảo VPN ................................................. 5
1.4.1 Lợi ích: .................................................................................................... 5
1.4.2 Hạn chế: ................................................................................................. 6
1.5 Chức năng của mạng riêng áo VPN.............................................................. 6
2. Định nghĩa “Đường hầm” và “Mã hóa”.......................................................... 7
2.1 Định nghĩa “Đường hầm” ............................................................................. 7
2.2 Cấu trúc một gói tin IP trong đường hầm:.................................................... 7
2.3 Mã hóa và giải mã ......................................................................................... 7
CHƯƠNG 2: CÁC DẠNG KẾT NỐI MẠNG RIÊNG ẢO VPN ......................... 9

1. VPN truy cập từ xa (Remote Access VPN) .................................................. 9
2. Site-to-Site VPN (Lan-to-Lan) ................................................................... 10
2.1 Mạng VPN cục bộ (Intranet VPN) .......................................................... 11
2.2 Mạng VPN mở rộng (Extranet) .............................................................. 13
CHƯƠNG 3: CÁC GIAO THỨC SỬ DỤNG TRONG VPN ............................. 15


1. Bộ giao thức IPSet ...................................................................................... 15
2. Giao thức PPTP – Point–to –Point Tunneling Protocol ............................. 15
3. Giao thức L2TP – Layer 2 Tunneling Protocol .......................................... 16
4. Giao thức SSTP – Secure Socket Tunneling Protocol ............................... 16
CHƯƠNG 4: VPN VÀ CÁC VẤN ĐỀ AN TOÀN BẢO MẬT ......................... 17
TRÊN INTERNET ............................................................................................... 17
1. Các kiểu an toàn.......................................................................................... 17
1.1. Bảo mật trong VPN…………………………………………………...17
1.2. Sự an tồn tin cậy……………………………………………………..19
2. Cách cấu hình VPN trên Windowns 10 ...................................................... 19
3. Các ứng dụng mạng riêng ảo trong thực tế ................................................ 25
KẾT LUẬN .......................................................................................................... 28
TÀI LIỆU THAM KHẢO .................................................................................... 29


DANH MỤC CÁC TỪ VIẾT TẮT
VPN – Vỉrtual Private Network.
LAN – Local Area Network.
ISP – Internet service Provide.
WAN – Wide Area Network.
L2TP – Layer 2 Tunneling Protocol.
L2F - Layer 2 Forwarding.
PPTP – Point-to-Point Tunneling Protocol.

SSTP – Secure Socket Tunneling Protocol.
TCP – Transmission Contronl Protocol.
EAP – Extensible Authentication Protocol.
GRE – Generic routing encapsulation.
PPP – Point-to-Point Protocol.
PAP – Password Authentication Protocol.
CHAP – Challenge-handshake Authentication Protocol.
MS-CHAP – Microsoft-Challeng Handshake Authentication Protocol.
SPAP – Shiva Password Authentication Protocol.
HTTP – Hypertext Tranfer Protocol.
SSL – Secure Sockets Layer.
QoS – Qualaty of Service.


DANH MỤC BẢNG, HÌNH ẢNH

1. Hình 1.1. Mơ hình mạng VPN…………………...……………………………3
2. Hình 1.2. Mơ hình hoạt động của VPN…………………………….…………4
3. Hình 1.3. Cấu trúc một gói tin IP trong đường hầm………….……………….7
4. Hình 2.1. Mơ hình VPN truy cập từ xa………………………….…………….9
5. Hình 2.2. VPN Site-to-Site…………………………………………………...10
6. Hình 2.3. Thiết lập Intranet sử dụng WAN backbone…………….…………12
7. Hình 2.4. Thiết lập Intranet dựa trên VPN………………………….………..12
8. Hình 2.5. Mơ hình mạng Extranet VPN……………………………..………14
9. Hình 4.1. Các ứng dụng của VPN trong thực tế……………………………..26


A.PHẦN MỞ ĐẦU
1. Lý do chọn đề tài
Ngày nay khi khoa học cơng nghệ ngày càng phát triển thì nhu cầu sử dụng

và truy cập vào mạng Internet, cũng như nhu cầu về trao đổi thông tin dữ liệu
của con người ngày càng tăng. Xong bên canh đó thì có một vấn đề cấp bách cần
đặt ra, đó là sự an tồn về thơng tin dữ liệu của người dùng đang có nguy cơ rị rỉ
hoặc đã bị đánh cắp bởi các hecker (kẻ tấn công, tin tặc).
Là một sinh viên đang học hệ thống thông tin, em cũng hiểu được phần nào
về sự băn khoan và lo lắng về sự mất an tồn bảo mật khi trao đổi thơng tin giữa
các cá nhân, tổ chức. Vì vậy, em đã chọn đề tài: Nghiên cứu giải pháp bảo mât
mạng riêng ảo VPN.
2.Kết cấu bài tập lớn
Ngoài phần mở đầu, kết luận, danh mục tài liệu tham khảo và từ viết tắt,
phụ lục đề tài có cấu trúc gồm 4 chương:
Chương 1: Tổng quan về mạng riêng ảo VPN
Chương 2: Các dạng kết nối mạng riêng ảo VPN
Chương 3: Các giao thức trong VPN
Chương 4: VPN và các vấn đề về an toàn bảo mật

1


B.NỘI DUNG
CHƯƠNG 1: TỔNG QUAN VỀ MẠNG RIÊNG ẢO VPN
1. Tổng quan
Cùng với sự phát tiển mạnh mẽ của nền công nghiệp, nhu cầu thông tin,
Internet của con người ngày càng cao. Với Internet thì mọi việc đều trở lên dễ
dàng qua những dịch vụ mua bán trực tuyến, giáo dục từ xa hay tư vấn trực
tuyến,… Tuy nhiên, việc đảm bảo an toàn dữ liệu hay quản lý các dịch vụ là một
vấn đề lớn cần phải giải quyết. Từ đó thì các nhà khoa học đã nghiên cứu ra
những giải pháp để đáp ứng nhu cầu đó, trong đó là mơ hình mạng riêng ảo
(VPN – Virtual Private Network). Với mơ hình này đem lại rất nhiều lợi ích về
bảo mật thơng tin và giúp người dùng có thể truy cập từ xa đẻ làm việc tại công

ty dù đang ở nhà. Nó đảm bảo an tồn thơng tin giữa các tổ chức công ty hay chi
nhánh, văn phòng, người cung cấp hay các đối tác kinh doanh trong mơi trường
truyền thơng lớn.
Như vậy đặc tính quan trọng nhất của VPN là có thể sử dụng được mạng
cơng cộng như Internet, mà vẫn đảm bảo tính bảo mật và tiết kiệm chi phí.
1.1 Định nghĩa về mạng riêng ảo VPN
VPN được hiểu đơn giản như là một mạng riêng ảo (Visual Private
Netword), là công nghệ mạng giúp tạo kết nối mạng an toàn khi tham gia vào
mạng cộng đồng như Internet hoặc mạng riêng do một nhà cung cập dịch vụ sở
hữu. Những máy tính tham gia mạng riêng ảo sẽ “nhìn thấy nhau” như trong một
mạng nội bộ - LAN (Local Area Network).

2


Hình 1.1. Mơ hình mạng VPN
Một hệ thống VPN có thể kết nối được nhiều site khác nhau, dựa trên khu
vực, diện tích địa lý,…tương tự như chuẩn Wide Area Network (WAN). Bên
cạnh đó, VPN cịn được dùng để “khuếch tán”, mở rộng các mơ hình Intranet
nhằm truyền tải thơng tin, dữ liệu tốt hơn.
Một số đặc điểm của VPN: Bảo mật (Security); Tin cậy (Reliability); Khả
năng mở rộng (Scalability); Khả năng quản trị hệ thống mạng (Network
Management); Khả năng quản trị chính sách (Policy Management).
1.2 Cách VPN hoạt động
Khi máy tính của bạn kết nối đến VPN, máy tính sẽ hoạt động giống như
đang cùng mạng cục bộ với VPN. Tất cả các lưu lượng mạng của bạn sẽ được
gửi qua một kết nối an toàn đến VPN.

3



Hình 1.2. Mơ hình hoạt động của VPN
- u cầu DNS: bước đầu tiên là yêu cầu một DNS. Đó là các bạn lấy địa chỉ
IP của máy chủ VPN.
- Khóa bí mật: Tại thời điểm này, các khóa bí mật được xây dựng.
- Kênh an toàn: Một kênh an tồn được tạo ra, tất cả đều có sự trợ giúp cảu
các khóa bí mật.
- Mã hóa dữ liệu: Các giao thức VPN giúp mã hóa dữ liệu của bạn sẽ sử dụng
kênh bảo mật.
1.3 Các thành phần cần thiết để tạo kết nối VPN
- User Authentication: Cung cấp cơ chế chứng thực người dùng, chỉ cho phép
người dùng hợp lệ kết nối và truy cập hệ thống VPN.
- Address Management: Cung cấp địa chỉ IP hợp lệ cho người dùng sau khi
gia nhập hệ thống VPN để có thể truy cập tài nguyên trên mạng nội bộ.
- Data Encryption: Cung cấp giải pháp mã hóa dữ liệu trong quá trình truyền
nhằm bảo đảm tính riêng tư và tồn vẹn dữ liệu.
4


- Key Management: Cung cấp giải pháp quản lý các khóa dùng cho q trình
mã hóa và giải mã hóa.
1.4 Lợi ích và hạn chế của mạng riêng ảo VPN
1.4.1 Lợi ích:
VPN mang lại nhiều lợi ích, đặc tính hơn so với những mạng truyền thông
và những mạng leased-line, những lợi ích này bao gồm:
- Giảm thiểu chi phí duy trì và triển khai hệ thống:
Việc sử dụng một VPN sẽ giúp các tổ chức giảm được cho chi phí đầu tư
và phí thường xun. VPN có thể giảm chi phí khi truyền tới 20-40% so
với những mạng thuộc leased-line và giảm việc chi phí truy cập từ xa từ
60-80%.

- Cải thiện kết nối:
Vượt qua bộ lọc chặn truy cập Web: VPN là một lựa chọn tốt để có thể
vượt qua được bộ lộc Internet.
Việc thay đổi địa chỉ IP: Nếu muốn thay đổi địa chỉ IP khác thì VPN có
thể giúp chúng làm điều này, có thể che dấu được địa chỉ của mình tránh
được sự xâm hại hay ý đồ xấu của những hacker (kẻ tấn công, tin tặc) bên
ngồn mạng.
- Tăng tính bảo mật: Các dữ liệu quan trọng sẽ được che giấu đối với những
người không có quyển truy cập và cho phép truy cập đối với những người
dùng có quyền truy cập.
- Khả năng điều khiển từ xa:
Hiện nay khi mọi người muốn làm việc tiết kiệm thời gian và và giảm chi
phí, Với VPN người dùng có thể truy cập vào hệ thống mạng bất kì đâu ở
nhà thận chí ở quấn coffe chỉ cần nơi đó có Internet (ở đây hệ thống VPN
5


sử dụng Internet), vì vậy nó rất có lợi cho việc làm việc từ xa mà không
cần đến công ty.
1.4.2 Hạn chế:
Bên cạnh những lợi ích mà VPN đem lại thì nó cũng có một số hạn chế
như sau:
- VPN đòi hỏi sự hiểu biết cho tiết về vấn đề an ninh mạng, việc cấu hình và
cài đặt phải cẩn thận, chính xác đảm bảo tính an tồn trên hệ thống mạng Internet
công cộng.
- Độ tin cậy và hiệu xuất của một VPN dựa trên Internet không phải là dưới
sự kiểm sốt trực tiếp của cơng ty, vì vậy giải pháp thay thế là hãy sử dụng nhà
cung cấp dịch vụ (ISP) tốt và chất lượng.
- Một hạn chế hay là nhược điểm khó tránh của VPN đó là vấn đề bảo mật
cá nhân, bởi vì việc truy cập từ xa hay việc nhân viên kết nối với hệ thống văn

phịng bằng máy tính tiêng, khi đó nếu máy tính của họ thực hiện những ứng
dụng khác cùng lúc ngoài việc kết nối đến văn phịng làm việc thì hacker (kẻ tấn
cơng, tin tặc) có thể lợi dụng điểm này đẻ tấn công vào hệ thống của công ty,
doanh nghiệp đó.
1.5 Chức năng của mạng riêng áo VPN
VPN có 3 chức năng chính nhưu sau:
- Độ tin cậy: Người gửi có thể mã hóa các gói dữ liệu trước khi truyền qua
mạng công cộng và dữ liệu sẽ được giải mã phí đầu ra.
- Tính tồn vẹn dữ liệu: Để đảm bảo dữ liệu khơng bị thay đổi hay có bất kỳ
sự xáo trộn nào trong quá trình truyền dẫn.
- Xác thực nguồn gốc: Người nhận có thể xác thực nguồn gốc của gói dữ
liệu, đảm bảo và cơng nhận nguồn thông tin.

6


2. Định nghĩa “Đường hầm” và “Mã hóa”
Chức năng chính của một mạng riêng ảo VPN là cung cấp sự bảo mật
thơng tin bằng cách mac hóa và chứng thực quan một đường hầm (tunnel).
2.1 Định nghĩa “Đường hầm”
Cung cấp các kết nối logic, điểm tới điểm vận chuyển các gói dữ liệu mã
hóa bằng một đường hầm riêng biệt qua mạng IP, điều đó làm tăng tính bảo mật
thơng tin vì dữ liệu sau khi mã hóa sẽ lưu chuyển trong một đường hầm được
thiết lập giữa người gửi và người nhận cho nên sẽ tránh được sự mất cắp, xem
trộm thơng tin, đường hầm chính là đặc tính ảo của VPN.
2.2 Cấu trúc một gói tin IP trong đường hầm:
Tunnel mode packet
IP

AH


ESP

Header

Data

Original packet

Hình 1.3. Cấu trúc một gói tin IP trong đường hầm

2.3 Mã hóa và giải mã
Mã hóa là q trình biết đổi nội dung thơng tin nguyên bản ở đạng đọc
được (clear text hay plain text) thành một dạng văn bản mật mã vô nghĩa không
đọc được (cyphertex), vì vậy nó khơng có khả năng đọc được hay khả năng sử
dụng bởi những người dùng được phép.
Giải mã là q trình ngược lại của mã hóa, tức là biến đổi văn bản đã
mã hóa thành dạng đọc được bởi những người dùng được phép.
 Một số thuật ngữ sử dụng trong VPN
7


- Hệ thống mã hóa (Crysystem): là một hệ thống để thực hiện mã hóa hay
giải mã, xác thực người dùng, băm (hashing), và các q trình trao đổi
khóa, một hệ thống mã hóa có thể sử dụng một hay nhiều phương thức
khác nhau tùy thuộc vào yêu cầu chomojt vài loại traffic người dùng cụ
thể.
- Xác thực (Authentication): Là quá trình của việc nhận biết một người sử
dụng hay q trình truy cập hệ thống máy tính hoặc kết nối mạng. Xác
thực chắc chắn rằng cá nhân hay một tiến trình là hồn tồn xác định.

- Cho phép: Là hoạt động kiểm tra thực thể đó có được phép thực hiện
những quyền hạn cụ thể nào.
- Quản lý khóa (Key management): Là sự giám sát và điều khiển tiến trình
nhờ các khóa được tạo ra, cất giữ, bảo vệ, biến đổi, tải lên, sử dụng hay
loại bỏ.
- Dịch vụ chứng thực CA (Cenrtificate of Authority): Một dịch vụ mà được
tin tưởng để giúp bảo mật quá trình truyền tin giữa các thực thể mạng hoặc
các người dùng bằng cách tạo ra và gán các chứng nhận số như các chứng
nhận khóa cơng cộng, cho mục đích mã hóa. Một CA đảm bảo cho sự liên
kết giữa các thành phần bảo mật trong chứng nhận.

8


CHƯƠNG 2: CÁC DẠNG KẾT NỐI MẠNG RIÊNG ẢO VPN
VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng cịn tùy
thuộc vào mơ hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp.
Cơng nghệ VPN có thể phân thành hai loại cơ bản là: Remote Access VPN và
Site-to-Site ( Intranet VPN và Extranet VPN).
1. VPN truy cập từ xa (Remote Access VPN)
Remote Access VPN cho phép các người dùng ở xa sử dụng VPN client
để truy cập vào mạng Intranet của Công ty thông qua Gateway hoặc VPN
concentrator (bản chất là một server). Vì vậy, giải pháp này thường được gọi là
client/server. Trong giải pháp này, người dùng thường sử dụng các công nghệ
WAN truyền thống để tạo ra các tunnel về mạng trung tâm của họ.

Hình 2.1. Mơ hình VPN truy cập từ xa
 Ưu và nhược điểm của Remote Access VPN
- Ưu điểm:
VPN truy nhập từ xa không cần đến sự hỗ trợ của quản trị mạng bởi các kết

nối từ xa do các nhà cung cấp dịch vụ Internet đảm nhiệm.
9


Giảm được các chi phí cho kết nối từ khoảng cách xa bởi vì các kết nối
khoảng cách xa được thay thế bởi các kết nối cục bộ thông qua mạng Internet.
VPN cung cấp khả năng truy cập đến trung tâm tốt hơn bởi vì nó hỗ trợ dịch
vụ truy cập ở mức độ tối thiệu.
Do đây là một kết nối mang tính cục bộ, do vậy tốc độ kết nối sẽ cao hơn so
với kết nối trực tiếp đến những khoảng cách xa.
- Nhược điểm:
Remote Access VPN cũng không đảm bảo được chất lượng dịch vụ (QoS)
Khả năng mất dữ liệu rất cao, thêm nữa là các phân đoạn cảu gói dữ liệu có
thể đi ra ngồi và bị thất thốt.
Do độ phức tạp cảu thuật tốn mã hóa nên gây khó khăn cho q trình xác
nhận.
Do phải truyền dữ liệu thông qua Internet, nên khi trao đổi các dữ liệu lớn
như các gói dữ liệu truyền thơng, phim ảnh, âm thanh sẽ rất chậm.
2. Site-to-Site VPN (Lan-to-Lan)
Site-to-Site: Được áp dụng để cài đặt mạng từ một vị trí này kết nối tới
mạng của một vị trí khác thơng qua VPN.

Hình 2.2. Site-to-Site VPN

10


Sự phân biệt Remote Access VPN và Site – to – Site VPN chỉ đơn thuần
mang tính chất tượng trung và xa hơn là nó được cung cấp cho mục đích thảo
luận.

Site-to-Site có thể được xem như là Intranet VPN hoặc Extranet VPN.
Nếu chúng ta xem xét dưới góc độ chứng thực nó có thể được xem là một
Intranet VPN, ngược lại chúng được xem như một Extranet VPN. Tính chặt chẽ
trong việc truy cập giữa các site có thể được điều khiển bởi cả hai (Intranet VPN
và Extranet VPN) theo các site tương ứng. Giải pháp Site-to-Site VPN khppng
phải là một Remote access VPN nhưng nó được thêm vào đây vì tính chất hồn
thiện cảu nó.
Site – to – Site VPN là sự kết nối hai mạng riêng lẻ thông qua một đường
hầm bảo mật, đường hầm bảo mật này có thể sử dựng các giao thức PPTP, L2TP
hoặc IPSet. Mục đích cảu Site – to- Site VPN là kết nối hai mạng khơng có
đường nối lại với nhau, khơng có việc thỏa hiệp tích hợp, chứng thực.
2.1 Mạng VPN cục bộ (Intranet VPN)
Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm
khác nhau cảu một công ty. Mạng VPN liên kết trụ sở chính, các văn phịng, chi
nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hóa bảo
mật. Điều này cho phép tất cả các địa điểm có thể truy nhập an tồn các nguồn
dữ liệu được phép trong tồn bộ mạng của cơng ty.
Intranet VPN được sử dụng để kết nối đến các chi nhánh văn phòng của
tổ chức Corpetate Intranet (backbone router) sử dụng campus router. Theo mơ
hình này sẽ rất tốn chi phí do phải sử dụng 2 router để thiết lập được mạng.

11


Hình 2.3. Thiết lập Intranet sử dụng WAN backbone
Để giải quyết vấn đề trên, sự tốn kém của WAN backbone được thay thế bởi các
kết nối Intranet với cho phí thấp, điều này có thể một lượng chi phí đáng kể của
việc triển khai mạng Intranet.

Hình 2.4. Thiết lập Intranet dựa trên VPN

12


 Những ưu điểm chính của giải pháp này bao gồm:
- Các mạng cục bộ hoặc diện rộng có thể được thiết lập thông qua một hay
nhiều các nhà cung cấp dịch vụ Intrernet.
- Hiệu quả chi phí hơn do giảm số lượng router được sử dụng theo mơ hình
WAN backbone.
- Giảm được nhân lực hỗ trợ kỹ thuật mạng đối với các chi nhánh ở xa.
- Do kết nối trung gian được thực hiện thơng qua Internet nên nó có thể dễ
dàng thiết lập thêm một liên kêt ngang hàng mới.
 Tuy nhiên, giải pháp Intranet VPN cũng có những nhược điểm nhất định
như sau:
- Do dữ liệu được truyền qua mạng công cộng (mặc dù đã được mã hóa)
nên vẫn cịn những mối đe dọa về mức độ bảo mật dữ liệu và chất lượng
dịch vụ (QoS).
- Khả năng các gói dữ liệu bị thất thốt trong khi truyền thông tin là khá
cao.
- Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phương tiện, với
yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn
trong môi trường Internet.
2.2 Mạng VPN mở rộng (Extranet)
Không giống như mạng VPN cục bộ và mạng VPN truy nhập từ xa, mạng
VPN mở rộng (Extranet) khơng bị cơ lập với thế giới bên ngồi. Extranet cho
phép truy nhập những tài nguyên mạng cần thiết kế của các đối tác kinh
doanh, chẳng hạn như khách hàng, nhà cung cấp, đối tác những người giữ vai
trò quan trọng trong tổ chức.

13



Hình 2.5. Mơ hình mạng Extranet VPN
 Những ưu điểm chính của mạng VPN mở rộng
- Chi phí cho magj VPN mở rộng thấp hơn nhiều so với truyền thống.
- Dễ dàng triển khai, quản lý và chỉnh sửa thông tin.
- Do hoạt động trên mơi trường Internet, nên có thể lựa chọn nhà phân phối
khi lựa chọn và đưa ra phương pháp giải quyết tùy theo nhu cầu của tổ
chức.
- Bởi vì một phần Internet-connectivity được bảo trì bởi nhà cung cập ISP
nên cũng giảm chi phí bảo trì khi thuê nhân viên bảo trì.
 Một số nhược điểm của mạng VPN mở rộng
- Sự đe dọa về tính an tồn, như bị tấn cơng bằng từ chối dịch vụ vẫn còn
tồn tại, khả năng mất dữ liệu khi truyền qua mạng công cộng.
- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty.
- Do dựa trên Internet, QoS cũng không được đảm bảo thường xuyên.

14


CHƯƠNG 3: CÁC GIAO THỨC SỬ DỤNG TRONG VPN
Các giao thức đường hầm là nền tảng của công nghệ VPN, có nhiều giao
thức đường hầm khác nhau, việc sử dụng giao thức nào liên quan đến các
phương pháp xác thực và mã háo đi kèm.
1. Bộ giao thức IPSet
IPSet (Internet Protocol Security)là một bộ giao thức bảo mật (Internet
Protocol-IP) thông tin liên lạc, bằng các xác thực và mã hóa mỗi gió tin IP của
một phiên giao dịch. Là sự lựa chọn cho việc bảo mật trên VPN. IPSet là một
khung bao gồm bảo mật dữ liệu (data confidentiality), tính toàn vẹn của dữ liệu
(integrity) và việc chứng thực dữ liệu.
Lượng traffic qua IPSet được dùng chỷ yếu bởi các Transport mode hoặc các

tunnel (hay gọi là hầm – khái niệm này dùng trong Proxy SOCKS) để mã hóa dữ
liệu trong VPN.
 Sự khác nhau giữa các mode này là:
Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data
package – hoặc cịn bên dưới từ payload). Trong khi các Tunnel mã hóa
tồn bộ các data package đó.
Do vậy, IPSet thường được gọi là Security Overlay, bởi vì IPSec dùng các
lớp bảo mật so với các Protocol khác.
2. Giao thức PPTP – Point–to –Point Tunneling Protocol
PPTP là một phương thức của mạng riêng ảo, là một công nghệ VPN đơn
giản nhất, được phát triển bởi Microsoft kết hợp với một số cơng ty khác.
Phương thức đóng gói những frame PPP (Point-to-point Protocol – PPP) vào
trong một IP datagrams để truyền thông xuyên qua mạng Internet trên nền IP, nó

15


sử dụng một kênh điều khiển qua giao thức TCP và đường hầm GRE để đóng
gói cá dữ liệu PPP (Point-to-Point).
PPTP là một phần của các tiêu chuẩn Internet Point-to-Point (PPP), PPTP
sử dụng các loại xác thực như PPP (PAP, SPAP, CHAP, MS-CHAP và EAP).
3. Giao thức L2TP – Layer 2 Tunneling Protocol
Là chuẩn giao thực do IETF (IETF-The Internet Engineering task Force)
đề xuất, L2TP tích hợp cả hai điểm mạnh là truy nhập từ xa của L2F (Layer 2
Forwarding của Cisco System) và tính kết nối nhanh point-to-Point của
Microsoft (Point-to-Point Tunnling của Microsoft).
Trong môi trường Remote Access L2TP cho phép khởi tạo đường hầm
cho các frame và sử dụng giao thức PPP truyền dữ liệu trong đường hầm.
L2TP là một giao thức Tunneling được kết hợp với một giao thức bảo
mật VPN khác như IPSet để tạo ra một kết nối VPN bảo mật cao hơn. L2TP tạo

một tunneling (đường hầm) giữa haiai điểm kết nối L2TP và IPSet, giúp mã hóa
dữ liệu và xử lý giao tiếp an toàn giữa tunneling.
4. Giao thức SSTP – Secure Socket Tunneling Protocol
SSTP (Secure Socket Tunneling Protocol) là một dạng của kết nối VPN
trong Windowns Vista và Windown Server 2008. SSTP sử dụng các kết nối
HTTP đã được mã hóa SSL để thiết lập một kết nối VPN đến VPN gateway.
SSTP là một giao thức rất an tồn vì các thơng tin quan trọng của người
dùng không được gửi cho tới khi có một “đường hầm” SSL an tịa được thiết lập
với VPN gateway. SSTP cũng được biết đến với tư cách là PPP (Point-to-Point
Protocol) trên SSL, chính vì thế nó cũng có nghĩa là bạn có thể sử dụng các cơ
chế chứng thực PPP và EAP để đảm bảo cho các kết nối SSTP được an toàn hơn.

16


CHƯƠNG 4: VPN VÀ CÁC VẤN ĐỀ AN TOÀN BẢO MẬT
TRÊN INTERNET
1. Các kiểu an tồn
Cơng nghệ chính được sử dụng trong riêng ảo VPN là tạo ra một đường
hầm (Tunnel), mã hóa và chứng thực dữ liệu giữa hai đầu kết nối. Các thông tin
dữ liệu sẽ được mã hóa và chứng thực trước khi được lưu chuyển trong một
đường hầm riêng biệt, qua đó sẽ tránh được những rủi ro về việc bị đánh cắp
thơng tin.
Sự an tồn của hệ thống mạng phụ thuộc vào tất cả những thành phần của nó. Có
3 kiểu an tồn là:
- An toàn phần cứng: Sự an toàn về mặt vật lý, bảo vệ phần cứng của hệ
thống khỏi những mối đe dọa bên ngoài.
- An toàn quản trị: An toàn quản trị liên quan đến tất cả các mối đe dọa mà
con người làm tổn hại đến một hệ thống mạng.
- An tồn thơng tin: An tồn thơng tin nghĩa là thông tin được bảo vệ, các

hệ thống và những dịch vụ có khả năng chống lại những tai họa, các lỗi và
sự tác động không mong đợi, các thay đổi tác động đến độ an toàn của hệ
thống là nhỏ nhất.
1.1 Bảo mật trong VPN
- Tường lửa (firewall): Là rào chắn vững chắc giữa mạng riêng và Internet.
Bạn có thể thiết lập các tường lửa để hạn chế số lượng cổng mở, loại gói
tin và giao thức được chuyển qua
- Mật mã truy cập: Là khi một máy tính mã hóa dữ liệu và gửi nó tới một
máy tính kahcs thì chỉ có máy đó mới giản mã được. Có hai loại mật mã là
mật mã chung và mật mã riêng
17


- Mật mã chung (Public- key Encryptoin): Kết hợp mã riêng với một mã
cơng cộng. Mã riêng này chỉ có máy của bạn mới nhận biết, cịn mã chung
thì do máy bạn cung cấp cho bất kỳ máy nào muốn liên hệ (một cách an
toàn)
- Mật mã riêng (Symmetric – Key Encryption): Mỗi máy tính đều có một
mã bí mật để mã hóa gói tin trước khi gửi tới máy tính khác trong mạng.
Mã riêng yêu cầu bạn phải biết minhg đang liên hệ với nhũng máy tính
nào để có thể cài mã lên đó, để máy tính của người nhận có thể giải mã
được
- Giao thức bảo mật giao thức Internet (IPSet): Cung cấp những tính năng
an ninh cao cấp như các thuật tốn mã hóa tốt hơn, q trình thẩm định
quyền đăng nhập tồn diện hơn.
- IPSet có hai cơ chế mã hóa là Tunnel và Transport: Tunnel mã hóa tiêu đề
(header) và kích thích của mỗi gói tin, cịn Transport chỉ mã hóa kích
thước. Chỉ những hệ thống nào hộ trợ IPSet mới thể tận dụng được giao
thức này. Ngoài ra, tất cả các thiết bị phải sử dụng một mã nguồn khóa
chung và các tường lửa trên mỗi hệ thống phải có các thiết lập bảo mật

giống nhau. IPSet có thể mã hóa dữ liệu giữa nhiều thiết bị khác nhau như
router với router, firewall với router, Pc với router, Pc với máy chủ.
1.2 Sự an toàn và tin cậy
Sự an toàn cảu mỗi hệ thống máy tính là một bộ phận của khả năng
bảo trì một hệ thống đáng tin cậy được.
Có 4 yếu tố ảnh hưởng đến một hệ thống đáng tin cậy:

18


- Tính sẵn sàng; Khả năng sẵn sàng phục vụ, đáp ứng yêu cầu trong
khoảng thời gian. Tính sẵn sàng thường được thực hiện qua những hệ
thống phần cứng dự phịng
- Sự tin cậy: Nó định nghĩa xác xuất cảu hệ thống thực hiện các chức năng
cảu nó trong một chu kỳ thời gian. Sự tin cậy khác với tính sẵn sàng, nó
được đo trong cả một chu kỳ của thời gian, nó tương ứng với tính liên tục
của một dịch vụ.
- Sự an tồn: Nó chỉ báo hiệu một hệ thống thực hiện những chức năng của
chính nó chính xác hoặc thực hiện trong trường hợp thất bại một ứng xử
không thiệt hại nào xuất hiện.
- Sự an ninh: Trong trường hợp này sự an ninh có nghĩa như một sự bảo vệ
tát cả các tài nguyên của hệ thống.
- Tính bí mật
- Tính tồn vẹn
2. Cách cấu hình VPN trên Windowns 10
 Cách cấu hình VPN trên Windowns 10
Bước 1: Nhấn nút Start trên giao diện rồi chọn Settings.

19



Bước 2: Trong giao diện Windowns Settings chọn Network&Internet.

Bước 3: Chuyển sang giao diện mới. Tại danh sách bên trái chọn VPN.

20