Đây là mộtcông nghệ được sử dụng để tạo ra một kết nối mạng an tồn và riêng tư trên mộtmạng cơng cộng, chẳng hạn như Internet.- Khi kết nối vào một VPN, dữ liệu của bạn sẽ được mã hóa và
Trang 1HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
HỌC PHẦN: MẬT MÃ HỌC CƠ SỞ
BÁO CÁO BÀI TẬP LỚN Tìm hiểu về mô hìnhVPN: Client to Site
Nhóm bài tập lớn: 02
Sinh viên: Lê Huy Hoàng - B20DCAT068
Vũ Quốc Hoàng - B20DCAT072 Mai Đức Mạnh - B20DCAT120
Đặng Quang Tú – B20DCAT164
Hà Nội, 2023
Trang 2MỤC LỤC
I GIỚI THIỆU ………2
1 VPN là gì……….2
2 Mô hình Client-to-site VPN………3
II CÁC GIAO THỨC SỬ DỤNG TRONG BÁO CÁO………6
1 Point-to-Point Tunneling Protocol (PPTP)……….6
2 Layer 2 Tunneling Protocol (L2TP)……… 7
3 So sánh 2 giao thức………13
Trang 3I GIỚI THIỆU
1 VPN là gì?
- VPN là viết tắt của "Virtual Private Network" (Mạng riêng ảo) Đây là một công nghệ được sử dụng để tạo ra một kết nối mạng an toàn và riêng tư trên một mạng công cộng, chẳng hạn như Internet
- Khi kết nối vào một VPN, dữ liệu của bạn sẽ được mã hóa và đóng gói lại trong các gói tin, sau đó được chuyển qua một kênh riêng tư và an toàn đến máy chủ VPN Máy chủ VPN sẽ giải mã và giải nén dữ liệu và gửi nó đến đích cuối cùng trên mạng công cộng
- Việc sử dụng VPN có một số ứng dụng phổ biến, bao gồm:
1 Bảo mật dữ liệu: VPN giúp bảo vệ thông tin cá nhân, dữ liệu truy cập và hoạt động trực tuyến khỏi việc đánh cắp và theo dõi
2 Truy cập vào mạng nội bộ từ xa: Người dùng có thể kết nối vào mạng nội bộ của tổ chức hoặc công ty mà họ làm việc từ xa, đảm bảo tính riêng tư và bảo mật trong quá trình truy cập
Trang 43 Vượt qua các rào cản địa lý: VPN cho phép người dùng truy cập vào các nội dung trực tuyến bị hạn chế địa lý, chẳng hạn như dịch vụ streaming video hoặc các trang web bị chặn ở một số quốc gia
4 An ninh khi kết nối công cộng: Khi kết nối vào mạng công cộng, chẳng hạn như Wi-Fi công cộng, VPN giúp bảo vệ thông tin cá nhân và ngăn chặn các mối đe dọa tiềm ẩn như tấn công Man-in-the-Middle
=> Tóm lại, VPN cung cấp một lớp bảo mật và riêng tư cho hoạt động trực tuyến của bạn bằng cách tạo ra một kênh kết nối an toàn qua mạng công cộng
- Có nhiều mô hình phổ biến của VPN được sử dụng trong các tình huống và môi trường khác nhau Dưới đây là một số mô hình VPN phổ biến:
1 Client-to-site VPN
2 Site-to-Site VPN
3 Intranet-based VPN
4 Extranet-based VPN
5 Mobile VPN
2 Mô hình Client-to-site VPN:
- Mô hình Client-to-Site VPN (còn được gọi là Remote Access VPN) cho
phép người dùng từ xa kết nối và truy cập vào mạng nội bộ của một tổ chức hoặc công ty thông qua Internet
Trang 5- Dưới đây là các thành phần và quy trình hoạt động cơ bản của mô hình này:
1 Client (Người dùng từ xa): Người dùng từ xa sẽ sử dụng một phần mềm VPN trên thiết bị của mình (như máy tính, điện thoại di động hoặc máy tính bảng) để tạo kết nối VPN Phần mềm VPN này có thể là ứng dụng độc lập hoặc phần mềm tích hợp sẵn trong hệ điều hành của thiết bị
2 VPN Client Configuration (Cấu hình VPN Client): Người dùng cần cấu hình thông tin cần thiết trong phần mềm VPN client, bao gồm địa chỉ IP hoặc tên miền của máy chủ VPN, chứng chỉ hoặc thông tin xác thực để xác minh danh tính của người dùng
3 VPN Gateway (Cổng VPN): Tổ chức hoặc công ty sẽ cung cấp một máy chủ VPN (VPN gateway) để cho phép người dùng từ xa kết nối vào mạng nội
bộ Máy chủ VPN này sẽ xử lý việc xác thực và quản lý kết nối VPN từ người dùng
4 Authentication and Encryption (Xác thực và Mã hóa): Khi người dùng kết nối vào máy chủ VPN, quá trình xác thực sẽ diễn ra để xác minh danh tính của người dùng Điều này có thể bao gồm việc sử dụng chứng chỉ số, tên
Trang 6người dùng và mật khẩu hoặc các phương thức xác thực khác Sau khi xác thực thành công, các dữ liệu được truyền qua kết nối VPN sẽ được mã hóa
để đảm bảo tính bảo mật và riêng tư
5 Access to Internal Resources (Truy cập vào tài nguyên nội bộ): Khi kết nối VPN được thiết lập, người dùng từ xa sẽ có thể truy cập vào các tài nguyên nội bộ như máy chủ, dịch vụ, tệp tin hoặc ứng dụng trong mạng nội bộ của
tổ chức hoặc công ty Người dùng có thể làm việc từ xa như khi đang có mặt trong mạng nội bộ, đảm bảo tính bảo mật và an toàn của dữ liệu
6 Tunneling Protocol (Giao thức đào hầm): Mô hình Client-to-Site VPN sử dụng giao thức đào hầm để tạo một kênh kết nối an toàn giữa máy tính của người dùng từ xa và máy chủ VPN trong mạng nội bộ Các giao thức phổ biến bao gồm SSL/TLS (Secure Sockets Layer/Transport Layer Security), IPsec (Internet Protocol Security) và OpenVPN
7 Split Tunneling (Phân tách đường hầm): Split tunneling cho phép người dùng từ xa truy cập vào cả mạng nội bộ và Internet công cộng đồng thời thông qua kết nối VPN Điều này cho phép người dùng truy cập vào các tài nguyên nội bộ cùng với việc duyệt web hoặc sử dụng các dịch vụ trực tuyến thông qua kết nối Internet thông thường
8 Network Address Translation (NAT) Traversal: Khi người dùng từ xa kết nối vào mạng nội bộ thông qua một kết nối VPN, các địa chỉ IP trong mạng nội bộ có thể được chuyển đổi (NAT) để tránh xung đột với các địa chỉ IP trong mạng từ xa Điều này đảm bảo tính tương thích và khả năng hoạt động của các thiết bị và ứng dụng trong cả hai mạng
9 VPN Client Management (Quản lý VPN Client): Tổ chức hoặc công ty có thể triển khai và quản lý phần mềm VPN client trên các thiết bị của người dùng từ xa Quản lý VPN client cho phép tổ chức theo dõi, cấu hình, cập
Trang 7nhật và quản lý các thông tin liên quan đến kết nối VPN của người dùng, bao gồm cả việc cung cấp chứng chỉ xác thực và cài đặt cấu hình bảo mật 10.Mô hình Client-to-Site VPN (Remote Access VPN) rất phổ biến và được sử dụng rộng rãi trong các tổ chức và công ty để cung cấp cho nhân viên từ xa khả năng truy cập an toàn vào mạng nội bộ và tài nguyên của tổ chức
II CÁC GIAO THỨC SỬ DỤNG TRONG BÁO CÁO
1 Point-to-Point Tunneling Protocol (PPTP):
- Point-to-Point Tunneling Protocol (PPTP) là một giao thức mạng được sử dụng để tạo kết nối VPN (Virtual Private Network) giữa các thiết bị từ xa và máy chủ VPN Nó được phát triển vào những năm 1990 bởi một số công ty công nghệ hàng đầu như Microsoft, 3Com và Ascend Communications
- PPTP cho phép việc truyền dữ liệu qua một kết nối mạng công cộng (như Internet) một cách an toàn bằng cách tạo một "đường hầm" (tunnel) giữa thiết bị từ
xa và máy chủ VPN Dữ liệu được mã hóa và đóng gói trong các gói tin PPTP và được gửi qua kết nối đóng hầm (tunnel) để đảm bảo tính bảo mật trong quá trình truyền
- Point-to-Point Tunneling Protocol (PPTP) hoạt động theo các bước sau:
1 Xác thực và thiết lập kết nối: Thiết bị từ xa (client) thiết lập một kết nối với máy chủ VPN sử dụng PPTP Khi kết nối được thiết lập, quá trình xác thực bắt đầu, trong đó thông tin xác thực như tên người dùng và mật khẩu được trao đổi giữa client và máy chủ
Trang 82 Tạo tunneling: Sau khi xác thực thành công, client và máy chủ bắt đầu tạo một "đường hầm" (tunnel) để truyền dữ liệu qua mạng công cộng Đường hầm này được tạo bằng cách sử dụng giao thức GRE (Generic Routing Encapsulation)
3 Mã hóa và truyền dữ liệu: Khi đường hầm đã được thiết lập, dữ liệu từ client được đóng gói trong các gói tin PPTP và mã hóa bằng giao thức mã hóa MPPE Dữ liệu mã hóa sau đó được truyền qua đường hầm GRE đến máy chủ VPN
4 Giải mã và đưa vào mạng nội bộ: Máy chủ VPN nhận các gói tin PPTP được gửi từ client, giải mã chúng và trích xuất dữ liệu ban đầu Dữ liệu này sau đó được đưa vào mạng nội bộ của tổ chức hoặc mạng riêng ảo (VLAN) được quản lý bởi máy chủ VPN
5 Gửi lại dữ liệu đến client: Máy chủ VPN gửi lại dữ liệu từ mạng nội bộ đến client thông qua đường hầm GRE và gói tin PPTP Dữ liệu này được mã hóa bằng MPPE trước khi truyền để đảm bảo tính bảo mật
- Quá trình truyền dữ liệu qua PPTP được thực hiện theo mô hình yêu cầu/đáp ứng (request/response) giữa client và máy chủ VPN Dữ liệu được đóng gói và truyền theo từng gói tin PPTP và được giải mã và xử lý tại cả hai đầu (client và máy chủ) của kết nối VPN
2 Layer 2 Tunneling Protocol (L2TP):
Trang 9- Layer 2 Tunneling Protocol (L2TP) là một giao thức mạng được sử dụng
để tạo kết nối VPN (Virtual Private Network) giữa các thiết bị từ xa và máy chủ VPN Nó được phát triển bởi Microsoft và Cisco vào những năm 1990 nhằm kết hợp tính năng của giao thức PPTP và L2F (Layer 2 Forwarding) từ Cisco
- L2TP cho phép việc truyền dữ liệu qua một kết nối mạng công cộng (như Internet) một cách an toàn bằng cách tạo một "đường hầm" (tunnel) giữa thiết bị từ
xa và máy chủ VPN Dữ liệu được đóng gói và truyền qua kết nối đóng hầm (tunnel) theo giao thức L2TP
- Layer 2 Tunneling Protocol (L2TP) hoạt động theo các bước sau:
1 Thiết lập kết nối L2TP: Thiết bị từ xa (client) thiết lập một kết nối với máy chủ VPN sử dụng L2TP Kết nối ban đầu có thể được thiết lập thông qua một giao thức khác như IPsec
2 Xác thực và thiết lập kênh điều khiển (Control Channel): Sau khi kết nối L2TP được thiết lập, quá trình xác thực bắt đầu Client và máy chủ sử dụng giao thức xác thực như CHAP (Challenge Handshake Authentication Protocol) để xác thực lẫn nhau Kênh điều khiển (Control Channel) được thiết lập để quản lý quá trình gửi và nhận gói tin L2TP
3 Tạo tunneling: Một khi kênh điều khiển được thiết lập và xác thực hoàn thành, quá trình tạo "đường hầm" (tunnel) bắt đầu L2TP sử dụng giao thức tunneling để đóng gói dữ liệu từ lớp 2 (Layer 2) vào gói tin L2TP
4 Đóng gói dữ liệu và truyền: Dữ liệu từ lớp 2 được đóng gói vào gói tin L2TP
và truyền qua đường hầm (tunnel) Giao thức tunneling bao gồm thông tin địa chỉ và điểm cuối (endpoint) để đảm bảo việc định tuyến chính xác và gửi đúng đích
5 Mở gói tin và truyền dữ liệu lớp 2: Khi gói tin L2TP đến máy chủ VPN, nó được mở ra và dữ liệu lớp 2 bên trong được truyền đến mạng nội bộ hoặc
Trang 106 Gửi lại dữ liệu đến client: Máy chủ VPN có thể gửi lại dữ liệu từ mạng nội
bộ đến client thông qua đường hầm L2TP Dữ liệu từ lớp 2 được đóng gói vào gói tin L2TP và được truyền đến client
- Quá trình truyền dữ liệu qua L2TP được thực hiện bằng cách đóng gói dữ liệu
từ lớp 2 vào gói tin L2TP và truyền nó qua đường hầm L2TP L2TP không cung cấp mã hóa dữ liệu mặc định, nhưng nó có khả năng kết hợp với giao thức mã hóa như IPsec để cung cấp tính bảo mật cao hơn
3 So sánh 2 giao thức:
1 Bảo mật: L2TP hỗ trợ kết hợp với giao thức mã hóa IPsec để cung cấp tính bảo mật cao hơn Trong khi đó, PPTP sử dụng một cơ chế mã hóa đơn giản hơn và đã bị phát hiện có các lỗ hổng bảo mật Do đó, L2TP được coi là có tính bảo mật cao hơn so với PPTP
2 Tính tương thích: PPTP được tích hợp sẵn trong hệ điều hành Windows và
hỗ trợ trên nhiều nền tảng khác nhau L2TP cũng được hỗ trợ rộng rãi trên các nền tảng và thiết bị, nhưng cần sự hỗ trợ từ phần cứng và hệ điều hành
để hoạt động tốt hơn
3 Hiệu suất: PPTP có hiệu suất truyền dữ liệu nhanh hơn so với L2TP, vì nó
sử dụng một phương thức mã hóa đơn giản hơn Tuy nhiên, L2TP kết hợp với IPsec có khả năng cung cấp tính bảo mật và hiệu suất tốt hơn
4 Khả năng chặn và kiểm soát: PPTP có thể bị chặn hoặc kiểm soát bởi một số
hệ thống tường lửa hoặc cơ chế bảo mật mạng Trong khi đó, L2TP sử dụng các cổng và giao thức được biết đến, cũng có thể bị chặn hoặc kiểm soát, nhưng khi kết hợp với IPsec, nó có khả năng vượt qua hạn chế này
5 Tính linh hoạt: L2TP có khả năng hỗ trợ các giao thức xác thực và mã hóa khác nhau như IPsec, chứng chỉ số và PAP/CHAP PPTP hỗ trợ xác thực
Trang 11Tóm lại, L2TP được coi là một giao thức VPN có tính bảo mật cao hơn và đáng tin cậy hơn so với PPTP Tuy nhiên, PPTP có hiệu suất truyền dữ liệu tốt hơn
và dễ triển khai hơn Sự lựa chọn giữa L2TP và PPTP phụ thuộc vào yêu cầu bảo mật và hiệu suất của môi trường mạng cụ thể