Đây là mộtcông nghệ được sử dụng để tạo ra một kết nối mạng an tồn và riêng tư trên mộtmạng cơng cộng, chẳng hạn như Internet.- Khi kết nối vào một VPN, dữ liệu của bạn sẽ được mã hóa và
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG HỌC PHẦN: MẬT MÃ HỌC CƠ SỞ BÁO CÁO BÀI TẬP LỚN Tìm hiểu mơ hìnhVPN: Client to Site Giảng viên: Đỗ Xn Chợ Nhóm mơn học: 01 Nhóm tập lớn: 02 Sinh viên: Lê Huy Hoàng - B20DCAT068 Vũ Quốc Hoàng - B20DCAT072 Mai Đức Mạnh - B20DCAT120 Đặng Quang Tú – B20DCAT164 Hà Nội, 2023 MỤC LỤC I GIỚI THIỆU ………………………………………………………………2 VPN gì………………………………………………………………….2 Mơ hình Client-to-site VPN………………………………………………3 II CÁC GIAO THỨC SỬ DỤNG TRONG BÁO CÁO……………………6 Point-to-Point Tunneling Protocol (PPTP)……………………………….6 Layer Tunneling Protocol (L2TP)…………………………………… So sánh giao thức………………………………………………………13 I GIỚI THIỆU VPN gì? - VPN viết tắt "Virtual Private Network" (Mạng riêng ảo) Đây công nghệ sử dụng để tạo kết nối mạng an toàn riêng tư mạng công cộng, chẳng hạn Internet - Khi kết nối vào VPN, liệu bạn mã hóa đóng gói lại gói tin, sau chuyển qua kênh riêng tư an toàn đến máy chủ VPN Máy chủ VPN giải mã giải nén liệu gửi đến đích cuối mạng cơng cộng - Việc sử dụng VPN có số ứng dụng phổ biến, bao gồm: Bảo mật liệu: VPN giúp bảo vệ thông tin cá nhân, liệu truy cập hoạt động trực tuyến khỏi việc đánh cắp theo dõi Truy cập vào mạng nội từ xa: Người dùng kết nối vào mạng nội tổ chức công ty mà họ làm việc từ xa, đảm bảo tính riêng tư bảo mật trình truy cập Vượt qua rào cản địa lý: VPN cho phép người dùng truy cập vào nội dung trực tuyến bị hạn chế địa lý, chẳng hạn dịch vụ streaming video trang web bị chặn số quốc gia An ninh kết nối công cộng: Khi kết nối vào mạng công cộng, chẳng hạn Wi-Fi công cộng, VPN giúp bảo vệ thông tin cá nhân ngăn chặn mối đe dọa tiềm ẩn cơng Man-in-the-Middle => Tóm lại, VPN cung cấp lớp bảo mật riêng tư cho hoạt động trực tuyến bạn cách tạo kênh kết nối an tồn qua mạng cơng cộng - Có nhiều mơ hình phổ biến VPN sử dụng tình mơi trường khác Dưới số mơ hình VPN phổ biến: Client-to-site VPN Site-to-Site VPN Intranet-based VPN Extranet-based VPN Mobile VPN Mơ hình Client-to-site VPN: - Mơ hình Client-to-Site VPN (cịn gọi Remote Access VPN) cho phép người dùng từ xa kết nối truy cập vào mạng nội tổ chức công ty thông qua Internet - Dưới thành phần quy trình hoạt động mơ hình này: Client (Người dùng từ xa): Người dùng từ xa sử dụng phần mềm VPN thiết bị (như máy tính, điện thoại di động máy tính bảng) để tạo kết nối VPN Phần mềm VPN ứng dụng độc lập phần mềm tích hợp sẵn hệ điều hành thiết bị VPN Client Configuration (Cấu hình VPN Client): Người dùng cần cấu hình thơng tin cần thiết phần mềm VPN client, bao gồm địa IP tên miền máy chủ VPN, chứng thông tin xác thực để xác minh danh tính người dùng VPN Gateway (Cổng VPN): Tổ chức công ty cung cấp máy chủ VPN (VPN gateway) phép người dùng từ xa kết nối vào mạng nội Máy chủ VPN xử lý việc xác thực quản lý kết nối VPN từ người dùng Authentication and Encryption (Xác thực Mã hóa): Khi người dùng kết nối vào máy chủ VPN, trình xác thực diễn để xác minh danh tính người dùng Điều bao gồm việc sử dụng chứng số, tên người dùng mật phương thức xác thực khác Sau xác thực thành công, liệu truyền qua kết nối VPN mã hóa để đảm bảo tính bảo mật riêng tư Access to Internal Resources (Truy cập vào tài nguyên nội bộ): Khi kết nối VPN thiết lập, người dùng từ xa truy cập vào tài nguyên nội máy chủ, dịch vụ, tệp tin ứng dụng mạng nội tổ chức cơng ty Người dùng làm việc từ xa có mặt mạng nội bộ, đảm bảo tính bảo mật an toàn liệu Tunneling Protocol (Giao thức đào hầm): Mơ hình Client-to-Site VPN sử dụng giao thức đào hầm để tạo kênh kết nối an toàn máy tính người dùng từ xa máy chủ VPN mạng nội Các giao thức phổ biến bao gồm SSL/TLS (Secure Sockets Layer/Transport Layer Security), IPsec (Internet Protocol Security) OpenVPN Split Tunneling (Phân tách đường hầm): Split tunneling cho phép người dùng từ xa truy cập vào mạng nội Internet công cộng đồng thời thông qua kết nối VPN Điều cho phép người dùng truy cập vào tài nguyên nội với việc duyệt web sử dụng dịch vụ trực tuyến thông qua kết nối Internet thông thường Network Address Translation (NAT) Traversal: Khi người dùng từ xa kết nối vào mạng nội thông qua kết nối VPN, địa IP mạng nội chuyển đổi (NAT) để tránh xung đột với địa IP mạng từ xa Điều đảm bảo tính tương thích khả hoạt động thiết bị ứng dụng hai mạng VPN Client Management (Quản lý VPN Client): Tổ chức cơng ty triển khai quản lý phần mềm VPN client thiết bị người dùng từ xa Quản lý VPN client cho phép tổ chức theo dõi, cấu hình, cập nhật quản lý thông tin liên quan đến kết nối VPN người dùng, bao gồm việc cung cấp chứng xác thực cài đặt cấu hình bảo mật 10.Mơ hình Client-to-Site VPN (Remote Access VPN) phổ biến sử dụng rộng rãi tổ chức công ty để cung cấp cho nhân viên từ xa khả truy cập an toàn vào mạng nội tài nguyên tổ chức II CÁC GIAO THỨC SỬ DỤNG TRONG BÁO CÁO Point-to-Point Tunneling Protocol (PPTP): - Point-to-Point Tunneling Protocol (PPTP) giao thức mạng sử dụng để tạo kết nối VPN (Virtual Private Network) thiết bị từ xa máy chủ VPN Nó phát triển vào năm 1990 số công ty công nghệ hàng đầu Microsoft, 3Com Ascend Communications - PPTP cho phép việc truyền liệu qua kết nối mạng công cộng (như Internet) cách an toàn cách tạo "đường hầm" (tunnel) thiết bị từ xa máy chủ VPN Dữ liệu mã hóa đóng gói gói tin PPTP gửi qua kết nối đóng hầm (tunnel) để đảm bảo tính bảo mật q trình truyền - Point-to-Point Tunneling Protocol (PPTP) hoạt động theo bước sau: Xác thực thiết lập kết nối: Thiết bị từ xa (client) thiết lập kết nối với máy chủ VPN sử dụng PPTP Khi kết nối thiết lập, q trình xác thực bắt đầu, thơng tin xác thực tên người dùng mật trao đổi client máy chủ Tạo tunneling: Sau xác thực thành công, client máy chủ bắt đầu tạo "đường hầm" (tunnel) để truyền liệu qua mạng công cộng Đường hầm tạo cách sử dụng giao thức GRE (Generic Routing Encapsulation) Mã hóa truyền liệu: Khi đường hầm thiết lập, liệu từ client đóng gói gói tin PPTP mã hóa giao thức mã hóa MPPE Dữ liệu mã hóa sau truyền qua đường hầm GRE đến máy chủ VPN Giải mã đưa vào mạng nội bộ: Máy chủ VPN nhận gói tin PPTP gửi từ client, giải mã chúng trích xuất liệu ban đầu Dữ liệu sau đưa vào mạng nội tổ chức mạng riêng ảo (VLAN) quản lý máy chủ VPN Gửi lại liệu đến client: Máy chủ VPN gửi lại liệu từ mạng nội đến client thơng qua đường hầm GRE gói tin PPTP Dữ liệu mã hóa MPPE trước truyền để đảm bảo tính bảo mật - Q trình truyền liệu qua PPTP thực theo mơ hình yêu cầu/đáp ứng (request/response) client máy chủ VPN Dữ liệu đóng gói truyền theo gói tin PPTP giải mã xử lý hai đầu (client máy chủ) kết nối VPN Layer Tunneling Protocol (L2TP): - Layer Tunneling Protocol (L2TP) giao thức mạng sử dụng để tạo kết nối VPN (Virtual Private Network) thiết bị từ xa máy chủ VPN Nó phát triển Microsoft Cisco vào năm 1990 nhằm kết hợp tính giao thức PPTP L2F (Layer Forwarding) từ Cisco - L2TP cho phép việc truyền liệu qua kết nối mạng cơng cộng (như Internet) cách an tồn cách tạo "đường hầm" (tunnel) thiết bị từ xa máy chủ VPN Dữ liệu đóng gói truyền qua kết nối đóng hầm (tunnel) theo giao thức L2TP - Layer Tunneling Protocol (L2TP) hoạt động theo bước sau: Thiết lập kết nối L2TP: Thiết bị từ xa (client) thiết lập kết nối với máy chủ VPN sử dụng L2TP Kết nối ban đầu thiết lập thơng qua giao thức khác IPsec Xác thực thiết lập kênh điều khiển (Control Channel): Sau kết nối L2TP thiết lập, trình xác thực bắt đầu Client máy chủ sử dụng giao thức xác thực CHAP (Challenge Handshake Authentication Protocol) để xác thực lẫn Kênh điều khiển (Control Channel) thiết lập để quản lý q trình gửi nhận gói tin L2TP Tạo tunneling: Một kênh điều khiển thiết lập xác thực hồn thành, q trình tạo "đường hầm" (tunnel) bắt đầu L2TP sử dụng giao thức tunneling để đóng gói liệu từ lớp (Layer 2) vào gói tin L2TP Đóng gói liệu truyền: Dữ liệu từ lớp đóng gói vào gói tin L2TP truyền qua đường hầm (tunnel) Giao thức tunneling bao gồm thông tin địa điểm cuối (endpoint) để đảm bảo việc định tuyến xác gửi đích Mở gói tin truyền liệu lớp 2: Khi gói tin L2TP đến máy chủ VPN, mở liệu lớp bên truyền đến mạng nội VLAN (Virtual LAN) tương ứng Gửi lại liệu đến client: Máy chủ VPN gửi lại liệu từ mạng nội đến client thông qua đường hầm L2TP Dữ liệu từ lớp đóng gói vào gói tin L2TP truyền đến client - Quá trình truyền liệu qua L2TP thực cách đóng gói liệu từ lớp vào gói tin L2TP truyền qua đường hầm L2TP L2TP khơng cung cấp mã hóa liệu mặc định, có khả kết hợp với giao thức mã hóa IPsec để cung cấp tính bảo mật cao So sánh giao thức: Bảo mật: L2TP hỗ trợ kết hợp với giao thức mã hóa IPsec để cung cấp tính bảo mật cao Trong đó, PPTP sử dụng chế mã hóa đơn giản bị phát có lỗ hổng bảo mật Do đó, L2TP coi có tính bảo mật cao so với PPTP Tính tương thích: PPTP tích hợp sẵn hệ điều hành Windows hỗ trợ nhiều tảng khác L2TP hỗ trợ rộng rãi tảng thiết bị, cần hỗ trợ từ phần cứng hệ điều hành để hoạt động tốt Hiệu suất: PPTP có hiệu suất truyền liệu nhanh so với L2TP, sử dụng phương thức mã hóa đơn giản Tuy nhiên, L2TP kết hợp với IPsec có khả cung cấp tính bảo mật hiệu suất tốt Khả chặn kiểm sốt: PPTP bị chặn kiểm soát số hệ thống tường lửa chế bảo mật mạng Trong đó, L2TP sử dụng cổng giao thức biết đến, bị chặn kiểm sốt, kết hợp với IPsec, có khả vượt qua hạn chế Tính linh hoạt: L2TP có khả hỗ trợ giao thức xác thực mã hóa khác IPsec, chứng số PAP/CHAP PPTP hỗ trợ xác thực thông qua mật (PAP/CHAP) mã hóa lớp Tóm lại, L2TP coi giao thức VPN có tính bảo mật cao đáng tin cậy so với PPTP Tuy nhiên, PPTP có hiệu suất truyền liệu tốt dễ triển khai Sự lựa chọn L2TP PPTP phụ thuộc vào yêu cầu bảo mật hiệu suất môi trường mạng cụ thể 10