1. Trang chủ
  2. » Luận Văn - Báo Cáo

Tìm hiểu về mạng riêng ảo vpn

37 0 0
Tài liệu đã được kiểm tra trùng lặp

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Tiêu đề Tìm Hiểu Về Mạng Riêng Ảo VPN
Tác giả Nguyễn Minh Quân, Shan Chen Yang, Trương Khánh Tín, Phan Đắc Trung
Trường học Trường Đại Học Quốc Tế Sài Gòn
Chuyên ngành Mạng Máy Tính
Thể loại Đề Tài
Năm xuất bản 2023
Thành phố TP. Hồ Chí Minh
Định dạng
Số trang 37
Dung lượng 4,97 MB

Cấu trúc

  • 1. Tổng Quan (6)
    • 1.1 Lịch sử phát triển của VPN (6)
    • 1.2 Định nghĩa VPN (8)
    • 1.3 Các thành phần tạo nên VPN (8)
      • 1.3.1 VPN client (9)
      • 1.3.2 VPN Server (9)
      • 1.3.3 IAS Server (9)
      • 1.3.4 Firewall (9)
      • 1.3.5 Chọn một Giao thức Tunneling (10)
      • 1.3.6 Authentication Protocol (10)
    • 1.4 Lợi ích và Hạn chế của việc sử dụng VPN (11)
      • 1.4.1 Lợi ích (11)
      • 1.4.2 Hạn chế (12)
    • 1.5 Chức Năng của VPN (12)
    • 1.6 Phân loại mạng VPN (13)
      • 1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN) 13 (13)
      • 1.6.2 Mạng VPN cục bộ ( Intranet VPN) (15)
      • 1.6.3 Mạng VPN mở rộng (Extranet) (16)
  • 2. Các giao thức sử dụng trong VPN (17)
    • 2.1 Bộ giao thức IPSec (17)
      • 2.1.1 IPSec là gì? (17)
      • 2.1.2 Công dụng của IPSec (18)
      • 2.1.3 Cách thức hoạt động IPSec (18)
      • 2.1.4 Kiến Trúc (19)
      • 2.1.5 Quy trình vận hành của IPSec (20)
    • 2.2 Giao thức PPTP (Point-to-Point Tunneling Protocol) (21)
      • 2.2.1 Khái niệm PPTP (21)
      • 2.2.2 Nguyên tắc hoạt động của PPTP (21)
      • 2.2.3 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP. 22 (22)
      • 2.2.4 Nguyên lý đóng gói dữ liệu đường hầm PPTP (22)
      • 2.2.5 Nguyên tắc thực hiện gói tin dữ liệu tại đầu cuối đường hầm PPTP. 23 (24)
      • 2.2.6 Tính năng và hạn chế của PPTP (24)
    • 2.3 Giao thức đĩnh đường hầm lớp 2 (Layer 2 Tunneling Protocol).24 (24)
      • 2.3.1 Khái niệm (25)
      • 2.3.2 Các thành phần của L2TP (25)
      • 2.3.3 Qui trình xử lý L2TP (26)
      • 2.3.4 Dữ liệu đường hầm L2TP (27)
      • 2.3.5 Chế độ đường hầm L2TP (28)
      • 2.3.6 Những thuận lợi và bất lợi của L2TP (30)
    • 2.4 Secure Socket Tunneling Protocol (VPN-SSTP) (30)
      • 2.4.1 Giới thiệu (31)
      • 2.4.2 Lý do sử dụng PPTP trong VPN (31)
      • 2.4.3 SSTP họat động như thế nào? (32)
      • 2.4.4 Ưu và nhược điểm của SSTP (32)
    • 2.5 Giao thức TLS (32)
      • 2.5.2 Cơ chế hoạt động của TLS (33)
      • 2.5.3 Chức năng của giao thức TLS (35)
      • 2.5.4 Ứng dụng giao thức TLS (35)
  • TÀI LIỆU THAM KHẢO (37)

Nội dung

1.1 Lịch sử phát triển của VPN Sự xuất hiện mạng chuyên dùng ảo, còn gọi là mạng riêng ảo VPN, bắtnguồn từ yêu cầu của khách hàng client, mong muốn có thể kết nối một cách cóhiệu quả v

Tổng Quan

Lịch sử phát triển của VPN

Mạng riêng ảo (VPN) ra đời nhằm đáp ứng nhu cầu của khách hàng muốn kết nối hiệu quả giữa các tổng đài thuê bao (PBX) thông qua mạng diện rộng (WAN).

Trước đây, hệ thống điện thoại nhóm và mạng cục bộ (LAN) thường sử dụng các đường thuê riêng để tạo ra một mạng chuyên dụng phục vụ cho việc trao đổi thông tin giữa các thành viên.

Các mốc đánh dấu sự phát triển của VPN:

Vào năm 1975, France Telecom đã ra mắt dịch vụ Colisee, chuyên cung cấp đường dây điện thoại cho các khách hàng lớn Dịch vụ Colisee cho phép gọi số chuyên dụng và tính phí dựa trên mức độ sử dụng dịch vụ, đi kèm với nhiều tính năng quản lý hữu ích khác.

Mạng máy tính Mạng Riêng Ảo VPN

- Năm 1985, Sprint đưa ra VPN, AT&T đưa ra dịch vụ VPN có tên riêng là mạng được định nghĩa bằng phần mềm SDN

- Năm 1986, Sprint đưa ra Vnet, Telefonica Tây Ban Nha đưa ra Ibercom

Năm 1988, cuộc chiến về cước phí dịch vụ VPN tại Mỹ đã bùng nổ, giúp nhiều doanh nghiệp vừa và nhỏ giảm được gần 30% chi phí sử dụng VPN Sự kiện này đã thúc đẩy sự phát triển mạnh mẽ của dịch vụ VPN tại Mỹ.

- Năm 1989, AT&T đưa ra dịch vụ quốc tế IVPN là GSDN

Vào năm 1990, MCI và Sprint đã giới thiệu dịch vụ VPN quốc tế, trong khi Telstra của Australia ra mắt dịch vụ VPN đầu tiên tại khu vực châu Á – Thái Bình Dương.

- Năm 1992, Viễn thông Hà Lan và Telia Thuỵ Điển thành lập công ty hợp tác đầu tư Unisource, cung cấp dịch vụ VPN

Năm 1993, AT&T, KDD và viễn thông Singapore đã thành lập Liên minh toàn cầu Worldpartners, nhằm cung cấp đa dạng dịch vụ quốc tế, bao gồm cả dịch vụ VPN.

- Năm 1994, BT và MCI thành lập công ty hợp tác đầu tư Concert, cung cấp dịch vụ VPN, dịch vụ chuyển tiếp khung (Frame relay)…

- Năm 1995, ITU-T đưa ra khuyến nghị F-16 về dịch vụ VPN toàn cầu (GVPNS)

- Năm 1996, Sprint và viễn thông Đức (Deustch Telecom), Viễn thông Pháp (French Telecom) kết thành liên minh Global One

Năm 1997 đánh dấu một bước ngoặt quan trọng cho công nghệ VPN, khi nó trở thành tâm điểm trong các tạp chí khoa học và hội thảo Các mạng VPN, xây dựng trên nền tảng Internet công cộng, đã mang lại cái nhìn mới và khả năng vượt trội cho việc kết nối giữa các văn phòng và chi nhánh của các công ty, tổ chức Với sự tiến bộ không ngừng của công nghệ và hạ tầng mạng IP, khả năng của VPN ngày càng được nâng cao, trở thành giải pháp thông tin tối ưu cho doanh nghiệp.

Hiện nay, VPN không chỉ dùng cho dịch vụ thoại mà còn dùng cho các dịch vụ dữ liệu, hình ảnh và các dịch vụ đa phương tiện

Định nghĩa VPN

VPN, hay Mạng Riêng Ảo, là một giải pháp mở rộng mạng riêng qua mạng công cộng, chủ yếu là Internet Mỗi VPN hoạt động như một mạng riêng biệt, kết nối các site hoặc người dùng từ xa mà không cần sử dụng các kết nối vật lý như đường leased-line Thay vào đó, VPN sử dụng các kết nối ảo để truyền tải dữ liệu giữa mạng riêng của công ty và nhân viên từ xa Để đảm bảo an toàn và bảo mật cho dữ liệu, VPN áp dụng cơ chế mã hóa, tạo ra một đường ống bảo mật gọi là Tunnel, cho phép thông tin được gửi và nhận một cách an toàn Dữ liệu được mã hóa cẩn thận, chỉ để lại phần đầu gói tin (header) cho phép nó di chuyển qua mạng công cộng Nếu dữ liệu bị bắt, nội dung sẽ không thể đọc được do thiếu khóa giải mã, tạo nên một kết nối VPN an toàn và hiệu quả Các kết nối này thường được gọi là đường ống VPN.

Hình 1: Mô Hình Kết Nối VPN.

Các thành phần tạo nên VPN

Để triển khai một hệ thống VPN, cần có một số thành phần cơ bản, tuy nhiên, việc lựa chọn các thành phần này sẽ phụ thuộc vào nhu cầu và mục đích cụ thể của từng công ty hoặc cá nhân.

Mạng máy tính Mạng Riêng Ảo VPN 1.3.1 VPN client

Khách hàng VPN có thể là một máy tính hoặc bộ định tuyến, và loại VPN mà một công ty sử dụng phụ thuộc vào nhu cầu cụ thể của họ.

Nếu công ty có nhân viên thường xuyên đi công tác và cần truy cập vào mạng công ty, việc thiết lập máy tính xách tay của họ như một VPN khách hàng sẽ mang lại nhiều lợi ích.

Bất kỳ hệ điều hành nào hỗ trợ PPTP, L2TP hoặc giao thức IPSec đều có thể hoạt động như một VPN khách hàng Các hệ điều hành của Microsoft như Windows 2000, XP và 7 đều có khả năng này, nhưng Windows XP được coi là tốt nhất nhờ khả năng hỗ trợ L2TP và IPSec, cùng với tính phổ biến của nó.

Các máy chủ VPN đóng vai trò là điểm kết nối cho người dùng VPN, cho phép họ truy cập an toàn vào mạng Về mặt kỹ thuật, Windows NT Server 4.0 và Windows có thể được sử dụng để thiết lập các máy chủ này, cung cấp khả năng bảo mật và kết nối ổn định cho người dùng.

2000 Server, hoặc Windows Server 2003 hay Window Server 2008 như là một máy chủ VPN

Máy chủ VPN là một máy chủ Windows Server 2008 chạy tính năng Routing và Remote Access (RRAS) Sau khi kết nối VPN được xác thực, máy chủ VPN hoạt động như một bộ định tuyến, cho phép khách hàng VPN truy cập vào mạng riêng.

One essential requirement for a VPN server is the presence of a RADIUS (Remote Authentication Dial In User Service) server RADIUS serves as a remote authentication mechanism commonly utilized by Internet service providers to verify subscribers before establishing an Internet connection.

Microsoft offers its own version of RADIUS known as Internet Authentication Service (IAS), which is available on Windows Server 2008.

Một trong những yếu tố quan trọng cho VPN là có một tường lửa hiệu quả Máy chủ VPN tiếp nhận kết nối từ bên ngoài, nhưng điều này không đồng nghĩa với việc bỏ qua các biện pháp bảo mật cần thiết.

Để đảm bảo an toàn cho mạng máy tính và mạng riêng ảo (VPN), cần có quyền truy cập đầy đủ đến máy chủ VPN từ bên ngoài Việc sử dụng tường lửa là cần thiết để chặn các cổng không sử dụng, giúp bảo vệ dữ liệu và ngăn chặn các mối đe dọa tiềm ẩn.

Để thiết lập kết nối VPN, yêu cầu cơ bản là cần có địa chỉ IP của máy chủ VPN, điều này giúp vượt qua tường lửa và kết nối với máy chủ VPN một cách hiệu quả.

Nếu bạn nghiêm túc về an ninh và có ngân sách, hãy xem xét việc đặt một máy chủ ISA giữa tường lửa và máy chủ VPN Việc này cho phép cấu hình tường lửa để chỉ đạo lưu lượng truy cập VPN đến ISA Server thay vì máy chủ VPN ISA Server sẽ hoạt động như một proxy VPN, đảm bảo rằng cả khách hàng VPN và máy chủ VPN chỉ giao tiếp với nhau thông qua ISA Server, không trực tiếp Điều này giúp bảo vệ máy chủ VPN khỏi các truy cập trực tiếp từ khách hàng, cung cấp thêm một lớp bảo vệ cho hệ thống.

1.3.5 Chọn một Giao thức Tunneling

Khi khách hàng sử dụng VPN để truy cập vào máy chủ, họ kết nối qua một đường hầm ảo, tạo ra một lối đi an toàn trong môi trường không an toàn như Internet Để thiết lập đường hầm này, cần sử dụng một giao thức đường hầm phù hợp Có nhiều giao thức khác nhau như IPSec, L2TP, PPTP và GRE, và việc chọn giao thức đúng là quyết định quan trọng trong quá trình thiết kế VPN cho công ty hoặc nhu cầu cá nhân.

Lợi thế lớn nhất của L2TP so với PPTP là việc sử dụng IPSec, giúp mã hóa dữ liệu và cung cấp xác thực dữ liệu Điều này đảm bảo rằng thông tin của người gửi được mã hóa và không bị thay đổi trong quá trình truyền tải Thêm vào đó, IPSec được thiết kế đặc biệt để ngăn chặn các cuộc tấn công replay.

Mặc dù L2TP có nhiều ưu điểm hơn PPTP, nhưng PPTP lại nổi bật với khả năng tương thích, đặc biệt là khi hoạt động trên các hệ điều hành Windows.

Lợi ích và Hạn chế của việc sử dụng VPN

Việc sử dụng mạng riêng ảo là một nhu cầu và là xu thế của công nghệ truyền thông bởi vì nó có một số ưu điểm như:

 Giảm thiểu chi phí triển khai và duy trì hệ thống:

VPN cung cấp giải pháp tối ưu cho việc triển khai hệ thống, đáp ứng nhu cầu truyền tải và bảo mật dữ liệu hiệu quả Với chi phí thấp, VPN giúp giảm thiểu đáng kể phí thuê đường truyền dài bằng cách tận dụng hệ thống mạng Internet có sẵn.

Phí duy trì hệ thống là một yếu tố quan trọng cần xem xét Với dịch vụ VPN, chi phí duy trì rất thấp, và việc thuê hạ tầng có sẵn từ các công ty cung cấp dịch vụ Internet giúp giảm thiểu đáng kể lo ngại về chi phí này.

VPN là giải pháp hiệu quả để vượt qua các bộ lọc chặn truy cập Internet, đặc biệt hữu ích ở những quốc gia có chế độ kiểm duyệt Internet nghiêm ngặt.

Sử dụng VPN để thay đổi địa chỉ IP giúp người dùng ẩn danh trực tuyến, bảo vệ thông tin cá nhân khỏi sự xâm hại và ý đồ xấu của hacker Việc này không chỉ tăng cường an ninh mạng mà còn giúp tránh được các mối đe dọa từ bên ngoài.

 An toàn trong giao dịch

Việc trao đổi thông tin trong công việc diễn ra liên tục, nhưng bảo mật thông tin là yếu tố cực kỳ quan trọng Sử dụng VPN giúp giảm bớt lo lắng về vấn đề này, bởi vì VPN áp dụng cơ chế giấu kín, mã hóa dữ liệu và bảo vệ thông tin bằng cách sử dụng gói tin Header để ghi địa chỉ đầu.

- cuối của gói tin) và truyền đi nhanh chóng dựa vào Internet

- VPN đáp ứng tốt việc chia sẽ gói tin và dữ liệu trong một thời gian dài

 Khả năng điều khiển từ xa

Trong thời đại hiện nay, nhiều người mong muốn tiết kiệm thời gian và chi phí, vì vậy làm việc tại nhà một cách hiệu quả trở nên rất quan trọng Sử dụng VPN, người dùng có thể truy cập vào hệ thống mạng từ bất kỳ đâu, kể cả ở nhà hay tại quán cà phê, miễn là có kết nối internet.

Mạng máy tính Mạng Riêng Ảo VPN

Internet ( đây hệ thống VPN sử dụng Internet), vì vậy nó rất có lợi đối cho việc thực hiện công việc từ xa

 Khả năng mở rộng hệ thống tốt

Chi phí ban đầu để xây dựng một hệ thống mạng lưới chuyên dụng cho công ty có thể hợp lý, nhưng khi công ty phát triển, nhu cầu mở rộng mạng là cần thiết Trong trường hợp này, VPN trở thành lựa chọn hợp lý vì nó không phụ thuộc nhiều vào hạ tầng hệ thống Cụ thể, việc mở rộng chỉ cần tạo thêm các đường ống kết nối dựa trên hạ tầng Internet có sẵn.

Mặc dù mạng riêng ảo (VPN) ngày càng trở nên phổ biến, nhưng nó không hoàn hảo và vẫn tồn tại những hạn chế trong bất kỳ hệ thống mạng nào Khi triển khai hệ thống VPN, người dùng cần lưu ý một số hạn chế quan trọng.

Sử dụng VPN yêu cầu người dùng có kiến thức sâu về an ninh mạng, đồng thời việc cấu hình và cài đặt cần phải được thực hiện cẩn thận và chính xác để đảm bảo an toàn cho hệ thống mạng trên Internet công cộng.

Độ tin cậy và hiệu suất của VPN dựa trên Internet không hoàn toàn nằm trong tầm kiểm soát của nhà cung cấp dịch vụ, vì vậy lựa chọn tốt nhất là sử dụng một nhà cung cấp dịch vụ Internet (ISP) uy tín và chất lượng.

Việc sử dụng sản phẩm VPN và các giải pháp từ nhiều nhà cung cấp khác nhau có thể gặp khó khăn do sự không tương thích về tiêu chuẩn công nghệ Sự pha trộn và kết hợp các thiết bị có thể dẫn đến các vấn đề kỹ thuật, và nếu không sử dụng đúng cách, sẽ gây lãng phí chi phí triển khai hệ thống.

Một trong những nhược điểm lớn của VPN là vấn đề bảo mật cá nhân Khi nhân viên truy cập từ xa vào hệ thống văn phòng qua máy tính cá nhân, nếu họ sử dụng nhiều ứng dụng khác, hacker có thể lợi dụng lỗ hổng từ máy tính của họ để tấn công vào hệ thống công ty Do đó, việc đảm bảo an toàn cho bảo mật cá nhân là điều mà các chuyên gia luôn khuyến cáo.

Chức Năng của VPN

Một số chức năng chính của VPN :

Mạng máy tính Mạng Riêng Ảo VPN

Độ tin cậy (Confidentiality) trong truyền tải dữ liệu là rất quan trọng; người gửi có thể mã hóa các gói dữ liệu trước khi gửi qua mạng Nhờ vào việc mã hóa này, thông tin sẽ được bảo vệ khỏi những truy cập trái phép, và ngay cả khi dữ liệu bị đánh cắp, nó cũng sẽ không thể được đọc hiểu do đã được mã hóa.

• Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểm tra dữ liệu nhận được sau khi truyền qua Internet có bị thay đổi hay không

Xác thực nguồn gốc dữ liệu là bước đầu tiên quan trọng khi tiếp nhận thông tin Việc sử dụng VPN giúp người dùng dễ dàng xác thực thông tin và nguồn gốc của dữ liệu, đảm bảo tính chính xác và độ tin cậy của thông tin nhận được.

Phân loại mạng VPN

Mục tiêu đặt ra đối với công nghệ mạng VPN là thoả mãn ba yêu cầu cơ bản sau:

• Tại mọi thời điểm, các nhân viên của công ty có thể truy nhập từ xa hoặc di động vào mạng nội bộ của công ty

• Nối liền các chi nhánh, văn phòng di động

• Khả năng điều khiển được quyền truy nhập của khách hàng, các nhà cung cấp dịch vụ hoặc các đối tượng bên ngoài khác

Dựa vào những yêu cầu cơ bản trên, mạng riêng ảo VPN được phân làm ba loại:

• Mạng VPN truy nhập từ xa (Remote Access VPN)

• Mạng VPN cục bộ (Intranet VPN)

• Mạng VPN mở rộng (Extranet VPN)

1.6.1 Mạng VPN truy nhập từ xa (Remote Access VPN)

VPN truy nhập từ xa cho phép nhân viên và chi nhánh văn phòng di động kết nối và truy cập vào mạng công ty mọi lúc, mọi nơi Đây là loại VPN phổ biến nhất, vì chúng có thể được thiết lập dễ dàng từ bất kỳ vị trí nào có kết nối Internet.

VPN truy cập từ xa giúp mở rộng mạng công ty đến người dùng thông qua cơ sở hạ tầng chia sẻ chung, đồng thời vẫn đảm bảo các chính sách mạng công ty được duy trì.

Mạng Riêng Ảo (VPN) cung cấp truy cập an toàn cho các thiết bị di động, người dùng di động, chi nhánh và khách hàng của công ty Các loại VPN này hoạt động trên cơ sở hạ tầng công cộng, sử dụng công nghệ như ISDN, quay số, IP di động, DSL và cáp Để sử dụng, thường cần cài đặt một số phần mềm client trên máy tính của người dùng.

Hình 2 : Mô hình mạng VPN truy nhập từ xa a) Các ưu điểm của mạng VPN truy nhập từ xa:

• Mạng VPN truy nhập từ xa không cần sự hỗ trợ của nhân viên mạng bởi vì quá trình kết nối từ xa được các ISP thực hiện

Việc sử dụng mạng Internet giúp giảm chi phí kết nối cho các khoảng cách xa, khi mà các kết nối xa được thay thế bằng các kết nối cục bộ.

• Cung cấp dịch vụ kết nối giá rẻ cho những người sử dụng xa

• Bởi vì các kết nối truy nhập là nội bộ nên các Modem kết nối hoạt động tốc độ cao hơn so với các truy nhập khoảng cách xa

VPN cải thiện khả năng truy cập vào các trang web của công ty nhờ vào việc cung cấp dịch vụ kết nối ổn định và hiệu quả Tuy nhiên, việc sử dụng VPN từ xa cũng có một số nhược điểm cần lưu ý.

• Mạng VPN truy nhập từ xa không hỗ trợ các dịch vụ đảm bảo QoS

• Nguy cơ bị mất dữ liệu cao Hơn nữa, nguy cơ các gói có thể bị phân phát không đến nơi hoặc mất gói

Mạng máy tính Mạng Riêng Ảo VPN

• Bởi vì thuật toán mã hoá phức tạp, nên tiêu đề giao thức tăng một cách đáng kể

1.6.2 Mạng VPN cục bộ ( Intranet VPN)

Các VPN cục bộ bảo mật kết nối giữa các địa điểm của công ty, liên kết trụ sở chính với các văn phòng và chi nhánh qua một hạ tầng chung Mạng VPN sử dụng kết nối mã hoá, cho phép các địa điểm truy cập an toàn vào nguồn dữ liệu được phép trong toàn bộ mạng công ty.

Các VPN này duy trì các đặc điểm của mạng WAN, bao gồm khả năng mở rộng, độ tin cậy và hỗ trợ nhiều giao thức khác nhau với chi phí thấp, đồng thời vẫn đảm bảo tính linh hoạt Thông thường, loại VPN này được thiết lập dưới dạng VPN Site-to-Site.

Hình 3: Mô hình mạng VPN cục bộ a) Những ưu điểm chính của mạng cục bộ dựa trên giải pháp VPN bao gồm:

- Các mạng lưới cục bộ hay toàn bộ có thể được thiết lập (với điều kiện mạng thông qua một hay nhiều nhà cung cấp dịch vụ)

- Giảm được số nhân viên kỹ thuật hỗ trợ trên mạng đối với những nơi xa

- Bởi vì những kết nối trung gian được thực hiện thông qua mạng Internet, nên nó có thể dễ dàng thiết lập thêm một liên kết ngang cấp mới

Mạng máy tính Mạng Riêng Ảo VPN

Tiết kiệm chi phí nhờ vào những lợi ích mà đường ngầm VPN mang lại qua Internet, kết hợp với công nghệ chuyển mạch tốc độ cao.

Ví dụ như công nghệ Frame Relay, ATM b) Nhược điểm chính của mạng cục bộ dựa trên giải pháp VPN :

Dữ liệu được truyền qua mạng Internet có thể gặp phải những mối đe dọa về bảo mật và chất lượng dịch vụ (QoS) do tính chất "ngầm" của nó.

- Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao.

Truyền dẫn khối lượng lớn dữ liệu, đặc biệt là đa phương tiện, với yêu cầu tốc độ cao và đảm bảo thời gian thực, đang trở thành một thách thức lớn trong môi trường Internet hiện nay.

1.6.3 Mạng VPN mở rộng (Extranet VPN)

Mạng VPN mở rộng khác với VPN cục bộ và VPN truy nhập từ xa ở chỗ nó không bị tách biệt khỏi "thế giới bên ngoài" Thay vào đó, mạng này cho phép kiểm soát truy cập đến các nguồn tài nguyên mạng cần thiết, nhằm hỗ trợ mở rộng các mối quan hệ kinh doanh với đối tác, khách hàng và nhà cung cấp.

Hình 4: Mô hình mạng VPN mở rộng

VPN mở rộng tạo ra một đường hầm bảo mật giữa khách hàng, nhà cung cấp và đối tác thông qua hạ tầng công cộng Loại VPN này sử dụng các kết nối bảo mật liên tục và được cấu hình như một VPN Site-to-Site.

Mạng Riêng Ảo (VPN) Site-to-Site khác biệt so với VPN cục bộ ở chỗ quyền truy cập mạng được xác nhận tại một trong hai đầu cuối của VPN Những ưu điểm chính của mạng VPN mở rộng bao gồm khả năng kết nối an toàn giữa các văn phòng, bảo mật dữ liệu khi truyền tải qua internet, và giảm chi phí cho việc thiết lập mạng riêng.

- Chi phí cho mạng VPN mở rộng thấp hơn rất nhiều so với mạng truyền thống

- Dễ dàng thiết lập, bảo trì và dễ dàng thay đổi đối với mạng đang hoạt động

Mạng VPN mở rộng, dựa trên nền tảng Internet, mang lại nhiều cơ hội cho việc cung cấp dịch vụ và lựa chọn giải pháp phù hợp với nhu cầu đa dạng của từng công ty.

Việc nhà cung cấp dịch vụ Internet bảo trì các kết nối Internet giúp giảm số lượng nhân viên kỹ thuật hỗ trợ mạng, từ đó làm giảm chi phí vận hành toàn mạng Tuy nhiên, mạng VPN mở rộng cũng có những nhược điểm riêng cần được xem xét.

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại

Các giao thức sử dụng trong VPN

Bộ giao thức IPSec

Internet Protocol Security (IPSec) là một bộ giao thức bảo mật cho thông tin liên lạc qua Internet, đảm bảo xác thực và mã hóa từng gói tin IP trong phiên giao dịch IPSec cũng cung cấp các giao thức thiết lập xác thực lẫn nhau giữa các bên tham gia và thực hiện đàm phán thông qua việc sử dụng các khóa mã hóa.

IPSec là một giao thức bảo mật end-to-end trong các lớp kết nối của bộ giao thức Internet (Internet Protocol Suite) Nó được sử dụng để bảo vệ luồng dữ liệu giữa hai máy, đảm bảo an toàn và bảo mật thông tin truyền tải.

Mạng máy tính Mạng Riêng Ảo VPN

(host-tohost), giữa hai mạng (network-to-network), hay giữa một mạng với một máy chủ (network-to-host)

Nguồn gốc IPSec ban đầu được phát triển tại phòng thí nghiệm Nghiên cứu hải quân và là một phần của dự án nghiên cứu của DARPA (Defense Advanced

Cơ quan Nghiên cứu Dự án Quốc phòng (DARPA) của Mỹ đã phát triển ESP, một giao thức bắt nguồn trực tiếp từ SP3D, không phải từ lớp ISO Security Network Protocol (NLSP) Các đặc trưng kỹ thuật của giao thức SP3D được xác định bởi Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST).

SP3D, được phát triển bởi Viện Tiêu chuẩn và Công nghệ, nhằm mục đích bảo mật hệ thống mạng theo yêu cầu của Cơ quan An ninh Quốc gia (NSP) IPSec AH là một phần của tiêu chuẩn IETF (Internet Engineering Task Force) và đóng vai trò quan trọng trong việc đảm bảo an toàn thông tin trên mạng.

IPSec có thể được sử dụng cho các công việc như:

 Mã hóa dữ liệu lớp ứng dụng.

 Cung cấp bảo mật cho các bộ định tuyến gửi dữ liệu định tuyến qua internet công cộng.

 Cung cấp xác thực không mã hóa, như xác thực rằng dữ liệu bắt nguồn từ một người gửi đã biết.

Bảo vệ dữ liệu mạng có thể được thực hiện bằng cách thiết lập các mạch sử dụng đường hầm IPsec, trong đó mọi dữ liệu được truyền giữa hai điểm cuối đều được mã hóa, tương tự như cách hoạt động của kết nối Mạng riêng ảo (VPN).

2.1.3 Cách thức hoạt động IPSec

IPsec hoạt động theo 4 giai đoạn:

1 Nhận dạng lưu lượng quan tâm Sau khi một thiết bị mạng nhận được một packet, nó sẽ match với 5-tuple của packet đó với IPsec policy đã configured để xác định xem packet có cần được truyền qua một đường hầm IPsec hay không Lưu lượng cần được truyền qua đường hầm IPsec được gọi là lưu lượng quan tâm.

2 Đàm phán Security Association (SA) & Key exchange SA xác định các yếu tố để truyền dữ liệu an toàn giữa các bên giao tiếp Các yếu tố này bao gồm các giao thức bảo mật, chế độ đóng gói dữ liệu, thuật toán mã hóa và xác thực, và

Mạng riêng ảo (VPN) bắt đầu quá trình thương lượng SA với thiết bị mạng ngang hàng thông qua mạng cục bộ Trong giai đoạn này, các bên sử dụng giao thức Internet Key Exchange (IKE) để thiết lập IKE SA, nhằm xác thực danh tính và trao đổi thông tin chính Sau đó, IPsec SA được thiết lập để đảm bảo truyền dữ liệu an toàn dựa trên IKE SA.

3 Truyền dữ liệu Sau khi IPsec SA được thiết lập giữa các bên giao tiếp, chúng có thể truyền dữ liệu qua đường hầm IPsec. Để đảm bảo tính bảo mật khi truyền dữ liệu, Authentication Header (AH) hoặc Encapsulating Security Payload (ESP) được sử dụng để mã hóa và xác thực dữ liệu Cơ chế mã hóa đảm bảo tính bảo mật của dữ liệu và ngăn chặn dữ liệu bị chặn trong quá trình truyền Cơ chế xác thực đảm bảo tính toàn vẹn và độ tin cậy của dữ liệu và ngăn dữ liệu bị giả mạo hoặc giả mạo trong quá trình truyền.

Trong quá trình truyền tải, IPsec sender sử dụng thuật toán mã hóa và khóa mã hóa để bảo vệ một IP packet, đóng gói dữ liệu gốc Cả sender và receiver đều áp dụng cùng một thuật toán xác thực và khóa xác thực để kiểm tra tính toàn vẹn của các packet đã mã hóa thông qua giá trị kiểm tra tính toàn vẹn (ICV) Nếu ICV ở cả hai đầu trùng khớp, gói tin được xác nhận không bị giả mạo và receiver sẽ tiến hành giải mã Ngược lại, nếu ICV khác nhau, receiver sẽ loại bỏ gói tin đó.

4 Kết thúc Đây là bước cuối cùng và nó liên quan đến việc kết thúc kênh bảo mật IPSec Việc chấm dứt xảy ra khi quá trình trao đổi dữ liệu hoàn tất hoặc phiên đã hết thời gian Các khóa mật mã cũng bị loại bỏ Để tiết kiệm tài nguyên hệ thống, đường hầm giữa hai bên liên lạc sẽ tự động được chia nhỏ khi đạt đến khoảng thời gian chờ không hoạt động của đường hầm.

Bộ giao thức IPSec là một tiêu chuẩn mở, IPSec sử dụng các giao thức để thực hiện các chức năng khác nhau, IPSec gồm các thành phần sau:

Authentication Header (AH) cung cấp một kết nối an toàn và xác thực nguồn gốc dữ liệu cho các gói tin IP, đồng thời thiết lập chính sách bảo vệ hiệu quả chống lại các cuộc tấn công.

 Encapsulating Security (ESP): Cung cấp bảo mật, xác thực nguồn gốc dữ liệu, kết nối toàn vẹn, kiểm soát các luồng dữ liệu một cách an toàn

Security Associations (SA) provide the essential algorithms and parameters for the operation of Authentication Header (AH) and Encapsulating Security Payload (ESP) They establish a framework for key exchange through the Internet Security Association and Key Management Protocol (ISAKMP), which calculates and supplies shared keys using methods such as Internet Key Exchange (IKE), IKEv2, Kerberized Internet Negotiation of Keys (KINK), or IPSECKEY.

Mạng máy tính Mạng Riêng Ảo VPN

 IP là giao thức Internet cho phép IPSec chạy và truyền dữ liệu trực tiếp.

Hình 5: Sơ đồ các thành phần của IPSec và luồng dịch chuyển

2.1.5 Quy trình vận hành của IPSec

IPSec hoạt động theo 5 bước:

1 Máy chủ kiểm tra xem gói tin gửi đi có nên được truyền bằng IPsec hay không Các gói tin này được hệ thống gửi gói tin áp dụng một phương thức mã hóa thích hợp Các gói tin đến cũng được máy chủ kiểm tra xem chúng có được mã hóa đúng cách hay không.

2 Giai đoạn 1 của IKE bắt đầu trong đó 2 máy chủ (sử dụng IPsec) tự xác thực với nhau để bắt đầu một kênh an toàn Kênh có 2 chế độ: chế độ chính (Main mode) cung cấp khả năng bảo mật cao hơn và chế độ linh hoạt (Aggressive mode) cho phép máy chủ thiết lập mạch IPsec nhanh hơn Kênh này sau đó được sử dụng để trao đổi một cách an toàn cách thức mà mạch IP sẽ mã hóa toàn bộ dữ liệu.

Giao thức PPTP (Point-to-Point Tunneling Protocol)

PPTP, hay Giao thức Tunneling Điểm-Đến-Điểm, là một phương thức mạng riêng ảo được phát triển bởi Microsoft và các công ty khác Nó sử dụng kênh điều khiển qua giao thức TCP và đường hầm GRE để đóng gói dữ liệu PPP (Point-to-Point) PPTP thuộc tiêu chuẩn Internet Point-to-Point (PPP) và hỗ trợ nhiều loại xác thực như PAP, SPAP, CHAP, MS-CHAP và EAP.

PPTP thiết lập đường hầm nhưng không cung cấp mã hóa trực tiếp, thay vào đó sử dụng giao thức Microsoft Point-to-Point Encryption (MPPE) để tạo ra một VPN an toàn Với chi phí tương đối thấp, PPTP thường được ưa chuộng bởi các khách hàng của Microsoft.

2.2.2 Nguyên tắc hoạt động của PPTP

PPP là giao thức truy nhập vào Internet và các mạng IP phổ biến hiện nay.

PPP hoạt động ở lớp liên kết dữ liệu trong mô hình OSI, bao gồm các phương thức đóng gói và tách gói IP, cho phép truyền dữ liệu qua kết nối điểm tới điểm giữa các máy tính.

PPTP là một giao thức sử dụng để đóng gói các khung dữ liệu của PPP vào gói tin IP nhằm truyền qua mạng IP Giao thức này thiết lập và duy trì kết nối thông qua TCP, đồng thời sử dụng GRE để đóng gói các khung PPP Ngoài ra, phần tải của khung PPP có khả năng được mã hóa và nén để tối ưu hóa hiệu suất truyền tải.

PPTP sử dụng giao thức PPP để thiết lập và kết thúc kết nối vật lý, xác định người dùng và tạo ra các gói dữ liệu PPP.

PPTP cho phép thiết lập một mạng IP giữa khách hàng và máy chủ thông qua việc kết nối trực tiếp tới máy chủ qua mạng NAS Khi kết nối thành công, người dùng sẽ được xác nhận, mặc dù đây là giai đoạn tùy chọn trong PPP, nhưng luôn được cung cấp bởi ISP Quá trình xác thực trong thiết lập kết nối PPTP dựa vào các cơ chế xác thực của PPP.

Một số cơ chế xác thực được sử dụng là:

• Giao thức xác thực mở rộng EAP

• Giao thức xác thực có thử thách bắt tay CHAP

• Giao thức xác định mật khẩu PAP

Mạng máy tính Mạng Riêng Ảo VPN

Giao thức PAP truyền tải mật khẩu qua kết nối dưới dạng văn bản đơn giản và không bảo mật, trong khi CHAP sử dụng phương pháp bắt tay ba chiều để tăng cường bảo mật và chống lại các tấn công quay lại nhờ vào các giá trị bí mật độc nhất Bên cạnh đó, PPTP cũng tích hợp mã hóa và nén dữ liệu trong phần tải tin của PPP, với phương thức mã hóa điểm tới điểm MPPE được áp dụng để bảo vệ thông tin.

MPPE chỉ mã hóa dữ liệu trong quá trình truyền tải, không cung cấp mã hóa cho các thiết bị đầu cuối Để bảo vệ lưu lượng IP giữa các đầu cuối, người dùng có thể sử dụng giao thức IPSec sau khi thiết lập đường hầm PPTP.

Khi PPP được thiết lập, PPTP sử dụng quy luật đóng gói của PPP để truyền gói trong đường hầm PPTP định nghĩa hai loại gói: gói điều khiển và gói dữ liệu, gán chúng vào kênh điều khiển và kênh dữ liệu riêng biệt Các kênh này được tách thành luồng điều khiển sử dụng giao thức TCP và luồng dữ liệu qua giao thức IP Kết nối TCP giữa máy khách và máy chủ phục vụ cho việc truyền thông báo điều khiển.

Các gói dữ liệu chứa thông tin người dùng, trong khi các gói điều khiển được gửi theo chu kỳ để thu thập thông tin về trạng thái kết nối và quản lý tín hiệu giữa máy khách và máy chủ PPTP Ngoài ra, gói điều khiển cũng được sử dụng để truyền tải thông tin quản lý thiết bị và cấu hình giữa hai đầu của đường hầm.

Kênh điều khiển là yếu tố quan trọng để thiết lập đường hầm giữa máy khách và máy chủ PPTP Máy chủ PPTP sử dụng giao thức PPTP, có hai giao diện: một kết nối với Internet và một kết nối với Intranet Phần mềm client có thể được cài đặt trên máy tính của người dùng từ xa hoặc trên các máy chủ của ISP.

2.2.3 Nguyên tắc kết nối điều khiển đường hầm theo giao thức PPTP

Kết nối điều khiển PPTP là mối liên kết giữa địa chỉ IP của máy khách và máy chủ, chịu trách nhiệm quản lý và duy trì đường hầm PPTP Nó bao gồm các gói tin điều khiển, trong đó có yêu cầu phản hồi và phản hồi định kỳ nhằm phát hiện lỗi kết nối Các gói tin này bao gồm tiêu đề IP, tiêu đề TCP, bản tin điều khiển PPTP và tiêu đề của lớp liên kết dữ liệu.

2.2.4 Nguyên lý đóng gói dữ liệu đường hầm PPTP

Mạng máy tính Mạng Riêng Ảo VPN

 Đóng gói khung PPP và gói định tuyến chung GRE.

Khung PPP ban đầu được mã hoá và gói lại với tiêu đề PPP để tạo thành khung PPP, sau đó được bao bọc bởi tiêu đề của phiên bản GRE sửa đổi GRE, hay giao thức đóng gói chung, cung cấp cơ chế đóng gói dữ liệu cho việc định tuyến qua mạng IP Trong PPTP, tiêu đề GRE đã được sửa đổi với việc thêm một trường xác nhận dài 32 bits, cho phép chỉ định sự hiện diện của trường này Bên cạnh đó, trường Key được thay thế bằng trường độ dài Payload 16 bits và trường chỉ số cuộc gọi 16 bits, với trường chỉ số cuộc gọi được thiết lập bởi máy trạm PPTP trong quá trình khởi tạo đường hầm.

Khi truyền tải dữ liệu PPP, các tiêu đề GRE sẽ được đóng gói trong một tiêu đề IP, trong đó chứa thông tin địa chỉ nguồn và đích cần thiết cho máy trạm và máy chủ PPTP.

Để truyền dữ liệu qua mạng LAN hoặc WAN, gói tin IP sẽ được đóng gói với tiêu đề và phần cuối của lớp liên kết dữ liệu Cụ thể, trong mạng LAN, nếu gói tin IP được gửi qua giao diện Ethernet, nó sẽ đi kèm với tiêu đề và đuôi Ethernet Trong khi đó, khi gói tin IP được truyền qua đường truyền WAN điểm tới điểm, nó sẽ được đóng gói với tiêu đề và đuôi của giao thức PPP.

Giao thức đĩnh đường hầm lớp 2 (Layer 2 Tunneling Protocol).24

Mạng máy tính Mạng Riêng Ảo VPN 2.3.1Khái niệm

IETF đã phát triển giao thức L2TP bằng cách kết hợp hai giao thức PPTP và L2F, mang lại những ưu điểm nổi bật từ cả hai L2TP không chỉ cung cấp tính linh động và hiệu quả chi phí cho giải pháp truy cập từ xa của L2F mà còn có khả năng kết nối điểm - điểm nhanh chóng như PPTP.

Do đó L2TP là sự trộn lẫn cả hai đặc tính của PPTP và L2F, bao gồm:

• L2TP hỗ trợ đa giao thức và đa công nghệ mạng, như IP, ATM, FR, và PPP

L2TP không cần cài đặt thêm phần mềm nào, bao gồm cả điều khiển và hệ điều hành hỗ trợ, giúp người dùng và mạng riêng Intranet dễ dàng sử dụng mà không cần triển khai phần mềm chuyên biệt.

• L2TP cho phép người dùng từ xa truy cập vào mạng từ xa thông qua mạng công cộng với một địa chỉ IP chưa ăng ký (hoặc riêng tư)

Quá trình xác nhận và chứng thực L2TP diễn ra tại cổng mạng máy chủ, giúp ISP không cần lưu trữ dữ liệu xác nhận hay quyền truy cập của người dùng từ xa Mạng riêng intranet có thể tự định nghĩa các chính sách truy cập, làm cho việc thiết lập đường hầm L2TP nhanh hơn so với các giao thức trước Điểm nổi bật của L2TP là khả năng thiết lập đường hầm PPP mà không kết thúc gần ISP, mà mở rộng đến cổng mạng máy chủ Đường hầm L2TP có thể được khởi tạo bởi người dùng từ xa hoặc cổng của ISP.

Khi các khung PPP được gửi qua hầm L2TP, chúng được đóng gói dưới dạng thông điệp User Datagram Protocol (UDP) L2TP sử dụng các thông điệp UDP này để thiết lập và duy trì hầm dữ liệu Đặc biệt, cả hầm dữ liệu và hầm duy trì gói tin đều có cấu trúc gói dữ liệu tương tự, khác với các giao thức tạo hầm trước đây.

2.3.2 Các thành phần của L2TP

Quá trình giao dịch L2TP đảm nhiệm 3 thành phần cơ bản, một Network Access Server (NAS), một L2TP Access Concentrator (LAC), và một L2TP Network Server (LNS)

Mạng máy tính Mạng Riêng Ảo VPN

L2TP NASs là thiết bị truy cập điểm-điểm, cung cấp kết nối Internet cho người dùng từ xa thông qua các phương thức quay số như PSTN hoặc ISDN với kết nối PPP Chúng xác nhận thông tin người dùng từ nhà cung cấp ISP và kiểm tra yêu cầu kết nối ảo Tương tự như PPTP NASs, L2TP NASs được đặt tại cơ sở của ISP và hoạt động như client trong quá trình thiết lập L2TP tunnel Ngoài ra, NASs có khả năng hỗ trợ nhiều yêu cầu kết nối đồng thời và tương thích với nhiều loại client khác nhau.

• Bộ tập kết truy cập L2TP (LAC)

LACs đóng vai trò quan trọng trong công nghệ tạo hầm L2TP, thiết lập đường hầm qua mạng công cộng như PSTN, ISDN hoặc Internet đến LNS tại điểm cuối mạng chủ Chúng hoạt động như điểm kết thúc của môi trường vật lý giữa client và LNS của mạng chủ.

LNS được đặt ở cuối mạng chủ và có vai trò quan trọng trong việc kết thúc kết nối L2TP Khi nhận yêu cầu kết nối ảo từ LAC, LNS sẽ thiết lập đường hầm và xác nhận danh tính người dùng Nếu yêu cầu được chấp nhận, LNS sẽ tạo ra giao diện ảo để hoàn tất quá trình kết nối.

2.3.3 Qui trình xử lý L2TP

Khi một người dùng từ xa cần thiết lập một L2TP tunnel thông qua Internet hoặc mạng chung khác, theo các bước tuần tự sau đây:

Người dùng từ xa gửi yêu cầu kết nối đến NAS của nhà cung cấp dịch vụ Internet (ISP) gần nhất và khởi tạo kết nối PPP với ISP cuối.

Bước 2: NAS chấp nhận yêu cầu kết nối sau khi xác nhận người dùng cuối.

NAS dùng phương pháp xác nhận PPP, như PAP, CHAP, SPAP, và EAP cho mục đích này

Mạng máy tính Mạng Riêng Ảo VPN

Bước 3: Sau đó NAS kích hoạt LAC, nhằm thu nhập thông tin cùng với

Bước 4: LAC thiết lập một đường hầm LAC-LNS thông qua mạng trung gian giữa hai đầu cuối, có thể sử dụng các công nghệ như ATM, Frame Relay hoặc IP/UDP.

Bước 5: Sau khi đường hầm đã được thiết lập thành công, LAC chỉ định một

Call ID (CID) được sử dụng để kết nối và gửi thông báo đến LNS, trong đó chứa thông tin xác thực người dùng Thông điệp này cũng bao gồm các tùy chọn LCP nhằm thiết lập thỏa thuận giữa người dùng và LAC.

Bước 6: LNS sử dụng thông tin từ thông điệp thông báo để xác thực người dùng cuối Khi người dùng được xác thực thành công và LNS chấp nhận yêu cầu, một giao diện PPP ảo (L2TP tunnel) sẽ được thiết lập với sự hỗ trợ từ các tùy chọn LCP trong thông điệp thông báo.

Bước 7: Sau đó người dùng từ xa và LNS bắt đầu trao đổi dữ liệu thông qua đường hầm

L2TP, giống như PPTP và L2F, hỗ trợ hai chế độ hoạt động: chế độ gọi đến và chế độ gọi đi Trong chế độ gọi đến, người dùng từ xa khởi tạo yêu cầu kết nối, trong khi ở chế độ gọi đi, LNS là bên khởi tạo yêu cầu LNS hướng dẫn LAC thực hiện cuộc gọi đến người dùng từ xa, và sau khi cuộc gọi được thiết lập, người dùng từ xa và LNS có thể trao đổi dữ liệu qua đường hầm.

2.3.4 Dữ liệu đường hầm L2TP

• Tương tự PPTP tunneled packets, L2TP đóng gói dữ liệu trải qua nhiều tầng đóng gói Sau đây là một số giai đoạn đóng gói của L2TP data tunneling:

PPP (Point-to-Point Protocol) có cách đóng gói dữ liệu khác biệt so với PPTP (Point-to-Point Tunneling Protocol), vì dữ liệu không được mã hóa trước khi đóng gói Trong quá trình này, chỉ có phần header của PPP được thêm vào dữ liệu gốc, tạo thành payload.

• L2TP đóng gói khung của PPP Sau khi original payload được đóng gói bên trong một PPP packet, một L2TP header được thêm vào nó

Gói dữ liệu L2TP được đóng gói bên trong một khung UDP, với một tiêu đề UDP được thêm vào Cổng nguồn và cổng đích trong tiêu đề UDP được thiết lập theo chỉ định là 1710.

Mạng máy tính Mạng Riêng Ảo VPN

IPSec encapsulation of UDP datagrams involves the transformation of L2TP frames into UDP frames, which are then encrypted An IPSec ESP header is added to the encrypted UDP frame, while an IPSec AH trailer is also inserted into the encrypted data packet.

• IP Encapsulation of IPSec-encapsulated datagrams Kế tiếp, phần đầu

Secure Socket Tunneling Protocol (VPN-SSTP)

Mạng máy tính Mạng Riêng Ảo VPN

Currently, in addition to the two mechanisms PPTP and L2TP available on Windows Server 2008 and Windows Vista Service Pack 1, a new connection method has been introduced: Secure Socket Tunneling Protocol (SSTP).

SSTP (Secure Socket Tunneling Protocol) là một giao thức VPN được tích hợp trong Windows Vista và Windows Server 2008, cho phép thiết lập kết nối VPN thông qua các kết nối HTTP mã hóa bằng SSL SSTP đảm bảo an toàn tối đa cho người dùng bằng cách chỉ gửi thông tin quan trọng khi một "đường hầm" SSL an toàn được thiết lập với VPN gateway Giao thức này còn được biết đến với tên gọi PPP trên SSL, cho phép sử dụng các cơ chế chứng thực PPP và EAP để tăng cường bảo mật cho các kết nối SSTP.

2.4.2 Lý do sử dụng PPTP trong VPN

Mạng riêng ảo VPN cho phép kết nối từ xa đến hệ thống mạng qua Internet, với Windows Server 2003 hỗ trợ các đường hầm VPN dựa trên PPTP và L2TP/IPSec Khi người dùng truy cập từ xa qua Firewall, các đường hầm này cần mở các port như TCP 1723 và giao thức IP GRE để kết nối PPTP Tuy nhiên, trong một số tình huống như nhân viên làm việc tại khách hàng hoặc địa điểm đối tác, chỉ có quyền truy cập web (HTTP, HTTPS) trong khi các port khác bị chặn, dẫn đến khó khăn trong việc kết nối VPN và làm giảm năng suất Để giải quyết vấn đề này, Secure Socket Tunneling Protocol (SSTP) đã được giới thiệu trong Windows Server 2008.

SSTP sử dụng giao thức HTTPs làm lớp vận chuyển để cho phép các kết nối VPN vượt qua tường lửa, NAT và máy chủ proxy web Kết nối HTTPs (TCP 443) thường được dùng để truy cập các trang web bảo mật như trang thương mại, nên thường được mở trong tường lửa và có khả năng đi qua các máy chủ proxy web và router NAT.

A VPN server running on Windows Server 2008 utilizes SSTP to listen for connections from VPN clients To establish this connection, the SSTP server must have a Computer Certificate installed with Server Authentication properties This certificate is essential for authenticating the SSTP server to the SSTP client during the SSL session setup The SSTP client verifies the certificate provided by the SSTP server, which requires that the Root CA that issued the certificate be installed on the SSTP client The VPN tunnel based on SSTP functions similarly to a peer-to-peer L2TP tunnel and is encapsulated within PPTP, meaning that PPTP traffic is securely wrapped within the SSTP tunnel.

Mạng Riêng Ảo (VPN) gửi lưu lượng kết nối HTTPs, giữ nguyên các tính năng như kiểm tra sức khỏe dựa vào NAT, tải lưu lượng IPV6 và các thuật toán xác thực như username và smartcard Các client VPN vẫn hoạt động dựa trên trình quản lý kết nối mà không thay đổi khi chuyển từ SSTP, PPTP đến L2TP Điều này cung cấp cho quản trị viên một lộ trình thuận lợi để di chuyển từ L2TP/PPTP sang SSTP.

2.4.3 SSTP họat động như thế nào?

SSTP hoạt động trên giao thức HTTPS, sử dụng SSL để bảo mật thông tin và dữ liệu SSL cung cấp cơ chế xác thực các điểm cuối thông qua PKI, cho phép SSTP xác thực server với client Quá trình này dựa vào PPP, trong đó client xác thực server bằng chứng chỉ, và server xác thực client thông qua giao thức hỗ trợ bởi PPP.

When a client connects to a Remote Access Server using SSTP for tunneling, SSTP establishes an HTTPS session with the remote server on a specific port.

443 một địa chỉ URL riêng biệt Các xác lập proxy HTTP được cấu hình thông qua

IE sẽ được sử dụng để thiết lập kết nối này

Trong phiên HTTPs, client yêu cầu server cung cấp chứng chỉ để xác thực Sau khi thiết lập quan hệ SSL hoàn tất, các phiên HTTP được thiết lập trên nền tảng này Tiếp theo, SSTP được sử dụng để thương lượng các tham số giữa Client và Server Khi lớp SSTP được thiết lập, quá trình thương lượng SSTP bắt đầu, nhằm cung cấp cơ chế xác thực cho client và server, đồng thời tạo ra một đường hầm an toàn cho dữ liệu.

2.4.4 Ưu và nhược điểm của SSTP Ưu điểm

 Có khả năng vượt qua hầu hết các loại tường lửa.

 Mức độ bảo mật phụ thuộc vào mật mã, nhưng nó thường được bảo mật.

 Được hỗ trợ bởi Microsoft & tích hợp vào hệ điều hành Windows.

 Vì đây là tài sản của Microsoft nên không bên thứ ba nào có thể kiểm tra lỗ hổng bảo mật.

 Tốc độ chậm do mức độ mã hóa cao.

Giao thức TLS

Mạng máy tính Mạng Riêng Ảo VPN

TLS (Transport Layer Security) là giao thức mật mã cung cấp bảo mật đầu cuối cho dữ liệu truyền qua Internet, chủ yếu được sử dụng trong duyệt web an toàn với HTTPS và biểu tượng ổ khóa trong trình duyệt Ngoài việc bảo vệ thông tin trên web, TLS cũng được khuyến khích áp dụng cho các ứng dụng khác như email, truyền tệp, hội nghị truyền hình, nhắn tin tức thì, VoIP, cũng như các dịch vụ Internet như DNS và NTP.

TLS, phát triển từ SSL (Lớp cổng bảo mật) của Netscape Communications Corporation vào năm 1994, nhằm bảo mật các phiên duyệt web Được định nghĩa lần đầu trong RFC 2246 vào năm 1999, TLS là một giao thức độc lập với ứng dụng Tuy nhiên, cần lưu ý rằng TLS không bảo vệ dữ liệu trên các hệ thống đầu cuối, mà chỉ đảm bảo an toàn cho dữ liệu trong quá trình truyền qua Internet, giúp ngăn chặn việc nghe trộm hoặc thay đổi nội dung.

TLS thường được sử dụng trên giao thức TCP để mã hóa các giao thức ứng dụng như HTTP, FTP, SMTP và IMAP Tuy nhiên, TLS cũng có thể được triển khai trên các giao thức khác như UDP, DCCP và SCTP, đặc biệt là trong các ứng dụng liên quan đến VPN và SIP.

2.5.2 Cơ chế hoạt động của TLS

TLS bảo mật thông tin liên lạc thông qua việc sử dụng cơ sở hạ tầng khóa công khai bất đối xứng để thiết lập kết nối giữa client và server Sau khi kết nối được khởi tạo, TLS chuyển sang sử dụng khóa đối xứng để mã hóa dữ liệu trong suốt phiên truyền Hãy cùng tìm hiểu cách thức hoạt động của các phương thức mã hóa này.

Giao thức mã hóa bất đối xứng sử dụng hai khóa khác nhau để mã hóa thông tin liên lạc giữa hai bên:

Khóa riêng tư, hay private key, là một thành phần quan trọng mà chủ sở hữu trang web kiểm soát và lưu giữ một cách bảo mật Khóa này được lưu trên máy chủ web và có chức năng giải mã thông tin đã được mã hóa bằng khóa công khai, đảm bảo an toàn cho dữ liệu.

Khóa công khai là một công cụ an toàn cho phép mọi người tương tác với máy chủ Thông tin được mã hóa bằng khóa công khai chỉ có thể được giải mã bởi khóa riêng tư, đảm bảo tính bảo mật trong quá trình truyền tải dữ liệu.

Mạng máy tính Mạng Riêng Ảo VPN

Cặp khóa công khai (public key) và khóa riêng (private key) có mối quan hệ thông qua một hàm toán học, với thiết kế đảm bảo rằng việc tính toán khóa riêng từ khóa công khai là gần như bất khả thi khi độ dài khóa đủ lớn Thuật toán cũng đảm bảo rằng tin nhắn mã hóa bằng khóa công khai không thể được giải mã bằng chính khóa công khai, mà cần có khóa riêng được lưu trữ trên server Nhờ đó, Client có thể khởi tạo và trao đổi khóa chung với server mà không lo bị hacker nghe lén và giải mã Khóa chung này sẽ được sử dụng cho giao thức mã hóa đối xứng.

Giao thức mã hóa đối xứng sử dụng một khóa bí mật chung cho cả người gửi và người nhận để mã hóa và giải mã dữ liệu.

Mã hóa an toàn nhất hiện nay là mã hóa 256 bit, trong khi bất kỳ độ dài nào dưới 80 bit đều được coi là không an toàn Mặc dù mã hóa đối xứng hiệu quả hơn về mặt tính toán so với mã hóa bất đối xứng, nhưng nó yêu cầu một khóa bí mật chung, cần được chia sẻ một cách an toàn Do đó, mã hóa bất đối xứng được sử dụng để trao đổi khóa bí mật, sau đó mã hóa đối xứng được áp dụng để truyền tải dữ liệu lớn Quá trình bắt tay TLS diễn ra theo các bước cụ thể để đảm bảo an toàn trong giao tiếp.

The client initiates communication by sending a "client hello" message to the server, which includes the SSL version, cipher settings, session data, and other essential information required for the client to establish a secure connection via the SSL protocol.

The server responds with a "server hello" message, which includes the SSL version, cipher suite settings, session data, public key, and other essential information required for the client to communicate securely via SSL.

The client verifies the SSL certificate, including the public key and other information sent by the server, with a Certificate Authority (CA), which is a third-party entity that provides digital authentication services, such as GeoTrust or Digicert If the verification fails, the client will refuse communication, halting the SSL handshake process Conversely, if the verification is successful, the process will proceed to the next step.

 Client sinh một session key (hay chính là symetric secret key đã đề cập ở trên), mã hóa nó với public key và gửi nó đến server.

Máy chủ sử dụng khóa riêng để giải mã khóa phiên, sau đó gửi kết quả thành công đến khách hàng Kết quả này cũng được mã hóa đối xứng bằng khóa phiên vừa được giải mã.

Sau khi hoàn tất việc khởi tạo, toàn bộ quá trình giao tiếp tiếp theo qua các giao thức như HTTPS, FTM, và STMP sẽ được mã hóa hai chiều bằng khóa bí mật đối xứng đã đề cập.

Mạng máy tính Mạng Riêng Ảo VPN

TLS không chỉ mã hóa dữ liệu mà còn cho phép ứng dụng khách xác thực quyền sở hữu khóa công khai của máy chủ, đảm bảo rằng website đang truy cập là chính xác Việc này thường được thực hiện thông qua chứng chỉ số X.509 do các tổ chức phát hành chứng chỉ (CA) đáng tin cậy cấp Trong một số trường hợp, máy chủ có thể sử dụng chứng chỉ tự ký, nhưng máy khách cần chấp nhận rõ ràng, và trình duyệt sẽ cảnh báo người dùng về chứng chỉ không đáng tin cậy Các chứng chỉ tự ký thường được sử dụng trong các mạng riêng hoặc trong các môi trường có thể đảm bảo an toàn cho việc phân phối chứng chỉ, tuy nhiên, chứng chỉ do các CA công khai cấp vẫn thường được coi là đáng tin cậy hơn.

2.5.3 Chức năng của giao thức TLS

Ngày đăng: 09/01/2025, 16:05

HÌNH ẢNH LIÊN QUAN

BẢNG PHÂN CÔNG THỰC HIỆN ĐỀ TÀI - Tìm hiểu về mạng riêng ảo vpn
BẢNG PHÂN CÔNG THỰC HIỆN ĐỀ TÀI (Trang 2)
Hình 2 : Mô - Tìm hiểu về mạng riêng ảo vpn
Hình 2 : Mô (Trang 14)
Hình 3: Mô hình mạng VPN cục bộ - Tìm hiểu về mạng riêng ảo vpn
Hình 3 Mô hình mạng VPN cục bộ (Trang 15)
Hình 4: Mô hình mạng VPN mở rộng - Tìm hiểu về mạng riêng ảo vpn
Hình 4 Mô hình mạng VPN mở rộng (Trang 16)
Hình 5: Sơ đồ các thành phần của IPSec và luồng dịch chuyển. - Tìm hiểu về mạng riêng ảo vpn
Hình 5 Sơ đồ các thành phần của IPSec và luồng dịch chuyển (Trang 20)

TRÍCH ĐOẠN

Giao thức PPTP (Point-to-Point Tunneling Protocol)

Giao thức đĩnh đường hầm lớp 2 (Layer 2 Tunneling Protocol).24

TÀI LIỆU CÙNG NGƯỜI DÙNG

  • Đang cập nhật ...

TÀI LIỆU LIÊN QUAN