Tìm hiểu về mạng riêng ảo vpn và các giải pháp bảo mật mạng máy tính dành cho người dùng cá nhân và doanh nghiệp nhỏ sử dụng vpn

Bao gồm tất cả những tài nguyên hiện có trên mạng cục bộ; có thể truy cập kể cảkhi đang đi trên đường; hay đi du lịch, … Sử dụng các nguồn lựctrong mạng nội bộ không cần thiết phải tiếp

TRƯỜNG ĐẠI ĐỌC HÀNG HẢI VIỆT NAM

KHOA CÔNG NGHỆ THÔNG TIN

Hải Phòng, tháng 10 năm 2024

MỤC LỤC

I Khái niệm và nhược điểm của VPN 7

Mạng riêng ảo VPN: 7

Ưu điểm 7

Nhược điểm 7

Những ứng dụng của VPN 8

II PHÂN LOẠI MẠNG RIÊNG ẢO VPN 9

2.1 VNP truy cập từ xa (Remote Access VPN) 9

2.2 VPN điểm nối điểm 10

2.2.1 Mạng VPN cục bộ (Intranet-based VPN) 10

2.2.2 Mạng VPN mở rộng (Extranet-based VPN) 12

III CÁC GIAO THỨC CỦA MẠNG VPN 13

3.1 Giao thức chuyển tiếp lớp 2 (L2F - Layer 2 Forwarding Protocol) 13

3.1.1 Thành phần của L2F 14

3.1.2 Hoạt động của L2F 15

3.1.3 Ưu nhược điểm của L2F 16

3.2 Giao thức giao thức đường hầm iểm-iểm (PPTP - Point-to-Point Tunneling Protocol) 16

3.2.1 Khái quát hoạt động của PPTP 17

3.2.2 Ưu và Nhược điểm của PPTP 18

3.3 Giao thức ịnh đường hầm 2 lớp (L2TP – Layer 2 Tunneling Protocol) .18

3.3.1 Khái quát về hoạt động của L2TP 18

3.3.2 Triển khai VPN dựa trên L2TP 19

3.3.3 Ưu và nhươc iểm của L2TP 20

3.4 Bộ giao thức IP SEC 21

3.4.1 Giới thiệu về IPSec 21

3.4.2 Đánh giá IPSec 22

3.4.3 Ứng dụng của IPSec 23

3.4.4 Kiến trúc IPSec 24

3.4.5 Tính năng của IPSec 26

3.4.6 Hoạt động của IPSec 26

IV CÁC GIẢI PHÁP BẢO MẬT MẠNG MÁY TÍNH SỬ DỤNG VPN 27

4.Những vấn đề bảo mật trong mạng riêng ảo 27

4.1 Tấn công các thành phần mạng riêng ảo 28

4.2 Tấn công giao thức mạng riêng ảo 28

4.3 Tấn công mật mã 29

4.4 Tấn công từ chối dịch vụ 29

4.5 Công nghệ bảo mật mạng riêng ảo 30

IV Ứng dụng VPN với cá nhân và doanh nghiệp 35

5.1 VPN cá nhân 35

Tại sao bạn nên sử dụng VPN? 35

5.2 VPN doanh nghiệp 38

5.2.1 Lí do doanh nghiệp nên sử dụng VPN 39

5.2.2 Sự khác biệt giữa doanh nghiệp có và không sử dụng VPN 40

5.2.3 Doanh nghiệp có và không sử dụng VPN có sự khác biệt rõ ràng về bảo mật, quyền riêng tư và khả năng tiếp cận thông tin: 41

5.2.4 Cách doanh nghiệp sử dụng VPN? 42

5.2.5 Doanh nghiệp yêu cầu nhân viên sử dụng VPN cá nhân và doanh nghiệp không sử dụng VPN cá nhân có một số điểm khác biệt quan trọng: 43

5.2.6 Doanh nghiệp nên tìm nhà cung cấp VPN theo các tiêu chí 44

Danh mục hình ảnh

Hình 1 Mô hình mạng VPN truy cập 9

Hình 2 Mạng cục bộ VPN (Intranet-based VPN) 11

Hình 3 Mạng VPN mở rộng (Extranet-based VPN) 12

Hình 4: Mô hình kết nỗi VPN sử dụng L2F 14

Hình 5 Hoạt động của giao thức L2F 16

Hình 6: Mô hình kết nổi PPTP 17

Hình 7: Mô hình kết nổi sử dụng L2TP 19

Hình 9: Ứng dụng của IP SEC 24

Hình 10: Ứng dụng của IP SEC 24

Hình 11: Hoạt động của IPSec 27

Hình 12: Các yếu tố của một thiết lập dựa trên VPN 28

Hình 13: Tin tặc gây nghẽn mạng 30

Hinh 14 Mã hoá khoá bí mật hay đối xứng 31

Hình 15 Thuật toán mã hoá khoá công cộng 33

Hình 16 Các thành phần PKI 34

Hình 17 Bảng thông kê 36

vô cùng mạnh mẽ Những thông tin trao đổi trên Internet không chỉ đa dạng

về nội dung và hình thức mà còn chứa rất nhiều thông tin cần bảo mật cao bởitính kinh tế, tính chính xác và tin cậy của đó Bên cạnh đó, những dịch vụ mạng ngày càng có giá trị, yêu cầu phải ảm bảo tính ổn định và an toàn cao Tuy nhiên, các hình thức phá hoại mạng cũng trở nên tinh vi và phức tạp hơn,

do đó đối với mỗi hệ thống, nhiệm vụ bảo mật đặt ra cho người quản trị là hếtsức quan trọng và cần thiết

Xuất phát từ những thực tế nêu trên, hiện nay trên thế giới đã xuất hiện rất nhiều công nghệ liên quan đến giải pháp bảo mật hệ thống và mạng máy tính,

và việc nắm bắt những công nghệ này là hết sức cần thiết Chính vì vậy,

nhđóm đã quyết ịnh chọn ề tài nghiên cứu là Mạng Riêng Ảo (VPN-Virtual

Private Network)- một mô hình mạng thỏa mãn được những nhu cầu nói trên

mà vẫn có thể tận dụng lại những cơ sở hạ tầng của mạng Internet

I Khái niệm và nhược điểm của VPN

Mạng riêng ảo VPN:

 VPN hay Mạng riêng ảo tạo ra kết nối mạng riêng tư giữa các thiết

bị thông qua Internet VPN được sử dụng để truyền dữ liệu một cách an toàn và ẩn danh qua các mạng công cộng VPN hoạt động bằng cách ẩn địa chỉ IP của người dùng và mã hóa dữ liệu để chỉ người được cấp quyền nhận dữ liệu mới có thể đọc được

Ưu điểm

 Quyền riêng tư:

Nếu không có mạng riêng ảo, dữ liệu cá nhân của bạn như mật khẩu, thông tin thẻ tín dụng và lịch sử duyệt web có thể bị ghi lại và rao bán bởi các bên thứ ba VPN sử dụng

mã hóa để giữ bí mật những thông tin này, đặc biệt là khi bạn kết nối qua mạng Wi-Fi công cộng

 Tính ẩn danh

Địa chỉ IP chứa thông tin về vị trí và hoạt động duyệt web của bạn Tất cả các trang web trên Internet theo dõi dữ liệunày bằng cookie và công nghệ tương tự Họ có thể nhận dạng bạn bất cứ khi nào bạn ghé thăm trang web của họ Kết nối VPN sẽ ẩn địa chỉ IP của bạn, để bạn được ẩn danh trên Internet

 Bảo mật

Dịch vụ VPN sử dụng mật mã để bảo vệ kết nối Internet của bạn khỏi những truy cập trái phép VPN cũng có thể hoạt động như một cơ chế tắt, hủy bỏ các chương trình được chọn trước đó phòng khi có hoạt động đáng ngờ trên Internet Việc này làm giảm khả năng dữ liệu bị xâm phạm Những tính năng trên cho phép các công ty cấp quyền truy cập từ xa cho người dùng được ủy quyền thuộcmạng lưới kinh doanh của họ

Nhược điểm

 VPN có thể làm chậm tốc độ truy cập Internet

 Việc sử dụng VPN sai có thể khiến quyền riêng tư gặp nguy hiểm

 Giá thành cao

 Không phải thiết bị nào cx hỗ trợ VPN

 Nhiều trang web trực tuyến đang trở nên cảnh giác với VPN và tạo ra nhiều trở ngại nhằm ngăn cản hay giảm lượng truy cập vàonội dung bị hạn chế

 Không may là người dùng cũng có thể sử dụng VPN vào các hoạt động bất hợp pháp, khiến công nghệ này bị mang tiếng xấu

 Trong quá trình thiết lập VPN nếu xảy ra trục trặc, các DNS và địa chỉ IP của bạn có thể dễ dàng bị lộ ra ngoài, tạo điều kiện thuận lợi cho hacker xâm nhập và đánh cắp thông tin

Những ứng dụng của VPN

 Truy cập vào mạng của doanh nghiệp từ xa: Mạng riêng ảo

thường được sử dụng cho những người kinh doanh dùng để truy cập vào hệ thống mạng lưới kinh doanh của họ Bao gồm tất cả những tài nguyên hiện có trên mạng cục bộ; có thể truy cập kể cảkhi đang đi trên đường; hay đi du lịch, … Sử dụng các nguồn lựctrong mạng nội bộ không cần thiết phải tiếp xúc trực tiếp với kết nối Internet; nhờ đó làm tăng khả năng bảo mật

 Truy cập vào mạng gia đình, dù không ở nhà: người dùng có

thể thiết lập mạng riêng ảo để truy cập khi không ở nhà Thao tácnày sẽ cho phép người dùng truy cập Windows từ xa thông qua kết nối Internet; sử dụng những tập tin được chia sẻ trong cùng một mạng nội bộ, chơi game trên máy tính thông qua hệ thống Internet giống như đang ở trong cùng hệ thống mạng LAN

 Trình duyệt web ẩn danh: Nếu bạn đang sử dụng WiFi công

cộng, trình duyệt web trên những trang web không phải của

“https”, thì tính độ an toàn của dữ liệu trao đổi trong mạng sẽ dễ

bị rò rỉ Nếu muốn ẩn hoạt động trình duyệt web của mình để đảm bảo dữ liệu được bảo mật hơn thì bạn nên kết nối với VPN Mọi thông tin của bạn sẽ truyền qua mạng lúc này sẽ được mã hóa lại

 Giúp khách hàng truy cập dễ dàng đến những website bị chặn bởi giới hạn địa lý, bỏ qua kiểm những trình duyệt của

Internet, vượt tđường lửa, …

 Tải tập tin: Tải tệp BitTorrent trên mạng riêng ảo (VPN) sẽ giúp

tăng tốc tốc độ tải của file Điều này cũng có ích với các traffic

mà ISP của bạn có thể đang gây trở ngại

II PHÂN LOẠI MẠNG RIÊNG ẢO VPN

Mạng VNP có thể phân loại dựa theo 3 tiêu chí sau:

Kết nối với các chi nhánh, văn phòng

Kiểm soát được quyền truy cập của khách hàng hay các đối tượng khác ngoài công ty

Nhân viên sử dụng cùng một hệ thống mạng có thể truy cập bằngmạng di động hoặc truy cập từ xa vào mạng nội bộ của công ty tại mọi thời điểm

2.1 VNP truy cập từ xa (Remote Access VPN)

-Là kiểu VNP điển hình nhất cung cấp khả năng truy cập từ xa Nó giúp cho các nhân viên có thể truy cập được vào mạng của công ty, cũng như các chi nhánh của công ty có thể trao đổi với nhau ở bất cứ nơi nào và thời điểm nào chỉ cần có kết nối Intetnet

-Ví dụ như công ty muốn thiết lập một VPN lớn phải cần đến một nhà cung cấp dịch vụ doanh nghiệp (ESP) ESP này tạo ra một máy chủ truy cập mạng (NAS) và cung cấp cho những người sử dụng từ xa một phần mềm khác cho máy tính của họ

-Tiếp đó, người sử dụng có thể gọi một số miễn phí để liên hệ với NAS

và dùng phần mềm VPN máy khách ể truy cập vào mạng riêng của doanh nghiệp Loại mạng riêng ảo này cho phép các kết nối an toàn, có bảo mật

Hình 1 Mô hình mạng VPN truy cập

Remote Access VPN thường được sử dụng cho các kết nối có băng thông thấp giữ một thiết bị của người dùng như PC, Ipad,… và một thiết bị GatewayVPN Remote Access VPN thông thường sử dụng tunnel mode cho các kết

nối Người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng của công ty thông qua Gateway hoặc VPN concentrator (bản chất là một server), giải pháp này thường được gọi là client/server), giải pháp này thường được gọi là client/server Trong giải pháp này, người dùng thường sử dụng các công nghệ truyền thống để tạo lại các tunnel về mạng của họ

• Ưu điểm của Remote Access VPN:

-Giảm giá thành chi phí cho các kết nối với khoảng cách xa

-Do đây là một kết nối mang tính cục bộ, do vậy tốc độ kết nối sẽ cao hơn so với kết nối trực tiếp đến những khoảng cách xa

• Nhược điểm của Remote Access VPN:

-Remote Access VPN cũng không ảm bảo được chất lượng và dịch vụ do được cung cấp bởi bên thứ 3

-Khả năng mất dữ liệu là rất cao

-Độ phức tạp của thuật toán mã hóa gây khó khăn trong quá trình xác nhận

-Do phải truyền thông qua Internet, nên khi trao đổi các dữ liệu lớn như các gói dữ liệu truyền thông, phim ảnh, âm thanh sẽ rất chậm

2.2 VPN điểm nối điểm (Site to site)

Có thể hiểu là 1 kết nối VPN kết nối 2 mạng nội bộ (mạng LAN - Local Area Network) với nhau thì được gọi là 1 kết nối VPN site to site VPN site to site được sử dụng để kết nối các mạng nội bộ ở xa với nhau, trên một đường truyền an toàn và bảo mật Và tạo 1 đường truyền site to site thì sẽ đơn giản thông qua Internet

Các mạng Site to Site VPN có thể thuộc một trong 2 dạng sau:

2.2.1 Mạng VPN cục bộ (Intranet-based VPN)

Áp dụng trong trường hợp công ty có một hoặc nhiều địa điểm xa, mỗi địa điểm đều đã có một mạng cục bộ LAN Khi đó họ có thể xây dựng một mạng riêng ảo VPN để kết nối các mạng cục bộ đó trong một mạng riêng thống nhất

Các VPN cục bộ được sử dụng để bảo mật các kết nối giữa các địa điểm khácnhau của một công ty Mạng VPN liên kết trụ sở chính, các văn phòng, chi nhánh trên một cơ sở hạ tầng chung sử dụng các kết nối luôn được mã hoá bảo mật Điều này cho phép tất cả các địa điểm có thể truy nhập an toàn các

nguồn dữ liệu được phép trong toàn bộ mạng của công ty Những VPN này vẫn cung cấp những đặc tính của mạng WAN như khả năng mở rộng, tính tin cậy và hỗ trợ cho nhiều kiểu giao thức khác nhau với chi phí thấp nhưng vẫn đảm bảo tính mềm dẻo Kiểu VPN này thường được cấu hình như là một VPN Site to Site

-Tiết kiệm chi phí thu được từ những lợi ích đạt được bằng cách

sử dụng đường ngầm VPN thông qua Internet kết hợp với công nghệ chuyển mạch tốc độ cao Ví dụ như công nghệ Frame Relay, ATM

• Nhược điểm:

-Bởi vì dữ liệu được truyền “ngầm” qua mạng công cộng – mạng Internet – cho nên vẫn còn những mối “ đe dọa” về mức độ bảo mật dữ liệu và mức độ chất lượng dịch vụ (QOS)

-Khả năng các gói dữ liệu bị mất trong khi truyền dẫn vẫn còn khá cao

-Trường hợp truyền dẫn khối lượng lớn dữ liệu, như là đa phươngtiện, với yêu cầu truyền dẫn tốc độ cao và đảm bảo thời gian thực

là thách thức lớn trong môi trường Internet

2.2.2 Mạng VPN mở rộng (Extranet-based VPN)

Thực tế mạng VPN mở rộng cung cấp khả năng điều khiển truy nhập tới những nguồn tài nguyên mạng cần thiết để mở rộng những đối tượng kinh doanh như là các đối tác, khách hàng, và các nhà cung cấp,… Các VPN mở rộng cung cấp một đường hầm bảo mật giữa các khách hàng, các nhà cung cấp và các đối tác qua một cơ sở hạ tầng công cộng Kiểu VPN này sử dụng các kết nối luôn luôn được bảo mật và được cấu hình như một VPN Site–to–Site Sự khác nhau giữa một VPN cục bộ và một VPN mở rộng đó là sự truy cập mạng được công nhận ở một trong hai đđầu cuối của VPN

-Bởi vì các kết nối Internet được nhà cung cấp dịch vụ Internet bảo trì, nên giảm được số lượng nhân viên kỹ thuật hỗ trợ mạng,

do vậy giảm được chi phí vận hành của toàn mạng

• Nhược điểm:

- Khả năng bảo mật thông tin, mất dữ liệu trong khi truyền qua mạng công cộng vẫn tồn tại

- Truyền dẫn khối lượng lớn dữ liệu, như là a phương tiện, với yêucầu truyền dẫn tốc độ cao và đảm bảo thời gian thực, là thách thức lớn trong môi trường Internet

- Làm tăng khả năng rủi ro đối với các mạng cục bộ của công ty

III CÁC GIAO THỨC CỦA MẠNG VPN

Hiện nay có nhiều giải pháp để giải quyết hai vấn đề đóng gói dữ liệu và

an toàn dữ liệu trong VPN, dựa trên nền tảng là giao thức đường hầm Một giao thức đường sẽ thực hiện đóng gói dữ liệu với phần Header (và

có thể cả Trailer) tương ứng để truyển qua Internet Dữ liệu ở đầu ra của một mạng được mật mã rồi chuyển vào mạng công cộng như các dữ liệu khác để truyền tới ích và Sau đó được giải mã tại phía thu Dữ liệu đã mật mã có thể coi như được truyền trong một đường hầm (tunnel) bảo mật từ nguồn tới ích Cho dù một kẻ tấn công có thể nhìn thấy dữ liệu đótrên đường truyền thì cũng không có khả năng đọc được vì nó đã được mật mã Vì vậy giao thức đường hầm là cốt lõi của giải pháp VPN Có 4 giao thức chính để thiết lập một “mạng riêng ảo” hoàn chỉnh đó là:

• L2F - Layer 2 Forwarding Protocol (Giao thức chuyển tiếplớp 2)

• PPTP - Point-to-Point Tunneling Protocol (Giao thức

đường hầm điểm – điểm)

• L2TP - Layer 2 Tunneling Protocol(Giao thức đường hầm lớp 2)

• IP Sec - IP Security (Giao thức bảo mật)

Có nhiều giao thức đường hầm khác nhau, và việc sử dụng giao thức nào liên quan đến các phương pháp xác thực và mật mã đi

kèm Tuỳ theo từng lớp ứng dụng cụ thể mà mỗi giao thức đều có

ưu và nhược điểm khác nhau khi triển khai vào mạng VPN, việc quan trọng là người thiết kế phải kết hợp các giao thức một cách hợp lý

3.1 Giao thức chuyển tiếp lớp 2 (L2F - Layer 2 Forwarding Protocol)

Giao thức L2F là một kỹ thuật được nghiên cứu và phát triển trongcác hệ thống mạng của Cisco dựa trên giao thức ppp - Point toPoint Protocol (là một giao thức truyền thông nổi tiếp lớp 2), có thể

sử dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đa giao thức lớptrên L2F không tự cung cấp mã hóa hoặc bảo mật, nó cung cấpgiải pháp cho mạng VPN bằng cách thiết lập đường hầm bảo mậtthông qua cơ sở hạ tầng công cộng Giao thức L2F được phát triểnsớm nhất, là phương pháp truyền thống để cho những người sửdụng ở xa truy nhập vào một mạng công ty thông qua thiết bị truynhập từ xa Nó cho phép đóng gói các gói PPP trong khuôn dạngL2F và định đường hầm ở lớp liên kết dữ liệu

Hình 4: Mô hình kết nỗi VPN sử dụng L2F

3.1.1 Thành phần của L2F

L2F đóng gói những gói tin lớp 2 (trong trường hợp này là PPP), sau

đó truyền chúng xuyên qua mạng Hệ thống sử dụng L2F gồm cácthành phần sau:

- Máy chủ truy nhập mạng NAS (Network Access Server):hướng lưu lượng đến và đi giữa máy khách ở xa (RemoteClient) và Home Gateway

- Đường hầm (Tunnel): Định hướng đường đi giữa NAS vàHome Gateway Một đường hầm gồm một số kết nối

- Home Gateway: ngang hàng với NAS, là phần tử cửa ngõthuộc mạng riêng

- Kết nối (Connection): là một kết nối PPP trong đường hầm.Trong CLI, một kết nối L2F được xem như là một phiên

- Điểm ích (Destination): là điểm kết thúc ở ầu xa của đườnghầm Trong trường hợp này thì Home Gateway là điểm đích 3.1.2 Hoạt động của L2F

- Người dùng quay số ến hệ thống máy chủ truy nhập mạngNAS và khởi đầu một kết nối PPP đến nhà cung cấp dịch vụInternet ISP

- Hệ thống NAS và khách trao đổi các gói giao thức liên kếtLCP (Link Control Protocol)

- NAS sử dụng dữ liệu tên vùng hay RADIUS để quyết địnhngười dùng có yêu cầu L2F không, nếu người dùng yêu cầuL2F thì NAS tiếp tục thu nhận địa chỉ home gateway

- Thiết lập đường hầm giữa home gateway với NAS để chốnglại sự tấn công của kẻ thứ ba

- Kết nối PPP mới được tạo ra trong đường hầm , nó giúp kéodài phiên sử dụng của người dùng ở xa đến home gateway

- Khi NAS tiếp nhận lưu lượng dữ liệu từ người dùng, nó lấygói và đóng gói lưu lượng vào khung L2F và hướng nó vàotrong đường hầm

- Tại Home gateway, khung L2F được tách bỏ, dữ liệu đượcđóng gói hướng tới mạng công ty

Hình 5 Hoạt động của giao thức L2F

3.1.3 Ưu nhược điểm của L2F

• Ưu điểm

- Cho phép thiết lập đường hầm a giao thức;

- Được hỗ trợ bởi nhiều nhà cung cấp

• Nhược iểm

- Không có mã hoá;

- Hạn chế trong việc xác thực người dùng;

- Không có điều khiển luồng cho đường hầm

3.2 Giao thức giao thức đường hầm iểm-iểm (PPTP - Point Tunneling Protocol)

Point-to-Giao thức đường hầm điểm tới điểm được ưa ra đầu tiên bởi mộtnhóm các công ty gồm: Ascend comm, Microsoft, ECITelematicsunication được gọi là PPTP Forum Ý tưởng cơ sở củagiao thức này là tách các chức năng chung và riêng của truy nhập

từ xa, lợi dụng cơ sở hạ tầng Internet sẵn có để tạo kết nối bảo mậtgiữa người dùng ở xa (client) và mạng riêng Người dùng ở xa chỉviệc quay số tới nhà cung cấp dịch vụ Internet địa phương là có thểtạo đường hầm bảo mật tới mạng riêng của họ Giao thức PPTPđược xây dựng dựa trên chức năng của PPP, cung cấp khả năngquay số truy nhập tạo ra một đường hầm bảo mật thông quaInternet đến site đích PPTP sử dụng giao thức đóng gói đđịnhtuyến chung GRE được mô tả lại để đóngvà tách gói PPP Giao

thức này cho phép PPTP mềm dẻo xử lý các giao thức khác khôngphải IP như IPX, NETBEUI

Hình 6: Mô hình kết nổi PPTP

3.2.1 Khái quát hoạt động của PPTP

PPP đã trở thành giao thức truy nhập vào Internet và các mạng IPrất phổ biến hiện nay Làm việc ở lớp liên kết dữ liệu trong môhình OSI, PPP bao gồm các phương thức óng, tách gói cho các loạigói dữ liệu khác nhau để truyền nối tiếp PPP có thđể đóngcác gói

IP, IPX, NETBEUI và truyền đi trên kết nối iểm-iểm từ máy gửi ếnmáy nhận

PPTP đóng gói các khung dữ liệu của giao thực PPP vào các IPdatagram để truyền qua mạng IP (Internet hoặc Intranet) PPTPdùng một kết nối TCP (gọi là kết nối điều khiển PPTP) để khởi tạo,duy trì, kết thúc đường hầm, và một phiên bản của giao thức GRE

để đóng gói các khung PPP Phần tải tin của khung PPP có thểđược mật mã và/hoặc nén PPTP sử dụng PPP để thực hiện cácchức năng:

- Thiết lập và kết thúc kết nối vật lý

- Xác thực người dùng

- Tạo các gói dữ liệu PPP

PPTP giả định tồn tại một mạng IP giữa PPTP client (VPN client

sử dụng PPTP) và PPTP server (VPN server sử dụng PPTP) PPTPclient có thể được nối trực tiếp qua việc quay số tới máy chủ truynhập mạng NAS để thiết lập kết nối IP Khi một kết nối PPP đượcthiết lập thì người dùng thường đã được xác thực Đây là giai đoạntuỳ chọn trong PPP, tuy nhiên nó luôn luôn được cung cấp bởi cácISP

Kết nối điều khiển PPTP là kết nối giữa địa chỉ IP của máy trạmPPTP (cổng TCP được cấp phát ngẫu nhiên) và địa chỉ IP của máychủ PPTP (sử dụng cổng mặc định là 1723) Kết nối điều khiểnPPTP mang các bản tin điều khiển và quản lý được sử dụng để duytrì đường hầm PPTP Các bản tin này bao gồm PPTP echo-request

và PPTP echo-reply định kỳ để phát hiện các lỗi kết nối giữa máytrạm và máy chủ PPTP

3.2.2 Ưu và Nhược điểm của PPTP

• Ưu điểm của PPTP

- Quản lý và chia sẻ dữ liệu nhanh chóng do được thiết kế trên

hệ thống những thông tin được chia sẻ với tốc độ băng thôngcao

- Dễ dàng trong việc thiết lập cấu hình, không tốn nhiều tàinguyên hệ thống

• Nhược điểm của PPTP

- PPTP chỉ thích hợp cho việc dial-up truy nhập với số lượngngười dùng giới hạn hơn là cho VPN kết nối LAN-LAN Máychủ PPTP cũng quá tải với một số lượng lớn người dùng dial-uphay một lượng lớn dữ liệu truyền qua - Tính bảo mật khôngcao , có thể bị bẻ khóa bất kì lúc nào

3.3 Giao thức ịnh đường hầm 2 lớp (L2TP – Layer 2 Tunneling Protocol)

Để tránh việc hai giao thức định đường hầm không tương thích

cùng tồn tại gây khó khăn cho người sử dụng, IETF đã kết hợp 2giao thức L2F và PPTP và phát triển thành L2TP L2TP đượcxây dựng trên cơ sở tận dụng các ưu iểm của PPTP và L2F, đồngthời có thể sử dụng được trong tất cả các trường hợp ứng dụngcủa hai giao thức này

3.3.1 Khái quát về hoạt động của L2TP

Một đường hầm L2TP có thể được khởi tạo từ một PC ở xa dial-up vềLNS (L2TP Network Server) hay từ LAC (L2TP Access Concentrator)

về LNS Mặc dù L2TP vẫn dùng ppp nhưng L2TP định nghĩa cơ chế

tạo đường hầm của riêng nó tùy thuộc vào phương tiện truyền chứkhông dùng GRE như PPTP Sau khi đạt được điều đó, một layer liênkết PPP được kích hoạt và đóng gói lại, sau đó, lớp liên kết này đượcchuyển sang web

Sau đó, kết nối PPP được tái tạo bởi người dùng cuối với ISP KhiLAC chấp nhận kết nối, liên kết PPP được thiết lập Sau đó, một vị trítrống trong tunnel mạng được chỉ ịnh và òi hỏi sau khi được chuyển ếnLNS

Cuối cùng, khi kết nối được xác thực và chấp nhận hoàn toàn, một giaodiện PPP ảo sẽ được tạo Tại thời điểm đó, các link frame ( đơn vịtruyền dữ liệu số trong mạng máy tính) cũng có thể tự do đi qua đườnghầm Các frame được LNS chấp nhận, Sau đó loại bỏ mã hóa L2TP vàtiến xử trí lý chúng như các frame thông thường

Hình 7: Mô hình kết nổi sử dụng L2TP

3.3.2 Triển khai VPN dựa trên L2TP

Hệ thống cung cấp VPN dựa trên L2TP bao gồm các thành phần cơbản sau:

• Máy chủ L2TP

Máy chủ L2TP có 2 chức năng chính là đóng vai trò là điểm kếtthúc của đường hầm L2TP và chuyển tiếp các gói từ đường hầmđến mạng LAN riêng hay ngược lại Máy chủ chuyển các gói đếnmáy ích bằng cách xử lý gói L2TP để có được địa chỉ mạng củamáy tính ích Không như máy chủ PPTP, máy chủ L2TP không cókhả năng đọc các gói, chức năng đọc gói trong L2TP được thựchiện bởi đường lửa

• Phần mềm Client L2TP

Nếu như các thiết bị của ISP đã hỗ trợ L2TP thì không cần bổ sungphần cứng hay phần mềm nào cho các máy trạm, chỉ cần kết nốichuẩn ppp là ủ Tuy nhiên với các thiết lập như vậy thì không sửdụng được mã hóa của IPSec Do vậy, ta nên sử dụng các phần mềmClient tương thích L2TP cho kết nối L2TP VPN Một sổ đặc iểmcủa phần mềm Client L2TP là:

- Tương thích với các thành phần khác của IPSec như máychủ mã hóa, giao thức chuyển khóa, giải thuật mã hóa

- Đưa ra một thông báo rõ ràng khi IPSec đang hoạt động

- Hầm băm (hashing) xử lý được các địa chỉ IP ộng

- Có cơ chế bảo mật khóa (mã hóa khóa với mật khẩu)

- Có cơ chế chuyển ổi mã hóa một cách tự ộng và ịnh kỳ

- Chặn hoàn toàn các lưu lượng không IPSec

• Bộ tập trung truy nhập mạng

ISP cung cấp dịch vụ L2TP cần phải cài một NAS cho phép L2TP

để hỗ trợ các máy trạm L2TP chạy trên nền cách hệ điều hành khácnhau như Unix, Windows, Macintosh Các ISP cũng có thể cungcấp dịch vụ L2TP mà không cần phải thêm các thiết bị hỗ trợ L2TP

và máy chủ truy nhập của họ, điều này đòi hỏi tất cả người dùngphải có phần mềm Client L2TP tại máy của mình Khi đó, ngườidùng có thể sử dụng dịch vụ của nhiều ISP trong trường hợp môhình mạng của họ rộng lớn về mặt địa lý

3.3.3 Ưu và nhươc iểm của L2TP

• Ưu iểm của giao thức L2TP

- Bảo mật tốt do nó không có lỗ hổng bảo mật nào lớn.L2TP sử dụng bộ IPSec để cung cấp mã hóa đđầu cuối,xác thực nguồn gốc dữ liệu, chống tấn công

- Cấu hình dễ dàng: Hỗ trợ trên nhiều nền tảng khác nhau

- Độ ổn định cao: Không gặp Vấn đề về hiệu suất khi sửdụng các kết nối không ổn ịnh

• Nhược điểm của giao thức L2TP

- Tốc độ chậm: Vì L2TP yêu cầu đóng gói 2 lần và yêu cầu

xử lý CPU cao hơn

- Dễ bị chặn: Do sử dụng kỹ thuật DPI (Deep PacketInspection) nên dễ bị chặn và phát hiện bởi tường lửa

3.4 Bộ giao thức IP SEC

3.4.1 Giới thiệu về IPSec

IP Security (IPSec – Internet Protocol Security) là một bộ giao thứcmật mã bảo quản lưu lượng dữ liệu qua mạng Internet Protocol (IP).Năm 1998, IETF (Internet Engineering Task Force) đã chuẩn hóaIPSec nằm mục đích phát triển cơ chế mã hóa và xác thực thông tincho chuỗi thông tin được truyển đi qua giao thức IP.Hay nói cáchkhác IPSec cho phép dữ liệu được truyền tải ở lớp Network Layer(trên mô hình OSI) được mã hóa an toàn thông qua các router

Hình 8: IP SEC trong mô hình OSI

➢ Giao thức bảo mật của tần Network Layers

IPSec làm việc bằng 2 chế độ là:

• Chế độ giao vận (Transport): thường được dùng trong thiếtlập VPN clientt o-site Tại đây, IP header gốc vẫn còn vàchưa được mã hóa, chỉ có payload và ESP trailer được mãhóa mà thôi

• Chế độ đường hầm (Tunnel): thường được sử dụng trongthiết lập VPN siteto -site IPSec gói dữ liệu trong một packetmới, mã hóa nó và thêm một IP header mới Tại đây các góitin được bảo vệ an toàn

3.4.2 Đánh giá IPSec

3.4.2.1 Ưu điểm

• Khi IPSec được triển khai trên bức tường lửa hoặc bộ địnhtuyến của một mạng riêng ảo, thì tính năng an toàn củaIPSec có thể áp dụng cho toàn bộ vào ra mạng riêng ảo ó

mà các thành phần khác không cần phải xử lý thêm cáccông việc liên quan ến bảo mật

• IPSec được thực hiện bên dưới lớp TCP và UDP, đồng thời

nó hoạt động trong suốt đối với các lớp này Do vậy không

cần phải thay ổi phần mềm hay cấu hình lại các dịch vụ khiIPSec được triển khai

• IPSec có thể được cấu hình để hoạt động một cách trongsuốt đối với các ứng dụng đầu cuối, điều này giúp che giấunhững chi tiết cấu hình phức tạp mà người dùng phải thựchiện khi kết nối đến mạng nội bộ từ xa thông qua mạngInternet

3.4.2.2 Hạn chế

• Tất cả các gói được xử lý theo IPSec sẽ bị tăng kích thước

do phải thêm vào các tiêu đề khác nhau, điều này làm chothông lượng hiệu dụng của mạng giảm xuống Vấn đề này

có thể được khắc phục bằng cách nén dữ liệu trước khi mãhóa, song các kĩ thuật như vậy vẫn còn đang nghiên cứu vàchưa được chuẩn hóa

• IPSec được thiết kế chỉ để hỗ trợ bảo mật cho lưu lượng IP,không hỗ trợ các dạng lưu lượng khác

• Việc tính toán nhiều giải thuật phức tạp trong IPSec vẫn còn

là một vấn đề khó đối với các trạm làm việc và máy PCnăng lực yếu

• Việc phân phối các phần cứng và phần mềm mật mã vẫncòn bị hạn chế đối với chính phủ một số quốc gia

3.4.3 Ứng dụng của IPSec

• Bảo vệ kết nối từ các mạng chi nhánh ến mạng trung tâmthông qua Internet

• Bảo vệ kết nối truy cập từ xa (Remote Access)

• Thiết lập các kết nối Intranet và Extranet

• Nâng cao tính bảo mật của các giao dịch thương mại iện tử