Tìm hiểu về mạng riêng ảo vpn và các giải pháp bảo mật mạng máy tính dành cho người dùng cá nhân và doanh nghiệp nhỏ

- An toàn an ninh mạng là các biện pháp được thực hiện để bảo vệ hệthống máy tính, mạng máy tính, dữ liệu và thông tin trực tuyến khỏixâm nhập, tấn công, và thiệt hại không mong muốn từ

TRƯỜNG ĐẠI HỌC HÀNG HẢI VIỆT NAM

VIỆN ĐÀO TẠO CHẤT LƯỢNG CAO

ĐỀ TÀI TÌM HIỂU VỀ MẠNG RIÊNG ẢO VPN VÀ CÁC GIẢI PHÁP BẢO MẬT MẠNG MÁY TÍNH DÀNH CHO NGƯỜI DÙNG CÁ

NHÂN VÀ DOANH NGHIỆP NHỎ

Giảng viên hướng dẫn: Phạm Ngọc Duy

Sinh Viên Thực Hiện : Nguyễn Đức Anh – 90134

Ngô Quốc Khánh – 92950 Đàm Hoài Nam - 92502

Hải Phòng - Năm 2024

MỤC LỤC

DANH MỤC HÌNH ẢNH 2

LỜI NÓI ĐẦU 3

TÓM TẮT VỀ BÁO CÁO 4

CHƯƠNG I: Tổng Quan về An Ninh Mạng 1

1 Tổng quan về An Ninh Mạng 1

a Khái niệm 1

b Tầm quan trọng 1

c Xu hướng và thách thức hiện nay 2

d Liên hệ với Việt Nam 2

CHƯƠNG II: Tổng quan về VPN 4

1 Khái niệm 4

2 Chức năng 5

3 Các mô hình VPN 5

a Remote Access VPN 5

b Site-to-Site VPN (Router-to-Router) 6

4 Ưu, Nhược Điểm 7

a Ưu điểm 7

b Nhược điểm 7

5 Ứng Dụng 8

CHƯƠNG III: CẤU TRÚC, CÁCH THỨC VÀ GIAO THỨC TRONG VPN 9

1 Cấu trúc và cách thức hoạt động của VPN 9

a VPN Server 9

b VPN Client 9

c VPN Tunnel 10

2 Giao thức được sử dụng trong VPN 10

a IPSec (Internet Protocol Security) 11

b PPTP (Point-to-Point Tunneling Protocol) 13

c L2TP (Layer 2 Tunneling Protocol) 13

d OpenVPN 14

Chương IV: Các Giải Pháp Bảo Mật cho cá nhân và doanh nghiệp nhỏ 16

1

KẾT LUẬN 17 TÀI LIỆU THAM KHẢO 18

DANH MỤC HÌNH ẢNH

Hình 1 - Mô hình mạng VPN 4

Hình 2 - VPN services 5

Hình 3 - Remote Access VPN 6

Hình 4 - Site-to-Site VPN 6

Hình 5 - Components of VPN 9

Hình 6 - Cấu trúc packet 10

Hình 7 - IPSec Packet 11

Hình 8 - IPSec Modes 12

Hình 9 - Giao thức PPTP 13

Hình 10 - Giao thức L2TP/IPSec 14

3

LỜI NÓI ĐẦU

CHƯƠNG I: TỔNG QUAN VỀ AN NINH MẠNG

1 Tổng quan về An Ninh Mạng

a Khái niệm

- An ninh mạng là sự bảo đảm hoạt động trên không gian mạng gây hạiđến an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp phápcủa cơ quan, tổ chức, cá nhân

- Mặt khác an ninh mạng là lĩnh vực liên quan đến bảo vệ hệ thống máytính, mạng máy tính, dữ liệu và thông tin cá nhân khỏi sự truy cập, tấncông và thiệt hại không mong muốn từ các mối đe dọa trực tuyến

- An toàn an ninh mạng là các biện pháp được thực hiện để bảo vệ hệthống máy tính, mạng máy tính, dữ liệu và thông tin trực tuyến khỏixâm nhập, tấn công, và thiệt hại không mong muốn từ các mối đe dọamạng

b Tầm quan trọng

- Trong bối cảnh hiện nay, các doanh nghiệp thuộc các lĩnh vực nhưnăng lượng, vận tải, bán lẻ và sản xuất ngày càng sử dụng hệ thống kỹthuật số và kết nối tốc độ cao để nâng cao dịch vụ khách hàng và tối

ưu hóa chi phí Họ cần bảo mật tài sản vật lý và kỹ thuật số, cũng nhưngăn chặn các cuộc tấn công mạng, vì nếu thành công, những cuộc tấncông này có thể dẫn đến việc lộ, đánh cắp hoặc thay đổi dữ liệu bảomật

- Các biện pháp an ninh mạng được triển khai không chỉ để bảo vệ hệthống mà còn giúp giảm thiểu rủi ro, bảo vệ danh tiếng thương hiệu vàđảm bảo tính liên tục trong hoạt động kinh doanh Những điểm quantrọng cần lưu ý bao gồm:

o Ngăn chặn hoặc giảm tổn thất do vi phạm: các tổ chức cần có

chiến lược cụ thể nhằm giảm thiểu hậu quả của các cuộc tấncông mạng, điều này rất quan trọng để bảo vệ uy tín, tài chính

và lòng tin của khách hàng

5

o Duy trì tuân thủ theo quy định: các doanh nghiệp cần tuân thủ

các quy định trong ngành để bảo vệ dữ liệu nhạy cảm

o Giảm thiểu các mối đe dọa mạng không ngừng tiến hóa: tội

phạm mạng luôn cập nhật công cụ và chiến lược mới để xâmnhập vào hệ thống

c Xu hướng và thách thức hiện nay

- Trong bối cảnh toàn cầu hóa và sự phát triển nhanh chóng của côngnghệ, các xu hướng và thách thức trong an ninh mạng đang ngày càngphức tạp Một số xu hướng chính bao gồm:

o Sự gia tăng tấn công mạng: các tấn công mạng ngày càng trở

nên tinh vi hơn, với các hình thức tấn công như ransomware,phishing, và các cuộc tấn công DDos ngày càng phổ biến, dễtiếp cận và tiến hành

o Sự phát triển của trí tuệ nhân tạo (AI): AI đang được sử dụng

cả cho mục đích tốt và xấu trong an ninh mạng Trong khi AI cóthể giúp phát hiện và ứng phó với các mối đe dọa, thì nó cũng cóthể được sử dụng để thực hiện các cuộc tấn công mạng

o Thay đổi trong cách làm việc: sự chuyển đổi sang làm việc từ

xa và mô hình hybrid đang đặt ra những thách thức mới trongviệc bảo vệ thông tin và dữ liệu

o Tăng cường quy định và tuân thủ: các chính phủ và tổ chức

quốc tế đang tăng cường quy định liên quan đến an ninh mạng,yêu cầu các doanh nghiệp phải tuân thủ các tiêu chuẩn bảo mậtcao hơn

d Liên hệ với Việt Nam

- Việt nam đang đối mặt với nhiều thách thức về an ninh mạng do sựphát triển nhanh chóng của công nghệ thông tin và sự gia tăng sử dụnginternet Một số vấn đề cụ thể bao gồm:

o Sự gia tăng các cuộc tấn công mạng: các tổ chức, doanh

nghiệp và cơ quan nhà nước tại việt nam đã trở thành mục tiêu

của nhiều cuộc tấn công mạng, từ ransomware đến các cuộc tấncông đánh cắp thông tin.

o Thiếu nguồn lực và chuyên môn: dù có nhu cầu cao về an ninh

mạng, việt nam vẫn còn thiếu hụt nguồn nhân lực có trình độchuyên môn cao trong lĩnh vực này

o Chính sách và quy định: chính phủ việt nam đã ban hành nhiều

chính sách nhằm tăng cường an ninh mạng, nhưng việc thực thi

và tuân thủ vẫn còn gặp khó khăn

o Đẩy mạnh giáo dục và nâng cao nhận thức: cần có các chương

trình giáo dục và nâng cao nhận thức về an ninh mạng cho cảngười dùng và doanh nghiệp, nhằm giảm thiểu rủi ro và tăngcường khả năng phòng ngừa

7

CHƯƠNG II: TỔNG QUAN VỀ VPN

1 Khái niệm

- VPN - Virtual Private Network là một công nghệ mạng có thể môphỏng, mở rộng một mạng riêng dựa trên các kết nối internet côngcộng Vể cơ bản, mỗi VPN là một mạng riêng rẽ sử dụng một mạngchung (thường là Internet) để kết nối với các site (các mạng riêng lẻ)khác hay những người sử dụng từ xa Thay cho việc sử dụng kết nốithực, chuyển dùng như leased-line, mỗi VPN sẽ sử dụngcác kết nối ảođược dẫn qua Internet từ mạng riêng tới các site ở xa

- Để có thể gửi và nhận dữ liệu thông qua các mạng chung, công cộng

mà vẫn đảm bảo được tính an toàn và bảo mật, VPN cung cấp các cơchế mã hoádữ liệu dựa trên đường hầm (Tunnel) được kết nối giữa nơinhận và nơi gửi, nó giống như một kết nối point-to-point Để tạo ramột đường hầm bảo mật (Tunnel), dữ liệu phải được mã hoá hay có cơchế che giấu đi thông tin, chỉ có phần đầu gói (header) là phần cungcấp thông tin về đường đi cho phép gói thông tin dữliệu có thể đi đến

Hình 1 - Mô hình mạng VPN

nơi nhận Tóm lại VPN là một dịch vụ giúp bạn luôn riêng tư khi hoạtđộng trên mạng công cộng.

2 Chức năng

- VPN cung cấp 3 chức năng chính:

o Sự tin cậy (Confidentiality): Người gửi có thể mã hoá các gói dữliệu trước khi truyền chúng ngang qua mạng Bằng cách làmnhư vậy, không một ai có thể truy nhập thông tin mà khôngđược phép, mà nếu lấy được thông tin thì cũng không đọc được

vì thông tin đã được mã hoá

o Tính toàn vẹn dữ liệu (Data Integrity): Người nhận có thể kiểmtra rằng dữ liệu đã được truyền qua mạng Internet mà không có

sự thay đổi nào

o Xác thực nguồn gốc (Origin Authentication): Người nhận có thểxác thực nguồn gốc của gói dữ liệu, đảm bảo và công nhậnnguồn thông tin

- Hiểu được tiềm năng, lợi ích mà VPN mang lại, các công ty đã đưa racác dịch vụ VPN, một vài trong số đó là:

bất cứ lúc nào bằng remote, mobile và các thiết bị truyền thông củanhân viên kết nối đến tài nguyên mạng của tổ chức.

- Remote Access VPN mô tả công việc các người dùng ở xa sử dụng cácphần mềm VPN để truy cập vào mạng Internet của công ty thông quagateway hoặcVPN concentrator (server) Do đó, giải pháp này thườngđược gọi là client-server

- Trong giải pháp này, người dùng thường sử dụng các công nghệ WANtruyền thống để tạo ra các tunnel về mạng HQ của họ

b Site-to-Site VPN (Router-to-Router)

- Site-to-Site VPN là kết nối giữa hai hoặc nhiều mạng, chẳng hạn nhưmạng công ty và mạng văn phòng chi nhánh Nhiều tổ chức sử dụngSite-to-Site VPN để tận dụng kết nối internet cho lưu lượng truy cậpriêng như một giải pháp thay thế cho việc sử dụng các mạch MPLSriêng

- Site-to-Site VPN thường được sử dụng bởi các công ty có nhiều vănphòng ở các vị trí địa lý khác nhau cần truy cập và sử dụng mạng công

ty một cách liên tục Với VPN site-to-site, một công ty có thể kết nối

an toàn mạng công ty của mình với các văn phòng từ xa để liên lạc vàchia sẻ tài nguyên với họ dưới dạng một mạng duy nhất

Hình 3 - Remote Access VPN

- Site-to-Site VPN và Remote Access VPN nghe có vẻ là chẳng khácnhau là mấy, tuy nhiên chúng lại phục vụ các mục đích hoàn toàn khácnhau.

o Site-to-Site VPN là một kết nối vĩnh viễn được thiết kế để hoạtđộng như một liên kết được mã hóa giữa các văn phòng (hay cácsite) Điều này thường được thiết lập như một kết nối mạngIPsec giữa các thiết bị mạng

người dùng và trụ sở chính, thường được sử dụng để truy cậpvào các ứng dụng của trung tâm dữ liệu Kết nối này có thể sửdụng IPsec, nhưng cũng thường sử dụng SSL VPN để thiết lậpkết nối giữa điểm cuối của người dùng và cổng VPN

4 Ưu, Nhược Điểm

a Ưu điểm

- Chi phí thấp: VPN là giải pháp tiết kiệm hơn nhiều so với việc thiết lậpmột đường kết nối riêng Người dùng không cần phải đầu tư vào phầncứng và cơ sở hạ tầng mạng lớn

- Dễ dàng thiết lập: Việc thiết lập VPN thường đơn giản và nhanhchóng, có thể thực hiện thông qua phần mềm mà không cần kiến thứccông nghệ sâu

- Tính linh hoạt: VPN cho phép người dùng truy cập vào mạng riêng từbất kỳ đâu có Internet, giúp làm việc từ xa dễ dàng hơn

- Bảo mật: VPN cung cấp khả năng mã hóa dữ liệu, giúp bảo vệ thôngtin nhạy cảm khi truyền qua Internet

- Giảm thiểu hạn chế địa lý: Người dùng có thể truy cập vào nội dung bịgiới hạn theo vùng địa lý bằng cách giả mạo địa chỉ IP

b Nhược điểm

11

- Không quản lý Quality of Service (QoS): VPN không thể đảm bảochất lượng dịch vụ, dẫn đến nguy cơ gói dữ liệu có thể bị thất lạc hoặc

bị chậm

- Hạn chế trong quản lý và kiểm soát: Các nhà cung cấp VPN có thể cókhả năng quản lý hạn chế, và người dùng không thể kiểm soát tốt cácvấn đề liên quan đến bảo mật

- Rủi ro bị hack: Dù VPN mã hóa dữ liệu, vẫn có rủi ro bị tấn công từhacker hoặc những lỗ hổng bảo mật từ nhà cung cấp dịch vụ VPN

- Chi phí phụ thu: Một số dịch vụ VPN có thể yêu cầu phí thuê bao, điềunày có thể tích lũy theo thời gian

- Tốc độ kết nối: Sử dụng VPN có thể làm giảm tốc độ kết nối do quátrình mã hóa và định tuyến dữ liệu qua máy chủ VPN

5 Ứng Dụng

- Làm việc từ xa: Nhân viên có thể truy cập vào mạng của công ty

thông qua Internet để chia sẻ dữ liệu và thực thi các ứng dụng nội bộ,tạo điều kiện cho việc làm việc từ xa một cách an toàn

- Kết nối nhiều mạng với nhau (Site-to-Site): Nếu doanh nghiệp có

nhiều văn phòng, VPN có thể kết nối các mạng lại với nhau thành mộtmạng thống nhất, giúp quản lý và chia sẻ thông tin hiệu quả hơn

- Tạo phiên làm việc an toàn: VPN là giải pháp tiết kiệm chi phí cho

các công việc đòi hỏi tính bảo mật cao, như quản trị máy chủ, website,

và cơ sở dữ liệu

- Doanh nghiệp: VPN được sử dụng rộng rãi bởi các doanh nghiệp để

cho phép nhân viên truy cập vào mạng nội bộ của họ từ xa Ngoài ra,VPN cũng có thể được sử dụng để kết nối các chi nhánh của doanhnghiệp với nhau, giúp quản lý thông tin và dữ liệu một cách hiệu quả

- Chính phủ: Các cơ quan chính phủ sử dụng VPN để bảo vệ thông tin

nhạy cảm, đảm bảo rằng dữ liệu quan trọng không bị rò rỉ và luôntrong trạng thái an toàn

- Cá nhân: Người dùng cá nhân có thể sử dụng VPN để bảo vệ quyền

riêng tư trực tuyến của họ, giúp họ ẩn danh khi lướt web và truy cậpvào nội dung bị hạn chế theo địa lý, như các chương trình truyền hình

và phim ảnh trên các nền tảng trực tuyến

13

CHƯƠNG III: CẤU TRÚC, CÁCH THỨC VÀ GIAO THỨC

TRONG VPN

1 Cấu trúc và cách thức hoạt động của VPN

- Một mô hình VPN có kiến trúc tương tự như 1 mô hình client-serverthông thường, nó được cấu thành bởi 3 thành phần: VPN Server, VPNClient và VPN Tunnel

a VPN Server

- VPN server là một máy chủ được cài đặt và cấu hình bởi các phầnmềm VPN server, có chức năng xử lý các yêu cầu kết nối được thựchiện bởi các VPN client từ xa hoặc các VPN client cục bộ, cung cấpcác thuật toán mã hóa dữ liệu Nó hoạt động như cái cổng kết nối giữacác VPN client và mạng riêng Các VPN client trước khi được cấpquyền truy cập vào mạng riêng thì phải tự xác thực trước với VPNserver

- Đối với các mạng lớn, có lưu lượng cao thì cần nhiều hơn một VPNserver để tránh gây ra độ trễ không đáng có Một VPN server sẽ có 2giao diện, một là giao diện đối với mạng LAN nội bộ và một giao diệnkhác đối với Internet

b VPN Client

- VPN client có chức năng gửi yêu cầu kết nối đến VPN Server, đóngvai trò là trung gian giữa end users và server, thực hiện mã hóa dữ liệucủa end users theo thuật toán được phía VPN Server yêu cầu

Hình 5 - Components of VPN

- Nó có thể là các thiết bị từ xa được người dùng kết nối đến mạng POPnội bộ của tổ chức hoặc là các thiết bị thuộc mạng cục bộ (LAN) của

- Trong đó ngoài Original Packet và IP thì còn bổ sung thêm 2 lớp thuậttoán là AH và ESP để mã hóa thông tin

o AH Authentication Header):( là giao thức bảo mật giúp xácthực dữ liệu, bảo đảm tính toàn vẹn dữ liệu và các dịch vụ “anti-replay” (dịch vụ bảo đảm tính duy nhất của gói tin) AH sẽ đượcnhúng vào dữ liệu để bảo vệ

o ESP (Encapsulation Security Payload): là một giao thức bảo

mật cung cấp sự tin cậy dữ liệu, bảo đảm tính toàn vẹn dữ liệu

và xác thực nguồn gốc dữ liệu, các dịch vụ “anti-replay” ESPđóng gói dữ liệu để bảo vệ

2 Giao thức được sử dụng trong VPN

15

Hình 6 - Cấu trúc packet

- Trước đây có 3 giao thức phổ biến để xây dựng lên một VPN hoànchỉnh là:

o IPSec (Internet Protocol Security)

o PPTP (Point-to-Point Tunneling Protocol)

- Tuy nhiên, hiện tại có thêm một giao thức được sử dụng có thể coi làphổ biến nhất đó là:

a IPSec (Internet Protocol Security)

- IPSec thực chất không phải là một giao thức, nó chỉ là một khung củacác tập giao thức chuẩn mở rộng được thiết kế để cung cấp tính xácthực và toàn vẹn dữ liệu IPSec được làm việc tại tầng Network Layer– Layer 3 của mô hình OSL Các giao thức bảo mật trên Internet khácSSL, TLS và SSH, được thực hiện từ tầng transport layer trở lên (từtầng 4 đến tầng 7 của mô hình OSI) Điều này tạo ra tính mềm dẻo choIPSec, giao thức này có thể hoạt động tại tầng 4 với TCP, UDP, hầuhết các giao thức sử dụng tại tầng này IPSec có một tính năng cao cấphơn SSL và các phương thức khác hoạt động tại các tầng trên của môhình OSI Với một ứng dụng sử dụng IPSec mã (code) không bị thayđổi, nhưng nếu ứng dụng đó bắt buộc sử dụng SSL và các giao thứcbảo mật trên các tầng trên trong mô hình OSI thì đoạn mã ứng dụng đó

sẽ bị thay đổi lớn

- IPSec làm việc với 2 chế độ:

o Transport mode (chế độ vận chuyển): Chế độ này hỗ trợ truyền

thông tin giữa các máy hoặc giữa máy chủ với máy khác màkhông có sự can thiệp nào của các gateway làm nhiệm vụ an

Hình 7 - IPSec Packet

ninh mạng Trong Transport mode, chỉ những dữ liệu bạn giaotiếp các gói tin được mã hoá và hoặc xác thực Trong quá trìnhRouting, cả IP header đều không bị chỉnh sữa hay mã hoá; tuynhiên khi authentication header được sử dụng, địa chỉ IP khôngthể chỉnh sửa (ví dụ như port number) Transport mode sử dụngtrong tình huống giao tiếp host-to-host.

o Tunnel mode (chế độ đường hầm): Chế độ này hỗ trợ khả năng

truy nhập từ xa và liên kết an toàn các Website Chế độ vậnchuyển sử dụng AH và ESP đối với phần của tầng vận chuyểntrong một gói tin IP Phần dữ liệu thực của giao thức IP này làphần duy nhất được bảo vệ trong toàn gói tin Phần header củagói tin IP với địa chỉ của điểm truyền và điểm nhận không đượcbảo vệ Khi áp dụng cả AH và ESP thì AH được áp dụng sau đểtính ra tính toàn vẹn của dữ liệu trên tổng lượng dữ liệu Mặtkhác chế độ đường hầm cho phép mã hoá và tiếp nhận đối vớitoàn bộ gói tin IP Các cổng bảo mật sử dụng chế độ này đểcung cấp các dịch vụ bảo mật thay cho các thực thể khác trênmạng Các điểm truyền thông đầu cuối được bảo vệ bên trongcác gói tin IP đến trong khi các điểm cuối mã hoá lại được lưutrong các gói tin IP truyền đi Một gateway bảo mật thực hiệnphân tách gói tin IP đến cho điểm nhận cuối cùng sau khi IPSechoàn thành việc sử lý của mình Trong chế độ đường hầm, địachỉ IP của điểm đến được bảo vệ

17

Hình 8 - IPSec Modes