Đang tải... (xem toàn văn)
xây dựng thiết bị bảo mật vpn dựa trên giao thức ipsec
ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC BÁCH KHOA KHOA ĐIỆN-ĐIỆN TỬ BỘ MÔN VIỄN THÔNG LUẬN VĂN TỐT NGHIỆP XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC GVHD: Ths. Tạ Trí Nghĩa SVTH : Tôn Thất Cao Nguyên 40901767 Hồ Sỹ Thông 40902647 -Hồ Chí Minh, Tháng 12-2013- Trang i ĐẠI HỌC QUỐC GIA TP.HỒ CHÍ MINH CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM TRƯỜNG ĐẠI HỌC BÁCH KHOA Độc lập – Tự do – Hạnh phúc. ✩ ✩ Số: ______ /BKĐT Khoa: ĐIỆN-ĐIỆN TỬ Bộ Môn: ĐIỆN TỬ-VIỄN THÔNG NHIỆM VỤ LUẬN VĂN TỐT NGHIỆP 1. HỌ VÀ TÊN : TÔN THẤT CAO NGUYÊN MSSV: 40901767 : HỒ SỸ THÔNG MSSV: 40902647 2. NGÀNH: VIỄN THÔNG Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 3. Nhiệm vụ (Yêu cầu về nội dung và số liệu ban đầu): 4. Ngày giao nhiệm vụ luận văn: 5. Ngày hoàn thành nhiệm vụ: 6. Họ và tên người hướng dẫn: Phần hướng dẫn ThS. TẠ TRÍ NGHĨA Nội dung và yêu cầu LVTN đã được thông qua Bộ Môn. Tp.HCM, ngày… tháng… năm 20 CHỦ NHIỆM BỘ MÔN NGƯỜI HƯỚNG DẪN CHÍNH (Ký và ghi rõ họ tên) (Ký và ghi rõ họ tên) PHẦN DÀNH CHO KHOA, BỘ MÔN: Người duyệt (chấm sơ bộ): Đơn vị: Ngày bảo vệ : Điểm tổng kết: Nơi lưu trữ luận văn: Trang ii TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Khoa: ĐIỆN-ĐIỆN TỬ Độc lập – Tự do – Hạnh phúc Mẫu TN.04 Ngày….Tháng Năm PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người hướng dẫn) 7. HỌ VÀ TÊN :TÔN THẤT CAO NGUYÊN MSSV: 40901767 :HỒ SỸ THÔNG MSSV: 40902647 NGÀNH: VIỄN THÔNG 8. Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 9. Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA 10. Tổng quát về bản thuyết minh: Số trang : Số chương : Số bảng số liệu : Số hình vẽ : Số tài liệu tham khảo : Phần mềm tính toán : Hiện vật (sản phẩm) : 11. Tổng quát về các bản vẽ : - Số bản vẽ : bản A1 bản A2 Khổ khác - Số bản vẽ tay Số bản vẽ trên máy tính 12. Những ưu điểm chính của LVTN : 13. Những thiếu sót chính của LVTN : 14. Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không được bảo vệ 15. Câu hỏi sinh viên phải trả lời trước hội đồng a) b) c) Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10 Ký tên (Ghi rõ họ tên) Trang iii TRƯỜNG ĐẠI HỌC BÁCH KHOA CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM Khoa: ĐIỆN-ĐIỆN TỬ Độc lập – Tự do – Hạnh phúc Mẫu TN.04 Ngày….Tháng Năm PHIẾU CHẤM BẢO VỆ LVTN (Dành cho người phản biện) 16. HỌ VÀ TÊN :TÔN THẤT CAO NGUYÊN MSSV: 40901767 :HỒ SỸ THÔNG MSSV: 40902647 NGÀNH: VIỄN THÔNG 17. Đề tài luận văn : “XÂY DỰNG THIẾT BỊ BẢO MẬT VPN DỰA TRÊN GIAO THỨC IPSEC” 18. Họ tên người hướng dẫn: ThS.TẠ TRÍ NGHĨA 19. Tổng quát về bản thuyết minh: Số trang : Số chương : Số bảng số liệu : Số hình vẽ : Số tài liệu tham khảo : Phần mềm tính toán : Hiện vật (sản phẩm) : 20. Tổng quát về các bản vẽ : - Số bản vẽ : bản A1 bản A2 Khổ khác - Số bản vẽ tay Số bản vẽ trên máy tính 21. Những ưu điểm chính của LVTN : 22. Những thiếu sót chính của LVTN : 23. Đề nghị: Được bảo vệ Bổ xung để bảo vệ Không được bảo vệ 24. Câu hỏi sinh viên phải trả lời trước hội đồng (CBPB ra ít nhất 02 câu) a) b) c) Đánh giá chung (bằng chữ : giỏi, khá, TB) :Điểm : /10 Ký tên (Ghi rõ họ tên) Trang iv LỜI CẢM ƠN Đầu tiên, nhóm Luận văn xin phép được gửi lời cảm ơn sâu sắc đến tất cả các thầy cô giáo trong trường đã dìu dắt nhóm trong suốt thời gian qua. Đặc biệt nhóm xin gửi lời cảm ơn chân thành tới ThS.Tạ Trí Nghĩa, thầy đã hỗ trợ nhóm rất nhiều trong luận văn này. Với lòng nhiệt huyết và thương yêu sinh viên, thầy luôn hướng dẫn nhóm vượt qua mọi khó khăn và luôn theo sát bước đi của nhóm trong luận văn. Một lần nữa, nhóm xin gửi lời cảm ơn sâu sắc đến thầy. Nhóm cũng xin cảm ơn gia đình và bạn bè đã hết lòng hướng dẫn, chỉ bảo và luôn tạo mọi điều kiện tốt nhất cho em trong suốt thời gian qua. Nhóm sinh viên Tôn Thất Cao Nguyên Hồ Sỹ Thông Trang v MỤC LỤC ii LỜI CẢM ƠN v MỤC LỤC vi DANH MỤC HÌNH ẢNH ix BẢNG SỐ LIỆU x DANH MỤC TỪ VIẾT TẮT x LỜI NÓI ĐẦU xiii Chương 1 GIỚI THIỆU ĐỀ TÀI 1 1.1 Đặt vấn đề 1 1.2 Mục tiêu đề tài 2 1.3 Phạm vị đề tài 2 1.4 Giới hạn đề tài 3 Chương 2 TỔNG QUAN VỀ VPN 4 2.1 Giới thiệu về VPN 4 1.1.1. Khái niệm 4 1.1.2. Chức năng của VPN 5 1.1.3. . Ưu điểm của VPN 5 1.1.4. Các yêu cầu cơ bản đối với một giải pháp VPN 7 1.1.5. . Đường hầm và mã hóa 8 2.2 Các mô hình VPN đã được triển khai 9 1.1.6. IP-VPN truy nhập từ xa: 9 1.1.7. Site – To – Site VPN 10 2.2.1.1 Intranet IP-VPN 11 2.2.1.2 Extranet IP-VPN 11 2.3 Các giao thức trong IP-VPN 12 1.1.8. PPTP (Point - to - Point Tunneling Protocol) 13 2.3.1.1 Duy trì đường ngầm bằng kết nối điều khiển PPTP 14 2.3.1.2 Đóng gói dữ liệu đường ngầm PPTP 14 2.3.1.3 Xử lí dữ liệu đường ngầm PPTP 15 2.3.1.4 Sơ đồ đóng gói 16 1.1.9. L2TP (Layer Two Tunneling Protocol) 17 2.3.1.5 Duy trì đường ngầm bằng bản tin điều khiển L2TP 18 2.3.1.6 Đường ngầm dữ liệu L2TP 18 2.3.1.7 Xử lý dữ liệu đường ngầm L2TP trên nền IPSec 19 2.3.1.8 Sơ đồ đóng gói L2TP trên nền IPSec 20 2.4 Tổng kết 21 Chương 3 GIAO THỨC IPSEC 23 3.1 Giới thiệu 23 Trang vi 1.1.10. Khái niệm về IPSec 23 1.1.11. Khả năng chống lại tấn công của IPSes 24 3.1.1.1 Sniffer ( thiếu bảo mật) 25 3.1.1.2 Sửa đổi dữ liệu (modification) 25 3.1.1.3 Các cuộc tấn công giả mạo danh tính (Identity spoofing) , tấn công dựa trên password và tấn công lớp ứng dụng 25 3.1.1.4 Tấn công Man-in -the-middle 26 3.1.1.5 Tấn công từ chối dịch vụ (Denial-of-service) 26 1.1.12. Các chuẩn tham chiếu có liên quan 26 3.2 Đóng gói thông tin của IPSec 28 1.1.13. Các loại giao thức IPSec 28 3.2.1.1 Kiểu Transport 28 3.2.1.2 Kiểu Tunnel 29 1.1.14. Giao thức xác thực tiêu đề AH 30 3.2.1.3 Giới thiệu 30 3.2.1.4 Cấu trúc gói tin AH 31 3.2.1.5 Quá trình xử lý AH 33 1.1.15. Giao thức đóng gói an toàn tải tin ESP 37 3.2.1.6 Giới thiệu 37 3.2.1.7 Cấu trúc gói tin ESP 37 3.2.1.8 Quá trình xử lý ESP 39 3.3 Kết hợp an ninh SA và giao thức trao đổi khóa IKE 44 1.1.16. Kết hợp an ninh SA 44 3.3.1.1 Định nghĩa và mục tiêu 44 3.3.1.2 Cơ sở dữ liệu IPSec 45 1.1.17. Giao thức trao đổi khóa IKE 45 3.3.1.3 Bước thứ nhất 46 3.3.1.4 Bước thứ hai 49 3.4 Những giao thức đang được ứng dụng cho xử lý IPSec 50 1.1.18. Mật mã bản tin 50 3.4.1.1 Tiêu chuẩn mật mã dữ liệu DES 51 3.4.1.2 Tiêu chuẩn mật mã hóa dữ liệu gấp ba 3DES 51 1.1.19. Toàn vẹn bản tin 51 3.4.1.3 Mã xác thực bản tin băm HMAC 52 3.4.1.4 Thuật toán MD5 52 3.4.1.5 Thuật toán băm an toàn SHA 52 1.1.20. Xác thực các bên 53 3.4.1.6 Khóa chia sẻ trước 53 3.4.1.7 Chữ ký số RSA 53 3.4.1.8 RSA mật mã nonces 53 Trang vii 1.1.21. Quản lí khóa 54 3.4.1.9 Giao thức Diffie-Hellman 54 3.4.1.10 Quyền chứng nhận CA 55 3.5 Ví dụ về hoạt động của một IP-VPN sử dụng IPSec 56 3.6 Tổng kết 57 Chương 4 GIẢI PHÁP THỰC HIỆN THIẾT BỊ IPSEC VPN 59 4.1 Phân tích và lựa chọn giải pháp thực hiện 59 1.1.22. Kiến trúc tích hợp IPSec 59 4.1.1.1 Cấu trúc Bump in the Stack (BITS) 59 4.1.1.2 Cấu trúc Bump in the Wire (BITW) 60 1.1.23. Mô hình tiến hành kiểm tra khả năng bảo mật trên thiết bị thực 61 4.2 Giải pháp thực hiện 63 1.1.24. Mô hình xư lý IPSec tổng quát 63 1.1.25. Chính sách bảo mật và sự liên kết cơ sở dữ liệu trong IPSec 64 4.2.1.1 Thông tin trong bảng SPD 65 4.2.1.2 Thông tin trong bảng SAD 66 4.2.1.3 Sự liên kết thông tin giữa các cơ sở dữ liệu SPD và SAD 66 4.2.1.4 Bảo vệ anti-replay 70 1.1.26. Quá trình thực hiện của chương trình 72 4.2.1.5 Tổng quát quá trình thực hiện thiết bị IPSec 72 4.2.1.6 Quá trình xử lý gói outbound 73 4.2.1.7 Quá trình xử lý gói inbound 76 4.2.1.8 Xây dựng gói ESP 78 1.1.27. Quá trình trao đổi IKE 79 4.2.1.9 IKE module 79 4.2.1.10 Thực hiện giao thức trao đổi khóa IKE 83 Chương 5 ĐÁNH GIÁ KẾT QUẢ THỰC HIỆN 99 5.1 Tiêu chí đánh giá 99 5.2 Phương pháp đánh giá 99 5.3 Kết quả đánh giá 100 Chương 6 KẾT LUẬN VÀ HƯỚNG PHÁT TRIỀN 102 6.1 Kết luận 102 6.2 Hướng phát triền 102 1.1.28. Thêm khả năng mã hóa gói tin 102 1.1.29. Thiết lập bảo mật IPSec trên nền IPv6 102 1.1.30. Sử dụng RSA cho quá trình xác thực 102 1.1.31. Truyền phát thêm gói tin báo lỗi bảo mật ICMP 103 Trang viii DANH MỤC HÌNH ẢNH Hình 1-1:Tổng quan mô hình mạng của một công ty sử dụng kết nối bảo mật VPN 1 Hình 2-2:Tổng quan mạng VPN 5 Hình 2-3:Ưu điểm của VPN so với mạng truyền thông 6 Hình 2-4:Đường hầm và mã hóa của VPN 8 Hình 2-5:Thiêt lập một VPN remote acces 9 Hình 2-6:Intranet IP-VPN 11 Hình 2-7 :Extranet IP-VPN 12 Hình 2-8: Gói dữ liệu của kết nối điều khiển PPTP 14 Hình 2-9: Dữ liệu đường ngầm PPTP 14 Hình 2-10: Sơ đồ đóng gói PPTP 16 Hình 2-11: Bản tin điều khiển L2TP 18 Hình 2-12: Đóng bao gói tin L2TP 18 Hình 2-13: Sơ đồ đóng gói L2TP 20 Hình 3-14:Lộ trình tài liệu xây dựng giao thức IPSec 28 Hình 3-15:Gói tin IP ở kiểu Transport 29 Hình 3-16:Gói tin IP ở kiểu Tunnel 29 Hình 3-17: Cấu trúc tiêu đề AH cho IPSec Datagram 31 Hình 3-18:Quy trình đóng gói gói tin AH 34 Hình 3-19: Xử lý đóng gói ESP 37 Hình 3-20: Khuôn dạng gói ESP 38 Hình 3-21:Khuôn dạng IPv4 trước và sau khi xử lý ESP ở kiểu Transport 39 Hình 3-22:Khuôn dạng IPv6 trước và sau khi xử lý ESP ở kiểu Transport 40 Hình 3-23: Khuôn dạng gói tin đã xử lý ESP ở kiểu Tunnel 40 Hình 3-24:Các chế độ chính, chế độ tấn công, chế độ nhanh của IKE 46 Hình 3-25:IKE pha thứ nhất sử dụng chế độ chính (Main Mode) 47 Hình 3-26:Các tập chuyển đổi IPSec 49 Hình 3-27:Ví dụ về hoạt động của IP-VPN sử dụng IPSec 57 Hình 4-28:Cấu trúc IPsec bump in the stack (BITS) 59 Hình 4-29:Cấu trúc IPsec bump in the wire (BITW) 60 Hình 4-30:Mô hình áp dụng hoạt động thiết bị 62 Hình 4-31:Quá trình xử lý IPSec tổng quát từ thiết bị IPSec 1 tới thiết bị IPSec 2 63 Hình 4-32:Cấu trúc cơ sở dữ liệu trong chương trình 65 Hình 4-33:Ví dụ về sự liên kết thông tin giữa bảng SPD và bảng SAD 67 Hình 4-34:Tổng quát quá trình thực hiện IPSec 72 Hình 4-35:Quá trình xử lý gói tin outbound 76 Hình 4-36:Quá trình xử lý gói tin inbound 77 Hình 4-37:Gói tin IP gốc và gói IP được mã hóa ESP 78 Hình 4-38:Tổng quan quá trình trao đổi IKE 80 Hình 4-39:Quá trình thực hiện trao đổi pha 1 81 Hình 4-40:Quá trình trao đổi của pha 2 81 Hình 4-41:Cấu trúc khung gói tin ISAKMP 82 Hình 4-42:Trao đổi thỏa thuận IKE chế độ chính 83 Hình 4-43:Gói tin 1 và 2 của pha 1 84 Hình 4-44:Lưu đồ giải thuật của bên khới tạo pha 1 – chế độ chính 85 Hình 4-45:Lưu đồ giải thuật của bên phản hồi pha 1 – chế độ chính 87 Hình 4-46:Gói tin thứ 3-4 của chế độ chính – pha 1 88 Hình 4-47:Gói tin thứ 5 và 6 90 Hình 4-48:Quá trình thỏa thuân IKE pha 2-chế độ nhanh 91 Hình 4-49:Cấu trúc của 3 gói tin pha 2- chế độ nhanh 92 Hình 4-50:Lưu đồ giải thuật của bên khởi tạo pha 2 – chế độ nhanh 95 Hình 4-51:Lưu đồ giải thuật của bên phản hồi pha 2 – chế độ nhanh 96 Hình 5-52:Mô hình sử dụng đánh giá thiết bị IPSec 99 Hình 5-53:Biểu đồ thể hiện tốc độ throughput của các chế độ IPSec khác nhau 101 Trang ix BẢNG SỐ LIỆU Bảng 3-1:Các RFC đưa ra có liên quan đến IPSec 26 Bảng 3-2: Tổng kết chương các giao thức của IPSec 58 Bảng 4-3:Ví dụ một bảng SPD outbound với con trỏ đến bảng SA outbound 68 Bảng 4-4:Ví dụ một bảng SPD inbound với con trỏ đến bảng SA inbound 68 Bảng 4-5:Ví dụ một bảng SA outbound được liên kết với SPD outbound 69 Bảng 4-6:Ví dụ một bảng SA outbound được liên kết với SPD outbound 69 Bảng 5-7:Bảng đánh giá tốc độ throughput IPSec 100 DANH MỤC TỪ VIẾT TẮT AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến Trang x [...]... pháp bảo Trang xiii mật an ninh nhằm giải quyết các vấn đề này Giao thức IPSec là một trong những phương pháp tối ưu để giải quyết vấn đề này Mục đích của luận văn Xây dựng thiết bị bảo mật VPN dựa trên giao thức IPSec là tìm hiểu những vấn đề cơ bản có liên quan đến việc thực hiện VPN cũng như những vấn đề chi tiết về quá trình thực hiện IPSec Sau đó, tiến hành xây dựng giao thức IPSec trên thiết bị. .. người dùng Tuy nhiên, giao thức IPSec thực hiện trên lớp 2 có những nhược điểm như khả năng bảo mật kém, không có khả năng cung cấp mã đầu cuối đến đầu cuối cũng như không xác thực được gói tin Bảo mật giao thức VPN thực hiện trên lớp 3 (lớp mạng) như giao thức IPSec: Tiến hành bảo mật VPN trên lớp mạng mang lại các ưu điểm sau: Cung cấp bảo mật liên tục đến ứng dụng cho phép bảo vệ trên mỗi luồng dữ... của mạng luôn được đặt ra, và VPN là một giải pháp hiệu quả Hình 1-1:Tổng quan mô hình mạng của một công ty sử dụng kết nối bảo mật VPN Có rất nhiều giao thức VPN được ứng dụng trên thực tế như: Bảo mật giao thức VPN thực hiện trên lớp 2( lớp data-link) như giao thức PPTP, L2TP: Lợi ích của dịch vụ bảo mật lớp 2 này là: có độ trễ thấp, có khả năng bảo mật khá nhiều giao thức như IP, IPX,NetBEUI, hỗ... trình bảo mật tương đối an toàn, có khả năng tích hợp linh hoạt các thuật toán mã hóa, thuật toán xác thực cũng như chia sẻ key trên mỗi liên kết bảo mật Tuy nhiên, bảo mật VPN trên lớp mạng gặp khó khăn Trang 1 trong việc thực hiện bảo mật dữ liệu một người dùng trên cơ sở các máy đa người dùng Bảo mật giao thức thực hiện trên lớp ứng dụng như giao thức PGP, Kerberos, SSH: Tiến hành bảo mật trên. .. hạn của đề tài Xây dựng thiết bị bảo mật VPN dựa trên giao thức IPSec Chương 2: Tổng quan về VPN Chương này bắt đầu với việc phân tích khái niệm VPN, chưc năng, ưu điểm và các yêu cầu cơ bản của một giải pháp VPN khiến nó là một giải pháp bảo mật phát triển mạnh Tiếp theo là trình bày về các mô hình VPN đã được triển khai Cuối cùng là trình bày về các giao thức đường ngầm sử dụng cho VPN Ở đây chỉ... quát v VPN sử dụng giao thức đường ngầm IPSec( bao gồm cả quá trình trao đổi khóa và mã hóa gói tin IPSec) Chương 4: “Giải pháp thực hiện thiết bị ipsec VPN Trong chương này trình bày giải pháp xây dựng thiết bị IPsec với các thuật toán cũng như các mô hình thực tế Chương này bắt đầu với việc phân tích và lựa chọn các giải pháp thực hiện thiết bị IPSec, cụ thể hơn là các kiến trúc tích hợp IPSec cũng... của mạng cục bộ trên cơ sở hạ tầng của mạng IP công cộng Các ưu điểm này bao gồm tính bảo mật và sử dụng đa giao thức Một mạng ảo được tạo ra nhờ các giao thức đường hầm trên một kết nối IP chuẩn Các loại công nghệ đường hầm được dùng phổ biến cho truy cập VPN gồm Giao thức đường ngầm lớp 2: Giao thức đường ngầm này thực hiện bảo mật trên lớp 2 trong mô hình OSI (lớp data link) Giao thức định đường... thiết bị VPN có khả năng mở rộng bảo mật các ứng dụng mà không cần quan tâm đến hệ điều hành, các chương trình ứng dụng có thể phân tích dữ liệu từ đó lựa chọn cách bảo mật phù hợp với từng dữ liệu Bên cạnh những ưu điểm, bảo mật VPN trên lớp ứng dụng tồn tại nhược điểm: Cơ chế bảo mật phải được thiết kế phụ thuộc vào loại ứng dụng ví dụ như VoiceIP,mail hay bảo mật thông tin ngân hàng… Trong các giao. .. hầm điểm-điểm PPTP (Point to Point Tunneling Protocol) và giao thức định đường hầm lớp 2 L2TP (Layer 2 Tunneling Protocol) hoạt động trên lớp này, tải dữ liệu được đóng gói theo mô hình giao thức điểm-điểm Giao thức đường ngầm lớp 3: : Giao thức đường ngầm này thực hiện bảo mật trên lớp 3 trong mô hình OSI (lớp mạng) .Giao thức IPSec hoạt động trên lớp này.Trong chế độ này, gói tin được đóng gói với... là một giao thức truyền thông nối tiếp lớp 2, có thể sử dụng để đóng gói dữ liệu liên mạng IP và hỗ trợ đa giao thức lớp trên Giao thức PPTP do nhiều công ty hợp tác phát triển, trong khi đó L2F do Cisco phát triển độc lập Trên cơ sở PPTP và L2F, IETF đã phát triển giao thức đường ngầm L2TP Hiện nay giao thức PPTP và L2TP được sử dụng phổ biến hơn L2F Trong các giao thức đường ngầm kể trên, IPSec là . hiện bảo mật dữ liệu một người dùng trên cơ sở các máy đa người dùng. Bảo mật giao thức thực hiện trên lớp ứng dụng như giao thức PGP, Kerberos, SSH: Tiến hành bảo mật trên lớp ứng dụng, thiết. và VPN là một giải pháp hiệu quả. Hình 1-1:Tổng quan mô hình mạng của một công ty sử dụng kết nối bảo mật VPN Có rất nhiều giao thức VPN được ứng dụng trên thực tế như: Bảo mật giao thức VPN. giao thức VPN thực hiện trên lớp 3 (lớp mạng) như giao thức IPSec: Tiến hành bảo mật VPN trên lớp mạng mang lại các ưu điểm sau: Cung cấp bảo mật liên tục đến ứng dụng cho phép bảo vệ trên mỗi