Như chỳng ta thấy từ hỡnh, thụng bỏo bắt đầu với 4 byte 0, tiếp theo là một byte trường key-method. Hiện nay, Trường này luụn luụn à 2, cho thấy phương phỏp khúa 2, nhưng cú trường này để cho phộp sử dụng cỏc phương phỏp quan trọng khỏc trong tương lai.
Trường premaster secret chiều dài 48 bit dữ liệu ngẫu nhiờn được tạo ra bởi client. Trường này phục vụ cựng một mục đớch như là xỏc định tờn trường trong SSL: cung cấp dạng khúa từ một bớ mật nào cú thể được tạo ra. Trường premaster secret khụng cú mặt trong gúi trao đổi khúa của mỏy chủ.
Hai trường random 1 và random 2 được sử dụng trong quỏ trỡnh xử lý tạo khúa. Chỳng là mỗi 32-bit dữ liệu ngẫu nhiờn. Bởi vỡ mỗi bờn đúng gúp hai trường ngẫu nhiờn, khụng bờn nào cú thể hoàn toàn xỏc định cỏc khúa bất kỳ.
Trường option string length chứa độ dài NULL kết thỳc trường option string. Như trong phương thức khúa 1, cỏc mỏy sử dụng chuỗi này để xỏc minh rằng chỳng được cấu hỡnh giống nhau.
Trường user name length bao gồm chiều dài NULL kết thỳc của trường user
name. Tương tự, trường password length cú độ dài NULL kết thỳc của
trường password. Tờn người dựng và mật khẩu được sử dụng khi OpenVPN là chạy thụng qua proxy (Hypertext Transfer Protocol) HTTP, và cỏc proxy yờu cầu xỏc thực. Những trường này là tựy chọn và khụng cú mặt trừ khi chỳng ta đang sử dụng một HTTP proxy.
Quỏ trỡnh tạo khúa xử dụng phương thức TLS. Đầu tiờn, cả hai bờn tạo ra cỏc master secret của kết nối chuỗi OpenVPN master secret, ngẫu random 1 của client và client
random 1 của server, và sử dụng kết quả và premaster secret như đầu vào để tớnh toỏn
HMAC:
PRF(premaster secret, OpenVPN master secret || client random 1 || server random 1) Hàm PRF tạo MD5 và SHA-1 HMAC của đối số của nú và cho kết quả duy nhất.
Cỏc chi tiết của PRF cú một chỳt phức tạp hơn chỉ ra ở đõy. Hàm PRF đầu tiờn chia thành bớ mật thành 2 và sử dụng một nửa cho MD5 HMAC và một nửa cho SHA-1 HMAC .
Một khi cỏc mỏy đó cú master secret, chỳng tạo ra bốn khúa, mó húa, giải mó, xỏc thực trong, xỏc thực ngoài kết nối tới chuỗi "khúa OpenVPN mở rộng", random 2 của client, random 2 của server, phiờn ID của client, và id phiờn của server. Kết quả và master secret được sử dụng làm đầu vào cho PRF để cú được cỏc khúa:
PRF(master secret, "OpenVPN key expansion" || client random 2 || server random 2 || client SID || server SID)
Sau khi trao đổi khúa, lưu lượng cú thể bắt đầu truyền trờn kờnh dữ liệu. Cỏc gúi tin được mó húa trờn kờnh dữ liệu và chứng thực, bằng cỏch sử dụng cỏc khúa vừa tạo ra. Khi đú là thời gian để thay thế cỏc khúa, một trao đổi khúa mới diễn ra. Nú giống như việc trao đổi ban đầu, dự Cho dự đú là phương phỏp 1 hoặc 2 Để giỳp với sự chuyển đổi sang cỏc khúa mới, OpenVPN duy trỡ ba bộ của cỏc khúa:
+ Khúa hoạt động.
+ Khúa đó hết thời hạn sử dụng.
+ Khúa được sử dụng khi khúa mới giao dịch khụng thành cụng.
Ba bộ khúa giải thớch trường ID chớnh trong tiờu đề gúi tin. ID khúa nào cho thấy trong ba bộ khúa được sử dụng cho gúi tin.
3.2.2.7 OpenVPN và cỏc ứng dụng
Sau khi thực hiện kết nối thành cụng với VPN server, kờnh bảo mật đó được thiết lập. Việc phối hợp giữa ứng dụng và Openvpn thực hiện qua tun ảo. Cú thể thấy rừ trong hỡnh minh họa. Ứng dụng sẽ truyền dữ liệu tới cỏc tun ảo, dữ liệu trờn cỏc tun ảo này sẽ được Opevpn mó húa và đúng gúi vào gúi tin UDP (trong trường hợp cấu hỡnh sử dụng UDP). Sau khi được đúng gúi và thờm cỏc thụng tin bảo mật vào gúi tin, gúi tin sẽ được chuyển xuống giao diện mạng vật lý, và phớa đầu thu sẽ thực hiện quỏ trỡnh ngược lại.
Hỡnh 3.11 Mụ hỡnh Openvpn và ứng dụng 3.2.3 Giải phỏp bảo mật
3.2.3.3 Tớch hợp PKI
Hiện nay nhiều mạng riờng ảo (VPN) đang thể hiện sự hạn chế bởi chớnh hệ thống bảo mật quỏ đơn giản. Vấn đề đặt ra để cú thể đỏp ứng yờu cầu phỏt triển một mạng riờng ảo lớn và cú tớnh bảo mật cao. Đa số cỏc mạng riờng ảo ngày nay đang được khai thỏc khụng sử dụng sự hỗ trợ của cơ sở hạ tầng mó khoỏ cụng khai (PKI). Cỏc điểm kết cuối của cỏc mạng VPN này nhận thực lẫn nhau thụng qua thiết lập cỏc "đường ngầm" IP. Một cỏch đơn giản nhất, điều đú cú thể thực hiện được thụng qua việc thiết đặt cầu hỡnh tại cả hai đầu của đường ngầm VPN cựng chia sẻ một bớ mật chung - một cặp mật khẩu. Phương phỏp giải quyết "đơn giản" này cú thể hoạt động tốt trong một mạng VPN nhỏ nhưng sẽ trở nờn kồng kềnh, khú điều khiển trong một mạng VPN lớn khi số lượng điểm truy nhập lờn tới hàng trǎm, thậm chớ hàng ngàn điểm.
Hai đầu cuối VPN cú thể nhận thực nhau thụng qua giấy chứng nhận điện tử - Một loại "thẻ hội viờn điện tử" khụng thể thiếu trong cỏc mạng VPN lớn. Đối với giấy chứng nhận điện tử, tổ chức này được gọi là hệ thống cung cấp chứng nhận (CA-Certification Authority) Cỏc mạng VPN sử dụng chứng nhận điện tử khi đường ngầm IP khởi tạo, cỏc điểm kết cuối sẽ nhận thực lẫn nhau thụng qua chứng nhận điện tử. Cơ sở hạ tầng mó khoỏ cụng khai sẽ đúng vai trũ quan trọng trong việc xõy dựng thành cụng cỏc mạng VPN lớn.
3.2.3.4 Sử dụng xỏc thực 2 thành tố
eToken là một thiết bị nhận dạng số, được tớch hợp những giải phỏp phần mềm bảo mật chuyờn dụng, theo đỳng chuẩn quốc tế và kết nối với mỏy tớnh thụng qua cổng giao tiếp USB.
eToken cho phộp cả người dựng lẫn người quản trị / bảo mật quản lý hiệu quả quỏ trỡnh chứng thực người dựng hệ thống bằng cỏch lưu trữ và phỏt sinh mật khẩu, chứng chỉ số và mó húa tất cả thụng tin đăng nhập (cả khúa chung và khúa riờng). eToken cung cấp nền tảng bảo mật an toàn, hiệu quả, dễ sử dụng và triển khai trờn diện rộng.
Giải phỏp sử dụng thiết bị epass3003, epass2000, cỏc thiết bị này tương thớch với cỏc mụi trường linux, windows.
3.2.3.5 Tớch hợp tường lửa
Tường lửa (firewall) là rào chắn vững chắc giữa mạng riờng và Internet. Chỳng ta thể thiết lập cỏc tường lửa để hạn chế số lượng cổng mở, loại gúi tin và giao thức được chuyển qua.
Giải phỏp đưa ra tớch hợp phần mềm tường lửa mó nguồn mở shorewall trờn cỏc gateway. Tường lửa sẽ phõn hoạch cỏc vựng chớnh sỏch và thiết lập chớnh sỏch truy cập đối với việc truy cập từ xa vào hệ thống.
Shorewall là một giải phỏp tương thớch với giao diện tun ảo của Openvpn. Gải phỏp này đảm bảo kiểm soỏt, thiết lập chớnh sỏch cho vựng địa chỉ VPN.
3.2.4 Giải phỏp quản trị
Giải phỏp quản trị khụng thể thiếu cho việc quản trị mạng VPN với số lượng kết nối lớn. Giải phỏp Openvpn khụng hỗ trợ một giao diện cho việc quản trị. Cụng việc quản trị, cấu hỡnh thụng qua dũng lệnh. Việc này gõy khú khăn trong quỏ trỡnh giỏm sỏt kết nối vào hệ thống, thực hiện cấu hỡnh đối với người mới tiếp cận hệ thống.
3.2.5 Mụ hỡnh triển khai