OpenVPN cú thể hoạt động bằng cỏch sử dụng một trong hai mụ hỡnh bảo mật. Mỗi mụ hỡnh cú lợi thế và bất lợi riờng của nú, nhưng như chỳng ta sẽ thấy, chỉ cú một trong những mụ hỡnh thớch hợp trong cỏc giải phỏp bảo mật yờu cầu cao hơn. Chỳng ta sẽ tỡm hiểu hai mụ hỡnh này, nhưng mục đớnh chớnh là phõn tớch chi tiết cỏc mụ hỡnh an toàn hơn.
Trong mụ hỡnh đầu tiờn, được gọi là phương phỏp static key, hai mỏy sử dụng cỏc khúa chia sẻ trước để mó húa và xỏc thực. Cỏc khúa được cấu hỡnh trờn mỗi mỏy trước khi bắt đầu VPN. Tất nhiờn, cần một số phương phỏp an toàn khỏc để trao đổi khúa với cỏc mỏy khỏc.
Theo mặc định cú hai khúa: một cho mó húa/giải mó và một cho xỏc thực HMAC. Trong trường hợp này, cả hai mỏy cựng sử dụng hai khúa . Để an toàn hơn OpenVPN sử dụng bốn khúa: Mỗi mỏy cú một khúa HMAC nhận, một khúa HMAC gửi, một khúa mó húa và một khúa giải mó. Điều này cú lợi thế của việc trao đổi khúa và quan trọng hơn là việc hạn chế những nguy cơ nếu dựng duy nhất một khúa cho việc truyền thụng.
Bất kể dự hai hoặc bốn khúa được sử dụng, chỳng ta nờn thận trọng với phương thức này. Cú thể thấy những yếu điểm của việc sử dụng cỏc khúa chia sẻ trong một thời gian dài. Cỏc khúa chia sẽ được sử dụng cho việc mó húa của VPN cho đến khi chỳng được thay đổi bằng tay và VPN được khởi động lại. Cuối cựng, dữ liệu và cỏc khúa chia sẻ trở nờn dễ bị tổn thương. Một khi một khúa bị phỏt hiện, tất cả cỏc dữ liệu truyền trong kờnh VPN mà được sử dụng khúa đú cú thể bị đọc.
Lợi thế cú mục đớch của phương phỏp tĩnh chớnh là cấu hỡnh dễ dàng hơn. Cỏc quản trị viờn VPN khụng cần phải bận tõm với chứng chỉ hoặc giấy chứng nhận quyền.
77
Phương phỏp thứ hai: được gọi là phương thức TLS, sử dụng giao thức SSL để xỏc thực mỗi điểm cuối VPN đến cỏc mỏy chủ, trao đổi khúa và thụng tin điều khiển khỏc. Trong phương phỏp này, OpenVPN Thiết lập một phiờn SSL/TLS với mỏy của nú để kiểm soỏt cỏc kờnh. Trong giai đoạn xỏc thực, cỏc mỏy trao đổi giấy chứng nhận được ký bởi một CA tin cậy lẫn nhau. Điều này đảm bảo cả hai bờn rằng họ đang núi chuyện với chớnh xỏc bạn bố của họ, ngăn chặn cỏc cuộc tấn cụng man-in-the-middle.
.
Hỡnh 3. 1: Mụ hỡnh lưu khúa sử dụng Openvpn
Một xỏc thực thành cụng và một phiờn SSL được thiết lập giữa cỏc mỏy, OpenVPN sử dụng kết nối để thương lượng cỏc khúa phiờn cho cỏc kờnh dữ liệu. Người quản trị cú thể cấu hỡnh OpenVPN để đàm phỏn lại cỏc khúa này, dựa trờn bất kỳ sự kết hợp của byte truyền, cỏc gúi tin truyền đi hoặc thời gian. Cỏc thỏa hiệp của một khúa khụng ảnh hưởng đến dữ liệu được truyền trước hoặc sau khi sử dụng.
Phương phỏp TLS cung cấp xỏc thực rất mạnh mẽ và trao đổi khúa an toàn. Ngoại trừ cỏc mạng riờng ảo theo phương thức 1, phương phỏp này nờn được sử dụng.