VPN là gì ? Phân loại VPN

0
1405
Công ty của bạn có trụ sở chính tại thành phố Hồ Chí Minh, sau vài năm hoạt động, công ty ngày càng lớn mạnh và một chi nhánh tại Hà Nội được thành lập, để hai hệ thống mạng ở 2 nơi liên lạc với nhau và các nhân viên đi công tác có thể làm việc bạn cần làm gì ? Bài viết sau đây sẽ giới thiệu về công nghệ Virtual Private Network (VPN) có thể giúp bạn giải quyết được vấn đề trên.

Giới thiệu Virtual Private Network

Virtual Private Network là mạng riêng ảo hay còn được biết đến với từ viết tắt VPN, đây không phải là một khái niệm mới trong công nghệ mạng. VPN có thể được định nghĩa như là một dịch vụ mạng ảo được triển khai trên cơ sở hạ tầng của hệ thống mạng công cộng. VPN được dùng để kết nối các văn phòng chi nhánh, người dùng lưu động từ xa kết nối về văn phòng chính.
image001

Virtual Private Network sử dụng kỹ thuật Tunneling Protocols, Đây là kỹ thuật đóng gói một gói tin dữ liệu bên trong một gói tin khác để tạo ra một kênh truyền an toàn.

image004

VPN cung cấp nhiều đặc tính hữu ích bao gồm:
–     Chi phí thiết lập mạng VPN thấp do sử dụng chung hạ tầng Internet.
–     Tính linh hoạt: VPN đã xóa bỏ rào cản về mặt địa lý cho hệ thống mạng, sẵn sàng kết nối các mạng riêng lại với nhau một cách dễ dàng thông qua môi trường Internet.
–     Tăng tình bảo mật: các dữ liệu quan trọng sẽ được che giấu đối với những người không có quyền truy cập và cho phép truy cập  đối với những người dùng có quyền truy cập. Sử dụng các giao thức đóng gói, các thuật toán mã hóa và các phương pháp chứng thực để bảo mật dữ liệu trong quá trình truyền.
–     Bảo mật địa chỉ IP: bởi vì thông tin được gửi đi trên VPN đã được mã hóa do đó các điạ chỉ bên trong mạng riêng được che giấu và chỉ sử dụng các địa chỉ bên ngoài Internet.

image005

Các Mode Hoạt Động Của VPN

Mode hoạt động của VPN là khái niệm dùng để chỉ sự qui định các đóng gói dữ liệu trong quá trình truyền giữa các thiết bị. VPN có hai mode hoạt động là Transport và Tunnel

  • Transports mode: Dữ liệu được mã hóa sẽ nằm trong ESP header và ESP sẽ chèn vào giữa Layer 2 header và layer 3 header
  • Tunnel mode: Dữ liệu sẽ được mã hóa và đóng gói thành 1 IP Header mới với source và des IP mới.
image006

Phân Loại VPN

  • VPN là khái niệm chung cho việc thiết lập kênh truyền ảo, nhưng còn tùy thuộc vào mô hình mạng và nhu cầu sử dụng mà chọn loại thiết kế cho phù hợp. Công nghệ VPN có thể được phân thành 2 loại cơ bản: Site-to-Site VPN và Remote Access VPN.
  • VPN hoạt động nhờ vào sự kết hợp với các giao thức đóng gói: PPTP, L2TP, IPSec, GRE, MPLS, SSL, TLS.

Site-to-Site VPN

  • Là mô hình dùng để kết nối các hệ thống mạng ở các nơi khác nhau tạo thành một hệ thống mạng thống nhất. Ở loại kết nối này thì việc chứng thực ban đầu phụ thuộc vào thiết bị đầu cuối ở các Site, các thiết bị này hoạt động như Gateway và đây là nơi đặt nhiều chính sách bảo mật nhằm truyền dữ liệu một cách an toàn giữa các Site.
image008
  • Lan-to-Lan VPN có thể được xem  như là intranet VPN hoặc extranet VPN (xem xét về mặt chính sách quản lý). Nếu chúng ta xem xét dướI góc độ chứng thực nó có thể được xem như là một intranet VPN, ngược lại chúng được xem như  là một extranet VPN. Tính chặt chẽ trong việc truy cập giữa các site có thể được điều khiển bởi cả hai (intranet và extranet VPN) theo các site tương ứng của chúng.

Remote Access VPN

  • Remote Access VPNs cho phép truy cập bất cứ lúc nào bằng Remote, mobile, và các thiết bị truyền thông của nhân viên các chi nhánh kết nối đến tài nguyên mạng của tổ chức.
  • Remote Access VPN mô tả việc các người dùng ở xa sử dụng các phần mềm VPN để truy cập vào mạng Intranet của công ty thông qua gateway hoặc VPN concentrator (bản chất là một server). Vì lý do này, giải pháp này thường được gọi là client/server. Trong giải pháp này, các người dùng thường thường sử dụng các công nghệ WAN truyền thống để tạo lại các tunnel về mạng HO của họ.
  • Loại này thường áp dụng cho nhân viên làm việc lưu động hay làm việc ở nhà muốn kết nối vào mạng công ty một cách an toàn. Cũng có thể áp dụng cho văn phòng nhỏ ở xa kết nối vào Văn phòng trung tâm của công ty.
  • Remote Access VPN còn được xem như là dạng User-to-LAN, cho phép người dùng ở xa dùng phần mềm VPN Client kết nối với VPN Server.
  • Một hướng phát triển khá mới trong remote access VPN là dùng wireless VPN, trong đó một nhân viên có thể truy cập về mạng của họ thông qua kết nối không dây. Trong thiết kế này, các kết nối không dây cần phải kết nối về một trạm wireless (wireless terminal) và sau đó về mạng của công ty. Trong cả hai trường hợp, phần mềm client trên máy PC đều cho phép khởi tạo các kết nối bảo mật, còn được gọi là tunnel.
  • Một phần quan trọng của thiết kế này là việc thiết kế quá trình xác thực ban đầu nhằm để đảm bảo là yêu cầu được xuất phát từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này dựa trên cùng một chính sách về bảo mật của công ty. Chính sách này bao gồm: qui trình (procedure), kỹ thuật, server (such as Remote Authentication Dial-InUser Service [RADIUS], Terminal Access Controller Access Control System Plus [TACACS+]…).
image013

Các Giao Thức Trong VPN

Point-To-Point Tunneling Protocol (PPTP)

  • PPTP được viết tắt từ Point-to-Point Tunneling Protocol. Là sự mở rộng của giao thức Internet chuẩn Point-to-Point (PPP) và sử dụng cùng kiểu xác thực như PPP (PAP, SPAP, CHAP, MS-CHAP, EAP).
  • Là phương pháp VPN được hỗ trợ rộng rãi nhất giữa các máy trạm chạy Windows. PPTP thiết lập đường hầm (tunnel) nhưng không mã hóa. Ưu điểm khi sử dụng PPTP là nó không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure).
image011
Layer 2 Forwarding – L2F

Được Cisco phát triển. L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.

Layer 2 Tunneling Protocol – L2TP

  • Là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF. Tiêu chuẩn L2TP được hoàn tất vào cuối năm 1998.
  • Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa.
  • Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.

IPSec- VPN

  • IPsec được tích hợp trong rất nhiều giải pháp VPN “tiêu chuẩn”, đặc biệt trong các giải pháp VPN gateway-to-gateway (site-to-site) để nối 2 mạng LAN với nhau.
  • IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa hai gateway hoặc giữa máy tính trạm và gateway.
  • IPsec chỉ hoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based network). Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạm VPN phải được cài đặt sẵn phần mềm VPN client.
  • IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data-Link như các giao thức dùng trong VPN khác như L2TP, PPTP.
image014
  • IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng. Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:
    • Tính bảo mật dữ liệu – Data confidentiality
    • Tính toàn vẹn dữ liệu – Data Integrity
    • Tính chứng thực nguồn dữ liệu – Data origin authentication
    • Tính tránh trùng lặp gói tin – Anti-replay
  •  Việc xác thực được thực hiện thông qua giao thức Internet Key Exchange (IKE) hoặc với chứng chỉ số (digital certificates) đây là phương thức bảo mật hơn hoặc thông qua khóa mã chia sẻ (preshared key).
  • IPSec VPN có thể bảo vệ chống lại hầu hết các phương pháp tấn công thông dụng bao gồm Denial of Service (DoS), replay, và “man-in-the-middle”.

SSL-VPN

  • SSL VPN còn được gọi là giải pháp “clientless”. Điều này cũng có nghĩa là các giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn.
  • Với SSL VPN, thay vì cho phép VPN client truy xuất vào toàn bộ mạng hoặc một mạng con (subnet) như với IPsec, có thể hạn chế chỉ cho phép truy xuất tới một số ứng dụng cụ thể.
  • Nếu một ứng dụng mà bạn muốn họ truy cập không phải là là loại ứng dụng dựa trên trình duyệt (browser-based), thì cần phải tạo ra một plug-ins Java hoặc Active-X để làm cho ứng dụng đó có thể truy xuất được qua trình duyệt.
  • SSL VPN hoạt động ở session layer, điều này cho nó khả năng điều khiển truy cập theo khối tốt hơn.
  • SSL VPN sử dụng chứng chỉ số (digital certificates) để xác thực server.
  • SSL VPN không cần phần mềm VPN client trên máy khách (ngoại trừ trình duyệt Web), SSL VPN gateways vẫn có thể cung cấp các tiện ích “quản lý máy khách ” bằng cách buộc trình duyệt phải chạy các applets.

OpenVPN

  • OpenVPN là phần mềm mã nguồn mở tạo các kết nối và thực hiện bảo mật mạng ở tầng 2 và 3.
  • Sử dụng SSL/TLS để tạo ra kênh truyền bảo mật (đã được sử dụng rộng rãi trên thế giới và các hãng đang bắt đầu hỗ trợ VPN qua giao thức này như Microsoft, Cisco..)
  • Sử dụng thư viện SSL API để thực hiện mã hóa, do đó ta có thể linh động thay đổi bằng những thuật toán khác.

Xem thêm: VPN Clients to Site trên Windows Server

Cảm ơn và hẹn bạn ở một bài viết khác trên oktot.com nhé!

LEAVE A REPLY