1. Tổng quan về VPN 2014
Võ Hồng Phúc Page 1
I. Tổng quan về VPN
1. Định nghĩa về VPN
Trước kia khi một công ty,tổ chức muốn kết nối các văn phòng,chinh nhánh với
nhau họ phải thuê riêng một kênh đường truyền leased line từ các ISP.Ngày nay với sự
phát triển nhanh chóng và phổ biến của internet,việc thuê một kênh riêng đã trở nên
không hiệu quả,ngoài ra chi phí cho việc thuê kênh riêng hiện nay là khá cao.Để đáp ứng
hai yêu cầu hiệu quả và chi phí thì VPN đã ra đời,đưa đến cho các doanh nghiệp giải
pháp để kết nối các văn phòng và chi nhánh.Vậy VPN là gì?
Có khá nhiều định nghĩa về VPN,em xin đưa một vài ví dụ cụ thể :
“Mạng riêng ảo hay VPN (viết tắt cho Virtual Private Network) là một mạng dành
riêng để kết nối các máy tính của các công ty,tập đoàn hay các tổ chức với nhau thông
qua mạng Internet công cộng.” nguồn: Wikipedia
“Một mạng VPN có thể hiểu là một thiết lập logic vật lý bảo mật được thực hiện
bởi những phần mềm đặc biệt.Thiết lập sự riêng tư bằng việc bảo vệ kết nối điểm cuối”
nguồn: OpenVPN-Markus Feiler
Nhưng có lẽ định nghĩa đơn giản nhất dành cho VPN là:
“Bản chất của VPN là một kết nối bảo mật giữa hai hoặc nhiều điểm của mạng
công cộng” nguồn: SSL VPN-Joseph Steinberg & Timothy Speed
Hình 1: Mô Hình mạng riêng ảo (VPN)
2. Tại sao phải sử dụng VPN
2. Tổng quan về VPN 2014
Võ Hồng Phúc Page 2
VPN ra đời từ nhu cầu kết nối giữa các công ty mẹ với các công ty con và chi
nhánh.Chính vì vậy,cho tới nay thì các công ty,tổ chức chính là đối tượng chính sử dụng
VPN.Đặc biệt là các công ty có nhu cầu cao về việc trao đổi thông tin,dữ liệu giữa các
văn phòng với nhau nhưng lại không đòi hỏi yêu cầu quá cao về tính bảo mật,cũng như
dữ liệu.Vì vậy đối với các doanh nghiệp,những lý do sau khiến mỗi đơn vị,tổ chức,công
ty sử dụng VPN:
1. Giảm chi phí thường xuyên
Tiết kiệm 60% chi phí thuê đường truyền,cũng như là chi phí gọi đường dài của
những văn phòng ở xa.Với những nhân viên di động thì việc đăng nhập vào mạng VPN
chung của công ty thông qua các POP tại địa điểm đó.
2. Giảm chi phí đầu tư
So với việc phải đầu tư từ đầu như trước đây thì giờ đây mọi chi phí về máy
chủ,đường truyền,bộ định tuyến,bộ chuyển mạch … Các công ty có thể thuê chúng từ các
đơn vị cung cấp dịch vụ.Như vậy vừa giảm được chi phí đầu tư trang thiết bị.
3. Giảm chi phí duy trì nơi hệ thống và bảo trì
Thuận tiện cho việc nâng cấp hay bảo trì trong quá trình sử dụng vì hiện nay các
công ty cung cấp dịch vụ sẽ chịu trách nhiệm bảo trì hệ thống họ cung cấp hoặc nâng cấp
theo nhu cầu của khách hàng.
4. Truy cập mọi lúc mọi nơi
Mọi nhân viên có thể sử dụng hạ tầng,dịch vụ của bên cung cấp trong điều kiện
cho phép để kết nối vào mạng VPN của công ty.Điều này đặc biệt quan trọng thời kỳ hiện
nay,khi mà thông tin không chỉ còn được đánh giá bằng độ chính xác mà còn cả tính tức
thời.
3. Kiến trúc của VPN
Một hệ thống VPN được xây dựng lên bởi 2 thành phần chính là (Tunneling)
đường hầm kết nối và (Secure services) các dịch vụ bảo mật cho kết nối đó.Tunneling
chính là thành phần “Virtual” và Sercure services là thành phần “Private” của một mạng
riêng ảo VPN(Virtual Private Network).
a) Đường hầm kết nối (Tunneling)
Khác với việc thuê một đường truyền riêng các kết nối bằng việc sử dụng cách tạo
đường hầm không liên tục,mà chỉ được xác lập khi có yêu cầu kết nối.Do vậy khi không
3. Tổng quan về VPN 2014
Võ Hồng Phúc Page 3
còn được sử dụng các kết nối này sẽ được huỷ,giải phóng băng thông,tài nguyên mạng
cho các yêu cầu khác.Điều này cho thấy một ưu điểm rất lớn của VPN so với việc thuê
đường truyền riêng đó là sự linh hoạt.
Cấu trúc logic của mạng được thiết lập dành cho thiết bị mạng tương ứng của
mạng đó mà không cần quan tâm đến hạ tầng mạng hiện có là một đặc điểm “ảo” khác
của VPN.Các thiết bị phần cứng của mạng đều trở nên tàng hình với người dùng và thiết
bị của mạng VPN.Chính vì thế trong quá trình tạo ra đường hầm,những kết nối hình
thành nên mạng riêng ảo không có cùng tính chất vật lý với những kết nối cố định trong
mạng Lan thông thường.
Tạo đường hầm chính là hình thành 2 kết nối đặc biệt giữa hai điểm cuối trên
mạng.Các gói tin IP trước khi chuyển đi phải được đóng gói,mã hoá gói tin gốc và thêm
IP header mới.Sau đó các gói tin sẽ được giải mã,tách bỏ phần tiêu đề tại gateway của
điểm đến,trước khi được chuyển đến điểm đến đầu cuối.
Đường hầm kết nối khiến việc định tuyến trở nên dễ dàng hơn,hoàn toàn trong
suốt với người sử dụng.
Có hai loại đường hầm kết nối thường trực và tạm thời.Tính hiệu quả và tối ưu của
một đường hầm kết nối thường trực là không cao.Do đó đường hầm tạm thời thường
được sử dụng hơn vì tính linh động và hữu dụng hơn cho VPN.
Có hai kiểu kết nối hình thành giữa hai đầu kết nối của mỗi đường hầm là Lan to
Lan và Client to Lan.
(i) Lan to Lan
Kết nối lan to lan được hình thành giữa 2 văn phòng chi nhánh hoặc chi nhánh với
công ty.Các nhân viên tại những văn phòng và chi nhánh đều có thể sử dụng đường hầm
để trao đổi dữ liệu.
(ii) Client to lan
Kiểu kết nối client to lan dành cho các kết nối di động của các nhân viên ở xa đến
công ty hay chi nhánh.Để thực hiện được điều này,các máy client phải chạy một phần
mềm đặc biệt cho phép kết nối với gateway của công ty hay chinh nhánh.Khi kết nối này
được thực hiện thì đã xác lập một đường hầm kết nối giữa công ty và nhân viên ở xa.
b)Dịch vụ bảo mật (secure services)
Nếu chỉ thực hiện tạo ra một đường hầm kết nối đến chi nhánh hay nhân viên ở xa
mà không hề có cơ chế bảo vệ cho các dữ liệu di chuyển trên nó thì cũng như việc các
4. Tổng quan về VPN 2014
Võ Hồng Phúc Page 4
ngân hàng chuyển tiền mà không có lực lượng bảo vệ vậy.Tất cả các dữ liệu sẽ không
được bảo vệ,hoàn toàn có thể bị đánh cắp,thay đổi trên quá trình vận chuyển một cách dễ
dàng.Chính vì vậy các cơ chế bảo mật cho VPN chính là xương sống của giải pháp này.
Một mạng VPN cần cung cấp 4 chức năng bảo mật cho dữ liệu:
• Xác thực(Authentication): Đảm bảo dữ liệu đến từ một nguồn quy định.
• Điều khiển truy cập (Access control) : hạn chế quyền từ những người dùng bất
hợp pháp.
• Tin cậy (Confidentiality): Ngăn chặn việc theo dõi hay sao chép dữ liệu trong
quá trình vận chuyển trên mạng.
• Tính toàn vẹn (Data integrity): đảm bảo dữ liệu không bị thay đổi,được bảo toàn
từ đầu gửi đến đầu nhận.
Các dịch vụ bảo mật trên được cung cấp tại lớp 2 (Data link) và lớp 3 (Network)
trong mô hình 7 lớp OSI.Các dịch vụ bảo mật đều được triển khai tại các lớp thấp của mô
hình OSI làm giảm sự tác động đến người dùng.Việc bảo mật có thể thực hiện tại các đầu
cuối (end to end) hoặc giữa các nút (node to node).
Bảo mật tại các điểm đầu cuối là hình thức bảo mật có được độ tin cậy cao,ví dụ
như tại 2 máy tính đầu cuối.Tuy vậy nhưng hình thức bảo mật đầu cuối hay client to
client lại có nhược điểm làm tang sự phức tạp cho người dùng,khó khăn cho việc quản lý.
Trái với bảo mật điểm đầu cuối,bảo mật tại các nút thân thiện hơn với người dùng
cuối.Giảm số tác vụ có thể làm chậm hệ thống máy tính như mã hoá hay giải mã.Tuy
nhiên việc bảo mật tại các nút lại yêu cầu mạng sau nó phải có độ tin cậy cao.Mỗi hình
thức bảo mật đều có ưu điểm riêng,tuỳ theo từng yêu cầu của hệ thống cần xây dựng mà
chọn hình thức phù hợp.