Giới thiệu về Mạng riêng ảo Vitual Private Network

Giới thiệu
mạng riêng ảo - VPN

1. KHÁI NIỆM MẠNG RIÊNG ẢO
2. ỨNG DỤNG MẠNG RIÊNG ẢO
3. CƠ CHẾ HOẠT ĐỘNG CỦA VPN
4. CÁC GIAO THỨC PHỔ BIẾN CỦA VPN
5. CÁC VẤN ĐỀ SỬ DỤNG MẠNG RIÊNG ẢO VPN
6. KẾT LUẬN
Nội dung

I. KHÁI NIỆM MẠNG RIÊNG ẢO
VPN là viết tắt của Virtual Private Network (Mạng riêng ảo), là công nghệ cho phép người
dùng tạo ra một kết nối an toàn trên các mạng công cộng như Internet. VPN cho phép mở
rộng một mạng riêng thông qua các mạng Internet.
Để có thể gửi nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo yếu tố bảo mật, an
toàn thì VPN cung cấp các cơ chế đóng gói, mã hoá dữ liệu trên đường truyền tạo ra một
đường hầm (tunnel) ảo giữa nơi gửi và nơi nhận, kết nối này giống như một kết nối điểm –
điểm (Point to Point).

CHỨC NĂNG CHÍNH CỦA VPN:
- Sự tin cậy: Người gửi có thể mã hoá dữ liệu trước khi truyền
- Tính toàn vẹn dữ liệu: Người nhận có thể kiểm tra dữ liệu truyền qua mạng Internet mà
không bị thay đổi
- Xác thực nguồn gốc: Người nhận có thể xác thực được nguồn gốc của dói dữ liệu, đảm
bảo nguồn thông tin

MỤC ĐÍCH SỬ DỤNG
- Bảo mật dữ liệu: Dữ liệu được mã hóa trước khi được gửi qua mạng công cộng, ngăn
chặn bất kỳ ai khác trong mạng đọc thông tin.
- Bảo vệ quyền riêng tư: VPN giúp ẩn địa chỉ IP thực sự của người dùng, ngăn chặn việc
theo dõi và thu thập thông tin cá nhân.
- Truy cập từ xa an toàn: Cho phép người dùng truy cập vào mạng nội bộ từ xa một cách
an toàn, phù hợp cho nhân viên làm việc từ xa.
- Vượt qua hạn chế địa lý: VPN cho phép người dùng truy cập vào các dịch vụ web bị chặn
hoặc giới hạn địa lý, bằng cách ẩn địa chỉ IP của họ.
- Kết nối mạng doanh nghiệp: Công nghệ VPN Site-to-Site cho phép kết nối an toàn giữa
các mạng LAN khác nhau của doanh nghiệp thông qua internet.

II. ỨNG DỤNG MẠNG RIÊNG ẢO
VPN Remote Access (Truy cập từ xa)
- Cho phép người dùng kết nối vào mạng nội bộ từ xa thông qua internet. Được sử dụng
phổ biến cho nhân viên làm việc từ xa.
- Remote Access cho phép truy cập bằng các loại thiết bị như máy tính, mobile
- Cần kết nối tới các dịch vụ bị chặn về địa lý, tên miền...

II. ỨNG DỤNG MẠNG RIÊNG ẢO
VPN Site-to-Site (Chi nhánh đến chi nhánh): Kết nối hai mạng LAN giữa hai trụ sở khác nhau
thông qua internet. Phù hợp cho doanh nghiệp có nhiều chi nhánh. Có 02 loại VPN Site to
Site:
- Intranet VPN: Kết nối trụ sở chính với các chi nhánh ở xa. Tuy nhiên chỉ cho phép nội bộ
trong chi nhánh truy cập vào hệ thống mạng riêng
- Extranet VPN: Kết nối các bộ phận, các đơn vị liên quan thành một hệ thống mạng dùng
chung

Các thành phần cơ bản của VPN

III. CƠ CHẾ HOẠT ĐỘNG CỦA VPN
- Khởi tạo kết nối: Khi bắt đầu kết nối đến một dịch vụ VPN thông qua ứng dụng hoặc trên
các thiết bị VPN, quá trình bắt đầu. Máy tính hoặc thiết bị di động sẽ tạo ra một yêu cầu kết
nối đến máy chủ, thiết bị cung cấp dịch vụ VPN.
- Đóng gói dữ liệu: Khi tạo một kết nối VPN, dữ liệu của bạn sẽ được đóng gói lại trong các
gói dữ liệu khác. Gói dữ liệu này chỉ cung cấp thông tin header chứa thông tin định tuyến
đường đi để nó có thể tới đích thông qua mạng công cộng. Còn các thông tin dữ liệu sẽ
được ẩn thông qua các giao thức mã hoá. Quá trình đóng gói này là quá trình tạo đường
hầm (Tunneling)
- Mã hóa dữ liệu: Trước khi dữ liệu được đóng gói vào gói dữ liệu mới, nó sẽ được mã
hóa. Mã hóa đảm bảo rằng dữ liệu không thể bị đọc được nếu bị nắm bắt bởi các bên thứ
ba. Các thuật toán mã hóa mạnh như AES, RSA, TripleDES...thường được sử dụng để
bảo vệ dữ liệu

III. CƠ CHẾ HOẠT ĐỘNG CỦA VPN
- Xác thực và ủy quyền: Để đảm bảo tính bảo mật của kết nối, các phương thức xác thực
và ủy quyền được sử dụng để đảm bảo rằng chỉ các thiết bị hoặc người dung được cho
phép mới có thể kết nối vào mạng VPN. VPN server xác minh danh tính của thiết bị kết nối
bằng cách yêu cầu thông tin đăng nhập, chứng thực người dùng thông qua tên người dùng
và mật khẩu hoặc chứng chỉ số.
- Gỡ mã hóa tại đích: Khi gói dữ liệu đến đích, nó sẽ được gỡ mã hóa để hiển thị dữ liệu
gốc. Quá trình này được thực hiện bởi máy chủ VPN hoặc thiết bị đích. Dữ liệu gốc sẽ
được hiển thị và xử lý như bình thường tại điểm đích.
- Loại giao thức: Các giao thức truyền tải dữ liệu qua đường hầm VPN có thể là UDP (User
Datagram Protocol) hoặc TCP (Transmission Control Protocol). UDP thường được sử
dụng cho các ứng dụng cần độ trễ thấp như video streaming, trong khi TCP được sử dụng
khi độ tin cậy cao là ưu tiên.

IV. CÁC GIAO THỨC PHỔ BIẾN CỦA VPN
● Các giao thức xây dựng mạng riêng ảo:
○ PPTP (hoạt động trên Layer 2)
○ L2TP/IPsec (hoạt động trên Layer 3)
○ IKEv2/IPsec (hoạt động trên Layer 3)
○ OpenVPN (hoạt động trên Layer 7)
○ Wireguard (hoạt động trên Layer 3)

1. Giao thức PPTP
- PPTP (Point to Point Tunneling Protocol) là giao thức mạng được sử dụng để thiết lập
và quản lý các kết nối mạng riêng tư ảo (VPN) trên mạng Internet. PPTP được phát triển
bởi Microsoft và hoạt động trên Layer 2 (Data) của mô hình OSI.
- PPTP cho phép truyền dữ liệu an toàn từ một máy khách từ xa đến một máy chủ bằng
cách tạo ra một mạng riêng ảo (VPN) thông qua giao thức Điểm-Điểm (Point to Point
Protocol), thiết lập kết nối TCP tới máy chủ VPN qua cổng 1723. PPTP là một trong
những giao thức phổ biến nhất, dễ thiết lập nhất và tính toán nhanh nhất. Vì lý do đó,
PPTP sử dụng cho các ứng dụng mà tốc độ truyền là quan trọng như phát trực tuyến
video, audio.

1.Giao thức PPTP
Ưu điểm
- PPTP hỗ trợ tất cả các hệ điều hành máy tính và di động và được tích hợp sẵn trong hệ
điều hành Windows.
- Dễ dàng cấu hình, cài đặt đối với cả người không có kinh nghiệm
- Do mã hóa cấp thấp, nên tốc độ tính toán và tốc độ kết nối có thể nhanh hơn trong một
số trường hợp

1.Giao thức PPTP
Nhược điểm
- Khả năng bảo mật kém, các giao thức xác thực của PPTP là MS-CHAP-v1 / v2 về cơ
bản là không an toàn và đã nhiều lần bị bẻ khóa trong các phân tích bảo mật kể từ khi
PPTP được giới thiệu nên PPTP không phù hợp cho các yêu cầu đòi hỏi tính bảo mật
cao.

2. Giao thức L2TP/IPsec
- L2TP (Layer 2 Tunneling Protocol), là một giao thức kết hợp giữa hai giao thức khác
nhau để tạo ra một mạng riêng ảo (VPN) với tính bảo mật cao. L2TP/Ipsec kết hợp hai
giao thức: L2TP (Layer 2 Tunneling Protocol) và IPsec (Internet Protocol Security) để
cung cấp tính năng mã hóa và xác thực trong quá trình truyền dữ liệu.
L2TP (Layer 2 Tunneling Protocol):
- L2TP là một giao thức tạo ra các đường hầm (tunnels) bảo mật trên mạng, cho phép dữ
liệu được truyền qua mạng một cách an toàn.
- L2TP hoạt động ở tầng liên kết (Layer 2) trong mô hình OSI.
- L2TP không cung cấp tính năng mã hóa hoặc xác thực dữ liệu, nên thường được sử
dụng cùng với một giao thức khác như IPsec để đảm bảo an toàn thông tin.

Các giao thức phổ biến của VPN
IPsec (Internet Protocol Security):
- IPsec là một bộ các giao thức và tiêu chuẩn được sử dụng để bảo mật giao tiếp qua
mạng IP.
- IPsec hoạt động ở tầng mạng (Layer 3) trong mô hình OSI.
- IPsec cung cấp các tính năng chính như mã hóa dữ liệu, xác thực bằng cách sử dụng
pre-shared key, certificates.
- Có hai chế độ chính của IPsec: chế độ gói (Transport Mode) và chế độ đường hầm
(Tunnel Mode). Chế độ đường hầm được sử dụng khi muốn bảo mật toàn bộ đường
truyền giữa hai mạng.

- Khi kết hợp L2TP và IPsec lại với nhau, chúng ta có một giao thức kết nối được gọi là
L2TP/IPsec, với tính năng tạo ra đường hầm bảo mật (tunnels) cho dữ liệu qua mạng. Quá
trình hoạt động của L2TP/IPsec như sau:
- Xác thực và khởi tạo kết nối: Máy khách (client) gửi yêu cầu kết nối đến máy chủ (server).
Máy chủ xác thực thông qua các thông tin xác thực như tên người dùng và mật khẩu.
- Tạo đường hầm L2TP: Sau khi xác thực thành công, một đường hầm L2TP được tạo ra
qua mạng.
- Kích hoạt IPsec: Sau khi đường hầm L2TP đã được thiết lập, IPsec được kích hoạt để
bảo mật dữ liệu truyền qua đường hầm. Dữ liệu được mã hóa và giải mã ở hai đầu đường
hầm để đảm bảo tính bảo mật.
- Truyền dữ liệu an toàn: Dữ liệu giữa máy khách và máy chủ được truyền qua đường hầm
đã được mã hóa bởi IPsec, đảm bảo tính bảo mật và riêng tư.

3. IKEv2/IPsec (Layer 3)
- IKEv2/IPsec là một công nghệ kết hợp giữa hai giao thức quan trọng: IKEv2 (Internet
Key Exchange version 2) và IPsec (Internet Protocol Security). Công nghệ này được sử
dụng để thiết lập kết nối mạng riêng tư và bảo mật qua mạng Internet hoặc các mạng
công cộng khác
IKEv2 (Internet Key Exchange version 2):
- IKEv2 là một giao thức dùng để thiết lập và quản lý các khóa bảo mật cho việc truyền dữ
liệu qua mạng.
- Giao thức này hoạt động ở tầng 3 (Network Layer) trong mô hình OSI.
- IKEv2 giúp hai bên (client và server) thỏa thuận về các thông số bảo mật như các khóa
mã hóa, giao thức xác thực, và thời gian hiệu lực của các khóa này.
- IKEv2 cũng có khả năng tự động thiết lập lại kết nối sau khi bị mất kết nối tạm thời.

IPsec (Internet Protocol Security):
- IPsec là một tập hợp các giao thức và cơ chế bảo mật để đảm bảo tính bảo mật và toàn
vẹn của dữ liệu truyền qua mạng IP.
- IPsec hoạt động ở tầng 3 (Network Layer) trong mô hình OSI.
- Các chức năng chính của IPsec bao gồm:
+ Mã hóa dữ liệu: Dữ liệu truyền qua mạng được mã hóa để ngăn chặn việc đọc trộm từ
phía thứ ba.
+ Xác thực: Đảm bảo rằng các thông điệp không bị giả mạo và nguồn gốc của chúng
được xác minh.
+ Giao thức quản lý khóa: Quản lý việc tạo, xác thực và quản lý các khóa bảo mật được
sử dụng trong việc mã hóa và giải mã dữ liệu.

3. IKEv2/IPsec
Ưu điểm của IKEv2/IPsec:
- KEv2/IPsec cung cấp một cấp độ bảo mật cao cho dữ liệu trong quá trình truyền tải dữ
liệu .
- IKEv2/IPsec hỗ trợ nhiều dịch vụ và ứng dụng khác nhau trên cùng một kết nối VPN,
cho phép truy cập cùng lúc vào nhiều tài nguyên mạng mà không cần thiết lập nhiều kết
nối riêng biệt.
- IKEv2/IPsec có khả năng tự động thiết lập lại kết nối một cách nhanh chóng và bảo đảm
rằng dịch vụ VPN không bị ngắt quãng lâu.
- IKEv2 được thiết kế để hỗ trợ các giao thức mạng mới nhất và đáp ứng các yêu cầu bảo
mật và mã hóa mới nhất..

3. IKEv2/IPsec
Nhược điểm của IKEv2/IPsec:
- Cấu hình phức tạp hơn và khả năng bị chặn ở một số mạng có cấu hình nghiêm ngặt.
- Mã hóa và giải mã dữ liệu trong quá trình truyền tải có thể ảnh hưởng đến tốc độ mạng.
Điều này đặc biệt quan trọng đối với các ứng dụng đòi hỏi độ trễ thấp, chẳng hạn như trò
chơi trực tuyến hoặc cuộc gọi thoại/video qua mạng.

5. Open VPN
- OpenVPN là một công nghệ VPN mã nguồn mở cho phép các bên xác thực lẫn nhau bằng cách
sử dụng pre-shared key, certificates hoặc tên người dùng/mật khẩu
- OpenVPN có thể sử dụng đối hai loại giao thức là UDP (User Datagram Protocol) và TCP
(Transmission Control Protocol) để truyền dữ liệu
- OpenVPN có thể sử dụng trong hai chế độ: Remote Access (truy cập từ xa) và Site-to-Site (từ
site này đến site khác).

5. OpenVPN
Ưu điểm của OpenVPN:
- Tính bảo mật cao do OpenVPN sử dụng các giao thức và thuật toán bảo mật mạnh như
TLS/SSL, AES, Diffie-Hellman, và SHA để đảm bảo tính bảo mật, toàn vẹn và an toàn cho dữ
liệu.
- Có cấu hình linh hoạt: OpenVPN cho phép người quản trị tùy chỉnh cấu hình theo nhu cầu,
bao gồm các tùy chọn bảo mật, giao thức sử dụng, cổng kết nối, và nhiều tùy chọn khác.
- Hỗ trợ đa nền tảng: OpenVPN có sẵn cho nhiều hệ điều hành và nền tảng khác nhau như
Windows, macOS, Linux, iOS, và Android. Điều này cho phép kết nối VPN trên bất cứ thiết bị
nào

4. OpenVPN
Nhược điểm của OpenVPN:
- Khó cấu hình ban đầu: Việc cấu hình và triển khai OpenVPN đối với người mới có thể phức
tạp, đòi hỏi kiến thức về mạng và bảo mật.
- Tốn tài nguyên hệ thống: Khi sử dụng các loại mã hoã mạnh, OpenVPN có thể gây tiêu tốn
nhiều tài nguyên của thiết bị.
- Tùy chỉnh phức tạp: Mặc dù có ưu điểm về linh hoạt, tuy nhiên việc tùy chỉnh các tùy chọn cấu
hình trong OpenVPN có thể trở nên phức tạp và dẫn đến sai sót nếu không được thực hiện
đúng cách.
- Hiệu suất có thể thấp hơn: So với một số giải pháp VPN khác, OpenVPN có thể có hiệu suất
thấp hơn, đặc biệt khi sử dụng giao thức TCP thay vì UDP.

6. WireGuard
- Wireguard là 1 giao thức VPN mới, nguồn mở phổ biến tập trung chủ yếu vào bảo
mật và tốc độ kết nối bằng mật mã hiện đại như như ChaCha20-Poly1305,
Curve25519, HKDF.
- WireGuard ban đầu được phát hành cho nhân Linux, nhưng hiện đã được phát
triển đa nền tảng hệ điều hành khác nhau (Windows, MacOS, BSD, iOS, Android…)
và có thể triển khai rộng rãi.

Các giao thức của VPN
6. WireGuard
Ưu điểm của WireGuard
- WireGuard nổi bật so với các giao thức VPN khác bởi sự đơn giản, hiệu quả và bảo mật
cao
- WireGuard tương thích và được hỗ trợ trên nhiều nền tảng, bao gồm Linux, macOS,
Windows, Android và iOS.
- Tiêu tốn ít tài nguyên hệ thống hơn, hiệu năng cao hơn so với các hệ thống VPN khác,
dễ cấu hình, thiết lập
- Khả năng mang lại tốc độ kết nối và tính ổn định cho hệ thống
- Một số phần mềm, giải pháp VPN dựa trên wireguard hiện nay là Netmaker (SaaS và
self-host version),Tailscale (SaaS và headscale cho self-host version), Firezone (SaaS và
self-host version)

6. WireGuard
Nhược điểm:
- Chỉ hỗ trợ giao thức UDP (có 1 số cách chuyển gói tin UDP của wireguard sang TCP
thông qua project như udptunnel và udp2raw)
- Cơ chế bắt tay có sử dụng khóa công khai tĩnh của WireGuard, điều này có thể ảnh
hưởng đến quyền riêng tư của những người dùng muốn ẩn danh.

V. Các vấn đề sử dụng mạng riêng ảo VPN
Việc sử dụng một dịch vụ VPN có thể mang lại nhiều ưu điểm, nhưng cũng đi kèm với một số
nhược điểm. Dưới đây là một số ưu và nhược điểm thường được liên quan đến việc sử dụng
VPN như sau,
- Ưu điểm:
+ Bảo mật dữ liệu: VPN mã hóa dữ liệu khi truyền qua mạng, giúp bảo vệ các thông tin, dữ
liệu tránh bị đánh cắp, theo dõi.
+ Giảm chi phí thực hiện (thuê kênh riêng đường dài) và chi phí quản trị (duy trì hoạt động và
quản trị mạng WAN). Hiện nay, các giải pháp VPN thường được tích hớp sẵn vào các thiết bị
bảo mật như tưởng lửa...
+ Các ứng dựng VPN cho phép truy cập vào nội dung trực tuyến bị hạn chế địa lý, như các
dịch vụ streaming hoặc trang web chỉ dành cho một số quốc gia.
+ VPN có thể giúp bảo vệ bạn khỏi các mối đe dọa như tấn công Man-in-the-Middle và đánh
cắp dữ liệu khi kết nối các mạng công cộng.
+ VPN giúp ẩn địa chỉ IP thực sự, làm cho việc theo dõi các hoạt động trực tuyến trở nên khó
khăn.

- Nhược điểm:
+ Tốc độ kết nối: Sử dụng VPN có thể làm giảm tốc độ kết nối internet của bạn do việc mã
hóa và định tuyến thông qua máy chủ VPN.
+ Đối với kết nối VPN Site to Site chỉ kết nối VPN giữa 2 điểm.
+ Đôi với các dịch vụ VPN Client chất lượng kết nối, dung lượng kết nối thường yêu cầu trả
phí hàng tháng hoặc hàng năm.
+ Khả năng chặn: Một số dịch vụ trực tuyến và các mạng lưới cơ sở có thể chặn kết nối từ
các địa chỉ IP của máy chủ VPN, khiến việc sử dụng VPN trở nên khó khăn.
+ Hiệu suất không đồng đều: Hiệu suất của các dịch vụ VPN có thể không đồng đều tùy
thuộc vào vị trí địa lý của máy chủ và tải lưu lượng.

SỬ DỤNG MẠNG VPN CÓ AN TOÀN KHÔNG?
VPN hiện đang được sử dụng rộng rãi với nhiều mục đích khác nhau. Người sử dụng tin
tưởng rằng dữ liệu trên đường truyền nhờ các công nghệ VPN sẽ được an toàn, bảo mật.
Tuy nhiên có một số vấn đề trong quá trình sử dụng, ứng dụng công nghệ VPN là:
1. Rò rỉ về lưu lượng VPN:
Rò rỉ lưu lượng VPN là các dữ liệu bình thường phải được truyền đi thông qua các kênh VPN
dưới dạng mã hoá thì lại được truyền dưới dạng rõ.
- Nguyên nhân:
+ Kênh VPN bị ngắt giữa chừng
+ Mạng hỗ trợ đồng thời giap thức IPv4 và IPv6 (dual-stacked network). Khi kết nối tới các
trang web hỗ trợ cả IPv4 và IPv6 thì VPN thường chỉ bảo vệ lưu lượng IPv4 mà không bảo
vệ IPv6. Nếu trong địa chỉ gói tin là IPv6 thì gói tin đó được gửi dưới dạng rõ.

SỬ DỤNG MẠNG VPN CÓ AN TOÀN KHÔNG?
2. Giải mã lưu lượng VPN:
Ngay cả khi hệ thống đã được cấu hình đúng và không để xảy ra rò rỉ lưu lượng VPN thì dữ
liệu người dung vẫn có nguy cơ lộ lọt bởi vì lưu lượng VPN có thể bị chặn và giải mã đặc biệt
đối với hệ thống VPN hoạt động trên giao thức PPTP. Tại hội nghị DEFCON 7/2012, giao
thức MS-CHAPv2 đã bị bẻ khoá thành công.

KẾT LUẬN
- VPN là công nghệ hữu ích và hiện đại trong việc bảo vệ thông tin và quyền riêng tư trực
tuyến.
- Là cầu nối an toàn giữa mạng công cộng và mạng nội bộ của doanh nghiệp.
- Mang lại sự tự tin và thuận tiện cho người dùng khi truy cập internet và làm việc từ xa.
- Trên lý thuyết VPN có khả năng giữ bí mật thông tin, tính ẩn danh.Tuy nhiên VPN vẫn có
các khả năng rò rỉ trên mạng rõ hoặc bị giải mã.

Giới thiệu về Mạng riêng ảo Vitual Private Network

Recommended

Recommended

More Related Content

Similar to Giới thiệu về Mạng riêng ảo Vitual Private Network

Similar to Giới thiệu về Mạng riêng ảo Vitual Private Network (20)

Giới thiệu về Mạng riêng ảo Vitual Private Network

Editor's Notes