Thủ thuật

Mạng riêng ảo – Virtual Private Network (VPN) – P2

(KHCN) - VPN hay mạng riêng ảo, được dùng để kết nối các mạng riêng tư qua mạng công cộng. Trường hợp điển hình dùng VPN là một doanh nghiệp có thể có một mạng riêng có dữ liệu chia sẻ, những máy in nối mạng và những thứ quan trọng khác trên đó. Một số nhân viên có thể đi du lịch và thường xuyên phải truy cập những tài nguyên này từ xa.

Các Giao Thức Trong VPN

Point-To-Point Tunneling Protocol (PPTP)

  • PPTP được viết tắt từ Point-to-Point Tunneling Protocol. Là sự mở rộng của giao thức Internet chuẩn Point-to-Point (PPP) và sử dụng cùng kiểu xác thực như PPP (PAP, SPAP, CHAP, MS-CHAP, EAP).
  • Là phương pháp VPN được hỗ trợ rộng rãi nhất giữa các máy trạm chạy Windows. PPTP thiết lập đường hầm (tunnel) nhưng không mã hóa. Ưu điểm khi sử dụng PPTP là nó không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure).

 Layer 2 Forwarding – L2F

Được Cisco phát triển. L2F dùng bất kỳ cơ chế thẩm định quyền truy cập nào được PPP hỗ trợ.

Layer 2 Tunneling Protocol – L2TP

  • Là sản phẩm của sự hợp tác giữa các thành viên PPTP Forum, Cisco và IETF. Tiêu chuẩn L2TP được hoàn tất vào cuối năm 1998.
  • Kết hợp các tính năng của cả PPTP và L2F, L2TP cũng hỗ trợ đầy đủ IPSec. L2TP có thể được sử dụng làm giao thức Tunneling cho mạng VPN điểm-nối-điểm và VPN truy cập từ xa.
  • Trên thực tế, L2TP có thể tạo ra một tunnel giữa máy khách và router, NAS và router, router và router. So với PPTP thì L2TP có nhiều đặc tính mạnh và an toàn hơn.

IPSec- VPN

  • IPsec được tích hợp trong rất nhiều giải pháp VPN “tiêu chuẩn”, đặc biệt trong các giải pháp VPN gateway-to-gateway (site-to-site) để nối 2 mạng LAN với nhau.
  • IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa hai gateway hoặc giữa máy tính trạm và gateway.
  • IPsec chỉ hoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based network). Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạm VPN phải được cài đặt sẵn phần mềm VPN client.
  • IPSec hoạt động ở lớp Network, nó không phụ thuộc vào lớp Data-Link như các giao thức dùng trong VPN khác như L2TP, PPTP.

  • IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng. Những kỹ thuật mà IPSec dùng cung cấp 4 tính năng phổ biến sau:
    • Tính bảo mật dữ liệu – Data confidentiality
    • Tính toàn vẹn dữ liệu – Data Integrity
    • Tính chứng thực nguồn dữ liệu – Data origin authentication
    • Tính tránh trùng lặp gói tin – Anti-replay
  •  Việc xác thực được thực hiện thông qua giao thức Internet Key Exchange (IKE) hoặc với chứng chỉ số (digital certificates) đây là phương thức bảo mật hơn hoặc thông qua khóa mã chia sẻ (preshared key).
  • IPSec VPN có thể bảo vệ chống lại hầu hết các phương pháp tấn công thông dụng bao gồm Denial of Service (DoS), replay, và “man-in-the-middle”.

SSL-VPN

  • SSL VPN còn được gọi là giải pháp “clientless”. Điều này cũng có nghĩa là các giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn.
  • Với SSL VPN, thay vì cho phép VPN client truy xuất vào toàn bộ mạng hoặc một mạng con (subnet) như với IPsec, có thể hạn chế chỉ cho phép truy xuất tới một số ứng dụng cụ thể.
  • Nếu một ứng dụng mà bạn muốn họ truy cập không phải là là loại ứng dụng dựa trên trình duyệt (browser-based), thì cần phải tạo ra một plug-ins Java hoặc Active-X để làm cho ứng dụng đó có thể truy xuất được qua trình duyệt.
  • SSL VPN hoạt động ở session layer, điều này cho nó khả năng điều khiển truy cập theo khối tốt hơn.
  • SSL VPN sử dụng chứng chỉ số (digital certificates) để xác thực server.
  • SSL VPN không cần phần mềm VPN client trên máy khách (ngoại trừ trình duyệt Web), SSL VPN gateways vẫn có thể cung cấp các tiện ích “quản lý máy khách ” bằng cách buộc trình duyệt phải chạy các applets.

OpenVPN

  • OpenVPN là phần mềm mã nguồn mở tạo các kết nối và thực hiện bảo mật mạng ở tầng 2 và 3.
  • Sử dụng SSL/TLS để tạo ra kênh truyền bảo mật (đã được sử dụng rộng rãi trên thế giới và các hãng đang bắt đầu hỗ trợ VPN qua giao thức này như Microsoft, Cisco..)
  • Sử dụng thư viện SSL API để thực hiện mã hóa, do đó ta có thể linh động thay đổi bằng những thuật toán khác.

 TH

Thông tin website

Chuyên trang Bản tin khoa học công nghệ.
Thực hiện : Phòng Khoa học - Công nghệ, Trung Tâm CNTT, BộVăn hoá,Thể thao & Du lịch.
Người chịu trách nhiệm chính: Nguyễn Thanh Liêm - Giám đốc.

Địa chỉ: Ngõ 2 số 20, Vân Hồ, Hoa Lư, Hà Nội;
Tel: 0243 9745845
Email: khoahoccongnghe@cinet.gov.vn
Ghi rõ nguồn khi phát lại thông tin từ website này.

Liên hệ Tòa soạn