Ở chủ đề này mình sẽ trình bài về mạng riêng ảo VPN (Virtual Private Network). Bài viết này chúng ta sẽ cùng nhau giải đáp tất tần tật những thắc mắc về VPN là gì và phân loại VPN nhé.
VPN là gì?
Lợi ích của VPN
VPN là sự mở rộng của một mạng riêng (private network) thông qua mạng công cộng (internet), được dùng để kết nối các văn phòng chi nhánh, người từ xa kết nối về văn phòng chính.
VPN có thể tạo ra bằng cách sử dụng phần cứng, phần mềm hay kết hợp cả hai để tạo ra một kết nối ảo bảo mật giữa hai mạng riêng thông qua mạng công cộng.
Vậy lợi ích của công nghệ VPN là gì? Chính là đáp ứng nhu cầu trao đổi thông tin, truy cập từ xa và tiết kiệm chi phí.
Các mode kết nối VPN.
Có hai chế độ kết nối VPN để chuyển dữ liệu giữa hai thiết bị:
- Tunnel mode
- Transport mode
Cả hai mode này định nghĩa quá trình đóng gói được sử dụng để di chuyển dữ liệu một cách an toàn giữa hai thực thể.
1. Tunnel Mode
Một hạn chế của transport mode là không có khả năng mở rộng. Do đó, nếu chúng ta có nhiều thiết bị ở hai vị trí riêng biệt cần nói nhiều chuyện với nhau trong chế độ bảo mật, mình khuyên các bạn nên sử dụng tunnel mode thay vì transport mode.
Trong tunnel mode, các thiết bị nguồn-đích thực thông thường sẽ không bảo vệ dữ liệu, thay vào đó các thiết bị trung gian được sử dụng để bảo vệ luồng dữ liệu. Các thiết bị này được gọi là các VPN gateway.
Tunnel mode cung cấp nhiều tính năng ưu việt hơn Transport mode:
- Tính mở rộng: ta có thể chọn một thiết bị phù hợp để thực hiện vệc xử lý bảo vệ.
- Tính linh động: không cần phải thay đổi gì trong cấu hình VPN khi thêm vào một thiết bị mới sau VPN Gateway.
- Tính ẩn của các giao tiếp: các lưu lượng được các VPN Gateway đại diện trao đổi với nhau, vì vậy sẽ che dấu nguồn và đích thật sự của kết nối.
- Sử đụng địa chỉ cục bộ: các thiết bị đích và nguồn thực có thể sử dụng địa chỉ được đăng kí (public) hay cục bộ bởi vì các gói tin được sử đụng bới các VPN Gateway.
- Sử dụng các chính sách bảo mật hiện có: các chính sách bảo mật được thực hiện trên các thiết bị tường lửa và bộ lộc gói tin.
2. Transport mode
Một kết nối ở mode transport được sử dụng địa chỉ IP nguồn và đích thật sự của các thiết bị trong các gói tin để truyền dữ liệu.
Các thành phần của VPN
Chứng thực
Có 2 loại chứng thực: chứng thực thiết bị và chứng thực người dùng
Chứng thực thiết bị:
Cho phép hạn chế các truy cập vào hệ thống mạng dựa vào các thông tin cung cấp bởi các thiết bị VPN đầu xa.
Có 2 dạng chứng thực kiểu này: Pre-shared key, Digital signature hoặc certificate.
- Pre-shared key được sử dụng trong các môi trường VPN nhỏ. Một hay nhiều khóa được cấu hình và dùng để chứng thực để nhận dạng một thiết bị.
- Digital signture (digital certificate) được sử dụng để chứng thực thiết bị trong các môi trường triển khai VPN lớn.
Chứng thực người dùng:
Chứng thực người dùng trong hệ thống VPN là gì, tức là chỉ cho phép người dùng hợp lệ kết nối và truy cập vào hệ thống. Người dùng phải cung cấp username và password.
Phương pháp đóng gói
Làm thế nào để thông tin người dùng, dữ liệu được đóng gói và vận chuyển qua mạng?
Câu hỏi đặt ra ở đây là: Các trường (field) gì sẽ tồn tại trong VPN header và VPN trailer, thứ tự xuất hiện các trường, kích thước của các trường?
Mã hóa dữ liệu
Mã hóa dữ liệu giải quyết vấn đề dữ liệu bị đánh cắp trên đường truyền. Mã hóa dữ liệu chỉ đơn giản là lấy dữ liệu, một giá trị khóa và chạy thuật toán mã hóa để làm cho dữ liệu trở thành dạng khác với nọi dung ban đầu. Chỉ có thiết bị có cùng khóa mới có thể giải mã được thông tin về dạng ban đầu. Một số thuật toán mã hóa như DÉ, 3DES, RSA, AES, RC4, …
Toàn vẹn dữ liệu
Có thể xảy ra tình trạng có các gói tin giả làm tăng sự hoạt đôngk lãng phí của CPU. VPN cung cấp một cơ chế để khắc phục là kiểm tra sự toàn vẹn của dữ liệu, hay còn gọi là “packet authentication”.
Hai thông số hàm băm được sử dụng cho việc kiểm tra toàn vẹn dữ liệu là SHA và MD5.
Quản lý khóa
Chúng ta đã đề cập đến việc có sử dụng khóa, vậy 3 thành phần đó trong VPN là gì: chính là chứng thực, mã hóa và hàm băm. Việc quản lý khóa trở nên quan trọng trong các kết nối VPN.
Ví dụ như: làm thế nào để phân phối các khóa, chúng được cấu hình tĩnh hay phát sinh ngẫu nhiên, các khóa được tạo lại bao nhiêu lần để tăng tính bảo mật?
Non-repudiation
Repudiation là nơi t không thể chứng thực các giao tiếp xảy ra (như là việc thiết lập kết nói). Non-repudiation trái ngược với điều này: bạn có thể chứng thực một giao tiếp xảy ra giữa hai bên kết nối.
Ví dụ khi ta vào một cửa hàng online như Amazone.com và mua một quyển sách và thanh toán bằng credit card. Amazone sẽ phải thu gom thông tin cá nhân khi ta điền vào đơn đặt hàng như tên, địa chỉ, số điện thoại, thông tin về credit card… Khi đó, Amazone sẽ kiểm tra những thông tin đó với công ty phân phối credit card và lưu giữ lại các thông tin giao dịch này như ngày, tháng, …
Hỗ trợ ứng dụng và giao thức
Khi lựa chọn cài đặt VPN, đầu tiên chúng ta cần phải xác định loại dữ liệu nào cần được bảo vệ.
Ví dụ như loại dữ liệu IP hay IPX hoặc cả hai, hoặc là chỉ cần bảo vệ một số loại dữ liệu cho một số chương trình ứng dụng nào đó như Web hay Email, …
Quản lý địa chỉ
Quản lý địa chỉ là một vấn đề quan trọng trong việc hoạch định địa chỉ cho toàn hệ thống mạng của công ty.
Các loại VPN
Có 2 loại VPN thông dụng:
- Site-to-site VPN
- Remote Access VPN
Một số giao thức được sử đụng trong VPN: PPTP, L2TP, IPSec, …
Site-to-site VPN
Remote Access VPN
Remote Access VPN thường được sử dụng cho các kết nối có băng thông thấp giữ một thiết bị của người dùng như PC, Ipad, … và một thiết bị Gateway VPN. Remote Access VPN thông thường sử dụng tunnel mode cho các kết nối.
Người dùng ở xa sử dụng các phần mềm VPN để truy cập vao mạng của công ty thông qua Gateway hoặc VPN concentrator (bản chất là một server), giải pháp này thường được gọi là client/server), giải pháp này thường được gọi là client/server. Trong giải pháp này, người dùng thường sử đụng các công nghệ truyền thống để tạo lại các tunnel về mạng của họ.
Một phần quan trộng của thiết kế này là quá trình xác thực bạn đầu nhằm đảm bảo là yêu cầu được xuất phất từ một nguồn tin cậy. Thường thì giai đoạn ban đầu này đựa trên cùng một chính sách về bảo mật của công ty.
Trong Remote Access VPN có nhiều kỹ thuật được sử dụng để bảo mật trong việc trao đổi dữ liệu: IPSec, SSL, …
Hy vọng bài viết trên sẽ giúp bạn phần nào thắc mắc về câu hỏi VPN là gì nhé!!!
