VPN - Virtual Private Network

Thành viên nhóm:
Nguyễn Quốc Khánh
Đỗ Quang Anh
Phạm Việt Hoàng


Phân công thành viên:
1.
2.
3.

Tài Liệu, Nội Dung: Quốc Khánh, Quang Anh, Việt Hồng
Thiết Kế Slide: Quốc Khánh, Quang Anh
Demo:

•. Vmware: Khánh (Vpn), Quang Anh (Vpn.Sstp), Hồng (Pptp,l2tp)
•. Packet Tracer: Hồng (Vpn.Site To Site)


NỘI DUNG CHÍNH

1.

ĐỊNH NGHĨA VPN

2.

LỢI ÍCH, ỨNG DỤNG NỔI BẬT

3.

VỊ TRÍ LẮP ĐẶT, MƠ HÌNH TRIỂN KHAI

4.

HÌNH THỨC TRIỂN KHAI

5.

TÍNH CHẤT, ĐẶC TRƯNG CỦA VPN

6.

PHÂN LOẠI KẾT NỐI VPN


1. Khái niệm
- VPN (Virtual Private Network) Mạng ảo riêng tư: là một đường kết nối mạng vận chuyển thông tin qua một đường kết nối
riêng tư dù vật lý đường vận chuyển đó vẫn là đi qua hạ tầng vật lý mạng cơng khai Internet. Để đạt được tính bảo mật và riêng
tư, VPN có khả năng mã hóa đường vận chuyển thông tin (traffic) để đảm bảo thông tin vận chuyển sẽ ln được bảo mật và
tồn vẹn.


2. Lợi ích của việc ứng dụng VPN

Tiết kiệm chi phí

Tính bảo mật cao


Khả năng mở rộng

Tính tương thích


2.1 Tiết kiệm chi phí kết nối
•

Sử dụng kết nối VPN giúp giảm thiểu chi phí kết nối và đồng thời cải thiện băng thông kết nối
(VD: Với cá nhân, có thể khởi tạo một đường kết nối VPN tới một Server nước ngồi như thể
vị trí thiết bị mình đang ở tại nước đó, so với một đường kết nối dây như vậy thì chi phí phát
sinh sẽ rất lớn. Đối với các tổ chức công ty, việc sử dụng VPN sẽ loại bỏ nhu cầu các công ty
phải đi tìm đường kết nối dây gây ra phát sinh chi phí lớn từ đó giúp giảm thiểu chi phí kết
nối qua khoảng cách lớn – do chi cần một đường kết nối tới ISP như thông thường).


2.2 Tính bảo mật
•

Đường VPN sử dụng các giao thức mã hóa và xác thức giúp bảo vệ dữ liệu trên đường truyền khỏi những truy cập độc hại, không xác
thực


2.3 Khả năng mở rộng

• VPN cho phép các tổ chức sử dụng kết nối Internet để kết nối những người dùng mới vào tổ chức
mà khơng cần phải có hạ tầng cơ sở phức tạp


2.4 Tính tương thích

•

VPN có thể được triển khai qua nhiều tùy chọn kết nối WAN (mạng diện rộng) bao gồm cả cơng nghệ băng thơng rộng. Từ đó tạo điều kiện cho các
nhân viên, tổ chức làm việc từ xa có một đường kết nối tốc độ cao mà vẫn bảo đảm tính bảo mật khi truy cập tới mạng của tổ chức


3. Vị trí lắp đặt, mơ hình triển khai
Thường
Thường được
được triển
triển khai
khai tại
tại các
các thiết
thiết bị
bị Gateway
Gateway hoặc
hoặc Server
Server như
như thiết
thiết bị
bị Routing
Routing Layer
Layer 3
3 tại
tại một
một tổ
tổ chức
chức công
công


Vị trí lắp đặt

ty
ty (VD:
(VD: Router,
Router, Switch
Switch L3,
L3, Firewall
Firewall hoặc
hoặc là
là Server
Server nội
nội địa
địa của
của cơng
cơng ty
ty

- VPN có 2 mơ hình chính:
+ Kết nối Site-to-Site (Kết nối giữa các Site): Kết nối này là kết nối giữa các Gateway của các mạng LAN với nhau nhằm kết nối VPN giữa

Mô
Mô hình
hình triển
triển
khai
khai

các mạng của các cơng ty tổ chức với nhau, kết nối này giới hạn giữa các thiết bị định tuyến với nhau như Router -> Các máy trong

mạng sẽ khơng có nhận thức về đường kết nối VPN này
+ Kết nối Remote Acess/ Client-to-Site (kết nối truy cập từ xa): Đây là kết nối trực tiếp từ một máy client với một VPN server/ VPN
gateway, thường ứng dụng cho việc kết nối một nhân viên từ xa vào mạng công ty phục vụ cho việc kết nối và quản lý


4. Hình thức triển khai VPN:

• VPN Enterprise – tập đồn
VPN được tạo và quản lý bởi chính cơng ty và tập đoàn, thường sử dụng các giao thức như Ipsec hay SSL cho bảo mật

• Vpn service providerer – nhà cung cấp dịch vụ
VPN được tạo và quản lý bởi nhà cung cấp dịch vụ sử dụng MPLS – Multiprotocol Lable Switching ở Layer 2/3 để tạo kênh kết nối giữa các Site
và chia cách kết nối với kết nối của khách hành bình thường


5. Tính chất, đặc trưng kết nối VPN
1. Khả năng đóng gói

• Cơng nghệ VPN đóng gói dữ liệu riêng tư trong một Header chứa thông tin định tuyến qua đường kết nối VPN
• Cơng nghệ phổ biến cho ứng dụng này của VPN là giao thức GRE – Generic Routing Encapsulation. GRE có khả năng đóng gói bất kỳ giao thức Layer 3 nào trong một IP packet thành một đường IP tunnel để tạo kết nối Point to Point ảo. Từ
đó, GRE có thể kết hợp với IPsec tạo một đường kết nối VPN bảo mật và hỗ trợ định tuyến đa giao thức các gói tin Multicast L3

2. Tính xác thực

• Cấp độ người dùng - User Level: sử dụng xác thực PPP (Point to Point Protocol). VPN Server sẽ xác thực, ủy quyền VPN Client có phiên kết nối đến ở cấp độ người dùng. Xác thực này cũng có thể trở thành 2 chiều, tức VPN Client cũng sẽ
xác thực xem VPN Server có hợp lệ khơng

• Cấp độ máy tính - Computer Level: sử dụng IKE – Internet Key Exchange – giao thức trao đổi Key Internet (bảo mật xác thực đường truyền giữa 2 nơi). Ứng dụng trong việc khởi tạo phương thức bảo mật IPsec, VPN Client và Server sử
dụng IKE để trao đổi chứng chỉ máy tính (Computer Certificate) hoặc khóa định trước (Preshared Key)


• Dựa theo nguồn và tính tồn vẹn dự liệu: Dữ liệu sẽ chứa hàm tổng kiểm tra mật mã (Cryptography Checksum) để xác nhận việc dữ liệu khơng bị thay đổi trong q trình vận chuyển. Hảm tổng kiểm tra mật mã này dựa vào một Key mã
hóa chia sẻ trước giữa thiết bị gửi và nhận trên đường VPN

3. Mã hóa dữ liệu

• Để đảm bảo tính tồn vẹn dữ liệu, thiết bị gửi sẽ mã hóa dữ liệu cịn thiết bị nhận sẽ giải mã nó sử dụng một Key mã hóa chung. Do đó gói tin trên đường truyền dù bị nghe lén, chặn lại bởi bên khác cũng sẽ không thể hiểu được nội dung
dữ liệu trong gói tin đó. Vì vậy, độ dài Key mã hóa là một thơng số cần được bảo đảm kết hợp với nhu cầu, khả năng hạ tầng của công ty để cân bằng giữa bảo mật và sử dụng hiệu quả tài nguyên phần cứng


6. Phân loại kết nối VPN
•Internet
Internet Protocol
Protocol Security
Security hoặc
hoặc IPSec
IPSec

IPSec
IPSec được
được sử
sử dụng
dụng để
để bảo
bảo mật
mật thông
thông tin
tin liên
liên lạc
lạc trên
trên Internet

Internet qua
qua mạng
mạng IP.
IP. Bằng
Bằng cách
cách xác
xác thực
thực phiên
phiên (session)
(session) và
và mã
mã hóa
hóa từng
từng gói
gói dữ
dữ liệu
liệu trong
trong q
q
trình
kết
nối.
trình kết nối.
IPSec
IPSec hoạt
hoạt động
động ở
ở hai
hai chế
chế độ,

độ, chế
chế độ
độ Transport
Transport và
và chế
chế độ
độ Tunneling,
Tunneling, để
để bảo
bảo vệ
vệ việc
việc truyền
truyền dữ
dữ liệu
liệu giữa
giữa hai
hai mạng
mạng khác
khác nhau.
nhau. Chế
Chế độ
độ Transport
Transport sẽ
sẽ mã
mã hóa
hóa
các
các tin
tin nhắn
nhắn trong

trong gói
gói dữ
dữ liệu
liệu và
và chế
chế độ
độ Tunneling
Tunneling sẽ
sẽ mã
mã hóa
hóa tồn
tồn bộ
bộ dữ
dữ liệu
liệu trong
trong gói
gói tin.
tin. IPSec
IPSec cũng
cũng có
có thể
thể sử
sử dụng
dụng thêm
thêm các
các giao
giao thức
thức bảo
bảo mật
mật khác

khác để
để
nâng
cao
hệ
thống
bảo
mật.
nâng cao hệ thống bảo mật.

•Layer
Layer 2
2 Tunneling
Tunneling Protocol
Protocol (L2TP)
(L2TP)

L2TP
L2TP là
là một
một giao
giao thức
thức Tunneling
Tunneling được
được kết
kết hợp
hợp với
với một
một giao
giao thức

thức bảo
bảo mật
mật VPN
VPN khác
khác như
như IPSec
IPSec để
để tạo
tạo ra
ra một
một kết
kết nối
nối VPN
VPN bảo
bảo mật
mật cao
cao hơn.
hơn. L2TP
L2TP tạo
tạo một
một
tunneling
(đường
hầm)
giữa
hai
điểm
kết
nối
L2TP

và
IPSec,
giúp
mã
hóa
dữ
liệu
và
xử
lý
giao
tiếp
an
tồn
giữa
tunneling.
tunneling (đường hầm) giữa hai điểm kết nối L2TP và IPSec, giúp mã hóa dữ liệu và xử lý giao tiếp an tồn giữa tunneling.

•Point
Point –
– to
to –
– Point
Point Tunneling
Tunneling Protocol
Protocol (PPTP)
(PPTP)

PPTP
PPTP tạo

tạo ra
ra một
một tunneling
tunneling và
và gói
gói lại
lại các
các gói
gói dữ
dữ liệu.
liệu. Nó
Nó sử
sử dụng
dụng giao
giao thức
thức Point
Point –
– to
to –
– Point
Point (PPP)
(PPP) để
để mã
mã hóa
hóa dữ
dữ liệu
liệu giữa
giữa các
các kết
kết nối.

nối. PPTP
PPTP là
là một
một trong
trong
những
giao
thức
được
sử
dụng
rộng
rãi
nhất
và
đã
được
sử
dụng
từ
thời
Windows
95,
Ngoài
Windows,
PPTP
cũng
được
sử
dụng

trên
Mac
và
Linux.
những giao thức được sử dụng rộng rãi nhất và đã được sử dụng từ thời Windows 95, Ngoài Windows, PPTP cũng được sử dụng trên Mac và Linux.

•Secure
Secure Sockets
Sockets Layer
Layer (SSL)
(SSL) và
và Transport
Transport Layer
Layer Security
Security (TLS)
(TLS)

SSL
SSL và
và TLS
TLS tạo
tạo kết
kết nối
nối VPN
VPN trong
trong đó
đó trình
trình duyệt
duyệt web
web đóng

đóng vai
vai trị
trị là
là ứng
ứng dụng
dụng khách
khách và
và quyền
quyền truy
truy cập
cập của
của người
người dùng
dùng bị
bị hạn
hạn chế
chế trong
trong các
các ứng
ứng dụng
dụng cụ
cụ
thể
thay
vì
tồn
bộ
mạng.
Giao
thức

SSL
và
TLS
được
sử
dụng
phổ
biến
nhất
bởi
các
trang thương
mại
điện
tử
và
các
nhà
cung
cấp
dịch
vụ.
Các
trình
thể thay vì tồn bộ mạng. Giao thức SSL và TLS được sử dụng phổ biến nhất bởi các trang thương mại điện tử và các nhà cung cấp dịch vụ. Các trình
duyệt
duyệt web
web chuyển
chuyển SSL
SSL một

một cách
cách dễ
dễ dàng
dàng và
và hầu
hầu như
như không
không cần
cần người
người dùng
dùng thực
thực hiện
hiện hành
hành động
động nào,
nào, và
và các
các trình
trình duyệt
duyệt web
web được
được tích
tích hợp
hợp với
với SSL
SSL và
và
TLS.
TLS. Kết
Kết nối

nối SSL
SSL có
có https
https ở
ở đầu
đầu URL
URL thay
thay vì
vì http
http như
như cũ.
cũ.

•OpenVPN
OpenVPN

Là
Là một
một VPN
VPN mã
mã nguồn
nguồn mở,
mở, rất
rất hữu
hữu ích
ích để
để tạo
tạo các
các kết
kết nối

nối Point
Point –
– to
to –
– Point
Point và
và Site
Site –
– to
to –
– Site.
Site. Nó
Nó sử
sử dụng
dụng một
một giao
giao thức
thức bảo
bảo mật
mật tùy
tùy chỉnh
chỉnh dựa
dựa trên
trên SSL
SSL
và
TLS.
và TLS.

•Secure

Secure Shell
Shell (SSH)
(SSH)

SSH
SSH tạo
tạo một
một VPN
VPN tunnel
tunnel (đường
(đường hầm
hầm VPN),
VPN), việc
việc truyền
truyền dữ
dữ liệu
liệu sẽ
sẽ diễn
diễn ra
ra trong
trong đường
đường hầm
hầm và
và cũng
cũng đảm
đảm bảo
bảo đường
đường hầm
hầm được
được mã

mã hóa.
hóa. Kết
Kết nối
nối SSH
SSH
được
được tạo
tạo bởi
bởi một
một máy
máy khách
khách SSH
SSH và
và dữ
dữ liệu
liệu được
được chuyển
chuyển từ
từ một
một cổng
cổng cục
cục bộ
bộ đến
đến máy
máy chủ
chủ từ
từ xa
xa thông
thông qua
qua đường

đường hầm
hầm được
được mã
mã hóa.
hóa.


THE END
Cảm ơn các thầy cô và các bạn đã lắng nghe phần trình bày của nhóm bọn em :3


Câu hỏi cho nhóm :(