www.nhipsongcongnghe.net


























www.nhipsongcongnghe.net
I. Giới Thiệu Về Mạng Riêng Ảo (VPN)

Trước khi xuất hiện mạng riêng ảo (Virtual Private Network – VPN), khi những nhân viên làm việc

ở xa muốn truy cập vào mạng công ty thì hoặc là văn phòng ở xa có thể dùng đường dây thuê
bao, hoặc là những người làm việc ở xa hầu như phải sử dụng việc kết nối quay số. Cả hai cách
này đều tốn kém về chi phí và không bảo mật về thông tin.
Sự xuất hiện của mạng riêng ảo không những đã giúp cho những người làm việc ở xa có thể truy
cập tài nguyên của công ty như thể họ đang ngồi trước màn hình máy tính ở bàn làm việc tại
công ty họ, mà còn tiết kiệm hơn về chi phí. Mạng riêng ảo sử dụng Internet như một bộ máy
vận chuyển của nó trong khi vẫn duy trì tính bảo mật dữ liệu.
Mạng riêng ảo đang trở nên một phần thiết yếu của mạng dữ liệu hiện nay. Phần trình bày dưới
đây sẽ giới thiệu về mạng riêng ảo, thường được gọi là VPN, và cách thiết lập nó

1. Mạng riêng ảo là gì ?
Mạng riêng ảo – Virtual Private Network, gọi tắt là VPN.
VPN là một đường hầm vận chuyển giao thông mạng riêng từ một hệ thống ở đầu này đến hệ
thống ở đầu kia qua mạng chung như là mạng Internet mà không để giao thông nhận biết có
những hộp trung gian giữa hai đầu, hoặc không để cho những hộp trung gian nhận biết chúng
đang chuyển những gói tin mạng đã được mã hóa đi qua đường hầm.
Một ứng dụng điển hình của VPN là cung cấp một kênh an toàn từ đầu mạng giúp cho những
văn phòng chi nhánh hoặc văn phòng ở xa hoặc những người làm việc từ xa có thể dùng
Internet truy cập tài nguyên công ty một cách bảo mật và thoải mái như đang sử dụng máy tính
cục bộ trong mạng công ty.
Những thiết bị ở đầu mạng hỗ trợ cho mạng riêng ảo là switch, router và firewall. Những thiết bị
này có thể được quản trị bởi công ty hoặc các nhà cung cấp dịch vụ như ISP.
Phần “ảo” (virtual) của VPN bắt nguồn từ yếu tố ta đang tạo một liên kết riêng qua mạng chung
(như là mạng Internet). VPN cho phép ta giả vờ như ta đang dùng đường dây thuê bao hoặc
quay số điện thoại trực tiếp để truyền thông tin giữa hai đầu. VPN là “riêng” (private) vì sự mã
hóa được dùng để đạt sự bảo mật một trao đổi mạng riêng mặc dù trao đổi này xảy ra trên
mạng chung. VPN cũng dùng “mạng” (network) IP để trao đổi.
VPN cho phép những máy tính kết nối trực tiếp tới những máy khác thông qua sự kết nối địa lý,
mà không cần phải thuê đường đường truyền hoặc PVC. Điều này làm đơn giản hóa những tùy
chọn cấu trúc mạng và làm tăng sự phát triển mạng mà không phải thiết kế lại mạng LANs hoặc

gián đọan sự kết nối.
Hơn nữa, VPN hỗ trợ những sự kết nối khác nhau, bao gồm thuê đường truyền, điều chỉnh sự
tiếp nối, ADSL, Ethernet và PSTN. Những giải pháp mạng có thể được đưa ra dễ dàng để thích
hợp cho những đòi hỏi của những máy client riêng lẽ, bao gồm tăng những tùy chọn cho những
lọai kết nối mở rộng. Dữ liệu, phone và những ứng dụng video cũng có thể chạy trên những
mạng riêng lẽ này, mà không cần cho những kênh riêng lẽ và phần cứng đặc biệt.
Tương tự VDC, dịch vụ cung cấp những giải pháp phù hợp nhất cho các ngân hàng, các công ty
bảo hiểm, họat động công nghiệp, lĩnh vực xuất khẩu, và phần mềm.
VPN-Virtual Private Network là một nhánh của kỹ thuật liên lạc riêng lẽ, được đưa lên từ mạng
chung chẳng hạn như Internet. Người sử dụng có thể truy xuất tới mạng dù ở nhà hay ở xa xa,
thong qua sự kết nối cục bộ tới ISP. VPN thiết lập mộ sự kết nối bảo mật giữa người sử dụng và
mạng trung tâm. Dịch vụ này cũng có thể thiết lập sự kết nối trực tiếp giữa những khu vực khác
nhau thông qua ISP, qua ISP giá thành giảm trong kết nối qua quay số và những dịch vụ thuê
đường truyền. Dữ liệu chuyền đi thì được bảo đảm với kỹ thuật bảo mật cao.

www.nhipsongcongnghe.net


2. Các kiểu mạng VPN: Gồm có ba khả năng thiết lập mạng VPN
1) NETWORK to NETWORK (Mạng nối Mạng)
Hai mạng con được nối bằng đường hầm VPN. Mỗi mạng con có một gateway hoặc router và
một máy chủ. Gateway của mỗi mạng con có hai giao diện:
• Một giao diện cho thế giới bên ngoài
• Một giao diện cho mạng nội bộ của gateway.
Kiểu setup này cho phép hai mạng khả năng truyền thông tin lẫn nhau theo cách mã hóa và xác
thực qua mạng Internet.
Một khả năng setup cho kiểu này là nối một văn phòng chi nhánh vào công ty chính qua mạng
Internet. Mọi sự truyền thông tin IP giữa hai gateway được mã hóa.
NET <----> VPN-Gateway <----> Internet <----> VPN-Gateway <----> NET
<---- được mã hóa --->

2) HOST to NETWORK (Máy nối Mạng)
Kiểu mạng này có thể được diễn dịch như là một trường hợp giảm cấp của mô hình Network to
Network. Kiểu thiết lập này cho phép một máy tính khả năng truy nhập một mạng được mã hóa
và được xác thực.
Kiểu này là kiểu setup phổ biến nhất và thường dùng đối với những người làm việc từ xa hoặc
làm việc tại nhà, hoặc khi nhân viên muốn nối vào mạng công ty một cách an toàn trong quá
trình di chuyển.
Ví dụ: Một đại diện bán hàng quay số vào Internet và thiết lập một kết nối VPN vào firewall công
ty và nhờ đó đạt được truy nhập mã hóa và xác thực vào server mạng LAN hoặc DMZ hoặc Email
của công ty.
HOST <---> Router <---> Internet <---> Router <---> VPN-Gateway <---> NET
<------------------ được mã hóa ------------->
3) HOST to HOST (Máy nối Máy)
Hai máy kết nối VPN với nhau và thực hiện sự truyền thông tin được mã hóa.
Một kiểu setup thuộc mô hình này là sự giảm cấp mô hình Host – Network sao cho nó chỉ còn
một cặp máy chủ muốn nối với nhau. Điều này có nghĩa là sự truyền thông tin giữa hai máy chủ
thuộc hai mạng khác nhau được mã hóa.
Mô hình này khác với hai mô hình trên vì chỉ có hai máy chủ có thể gởi giao thông được bảo mật
cho nhau. Nếu như có nhiều máy muốn trao đổi bảo mật, thiết lập theo kiểu Host - Network hay
Network - Network sẽ phù hợp hơn.
HOST <----> Router <----> Internet <---- > Router <----> HOST
<-------------------- được mã hóa --------------->
Trong thực tế, cấu hình phổ biến của mạng VPN là có một mạng nội bộ chính với những điểm ở
xa dùng VPN truy cập vào mạng trung tâm. Những điểm truy cập từ xa này thường là những văn
www.nhipsongcongnghe.net
phòng hoặc nhân viên làm việc tại nhà. Cũng có thể dùng VPN nối hai mạng vật lý ở hai nơi khác
nhau nhưng thuộc cùng một công ty thành một mạng logic.

II. Bảo Mật Trong VPN
1. Bảo mật trong VPN là gì ?




Mô hình bức tường lửa trong VPN



VPN sử dụng mạng Internet cho những trao đổi riêng. Như ta biết có hai cách giữ cho hội thoại
điện tử được bảo mật: Đường dây bảo mật và dữ liệu bảo mật. Trước đây, các công ty đã dùng
phương tiện vận chuyển riêng - đường dây thuê bao - để duy trì tính bảo mật. Tuy nhiên, đường
dây thuê bao rất tốn kém. VPN chọn cách thứ hai: Dùng sự mã hóa dữ liệu để duy trì tính bảo
mật.
Từ Private trong “Virtual Private Networks” nghĩa là riêng. Trong nền thị trường ngày nay dữ liệu
thông tin mật về các tổ chức thường dễ bị xem lén hay là bị mất là do bởi các hackers, hoặc tệ
hơn là từ chính các đối thủ. May mắn thay, VPN được xem như là giải pháp bảo mật an toàn có
ảnh hưởng nhất bất kể dù chúng có sử dụng trên mạng chung (public networks).
Để mà chứng minh, xác nhận một người sử dụng, một bức tường lửa sẽ là sự cần thiết. Trong
quá khứ, những bức tường lửa đã trở nên những nguồn vấn đề lớn cho những người quản lý hệ
thống mạng, việc tạo thành những bức tường lửa và quản lý chúng không đơn giản. Ngày nay,
chế độ bảo mật đã được thực hiện đầy đủ. Nhiều thiết bị bảo mật chẳng hạn như hộp đen (black
box) cũng bao gồm phần nào hệ thống mã hóa, cho dù có một số VPNS thì không.
Những thiết bị tường lửa của VPNS, chẳng hạn như NetScreen, Watchguard hoặc NetFortress thì
thường tương đối là đương giản, những giải pháp plug-and-play cho bảo mật mạng cũng được
kết nối tới nhiều mạng LANs. Tuy nhiên những giải pháp này có thể đạt đến giá cả cao, và sự
chọn lựa đúng sẽ dựa trên mạng lưới mạng và bảo mật cần của công ty, hoặc các công ty sử
dụng mạng duy nhất. Nói chung là, nếu bạn đã có cho mình những thiết bị riêng và kết nối
Internet, thì những giải pháp như out-of-the-box không còn cần thiết nữa.
Các VPNS yêu cầu sự cầu hình của một thiết bị truy xuất, hoặc là dựa trên phần cứng và phần
www.nhipsongcongnghe.net
mềm, để cài đặt một kênh bảo mật. Một người sử dụng ngẫu nhiên không thể đơn giản log in tới

VPNS, như một vài thông tin cần để cho phép một người từ xa truy xuất tới hệ thống, hoặc thậm
chí “bắt tay” VPNS. Khi được sử dụng với sự xác nhận là đúng, VPNS vẫn cản trở những người
xâm nhập cho dù đã được xác nhận thành công tới mạng lưới, thậm chí nếu chúng có thể bằng
cách này hay cách khác chiếm lấy một session VPN.
Hầu hết VPNS đều sử dụng kỹ thuật IPSec, sự tạo ra khung của giao thức, giao thức này đã trở
thành một chuẩn thương mại. IPSec rất được sử dụng bởi vì nó tương thích với hầu hết các phần
cứng và phần mềm VPN khác nhau và được phổ biến nhất cho hệ thống mạng với các máy
clients truy xuất từ xa.
IPSec đòi hỏi một vài sự nhận biết cho những clients, bởi vì sự xác nhận là đúng thì không dựa
trên người sử dụng, điều này nghĩa là một dấu hiệu chẳng hạn như Secure ID hoặc Crypto Card
không được sử dụng. Thay vì, bảo mật được nói đến ở đây qua địa chỉ IP hoặc sự xác nhận từ
nó, sự thiết lập xác nhận của người sử dụng và đảm bảo tính toàn vẹn của hệ thống.
Một IP Tunnel cơ bản họat động như là một lớp mạng bảo đảm cho tất cả các gói dữ liệu được
truyền đi, bất kể ứng dụng gì.
Dựa trên giải pháp được sử dụng, nó có thể kiểm tra các kiểu vận chuyển gởi qua giải pháp VPN.
Nhiều thiết bị cho phép các nhà quản trị xác nhận ra những nhóm tín hiệu, mà những nhóm tín
hiệu này kiểm tra địa chỉ IP và các dịch vụ protocol hoặc port cho phép qua Tunnel.

2. Bảo mật trong VPN (qua giao thức SSH và PPP)
1) Mã khoá công cộng (PKI) trong mạng riêng ảo (VPN)
Ða số các mạng riêng ảo ngày nay đang được khai thác không sử dụng sự hỗ trợ của cơ sở hạ
tầng mã khoá công khai (PKI). Các điểm kết cuối của các mạng VPN này (các cổng bảo mật hoặc
các máy khách) nhận thực lẫn nhau thông qua thiết lập các "đường hầm" IP. Một cách đơn giản
nhất, điều đó có thể thực hiện được thông qua việc thiết đặt cấu hình tại cả hai đầu của đường
ngầm VPN cùng chia sẻ một bí mật chung - một cặp mật khẩu (password). Phương pháp giải
quyết "thô sơ" này có thể hoạt động tốt trong một mạng VPN nhỏ nhưng sẽ trở nên kồng kềnh,
khó điều khiển trong một mạng VPN lớn khi số lượng điểm truy nhập lên tới hàng trăm, thậm chí
hàng ngàn điểm.
Hãy so sánh với một câu lạc bộ nhỏ mà ở đó mọi người đều biết nhau vì số lượng người ít và hầu
như họ đã quen biết nhau từ trước. Không có gì khó khăn trong việc ghi nhớ tên và nhận dạng

của các thành viên trong một nhóm nhỏ. Nhưng với một câu lạc bộ có hàng trăm thành viên thì
chắc chắn cần phải có thẻ hội viên. Các thành viên mới có thể chứng minh họ là ai khi họ xuất
trình thẻ hội viên. Với "hạ tầng" như vậy, hai người hoàn toàn không quen biết có thể nhận dạng
và tin cậy nhau đơn giản là vì họ tin vào thẻ hội viên của nhau.
Tương tự như vậy, hai đầu cuối VPN có thể nhận thực nhau thông qua giấy chứng nhận điện tử -
Một loại "thẻ hội viên điện tử" không thể thiếu trong các mạng VPN lớn. Vậy tại sao hiện nay
không phải mạng VPN lớn nào cũng sử dụng chứng nhận điện tử? Bởi vì việc triển khai mạng lớn
không chỉ đòi hỏi chứng nhận điện tử mà yêu cầu xây dựng một hạ tầng hoàn thiện bao gồm
khối cung cấp chứng nhận điện tử, phương cách bảo đảm để khởi tạo và phân phối chúng, cách
thức truy xuất dễ dàng để xác nhận tính hợp lệ. Nói một cách ngắn gọn, đó chính là cơ sở hạ
tầng mã khoá công cộng - PKI.

2) Khoá công cộng là gì và tác dụng
Ðể hiểu được yêu cầu và các đòi hỏi của PKI, chúng ta cần biết một số kiến thức sơ lược về khoá
mật mã công cộng. Hệ thống này xây dựng trên cơ sở một cặp khoá mã có liên hệ toán học với
nhau trong đó một khoá sử dụng để mã hoá thông điệp và chỉ có khoá kia mới giải mã được
thông điệp và ngược lại. Khi đó chúng ta có thể công khai hoá một khoá trong cặp khoá này.
Nếu ai cần gửi cho chúng ta các thông điệp bảo đảm, họ sẽ có thể sử dụng khoá đã được cung
cấp công khai này để mã hoá thông điệp trước khi gửi đi và bởi vì chúng ta đã giữ bí mật khoá
mã còn lại nên chỉ chúng ta mới có thể giải mã được thông điệp bảo đảm đó.
Cặp khoá này còn dùng để xác nhận thông điệp. Người gửi sẽ tạo một đoạn mã băm (hash) của
thông điệp - một dạng rút gọn của thông điệp nguyên bản - với một số thuật toán (ví dụ như
www.nhipsongcongnghe.net
MD5, SHA-1...). Người gửi sẽ mã hoá đoạn mã băm bằng khoá riêng của mình và người nhận sẽ
dùng khoá công cộng của người gửi để giai đoạn mã băm của người gửi, sau đó so sánh với
đoạn mã băm của thông điệp nhận được (được tạo bằng cùng một thuật toán). Nếu trùng nhau
thì người nhận có thể tin rằng thông điệp nhận được không bị thay đổi trong quá trình truyền tải
trên mạng và xuất phát từ người gửi xác định. Cách thực hiện này được gọi là chữ ký điện tử.
Nhưng cần nhắc lại là chung ta yêu cầu không chỉ chữ ký - chúng ta cần một thẻ hội viên điện
tử. Chính vì thế mà xuất hiện khái niệm giấy chứng nhận điện tử. Một chứng nhận điện tử gắn

tên của hội viên hay thiết bị với một cặp khoá, tương tự như thẻ hội viên gắn tên của hội viên với
chữ ký và ảnh của họ. Ðể đảm bảo giấy chứng nhận là hợp lệ, chúng ta thường yêu cầu giấy
chứng nhận phải được cấp do một tổ chức tin cậy. Ðối với giấy chứng nhận điện tử, tổ chức này
được gọi là hệ thống cung cấp chứng nhận (Ca-Certification Autbority).

3) Các mạng VPN sử dụng chứng nhận điện tử như thế nào ?
Khi đường ngầm IP đã được khởi tạo, các điểm kết cuối sẽ nhận thực lẫn nhau thông qua chứng
nhận điện tử. Ví dụ, cổng bảo mật X sẽ tự chứng nhận và ký (điện tử) thông điệp bằng khoá mã
riêng của nó. Cổng bảo mật Y sẽ nhận chứng nhận điện tử của X và sử dụng khoá công khai của
X để kiểm tra chữ ký điện tử. Nếu đúng thì cổng bảo mật X được xác nhận vì chữ ký điện tử chỉ
có thể được tạo ra bằng khoá mã riêng được gắn liền với chứng nhận điện tử của X.
Tại sao giấy chứng nhận điện tử lại có tính mở rộng hơn kiểu chia sẻ khoá bảo mật chung? Rõ
ràng chúng ta không còn cần phải cung cấp những cặp mã khoá chia sẻ cho mỗi cặp thiết bị
VPN. Mỗi thiết bị VPN chỉ cần một giấy chứng nhận điện tử. Và chúng ta cũng không cần phải
thiết lập lại cấu hình của tất cả các điểm đã có của VPN mỗi khi chúng ta mở thêm một điểm
mới. Thay vào đó, chúng ta có thể chứng nhận cho mỗi thiết bị thông qua hệ thống thư mục
công cộng - ví dụ như qua LDAP. Cao hơn nữa, chúng ta có thể kết hợp hai mạng VPN sẵn có
thông qua việc cộng tác giữa hai CA trong trao đổi cơ sở dữ liệu và trong việc phát hành giấy
chứng nhận. Ðiều đó cũng tương tự như việc công nhận hộ chiếu của một nước khác như là một
giấy chứng minh hợp lệ vậy.
Cũng như hộ chiếu, mỗi giấy chứng nhận điện tử cũng phải có thời hạn hợp lệ và có thể bị nơi
phát hành thu hồi khi cần thiết. Xuất trình chữ ký điện tử liên quan đến một giấy chứng nhận
điện tử không hợp lệ, không tồn tại hay đã bị thu hồi sẽ dẫn đến việc truy nhập không thành
công. Vấn đề này có thể trở nên phức tạp nếu người kiểm tra (nơi nhận) không thường xuyên
kiểm tra tình trạng hợp lệ của giấy chứng nhận tại nơi phát hành giấy chứng nhận (CA). Thậm
chí, nếu việc kiểm tra được thực hiện thì có thể danh sách các giấy chứng nhận điện tử bị thu hồi
cũng đã lạc hậu. Vậy thì cần phải kiểm tra các danh sách này hàng tháng, hàng tuần hay hàng
ngày, hàng giờ ? Ðó là vấn đề của thực tế khi áp dụng các chính sách bảo mật của mỗi nhà quản
trị mạng cụ thể..


4) Các thành phần của PKI
VPN không phải là dịch vụ bảo mật duy nhất ứng dụng PKI. Có rất nhiều yêu cầu bảo mật khác
có thể được thoả mãn khi sử dụng PKI như thư bảo mật (e-mail-secured with S/MINE), các giao
dịch bảo mật của Web (Web transaction secured with SSL)... Các yêu cầu đó có thể khác nhau
do tính chất của mỗi dịch vụ hay ứng dụng, tất cả đều dựa trên một "Cơ sở hạ tầng mã khoá
công cộng - PKI" bao gồm nhiều thành phần cơ bản.
Nền tảng của PKI là CA. CA phát hành các giấy chứng nhận điện tử. Nó có thể thuộc riêng về
một doanh nghiệp hoặc thuộc một tổ chức thuộc bên ngoài các doanh nghiệp (chuyên cung cấp
dịch vụ trong lĩnh vực này). Các CA có thể uỷ nhiệm sự tin cậy cho nhau thông qua kiến trúc
phân cấp. CA gốc (root CA) là CA cung cấp trực tiếp các giấy chứng nhận điện tử cho doanh
nghiệp, CA phụ thuộc (subordinate CA) là CA được công nhận gián tiếp thông qua mối liên hệ với
CA gốc. CA gốc có thể mặc nhiên được công nhận (đối với nội bộ doanh nghiệp). Các CA phụ
thuộc được công nhận thông qua chứng nhận của CA gốc và tạo nên chuỗi các CA uỷ thác.
Mỗi khi tạo ra một giấy chứng nhận điện tử mới, một cặp khoá mã được phát ra cho mỗi thực
thể - thiết bị VPN, máy chủ Web, người sử dụng thư điện tử... Những thực thể sẽ giữ các khoá
riêng (private key) dùng để tạo ra chữ ký điện tử. Còn khoá công khai (public key), tên của thực
www.nhipsongcongnghe.net
thể, tên của CA phát hành, tất cả sẽ được tập hợp trong giấy chứng nhận điện tử, và tất cả sẽ
được xác nhận thông qua chữ ký điện tử của chính CA.
Với mục đích tránh sự không công nhận của mỗi thực thể, chỉ có chính bản thân họ mới được sử
dụng đến khoá bảo mật riêng. Với cách làm như vậy, các thực thể không thể phủ nhận được việc
đã "ký" tên vào thông điệp vì không ai khác có thể "ký" như vậy được. Cũng chính vì nguyên
nhân như vậy mã khoá riêng này cần được lưu giữ an toàn. Khi mã khoá này bị lộ vì một nguyên
nhân nào đó, giấy chứng nhận điện tử cần phải được thu hồi.
Ðể thuận tiện trong việc phân phát, các giấy chứng nhận thường được công bố qua hệ thống uỷ
nhiệm. Ðể tăng khả năng truy xuất, tìm kiếm và độ an toàn của hệ thống, các giấy chứng nhận
trong các hệ thống uỷ nhiệm thường được công bố trong các "thư mục che phủ nhiều tầng"
(Multiple shadow directories). Do yêu cầu thiết kế và nhu cầu thực tế, cả CA đều cần phải được
bảo mật tốt nên hai thành phần này thường được phân cách không những theo logic mà còn
phải được phân cách cả vị trí vật lý.

Chức năng quản lý được giao cho RA - Thành phần cấp quyền đăng nhập (Registration
Authorities). RA có nhiệm vụ quản trị việc đăng ký tên, khởi tạo hoặc lưu trữ các cặp khoá mã,
xác nhận các thực thể trong giai đoạn đăng ký, yêu cầu CA cấp chứng nhận, chuyển các khoá
mã đến các thực thể, khởi tạo hoặc thu hồi các giấy chứng nhận điện tử. RA là một cơ chế hỗ trợ
CA rất hiệu quả, và cũng như trường hợp trên, do yêu cầu bảo mật, RA và CA thường cũng được
phân cách nhau cả về mặt vật lý và do các nhóm quản trị mạng khác nhau chịu trách nhiệm.
Ðó là các thành phần căn bản của một hệ thống PKI. Ngoài ra, trong thực tế có thể có một số
thành phần và dịch vụ phụ trợ khác trong PKI hoặc có liên quan đến hoạt động của PKI cũng
như không phải một hệ PKI nào cũng có đủ các thành phần cơ bản như trên.
Chúng ta cũng có hai cách lựa chọn triển khai PKI: Sử dụng dịch vụ từ nhà cung cấp hoặc tự xây
dựng nên hệ thống của mình.

5) Sử dụng PKI từ nhà cung cấp dịch vụ
Trên mạng Internet có rất nhiều nhà cung cấp hạ tầng PKI, những người sẽ bán các giấy chứng
nhận điện tử. Dưới đây là danh sách một số nhà cung cấp như vậy.
Digital Signature Trust Company: www.digsigtrust.com/
ID Certify: www.idcertify.com/
Thawte: www.thawthe.com/
USERTrust, Inc.: www.usertrust.com/
VerSign OnSite: www.versign.com/
Cần nhắc lại là nếu bạn muốn xây dựng một mạng VPN sử dụng công nghệ nhận thực bằng giấy
chứng nhận điện tử thì tất cả các thực thể trong mạng của bạn đều cần được chứng nhận và nếu
mạng quá lớn, chi phí mua giấy chứng nhận từ nhà cung cấp sẽ là không nhỏ. Sau đó cần xây
dựng các chính sách về quản trị, điều hành và bảo mật thực hợp. Một điểm cần chú ý khác là
bạn nên chọn nhà cung cấp VPN có hỗ trợ cho thiết bị VPN của bạn.

6) Xây dựng hạ tầng mã khoá công khai của riêng bạn
Các sản phẩm khác nhau sẽ có các đặc trưng riêng khác nhau, và điều quan trọng nhất cần phải
hiểu là việc mua một sản phẩm phần mềm hỗ trợ PKL chỉ là một phần nhỏ trong toàn bộ chi phí
để xây dựng một hệ PKI. Nên chọn một nhóm chuyên gia tư vấn để xây dựng chính sách bảo

mật và kiến trúc của PKI sao cho phù hợp với thực tế và nhu cầu phát triển trong tương lai. Hầu
hết các công ty cung cấp kể trên đều có thể giúp đỡ bạn trong công việc hoạch định đó.
Bảo mật rất quan trọng đối với VPN. Hãy cùng tìm hiểu xem bảo mật được xây dựng ra sao ở cơ
chế hoạt động VPN qua giao thức SSH và PPP như trên.
• Tiến trình daemon.
Dừng tất cả trừ SSHD và Roxen Web server. Dùng web server để download một vài file nhằm
thiết lập những máy mới để truy cập VPN.
• Không cho phép dùng password
• Disable password hoàn toàn.
Mọi xác thực trên máy này nên được thực hiện qua hệ thống xác thực khóa chung của SSH. Bằng
www.nhipsongcongnghe.net
cách này, chỉ những người có khóa mới có thể vào mạng, và không thể nhớ một khóa nhị phân
có chiều dài 530 ký tự.
Để làm được như vậy, ta cần sửa lại file /etc/passwd. Cột thứ 2 chứa password hash, hoặc chứa
‘x’ thông báo cho hệ thống xác nhận tìm trong tập tin /etc/shadow. Việc ta cần làm là thay
những giá trị trên ở cột này bằng “*”. Điều này thông báo cho hệ thống xác nhận rằng không có
password, và không một password nào được cho phép.
Việc này đã được thực hiện ở bước Thêm những người dùng khi cấu hình VPN Server.
• Truy cập người dùng
Truy cập người dùng được thực hiện qua hệ thống xác thực của SSH. Như đã đề cập ở phần
trên, đây là cách người dùng truy nhập vào hệ thống, trong khi vẫn duy trì mức độ bảo mật cao
(SSH đang dùng là SSH1).
• Cấu hình SSHD.
Disable password authentication và rhosts authentication trong tập tin /etc/SSHD_config như
sau:



• Giới hạn người dùng.
Chỉ cho người dùng chạy PPPD sudo hay không sudo PPPD cần chạy dưới quyền root. Tuy nhiên,

ta chạy mọi thứ trên VPN Server bằng quyền người dùng vpn-users. Để các vpn-users chạy
PPPD, ta dùng tiện ích sudo.
Sudo cấp quyền superuser cho các người dùng thường nhưng chỉ gồm một tập lệnh rất giới hạn
được quy định bởi người quản trị hệ thống. Trong trường hợp này, ta chỉ muốn cho người dùng
VPN chạy PPPD bằng đặc quyền superuser. Phương pháp này được sử dụng khi muốn cho phép
người dùng truy nhập shell.
Nếu không muốn cho phép người dùng truy nhập shell, thì cách tốt nhất là làm cho shell của họ
PPPD như đã thực hiện trong tập tin / etc/ passwd cho 3 người dùng ở 3 hàng cuối ở bước Thêm
những người dùng thuộc phần cấu hình VPN Server.

3. Bảo mật cho Client và Gateway trong giải pháp SSL VPNs
Trong giải pháp SSL VPNs, SSL VPNS có thể đơn giản hóa việc truy cập từ xa thì đồng thời nó
cũng phức tạp hóa quá trình bảo mật thông tin vì người sử dụng lại thường truy cập vào các ứng
dụng từ các máy tính kém tin cậy nhiều hơn. Để khắc phục vấn đề này, các nhà cung cấp đã
phải nỗ lực rất nhiều trong việc đưa tính năng kiểm tra độ tin cậy của máy client vào trong giải
pháp của mình. Quá trình kiểm tra này có thể chia thành ba loại chính: quét host, dọn dẹp cache
và tạo một sandbox bảo mật trên một thiết bị client.
Một vài nhà cung cấp khác đang từng bước bổ sung các tính năng cho gateway để nó có thể tự
bảo đảm an toàn cho mình. Quá trình quét gateway sẽ tóm gọn các phần mềm có hại (malware)
www.nhipsongcongnghe.net
bị bỏ qua bởi quá trình kiểm tra host, trong khi các tường lửa tầng ứng dụng thì nhận nhiệm vụ
nhận dạng các cuộc tấn công theo kiểu SQL injection hoặc tràn bộ đệm bắt nguồn từ các máy
núp danh người dùng cuối tin cậy.
Hãng Whale trang bị cho gateway SSL VPN của mình một tường lửa tầng ứng dụng. Tường lửa
chỉ cho phép các thông lượng thỏa mãn yêu cầu đặt ra của ứng dụng, mọi lưu lượng còn lại đều
bị drop. Giải pháp Connectra SSL VPN của CheckPoint có thể chạy cùng một cơ chế chặn tấn
công trên tầng ứng dụng và Web như trên FireWall-1 (một sản phẩm tường lửa nổi tiếng của
hãng). Giải pháp FirePass SSL VPN của F5 thì lại bao gồm nhiều phần cùng hoạt động như: phần
phát hiện và diệt virus, phần ngăn chặn SQL injection đơn giản, phần chặn các script liên site và
các tấn công trên nền Web khác.

Một tùy chọn khác là truyền các traffic SSL VPN qua một thiết bị bảo mật bổ sung ngay sau khi
traffic được giải mã ở gateway. Checkpoint, Juniper, và F5 đều giới thiệu đến khách hàng giải
pháp bảo mật trên tầng ứng dụng trong loạt sản phẩm truyền thống của họ. Aventail vừa mới
đây cũng đã công bố liên kết với NetContinuum, một công ty chuyên về xây dựng các tường lửa
ứng dụng Web.
Các chuyên viên mạng sẽ phải cân nhắc lựa chọn giữa hai công nghệ truy cập từ xa này. Việc để
traffic mạng đi qua nhiều thiết bị hỗ trợ bảo mật đồng nghĩa với việc tăng độ trễ cho kết nối
cũng như tăng xác suất sai hỏng dữ liệu. Tuy nhiên, mặt khác thực hiện quá nhiều thao tác kiểm
tra bảo mật tại gateway SSL VPN chắc chắn sẽ ảnh hưởng đến hiện năng họat động chung của
hệ thống.

III. Cơ Chế Hoạt Động Của VPN Kết Nối Truy Xuất Từ Xa



1. Có 2 loại kết nối VPN là
Site-to-site VPN connection.
Remote access VPN connection.
www.nhipsongcongnghe.net

1) Kết nối truy xuất từ xa VPN
Một client truy xuất từ xa thực hiện một sự kết nối VPN theo một mạng riêng (theo quan hệ một-
một).VPN truy nhập từ xa hay mạng riêng ảo quay số ( Virtual private dial-up network VPDN)
đuợc triển khai, thiết kế cho nhừng khách hàng riêng lẻ ở xa như những khách hàng đi đường
hay những khách hàng truy cập vô tuyến. Trước đây, các tổ chức, tập đoàn hỗ trợ cho những
khách hàng từ xa theo những hệ thống quay số. Đây không phải là một giải pháp kinh tế, đặc
biệt khi một người goi lại theo đường truyền quốc tế. Với sự ra đời của VPN truy cập từ xa, một
khách hàng di động gọi điện nội hạt cho nhà cung cấp dịch vụ Internet (ISP) để truy nhập vào
mạng tập đoàn của họ chỉ với một máy tính cá nhân được kết nối Internet cho dù họ đang ở bất
kỳ đâu. VPN truy cập từ xa là sự mở rộng những mạng quay số truyền thống. Trong hệ thống

này, phần mềm PC cung cấp một kết nối an toàn - như một đường hầm, cho tổ chức. Bởi vì
những người sử dụng chỉ thực hiện các cuộc gọi nội hạt nên chi phí giảm.
2) Kết nối Site-to Site VPN
Một router thực hiện sự kết nối site-to-site VPN, sự kết nối này nối 2 phần của mạng riêng.
VPN site - to - site được triền khai cho các kết nối giữa các vùng khác nhau của một tập đoàn
hay tổ chức. Nói cách khác mạng ở một đia điểm, vi trí được nối kết với mạng ở một vị trí khác
sử dụng một VPN. Truớc đăy, một kết nối giữa các vi trí này là kênh thuê nêng hay frame relay.
Tuy nhiên, ngày nay hầu hết các tổ chức, đoàn thể, tập đoàn đều sử dụng Intemet, với việc sử
dụng truy nhặp Intemet, VPN site-to-site có thế thay thế kênh thuê riêng truyền thống và frame
relay. VPN site-to site là sự mở rộng và kế thừa có chọn lọc mạng WAN. Hai ví dụ sử dụng VPN
site - to - site là VPN Intranet và VPN Extranet. VNP Intranet có thế xem là những kết nối giữa
các vị trí trong cùng một tổ chức, người dùng truy cập các vị trí này ít bị hạn chế hơn so vớiVPN
Extranet. VPN Extranet có thề xem như những kết nối giữa một tổ chức và đối tác kinh doanh
của nó, người dùng truy cập giữa các vi trí này được các bên quản lý chặt chẽ tại các vi trí của
mình.

www.nhipsongcongnghe.net


2. Thuật ngữ
Vì việc thiết lập VPN rất giống giao tác client-server, ta mượn thuật ngữ này để phân biệt máy
tính ở mỗi đầu đường hầm.
• Server: Dùng chỉ máy đợi những yêu cầu kết nối VPN vào một cách thụ động. Nó chạy hoàn
toàn tự động.
• Client: Dùng chỉ máy khởi sự yêu cầu kết nối: yêu cầu Server kết nối VPN.

3. Các công nghệ VPN khác nhau
Hiện nay có một vài giải pháp VPN cho Linux:
IPSec - IP Security Tunnel Mode
• PPTP - Point to Point Tunneling Protocol

• L2TP - Layer 2 Tunneling Protocol
• SSH+PPPD - PPP over SSH tunnel
• CIPE

www.nhipsongcongnghe.net


Là một giao thức mạng, giao thức mạng này cho phép bảo mật sự chuyển đổi dữ liệu từ một
client từ xa tới một tổ chức server riêng bằng việc tạo một mạng riêng ảo qua mạng dữ liệu cơ
sở TCP/ IP. PPTP hỗ trợ các nhu cầu, nhiều giao thức, mạng riêng ảo qua những mạng chung
chẳng hạn như Internet. PPTP cho phép IP qua nó được mã hóa, và sau đó đóng gói IP để được
gởi qua một tổ chức mạng IP hoặc một mạng IP chung chẳng hạn như Internet



Là một giao thức đường hầm Internet chuẩn công nghiệp, giao thức này cung cấp sự đóng gói
cho việc gởi cơ cấu Point-to-Point (PPTP) qua môi trường hướng đóng gói. L2TP cho phép sự
chuyển đổi IP được mã hóa, và sau đó gởi qua bất kỳ phương tiện nào, những phương tiện này
hỗ trợ đọc cấu trúc point-to-point, chẳng hạn IP. Sự thực thi của giao thức L2TP sử dụng sự mã
hóa Internet Protocol security (IPSec) để bảo mật dữ liệu từ VPN client tới VPN server. Phương
thức IPSec cho phép những gói được mã hóa, và sau đó được đóng gói trong một header IP để
gởi qua một tổ chức mạng IP hoặc một mạng IP chung chẳng hạn như Internet. Sự kết nối PPTP
yêu cầu chỉ sư xác nhận người sử dụng qua một sư xác nhận dựa trên giao thức PPP. L2TP/
IPSec yêu cầu trên sư xác nhận cấp độ người sử dụng như nhau và, thêm nữa, sự xác nhận ở
mức độ máy tính sử dụng sự chứng nhận máy



Đường hầm là toàn bộ tiến trình xử lý đóng gói, routing, và mở gói. Đường hầm bao bọc, hoặc
đóng gói, gói chính ở trong một gói mới. Gói này có lẽ có một địa chỉ mới và thông tin lộ trình,

mà cái này cho phép nó để đi qua một mạng. Khi đường hầm được kết hợp với dữ liệu cẩn mật,
gói dữ liệu chính thì không bộc lộ ra tới sự lắng nghe này để di chuyển trên mạng. Sau khi những
gói được đóng gói tìm kiếm điểm đến của chúng, sự đóng gói thì được removed, và gói chính
www.nhipsongcongnghe.net
được sử dụng để tìm tới điểm đến cuối cùng.
Đường hầm là đường dẫn chuyển dữ liệu qua chính nó, qua nó dữ liệu được đóng gói. Để điểm
bắt đầu và điểm đến ngang hàng, đường hầm thường trong suốt và xuất hiện như là sự kết nối
point-to-point trong đường dẫn mạng khác. Sự ngang hàng thì không biết của bất kỳ router nào,
switches, proxy servers, hoặc cổng bảo mật khác giữa những điểm bắt đầu của đường hầm và
điểm kết thúc của đường hầm. Khi đường hầm được kết hợp với dữ liệu cẩn mật, nó có thể được
cung cấp một mạng riêng ảo (VPN).
Những gói được đóng gói đi qua mạng trong đường hầm. Trong ví dụ này, mạng là Internet.
Cổng ở đây là cổng bên lề, cổng này đứng giữa bên ngoài Internet và mạng riêng ảo. Cổng bên
ngoài ở đây có thể là một router, tường lửa, proxy server, hoặc cổng bảo mật khác. Vì vậy, 2
cổng này có thể được sử dụng bên trong mạng riêng để đảm bảo cho việc di chuyển qua những
phần mạng không được ủy thác.
Khi IPSec được sử dụng trong phương thức đường hầm, IPSec chỉ cung cấp sự đóng gói cho sự
di chuyển IP. Lý do chính cho việc sử dụng phương thức trên là tính liên vận với những routers,
các cổng, hoặc những hệ thống cuối mà những cái đó không hỗ trợ L2TP qua đường hầm IPSec
hoặc PPTP VPN.
Hệ thống thiết lập VPN dưới đây sử dụng SSH (secure shell) và PPP (point-to-point protocol):
dùng SSH để tạo kết nối đường hầm, sau đó dùng PPPD để chạy TCP hoặc IP qua đó. Ta sẽ tìm
hiểu cơ chế hoạt động của loại hình VPN này.

4. Giới thiệu về SSH và PPPD
SSH là một giao thức cung cấp những trao đổi từ xa được mã hóa an toàn qua kênh không an
toàn ví dụ như là Internet. Về thực chất, SSH là bộ thực thi lệnh và bộ mã hóa. Một cách cụ thể,
SSH là chương trình login vào một máy ở xa và thực thi những lệnh trên máy này, sau đó chuyển
về cho máy nội tại output chuẩn có được do nó bảo SSHD chạy trên máy ở xa.
SSHD là một tiến trình daemon, được ghép vào làm việc cùng SSH theo mô hình server-client.

Cặp chương trình: SSH và SSHD có chức năng mã hóa và giải mã tất cả giao thông giữa chúng.
PPP là giao thức chuẩn trao đổi những gói tin qua kết nối nối tiếp (thường là modem). Bằng việc
sử dụng PPP, có thể nối máy Linux PC vào server PPP và truy cập tài nguyên mạng mà server đó
được nối vào như thể máy Linux PC được nối trực tiếp vào mạng đó.
PPPD là một tiến trình daemon có khả năng thiết lập những tham số kết nối với máy từ xa bằng
cách trao đổi địa chỉ IP, sau đó thiết lập những giá trị trao đổi. Khi đó, PPPD sắp đặt tầng mạng
trên kernel Linux sử dụng liên kết PPP bằng cách đặt giao diện là hoặcdevhoặcPPP0 (nếu đó là
liên kết PPP kích hoạt đầu tiên trên máy). Cuối cùng, PPPD thiết lập bảng chỉ đường để hướng
đến máy ở đầu cuối của liên kết PPP.

5. Cơ chế hoạt động VPN dùng SSH và PPPD
Khi SSH client gọi và yêu cầu tiến trình SSHD trên server, SSHD liền thực hiện nhiệm vụ của
mình: xác thực và mã hóa


1) Xác thực
SSH có tiện ích gọi là SSH-keygen cho phép phát sinh một cặp khóa khớp nhau và ghi chúng vào
tập tin trên đĩa. Mỗi người dùng muốn sử dụng SSH hoặc SSHD thì chạy SSH-keygen để phát
sinh cặp khóa cho mình, khi đó SSH-keygen ghi vào thư mục home của người dùng hai tập tin
www.nhipsongcongnghe.net
khóa như sau:
• Tập tin identity.pub chứa khóa chung, thích hợp cho việc gởi cho người khác.
• Tập tin identity chứa khóa riêng, nên được giữ kín.
Một tập tin liên quan đến khóa nữa có trong thư mục home của người sử dụng SSH là
authorized_keys.
Khi client muốn login vào server, client gởi đến server khóa chung của client bằng cách gởi một
bản copy của identity.pub dưới dạng tập tin, hay nhúng nội dung của nó vào một thông điệp e-
mail (do khóa này chỉ chứa toàn là mã ASCII nên độ bảo mật trong quá trình chuyển khóa không
quan trọng). server sẽ đặt khóa chung của Client vào tập tin authorized_keys của server.
Sự xác thực người dùng hoạt động như sự tác động qua lại giữa những tập tin khóa của người

dùng. Khi client sử dụng SSH login vào server, sự xác thực được thực hiện bởi SSHD trên server:
SSHD dùng khóa chung của client mã hóa một thứ gì đó và gởi cho client. client sẽ phải chứng
minh bản thân bằng cách giải mã và gởi lại cho server dữ liệu khớp với bản gốc mà Server đã
dùng mã hóa. Lúc này, việc xác thực hoàn tất. SSHD sẽ ghi vào tập tin log trên server rằng việc
xác thực người dùng từ xa được chấp nhận. Kế đến, server phân phát terminal giả và bắt đầu
một shell tương tác hay chương trình người dùng. SSH chuyển về cho máy client output chuẩn có
được do nó bảo SSHD chạy trên máy server. Như vậy, người dùng chỉ việc ngồi ở máy mình,
login vào và thao tác như người dùng của máy tính ở xa. Tất cả những lệnh hay kết quả đều
được chuyển từ máy ở xa về máy nội tại. Điều này giống như khi ta telnet nhưng khác telnet ở
chỗ mọi thứ được mã hóa.
Phương pháp xác thực không liên quan đến password. Nó chỉ quan tâm đến việc người dùng có
thể đưa ra khóa chung được trông đợi và thể hiện quyền sở hữu một khóa riêng tương hợp với
nó hay không.

2) Mã hóa
Khi đã được xác thực, Client có thể vận hành máy ở xa như chính người dùng của máy đó vậy.
Tại đó, SSHD chạy lệnh hay shell được Client yêu cầu và gởi mọi output chuẩn về cho màn hình
của Client sau khi đã mã hóa chúng. Hội thoại trực tiếp giữa các máy là tất cả giữa SSH và SSHD.
SSH trên Client biết phải làm gì với dòng dữ liệu vào (giải mã nó) và làm như thế nào để giải mã
(sử dụng khóa đã được thỏa thuận). Chuyện tương tự xảy ra với giao thông theo chiều ngược lại:
SSH mã hóa và SSHD giải mã.
Khóa mã hóa được dùng trên mỗi máy cho dữ liệu truyền ngoài không phải là khóa chung của
Client mà là một khóa bí mật khác do SSH và SSHD thỏa thuận trong giai đoạn đàm phán đầu
tiên giữa chúng. Trong khi khóa chunghoặcriêng của SSH-keygen đóng vai trò chính trong quá
trình xác thực, vai trò của chúng trong mã hóa chỉ là mã hóa một cách không thể xâm nhập sự
trao đổi về khóa bí mật này. Khóa mật này được gọi là “khóa tác vụ” (session key), được dùng
để mã hóa những thông điệp tiếp theo trong giao tiếp giữa client và server. Cả hai cùng dùng
khóa tác vụ để mã hóa giao tiếp. Thuật toán khóa mật nhanh hơn những thuật toán khóa chung
hoặc riêng.
Những máy tương tác không biết rằng hội thoại giữa chúng được mã hóa trên đường đi. Chúng

chỉ việc xác định địa chỉ IP và gởi những gói tin cho nhau, còn lại thì để cho bảng tìm đường định
đoạt. Khi đến VPN server, bảng tìm đường ở đó sẽ chỉ những gói tin này đến giao diện PPPD vận
hành bởi SSH.

3) Đường hầm

www.nhipsongcongnghe.net


Để sử dụng môi trường truyền dẫn chung trên Internet người ta phải sử dụng một kỹ thuật mới,
một phần mềm mới gọi là " tạo đường hầm " (Tunnelling) mà ý nghĩa vật lý tương tự như đường
tàu điện ngầm riêng chạy dưới mạng lưới giao thông công cộng của một thành phố.
Tuy nhiên để bảo vệ được các thông tin nội bộ trong mọi trường hợp cần phải có bức tường lửa,
phương thức làm việc theo kiểu khách hoặc chủ (client hoặc server) và các biện pháp mã hoá để
kiểm soát các đối tượng truy nhập với cách làm việc như sau: Khi một trạm đầu cuối
(Workstation) tại một chi nhánh sử dụng phần mềm tạo đường hầm khách (client tunnelling
software) gửi yêu cầu truy nhập tới máy chủ (server) có phần mềm tạo đường hầm chủ
(tunnelling server software) ở trung tâm hay ở phía đầu xa qua mạng Internet.
Trong máy chủ này đã có danh sách các trạm đầu cuối được phép truy nhập, nếu kiểm tra đúng
danh sách, máy chủ cho phép kiến tạo một đường hầm và sử dụng các biện pháp mã hoá để
kiểm soát, máy chủ gửi lại cho trạm đầu cuối kia một địa chỉ Internet nội bộ (IP address) để làm
cơ sở kết nối, địa chỉ này chỉ sử dụng trong mạng máy chủ. Khi cuộc nối (hay đường hầm qua
Internet) thiết lập đã được xác nhận là đúng, khách hàng ở trạm đầu cuối có thể truy nhập vào
mạng máy chủ để trao đổi thông tin.Máy chủ kiểm tra tất cả các cuộc truy nhập vào, xác nhận
đúng trước khi cho phép kiến tạo đường hầm. Ngoài ra, gói dữ liệu IP (Internet Protocol
datagram) sử dụng trong mạng máy chủ cũng đã được mã hoá bằng nhiều biện pháp khác nhau
và sau đó mới lồng vào bên trong gói dữ liệu TCPhoặcIP khác để truyền đi trên Internet, do vậy
dữ liệu truyền cho nhau qua Internet được bảo vệ an toàn.
PPPD là vật tải giao thông cho những chương trình khác, có nghĩa là mọi thứ trao đổi giữa Client
và Server thông qua giao diện PPPD (khởi tạo dưới sự điều khiển SSH) sẽ tự động đi qua đường

hầm.
Khái niệm tạo đường hầm là chỉ một tiến trình đặt gói tin vào một bao đóng khác rồi gởi nó qua
mạng. Giao thức của gói tin bên ngoài này được hiểu bởi mạng và hệ thống hai đầu – nơi gói tin
vào và ra khỏi mạng – và được gọi là giao diện đường hầm.
Kết nối gì đang được trao đổi trên mạng. Sau khi những gói tin dữ liệu thật được giải mã và xác
thực bởi hai máy ở hai đầu kết nối, dữ liệu thật được chuyển đến những đường hầm là một kết
nối mạng giữa hai đầu và chuyển những gói tin đã được mã hóa từ đầu này đến đầu kia thông
qua mạng Internet. Các gói tin đã được mã hóa nên những kẻ nghe trộm không thể hiểu được
thông tin máy trong mạng nội bộ.
Lấy ví dụ ở mô hình VPN Network-Network, VPN có hai máy chủ điều khiển sự mã hóa hoặc giải
mã giao thông VPN: Client và Server, thuộc hai mạng mà ta muốn nối và cũng là điểm bắt đầu
và kết thúc của VPN. Client ở một đầu chạy tập lệnh để gọi Server ở đầu kia, chúng phục vụ như
điểm tiếp xúc hay ống dẫn dữ liệu giữa hai mạng và cũng là đại diện cho bất cứ cặp máy tính
nào thuộc hai mạng muốn hội thoại với nhau.
Tập lệnh mà Client gọi cho Server phải thực thi 4 lệnh, trong đó hai lệnh được thực thi trên VPN
Server:
• PPPD trên server.
• PPPD trên client, nơi tập lệnh chạy.
• route trên client.
• route trên server.
Những lệnh PPPD thiết lập kết nối hoạt động - dây nối chỉ có giữa hai đầu client và server mà