Tổng Quan Về VPN (Mạng Riêng Ảo)

0
343

Giới thiệu VPN

VPN là viết tắt của virtual private network (mạng riêng ảo). Chữ network cho biết đây là một mạng cho phép kết nối giữa 2 thiết bị với nhau. Chữ virtual cho biết đây là một kết nối luận lý (logical connection) giữa 2 thiết bị. Chẳng hạn một thiết bị ở Hà Nội kết nối Internet thông qua một ISP tại Hà Nội, và một thiết bị ở Sài Gòn kết nối Internet thông qua một ISP tại Sài Gòn, và ta có thể xây dựng một logical network, hay virtual network, giữa 2 thiết bị này thông qua phương tiện vận chuyển là mạng Internet. Chữ private cho biết đây là kết nối riêng tư giữa 2 thiết bị, nghĩa là dữ liệu trao đổi thông qua kết nối này phải được đảm bảo tính tin cậy bằng cách mã hóa , tính toàn vẹn, cũng như phải chứng thực các thiết bị.

Để kết nối 2 thiết bị ở Sài Gòn và Hà Nội với nhau, thay vì dùng VPN ta cũng có thể thuê đường leased-line (kết nối WAN dành riêng). Tuy nhiên, giải pháp này đắt hơn rất nhiều so với dùng VPN, vốn chỉ cần có kết nối Internet là được. Ngoài ra, khi công ty có nhu cầu mở rộng thêm nhiều sites thì lại phải thuê thêm các kênh leased-line khác, khiến chi phí càng tăng cao. Sử dụng VPN giúp tiết kiệm chi phí và có được tính scalability.

Các công nghệ VPN
Có một số công nghệ VPN sau:

  • IPsec: Thực hiện bảo mật cho gói tin IP ở Layer 3 của mô hình OSI, có thể dùng cho site-to-site VPN hoặc remote-access VPN.
  • SSL: Secure Socket Layer thực hiện bảo mật cho TCP session tại Layer 4 của mô hình OSI, và có thể dùng cho remote-access VPN (cũng như dùng để truy cập an toàn một web server thông qua HTTPS).
  • MPLS: MPLS Layer 3 VPN mặc định không có mã hóa. Ta có thể sử dụng IPsec chung với MPLS VPN.

2 loại VPN chính
VPN có thể được phân thành 2 loại chính là remote-access và site-to-site.

  • Remote-access VPN: Một số user có thể cần tạo một kết nối VPN từ PC của họ đến trụ sở (hoặc đến nơi mà họ muốn). Loại này gọi là remote-access VPN. Remote-access VPN có thể sử dụng công nghệ IPsec hoặc SSL.
  • Site-to-site VPN: Một số công ty có 2 hoặc nhiều sites, và họ muốn các sites này có thể kết nối an toàn với nhau. Loại này gọi là site-to-site VPN. Site-to-site VPN thường sử dụng công nghệ IPsec.

Những ưu điểm của VPN
Lợi ích của việc sử dụng VPN (cả remote-access và site-to-site) bao gồm

  • Tính tin cậy
  • Tính toàn vẹn
  • Chứng thực
  • Chống tấn công lặp lại

1. Tính tin cậy
Tính tin cậy (confidentiality) nghĩa là dữ liệu (được mã hóa) trao đổi giữa 2 bên thì chỉ có 2 bên là có thể đọc được (nghĩa là chỉ có 2 bên là có khóa giải mã). Bất cứ ai nghe lén hoặc bắt được dữ liệu đó mà không có khóa giải mã thì cũng vô ích.

2. Tính toàn vẹn
Tính toàn vẹn dữ liệu (data integrity) nghĩa là đảm bảo dữ liệu trao đổi giữa 2 bên được nguyên vẹn, nếu có bất kỳ thay đổi nào về dữ liệu trong quá trình truyền đều sẽ bị phát hiện. Chúng ta sử dụng thuật toán hash (băm) để làm việc này.

Đối với Cisco IOS image, để đảm bảo file image mà ta download từ Cisco là chính xác, không bị lỗi trong quá trình truyền, ta có thể dùng lệnh verify với đường dẫn tới file image trong bộ nhớ flash (ví dụ: verify /md5 flash:/c2800nm-advipservicesk9-mz.124-24.T4.bin). Kết quả của lệnh này sẽ cho ra một chuỗi MD5 hash, và ta đem so sánh chuỗi hash vừa tính được với chuỗi được cung cấp trên trang web của Cisco cho file image này. Nếu giống nhau thì ta biết được rằng file image đã download về là nguyên vẹn, không bị lỗi.

3. Chứng thực
Ngoài việc mã hóa dữ liệu và đảm bảo dữ liệu không bị thay đổi trên đường truyền, một VPN tunnel còn phải có khả năng chứng thực (authentication) đối tượng ở phía đầu bên kia của VPN tunnel. Có một số cách chứng thực sau

  • Pre-shared key
  • Chữ ký số
  • Username và password (dùng với remote-access VPN)

4. Chống tấn công lặp lại
Hầu hết các công nghệ VPN đều hỗ trợ chống kiểu tấn công lặp lại (antireplay), nghĩa là khi một gói tin VPN đã được gửi đi thì gói tin đó sẽ không còn hợp lệ khi gửi tiếp lần thứ 2 trong VPN session đó.

BÌNH LUẬN

Please enter your comment!
Please enter your name here