1
BÀI 2.
MẠNG RIÊNG ẢO (VPN)
Bùi Trọng Tùng,
Bộ môn Truyền thông và Mạng máy tính
Viện CNTT-TT, Đại học BKHN
1
Nội dung
•Giới thiệu chung về VPN
•Các mô hình mạng riêng ảo
•Giao thức VPN tầng 2
•Giao thức VPN tầng 3
•SSL VPN
•Triển khai các giải pháp VPN
2
2
1. GIỚI THIỆU CHUNG VỀ VPN
3
Đặt vấn đề
•Nguy cơ mất an toàn thông tin trên mạng Internet
•Nghe lén
•Giả danh
•Giả mạo
•Giải pháp
•Point-to-point link : lease line
Hoặc
•Mã hóa bảo mật
•Xác thực
Virtual Private Network
4
AES...
MAC
3
VPN là gì?
•Kết nối trên mạng công cộng
(Internet) được bảo đảm an toàn an
ninh, với những chính sách như trong
mạng riêng:
•Virtual
•Private
•Network
•Mở rộng mạng Intranet trên Internet
VPN
VPN
Internet
5
Các thành phần của VPN
•VPN gateway: cung cấp dịch vụ kết nối VPN cho các nút
mạng
•VPN client: điểm đầu cuối(PC, Smartphone, Gateway…)
yêu cầu kết nối VPN
•Đường hầm VPN
•Giao thức VPN
•Phân loại:
•VPN phần cứng
•VPN phần mềm
6
đóng vai trò như một cái Router
bình thường
cũng có thể đóng vai trò một
client gửi yêu cầu kết nối tới một
VPN mạng 2
đóng gói, mã hóa mọi dữ liệu
đường hầm
Intranet là mạng riêng, cá nhân tổ chức
giới hạn truy nhập
sử dụng trong nội bộ
chia sẽ tt tài nguyên
bảo mật
quản lý kiểm soát
4
Một số sản phẩm tiêu biểu
•VPN phần cứng:
•Cisco: 1900 , 2900, 3900, 7200, 7300 series(tích hợp tính năng
router, switch), ASA 5500 series (tích hợp trong UTM)
•F5 Networks: F5 BIG-IP 1600, F5 BIG-IP 11050
•Citrix NetScaler MPX
•Dell SonicWall
•VPN phần mềm:
•OpenVPN
•FreeS/WAN
•pfSense
7
Hoạt động của VPN
•Xác thực
•Mã hóa
•Đóng gói
•Gói tin truyền trong liên kết VPN được đóng gói lại theo giao thức
VPN
•Tiêu đề mới được thêm vào sử dụng địa chỉ IP của VPN gateway
•Các thông tin trong tiêu đề ban đầu được che giấu và đảm bảo tính
toàn vẹn(địa chỉ, số hiệu cổng ứng dụng)
8
5
Hoạt động của VPN
9
Các chế độ kết nối
•Transport mode
•Trên từng cặp thiết bị đầu cuối
•Dữ liệu đóng gói trong VPN packet
•Hạn chế ???
•Tunnel mode
•Các thiết bị đầu cuối không tham gia vào VPN
•Kết nối VPN thông qua các thiết bị trung gian
•Ưu điểm???
10
gói tin chưa được mã hóa
được gửi từ user
đi qua VPN router
được mã hóa và đóng gói
xác thực yêu cầu
Database check
Truyền tải
Đương hầm
Hạn chế:
- Chỉ cho phép bảo vệ dữ liệu MT (duy nhất) mà k cho phép
bảo vệ tất cả các thiết bị trong mạng
- Không an toàn cho tất cả các thiết bị trong mạng
- Không phù hợp với mạng lớn
- Bảo mật thấp hơn Tunnel mode vì chỉ có thể mã hóa 1 phần
dữ liệu
Hạn chế: chi phí cao, tốc độ truyền tải chậm,
Ưu điểm
Bảo mật cao: mã hóa toàn bộ dữ liệu
Linh hoạt: bảo vệ tất cả thiết bị trong mạng
Khả năng hoạt dộng mạng lớn vì cho phép kết nối nhiều thiết bị
Dễ dàng quản lý và cấu hình
Độ ổn định cao khi truyền tải qua các mạng public
bảo vệ playload = IPsec site-to-site
authentication
1
2
Transport mode thường được dùng khi thiết lập kết nối VPN giữa 2 thiết bị kết nối trực tiếp với nhau (MT vs VPN)
Chỉ các dữ liệu được mã hóa, tiêu đề IP của gói tin được giữ nguyên
Thích hợp kết nối VPN điểm-điểm
Tunnel mode thường được kết nối VPN giữa 2 mạng riêng (IP riêng) VD: mạng nội bộ vs VPN công cộng
Toàn bộ gói tin được mã hóa, tiêu đề gói tin IP được thay thế bằng tiêu đề gói tin VPN, điều này giúp ẩn đi thông tin
về IP nguồn và đích
Cho phép kết nối giữa các mạng riêng tư và mạng công cộng, tạo ra một "đường hầm an toàn" dề truyền thông tin
