Lý Thuyết VPN – Mạng Riêng Ảo
Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính phủ sử dụng công nghệ mạng riêng ảo VPN để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của cơ quan mình.
I. Mạng riêng ảo – VPN là gì?
1. Nội dung mạng riêng ảo VPN:
- Mạng riêng ảo hay VPN (Virtual Private Network):
– Là một mạng riêng để kết nối các máy tính của các công ty, tập đoàn hay các tổ chức với nhau thông qua mạng Internet công cộng.
2. Mạng riêng ảo VPN hoạt động như thế nào?
- Các tập đoàn lớn, các cơ sở giáo dục và cơ quan chính phủ sử dụng công nghệ VPN để cho phép người dùng từ xa kết nối an toàn đến mạng riêng của cơ quan mình.
- 1 hệ thống VPN có thể kết nối được nhiều site khác nhau. Dựa trên khu vực, diện tích địa lý… tượng tự như chuẩn Wide Area Network. (WAN: là mạng dữ liệu được tạo ra bởi Bộ Quốc phòng Hoa Kỳ để kết nối giữa các mạng đô thị giữa các khu vực địa lý cách xa nhau. Xét về quy mô địa lý, mạng GAN có quy mô lớn nhất, sau đó đến mạng WAN và mạng LAN).
- Bên cạnh đó, VPN còn được dùng để “khuếch tán” mở rộng các mô hình Intranet (là một hệ thống bao gồm mạng lưới nội bộ, được dựa trên giao thức TCP/IP). Nhằm truyền tải thông tin, dữ liệu tốt hơn.
– Ví dụ: các ngân hàng vẫn phải dùng VPN để nối giữa các chi nhánh với trụ sở chính lại với nhau.
3. Yêu cầu kết nối hệ thống mạng riêng ảo VPN:
– Muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xác thực (phải có Username và Password). Những thông tin xác thực tài khoản này được dùng để cấp quyền truy cập thông qua 1 dữ liệu – Personal Identification Number (PIN), các mã PIN này chỉ có tác dụng trong 1 khoảng thời gian nhất định (30s hoặc 1 phút).
– Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy tính bảng với một VPN. Máy tính hoạt động giống như nó nằm trên cùng mạng nội bộ với VPN. Tất cả traffic (một thuật ngữ được sử dụng để mô tả lưu lượng truy cập của một website) trên mạng được gửi qua kết nối an toàn đến VPN. Nhờ đó, bạn có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay cả khi đang ở xa.
– Bạn cũng có thể sử dụng Internet giống như đang ở vị trí của của VPN, điều này mang lại một số lợi ích khi sử dụng WiFi public (wifi công cộng) hoặc truy cập trang web bị chặn, giới hạn địa lý.
– Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết nối VPN được mã hóa. Mọi yêu cầu, thông tin, dữ liệu trao đổi giữa bạn và website sẽ được truyền đi trong một kết nối an toàn. Nếu sử dụng VPN tại Hoa Kỳ để truy cập vào các website sẽ thấy kết nối của bạn đến từ Hoa Kỳ.
4. Úng dụng của mạng riêng ảo VPN:
4.1 Truy cập vào mạng doanh nghiệp khi ở xa:
- VPN thường được sử dụng bởi những người kinh doanh để truy cập vào mạng lưới kinh doanh của họ, bao gồm tất cả tài nguyên trên mạng cục bộ, trong khi đang đi trên đường, đi du lịch,… Các nguồn lực trong mạng nội bộ không cần phải tiếp xúc trực tiếp với Internet, nhờ đó làm tăng tính bảo mật.
4.2 Truy cập mạng gia đình, dù không ở nhà:
- Bạn có thể thiết lập VPN riêng để truy cập khi không ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máy tính qua Internet giống như đang ở trong cùng mạng LAN.
4.3 Duyệt web ẩn danh:
- Nếu đang sử dụng WiFi công cộng, duyệt web trên những trang web không phải https, thì tính an toàn của dữ liệu trao đổi trong mạng sẽ dễ bị lộ. Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì bạn nên kết nối VPN. Mọi thông tin truyền qua mạng lúc này sẽ được mã hóa.
4.4 Truy cập đến những website bị chặn giới hạn địa lý:
- bỏ qua kiểm duyệt Internet, vượt tường lửa,…
4.5 Tải tập tin:
- Tải BitTorrent (Hiểu một cách nôm na thì giao thức BitTorrent cũng giống như giao thức FTP (giao thức truyền tệp) là phương tiện để mà có thể đưa nội dung muốn chia sẻ đến người truy cập) trên VPN sẽ giúp tăng tốc độ tải file. Điều này cũng có ích với các traffic mà ISP (Nhà cung cấp dịch vụ Internet hay Nhà cung cấp dịch vụ nối mạng, tiếng Anh: Internet Service Provider) của bạn có thể gây trở ngại.
II. Các giao thức thường dùng trong VPN:
- Các sản phẩm VPN có sự tiện lợi, hiệu quả và bảo mật đa dạng.
- Nếu bảo mật là một mối quan tâm hàng đầu, thì một tổ chức cần phải chú ý đến các giao thức mà dịch vụ VPN hỗ trợ.
- Một số giao thức được sử dụng rộng rãi có những điểm yếu đáng quan ngại, trong khi những giao thức khác lại cung cấp khả năng bảo mật tiên tiến nhất.
- Những giao thức tốt nhất hiện nay là OpenVPN và IKEv2.
1. Tìm hiểu về các giao thức VPN:
- Có 5 giao thức VPN chính là: OpenVPN, PPTP, L2TP/IPSec, IKEv2, và SSTP. Theo thời gian, những lợi ích của một số dịch vụ đã giúp họ trở thành những dịch vụ hàng đầu, trong khi những sai sót của những dịch vụ khác khiến họ trở thành những dịch vụ không nên sử dụng. Tuy nhiên, có những giao thức có thể vượt trội hơn so với các giao thức khác.
1.1. OpenVPN:
- là giao thức bạn nên sử dụng. Đây là lựa chọn tốt nhất, đem lại sự cân bằng hoàn hảo giữa tốc độ, bảo mật và độ tin cậy – trên thực tế hầu hết các dịch vụ VPN đều mặc định sử dụng nó.
– Giao thức mã nguồn mở tương đối mới, được coi là tốt nhất nhờ độ tin cậy của nó.
– Vô cùng phổ biến với các dịch vụ của bên thứ ba, không có hỗ trợ bằng ngôn ngữ bản địa trên bất kỳ nền tảng nào.
– Hỗ trợ hàng loạt thuật toán, đảm bảo mức độ an toàn tốt nhất.
– Một trong những giao thức nhanh nhất hiện nay – tốc độ phụ thuộc mức độ mã hoá, nhưng người dùng thường xuyên sẽ không cảm thấy bị cản trở trong hầu hết các trường hợp.
– Cài đặt có vẻ khó khăn ngay từ ban đầu, nhưng mỗi dịch vụ VPN đáng giá đi kèm với một quy trình tự động đòi hỏi phải có dữ liệu đầu vào tối thiểu của người dùng.
1.2. IKEv2:
- sự lựa chọn tuyệt vời cho thiết bị di động do khả năng kết nối lại tự động trong trường hợp bị mất kết nối Internet. Tốc độ là một lợi thế lớn của giao thức này, nhưng nó đi kèm với chi phí cao của các nền tảng có giới hạn và một quá trình thiết lập khó khăn.
– Giao thức dựa trên giao thức bảo mật IPsec (Internet Protocol Security, là một bộ giao thức mật mã bảo vệ lưu lượng dữ liệu qua mạng Internet Protocol), được phát triển bởi Microsoft và Cisco.
– Có tính ổn định và an toàn nhờ khả năng kết nối lại và hỗ trợ nhiều thuật toán khác nhau.
– Tốc độ nhanh, nhanh hơn L2TP, SSTP, và PPTP.
– Hỗ trợ thiết bị Blackberry, nhưng nếu không thì khả năng sẵn có bị giới hạn của các nền tảng
– Công nghệ độc quyền, vì vậy ý kiến của bạn phụ thuộc vào tình cảm chung của bạn đối với Microsoft; tuy nhiên, các phiên bản mã nguồn mở giống hệt nhau luôn tồn tại.
1.3. L2TP/IPSec:
- là một lựa chọn thay thế tốt nếu, vì một lý do nào đó, bạn không thể sử dụng OpenVPN. Ví dụ lý tưởng của một dịch vụ với rất nhiều tính năng nhưng không có tính năng tốt nào, giao thức này là lựa chọn cho các mục đích không quan trọng.
– Được phát triển từ L2F (Giao thức định hướng lớp 2 và đường hầm điểm-điểm (PPTP) trong VPN.) của Cisco và PPTP của Microsoft.
– Không cung cấp bất kỳ bảo mật nào, đó là lý do tại sao nó thường được kết hợp với IPSec.
– Tích hợp sẵn trên tất cả các thiết bị/hệ điều hành tương thích với VPN hiện đại.
– Một giao thức thích hợp, nhưng những rò rỉ gần đây cho thấy giao thức này đã bị thỏa hiệp bởi NSA(Cơ quan an ninh quốc gia Hoa Kỳ :là cơ quan thu thập các tin tức tình báo được cho là lớn nhất thuộc chính phủ Hoa Kỳ, nhiệm vụ thu thập và phân tích các tín hiệu truyền thông nước ngoài đồng thời đảm bảo an toàn cho các kênh truyền thông của chính phủ Hoa Kỳ).
– Không có những lợi thế thực sự khi so sánh với OpenVPN.
1.4. SSTP:
- Có thể cung cấp tất cả những gì bạn cần ở các giao thức VPN, với điều kiện là bạn cần sử dụng hệ điều hành Windows. Là một phần của hệ điều hành, nó hoàn toàn được tích hợp và sử dụng đơn giản. Nó được sự hỗ trợ của Microsoft. Tuy nhiên, việc thiết lập giao thức SSTP trên các nền tảng khác là vô cùng khó khăn, nếu không phải là không thể. Thực tế, đó là công nghệ độc quyền của Microsoft nhưng cũng có thể được một số bên quan tâm.
– Lần đầu tiên được giới thiệu trong Windows VIsta SP1 của Microsoft.
– Được tích hợp hoàn toàn vào Windows – các nền tảng khác có thể không thể sử dụng giao thức này.
– Dễ dàng vượt qua hầu hết các tường lửa.
– Theo công nghệ riêng của Microsoft, nó cung cấp rất ít bảo mật về nơi dữ liệu của bạn được lưu trữ.
– Nhanh và tương đối an toàn, nhưng dễ bị tác động bởi các chương trình backdoor. Điều này khiến nó trở thành một trong những giao thức hấp dẫn nhất.
1.5. PPTP:
- Bạn không nên sử dụng giao thức này trừ khi không có lựa chọn nào khác. Đây là giao thức lỗi thời và ít được ưa chuộng nhất. Mặc dù tốc độ khá nhanh, nhưng trên thực tế, giao thức này không an toàn. Không nên sử dụng giao thức VPN này nếu bạn coi trọng sự riêng tư của mình.
– Giao thức VPN đầu tiên được hệ điều hành Windows hỗ trợ.
– Được hỗ trợ bởi mọi thiết bị VPN có khả năng.
– Rất nhanh do tiêu chuẩn mã hóa thấp hơn.
– Vô cùng không an toàn: được biết là dễ bị NSA crack trong một thời gian dài;
– Mặc dù Microsoft đã có PPTP. Nhưng họ vẫn khuyên bạn nên sử dụng các giao thức khác như SSTP hoặc L2TP/IPSec.
2. Có một số chức năng mà mọi VPN phải giải quyết được:
2.1. Tunnelling (kỹ thuật truyền dữ liệu qua nhiều mạng có giao thức khác nhau)
- Chức năng cơ bản của VPN là phân phối các gói (packet) từ điểm này đến điểm khác mà không để lộ chúng cho bất kỳ ai trên đường truyền. VPN đóng gói tất cả dữ liệu theo định dạng mà cả máy khách và máy chủ đều hiểu được. Bên gửi dữ liệu đặt nó vào định dạng tunnelling và bên nhận trích xuất để có được thông tin.
2.2. Mã hóa:
- Tunnelling không cung cấp tính năng bảo vệ. Bất cứ ai cũng có thể trích xuất dữ liệu. Dữ liệu cũng cần phải được mã hóa trên đường truyền. Bên nhận sẽ biết cách giải mã dữ liệu từ một người gửi nhất định.
2.3. Xác thực:
- Để bảo mật, VPN phải xác nhận danh tính của bất kỳ client (Khách hàng) nào cố gắng “giao tiếp” với nó. Client cần xác nhận rằng nó đã đến đúng máy chủ dự định.
2.4. Quản lý phiên:
- Một khi người dùng được xác thực, VPN cần duy trì phiên để client có thể tiếp tục “giao tiếp” với nó trong một khoảng thời gian.
– Nói chung các giao thức VPN coi việc tạo tunnel. Xác thực và quản lý phiên như một gói. Điểm yếu trong bất kỳ chức năng nào đều là những lỗ hổng bảo mật tiềm ẩn trong giao thức. Mã hóa là một chuyên ngành, nó cũng rất khó, nên thay vì cố gắng tạo ra cái mới, các VPN thường sử dụng kết hợp nhiều giao thức mã hóa đáng tin cậy.
3. Những giao thức mạnh và yếu để mọi người lựa chọn:
3.1. Những giao thức yếu:
1. Point-To-Point Tunneling Protocol (PPTP)
2. IP security (IPSec)
3. L2TP
3.2. Những giao thức có bảo mật mạnh hơn:
1. IKEv2 (Internet Key Exchange)
2. SSTP (Secure Socket Tunneling Protocol)
3. OpenVPN
4. SoftEther (Software Ethernet)
III. Ưu điểm, nhược điểm của VPN:
1. Ưu của mạng riêng ảo VPN:
- Lưu lượng cá nhân của người dùng được mã hóa. Đồng thời truyền an toàn qua Internet. Điều này giúp người dùng dễ dàng tránh xa khỏi các mối đe dọa trên Internet.
- VPN khiến tin tặc gặp khó khăn khi xâm nhập hay gây trở ngại tới công việc của cá nhân hoặc doanh nghiệp.
- Với VPN người dùng hoàn toàn có thể yên tâm sử dụng Wifi công cộng. Không phải lo nghĩ về những tên tin tặc, đồng thời có thể an toàn kết nối từ xa với máy chủ.
- Với trình bảo mật cao như vậy. Bạn hoàn toàn có thể ẩn danh khi lướt web. Không những thế, đa số các VPN còn có giao diện rất dễ cấu hình, những người không rành công nghệ cũng có thể thao tác được.
2. Nhược điểm của mạng riêng ảo VPN:
- Rất nhiều các trang web đã trở nên cảnh giác với VPN. Nên tạo ra nhiều trở ngại nhằm ngăn cản, giảm lượng truy cập vào nội dung bị hạn chế.
- Nhiều người sử dụng VPN vào các hoạt động xấu, bất hợp pháp.
- Đòi hòi bạn phải có ngân sách kha khá để chi trả cho việc sử dụng hàng tháng. Bởi các VPN miễn phí được đánh giá là không an toàn.