VPN là gì? Ưu nhược điểm của mạng riêng ảo VPN

Đối với những bạn mới đi học, mới bước đi vào lĩnh vực Công Nghệ Thông Tin – CNTT, cho tới những người đi làm… chắc rằng họ đã nhiều lần nghe đến từ VPN, hay mạng riêng ảo, mạng cá nhân ảo… Vậy đích thực VPN là gì, ưu nhược điểm của VPN thế nào? Hãy cùng Quản Trị Mạng thảo luận về định nghĩa của VPN, cách ứng dụng mô hình, hệ thống này trong công việc nhé.

1. Mạng riêng ảo VPN là gì?

VPN là mạng riêng ảo, Virtual Private Network, là một công nghệ mạng giúp tạo kết nối mạng an toàn khi tham dự vào mạng công cộng như Internet hoặc mạng riêng do một hãng sản xuất công ty sở hữu. Các tập đoàn lớn, các cơ sở dạy dỗ và bộ phận chính phủ sử dụng công nghệ VPN để cấp phép người sử dụng từ xa kết nối an toàn đến mạng riêng của cơ quan mình.

1 hệ thống VPN cũng đều có thể kết nối được nhiều site khác nhau, dựa trên khu vực, diện tích địa lý… tượng tự như chuẩn Wide Area Network (WAN) . Bên cạnh đó, VPN còn được sử dụng để “khuếch tán”, mở rộng các loại hình Intranet nhằm truyền tải thông tin, dữ liệu tốt hơn. Ví dụ, các trường học vẫn bắt buộc phải dùng VPN để nối giữa các khuôn viên của trường (hoặc giữa các chi nhánh với trụ sở chính) lại với nhau.

Nếu muốn kết nối vào hệ thống VPN, thì mỗi 1 tài khoản đều phải được xác thực (phải có Username và Password ). Những tin tức xác thực tài khoản này được sử dụng để cấp quyền truy cập thông qua 1 dữ liệu – Personal Identification Number (PIN) , các mã PIN này thường chỉ có công năng trong một thời gian nhất định (30s hoặc 1 phút).

Khi kết nối máy tính hoặc một thiết bị khác chẳng hạn như điện thoại, máy tính bảng với một VPN, máy tính hoạt động giống như nó nằm trên cùng mạng nội bộ với VPN. Tất cả traffic trên mạng được gửi qua kết nối an toàn đến VPN. Nhờ đó, bạn cũng đều có thể truy cập an toàn đến các tài nguyên mạng nội bộ ngay khi khi đang ở rất xa.

Bạn cũng có thể sử dụng Internet giống như đang ở địa thế của của VPN, điều đó mang lại một số lợi ích khi dùng WiFi public hoặc truy cập trang web bị chặn, giới hạn địa lý.

Khi duyệt web với VPN, máy tính sẽ liên hệ với trang web thông qua kết nối VPN được mã hóa. Mọi yêu cầu, thông tin, dữ liệu trao đổi giữa bạn và website sẽ được truyền đi trong 1 kết nối an toàn. Nếu sử dụng VPN tại Hoa Kỳ để truy cập vào Netflix, Netflix sẽ thấy kết nối của bạn tới từ Hoa Kỳ.

Dù nghe có vẻ khá đơn giản, nhưng trên thực tế VPN lại được ứng dụng để làm biết bao thứ:

• Truy cập vào mạng doanh nghiệp khi ở xa: VPN thường được dùng bởi những doanh nhân để truy cập vào mạng lưới kinh doanh của họ, bao gồm mọi thứ tài nguyên trên mạng cục bộ, trong trong lúc đi trên đường, đi du lịch,… Các nguồn lực trong mạng nội bộ chẳng luôn phải tiếp xúc trực diện với Internet, nhờ đó làm tăng tính bảo mật.
• Truy cập mạng gia đình, dù không ở nhà: Bạn cũng có thể thiết lập VPN riêng để truy cập lúc không ở nhà. Thao tác này sẽ cho phép truy cập Windows từ xa thông qua Internet, sử dụng tập tin được chia sẻ trong mạng nội bộ, chơi game trên máy tính qua Internet giống như đang ở trong cùng mạng LAN.
• Duyệt web ẩn danh: Nếu đang sử dụng WiFi công cộng, duyệt web trên những trang web không phải https, thì tính an toàn của dữ liệu trao đổi trong mạng sẽ dễ bị lộ. Nếu muốn ẩn hoạt động duyệt web của mình để dữ liệu được bảo mật hơn thì bạn nên kết nối VPN. Mọi thông tin truyền qua mạng giờ đây sẽ được mã hóa.
• Truy cập đến những website bị chặn giới hạn địa lý, bỏ qua phê duyệt Internet, vượt tường lửa,…
• Tải tập tin: Tải BitTorrent trên VPN sẽ giúp tăng vận tốc tải file. Điều này cũng có ích với các traffic mà ISP của bạn cũng có thể có thể gây trở ngại.

2. Các giao thức thường dùng trong VPN

Các sản phẩm VPN thường co sự tiện lợi, tính hiệu quả và bảo mật rất đa dạng. Nếu bảo mật là một mối đoái hoài hàng đầu, thì một tổ chức càng phải chú ý đến các giao thức mà dịch vụ VPN hỗ trợ. Một số giao thức được dùng rộng rãi có những điểm yếu đáng quan ngại, khi đang những giao thức khác lại cung cấp khả năng bảo mật tiên tiến nhất. Những giao thức tốt nhất hiện nay là OpenVPN và IKEv2.

Tìm hiểu về các giao thức VPN

Bản chất của giao thức VPN là một tập hợp các giao thức. Có một số chức năng mà mọi VPN phải giải quyết được:

– Tunnelling (kỹ thuật truyền dữ liệu qua nhiều mạng có giao thức khác nhau) – Chức năng cơ bản của VPN là phân phối các gói (packet) từ điểm này tới điểm khác mà không để lộ chúng cho bất kỳ ai trên đường truyền. Để làm điều này, VPN đóng gói tất cả dữ liệu theo định dạng mà cả máy khách và máy chủ đều hiểu được. Bên gửi dữ liệu đặt chúng vào định dạng tunnelling và bên nhận trích xuất để có được thông tin.

– Mã hóa : Tunnelling không cung cấp tính năng bảo vệ. Bất cứ ai cũng cũng đều có thể trích xuất dữ liệu. Dữ liệu cũng luôn phải phải được mã hóa trên đường truyền. Bên nhận sẽ biết cách giải mã dữ liệu từ một người gửi nhất định.

– Xác thực . Để bảo mật, VPN phải xác nhận danh tính của bất kỳ client nào gắng gượng “giao tiếp” với nó. Client cần xác nhận rằng nó đã đến đúng máy server dự định.

– Quản lý phiên : Một khi người sử dụng được xác thực, VPN cần duy trì phiên để client có thể tiếp tục “giao tiếp” với nó trong một khoảng thời gian.

Nói chung các giao thức VPN coi việc tạo tunnel, xác thực và quản lý phiên như một gói. Điểm yếu trong bất kỳ chức năng nào đều là những lỗ hổng bảo mật tiềm ẩn trong giao thức. Mã hóa là một chuyên ngành, nó cũng tương đối khó, nên thay vì gắng gượng tạo nên cái mới, các VPN thường sử dụng phối hợp nhiều giao thức mã hóa đáng tin cậy. Dưới đây là những giao thức VPN phổ biến và độ mạnh yếu của chúng.

Những giao thức yếu

Point-To-Point Tunneling Protocol (PPTP)

Giao thức cũ nhất vẫn đang được dùng là PPTP (Point-to-Point Tunneling Protocol). PPTP lần trước mắt được sử dụng vào năm 1995. PPTP chẳng những định giao thức mã hóa nhưng cũng đều có thể sử dụng một số giao thức như MPPE-128 mạnh mẽ. Việc thiếu sự tiêu chuẩn hóa về giao thức mạnh là một rủi ro, vì nó chỉ cũng có thể có thể sử dụng tiêu chuẩn mã hóa mạnh nhất mà cả hai phía cùng hỗ trợ. Nếu một hướng chỉ bổ trợ tiêu chí yếu hơn thì kết nối phải sử dụng mã hóa yếu hơn người dùng mong đợi.

Tuy nhiên, vấn đề thực sự với PPTP là qui trình xác thực. PPTP sử dụng giao thức MS-CHAP, cũng đều có thể đơn giản bị crack trong giai đoạn hiện nay. Kẻ tiến công có thể đăng nhập và mạo xưng người sử dụng được ủy quyền.

IP security (IPSec)

Được dùng để làm bảo mật các giao tiếp, các luồng dữ liệu trong môi trường Internet (môi trường bên phía ngoài VPN). Đây là điểm mấu chốt, lượng traffic qua IPSec được sử dụng chủ đạo bởi các Transport mode , hoặc các tunnel (hay xem là hầm – định nghĩa này hay dùng trong Proxy, SOCKS) để MÃ HÓA dữ liệu trong VPN.

• Proxy là gì?
• SOCKS là gì?

Sự khác biệt giữa các mode này là:

• Transport mode chỉ có nhiệm vụ mã hóa dữ liệu bên trong các gói (data package – hoặc còn biết dưới từ payload). Trong lúc các Tunnel mã hóa toàn bộ các data package đó.

Do vậy, IPSec thường được coi là Security Overlay , chính vì IPSec dùng các lớp bảo mật so với các Protocol khác.

L2TP

Giao thức L2TP thường hoạt động với thuật toán mã hóa IPSec. Nó khỏe hơn đáng kể so với PPTP nhưng vẫn khiến người dùng lo ngại. Lỗ hổng chính trong L2TP/IPSec là phương thức trao đổi khóa công khai (public key). Trao đổi khóa công khai Diffie-Hellman là cách để hai bên hợp đồng về khóa mã hóa kế đến và không có bất kì ai được biết về khóa này. Có một phương pháp cũng đều có thể “bẻ khóa” quá trình này, đòi hỏi sức mạnh điện toán khá lớn, nhưng sau đó nó cấp phép truy cập vào mọi thứ các giao tiếp trên một VPN nhất định.

Secure Sockets Layer (SSL) và Transport Layer Security (TLS)

Có 1 phần tương tự như IPSec, 2 giao thức trên cũng dùng mật khẩu để đáp ứng an toàn giữa các kết nối trong môi trường Internet.

Mô hình SSL VPN

Bên cạnh đó, 2 giao thức trên còn sử dụng chế độ Handshake – có liên quan đến qui trình xác thực tài khoản giữa client và server. Để 1 kết nối được coi là thành công, qui trình xác thực này sẽ dùng đến các Certificate – chính là các khóa xác thực tài khoản được lưu giữ trên cả server và client.

Những giao thức có bảo mật tốt hơn

IKEv2 (Internet Key Exchange)

IKEv2 (Internet Key Exchange) được xếp hạng bảo mật cao trong các các giao thức hiện tại. IKEv2 sử dụng IPSec tunnelling và có nhiều lựa chọn giao thức mã hóa. IKEv2 được sử dụng với mã hóa AES-256 nên cực khó bị bẻ khóa. IKEv2 sử dụng tính năng xác thực dựa trên chứng thư hùng cường và có thể sử dụng thuật toán HMAC để xác minh tính toàn vẹn của dữ liệu được truyền. IKEv2 hỗ trợ giao tiếp nhanh và đặc biệt hùng cường trong việc duy trì phiên, ngay khi khi kết nối Internet bị gián đoạn. Windows, MacOS, iOS và Android đều bổ trợ IKEv2. Một số tiến hành mã nguồn mở cũng đều có sẵn.

Phiên bản 1 của giao thức được giới thiệu vào năm 1998 và phiên bản 2 vào năm 2005. IKEv2 không phải là một trong những giao thức mới nhất, nhưng được duy trì rất tốt.

SSTP (Secure Socket Tunneling Protocol)

SSTP (Secure Socket Tunneling Protocol) là 1 mặt hàng của Microsoft, được hỗ trợ chủ đạo trên Windows. Khi được sử dụng với mã hóa AES và SSL, SSTP cung cấp tính năng bảo mật tốt, xét về mặt lý thuyết. Hiện tại chưa tìm thấy lỗ hổng nào của SSTP nhưng rất cũng có thể 1 điều yếu nào kia vẫn tồn tại.

Một vấn đề thực tiễn với SSTP là sự bổ trợ hạn chế trên các hệ thống không phải Windows.

OpenVPN

OpenVPN là một bộ giao thức mở, cung cấp tính năng bảo mật hùng mạnh và đã trở nên rất phổ biến. OpenVPN được phát hành lần đầu tiên vào năm 2001 theo giấy phép GPL. OpenVPN có mã nguồn mở, nên việc kiểm tra lỗ hổng được bảo đảm. Chức năng mã hóa của OpenVPN thường sử dụng thư viện OpenSSL. OpenSSL bổ trợ nhiều thuật toán mã hóa, kể cả AES.

Không có bất kỳ sự hỗ trợ nào cho OpenVPN ở cấp hệ điều hành, nhưng nhiều gói cho dù là các OpenVPN client của riêng chúng.

Việc có được sự bảo mật nhất với một giao thức yêu cầu các quản trị viên phải xử lý 1 cách chính xác. Cộng đồng OpenVPN cung cấp các khuyến nghị để tăng cường bảo mật cho OpenVPN.

SoftEther (Software Ethernet)

SoftEther (Software Ethernet) là một chiếc tên mới, lần đầu tiên ra mắt vào năm 2014. Giống như OpenVPN, SoftEther cũng đều có mã nguồn mở. SoftEther hỗ trợ các giao thức mã hóa mạnh nhất, cho dù là AES-256 và RSA 4096-bit. SoftEther cung cấp vận tốc giao tiếp lớn hơn so với đa số các giao thức, bao gồm OpenVPN, ở một tốc độ dữ liệu nhất định. Nó không bổ trợ hệ điều hành riêng nhưng có thể được cài đặt trên rất nhiều hệ điều hành, bao gồm Windows, Mac, Android, iOS, Linux và Unix.

Là một giao thức mới, SoftEther chưa được bổ trợ nhiều như 1 số giao thức khác. SoftEther không tồn tại đủ lâu như OpenVPN, vì vậy người sử dụng chưa xuất hiện nhiều thời gian để kiểm tra các điểm yếu có thể xuất hiển thị trên giao thức này. Tuy nhiên, SoftEther là một ứng viên nặng ký cho bất kỳ ai cần chuyên sâu bảo mật hàng đầu.

Vậy nên lựa chọn giao thức nào?

Câu hỏi “Giao thức nào an toàn nhất?” không dễ để đưa ra câu trả lời. IKEv2, OpenVPN và SoftEther đều là những ứng cử viên mạnh. OpenVPN và SoftEther có lợi thế là mã nguồn mở. IKEv2 có các tiến hành mã nguồn mở nhưng cũng có thể có những triển khai độc quyền. Ưu điểm bảo mật chính của IKEv2 là dễ cài đặt, giảm nguy cơ lỗi cấu hình. SoftEther cung cấp bảo mật rất tốt, nhưng người sử dụng chưa xuất hiện nhiều thời gian trải nghiệm với SoftEther như với hai giao thức còn lại, nên rất cũng có thể SoftEther còn tồn tại những vấn đề mà người sử dụng chưa phát giác ra.

Code của OpenVPN đã xuất hiện trong lâu năm để các chuyên gia bảo mật kiểm tra. OpenVPN được dùng rộng rãi và bổ trợ các giao thức mã hóa mạnh nhất. Việc đem ra quyết định cuối cùng còn cần xem xét những yếu tố khác, chẳng hạn như sự thuận lợi và tốc độ, hay vấn đề bảo mật có phải là điều quan tâm lớn số 1 hay không.

3. Ưu điểm, nhược điểm của VPN

Lý thuyết là như vậy, còn khi áp dụng vào thực tiễn thì VPN sẽ được những ưu, yếu điểm như thế nào. Mời các bạn tiếp tục thảo luận với Quản Trị Mạng.

Để xây dựng 1 hệ thống mạng riêng, mạng cá nhân ảo thì dùng VPN là 1 biện pháp không hề tốn kém. Chúng ta có thể mường tượng thế này, môi trường Internet là cầu nối, giao tiếp chính để truyền tải dữ liệu, đánh giá về mặt kinh phí thì nó hoàn toàn hợp lý so với việc trả tiền để thiết lập 1 đường kết nối riêng với mức giá thành cao. Bên cạnh đó, việc phải sử dụng hệ thống phần mềm và phần cứng nhằm hỗ trợ cho công đoạn xác thực tài khoản cũng không phải là rẻ. Việc đối chiếu sự tiện lợi mà VPN đem lại cùng theo với chi phí bỏ ra để bạn tự thiết lập 1 hệ thống như ý muốn, rõ ràng VPN chiếm ưu thế hơn hẳn.

Nhưng cạnh bên đó, có yếu điểm rất dễ nhận biết như:

VPN không có khả năng quản lý Quality of Service (QoS) qua môi trường Internet, do vậy các gói dữ liệu – Data package vẫn có nguy cơ bị thất lạc, rủi ro. Khả năng quản lý của các dịch vụ cung cấp VPN là có hạn, không ai có thể ngờ trước được những gì rồi cũng đều có thể diễn ra với khách hàng của họ, hay nói ngắn gọn là bị hack đó.

Tham khảo thêm các bài sau đây:

• Lý thuyết – Proxy là gì?
• Hướng dẫn thiết lập FTP Server cá nhân bằng FileZilla
• Hướng dẫn thiết lập FTP Server cá nhân bằng FileZilla

Hy vọng bài viết trên hữu ích với bạn!

VPN là gì,VPN,mạng riêng ảo VPN,các giao thức VPN,hoạt động,mạng cá nhân ảo,mạng riêng ảo,what is vpn,IPSec VPN,TLS vpn,SSL vpn,PPTP vpn,công nghệ VPN,ưu điểm mạng VPN

Nội dung VPN là gì? Ưu nhược điểm của mạng riêng ảo VPN được tổng hợp sưu tầm biên tập bởi: Tin Học Trường Tín. Mọi ý kiến vui lòng gửi Liên Hệ cho truongtin.top để điều chỉnh. truongtin.top tks.