Một mạng riêng ảo (Virtual Private Network) là sự mở rộng của mạng nội bộ bằng cách kết hợp thêm với các kết nối thông qua các mạng chia sẻ hoặc mạng công cộng như Internet. Tính bảo mật trong VPN đạt được thông qua "đường hầm" (tunneling) bằng cách đóng gói thông tin trong một gói IP khi truyền qua Internet. Thông tin sẽ được giải mã tại đích đến bằng cách loại bỏ gói IP để lấy ra thông tin ban đầu. Có bốn giao thức đường hầm (tunneling protocols) phổ biến thường được sử dụng trong VPN, mỗi một trong chúng có ưu điểm và nhược điểm riêng. Chúng ta sẽ xem xét và so sánh chúng dựa trên mục đích sử dụng.
PPTP PPTP-Giao thức Point-to-Point Tunneling là sự mở rộng của giao thức Internet chuẩn Point-to-Point (PPP) và sử dụng cùng kiểu xác thực như PPP (PAP, SPAP, CHAP, MS-CHAP, EAP). Là phương pháp VPN được hỗ trợ rộng rãi nhất giữa các máy trạm chạy Windows. PPTP thiết lập đường hầm (tunnel) nhưng không mã hóa. Ưu điểm khi sử dụng PPTP là nó không yêu cầu hạ tầng mã khóa công cộng (Public Key Infrastructure). L2TP Giao thức Layer 2 Tunneling Protocol (L2TP) kết hợp các đặc điểm của cả PPTP và giao thức Layer 2 Forwarding (L2F). Một trong các ưu việt của L2TP so với PPTP là có có thể sử dụng trên các mạng ATM, frame relay và X.25. Giống như PPTP, L2TP hoạt động tại lớp liên kết dữ liệu (data link layer) của mô hình mạng OSI. L2TP yêu cầu sử dụng chứng chỉ số (digital certificates). Xác thực người dùng có thể được thực hiện thông qua cùng cơ chế xác thực PPP tương tự như PPTP. L2TP có một vài ưu điểm so với PPTP. PPTP cho bạn khả năng bảo mật dữ liệu, nhưng L2TP còn tiến xa hơn khi cung cấp thêm khả năng đảm bảo tính toàn vẹn dữ liệu (bảo vệ chống lại việc sửa đổi dữ liệu trong khoảng thời gian nó di chuyển từ người gửi đến người nhận, khả năng xác thực nguồn gốc (xác định người dùng đã gửi dữ liệu có thực sự đúng người), và khả năng bảo vệ chống gửi lại – replay protection (chống lại việc hacker chặn dữ liệu đã được gửi, ví dụ thông tin quyền đăng nhập (credentials), rồi sau đó gửi lại (replay) chính thông tin đó để bẫy máy chủ. Mặt khác, do liên quan đến cung cấp các khả năng bảo mật mở rộng làm cho L2TP chạy chậm hơn chút ít so với PPTP. IPSec IPsec được tích hợp trong rất nhiều giải pháp VPN "tiêu chuẩn", đặc biệt trong các giải pháp VPN gateway-to-gateway (site-to-site) để nối 2 mạng LAN với nhau. IPsec hoạt động tại network layer (Layer 3) trong mô hình OSI. IPSec trong chế độ đường hầm bảo mật các gói tin trao đổi giữa hai gateway hoặc giữa máy tính trạm và gateway. Như tên của nó, IPsec chỉ hoạt động với các mạng và ứng dụng dựa trên nền tảng IP (IP-based network). Giống như PPTP và L2TP, IPsec yêu cầu các máy tính trạm VPN phải được cài đặt sẵn phần mềm VPN client. Việc xác thực được thực hiện thông qua giao thức Internet Key Exchange (IKE) hoặc với chứng chỉ số (digital certificates) đây là phương thức bảo mật hơn hoặc thông qua khóa mã chia sẻ (preshared key). IPSec VPN có thể bảo vệ chống lại hầu hết các phương pháp tấn công thông dụng bao gồm Denial of Service (DoS), replay, và "man-in-the-middle". Rất nhiều nhà cung cấp đã tích hợp đặc tính "quản lý máy khách" trong các phần mềm máy khách VPN của họ, cho phép thiết lập các chính sách truy cập liên quan ví dụ như yêu cầu máy khách phải được cài đặt phần mềm chống virus hoặc cài đặt phần mềm tường lửa cá nhân như là điều kiện để cho phép truy cập vào VPN gateway. SSL Một công nghệ VPN đang phát triển nhanh chóng và trở nên phổ biến là Secure Sockets Layer (SSL) VPN. SSL VPN còn được gọi là giải pháp "clientless". Điều này cũng có nghĩa là các giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn. Dù sao, điều này cũng đem lại một lợi thế về bảo mật. Với SSL VPN, thay vì cho phép VPN client truy xuất vào toàn bộ mạng hoặc một mạng con (subnet) như với IPsec, có thể hạn chế chỉ cho phép truy xuất tới một số ứng dụng cụ thể. Nếu một ứng dụng mà bạn muốn họ truy cập không phải là là loại ứng dụng dựa trên trình duyệt (browser-based), thì cần phải tạo ra một plug-ins Java hoặc Active-X để làm cho ứng dụng đó có thể truy xuất được qua trình duyệt. SSL VPN hoạt động ở session layer – cao hơn IPsec trong mô hình OSI. Điều này cho nó khả năng điều khiển truy cập theo khối tốt hơn. SSL VPN sử dụng chứng chỉ số (digital certificates) để xác thực server. Mặc dù các phương pháp khác cũng có thể áp dụng, nhưng sử dụng chứng chỉ số được ưa chuộng vì khả năng bảo mật cao nhất. Dù cho không cần phần mềm VPN client trên máy khách (ngoại trừ trình duyệt Web), SSL VPN gateways vẫn có thể cung cấp các tiện ích "quản lý máy khách " bằng cách buộc trình duyệt phải chạy các applets, ví dụ để kiểm tra xem đã có phần mềm anti-virus hoạt động hay chưa trước khi kết nối VPN được thiết lập. Kết luận Bốn công nghệ VPN phổ biến nhất được sử dụng là PPTP, L2TP, IPSec and SSL. Mỗi một trong chúng đều có ưu và nhược điểm riêng, do vậy điều quan trọng là bạn phải làm quen với các đặc điểm của từng loại, rồi kết hợp với nhu cầu của người dùng để ra quyết định lựa chọn. |
