Hotline: 098 821 7749 info@acinternational.com.vn
Facebook Google+ Twitter Youtube

Xu hướng CNTT

Xem tất cả

VPN là gì?

07/09/2020 - 03:15 PM
Cỡ chữ
VPN là gì?
 

Nội dung bài viết:
 
1. VPN là gì?
2. Cách tạo VPN
3. Các thành phần VPN
4. Ưu điểm của VPN
5. Nhược điểm của VPN


 
1. VPN là gì?
- VPN là viết tắt của Virtual Private Network, dịch sang tiếng Việt là Mạng riêng ảo. Đây là một phương pháp mà hai điểm cuối (End-points) tạo ra một kết nối riêng tư (Private Connection) hoặc đường hầm (Tunnel) trong khi sử dụng cơ sở hạ tầng mạng lớn hơn như internet hoặc mạng diện rộng (WAN - Wide Area Network). Khi được thiết lập, VPN hoạt động giống như một kết nối trực tiếp đến một mạng riêng.
 
- Bản thân VPN chỉ đơn giản hoạt động giống như một giao diện mạng (Network Interface) đối với máy khách (Client) và làm trong suốt hệ điều hành, ứng dụng và người dùng truy cập mạng VPN. Do đó, các ứng dụng, tin nhắn và người dùng đều có thể sử dụng kết nối bình thường mà không cần hiểu cách thức hoạt động của VPN.




2. Cách tạo VPN
- Một VPN truyền thống yêu cầu hai điểm cuối. Một là điểm cuối từ xa và điểm kia là điểm cuối cục bộ. Để tạo kết nối VPN, cả hai điểm cuối phải được thiết lập (set up) và cấu hình (configure) để gửi và nhận dữ liệu bằng giao thức VPN. Có nhiều cách khác nhau để triển khai chức năng VPN bao gồm các ứng dụng khách của bên thứ ba (Third-party clients), chức năng hệ điều hành tích hợp sẵn (built-in OS functionality) và triển khai dựa trên mạng (network-based implementations). Trong mọi trường hợp, VPN trên cả hai điểm cuối phải khớp hoặc hỗ trợ phương pháp luận VPN được sử dụng trên điểm cuối kia.
 
- Khi cả hai điểm cuối đã được thiết lập và cấu hình, chúng sẽ tạo ra một kết nối gọi là đường hầm VPN (VPN tunnel). Kết nối có thể luôn được bật hoặc được kích hoạt bởi người dùng hoặc các sự kiện nhất định.
 
Các loại VPN (Types of VPN)

- Remote client
  • Một dạng VPN phổ biến cho phép người dùng từ xa (remote user), cho dù là nhân viên, sinh viên hay người dùng được ủy quyền khác, truy cập vào mạng cục bộ (LAN – Local Networks) riêng trên một mạng công cộng (Public Network). Trong loại VPN này, người dùng từ xa phải cài đặt và định cấu hình máy khách VPN (gọi là VPN client) để kết nối với cổng VPN (gọi là VPN gateway) trên mạng cục bộ. Những ví dụ bao gồm:
    • Một nhân viên từ xa kết nối với mạng công ty từ một vị trí từ xa thông qua internet và truy cập dữ liệu và ứng dụng như thể chúng được nối trực tiếp vào mạng.
    • Một sinh viên đã kết nối với mạng trong khuôn viên trường bằng cách sử dụng kết nối VPN để kết nối với mạng độc lập của thiết bị thí nghiệm, cho phép truy cập an toàn vào máy móc và dữ liệu trên mạng nhỏ hơn.
 
- Site-to-site
  • Một dạng VPN được sử dụng rộng rãi khác cho phép kết nối kiểu WAN giữa hai trang web khác nhau bằng cách sử dụng mạng công cộng như internet thay vì phải tốn kém và khó khăn khi cài đặt kết nối trực tiếp, riêng tư. Trong kiểu thiết lập VPN này, người dùng không cần thiết lập hoặc cấu hình các máy khách VPN. Thay vào đó, kết nối từ xa được chuyển hướng thông qua hai máy chủ VPN (VPN Server). Mỗi máy chủ VPN hoạt động như một máy chủ cho tất cả các máy khách và như một điểm cuối của máy chủ VPN từ xa. Trong loại VPN này, chỉ có VPN Gateway yêu cầu triển khai VPN. Tuy nhiên, để sử dụng kết nối, người dùng cuối phải được kết nối trực tiếp với một trong các mạng cục bộ (LAN) được kết nối với VPN Gateway.
 
- Client-to-provider 
  • Một hình thức VPN ngày càng phổ biến, trong đó người dùng kết nối với nhà cung cấp VPN (gọi là VPN provider), Nhà cung cấp VPN này được kết nối với internet. Người dùng phải cài đặt và định cấu hình máy khách VPN clients để kết nối với máy chủ VPN server từ xa của nhà cung cấp VPN. Khi được thiết lập, kết nối VPN này cung cấp một đường hầm ảo (gọi là Virtual Tunnel), an toàn cho nhà cung cấp, sau đó nhà cung cấp sẽ mở gói và chuyển tiếp gói tin này ra ngoài internet. Trong thiết kế này, kết nối VPN chỉ tồn tại cho phần đầu tiên của kết nối và không phải tất cả toán bộ kết nối giữa hai người dùng cuối.
 
  • Ví dụ:
    • Ví dụ chính về loại kết nối VPN này là người dùng từ xa sử dụng mạng Wi-Fi không an toàn, chẳng hạn như mạng tại quán cà phê, sân bay hoặc khách sạn. Để ngăn một bên gần đó chặn giao tiếp không an toàn qua mạng không dây, người dùng có thể thiết lập kết nối VPN với nhà cung cấp VPN chuyển tiếp lưu lượng truy cập đến internet. Lưu lượng truy cập không dây cục bộ dễ bị chặn được mã hóa toàn bộ tới nhà cung cấp, người này sau đó có thể kết nối an toàn với internet, khiến cho kẻ trộm hoặc kẻ trung gian ít có khả năng tấn công hơn.
    • Ví dụ chính khác của loại VPN này là dành cho những người quan tâm đến quyền riêng tư. Ở nhiều quốc gia, bao gồm cả các phán quyết gần đây ở Hoa Kỳ, nhà cung cấp internet được phép đăng nhập và sử dụng thông tin về nơi người dùng kết nối và những gì người dùng làm sau khi kết nối. Là nhà cung cấp dịch vụ internet ISP (Internet Service Provider) của người dùng, họ sẽ có quyền truy cập vào bất kỳ lưu lượng truy cập không được mã hóa nào từ người dùng. Bằng cách kết nối với nhà cung cấp VPN, lưu lượng được gửi qua kết nối ISP của người dùng sẽ được mã hóa. Về mặt lý thuyết, nhà cung cấp VPN có thể ghi lại và sử dụng lưu lượng truy cập của người dùng tại thời điểm này, do đó chuyển mối quan tâm về quyền riêng tư từ nơi này sang nơi khác. Tuy nhiên, vì quyền riêng tư như vậy là chìa khóa bán hàng chính của nhà cung cấp VPN, nên khả năng xâm phạm như vậy sẽ ít hơn.
    • Một số người dùng có các hạn chế về việc sử dụng internet của họ dưới hình thức hạn chế của chính phủ, chặn trang web của nhà tuyển dụng hoặc sinh viên hoặc thậm chí là các hạn chế về địa lý nơi dữ liệu chỉ có thể truy cập cho người dùng từ các khu vực nhất định. Kết nối VPN có thể bỏ qua một số hạn chế này trong một số trường hợp nhất định. Ví dụ: một sinh viên bị trường của họ chặn YouTube có thể truy cập trang web bằng cách kết nối trước với nhà cung cấp VPN. Vì trường học không có cách nào để biết lưu lượng truy cập đi đâu sau khi nó đi đến VPN, nên trường không thể chặn lưu lượng. Tuy nhiên, trường có thể chặn nhà cung cấp VPN.
 
 
3. Các thành phần VPN
- VPN hoạt động bằng cách thiết lập kết nối điểm-điểm (Point-to-point), an toàn giữa máy khách từ xa và máy chủ VPN được kết nối với mạng đích (Target Network). Sau khi được thiết lập, kết nối VPN sẽ đóng gói và mã hóa cả dữ liệu và tiêu đề IP (IP header) được sử dụng để định tuyến trên mạng cục bộ phía sau điểm cuối từ xa. Một tiêu đề IP được thiết kế để định tuyến qua mạng công cộng, không an toàn được thêm vào và sau đó dữ liệu đã sẵn sàng để vận chuyển.
 
- VPN Clients (Ứng dụng dành cho máy khách VPN)
  • Standalone VPN clients (Ứng dụng VPN client độc lập)
    • Các máy khách VPN độc lập yêu cầu cài đặt phần mềm trên một hoặc cả hai điểm cuối. Phần mềm được cấu hình để phù hợp với các yêu cầu của điểm cuối khác. Để thiết lập kết nối VPN, điểm cuối phải chạy phần mềm VPN client và kết nối với điểm cuối kia.
    • Các máy khách VPN độc lập thường phổ biến trên các dịch vụ VPN công cộng (Public VPN Services). Thông thường, người dùng tải xuống ứng dụng khách của dịch vụ VPN để kết nối với VPN công cộng.
 
  • OpenVPN (Ứng dụng VPN client mã nguồn mở)
    • Một trong những ứng dụng VPN client mã nguồn mở nổi tiếng nhất, OpenVPN, chạy trên MacOS, Windows và Linux, cũng như trên Android và iOS. Ngoài ra, nó cũng tương thích với các nhà cung cấp dịch vụ điện toán đám mây lớn như AWS hoặc Azure. Nhiều nhà cung cấp dịch vụ VPN công cộng loại site-to-provider sử dụng OpenVPN trong các ứng dụng khách của họ bao gồm truy cập internet riêng tư “Private Internet Access”, cũng như ứng dụng khách riêng của OpenVPN và các ứng dụng khách khác như NordVPN.
 
  • Built-in OS VPN Clients (Ứng dụng VPN client được tích hợp với hệ điều hành)
    • Hầu hết các hệ điều hành hiện đại, bao gồm Windows, iOS, MacOS, Android và Linux, cho phép kết nối với máy chủ VPN từ xa, miễn là thiết bị đầu cuối từ xa hỗ trợ cùng một giao thức và cấu hình VPN. Những máy khách này thường không dễ dàng cấu hình bởi những người không am hiểu kỹ thuật. Do đó, chúng thường được sử dụng nhiều nhất trong môi trường doanh nghiệp nơi các chuyên gia CNTT có thể thiết lập, cấu hình và duy trì cài đặt máy khách cũng như các máy chủ VPN mà máy khách kết nối ở đầu bên kia.
 
- VPN server (Ứng dụng dành cho máy chủ VPN)
  • Điểm cuối từ xa kết nối với máy chủ VPN, máy chủ này hỗ trợ máy khách VPN và cấu hình trên hệ thống từ xa. Thông thường, máy chủ VPN hoạt động giống như một cổng vào (Gateway) và bộ định tuyến (Router) ở rìa của mạng cục bộ được truy cập hoặc trong trường hợp thiết lập từ máy khách đến nhà cung cấp, ở rìa của Internet.
 
  • Máy chủ chịu trách nhiệm mở gói và đóng gói lại chúng để phân phối vào mạng cục bộ hoặc internet. Mọi phản hồi hoặc kết nối quay trở lại điểm cuối từ xa sẽ được gửi từ mạng cục bộ hoặc internet tới máy chủ VPN, sau đó sẽ đảo ngược quá trình, đóng gói các gói tin và gửi chúng trở lại điểm cuối.
 
- Tunneling protocol (Giao thức đường hầm)
  • Để kết nối trong một mạng công cộng, VPN phải thiết lập và sử dụng kết nối bình thường, không phải VPN trong ngữ cảnh của mạng đó. Điều này được thực hiện nhờ một giao thức đường hầm. Một giao thức đường hầm bao bọc mỗi gói tin được truyền đi để nó có thể được đọc và truyền qua mạng không riêng tư. Quá trình này được gọi là đóng gói (Encapsulation).
  • Điểm cuối tạo ra một gói tin, gói tin này sẽ được truyền trên mạng riêng sau điểm cuối tương ứng của nó. Gói tin đó chứa các tiêu đề và dữ liệu khác để đến đích. Tuy nhiên, dữ liệu đó được đóng gói bởi giao thức đường hầm, biến tất cả các tiêu đề và siêu dữ liệu mạng cục bộ thành một phần của dữ liệu truyền tải. Khi gói tin được truyền đi, mạng công cộng chỉ đọc thông tin bao bọc để xác định cách thức truyền gói tin, di chuyển nó qua mạng công cộng giống như bất kỳ lưu lượng nào khác. Khi gói tin này đến điểm cuối khác, giao thức đường hầm trên điểm cuối đó sẽ tách phần thông tin bao bọc và đóng gói lại gói tin bằng cách sử dụng dữ liệu và tiêu đề truyền ban đầu, cho phép nó di chuyển qua mạng cục bộ giống như bất kỳ lưu lượng mạng cục bộ nào khác. Quá trình được đảo ngược đối với bất kỳ lưu lượng truy cập quay lại nào.
  • Ví dụ: một điểm cuối là một phần của VPN được thiết lập từ một văn phòng từ xa đến một văn phòng khác bằng cách sử dụng internet sẽ tạo một gói tin để truyền trên mạng cục bộ từ xa, bao gồm cả địa chỉ IP cục bộ. Sau đó máy khách VPN sẽ đóng gói gói tin đó bằng cách biến các tiêu đề truyền tải thành một phần của thông tin dữ liệu của gói tin. Nó sẽ lấy gói tin kết quả và bọc nó bên trong một gói tin Internet TCP / IP tiêu chuẩn. Đối với thiết bị và các nút trên mạng công cộng, việc truyền VPN trông giống như các gói tin TCP / IP điển hình và được truyền giống nhau. Khi đến điểm cuối, máy khách VPN sẽ loại bỏ các tiêu đề TCP / IP công cộng, lấy thông tin truyền ban đầu từ dữ liệu truyền tải của gói tin và tạo một gói tin bằng cách sử dụng thông tin truyền cục bộ đó để gửi trên mạng cục bộ.


 
4. Ưu điểm của VPN
- Kết nối VPN cung cấp một số lợi thế, bao gồm quyền riêng tư và bảo mật.
 
- Bảo mật (Security)
  • Các kết nối VPN được mã hóa. Nếu bất kỳ dữ liệu nào bị chặn, kẻ tấn công sẽ không thể đọc được. Trong khi dữ liệu được mã hóa, đúng là các tiêu đề IP bên trong các gói tin cũng được mã hóa, từ chối kẻ tấn công ngay cả khả năng sử dụng dữ liệu mạng điển hình để tìm các vectơ tấn công bổ sung.
 
- Đảm bảo quyền riêng tư (Privacy)
  • Nhiều kết nối VPN không chỉ được sử dụng để bảo mật mà còn để cung cấp quyền riêng tư cho kết nối. Các phán quyết gần đây của FCC cho phép các ISP của Mỹ ghi nhật ký và theo dõi thông tin liên lạc của khách hàng của họ. Việc sử dụng thông tin này gây ra khó chịu nhất định, chẳng hạn như quảng cáo và tiếp thị, cho đến vấn đề pháp lý, chẳng hạn như danh sách tất cả các trang web đã truy cập được cung cấp cho các cơ quan chính phủ hoặc các nhóm tranh chấp, chẳng hạn như các công ty âm nhạc và điện ảnh.
 
  • Kết nối VPN không chỉ ẩn dữ liệu được truyền mà còn là điểm đến cuối cùng của các kết nối. Đối với một trang web từ xa, địa chỉ IP của khách hàng cuối dường như là địa chỉ IP của VPN, ngăn chặn bất kỳ sự theo dõi nào của người dùng. Đối với ISP của người dùng, địa chỉ IP đích cũng có vẻ là địa chỉ IP của VPN, ngăn chặn việc theo dõi nơi người dùng kết nối trong khi sử dụng kết nối của ISP. Việc ẩn địa chỉ IP thực của người dùng cũng ngăn cản khả năng xác định vị trí thực của người dùng.
 
- Vượt qua các rào cản theo địa lý (Geographic blocking)
  • Một số dịch vụ và ứng dụng chỉ có sẵn cho người dùng ở một số vùng địa lý nhất định. Đôi khi, các giới hạn này là do các vấn đề pháp lý như bản quyền và quyền riêng tư. Trong một số trường hợp, kết nối VPN có thể cho phép vượt qua các rào cản giới hạn này. Bằng cách kết nối với dịch vụ VPN ở một vị trí khác, dịch vụ đích sẽ giả định rằng kết nối đến từ vị trí của nhà cung cấp VPN, không phải vị trí của người dùng ban đầu và cho phép truy cập. Vì lý do này, các dịch vụ VPN là bất hợp pháp ở một số quốc gia.
 
 
5. Nhược điểm của VPN
- Tốc độ chậm (Speed)
  • Kết nối VPN về cơ bản là một điểm dừng bổ sung trên đường mà tất cả dữ liệu phải sử dụng. Bên cạnh đó, việc mã hóa để bảo mật dữ liệu cần thêm thời gian. Do đó, mọi kết nối VPN sẽ chậm hơn một chút.
  • Tốc độ của kết nối VPN phụ thuộc vào tốc độ của tốc độ kết nối của cả hai điểm cuối. Ví dụ: người dùng truy cập mạng công ty qua VPN bị giới hạn ở mức độ chậm nhất của kết nối từ người dùng đến internet, kết nối internet với máy chủ VPN và kết nối của máy chủ VPN với tài nguyên được truy cập.
  • Tương tự như vậy, người dùng sử dụng VPN để truy cập từ máy khách đến internet có thể có kết nối gigabit trực tiếp đến ISP của họ, nhưng nếu kết nối VPN với internet không cung cấp cùng kết nối gigabit cho người dùng đó, thì kết nối tổng thể sẽ, lúc tối đa, nhanh như kết nối được cung cấp giữa VPN và internet.
  • Nhà cung cấp VPN chậm có thể dẫn đến giảm băng thông đáng kể. Hầu hết các dịch vụ VPN trả phí đảm bảo một băng thông nhất định trong SLA của họ.

- Giao tiếp điểm - điểm (Point-to-point communication)
  • Theo thiết kế, VPN là một kiểu kết nối điểm - điểm. Do đó, bất kỳ loại quảng bá hoặc phát đa hướng nào sẽ không thể sử dụng được bởi điểm cuối của VPN. Trong khi hầu hết các ứng dụng và hệ điều hành đã rời xa các loại mạng này, đặc biệt là vẫn có những ứng dụng cũ hơn trong môi trường doanh nghiệp, dựa vào chúng và sẽ không thể sử dụng được trên VPN.
 
 
Dịch: N.V.Hùng
 
Về trang trước
In trang

Các bài viết liên quan

Zalo Hotline