BỘ GIÁO DỤC VÀ ĐÀO TẠO

TRƯỜNG ĐẠI HỌC NHA TRANG

KHOA CÔNG NGHỆ THÔNG TIN

CHUYÊN ĐỀ TỐT NGHIỆP

VPN cho thiết bị IoT

Giảng viên hướng dẫn: Cấn Thị Phượng

Sinh viên thực hiện: Nguyễn Tiến Dũng

Mã số sinh viên: 58131274

Khánh Hòa – 2020

1
Mục lục:
Phần mở đầu.........................................................................................................................................3
Chương 1: Tổng quan vấn đề nghiên cứu:.........................................................................................4
1.1. Mục tiêu và phương pháp nghiên cứu:........................................................................................4
1.1.1. Mục tiêu:.................................................................................................................................4
1.2. Tóm tắt nội dung:......................................................................................................................4
Chương 2: Cơ sở lý thuyết:..................................................................................................................4
2.1. IoT:.............................................................................................................................................4
2.1.1. IoT là gì?.............................................................................................................................4
2.1.2. Những ứng dụng của IoT:..................................................................................................5
2.1.3. Ưu và nhược điểm của IoT:...............................................................................................6
2.2. VPN:...........................................................................................................................................7
2.2.1. VPN là gì?............................................................................................................................7
2.2.2. Một số lợi ích của VPN:......................................................................................................7
2.2.3. Các loại VPN:......................................................................................................................7
2.2.4. Các giao thức VPN:............................................................................................................9
2.2.5. Ưu và nhược điểm của VPN:...........................................................................................15
Chương 3: Kết quả nghiên cứu và thảo luận:..................................................................................15
3.1. Bài toán:...................................................................................................................................15
3.2. Áp dụng kiểu Remote Access:.................................................................................................16
3.3. Áp dung kiểu Site to Site:........................................................................................................22
Chương 4: Kết luận và kiến nghị......................................................................................................27
4.1. Kết luận:...................................................................................................................................27
4.2. Kiến nghị:.................................................................................................................................27
Tài liệu tham khảo..............................................................................................................................28

2
TRƯỜNG ĐẠI HỌC NHA TRANG
Khoa/Viện: …………………………….
PHIẾU THEO DÕI TIẾN ĐỘ VÀ ĐÁNH GIÁ CHUYÊN ĐỀ TỐT NGHIỆP
(Dùng cho CBHD và nộp cùng báo cáo CĐTN của sinh viên)
Tên đề tài: .........................................................................................................................................
...........................................................................................................................................................
Chuyên ngành: ..................................................................................................................................
Họ và tên sinh viên: …………………………………Mã sinh viên: ................................................................
Người hướng dẫn (học hàm, học vị, họ và tên): ...............................................................................
Cơ quan công tác: .............................................................................................................................

Phần đánh giá và cho điểm của người hướng dẫn (tính theo thang điểm 10)
Mô tả mức chất lượng
Trọng
Tiêu chí
số Giỏi Khá Đạt yêu cầu Không đạt Điểm
đánh giá
(%)
9 - 10 7-8 5-6 <5

Xây dựng đề
cương nghiên 10
cứu

Tinh thần và
thái độ làm 10
việc

Kiến thức và kỹ
10
năng làm việc

Nội dung và
kết quả đạt 40
được

Kỹ năng viết và
trình bày báo 30
cáo

ĐIỂM TỔNG

Ghi chú: Điểm tổng làm tròn đến 1 số lẻ.

Nhận xét chung (sau khi sinh viên hoàn thành CĐTN):
…………………………………………………………………………………………….……

3
……………………………………………………………………………………….…………
………………………………………………………………………………………………….
………………………………………………………………………………………………….

Đồng ý cho sinh viên: Được chấm phản biện:  Không được chấm phản biện: 

Khánh Hòa, ngày…….tháng…….năm………

Cán bộ hướng dẫn
(Ký và ghi rõ họ tên)

4
TRƯỜNG ĐẠI HỌC NHA TRANG
Khoa/Viện: ……………………………….

PHIẾU CHẤM ĐIỂM CHUYÊN ĐỀ TỐT NGHIỆP

(Dành cho cán bộ chấm phản biện)
Tên đề tài: .........................................................................................................................................
...........................................................................................................................................................
Chuyên ngành: ..................................................................................................................................
Họ và tên sinh viên: …………………………………Mã sinh viên: ................................................................
Người phản biện (học hàm, học vị, họ và tên):
...........................................................................................................................................................

Cơ quan công tác: .............................................................................................................................

Phần đánh giá và cho điểm của người phản biện (tính theo thang điểm 10)
Mô tả mức chất lượng
Trọng
Tiêu chí
số Giỏi Khá Đạt yêu cầu Không đạt Điểm
đánh giá
(%)
9 - 10 7-8 5-6 <5

Hình thức bản

10
thuyết minh

Nội dung bản

30
thuyết minh

Mức độ trích
10
dẫn và sao chép

Kết quả nghiên

30
cứu đạt được

Mức độ thể
hiện 20
kiến thức

ĐIỂM TỔNG

Ghi chú: Điểm tổng làm tròn đến 1 số lẻ.

5
 Khánh Hòa, ngày……… tháng……năm………..
Cán bộ chấm phản biện
(Ký và ghi rõ họ tên)

6
 Phần mở đầu
Trong thời đại hiện nay, xu hướng công nghệ đang dần phát triển mạnh mẽ.
Con người đang tìm đến sự tiện lợi để dành nhiều thời gian cho bản thân. Do đó họ tìm
đến thiết bị IoT, một mạng lưới các thiết bị được cung cấp định danh riêng và được kết
nối Internet mang lại cho doanh nghiệp, công ty và cả bản thân con người những tích
cực cho đời sống. IoT có thể là một loại mạng lưới khá mới mẻ, nhưng tốc độ tăng
trưởng của nó lại đang gia tăng từng ngày và không hề có dấu hiệu chững lại. Tuy
nhiên, cũng chính vì kết nối với Internet, những thiết bị IoT này không nằm ngoài tầm
ngắm của tội phạm mạng, gây ra nhiều thiệt hại nghiêm trọng.

Do tính cấp thiết của nhu cầu bảo mật, cũng như bổ sung những kiến thức còn
thiếu liên quan đến IoT và VPN nên em chọn đề tài này: “VPN cho thiết bị IOT”. Đề
tài sẽ cung cấp cho mọi người cái nhìn tổng quát về lợi ích của IoT trong các lĩnh vực
khoa học, công nghiệp, đời sống hiện đại ngày nay và triển khai VPN là một trong
những giải pháp tuyệt vời để bảo mật cho thiết bị IoT. Bằng cách áp dụng VPN cho
các mạng IoT, có thể làm cho các mạng đó trở nên mạnh mẽ hơn. Và bất kì thiết bị IoT
nào cũng có thể kết nối VPN để trở thành một mạng riêng. Đề tài còn cung cấp các
cách thức tổ chức hệ thống kết nối những khu vực muốn kết nối VPN lại với nhau để
đảm bảo an toàn mạng, tránh các tội phạm mạng. Đối tượng nghiên cứu của em là
VPN và IoT. Phạm vi nghiên cứu là áp dụng VPN bảo mật mạng chứa thiết bị IoT cho
một chủ công ty, doanh nghiệp muốn kết nối VPN để trong khi ở nhà vẫn có thể giám
sát được nhân viên làm việc bằng thiết bị IoT đã đăng ký với Server và kết nối với chi
nhánh để truyền dữ liệu, có thể giám sát chi nhánh khi về đêm cũng bằng thiết bị IoT.

7
Chương 1: Tổng quan vấn đề nghiên cứu:

1.1. Mục tiêu và phương pháp nghiên cứu:

1.1.1. Mục tiêu:
Đưa ra giải pháp an toàn mạng cho các hộ gia đình đang sử dụng thiết bị IoT
khi đang điều khiển từ xa bằng cách kết nối với VPN Site to Site hoặc Remote Access
VPN.

1.1.2. Phương pháp nghiên cứu:

Nghiên cứu lý thuyết kết hợp với thực nghiệm mô phỏng

1.2. Tóm tắt nội dung:

- Chương cơ sở lý thuyết:

+ Nêu khái niệm của IoT. Những ứng dụng, ưu và nhược điểm IoT.

+ Nêu khái niệm VPN. Lợi ích của VPN. Các loại, các giao thức, ưu và nhược
điểm của VPN.

- Chương kết quả nghiên cứu và thảo luận:

+ Nêu bài toán, mô hình mạng để mô phỏng cho bài toán đó.

+ Cấu hình, kiểm tra và nêu lợi ích của phương án đó.

- Chương kết luận và kiến nghị:

+ Đưa ra được những gì đã làm được và chưa làm được.

8
Chương 2: Cơ sở lý thuyết:
2.1. IoT:
2.1.1. IoT là gì?
IoT (Internet of Things) [1] là một liên mạng, trong đó các thiết bị kết nối, thiết
bị thông minh, phòng ốc và các trang thiết bị khác được nhúng với các bộ phận điện
tử, phần mềm, cảm biến cùng với khả năng kết nối mạng máy tính giúp cho thiết bị
này có thể thu thập và truyền tải dữ liệu.

Hình 2.1: Tổng quan về IoT

2.1.2. Những ứng dụng của IoT:

Theo tài liệu [2] các ứng dụng của IoT là:

- Trong ngành hậu cần và cung ứng sản phẩm:

+ Theo dõi hàng hóa trong thời gian thực thông qua WSN (wireless sensor
network).

+ Nhờ có công nghệ RFID (Radio Frequency Identification), có thể hoạt động
mà không cần bất kì thiết bị định vị bổ sung, chỉ cần thiết bị di động đầu cuối là đủ.

- Trong ngành giao thông vận tải:

+ Giám sát điều kiện đường xá và báo cáo hệ thống.

+ Quản lý theo thời gian thực toàn bộ các xe vận tải từ trung tâm chỉ huy.

+ Theo dõi tình trạng hàng hóa thông qua thẻ RFID (Radio Frequency
Identification – Nhận dạng qua tầng sóng vô tuyến) gắn liền với hàng hóa.

9
 + Xác định, mô phỏng tuyến đường đã được xác định tối ưu và vẽ lối đi cho
người lái xe vận tải.

- Trong chăm sóc sức khỏe: [3]

+ Quản lý dữ liệu chăm sóc theo thời gian thực và cảnh báo tình trạng sức khỏe
kịp thời.

+ Giảm chi phí chăm sóc sức khỏe và đẩy nhanh việc cung cấp dịch vụ chăm
sóc.

+ Phân tích dữ liệu y tế: Việc thu thập dữ liệu của IoT, các chuyên gia y tế có
thể theo dõi lượng lớn dữ liệu, từ đó phân tích xu hướng chăm sóc sức khỏe hoặc đo
lường việc tác động của loại thuốc cụ thể hay tình trạng sức khỏe cụ thể.

2.1.3. Ưu và nhược điểm của IoT:

Theo tài liệu [4] ưu và nhược điểm của IoT như sau:

- Ưu điểm:

+ Khả năng truy cập từ mọi nơi, mọi thời điểm và mọi thiết bị.

+ Cải thiện giao tiếp giữa các thiết bị điện tử kết nối.

+ Tiết kiệm thời gian, tiền bạc.

+ Tự động hóa các nhiệm vụ cải thiện chất lượng dịch vụ doanh nghiệp và giảm
nhu cầu can thiệp của con người.

- Nhược điểm:

+ Tính tương thích: Thiết bị từ các nhà sản xuất khác nhau khi kết nối chung
một mạng lưới thì vấn đề tương thích giữa chúng sẽ gặp khó khăn.

+ Tính phức tạp: Với các hệ thống phức tạp, khả năng xảy ra trường hợp thất
bại sẽ càng cao hơn.

+ Quyền riêng tư và bảo mật.

+ An toàn.

10
2.2. VPN:
2.2.1. VPN là gì?
Theo Cisco [5]: VPN (Virtual Private Network) là mạng riêng ảo, cho phép
thiết lập kết nối được mã hóa từ một thiết bị tới trên nền tảng Internet. Kết nối mã hóa
sẽ đảm bảo cho dữ liệu nhạy cảm được truyền an toàn qua mạng. Nó ngăn chặn việc
nghe lén dữ liệu, cho phép người dùng truy cập mạng từ xa.

Hình 2.2: Tổng quan VPN

2.2.2. Các loại VPN:

- Remote Access VPN [6] cho phép người dùng kết nối với một trang trung tâm
thông qua kết nối an toàn qua mạng TCP / IP. Hiệp hội bảo mật Internet và giao thức
quản lý khóa, còn được gọi là IKE, là giao thức đàm phán cho phép máy khách IPsec
trên PC từ xa và ASA đồng ý về cách xây dựng Hiệp hội bảo mật IPsec. Mỗi cuộc đàm
phán ISAKMP được chia thành hai phần được gọi là Giai đoạn 1 và Giai đoạn 2.

Giai đoạn 1: Tạo đường hầm đầu tiên để bảo vệ các thông điệp đàm phán
ISAKMP sau này. Giai đoạn 2: Tạo đường hầm bảo vệ dữ liệu di chuyển qua kết nối
an toàn.

11
 Để đặt điều khoản cho các cuộc đàm phán ISAKMP, tạo chính sách
ISAKMP. Nó bao gồm những điều sau đây:

 Một phương pháp xác thực, để đảm bảo danh tính của các đồng nghiệp.
 Một phương pháp mã hóa, để bảo vệ dữ liệu và đảm bảo quyền riêng tư.
 Phương thức Mã xác thực thư băm (HMAC) để đảm bảo danh tính của người
gửi và để đảm bảo rằng thư không bị sửa đổi trong quá trình vận chuyển.
 Một nhóm Diffie-Hellman để đặt kích thước của khóa mã hóa.
 Giới hạn thời gian cho ASA sử dụng khóa mã hóa trong bao lâu trước khi thay
thế nó.

- Site to Site: [7] Bao gồm các thiêt bị ngang hàng truyền dữ liệu an toàn đến
một mạng khác trên một mạng không bảo mật, chẳng hạn như Internet. VPN Site to
Site sử dụng các đường hầm để đóng gói các dữ liệu trong các gói IP thông thường để
chuyển tiếp qua các mạng trên các IP đã được sử dụng mã hóa để đảm bảo quyền riêng
tư và xác thực để đảm bảo tính toàn vẹn dữ liệu

Trong quá trình quản lý bảo mật của Cisco, VPN Site to Site được triển khai
dựa trên chính sách IPsec được gán cho cấu trúc liên kết VPN. Trình quản lý của VPN
Site to Site xác định và định cấu hình các cấu trúc và các chính sách trên các bộ định
tuyến bảo mật Cisco IOS, tường lửa PIX, mô-đun dịch vụ VPN Catalyst và thiết bị bảo
mật ASA.

Lợi ích mà VPN Site to Site đem lại: Hỗ trợ QoS, cung cấp mã hóa giữa các
trang web, cho phép vận chuyển lưu lượng truy cập multicast và định tuyến trên VPN
IPsec, cho phép mở rộng và quản lý mọi thứ bất kỳ kết nối giữa các trang web.

12
2.2.3. Các giao thức VPN:

Hình 3: Các giao thức VPN [15]

- Point-To-Point Tunneling Protocol (PPTP): [8]

Giao thức đường hầm điểm-điểm (PPTP) là giao thức mạng được sử dụng để
triển khai các đường hầm Mạng riêng ảo (VPN) giữa các mạng công cộng. Máy chủ
PPTP còn được gọi là máy chủ Mạng quay số riêng ảo (VPDN). 

PPTP sử dụng kênh điều khiển trên Giao thức điều khiển truyền (TCP) và
đường hầm Đóng gói định tuyến chung (GRE) hoạt động để đóng gói các gói Điểm-
Điểm (PPP). Việc triển khai PPTP phổ biến nhất là với các họ sản phẩm Microsoft
Windows và thực hiện các cấp độ xác thực và mã hóa khác nhau như các tính năng
tiêu chuẩn của ngăn xếp PPTP Windows. 

PPTP được ưa thích hơn các giao thức khác vì nó nhanh hơn và có khả năng
hoạt động trên các thiết bị di động.

Hình 3.1: PPTP [15]

13
 - IpSec (IP security): [9]

+ IPsec của Cisco System cung cấp một thành phần công nghệ chính để cung
cấp giải pháp bảo mật tổng thể. Việc cung cấp IPsec của Cisco cung cấp sự riêng tư,
toàn vẹn và tính xác thực để truyền thông tin nhạy cảm qua Internet.

+ IPsec là một khung các tiêu chuẩn mở để đảm bảo thông tin liên lạc riêng tư
an toàn qua Internet. Dựa trên các tiêu chuẩn được phát triển bởi Lực lượng đặc nhiệm
kỹ thuật Internet (IETF), IPsec đảm bảo tính bảo mật, tính toàn vẹn và tính xác thực
của truyền thông dữ liệu trên mạng công cộng. 

+ IPsec cung cấp một thành phần cần thiết của một giải pháp linh hoạt, dựa trên
các tiêu chuẩn để triển khai chính sách bảo mật trên toàn mạng.

Phương pháp bảo vệ IP datagram của IPsec có các hình thức sau:

• Xác thực nguồn gốc dữ liệu.

• Xác thực toàn vẹn dữ liệu không kết nối
• Bảo mật nội dung dữ liệu.
• Bảo mật chống phát lại.
• Bảo mật lưu lượng traffic bị hạn chế.

IPsec bảo vệ các datagram IP bằng cách xác định phương pháp chỉ định lưu
lượng để bảo vệ, cách lưu lượng đó được bảo vệ và lưu lượng được gửi đến ai.

Hình 3.2: IpSec [10]

- L2TP: [10]

14
 Giao thức đường hầm lớp 2 (L2TP) là giao thức đường hầm VPN cho phép các
máy khách từ xa sử dụng mạng IP công cộng để liên lạc an toàn với các máy chủ mạng
công ty riêng. L2TP sử dụng PPP qua UDP (cổng 1701) để tạo đường hầm dữ liệu.

Giao thức L2TP dựa trên mô hình máy khách / máy chủ. Chức năng được phân
chia giữa Máy chủ Mạng L2TP (LNS) và Bộ tập trung truy cập L2TP (LAC). LNS
thường chạy trên một cổng mạng như bộ định tuyến, trong khi LAC có thể là Máy chủ
truy cập mạng quay số (NAS) hoặc thiết bị đầu cuối với máy khách L2TP đi kèm như
Microsoft Windows, Apple iPhone hoặc Android.

Lợi ích chính của việc định cấu hình L2TP với IPsec / IKEv1 trong kịch bản
truy cập từ xa là người dùng từ xa có thể truy cập VPN qua mạng IP công cộng mà
không cần cổng hoặc đường truyền chuyên dụng, cho phép truy cập từ xa gần như mọi
nơi với POTS. Một lợi ích bổ sung là không yêu cầu phần mềm máy khách bổ sung,
như phần mềm máy khách Cisco VPN.

Hình 3.3: L2TP [15]

- OpenVPN: [11]
OpenVPN là một ứng dụng mã nguồn mở miễn phí, có thể được thiết lập và sử
dụng cho Mạng riêng ảo (VPN). Nó sử dụng kết nối máy khách-máy chủ để cung cấp
liên lạc an toàn giữa máy chủ và vị trí máy khách từ xa qua internet.

OpenVPN sử dụng OpenSSL để mã hóa UDP và TCP để truyền lưu

lượng. VPN cung cấp một đường hầm bảo vệ an toàn, ít bị tin tặc tấn công hơn vì nó
mã hóa dữ liệu được gửi từ máy tính của bạn thông qua kết nối VPN. Ví dụ: nếu bạn
đang sử dụng WiFi ở nơi công cộng, chẳng hạn như trong sân bay, nó sẽ giữ cho dữ

15
liệu, giao dịch và truy vấn của bạn không bị người dùng khác nhìn thấy. Giống như
HTTPS, nó mã hóa dữ liệu được gửi giữa hai điểm cuối.

Một trong những bước quan trọng nhất trong việc thiết lập OpenVPN là lấy
Chứng chỉ từ Cơ quan cấp chứng chỉ (CA). Điều này được sử dụng để xác thực. Giấy
chứng nhận được mua từ bất kỳ số lượng các trang web bên thứ ba. Đây là một cách
chính thức để chứng minh rằng trang web của bạn an toàn. Về cơ bản, CA là một
nguồn đáng tin cậy xác minh rằng bạn là một doanh nghiệp hợp pháp và có thể được
tin cậy. Đối với OpenVPN, bạn chỉ cần chứng chỉ cấp thấp hơn với chi phí tối
thiểu. Bạn được CA kiểm tra và sau khi họ xác minh thông tin của bạn, họ sẽ cấp
chứng nhận cho bạn. Chứng chỉ này có thể được tải xuống dưới dạng tệp trên máy tính
của bạn. Sau đó, bạn có thể truy cập vào bộ định tuyến của mình (hoặc máy chủ VPN)
và tải nó lên đó. Xin lưu ý, khách hàng không cần Chứng chỉ để sử dụng OpenVPN,
nó chỉ để xác minh thông qua bộ định tuyến.

Hình 3.4: OPENVPN

- SSTP: [12]

+  Là một cơ chế đóng gói lưu lượng giao thức điểm - điểm (PPP) qua giao
thức HTTPS. Giao thức này cho phép người dùng truy cập mạng riêng bằng cách sử
dụng HTTPS.

+ Giao thức này cung cấp một đường hầm mã hóa bằng giao thức SSL/TLS.
Khi khách hàng thiết lập kết nối VPN dựa trên SSTP, trước tiên nó sẽ thiết lập kết nối
với TCP đến máy chủ SSTP qua cổng TCP 443.

+ Các tính năng của SSTP:

 Cho phép phân định các khung PPP từ luồng dữ liệu liên tục được gửi
bằng cách sử dụng HTTPS.
 Đàm phán tham số giữa hai thực thể.

16
  Định dạng tin nhắn mở rộng để hỗ trợ cho các tham số mới trong tương
lại.
 Các hoạt động bảo mật để ngăn chặn kẻ tấn công trung gian chuyển tiếp
các khung PPP không phù hợp qua HTTPS.

Hình 3.5: SSTP [15]

- IKEv2 (Internet Key Exchange): [13]

+ là giao thức đường hầm dựa trên IPsec cung cấp kênh liên lạc VPN an toàn
giữa các thiết bị VPN ngang hàng và xác định đàm phán và xác thực cho các hiệp hội
bảo mật IPsec (SA) theo cách được bảo vệ.

+ Ưu điểm của việc sử dụng IKEv2 so với IKEv1 như sau:

 Thay thế tám trao đổi ban đầu bằng một trao đổi bốn tin nhắn.
 Giảm độ trễ cho thiết lập IPsec SA và tăng tốc độ thiết lập kết nối.
 Tăng sức mạnh chống lại các cuộc tấn công DOS.
 Cải thiện độ tin cậy thông qua việc sử dụng số thứ tự, xác nhận và sửa lỗi.
 Cải thiện độ tin cậy, vì tất cả các tin nhắn là yêu cầu hoặc phản hồi. Người khởi
tạo có trách nhiệm truyền lại nếu nó không nhận được phản hồi.

+  IKEv2 hỗ trợ giao tiếp nhanh và đặc biệt mạnh mẽ trong việc duy trì phiên,
ngay cả khi kết nối Internet bị gián đoạn. Windows, MacOS, iOS và Android đều hỗ
trợ IKEv2. Một số triển khai mã nguồn mở cũng có sẵn.

17
 Hình 3.6: IKEv2 [15]

2.2.4. Ưu và nhược điểm của VPN:

- Ưu điểm: [14]

• Mở rộng kết nối địa lý

• Giảm chi phí hoạt động so với các mạng truyền thống
• Giảm thời gian vận chuyển và chi phí đi lại cho người dùng từ xa
• Nâng cao năng suất.
• Đơn giản hóa cấu trúc liên kết mạng
• Cung cấp các cơ hội kết nối toàn cầu
• Cung cấp hỗ trợ từ xa
• Cung cấp lợi tức đầu tư (ROI) nhanh hơn so với mạng truyền thống

- Nhược điểm:

+ Người dùng cũng có thể sử dụng VPN vào các hoạt động bất hợp pháp, khiến
công nghệ này bị mang tiếng xấu.

+ Các VPN miễn phí sẽ giúp bạn tiết kiệm được rất nhiều tiền, nhưng bạn sẽ
phải trả giá bằng sự an toàn của bản thân.

18
Chương 3: Kết quả nghiên cứu và thảo luận:
3.1. Bài toán:
Với mục tiêu ở bên trên, chúng ta đưa ra bài toán như sau:

- Bài toán 1: Một mô hình mạng hộ gia đình và nơi remote được kết nối với
nhau từ một nơi trung gian (các nhà mạng như là: vnpt, viettle, …). Triển khai vpn
server trên router.

- Bài toán 2: Có thể mở rộng ra thêm, mã hóa toàn bộ dữ liệu mạng cho cả hai
bên, tạo đường hầm để truyền dữ liệu qua lại cho an toàn.

- Trong phạm vi đề tài, mô hình mạng được sử dụng như hình 3.1 và 3.7. Trong
đó thiết bị IoT bao gồm:

+ Camera:

Dựa trên sự phát hiện chuyển động của Motion Detector mà ghi lại hình ảnh
ngay tại thời điểm đó.

+ Motion Detector:

Bắt sự chuyển động khi có vật đi ngang qua và chuyền tín hiểu về cho Camera
để Camera bắt đầu ghi hình ảnh.

Qua đó khi kết nối với VPN sẽ giúp tránh đi các tội phạm mạng nhằm vào các
lỗ hỏng bảo mật của thiết bị IoT gây ra những tác hại của cho gia đình.

3.2. Áp dụng kiểu Remote Access:

*Ngữ cảnh: “remote-use” sẽ kết nối về điều khiển thiết bị IoT thông qua xác
thực trên VPN Server.

- Mô hình mạng:

19
 Hình 3.1: Mô hình mạng Remote Access
Các bước thực hiện:

- Gán dịa chỉ:

RouteHOME:

Int gig0/0

Ip add 172.16.10.1 255.255.255.0

No sh

Int gig0/1

Ip add 10.10.2.2 255.255.255.0

No sh

ISP:

Int gig0/1

Ip add 10.10.2.1 255.255.255.0

No sh

20
 Int gig0/0

Ip add 10.10.3.1 255.255.255.0

No sh

RouteCôngTy:

Int gig0/0

Ip add 192.168.10.1 255.255.255.0

No sh

Int gig0/1

Ip add 10.10.3.2 255.255.255.0

No sh

Server: 192.168.10.200/24

- Định tuyến:

RouterHOME: ip route 0.0.0.0 0.0.0.0 10.10.2.1

RouteCôngTy: ip route 0.0.0.0 0.0.0.0 10.10.3.1

- VPN (Cấu hình trên RouteCôngTY):

aaa new-model

aaa authentication login VPN-AUTHEN local

aaa authorization network VPN-AUTHOR local

username admin password Admin1394

crypto isakmp policy 10

encryption 3des

hash md5

authentication pre-share

group 2
21
ip local pool VPN-CLIENT 192.168.15.1 192.168.15.100

crypto isakmp client configuration group vpniot

key Cisco1394

pool VPN-CLIENT

crypto ipsec transform-set SET1 esp-3des esp-md5-hmac

crypto dynamic-map DynamicMap 10

set transform-set SET1

reverse-route

exit

crypto map StaticMap client authentication list VPN-AUTHEN

crypto map StaticMap client configuration addess repond

crypto map StaticMap isakmp authorization list VPN-AUTHOR

crypto map StaticMap 10 ipsec-isakmp dynamic DynamicMap

interface gig0/1

crypto map StaticMap

22
- Kiểm tra cấu hình:

Dùng “remote user” kết nối VPN đến RouteCôngTy:

Hình 3.2: Kết nối VPN

- Thiết bị IoT kết nối với Server:

+ Trên Server, mở dịch vụ IoT  Dùng ip Server đăng ký tài khoản IoT

23
 Hình 3.3: Đăng ký tài khoản IoT
 Đưa các thiết bị IoT vào Server với địa chỉ của Server và tài khoản đã đăng ký

24
 Hình 3.4: Kết nối IoT vào Server
- Dùng “remote user” đã kết nối VPN vào địa chỉ Server, đăng nhập với tài
khoản và mật khẩu Server đã đăng ký

Hình 3.5: Đã kết nối VPN

25
 Hình 3.6: Đăng nhập tài khoản IoT.

Hình 3.6: Kết quả đạt được.

- Lợi ích của phương pháp này: Vừa có thể giám sát được tinh thần, thái độ làm
việc của nhân viên, vừa đảm bảo khỏi việc bị nghe lén khi kết nối đến các thiết bị IoT.

3.3. Áp dung kiểu Site to Site:

*Ngữ cảnh như sau: Tạo đường hẩm cho cả 2 lớp mạng, mọi dữ liệu truyền qua
lại hai bên sẽ được đảm bảo an toàn.

26
 Giả sử doanh nghiệp có các trụ sở ở cách xa về mặt địa lý, sử dụng kết nối sẵn
có với nhà cung cấp mạng ISP từ đó tạo đường hầm VPN tạo kết nối riêng tư cho cả
hai trụ sở này, nhằm đảm bảo an toàn cho dữ liệu.

- Mô hình mạng:

Hình 3.7: Mô hình mạng Site to Site

Các bước thực hiện:

- Gán địa chỉ:

RouteChiNhanh:

Int gig0/0

Ip add 172.16.10.1 255.255.255.0

No sh

Int gig0/1

Ip add 10.10.2.2 255.255.255.0

No sh

ISP:
27
 Int gig0/1

Ip add 10.10.2.1 255.255.255.0

No sh

Int gig0/0

Ip add 10.10.3.1 255.255.255.0

No sh

RouteCôngTy:

Int gig0/0

Ip add 192.168.10.1 255.255.255.0

No sh

Int gig0/1

Ip add 10.10.3.2 255.255.255.0

No sh

Server: 192.168.10.200/24

- Định tuyến: Chỉ định tuyến 8 số 0 lên nhà cung cấp mạng ISP

RouterChiNhanh: ip route 0.0.0.0 0.0.0.0 10.10.2.1

RouteCôngTy: ip route 0.0.0.0 0.0.0.0 10.10.3.1

- Cấu hình VPN:

RouteChiNhanh:

access-list 110 permit ip 192.168.10.0 0.0.0.255 172.16.10.0 0.0.0.255

crypto isakmp policy 10
encryption 3des
hash md5
authentication pre-share
group 2

28
 exit
crypto isakmp key cisco address 10.10.2.2
crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
description VPN connection to R1
set peer 10.10.2.2
set transform-set VPN-SET
match address 110
exit
interface gig0/1
crypto map VPN-MAP

RouteCôngTy:

access-list 110 permit ip 172.16.10.0 0.0.0.255 192.168.10.0 0.0.0.255

crypto isakmp policy 10
encryption 3des
hash md5
authentication pre-share
group 2
exit
crypto isakmp key cisco address 10.10.3.2
crypto ipsec transform-set VPN-SET esp-3des esp-sha-hmac
crypto map VPN-MAP 10 ipsec-isakmp
description VPN connection to R3
set peer 10.10.3.2
set transform-set VPN-SET
match address 110
exit
interface gig0/1
crypto map VPN-MAP

- Kiểm tra cấu hình:

+ Ping 2 máy từ công ty đến chi nhánh cho nhau:

29
Hình 3.8: Ping từ công ty sang chi nhánh

Hình 3.9: Ping từ chi nhánh về công ty

30
 + Dùng lệnh “show crypto ipsec sa” để kiểm tra cấu hình. Chỉ cần kiểm tra một
Router, vì bên kia sẽ tương tự.

Hình 3.10: Kiểm tra kết quả.

Trong lệnh show thể hiện như sau, ta chú ý các dòng:

#pkts encaps: 21, #pkts encrypt: 21

#pkts decaps: 21, #pkts decrypt: 21

Mặc định là 0, sau đó ta ping 2 máy tính với nhau. Nếu lớn hơn 0 có nghĩa là
đường hầm đang hoạt động. Đã có gói dữ liệu được mã hóa và giải mã đi qua đường
hầm.

Và cũng không thể quên, ta vẫn có thể thu thập dữ liệu từ thiết bị IoT của chi nhánh.

- Lợi ích của phương pháp này: Đảm bảo cho dữ liệu được truyền đi không bị
nghe lén và bị đánh cắp. So với phương pháp Remote Access, Site to Site không yêu
cầu người dùng thiết lập đường hầm VPN so với Remote Access phải thiết lập đường
hầm.
31
Chương 4: Kết luận và kiến nghị
4.1. Kết luận:
- Sau thời gian nỗ lực nghiên cứu, đề tài đã đạt được mục tiêu đề ra là trình bày
được IoT và VPN, mô phỏng thực nghiệm áp dụng VPN cho IoT theo hai mô hình Site
to Site và Remote Access.

+ Site to Site VPN: Đã tạo được đường hầm để kết nối hai khu vực khác nhau
để đảm bảo an toàn, tránh được các dữ liệu quan trọng bị nghe lén và đánh cắp khi
truyền qua lại giữa hai khu vực.

+ Remote Access: Đưa ra được sự thuận lợi, an toàn cho các cá nhân muốn
giám sát nhân viên của mình như ở bài toán Remote Access trên, cũng như cho các hộ
gia đình muốn theo dõi nhà của mình khi đang ở xa nhà.

Tuy nhiên lý thuyết khá rộng vẫn không thể tránh những sai sót.

4.2. Kiến nghị:

Trong thời gian sắp tới sẽ nghiên cứu sâu hơn để hoàn thiện đề tài và tìm hiểu
thêm các giải pháp bảo mật cho IoT.

32
 Tài liệu tham khảo
[1]. ThS. Nguyễn Thị Minh Phượng (2020), Nghiên cứu ứng dụng Internet of Things
trong tạo lập, quản lý tài nguyên số, Thư viện học viện hành chính quốc gia.

[2]. Vongsingthong, S.; Smanchat, S. (2014), INTERNET OF THINGS: A REVIEW

OF APPLICATIONS & TECHNOLOGIES, Suranaree Joumal of Science and
Technology/ Tr.35-37

[3]. Gatouillat, Arthur; Badr, Youakim; Massot, Bertrand; Sejdic, Ervin (2018),
Internet of Medical Things: A Review of Recent Contributions Dealing with Cyber-
Physical Systems in Medicine, IEEE Internet of thing Joumal/ Tr. 1

[4]. Margaret Rouse (2020), Definition internet of thing (IoT), TechTarget IoT Agenda

[5]. Cisco (2017), What is a VPN? – Vitual Private Network

[6]. Cisco (2020), Chapter: Remote Access IPsec VPNs

[7]. Cisco (2020), Chapter: Managing Site to Site VPNs: The basic

[8]. Cisco (2018), Configure a Point-to-Point Tunneling Protocol (PPTP) Server on

the Rv34x Series Router

[9]. Cisco (2007), Introduction to Cisco IPsec Technology

[10]. Cisco (2017), Chapter: L2TP over IPsec

[11]. Cisco (2019), OpenVPN on an RV160 and RV260 Router

[12]. Docs.microsoft (2019), [MS-SSTP]: Secure Socket Tunneling Protocol (SSTP)

[13]. Juniper (2011), VPNs for IKEv2

[14]. Cisco (2008), How Vitual Private Networks Work

[15]. PureVPN (2010), VPN Protocols

33