HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

HỌC PHẦN: MẬT MÃ HỌC CƠ SỞ

BÁO CÁO BÀI TẬP LỚN

Tìm hiểu về mô hìnhVPN: Client to Site

Giảng viên: Đỗ Xuân Chợ

Nhóm môn học: 01
Nhóm bài tập lớn: 02
Sinh viên: Lê Huy Hoàng - B20DCAT068
Vũ Quốc Hoàng - B20DCAT072
Mai Đức Mạnh - B20DCAT120
Đặng Quang Tú – B20DCAT164

Hà Nội, 2023
 MỤC LỤC

I. GIỚI THIỆU ………………………………………………………………2

1. VPN là gì………………………………………………………………….2

2. Mô hình Client-to-site VPN………………………………………………3

II. CÁC GIAO THỨC SỬ DỤNG TRONG BÁO CÁO……………………6

1. Point-to-Point Tunneling Protocol (PPTP)……………………………….6

2. Layer 2 Tunneling Protocol (L2TP)……………………………………...7

3. So sánh 2 giao thức………………………………………………………13

1
I. GIỚI THIỆU

1. VPN là gì?

- VPN là viết tắt của "Virtual Private Network" (Mạng riêng ảo). Đây là một
công nghệ được sử dụng để tạo ra một kết nối mạng an toàn và riêng tư trên một
mạng công cộng, chẳng hạn như Internet.

- Khi kết nối vào một VPN, dữ liệu của bạn sẽ được mã hóa và đóng gói lại
trong các gói tin, sau đó được chuyển qua một kênh riêng tư và an toàn đến máy
chủ VPN. Máy chủ VPN sẽ giải mã và giải nén dữ liệu và gửi nó đến đích cuối
cùng trên mạng công cộng.

- Việc sử dụng VPN có một số ứng dụng phổ biến, bao gồm:

1. Bảo mật dữ liệu: VPN giúp bảo vệ thông tin cá nhân, dữ liệu truy cập và
hoạt động trực tuyến khỏi việc đánh cắp và theo dõi.

2. Truy cập vào mạng nội bộ từ xa: Người dùng có thể kết nối vào mạng nội bộ
của tổ chức hoặc công ty mà họ làm việc từ xa, đảm bảo tính riêng tư và bảo
mật trong quá trình truy cập.

2
 3. Vượt qua các rào cản địa lý: VPN cho phép người dùng truy cập vào các nội
dung trực tuyến bị hạn chế địa lý, chẳng hạn như dịch vụ streaming video
hoặc các trang web bị chặn ở một số quốc gia.

4. An ninh khi kết nối công cộng: Khi kết nối vào mạng công cộng, chẳng hạn
như Wi-Fi công cộng, VPN giúp bảo vệ thông tin cá nhân và ngăn chặn các
mối đe dọa tiềm ẩn như tấn công Man-in-the-Middle.

=> Tóm lại, VPN cung cấp một lớp bảo mật và riêng tư cho hoạt động trực
tuyến của bạn bằng cách tạo ra một kênh kết nối an toàn qua mạng công cộng.

- Có nhiều mô hình phổ biến của VPN được sử dụng trong các tình huống và
môi trường khác nhau. Dưới đây là một số mô hình VPN phổ biến:

1. Client-to-site VPN.

2. Site-to-Site VPN.

3. Intranet-based VPN.

4. Extranet-based VPN.

5. Mobile VPN.

2. Mô hình Client-to-site VPN:

- Mô hình Client-to-Site VPN (còn được gọi là Remote Access VPN) cho
phép người dùng từ xa kết nối và truy cập vào mạng nội bộ của một tổ chức hoặc
công ty thông qua Internet.

3
- Dưới đây là các thành phần và quy trình hoạt động cơ bản của mô hình này:

1. Client (Người dùng từ xa): Người dùng từ xa sẽ sử dụng một phần mềm
VPN trên thiết bị của mình (như máy tính, điện thoại di động hoặc máy tính
bảng) để tạo kết nối VPN. Phần mềm VPN này có thể là ứng dụng độc lập
hoặc phần mềm tích hợp sẵn trong hệ điều hành của thiết bị.

2. VPN Client Configuration (Cấu hình VPN Client): Người dùng cần cấu hình
thông tin cần thiết trong phần mềm VPN client, bao gồm địa chỉ IP hoặc tên
miền của máy chủ VPN, chứng chỉ hoặc thông tin xác thực để xác minh
danh tính của người dùng.

3. VPN Gateway (Cổng VPN): Tổ chức hoặc công ty sẽ cung cấp một máy chủ
VPN (VPN gateway) để cho phép người dùng từ xa kết nối vào mạng nội
bộ. Máy chủ VPN này sẽ xử lý việc xác thực và quản lý kết nối VPN từ
người dùng.

4. Authentication and Encryption (Xác thực và Mã hóa): Khi người dùng kết
nối vào máy chủ VPN, quá trình xác thực sẽ diễn ra để xác minh danh tính
của người dùng. Điều này có thể bao gồm việc sử dụng chứng chỉ số, tên

4
 người dùng và mật khẩu hoặc các phương thức xác thực khác. Sau khi xác
thực thành công, các dữ liệu được truyền qua kết nối VPN sẽ được mã hóa
để đảm bảo tính bảo mật và riêng tư.

5. Access to Internal Resources (Truy cập vào tài nguyên nội bộ): Khi kết nối
VPN được thiết lập, người dùng từ xa sẽ có thể truy cập vào các tài nguyên
nội bộ như máy chủ, dịch vụ, tệp tin hoặc ứng dụng trong mạng nội bộ của
tổ chức hoặc công ty. Người dùng có thể làm việc từ xa như khi đang có mặt
trong mạng nội bộ, đảm bảo tính bảo mật và an toàn của dữ liệu.

6. Tunneling Protocol (Giao thức đào hầm): Mô hình Client-to-Site VPN sử

dụng giao thức đào hầm để tạo một kênh kết nối an toàn giữa máy tính của
người dùng từ xa và máy chủ VPN trong mạng nội bộ. Các giao thức phổ
biến bao gồm SSL/TLS (Secure Sockets Layer/Transport Layer Security),
IPsec (Internet Protocol Security) và OpenVPN.

7. Split Tunneling (Phân tách đường hầm): Split tunneling cho phép người
dùng từ xa truy cập vào cả mạng nội bộ và Internet công cộng đồng thời
thông qua kết nối VPN. Điều này cho phép người dùng truy cập vào các tài
nguyên nội bộ cùng với việc duyệt web hoặc sử dụng các dịch vụ trực tuyến
thông qua kết nối Internet thông thường.

8. Network Address Translation (NAT) Traversal: Khi người dùng từ xa kết

nối vào mạng nội bộ thông qua một kết nối VPN, các địa chỉ IP trong mạng
nội bộ có thể được chuyển đổi (NAT) để tránh xung đột với các địa chỉ IP
trong mạng từ xa. Điều này đảm bảo tính tương thích và khả năng hoạt động
của các thiết bị và ứng dụng trong cả hai mạng.

9. VPN Client Management (Quản lý VPN Client): Tổ chức hoặc công ty có

thể triển khai và quản lý phần mềm VPN client trên các thiết bị của người
dùng từ xa. Quản lý VPN client cho phép tổ chức theo dõi, cấu hình, cập

5
 nhật và quản lý các thông tin liên quan đến kết nối VPN của người dùng,
bao gồm cả việc cung cấp chứng chỉ xác thực và cài đặt cấu hình bảo mật.

10.Mô hình Client-to-Site VPN (Remote Access VPN) rất phổ biến và được sử
dụng rộng rãi trong các tổ chức và công ty để cung cấp cho nhân viên từ xa
khả năng truy cập an toàn vào mạng nội bộ và tài nguyên của tổ chức.

II. CÁC GIAO THỨC SỬ DỤNG TRONG BÁO CÁO

1. Point-to-Point Tunneling Protocol (PPTP):

- Point-to-Point Tunneling Protocol (PPTP) là một giao thức mạng được sử

dụng để tạo kết nối VPN (Virtual Private Network) giữa các thiết bị từ xa và máy
chủ VPN. Nó được phát triển vào những năm 1990 bởi một số công ty công nghệ
hàng đầu như Microsoft, 3Com và Ascend Communications.

- PPTP cho phép việc truyền dữ liệu qua một kết nối mạng công cộng (như
Internet) một cách an toàn bằng cách tạo một "đường hầm" (tunnel) giữa thiết bị từ
xa và máy chủ VPN. Dữ liệu được mã hóa và đóng gói trong các gói tin PPTP và
được gửi qua kết nối đóng hầm (tunnel) để đảm bảo tính bảo mật trong quá trình
truyền.

- Point-to-Point Tunneling Protocol (PPTP) hoạt động theo các bước sau:

1. Xác thực và thiết lập kết nối: Thiết bị từ xa (client) thiết lập một kết nối với
máy chủ VPN sử dụng PPTP. Khi kết nối được thiết lập, quá trình xác thực
bắt đầu, trong đó thông tin xác thực như tên người dùng và mật khẩu được
trao đổi giữa client và máy chủ.

6
 2. Tạo tunneling: Sau khi xác thực thành công, client và máy chủ bắt đầu tạo
một "đường hầm" (tunnel) để truyền dữ liệu qua mạng công cộng. Đường
hầm này được tạo bằng cách sử dụng giao thức GRE (Generic Routing
Encapsulation).

3. Mã hóa và truyền dữ liệu: Khi đường hầm đã được thiết lập, dữ liệu từ client
được đóng gói trong các gói tin PPTP và mã hóa bằng giao thức mã hóa
MPPE. Dữ liệu mã hóa sau đó được truyền qua đường hầm GRE đến máy
chủ VPN.

4. Giải mã và đưa vào mạng nội bộ: Máy chủ VPN nhận các gói tin PPTP được
gửi từ client, giải mã chúng và trích xuất dữ liệu ban đầu. Dữ liệu này sau đó
được đưa vào mạng nội bộ của tổ chức hoặc mạng riêng ảo (VLAN) được
quản lý bởi máy chủ VPN.

5. Gửi lại dữ liệu đến client: Máy chủ VPN gửi lại dữ liệu từ mạng nội bộ đến
client thông qua đường hầm GRE và gói tin PPTP. Dữ liệu này được mã hóa
bằng MPPE trước khi truyền để đảm bảo tính bảo mật.

- Quá trình truyền dữ liệu qua PPTP được thực hiện theo mô hình yêu cầu/đáp
ứng (request/response) giữa client và máy chủ VPN. Dữ liệu được đóng gói và
truyền theo từng gói tin PPTP và được giải mã và xử lý tại cả hai đầu (client và
máy chủ) của kết nối VPN.

2. Layer 2 Tunneling Protocol (L2TP):

7
 - Layer 2 Tunneling Protocol (L2TP) là một giao thức mạng được sử dụng
để tạo kết nối VPN (Virtual Private Network) giữa các thiết bị từ xa và máy chủ
VPN. Nó được phát triển bởi Microsoft và Cisco vào những năm 1990 nhằm kết
hợp tính năng của giao thức PPTP và L2F (Layer 2 Forwarding) từ Cisco.

- L2TP cho phép việc truyền dữ liệu qua một kết nối mạng công cộng (như
Internet) một cách an toàn bằng cách tạo một "đường hầm" (tunnel) giữa thiết bị từ
xa và máy chủ VPN. Dữ liệu được đóng gói và truyền qua kết nối đóng hầm
(tunnel) theo giao thức L2TP.

- Layer 2 Tunneling Protocol (L2TP) hoạt động theo các bước sau:

1. Thiết lập kết nối L2TP: Thiết bị từ xa (client) thiết lập một kết nối với máy
chủ VPN sử dụng L2TP. Kết nối ban đầu có thể được thiết lập thông qua
một giao thức khác như IPsec.

2. Xác thực và thiết lập kênh điều khiển (Control Channel): Sau khi kết nối
L2TP được thiết lập, quá trình xác thực bắt đầu. Client và máy chủ sử dụng
giao thức xác thực như CHAP (Challenge Handshake Authentication
Protocol) để xác thực lẫn nhau. Kênh điều khiển (Control Channel) được
thiết lập để quản lý quá trình gửi và nhận gói tin L2TP.

3. Tạo tunneling: Một khi kênh điều khiển được thiết lập và xác thực hoàn
thành, quá trình tạo "đường hầm" (tunnel) bắt đầu. L2TP sử dụng giao thức
tunneling để đóng gói dữ liệu từ lớp 2 (Layer 2) vào gói tin L2TP.

4. Đóng gói dữ liệu và truyền: Dữ liệu từ lớp 2 được đóng gói vào gói tin L2TP
và truyền qua đường hầm (tunnel). Giao thức tunneling bao gồm thông tin
địa chỉ và điểm cuối (endpoint) để đảm bảo việc định tuyến chính xác và gửi
đúng đích.

5. Mở gói tin và truyền dữ liệu lớp 2: Khi gói tin L2TP đến máy chủ VPN, nó
được mở ra và dữ liệu lớp 2 bên trong được truyền đến mạng nội bộ hoặc
VLAN (Virtual LAN) tương ứng.
8
 6. Gửi lại dữ liệu đến client: Máy chủ VPN có thể gửi lại dữ liệu từ mạng nội
bộ đến client thông qua đường hầm L2TP. Dữ liệu từ lớp 2 được đóng gói
vào gói tin L2TP và được truyền đến client.

- Quá trình truyền dữ liệu qua L2TP được thực hiện bằng cách đóng gói dữ liệu
từ lớp 2 vào gói tin L2TP và truyền nó qua đường hầm L2TP. L2TP không cung
cấp mã hóa dữ liệu mặc định, nhưng nó có khả năng kết hợp với giao thức mã hóa
như IPsec để cung cấp tính bảo mật cao hơn.

3. So sánh 2 giao thức:

1. Bảo mật: L2TP hỗ trợ kết hợp với giao thức mã hóa IPsec để cung cấp tính
bảo mật cao hơn. Trong khi đó, PPTP sử dụng một cơ chế mã hóa đơn giản
hơn và đã bị phát hiện có các lỗ hổng bảo mật. Do đó, L2TP được coi là có
tính bảo mật cao hơn so với PPTP.

2. Tính tương thích: PPTP được tích hợp sẵn trong hệ điều hành Windows và
hỗ trợ trên nhiều nền tảng khác nhau. L2TP cũng được hỗ trợ rộng rãi trên
các nền tảng và thiết bị, nhưng cần sự hỗ trợ từ phần cứng và hệ điều hành
để hoạt động tốt hơn.

3. Hiệu suất: PPTP có hiệu suất truyền dữ liệu nhanh hơn so với L2TP, vì nó
sử dụng một phương thức mã hóa đơn giản hơn. Tuy nhiên, L2TP kết hợp
với IPsec có khả năng cung cấp tính bảo mật và hiệu suất tốt hơn.

4. Khả năng chặn và kiểm soát: PPTP có thể bị chặn hoặc kiểm soát bởi một số
hệ thống tường lửa hoặc cơ chế bảo mật mạng. Trong khi đó, L2TP sử dụng
các cổng và giao thức được biết đến, cũng có thể bị chặn hoặc kiểm soát,
nhưng khi kết hợp với IPsec, nó có khả năng vượt qua hạn chế này.

5. Tính linh hoạt: L2TP có khả năng hỗ trợ các giao thức xác thực và mã hóa
khác nhau như IPsec, chứng chỉ số và PAP/CHAP. PPTP hỗ trợ xác thực
thông qua mật khẩu (PAP/CHAP) và mã hóa lớp 2.

9
 Tóm lại, L2TP được coi là một giao thức VPN có tính bảo mật cao hơn và
đáng tin cậy hơn so với PPTP. Tuy nhiên, PPTP có hiệu suất truyền dữ liệu tốt hơn
và dễ triển khai hơn. Sự lựa chọn giữa L2TP và PPTP phụ thuộc vào yêu cầu bảo
mật và hiệu suất của môi trường mạng cụ thể.

10