Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.
X
Collapse
 
  • Page of 1
  • Filter
  • Time
  • Show
Clear All
new posts
Previous template Next
  • #1

    Cách dùng khác của VPN ngoài ứng dụng 1.1.1.1

    Mặc dù có thể bạn không để ý, nhưng Mạng riêng ảo (VPN) đã được sử dụng bên trong và giữa nhiều tổ chức từ khá lâu. Khi thuật ngữ VPN được nhắc đến, nhiều người ngay lập tức nghĩ đến IPsec site-to-site hoặc remote-access VPN – những giải pháp cung cấp kết nối riêng tư giữa các văn phòng hoặc truy cập từ xa vào tổ chức.
    Dù hai phương pháp trên là các loại kết nối VPN phổ biến, nhưng còn có nhiều công nghệ khác (dựa trên cách sử dụng và chức năng của chúng) cũng có thể được xếp vào loại VPN, bao gồm:
    • Mạng cục bộ ảo (VLAN): Là một loại VPN phổ biến giúp đạt được sự riêng tư và phân đoạn mạng bằng cách sử dụng phương pháp gắn thẻ (tag) hoặc đóng gói (encapsulation) dữ liệu mạng.
    • MPLS VPN (Multiprotocol Label Switching): Hoạt động bằng cách chèn thêm nhiều nhãn (label) vào gói dữ liệu để cung cấp kết nối riêng tư xuyên suốt hoặc giữa các mạng thông qua mạng diện rộng (WAN).
    • GRE (Generic Routing Encapsulation) hoặc IP-in-IP: Các phương pháp đường hầm (tunneling) này tạo ra kết nối riêng tư giữa các thiết bị bằng cách chèn thêm thông tin tiêu đề (header) vào gói tin đã đóng gói để hình thành một đường hầm điểm-điểm (point-to-point).
    • Các loại VPN cũ (Legacy): Từng được sử dụng phổ biến để cung cấp kết nối WAN giữa các tổ chức (ví dụ: X.25, Frame Relay và ATM).
    Danh sách trên chưa phải là tất cả, nhưng nó giúp bạn có cái nhìn tổng quan về các vai trò đa dạng của VPN. Nói một cách đơn giản, VPN cung cấp kết nối riêng tư giữa các thiết bị hoạt động trên một hạ tầng dùng chung và thường được chia thành hai nhóm chính:
    1. Nhóm cung cấp sự riêng tư thông qua các phương pháp cô lập: (VLANs, MPLS VPNs).
    2. Nhóm cung cấp cả sự riêng tư và tính bảo mật: (IPsec/SSL VPNs).
    Tính bảo mật của VPN có được là nhờ việc triển khai các giao thức mã hóa (ví dụ: IPsec, SSL và TLS). Cuốn sách này tập trung vào các phương pháp VPN cung cấp cả sự riêng tư và bảo mật giữa các chi nhánh từ xa (remote sites), người dùng từ xa và trụ sở chính. Các loại VPN này mang lại bốn lợi ích cơ bản:
    • Xác thực (Authentication): Có thể thực hiện thông qua tên đăng nhập/mật khẩu, khóa chia sẻ trước (PSK), mật khẩu dùng một lần (OTP) hoặc thẻ token, hạ tầng khóa công khai (PKI) và chứng chỉ số, hoặc kết hợp các yếu tố này. Mục đích chính là để đảm bảo bạn đúng là người mà bạn khai báo.
    • Tính bảo mật/Riêng tư (Confidentiality): Được cung cấp bằng cách mã hóa dữ liệu người dùng trước khi truyền qua đường hầm VPN đã thiết lập, nhằm ngăn chặn việc dữ liệu bị kẻ tấn công đánh cắp và đọc được.
    • Tính toàn vẹn (Integrity): Cung cấp phương tiện để đảm bảo dữ liệu không bị thay đổi trên đường đi từ nguồn đến đích (ví dụ: ngăn chặn kẻ tấn công thực hiện kiểu tấn công xen giữa - man-in-the-middle).
    • Chống phát lại (Antireplay): Thiết bị gửi có thể thêm số thứ tự vào mỗi gói tin truyền qua đường hầm VPN. Nhờ đó, thiết bị nhận (như tường lửa ASA) có thể xác định xem một gói tin có bị trùng lặp hay không (nhằm ngăn chặn nỗ lực vượt qua các biện pháp bảo mật của VPN bằng cách gửi lại gói tin cũ).
    Dựa vào các thông tin đã nêu, chúng ta có thể đưa ra các lựa chọn triển khai phù hợp với từng nhu cầu cụ thể như sau:
    1. Đối với VPN Site-to-Site (Kết nối giữa các chi nhánh)
    • Nếu kết nối giữa hai thiết bị Cisco: Việc triển khai Easy VPN (Client/Server) sẽ đáp ứng tốt yêu cầu mở rộng mạng LAN giữa hai điểm.
    • Nếu kết nối với thiết bị bên thứ ba (như Checkpoint): Bạn không thể dùng Easy VPN mà bắt buộc phải sử dụng kết nối IPsec Site-to-Site tiêu chuẩn (IKEv1 hoặc IKEv2) để đảm bảo tính tương thích.
    2. Đối với VPN Remote-Access (Truy cập từ xa cho người dùng)
    Việc lựa chọn phương pháp nào phụ thuộc vào mức độ tiếp cận tài nguyên hệ thống:
    • Clientless SSL VPN (Không dùng phần mềm cài đặt):
      • Ưu điểm: Dễ dàng triển khai và cập nhật chính sách vì người dùng chỉ cần trình duyệt web.
      • Trường hợp sử dụng: Phù hợp khi người dùng chủ yếu sử dụng các ứng dụng chạy trên nền tền web, không yêu cầu thiết bị từ xa phải có địa chỉ IP nội bộ hoặc không dùng các giao thức động phức tạp.
      • Lưu ý: Bạn vẫn có thể mở rộng quyền truy cập ứng dụng thông qua các tính năng như Smart Tunnels (đường hầm thông minh), Port Forwarding (chuyển tiếp cổng) và các Plug-ins.
    • AnyConnect SSL hoặc IKEv2 VPN (Dùng phần mềm chuyên dụng):
      • Trường hợp sử dụng: Cần thiết khi người dùng yêu cầu mở rộng LAN đầy đủ (Full LAN Extension).
      • Lợi ích: Cho phép người dùng truy cập liền mạch vào các tài nguyên và máy chủ nội bộ giống như đang ngồi làm việc trực tiếp tại văn phòng. Điều này là do phương thức Clientless (chạy qua trình duyệt) chỉ hỗ trợ rất hạn chế khả năng truy cập toàn diện này.
    Yêu cầu Giải pháp đề xuất
    Kết nối 2 văn phòng (Cisco - Cisco) Easy VPN
    Kết nối với thiết bị hãng khác Standard IPsec (IKEv1/v2)
    Truy cập Web cơ bản, không cần cài đặt Clientless SSL VPN
    Truy cập toàn bộ tài nguyên như ở văn phòng AnyConnect (SSL/IKEv2)
    ​​
    Tags: None
Previous template Next
Working...
X