So sánh giao thức PPTP, L2TP, IPSec, SSL VPN 

PPTP (Point to Point Tunneling Protocol)

  • Giao thức đóng gói: IP/GRE.
  • Giao thức kiểm soát: TCP, cổng 1723.
  • Giao thức hỗ trợ mã hóa 40bits và 128bits.
  • Các cơ chế xác thực: MS-CHAP, PAP.
  • Các cơ chế mã hóa: MPPE.
  • Là phương pháp VNP được hỗ trợ rộng rãi nhất giữa các máy trạm chạy Windows.

L2TP

  • Hoạt động tại Data Link Layer.
  • Giao thức đóng gói: IP/UDP, IP/FR, IP/ATM.
  • Giao thức kiểm soát: UDP, cổng 1701.
  • Các cơ chế xác thực: CHAP, PAP, SPAP, EAP, IPSec, TACACS.
  • Các cơ chế mã hóa: MPPE, IPSec, ECP.
  • So với PPTP thì L2TP cung cấp thêm khả năng đảm bảo tính toàn vẹn dữ liệu, khả năng chống replay.

IPSec

  • IPSec hoạt động tại Network Layer.
  • IPSec trong chế độ tunnel bảo mật các gói tin trao đổi giữa hai gateway hoặc giữ các máy trạm và gateway.
  • Chỉ hoạt động với các mạng và ứng dụng dựa trên nền tảng IP.
  • Yêu cầu máy trạm VPN phải được cài sẳn phần mềm VPN Client.
  • IPSec hỗ trợ nhiều thuật toán dùng để để đảm bảo tính toàn vẹn dữ liệu, tính nhất quán, tính bí mật và xác thực của truyền dữ liệu trên một hạ tầng mạng công cộng
  • Việc xác thực các bên được thực hiện thông qua giao thức IKE hoặc digital certificates.
  • Có thể bảo vệ chống lại hầu hết các phương pháp tấn công thông dụng như Dos, replay, MITM.

SSL VPN (Secure Socket Layer VPN)

  • SSL VPN là một dạng của công nghệ VPN sử dụng kỹ thuật SSL truy xuất thông qua kiểu kết nối https:// bằng trình duyệt web browser.
  • Hoạt động ở Session Layer.
  • SSL VPN có thể hạn chế chỉ cho phép VNP Client truy xuất tới một số ứng dụng cụ thể.
  • Sử dụng digital certificates để xác thực server.
  • Ưu điểm chính của SSL VPN là quản lý tập trung, đơn giản cho người dùng, user không cần cài đặt VPN client, xác thực trên web đơn giản và bảo mật hoàn toàn dữ liệu trên mạng.

Tích hợp SSL VPN

  • Trên máy Active Directory, vào Active Directory Users and Computers, tạo một nhóm tên là VPN_GROUP_TEST, và một user tên là: VPN_USER_TEST thuộc nhóm VPN_GROUP_TEST.

Tạo một Group và User mới trên Active Directory

  • Trong SOPHOS ta cần cập nhật lại Database của Server chứng thực (Active Directory).

Cập nhật thêm cơ sở dữ liệu cho Authentications Servers

  • Kiểm tra lại bên Users & Groups để xem thử dữ liệu từ Active Directory đã cập nhật lên chưa.

Đã cập nhật VPN_USER_TEST từ Active Directory

  • Trong Remote Access à SSL để cấu hình SLL VPN.
    • Advanced: Mục này dùng để thiết lập các thuật toán mã hóa, kích cỡ khóa, chứng thực server, …
    • Settings: Mục này thiết lập protocol, address và port mà SLL VPN client phải sử dụng.
    • Global: Enable SLL remote access lên, cùng với việc lựa chọn Users and Groups mà có thể sử dụng dịch vụ này.
  • Ở mục Global, phần Users and Groups, ta nhấn dấu “+” để tạo mới một user có quyền sử dụng dịch vụ này (vpn_user). Hoặc là sử dụng một Users/Groups có sẳn từ Database (VPN_USER_TEST) – đây là User được đồng bộ từ Active Directory lên. Phần Local networks, chọn Internal (Network) – cái mà người dùng sử dụng SSL remote access chỉ có thể truy cập được mạng thuộc vùng Internal.

Thêm Users/Groups có quyền sử dụng dịch vụ này.

  • Trong mục Settings, ta cần chỉnh vài chỗ như sau:
    • Override hostname: Đây là một hostname mà khi bên Client truy cập vào sẽ nhận được thông tin về việc cài đặt, hướng dẫn về SLL VPN Remote Access. Có thể gõ lại đúng địa chỉ của SOPHOS, hoặc đặt một tên nào đó.
    • Pool network: Nơi đây là cấp lại vùng địa chỉ mà sẽ cấp ngược lại cho VPN Client. Có thể chọn mặc định là VPN Pool (SSL) hoặc tự tạo một vùng địa chỉ khác.

Thiết lập vùng địa chỉ cấp ngược lại cho VPN Client

  • Ở Network Protection à Firewall , ta có thể thiết lập các rule cho các Users/Groups mà sử dụng SSL VPN này.

Thiết lập các rules

  • Trong máy User, truy cập đến địa chỉ hay hostname mà ta đã thiết lập trong mục Setting của SSL VPN.

Trang truy cập đến UserPortal

Download và thiết lập SSL VPN Client

Thiết lập và đăng nhập SSL VPN