So sánh l2tp vpn với ssl vpn năm 2024

Giao thức mạng riêng ảo (VPN) đóng vai trò quan trọng trong việc bảo mật kết nối internet và giúp người dùng truy cập vào các nguồn tài nguyên từ xa một cách an toàn. Có nhiều giao thức VPN khác nhau, trong đó PPTP (Point-to-Point Tunneling Protocol) và L2TP (Layer 2 Tunneling Protocol) là hai giao thức phổ biến. Trong bài viết này, chúng ta sẽ tìm hiểu sự khác biệt giữa PPTP và L2TP và xem cách nào phù hợp với nhu cầu của bạn.

Giao thức PPTP

PPTP là giao thức VPN đơn giản và phổ biến nhất. Nó được phát triển vào những năm 1990 và hỗ trợ trên hầu hết các hệ điều hành. PPTP tạo ra một đường hầm ảo (tunnel) để truyền tải dữ liệu an toàn qua mạng công cộng.

Khi bạn kết nối vào một máy chủ VPN sử dụng PPTP, dữ liệu sẽ được mã hóa và đóng gói vào các gói tin PPTP trước khi được truyền đi. Máy tính của bạn và máy chủ VPN sẽ thiết lập một kết nối điểm-điểm (point-to-point connection) thông qua internet, tạo ra một đường hầm an toàn để truyền dữ liệu.

Ưu điểm của PPTP

• Dễ cài đặt và sử dụng.
• Tương thích trên hầu hết các hệ điều hành và thiết bị.
• Tốc độ truyền tải nhanh.

Giao thức L2TP

L2TP là giao thức VPN phổ biến khác được sử dụng rộng rãi. Nó kết hợp tính năng của giao thức L2F (Layer 2 Forwarding) và giao thức PPTP. L2TP cung cấp mức độ bảo mật cao hơn và hỗ trợ các giao thức mã hóa mạnh hơn.

L2TP tạo ra một đường hầm ảo để truyền tải dữ liệu an toàn qua mạng công cộng, tương tự như PPTP. Tuy nhiên, L2TP sử dụng giao thức mã hóa IPSec (Internet Protocol Security) để cung cấp mức độ bảo mật cao hơn.

Ưu điểm của L2TP

• Bảo mật cao hơn so với PPTP
• Hỗ trợ các giao thức mã hóa mạnh mẽ như AES (Advanced Encryption Standard).
• Tương thích trên hầu hết các nền tảng.

Sự khác biệt giữa PPTP và L2TP

• Mức độ bảo mật: L2TP có mức độ bảo mật cao hơn so với PPTP, nhờ sử dụng giao thức mã hóa IPSec.
• Hiệu suất và tốc độ: PPTP có tốc độ truyền tải nhanh hơn so với L2TP, nhưng L2TP đảm bảo mức độ bảo mật cao hơn.
• Hỗ trợ các giao thức mã hóa: L2TP hỗ trợ các giao thức mã hóa mạnh mẽ như AES, trong khi PPTP hỗ trợ các giao thức mã hóa yếu hơn.
• Khả năng tương thích: Cả PPTP và L2TP đều tương thích trên hầu hết các nền tảng, nhưng PPTP phổ biến hơn do sự dễ dàng cài đặt và sử dụng.
• Cài đặt và cấu hình: PPTP có cài đặt và cấu hình đơn giản hơn so với L2TP, nhưng L2TP cung cấp mức độ bảo mật cao hơn.

Chọn giao thức phù hợp cho nhu cầu của bạn

• Sử dụng PPTP khi bạn cần một kết nối VPN đơn giản và tốc độ truyền tải nhanh. Ví dụ, khi bạn cần truy cập vào các trang web bị chặn hoặc xem video trực tuyến.
• Sử dụng L2TP khi bạn đặc biệt quan tâm đến mức độ bảo mật cao hơn và hỗ trợ các giao thức mã hóa mạnh. Ví dụ, khi bạn truy cập vào dữ liệu nhạy cảm hoặc làm việc từ xa với công ty.
• Ngoài PPTP và L2TP, còn có nhiều giao thức VPN khác như OpenVPN, IPSec, SSTP, WireGuard, mỗi giao thức có đặc điểm riêng. Hãy xem xét nhu cầu và yêu cầu của bạn để chọn giao thức VPN phù hợp nhất.

Kết luận:

PPTP và L2TP là hai giao thức VPN phổ biến. PPTP đơn giản và dễ sử dụng, trong khi L2TP cung cấp mức độ bảo mật cao hơn. Khi chọn giao thức VPN, hãy xem xét mức độ bảo mật, hiệu suất, tốc độ và khả năng tương thích để đáp ứng nhu cầu của bạn.

Nghiên cứu về mạng riêng ảo và xây dựng giải pháp mạng riêng ảo đảm bảo an toàn cho các hoạt động mạng sử dụng tường lửa Check Point

Cán bộ hướng dẫn khoa học: ThS. Hoàng Sỹ Tương

Sinh viên thực hiện : Lê Thị Hồng Vân

ĐỒ ÁN TỐT NGHIỆP ĐẠI HỌC

Nội dung báo cáo

MẠNG RIÊNG ẢO – KHÁI NIỆM

1

2

3

4

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

GIẢI PHÁP VPN CỦA CHECK POINT

TRIỂN KHAI MẠNG RIÊNG ẢO

SỬ DỤNG PHẦN MỀM CHECK POINT

KHÁI NIỆM MẠNG RIÊNG ẢO

• Tính cần thiết và mục đích của mạng riêng ảo
  • Tính cần thiết
  • Mục đích
• Khái niệm mạng riêng ảo
  • Các khái niệm
  • Các thiết bị VPN
  • Phân loại
  • Các thành phần cơ bản
  • Các yêu cầu cơ bản
  • Ưu và nhược điểm của VPN
  • ​
  • ​

KHÁI NIỆM MẠNG RIÊNG ẢO

Khái niệm:

• Theo VPN Consortium: VPN là mạng sử dụng mạng công cộng (Internet, ATM/Frame Relay) của các nhà cung cấp dịch vụ làm cơ sở hạ tầng để truyền thông tin nhưng vẫn đảm bảo là một mạng riêng và kiểm soát được truy cập

​

• Theo IBM: VPN là sự mở rộng một mạng Intranet riêng của một doanh nghiệp qua một mạng công cộng như Internet, tạo ra một kết nối an toàn, thực chất là qua một đường hầm riêng

​

• VPN là mạng dữ liệu riêng mà nó sử dụng cơ sở hạ tầng truyền tin viễn thông công cộng. Dữ liệu riêng được bảo mật thông qua sử dụng giao thức tạo đường hầm và các phương thức an toàn.

KHÁI NIỆM MẠNG RIÊNG ẢO

Các thiết bị VPN:

• Customer site (Phía khách hàng):
  • C (Customer devices): router, switch
  • CE (Customer Edge devices): nằm ở biên, kết nối với mạng của nhà cung cấp
• Provider site (Phía nhà cung cấp): P, PE
• VPN có thể xây dựng dựa trên CE hoặc PE (phải có tính năng hỗ trợ VPN)

​

KHÁI NIỆM MẠNG RIÊNG ẢO

Phân loại:

• Remote Access VPN
• Site to Site VPN: Intranet based, Extranet based

KHÁI NIỆM MẠNG RIÊNG ẢO

Các yêu cầu cơ bản:

• Bảo mật
• QoS
• Tính sẵn sàng và tin cậy
• Khả năng quản trị
• Khả năng tương thích

KHÁI NIỆM MẠNG RIÊNG ẢO

Các thành phần cơ bản của VPN:

​

KHÁI NIỆM MẠNG RIÊNG ẢO

Ưu và nhược điểm:

• Ưu điểm:
  • Khả năng mở rộng và linh hoạt cao
  • Giá thành rẻ: Chỉ mất chi phí cho việc truy cập Internet thông thường
  • Giảm chi phí thực hiện (thuê kênh riêng đường dài) và chi phí quản trị (duy trì hoạt động và quản trị mạng WAN)
  • Băng thông không bị hạn chế (Chỉ phụ thuộc vào tốc độ đường truyền Internet) và sử dụng hiệu quả băng thông
  • Nâng cao khả năng kết nối: Không hạn chế số lượng kết nối
  • Đảm bảo khả năng bảo mật giao dịch nhờ công nghệ đường hầm (mã hoá, xác thực truy cập, cấp quyền)
  • Quản lý các kết nối dễ dàng thông qua account
• Nhược điểm:
  • Phụ thuộc nhiều vào mạng trung gian; khó thiết lập và quản trị
  • Yêu cầu về chuẩn: 2 đầu đường hầm phải sử dụng cùng một thiết bị để đảm bảo khả năng liên vận hành
  • Mọi giao thông qua VPN đều được mã hoá bất chấp nhu cầu có cần mã hoá hay không => Hiện tượng tắc nghẽn cổ chai
  • Không cung cấp sự bảo vệ bên trong mạng

Nội dung báo cáo

MẠNG RIÊNG ẢO – KHÁI NIỆM

1

2

3

4

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

GIẢI PHÁP VPN CỦA CHECK POINT

TRIỂN KHAI MẠNG RIÊNG ẢO

SỬ DỤNG PHẦN MỀM CHECK POINT

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

• Kỹ thuật đường hầm (tunneling)
• Các giao thức xây dựng mạng riêng ảo:
  • Giao thức VPN tại tầng 2:
    • PPTP
    • L2F
    • L2TP
  • Giao thức VPN tại tầng 3 (IPSec) và IKE
  • Các giao thức quản trị:
    • RADIUS
    • ISAKMP/Oakley
• Các công nghệ mạng riêng ảo
  • MPLS VPN
  • IPSec VPN
  • SSL VPN

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

Kỹ thuật Tunneling:

• Tunneling là quá trình xử lý và đặt toàn bộ các gói tin trong một gói tin khác và gửi đi trên mạng
• Kênh thông tin yêu cầu 3 giao thức:
  • Giao thức sóng mang (Carrier Protocol): truyền thông tin về trạng thái đường truyền
  • Giao thức đóng gói (Encapsulating Protocol): Che giấu nội dung truyền (GRE, IPSec, L2F, PPTP, L2TP)
  • Giao thức gói (Passenger Protocol): IPX, NetBeui, IP

Chiếc xe ô tô giống giao thức truyền tải, cái hộp giống

giao thức đóng gói và chiếc máy tính là giao thức gói

CÁC GIAO THỨC VPN TẠI TẦNG 2

PPTP (Point to Point Tunneling Protocol)

​

• Phát triển bởi Microsoft, 3COM và Ascend Communications
• Đề xuất thay thế cho IPSec
• PPTP được thiết kế dựa trên PPP để tạo ra kết nối quay số giữa khách hàng và máy chủ truy cập mạng (NAS).
• PPTP sử dụng PPP để thực hiện:
  • Thiết lập và kết thúc kết nối vật lý
  • Xác thực người dùng
  • Tạo các gói dữ liệu PPP

CÁC GIAO THỨC VPN TẠI TẦNG 2

PPTP (Point to Point Tunneling Protocol)

​

• Ưu điểm:
  • Là giải pháp được xây dựng trên nền các sản phẩm của MS (các sản phẩm được sử dụng rất rộng rãi)
  • Có thể hỗ trợ các giao thức non-IP
  • Được hỗ trợ trên nhiều nền khác nhau: Unix, Linux, Apple’s Macintosh
• Nhược điểm:
  • Bảo mật yếu hơn so với L2TP và IPSec, do sử dụng mã hoá với khoá mã phát sinh từ password của user, càng nguy hiểm hơn khi password được truyền trong môi trường không an toàn để chứng thực
  • Phụ thuộc nền
  • Phải cấu hình bộ định tuyến và máy chủ truy cập từ xa trong trường hợp sử dụng giải pháp định tuyến bằng đường quay số
  • Yêu cầu máy chủ và máy khách phải được cấu hình mạnh

CÁC GIAO THỨC VPN TẠI TẦNG 2

L2F (Layer 2 Forwarding)

• Được phát triển theo hướng:
  • Có khả năng bảo mật cao cho các giao dịch
  • Hỗ trợ nhiều công nghệ: ATM, Frame Relay, NetBEUI
  • Hỗ trợ nhiều phiên đồng thời trong cùng một đường hầm bằng cách định nghĩa nhiều kết nối trong 1 đường hầm, mỗi kết nối mô tả một dòng PPP đơn
  • Cho phép truy cập qua cơ sở hạ tầng của Internet và các mạng trung gian
  • ​

CÁC GIAO THỨC VPN TẠI TẦNG 2

L2F (Layer 2 Forwarding)

• Các tiến trình trong L2F:

​

CÁC GIAO THỨC VPN TẠI TẦNG 2

L2F (Layer 2 Forwarding)

• Quá trình truyền dữ liệu trên đường hầm L2F:

​

CÁC GIAO THỨC VPN TẠI TẦNG 2

L2TP (Layer 2 Tunneling Protocol)

​

• Phát triển bởi Cisco nhằm thay thế IPSec, tiền thân của nó là L2F
• Thường được sử dụng để mã hoá các khung PPP để gửi trên các mạng X.25, ATM và FR
• Là sự phối hợp của L2F và PPTP, có khả năng mã hoá dữ liệu tốt hơn L2F và có khả năng giao tiếp với Windows
• Có thể tạo ra một đường hầm giữa:
  • Máy khách – Router
  • NAS – Router
  • Router - Router

CÁC GIAO THỨC VPN TẠI TẦNG 2

L2TP (Layer 2 Tunneling Protocol)

​

​

​

​

​

​

​

​

​

Đường hầm L2TP

​

CÁC GIAO THỨC VPN TẠI TẦNG 2

L2TP (Layer 2 Tunneling Protocol): Quá trình tạo kết nối L2TP

​

​

​

​

​

​

​

​

​

​

​

CÁC GIAO THỨC VPN TẠI TẦNG 2

L2TP (Layer 2 Tunneling Protocol)

​

​

​

​

​

​

​

​

​

​

Quá trình đóng gói dữ liệu trong đường hầm L2TP

Quá trình xử lý dữ liệu diễn ra ngược lại

CÁC GIAO THỨC VPN TẠI TẦNG 2

L2TP (Layer 2 Tunneling Protocol)

• Ưu điểm:
  • Là một giải pháp chung, không phụ thuộc nền, hỗ trợ nhiều kỹ thuật mạng, có thể hỗ trợ giao tác thông qua liên kết non-IP của mạng WAN
  • Không yêu cầu bổ sung cấu hình của user từ xa và ISP
  • Cho phép kiểm soát chứng thực người dùng, hỗ trợ kiểm soát luồng và gói DL bị loại bỏ khi quá tải trên đường hầm => Giao tác nhanh hơn trên L2F
  • Cho phép người dùng với địa chỉ IP chưa được đăng ký có thể truy cập mạng từ xa thông qua mạng công cộng
  • Tăng cường bảo mật bằng cách mã hoá DL dựa trên IPSec trong suốt đường hầm và khả năng chứng thực gói của IPSec
• Nhược điểm:
  • ​
  • Chậm hơn PPTP và L2F vì sd IPSec để chứng thực từng gói nhận được
  • Mặc dù được cài đặt riêng cho giải pháp VPN nhưng vẫn phải cấu hình thêm bộ định tuyến và máy chủ phục vụ truy cập từ xa.

CÁC GIAO THỨC VPN TẠI TẦNG 2

CÁC GIAO THỨC VPN TẠI TẦNG 3

IPSec:

​

• Được phát triển bởi IETF
• Giao thức tầng 3
• Cung cấp các dịch vụ bảo mật, nhận thực, toàn vẹn DL và điều khiển truy cập
• Thiết lập đường hầm bảo mật giữa 2 mạng riêng và nhận thực 2 đầu của đường hầm.
• Nhược điểm:
  • Gắn thêm tiêu đề IPSec làm tăng kích thước gói tin -> thông lượng của mạng giảm xuống (có thể giải quyết được bằng cách nén dữ liệu trước khi mã hoá, nhưng điều này chưa được chuẩn hoá)

CÁC GIAO THỨC VPN TẠI TẦNG 3

IKE:

• Là thành phần hỗ trợ giao thức IPSec, RFC 2409
• Cung cấp cơ chế sinh và phân phối khoá đối xứng, quản lý khoá cho SA
• Cung cấp tính an toàn cho luồng lưu thông của chính nó, thiết lập các liên kết an toàn cho nhiều dịch vụ khác nhau, trong đó có IPSec (Sinh và làm tươi khoá, định dạng an toàn và được bảo vệ)
• Sử dụng ISAKMP như một framework (cơ cấu), kết hợp Oakley và SKEME làm giao thức trao đổi khoá
• 2 pha:
  • Pha 1 thiết lập các liên kết an toàn ISAKMP
  • Pha 2 Thoả thuận các SA thay mặt cho các dịch vụ

CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO

MPLS VPN

• Ko sử dụng hoạt động đóng gói và mã hoá gói tin để đạt mức độ bảo mật cao, mà sử dụng bảng chuyển tiếp và các nhãn “tag”
• Sử dụng các tuyến mạng xác định để phân phối các dịch vụ, các cơ chế xử lý thông minh nằm hoàn toàn trong phần lõi của mạng
• Mỗi VPN được kết hợp với 1 bảng định tuyến và chuyển tiếp VPN riêng biệt (VRF)
• Bên trong mỗi MPLS VPN, có thể kết nối bất kỳ 2 điểm nào với nhau, và các site có thể gửi thông tin trực tiếp cho nhau mà không cần thông qua site trung tâm
• Ưu điểm:
  • Không yêu cầu các thiết bị CPE thông minh; việc bảo dưỡng đơn giản vì chỉ phải làm với mạng lõi (yêu cầu định tuyến và bảo mật đã được tích hợp trong mạng lõi)
  • Độ trễ thấp, vì ko yêu cầu mã hoá dữ liệu.

CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO

IPSec VPN:

​

• Cho phép truyền tải dữ liệu được mã hoá an toàn ở lớp mạng thông qua mạng công cộng
• Để thiết lập đường hầm IPSec VPN phải thoả thuận về chính sách an ninh, thuật toán mã hoá, phương thức xác thực…
• Tất cả các giao thức lớp trên đều được mã hoá một khi kênh IPSec được thiết lập: TCP, UDP, SNMP, HTTP, POP, SMTP,…
• Đảm bảo tính bí mật DL bằng mã hoá gói tin trước khi truyền; tính toàn vẹn bằng xác thực gói tin và xác nhận nguồn gốc DL
• Có thể giúp phát hiện, ngăn chặn tấn công bằng cách nhận biết tuổi và sao lại các gói tin

CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO

SSL VPN:

• Được xây dựng trên nền tảng giao thức SSL (Secure Socket Layer)
• Yêu cầu cơ bản: 1 trình duyệt + 1 gateway
• Gateway SSL VPN thường được đặt ở vùng DMZ phía sau tường lửa của doanh nghiệp, can thiệp vào các traffic đã được mã hoá đi qua cổng 443.
• Gateway giải mã dữ liệu và cung cấp menu các ứng dụng được phép hoặc một kết nối mô phỏng môi trường làm việc tại văn phòng của người dùng từ xa
• Ưu điểm:
  • Yêu cầu đơn giản -> Phổ biến
  • Khả năng thiết lập an ninh trong môi trường phi Client
• Nhược điểm:
  • Chi phí đầu tư cho máy chủ và thiết bị chuyên dụng lớn
  • Đòi hỏi trình độ bảo mật cao để vận hành và bảo trì hệ thống
  • Không hỗ trợ các ứng dụng không mã hoá cho SSL như Telnet, FTP, IP Telephony, các ứng dụng Multicast và các ứng dụng yêu cầu QoS.
  • SSL Server yêu cầu bộ xử lý và bộ nhớ cao

CÁC CÔNG NGHỆ MẠNG RIÊNG ẢO

So sánh IPSec VPN và SSL VPN:

So sánh các công nghệ VPN:

Nội dung báo cáo

MẠNG RIÊNG ẢO – KHÁI NIỆM

1

2

3

4

CÁC GIAO THỨC VÀ CÔNG NGHỆ VPN

GIẢI PHÁP VPN CỦA CHECK POINT

TRIỂN KHAI MẠNG RIÊNG ẢO

SỬ DỤNG PHẦN MỀM CHECK POINT

GIẢI PHÁP VPN CỦA CHECK POINT

• Các ứng dụng và thiết bị phù hợp cho VPN-1 Power
• Các thành phần của VPN-1 Power
• Giải pháp VPN của Check Point
  • Site to Site VPN
  • Remote Access VPN
• Các ứng dụng và thiết bị phù hợp cho VPN-1 Power

GIẢI PHÁP VPN CỦA CHECK POINT

Các thành phần của VPN-1 Power

​

• VPN-1 Power được cấu thành bởi:
  • VPN endpoints
  • VPN trust entities
  • VPN Management tools

GIẢI PHÁP VPN CỦA CHECK POINT

​

• VPN-1 Power tạo các đường hầm mã hóa bằng cách sử dụng các giao thức IKE và IPSec
• IKE tạo đường hầm VPN => Sử dụng để truyền dữ liệu mã hóa IPSec Tưởng tượng IKE như một quá trình xây dựng đường hầm, và các gói tin IPSec như những chiếc xe đẩy chở dữ liệu mã hóa dọc theo đường hầm.