VPN Site to Site là gì?

Site-to-site VPN là một giải pháp cho phép kết nối những máy tính bên trong mạng private thuộc nhiều văn phòng ở xa với nhau, các kết nối này sẽ thông qua mạng internet. Hình bên dưới sẽ thấy rõ hơn khái niệm này.

Do phải đi qua hạ tầng internet chung nên để bảo bảo mật VPN Site to Site sẽ có một số đặc điểm sau:

  • Confidentiality: Dùng mã hóa để chuyển clear text thành cipher text nhằm đảm bảo tính tin cậy.
  • Data integrity: Dùng hashing hoặc Hashed Message Authentication Code (HMAC) để kiểm tra dữ liệu không bị thay đổi trên đường truyền.
  • Authentication: Chứng thực VPN peer lúc khởi đầu VPN session bằng pre-shared key (PSK) hoặc chữ ký số. Chứng thực cũng có thể được thực hiện liên tục bằng cách dùng HMAC, vì chỉ có 2 đầu của VPN session mới biết secret key.
  • Antireplay support: Khi VPN được thiết lập thì các VPN peer sẽ thực hiện đánh số cho các gói tin, và nếu một gói tin được truyền lại (có thể do attacker) thì gói tin sẽ bị drop vì thiết bị VPN tin rằng nó đã xử lý gói tin

Một trong những cách để hiện thực Site-to-Site VPN là sử dụng IPSec. Site-to-site IPsec VPN bao gồm các thiết bị hay hay phần mềm để thực hiện tạo IPsec tunnel giữa hai VPN peer (còn được gọi là VPN gateway). Dựa trên thông tin ip address của các gói tin khi đến VPN gateway thì VPN gateway sẽ mã hóa và gửi vào IPsec tunnel đã được thiệt lập để gói tin có thể đến được đích đến cần thiết, sau khi VPN gateway đầu bên kia nhận được gói tin nó sẽ tiến hành giải mã dựa trên các thông số security association (SA) đã được thiết lập từ trước và forward đến đích đến cần thiết.