Nghiên cứu xây dựng giải pháp Bảo mật mạng
riêng ảo VPN dựa trên công nghệ mở
Research construction security solutions of VPN based on open technology
NXB H. : ĐHCN, 2012 Số trang 112 tr. + Nguyễn Anh Đoàn Trƣờng Đại học Công nghệ
Luận văn ThS ngành: Truyền dữ liệu và Mạng máy tính; Mã số: 60 48 15
Cán bộ hƣớng dẫn khoa học: Tiến sĩ Hồ Văn Hƣơng
Năm bảo vệ: 2012 Abstract. Tổng quan về an ninh bảo mật thông tin; một số khái niệm, mô hình, giao thức của
VPN; Tìm hiểu về công nghệ mã nguồn mở. Nghiên cứu, đánh giá một số vấn đề bảo mật của các
giao thức VPN hiện nay; Tìm hiểu một số công nghệ bảo mật VPN. Đề xuất giải pháp VPN mã
nguồn mở trên nền tảng Openvpn. Giải pháp triển khai thực tế cho mô hình kết nối của Bộ Ngoại
giao.

Keywords: Truyền dữ liệu; Bảo mật mạng; Mạng riêng ảo; Công nghệ mở; An toàn dữ liệu;
Mạng máy tính

Content.
I. CHƢƠNG 1 TỔNG QUAN
1.1 Tổng quan về an toàn bảo mật thông tin
1.1.1 Giới thiệu về bảo mật thông tin
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ về công nghệ thông
tin không ngừng đƣợc phát triển ứng dụng để nâng cao chất lƣợng và lƣu lƣợng truyền tin thì các quan

VPN mang lại nhiều lợi ích, những lợi ích này bao gồm:
- Giảm chi phí thực thi
- Bảo mật các giao dịch
- Sử dụng hiệu quả băng thông
- Nâng cao khả năng mở rộng
Trên đây là một số lợi ích cơ bản mà giải pháp VPN mang lại. Tuy nhiên bên cạnh đó, nó cũng
không tránh khỏi một số bất lợi nhƣ: Phụ thuộc nhiều vào Internet. Sự thực thi của một mạng dựa trên
VPN phụ thuộc nhiều vào sự thực thi của Internet.
1.2.3 Mô hình mạng riêng ảo thông dụng
VPN đƣợc phát triển và phân thành 3 loại nhƣ sau:

VPN truy cập từ xa (Remote Access VPN): VPN truy cập từ xa cho phép ngƣời dùng từ xa,
ngƣời dùng di động của một tổ chức có thể truy cập tới các tài nguyên mạng của tổng công ty.
VPN Cục bộ (Intranet VPN): Intranet VPN thƣờng đƣợc dùng để kết nối các nhánh Văn phòng từ
xa của một tổ chức với Intranet trung tâm của tổ chức đó.
Mạng riêng ảo mở rộng (Extranet VPN): Khi một công ty có mối quan hệ mật thiết với một công
ty khác (ví dụ nhƣ đối tác cung cấp, khách hàng ), họ có thể xây dựng một VPN extranet kết nối LAN
với LAN để nhiều tổ chức khác nhau có thể làm việc trên một môi trƣờng chung.
1.2.4 Một số giao thức mạng riêng ảo
Có bốn giao thức đƣờng hầm (tunneling protocols) phổ biến thƣờng đƣợc sử dụng trong VPN,
mỗi một trong chúng có ƣu điểm và nhƣợc điểm riêng. Chúng ta sẽ xem xét và so sánh chúng dựa trên
mục đích sử dụng.
- Point-to-Point Tunneling Protocol (PPTP)
- Layer2 Tunneling Protocol (L2TP)
- Secure Socket Layer (SSL)
- Internet Protocol Security (IPSec)
1.3 Công nghệ mã nguồn mở
1.3.1 Phần mềm mã nguồn mở là gì?
Phần mềm nguồn mở (PMNM) là phần mềm với mã nguồn đƣợc công bố và sử dụng một giấy
phép nguồn mở. Giấy phép này cho phép bất cứ ai cũng có thể nghiên cứu, thay đổi và cải tiến phần

Tấn công trên PPTP
PPTP là dễ bị tổn thƣơng trên hai khía cạnh. Chúng bao gồm:
- Generic Routing Encapsulation (GRE)
- Mật khẩu trao đổi trong quá trình xác thực
Tấn công trên IPSec
Nhƣ chúng ta biết IPSec không phải là thuật toán mã hóa thuần túy cũng không phải một cơ chế
xác thực. Trong thực tế, IPSec là một sự kết hợp của cả hai và giúp các thuật toán khác bảo vệ dữ liệu.
Tuy nhiên, IPSec là dễ bị các cuộc tấn công:
- Các cuộc tấn công chống lại thực hiện IPSec
- Tấn công chống lại quản lý khóa

- Các cuộc tấn công quản trị và ký tự đại diện
2.1.3 Tấn công mật mã
Mật mã nhƣ là một trong các thành phần bảo mật của một VPN. Tùy thuộc vào các kỹ thuật mật
mã và các thuật toán khác nhau, các cuộc tấn công giải mã đƣợc biết là tồn tại. Những phần sau tìm hiểu
về một số cách thức tấn công giải mã nổi tiếng:
- Chỉ có bản mã (ciphertext-Only)
- Tấn công biết bản rõ (know plaintext attacks)
- Tấn công lựa chọn bản rõ
- Man-in-the-Middle (tấn công trung gian)
- Tấn công Brute Force (duyệt toàn bộ)
- Tấn công thời gian (Timing attacks):
2.1.4 Tấn công từ chối dịch vụ
Các cuộc tấn công DoS đang trở nên khá phổ biến ngày này vì nó không yêu cầu bất kỳ phần mềm
đặc biệt hoặc truy cập vào mạng mục tiêu. Chúng đƣợc dựa trên khái niệm của sự tắc nghẽn mạng. Bất
kỳ kẻ xâm nhập có thể gây ra tắc nghẽn mạng bằng cách gửi các tải các dữ liệu rác vào mạng. Điều này
làm cho các máy tính mục tiêu không thể đƣợc truy cập trong một khoảng thời gian bởi đƣờng truyền bị
quá tải hoặc máy tính mục tiêu không thể phục vụ do quá tải. Tình trạng quá tải thông tin thậm chí có
thể dẫn đến việc sụp đổ của máy tính mục tiêu.
Hình 2.4 minh họa làm thế nào tin tặc có thể gây ra tắc nghẽn mạng bằng cách gửi các dữ liệu giả

+ Mã xác thực mẩu tin (MAC): dùng khoá và một hàm nén mẩu tin cần gửi để nhận đƣợc một
đặc trƣng đính kèm với mẩu tin và ngƣời gửi đó.
+ Hàm hash (hàm băm) là hàm nén mẩu tin tạo thành “dấu vân tay” cho mẩu tin.

2.2.2.1 Mã xác thực mẫu tin MAC
+ Sinh ra bởi một thuật toán mà tạo ra một khối thông tin nhỏ có kích thƣớc cố định
Phụ thuộc vào cả mẩu tin và khoá nào đó.
Giống nhƣ mã nhƣng không cần phải giải mã.
+ Bổ sung vào mẩu tin nhƣ chữ ký để gửi kèm theo làm bằng chứng xác thực.
+ Ngƣời nhận thực hiện tính toán nào đó trên mẩu tin và kiểm tra xem nó có phù hợp với MAC
đính kèm không.
Tạo niềm tin rằng mẩu tin không bị thay đổi và đến từ ngƣời gửi.

Hình 2. 3: Xác thực mẫu tin MAC
Các mã xác thực mẩu tin MAC cung cấp sự tin cậy cho ngƣời nhận là mẩu tin không bị thay đổi
và từ đích danh ngƣời gửi. Cũng có thể sử dụng mã xác thực MAC kèm theo với việc mã hoá để bảo
mật. Nói chung ngƣời ta sử dụng các khoá riêng biệt cho mỗi MAC và có thể tính MAC trƣớc hoặc sau
mã hoá, tốt hơn là thực hiện MAC trƣớc và mã hoá sau.
2.2.2.2 Hàm Hash
Nén mẩu tin bất kỳ về kích thƣớc cố định. Và giả thiết là hàm hash là công khai và không dùng
khoá. Hash chỉ phụ thuộc mẩu tin, còn MAC phụ thuộc thêm cả vào khoá.
Hash đƣợc sử dụng để phát hiện thay đổi của mẩu tin. Hash có thể sử dụng nhiều cách khác nhau
với mẩu tin, Hash thƣờng đƣợc kết hợp dùng để tạo chữ ký trên mẩu tin.


Secret Key

Hình 2. 5: Mã hoá khoá bí mật hay đối xứng
Thuật toán đối xứng đƣợc định nghĩa là một thuật toán khoá chia sẻ sử dụng để mã hoá và giải
mã một bản tin. Các thuật toán mã hoá đối xứng sử dụng chung một khoá để mã hoá và giải mã bản tin,
điều đó có nghĩa là cả bên gửi và bên nhận đã thoả thuận, đồng ý sử dụng cùng một khoá bí mật để mã
hoá và giải mã.
Ƣu điểm của mã hoá khoá đối xứng:
- Thuật toán này mã hoá và giải mã rất nhanh, phù hợp với một khối lƣợng lớn thông tin
- Chiều dài khoá từ 40÷168 bit.
- Các tính toán toán học dễ triển khai trong phần cứng.

- Ngƣời gửi và ngƣời nhận chia sẻ chung một mật khẩu.
Cơ chế mã hoá đối xứng nảy sinh vấn đề đó là: việc nhận thực bởi vì đặc điểm nhận dạng của
nhận dạng của một bản tin không thể chúng minh đƣợc. Do hai bên cùng chiếm giữ một khoá giống
nhau nên đều có thể tạo và mã hoá và cho là ngƣời khác gửi bản tin đó. Điều này gây nên cảm giác
không tin cậy về nguồn gốc của bản tin đó.
Một số thuật toán đối xứng nhƣ DES (Data Encryption Standard), 3DES…
2.2.3.2 Mã hóa bất đối xứng
Thuật toán mã hoá khoá công cộng đƣợc định nghĩa là một thuật toán sử dụng một cặp khoá để mã
hoá và giải mã bảo mật một bản tin. Theo thuật toán này thì sử dụng một khoá để mã hoá và một khoá
khác để giải mã nhƣng hai khoá này có liên quan với nhau tạo thành một cặp khoá duy nhất của một bản
tin, chỉ có hai khoá này mới có thể mã hoá và giải mã cho nhau.
EncryptEncrypt
DecryptDecrypt
Encrypted
Message
clear
Message
clear

- Clients : Ngƣời sử dụng chứng chỉ PKI hay theo cách khác đƣợc xác định nhƣ những thực thể
cuối.
- Repository : Hệ thống ( có thể phân tán ) lƣu trữ chứng chỉ và danh sách các chứng chỉ bị thu
hồi.

Hình 2. 7: Các thành phần PKI
2.2.4.3 Chức năng cơ bản của PKI
Những hệ thống cho phép PKI có những chức năng khác nhau. Nhƣng nhìn chung có hai chức
năng chình là: chứng thực và kiểm tra.
Chứng thực ( Certification) : là chức năng quan trong nhất của hệ thống PKI. Đây là quá trình
ràng buộc khóa công khai với định danh của thực thể. CA là thực thể PKI thực hiện chứng năng, chứng
thực.
Thẩm tra ( validation) : quá trình các định liệu chứng chỉ đã đƣa ra có thể đƣợc sử dụng đúng
mục đích thích hợp hay không đƣợc xem nhƣ là quá trình kiểm tra tính hiệu lực của chứng chỉ. 2.2.5 Một số công nghệ bảo mật bổ xung
2.2.5.1 Công nghệ SSL/TLS
a. Giao thức SSL
Giao thức Secure Socket Layer (SSL), ban đầu định hƣớng là nhằm mục đích bảo vệ thông tin
trao đổi giữa Client và Server trong các mạng máy tính, là giao thức tầng phiên, nó sử dụng các phƣơng
pháp mật mã cho việc bảo vệ thông tin. Dữ liệu đƣợc truyền đƣợc giữ bí mật bằng việc mã hoá, trong
khi việc tạo và kiểm tra chữ ký số đảm bảo tính xác thực và toàn vẹn thông tin.
Trong giao thức SSL có sự kết hợp của mật mã đối xứng và bất đối xứng. Các thuật toán mật mã
bất đối xứng nhƣ: RSA và thuật toán Diffie – Hellman. Các hàm băm nhƣ: MD5, SHA1. Các thuật toán
mật mã đối xứng đƣợc hỗ trợ là RC2, RC4 và 3DES. SSL hỗ trợ các chứng chỉ số thoã mãn chuẩn
X.509
Thủ tục thăm dò trƣớc (bắt tay) đƣợc thực hiện trƣớc khi bảo vệ trực tiếp sự trao đổi thông tin
Khi thực hiện thủ tục này, các công việc sau đƣợc hoàn tất:
- Xác thực Client và Server

vị.
Tuy nhiên, khi mô hình Bộ Ngoại giao đƣợc phân cấp theo từng đơn vị và đƣợc phân bố ở các
khu vực địa lý khác nhau: các Vụ khu vực, Sở Ngoại vụ nằm trong nƣớc và các Cơ quan đại diện của
Việt nam tại nƣớc ngoài. Hệ thống thông tin phân tán tại các khu vực khác nhau gây khó khăn trong
việc quản lý tập trung. Từ thực trạng đó đã nảy sinh các yêu cầu về kết nối liên thông các điểm từ xa
trong đó:
- Các CQĐD ở nƣớc ngoài truy cập vào các ứng dụng nội bộ.
- Các Sở Ngoại vụ kết nối vào hệ thống với mục đích đồng bộ dữ liệu về lãnh sự.
- Các cán bộ đi công tác ngắn hạn có thể truy cập vào hệ thống quản lý điều hành của đơn vị.
3.1.2 Yêu cầu
Yêu cầu kết nối: Yêu cầu thiết kế đặt ra xây dựng hệ thống kết nối bảo mật giữa các chi nhánh,
các đơn vị xa Trung tâm trên cơ sở tận dụng tối đa đƣợc các thiết bị và cở sở hạ tầng mạng sẵn có của
Bộ Ngoại Giao. Hệ thống này tƣơng thích với những ứng dụng hiện tại, có tính mềm dẻo, tƣơng thích
với hạ tầng kết nối dƣới nhiều hình thức nhƣ ADSL, LeaseLine, ….
Yêu cầu bảo mật: Để đảm bảo xây dựng kết nối an toàn tới Trung tâm yêu cầu giải pháp:
- Sử dụng các công nghệ bảo mật hiện đại.
- Có thể thay đổi linh hoạt các phƣơng pháp bảo mật.
- Bổ xung các phƣơng pháp bảo mật nhằm đảm bảo an toàn, an ninh.
Yêu cầu quản trị: Đảm bảo sự hoạt động liên tục của mạng, gải pháp đặt ra phải thiết kế phần
mềm giám sát, quản trị hệ thống VPN Server tại Trung tâm. Phần mềm có khả năng theo dõi kết nối.
Ngƣời quản trị mạng phải nắm bắt đƣợc đầy đủ và thƣờng xuyên các thông tin về cấu hình, sự cố và tất
cả số liệu liên quan đến việc sử dụng mạng.

Yêu cầu chi phí đầu tƣ hợp lý: Để giải pháp có tính khả thi, ngoài những yêu cầu về mặt kỹ
thuật, bảo mật … thì chi phí đầu tƣ là một trong yêu cầu hết sức quan trọng. Khi triển khai với mô hình
rộng và số lƣợng chi nhánh kết nối đến lớn chi phí khởi đầu là rất lớn. Với việc đƣa ra một giải pháp chi
phí đầu tƣ hợp lý sẽ tạo điều kiện thuận lợi để áp dụng vào thực tế.
3.2 Đề xuất giải pháp
3.2.1 Giải pháp phần mềm VPN mã nguồn mở
Ngày nay, công nghệ phần mềm ngày càng phát triển mạnh mẽ. Đặc biệt là công nghệ mã nguồn

khiển để xử lý giao thức chính cho việc truyền thông và cấu hình.
3.2.2.3 Các mô hình bảo mật OpenVPN
OpenVPN sử dụng giao thức SSL để xác thực mỗi điểm cuối VPN đến các máy chủ, trao đổi
khóa và thông tin điều khiển khác. Trong phƣơng pháp này, OpenVPN Thiết lập một phiên SSL/TLS
với máy của nó để kiểm soát các kênh. Trong giai đoạn xác thực, các máy trao đổi giấy chứng nhận
đƣợc ký bởi một CA tin cậy lẫn nhau. Điều này đảm bảo cả hai bên rằng họ đang nói chuyện với chính
xác bạn bè của họ, ngăn chặn các cuộc tấn công man-in-the-middle.

.
Hình 3. 1: Mô hình lưu khóa sử dụng Openvpn
3.2.2.4 Các kênh dữ liệu OpenVPN
OpenVPN có thể tùy chọn sử dụng kết nối TCP thay vì UDP datagrams. Mặc dù đây là thuận tiện
trong một số trƣờng hợp, nó có vấn đề về xung đột và nên tránh các lớp độ tin cậy khi có thể.

Hình 3. 2: Các OpenVPN kênh dữ liệu Đóng gói
OpenVPN chia tách các tải tiêu đề thành hai phần: phần tiêu đề gói(packet header), nhận dạng
loại gói và dạng khóa và tiêu đề tải dữ liệu (data payload header), bao gồm chứng thực, IV, và các
trƣờng số thứ tự (sequence number fields) cho các gói dữ liệu.
3.2.2.5 Ping và giao thức OCC
Ngoài băng thông sử dụng, các kênh dữ liệu mang một số lƣợng hạn chế thông tin điều
khiển. OpenVPN có thể đƣợc cấu hình để có các nút gửi, giữ các thông điệp còn sống (keep-alive ) và
xóa bỏ hoặc khởi động lại VPN nếu không nhận đƣợc lƣu lƣợng truy cập trong một thời gian quy
định. Mặc dù OpenVPN đề cập đến các thông điệp còn sống nhƣ các gói tin ping (ping packets), không
phải theo nghĩa ping ICMP, đúng hơn là nếu một nút không có thông lƣợng đƣợc gửi trong một thời
gian quy định, nó sẽ gửi tới chính các máy của nó một lệnh ping. Khi nhận đƣợc ping, máy muốn thiết
lập lại bộ đếm thời gian nhận đƣợc gói tin của nó và loại bỏ các gói. Hình 3. 3: Định dạng thông điệp OpenVPN OCC
3.2.2.6 Kênh điều khiển

cả ngƣời dùng lẫn ngƣời quản trị / bảo mật quản lý hiệu quả quá trình chứng thực ngƣời dùng hệ thống
bằng cách lƣu trữ và phát sinh mật khẩu, chứng chỉ số và mã hóa tất cả thông tin đăng nhập (cả khóa
chung và khóa riêng). eToken cung cấp nền tảng bảo mật an toàn, hiệu quả, dễ sử dụng và triển khai trên
diện rộng. Giải pháp sử dụng thiết bị epass3003, epass2000, các thiết bị này tƣơng thích với các môi
trƣờng linux, windows.
3.2.3.5 Tích hợp tƣờng lửa
Tƣờng lửa (firewall) là rào chắn vững chắc giữa mạng riêng và Internet. Chúng ta thể thiết lập các
tƣờng lửa để hạn chế số lƣợng cổng mở, loại gói tin và giao thức đƣợc chuyển qua.
Giải pháp đƣa ra tích hợp phần mềm tƣờng lửa mã nguồn mở shorewall trên các gateway. Tƣờng
lửa sẽ phân hoạch các vùng chính sách và thiết lập chính sách truy cập đối với việc truy cập từ xa vào hệ
thống. Shorewall là một giải pháp tƣơng thích với giao diện tun ảo của Openvpn. Gải pháp này đảm bảo
kiểm soát, thiết lập chính sách cho vùng địa chỉ VPN.
3.2.4 Giải pháp quản trị
Giải pháp quản trị không thể thiếu cho việc quản trị mạng VPN với số lƣợng kết nối lớn. Giải
pháp Openvpn không hỗ trợ một giao diện cho việc quản trị. Công việc quản trị, cấu hình thông qua
dòng lệnh. Việc này gây khó khăn trong quá trình giám sát kết nối vào hệ thống, thực hiện cấu hình đối
với ngƣời mới tiếp cận hệ thống.
3.3 Triển khai ứng dụng
3.3.1 Mô hình Hình 3. 5: Mô hình triển khai VPN
Phân chia các mô hình vật lý
Center Network
Remote Office Network
Site
Wan IP
Ethernet IP
Site
Wan IP

255.255.255.0
Web server

172.20.1.11
PC X

10.0.1.10
APP server

192.168.2.105

Chính sách truy cập: Thiết lập lớp chính sách truy cập cho các lớp khác nhau của ngƣời sử dụng
Lớp
Dải IP ảo
Chính sách
Đặt tên
Nhân viên
172.16.100.0/24
Truy cập email, website
Tên ngƣời dùng
Quản trị
172.16.50.0/24
Toàn quyền truy cập
sysadmin1
Cách tiếp cận cơ bản, tách các lớp ngƣời sử dụng theo dải IP ảo. Kiểm soát truy cập bằng cách
thiết lập chính sách trên firewall áp dụng cho từng dải IP ảo.
Phân hoạch IP: Hệ thống server VPN sẽ đƣợc cấu hình IP public (để đảm bảo các VPN client có

Generating DH parameters, 1024 bit
long safe prime, generator 2
This is going to take a long time
+

./build-key-server server
- Tạo chứng chỉ và khóa cho máy khách
./ build-key client
Cấu hình hệ thống Openvpn:
VPN server
VPN client
port 1554
proto udp
dev tun
server 172.16.100.0 255.255.255.0
ca /etc/openvpn/scfg/ca.crt
cert /etc/openvpn/scfg/server.crt
key /etc/openvpn/scfg/server.key
dh /etc/openvpn/scfg/dh1024.pem
client-to-client
client-config-dir /etc/openvpn/ccfg
management 127.0.0.1 6300
tun-mtu 1300
tun-mtu-extra 32
mssfix 1300
keepalive 10 60
tls-auth ta.key
cipher BF-CBC
max-clients 100
verb 5

sử dụng trong môi trƣờng windows và Linux.
Bƣớc 2: Lấy ID thiết bị etoken
Openvpn sẽ đƣợc cấu hình tìm đến đúng ID của thiết bị token lƣu khóa. Để lấy đƣợc thông số ID
cần thực hiện trỏ tới thƣ viện hỗ trợ thiết bị.
openvpn show-pkcs11-ids /home/anhdoan/epass3003/redist/libshuttle_p11v220.so.1.0.0
Certificate DN: /C=US/ST=CA/L=SanFrancisco/O=Fort-
Funston/CN=etoken/[email protected]
Serial: 03
Serialized id:
Feitian\x20Technologies\x20Co\x2E\x2C\x20Ltd\x2E/ePass3003Auto/0121511609040510/ePass/663
93932353833302D376166312D313165312D383534642D303030633239353937336161
Bƣớc 3: Tạo khóa dạng pksc12 và lƣu khóa vào thiết bị etoken
Tạo khóa
. vars
./build-key-pkcs12 epass3003
Generating a 1024 bit RSA private key
++++++
++++++
Bƣớc tiếp theo lƣu khóa dạng pkcs12 vào thiết bị epass3003 Hình 3. 6: Lưu khóa vào thiết bị epass3003
Bƣớc 4: Sử dụng thiết bị phần cứng token
openvpn config epass3003.conf
3.3.4 Tích hợp tính năng tƣờng lửa
Định ngĩa các phân vùng mạng
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
loc ipv4

- Nghiên cứu, khảo sát, đánh giá các điểm yếu an toàn thông tin của các công nghệ VPN hiện nay.
- Nghiên cứu các công nghệ bảo mật mạng riêng ảo VPN
- Nghiên cứu giải pháp VPN mã nguồn mở, phân tích đánh giá triển khai giải pháp Openvpn

- Triển khai hệ thống mạng riêng ảo VPN trên nền tảng Openvpn áp dụng thực tế yêu cầu trong
mô hình kết nối của Bộ Ngoại giao
o Xây dựng mô hình triển khai
o Nghiên cứu tích hợp hạ tầng PKI, tích hợp giải pháp phần cứng etoken cho việc lƣu trữ
khóa.
o Xây dựng phần mềm quản trị
o Tích hợp giải pháp tƣờng lửa.
Hƣớng phát triển:
- Xây dựng giải pháp hoàn thiện hơn
- Xây dựng giao diện VPN client
- Tích hợp hạ tầng PKI hoàn thiện, có thể sử dụng giải pháp Openca để cấp phát, thu hồi khóa.
References.
1. CARLA SCHRODER (2008),LINUX NETWORKING COOKBOOK, O’REILLY MEDIA, INC., PP.265-286
2. Dave Kosiur (1998), Building and Managing virtual private networks, Wiley computer
publishing, John Wiley & Sons, inc.
3. Markus Feilner (2006),Building and Integrating Virtual Private Networks, Packt Publishing Ltd,
pp. 20-25, 109-125, 155-186
4. Meeta Gupta (2003), Building a Virtual Private Network, Premier Press © 2003.
5. Jon C. Snader (2005), VPNs Illustrated: Tunnels VPNs and Ipsec, Addison Wesley
Professional, pp.
6. Jan Just Keijser (2011), OpenVPN 2 Cookbook, Packt Publishing Ltd, pp.127-148
7. William Stallings (1999), Cryptography and Network Security Principles and Practice 2nd
Edition, Prentice-Hall, inc, pp. 237-259, 271-293