Tải về
Quay lại blog
Hướng dẫn··9 phút đọc

VPN Là Gì? Hướng Dẫn Toàn Diện

Ngôn ngữ: EnglishالعربيةDeutschEspañolفارسیFrançaisहिन्दीBahasa IndonesiaItaliano日本語한국어PolskiPortuguêsРусскийไทยTürkçeУкраїнська简体中文繁體中文

Mạng riêng ảo — VPN — là dịch vụ định tuyến toàn bộ lưu lượng internet của thiết bị qua một đường hầm được mã hóa đến máy chủ do nhà cung cấp vận hành. Hướng dẫn này giải thích cách VPN hoạt động ở cấp độ kỹ thuật, những gì nó có thể và không thể làm cho quyền riêng tư và bảo mật, cũng như cách đánh giá các lựa chọn hiện có.

VPN Thực Sự Làm Gì

Ứng dụng VPN tạo ra một đường hầm mạng giữa thiết bị của người dùng và một máy chủ từ xa. Toàn bộ lưu lượng internet từ thiết bị được đóng gói, mã hóa và gửi qua đường hầm này đến máy chủ, sau đó máy chủ chuyển tiếp lưu lượng đến đích trên internet công cộng. Lưu lượng trả về đi theo chiều ngược lại.

Có hai thay đổi thực tế từ cách bố trí này. Thứ nhất, các mạng giữa thiết bị và máy chủ VPN — bao gồm Wi-Fi cục bộ, nhà cung cấp dịch vụ internet và bất kỳ mạng trung gian nào — chỉ thấy lưu lượng được mã hóa giữa thiết bị và máy chủ VPN. Thứ hai, internet công cộng thấy các yêu cầu xuất phát từ địa chỉ IP của máy chủ VPN thay vì địa chỉ thực của thiết bị.

Do đó, VPN thay đổi ai có thể quan sát lưu lượng và địa chỉ nào hiển thị với các dịch vụ từ xa. Bản thân nó không làm cho kết nối trở nên ẩn danh, cũng không loại bỏ hoàn toàn mọi hình thức theo dõi.

Cách VPN Hoạt Động

Cơ chế cốt lõi là đóng gói kết hợp với mã hóa. Khi VPN client đang hoạt động, hệ điều hành định tuyến các gói tin đi qua giao diện mạng ảo do ứng dụng VPN tạo ra. Mỗi gói tin được bọc bên trong một gói tin mới — đóng gói — và mã hóa bằng khóa phiên được thỏa thuận khi kết nối được thiết lập.

Đường Hầm (Tunneling)

Đóng gói có nghĩa là gói tin gốc — bao gồm địa chỉ đích và nội dung — trở thành phần nội dung của một gói tin bên ngoài được gửi đến máy chủ VPN. Gói tin bên ngoài truyền qua internet công cộng đến máy chủ, nơi giải mã nội dung và chuyển tiếp gói tin gốc đi tiếp.

Mã Hóa (Encryption)

Các giao thức VPN hiện đại sử dụng thuật toán mã hóa xác thực như ChaCha20-Poly1305 hoặc AES-GCM. Các khóa phiên được thỏa thuận khi kết nối bằng các giao thức trao đổi khóa xây dựng trên mật mã khóa công khai. Điều này đảm bảo rằng một kẻ quan sát đứng giữa kết nối không thể đọc lưu lượng được đóng gói hoặc sửa đổi nó mà không bị phát hiện.

Định Tuyến và DNS

Ngoài mã hóa, ứng dụng VPN cũng cấu hình lại bảng định tuyến của hệ điều hành để toàn bộ lưu lượng — hoặc trong một số cấu hình, chỉ các đích cụ thể — được gửi qua đường hầm. Các truy vấn DNS cũng thường được định tuyến qua VPN để ngăn rò rỉ ra mạng cục bộ.

Các Trường Hợp Sử Dụng Phổ Biến

VPN phục vụ nhiều mục đích khác nhau, và cấu hình nhà cung cấp phù hợp phụ thuộc vào mục tiêu chính là gì.

  • Bảo mật trên mạng cục bộ. Các kết nối Wi-Fi công cộng — quán cà phê, khách sạn, sân bay — có thể để lộ lưu lượng chưa mã hóa cho những người dùng khác trên cùng mạng. VPN loại bỏ rủi ro này vì lưu lượng được mã hóa trước khi rời thiết bị.
  • Bảo mật trước nhà cung cấp dịch vụ internet. ISP có thể quan sát đích của các truy vấn DNS chưa mã hóa và siêu dữ liệu của các kết nối TLS. VPN chuyển khả năng hiển thị này từ ISP sang nhà cung cấp VPN.
  • Chọn vị trí địa lý (đổi IP). Một số dịch vụ hạn chế quyền truy cập dựa trên địa chỉ IP của người dùng. VPN cho phép người dùng có vẻ như đang kết nối từ quốc gia nơi máy chủ VPN đặt tại đó — hữu ích để vượt tường lửa hoặc truy cập nội dung bị chặn.
  • Truy cập mạng cho tổ chức. VPN doanh nghiệp được dùng để cho phép nhân viên làm việc từ xa truy cập các dịch vụ nội bộ riêng không được công khai trên internet.

Giao Thức Trong VPN Hiện Đại

Giao thức xác định cách đường hầm được thiết lập, thuật toán mã hóa nào được sử dụng và cách kết nối hoạt động khi mất gói tin hoặc thay đổi mạng. Các giao thức phổ biến nhất trong dịch vụ VPN dành cho người dùng là WireGuard, OpenVPN và IKEv2/IPsec.

WireGuard là giao thức mới nhất trong ba loại. Nó sử dụng một tập hợp nhỏ các nguyên thủy mật mã hiện đại, chứa khoảng bốn nghìn dòng mã và được tích hợp vào nhân Linux cũng như hầu hết các hệ điều hành dành cho người dùng. Thiết kế của nó ưu tiên sự đơn giản, hiệu suất và bề mặt kiểm tra nhỏ.

OpenVPN cũ hơn và linh hoạt hơn đáng kể: nó hỗ trợ nhiều bộ mã hóa, phương thức truyền tải và tùy chọn cấu hình. Sự linh hoạt đi kèm với sự phức tạp. OpenVPN vẫn được triển khai rộng rãi, đặc biệt trong môi trường doanh nghiệp.

IKEv2/IPsec được tích hợp sẵn trong iOS, macOS và Windows. Nó hoạt động tốt trên thiết bị di động và xử lý các thay đổi mạng — ví dụ, chuyển đổi giữa Wi-Fi và dữ liệu di động — một cách mượt mà.

So sánh chi tiết giữa hai giao thức phổ biến nhất dành cho người dùng có trong bài so sánh WireGuard và OpenVPN.

VPN So Với Proxy và Tor

VPN đôi khi bị nhầm lẫn với proxy và mạng Tor. Cơ chế và mô hình mối đe dọa của chúng khác nhau.

Máy chủ proxy chuyển tiếp lưu lượng của một ứng dụng cụ thể — thường là HTTP — đến đích thay cho người dùng. Proxy thường không tự mã hóa lưu lượng và hoạt động ở cấp độ ứng dụng thay vì cấp độ mạng.

Tor là mạng ẩn danh định tuyến lưu lượng qua ba relay được chọn từ một tập hợp do tình nguyện viên vận hành, mã hóa mỗi chặng riêng biệt. Tor cung cấp tính ẩn danh trước mạng — không relay nào có thể quan sát cả nguồn gốc lẫn đích — nhưng nó chậm hơn VPN và không phù hợp cho các tác vụ cần băng thông cao.

VPN cung cấp mã hóa trước mạng cục bộ và thay đổi địa chỉ IP có thể quan sát được, nhưng nó chuyển sự tin tưởng sang nhà cung cấp VPN, người thấy địa chỉ thực của người dùng và các đích mà người dùng truy cập.

Những Giới Hạn Cần Hiểu

VPN là một thành phần trong một chiến lược bảo vệ quyền riêng tư toàn diện hơn và không nên được coi là giải pháp hoàn chỉnh. Một số giới hạn quan trọng cần lưu ý.

Nhà cung cấp VPN là điểm tin tưởng mới. Trước đây ISP có khả năng hiển thị các kết nối, nay nhà cung cấp VPN có khả năng hiển thị tương đương. Do đó, độ tin cậy của chính sách không lưu nhật ký và thiết kế hạ tầng của nhà cung cấp trở nên quan trọng. Hướng dẫn của chúng tôi về chính sách VPN không lưu nhật ký đề cập đến ý nghĩa thực sự của những tuyên bố đó.

Bảo mật đầu cuối không thay đổi. VPN không bảo vệ khỏi phần mềm độc hại đang chạy trên thiết bị, các cuộc tấn công lừa đảo (phishing), tiện ích mở rộng trình duyệt bị xâm phạm, hoặc việc theo dõi bởi các ứng dụng đã được cấp quyền truy cập dữ liệu của người dùng.

Theo dõi ở cấp độ website vẫn tiếp tục. VPN thay đổi địa chỉ IP hiển thị với các dịch vụ từ xa nhưng không ảnh hưởng đến cookie, dấu vân tay trình duyệt, hoặc các tài khoản mà người dùng đã đăng nhập.

Chọn Nhà Cung Cấp

Khi đánh giá các dịch vụ VPN, có một số yếu tố đáng xem xét.

  • Hỗ trợ giao thức. Các nhà cung cấp hiện đại nên hỗ trợ WireGuard hoặc IKEv2/IPsec. OpenVPN vẫn là lựa chọn hợp lý cho khả năng tương thích.
  • Chính sách quyền riêng tư và lịch sử kiểm tra.Chính sách quyền riêng tư ngắn gọn, cụ thể với kết quả kiểm tra độc lập đáng tin cậy hơn nội dung marketing tuyên bố “mã hóa cấp quân sự” mà không có thêm chi tiết.
  • Yêu cầu tài khoản. Các dịch vụ hoạt động mà không cần tài khoản người dùng lưu giữ ít dữ liệu hơn và giảm lượng thông tin có thể bị lộ khi xảy ra vi phạm.
  • Triển khai kill switch. Kill switch hoạt động đúng ngăn lưu lượng bị lộ nếu đường hầm bị ngắt kết nối. Tổng quan của chúng tôi về VPN kill switch giải thích cách xác minh nó đang hoạt động đúng.
  • Quyền tài phán. Quốc gia nơi nhà cung cấp được thành lập ảnh hưởng đến chế độ pháp lý mà họ hoạt động theo.

Snap VPN được xây dựng dựa trên một số nguyên tắc này: một giao thức duy nhất, không cần tài khoản người dùng, kill switch được bật mặc định, và mạng máy chủ được chọn lọc trên ba khu vực thay vì hàng chục vị trí ít được sử dụng. Các bước cấu hình chi tiết được ghi lại trong hướng dẫn cài đặt trên iPhone.

The Snap VPN Team
Editorial