NAT

Là kỹ thuật mạng cho phép nhiều thiết bị trong mạng nội bộ (LAN) chia sẻ chung một địa chỉ IP công cộng để truy cập Internet, giúp tận dụng, tiết kiệm địa chỉ IP và tăng cường bảo mật bằng cách ẩn danh các địa chỉ IP riêng tư (private IP). Chuyển đổi địa chỉ IP nội bộ thành IP công cộng khi dữ liệu đi ra ngoài và ngược lại khi dữ liệu về.

NAT sử dụng IP của chính nó làm IP công cộng cho mỗi máy con (client) với IP riêng. Khi một máy con thực hiện kết nối hoặc gửi dữ liệu tới một máy tính nào đó trên Internet, dữ liệu sẽ được gửi tới NAT, sau đó NAT sẽ thay thế địa chỉ IP gốc của con máy đó rồi gửi gói dữ liệu với địa chỉ IP của NAT. Máy đích khi nhận được tín hiệu sẽ thay thế địa chỉ IP gốc của máy con (client) đó rồi gửi gói dữ liệu đi với địa chỉ của NAT. Máy đích khi nhận được tín hiệu sẽ gửi gói tin về cho NAT computer bởi khi này chúng nghĩ rằng NAT computer là máy đã gửi tín hiệu đi. NAT ghi lại bảng thông tin của những máy tính đã gửi đi những gói thông tin ra ngoài trên mỗi cổng dịch vụ và gửi những gói tin nhận được về đúng client đó.

NAT có khả năng quản lý, theo dõi các kết nối và đảm bảo gói tin gửi đến đúng thiết bị nhờ sử dụng số cổng (port) để phân biệt.

NAT xử lý một gói tin xuất phát từ bên trong đi ra bên ngoài mạng theo cách thức sau:

• Khi NAT nhận được một gói tin từ một cổng bên trong, gói tin này đáp ứng các tiêu chuẩn thì NAT, Router sẽ tìm kiếm trong bảng NAT địa chỉ bên ngoài của gói tin. Nếu không có, không tìm thấy thì gói tin đó sẽ bị loại bỏ
• Nếu có một hàng trong bảng NAT là tìm thấy, trong hàng này địa chỉ đích của gói tin bằng với địa chỉ outside local, NAT sẽ thay thế địa chỉ đích trong gói tin bằng địa chỉ outside global theo thông tin trong bảng NAT.
• Tiến trình NAT tiếp tục tìm kiếm bảng NAT để xem có một địa chỉ Inside local nào bằng với địa chỉ nguồn của gói tin hay không. Nếu có một hàng là tìm thấy, NAT tiếp tục thay thế địa chỉ nguồn của gói tin bằng địa chỉ Inside global. Nếu không có một hàng nào được tìm thấy, NAT sẽ tạo ra một hàng mới trong bảng NAT và chèn địa chỉ mới vào trong gói tin.
• Nếu không có hàng nào trong bảng NAT được tìm thấy, gói tin sẽ bị loại bỏ. Nếu có một hàng tìm thấy trong bảng NAT thì nó sẽ thay thế địa chỉ đích bằng địa chỉ Inside local từ bảng NAT. - Router tìm kiếm bảng NAT để tìm ra địa chỉ Outside global bằng với địa chỉ nguồn của gói tin. Nếu có một hàng là tìm thấy, NAT sẽ thay thế địa chỉ đích bằng địa Outside local từ bảng NAT. Nếu NAT không tìm thấy một hàng nào, nó sẽ tạo ra một hàng mới trong bảng NAT

Các loại NAT phổ biến:

• Static NAT: ánh xạ 1-1, cố định giữa IP nội bộ và IP công cộng
• Dynamic NAT: ánh xạ động từ nhóm IP nội bộ sang nhóm IP công cộng có sẵn
• PAT/NAT overload: cho phép nhiều IP nội bộ cùng sử dụng một IP công cộng duy nhất bằng cách dùng số cổng khác nhau để phân biệt

VPN

Virtual Private Networks (VPNs) là một mạng riêng ảo cho phép người dùng kết nối từ xa đến mạng nội bộ qua đường hầm an toàn, bảo vệ dữ liệu bằng cách mã hóa và xác thực. Cung cấp quyền truy cập vào các dịch vụ nội bộ và bảo vệ như email/công cụ hợp tác, kho tài liệu nhạy cảm, và tường lửa/gateway chu vi, đảm bảo dữ liệu không bị chặn hoặc sửa đổi.
Các giao thức phổ biến bao gồm OpenVPN, IKEv2/IPsec, WireGuard, L2TP/IPsec, và SSTP

• Tạo đường hầm mã hóa: Khi bạn kết nối VPN, một "đường hầm" ảo, được mã hóa (encrypted tunnel) được thiết lập giữa thiết bị của bạn và máy chủ VPN.
• Mã hóa dữ liệu: Mọi dữ liệu bạn gửi đi và nhận về đều được mã hóa trước khi ra khỏi thiết bị, khiến tin tặc hoặc bên thứ ba không thể đọc được.
• Ẩn địa chỉ IP: Dữ liệu được gửi đến máy chủ VPN trước, sau đó mới đến đích cuối cùng. Do đó, các trang web và dịch vụ chỉ thấy địa chỉ IP của máy chủ VPN chứ không phải IP thật của bạn.
• Định tuyến lưu lượng: Lưu lượng truy cập Internet của bạn được chuyển hướng (định tuyến) qua máy chủ VPN, giúp bạn trông như đang truy cập từ vị trí của máy chủ đó.

Các bước để thiết lập kết nối VPN:

• Giai đoạn khởi đầu:

  • Xác thực người dùng: xác minh danh tính của người dùng đang cố gắng truy cập mạng
  • Sau khi xác thực thành công: máy khách và máy chủ bắt đầu quá trình thiết lập kết nối: bao gồm việc thương lượng phiên bản, máy khách và máy chủ thống nhất phiên bản giao thức bảo mật VPN sẽ sử dụng, chọn bộ mã hóa, quyết định thuật toán mã hóa và phương pháp trao đổi khóa

• Xây dựng đường hầm:

  • Sau khi quá trình bắt tay giữa máy khách và máy chủ hoàn tất, trọng tâm chuyển sang thiết lập đường hầm VPN. Cả máy khách và máy chủ thống nhất một giao thức đường hầm
  • Sau khi lựa chọn giao thức, việc tạo kênh bảo mật bắt đầu bằng việc trao đổi khóa

• Chuyển dữ liệu:

  • Sau khi thiết lập được kênh bảo mật, phân bổ địa chỉ IP cho máy khách để vào mạng
  • Chuyển mạch và định tuyến gói

• Định tuyến mạng và truy cập tài nguyên:

  • Công nghệ VPN cung cấp 2 phương pháp chính để định tuyến lưu lượng truy cập của khách hàng đến mạng doanh nghiệp là phân luồng đường hầm và đường hầm toàn phần
  • Kiểm soát và truy cập chính sách mạng

• Quản lý kết nối liên tục:

  • Kiểm tra tính toàn vẹn và cơ chế bảo vệ dữ liệu
  • Thông báo về độ ổn định kết nối và điều khiển

• Chấm dứt kết nối

  • Quá trình ngắt kết nối bắt đầu khi phần mềm VPN của người dùng gửi tín hiệu đến máy chủ để kết thúc phiên. Tín hiệu này sẽ bắt đầu một loạt các thông báo xác nhận việc đóng đường hầm.
  • Sau khi kết thúc phiên thì dọn dẹp phiên

DNS

DNS (Hệ thống Tên miền) vừa là một hệ thống phân tán rộng lớn trên internet, vừa hoạt động dựa trên một tập hợp các giao thức (như UDP và TCP) để dịch tên miền dễ nhớ (ví dụ: google.com) thành địa chỉ IP số (ví dụ: 142.250.186.46), giúp các thiết bị có thể tìm và kết nối với nhau, hoạt động như một "danh bạ điện thoại" khổng lồ cho internet. DNS không chỉ dịch tên miền mà còn liên kết các thông tin khác như địa chỉ mail exchanger (MX) hoặc xác thực (TXT). Hệ thống DNS bao gồm các thành phần như recursive resolver (xử lý truy vấn từ client), root name server (điểm khởi đầu), TLD nameserver (quản lý miền cấp cao như .com), và authoritative nameserver (nguồn chính thức cho miền cụ thể) Có 4 máy chủ DNS tham gia vào quá trình tải trang web:

• Máy chủ đệ quy DNS: Như người thủ thư, nhận yêu cầu từ máy khách (trình duyệt), chịu trách nhiệm thực hiện toàn bộ các truy vấn bổ sung để tìm địa chỉ IP.
• Máy chủ tên miền gốc (Root Name Server): Như mục lục thư viện, là bước đầu tiên, chỉ dẫn đến các máy chủ TLD cụ thể.
• Máy chủ tên miền cấp cao nhất (TLD Nameserver): Như một giá sách riêng (ví dụ: kệ “.com”), lưu trữ thông tin về phần cuối của tên miền (.com, .vn…).
• Máy chủ tên miền có thẩm quyền (Authoritative Nameserver): Như cuốn từ điển trên giá sách, là điểm dừng cuối cùng, chứa bản ghi chính xác và trả về địa chỉ IP cho máy chủ đệ quy.

Quy trình tra cứu và hoạt động của DNS:

1. Người dùng nhập 'example.com' vào trình duyệt web và truy vấn này sẽ được truyền đi trên Internet và được nhận bởi một bộ phân giải đệ quy DNS.
2. Sau đó, trình phân giải sẽ truy vấn máy chủ tên gốc
3. Máy chủ gốc sau đó phản hồi lại trình phân giải bằng địa chỉ của máy chủ DNS tên miền cấp cao nhất (TLD) (chẳng hạn như .com hoặc .net), nơi lưu trữ thông tin cho các tên miền của nó. Khi tìm kiếm ví dụ như example.com, yêu cầu của chúng ta được hướng đến TLD .com.
4. Sau đó, trình phân giải sẽ gửi yêu cầu đến tên miền cấp cao nhất .com.
5. Máy chủ TLD sau đó sẽ phản hồi bằng địa chỉ IP của máy chủ tên miền, ví dụ: example.com.
6. Cuối cùng, trình phân giải đệ quy sẽ gửi truy vấn đến máy chủ tên miền.
7. Địa chỉ IP của example.com sau đó được máy chủ tên miền trả về cho trình phân giải.
8. Sau đó, trình phân giải DNS sẽ phản hồi lại trình duyệt web bằng địa chỉ IP của tên miền được yêu cầu ban đầu.
9. Trình duyệt thực hiện yêu cầu HTTP đến địa chỉ IP.
10. Máy chủ tại địa chỉ IP đó sẽ trả về trang web để hiển thị trong trình duyệt (bước 10).