pháp xác thực và vì thế được sử dụng cho các kết nối hướng nội, SOCKS cũng hỗ trợ các giao thức và ứng dụng dựa trên UDP. Phần lớn các trình duyệt Web là SOCKSified và người dùng có thể nhận được các ngăn xếp TCP/IP SOCKSified cho hầu hết các nền 4.4. Giao thức SSL và TLS SSL là giao thức bảo mật được phát triển bởi hãng truyền thông Netscape, cùng với hãng bảo mật dữ liệu RSA. Mục đích chính của giao thức SSL là cung cấp một kênh riêng giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo tính riêng tư của dữ liệu, tính toàn vẹn và xác thực cho các đối tác. SSL cung cấp một khả năng lựa chọn cho API socket TCP/IP chuẩn có thực thi bảo mật bên trong nó. Do đó, về lý thuyết nó có khả năng chạy với bất kỳ ứng dụng TCP/IP nào theo cách an toàn mà không phải thay đổi ứng dụng. Trong thực tế, SSL chỉ được thực thi với các kết nối HTTP, nhưng hãng truyền thông Netscape đã tuyên bố ý định tận dụng nó cho các kiểu ứng dụng khác, như giao thức NNTP và Telnet, và có một số miễn phí sẵn có trên Internet. Ví dụ, IBM đang sử dụng SSL để nâng cao tính bảo mật cho các phiên TN3270 trong các Host của nó, các phương tiện liên lạc cá nhân và các sản phẩm Server, miễn là cấu hình bảo mật truy cập được các Firewall. SSL gồm có 2 tầng: 1. Tại tầng thấp, có một giao thức truyền dữ liệu sử dụng loại mật mã được xác định trước và kết hợp xác thực, gọi là giao thức bản ghi SSL, hình 4.8 minh họa giao thức này, và đối chiếu nó với một kết nối socket HTTP chuẩn Hình 4.8 SSL – so sánh chuẩn giữa chuẩn và phiên SSL 2. Tại tầng trên, có một giao thức cho việc khởi tạo xác thực và truyền các khóa mã hóa, gọi là giao thức thăm dò trước SSL Một phiên SSL được thiết lập như sau: - Một người dùng phía Client(Trình duyệt) yêu cầu một tài liệu bằng một địa chỉ URL xác định bắt đầu bằng https(thay cho http) - Mã phía Client nhận ra SSL yêu cầu và thiết lập một kết nối qua cổng TCP 443 tới mã SSL trên phía Server - Client sau đó khởi tạo pha thăm dò trước SSL, dùng giao thức bản ghi SSL như một sự hỗ trợ. Tại đây không có sự mã hóa hay kiểm tra tính toàn vẹn gắn liền với kết nối. Giao thức SSL đề ra các vấn đề an toàn sau: + Tính riêng tư: Sau khi khóa đối xứng được thiết lập trong khi thăm dò trước để khởi tạo, các thông điệp được mã hóa bằng khóa này. + Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp(MAC) + Tính xác thực: trong khi thăm dò trước, Client xác thực Server sử dụng khóa công khai. Nó cũng có thể dựa trên chứng chỉ TLS được phát triển nhờ sử dụng SSL, giống như SSL, TLS cho phép các Server và Client cuối liên lạc một cách an toàn qua các mạng công cộng không an toàn. Thêm vào các khả năng bảo mật được cung cấp bởi SSL, TLS cũng ngăn chặn kẻ nghe trộm, giả mạo, chặn bắt gói tin. TLS cũng gồm 2 tầng: Giao thức bản ghi TLS và giao thức thăm dò trước TLS. Giao thức bản ghi TLS mang lại sự an toàn bằng cách tận dụng các cơ chế mã hóa, như DES chẳng hạn. Giao thức thăm dò trước TLS cung cấp khả năng xác thực 2 chiều bằng cách cho phép cả Server và Client xác thực lẫn nhau, hơn nữa 2 thực thể muốn liên lạc có thể thương lượng các thuật toán mã hóa và các khóa phục vụ cho việc trao đổi dữ liệu về sau giữa chúng. Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo Server VPN cũng như tại Client đầu cuối 4.5. So sánh giao thức IPSec với SSL Như đã mô tả trong Chương 3, “Các giao thức mạng riêng ảo tại tầng 3”, IPSec cung cấp tính năng mã hoá và xác thực mạnh cho lưu lượng IP và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ nhờ sử dụng IKE. Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính năng này là cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong phần này chúng ta lưu ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và SSL và giải thích những phạm vi nào sử dụng cả hai giao thức. Những điểm giống nhau: - IPSec(qua IKE) và SSL cung cấp xác thực Client và Server - IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ liệu, thậm chí trên các mức khác nhau của chồng giao thức - IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và các hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ (IPSec qua IKE) - IPSec(qua IKE) và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà không phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến Những điểm khác nhau: - SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được thực thi như một khung làm việc tại tầng liên mạng. - SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữa WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới - thiết bị. - SSL không bảo vệ lưu lượng UDP; IPSec thì có - SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường hầm. Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách kiểm tra nội dung và quét virus trước khi nó được phân phối thành công đến đích; IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một đường hầm - SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải (end –to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm IPSec để đạt được mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường hầm cũng có thể được mã hoá. - Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn đề lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian hay kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong suốt với các ứng dụng. Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn có trong một phiên bản SSL-aware. Đây là trường hợp có một ứng dụng chuẩn đa dạng, không chỉ với WebBrowser và WebServer. Ngoài ra, nếu có tuỳ chọn của việc thực thi khái niệm 3-tier bằng cách tận dụng các cổng ứng dụng Web tại vành đai của mạng, SSL là một sự lựa chọn tốt. Nếu có một số lượng lớn các ứng dụng để bảo đảm an toàn có thể phải chọn giải pháp tốt hơn cho mạng. Trong trường hợp này, IPSec là sự lựa chọn tốt hơn. Trừ khi tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách bảo mật yêu cầu nhiều mức khác nhau và sự kết hợp của xác thực, mã hoá và đường hầm. Cuối cùng nhưng không kém phần quan trọng, sự lựa chọn một công nghệ bảo mật thích hợp còn phụ thuộc vào mô hình giao dịch. Nếu mục đích của các Server ứng dụng là phải có khả năng truy cập mạng công cộng thì một thiết kế dựa trên Web và công nghệ bảo mật dựa trên SSL có lẽ là lựa chọn đúng. SSL là sẵn có trên bất kỳ một trình duyệt Web chuẩn nào và đó sẽ chỉ là công cụ được sử dụng và yêu cầu bởi người dùng. Tuy nhiên, những người dùng nên được hạn chế truy cập tới Server ứng dụng hay mạng của chúng ta, khi đó một mạng riêng ảo dựa trên IPSec và có thể cả một số công nghệ đường hầm tầng 2 là giải pháp được ưa thích hơn. Trong trường hợp này, những người tham gia và vai trò của họ trong việc trao đổi dữ liệu sẽ được xác định trước. Tổng kết chương IV Trong chương này chúng ta đã nghiên cứu thêm một số công nghệ bảo mật bổ sung cho mạng riêng ảo giúp cho người dùng cũng cố vững chắc quá trình truyền dữ liệu dựa trên mạng riêng ảo. Chúng ta đã xem xét về kỹ thuật xác thực từ xa như RADIUS, TACACS. Đây là những Server xác thực từ xa sẽ xác thực các yêu cầu kết nối từ xa. Các Server này có thể tự xác thực người dùng từ xa hoặc chuyển tiếp thông tin người dùng tới một cơ sở dữ liệu trung tâm để xác minh. Chúng ta cũng xem xét các công nghệ bảo mật như NAT, SOCKS, SSL và cả TLS, những công nghệ này khi sử dụng với mạng riêng ảo có thể giúp cho người dùng có được môi trường an toàn hơn để truyền dữ liệu qua Internet và các mạng công cộng. . IPSec cung cấp tính năng bảo mật từ thiết bị - tới - thiết bị. - SSL không bảo vệ lưu lượng UDP; IPSec thì có - SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường hầm nhau: - SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được thực thi như một khung làm việc tại tầng liên mạng. - SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng. phối thành công đến đích; IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một đường hầm - SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ