- Các cổng nối mức ứng dụng thiếu hỗ trợ UDP. - Các cổng mạch vòng thường được dùng cho các kết nối hướng ngoại, trong khi các cổng nối mức ứng dụng thường được dùng cho cả kết nối hướng ngoại và hướng ngoại Thông thường, trong trường hợp sử dụng kết hợp cả 2 loại, cổng mạch vòng thường được dùng cho các kết nối hướng ngoại còn cổng nối mức ứng dụng được dùng cho các kết nối hướng nội để thoả mãn yêu cầu bảo mật và yêu cầu của người dùng. Một ví dụ dễ hiểu về cổng mạch vòng là SOCKS. Vì dữ liệu đi qua SOCKS không được giám sát hoặc lọc, một vấn đề bảo mật có thể nảy sinh. Để tối thiểu hoá các vấn đề bảo mật, các tài nguyên và dịch vụ tin cậy nên được dùng cho mạng ngoài (mạng không an toàn) Hình 4.7 Cổng mạch vòng SOCKS là một chuẩn cho các cổng mạch vòng. Nó không yêu cầu overhead của nhiều hơn một Server uỷ quyền thông thường trong đó một người dùng phải chủ ý kết nối trước hết là tới firewall trước khi có yêu cầu thứ 2 là kết nối tới đích. Người dùng khởi động một ứng dụng phía Client với địa chỉ IP của Server đích. Thay vì trực tiếp khởi động một phiên với Server đích, Client khởi tạo một phiên với Server SOCKS trên Firewall. Server SOCKS sau đó xác minh địa chỉ nguồn và ID người dùng được cho phép để thiết lập kết nối tới mạng không an toàn, và sau đó tạo ra phiên thứ 2. SOCKS cần có một phiên bản mã nguồn Client mới và một tập riêng biệt các chính sách cấu hình trên Firewall. Tuy nhiên, máy server không cần thay đổi, thật vậy, nó không cần biết rằng phiên đang được tiếp bởi Server SOCKS. Cả Client và Server SOCKS đều cần có mã SOCKS. Server SOCKS hoạt động như một router mức ứng dụng giữa Client và Server ứng dụng thực. SOCKSv4 chỉ với các phiên TCP hướng ngoại. Nó rất đơn giản cho mạng riêng của người dùng, nhưng không được phân phối mật khẩu an toàn vì vậy nó không được dùng cho các phiên giữa người dùng mạng công cộng và các ứng dụng mạng riêng. SOCKSv5 với một số phương pháp xác thực và vì thế được sử dụng cho các kết nối hướng nội, SOCKS cũng hỗ trợ các giao thức và ứng dụng dựa trên UDP. Phần lớn các trình duyệt Web là SOCKSified và người dùng có thể nhận được các ngăn xếp TCP/IP SOCKSified cho hầu hết các nền 4.4. Giao thức SSL và TLS SSL là giao thức bảo mật được phát triển bởi hãng truyền thông Netscape, cùng với hãng bảo mật dữ liệu RSA. Mục đích chính của giao thức SSL là cung cấp một kênh riêng giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo tính riêng tư của dữ liệu, tính toàn vẹn và xác thực cho các đối tác. SSL cung cấp một khả năng lựa chọn cho API socket TCP/IP chuẩn có thực thi bảo mật bên trong nó. Do đó, về lý thuyết nó có khả năng chạy với bất kỳ ứng dụng TCP/IP nào theo cách an toàn mà không phải thay đổi ứng dụng. Trong thực tế, SSL chỉ được thực thi với các kết nối HTTP, nhưng hãng truyền thông Netscape đã tuyên bố ý định tận dụng nó cho các kiểu ứng dụng khác, như giao thức NNTP và Telnet, và có một số miễn phí sẵn có trên Internet. Ví dụ, IBM đang sử dụng SSL để nâng cao tính bảo mật cho các phiên TN3270 trong các Host của nó, các phương tiện liên lạc cá nhân và các sản phẩm Server, miễn là cấu hình bảo mật truy cập được các Firewall. SSL gồm có 2 tầng: 1. Tại tầng thấp, có một giao thức truyền dữ liệu sử dụng loại mật mã được xác định trước và kết hợp xác thực, gọi là giao thức bản ghi SSL, hình 4.8 minh họa giao thức này, và đối chiếu nó với một kết nối socket HTTP chuẩn Hình 4.8 SSL – so sánh chuẩn giữa chuẩn và phiên SSL 2. Tại tầng trên, có một giao thức cho việc khởi tạo xác thực và truyền các khóa mã hóa, gọi là giao thức thăm dò trước SSL Một phiên SSL được thiết lập như sau: - Một người dùng phía Client(Trình duyệt) yêu cầu một tài liệu bằng một địa chỉ URL xác định bắt đầu bằng https(thay cho http) - Mã phía Client nhận ra SSL yêu cầu và thiết lập một kết nối qua cổng TCP 443 tới mã SSL trên phía Server - Client sau đó khởi tạo pha thăm dò trước SSL, dùng giao thức bản ghi SSL như một sự hỗ trợ. Tại đây không có sự mã hóa hay kiểm tra tính toàn vẹn gắn liền với kết nối. Giao thức SSL đề ra các vấn đề an toàn sau: + Tính riêng tư: Sau khi khóa đối xứng được thiết lập trong khi thăm dò trước để khởi tạo, các thông điệp được mã hóa bằng khóa này. + Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp(MAC) + Tính xác thực: trong khi thăm dò trước, Client xác thực Server sử dụng khóa công khai. Nó cũng có thể dựa trên chứng chỉ TLS được phát triển nhờ sử dụng SSL, giống như SSL, TLS cho phép các Server và Client cuối liên lạc một cách an toàn qua các mạng công cộng không an toàn. Thêm vào các khả năng bảo mật được cung cấp bởi SSL, TLS cũng ngăn chặn kẻ nghe trộm, giả mạo, chặn bắt gói tin. TLS cũng gồm 2 tầng: Giao thức bản ghi TLS và giao thức thăm dò trước TLS. Giao thức bản ghi TLS mang lại sự an toàn bằng cách tận dụng các cơ chế mã hóa, như DES chẳng hạn. Giao thức thăm dò trước TLS cung cấp khả năng xác thực 2 chiều bằng cách cho phép cả Server và Client xác thực lẫn nhau, hơn nữa 2 thực thể muốn liên lạc có thể thương lượng các thuật toán mã hóa và các khóa phục vụ cho việc trao đổi dữ liệu về sau giữa chúng. Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo Server VPN cũng như tại Client đầu cuối 4.5. So sánh giao thức IPSec với SSL Như đã mô tả trong Chương 3, “Các giao thức mạng riêng ảo tại tầng 3”, IPSec cung cấp tính năng mã hoá và xác thực mạnh cho lưu lượng IP và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ nhờ sử dụng IKE. Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính năng này là cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong phần này chúng ta lưu ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và SSL và giải thích những phạm vi nào sử dụng cả hai giao thức. Những điểm giống nhau: - IPSec(qua IKE) và SSL cung cấp xác thực Client và Server - IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ liệu, thậm chí trên các mức khác nhau của chồng giao thức - IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và các hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ (IPSec qua IKE) - IPSec(qua IKE) và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà không phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến Những điểm khác nhau: - SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được thực thi như một khung làm việc tại tầng liên mạng. - SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữa WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới - thiết bị. - SSL không bảo vệ lưu lượng UDP; IPSec thì có - SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường hầm. Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách kiểm tra nội dung và quét virus trước khi nó được phân phối thành công đến đích; IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một đường hầm - SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải (end –to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm IPSec để đạt được mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường hầm cũng có thể được mã hoá. - Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn đề lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian hay kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong suốt với các ứng dụng. Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn có trong một phiên bản SSL-aware. Đây là trường hợp có một ứng dụng chuẩn đa dạng, không chỉ với WebBrowser và WebServer. Ngoài ra, nếu có tuỳ chọn của việc thực thi khái niệm 3-tier bằng cách tận dụng các cổng ứng dụng Web tại vành đai của mạng, SSL là một sự lựa chọn tốt. Nếu có một số lượng lớn các ứng dụng để bảo đảm an toàn có thể phải chọn giải pháp tốt hơn cho mạng. Trong trường hợp này, IPSec là sự lựa chọn tốt hơn. Trừ khi tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách bảo mật . WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới - thiết bị. - SSL không bảo vệ lưu lượng UDP; IPSec thì có - SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường. bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo Server VPN cũng như tại Client đầu cuối 4.5. So sánh giao thức IPSec với SSL Như đã mô tả trong Chương 3, “Các giao thức mạng riêng ảo. nhau: - SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được thực thi như một khung làm việc tại tầng liên mạng. - SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng