Bảo mật trong SSL -VPN
Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN MỤC LỤC MỤC LỤC LỜI NÓI ĐẦU CHƯƠNG GIỚI THIỆU VỀ SSL VPN .4 1.1 Khái niệm VPN 1.2 IPSec VPN SSL VPN 1.2.1 IPSec VPN .4 1.2.2 SSL VPN .6 1.2.3 So sánh IPSec SSL VPN 1.3 Khái niệm mạng tin cậy mơ hình kết nối SSL VPN 1.3.1 Khái niệm mạng tin cậy .7 1.3.2 Khái niệm vùng cách ly DMZ Chương HOẠT ĐỘNG CỦA SSL VPN 10 2.1 Thiết bị Phần mềm .10 2.2 Giao thức SSL 11 2.2.1 Lịch sử đời .11 2.2.2 Tổng quan công nghệ SSL 14 2.3 Thiết lập đường hầm bảo mật sử dụng SSL 17 2.3.1 Các đường hầm bảo mật 18 2.3.2 SSL mơ hình OSI 19 CHƯƠNG 3: BẢO MẬT TRONG SSL VPN .21 3.1 Nhận thực Xác thực 21 3.1.1 Nhận thực 21 3.1.2 Đăng nhập lần 24 3.1.3 Xác thực .24 3.2 Các vấn đề bảo mật đầu cuối 25 3.2.1 Vấn đề liệu nhạy cảm vùng khơng an tồn giải pháp 26 3.2.3 Vấn đề người dùng quên đăng xuất giải pháp .33 3.3.2 Vấn đề virus xâm nhập vào hệ thống mạng công ty qua SSL VPN 37 3.2.4 Vấn đề sâu xâm nhập vào mạng công ty qua SSL VPN giải pháp .38 3.2.5 Vấn đề vùng khơng an tồn 40 3.2.6 Các hacker kết nối tới mạng công ty 43 TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN 3.2.7 Vấn đề rò rỉ thơng tin mạng nội giải pháp 43 3.2.8 Đầu cuối tin cậy 45 3.2.9 Phân cấp truy cập dựa tình trạng điểm cuối 46 3.3 Vấn đề bảo mật phía máy chủ 48 3.3.1 Vấn đề tường lửa công nghệ bảo mật khác bị công giải pháp .48 3.3.2 Vấn đề yếu điểm mức ứng dụng giải pháp .53 3.3.3 Mã hóa 55 3.3.4 Cập nhật máy chủ SSL VPN 55 3.3.5 So sánh Linux Windows 55 3.3.6 Một vài khái niệm bảo mật khác thiết bị SSL VPN .55 KẾT LUẬN 57 TÀI LIỆU THAM KHẢO 58 TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN LỜI NÓI ĐẦU Ngày nay, phát triển khoa học công nghệ làm thay đổi nhiều mặt thương mại, đóng góp vào phát triển kinh tế giới Trong đó, cơng nghệ thơng tin truyền thơng có vai trò quan trọng Cùng với phát triển thương mại, nhu cầu trao đổi thông tin chi nhánh vùng khác dẫn tới đời công nghệ mạng riêng ảo VPN Mạng VPN tận dụng ưu điểm sở hạ tầng Internet sẵn có, thiết lập kết nối riêng ảo với chi phí thấp so với đường truyền kênh riêng Vì vậy, VPN giải pháp tối ưu cho doanh nghiệp Các giải pháp VPN phổ biến trước dựa IPSec Tuy nhiên, giải pháp IPSec VPN có nhiều nhược điểm người dùng phải cấu hình client, khơng tương thích với giao thức phân giải địa NAT, thực kết nối mạng mà không quan tâm đến điểm kết nối Do vậy, IPSec VPN thích hợp cho kết nối vùng – vùng Nhưng với phát triển thương mại ngày nay, ngày nhiều công ty muốn nhân viên đối tác họ kết nối tới mạng nội từ đâu SSL VPN giải pháp toàn diện cho trường hợp SSL VPN trở thành giải pháp VPN hữu hiệu nhất, nay, hỗ trợ kết nối mạng, kết nối ứng dụng web, nonweb,… TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN CHƯƠNG GIỚI THIỆU VỀ SSL VPN 1.1 Khái niệm VPN Định nghĩa VPN kết nối bảo mật hai nhiều địa điểm qua mạng công cộng Cụ thể VPN mạng liệu cá nhân xây dựng dựa tảng truyền thông công cộng VPN cung cấp truyền dẫn liệu bảo mật cách tạo đường hầm liệu hai điểm, cách sử dụng mã hóa để chắn khơng có hệ thống khác ngồi điểm cuối hiểu liệu Hình 1.1 ví dụ Hình 1.1 Mơ hình VPN Người dùng từ xa kết nối tới Internet qua nhà cung cấp dịch vụ, nhà cung cấp VPNT, Viettel, EVN,… Hình mô tả khái niệm VPN, VPN ẩn mã hóa liệu, dó làm cho hacker khơng thể bắt gói liệu người dùng 1.2 IPSec VPN SSL VPN 1.2.1 IPSec VPN IPSec mã hóa tất liệu giải mã liệu vào, sử dụng mạng công cộng, Internet làm phương tiện trung chuyển IPSec VPN thường tận dụng giao thức lớp mơ hình OSI, thực kỹ thuật khác nhau: TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng - Bảo mật SSL VPN Authentication Header (AH) hay mào đầu nhận thực Encapsulating Security Payload (ESP) hay đóng gói liệu bảo mật AH cung cấp hai cách để nhận thực, thực phần cứng phần mềm, nhiều trường hợp cung cấp khả nhận thực người dùng qua cặp nhận thực chuẩn – tên đăng nhập mật Nó nhận thực qua Token, theo chuẩn X.509 Giao thức ESP cung cấp khả mã hóa liệu Hầu hết thực dựa thuật toán hỗ trợ DES (Data Encryption Standard – Chuẩn mã hóa liệu), 3DES (Triple Data Encryption Standard – Chuẩn mã hóa liệu ba mức), AES (Advanced Encryption Standard – Chuẩn mã hóa liệu mở rộng) Trong hầu hết trường hợp, IPSec thực q trình bắt tay cần điểm đầu cuối trao đổi khóa sau chấp nhận sách bảo mật IPSec hỗ trợ hai kiểu mã hóa: - - Transport: mã hóa phần liệu gói, phần header khơng mã hóa Thơng tin định tuyến ban đầu gói tin khơng bảo vệ khỏi nhóm người dùng khơng nhận thực Tunnel: Mã hóa header liệu Thơng tin định tuyến ban đầu mã hóa, chuỗi thơng tin định tuyến thêm vào gói để định tuyến liệu hai điểm cuối IPSec hỗ trợ giao thức gọi ISAKMP/Oakley (Internet Security Association and Key Management Protocol/Oakley – Giao thức tổ hợp bảo mật Internet quản lý khóa/Oakley) Giao thức cho phép người nhận có khóa cơng cộng nhận thực người gửi cách sử dụng chữ ký kỹ thuật số Quá trình hệ thống mật mã dựa khóa trao đổi khóa cặp khóa Một khóa trao đổi, lưu lượng mã hóa IPSec mơ tả nhiều RFC, bao gồm 2401, 2406, 2407, 2408, 2409 Nhược điểm VPN dựa client (như IPSec) cần phải cấu hình cài đặt vài phần mềm đặc biệt Có nhiều phần mềm tích hợp sẵn VPN hệ điều hành (như Windows hay Linux), người dùng cần phải cấu hình client Trong vài trường hợp, chí người dùng cần phải cài đặt chứng thực client Thêm nữa, phải dùng đến tường lửa, phần mềm diệt virus vài công nghệ bảo mật khác Cấu hình cho IPSec VPN thiết bị hub tâm máy tính client từ xa Khi kết nối thiết lập sau đường hầm tạo qua mạng công cộng mạng riêng Đường hầm mã hóa bảo mật phiên truyền thơng hai điểm cuối, hacker đọc phiên truyền thông TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN 1.2.2 SSL VPN Một phương thức khác để bảo mật liệu qua Internet SSL (Secure Socket Layer – Lớp socket bảo mật) SSL giao thức cung cấp khả mã hóa liệu mạng SSL giao thức mạng có khả quản lý kênh truyền thông bảo mật mã hóa server client SSL hỗ trợ hầu hết trình duyệt thơng dụng Internet Explorer, Netscape Firefox Một chức SSL đảm bảo bí mật tin SSL mã hóa phiên client server ứng dụng truyền xác thực tên đăng nhập mật mà không bị nghe trộm SSL khóa phiên nghe trộm liệu cách xáo trộn Một chức quan trọng SSL khả cung cấp cho client server nhận thực chúng qua việc trao đổi chứng thực Tất lưu lượng SSL server SSL client mã hóa cách sử dụng khóa chia sẻ thuật tốn mã hóa Tất điều thực qua trình bắt tay, nơi bắt đầu khởi tạo phiên Một chức khác giao thức SSL SSL đảm bảo tin hệ thống gửi hệ thống nhận không bị giả mạo suốt trình truyền Kết SSL cung cấp kênh bảo mật an toàn client server SSL thiết kế cho việc bảo mật mà suốt người dùng Thông thường người dùng phải sử dụng địa URL để kết nối tới server hỗ trợ SSL Server chấp nhận kết nối cổng TCP 443 (cổng mặc định cho SSL) Khi kết nối tới cổng 443 trình bắt tay thiết lập phiên SSL Sự kết hợp SSL VPN tạo ưu điểm sau: - Sự kết hợp kỹ thuật mã hóa SSL cơng nghệ proxy làm cho việc truy cập tới ứng dụng Web ứng dụng công ty trở nên thực dễ dàng Sự kết hợp cơng nghệ cung cấp trình xác thực client server với liệu mã hóa cặp client-sever khác Trên hết, thiết lập SSL VPN dễ dàng nhiều so với thiết lập IPSec VPN Trong vài trường hợp, việc thực thi SSL VPN tương tự IPSec SSL VPN cần phải có số thiết bị hub Các client cần phải có số phần mềm giao tiếp, gọi trình duyệt hỗ trợ SSL Hầu hết máy tính có trình duyệt hỗ trợ SSL, bao gồm chứng thực SSL root từ CA (Certificate Authorities – Chứng nhận thực) công cộng Thiết bị hub trung tâm phần mềm client mã hóa liệu qua mạng IP Q trình bảo mật liệu chống công hacker 1.2.3 So sánh IPSec SSL VPN TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Thông thường IPSec VPN sử dụng phần mềm chuyên biệt đầu cuối, thiết bị hub client Điều cung cấp kết nối bảo mật cao Mỗi điểm cuối cần vài bước thiết lập cấu hình, cần phải có nhiều can thiệp người vào q trình xử lý SSL VPN thường khơng cần thiết phải có phần mềm client đặc biệt SSL VPN có tồn chức bảo mật IPSec VPN Hơn nữa, trình duyệt cập nhật thường xuyên trình cấu hình tự động xử lý Cả IPSec SSL VPN cung cấp truy nhập từ xa an toàn cho ứng dụng thương mại Cả hai công nghệ hỗ trợ nhiều giao thức nhận thực, bao gồm chứng thực X.509 Về bản, IPSec bị tất công, trừ sử dụng chứng thực Server SSL VPN luôn xác thực với chứng thực số, SSL định server đích xác thực CA tương ứng SSL cung cấp khả mềm dẻo trường hợp giới hạn người dùng tin cậy khó để cài đặt chứng thực người dùng (ví dụ máy tính cơng cộng) 1.3 Khái niệm mạng tin cậy mơ hình kết nối SSL VPN 1.3.1 Khái niệm mạng tin cậy Một mạng tin cậy công ty mạng mà công ty sử dụng để quản lý hoạt động Trong nhiều trường hợp, mạng tin cậy thường định nghĩa vùng an toàn Mạng tin cậy thường có hệ thống đầu cuối, trang web nội bộ, xử lý liệu, tin nhắn nội Trong nhiều công ty, mạng tin cậy cho phép trực tiếp tác động qua lại với hệ thống mà khơng cần mã hóa Có vấn đề với định nghĩa có nhiều mạng tin cậy tạo công ty Mạng tin cậy đáng tin cậy Tức số trường hợp mạng tin cậy khơng tin cậy Lý kết nối q nhiều tới bên ngồi Do đó, thực tế mạng tin cậy xem mạng mà nhân viên nội công ty sử dụng quan qua đường truyền bảo mật 1.3.2 Khái niệm vùng cách ly DMZ DMZ (Demilitarized zone) mạng cách ly, đặt vùng đệm mạng tin cậy công ty mạng không tin cậy (Internet xem mạng khơng tin cậy) Mục đích ban đầu DMZ ngăn chặn người dùng bên trực tiếp kết nối vào mạng tin Hình 1.2 mơ tả DMZ thơng thường Hầu hết DMZ cấu hình thông qua tập hợp luật xác định sách sau thực thông qua thủ tục công ty Một luật cổng đơn lẻ (như cổng 80) không DMZ cho phép truy TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN cập Vì bạn thử truy cập ứng dụng DMZ qua HTTP cổng 80 bạn khơng truy cập Đây cách DMZ thực hiện, giữ lại lưu lượng khơng tin cậy cố vào mạng tin cậy DMZ lọc lưu lượng giới hạn truy cập tới mạng tin cậy thơng qua lọc q trình nhận thực, vài trường hợp DMZ chặn toàn lưu lượng cần thiết Dưới vài chức mà DMZ thực hiện: - Chặn quét cổng vào mạng tin cậy Chặn truy cập vào mạng tin cậy qua cổng TCP đơn lẻ Chặn DOS (Denial of Service Attack – Tấn cơng từ chối dịch vụ) Qt vius, nội dung, kích cỡ e-mail Chặn nghe trộm / thay đổi gói Hình 1.2 Mơ hình DMZ Chương HOẠT ĐỘNG CỦA SSL VPN Các sản phẩm SSL VPN cho phép người dùng thiết lập phiên truy cập từ xa an tồn từ trình duyệt kết nối Internet Cho phép người dùng truy cập e-mail, hệ thống thông tin khẩn cấp, nhiều tài nguyên mạng khác từ nơi Mặc dù thiết bị SSL VPN nhìn đơn giản cơng nghệ phức tạp tiên tiến TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Tại thời điểm nay, chuẩn cho cơng nghệ SSL VPN (trừ SSL, HTTP, thành phần khác SSL VPN) Một vài SSL VPN tổ chức thứ ba, chủ yếu mô tả chức năng, kỹ thuật cụ thể để thực chức Với cạnh tranh cao thị trường SSL VPN, nhà sản xuất thiết bị không công khai kỹ thuật bên sử dụng sản phẩm Tuy nhiên, khơng có thơng tin từ nhà sản xuất, ta hiểu công nghệ SSL VPN Tất các đơn đặt hàng từ khác hàng yêu cầu cung cấp dịch vụ dựa truy cập web từ xa Và kết là, công nghệ sử dụng sản phẩm SSL VPN có nhiều đặc điểm chung 2.1 Thiết bị Phần mềm Trong thị trường nay, sản phẩm bảo mật SSL VPN thường bán dạng thiết bị, thiết bị thường xem hộp đen, có nghĩa người quản trị mạng không cần thiết phải hiểu cách chúng thực Về lý thuyết, thiết bị giảm chi phí việc cài đặt, cấu hình, bảo trì hệ thống cơng nghệ thơng tin Mặc dù có vài khác biệt cơng nghệ bên trong, hầu hết thiết bị bao gồm máy tính chạy phần mềm SSL VPN hệ điều hành Do đó, đứng quan điểm bảo mật, thực chất khơng có điểm khác biệt thực SSL VPN thiết bị so với SSL VPN phần mềm, phần mềm cài đặt máy chủ người mua Tuy nhiên, phương diện thực tế, thiết bị thông thường đóng gói với hệ điều hành điều khiển, phần mềm SSL VPN vài cấu hình Kết giảm sai sót người trình cài đặt cấu hình thiết bị, chắc khơng có xung đột phần cứng phần mềm Do nhiều trường hợp, thiết bị có nhiều ưu điểm bảo mật phần mềm Các tổ chức với chuẩn liệu trung tâm khuyến nghị máy chủ thích hợp với sản phẩm dựa phần mềm hơn, trường hợp đặc biệt mà người quản trị có kinh nghiệm hệ thống phần cứng Hình 2.1 mơ tả thiết bị SSL VPN, từ trái qua phải thiết bị Safenet, Juniper Networks Whale Communications TS Nguyễn Chiến Trinh Trang Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Hình 2.1 Một số thiết bị SSL VPN Bất chấp nhiều có nhiều thiết bị khác hoạt động bên chúng khác nhau, công nghệ SSL VPN xác định rõ ràng 2.2 Giao thức SSL Giao thức SSL thành phần cơng nghệ SSL VPN Do đó, việc hiểu SSL giúp hiểu cách làm việc SSL VPN 2.2.1 Lịch sử đời Các trang web sử dụng giao thức HTTP (Hypertext Transfer Protocol – Giao thức truyền siêu liên kết) Bản thân HTTP khơng có mã hóa hay biện pháp bảo vệ liệu truyền người dùng máy chủ web Với phát triển World Wide Web năm đầu thập kỷ 90, mở rộng hoạt động thương mại sử dụng web bao gồm truyền thông tin bí mật qua mạng Internet, cần phải loại trừ khả bị nghe trộm nhóm người khơng xác thực giao tiếp máy tính qua mạng Internet Một vài công nghệ phát triển để thực điều này, tất chúng để sử dụng mã hóa để bảo vệ liệu nhạy cảm Giao thức chứng tỏ ưu điểm vượt trội nhanh chóng trở thành chuẩn cho giao tiếp web an toàn SSL SSL phiên 1.0 giới thiệu trình duyệt Mosaic năm 1994, phiên cải tiến (SSL phiên 2.0) thương mại hóa vào cuối năm người tạo Mosaic thành lập Netscape Communication tích hợp vào trình duyệt Navigator họ Và trường hợp này, cách nhìn vào địa URL trang web trình duyệt, người dùng xác định trang web sử dụng SSL phiên giao tiếp Các trang web mã hóa SSL có tiền tố HTTPS trang web bình thường có tiền tố HTTP (Ngày nay, trình duyệt thường thể SSL dạng biểu tượng, ống khóa hay chìa khóa,…) HTTPS giao thức web sử dụng SSL để mã hóa HTTP, sử dụng rộng rãi cho phiên truyền thông bảo mật HTTPS S-HTTP, giao thức mã hóa hai chiều phiên giao tiếp trang web, S-HTTP mở rộng giao thức HTTP, sử dụng hỗ trợ bảo mật liệu truyền qua World Wide Web S-HTTP thiết kế để truyền tin cách an toàn SSL thiết kế để thiết lập kết nối bảo mật hai máy tính S-HTTP cạnh tranh với HTTP TS Nguyễn Chiến Trinh Trang 10 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Thật không may mắn SSL VPN thường có lỗi việc cung cấp thơng tin tới tổ chức bên ngồi Như mô tả chương 2, chức SSL VPN chuyển đổi thông tin nội tới định dạng liệu mà bên ngồi truy cập Sự chuyển đổi thường khiến thông tin nội tránh tổ chức bên ngồi tham số (bao gồm thơng tin nội bộ) đọc xem phiên SSL VPN Điều thành viên, khách hàng khách hàng tương lai công ty sử dụng SSL VPN 3.2.7.2 Giải pháp Giải pháp cho vấn đề thực đơn giản, SSL VPN không cho phép thông tin nội biểu diễn dạng văn thơng thường nhóm từ xa Thơng tin biểu diễn URL dạng mã hóa, tham số mã hóa lưu trữ máy chủ SSL VPN mã hóa dạng số thêm vào địa URL gửi tới người dùng Một số giải pháp khác sử dụng để đạt mục đích ẩn kiến trúc thơng tin nội khỏi người dùng bên 3.2.7.3 In ấn fax Người dùng sử dụng SSL VPN để in ấn máy in cục (ví dụ máy in đặt nơi họ làm việc) muốn in máy in đặt văn phòng họ (cục tới SSL VPN) Các vấn đề bảo mật kiểu là: Máy in cục với người dùng Có hai vấn đề người dùng in máy in cục là: Nếu máy in chia sẻ sử dụng, người dùng khác xem in (thậm chí nhận in) trước người dùng Thơng tin nhạy cảm bị nhóm khơng nhận thực xem kiểu này, nhóm khác đọc thông tin mà không thực trộm chúng, người dùng khơng biết thơng tin bị đưa Các hệ điều hành ngày nhóm (spool) liệu trước gửi chúng tới máy in – chúng lưu trữ ảnh, ảnh in vào đĩa sau chuyển đến máy in có ứng dụng giao tiếp trực tiếp với máy in Mặc dù q trình nhóm liệu làm cho hiệu in ấn cao (các máy in dễ dàng chia sẻ) dễ sử dụng (người dùng trở lại làm việc trước trình in ấn xảy ra), điều dẫn tới số vấn đề bảo mật Với SSL VPN vấn đề thơng tin nhạy cảm in ra, gói ảnh lưu trữ máy tính không thuộc quyền quản lý công ty Người dùng khơng biết truy cập tới ảnh lưu trữ TS Nguyễn Chiến Trinh Trang 41 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN đâu Do đó, tốt hết tắt chức nhóm in thơng tin nhạy cảm qua SSL VPN Các máy in đặt cục máy chủ SSL VPN Rõ ràng rằng, nhóm (spooling) khơng tạo vấn đề người sử dụng SSL VPN từ bên nội văn phòng (Nếu nhóm văn phòng khơng bảo đảm, có vấn đề nghiêm trọng tất người sử dụng, không người sử dụng SSL VPN) Tuy nhiên, vấn đề in ấn văn phòng người dùng thực xa vấn đề nghiêm trọng Người dùng thực in ấn biết đứng gần máy in đơn giản bên văn phòng nhận in Do đó, chắn phải sử dụng nhiều lần in ấn từ xa, người sử dụng phải cẩn thận thực tác vụ 3.2.7.4 Xóa file Một vấn đề khác chức hệ điều hành dẫn tới vấn đề bảo mật phiên SSL VPN xóa liệu Trong nhiều trường hợp, file mà người dùng kích hoạt chép từ ổ đĩa từ xa (hoặc nơi khác) tới máy cục khơng bị xóa người dùng kết thúc phiên SSL VPN người dùng cần phải chắn xóa file Như mô tả trên, hệ điều hành ngày thường khơng xóa liệu người dùng xóa chúng Thay vào đó, hệ điều hành thường sử dụng thư mục đặc biệt để giữ liệu cần không gian phải lưu trữ liệu Thậm chí file bị ghi đè khơng xóa hồn tồn file Để xóa file hồn tồn người dùng phải thực xóa khơng gian đĩa nhiều lần Thường khơng dễ làm điều này, mức độ vấn đề thường không quan trọng Vấn đề lớn người dùng thơng thường bọn xấu vào thư mục rác để thử phục hồi liệu sử dụng phần cứng đặc biệt 3.2.8 Đầu cuối tin cậy SSL VPN cho phép công ty có khả cấu hình số máy tính để chắn chúng tin vậy, người dùng sử dụng thiết bị để truy cập nhiều tài nguyên so với thiết bị thông thường Các thiết bị tin cậy thường máy tính công ty quản lý công ty, biết thiết bị điều khiển Khi thiết bị tin cậy sử dụng, thường kiểm tra bảo mật khơng cần thiết, ví dụ file tạm thời khơng cần phải xóa máy máy tính xách tay cơng ty, thông tin nhạy cảm (như văn thương mại) cố tình lưu lại TS Nguyễn Chiến Trinh Trang 42 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Ngưỡng thời gian timeout khác nhiều so với người dùng sử dụng thiết bị truy cập thông thường Các chứng thực thường sử dụng để nhận diện máy tính đáng tin cậy Các nhà quản trị SSL VPN tạo chứng thực đặc biệt cho máy SSL VPN tin tưởng chứng thực cài đặt thiết bị tương ứng người dùng Mặc dù chứng thực thường cài đặt thân nhà quản trị, SSL VPN cho phép người dùng yêu cầu chứng thực trực tuyến, cung cấp trình tải xuống cài đặt tự động chứng thực người quản trị mạng chấp nhận yêu cầu người dùng Cải tiến khả đầu cuối tin cậy bao gồm khả cho phép quét thiết bị truy cập để lấy thông tin chứng thực máy trạm, chứng thực dùng để xác định mức độ tin cậy – ví dụ, xác định có mặt USB đặc biệt với nội dung cụ thể, phần mềm cụ thể với cấu hình đặc biệt, tổ hợp khóa registry cấu hình với giá trị cụ thể Mỗi lần quét thực thay kết hợp với việc kiểm tra chứng thực máy trạm Tất nhiên, mức độ tin cậy khác có sách khác 3.2.9 Phân cấp truy cập dựa tình trạng điểm cuối SSL VPN truy cập từ máy tính máy tính xách tay cơng ty, máy tính nhà, trạm Internet công cộng, thiết bị cầm tay Tất khác máy tính dẫn tới mức bảo mật khác mức tin cậy khác nhau, truy cập từ thiết bị chắn phải khơng giống Ví dụ, khơng nên cho phép tải lên file từ máy có dấu hiệu nhiễm virus, cho phép tải lên từ máy an tồn máy tính xách tay cơng ty mà có phần mềm diệt virus cài đặt Vậy mức truy cập mà SSL VPN cần phải cung cấp từ thiết bị khác nhau? Rõ ràng không nên thực phương pháp giới hạn với truy cập SSL VPN, mà thay vào xác định mức bảo mật thiết bị truy cập tạo phiên truy cập cụ thể với sách phù hợp Mức độ truy cập tối đa từ thiết bị cụ thể đó, người dùng thiết bị truy cập tối đa tới mạng cơng ty Các sách bảo mật công ty điều chỉnh thiết bị truy cập thường dựa tình trạng thiết bị phép người dùng thực chức cụ thể Trong ví dụ trước, sách cho phép q trình tải lên thực từ thiết bị có chạy phần mềm diệt virus SSL VPN thiết lập để thực hoàn toàn sách chặn truy cập từ ứng dụng phần ứng dụng cụ thể không thỏa mãn sách bảo mật TS Nguyễn Chiến Trinh Trang 43 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Mức độ truy cập cho phép phiên làm việc cụ thể thường xác định người dùng đăng nhập Một applet nhỏ gửi tới thiết bị truy cập để thực nó, xác định xem làm thể thiết bị thỏa mãn tiêu chuẩn khác thiết lập nhà quản trị SSL VPN dựa sách bảo mật cơng ty Nó thử cài mã liên quan đến bảo mật khác vào thiết bị truy cập gửi báo cáo máy chủ SSL VPN thành công Dựa việc thực applet, mức độ bảo mật thiết bị thiết lập mức độ truy cập phụ thuộc vào Cách khác tận dụng phần mềm đặt trước thiết bị truy cập để thực kiểm tra Q trình kiểm tra mơi trường bảo mật thiết bị truy cập gọi kiểm tra host kiểm tra thiết bị truy cập Một điều quan trọng điều khiển truy cập không giới hạn tồn ứng dụng mà giới hạn chức ứng dụng Bảng 3.1 biểu diễn sách truy cập e-mail từ thiết bị với tình trạng bảo mật khác Các thành phần ảnh hưởng lên mức độ truy cập người sử dụng bao gồm: Phần mềm diệt virus: Nó chạy? Phần mềm diệt virus sử dụng? Phiên nó? Ngày cập nhật nó? Tường lửa cá nhân: Nó chạy? Tường lửa cá nhân sử dụng? Phiên nó? Chính sách có tác dụng? Kỹ thuật nhận thực: Một người dùng hỗ trợ tên đăng nhập mật truy cập tài nguyên người dùng có mật dùng lần thẻ USB cắm vào máy tính để nhận thực,… Hệ điều hành: Hệ điều hành mà người sử dụng máy tính sử dụng? Khóa Registry: Các tổ hợp giá trị khóa cụ thể nào? Các chứng thực máy trạm: Một vài địa IP tin cậy (nếu chúng mạng nội bộ) Nhà cung cấp dịch vụ: Có phải người dùng sử dụng dịch vụ nhà cung cấp cho phép chức bảo mật khác kết nối? Bảng 3.1 Chính sách máy có độ tin cậy khác Tình trạng thiết bị truy cập Máy tin cậy Đã cài đặt phần mềm chống virus Có khả xóa file tạm thời Khơng Khơng Khơng Có Có Khơng Có Khơng Có TS Nguyễn Chiến Trinh Điều khiển truy cập Cho phép người dùng đọc e-mail (văn bản) Có Có Có Trang 44 Cho phép người dùng gửi e-mail (văn bản) Có Có Có Cho phép người dùng mở file đính kèm Có Khơng Có Cho phép người dùng gửi file đính kèm Có Có Khơng Báo cáo kết thúc mơn An Ninh Mạng Khơng Có-Tin cậy mức Có-Tin cậy mức Có-Tin cậy mức Bảo mật SSL VPN Khơng Có Khơng Có/Khơng Có Có Có Có Khơng Có Khơng Có Khơng Có/Khơng Có Có Có Khơng Có/Khơng Có/Khơng Có Có Có Có Các gói phần mềm chống phần mềm gián điệp: Chúng chạy? Gói nào? Các file tạm thời: Các file tạm thời SSL VPN thường xóa máy tính này? Nhà cung cấp dịch vụ điều khiển Vì lý bảo mật lẫn kinh tế, công ty thường yêu cầu người dùng thực tất kết nối từ xa qua nhà cung cấp viễn thông cụ thể Các nhà cung cấp giảm bớt tỉ lệ kết nối số người dùng lớn, cho phép thực bắt buộc sách cụ thể (như lọc từ xấu chặn kết nối chia sẻ file ngang hàng) Một vài kỹ thuật SSL VPN xác định thuộc tính kết nối người dùng, địa IP người dùng thông tin định tuyến chặn người dùng không sử dụng nhà cung cấp dịch vụ cần thiết truy cập tài nguyên công ty qua SSL VPN 3.3 Vấn đề bảo mật phía máy chủ Như ta biết vấn đề bảo mật bên phía máy trạm, Báo cáo tiếp tục mơ tả vấn đề bảo mật phía máy chủ thực SSL VPN Bảo mật phía máy chủ bao gồm vấn đề liên quan đến bảo vệ mạng nội khỏi hành động có hại có mặt SSL VPN kết nối nó, bảo vệ thân máy chủ SSL VPN 3.3.1 Vấn đề tường lửa công nghệ bảo mật khác bị công giải pháp 3.3.1.1 Vấn đề Đối với người dùng để giao tiếp với SSL VPN SSL VPN chuyển tiếp yêu cầu tới hệ thống nội bộ, việc giao tiếp cần phải sử dụng giao thức TCP/IP (và UDP/IP ICMP) Các tường lửa (chặn cổng giao tiếp) cần phải cấu hình để bảo vệ SSL VPN, lại tạo vấn đề bảo mật Báo cáo sử dụng hai tình thường xảy để mơ tả kỹ vấn đề Trong công ty có ý thức bảo mật, máy chủ SSL VPN khơng đặt ngồi tầm bảo vệ tường lửa, đặt DMZ mạng nội TS Nguyễn Chiến Trinh Trang 45 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN a) SSL VPN DMZ Nếu SSL VPN đặt DMZ, tường lửa bên cho phép cổng 443 (và thường cổng 80) mở lưu lượng bên (bao gồm yêu cầu người dùng tới SSL VPN) Điều thân khơng phải vấn đề bảo mật nghiêm trọng, nhiên, trường hợp SSL VPN, vấn đề thực Hình 3.1 mơ tả SSL VPN đặt DMZ Kiến trúc tạo số vấn đề bảo mật Bởi đường hầm SSL VPN thực giao thức khác qua tường lửa bên xây dựng lại chúng SSL VPN: Hình 3.1 SSL VPN DMZ Các khóa mã hóa SSL lưu giữ mơi trường khơng an tồn (DMZ): Nếu khóa SSL bị cơng, kẻ cơng giả dạng cơng ty Kẻ cơng tận dụng trò lừa đảo để trộm thơng tin nhạy cảm từ người dùng Vì tốt hết khơng nên đưa khóa vào vùng khơng an tồn nửa tin cậy TS Nguyễn Chiến Trinh Trang 46 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Mã hóa thực vùng khơng an tồn: Việc truyền thơng tin nhạy cảm dạng văn thông thường qua vùng mạng DMZ khơng an tồn mục tiêu cho chương trình bắt gói tin Do đó, kiến trúc trên, SSL VPN khơng cho phép mã hóa thực đầu cuối đầu cuối, mà thực mã hóa đầu cuối – nửa đầu cuối (end-tomiddle) Do nội dung phiên SSL VPN giải mã vùng khơng an tồn bên ngồi mạng đích Các tường lửa bên ngồi bị gây hại SSL VPN: Nếu người dùng từ xa cho phép thiết lập kết nối mạng qua SSL, sau người dùng truyền giao thức yêu cầu gói mạng (các gói truyền đường hầm giao thức HTTPS tới SSL VPN) Điều có nghĩa giao thức bị chặn tường lửa bên ngồi thực qua đường hầm hóa HTTPS tới DMZ Khi nhà quản trị cấu hình tường lửa bên để chặn cổng cụ thể, có nghĩa khơng cho phép dịch vụ cụ thể từ Internet, có nghĩa họ muốn dịch vụ phải bị chặn Các cổng cần phải mở tường lửa bên trong: Điều tạo kết nối không cân DMZ mạng nội Việc mở cổng ảnh hưởng đến hiệu tường lửa bên trong, làm lu mờ khoảng cách môi trường DMZ Internet, tạo vấn đề bảo mật nghiêm trọng Thêm nữa, việc mở cổng thường làm tổn hại đến sách bảo mật Các nút từ xa cầu nối đến mạng khác: Nếu người dùng từ xa cho phép thiết lập kết nối mạng qua SSL VPN, xảy trường hợp mạng nội người dùng kết nối tới mạng nội cơng ty qua thiết bị truy cập sử dụng kết nối SSL VPN Đây vấn đề lớn ảnh hưởng đến kết cấu mạng Các nhóm bên ngồi cho phép trở thành nút mạng công ty: Hầu hết công ty quan tâm đến bảo mật ngăn cấm máy tính khơng thuộc công ty trở thành nút mạng công ty Nếu SSL VPN sử dụng văn phòng, khách hàng khách hàng tương lai phép truy cập tới tài nguyên công ty SSL VPN cho phép người dùng từ xa thiết lập kết nối mạng qua SSL VPN, sách khơng thể thực b) SSL VPN mạng nội Một trường hợp khác đặt máy chủ SSL VPN mạng nội mà không đặt DMZ TS Nguyễn Chiến Trinh Trang 47 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Hình 3.2 mơ tả SSL VPN đặt mạng nội bộ, sơ đồ dẫn tới vấn đề bảo mật nghiêm trọng, vấn đề khác với vấn đề tạo việc sử dụng mơ hình dựa DMZ: Tồn kiến trúc tường lửa bị cơng: Các giao thức mà tường lửa hỗ trợ để chặn bị đường hầm hóa SSL tới mạng nội Tại thời điểm máy chủ SSL VPN tổ chức lại dịnh dang giao tiếp cho phù hợp, nội dung phiên giao tiếp sẵn mạng nội - chúng khơng thuộc nơi đó! Các nhóm khơng nhận thực phép gửi gói mạng tới mạng nội bộ: Các gói cần phải gửi người dùng từ xa tới mạng nội người dùng phải nhận thực Hacker sâu không phép truy cập tới tài nguyên cơng ty Việc cho phép chúng truy cập dẫn tới vấn đề công từ chối dịch vụ DoS, map mạng công ty quét điểm yếu bảo mật để trộm liệu điều khiển máy tính Bất kỳ hệ thống phát xâm nhập (IDS – Intrusion Detection System) dựa mạng DMZ khơng có hiệu quả: Các IDS làm việc cách quét gói mạng chúng qua mạng, việc đặt IDS DMZ kỹ thuật tốt để dừng lưu lượng xấu vào mạng công ty Tuy nhiên, trường hợp SSL VPN mạng nội bộ, tất yêu cầu mã hóa với SSL VPN – u cầu qua DMZ dạng mã hóa IDS khơng thể đọc chúng Và đó, IDS khơng có tác dụng mạng TS Nguyễn Chiến Trinh Trang 48 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Hình 3.2 SSL VPN mạng nội 3.3.1.2 Giải pháp Không có giải pháp đơn giản cho vấn đề Tuy nhiên, việc sử dụng phương pháp dựa cơng nghệ thích hợp làm giảm nhẹ tác hại vấn đề kể Một máy chủ SSL VPN cần phải chắn kết hợp xác với tường lửa bổ sung để tạo thành kiến trúc mạng công ty Do vấn đề kể trên, việc sử dụng SSL kỹ thuật đường hầm cho kết nối mạng thực nhiều việc phải xem xét Việc thiết lập kết nối mạng qua SSL VPN cần phải hoàn thành máy mà bạn cho phép kết nối tới mạng tập đồn, máy tính cơng ty Thậm chí bạn cho phép máy tính an tồn cập tới mạng cơng ty theo cách này, cần phải biết tường lửa cá nhân máy tính biến đổi hiệu vào tầm kiểm sốt tường lửa cơng ty, nhiệm vụ khơng trang bị trước để thực Vì vậy, việc thiết lập kết nối mạng qua SSL (đây chức mạnh công nghệ SSL VPN) ý tưởng tốt đứng quan điểm bảo mật May mắn thay, việc thiết lập kết nối mạng qua SSL không thường xuyên (và thường không khuyến nghị) Có thể đạt truy cập tới ứng dụng file mà không cần thiết lập kết nối mức mạng Việc cho phép truy cập thường an tồn đường hầm hóa thơng tin mạng làm giảm nhẹ tác hại vấn đề kể (trừ vấn đề địa IP nội thiết bị đầu cuối) Hơn nữa, lớp mơ hình OSI thực truyền tới SSL VPN, có kiến trúc tường lửa thông thường thực bảo mật mức mạng SSL VPN thực bảo mật lớp ứng dụng SSL VPN kiểm tra để chắn giao thức ứng dụng cụ thể sử dụng, yêu cầu phù hợp với giao thức phép qua Nhiều cách lọc truy cập thực Ví dụ như: Ai truy cập (ví dụ tên đăng nhập nhận thực: JosephSteinberg) Ứng dụng (ví dụ: Telnet) Trên máy chủ nảo (ví dụ: Máy chủ 1) TS Nguyễn Chiến Trinh Trang 49 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Từ thiết bị (ví dụ: Từ thiết bị tin cậy máy tính với tường lửa cá nhân chương trình chống virus) Một vài tùy chọn tốt để thực lưu trữ chứng thực SSL vùng khơng an tồn là: Sử dụng tăng tốc SSL, cho phép chứng thực SSL lưu trữ vùng an tồn tăng tốc Sử dụng cơng nghệ Air Gap (sẽ mơ tả sau), cho phép di chuyển chứng thực tới mạng nội bảo vệ Air Gap Sử dụng công nghệ Air Gap kết hợp với tăng tốc SSL, làm tăng mức độ bảo vệ chứng thực 3.3.2 Vấn đề yếu điểm mức ứng dụng giải pháp 3.3.2.1 Vấn đề Các yếu điểm phần mềm máy chủ ý nhiều vài năm qua Các lỗ hổng sản phẩm khác dẫn tới tăng nhanh sâu, dẫn tới thiệt hại hàng tỉ đôla Hầu hết SSL VPN tận dụng máy chủ phần kiến trúc Do đó, yếu điểm máy chủ web (hoặc đâu phần mềm SSL VPN) dẫn tới vấn đề bảo mật nghiêm trọng Kỹ thuật hardening (là trình xử lý tối ưu cấu hình hệ thống để bảo mật hơn) thiết bị SSL VPN giải thích hợp vấn đề này, nhiên, hardening khơng hoàn hảo, thiết bị SSL VPN hardening có nhiều yếu điểm dễ bị cơng Hơn nữa, yếu điểm hệ điều hành thiết bị Thậm chí thân thiết bị SSL VPN bảo mật gửi u cầu người dùng tới máy chủ nội bộ, nên yếu điểm hệ thống nội tận dụng cách công máy chủ SSL VPN, chí trường hợp máy chủ SSL VPN khơng bị tổn thương chuyển tiếp u cầu (các công) tới máy chủ nội 3.3.2.2 Giải pháp TS Nguyễn Chiến Trinh Trang 50 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN Hình 3.3 Bộ lọc lớp ứng dụng Để tránh SSL VPN trở thành nạn nhân cho sâu, cần phải thực lọc lớp ứng dụng Bộ lọc sản phẩm hãng thứ ba proxy đặt trước SSL VPN mô tả hình 3.3 (dữ liệu truyền theo thứ tự A,B,C,D,E) tích hợp với thân máy chủ SSL VPN Việc lọc yêu cầu gửi tới SSL VPN xem chức máy chủ SSL VPN thực chức tường lửa lớp ứng dụng (đặt trước SSL VPN) giải vấn đề yếu điểm lớp ứng dụng Các loại khác lọc mô tả trước chúng chặn yêu cầu xấu từ SSL VPN yếu 3.3.3 Mã hóa Việc mã hóa thực thơng tin bí mật truyền qua Internet Trong trường hợp SSL VPN, SSL công nghệ tận dụng để mã hóa tất giao tiếp Ngày nay, trình duyệt hầu hết hỗ trợ mã hóa 128 bit, có nhiều lý để hầu hết cơng ty chuyển sang mã hóa 128 bit cung cấp SSL Thông tin chi tiết mô tả chương 3.3.4 Cập nhật máy chủ SSL VPN Một điểm cần ý tìm hiểu SSL VPN khơng có sản phẩm phần mềm (hoặc phần mềm chạy thiết bị) hoàn hảo Các bug (thường tạo yếu điểm bảo mật) thường có gói phần mềm ngày SSL VPN không tránh khỏi ảnh TS Nguyễn Chiến Trinh Trang 51 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN hưởng lỗi lập trình, sản phẩm SSL VPN chứa bug, bug cần phải sửa gói cập nhật Mỗi sản phẩm SSL VPN có chuỗi cập nhật theo thứ tự, vài sản phẩm cần cập nhật trước trước thực gói cập nhật đó, vài sản phẩm cho phép cơng nghệ tường lửa ứng dụng logic – khẳng định bên máy chủ SSL VPN làm giảm yêu cầu cập nhật, vài sản phẩm tận dụng sản phẩm hãng thứ ba cần cập nhật hãng thứ ba 3.3.5 So sánh Linux Windows Các máy chủ SSL VPN ngày thường chạy Microsoft Windows Server hệ điều hành máy chủ Linux Mặc dù Microsoft nhận nhiều lời khen ngợi tính bảo mật hệ điều hành sản phẩm phần mềm, Linux phát triển mạnh thời gian gần có nhiều lợi bảo mật 3.3.6 Một vài khái niệm bảo mật khác thiết bị SSL VPN Các máy chủ SSL VPN thực cổng từ Internet đầy rẫy kẻ nguy hiểm vào môi trường bảo vệ cơng ty Do đó, chúng phải có khả bảo vệ khỏi công bao gồm kỹ thuật để chắn thân chúng có khả phục hồi, củng cố tường bảo vệ Cùng với công nghệ báo cáo mô tả trên, nhiều khái niệm quan tâm liên quan đến bảo mật máy chủ SSL VPN mô tả phần sau a) Hardening Hardening trình xử lý tối ưu cấu hình máy tính mạng để chúng an tồn Nó thường thực tắt dịch vụ khơng cần thiết, thay đổi mặc định hệ điều hành, tắt khả mạng không cần thiết, loại truy cập từ người dùng có người cần điều khiển thiết bị, xóa phần mềm khơng cần thiết Nhiều SSL VPN vận chuyển máy tính tiền – hardened, gọi thiết bị (như mô tả trên) Hardening thường giảm độ nhạy cảm SSL VPN công, phương thức kinh tế Tuy nhiên, điểm quan trọng cần nhận thấy hardening khơng có khả phục hồi, có sai sót mã hệ điều hành, tất thủ tục hardening trở nên vô nghĩa b) Air Gap Air Gap công nghệ tận dụng hai máy chủ - đặt biên mạng nội bộ, tất chứng SSL VPN chạy, đặt biên Internet Giữa chúng có nhớ nhỏ Máy chủ đặt biên Internet hardened chạy mã cho phép nhận kết nối IP Nó gửi tải ứng dụng từ gói nhận tới nhớ nhỏ, từ máy chủ nội đọc yêu cầu vào Air Gap cho phép bảo mật tốt phương thức TS Nguyễn Chiến Trinh Trang 52 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN hardening đơn giản chúng phục hồi kết nối mạng, giảm vấn đề mức hệ điều hành, tránh máy kết nối Internet thử nhận địa SSL VPN Nhược điểm Air Gap có giá thành cao hardening cần hai máy chủ Do đó, Air Gap thường phù hợp với mạng lớn, vấn đề bảo mật đặt lên hàng đầu c) Bảo vệ từ hệ thống nội mạng nội Máy chủ SSL VPN cần phải bảo vệ khỏi công từ người dùng nội Các mật cần thiết để truy cập công cụ quản trị Hơn nữa, tốt có vài tường lửa máy chủ SSL VPN để chống sâu phần mềm độc hại công từ mạng nội chặn chúng khỏi công máy chủ SSL VPN d) ASIC Các ASIC (Application – Specific Integrated Circuit – Mạch tích hợp ứng dụng cụ thể) chip thiết kế để chạy ứng dụng cụ thể Chúng thường có ô tô nhiều thiết bị điện tử, chúng xuất vài sản phẩm SSL Nếu chức bảo mật tích hợp vào chip ASIC, chip tăng chức bảo mật web giảm thiệt hại SSL VPN bị công TS Nguyễn Chiến Trinh Trang 53 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN KẾT LUẬN Công nghệ SSL VPN công nghệ áp dụng nhiều nước, mang lại nhiều lợi ích cho doanh nghiệp Nó tận dụng ưu điểm giá thành, linh hoạt quản trị để trở thành công nghệ VPN phổ biến Trong tương lai, SSL VPN tiếp tục phát triển ngày hoàn thiện hơn, nên ứng dụng tương lai nhiều lĩnh vực hơn, hiệu hơn, bảo mật hơn,… Báo cáo này tìm hiểu hoạt động vấn đề bảo mật SSL VPN Nội dung Báo cáo trình bày bao gồm: - - - Khái niệm VPN SSL VPN, đưa số khái niệm liên quan đến SSL VPN Qua nhận thấy ưu điểm công nghệ Giao thức SSL việc sử dụng SSL để tạo nên VPN, công nghệ tiền thân SSL VPN Hoạt động SSL VPN, cải tiến quan trọng SSL VPN, dịch vụ SSL VPN thành phần Qua có nhìn sâu hoạt động SSL VPN Phương pháp bảo mật SSL VPN, khái niệm, vấn đề bảo mật xảy với SSL VPN cách giải vấn đề Qua hiểu rõ bảo mật SSL VPN Các bước cần tiến hành để xây dựng SSL VPN cho môi trường cụ thể, qua đưa giải pháp cho mơi trường cụ thể Do ưu điểm rõ rệt nó, giải pháp SSL VPN khơng ngừng cải tiến thời gian gần Bởi vậy, hướng nghiên cứu Báo cáo tìm hiểu cải tiến đưa thời gian gần Ngồi ra, hướng phát triển chương trình mơ sử dụng công cụ mô để xây dựng SSL VPN toàn diện hơn, với nhiều dịch vụ hơn,… TS Nguyễn Chiến Trinh Trang 54 Báo cáo kết thúc môn An Ninh Mạng Bảo mật SSL VPN TÀI LIỆU THAM KHẢO [1] SSL VPN, Understanding, evaluting, and planning secure, web-based remote acess Joseph Steiberg and Timothy Speed Packt Publishing, 2005 [2] SSL Remote Access VPNs, Jazib Frahim and Qiang Huang Cisco Press, 2008 [3] SSL and TLS Essentials, Stephen Thomas Wiley Computer Publishing John Wiley & Sons, Inc, 2000 [4] Cisco Security Appliance Command Line Configuration Guide, chapter 34: Configuring Easy VPN Services on the ASA 5505, Cisco Press, 2005 [5] Jupiter Networks Secure Access SSL VPN Syngress Publishing, Inc, 2007 TS Nguyễn Chiến Trinh Trang 55 ... TRONG SSL VPN SSL VPN thực gateway vào cấu trúc mạng cơng ty, vấn đề bảo mật thành phần quan trọng SSL VPN Và khả bảo mật thiết bị SSL VPN yếu tố quan trọng để công ty chọn sản phẩm để thực Bảo mật. .. khác giao thức SSL SSL đảm bảo tin hệ thống gửi hệ thống nhận không bị giả mạo suốt trình truyền Kết SSL cung cấp kênh bảo mật an toàn client server SSL thiết kế cho việc bảo mật mà suốt người... tài nguyên qua SSL VPN người dùng độc lập truy cập tới tài nguyên họ phép truy cập Bảo mật đầu cuối: Bảo mật đầu cuối thường biết đến bảo mật bên máy trạm (Client-Side Security) bảo mật bên trình