Tham khảo tài liệu ''giáo trình khởi tạo mạng riêng ảo - công nghệ mạng riêng ảo part 21'', công nghệ thông tin, kỹ thuật lập trình phục vụ nhu cầu học tập, nghiên cứu và làm việc hiệu quả
- Các cổng nối mức ứng dụng thiếu hỗ trợ UDP - Các cổng mạch vòng thường dùng cho kết nối hướng ngoại, cổng nối mức ứng dụng thường dùng cho kết nối hướng ngoại hướng ngoại Thông thường, trường hợp sử dụng kết hợp loại, cổng mạch vòng thường dùng cho kết nối hướng ngoại cổng nối mức ứng dụng dùng cho kết nối hướng nội để thoả mãn yêu cầu bảo mật yêu cầu người dùng Một ví dụ dễ hiểu cổng mạch vịng SOCKS Vì liệu qua SOCKS không giám sát lọc, vấn đề bảo mật nảy sinh Để tối thiểu hoá vấn đề bảo mật, tài nguyên dịch vụ tin cậy nên dùng cho mạng ngồi (mạng khơng an tồn) Hình 4.7 Cổng mạch vịng SOCKS chuẩn cho cổng mạch vịng Nó không yêu cầu overhead nhiều Server uỷ quyền thơng thường người dùng phải chủ ý kết nối trước hết tới firewall trước có u cầu thứ kết nối tới đích Người dùng khởi động ứng dụng phía Client với địa IP Server đích Thay trực tiếp khởi động phiên với Server đích, Client khởi tạo phiên với Server SOCKS Firewall Server SOCKS sau xác minh địa nguồn ID người dùng cho phép để thiết lập kết nối tới mạng khơng an tồn, sau tạo phiên thứ SOCKS cần có phiên mã nguồn Client tập riêng biệt sách cấu hình Firewall Tuy nhiên, máy server khơng cần thay đổi, thật vậy, khơng cần biết phiên tiếp Server SOCKS Cả Client Server SOCKS cần có mã SOCKS Server SOCKS hoạt động router mức ứng dụng Client Server ứng dụng thực SOCKSv4 với phiên TCP hướng ngoại Nó đơn giản cho mạng riêng người dùng, khơng phân phối mật an tồn khơng dùng cho phiên người dùng mạng công cộng ứng dụng mạng riêng SOCKSv5 với số phương pháp xác thực sử dụng cho kết nối hướng nội, SOCKS hỗ trợ giao thức ứng dụng dựa UDP Phần lớn trình duyệt Web SOCKSified người dùng nhận ngăn xếp TCP/IP SOCKSified cho hầu hết 4.4 Giao thức SSL TLS SSL giao thức bảo mật phát triển hãng truyền thông Netscape, với hãng bảo mật liệu RSA Mục đích giao thức SSL cung cấp kênh riêng ứng dụng liên lạc với nhau, đảm bảo tính riêng tư liệu, tính tồn vẹn xác thực cho đối tác SSL cung cấp khả lựa chọn cho API socket TCP/IP chuẩn có thực thi bảo mật bên Do đó, lý thuyết có khả chạy với ứng dụng TCP/IP theo cách an toàn mà thay đổi ứng dụng Trong thực tế, SSL thực thi với kết nối HTTP, hãng truyền thông Netscape tuyên bố ý định tận dụng cho kiểu ứng dụng khác, giao thức NNTP Telnet, có số miễn phí sẵn có Internet Ví dụ, IBM sử dụng SSL để nâng cao tính bảo mật cho phiên TN3270 Host nó, phương tiện liên lạc cá nhân sản phẩm Server, miễn cấu hình bảo mật truy cập Firewall SSL gồm có tầng: Tại tầng thấp, có giao thức truyền liệu sử dụng loại mật mã xác định trước kết hợp xác thực, gọi giao thức ghi SSL, hình 4.8 minh họa giao thức này, đối chiếu với kết nối socket HTTP chuẩn Hình 4.8 SSL – so sánh chuẩn chuẩn phiên SSL Tại tầng trên, có giao thức cho việc khởi tạo xác thực truyền khóa mã hóa, gọi giao thức thăm dò trước SSL Một phiên SSL thiết lập sau: - Một người dùng phía Client(Trình duyệt) yêu cầu tài liệu địa URL xác định bắt đầu https(thay cho http) - Mã phía Client nhận SSL yêu cầu thiết lập kết nối qua cổng TCP 443 tới mã SSL phía Server - Client sau khởi tạo pha thăm dò trước SSL, dùng giao thức ghi SSL hỗ trợ Tại khơng có mã hóa hay kiểm tra tính tồn vẹn gắn liền với kết nối Giao thức SSL đề vấn đề an tồn sau: + Tính riêng tư: Sau khóa đối xứng thiết lập thăm dị trước để khởi tạo, thơng điệp mã hóa khóa + Tính tồn vẹn: Các thơng điệp chứa mã xác thực thơng điệp(MAC) + Tính xác thực: thăm dò trước, Client xác thực Server sử dụng khóa cơng khai Nó dựa chứng TLS phát triển nhờ sử dụng SSL, giống SSL, TLS cho phép Server Client cuối liên lạc cách an toàn qua mạng cơng cộng khơng an tồn Thêm vào khả bảo mật cung cấp SSL, TLS ngăn chặn kẻ nghe trộm, giả mạo, chặn bắt gói tin TLS gồm tầng: Giao thức ghi TLS giao thức thăm dò trước TLS Giao thức ghi TLS mang lại an toàn cách tận dụng chế mã hóa, DES chẳng hạn Giao thức thăm dò trước TLS cung cấp khả xác thực chiều cách cho phép Server Client xác thực lẫn nhau, thực thể muốn liên lạc thương lượng thuật tốn mã hóa khóa phục vụ cho việc trao đổi liệu sau chúng Trong kịch mạng riêng ảo, SSL TLS thực thi tạo Server VPN Client đầu cuối 4.5 So sánh giao thức IPSec với SSL Như mô tả Chương 3, “Các giao thức mạng riêng ảo tầng 3”, IPSec cung cấp tính mã hố xác thực mạnh cho lưu lượng IP cung cấp tính trao đổi làm tươi khoá dựa chứng nhờ sử dụng IKE Để đến kết luận cách thận trọng, ta phải đề xuất tính cần thiết giống tính mà SSL TLS cung cấp Trong phần lưu ý đến giống khác IPSec SSL giải thích phạm vi sử dụng hai giao thức Những điểm giống nhau: - IPSec(qua IKE) SSL cung cấp xác thực Client Server - IPSec SSL cung cấp tính đảm bảo an toàn xác thực liệu, chí mức khác chồng giao thức - IPSec SSL dùng thuật toán mật mã mạnh cho việc mã hoá hàm băm, sử dụng xác thực dựa chứng (IPSec qua IKE) - IPSec(qua IKE) SSL cung cấp tính sinh khố làm tươi khố mà khơng phải truyền khố dạng rõ hay ngoại tuyến Những điểm khác nhau: - SSL thực thi API tầng ứng dụng tầng vận tải; IPSec thực thi khung làm việc tầng liên mạng - SSL cung cấp tính bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: WebBrowser WebServer); IPSec cung cấp tính bảo mật từ thiết bị - tới thiết bị - SSL không bảo vệ lưu lượng UDP; IPSec có - SSL hoạt động từ điểm cuối - tới - điểm cuối khơng có khái niệm đường hầm Điều vấn đề lúc lưu lượng cần xem xét cách kiểm tra nội dung quét virus trước phân phối thành cơng đến đích; IPSec hoạt động theo hai cách, điểm cuối - tới - điểm cuối đường hầm - SSL vượt qua NAT SOCKS, chúng dùng để che dấu cấu trúc địa bên tránh xung đột địa IP riêng; IPSec chế độ vận tải (end –to- end) sử dụng NAT dùng đường hầm IPSec để đạt mục tiêu tương tự chí bảo mật NAT đường hầm mã hoá - Các ứng dụng cần phải sửa đổi để sử dụng SSL Điều vấn đề lúc ta không truy cập mã nguồn ứng dụng khơng có thời gian hay kinh nghiệm để thay đổi mã nguồn ứng dụng; IPSec hồn tồn suốt với ứng dụng Thơng thường SSL tốt lúc ta có ứng dụng bảo vệ sẵn có phiên SSL-aware Đây trường hợp có ứng dụng chuẩn đa dạng, không với WebBrowser WebServer Ngồi ra, có tuỳ chọn việc thực thi khái niệm 3-tier cách tận dụng cổng ứng dụng Web vành đai mạng, SSL lựa chọn tốt Nếu có số lượng lớn ứng dụng để bảo đảm an tồn phải chọn giải pháp tốt cho mạng Trong trường hợp này, IPSec lựa chọn tốt Trừ tự ta phát triển ứng dụng, IPSec mềm dẻo SSL để thực thi sách bảo mật ... mạng - SSL cung cấp tính bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: WebBrowser WebServer); IPSec cung cấp tính bảo mật từ thiết bị - tới thiết bị - SSL không bảo vệ lưu lượng UDP; IPSec có -. .. liệu sau chúng Trong kịch mạng riêng ảo, SSL TLS thực thi tạo Server VPN Client đầu cuối 4.5 So sánh giao thức IPSec với SSL Như mô tả Chương 3, “Các giao thức mạng riêng ảo tầng 3”, IPSec cung... với phiên TCP hướng ngoại Nó đơn giản cho mạng riêng người dùng, khơng phân phối mật an tồn khơng dùng cho phiên người dùng mạng công cộng ứng dụng mạng riêng SOCKSv5 với số phương pháp xác thực