3.3.2.1. Vấn đề
Các yếu điểm trong phần mềm máy chủ được chú ý nhiều trong một vài năm qua. Các lỗ hổng trong các sản phẩm khác nhau dẫn tới sự tăng nhanh của các sâu, và dẫn tới thiệt hại hàng tỉ đôla.
Hầu hết các SSL VPN tận dụng các máy chủ như là một phần của kiến trúc. Do đó, bất kỳ yếu điểm nào trên máy chủ web (hoặc bất kỳ ở đâu trong phần mềm SSL VPN) có thể dẫn tới các vấn đề bảo mật nghiêm trọng. Kỹ thuật hardening (là quá trình xử lý tối ưu cấu hình hệ thống để bảo mật hơn) một thiết bị SSL VPN có thể giải quyết thích hợp vấn đề này, tuy nhiên, hardening không bao giờ là hoàn hảo, và các thiết bị SSL VPN đã hardening vẫn có nhiều yếu điểm dễ bị tấn công. Hơn nữa, các yếu điểm này có thể ở trong hệ điều hành cơ bản của thiết bị.
Thậm chí nếu bản thân thiết bị SSL VPN vẫn bảo mật thì bởi vì nó gửi các yêu cầu người dùng tới các máy chủ nội bộ, nên các yếu điểm trong hệ thống nội bộ có thể được tận dụng bằng cách tấn công máy chủ SSL VPN, và thậm chí trong trường hợp máy chủ SSL VPN không bị tổn thương thì nó sẽ chuyển tiếp yêu cầu (các cuộc tấn công) tới các máy chủ nội bộ.
3.3.2.2. Giải pháp
Hình 3.3. Bộ lọc lớp ứng dụng
Để tránh SSL VPN trở thành nạn nhân cho các sâu, cần phải thực hiện các bộ lọc lớp ứng dụng. Bộ lọc có thể là sản phẩm của hãng thứ ba trên proxy đặt trước SSL VPN như mô tả trong hình 3.3 (dữ liệu truyền theo thứ tự A,B,C,D,E) hoặc có thể được tích hợp với bản thân máy chủ SSL VPN.
Việc lọc các yêu cầu gửi tới SSL VPN được xem như là một chức năng của máy chủ SSL VPN thực sự hoặc như là một chức năng của một tường lửa lớp ứng dụng (đặt trước SSL VPN) có thể giải quyết các vấn đề yếu điểm của lớp ứng dụng. Các loại khác
nhau của bộ lọc đã được mô tả ở trước và chúng có thể chặn các yêu cầu xấu từ SSL VPN yếu.