Một kỹ thuật khác cho phép truy nhập từ xa tới các ứng dụng non-web qua một kết nối SSL là thiết lập một kết nối mạng qua SSL, điều này có nghĩa là, máy từ xa sẽ được gán một địa chỉ IP nội bộ, và xem như nó là một nút trên mạng nội bộ và được sử dụng như kiểu IPSec. Việc thiết lập các kết nối mạng qua SSL thỉnh thoảng được xem như là một chức năng của chính nó (và không chỉ là một phương thức cho phép truy cập tới các ứng dụng non-web).
Để thiết lập một kết nối, SSL VPN gửi một vài đoạn mã (thông thường là một ActiveX control hoặc một Java applet) tới máy tính người dùng và từ đó sẽ tạo một “adapter mạng ảo” trên máy tính người dùng. Sau đó gán địa chỉ mạng IP nội bộ cho máy, và sử dụng đường hầm SSL để thiết lập kết nối mạng giữa mạng nội bộ và nút từ xa. Các adapter mạng ảo có thể chuyển tiếp các giao thức mạng – như TCP, UDP, IP, ICMP,…
Toàn bộ gói tin mạng được mã hóa sử dụng SSL và đặt nó trong tải của một gói mới sử dụng giao thức TCP/IP thông thường như hình 2.8.
Hình 2.8. Gói tin mã hóa SSL
Có hai loại đường hầm mạng cơ bản có thể sử dụng:
- Đường hầm hoàn chỉnh (full tunneling): Tất các các lưu lượng mạng được tạo trên máy tính người dùng (ví dụ TCP/IP, UDP/IP, IMCP,…) đều được gửi tới máy chủ SSL VPN. Máy chủ SSL VPN định tuyến lưu lượng được định trước tới hệ thống nội bộ tới các máy này, và gửi lưu lượng định trước tới Internet qua các cổng khác(các cổng sử dụng cho tất cả các lưu lượng hướng Internet trước từ tổ chức). - Đường hầm không hoàn chỉnh (split tunneling): Máy tính người dùng gửi tất cả
các lưu lượng tương ứng với SSL VPN (như lưu lượng tới các hệ thống nội bộ) qua đường hầm, nhưng định tuyến lưu lượng tới Internet qua các gateway bình thường. Hơn nữa, các đường hầm loại SSL VPN có thể có hoặc có thể không kết nối trực tiếp hai đường:
- Kết nối trực tiếp hai đường: Kết nối mạng được thiết lập qua SSL trên cả hai đường, có nghĩa là từ người dùng tới máy chủ SSL VPN (và mạng của nó) và từ máy chủ SSL VPN (và mạng của nó) tới người dùng. Đây là loại đường hầm SSL VPN giống như kết nối mạng LAN khi họ ở cơ quan. Một người dùng có thể ping
tới một máy khác trên mạng nội bộ, và một người quản trị mạng trên một mạng nội bộ có thể phân tích ping tới người dùng từ xa.
- Kết nối trực tiếp hai đường không hoàn chỉnh: Đường hầm không hoạt động thực sự như kết nối mạng trực tiếp hai đường, và một vài loại giao tiếp không thể khởi tạo từ bên của máy chủ SSL VPN. Một ví dụ là kết nối có thể cho phép TCP hoạt động hai chiều, nhưng không cho phép ICMP thực hiện từ máy chủ SSL VPN tới máy trạm. Vì vậy người dùng có thể ping một máy chủ trên mạng nội bộ, nhưng không máy tính nào trên mạng nội bộ có thể ping máy tính người dùng từ xa.
Mào đầu Tải ứng dụng
Thỉnh thoảng, các sản phẩm SSL VPN có khả năng truy cập nhiều hơn các công nghệ đã nói ở trên, trong trường hợp này, phương thức sử dụng thường được gọi là chế độ hoạt động. Ví dụ, một SSL VPN có thể cho phép truy cập loại ứng dụng cho Web, chuyển tiếp cổng để có nhiều truy cập hiệu quả hơn, và truy cập mức mạng cho người quản trị mạng. Đồ án sẽ mô tả các chế độ này trong phần bảo mật.