Bây giờ chúng ta sẽ mô tả các thành phần của SSL VPN thực hiện như thế nào, trong một phiên làm việc của người dùng:
1. Người dùng nhập URL của hệ thống truy cập từ xa SSL VPN vào trình duyệt. Trong ví dụ này là http://remote.packtpub.com.
2. Nếu người dùng truy nhập với một cổng không mã hóa (trong ví dụ này là HTTP ở cổng 80), SSL VPN sẽ chuyển tiếp nó tới cổng 443 và bắt đầu sử dụng mã hóa SSL cho tất cả giao tiếp với người dùng. Địa chỉ chuyển tiếp là
https://remote.packtpub.com. SSL VPN sẽ gửi tới người dùng một trang đăng nhập. (Trên thực tế, SSL VPN có thể thực hiện nhiều kiểm tra bảo mật trước khi gửi trang đăng nhập. Đồ án sẽ mô tả chi tiết ở chương sau.
3. Người dùng nhập chứng thực của họ (thông thường là tên đăng nhập và mật khẩu) tới SSL VPN.
4. Nếu chứng thực được chấp nhận, SSL VPN gửi trang chủ và tải về các mã ActiveX hoặc Java cần thiết để thiết lập đường hầm lưu lượng non-web qua SSL hoặc thiết lập kết nối mạng qua SSL.
5. Người dùng chọn một ứng dụng nền web sử dụng trang chủ và SSL VPN sẽ đưa người dùng vào hệ thống. SSL VPN dịch tất cả các giao tiếp từ hệ thống nội bộ trước khi chuyển tiếp chúng tới người dùng.
6. Khi người dùng nhấp chuột vào một liên kết trong ứng dụng, SSL VPN chuyển đổi liên kết từ định dạng bên ngoài thành dạng nội bộ và chuyển tiếp yêu cầu tới máy chủ tương ứng.
7. Khi cần phải có lưu lượng non-web từ máy trạm, phần mềm SSL VPN trên máy chủ người dùng đóng gói dữ liệu bằng cách sử dụng một trong các kỹ thuật đã mô tả ở trên và gửi nó qua kết nối SSL tới SSL VPN, ở đó nó sẽ khôi phục nó trở thành định dạng ban đầu và gửi nó tới mạng nội bộ.
2.7 Kết luận
Chương này đã trình bày về giao thức SSL và cách thiết lập VPN sử dụng SSL, đây là hoạt động cơ bản của SSL VPN. Chương này cũng giới thiệu các công nghệ tiền thân của SSL VPN, và qua đó hiểu rõ hơn bản chất của nó. Ngoài ra, trong nội dung chương cũng đề cập đến các dịch vụ, các thành phần của một SSL VPN điển hình, và từ đó nêu ra hoạt động của nó, các thành phần bổ sung cho hoạt động của nó.
Qua những nội dung đã trình bày, chúng ta có thể nhận thấy SSL VPN tận dụng các công nghệ tiên tiến để cho phép truy cập từ xa từ bất kỳ các trình duyệt nào. Chúng được trang bị để cho phép giao tiếp nền web và non-web, và sử dụng các công nghệ phức tạp để đạt được nhiều ưu điểm của cả hai loại lưu lượng này. Thậm chí SSL VPN có thể cho phép kết nối mạng từ xa.
Những ưu điểm của SSL VPN khiến cho nó phát triển mạnh. Tuy nhiên, SSL VPN vẫn tồn tại một số vấn đề về bảo mật sẽ được trình bày trong ở chương sau.
CHƯƠNG 3: BẢO MẬT TRONG SSL VPN
SSL VPN thực hiện như một gateway vào cấu trúc mạng của công ty, và do đó vấn đề bảo mật là một thành phần quan trọng của SSL VPN. Và khả năng bảo mật của thiết bị SSL VPN là một trong những yếu tố quan trọng để công ty sẽ chọn sản phẩm nào để thực hiện.
Bảo mật trong SSL VPN chia thành ba phần chính:
- Nhận thực (Authentication) và xác thực (Authorization): Người dùng có thể truy câp tới các thông tin và hệ thống qua SSL VPN. Vì vậy, phải chắc chắn rằng chỉ có các người dùng nhận thực có thể truy cập tài nguyên qua SSL VPN và các người dùng độc lập chỉ có thể truy cập tới tài nguyên của họ được phép truy cập. - Bảo mật đầu cuối: Bảo mật đầu cuối thường được biết đến như là bảo mật bên
máy trạm (Client-Side Security) hoặc bảo mật bên trình duyệt (Browser-Side Security). Đây là một công nghệ thực hiện để tránh các vấn đề liên quan đến bảo mật xảy ra trên các thiết bị được sử dụng để truy nhập các tài nguyên qua SSL VPN. Một điều quan trọng nữa là không giống như các công nghệ truy cập từ xa trước đây, công nghệ SSL VPN cho phép truy cập từ các máy không được xem là an toàn và do đó, khái niệm điểm đầu cuối khác với khái niệm điểm đầu cuối trong các hệ thống truy cập từ xa trước đây.
- Bảo mật bên máy chủ: Bảo mật bên máy chủ, thường được gọi là bảo mật mạng (Network Security), tương ứng với việc bảo vệ nguồn tài nguyên nội bộ của công ty bao gồm bản thân máy chủ SSL VPN từ các cuộc tấn công từ máy tính nạn nhân. Mặc dù đồ án sẽ mô tả khá chi tiết các lĩnh vực bảo mật trên, nhưng cần lưu ý là các sản phẩm SSL VPN thực hiện bảo mật rất là khác nhau. Mỗi sản phẩm không cần thiết phải có tất cả các chức năng trên, và tùy thuộc vào thiết kế sản phẩm và khả năng của nó, một vài vấn đề bảo mật được bỏ qua khi thực hiện thiết bị. Một điều dễ nhận thấy là một vài chức năng bảo mật mô tả dưới đây thường được thực hiện qua cách tích hợp các sản phẩm của hãng thứ ba với chức năng lõi SSL VPN được thực hiện bởi nhà sản xuất SSL VPN, đôi khi còn được thực hiện bởi người thực hiện. Phần sau của chương này mô tả các chức năng bảo mật với công nghệ SSL VPN và một vài cách thực hiện các chức năng này.