SSL VPN được truy cập từ các máy tính như máy tính xách tay của công ty, máy tính ở nhà, trạm Internet công cộng, các thiết bị cầm tay. Tất cả sự khác nhau của các máy tính dẫn tới các mức bảo mật khác nhau và các mức tin cậy khác nhau, sự truy cập từ các thiết bị này chắc chắn phải không giống nhau. Ví dụ, không nên cho phép tải lên file từ một máy có dấu hiệu nhiễm virus, nhưng cho phép tải lên từ các máy an toàn như máy tính xách tay của công ty mà có phần mềm diệt virus cài đặt. Vậy thì mức truy cập nào mà SSL VPN cần phải cung cấp từ các thiết bị khác nhau?
Rõ ràng rằng không nên thực hiện phương pháp giới hạn với truy cập SSL VPN, mà thay vào đó là xác định mức bảo mật của thiết bị truy cập và tạo ra một phiên truy cập cụ thể với chính sách phù hợp. Mức độ truy cập tối đa có thể được từ một thiết bị cụ thể nào đó, người dùng thiết bị này có thể truy cập tối đa tới mạng công ty.
Các chính sách bảo mật công ty điều chỉnh thiết bị truy cập thường dựa trên tình trạng thiết bị để cho phép người dùng thực hiện các chức năng cụ thể. Trong ví dụ trước, một chính sách cho phép quá trình tải lên chỉ có thể thực hiện từ các thiết bị có chạy các phần mềm diệt virus. SSL VPN cũng có thể được thiết lập để thực hiện hoàn toàn các chính sách này và chặn truy cập từ các ứng dụng hoặc một phần ứng dụng cụ thể nếu không thỏa mãn các chính sách bảo mật.
Mức độ truy cập cho phép đối với một phiên làm việc cụ thể thường được xác định khi người dùng đăng nhập. Một applet nhỏ gửi tới thiết bị truy cập để thực hiện nó, xác định xem làm thể nào thiết bị thỏa mãn các tiêu chuẩn khác nhau được thiết lập bởi các nhà quản trị SSL VPN dựa trên các chính sách bảo mật của công ty. Nó cũng thử cài các mã liên quan đến bảo mật khác nhau vào các thiết bị truy cập và gửi báo cáo về máy chủ SSL VPN nếu thành công. Dựa trên việc thực hiện các applet, mức độ bảo mật của thiết bị
được thiết lập và mức độ truy cập cũng phụ thuộc vào đó. Cách khác là tận dụng các phần mềm đặt trước trên thiết bị truy cập để thực hiện kiểm tra. Quá trình kiểm tra môi trường bảo mật trên thiết bị truy cập gọi là kiểm tra host hoặc kiểm tra thiết bị truy cập.
Một điều quan trọng là điều khiển truy cập không chỉ có thể giới hạn toàn bộ ứng dụng mà có thể giới hạn chức năng trong một ứng dụng. Bảng 3.1 biểu diễn các chính sách đối với truy cập e-mail từ các thiết bị với các tình trạng bảo mật khác nhau.
Các thành phần ảnh hưởng lên mức độ truy cập của một người sử dụng bao gồm:
• Phần mềm diệt virus: Nó đang chạy? Phần mềm diệt virus nào đang được sử dụng? Phiên bản của nó? Ngày cập nhật của nó?
• Tường lửa cá nhân: Nó đang chạy? Tường lửa cá nhân nào đang được sử dụng? Phiên bản của nó? Chính sách nào đang có tác dụng?
• Kỹ thuật nhận thực: Một người dùng được hỗ trợ một tên đăng nhập và mật khẩu có thể được truy cập tài nguyên ít hơn một người dùng có một mật khẩu dùng một lần hoặc thẻ USB cắm vào máy tính để nhận thực,…
• Hệ điều hành: Hệ điều hành nào mà người sử dụng máy tính đang sử dụng?
• Khóa Registry: Các tổ hợp giá trị khóa cụ thể nào?
• Các chứng thực máy trạm: Một vài địa chỉ IP có thể được tin cậy (nếu như chúng ở trong mạng nội bộ).
• Nhà cung cấp dịch vụ: Có phải người dùng sử dụng dịch vụ của một nhà cung cấp cho phép các chức năng bảo mật khác nhau trong khi kết nối?
Bảng 3.1. Chính sách đối với các máy có độ tin cậy khác nhau
Tình trạng của thiết bị truy cập Điều khiển truy cập
Máy tin cậy phần mềmĐã cài đặt chống virus Có khả năng xóa các file tạm thời Cho phép người dùng đọc e-mail (văn bản) Cho phép người dùng gửi e-mail (văn bản) Cho phép người dùng mở file đính kèm Cho phép người dùng gửi file đính kèm Không Có Có Có Có Có Có
Không Có Không Có Có Không Có
Không Không Có Có Có Có Không
Không Không Không Có Có Không Không
Có-Tin
cậy mức 2 Có Có/Không Có Có Có Có
Có-Tin cậy mức 2
Không Có/Không Có Có Có Không
Có-Tin cậy mức 1
Có/Không Có/Không Có Có Có Có
• Các gói phần mềm chống phần mềm gián điệp: Chúng đang chạy? Gói nào?
• Các file tạm thời: Các file tạm thời của SSL VPN thường được xóa trên máy tính này?
Nhà cung cấp dịch vụ điều khiển
Vì cả lý do bảo mật lẫn kinh tế, các công ty thường yêu cầu người dùng thực hiện tất cả các kết nối từ xa qua các nhà cung cấp viễn thông cụ thể. Các nhà cung cấp này có thể giảm bớt tỉ lệ kết nối đối với số người dùng lớn, hoặc cho phép thực hiện bắt buộc các chính sách cụ thể (như lọc các từ xấu hoặc chặn kết nối chia sẻ file ngang hàng). Một vài kỹ thuật SSL VPN có thể xác định thuộc tính kết nối người dùng, địa chỉ IP người dùng và các thông tin định tuyến và chặn các người dùng không sử dụng nhà cung cấp dịch vụ cần thiết khi truy cập tài nguyên công ty qua SSL VPN.