Các máy chủ SSL VPN thực hiện như là các cổng từ Internet đầy rẫy các kẻ nguy hiểm vào các môi trường được bảo vệ của công ty. Do đó, chúng phải có khả năng bảo vệ khỏi các cuộc tấn công bao gồm các kỹ thuật để chắc chắn bản thân chúng có khả năng phục hồi, củng cố bức tường bảo vệ. Cùng với các công nghệ đồ án đã mô tả ở trên, nhiều khái niệm đang quan tâm liên quan đến bảo mật máy chủ SSL VPN sẽ được mô tả trong các phần sau đây.
a) Hardening
Hardening là quá trình xử lý tối ưu cấu hình của một máy tính hoặc một mạng để chúng an toàn nhất có thể. Nó thường thực hiện tắt các dịch vụ không cần thiết, thay đổi các mặc định hệ điều hành, tắt các khả năng mạng không cần thiết, loại ra các truy cập từ
người dùng khi có người cần điều khiển thiết bị, và xóa các phần mềm không cần thiết. Nhiều SSL VPN được vận chuyển trên các máy tính tiền – hardened, thỉnh thoảng được gọi là các thiết bị (như đã mô tả ở trên). Hardening thường giảm độ nhạy cảm của một SSL VPN đối với các cuộc tấn công, và là một phương thức kinh tế hiện nay. Tuy nhiên, một điểm quan trọng cần nhận thấy là hardening không có khả năng phục hồi, nếu có một sai sót trong mã hệ điều hành, tất cả các thủ tục hardening có thể trở nên vô nghĩa.
b) Air Gap
Air Gap là một công nghệ tận dụng hai máy chủ - một đặt ở biên mạng nội bộ, ở trên tất cả các chứng năng SSL VPN chạy, và một đặt ở biên Internet. Giữa chúng có một bộ nhớ nhỏ. Máy chủ đặt ở biên Internet được hardened và chỉ chạy mã cho phép nhận các kết nối IP. Nó gửi tải ứng dụng từ các gói nó nhận được tới bộ nhớ nhỏ, từ đó máy chủ nội bộ đọc các yêu cầu vào. Air Gap cho phép bảo mật tốt hơn phương thức hardening đơn giản do chúng phục hồi kết nối mạng, giảm các vấn đề mức hệ điều hành, và tránh được các máy đã kết nối Internet thử nhận địa chỉ SSL VPN. Nhược điểm của Air Gap là nó có giá thành cao hơn hardening do nó cần hai máy chủ. Do đó, Air Gap thường phù hợp hơn với mạng lớn, trong đó vấn đề bảo mật được đặt lên hàng đầu.
c) Bảo vệ từ các hệ thống nội bộ và mạng nội bộ
Máy chủ SSL VPN cần phải được bảo vệ khỏi các tấn công từ người dùng nội bộ. Các mật khẩu là cần thiết để truy cập bất kỳ công cụ quản trị nào. Hơn nữa, tốt hơn là có một vài tường lửa cơ bản trên máy chủ SSL VPN để chống các sâu và phần mềm độc hại có thể tấn công từ mạng nội bộ và chặn chúng khỏi tấn công máy chủ SSL VPN.
d) ASIC
Các ASIC (Application – Specific Integrated Circuit – Mạch tích hợp ứng dụng cụ thể) là các chip được thiết kế để chạy các ứng dụng cụ thể. Chúng thường có trong ô tô và nhiều thiết bị điện tử, và bây giờ chúng xuất hiện trong một vài sản phẩm SSL. Nếu các chức năng bảo mật được tích hợp vào các chip ASIC, thì các chip này có thể tăng chức năng bảo mật web và giảm thiệt hại của SSL VPN khi bị tấn công.
3.4 Kết luận
Chương này đã trình bày các vấn đề về bảo mật trong SSL VPN, cụ thể là:
• Nhận thực, xác thực và đăng nhập một lần
• Khái niệm bảo mật đầu cuối
• Đầu cuối tin cậy và truy cập phân cấp
• Các vấn đề bảo mật phía máy chủ
• Sự cần thiết phải cập nhật máy chủ SSL VPN để có khả năng phục hồi trước các vụ tấn công
• Windows hay Linux là phù hợp với máy chủ SSL VPN
Qua những nội dung đã trình bày, chúng ta có thể thấy rằng SSL VPN đã gặp rất nhiều vấn đề bảo mật, có nhiều cách giải quyết khác nhau, mỗi cách giải quyết có những ưu điểm và nhược điểm riêng. Tuy vậy, nhìn chung có thể nhận thấy rằng SSL VPN là giải pháp toàn diện để giải quyết các vấn đề bảo mật đó.
Chương 4 TRIỂN KHAI SSL VPN
SSL VPN là một giải pháp hữu dụng nhưng không có nghĩa nó là công nghệ hoàn hảo phù hợp với tất cả các truy nhập từ xa cần thiết. Chương này sẽ mô tả các trường hợp có thể thực hiện một SSL VPN và các trường hợp mà IPSec được sử dụng sẽ phù hợp hơn.