Đăng ký

So sánh giao thức IPSec với SSL

Một phần của tài liệu Công nghệ mạng riêng ảo pot (Trang 126 - 132)

- KE: Khoá trao đổi dữ liệu cho trao đổi khoá DifferHelman

Chương IV Một số công nghệ an toàn bổ sung cho các mạng riêng ảo

4.5. So sánh giao thức IPSec với SSL

Như đã mô tả trong Chương 3, “Các giao thức mạng riêng ảo tại tầng 3”, IPSec cung cấp tính năng mã hoá và xác thực mạnh cho lưu lượng IP và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ nhờ sử dụng IKE.

Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính năng này là cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong phần này chúng ta lưu ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và SSL và giải thích những phạm vi nào sử dụng cả hai giao thức.

- IPSec(qua IKE) và SSL cung cấp xác thực Client và Server

- IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ liệu, thậm chí trên các mức khác nhau của chồng giao thức

- IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và các hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ (IPSec qua IKE)

- IPSec(qua IKE) và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà không phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến

Nhữngđiểm khác nhau:

- SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được thực thi như một khung làm việc tại tầng liên mạng.

- SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữa WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới - thiết bị.

- SSL không bảo vệ lưu lượng UDP; IPSec thì có

- SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường hầm. Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách kiểm tra nội dung và quét virus trước khi nó được phân phối thành công đến đích; IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một đường hầm

- SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải (end –to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm IPSec để đạtđược mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường hầm cũng có thể được mã hoá.

- Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn đề lúc ta không truy cậpđược mã nguồn củaứng dụng hoặc không có thời gian hay kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong suốt với các ứng dụng.

Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn có trong một phiên bản SSL-aware. Đây là trường hợp có một ứng dụng chuẩn đa dạng, không chỉ với WebBrowser và

WebServer. Ngoài ra, nếu có tuỳ chọn của việc thực thi khái niệm 3-tier bằng cách tận dụng các cổng ứng dụng Web tại vành đai của mạng, SSL là một sự lựa chọn tốt. Nếu có một số lượng lớn các ứng dụng để bảo đảm an toàn có thể phải chọn giải pháp tốt hơn cho mạng. Trong trường hợp này, IPSec là sự lựa chọn tốt hơn. Trừ khi tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách bảo mật

Chú ý Không quan tâm đến phân đoạn kết nối, việc nghe trộm trên một phiên liên lạc có thể

cung câp cho tấn công có một địa chỉ IP máy chủ từ xa hợp lệ. Kẻ tấn công này sau đó

sử dụng thông tin này để giả mạo địa chỉ IP và phá vỡ hàng rào an toàn của tổ chức mà không gặp trở ngại nào. Một vấn đề chính yếu khác gắn liền với phân đoạn kết nối, dù là đường thuê riêng hay đường quay số, nếu chính ISP có ý đồ xấu thì nhà cung cấp dịch vụ có thể dễ dàng đọc được tất các dữ liệu trong phiên liên lạc và như

vậy dễ dàng truy cập tới dữ liệu bí mật được truyền giữa một người dùng cuối và mạng Intranet của tổ chức.

- Mạng công cộng: Một mạng công cộng, đặc biệt là Internet , không nằm trong địa hạt của một cơ quan thẩm quyền đơn có thể kiểm soát tất cả các hoạt động và giao dịch qua nó. Hơn nữa, các điểm trung gian, chẳng hạn như các bộ định tuyến tạo nên Internet và hỗ trợ các đường hầm mạng riêng ảo có thể không dùng riêng cho các đường hầm của một tổ chức đơn. Một bộ định tuyến trung gian có thể đồng thời hỗ trợ nhiều đường hầm bắt nguồn từ nhiều mạng Intranet của nhiều tổ chức. Kết quả là lưu lượng từ một tổ chức có thể không hoàn toàn được biệt lập với lưu lượng của các tổ chức khác. Thêm vào đó, mạng công cộng bản chất là dùng chung, nó có thể được truy cập bởi bất kỳ ai muốn sử dụng nó. Một ý định của cá nhân hay một tổ chức với các trang thiết bị đúng và giỏi chuyên môn có thể dễ dàng gắn vào một phương tiện liên lạc và sử dụng nó để đem lại lợi ích riêng. Trong các trường hợp khác, một kẻ tấn công có thể giả mạo các gói dữ liệu hoặc thay đổi nội dung dữ liệu dẫnđến nhiều thiệt hại cho một tổ chức.

- Điểm truy cập mạng đích: Một Router, Gateway, Firewall hoặc một thiết bí NAT thường được đặt tại vành đai của mạng và các Server như là một điểm truy cập Intranet của một tổ chức. Các thiết bị này không chỉ phảiđối mặt với các mối đe doạ bảo mật và các nổ lực xâm chiếm từ các thực thể bên ngoài mà còn cả từ các thực thể bất mãn ở bên trong. Thêm vào đó, nếu tổ chức hỗ trợ một mạng Extranet, các thiết bị ngày cũng dễ bị tấn công với các lưu lượngđộc hại từ các đối tác thương mại bên ngoài.

Hình 5.1 Bốn thành phần dễ bị tấn công của kết nối mạng riêng ảo

Ở trên ta đã thảo luận về các lỗ hổng bảo mật trong một thiết lập mạng riêng ảođầyđủ. Và như vậy, ta không thể bỏ qua các vấnđề bảo mật này. Ta cần giữ các

bước hợp lý trong việc thực thi để đảm bảo rằng giải pháp mạng riêng ảo của ta là có thể chịu được tất cả các kiểu tấn công, mà vẫn cho phép khai thác Internet và hạ tầng mạng công cộng để giảm chi phí thực thi trong khi tăng mức độ an toàn của các giao dịch, vì vậy bảo vệ được hầu hết các khả năng tấn công vào tổ chức - dữ liệu.

IPSec đã được thảo luận chi tiết trong các chương của phần I được xem là câu trả lời cho hầu hết các mối quan tâm bảo mật liên quan đến 4 thành phần dễ bị tấn công trong mạng riêng ảo. Nó đảm bảo sự an toàn của dữ liệu trong khi truyền. IPSec bảo mật dữ liệu bằng cách mã hoá mỗi gói dữ liệu với các thuật toán mã hoá mạnh. Kết quả là kẻ nghe trộm hoặc thậm chí cả ISP trung gian không thể đọc được dữ liệu. Hơn nữa, IPSec xác thực mỗi gói dữ liệu riêng lẻ ngoài việc xác thực người dùng cuối một lần. Điều này làm giảm khả năng giả mạo.

Thêm hai khía cạnh bảo mật của bất kỳ giao dịch nào dựa trên mạng riêng ảo là quan hệ tin cậy và trao đổi khoá giữa các bên liên quan. Nếu một trong hai khía cạnh này bị tổn hại thì sự an toàn của toàn bộ thiết lập mạng riêng ảo có thể bị tổn hại.

Vấnđề quan hệ tin cậy:

Tin cậy là một phần không thể thiếu của việc đảm bảo an toàn cho bất kỳ hệ thống nào, bao gồm cả thiết lập mạng riêng ảo của ta. Tuy nhiên, sự tin cậy có thể bị khai thác để giành được quyền truy cập vào thiết lập an toàn cẩn mật của ta. Vì vậy, cần phảiđể ý các vấn đề sau khi quyết định mức tin cậy trong thiết lập của ta với các thực thể bên ngoài:

+ Các ứng dụng như Telnet, FTP rất dễ bị tấn công. Cân nhắc để sử dụng các ứng dụng an toàn hơn, như SSH để thay thế

Chú ý Vì sự phức tạp của các cơ chế bảo mật mà SSH sử dụng, hiệu suất của SSH qua VPN sẽ bị chậm.

+ Không chạy các dịch vụ thêm trên Server VPN. Server VPN phải chạy không chỉ tối thiểu các ứng dụng và dịch vụ liên quan đến mạng riêng ảo mà còn

phải tối thiểu hoá các dịch vụ mà kẻ xâm nhập có thể truy cập trong trường hợp xâm nhập thành công.

+ Mặc dù việc không tin cậy hoàn toàn các Client VPN đã xác thực là không thích hợp, ta nên duy trì một mức không tin cậy hợp lý. Nếu cung cấp truy cập hạn chế tới các tài nguyên và thiết bị, nhưng vẫn cho phép người dùng thực hiện các hoạt động cần thiết liên quan đến công việc của họ, ta có thể giảm hậu quả của sự xâm nhập trong đó kẻ tấn công nhằm vào các máy của người dùng cuối. Cũng có thể dùng firewal để hạn chế các truy cập nói trên

Các xem xét liên quan đến trao đổi khoá:

Trao đổi khoá giữa các bên liên quan là một khía cạnh khác của bảo mật mà khi bị tổn hại có thể dẫn đến tổn hại rất lớn trong mạng. Vì thế, điều cốt yếu là khả năng phân phối các khoá một cách an toàn, đặc biệt trong trường hợp sử dụng mật mã đối xứng, như ta đã biết, trong mật mã đối xứng thường sử dụng một khoá mật cho cả lập mã và giải mã. Vì thế, nếu khoá này rơi vào tay một kẻ xâm nhập, nó sẽ mang lại cho kẻ xâm nhập khả năng truy cập tới các giao dịchđang tiếp diễn. Sẽ là hợp lý khi sử dụng IPSec, bảo mật SSH và các ứng dụng dựa trên SSL/TSL, nó tránh được việc trao đổi khoá dưới dạng rõ.

Mật mã phi đối xứng không giống như mật mã đối xứng, không dựa vào một khoá cho việc giải mã và lập mã. Trái ngược với các mật mã đối xứng, mật mã phi đối xứng trao đổi các khoá công khai giữa các bên liên quan và sử dụng các khoá mật tương ứng với chúng cho chức năng giải mã. Tuy nhiên, các cơ chế này không phải tuyệt đối an toàn và rất dễ bị tổn thương với các tấn công kiểu Man-in-the- Middle. Trong kiểu tấn công này, kẻ xâm nhập có thể thay thế khoá công khai của anh ta, và như vậy hoàn toàn truy cập được vào liên lạc giữa hai người dùng cuối hợp lệ. Vì vấn đề này, ta cần phải xác nhận lại khoá công khai với những người liên lạc khác sau khi pha trao đổi khoá hoàn tất, nhưng trước khi pha trao đổi dữ liệu bắt đầu. Mặc dù để thực hiện như vậy mọi lúc là không thể, một sự kiểm tra chéo ngẫu nhiên của các khoá công khai nhậnđược rất nên được thực hiện.

Một điểm mà ta phải luôn lưu ý, bất kể mật mã đối xứng hay phi đối xứng thì các khoá không bao giờ lưu trữ trên một điểm cuối VPN, nơi chúng dễ dàng bị truy cập bởi kẻ xâm nhập. Một giải pháp khả thi cho vấn đề này là lưu trữ các khoá trong một vị trí tập trung, được bảo vệ tốt thay vì lưu trữ tất cả các khó trên một Server VPN riêng. Mặc dùng quá trình truy cập khoá có thể bị kéo dài, nhưng trong thực tế, nó không chỉ giảm gánh nặng lưu trữ trên Server VPN mà còn nâng cao việc bảođảm an toàn cho các khoá.

Một phần của tài liệu Công nghệ mạng riêng ảo pot (Trang 126 - 132)

Tải bản đầy đủ (PDF)

(164 trang)