CHƢƠNG IV : SSL CAPABILITY
IV.1 Các ứng dụng phổ biến của SSL
Tuy đến nay vẫn còn tồn tại một số lỗ hổng có thể bị khai thác nhưng SSL vẫn là giao thức bảo mật cao nhất mà chưa một giao thức bảo mật nào có thể thay thế vai trò của nó . Nó phổ biến đến mức nếu thấy tên một giao thức có hậu tố “s” thì người ta biết ngay giao thức ứng dụng đó được kết hợp kèm với SSL. Sau đây là một số port phổ biến của những ứng dụng đi kèm SSL được IANA công nhận :
Name Port Description
Nsiiop 261 Dịch vụ IIOP trên TLS/SSL
Https 443 HTTP trên TLS/SSL
Smtps 465 SMTP trên TLS/SSL
Nntps 563 NNTP trên TLS/SSL
Ldaps 636 LDAP trên TLS/SSL
Ftps-data 989 FTP-dữ liệu trên TLS/SSL
Ftps 990 FTP-điều khiển trên TLS/SSL
Telnets 992 TELNET trên TLS/SSL
Imaps 994 IRC trên TLS/SSL
Pop3s 995 POP3 trên TLS/SSL
Ngoài một số ứng dụng phổ biến hiện nay của SSL như bảo mật trong Remote Desktop Protocol cho kết nối Terminal Service, Http cho Outlook Web Access hay Smtp/Imap/Pop3 cho mail , ứng dụng quan trọng của SSL mà không thể không nhắc tới là SSL VPN. Đó là lý do tại sao không chỉ các nhà cung cấp thiết bị mạng phần cứng đang đua nhau trong việc phát triển các sản phẩm hổ trợ SSL VPN mà cả những nhà cung cấp thiết bị mạng “mềm” như Microsoft cũng đưa nó vào sản phẩm Windows Server 2008 và Windows Vista Service Pack 1 của mình với cơ chế Secure Socket Tunneling Protocol (SSTP).
Secure Socket Layer 53 Sau đây chúng ta sẽ tìm hiểu một vài điểm cơ bản của SSTP:
SSTP là cơ chế kết nối VPN client to gateway bằng HTTP over Secure Socket Layer (HTTP over SSL) port 443. Thông thường, trong một hệ thống mạng hiện nay dù là các Firewall hay Proxy server đều cho phép truy cập HTTP và HTTPS. Vì vậy, dù ở bất cứ đâu các máy Client đều có thể kết nối VPN bằng cơ chế SSTP và đảm bảo bảo mật được gói tin vì áp dụng phương pháp mã hóa SSL.
SSTP được tích hợp hỗ trợ NAP để bảo vệ nguồn tài nguyên mạng tốt hơn bằng cách thi hành các chính sách về system health.
SSTP hỗ trợ IPV6 - đường hầm SSTP và IPV6 dựa trên việc kết nối SSTP thông qua IPV6.
Hơn nữa, SSTP thiết lập HTTP riêng lẻ thông qua session SSL từ SSTP client đến SSTP server. Dùng HTTP thông qua SSL Session sẽ giảm thiểu được chi phí và cân bằng tải tốt hơn.
SSTP không hổ trợ site to sitẹ
Sau đây là bảng so sánh tóm tắt SSTP với 2 cơ chế VPN phổ biến hiện nay – PPTP và L2TP/IPSec :
Thuộc tính PPTP L2TP/IPSec SSTP
Dạng kết nối Cố định Cố định Tạm thời
Kiểu thiết bị Quản lý được Quản lý được Không quản lý được
Kiểm soát truy cập Không chi tiết Không chi tiết Chi tiết
Dạng kết nối thích hợp Client-to-Site Site-to-Site Client-to-Site
Yêu cầu Client Phần mềm Client Phần mềm Client Browser
Tƣơng thích Firewall/NAT
Kém Kém Tốt
Đóng gói GRE L2TP over UDP SSTP over TCP
Cơ chế mã hóa Microsoft Point to Point
Encryption (MPPE) với RC4
IPSec ESP với 3DES hoặc AES
SSL với RC4 hoặc AES
Tunnel maintenance protocol
PPTP L2TP SSTP
Cơ chế xác thực Radius,CHAP,PAP,
MS-CHAP,MS-MAP
Radius, Active Directory ,RSA,Secure ID, X509
Radius, Active Directory ,RSA,Secure ID, X509
Quá trình chứng thực user
Trước khi quá trình mã hóa bắt đầu
Sau khi IPSec session được khởi tạo
Sau khi SSL session được khởi tạo
Yêu cầu certificate cho khởi tạo VPN tunnel
Không Certificate của cả VPN
server và client
Certificate của VPN server và root CA certificate trên client
Ứng dụng Mọi ứng dụng trên nền IP Mọi ứng dụng trên nền IP Trên nền web, mail,
Secure Socket Layer 54
IV.2 Triển khai SSL :