Như đã mô tả trong Chương 3, “Các giao thức mạng riêng ảo tại tầng 3”, IPSec cung cấp tính năng mã hoá và xác thực mạnh cho lưu lượng IP và cũng cung cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ nhờ sử dụng IKE.
Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính năng này là cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong phần này chúng ta lưu ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và SSL và giải thích những phạm vi nào sử dụng cả hai giao thức.
Những điểm giống nhau:
- IPSec(qua IKE) và SSL cung cấp xác thực Client và Server
- IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ liệu, thậm chí trên các mức khác nhau của chồng giao thức
- IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và các hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ (IPSec qua IKE)
- IPSec(qua IKE) và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà không phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến
Những điểm khác nhau:
- SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec được thực thi như một khung làm việc tại tầng liên mạng.
- SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữa WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới - thiết bị.
- SSL không bảo vệ lưu lượng UDP; IPSec thì có
- SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường hầm. Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách kiểm tra nội dung và quét virus trước khi nó được phân phối thành công đến đích; IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một đường hầm
- SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải (end –to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm IPSec để đạt được mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường hầm cũng có thể được mã hoá.
- Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn đề lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian hay kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong suốt với các ứng dụng.
Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn có trong một phiên bản SSL-aware. Đây là trường hợp có một ứng dụng chuẩn đa dạng, không chỉ với WebBrowser và WebServer. Ngoài ra, nếu có tuỳ chọn của việc thực thi khái niệm 3-tier bằng cách tận dụng các cổng ứng dụng Web tại vành đai của mạng, SSL là một sự lựa chọn tốt. Nếu có một số lượng lớn các ứng dụng để bảo đảm an toàn có thể phải chọn giải pháp tốt hơn cho mạng. Trong trường hợp này, IPSec là sự lựa chọn tốt hơn. Trừ khi tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách bảo mật
yêu cầu nhiều mức khác nhau và sự kết hợp của xác thực, mã hoá và đường hầm.
Cuối cùng nhưng không kém phần quan trọng, sự lựa chọn một công nghệ bảo mật thích hợp còn phụ thuộc vào mô hình giao dịch. Nếu mục đích của các Server ứng dụng là phải có khả năng truy cập mạng công cộng thì một thiết kế dựa trên Web và công nghệ bảo mật dựa trên SSL có lẽ là lựa chọn đúng. SSL là sẵn có trên bất kỳ một trình duyệt Web chuẩn nào và đó sẽ chỉ là công cụ được sử dụng và yêu cầu bởi người dùng. Tuy nhiên, những người dùng nên được hạn chế truy cập tới Server ứng dụng hay mạng của chúng ta, khi đó một mạng riêng ảo dựa trên IPSec và có thể cả một số công nghệ đường hầm tầng 2 là giải pháp được ưa thích hơn. Trong trường hợp này, những người tham gia và vai trò của họ trong việc trao đổi dữ liệu sẽ được xác định trước.
Tổng kết chương IV
Trong chương này chúng ta đã nghiên cứu thêm một số công nghệ bảo mật bổ sung cho mạng riêng ảo giúp cho người dùng cũng cố vững chắc quá trình truyền dữ liệu dựa trên mạng riêng ảo. Chúng ta đã xem xét về kỹ thuật xác thực từ xa như RADIUS, TACACS. Đây là những Server xác thực từ xa sẽ xác thực các yêu cầu kết nối từ xa. Các Server này có thể tự xác thực người dùng từ xa hoặc chuyển tiếp thông tin người dùng tới một cơ sở dữ liệu trung tâm để xác minh.
Chúng ta cũng xem xét các công nghệ bảo mật như NAT, SOCKS, SSL và cả TLS, những công nghệ này khi sử dụng với mạng riêng ảo có thể giúp cho người dùng có được môi trường an toàn hơn để truyền dữ liệu qua Internet và các mạng công cộng.
Cuối cùng là đưa ra một sự so sánh giữa hai giải pháp IPSec và SSL, đồng thời phân tích khả năng áp dụng chúng trong thực tế
Câu hỏi ôn tập
1. RADIUS stands for __________.
a. Remote Account Dial-In User Service b. Remote Access Dial-In User System c. Remote Access Dial-In User Service d. Remote Account Dial-In User System
a. Cisco Systems
b. Netscape Communications Corporation c. Microsoft Corporation
d. InterNIC
3. Keeping a tab on the duration of user activities is a part of ____________. a. Authentication
b. Authorization c. Accounting
d. Authentication and Accounting
4. Which of the following security solutions helps preserve IP addresses? a. SOCKS
b. SSL c. TLS d. NAT
5. Which of the following firewalls keep an account of connection status in addition to checking the IP addresses carried by the datagram?
a. Application proxy firewalls b. Static stateful firewalls c. Packet filter firewalls
d. Stateful packet inspection firewalls
6. What is the difference between a firewall and a SOCKSv4 server?
a. A firewall masks internal nodes from the outside world; SOCKS do not. b. SOCKS authenticates remote users; firewalls do not.
c. Firewalls authenticate remote users; SOCKS do not. d. There is no difference between the two.
7. Which of the following requires compulsory two-way authentication for an HTTP- based transaction?
a. SSL b. SOCKS c. TLS d. NAT
PHẦN II XÂY DỰNG VÀ THỰC THI MẠNG RIÊNG ẢO
Phần I đã trình bày chi tiết về những vấn đề liên quan đến công nghệ mạng riêng ảo. Bây giờ chúng ta đã biết rõ những yêu cầu của một mạng riêng ảo, các khối dựng sẵn của mạng riêng ảo, các kiến trúc mạng riêng ảo khác nhau, và các thành phần đảm bảo an toàn của một thiết lập mạng riêng ảo. Bây giờ ta đã có những kiến thức nền tảng khá vững chắc về công nghệ đường hầm và các giao thức đường hầm khác nhau như: PPTP, L2F, L2TP và IPSec. Với những kiến thức trên, trong phần này ta sẽ bước sang việc xây dựng và thực thi mạng riêng ảo.
Chương V Xây dựng mạng riêng ảo
Trong chương này ta sẽ nghiên cứu về các vấn đề và những điểm cần lưu ý khác nhau trong khi thiết kế một giải pháp dựa trên mạng riêng ảo cho các tổ chức. Ta sẽ xem xét các vấn đề thiết kế mạng riêng ảo như: bảo mật, đánh địa chỉ và định tuyến, hiệu suất, khả năng mở rộng và khả năng tích hợp. Các vấn đề liên quan đến việc thực thi FireWall, NAT, DNS, phân phối khoá, quan hệ tin cậy giữa các thực thể liên quan cũng được đề cập. Chúng ta cũng xem xét các môi trường mạng riêng ảo: Remote Access, Intranet, Extranet để hiểu rõ các vấn đề liên quan trong khi thực thi mạng riêng ảo trong các môi trường này. Cuối cùng, ta sẽ nghiên cứu các bước thông thường để thực thi mạng riêng ảo, lựa chọn sản phẩm và nhà cung cấp dịch vụ, kiểm thử kết quả, thiết kế và thực thi mạng riêng ảo, quản trị và giám sát các thiết lập