3.1.2. Proxy WBM
Các kiến trúc cho các giải pháp Proxy WBM đƣợc hiển thị trong hình 3.1a. Trong giải pháp này mạng vẫn còn chứa các trạm quản trị riêng. Sự khác biệt duy nhất với cách quản trị truyền thống là các trạm quản trị ở đây bao gồm các máy chủ web đƣợc bổ sung để xử lý các yêu cầu cơ sở của HTTP và các phần mềm để xử lý các yêu cầu quản trị thiết bị. Bằng cách này, bất kỳ nhà quản trị nào sử dụng trình duyệt web từ xa có thể sử dụng các trạm quản trị, sau đó lần lƣợt liên lạc với node quản trị bởi các phƣơng tiện SNMP quen thuộc. Trong thực tế, mục đích của WBM này chỉ là để điều khiển từ xa cho các trạm quản trị SNMP. Lợi ích từ sự trao đổi này là khả năng tƣơng thích ngƣợc trong hệ thống hiện có: không cần phải có bất kỳ một thực hiện thay đổi nào với các node quản trị khi WBM đang đƣợc áp dụng. Sự thay đổi duy nhất là các trạm quản trị của mạng phải để thiết bị hiểu và thực hiện các lệnh quản trị dựa trên HTTP.
3.1.3. Nhúng WBM
Cách tiếp cận thứ hai là nhúng WBM nhằm đạt đƣợc việc quản trị mang tính độc lập, riêng biệt, việc quản trị riêng biệt trên đƣợc gọi là nhúng WBM. Kiến trúc này đƣợc minh họa trong hình 3.1b. Trong mô hình này các web server nhúng vào trong mỗi node quản trị. Ngƣời quản trị sử dụng một trạm quản trị và các ứng dụng quản trị bằng cách sử dụng giao thức HTTP. Phần mềm quản trị kết nối đến web server của node quản trị và theo cách này, thực hiện chức năng quản trị node. Các ứng dụng tại node có thể đƣợc thực hiện bằng cách sử dụng phƣơng pháp nhúng, ví dụ nhƣ nhúng Java. Cách tiếp cận này xuất hiện gần đây với ƣu điểm là hiệu suất và dung lƣợng của các thiết bị quản trị mạng đã đƣợc cải thiện. Nếu node quản trị có một JVM chạy bên trong, các nhiệm vụ quản trị có thể đƣợc thực hiện thậm chí chỉ cần bằng cách gửi các mã lệnh quản trị tới node để thực nhiệm vụ quản trị ngay tại chính node đó. (JVM là gì? Để chạy chƣơng trình Java, cần một phần mềm nữa phiên dịch mã bytecode cũng nhƣ cung cấp cho nó môi trƣờng và các dịch vụ cần thiết, tầng phần mềm này chính là JVM).
3.1.3. So sánh an ninh của các kiến trúc WBM (Security Comparison of WBM Architectures) Architectures)
Đã có những nghiên cứu quy mô lớn để đảm bảo sự an toàn của các giao dịch dựa trên HTTP trong WWW. Mã hóa (mã hóa khóa công khai) đƣợc sử dụng rộng rãi cũng nhƣ chữ ký số. Phần HTTP miêu tả Proxy WBM ban đầu có thể trực tiếp có đƣợc một an ninh tốt hơn so với hệ thống quản trị truyền thống, dựa trên hệ thống SNMP. Mặt khác, không có gì là đã đƣợc giải quyết chắc chắn trong an ninh của giao thức quản trị Proxy WBM đó, bởi vì giao thức thực đƣợc truyền trong mạng đó lại là SNMP không chắc chắn. Đó là lý do tại sao các Proxy WBM dễ bị tấn công nhƣ là SNMP. Thực tế các cuộc tấn công giả mạo và gián điệp vẫn còn. Trong tƣơng lai, SNMPv3 nó có khả năng sẽ đƣợc sử dụng để cung cấp an ninh cho Proxy WBM. Mang tất cả các ƣu điểm thì lợi ích chính của Proxy WBM vẫn là dễ dàng thực hiện quản trị thông qua một giao diện lạ mắt và có khả năng liên lạc với trạm quản trị từ bất kỳ một máy trạm nào trong mạng.
Nghiên cứu an ninh của nhúng WBM
Các đề án và kỹ thuật để thực hiện các giao vận an toàn xuyên suốt trên WWW có thể đƣợc sử dụng trong mô hình End-To-End. Đó là bởi vì do ngƣời quản trị trực tiếp kết nối với node quản trị, không thông qua proxy nhƣ trong các giải pháp Proxy WBM. Phần mã hóa và xác thực có thể đƣợc cung cấp bởi TLS / SSL giống nhƣ một số lớp giao thức vận chuyển bảo mật khác. An ninh của các chức năng quản trị đó phụ thuộc hoàn toàn trên an ninh (hoặc không có an ninh) của ứng dụng quản trị cơ bản.
Trong trƣờng hợp thực hiện nhúng WBM và thực hiện các giải pháp dựa trên JVM cũng có những vấn đề nảy sinh tới an ninh, nó đến từ Java. Nếu mã quản trị (Java bytecode) là thực sự nhận đƣợc và chạy ngay tại tại node quản trị, thì node này phải đƣợc đảm bảo rằng dữ liệu đã đƣợc gửi bởi một nguồn gửi đáng tin cậy (xác thực) và dữ liệu chƣa đƣợc thay đổi trong các quá trình truyền ( tính toàn vẹn).
Sự toàn vẹn của mã hóa và xác thực của ngƣời gửi đóng một vai trò rất quan trọng khi các mã quản trị Java đƣợc gửi qua mạng. Các bytecode Java đƣợc biên dịch lại, vì có thể đƣợc cố tình thay đổi trong truyền bởi một bên thứ ba. Những kẻ tấn công có thể đặt một số virus có chứa một backdoor để các bytecode lây lan qua đƣờng truyền. Một giải pháp để ngăn chặn điều này là chữ ký kỹ thuật số hoặc mã hóa sử dụng kết nối End-To-End bằng cách sử dụng SSL. Vậy SSL là gì?
3.2. Secure Socket Layer (SSL) 3.2.1. SSL là gì? 3.2.1. SSL là gì?
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên đƣờng truyền. Không một ai kể cả ngƣời sử dụng lẫn Web server có bất kỳ sự kiểm soát nào đối với đƣờng đi của dữ liệu hay có thể kiểm soát đƣợc liệu có ai đó thâm nhập vào thông tin trên đƣờng truyền hay không. Để bảo vệ những thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, Secure Socket Layer (SSL) đã kết hợp những yếu tố sau để thiết lập đƣợc một giao dịch an toàn: SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã đƣợc chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
Xác thực Server: Cho phép ngƣời sử dụng (Client) xác thực đƣợc server muốn kết nối. Lúc này, phía Web browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và public ID của server là có giá trị và đƣợc cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client. Điều này rất quan trọng đối với ngƣời dùng. Ví dụ nhƣ khi gửi mã số credit card qua mạng thì ngƣời dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server mà họ định gửi đến không.
Xác thực Client: Cho phép phía server xác thực đƣợc ngƣời sử dụng muốn kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của client có giá trị hay không và đƣợc cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không. Điều này rất quan trọng đối với các nhà cung cấp. Ví dụ nhƣ khi một ngân hàng định gửi các thông tin tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của ngƣời nhận.
Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server đƣợc mã hoá trên đƣờng truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tƣ. Ngoài ra, tất cả các dữ liệu đƣợc gửi đi trên một kết nối SSL đã đƣợc mã hoá còn đƣợc bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu ( đó là các thuật toán băm – hash algorithm).
Với việc sử dụng SSL, các Website có thể cung cấp khả năng bảo mật thông tin, xác thực và toàn vẹn dữ liệu đến ngƣời dùng. SSL đƣợc tích hợp sẵn vào các Web browser và Web server, cho phép ngƣời sử dụng làm việc với các trang Web ở chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tƣợng ổ khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser và dòng “http” trong vùng nhập địa chỉ URL sẽ đổi thành “[Only registered and activated users can see links]”.