Thuật ngữ mạng riêng ảo dựa trên SSL (SSL VPN) được dùng để chỉ một dòng sản phẩm VPN mới và đang phát triển nhanh chóng dựa trên giao thức SSL. Cũng cần nói rõ là bản thân giao thức SSL không mới nhưng liên kết SSL với VPN là mô hình mới. Vào thời điểm ban đầu, SSL VPN được dùng để kết nối giữa người
dùng từ xa và tài nguyên mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng thay vì tạo “đường hầm” ở lớp mạng như giải pháp IPSec. Sau đó, SSL còn được sử dụng kết hợp với nhiều ứng dụng khác như FTP, Telnet, LDAP, POP... và tạo thành giải pháp VPN hướng ứng dụng (application based VPN). Ngày nay, SSL VPN còn được phát triển theo hướng SSL VPN kiểu gateway dựa trên TLS kết hợp với một số tính năng của firewall.
1.3.1 VPN SSL hướng ứng dụng:
1.3.1.1 Nguyên lý hoạt động của VPN SSL hướng ứng dụng:
Các sản phẩm SSL VPN theo kiểu hướng ứng dụng là những sản phẩm VPN dựa trên giao thức SSL được phát triển theo hướng không cần sử dụng phần mềm phía client và thuộc loại VPN truy nhập từ xa. Đặc trưng cho sản phẩm loại này là các SSL VPN dựa trên giao thức Web. Hai loại khác của SSL VPN kiểu hướng ứng dụng được kể đến là SSL VPN sử dụng phương thức proxy và SSL VPN sử dụng phương thức chuyển đổi ứng dụng.
SSL VPN theo kiểu hướng ứng dụng hoạt động dựa trên giao thức SSL truyền thống. Sơ đồ nguyên lý hoạt động của phần mềm thiết lập VPN được trình bày trong Hình 1.9.
Hình 1.9: Sơ đồ nguyên lý hoạt động của SSL VPN hướng ứng dụng
Dưới sự điều khiển của phần mềm ứng dụng, một giao thức ứng dụng tương ứng sẽ được sử dụng để thiết lập một phiên làm việc giữa phần mềm phía client và phần mềm phía server. Tuy nhiên, khác với kết nối giữa client/server của ứng dụng thông thường, giao thức SSL sẽ được sử dụng tại thời điểm khởi đầu phiên liên lạc để xác thực và trao đổi khóa nếu xác thực thành công. Các dữ liệu trao đổi giữa client với server sau khi xác thực và trao đổi khóa thành công đều được mã hóa. Thuật toán mã hóa sử dụng trong phiên liên lạc là một thuật toán được lựa trọn trong các thuật toán chỉ ra trong Hình 1.10. Do khóa phiên có sử dụng một tham số ngẫu nhiên khởi sinh tại client và server nên khóa phiên gần như là duy nhất cho một phiên liên lạc, nhờ đó đã tạo ra một “đường hầm” riêng để trao đổi dữ liệu giữa client và server.
Hình 1.10 trình bày nguyên lý hoạt động của SSL VPN hướng ứng dụng theo mô hình tham chiếu ISO. Trong đó, các gói tin của tầng ứng dụng (Application Layer) không đi thẳng xuống tầng trình diễn (Presentation Layer) mà đi vòng qua các tầng con của giao thức SSL để xác thực và trao đổi khóa tại khi xác lập phiên, phân chia thành các khung, có thể được nén và sau đó được mã hóa trong quá trình trao đổi dữ liệu.
Hình 1.10: Mô hình tham chiếu ISO của SSL VPN hướng ứng dụng
1.3.1.2 Ưu điểm và hạn chế của của VPN SSL hướng ứng dụng:
Nếu xét về mặt kĩ thuật thì VPN SSL theo kiểu hướng ứng dụng thực chất không phải là một VPN thực sự mà chỉ là giả lập VPN bởi vì nó không thực sự tạo
một đường hầm để trao đổi dữ liệu. Đơn giản nó chỉ sử dụng SSL để mã hóa dữ liệu trước khi truyền đi chứ không thiết lập một đường hầm trước khi truyền dữ liệu.
VPN SSL theo kiểu hướng ứng dụng cho phép thiết lập VPN cho từng ứng dụng và không cần thêm phần mềm client để truy cập VPN. Vì vậy, cho phép người dùng linh hoạt trong việc tạo các VPN riêng cho từng ứng dụng để tạo một kênh trao đổi thông tin an toàn cho riêng ứng dụng đó. Các dữ liệu, thông tin của ứng dụng khác được trao đổi theo các giao thức thông thường, không phải mã hóa và giải mã, do đó hiệu suất trao đổi thông tin sẽ cao hơn. Tuy nhiên, do việc thiết lập VPN được thực hiện thông qua sự kết hợp giữa giao thức SSL với một giao thức ứng dụng cụ thể, nên với mỗi ứng dụng khác nhau cần có một phần mềm khởi tạo VPN riêng cho mỗi ứng dụng đó. Khi muốn sử dụng SSL VPN cho một ứng dụng mới, phải viết riêng một phần mềm cho ứng dụng này.
1.3.2 VPN SSL kiểu gateway:
1.3.2.1 Nguyên lý hoạt động của VPN SSL kiểu gateway:
SSL VPN kiểu gateway thường hoạt động dựa trên giao thức TLS. Nó không kết hợp với giao thức của một ứng dụng cụ thể mà thực hiện thiết lập một kết nối SSL VPN trên một cổng TCP (hoặc UDP) giữa hai máy client và server. Sau đó sử dụng hai máy này như là hai gateway để chuyển dữ liệu gửi đến hai đầu của VPN. Dữ liệu này có thể đến trực tiếp từ máy làm gateway hoặc từ máy khác được kết nối mạng với gateway. Trên các gateway có thể sử dụng thêm firewall để chặn các gói tin khác không gửi qua đường VPN tới các gateway.
Do được kết hợp với một cổng TCP (hoặc UDP) và thực hiện mã hóa cho các dữ liệu đến từ tầng phiên (Sesion Layer) trước khi gửi đến tầng IP nên đôi khi giao thức SSL được xếp trong tầng giao vận (Transport Layer).
Hình 1.11 trình bày nguyên lí hoạt động của SSL VPN kiểu gateway theo mô hình tham chiếu ISO. Trước khi dữ liệu được truyền đi thì một chương trình ứng dụng sẽ thiết lập một đường hầm an toàn cho việc truyền dữ liệu và cấu hình sao cho dữ liệu không đi thẳng từ tầng transport xuống tầng network mà đi vòng qua các tầng con của giao thức SSL để xác thực, nén, mã hóa. Cũng như vậy, dữ liệu đi từ dưới lên cũng không đi thẳng từ tầng network lên tầng transport mà đi vòng qua các tầng con của giao thức SSL.
Hình 1.11: Mô hình tham chiếu ISO của SSL VPN hướng gateway
1.3.2.2 Ưu điểm và hạn chế của VPN SSL theo kiểu gateway:
VPN SSL theo kiểu gateway cho phép người dùng có thể sử dụng với tất cả các giao thức ở tầng ứng dụng.
Tuy nhiên do tất cả dữ liệu đều phải đi qua VPN SSL nên hiệu xuất trao đổi có thể sẽ không cao.
2 Chương 2 - ỨNG DỤNG GIAO THỨC SSL ĐỂ ĐẢM BẢO AN
TOÀN CHO CÁC TRUY NHẬP TỪ XA TỚI TRANG THÔNG TIN TRUY NÃ TỘI PHẠM