Ngoài ra, để khắc phục những hạn chế của SSL, hiện nay rất nhiều Website sử dụng bộ tăng tốc SSL (SSL Accelerator) để làm tăng hiệu năng của trang Web. Các bộ tăng tốc này là các thiết bị mạng được đặt giữa client và server. Chúng chấp nhận các
Chương 2 - Khe cắm an toàn Nghiên cứu sử dụng công nghệ SSL/TLS
Về cơ bản, một bộ tăng tốc SSL như là một proxy. Nó chấp nhận các kết nối SSL trên cổng định trước và sau đó chuyển dữ liệu đã được giải mã tới cổng tương ứng trên web server. Thông thường bộ tăng tốc được đặt trên một cấu hình trên một đường truyền (inline configuration) giữa web client và web server. Các kết nối được chấp nhận trên giao diện bên ngoài và tương ứng các kết nối bản rõ được tạo ra trên giao diện bên trong, như hình 29. Bộ tăng tốc hành động như một brige, chấp nhận các kết nối mà nó được hỗ trợ để giải mã. Nó cũng có thể được cấu hình như một router trong trường hợp cấu trúc liên kết của mạng server cần thay đổi để đặt bộ tăng tốc trong định tuyến client-server. Trong từng trường hợp, bộ tăng tốc là hiện thân của client với server và server với client, vì vậy client tin rằng nó đang được kết nối trực tiếp đến server và ngược lại.
Hình 29. Một bộ tăng tốc trực tuyến
Những máy tăng tốc SSL thế hệ đầu tiên còn có nhiều hạn chế do thiếu tính linh hoạt và khả năng mở rộng. Hiện nay, các bộ tăng tốc SSL thế hệ mới, còn được biết đến với tên gọi SSL offloader, đã đưa ra một giải pháp hoàn chỉnh, rất hữu hiệu vừa đáng tin cậy vừa hiệu quả về mặt kinh tế dành cho các doanh nghiệp, các trung tâm dữ liệu, các dịch vụ Web hosting và các nhà cung cấp dịch vụ (ASPs).
Thiết bị tăng tốc SSL được thiết kế để làm giảm bớt những gánh nặng xử lý mà CPU phải đảm nhận khi thực hiện các giao dịch SSL. Bộ tăng tốc SSL có thể làm tăng tốc độ thực hiện các giao dịch SSL lên đến 50 lần. Công nghệ tăng tốc SSL phát triển cùng với những thay đổi trong các phương pháp duy trì tính liên tục của Website (Web site persistence) và các giải pháp cân bằng tải được sử dụng trong các Website lớn - có nhiều server giúp làm tăng hiệu năng làm việc của các server.
Chương 2 - Khe cắm an toàn Nghiên cứu sử dụng công nghệ SSL/TLS
2.7.3.2 Tăng tốc SSL với vấn đề duy trì website (Web site persistence)
Những ngày đầu khi mà các giao dịch SSL được thực hiện, địa chỉ IP tĩnh là yếu tố cơ bản để duy trì tính liên tục của Website (Web site persistence). Một ví dụ về persistence là đối với các site bán hàng trên mạng, mỗi người khách truy cập đến phải được đảm bảo là họ được kết nối tới một máy chủ đơn nhất, được duy trì kết nối đó liên tục để họ có thể thực hiện một giao dịch an toàn. Và SSL đóng một vai trò quan trọng trong quá trình bảo mật các kết nối liền mạch đó.
Khi mà số lượng các máy chủ uỷ nhiệm được triển khai ngày càng tăng thì cũng tạo ra sự thay đổi liên tục các địa chỉ IP trong suốt phiên giao dịch của người dùng. Điều này làm ảnh hưởng đến cách mà Website sử dụng để duy trì tính liên tục của các giao dịch SSL. Và các giao dịch SSL chỉ còn có thể dùng được cho các Website dùng phương pháp cân bằng tải dựa vào địa chỉ IP. Còn các Website với nhiều server mà đang dùng các giải pháp cân bằng tải dựa vào IP thì cần phải có các giải pháp chuyển đổi mới, các công nghệ tăng tốc SSL mới để có thể sử dụng được các phương pháp duy trì tính liên tục của website như URLs, file extension, header, và đặc biệt là cookies. Cookie là một đoạn dữ liệu mà web server lưu trên máy client vào lần truy nhập đầu tiên. Khi người sử dụng trở lại, trình duyệt web sẽ gửi một bản sao của cookie tới server để định danh người dùng. Chính vì lí do đó đã dẫn đến sự ra đời các giải pháp cân bằng tải thế hệ mới được gọi là content switch.
2.7.3.3 Tăng tốc SSL và content switch
Content switch đưa ra một cách thức cân bằng tải rất thông minh bằng cách làm việc ở các tầng trên tầng mạng. Nhờ có khả năng kiểm tra và chuyển đổi cao tại các tầng phía trên tầng mạng, content-switch cung cấp các khả năng cần thiết cho phép chuyển đổi dựa vào thông tin URL, file extension, header, cookie,….Điều quan trọng là khả năng chuyển đổi dựa trên cookies, vì điều này cho phép content-switches duy trì kết nối với một cơ chế tin cậy. Không cần biết là địa chỉ IP của website sẽ thay đổi bao nhiêu lần trong phiên làm việc, cookie sẽ luôn được trả về và được sử dụng để duy trì tính liên tục của trang web.
Nhưng điểm yếu lớn nhất của content-switch đó chính là việc thực hiện các giao dịch SSL. Các thông tin đã được mã hoá trong phiên giao dịch SSL ngăn cản việc kiểm tra trạng thái gói tin của content-switch, là điều rất cần thiết giúp cho việc
Chương 2 - Khe cắm an toàn Nghiên cứu sử dụng công nghệ SSL/TLS
chuyển đổi thông minh hơn dựa vào các thông tin lớp ứng dụng. Điều này đã dẫn đến việc ra đời thế hệ content-switch tiếp theo thân thiện với công nghệ tăng tốc SSL hơn.
2.7.3.4 Quá trình phát triển của bộ tăng tốc SSL
Các bộ tăng tốc SSL thế hệ đầu tiên chỉ tập trung giải quyết các gánh nặng mà CPU phải xử lý trong giai đoạn “bắt tay” của SSL (SSL handshake) chứ chưa xử lý được các vấn đề liên quan đến mã hoá và giải mã dữ liệu trong giao dịch SSL. Ngoài ra, nó còn bị hạn chế về khả năng mở rộng và tính linh hoạt.
Thế hệ tiếp theo được biết đến với tên gọi SSL offloader, đã khắc phục được nhược điểm của sản phẩm thế hệ trước, vì thế nó cung cấp khả năng làm việc tốt hơn rất nhiều. Các thiết bị này đã cung cấp một giải pháp tăng tốc SSL hoàn chỉnh với độ bảo mật cao.
Có một điểm hạn chế duy nhất với các phiên bản đầu tiên của SSL offloader. Đó chính là việc triển khai trong hệ thống mạng yêu cầu cấu hình trên một đường truyền (inline configuration), thiết bị được đặt trước content-switch, tiếp đến là web server. Do đó tất cả các dữ liệu, dù là SSL, hay không SSL đều đi qua SSL offloader trước khi đến webserver, tạo ra một nút cổ chai trên đường truyền dữ liệu, có thể gây ra tắc nghẽn mạng. Để giải quyết vấn đề này, các nhà sản xuất đã đưa thêm các thiết kế fail-over, fail-through, spill-through, cho phép cấu hình kích hoạt hay thụ động (active/passive) dự phòng. Nhưng những thay đổi này mới chỉ giải quyết được phần nào vấn đề, vì nó vẫn chưa thực sự hiệu quả và còn hạn chế về khả năng mở rộng.
2.7.3.5 Bộ tăng tốc SSL của SonicWALL
Các thiết bị tăng tốc SSL của SonicWall đảm nhận công việc xử lý giao dịch SSL, giải phóng một lượng tài nguyên đáng kể cho Web server. Các cải tiến tăng tốc SSL của SonicWall đã loại trừ được sự nghẽn mạng ở chỗ đặt thiết bị tăng tốc SSL đối với các dữ liệu trên đường truyền. Công nghệ này cho phép các bộ tăng tốc SSL của SonicWALL kết hợp với thiết bị content switch, có thể cả thiết bị switch để đưa ra các quyết định thông minh với các dữ liệu không được mã hoá.
Với các dữ liệu được gửi đến, thiết bị content switch sẽ lọc và gửi tất cả các yêu cầu qua cổng 443 (HTTPS) tới SonicWall SSL Offloader, nơi sẽ đảm nhận các công việc trong giai đoạn “bắt tay”, giải mã dữ liệu, và sau đó gửi lại các dữ liệu đã
Chương 2 - Khe cắm an toàn Nghiên cứu sử dụng công nghệ SSL/TLS
được xử lý cho content switch. Content switch có nhiệm vụ chuyển các dữ liệu này tới server. Với các dữ liệu gửi trả lại, thiết bị sẽ mã hoá và gửi đến client.
Công nghệ One-Port Offloader của SonicWall cung cấp cấu hình rất mềm dẻo đối với content switch bằng việc cho phép một cổng đơn được sử dụng cho cả đường vào và đường ra mà không ảnh hưởng đến khả năng làm việc. Điều này cho phép tận dụng tối đa cổng đối với các thiết bị content switch, nơi mà chí phí cho từng cổng là rất cao.
Việc triển khai các thiết bị tăng tốc SSL của SonicWALL rất đơn giản, dễ dàng, cho phép các Website nhanh chóng đưa vào sử dụng. Và SonicWALL SSL Offloaders là một thiết bị độc lập và làm việc hoàn toàn tương thích với các server và hệ quản lý đường truyền mà không cần phải update hay cài đặt lại các bộ mật mã chuyên dụng được yêu cầu cho các server, content switch hay router.
2.7.3.6 Các đặc điểm nổi bật và lợi ích của SonicWALL SSL Offloader
Thiết bị tăng tốc SSL của SonicWall có khả năng làm việc cao nhất với giá thành hợp lý nhất so với các sản phẩm cùng loại. Chúng cung cấp những giải pháp rất hiệu quả về kinh tế để nâng cao khả năng làm việc của Website mà không cần phải lắp đặt thêm những chiếc server đắt tiền. SonicWALL SSL Offloaders hoàn toàn có khả năng làm việc tốt với các content switch của Cisco hay của các hãng khác nên nó là một giải pháp tăng tốc SSL thân thiện với thiết bị content switch và mang tính toàn diện.
• Khả năng làm việc (Performance): Khả năng tăng tốc SSL rất cao, giúp cho
các website không cần phải triển khai hay nâng cấp nhiều server với chi phí cao. Thiết bị tăng tốc SSL của SonicWall làm tăng khả năng làm việc và tính bảo mật của các website và các ứng dụng thương mại như Oracle, PeopleSoft, Siebel, SAP, WebLogic, iPlanet,…
• Tăng tốc toàn bộ quá trình xử lý SSL: Tăng tốc một cách rõ rệt các quá trình (adsbygoogle = window.adsbygoogle || []).push({});
mã hoá, giải mã và bảo mật nhờ sử dụng một bộ vi xử lý rất mạnh, giải phóng Web server khỏi những công việc liên quan đến quá trình SSL.
• Thiết bị tăng tốc SSL của SonicWall cung cấp khả năng làm việc cao nhất
Chương 2 - Khe cắm an toàn Nghiên cứu sử dụng công nghệ SSL/TLS
một giải pháp rất hiệu quả về kinh tế giúp làm tăng khả năng làm việc của các Websitẹ trong khi vẫn đảm bảo được tính bảo mật.
• Triển khai đơn giản: Cung cấp nhiều phương án triển khai rất đa dạng cho phép vận hành độc lập hoặc phối hợp với rất nhiều các thiết bị mạng, đáp ứng được các yêu cầu đối với mạng đang tồn tại của bạn với lượng rất nhỏ số thời gian chết các trục trặc về lắp đặt. Với việc cài đặt đơn giản và gần như không cần phải bảo trì sẽ làm giảm thời gian quản trị và chi phí.
• Thân thiện với Content Switch: Tích hợp hoàn toàn với các bộ cân bằng ở lớp 4 và các Content Switch tại lớp 5 đến lớp 7 để quản lý giao dịch SSL và tăng tối đa năng lực làm việc của các trang Web, cho phép bảo vệ mạng một cách toàn diện và đảm bảo khả năng trình diễn của trang web đối với khách hàng luôn nhanh chóng và liên tục
• Độ tin cậy cao: Với cấu trúc ở trạng thái rắn và nguồn điện dự phòng, SonicWall SSL Offloader đảm bảo độ tin cậy cao và loại trừ những rủi ro tiềm tàng hay xảy ra với các thiết bị SSL dựa trên máy PC (PC-based SSL appliance). Có thể kết hợp nhiều SonicWall SSL Offloader để tạo ra tính sẵn sàng của quá trình xử lý giao dịch SSL và để dự phòng, đảm bảo rằng các Website bảo mật và các ứng dụng luôn hoạt động.
• Quản lý dễ dàng, mềm dẻo: Có thể cấu hình và quản lý thông qua một số giao
diện như serial-based CLI, Telnet, Web-based GUI
• Back-End Encryption: Đảm bảo một sự bảo mật giữa hai nút từ lúc khởi tạo
phiên giao dịch SSL đến khi kết thúc ở đầu kia, trong khi vẫn cho phép các content switch đưa ra các quyết định định tuyến thông minh.
• Secure URL Rewrite: Với chức năng Secure URL Rewrite duy nhất có ở các
sản phẩm của SonicWALL cho phép loại trừ đáng kể khả năng lộ thông tin mà thường thấy ở hầu hết các ứng dụng trên Web, mà không cần phải thêm hay thay đổi mã code trong ứng dụng.
• Quản lý khóa và certificate: Cho phép quản lý tập trung lên đến 4.095 khoá
và certificate, với một cơ chế bảo mật certificate tốt hơn nhờ có các tuỳ chọn quản lý dựa trên server.
Chương 2 - Khe cắm an toàn Nghiên cứu sử dụng công nghệ SSL/TLS
• Hỗ trợ xác thực khách hàng: Quản lý các certificate của khách hàng trong
suốt giai đoạn “bắt tay”. Sau đó các thông tin certificate này có thể được gửi trả lại server bảo mật nhờ một số phương pháp.
• Hỗ trợ xác thực tiên tiến: Hỗ trợ được hầu hết các nền tảng xác thực với các
khả năng xác thực back-end từ phía khách hàng sử dụng HTTP header.
• Các thuật toán mã hoá và việc sản sinh số ngẫu nhiên: Chỉ có SSL-RX của
SonicWALL sử dụng phần cứng chuyên dụng để tăng tốc không chỉ các hoạt động RSA, mà còn cả các hàm mã hoá bao gồm các thuật toán mã hoá đối xứng, các phép phân loại tin, và việc sản sinh số ngẫu nhiên
2.7.3.7 Các phương án triển khai
Thiết bị tăng tốc SSL của SonicWALL có thể triển khai được trong rất nhiều môi trường và cấu hình khác nhau, làm tăng khả năng làm việc của các server và các ứng dụng dựa trên web. Đối với các Web caching server hay các thiết bị mà không thể làm việc với các dữ liệu đã được mã hoá, SonicWALL SSL Offloader có thể được triển khai để giải mã nội dung SSL trước khi nó được đưa đến server lưu trữ. Các mạng sử dụng bộ chuyển mạch nội dung thông tin (content switch) để chuyển những thông tin quan trọng
2.7.3.7.1 SSL Inline Configuration
Trong kiểu cấu hình inline, thiết bị content switch là lối vào của một hay nhiều SSL Offloader - đảm nhận việc giải mã và mã hoá thông tin SSL vì vậy thiết bị content switch mới có thể đọc được dữ liệu và chuyển mạch nội dung một cách thông minh. Thiết bị tăng tốc SSL sẽ chặn tất cả các lưu lượng cổng 443, giải mã và gửi nó như là clear traffic (cổng 81) tới content switch. Trên switch này không đặt cổng 443 vì tất cả các dữ liệu qua nó đều đã được giải mã.
2.7.3.7.2 SSL One Port Proxy Configuration
Trong kiểu cấu hình SSL One Port Proxy Configuration, thiết bị content switch được cấu hình với các quy tắc dựa trên thông tin của cả lớp 4 và lớp 5, trong khi SonicWALL SSL Offloader hoạt động ở chế độ non-transparent và làm việc như một TCP/IP proxy chuẩn. Phía client nghĩ rằng nó đang nói chuyện với thiết bị và nhìn
Chương 2 - Khe cắm an toàn Nghiên cứu sử dụng công nghệ SSL/TLS
được cấu hình làm việc ở lớp 4 và switch sẽ đổi địa chỉ IP đích thành địa chỉ IP của SSL Offloader, nên bộ tăng tốc SSL phải sử dụng một kỹ thuật khác với địa chỉ IP để đảm bảo rằng lưu lượng tin sẽ chuyển đến đúng server. Điều này được thực hiện nhờ cấu hình nhiều cặp IP đích/ Cổng đích (Destination IP/Destination Port) trên thiết bị SonicWALL SSL Offloader (adsbygoogle = window.adsbygoogle || []).push({});
2.7.3.7.3 One-Armed SSL Offloading in Transparent Mode
Trong kiểu cấu hình one-armer transparent, thiết bị content switch sẽ coi SonicWALL SSL Offloader như là một thiết bị lưu trữ. Content switch sẽ định tuyến tất cả các lưu lượng cổng 443 đến thiết bị SSL offloader. IP nằm trên SSL offloader sẽ kết thúc phiên TCP và thay mặt server trả lời. Địa chỉ MAC nguồn trên các gói tin TCP/IP là địa chỉ MAC của SSL Offloader. Điều này buộc các thông tin trong phiên giao dịch SSL trở lại đúng thiết bị tăng tốc SSL. Ngay khi giai đoạn thương lượng SSL hoàn thành, bộ tăng tốc SSL sẽ tiếp tục đảm nhận công việc mã hoá và giải mã thông