TRUY CẬP HỖ TRỢ TỪ XA
5.4.2. Sử dụng đường hầm ESP để bảo vệ phiên truy cập hỗ trợ
Giải pháp truy cập từ xa đã nêu ở phần 5.4.1 thì các lỗ hổng an ninh về phía khách hàng đã được phần nào giải quyết. Trong suốt phiên hỗ trợ thì Máy trạm dịch vụ luôn được kết nối tới mạng nhà cung cấp dịch vụ và có thể bị truy cập bởi các Host khác trong mạng.
Lúc đó nội bộ trong mạng nhà cung cấp có thể tấn công vào Máy trạm dịch vụ và sử dụng luôn phiên hỗ trợ đó. Để giải quyết yêu cầu trên thì người ta đưa ra hai giải pháp: thứ nhất là
sẽ yêu cầu định kỳ xác thực dựa vào các thông tin người sử dụng( User-base re-authentication) đối với các thành viên trong đội hỗ trợ và thứ hai là sử dụng IPSec. Với
cách sắp xếp cho IPSec thì có thể huỷ bỏ tất cả các gói không có địa chỉ hoặc địa chỉ sai.
Trong phần này chúng ta chỉ phân tích cấu hình cho giải pháp dùng IPSec. Có những cấu hình sau đây:
Thiết lập an ninh với Gateway khách hàng.
Theo phân tích về Đường hầm ESP thì trong trường hợp này ta sẽ thiết lập một đường hầm mới đặt giữa Máy trạm dịch vụ và Gateway khách hàng. Nó liên tục được chèn vào giữa Máy trạm dịch vụ vàMạng khách hàng khi có một đường hầm kích hoạt cho phiên hỗ trợ. Thêm nữa, Máy trạm dịch vụ không thể truy cập vào các Host khác trong mạng nhà cung cấp dịch vụ và nó cũng không thể bị xem xét bởi các Host đó. Lúc này SSH có thể được sử dụng để thiết lập an ninh giữa Máy trạm dịch vụ và Host truy cập từ xa. Cấu hình trong trường hợp này thể hiện như sau:
90
Hình 5.14: Thiết lập an ninh giữa Máy trạm dịch vụ và Gateway khách hàng.
Cấu hình trên sẽ được ứng dụng nếu như Gateway khách hàng được gán cho một địa chỉ IP tạm thời để thực hiện kết nối tới Host từ xa. Địa chỉ IP tạm thời này thường được cung cấp cho các thành viên trong công ty để họ có thể Dialling vào trong mạng của họ. Đối với truy cập cho các đối tác kinh doanh khác thì việc cung cấp địa chỉ IP tĩnh cũng được xem xét, nhưng đối với các hoạt động của công ty có sử dụng giao diện truy cập từ xa qua môi trường Internet thì cần phải xem xét kỹ lưỡng.
Nếu Máy trạm dịch vụ có yêu cầu gửi gói IP tới Host từ xa thì một đường hầm ESP tại Máy trạm dịch vụ sẽ sử dụng để thiết lập an ninh tới Gateway An ninh khách hàng, lúc này các gói IP sẽ được bao bọc bởi một gói khác rồi mới được gửi đi. Sau đó, tại Gateway an ninh mạng nhà cung cấp dịch sẽ lại một lần nữa đóng thành các gói ESP mới trước khi đi ra ngoài môi trường Internet. Về phía mạng khách hàng thì trước hết Gateway an ninh của nó phải thực hiện cơ chế mở gói ESP liên kết với Gateway nhà cung cấp dịch vụ và sau đó mới thực hiện mở gói ESP liên kết với Máy trạm dịch vụ trước khi các gói này đi vào mạng khách hàng. Cớ chế trên rất có hiệu quả cho các gói IP xuất phát từ Máy trạm dịch vụ.
Thiết lập an ninh với Gateway Nhà cung cấp dịch vụ.
Trong giải pháp đưa ra ở hình 5.13 thì không xem xét đến Proxy Firewall của nhà cung cấp dịch vụ với các chức năng kiểm tra các gói đến và cô lập các yêu cầu truy nhập Imbound. Các gói tin theo chuẩn đường hầm ESP giữa Máy trạm dịch vụ và Gateway khách hàng sẽ đi qua Proxy Firewall và chống lại sự kiểm tra phần đóng gói Header của lớp
91
Transport. Để giải quyết vấn đề trên thì chúng ta cần thiết lập một Proxy thực hiện với giao thức IPSec và liên quan trực tiếp tới mối quan hệ an ninh giữa Máy trạm dịch vụ và Gateway khách hàng. Lúc này sẽ thiết lập một đường hầm ESP giữa máy trạm dịch vụ và Proxy IPSec của nhà cung cấp dịch vụ.Khi đó Gateway khách hàng phải chấp nhận sự xác thực của Proxy Nhà cung cấp dịch vụ đối với Máy trạm dịch vụ thay vì nó phải thực hiện chức năng này. Cấu hình mạng trong phương án này thể hiện như sau:
Hình 5.15: Cấu hình an ninh giữa Máy trạm dịch vụ và Gateway nhà cung cấp
Một Firewall mới của mạng nhà cung cấp dịch vụ sẽ thực hiện chức năng kiểm tra các gói tin trao đổi giữa Máy trạm dịch vụ và Host truy cập từ xa, bởi vì lúc này nó cũng là một trong những đầu cuối của một đường hầm. Thêm nữa, khi sử dụng SSH thì sẽ ngăn chặn được chức năng kiểm tra phần Payload đối với các Firewall trong mạng nhà cung cấp dịch vụ.
Kết luận.
Cấu hình an ninh truy cập khi sử dụng các đường hầm ESP đã giải quyết vấn đề bảo vệ Máy trạm dịch vụ trước những cuộc tấn công từ nội bộ mạng nhà cung cấp dịch vụ.
Tuy nhiên khi nó không kết nối tới mạng khách hàng bằng các đường hầm an ninh thì nó có thể bị tấn công bởi trong nội bộ nhà cung cấp với mục đích là truy cập vào nguồn dữ liệu của nhà cung cấp. Đối tượng tấn công có thể thực hiện việc kích hoạt Máy trạm dịch vụ tấn công mạng thông và đặt vào đó các phần mềm gián điệp như Trojan horse, phân tích danh sách xác thực hoặc làm sai lệch cấu hình IPSec.
92
Để tránh những dạng tấn công trên thì các công ty phải thường xuyên có những chính sách đứng đắn về các Host, cơ chế truy cập mạng của công ty và phải đảm bảo là không cho phép kết nối tới mạng khác. Những yêu cầu này đối với khách hàng là phải cô lập Máy trạm dịch vụ từ mạng cung cấp dịch vụ.