TRUY CẬP HỖ TRỢ TỪ XA
5.3. Bảo vệ dữ liệu trên đường truyền
5.3.4. Giao thứ IPSec với phương thức Đường hầm (IPSec Tunnel Mode)
Giao thức IPSec ESP và AH theo phương thức đường hầm được sử dụng để xây dựng an ninh cho quan hệ giữa hai Host hoặc giữa Host và Gateway an ninh. Giao thức IPSec ESP theo phương thức đường hầm ứng dụng cho việc mã hoá và có các cơ chế đảm bảo tính toàn vẹn cho các gói IP và sau đó đóng thành các gói IP mới trước khi ghép nó vào mạng vận chuyển gói IP.
Hình 5.9: Cấu hình IPSec ESP đường hầm giữa Host và Gateway
Theo như cấu hình 5.8 thì việc sử dụng IPSec ESP đường hầm sẽ đảm bảo tính chính xác cho các dạng truyền dẫn WAN hay nói cách khác là sẽ đảm bảo khả năng điều khiển cho payload bởi Firewall của Gateway khách hàng. Tất nhiên là trước đó thì phải kiểm tra kỹ lưỡng xem phần Payload có bị mã hoá bởi một giao thức an ninh khác không.
IPSec Client của Máy trạm dịch vụ được chèn vào các gói IP thành các gói mới, sau đó sẽ được địa chỉ hoá để tới Host truy cập từ xa. Các gói IP mới này lại được địa chỉ hoá để đưa tới Gateway an ninh trong mạng khách hàng. Tại đây, nó sẽ mở gói để thu lại gói
82
IP gốc và sau đó đưa vào mạng khách hàng. Gateway an ninh phải đặt trước Firewall để đảm bảo là Firewall có thể kiểm tra chắc chắn các gói IP gốc trước khi đưa đến các Host truy cập từ xa. Đây là các dạng firewall thông thường cung cấp các chức năng Proxy như đã trình bày ở phần trước.
Các gói gửi từ Host truy cập từ xa tới Máy trạm dịch vụ cũng được đóng gói bởi Gateway an ninh và sau đó mới gửi tới Máy trạm dịch vụ, trong đó phần IPSec Client cũng sẽ tách ra khỏi phần bao bọc của gói IP.
Hình 5.8 so với các cấu hình trước có một đặc điểm là đã ẩn đi Header của IP và header củaGiao thức lớp Transport của các gói IP gốc. Chỉ có những thông tin bao bọc mới tách ra được từ các gói IP làđịa chỉ IP của Máy trạmdịch vụ và của Gateway an ninh mạng khách hàng. Hơn nữa, phần bao ngoài của gói IP chỉ cung cấp các thông tin rằng nó nó có chứa gói an ninh ESP. Địa chỉ IP của Host truy cập từ xa được ẩn đi trong phần bao bọc gói IP. Một vấn đề nữa liên quan đến việc nhìn thấy IP của Máy trạm dịch vụ giống như là giải quyết từ phía nhà cung cấp dịch vụ, ví dụ như là dùng NAT, dùng Proxy hoặc là qua thông tin của Gateway an ninh
Để tránh nhữngsự cố không xác định rõ ràng của phần ngoài IP header(Outer IP Header) thì AH trong phương thức đường hầm có thể được thêm vào trong gói IP đang sử dụng đường hầm ESP . Lúc này sẽ tạo ra một header IP khác đảm bảo tính chính xác cho chất lượng của gói IP gốc.
Khi sử dụng giao thức an ninh IPSec theo phương thức đường hầm thì có một số vấn đề sau:
Sự tương thích với các hệ thống chuyển đổi địa chỉ (Address-Translating System).
Đường hầm AH không tương thích với các hệ thống chuyển đổi địa chỉ bởi vì phần outer của Header không được bảo vệ từ kỹ thuật trên. Ví dụ đối với NAT, nó đứng trước Gateway an ninh của mạng khách hàng sẽ thực hiện chức năng ngăn chặn ngay cả với đường hầm AH.. Ngược lại, đối với phần outer Header IP của các gói đã sử dụng đường hầm ESP là không được bảo vệ bởi IPSec hoặc là phần Checksumcủa lớp transport . Do vậy hệ thống chuyển đổi địa chỉ vẫn có thể chuyển đổi phần Outer Header IP của ESP bị lỗi.
83
Một vấn đề nữa của AHcó ảnh hưởng đến NAT là NAT có thể đăng ký dựa trữ địa chỉ IP động cho các Host nội bộ ngay khi Host yên cầu cho các giao tiếp WAN. Sau khi kết nối đó hoàn thành thì địa chỉ IP dự phòng đó sẽ thu lại và đăng ký cho Host khác khi yêu cầu kết nối WAN.
Trong khi việc xây dựng hệ thống an ninh IPSec đã thể hiện rõ ràng, lúc này khi kết hợp với NAT thì chỉ có dựa vào cơ chế phân giải địa chỉ của mạng nội bộ. Lý do là các Host trong mạng nội bộ có thể sở hữu các địa chỉ đã được sử dụng trong các yêu cầu kết nối với các Host mở rộng. Do vậy các gói đến theo định dạng IPSec thì sẽ được NAT chuyển đổi địa chỉ Đích theo cơ chế phân giải địa chỉ của mạng nội bộ trước khi Gateway an ninh có thể kiểm tra về chính sách dữ về cơ sở dữ liệu của nó nếu như kết nối cho phép.Còn đối với các gói đi ra ngoài thì đầu tiên Gateway an ninh phải kiểm tra chính sách cơ sở dữ liệu bằng cách kiểm tra địa chỉ nguồn trong mạng nội. Nếu giao tiếp được chấp nhận thì lúc này mới đưa tới NAT. Quá trình xử lý của NAT sẽ thực hiện giữa WAN và Gateway an ninh nếu NAT duy trì bảng Mapping động. Theo như giải pháp trên thì Máy trạm dịch vụ có thể gửi gói IP khởi tạo tới Host truy cập từ xa khi Host truy cập từ xa yêu cầu gán và đăng ký địa chỉ IP tĩnh.
Hỗ trợ VPN
Với đường hầm ESP cũng nhưđường hầm AH được hỗ trợ cơ chế địa chỉ riêng. Ví dụ Máy trạm dịch vụ có thể được gán cho một địa chỉ IP không được đăng ký trong mạng nội bộ khách hàng, trong khi đó theo lý thuyết thì cần thiết phải cung cấp địa chỉ đã đăng ký với mạng khách hàng bởi nhà cung cấp dịch vụ.
Máy trạm dịch vụ có thể giao tiếp truyền thông với Host truy cập từ xa bằng cách sử dụng cơ chế phân giải địa chỉ mạng khách hàng. Để thực hiện điều này thì đầu tiên IPSec Client của máy trạm dịch vụ sẽ đóng gói các gói IP được cung cấp địa chỉ của mạng khách hàng vào các gói có địa chỉ IP đã đăng ký. Các gói có địa chỉ đã được đăng ký sẽ đảm bảo định tuyến tới Gateway an ninh, tại đây chúng sẽ được tháo gói để thu lại gói IP gốc và sau đó căn cứ theo IP mạng khách hàng sẽ đưa tới Host truy cập từ xa. Trong trường hợp này thì một yêu cầu tối thiểu cho Gateway an ninh mạng khách hàng là IP phải được đăng ký và tĩnh .
84
An ninh truyền nhận trong mạng khách hàng.
Mạng khách hàng thể hiện trong hình 5.8 là không bảo vệ dữ liệu truyền nhận giữa Gateway an ninh và các Host truy cập từ xa trong mạng LAN khách hàng dẫn tới việc dữ liệu cũng không được bảo vệ khi truyền nhận giữa Máy trạm dịch vụ và Host truy cập từ xa.
Đây là yêu cầu an ninh của lớp ứng dụng. Để thực hiện điều trên thì ta sẽ dùng giao thức an ninh SSH cho Máy trạm dịch vụ khi thực hiện truy cập vào các Host ở xa.
Hình 5.10: Cấu hình an ninh truyền nhận giữa Máy trạm dịch vụ và Host ở xa
Đầu tiên,các gói định dạng theo giao thức đường hầm ESP sẽ mã hoá theo giao thức SSH. Sau đó sẽđược giải mã bởi Gateway an ninh. Giữa Gateway an ninh và Host truy cập từ xa thì phần Payload đã được bảo vệ.
Một mặt nữa là IPSec có thể được sử dụng để xác định sử dụng phương thức nào giữa hai phương thức Transport hoặc Đường hầm giữa Máy trạm dịch vụvà Host truy cập từ xa.Do đó IPSec Client tại Máy trạm dịch vụ đầu tiên sẽ áp dụng giao thức an ninh IPSec để thiết lập an ninh tới Hots từ xa và ngay sau đó sẽ cũng sẽ sử dụng IPSec để thiết lập an ninh tới Gateway an ninh của khách hàng . Để thực hiện được điều này thì cần phải có sự hỗ trợ của SSH, bởi vì AH, ESP của Transport và AH của Đường hầm là không tương thích với các hệ thống chuyển đổi địa chỉ. Trong khi đó NAT thì không thểthay đổi còn các Proxy thì có thể bị thay đổi.
85
Việc sử dụng đường hầm ESP cho việc thiết lập an ninh giữa Máy trạm dịch vụ và Host từ xa thay cho SSH thì sẽ xảy ra một số vấn đề không thuận lợi cho việc giới hạn điều khiển truy cập thực hiện bởi Firewall khách hàng cũng như header IP và Transport trong các gói đã đóng gói là được mã hóa. Do vậy Firewall không thể biết chính xác các cổng đang sử dụng, thậm chí không xử lý tới lớp Transport và những gói tin yêu cầu khởi tạo kết nối. Đặc tính này của đường hầm ESP đã tạo cho nó sự bất cập khi sử dụng để thiết lập an ninh giữa Máy trạm dịch vụ và Host từ xa.