TRUY CẬP HỖ TRỢ TỪ XA
5.3. Bảo vệ dữ liệu trên đường truyền
5.3.3. Hạn chế của SSH và IPSec
Các giao thức đã giới thiệu ở trên đều có thể được sử dụng để thiết lập mối quan hệ Host – to –Host. Tuy nhiên có vài điểm hạn chế có liên quan đến an ninh truyền dẫn và yêu cầu về điều khiển truy cập Gateway khách hàng. Thêm nữa có một vài đặc tính chất không hợp nhau giữa giao thức IPSec và các hệ thống chuyển đổi địa chỉ(Address- translating) như giao diện NAT/NAPT hoặc Proxy Firewall cũng ảnh hưởng đến những quyết định khi thiết kế hệ thống.
Phân tích lưu lượng.
Trong những phân tích trên thì cả SSH và Giao thức IPSec không đảm bảo tính chính xác đối với địa chỉ IP của Máy trạm dịch vụ cũng như các Host truy cập từ xa. Thêm nữa tất cả các yêu cầu về đăng kýđịa chỉ IP đối với các Host cho các kết nối WAN có thể bị đánh cắp và có thể dùng các địa chỉ ấy để thực hiện truy cập vào các Host tương ứng. Việc
79
yêu cầu đăng kýđịa chỉ IP cho máy trạm dịch vụ và cho các Host truy cập từ xa là không thể vì các công ty thường thực hiện các cơ chế phân giải địa chỉ riêng đối mạng nội bộ của họ.
Trong những trường hợp khi mở rộng do yêu cầu của khách hàng thì họ chỉ sử dụng một địa chỉ IP đã được đăng ký tại Gateway khách hàng và thực hiện tại proxy Firewall hoặc các giao diện NAT/NAPT để đảm bảo cho các kết nối truyền thông giữa nội bộ và các Host mở rộng.
Yêu cầu an ninh truyền dẫn cho Gateway khách hàng sẽ đảm bảo một vấn đề là các địa chỉ IP của các Host truy nhập từ xa không thể hiện khi truyền dẫn qua mạng WAN vì lúc này nó sẽ được thay thế bằng địa chỉ của Gateway khách hàng. Để đảm bảo yêu cầu trên thì ta sẽ dùng giải pháp an ninh bằng giao thức đường hầm IPSec.
Điều khiển truy cập Gateway khách hàng.
Trong hình 5.4 thì khi sử dụng giải pháp an ninh truyền dẫn theo phương pháp mã hoá các phần của gói IP sẽ làm giảm khả năng điều khiển truy cập vào mạng khách hàng.
Gateway khách hàng phải cho qua những gói IP đã mã hoá và thực hiện chuyển đổi giữa Máy trạm dịch vụ và các Host truy cập từ xa. Do vậy chức năng Firewall tại Gateway khách hàng không thể cung cấp chức năng điều khiển truy cập lớp ứng dụng theo cơ chế lọc ứng dụng như SSH và ESP trong phương pháp Transport mã hoá phần payload và chỉ các Host truy cập từ xa mới giải mã được. Thậm chí, ESP cũng có thể ẩn đi giá trị cổng khi sử dụng và điều khiển truy cập cho các cổng đó chỉ có giá trị trên các Host truy cập từ xa.
Thông thường, theo cách nghĩ về hệ thống truy cập từ xa đã nói ở trên thì chỉ có một chức năng duy nhất là thiết lập một mối quan hệ truyền nhận thông tin có tính hợp pháp giữa Máy trạm dịch vụ và các Host truy cập từ xa. Do vậy Gateway thực hiện nhiệm vụ trên cũng phải rõ ràng, lúc đó các Host truy cập từ xa sẽ phải xác định đúng đắn về truy nhập Inbound từ xa và cấu hình giao thức truyền dẫn. ví dụ khi ta sử dụng phương pháp IPSec AH thì chỉ có các Host truy cập từ xa mới có thể phát hiện địa chỉ IP giả mạo. Do vậy việc sử dụng IP dựa vào ALCs của Gateway khách hàng không thể nhận biết rõ ràng các gói IP của máy trạm dịch vụ. Khi xác định đứng đắn Gateway khách hàng thì phần nào cũng hỗ trợ Host từ xa thực hiện công việc trên.
Khi Gateway khách hàng được chịu sự kiểm soát bởi điều khiển truy cập mạng khách hàng và được cấu hình độc lập với Host truy cập từ xa thì sẽ đảm bảo một quan hệ
80
truyền nhận thông tin hợp pháp giữa Máy trạm dịch vụ và Gateway khách hàng. Điều này đảm bảo là gateway khách hàng sẽ xác định chính xác các gói IP của Máy trạm dịch vụ và có thể xem xét đặc tính của nó.
Có một số giải pháp để thực hiện điều này là: giải pháp thứ nhất là Gateway khách hàng thực hiện cơ chế xác thực được bắt đầu từ các gói incoming của máy trạm dịch vụ và yêu cầu Đội hỗ trợ hoặc Máy trạm dịch vụ phải cung cấp các thông tin xác thực.Một giải pháp khác là dùng IPSec, phải thiết lập một gateway an ninh IPSec và máy trạm dịch vụ cũng phải cài đặt IPSec Client. Khi đó giao thức đường hầm IPSec AH hoặc ESP sẽ thiết lập một mối quan hệ truyền nhận thông tin hợp pháp giữa máy trạm dịch vụ và Gateway khách hàng.
Sự không tương thích giữa Proxy và NAT.
Những đề xuất trên chỉ xem xét với giao thức Transport IPSec, giống như là SSH thực hiện cần có sự Hỗ trợ của Proxy hoặc là NAT. IPSec AH không thể vượt qua được các Server Proxy hoặc NAT bởi vì AH sẽ bảo vệ các địa chỉ IP từ những sự cố tuần hoàn không nhận thấy được. Nhưng cách khác thì kỹ thuật NAT và Proxy có thực hiện chuyển đổi địa chỉ . Ví dụ nếunhưGateway khách hàng trong hình 5.4 thực hiện các dịch vụ của Proxy thì chức năng chuyển đổi địa chỉ có thể là nguyên nhân các Host truy cập từ xa bị mất các gói nhận bởi vì sự tính toán checksum của AH có thể không trùng với cái mà nó nhận được.
Một vấn đề nữa là khi sử dụng IPSec ESP có thể không tương thích với các hệ thống chuyển đổi địa chỉ. Header lớp Transport của các gói IP sẽ được cung cấp phần checksum với mục tích là sự tính toán của nó sẽ cần thiết cho cho các địa chỉ đầu ra. Khi ESP mã hoá phần Header của lớp Transport, hệ thống chuyển đổi địa chỉ không thể thực hiện việc tính toán lại phần Checksum bởi vì bình thường nó sẽ không thể biết được các khoá sử dụng khi mã hoá. Và do vậycác Host truy cập từ xa sẽ đánh mất các gói nhận từ lớp Transport khi mà nó xác định sai phần Checksum. Như vậy chỉ với giao thức đường hầm IPSec mới vượt qua hệ thống chuyển đổi địa chỉ.
Kết luận.
Trong những phân tích ở trên thì ta thấy là việc bảo vệ an ninh truyền dẫn và điều khiển truy Gateway là các vấn đề chính và phải đảm bảo đồng thời. Mô hình cũng yêu cầu các mức cho việc sử dụng lựa chọn giao thức an ninh truyền dẫn nào và cả sự tích hợp của
81
nó vào trong cấu hình của Gateway khách hàng. Đồng thời cũng nêu ra các công việc và các phương án sẽ thực hiện các giải pháp cho an ninh truyền dẫn và sự tích hợp của nó vào Gateway khách hàng.