Đường hầm trong mạng SSL VPN là một kênh giao tiếp an toàn giữa hai máy tính trong một môi trường truyền thông không in cậy. Khi đường hầm được thiết lập, hai máy tính trao đổi dữ liệu với nhau thông qua đường hầm, máy tính thứ 3 không thể truy cập được vào kênh giao tiếp đó. Các đường hầm thực hiện việc mã hoá tất cả lưu lượng truyền thông giữa hai máy, kẻ tấn công xâm nhập kênh truyền dù có lấy được dữ liệu cũng không thể giải mã được nội dung thực sự của dữ liệu.
Với SSL VPN, đường hầm không phải là khái niệm mới. Đường hầm có thể được tạo bởi các giao thức PPTP, L2TP và IPSec, các giao thức này hoạt động ở lớp mạng trở xuống trong mô hình tham chiếu 7 lớp OSI. SSL VPN tạo các đường hầm bảo mật qua việc thực hiện 2 chức năng sau:
- Yêu cầu xác thực các bên tham gia giao tiếp. Bằng cách này, chỉ có các bên giao tiếp được xác thực mới có thể tiết lập được các đường hầm. Giao thức đường hầm SSL sử dụng cơ chế xác thực dựa trên chứng chỉ khoá công khai được cung cấp bởi một CA. Xác thực máy chủ SSL VPN là yêu cầu bắt buộc, còn xác thực máy khách SSL VPN là tuỳ chọn.
- Mã hoá tất cả dữ liệu được truyền giữa hai bên tham gia giao tiếp. Cũng giống như giao thức IPSec và các giao thức khác, giao thức đường hầm SSL mã hoá tất cả dữ liệu trao đổi khi một kết nối được thiết lập, các thuật toán mã hoá được sử dụng trong SSL Version 3.0 là khá an toàn cho phiên giao tiếp. Các đường hầm hoạt động ở tầng mạng hoặc thấp hơn được thiết lập với cơ chế phức tạp, cần một phần mềm hoạt động tại các điểm cuối đường hầm. Do đó, việc quản lý cũng trở nên khó khăn hơn. Với SSL VPN, như đã giới thiệu mục
đích ban đầu của giao thức SSL là nhằm vào việc truyền thông dựa trên web, các chức năng của SSL được tích hợp sẵn trên trình duyệt web, chính vì vậy mà việc tạo ra một đường hầm SSL dựa trên web là không quá phức tạp. Các hệ điều hành hiện nay đều hỗ trợ sẵn các trình duyệt web, khi máy khách ở xa dùng trình duyệt web để truy cập vào máy chủ, các chức năng của giao thức SSL tích hợp sẵn trên trình duyệt thực hiện việc tạo đường hầm bảo mật giữa trình duyệt và máy chủ. Mạng SSL VPN kiểu này còn được gọi là các VPN dựa trên nền web.
SSL còn có khả năng tạo ra các đường hầm cho các ứng dụng không dựa trên nền web, nó sử dụng một phần mềm chuyển tiếp cổng (port forwarding applet) vào quá trình trao đổi dữ liệu. VPN kiểu này thực hiện hai cơ chế, một là chuyển tiếp các lưu lượng gửi tới các cổng cụ thể, hai là truyền dữ liệu qua các cổng của các giao thức khác như FTP, Telnet,…
Để thiết lập kết nối, SSL VPN gửi một đoạn mã (thường là một điều khiển ActiveX hoặc Java applet) tới máy người dùng và bằng cách đó tạo một “virtual network adapter” trên máy người dùng. Tiếp theo SSL VPN gán cho người dùng một địa chỉ IP trên mạng nội bộ, và sử dụng đường hầm SSL để thiết lập một kết nối giữa mạng nội bộ và máy truy cập từ xa. Trong nhiều trường hợp phương thức giao tiếp này giống với công nghệ mạng IPSec VPN, virtual network adapter có thể chuyển tiếp tất cả các lưu lượng TCP, UDP, IP, ICMP,… Toàn bộ gói tin được mã hoá bởi SSL và bọc thành một gói mới sau đó truyền qua mạng tới điểm cuối.
2.5. Kết luận chƣơng
Trong chương này luận văn đã trình bày công nghệ mạng riêng ảo dựa trên giao thức SSL. Các khái niệm an ninh được sử dụng trong giao thức SSL, các giao thức đường hầm trong SSL cũng như việc thiết lập đường hầm SSL
VPN. Để áp dụng công nghệ SSL VPN, trong chương 3 của luận văn sẽ xây dựng “Hệ thống bảo mật truy cập nội bộ từ xa qua OpenVPN dựa trên SSL”.
CHƢƠNG 3. XÂY DỰNG HỆ THỐNG BẢO MẬT TRUY CẬP NỘI BỘ TỪ XA QUA OPENVPN DỰA TRÊN SSL