3.3.2 SSL Tunnel.
3.1 Khái niệm.
3.1.1 SSL (Secure Socket Layer) là gì.
Việc kết nối giữa một Web browser tới bất kỳ điểm nào trên mạng Internet đi
qua rất nhiều các hệ thống độc lập mà không có bất kỳ sự bảo vệ nào với các thông tin trên đường truyền. Không một ai kể cả người sử dụng lẫn Web server
có bất kỳ sự kiểm soát nào đối với đường đi của dữ liệu hay có thể kiểm soát được liệu có ai đó thâm nhập vào thông tin trên đường truyền. Để bảo vệ những
thông tin mật trên mạng Internet hay bất kỳ mạng TCP/IP nào, SSL đã kết hợp
những yếu tố sau để thiết lập được một giao dịch an toàn:
Xác thực: đảm bảo tính xác thực của trang mà bạn sẽ làm việc ở đầu kia
của kết nối. Cũng như vậy, các trang Web cũng cần phải kiểm tra tính xác thực
của người sử dụng.
Mã hoá: đảm bảo thông tin không thể bị truy cập bởi đối tượng thứ ba. Để
Internet, dữ liệu phải được mã hoá để không thể bị đọc được bởi những người khác ngoài người gửi và người nhận.
Toàn vẹn dữ liệu: đảm bảo thông tin không bị sai lệch và nó phải thể hiện
chính xác thông tin gốc gửi đến.
Với việc sử dụng SSL, các Web site có thể cung cấp khả năng bảo mật thông
tin, xác thực và toàn vẹn dữ liệu đến người dùng. SSL được tích hợp sẵn vào các
browser và Web server, cho phép người sử dụng làm việc với các trang Web ở
chế độ an toàn. Khi Web browser sử dụng kết nối SSL tới server, biểu tượng ổ
khóa sẽ xuất hiện trên thanh trạng thái của cửa sổ browser và dòng “http” trong hộp nhập địa chỉ URL sẽ đổi thành “https”. Một phiên giao dịch HTTPS sử dụng
cổng 443 thay vì sử dụng cổng 80 như dùng cho HTTP.
3.1.2 SSL VPN là gì.
SSL VPN là 1 ứng dụng dựa trên nền web và không cần cài đặt trước trên máy trạm. Người sử dụng không cần cài đặt bất kỳ phần mềm VPN client nào (như
SmartVPN hoặc tạo kết nối VPN từ Window...). Vì vậy sẽ không bị hạn chế bởi môi trường mạng, dễ cấu hình và quản lý đơn giản thông qua giao diện web. Một điều quan trọng, công nghệ này tốn rất ít chi phí.
Vì sao sử dụng SSL VPN.
Giả sử, 1 nhân viên đang đi công tác xa và cần dữ liệu từ công ty để giải quyết
công việc. Nếu sử dụng kết nối VPN truyền thống, anh ấy phải mang theo và sử
dụng máy tính cá nhân đã cài đặt sẳn chương trình VPN client nào đó (chẳng hạn
DrayTek SmartVPN hoặc tạo kết nối từ Window...). Đối với người không thuộc
ngành IT, việc cấu hình VPN rất phức tạp, nếu có vấn đề xảy ra với kênh truyền
VPN (bị khóa port bởi firewall, không quay ra ngoài được,...) thì sẽ rất khó có khả năng giải quyết.
Tuy nhiên, với sự trợ giúp của công nghệ SSL VPN, nhân viên kinh doanh có thể sử dụng bất kỳ 1 máy vi tính nào (như trong 1 tiệm cafe Internet...) có khả năng
truy cập Internet. Anh ta chỉ cần nhập tài khoản và password (do người quản trị
VPN truyền thống SSL VPN
PPTP: TCP 1723, GRE (IP Protocol 47) L2TP: UDP 1701
IPSec: UDP 500, ESP (IP Protocol 50), AH (IP Protocol 51)
TCP: 443, sử dụng giao thức HTTPS để
thiết lập kênh kết nối an toàn.
Vấn đề firewall: thường bị khóa các port
của giao thức GRE và ESP/AH
Giảm thiểu được việc chặn port do các
firewall thông dụng ít khi khóa port 443.
Vấn đề NAT: gặp rất nhiều rắc rối trong
việc tương thích với IPSec NAT (RFC
3715).
Không gặp vấn đề trong tính tương thích
NAT.
Cần phải có phần mềm VPN client: phải cài đặt và cấu hình lại phần mềm client
khi sử dụng trên 1 máy tính mới.
Không cần IP tĩnh và trong phần lớn
trường hợp không cần các phần mềm
client.
3.2 Các dạng SSL VPN.
3.2.1 SSL Web Proxy
SSL Web Proxy cho phép các user ở xa truy cập vào các hệ thống thông qua giao thức HTTPS.
Về phía server, người quản trị cần tạo các tài khoản và mật mã cho người
dùng từ xa truy cập vào cũng như tạo các đường dẫn URL tương ứng với các
server.
Về phía người dùng từ xa: chỉ cần biết địa chỉ IP của server (hoặc thay thế
3.2.2 SSL Tunnel.
Cho phép người dùng từ xa tạo 1 kênh kết nối SSL VPN trên đường truyền
Internet (không bị chặn bởi các tường lửa hay chuyển tiếp bằng NAT), thích hợp
cho các ứng dụng thông qua truy xuất mạng (như e-mail server hay FTP server).
3.3 Các bước khởi tạo. 3.3.1 SSL Web Proxy. 3.3.1 SSL Web Proxy.
Bước 1: mở 1 trình duyệt, nhập vào địa chỉ http://192.168.1.1 để đăng
nhập vào giao diện cấu hình cùa router.
Bước 2: Vào mục VPN and Remote Access >> Remote Dial-in user để
Hình 19 : Bảng thiết lập truy cập từ xa.
Bước 3: Nhấn vào Index 1. Trong trang này bạn nhập vào username và password sử dụng cho việc đăng nhập SSL VPN từ xa.
Bước 4: Click vào mục Set SSL Web Proxy.
Hình 21 : Bảng Set SSL Web Proxy.
Bước 5: Vào Index 1 để cấu hình các thông tin chi tiết cho Web Proxy Server.
Hình 22 : Bảng cấu hình thông tin cho Web Proxy.
Bước 6: Cấu hình nhiều profile cho nhiều người dùng khác nhau truy cập.
Hình 23 : Bảng cấu hình profile cho các user truy cập.
Bước 7: Sau khi cấu hình thành công bạn trở về trang VPN and Remote Access >> Remote Dial-in user. Tên các profile sẽ hiển thị cùng với 1 check box
bên cạnh. Bạn chọn các Web Proxy Server cần thiết cho user đang cấu hình truy cập.
Hình 24 : Bảng chọn các Web Proxy Server.
Bước 8: Sử dụng trình duyệt Internet Explorer mở giao diện SSL VPN (Ví Dụ : https://211.21.190.229). Nhập vào username/password được cung cấp bởi người quản trị.
Hình 25 : Bảng đăng nhập SSL Web Proxy.
Bước 9: Nhấn vào SSL Web Proxy, danh sách các hệ thống mà bạn có thể
truy cập sẽ xuất hiện. Click vào để truy cập.
Hình 26 : Bảng danh sách truy cập.