Bài viết sưu tầm
SSL VPN
1) Giới thiệu về SSL VPN
-
SSL VPN còn được gọi là giải pháp “clientless”. Điều này cũng có nghĩa là các giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn.
-
Với SSL VPN, thay vì cho phép VPN client truy xuất vào toàn bộ mạng hoặc một mạng con (subnet) như với IPsec, có thể hạn chế chỉ cho phép truy xuất tới một số ứng dụng cụ thể.
-
Nếu một ứng dụng mà bạn muốn họ truy cập không phải là là loại ứng dụng dựa trên trình duyệt (browser-based), thì cần phải tạo ra một plug-ins Java hoặc Active-X để làm cho ứng dụng đó có thể truy xuất được qua trình duyệt.
-
SSL VPN hoạt động ở session layer, điều này cho nó khả năng điều khiển truy cập theo khối tốt hơn.
-
SSL VPN sử dụng chứng chỉ số (digital certificates) để xác thực server.
-
SSL VPN không cần phần mềm VPN client trên máy khách (ngoại trừ trình duyệt Web), SSL VPN gateways vẫn có thể cung cấp các tiện ích “quản lý máy khách ” bằng cách buộc trình duyệt phải chạy các applets.
2) Tham khảo#1: So sánh IPSec VPN và SSL VPN
http://netone.vn/Trangchu/Hotrokythuat/Kienthuccanban/tabid/366/arid/2278/Default.aspx
Khuynh hướng làm việc qua mạng từ xa, phân tán của các doanh nghiệp công ty có nhiều chi nhánh và sự phát triển của lượng nhân viên di động cũng làm gia tăng nhu cầu cho việc truy cập tài nguyên thông tin của công ty.
IPSec VPN là gì?
IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật (security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể dùng IPSec ở trong mạng cục bộ LAN). IPSec VPN cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua các router mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL router, FTTH router.v.v. VPN (ở lớp mạng-Network) đề cập đến những thách thức trong việc sử dụng Internet như là một môi trường truyền và đưa các dữ liệu đa giao thức và nhạy cảm.
Việc thiết lập một đường hầm IPSec VPN (IPSec tunnel) giữa hai nơi, trước tiên, phải thỏa thuận về chính sách an ninh (security policy), giải thuật mã hóa (encryption algorithm), kiểu xác thực (authentication method) sẽ được dùng để tạo kênh đường hầm IPSec VPN. Trong IPSec tất cả dịch vụ mạng như TCP, UDP, SNMP, HTTP, POP, SMTP…đều được mã hóa một khi kênh IPSec được thiết lập trong mô hình mạng máy tính chuẩn OSI.
SSL VPN LÀ GÌ?
Thuật ngữ SSL VPN được dùng để chỉ một dòng sản phẩm VPN mới và phát triển nhanh chóng dựa trên giao thức SSL. Cũng cần nói rõ là bản thân giao thức SSL không mới nhưng tích hợp giao thức SSL với công nghệ VPN lại là một mô hình mới. Sử dụng SSL VPN để kết nối giữa người dùng từ xa vào tài nguyên mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng thay vì tạo “đường hầm” ở lớp mạng như giải pháp IPSec đã nói ở trên. Vậy SSL VPN cũng là một giải pháp VPN dưới dạng là một ứng dụng (application based VPN)
Lựa chọn SSL VPN hay IPSec VPN?
Trước tiên, cần phải khẳng định là SSL VPN và IPSec VPN không phải là hai công nghệ loại trừ lẫn nhau. Thường thì hai công nghệ này đồng thời được triển khai trong cùng một công ty. Việc xem xét các khía cạnh lựa chọn trên liên quan đến chi phí/lợi nhuận (cost/benefit) cũng như các vấn đề công nghệ mà hai giải pháp SSL và IPSec đề cập giúp cho việc lựa chọn triển khai VPN sẽ trở nên dễ dàng hơn. Chúng ta xem xét vấn đề dưới các mặt sau đây:
Kiểu kết nối, kiểu truy cập: IPSec VPN phù hợp cho các kết nối theo kiểu site-to-site. Nó là sự lựa chọn tốt nhất cho các mạng LAN từ xa kết nối với nhau hay kết nối với mạng trung tâm. Các kết nối yêu cầu băng thông rộng, hiệu suất cao, dữ liệu lớn, kết nối liên tục (always on), cố định là đối tượng cung cấp của giải pháp IPSec VPN truyền thống này. Tuy nhiên, khi được dùng cho mục đích truy cập tài nguyên tập trung từ các vị trí phân bố rải rác khắp nơi, hay khi người dùng di động từ xa từ các vị trí công cộng ít tin cậy như sân bay, nhà ga, khách sạn, tiệm cà phê internet muốn truy cập vào tài nguyên của công ty họ thì giải pháp IPSec VPN tỏ ra nhiều bất cập và đó chính là ưu điểm của SSL VPN.
Phần mềm khách (Client software): IPSec VPN yêu cầu cần phải có phần mềm Client cài đặt tại các máy tính để bàn hoặc máy tính xách tay. Điều này làm hạn chế tính linh động của người dùng vì không thể kết nối VPN nếu không có phần mềm IPSec Client đã được cài đặt sẵn. Trong khi với giải pháp SSL VPN, chỉ cần hệ điều hành có một trình duyệt (browser) bất kỳ hỗ trợ giao thức SSL là có thể thực hiện ngay được một kết nối an toàn, dễ dàng vào bảo mật (security). Sự có mặt khắp nơi của trình duyệt trên tất cả các thiết bị từ máy tính đến PDA, điện thoại thông minh.v.v. đã làm cho công nghệ VPN dựa trên SSL dễ triển khai hơn.
Mức độ an toàn của thiết bị truy cập hay kết nối mạng từ xa: Với IPSec VPN (Virtual Private Network), người dùng từ xa (mobile user) hay mạng LAN từ xa (remote network) kết nối đến công ty có thể dễ dàng truy cập đến toàn bộ tài nguyên mạng (FTP, Email, Web, CRM, ERP..v.v. ) như thể họ đang ngồi làm việc tại công ty. Vì vậy, các thiết bị Firewall hỗ trợ VPN hay mạng từ xa (remote network) phải đáng tin cậy (trusted). Tuy nhiên, mọi việc trở nên khó khăn nếu như chúng ta cung cấp giải pháp này cho người dùng từ xa không có độ tin cậy tương tự và các thiết bị truy cập đa dạng như PDA, điện thoại thông minh (smartphone) không do chúng ta quản lý hay tự cài đặt cấu hình IPSec Client đã được kiểm tra (bằng tay).
Quản lý và kiểm soát truy cập từ xa bằng IPSec VPN(Access Control): IPSec VPN được thiết kế để mở rộng phạm vi của mạng LAN. Người dùng ở các chi nhánh văn phòng cũng muốn truy cập không hạn chế tài nguyên mạng một cách hiệu quả, đòi hỏi các chính sách an ninh (security policy) của mạng từ xa cũng phải an toàn tương tự như của mạng tại công ty. Do đó các giải pháp IPSec được áp dụng rất hiệu quả cho mô hình site-to-site. Mọi việc sẽ khác đi nếu chúng ta cho phép các nhân viên thường xuyên di chuyển (mobile user, telecom user.v.v), các đại lý, các nhà cung cấp, nhà thầu, các đối tác thương mại .v.v. kết nối vào mạng chúng ta từ xa (remote access). Lúc này thì giải pháp SSL VPN là một lựa chọn hợp lý nhất nhằm giảm thiểu tất cả các nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm soát đến từng chi tiết (granular access control).
Mức độ bảo mật (security) thì sao?: Khi so sánh SSL VPN và IPSec VPN thường mọi người có câu hỏi được đặt ra là “Giao thức IPSec VPN và SSL VPN thì cái nào an toàn hơn?”. Thật ra, cả hai giao thức bảo mật này đều bảo mật tốt cho hệ thống. Chúng đều cung cấp một phương pháp trao đổi khóa an toàn (secure key exchange) và phương pháp mã hóa mạnh (encrytion). Mặc dù cả hai công nghệ thì khác nhau và tiến hành thiết lập, triển khai trên các hệ thống theo các phương thức khác nhau, thế nhưng chúng đều chia sẻ chung một số đặc trưng cơ bản đó là cơ chế mã hóa mạnh, dùng khóa phiên (session key), khả năng xác thực sử dụng các phương pháp, công nghệ như: Triple DES, 128-bit RC4, MD5, SHA1, RADIUS, Active Directory, LDAP, X.509.
Vấn đề tương thích với Firewall, tính năng NAT: Việc kết nối IPSec thông qua Firewall cũng là một khó khăn. IPSec VPN dùng các giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). Nếu Firewall của ISP ngăn không cho hai nghi thức này đi qua hoặc ngăn cổng UDP mà IKE (Internet Key Exchange) dùng để trao đổi các thông số bảo mật (security) trước khi kết nối thì IPSec VPN không thể thực hiện được. Một thách thức khác là sự không tương thích của IPSec với việc chuyển đổi địa chỉ mạng bằng tính năng NAT (Network Address Translation). Trong khi đó, giải pháp SSL VPN tương thích hoàn toàn với Firewall, NAT hay server proxy.
Về ứng dụng: IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP. Một khi kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng từ các ứng dụng truyền thống như web, thư điện tử, truyền file đến các ứng dụng khác như ICMP, VoIP, SQL.v.v các ứnh dụng đa dịch vụ IPTV, MyTV Video Server… đều cho phép đi ngang qua kênh này. Đây là một ưu điểm của IPSec VPN, nhất là IPSec VPN có thể cung cấp kết nối an toàn cho các ứng dụng không dựa trên nền Web (non Web-based applications). Vì vậy, các máy khách (Client) dùng IPSec thực hiện kết nối VPN được gọi là Fat-Client do khả năng cung ứng nhiều dịch vụ và ứng dụng. Còn SSL VPN cung cấp các ứng dụng trên nền Web (Web-based application), các ứng dụng e-mail (POP3/IMAP/SMTP). Các máy khách (Client) chỉ cần dùng trình duyệt (browser) có hỗ trợ SSL thực hiện kết nối VPN mà không cần cài đặt phần mềm Client nên được gọi là Clientless hoặc Thin-Client, SSL VPN còn hỗ trợ cả các ứng dụng trên nền TCP sử dụng chương trình chuyển tiếp cổng (port forwarding applet) như Terminal Services (RDP protocol) hoặc ứng dụng chia sẻ file CIFS (Common Internet File Service), Citrix ICA…
3) Tham khảo#2: Draytek SSL VPN
https://www.anphat.vn/giai-phap-cua-chung-toi/ssl-vpn-bao-mat-du-lieu-va-vuot-tuong-lua
SSL VPN: Bảo mật dữ liệu và vượt tường lửa
Hiện nay các Doanh nghiệp không ngừng mở rộng sản xuất kinh doanh vì thế việc kết nối dữ liệu từ xa liên tục và an toàn là một yêu cầu cấp thiết. Tuy nhiên không phải Doanh nghiệp nào cũng có thể chi trả chi phí thuê kênh riêng cho các kết nối nội bộ giữa Văn phòng và chi nhánh. Để tiết kiệm chi phí thì VPN là giải pháp luôn được các Doanh nghiệp lựa chọn. Ngoài việc tiết kiệm chi phí VPN còn giúp cho Doanh nghiệp bảo mật dữ liệu quan trọng của mình bằng cách mã hóa dữ hiệu với giao thức IPSEC (Internet protocol security) và hiện nay là SSL (Secure socket layer)
GIẢI PHÁP BẢO MẬT DỮ LIỆU VỚI SSL VPN LAN-to-LAN
Với Doanh nghiệp có văn phòng đặt tại các Tòa nhà và một số Tòa nhà không cho phép kéo đường internet cáp quang riêng mà phải sử dụng chung hạ tầng mạng sẳn có tại Tòa nhà (Tòa nhà thuê Internet từ ISP và cung cấp lại cho các công ty trong tòa nhà). Đây là trở ngại rất lớn và tiềm ẩn nguy cơ mất cắp dữ liệu:
-
Khi bạn sử dụng chung hạ tầng mạng của Tòa nhà nghĩa là toàn bộ dữ liệu của bạn sẽ đi qua Swicth, Router, Firewall của Tòa nhà trước khi tới nơi cần đến (Web Server, Mail Server, ERP Server,..). Như vậy hacker sẽ dễ dàng lấy được thông tin của bạn chỉ với một port mirror trên Switch
-
Khi Router của Công ty nằm sau NAT device của Tòa nhà (Firewall, Modem,…) sẽ rất khó khăn khi thực hiện VPN với giao thức IPSEC truyền thống và hoàn toàn phụ thuộc vào năng lực Pass-through VPN trên thiết bị của Tòa nhà.
Thấy được những nhu cầu này của khách hàng, DrayTek đã nghiên cứu và đưa ra thị trường sản phẩm có hỗ trợ chức năng SSL VPN LAN-to-LAN. Để thực hiện kết nối SSL VPN LAN-to-LAN chúng ta chỉ cần duy nhất một port TCP/443 và đây là port rất thông dụng được cho phép trong mọi trường hợp. Khi thiết lập VPN SSL Doanh nghiệp cũng sẽ an tâm hơn về vấn đề bảo mật dữ liệu.
Ưu điểm của SSL VPN
-
Dễ dàng vượt tường lửa: Do sử dụng duy nhất 1 port TCP/443 để tạo VPN Tunnle. TCP/443 là port thông dụng luôn được các tường lửa cho phép đi qua.
-
Không phụ thuộc vào khả năng PassThrough VPN của NAT Device (Trường hợp nằm sau NAT Device)
-
Thích hợp khi tạo VPN LAN-to-LAN giữa 3G và ADSL/FTTH (3G là mạng đứng sau 1 NAT device của ISP nên nếu sử dụng PPTP hay IPsec sẽ gặp phải khó khăn)
-
Bảo mật cao do sử dụng chuẩn SSL 3.0
-
Băng thông VPN cao (Tùy model dao động từ 50 ~ 500Mbps)
-
Hỗ trợ cả Host-to-LAN và LAN-to-LAN
Khuyết điểm duy nhất là SSL VPN LAN-to-LAN chỉ hỗ trợ DrayTek -to-DrayTek
Các model hiện tại đã hỗ trợ SSL VPN:
-
Vigor2860 (Firmware 3.8.1RC6)
-
Vigor2925 (Firmware 3.8.2RC3)
-
Vigor2960 (Firmware 1.1.0.1)
-
Vigor3900 (Firmware 1.1.0)
» Tin mới nhất:
- So sánh các mức độ cô lập dữ liệu trong DB2 (09/03/2025)
- Hệ thống thông tin quản lý tri thức (03/03/2025)
- Việt Nam đang trên vạch xuất phát mới với chuyển đổi số (03/03/2025)
- Linux Shell: Viết chương trình shell tạo user (18/01/2025)
- Hướng Dẫn Lập Trình Chatbot Với Python (18/01/2025)
» Các tin khác:
- Bảng - Một đối tượng dữ liệu trong DB2 (05/01/2021)
- Sơ đồ - Một đối tượng dữ liệu trong DB2 (05/01/2021)
- Xây dựng hàm tính khoảng cách giưa hai điểm trong Python (18/12/2020)
- Chuyển đổi dữ liêu từ ListBox này sang ListBox khác trong C# (18/12/2020)
- Lớp, phương thức hằng (18/12/2020)
- Lớp, phương thức trừu tượng (18/12/2020)
- Why we use IP SLAs? How its work? (18/12/2020)
- What Is IP SLAs? IP SLA Operations? (18/12/2020)
- Dạng chuẩn 3 (18/12/2020)
- Dạng chuẩn 2 (18/12/2020)
