IPsec and SSL

8/3/2019 IPsec and SSL

http://slidepdf.com/reader/full/ipsec-and-ssl 1/6

GIẢI PHÁP VPN: IPSEC VPN VÀ SSL VPNNhu c ầu ngày càng tăng v ề việc truy ền tải dữ liệu an toàn (data security) trong một tổ chứ c, công ty dẫn đế n nhu c ầu v ề các giải pháp mạng riêng ảo VPN (Virtual PrivateNetwork). Thêm vào đó, khuynh hướng làm việc qua mạng từ xa, phân tán của các doanh

nghiệp công ty có nhi ều chi nhánh và sự phát triển của lượng nhân viên di động cũng làmgia tăng nhu c ầu cho việc truy cập tài nguyên thông tin của công ty.Bài viế t muố n trao đổi v ề việc tìm kiế m, lự a chọn các giải pháp bảo mật mạng máy tính antoàn dữ liệu sử dụng công nghệ VPN và có so sánh hai giải pháp v ề VPN, đó là giải phápVPN truy ền thố ng dự a trên IPSec (Internet Protocol Security) và giải pháp SSL (SecureSocket Layer) giúp cho việc quyế t định lự a chọn giải pháp VPN phù hợp.IPSec VPN là gì? IPSec VPN (Internet Protocol Security) là giao thứ c mạng v ề bảo mật (security) và thườngđược liên kế t với VPN (tấ t nhiên bạn hoàn toàn có thể dùng IPSec ở trong mạng cục bộ LAN). IPSec VPN cho phép việc truy ền tải dữ liệu được mã hóa an toàn ở lớp mạng (NetworkLayer) theo mô hình OSI thông qua các router mạng công cộng Internet được cung cấ p phổ biế n hiện nay như : ADSL router, FTTH router.v.v. VPN (ở lớp mạng-Network) đề cập đế nnhữ ng thách thứ c trong việc sử dụng Internet như là một môi trường truy ền và đư a các dữ

liệu đa giao thứ c và nhạy cảm.

Hình 1: Giải pháp IPSec VPN Việc thiế t lập một đường h ầm IPSec VPN (IPSec tunnel) giữ a hai nơi, trước tiên, phải thỏathuận v ề chính sách an ninh (security policy), giải thuật mã hóa (encryption algorithm),kiểu xác thự c (authentication method) sẽ được dùng để tạo kênh đường h ầm IPSec VPN.



Trong IPSec tấ t cả dịch vụ mạng như TCP, UDP, SNMP, HTTP, POP, SMTP…đều được mã hóamột khi kênh IPSec được thiế t lập trong mô hình mạng máy tính chuẩn OSI.

SSL VPN LÀ GÌ? Thuật ngữ SSL VPN được dùng để chỉ một dòng sản phẩm VPN mới và phát triển nhanhchóng dự a trên giao thứ c SSL. Cũng c ần nói rõ là bản thân giao thứ c SSL không mới như ng

tích hợp giao thứ c SSL với công nghệ VPN lại là một mô hình mới. Sử dụng SSL VPN để kế tnố i giữ a người dùng từ xa vào tài nguyên mạng công ty thông qua kế t nố i HTTPS ở lớp ứ ngdụng thay vì tạo “đườ ng hầm” ở lớp mạng như giải pháp IPSec đã nói ở trên. Vậy SSL VPNcũng là một giải pháp VPN dưới dạng là một ứ ng dụng (application based VPN)

Hình 2: Giải pháp SSL VPN Lự a chọn SSL VPN hay IPSec VPN? Trước tiên, c ần phải khẳng định là SSL VPN và IPSec VPN không phải là hai công nghệ loạitrừ lẫn nhau. Thường thì hai công nghệ này đồng thời được triển khai trong cùng một côngty. Việc xem xét các khía cạnh lự a chọn trên liên quan đế n chi phí/lợi nhuận (cost/benefit)cũng như các vấ n đề công nghệ mà hai giải pháp SSL và IPSec đề cập giúp cho việc lự achọn triển khai VPN sẽ trở nên dễ dàng hơn. Chúng ta xem xét vấ n đề dưới các mặt sauđây:

Kiể u kế t nố i, kiể u truy cập: IPSec VPN phù hợp cho các kế t nố i theo kiểu site-to-site. Nólà sự lự a chọn tố t nhấ t cho các mạng LAN từ xa kế t nố i với nhau hay kế t nố i với mạng trungtâm. Các kế t nố i yêu c ầu băng thông rộng, hiệu suấ t cao, dữ liệu lớn, kế t nố i liên tục(always on), cố định là đố i tượng cung cấ p của giải pháp IPSec VPN truy ền thố ng này. Tuynhiên, khi được dùng cho mục đích truy cập tài nguyên tập trung từ các vị trí phân bố rảirác khắp nơi, hay khi người dùng di động từ xa từ các vị trí công cộng ít tin cậy như sânbay, nhà ga, khách sạn, tiệm cà phê internet muố n truy cập vào tài nguyên của công ty họ thì giải pháp IPSec VPN tỏ ra nhi ều bấ t cập và đó chính là ư u điểm của SSL VPN.



Có thể lấ y một ví dụ điển hình việc triển khai SSL VPN của Bư u Điện Thành Phố H ồ Chí Minh (VNPT POST) đã được trình bày trong hội thảo v ề Bảo Mật Mạng vớ i O2SECURITY do PNET-nhà phân phố i sản phẩm bảo mật mạng Firewall O2 SECURITY tại TP.H ồ Chí Minh. Giải pháp SSL VPN của Firewall O2SECURITY dự a trên dòng sản phẩm SSL VPNSuccendo và Sifoworks UTM phù hợp với nhu c ầu của các công ty trong cả nước có nhu c ầu

kế t nố i mạng riêng ảo từ xa như đã trình bày ở trên.Công nghệ IPSec VPN đ ã đượ c Bư u Điện Thành Phố Hồ Chí Minh (VNPT POST) đ ã đượ c triể nkhai để kế t nố i các Bư u Điện Trung Tâm lại vớ i nhau (dạng site-to-site) qua môi trườ ngInternet là một ví dụ về ứ ng dụng IPSec VPN thông qua giải pháp Firewall O2 SECURITY.

Ph ần m ềm khách (Client software): IPSec VPN yêu c ầu c ần phải có ph ần m ềm Client càiđặt tại các máy tính để bàn hoặc máy tính xách tay. Đi ều này làm hạn chế tính linh độngcủa người dùng vì không thể kế t nố i VPN nế u không có ph ần m ềm IPSec Client đã được càiđặt sẵn. Trong khi với giải pháp SSL VPN, chỉ c ần hệ đi ều hành có một trình duyệt (browser)bấ t kỳ hỗ trợ giao thứ c SSL là có thể thự c hiện ngay được một kế t nố i an toàn, dễ dàng vàobảo mật (security). Sự có mặt khắp nơi của trình duyệt trên tấ t cả các thiế t bị từ máy tínhđế n PDA, điện thoại thông minh.v.v. đã làm cho công nghệ VPN dự a trên SSL dễ triển khaihơn.

Do c ần phải cài đặt ph ần m ềm IPSec Client trên các thiế t bị truy cập từ xa, nên chính đi ềunày đã làm tăng thêm chi phí quản trị, cấ u hình.v.v. Với một công ty có hàng trăm, thậmchí hàng ngàn người dùng từ xa (remote access) thì việc cài đặt, quản lý, hỗ trợ người dùngtrong giải pháp IPSec là công việc tố n nhi ều thời gian, công sứ c, tài nguyên và ti ền bạc củacông ty và nhân viên quản trị mạng IT Admintrator. Vì thế SSL VPN thật sự là giải pháp hiệuquả trong trường hợp này.Mứ c độ an toàn của thiế t bị truy cập hay kế t nố i mạng từ xa: Với IPSec VPN (VirtualPrivate Network), người dùng từ xa (mobile user) hay mạng LAN từ xa (remote network) kế tnố i đế n công ty có thể dễ dàng truy cập đế n toàn bộ tài nguyên mạng (FTP, Email, Web,CRM, ERP..v.v. ) như thể họ đang ng ồi làm việc tại công ty. Vì vậy, các thiế t bị Firewall hỗ trợ VPN hay mạng từ xa (remote network) phải đáng tin cậy (trusted). Tuy nhiên, mọi việctrở nên khó khăn nế u như chúng ta cung cấ p giải pháp này cho người dùng từ xa không có

độ tin cậy tương tự và các thiế t bị truy cập đa dạng như PDA, điện thoại thông minh (smartphone) không do chúng ta quản lý hay tự cài đặt cấ u hình IPSec Client đã được kiểm tra(bằng tay).



Hình 3: Bảng so sánh IPSec VPN và SSL VPN

Quản lý và kiể m soát truy cập từ xa bằng IPSec VPN(Access Control): IPSec VPN

được thiế t kế để mở rộng phạm vi của mạng LAN. Người dùng ở các chi nhánh văn phòngcũng muố n truy cập không hạn chế tài nguyên mạng một cách hiệu quả, đòi hỏi các chínhsách an ninh (security policy) của mạng từ xa cũng phải an toàn tương tự như của mạng tạicông ty. Do đó các giải pháp IPSec được áp dụng rấ t hiệu quả cho mô hình site-to-site. Mọiviệc sẽ khác đi nế u chúng ta cho phép các nhân viên thường xuyên di chuyển (mobile user,telecom user.v.v), các đại lý, các nhà cung cấ p, nhà th ầu, các đố i tác thương mại .v.v. kế tnố i vào mạng chúng ta từ xa (remote access). Lúc này thì giải pháp SSL VPN là một lự achọn hợp lý nhấ t nhằm giảm thiểu tấ t cả các nguy cơ đế n từ các kế t nố i từ xa này nhờ cơ chế kiểm soát đế n từ ng chi tiế t (granular access control) sẽ được minh hoạ như sau:



Hình 4: Mô hình bảo vệ đ a lớ p

Còn mứ c độ bảo mật (security) thì sao?: Khi so sánh SSL VPN và IPSec VPN thường mọi

người có câu hỏi được đặt ra là “Giao thứ c IPSec VPN và SSL VPN thì cái nào an toàn hơn?”.Thật ra, cả hai giao thứ c bảo mật này đều bảo mật tố t cho hệ thố ng. Chúng đều cung cấ pmột phương pháp trao đổi khóa an toàn (secure key exchange) và phương pháp mã hóamạnh (encrytion). Mặc dù cả hai công nghệ thì khác nhau và tiế n hành thiế t lập, triển khaitrên các hệ thố ng theo các phương thứ c khác nhau, thế như ng chúng đều chia sẻ chung mộtsố đặc trư ng cơ bản đó là cơ chế mã hóa mạnh, dùng khóa phiên (session key), khả năngxác thự c sử dụng các phương pháp, công nghệ như : Triple DES, 128-bit RC4, MD5, SHA1,RADIUS, Active Directory, LDAP, X.509.Vấ n đề tươ ng thích vớ i Firewall, tính năng NAT: Việc kế t nố i IPSec thông qua Firewallcũng là một khó khăn. IPSec VPN dùng các giao thứ c AH (Authenticated Header) hoặc/vàESP (Encapsulating Security Payload). Nế u Firewall của ISP ngăn không cho hai nghi thứ cnày đi qua hoặc ngăn cổng UDP mà IKE (Internet Key Exchange) dùng để trao đổi các thôngsố bảo mật (security) trước khi kế t nố i thì IPSec VPN không thể thự c hiện được. Một thách

thứ c khác là sự không tương thích của IPSec với việc chuyển đổi địa chỉ mạng bằng tínhnăng NAT (Network Address Translation). Trong khi đó, giải pháp SSL VPN tương thích hoàntoàn với Firewall, NAT hay server proxy.Còn v ề ứ ng dụng: IPSec VPN hỗ trợ tấ t cả các ứ ng dụng trên n ền tảng IP. Một khi kênhIPSec được thiế t lập, tấ t cả các dịch vụ ứ ng dụng từ các ứ ng dụng truy ền thố ng như web,thư điện tử , truy ền file đế n các ứ ng dụng khác như ICMP, VoIP, SQL.v.v các ứ nh dụng đadịch vụ IPTV, MyTV Video Server… đều cho phép đi ngang qua kênh này. Đây là một ư uđiểm của IPSec VPN, nhấ t là IPSec VPN có thể cung cấ p kế t nố i an toàn cho các ứ ng dụngkhông dự a trên n ền Web (non Web-based applications). Vì vậy, các máy khách (Client)



dùng IPSec thự c hiện kế t nố i VPN được gọi là Fat-Client do khả năng cung ứ ng nhi ều dịch vụ và ứ ng dụng. Còn SSL VPN cung cấ p các ứ ng dụng trên n ền Web (Web-based application),các ứ ng dụng e-mail (POP3/IMAP/SMTP). Các máy khách (Client) chỉ c ần dùng trình duyệt(browser) có hỗ trợ SSL thự c hiện kế t nố i VPN mà không c ần cài đặt ph ần m ềm Client nênđược gọi là Clientless hoặc Thin-Client, SSL VPN còn hỗ trợ cả các ứ ng dụng trên n ền TCP sử dụng chương trình chuyển tiế p cổng (port forwarding applet) như Terminal Services (RDP

protocol) hoặc ứ ng dụng chia sẻ file CIFS (Common Internet File Service), Citrix ICA… (cácdòng sản phẩm SSL VPN Succendo của hãng O2SECURITY đều hỗ trợ rấ t tố t cho các ứ ngdụng và với độ bảo mật cao là 1 ví dụ).

Hình 5: Mô hình ứ ng dụng của O2Security

IPsec and SSL

Documents