GIẢI PHÁP VPN: IPSEC VPN VÀ SSL VPN
Nhu cầu ngày càng tăng về việc truyền tải dữ liệu an toàn (data security) trong một tổ chức, công ty dẫn đến nhu cầu về các giải pháp mạng riêng ảo VPN (Virtual Private Network). Thêm vào đó, khuynh hướng làm việc qua mạng từ xa, phân tán của các doanh nghiệp công ty có nhiều chi nhánh và sự phát triển của lượng nhân viên di động cũng làm gia tăng nhu cầu cho việc truy cập tài nguyên thông tin của công ty.
Bài viết muốn trao đổi về việc tìm kiếm, lựa chọn các giải pháp bảo mật mạng máy tính an toàn dữ liệu sử dụng công nghệ VPN và có so sánh hai giải pháp về VPN, đó là giải pháp VPN truyền thống dựa trên IPSec (Internet Protocol Security) và giải pháp SSL (Secure Socket Layer) giúp cho việc quyết định lựa chọn giải pháp VPN phù hợp.
IPSec VPN là gì?
IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật (security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể dùng IPSec ở trong mạng cục bộ LAN). IPSec VPN cho phép việc truyền tải dữ liệu được mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua các router mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL router, FTTH router.v.v. VPN (ở lớp mạng-Network) đề cập đến những thách thức trong việc sử dụng Internet như là một môi trường truyền và đưa các dữ liệu đa giao thức và nhạy cảm.
Việc thiết lập một đường hầm IPSec VPN (IPSec tunnel) giữa hai nơi, trước tiên, phải thỏa thuận về chính sách an ninh (security policy), giải thuật mã hóa (encryption algorithm), kiểu xác thực (authentication method) sẽ được dùng để tạo kênh đường hầm IPSec VPN. Trong IPSec tất cả dịch vụ mạng như TCP, UDP, SNMP, HTTP, POP, SMTP…đều được mã hóa một khi kênh IPSec được thiết lập trong mô hình mạng máy tính chuẩn OSI.
Hình 1: Giải pháp IPSec VPN
SSL VPN LÀ GÌ?
Thuật ngữ SSL VPN được dùng để chỉ một dòng sản phẩm VPN mới và phát triển nhanh chóng dựa trên giao thức SSL. Cũng cần nói rõ là bản thân giao thức SSL không mới nhưng tích hợp giao thức SSL với công nghệ VPN lại là một mô hình mới. Sử dụng SSL VPN để kết nối giữa người dùng từ xa vào tài nguyên mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng thay vì tạo “đường hầm” ở lớp mạng như giải pháp IPSec đã nói ở trên. Vậy SSL VPN cũng là một giải pháp VPN dưới dạng là một ứng dụng (application based VPN)
Lựa chọn SSL VPN hay IPSec VPN?
Hình 2: Giải pháp SSL VPN
Trước tiên, cần phải khẳng định là SSL VPN và IPSec VPN không phải là hai công nghệ loại trừ lẫn nhau. Thường thì hai công nghệ này đồng thời được triển khai trong cùng một công ty. Việc xem xét các khía cạnh lựa chọn trên liên quan đến chi phí/lợi nhuận (cost/benefit) cũng như các vấn đề công nghệ mà hai giải pháp SSL và IPSec đề cập giúp cho việc lựa chọn triển khai VPN sẽ trở nên dễ dàng hơn. Chúng ta xem xét vấn đề dưới các mặt sau đây:
Kiểu kết nối, kiểu truy cập: IPSec VPN phù hợp cho các kết nối theo kiểu site-to-site. Nó là sự lựa chọn tốt nhất cho các mạng LAN từ xa kết nối với nhau hay kết nối với mạng trung tâm. Các kết nối yêu cầu băng thông rộng, hiệu suất cao, dữ liệu lớn, kết nối liên tục (always on), cố định là đối tượng cung cấp của giải pháp IPSec VPN truyền thống này. Tuy nhiên, khi được dùng cho mục đích truy cập tài nguyên tập trung từ các vị trí phân bố rải rác khắp nơi, hay khi người dùng di động từ xa từ các vị trí công cộng ít tin cậy như sân bay, nhà ga, khách sạn, tiệm cà phê internet muốn truy cập vào tài nguyên của công ty họ thì giải pháp IPSec VPN tỏ ra nhiều bất cập và đó chính là ưu điểm của SSL VPN.
Có thể lấy một ví dụ điển hình việc triển khai SSL VPN của Bưu Điện Thành Phố Hồ Chí Minh (VNPT POST) đã được trình bày trong hội thảo về Bảo Mật Mạng với O2 SECURITY do PNET-nhà phân phối sản phẩm bảo mật mạng Firewall O2 SECURITY tại TP. Hồ Chí Minh. Giải pháp SSL VPN của Firewall O2SECURITY dựa trên dòng sản phẩm SSL VPN Succendo và Sifoworks UTM phù hợp với nhu cầu của các công ty trong cả nước có nhu cầu kết nối mạng riêng ảo từ xa như đã trình bày ở trên.
Công nghệ IPSec VPN đã được Bưu Điện Thành Phố Hồ Chí Minh (VNPT POST) đã được triển khai để kết nối các Bưu Điện Trung Tâm lại với nhau (dạng site-to-site) qua môi trường Internet là một ví dụ về ứng dụng IPSec VPN thông qua giải pháp Firewall O2 SECURITY.
Phần mềm khách (Client software): IPSec VPN yêu cầu cần phải có phần mềm Client cài đặt tại các máy tính để bàn hoặc máy tính xách tay. Điều này làm hạn chế tính linh động của người dùng vì không thể kết nối VPN nếu không có phần mềm IPSec Client đã được cài đặt sẵn. Trong khi với giải pháp SSL VPN, chỉ cần hệ điều hành có một trình duyệt (browser) bất kỳ hỗ trợ giao thức SSL là có thể thực hiện ngay được một kết nối an toàn, dễ dàng vào bảo mật (security). Sự có mặt khắp nơi của trình duyệt trên tất cả các thiết bị từ máy tính đến PDA, điện thoại thông minh.v.v. đã làm cho công nghệ VPN dựa trên SSL dễ triển khai hơn.
Do cần phải cài đặt phần mềm IPSec Client trên các thiết bị truy cập từ xa, nên chính điều này đã làm tăng thêm chi phí quản trị, cấu hình.v.v. Với một công ty có hàng trăm, thậm chí hàng ngàn người dùng từ xa (remote access) thì việc cài đặt, quản lý, hỗ trợ người dùng trong giải pháp IPSec là công việc tốn nhiều thời gian, công sức, tài nguyên và tiền bạc của công ty và nhân viên quản trị mạng IT Admintrator. Vì thế SSL VPN thật sự là giải pháp hiệu quả trong trường hợp này.
Mức độ an toàn của thiết bị truy cập hay kết nối mạng từ xa: Với IPSec VPN (Virtual Private Network), người dùng từ xa (mobile user) hay mạng LAN từ xa (remote network) kết nối đến công ty có thể dễ dàng truy cập đến toàn bộ tài nguyên mạng (FTP, Email, Web, CRM, ERP..v.v. ) như thể họ đang ngồi làm việc tại công ty. Vì vậy, các thiết bị Firewall hỗ trợ VPN hay mạng từ xa (remote network) phải đáng tin cậy (trusted). Tuy nhiên, mọi việc trở nên khó khăn nếu như chúng ta cung cấp giải pháp này cho người dùng từ xa không có độ tin cậy tương tự và các thiết bị truy cập đa dạng như PDA, điện thoại thông minh (smart phone) không do chúng ta quản lý hay tự cài đặt cấu hình IPSec Client đã được kiểm tra (bằng tay).
Quản lý và kiểm soát truy cập từ xa bằng IPSec VPN(Access Control): IPSec VPN được thiết kế để mở rộng phạm vi của mạng LAN. Người dùng ở các chi nhánh văn phòng cũng muốn truy cập không hạn chế tài nguyên mạng một cách hiệu quả, đòi hỏi các chính sách an ninh (security policy) của mạng từ xa cũng phải an toàn tương tự như của mạng tại công ty. Do đó các giải pháp IPSec được áp dụng rất hiệu quả cho mô hình site-to-site. Mọi việc sẽ khác đi nếu chúng ta cho phép các nhân viên thường xuyên di chuyển (mobile user, telecom user.v.v), các đại lý, các nhà cung cấp, nhà thầu, các đối tác thương mại .v.v. kết nối vào mạng chúng ta từ xa (remote access). Lúc này thì giải pháp SSL VPN là một lựa chọn hợp lý nhất nhằm giảm thiểu tất cả các nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm soát đến từng chi tiết (granular access control) sẽ được minh hoạ như sau:
Hình 3: Bảng so sánh IPSec VPN và SSL VPN
Còn mức độ bảo mật (security) thì sao?: Khi so sánh SSL VPN và IPSec VPN thường mọi người có câu hỏi được đặt ra là “Giao thức IPSec VPN và SSL VPN thì cái nào an toàn hơn?”. Thật ra, cả hai giao thức bảo mật này đều bảo mật tốt cho hệ thống. Chúng đều cung cấp một phương pháp trao đổi khóa an toàn (secure key exchange) và phương pháp mã hóa mạnh (encrytion). Mặc dù cả hai công nghệ thì khác nhau và tiến hành thiết lập, triển khai trên các hệ thống theo các phương thức khác nhau, thế nhưng chúng đều chia sẻ chung một số đặc trưng cơ bản đó là cơ chế mã hóa mạnh, dùng khóa phiên (session key), khả năng xác thực sử dụng các phương pháp, công nghệ như: Triple DES, 128-bit RC4, MD5, SHA1, RADIUS, Active Directory, LDAP, X.509.
Hình 4: Mô hình bảo vệ đa lớp
Vấn đề tương thích với Firewall, tính năng NAT: Việc kết nối IPSec thông qua Firewall cũng là một khó khăn. IPSec VPN dùng các giao thức AH (Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). Nếu Firewall của ISP ngăn không cho hai nghi thức này đi qua hoặc ngăn cổng UDP mà IKE (Internet Key Exchange) dùng để trao đổi các thông số bảo mật (security) trước khi kết nối thì IPSec VPN không thể thực hiện được. Một thách thức khác là sự không tương thích của IPSec với việc chuyển đổi địa chỉ mạng bằng tính năng NAT (Network Address Translation). Trong khi đó, giải pháp SSL VPN tương thích hoàn toàn với Firewall, NAT hay server proxy.
Còn về ứng dụng: IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP. Một khi kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng từ các ứng dụng truyền thống như web, thư điện tử, truyền file đến các ứng dụng khác như ICMP, VoIP, SQL.v.v các ứnh dụng đa dịch vụ IPTV, MyTV Video Server… đều cho phép đi ngang qua kênh này. Đây là một ưu điểm của IPSec VPN, nhất là IPSec VPN có thể cung cấp kết nối an toàn cho các ứng dụng không dựa trên nền Web (non Web-based applications). Vì vậy, các máy khách (Client) dùng IPSec thực hiện kết nối VPN được gọi là Fat-Client do khả năng cung ứng nhiều dịch vụ và ứng dụng. Còn SSL VPN cung cấp các ứng dụng trên nền Web (Web-based application), các ứng dụng e-mail (POP3/IMAP/SMTP). Các máy khách (Client) chỉ cần dùng trình duyệt (browser) có hỗ trợ SSL thực hiện kết nối VPN mà không cần cài đặt phần mềm Client nên được gọi là Clientless hoặc Thin-Client, SSL VPN còn hỗ trợ cả các ứng dụng trên nền TCP sử dụng chương trình chuyển tiếp cổng (port forwarding applet) như Terminal Services (RDP protocol) hoặc ứng dụng chia sẻ file CIFS (Common Internet File Service), Citrix ICA… (các dòng sản phẩm SSL VPN Succendo của hãng O2SECURITY đều hỗ trợ rất tốt cho các ứng dụng và với độ bảo mật cao là 1 ví dụ).
Hình 5: Mô hình ứng dụng của O2Security
Hoài Bảo
Tham khảo thêm các giải pháp, thiết bị bảo mật mạng tại http://pnet.vn
(Nguồn: http://pnet.vn)
Bookmarks