- Các cổng nối mức ứng dụng thiếu hỗ trợ UDP.
- Các cổng mạch vòng thường được dùng cho các kết nối hướng ngoại, trong
khi các cổng nối mức ứng dụng thường được dùng cho cả kết nối hướng ngoại và
hướng ngoại Thông thường, trong trường hợp sử dụng kết hợp cả 2 loại, cổng
mạch vòng thường được dùng cho các kết nối hướng ngoại còn cổng nối mức ứng
dụng được dùng cho các kết nối hướng nội để thoả mãn yêu cầu bảo mật và yêu
cầu của người dùng.
Một ví dụ dễ hiểu về cổng mạch vòng là SOCKS. Vì dữ liệu đi qua SOCKS
không được giám sát hoặc lọc, một vấn đề bảo mật có thể nảy sinh. Để tối thiểu
hoá các vấn đề bảo mật, các tài nguyên và dịch vụ tin cậy nên được dùng cho mạng
ngoài (mạng không an toàn)

Hình 4.7 Cổng mạch vòng
SOCKS là một chuẩn cho các cổng mạch vòng. Nó không yêu cầu overhead
của nhiều hơn một Server uỷ quyền thông thường trong đó một người dùng phải
chủ ý kết nối trước hết là tới firewall trước khi có yêu cầu thứ 2 là kết nối tới đích.
Người dùng khởi động một ứng dụng phía Client với địa chỉ IP của Server đích.
Thay vì trực tiếp khởi động một phiên với Server đích, Client khởi tạo một phiên
với Server SOCKS trên Firewall.
Server SOCKS sau đó xác minh địa chỉ nguồn và ID người dùng được cho
phép để thiết lập kết nối tới mạng không an toàn, và sau đó tạo ra phiên thứ 2.
SOCKS cần có một phiên bản mã nguồn Client mới và một tập riêng biệt các chính
sách cấu hình trên Firewall. Tuy nhiên, máy server không cần thay đổi, thật vậy, nó
không cần biết rằng phiên đang được tiếp bởi Server SOCKS. Cả Client và Server
SOCKS đều cần có mã SOCKS. Server SOCKS hoạt động như một router mức
ứng dụng giữa Client và Server ứng dụng thực. SOCKSv4 chỉ với các phiên TCP
hướng ngoại. Nó rất đơn giản cho mạng riêng của người dùng, nhưng không được
phân phối mật khẩu an toàn vì vậy nó không được dùng cho các phiên giữa người
dùng mạng công cộng và các ứng dụng mạng riêng. SOCKSv5 với một số phương
pháp xác thực và vì thế được sử dụng cho các kết nối hướng nội, SOCKS cũng hỗ
trợ các giao thức và ứng dụng dựa trên UDP.

Phần lớn các trình duyệt Web là SOCKSified và người dùng có thể nhận được
các ngăn xếp TCP/IP SOCKSified cho hầu hết các nền
4.4. Giao thức SSL và TLS
SSL là giao thức bảo mật được phát triển bởi hãng truyền thông Netscape,
cùng với hãng bảo mật dữ liệu RSA. Mục đích chính của giao thức SSL là cung
cấp một kênh riêng giữa các ứng dụng đang liên lạc với nhau, trong đó đảm bảo
tính riêng tư của dữ liệu, tính toàn vẹn và xác thực cho các đối tác. SSL cung cấp
một khả năng lựa chọn cho API socket TCP/IP chuẩn có thực thi bảo mật bên trong
nó. Do đó, về lý thuyết nó có khả năng chạy với bất kỳ ứng dụng TCP/IP nào theo
cách an toàn mà không phải thay đổi ứng dụng. Trong thực tế, SSL chỉ được thực
thi với các kết nối HTTP, nhưng hãng truyền thông Netscape đã tuyên bố ý định
tận dụng nó cho các kiểu ứng dụng khác, như giao thức NNTP và Telnet, và có
một số miễn phí sẵn có trên Internet. Ví dụ, IBM đang sử dụng SSL để nâng cao
tính bảo mật cho các phiên TN3270 trong các Host của nó, các phương tiện liên lạc
cá nhân và các sản phẩm Server, miễn là cấu hình bảo mật truy cập được các
Firewall.
SSL gồm có 2 tầng:
1. Tại tầng thấp, có một giao thức truyền dữ liệu sử dụng loại mật mã được
xác định trước và kết hợp xác thực, gọi là giao thức bản ghi SSL, hình 4.8 minh
họa giao thức này, và đối chiếu nó với một kết nối socket HTTP chuẩn

Hình 4.8 SSL – so sánh chuẩn giữa chuẩn và phiên SSL
2. Tại tầng trên, có một giao thức cho việc khởi tạo xác thực và truyền các
khóa mã hóa, gọi là giao thức thăm dò trước SSL
Một phiên SSL được thiết lập như sau:
- Một người dùng phía Client(Trình duyệt) yêu cầu một tài liệu bằng một địa
chỉ URL xác định bắt đầu bằng https(thay cho http)
- Mã phía Client nhận ra SSL yêu cầu và thiết lập một kết nối qua cổng TCP
443 tới mã SSL trên phía Server
- Client sau đó khởi tạo pha thăm dò trước SSL, dùng giao thức bản ghi SSL

như một sự hỗ trợ. Tại đây không có sự mã hóa hay kiểm tra tính toàn vẹn gắn liền
với kết nối.
Giao thức SSL đề ra các vấn đề an toàn sau:
+ Tính riêng tư: Sau khi khóa đối xứng được thiết lập trong khi thăm dò trước
để khởi tạo, các thông điệp được mã hóa bằng khóa này.
+ Tính toàn vẹn: Các thông điệp chứa một mã xác thực thông điệp(MAC)
+ Tính xác thực: trong khi thăm dò trước, Client xác thực Server sử dụng
khóa công khai. Nó cũng có thể dựa trên chứng chỉ
TLS được phát triển nhờ sử dụng SSL, giống như SSL, TLS cho phép các
Server và Client cuối liên lạc một cách an toàn qua các mạng công cộng không an
toàn.
Thêm vào các khả năng bảo mật được cung cấp bởi SSL, TLS cũng ngăn chặn
kẻ nghe trộm, giả mạo, chặn bắt gói tin.
TLS cũng gồm 2 tầng: Giao thức bản ghi TLS và giao thức thăm dò trước
TLS. Giao thức bản ghi TLS mang lại sự an toàn bằng cách tận dụng các cơ chế
mã hóa, như DES chẳng hạn. Giao thức thăm dò trước TLS cung cấp khả năng xác
thực 2 chiều bằng cách cho phép cả Server và Client xác thực lẫn nhau, hơn nữa 2
thực thể muốn liên lạc có thể thương lượng các thuật toán mã hóa và các khóa phục
vụ cho việc trao đổi dữ liệu về sau giữa chúng.
Trong các kịch bản mạng riêng ảo, SSL và TLS có thể được thực thi tạo
Server VPN cũng như tại Client đầu cuối
4.5. So sánh giao thức IPSec với SSL
Như đã mô tả trong Chương 3, “Các giao thức mạng riêng ảo tại tầng 3”,
IPSec cung cấp tính năng mã hoá và xác thực mạnh cho lưu lượng IP và cũng cung
cấp tính năng trao đổi và làm tươi khoá dựa trên chứng chỉ nhờ sử dụng IKE.
Để đi đến kết luận một cách thận trọng, ta phải đề xuất rằng những tính năng
này là cần thiết giống như các tính năng mà SSL và TLS cung cấp. Trong phần này
chúng ta lưu ý đến sự giống nhau và khác nhau cơ bản giữa IPSec và SSL và giải
thích những phạm vi nào sử dụng cả hai giao thức.
Những điểm giống nhau:

- IPSec(qua IKE) và SSL cung cấp xác thực Client và Server
- IPSec và SSL cung cấp tính năng đảm bảo an toàn và xác thực đối với dữ
liệu, thậm chí trên các mức khác nhau của chồng giao thức
- IPSec và SSL có thể dùng các thuật toán mật mã mạnh cho việc mã hoá và
các hàm băm, có thể sử dụng xác thực dựa trên chứng chỉ (IPSec qua IKE)
- IPSec(qua IKE) và SSL cung cấp tính năng sinh khoá và làm tươi khoá mà
không phải truyền bất kỳ khoá nào dưới dạng rõ hay ngoại tuyến
Những điểm khác nhau:
- SSL được thực thi như một API giữa tầng ứng dụng và tầng vận tải; IPSec
được thực thi như một khung làm việc tại tầng liên mạng.
- SSL cung cấp tính năng bảo mật từ ứng dụng - tới - ứng dụng(ví dụ: giữa
WebBrowser và WebServer); IPSec cung cấp tính năng bảo mật từ thiết bị - tới -
thiết bị.
- SSL không bảo vệ lưu lượng UDP; IPSec thì có
- SSL hoạt động từ điểm cuối - tới - điểm cuối và không có khái niệm đường
hầm. Điều này có thể là một vấn đề lúc lưu lượng cần được xem xét bằng cách
kiểm tra nội dung và quét virus trước khi nó được phân phối thành công đến đích;
IPSec có thể hoạt động theo hai cách, điểm cuối - tới - điểm cuối và như một
đường hầm
- SSL có thể vượt qua NAT hoặc SOCKS, chúng dùng để che dấu cấu trúc địa
chỉ bên trong hoặc tránh sự xung đột địa chỉ IP riêng; IPSec trong chế độ vận tải
(end –to- end) không thể sử dụng NAT nhưng nó có thể dùng một đường hầm
IPSec để đạt được mục tiêu tương tự và thậm chí bảo mật hơn NAT vì đường hầm
cũng có thể được mã hoá.
- Các ứng dụng cần phải sửa đổi để sử dụng SSL. Điều này có thể là một vấn
đề lúc ta không truy cập được mã nguồn của ứng dụng hoặc không có thời gian hay
kinh nghiệm để thay đổi mã nguồn của ứng dụng; IPSec hoàn toàn trong suốt với
các ứng dụng.
Thông thường SSL là tốt lúc ta chỉ có một ứng dụng được bảo vệ và nó đã sẵn có trong một phiên bản
SSL-aware. Đây là trường hợp có một ứng dụng chuẩn đa dạng, không chỉ với WebBrowser và

WebServer. Ngoài ra, nếu có tuỳ chọn của việc thực thi khái niệm 3-tier bằng cách tận dụng các cổng
ứng dụng Web tại vành đai của mạng, SSL là một sự lựa chọn tốt. Nếu có một số lượng lớn các ứng dụng
để bảo đảm an toàn có thể phải chọn giải pháp tốt hơn cho mạng. Trong trường hợp này, IPSec là sự lựa
chọn tốt hơn. Trừ khi tự ta phát triển các ứng dụng, IPSec mềm dẻo hơn SSL để thực thi một chính sách
bảo mật