Giới thiệu chung về SSL
Chúng ta thường gặp hầu hết giao thức ống ảo ở tầng transport, xa hơn nữa, là giao thức
Secure Sockets Layer (SSL) nằm trong những thứ khác, bảo mật những tác vụ HTML
(Hypertext Markup Language) trên Web. Khi chúng ta gặp, SSL có rất nhiều những ứng
dụng và có thể dễ dàng được sử dụng để xây dựng mục đích tổng quát những đường ống
ảo ở tầng Transport. SSL hoạt động trên vùng rộng nghĩa là những tiện ích của TCPdump
và SSLdump, hãy xem cách thức chúng ta có thể sử dụng để xây dựng một đường ống ảo
giữa hai chương trình hoặc cả hai cái không cần đến những quan tâm đến SSL, cuối cùng
hãy xem cách chúng ta có thể sử dụng SSL để xây dựng một VPN giữa hai mạng.
Tổng quan về SSL (Secure Sockets Layer)
SSL là một sự xuất hiện bổ sung của VPN trên thị trường. Nó được thiết kế cho những
giải pháp truy cập từ xa và không cung cấp những kết nối site-to-site. SSL VPNs cung
cấp vấn đề bảo mật truy cập đầu tiên những ứng dụng web. Bởi vì SSL sử dụng trình
duyệt web, điển hình là những người sử dụng không phải chạy bất kỳ phần mềm client
đặc biệt nào trên những máy tính của họ.
SSL VPNs hoạt động ở tầng phiên (session layer) của mô hình tiêu chuẩn OSI. Và bởi vì
client là một trình duyệt web, chỉ những ứng dụng đó mà chúng hổ trợ trình duyệt web,
bằng mặc định, nó sẽ làm việc với một giải pháp VPN. Vì thế những ứng dụng như
Telnet, FTP, SMTP, POP3, multimedia, hệ thống điện thoại di động IP, điều khiển
desktop từ xa, và những cái khác không làm việc với SSL VPNs bởi vì chúng không sử
dụng trình duyệt web cho giao diện đầu cuối người dùng của họ. Tất nhiên, nhiều nhà
cung cấp cũng sử dụng cả java hoặc ActiveX để nâng cao SSL VPNs bằng việc hổ trợ
những ứng dụng không phải là HTTP, những khách hàng là POP3, SMTP e-mail, và tập
tin Microsoft Windows và chia sẻ máy in. Ví dụ sự bổ sung SSL VPNs của Cisco hỗ trợ
những ứng dụng không phải là web chẳng hạn Citrix, Windows Terminal Services, và
nhiều cái khác. Thêm vào đó, một vài nhà cung cấp sử dụng java hay ActiveX để phân
phối những thành phần SSL VPNs khác, chẳng hạn như thêm vào những chức năng bảo
mật cho việc xóa hết những dấu vết từ một hoạt động của một khách hàng trên máy tính
của họ sau khi SSL VPNs đã được kết thúc. Cisco chỉ sự bổ xung SSL VPN như là
WebVPN.
Những bổ sung SSL Client (SSL Client Implementations)

Một nguyên nhân chính mà những người quản trị mạng yêu cầu đưa ra những bổ sung
SSL VPN những giao thức SSL VPNs mà không yêu cầu bất cứ loại phần mềm đặc biệt
của VPN Client nào để được cài đặt trước trên những máy tính để bàn của người sử dụng.
Tất nhiên, người sử dụng biết một vài phần mềm cần thiết, giống như một trình duyệt
web đươc hổ trợ SSL, đặc thù với cả Java và ActiveX cũng được hổ trợ, và hầu như
người sử dụng đã cài những điều này từ một sự cài đặt ban đầu trên máy tính.
Có 3 loại SSL Client Implementation tổng quát:
• Clientless
• Thin client
• Network client
Bởi vì chỉ một trình duyệt web được yêu cầu trên máy tính người sử dụng, SSL client
thông thường được xem như là “Clientless” hoặc “webified”. Vì thế SSL VPN thỉnh
thoảng được gọi là clientless VPN. Điều trở ngại chính của một clientless VPN là chỉ
giao thông dạng web có thể được bảo vệ.
Đặc thù của một Thin client là phần mềm java hoặc ActiveX đã tải xuống thông qua SSL
VPN đến máy tính người sử dụng. Nó cho phép một tập hợp nhỏ những ứng dụng không
phải là web được vận chuyển thông qua SSL VPN. Trong việc truy cập dựa vào mạng,
một SSL client được cài đặt trên máy tính của người sử dụng; tuy nhiên, đặc tính này
được tải xuống máy tính của người sử dụng.
SSL Protection
SSL VPN không cần thiết cung cấp việc bảo vệ của dữ liệu ở tầng network, chẳng hạn
như IPSec, PPTP, và L2TP. Client SSL VPN cung cấp việc bảo vệ cho những ứng dụng
web ở tầng Session (tầng thứ 5) mà chúng sử dụng trình duyệt web. Vì thế, nó sử dụng
việc bảo vệ giao thông ở một vài thứ được giới hạn, cho ứng dụng giao thông được bảo
vệ, một vài cách sự truy cập của người sử dụng đến ứng dụng phải thông qua một trình
duyệt web. Tất nhiên, bất kỳ một cách kết nối kiểu HTTP có thể dễ dàng được bảo vệ bởi
vì người sử dụng sử dụng trình duyệt web cho kiểu chức năng này, nhưng điều này có thể
xuất hiện những vấn đề cho những kiểu ứng dụng khác, chẳng hạn như Telnet, POP3,
SMTP, SNMP, ping, traceroute, FTP, IP telephony, Citrix, Oracle’s SQL*net, tập tin và
việc chia sẽ máy in thông qua Windows hoặc Unix và nhiều thứ khác.

Sự khác nhau giữa IPSec và SSL VPNs:
• IPSec cung cấp sự bảo vệ cho những gói IP và những giao thức đã vận chuyển hai mạng
hoặc giữa hai máy.
• SSL VPNs cung cấp việc bảo vệ cho sự truy cập của người sử dụng đến những dịch vụ
và những ứng dụng trên mạng.
Kiến trúc mạng:
Một SSL được cấu hình trên Router:
+ Chuẩn độc lập.
+ Giải quyết ECT và kết nối với một hub server DMVPN.
Hoạt động:
o Dùng một trình duyệt web được enable SSL,người dùng thiết lập một kết nối đến SSL
VPN.
o Phiên SSL VPN được thiết lập.
o Người dùng truy cập trong cùng một mạng.
Chú ý: SSL VPN cung cấp một lối đi vào mạng. Nó luôn được thiết lập sau tường
lửa.
Đặc điểm:
* Dùng IE để thiết lập một kết nối đến cổng SSL VPN.
* Cổng SSL VPN sẽ đáp ứng với người dùng đăng nhập vào trang HTML.
* Usename và password sẽ được xác nhận đến cổng cho việc chứng thực với máy chủ
RADIUS.
* Nếu một phiên được thiết lập, cổng sẽ được duy trì băng cách gửi một phiên ”cookies”.
* Cookies này phải ghi nhớ tất cả các ngừời dùng HTTP tiếp theo để yêu cầu cho việc
chứng thực tại cổng SSL VPN.
* Nếu cookies này bị lỗi hay bị hỏng, phiên này sẽ bị ngưng và người dùng sẽ không truy
cập trong cùng mạng được nữa.
* Việc dùng phiên để ghi nhớ mãi cho đến khi người dùng log out, phiên này sẽ ngưng
hay bị xoá sạch bởi cổng SSL VPN.
* Trang SSL VPN và các toolbar sẽ được trình bày trên trình duyệt web của người dùng.
* Từ trang này người dùng có thể truy cập đến các trang HTTP có sẵn bằng cách nhấn

vào ” Start Application Access” link ,người dùng có thể truy cập lại đến các server bên
trong được cấu hình thông qua cổng chuyển tiếp TCP.
TCP port forwarding
• Người dùng download một java applet để bắt đầu một yêu cầu HTTP đến cổng SSL
VPN từ client.
• Cổng SSL VPN sẽ tạo một kết nối TCP đến server.
• Sau khi cài đặt, kết nối giữa client và server sẽ được xử lí như là một đường nối SSL
với những gói tin TCP đang được chuyển từ một hướng khác.
So sánh
GIAO THỨC SSL
Chúng ta hãy bắt đầu xem xét phiên làm việc của một loại SSL. Như là một giao thức ở
tầng transport, SSL phụ thuộc vào giao thức ở tầng transport để truyền gói tin của nó. Về
nguyên tắc cơ bản, đó không là nguyên nhân để SSL chạy trên UDP, nhưng có khả năng
có thể phải xây dựng vào giao thức SSL của chính nó. Để tránh nhưng sự phức tạp này,
SSL phụ thuộc vào một giao thức truyền tải tin cậy để chạy. Giống với giao thức TCP.
Một phiên làm việc của SSL bao gồm 3 bước sau: cài đặt kết nối, trao đổi dữ liệu và thoát
khỏi kết nối. Trong bước đầu tiên, việc mã hoá, thẩm định quyền và các thuật toán nén
được sắp xếp, đồng nhất và tuỳ chọn trên server, client sẽ được xác nhận và khoá trao đổi
sẽ được thay thế.
Bước 2, client và server trao đổi dữ liệu ứng dụng. Những dữ liệu này sẽ được mã hoá và
chứng thực để chắc chắn rằng dữ liệu không thể đọc bởi một bên thứ ba và để bên thứ ba
không thể thay đổi mà không nhận ra.
Khi những ứng dụng đã hoàn tất việc trao đổi dữ liệu hay một trong số chúng khai báo
kết thưc như là EOF. Bởi vì khai báo kết thúc đã được chứng thực, nó không thể được giả
mạo bởi third party. Điều này ngăn chặn ảnh hưởng xấu parties từ việc giả mạo một TCP
FIN và việc ngắt dữ liệu sớm.
SSL 3 và chứng thực TSL phụ thuộc cả vào 2 phía gửi những khai báo kết thúc, nhưng
trong thực hành, điều này thường được bỏ qua và chỉ có 1 phía gửi nó.
Luồng gói tin SSL cơ bản
Hình sau đây mô tả phiên làm việc của SSL. Đầu tiên 9 thông điệp bao gồm cả thiết lập

kết nối.Trong phần này client sẽ gửi đến server một thông điệp là clienthello để chỉ ra
phiên ban SSL mà nó hổ trợ và danh sách các cipher suites và thuật toán nén để mà nó sẽ
dùng chúng.
Server sẽ trả lời với 3 thông điệp. Các tin nhắn này sẽ tổng hợp lại thành 1 cấp trong mỗi
bước điều khiển vì thế 3 tin nhắn này sẽ gửi như là một phân đoạn TCP đơn lẻ.
Đầu tiên thông điệp serverhello cho biết các cipher suites và thuật toán nén mà server đã
chọn.
Thông điệp thứ 2 chứng thực của server.Chứng thực để đáp ứng cho 2 mục đích. Đầu
tiên, nó xác nhận tính đồng nhất của server.Thứ 2 nó chứa đựng khoá công cộng của
server cái mà client dùng để mã hoá một bí mật sẽ được dùng trên tất cả các cạnh để phát
ra các mã cần cho một phiên làm việc.
Cuối cùng, server gửi một thông điệp ServerHelloDone. Bởi vì một vài chế độ SSL phụ
thuộc vào server điều khiển những thông điệp. Gói ServerHelloDone đáp ứng để đánh
dấu kết thúc trình tự chào của server.Tại thời điểm này, server có chứng thực tuyệt đối
đển client, client và server đã đồng ý trên cùng cipher suites và thuật toán nén, và client
có khóa cần thiết để gửi bảo đảm đến server một vài khoá được phát ra.
Trong ba thông điệp này, client sẽ gửi tới server một vài khoá trao đổi (client key
exchange), để thông báo cho server biết, từ đây nó sẽ dùng những khoá phát sinh mới để
mã hoá và chứng thực các thông điệp của nó (ChangeCipherSpec), và cho server biết để
nó hoàn thành phần điều khiển của nó (Finished). Server đáp ứng ChangeCipherSpec của
chính nó và hoàn tất thông điệp.
Bây giờ những ứng dụng này bắt đầu cho việc trao đổi dữ liệu.Việc trao đổi dữ liệu giống
như trao đổi trên dữ liệu trên bất kì TCP nào ngoại trừ nhứng dữ liệu trên phân đoạn TCP
đã được mã hoá và chứng thực. Khi chúng ta xem việc trao đổi này với tcpdump ,chúng
ta xem nó sẽ không phân biệt được từ trao đổi dữ liệu trên bất kì phân đoạn TCP nào
ngoại trừ dữ liệu ứng dụng xuất hiện bits ngẫu nhiên. Thông điệp sau là khai báo kết
thúc.Tại thời điểm này dữ liệu sẽ không trao đổi lâu hơn nữa, và kết nối sẽ bị ngắt.