SSL VPN

1) Giới thiệu về SSL VPN

 SSL VPN còn được gọi là giải pháp “clientless”. Điều này cũng có nghĩa là
các giao thức có thể được xử lý bởi SSL VPN sẽ bị hạn chế nhiều hơn.
 Với SSL VPN, thay vì cho phép VPN client truy xuất vào toàn bộ mạng hoặc một mạng
con (subnet) như với IPsec, có thể hạn chế chỉ cho phép truy xuất tới một số ứng dụng cụ
thể.
 Nếu một ứng dụng mà bạn muốn họ truy cập không phải là là loại ứng dụng dựa trên trình
duyệt (browser-based), thì cần phải tạo ra một plug-ins Java hoặc Active-X để làm cho ứng
dụng đó có thể truy xuất được qua trình duyệt.
 SSL VPN hoạt động ở session layer, điều này cho nó khả năng điều khiển truy cập theo
khối tốt hơn.
 SSL VPN sử dụng chứng chỉ số (digital certificates) để xác thực server.
 SSL VPN không cần phần mềm VPN client trên máy khách (ngoại trừ trình duyệt Web),
SSL VPN gateways vẫn có thể cung cấp các tiện ích “quản lý máy khách ” bằng cách buộc
trình duyệt phải chạy các applets.

2) Tham khảo#1: So sánh IPSec VPN và SSL VPN

http://netone.vn/Trangchu/Hotrokythuat/Kienthuccanban/tabid/366/arid/2278/Default.aspx

Khuynh hướng làm việc qua mạng từ xa, phân tán của các doanh nghiệp
công ty có nhiều chi nhánh và sự phát triển của lượng nhân viên di động cũng làm
gia tăng nhu cầu cho việc truy cập tài nguyên thông tin của công ty.
IPSec VPN là gì?
IPSec VPN (Internet Protocol Security) là giao thức mạng về bảo mật
(security) và thường được liên kết với VPN (tất nhiên bạn hoàn toàn có thể dùng
IPSec ở trong mạng cục bộ LAN). IPSec VPN cho phép việc truyền tải dữ liệu được
mã hóa an toàn ở lớp mạng (Network Layer) theo mô hình OSI thông qua các router
mạng công cộng Internet được cung cấp phổ biến hiện nay như: ADSL router,
FTTH router.v.v. VPN (ở lớp mạng-Network) đề cập đến những thách thức trong
việc sử dụng Internet như là một môi trường truyền và đưa các dữ liệu đa giao thức
và nhạy cảm.
 Việc thiết lập một đường hầm IPSec VPN (IPSec tunnel) giữa hai nơi, trước
tiên, phải thỏa thuận về chính sách an ninh (security policy), giải thuật mã hóa
(encryption algorithm), kiểu xác thực (authentication method) sẽ được dùng để tạo
kênh đường hầm IPSec VPN. Trong IPSec tất cả dịch vụ mạng như TCP, UDP,
SNMP, HTTP, POP, SMTP…đều được mã hóa một khi kênh IPSec được thiết lập
trong mô hình mạng máy tính chuẩn OSI.
SSL VPN LÀ GÌ?
Thuật ngữ SSL VPN được dùng để chỉ một dòng sản phẩm VPN mới và
phát triển nhanh chóng dựa trên giao thức SSL. Cũng cần nói rõ là bản thân giao
thức SSL không mới nhưng tích hợp giao thức SSL với công nghệ VPN lại là một
mô hình mới. Sử dụng SSL VPN để kết nối giữa người dùng từ xa vào tài nguyên
mạng công ty thông qua kết nối HTTPS ở lớp ứng dụng thay vì tạo “đường hầm” ở
lớp mạng như giải pháp IPSec đã nói ở trên. Vậy SSL VPN cũng là một giải pháp
VPN dưới dạng là một ứng dụng (application based VPN)
Lựa chọn SSL VPN hay IPSec VPN?
Trước tiên, cần phải khẳng định là SSL VPN và IPSec VPN không phải là
hai công nghệ loại trừ lẫn nhau. Thường thì hai công nghệ này đồng thời được triển
khai trong cùng một công ty. Việc xem xét các khía cạnh lựa chọn trên liên quan
đến chi phí/lợi nhuận (cost/benefit) cũng như các vấn đề công nghệ mà hai giải
pháp SSL và IPSec đề cập giúp cho việc lựa chọn triển khai VPN sẽ trở nên dễ dàng
hơn. Chúng ta xem xét vấn đề dưới các mặt sau đây:
Kiểu kết nối, kiểu truy cập: IPSec VPN phù hợp cho các kết nối theo kiểu
site-to-site. Nó là sự lựa chọn tốt nhất cho các mạng LAN từ xa kết nối với nhau
hay kết nối với mạng trung tâm. Các kết nối yêu cầu băng thông rộng, hiệu suất
cao, dữ liệu lớn, kết nối liên tục (always on), cố định là đối tượng cung cấp của giải
pháp IPSec VPN truyền thống này. Tuy nhiên, khi được dùng cho mục đích truy
cập tài nguyên tập trung từ các vị trí phân bố rải rác khắp nơi, hay khi người dùng di
động từ xa từ các vị trí công cộng ít tin cậy như sân bay, nhà ga, khách sạn, tiệm cà
phê internet muốn truy cập vào tài nguyên của công ty họ thì giải pháp IPSec VPN
tỏ ra nhiều bất cập và đó chính là ưu điểm của SSL VPN.
 Phần mềm khách (Client software): IPSec VPN yêu cầu cần phải có phần
mềm Client cài đặt tại các máy tính để bàn hoặc máy tính xách tay. Điều này làm
hạn chế tính linh động của người dùng vì không thể kết nối VPN nếu không có phần
mềm IPSec Client đã được cài đặt sẵn. Trong khi với giải pháp SSL VPN, chỉ cần
hệ điều hành có một trình duyệt (browser) bất kỳ hỗ trợ giao thức SSL là có thể
thực hiện ngay được một kết nối an toàn, dễ dàng vào bảo mật (security). Sự có mặt
khắp nơi của trình duyệt trên tất cả các thiết bị từ máy tính đến PDA, điện thoại
thông minh.v.v. đã làm cho công nghệ VPN dựa trên SSL dễ triển khai hơn.
Mức độ an toàn của thiết bị truy cập hay kết nối mạng từ xa: Với IPSec
VPN (Virtual Private Network), người dùng từ xa (mobile user) hay mạng LAN từ
xa (remote network) kết nối đến công ty có thể dễ dàng truy cập đến toàn bộ tài
nguyên mạng (FTP, Email, Web, CRM, ERP..v.v. ) như thể họ đang ngồi làm việc
tại công ty. Vì vậy, các thiết bị Firewall hỗ trợ VPN hay mạng từ xa (remote
network) phải đáng tin cậy (trusted). Tuy nhiên, mọi việc trở nên khó khăn nếu như
chúng ta cung cấp giải pháp này cho người dùng từ xa không có độ tin cậy tương tự
và các thiết bị truy cập đa dạng như PDA, điện thoại thông minh (smartphone)
không do chúng ta quản lý hay tự cài đặt cấu hình IPSec Client đã được kiểm tra
(bằng tay).
Quản lý và kiểm soát truy cập từ xa bằng IPSec VPN(Access Control): IPSec
VPN được thiết kế để mở rộng phạm vi của mạng LAN. Người dùng ở các chi
nhánh văn phòng cũng muốn truy cập không hạn chế tài nguyên mạng một cách
hiệu quả, đòi hỏi các chính sách an ninh (security policy) của mạng từ xa cũng phải
an toàn tương tự như của mạng tại công ty. Do đó các giải pháp IPSec được áp dụng
rất hiệu quả cho mô hình site-to-site. Mọi việc sẽ khác đi nếu chúng ta cho phép
các nhân viên thường xuyên di chuyển (mobile user, telecom user.v.v), các đại lý,
các nhà cung cấp, nhà thầu, các đối tác thương mại .v.v. kết nối vào mạng chúng ta
từ xa (remote access). Lúc này thì giải pháp SSL VPN là một lựa chọn hợp lý nhất
nhằm giảm thiểu tất cả các nguy cơ đến từ các kết nối từ xa này nhờ cơ chế kiểm
soát đến từng chi tiết (granular access control).
Mức độ bảo mật (security) thì sao?: Khi so sánh SSL VPN và IPSec VPN
thường mọi người có câu hỏi được đặt ra là “Giao thức IPSec VPN và SSL VPN thì
cái nào an toàn hơn?”. Thật ra, cả hai giao thức bảo mật này đều bảo mật tốt cho hệ
thống. Chúng đều cung cấp một phương pháp trao đổi khóa an toàn (secure key
exchange) và phương pháp mã hóa mạnh (encrytion). Mặc dù cả hai công nghệ thì
khác nhau và tiến hành thiết lập, triển khai trên các hệ thống theo các phương thức
khác nhau, thế nhưng chúng đều chia sẻ chung một số đặc trưng cơ bản đó là cơ chế
mã hóa mạnh, dùng khóa phiên (session key), khả năng xác thực sử dụng các
phương pháp, công nghệ như: Triple DES, 128-bit RC4, MD5, SHA1,
RADIUS, Active Directory, LDAP, X.509.
Vấn đề tương thích với Firewall, tính năng NAT: Việc kết nối IPSec thông
qua Firewall cũng là một khó khăn. IPSec VPN dùng các giao thức AH
(Authenticated Header) hoặc/và ESP (Encapsulating Security Payload). Nếu
Firewall của ISP ngăn không cho hai nghi thức này đi qua hoặc ngăn cổng UDP mà
IKE (Internet Key Exchange) dùng để trao đổi các thông số bảo mật (security) trước
khi kết nối thì IPSec VPN không thể thực hiện được. Một thách thức khác là sự
không tương thích của IPSec với việc chuyển đổi địa chỉ mạng bằng tính năng NAT
(Network Address Translation). Trong khi đó, giải pháp SSL VPN tương thích hoàn
toàn với Firewall, NAT hay server proxy.
Về ứng dụng: IPSec VPN hỗ trợ tất cả các ứng dụng trên nền tảng IP. Một
khi kênh IPSec được thiết lập, tất cả các dịch vụ ứng dụng từ các ứng dụng truyền
thống như web, thư điện tử, truyền file đến các ứng dụng khác như ICMP, VoIP,
SQL.v.v các ứnh dụng đa dịch vụ IPTV, MyTV Video Server… đều cho phép đi
ngang qua kênh này. Đây là một ưu điểm của IPSec VPN, nhất là IPSec VPN có thể
cung cấp kết nối an toàn cho các ứng dụng không dựa trên nền Web (non Web-
based applications). Vì vậy, các máy khách (Client) dùng IPSec thực hiện kết nối
VPN được gọi là Fat-Client do khả năng cung ứng nhiều dịch vụ và ứng dụng. Còn
SSL VPN cung cấp các ứng dụng trên nền Web (Web-based application), các ứng
dụng e-mail (POP3/IMAP/SMTP). Các máy khách (Client) chỉ cần dùng trình duyệt
(browser) có hỗ trợ SSL thực hiện kết nối VPN mà không cần cài đặt phần mềm
Client nên được gọi là Clientless hoặc Thin-Client, SSL VPN còn hỗ trợ cả các ứng
dụng trên nền TCP sử dụng chương trình chuyển tiếp cổng (port forwarding applet)
như Terminal Services (RDP protocol) hoặc ứng dụng chia sẻ file CIFS (Common
Internet File Service), Citrix ICA…

3) Tham khảo#2: Draytek SSL VPN

https://www.anphat.vn/giai-phap-cua-chung-toi/ssl-vpn-bao-mat-du-lieu-va-vuot-tuong-lua

SSL VPN: Bảo mật dữ liệu và vượt tường lửa

Hiện nay các Doanh nghiệp không ngừng mở rộng sản xuất kinh doanh vì
thế việc kết nối dữ liệu từ xa liên tục và an toàn là một yêu cầu cấp thiết. Tuy nhiên
không phải Doanh nghiệp nào cũng có thể chi trả chi phí thuê kênh riêng cho các
kết nối nội bộ giữa Văn phòng và chi nhánh. Để tiết kiệm chi phí thì VPN là giải
pháp luôn được các Doanh nghiệp lựa chọn. Ngoài việc tiết kiệm chi phí VPN còn
giúp cho Doanh nghiệp bảo mật dữ liệu quan trọng của mình bằng cách mã hóa dữ
hiệu với giao thức IPSEC (Internet protocol security) và hiện nay là SSL (Secure
socket layer)

GIẢI PHÁP BẢO MẬT DỮ LIỆU VỚI SSL VPN LAN-to-LAN

Với Doanh nghiệp có văn phòng đặt tại các Tòa nhà và một số Tòa nhà không cho
phép kéo đường internet cáp quang riêng mà phải sử dụng chung hạ tầng mạng sẳn có
tại Tòa nhà (Tòa nhà thuê Internet từ ISP và cung cấp lại cho các công ty trong tòa nhà).
Đây là trở ngại rất lớn và tiềm ẩn nguy cơ mất cắp dữ liệu:
 - Khi bạn sử dụng chung hạ tầng mạng của Tòa nhà nghĩa là toàn bộ dữ liệu của
bạn sẽ đi qua Swicth, Router, Firewall của Tòa nhà trước khi tới nơi cần đến (Web
Server, Mail Server, ERP Server,..). Như vậy hacker sẽ dễ dàng lấy được thông
tin của bạn chỉ với một port mirror trên Switch
- Khi Router của Công ty nằm sau NAT device của Tòa nhà (Firewall, Modem,…)
sẽ rất khó khăn khi thực hiện VPN với giao thức IPSEC truyền thống và hoàn
toàn phụ thuộc vào năng lực Pass-through VPN trên thiết bị của Tòa nhà.

Thấy được những nhu cầu này của khách hàng, DrayTek đã nghiên cứu và đưa ra
thị trường sản phẩm có hỗ trợ chức năng SSL VPN LAN-to-LAN. Để thực hiện kết nối
SSL VPN LAN-to-LAN chúng ta chỉ cần duy nhất một port TCP/443 và đây là port rất
thông dụng được cho phép trong mọi trường hợp. Khi thiết lập VPN SSL Doanh nghiệp
cũng sẽ an tâm hơn về vấn đề bảo mật dữ liệu.
Ưu điểm của SSL VPN
 Dễ dàng vượt tường lửa: Do sử dụng duy nhất 1 port TCP/443 để tạo VPN Tunnle.
TCP/443 là port thông dụng luôn được các tường lửa cho phép đi qua.
 Không phụ thuộc vào khả năng PassThrough VPN của NAT Device (Trường hợp
nằm sau NAT Device)
 Thích hợp khi tạo VPN LAN-to-LAN giữa 3G và ADSL/FTTH (3G là mạng đứng
sau 1 NAT device của ISP nên nếu sử dụng PPTP hay IPsec sẽ gặp phải khó khăn)
 Bảo mật cao do sử dụng chuẩn SSL 3.0
 Băng thông VPN cao (Tùy model dao động từ 50 ~ 500Mbps)
 Hỗ trợ cả Host-to-LAN và LAN-to-LAN
Khuyết điểm duy nhất là SSL VPN LAN-to-LAN chỉ hỗ trợ DrayTek -to-DrayTek
Các model hiện tại đã hỗ trợ SSL VPN:
 Vigor2860 (Firmware 3.8.1RC6)
 Vigor2925 (Firmware 3.8.2RC3)
 Vigor2960 (Firmware 1.1.0.1)
 Vigor3900 (Firmware 1.1.0)
 Lab#1

Cho sơ đồ mạng như sau:

Cấu hình WebVPN để Client phía outside có thể truy cập cào Web Server phía inside.
Cấu hình trên firewall ASA:
Outside IP: 192.168.1.1/24 (interface vlan2)
Inside IP: 192.168.2.1/24 (interface vlan1)
User login: test
User password: test.test
Website ID : site1 (https://192.168.2.3)
Bước 1) Tạo 1 bookmark có tên site1 liên kết đến địa chỉ URL là
http://192.168.2.3 (đây chính là IP trên con Web Server) trên con firewall ASA
5505.

Bước 2) Cấu hình IP cho máy Client phía outside (không gateway)
Bước 3) Cấu hình IP & chỉnh lại trang index.html trên Web Server phía inside

Bước 4) Cấu hình trên Firewall ASA

Bước 4.1) Cấu hình cổng vlan1
ciscoasa(config)#interface vlan 1
ciscoasa(config-if)#no ip address
ciscoasa(config-if)#nameif inside
ciscoasa(config-if)#security-level 100
ciscoasa(config-if)#ip address 192.168.2.1 255.255.255.0
ciscoasa(config-if)#exit
ciscoasa(config)#
Bước 4.2) Cấu hình cổng vlan2
ciscoasa(config)#interface vlan 2
ciscoasa(config-if)#no ip address
ciscoasa(config-if)#nameif outside
ciscoasa(config-if)#security-level 0
ciscoasa(config-if)#ip address 192.168.1.1 255.255.255.0
ciscoasa(config-if)#exit
ciscoasa(config)#

Bước 4.3) Access vlan cho 2 cổng e0/0 & e0/1

ciscoasa(config)#interface ethernet 0/0
ciscoasa(config-if)#switchport access vlan 2
ciscoasa(config-if)#exit
ciscoasa(config)#

ciscoasa(config)#interface ethernet 0/1

ciscoasa(config-if)#switchport access vlan 1
ciscoasa(config-if)#exit
ciscoasa(config)#

Bước 4.4) Cấu hình webvpn

ciscoasa(config)#webvpn
ciscoasa(config-webvpn)#enable outside
ciscoasa(config-webvpn)#exit

ciscoasa(config)#object network LAN

ciscoasa(config-network-object)#subnet 192.168.2.0
255.255.255.0
ciscoasa(config-network-object)#exit
ciscoasa#conf t

ciscoasa(config)#object network LAN

ciscoasa(config-network-object)#nat (inside,outside) dynamic
interface
ciscoasa(config-network-object)#exit
ciscoasa#

ciscoasa#conf t
ciscoasa(config)#
ciscoasa(config)#group-policy group1 internal

ciscoasa(config)#group-policy group1 attributes

ciscoasa(config-group-policy)#vpn-tunnel-protocol ssl-
clientless
ciscoasa(config-group-policy)#webvpn
ciscoasa(config-group-webvpn)#url-list value site1
ciscoasa(config-group-webvpn)#exit
ciscoasa(config-group-policy)#exit

ciscoasa(config)#username test password test.test

ciscoasa(config)#username test attributes

ciscoasa(config-username)#vpn-group-policy group1
ciscoasa(config-username)#exit
ciscoasa(config)#end

ciscoasa#copy running-config startup-config

Tóm tắt file cấu hình:

ciscoasa#show running-config
!
interface Ethernet0/0
switchport access vlan 2
!
interface Ethernet0/1
!
interface Vlan1
nameif inside
security-level 100
ip address 192.168.2.1 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address 192.168.1.1 255.255.255.0
!
webvpn
 enable outside
object network LAN
subnet 192.168.2.0 255.255.255.0
!
object network LAN
nat (inside,outside) dynamic interface
!
group-policy group1 internal
group-policy group1 attributes
vpn-tunnel-protocol ssl-clientless
webvpn
url-list value site1
username test password D35rLrqYJOMRHDCX encrypted
username test attributes
vpn-group-policy group1
!
ciscoasa#

Bước 5) Kiểm thử

Đứng tại Client phía outside, mở trình duyệt, truy cập vào địa chỉ
https://192.168.1.1

Nhập User Name=test; Password=test.test

Kết thúc!