Dokonale rozpitvané SSL VPN

V aktuálním testu hodnotíme šest SSL VPN zařízení na základě interoperability, bezpečnosti, správy politik a funkc


V aktuálním testu hodnotíme šest SSL VPN zařízení na základě interoperability,
bezpečnosti, správy politik a funkcí vysoké dostupnosti.

Jestliže zrovna nepatříte mezi přívržence IPSec VPN, pak se vám určitě budou
líbit SSL VPN. Tak to alespoň tvrdí výrobci, kteří se snaží SSL VPN prosadit
jako alternativu pro bezpečný vzdálený přístup, jako platformu pro nasazení
extranetu, a dokonce jako interní bezpečnostní nástroj firemní LAN.
Od našeho posledního testu této třídy produktů, který jsme na stránkách
Computerworldu uveřejnili zhruba přede dvěma lety, je výrobci až k prasknutí
napěchovali aplikační podporou, širokými možnostmi zabezpečení a nablýskanou
prezentační vrstvou pro koncové uživatele. Což při našem testování a srovnávání
mezi SSL VPN zařízeními odkrylo více odlišností než podobností.
Mezi šesti produkty testovanými v sedmi kritických oblastech provozu naleznete
zařízení Check Point Connectra, F5 Networks FirePass 4100, Juniper Networks
Secure Access 6000, Nokia Secure Access System 500s, Nortel VPN Gateway 3070 a
SonicWall SSL-VPN 2000.

Testované a hodnocené oblasti:
Interoperabilita aplikací testovali jsme schopnost každého produktu pracovat
se 16 různými aplikacemi v devíti konfiguracích operačního systému a webového
prohlížeče.
Podpora zabezpečení koncových bodů prověřovali jsme účinnost nástrojů
navržených pro sběr informací o strojích, které se pokoušejí dostat do sítě, i
to, jak můžete s těmito informacemi naložit.
Jemná kontrola přístupů zkoumali jsme, jak velkou kontrolu dostáváte nebo také
nedostáváte s každým produktem do rukou.
Vysoká dostupnost testovali jsme funkce, které každý produkt nabízí k tomu,
aby bylo možné budovat rozsáhlejší a spolehlivější SSL VPN služby.
Spravovatelnost hodnotili jsme, jak jednoduše lze každé zařízení spravovat a
které systémy správy fungují nejlépe.
Ovládání portálu a virtualizace prověřovali jsme virtualizační funkce v každém
produktu a podívali jsme se, kde a jak si můžete uživatelsky přizpůsobit webový
portál koncových uživatelů.
Autentizace otestovali jsme šest autentizačních systémů sahajících od
digitálních certifikátů až po dvoufaktorovou autentizaci, abychom zjistili, jak
je každý produkt kompatibilní a flexibilní.
Stejně jako ve zmiňovaném posledním testu dosáhl i tentokrát nejvyššího postu
produkt společnosti Juniper Network, který nabídl impozantní sadu podnikových
funkcí a vlastností. V každé kategorii včetně zabezpečení koncových bodů,
detailní kontroly přístupů a testování interoperability Juniper získal nejvyšší
hodnocení.
Ačkoliv Juniper získal celkově nejvíce bodů, přesvědčili jsme se, že se mu v
některých jednotlivých hodnocených kategoriích konkurence vyrovná. Výborných
výsledků jsme dosáhli například se systémem Check Pointu v oblasti zmírnění
hrozeb, u F5 se nám líbila prezentace portálu a autentizační interoperabilita a
Nokie zaujme skvělými vlastnostmi v oblasti zajištění vysoké dostupnosti.

Check Point Connectra
Gigant v oblasti bezpečnosti Check Point se proslavil tím, že vytvořil lepší
firewall. A aby zůstal na vrcholu, tak své inovativní technologie, jako
například Smart Defense (intrusion-detection technologie založená na sledování
anomálií a chování), zabudoval i do ostatních produktů.
Connectra (SSL VPN Check Pointu), která je na trhu už od června 2004 a nyní
dospěla ke své první hlavní revizi, je dobrým příkladem výše zmíněného faktu.
Použití holé kostry SSL VPN implementace a přidání Smart Defense dává Check
Pointu náskok, který se projeví zvláště tehdy, vezmete-li v úvahu neuspokojivý
stav implementace zabezpečení koncových bodů. Jestliže nejste schopni zajistit
spolehlivé skenování, abyste určili stav zabezpečení PC uživatele SSL VPN,
můžete síť chránit alespoň prostřednictvím samotného SSL VPN zařízení. Pokud se
vám tento přístup zamlouvá nebo vyhovuje vašim bezpečnostním požadavkům, pak je
pro vás Check Point v tomto kritickém bodu nejlepší alternativou.
Přitom však Check Point v této verzi Connectry bohužel udělal i několik
kompromisů. Mezi nejviditelnější patří absence vlastní technologii pro vysokou
dostupnost ClusterXL. Stejně tak je sice skvělé, že máte k dispozici skvělý
prohlížeč souborů, bohužel ale funguje pouze v rámci Internet Exploreru. To je
v situaci, kdy chcete poskytovat vzdálený přístup mnoha uživatelům přes SSL
VPN, dle našeho názoru velmi omezující.
Check Point je rovněž jedním ze dvou výrobců, kteří selhali v našem "kioskovém"
testu, při němž jsme se pokoušeli přihlásit z různých veřejných terminálů.
Nástroj Integrity umožňující zabezpečení koncových bodů vyžadoval ActiveX a
Internet Explorer. Velmi omezená správa autentizace by mohla z Connectry učinit
přiměřené řešení pro kompletně na Windows a Active Directory založené a plně
řízené prostředí. Nicméně pokud chce Check Point tento produkt pozvednout na
další úroveň a postavit se čelem lídrům trhu, bude muset poskytnout i větší
interoperabilitu (viz výsledky testů aplikační a klientské interoperability).

F5 Networks FirePass 4140
Společnost F5 skočila na trh SSL VPN rovnýma nohama prostřednictvím akvizice
firmy uRoam v červenci 2003. Od té doby je produkt této kategorie stále
poznamenán původním záměrem uRoamu, jímž bylo poskytnout snadný vzdálený
přístup. Při soupeření s výrobci orientovanými na bezpečnost, jako jsou Cisco,
Check Point a Juniper, se tým F5 více soustředil na přístupnost a snadný
přístup, než na přesné ovládání.
FirePass 4140 je tedy, jak už bylo zmíněno, orientován hlavně na poskytování
přístupu, přičemž nejde o jemnou kontrolu přístupu. To jej činí pro mnohá
prostředí ideálním obzvláště pak pro ta, umožňující vzdálený přístup plně nebo
částečně důvěryhodným koncovým uživatelům (například když jde o vzdálený
přístup zaměstnanců). FirePass se nicméně moc dobře nehodí tam, kde vyžadují
množství přesných ovládacích prvků pro detailní kontrolu přístupu.
Orientace F5 na vzdálený přístup a přístupnost je patrná v celém FirePassu. F5
byl prvním výrobcem, který věnoval pozornost vzhledu a funkčnosti webového
portálu pro koncové uživatele coby cennému obchodnímu nástroji. Naproti tomu u
mnohých dalších SSL VPN produktů našeho přehledu byl webový portál zpracován
spíše tak, jako by šlo dodatečný nápad. F5 se rovněž pokusila poskytnout
širokou kompatibilitu napříč různými platformami včetně podpory počítačů Mac a
zařízení s malými obrazovkami, jako jsou PDA a mobilní telefony.
FirePass je navržen pro usnadnění a zjednodušení procesu poskytování bezpečného
vzdáleného přístupu do firemních sítí. Dokonalým příkladem je grafické rozhraní
pro vytváření bezpečnostních politik pro koncové body. Snadno se používá,
disponuje velkými možnostmi a vizuálně je dle nášeho názoru o hodně vepředu
oproti ostatním. Z výše vyřčeného byste mohli nabýt dojmu, že v případě
FirePass jde o nejmocnější systém pro zabezpečení koncových bodů. Vůbec ne.
Avšak zabezpečení koncových bodů je u F5 tím nejjednodušším z hlediska použití
a správy, a to znamená hodně.

Juniper Networks Secure Access SSL VPN Appliance (SA-6000)
SSL VPN produkt Juniperu obsadil v našem srovnávacím testu stejně jako přede
dvěma lety první místo a to především díky obrovské sadě funkcí, silným
možnostem konfigurace a vynikající úrovni interoperability (viz výsledky testů
interoperability).
Představuje ale nejlepší řešení pro každou aplikaci? V některých případech
určitě ano, Juniper Secure Access SSL VPN byl mezi testovanými produkty tou
nejlepší volbou pro většinu podnikových nasazení. Komplexní prostředí pro
kontrolu přístupů, obzvláště obtížné problémy s překladem aplikací, na extranet
orientované oborové projekty, to všechno jsou oblasti, kde by produkt Juniperu
měl splnit všechny předpoklady. Secure Access nás dále zaujal svou extrémní
flexibilitou a efektivitou klientů (s jeho kombinací SSL+ IPSec přístupu).
Téměř neexistuje oblast uplatnění, kde by se nasazení Juniperu mohlo ukázat
jako velký omyl což je ocenění, které se od nás nedá získat snadno.
Samozřejmě i Secure Access SSL VPN má své slabé stránky. Vzhledem ke stáří jeho
správního rozhraní a způsobu, jakým do něj inženýři Juniperu (nebo inženýři
NetScreenu či Neoterisu, neboť vznik produktu se datuje o dvě akvizice nazpět)
vecpali jakoukoliv myslitelnou funkci, se může produkt zdát obtížněji
konfigurovatelný a nemusí být snadné mu porozumět. Systém Juniperu je schopen
pracovat i s uživateli Citrixu, i když s nijak zvlášť velkou obratností.
Podobně i v případě jeho použití čistě pro vzdálený přístup funguje Juniper bez
sebemenších problémů.
Samozřejmě vždy přijde na řadu i otázka ceny. Juniper konečně nabídl plnou
funkcionalitu i v té nejnižší verzi označované SA700, která vás přijde na
zhruba 120 tisíc Kč pro 25 uživatelů.

Nokia Secure Access System 500s
Nokia na trh SSL VPN zařízení vstoupila velmi časně už v roce 2002. Její
produkty poskytovaly jemnou kontrolu přístupů a rychle si získala vůdčí
postavení v oblastech konfigurace a flexibility. Jestliže jste tedy zatížení na
bezpečnost a kontrolu přístupů, měla by se strategie Nokie v tomto směru trefit
do vašich požadavků.
Nejviditelnější nedostatky Secure Access Systemu 500s nejdeme v oblasti
rozšíření sítě. Zde Nokia odvedla špatnou práci při integraci svých klientů pro
rozšíření sítě do samotné platformy (viz výsledky testů aplikační
interoperability), nezvládla integraci zabezpečení koncových bodů a nepřenesla
svoji granularitu kontroly přístupů i do klientů pro rozšíření sítě.
Zařízení Nokie budou obzvláště zajímavá pro podniky, které vsadily na platformu
tohoto výrobce u firewallů, neboť Secure Access System 500s disponuje
společnými rysy týkající se jak parametrů konfigurace, tak následné správy. Na
rozdíl od většiny výrobců SSL VPN nabízí Nokia v základní konfiguraci bohatou
sadu služeb, které sahají od IPSec přes clustering až po dynamické směrování.
Pokud Nokia vytrvá ve svém nasazení ohledně přidávání dalších vlastností a
funkcí, zůstane Secure Access System i nadále silným konkurentem.

Nortel VPN Gateway 3070
SSL VPN Nortelu (z jeho skupiny Alteon) může být zacíleno na trh podniků a
operátorů, avšak na základě jeho výkonu v našich testech zaměřených na
podnikové nasazení se nejlépe hodí do světa poskytovatelů služeb. Vysoká
závislost na autentizačních funkcích LDAP (Lightweight Directory Access
Protocol) a RADIUS (viz výsledky testů autentizační interoperability) spolu s
partitioningem, virtualizací několika VPN v rámci jediného systému, širokou
podporou SNMP, rozsáhlými clustery, stejně jako s funkcemi logování a
accountingu orientovanými na poskytovatele, činí tento produkt ideálním pro
velmi rozsáhlá nasazení. Implementace Nortelu nicméně možná nebude tak docela
vítaná při jakémkoliv nasazení menšího rozsahu. Podnikoví uživatelé shledají
webové správní rozhraní těžkopádným a špatně přístupným a pravděpodobně se
vrátí zpět k rozhraní příkazové řádky jak jsme se přesvědčili při našem
testování, většina lidí z vývojového týmu z Nortelu ji používala.
Co je ještě důležitější, některé funkce jsou plně využitelné pouze v prostředí
operátorů. Například cachovaná uživatelská hesla jsou k dispozici pouze v
nasazeních založených na LDAP s přístupem pro zápis do adresáře. To ale zřejmě
nebude příliš stravitelné pro průměrné administrátory spravující Active
Directory, třebaže poskytovatel služeb by tento přístup jistě shledal
dokonalejším. Nortel svou SSL VPN Gateway současně vybavil některými z funkcí
svých Contivity IPSec VPN, jako je třeba TunnelGuard, ovšem zdánlivě bez toho,
aby nějak usilovně přemýšlel nad rozdíly mezi tím, jak se buduje prostředí pro
vzdálený přístup přes SSL VPN v porovnání se světem IPSec.

SonicWall SSL-VPN 2000
Firma SonicWall vstoupila na trh této kategorie produktů teprve nedávno (koncem
loňského roku), když představila své zařízení SSL-VPN 2000. Tato společnost
však bude muset ještě ujít nějaký kus cesty zejména ve vývoji funkcí a opravit
několik chyb v testované verzi 1.0.0, než nabídne konkurenceschopný produkt.
Zařízení SonicWallu historicky disponovala docela slabou podporou VPN pro
vzdálený přístup v rámci jiných, než malých nasazení. Produkt SSL-VPN 2000
tento problém bezprostředně řeší rozšíření sítě pro vzdálený přístup je jednou
z těch věcí, která v SSL-VPN 2000 funguje jednoduše výborně (viz výsledky testů
interoperability). Vzhledem k tomu, že tento produkt nabízí snadnou integraci s
externími autentizačními servery, jako je Active Directory, bude se dobře hodit
pro nasazení vzdáleného přístupu ve střední vrstvě, která se soustřeďují na
rozšíření sítě. Testování odhalilo problémy týkající se jak vlastností
produktu, tak implementace. Mezi problematické vlastnosti patří kupříkladu
absence podpory aplikací typu Citrix pracujících s přesměrováním portů (port
forwarding), více skupin na jednoho uživatele či kontroly přístupů k souborovým
a webovým serverům běžícím na nestandardních portech. Z hlediska implementace
byly nepříjemné mnohé nedostatky ohledně interoperability s naším RADIUS
serverem a v mnoha oblastech i se souborovým serverem konfigurovaným pro malé
až střední firmy. To vše se razantně odrazilo v jeho celkovém hodnocení.
Ačkoliv tým inženýrů SonicWallu má schopnosti na to, aby na základě mnoha let
úspěšného uvádění hardwarových i softwarových produktů vybudoval cokoliv chce,
dobytí svého vlastního místa mezi velikány světa SSL VPN bude vyžadovat více
než chytré programátory. Minulý měsíc koupil SonicWall firmu enKoo, výrobce SSL
VPN produktů. Šance SonicWall prosadit se na trhu SSL VPN teď závisejí na tom,
jak rychle začlení technologii enKoo do svého produktu. Přestože enKoo mířilo
vždy na ten nejnižší segment trhu, technologie vestavěná do jeho produktů by
měla SonicWallu přinést enormní posílení interoperability i rozšíření nabídky
funkcí a potenciálně umožnit přidání dalších možností enKoo jako remote
desktop, remote meeting a HTML rewriting.





Interoperabilita SSL VPN: Vládne Juniper a Nokia

Interoperabilita aplikací a klientů je tou nejobtížnější částí nasazení SSL
VPN. Na základě dat sesbíraných z více než 1 400 testovacích úloh můžeme
prohlásit, že výrobci dělají pokroky proti problémům představovaným
exportováním aplikací na vzdálená připojení všech typů.
Protože klasická SSL VPN technologie propojuje uživatele s webovými aplikacemi,
testovali jsme interoperabilitu každého produktu s devíti webovými aplikacemi,
abychom se přesvědčili, zda jsou schopny zajistit jeich dostupnost. Z našich 65
čistě aplikačních testovacích úloh jich SSL VPN Juniperu splnila 50, těsně
následována produkty Nokia Secure Access System (46) a F5 Firepass (42).
Testy interoperability probíhaly při nasazení námi vyžadované bezpečnostní
politiky. Nepokoušeli jsme se obejít problémy změnou bezpečnostních pravidel
nebo vypnutím některých funkcí produktu. Tím nechceme říci, že tyto produkty
nemají širokou škálu tlačítek, která mohou být použita pro nastavení
(přizpůsobení) chování během rewritingu. Většina z nich je ale označena zmateně
a nezdokumentována. Problémy s interoperabilitou jsou téměř vždy chybou
rewriteru SSL VPN občas označovaného jako munger, který modifikuje datové toky
(streamy) v HTML, Javě, JavaScriptu nebo Flashi proudící do prohlížeče.
Rewriter mění obsah webové aplikace tak, že jakékoliv reference (obrázky,
linky, applety atd.) budou nataženy zpět do SSL VPN zařízení, aby byly
zabezpečeny. Vytvoření rewriteru je blízké simulování chování webového
prohlížeče, JavaScriptu, Javy a všeho ostatního tak, aby to mohlo být
dekódováno a modifikováno.
Na produkty jsme nasadili dva testovací scénáře, přičemž jsme nainstalovali
poslední verzi Lotus Notes, Domino Version 7, a kombinaci jsme doplnili
aplikací Avocent KVM-over-IP. Žádný z produktů nebyl schopen zvládnout aplikaci
Avocent KVM-over-IP a výsledky pro Domino byly takřka stejně špatné.
Většina výrobců nabízí i řešení pro případ, kdy nechce fungovat ani jednoduchý
rewriting. K těm společným patří možnost nahrát malou aplikaci na lokální
systém a nechat lokální webový prohlížeč, aby ukazoval zpátky na tuto aplikaci
jako na proxy. Aplikace pak tunelem předává provoz zpět na SSL VPN bránu bez
toho, aby požadovala rewriting. Když se podíváte, nakolik dobře si každý z
produktů poradil s terminálovými službami Microsoftu a Citrixu či s SSH,
poskytne vám to určitou indikaci, jak dobře výrobci tento typ technologie
implementovali.
Druhou alternativou k rewritingu je jednoduše jej odstranit vytvořením tunelu k
SSL VPN zařízení na třetí vrstvě, a to instalací klienta pro rozšíření sítě na
lokálním systému a tedy vytvořením plného přístupu do sítě. Tato metoda možná
funguje v případě vzdáleného přístupu zaměstnanců pracujících na dálku, nese
však s sebou další náklady, jako jsou potřeba kontroly zabezpečení koncových
bodů, nižší výkon a interoperabilita napříč klientskými platformami. Nakolik
dobře by produkty zvládly tento přístup, můžete vidět na tom, jak obstály v
našich testech interoperability VoIP aplikací.
Dva výrobci, jejichž produkty jsme netestovali, Citrix a Permeo, se rewritingu
zcela vyhýbají. Jestliže se chcete připojit k aplikacím za některým z SSL VPN
zařízením těchto výrobců, musíte použít klienta.

Souborové služby
Běžným požadavkem pro nasazení SSL VPN je schopnost procházet/prohlížet soubory
uložené na serverech. Každé SSL VPN zařízení je schopné provádět základní
překlad protokolu se souborovými službami na straně jedné a webovými stránkami
na té druhé. SSL VPN zařízení komunikuje s vašimi souborovými servery, avšak
koncoví uživatelé potřebují pouze webový prohlížeč, aby viděli adresáře a mohli
manipulovat se soubory.
Naše testy po SSL VPN produktech požadovaly, aby komunikovaly jak s SMB, tak s
FTP servery. V případě SMB většina produktů odvedla dobrou práci s jedinou
výjimkou, a ot systémem SonicWallu. Inženýři této firmy tvrdili, že jsme
narazili na známou chybu, když jsme chtěli, aby se na souborovém serveru
nalogoval více než jeden uživatel.
Nortel v tomto testu ztratil body, protože nebyl nekompatibilní s našimi Mac
klienty do té míry, že jsme se v těchto scénářích nebyli schopni nalogovat.
Taktéž jsme byli zklamáni produktem Connectra od Check Pointu. Ve Windows s
použitím Internet Exploreru se ukázalo, že Connectra má souborový prohlížeč,
který vypadá naprosto stejně, jako Explorer ve Windows. Jde tedy o mnohem
jednodušší variantu, než se pokoušet namapovat disk přes SSL VPN. Co nás ale
zklamalo, je, že Check Point nenabízel žádnou nouzovou alternativu: Jestliže
nepoužíváte Internet Explorer, nejenže nebudete mít k dispozici zmíněné
příjemné rozhraní, ale nedostanete k dispozici ani žádné alternativní.
Test FTP interoperability nám toho příliš mnoho neřekl. Většina výrobců se
totiž rozhodla, že FTP podporovat nebude. Nabízejí jej pouze Nokia, Nortel a
SonicWall. Jediným důvodem, proč Nokia překonala Juniper v hodnocení
interoperability, byla skutečnost, že si poradí s FTP.
Napůl cesty mezi webovým prohlížečem a plnohodnotným klientem pro rozšíření
sítě je tajemný svět forwardingu portů a přesměrování aplikací. Tyto
technologie využívají výhod plynoucích z faktu, že většinu běžných aplikací
tvoří velmi jednoduché datové streamy typu klient/server založené na TCP
protokolu. Jako takové nepotřebují plný síťový přístup, aby mohly pracovat přes
SSL VPN, ale mohou se připojovat přes specifický tunel vytvořený jen pro danou
aplikaci.
Z pohledu bezpečnosti jsou forwarding portů a přesměrování aplikací skvělé
technologie, neboť jako síťový správce můžete uživatelům umožnit, aby přes SSL
VPN provozovali širokou škálu běžných aplikací bez toho, abyste jim museli
dávat plný síťový přístup. Jestliže například aplikace naslouchá na portu 1494,
tunel směřuje pouze k tomuto hostiteli, k danému portu, pro určitý datový
stream. Žádné jiné zneužití není možné a vaší jedinou starostí z hlediska
bezpečnosti je právě ta konkrétní aplikace na serveru, kterou otevíráte pro
uživatele SSLVPN.
Produkty jsme testovali proti čtyřem z těch nejběžnějších klient/server
aplikací používaných jako součástí nasazení SSL VPN: Windows Terminal Services,
Citrix Presentation Server, Telnet a SSH. Protože výrobci přišli s mnoha
strategiemi, jak si s těmito aplikacemi poradit, nechali jsme každého z nich,
aby si diktoval, jak bychom měli aplikaci používat, namísto toho, abychom
trvali na tom, že vše provedeme prostřednictvím čistého port forwardingu. To
vedlo k tomu, že jsme byli ponecháni napospas směsici výrobci poskytovaných
javových appletů, speciálních klientů pro Citrix a Terminal Services a značného
množství černé magie odehrávající se pod povrchem.
Jasným vítězem je v této oblasti Secure Access System Nokie, následovaný SA SSL
VPN od Juniperu a Connectrou od Check Point. Co jsme však při této části našeho
testování zjistili, je, že standardní termín "port forwarding" je u těchto
high-endových produktů chybným označením. Každý používá nějaký druh unikátního
řešení, avšak ta jsou všechna velmi závislá jak na aplikaci, tak na platformě.

Skutečný tunneling
Rozšíření sítě, plnohodnotný tunel na třetí vrstvě, je dnes považováno za
klíčovou součást jakéhokoliv SSL VPN produktu. Zaneprázdnění síťoví správci se
nechtějí potýkat s potížemi souvisejícími s definováním každé aplikace, již
budou uživatelé SSL VPN používat. Navíc jsou zde některé aplikace, jako třeba
VoIP, které s technologií přesměrování portů pracovat nemohou.
Specificky jsme se zaměřili na testování výkonu VoIP (s využitím SIP telefonů)
na klientských platformách našich laptopů (Windows 2000, XP a Macintosh),
abychom zjistili, jak dobře pracuje tunelování přes SSL VPN na třetí vrstvě.
Zcela jasná odpověď zní: ne příliš dobře, pokud nemáte administrátorská práva
(na laptopu). Jestliže chcete pustit vzdálené uživatele do vaší sítě přes
rozšíření sítě, bude lépe, když jim předem nainstalujete klienty na jejich
laptopy nebo se ujistíte, že mají plnou kontrolu nad kterýmkoliv systémem,
který chtějí používat. Shledali jsme, že pouze tři výrobci podporují uživatele
systémů Mac: F5, Juniper a Nokia.
Celkově vzato, jakmile jsme nainstalovali klienty všech ostatních výrobců,
neměli jsme s provozování VoIP přes SSL tunel žádné problémy.


Pocit autentizační úzkosti
Jakékoliv nasazení SSL VPN podporující více než několik desítek uživatelů bude
mít pravděpodobně propojení na externí autentizační servery, jako jsou RADIUS
nebo LDAP (Lightweight Directory Access Protocol). Náš test v této oblasti
sledoval, jak dobře každé SSL VPN zařízení spolupracovalo s našimi pěti
autentizačními servery, a hodnotil, nakolik dobře výrobci integrovali další
funkce jako je vyhledávání informací o skupinách pro účely autorizace a
bezpečnostní funkce specifické pro danou metodu, například seznamy
zneplatněných certifikátů (certificate revocation lists) nebo změny hesel.
Začali jsme tím, že jsme se blíže podívali na RADIUS servery. Každý výrobce
kromě SonicWallu tímto základním testem prošel. V případě SSL-VPN 2000 od
SonicWallu jsme se dostali do problémů proto, že nemůžete ovlivnit, která čísla
portů používá, aby se dotazoval RADIUS serverů. Následujícím krokem bylo
ujistit se, že zařízení mohou z RADIUS serverů získávat informace o skupinách.
Politiky pro bezpečnost a kontrolu přístupů v SSL VPN jsou zpravidla vyjádřeny
v rámci skupin, namísto jednotlivých uživatelů. V případě protokolu RADIUS
neexistuje standardizovaný způsob, jak stáhnout z RADIUS serveru informace o
skupinách, existují ale některé praktiky, které jsou pro dané odvětví společné.
SonicWall byl v tomto testu opět jako jediný neúspěšný, neboť skupinové
informace z RADIUS serverů stáhnout neumožňují. Náš třetí test zaměřený na
RADIUS spočíval v nasměrování SSL VPN zařízení na náš RSA Authentication
Manager (dříve známý jako ACE Server), RADIUS server, který zpracovával SecurID
tokeny od RSA. S RSA serverem můžete komunikovat buďto prostřednictvím jeho
proprietárního protokolu nebo přes RADIUS, avšak většina síťových manažerů
upřednostňuje použití protokolu RADIUS. Je zde nicméně několik speciálních
zpráv, které SecurID server posílá zpět specificky podle SecurID tokenu.
Manažer SecurID tak může například přinutit uživatele, aby si změnili PIN.
Proto musela SSL VPN zařízení tyto zprávy náležitě zpracovat.
Úplně v tomto testu selhal SonicWall, neboť si se SecurID neporadí, což
znamená, že se uživatelé nebudou moci spolehlivě přihlašovat pomocí SecurID
tokenů.
Dále jsme přesunuli pozornost na autentizaci uživatelů přes LDAP servery.
Vytvořili jsme velmi jednoduché LDAP schéma, přičemž jsme se nepokoušeli
kterýkoliv z produktů dostat do úzkých. Přesto jsme se nicméně dostali do
různých problémů opět naprosto neuspěl SonicWall, v jehož případě může být
uživatel členem pouze jedné skupiny, což je u většiny nasazení SSL VPN
nerealistické.
Objevili jsme také elegantní funkci v implementacích Juniperu a Nokie:
schopnost použít ostatní LDAP informace jako součást rozhodování při kontrole
přístupu (Nokia to umožňuje provádět také s informacemi z RADIUS serveru).
Můžete tedy například použít pole ve vašem LDAP adresáři k omezení přístupu,
pokud bude počet špatných pokusů o zadání hesla větší než 10.
Ačkoliv jsme všem produktům přímo přidělovali hodnocení úspěšnosti/selhání (viz
tabulka), vyskytly se mezi nimi značné rozdíly. Pokud plánujete rozsáhlé
nasazení, je kriticky důležité, abyste produkty otestovali proti vašemu LDAP
adresáři a schématu.
Windows Active Directory představuje pro správce SSL VPN mimořádný problém.
Ačkoliv je Active Directory přes LDAP přístupný, odchylky ve schématech od
jedné lokality ke druhé z něj dělají noční můru pro mnoho správců SSL VPN.
Dokonce i ti, kdo jsou do Active Directory zasvěceni, nemusejí mít dostatečné
znalosti o základním LDAP adresáři, na němž je založen jejich adresář. Tak
například naši uživatelé Active Directory serveru Exchange byli zahrnuti v
části LDAP stromu, který byl kompletně odlišný od uživatelů Active Directory
serveru Citrix.
Řešení spočívá podle Microsoftu v autentizaci využívající Kerberos. F5,
Juniper, Nokia a SonicWall jsou schopny komunikovat přímo s Active Directory.
Jde o preferovaný způsob realizace propojení, který zjednoduší implementaci.
Náš poslední test byl zaměřený na použití digitálních certifikátů pro
autentizaci. Přestože digitální certifikáty založené na PKI nejsou příliš
populární metodou autentizace, mohou nabídnout vyšší míru bezpečnosti než jiné
běžné metody. Navíc protože Microsoft Active Directory nabízí (bezplatnou)
možnost používat vestavěné PKI, všechna prostředí založená na Windows mohou
vydávat digitální certifikáty snadněji, než kdy předtím.
Jasnými vítězi v této oblasti byly systémy firem F5, Juniper, Nokia a Nortel, z
nichž všechny začaly pracovat přímo po spuštění. F5, Juniper a Nokia rovněž
umožňují kombinovat certifikáty s dalšími autentizačními metodami. SonicWall
dovoluje používat certifikáty pouze jako dodatečný mechanismus, třeba v
situaci, kdy kombinujete digitální certifikát s uživatelským jménem a heslem.
Check Pointu chvíli trvalo, než se vše povedlo zprovoznit dokud nám někdo z
inženýrského týmu neřekl, že produkt podporuje pouze jeden ze dvou běžných
formátů seznamů zneplatnění.
Digitální certifikáty, ač jde o integrální součást SSL VPN, působily problémy i
na dalších místech. Check Point, F5 a SonicWall nebyli schopny generovat
náležité požadavky na certifikačních podpisy (CSR, certificate signing request)
pro své vlastní digitální certifikáty.


SSL VPN produkty poskytují různou úroveň kontroly přístupů

Přijde-li řeč na filosofii kontroly přístupů, pohybovaly se testované produkty
v širokém rozpětí možností mezi dvěma krajními variantami. Na jednom konci
těchto extrémů stojí přístup SonicWallu, který u SSL-VPN 2000 defaultně
poskytuje politiku "povoleno" pro celý systém. Všichni uživatelé, kteří se
úspěšně autentizují se tedy mohou bez omezení dostat kamkoliv chtějí. To může
být docela přirozená počáteční politika pro malé firmy, která jednoduše
nahrazuje vzdálený přístup přes IPSec za vzdálený přístup využívající SSL VPN.
Nicméně jedním z hlavních argumentů ve prospěch technologie SSL VPN je, že je
schopná poskytnout přístup do sítě široké škále uživatelů, a to absolutně
kontrolovaným způsobem. Tento případ použití, obvykle označovaný jako extranet,
zahrnuje nejen poskytování přístupu zaměstnancům, jako jste to možná viděli u
IPSec VPN, ale také auditorům, obchodním partnerům, konzultantům, dodavatelům
či zákazníkům. V případě použití extranetu hraje kontrola přístupů rozhodující
roli.
Na druhém konci spektra se nalézá SSL VPN Secure Access (SA) 6000 od Juniperu,
nefalšovaný král v oblasti kontroly přístupů. Jestliže chcete povolit přístup s
právem k zápisu do určitého souboru každé úterý po páté hodině odpoledne
uživatelům Volny používajícím Netscape 2, pak je Juniper produktem pro vás.
Všechna ostatní testovaná zařízení spadají někam mezi tato extrémní schémata.
Nalezení toho pravého SSL VPN produktu pro vaši aplikaci znamená zamyslet se
nad čtyřmi aspekty kontroly přístupů, jimiž jsou: granularita, bezpečnost
koncových bodů, skupinové nástroje a spravovatelnost.
Granularita je tím nejjednodušším parametrem, nad nímž se budete rozhodovat.
Jak detailní kontrolu přístupů potřebujete mít? V rámci naší testovací
bezpečnostní politiky jsme rozlišovali mezi různými částmi jediného webového
serveru. Chtěli jsme rovněž kontrolovat přístup ke specifickým webovým službám.
A také jsme chtěli zavést dodatečné kontroly pro omezení pouze na čtení u
některých souborových služeb, jako je souborový server pod Windows. Pouze
Juniper SA-6000 a Nokia Secure Access System byly schopny s jistotou zvládnout
všechny z uvedených požadavků.
Dalším kritériem pro rozhodování týkající se granularity je integrace
ovládacích prvků pro zabezpečení koncových bodů. Všechny testované produkty
(kromě SonicWallu) umožnily kontrolu stavu SSL VPN klienta buď před, nebo po
přihlášení (nebo v obou). Otázka zní: Co s touto informací dělají? Jestliže je
důvodem instalace SSL VPN poskytování přístupu zaměstnancům s laptopy
spravovanými firmou, pak máte pravděpodobně velmi jednoduché požadavky na
zabezpečení koncových bodů omezující se na rozhodování "pustit/nepustit". Buď
pak skenováním projdete, nebo při něm neuspějete, a pokud neuspějete, nezískáte
přístup k ničemu. To zvládne kterýkoliv z testovaných produktů s výjimkou
SonicWallu.
Protože většina výrobců SSL VPN do svých produktů přidala zabezpečení koncových
bodů teprve poté, co byly jejich inženýry vyvinuty, integrace s mechanismy
kontroly přístupů je často neohrabaná a obtížná z hlediska správy. Například
VPN Gateway 3070 Nortelu má jednu sadu prvků pro kontrolu přístupu, která
zabezpečení koncových bodů nezahrnuje, a druhou, kompletně oddělenou sadu prvků
pro kontrolu přístupů s komplexním, těžko použitelným rozhraním zahrnujícím
nástroje pro zabezpečení koncových bodů.
Check Point Connectra propojuje informace o zabezpečení koncových bodů se
specifickými zdroji. Nezáleží na tom, kdo jste; jestliže není vaše zabezpečení
na úrovni koncového bodu adekvátní, přístup nezískáte. Nevýhodou této
implementace je, že bezpečnostní manažer nemá dostatečnou flexibilitu pro to,
aby mohl dělat výjimky. Naše testovací bezpečnostní politika vyžadovala, aby
měly některé skupiny možnost obejít omezení dané zabezpečením koncových bodů
(může jít třeba o tým IT podpory v ohrožení); tento produkt v našem testu
technicky selhal. Nicméně pro mnohé implementace jde o čistou cesta definování
politiky a pokud jste s takovou úrovní flexibility spokojeni, budete rádi, že
zabezpečení koncových bodů nekomplikuje rozhraní správy.
Produkty od firem F5, Juniper, Nokia a Nortel pak posouvají zabezpečení
koncových bodů na další úroveň tím, že umožňují, abyste při implementaci
nástrojů pro zabezpečení koncových bodů brali v úvahu jak zdroje, tak
uživatelské skupiny. Pokud předpokládáte, že budete tuto integraci využívat v
široké míře, měli byste se soustředit na Juniper SA-6000, jestliže v menší
míře, pak se zaměřte na Nokii Secure Access System 500s. Juniper umožňuje
aplikovat zabezpečení koncových bodů buď před, nebo po autentizaci a poskytuje
volbu zda povolit nebo zablokovat uživatele na základě stavu zabezpečení.
Stejně tak dovoluje modifikovat skupinu na základě stavu zabezpečení
připojovaného uživatele nebo vyhodnotit stav zabezpečení jako součást kontroly
přístupů až na úroveň jednotlivých URL adres.
Nokia má také slabé místo: Zabezpečení koncových bodů a její klient pro
rozšíření sítě jsou propojeny odlišně, než je tomu u všech ostatních zdrojů. S
touto metodou přístupu se tak vracíte k mnohem méně flexibilnímu bezpečnostnímu
modelu s menšími možnostmi.
Produkty F5 a Nortelu spadají do kategorie typu "můžete to udělat, ale nikdy se
vám nebude chtít", a to kvůli úrovni obtížnosti toho, jak začlenit zabezpečení
přístupových bodů do komplikovaných seznamů pro kontrolu přístupů. Jestliže
rozkouskování zdrojů tvoří jednu část otázky kontroly přístupů, tou druhou je
manipulace se skupinami. Aby bylo v rámci kontroly přístupů možné provádět
správu, musí být každý uživatel přiřazen do sady skupin. Zatímco možnost
nastavení bezpečnostních parametrů na úrovni jednotlivých uživatelů je
smysluplná jednou za čas, osvědčená praxe doporučuje zaměřit se při kontrole
politik na úroveň skupin.
Většina produktů vám z adresáře umožní získat informace o skupinách, obzvláště
pokud pro autentizaci používáte LDAP (Lightweight Directory Access Protocol)
nebo RADIUS.
Pro autentizaci a přiřazování do skupin jsme použili docela jednoduchý LDAP
server. Máte-li komplexnější adresář nebo jestliže potřebujete mapovat do
skupin na základě jiných atributů (jako například nahlédnutím do jiného
adresáře), dbejte na to, abyste si tyto požadavky nadefinovali před tím, než
budete produkty hodnotit.

Řízení zmatků
Mezi tím, čeho jsou tyto produkty schopny a co byste s nimi chtěli dělat vy,
existuje značná mezera. Zatímco například u produktu F5 je možné vytvořit velmi
bezpečnou a přesně kontrolovanou konfiguraci, nikdy byste to nechtěli provádět
pomocí nástrojů, které vám poskytují jeho grafické rozhraní vám bohužel
detailní kontrolu přístupů neusnadní.
Dalšího zklamání jsme se dočkali u systému Nortel VPN Gateway 3070. Přestože
tento produkt poskytuje určitou úroveň kontroly přístupů, jeho špatně navržený
systém pro správu vám aktivně brání v cestě k detailním ovládacím prvkům.
Nejlepší kompromis mezi kontrolou a složitostí najdete u produktu Nokia, u nějž
můžete jednoduše sledovat a vytvářet kontrolu přístupů napříč zdroji. Schopnost
Nokie přeskakovat mezi kontrolou přístupů v režimu "jednoduchá" (simple) a
"pokročilá" (advanced) je obzvláště elegantní volbou, která poskytuje
komplikované možnosti tehdy, když je chcete, a po zbytek doby umožňuje pracovat
rychle a jednoduše.
Systém správy kontroly přístupů u Juniperu je tím, který budete milovat i
nenávidět zároveň. Zatímco Juniper sdílí s Nokií myšlenku jednoduchých vs.
pokročilých ovládacích prvků (které označuje jako obecné a detailní), k
dispozici je vám 20 dodatečných obrazovek pro jemnější definování politiky a
kontroly, jaká je u webových zdrojů možná.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.