Síť VPN se pomalu přibližuje k SSL

Jedna technologie VPN je vyřazena z provozu, její náhrada ale způsobuje problémy. SSL nabízí částečné řešení. N...


Jedna technologie VPN je vyřazena z provozu, její náhrada ale způsobuje
problémy. SSL nabízí částečné řešení.
Naše společnost několik let používala pro přístup vzdálených uživatelů do
podnikové VPN protokol PPTP (Point-to-Point Tunneling Protocol) firmy
Microsoft. Fungovalo to dobře a skoro všichni zaměstnanci, kteří měli povolení
používat PPTP, byli s touto metodou spokojení. Ale poté, co bylo objeveno
několik bezpečnostních problémů PPTP, jsme se rozhodli pro změnu.
Přibližně před rokem jsme se rozhodli nasadit do všech našich působišť
koncentrátory VPN od firmy Cisco Systems. Provozovali jsme oba systémy souběžně
šest měsíců, abychom umožnili uživatelům zvyknout si na tento nový způsob
připojení. Uživatelé byli instruováni, aby si stáhli Cisco VPN klienta a
doprovodný profil a začali ho využívat. Během tohoto období, pakliže měli
uživatelé problémy, se kdykoli mohli vrátit zpět k PPTP spojení až do doby, než
byl problém vyřešen.
Tato alternativa zmizela zhruba před měsícem, když jsme vyřadili naše PPTP
servery z provozu. Nyní musejí všichni uživatelé používat Cisco VPN klienty.
Rozeslali jsme mnoho hromadných e-mailových zpráv týkajících se připravované
změny, ale jakmile jsme byli připraveni odebrat naše PPTP servery, ukázalo se,
že je několik stovek uživatelů stále ještě používá. Pokusili jsme se každého z
nich jednotlivě informovat o změně, ale asi 50 jich bylo na cestách, na
dovolené nebo jinde mimo dosah. Což koneckonců není tak špatné číslo,
vezmeme-li v úvahu, že máme více než 7 000 zaměstnanců, kteří používají VPN.
Naše společnost má globální působnost, proto někteří uživatelé, se kterými
musíme komunikovat, nemluví anglicky a pracují ze svých domovů na druhé straně
světa.

Problémy
Nyní se potýkáme s novou řadou problémů. Problémy s Cisco VPN klientem nám teď
reportuje jedna zvláště hlasitá skupina zaměstnanců. Jde o uživatele patřící
zejména do oddělení prodeje, kteří potřebují přístup k demoverzím produktů na
síti a k databázím tržeb. To, co je činí tak hlasitými, je to, že tvoří výnosy
naší firmy, takže obvykle dostanou, co chtějí.
Problém je v tom, že kanály nutné pro komunikaci VPN klientů s našimi VPN
bránami blokují naši zákazníci. S podobnými problémy se setkávají uživatelé v
hotelových pokojích, a to ze stejného důvodu. To však není chyba zařízení firmy
Cisco podobné problémy by měl téměř každý IPsec VPN klient.
Mezitím se objevila spousta požadavků na přístup k poště z kiosků. Uživatelé
tvrdili, že když nemohou použít počítač naší firmy na konferenci nebo v kavárně
rádi by, aby jim bylo umožněno dostat se do své schránky v MS Exchange a ke
kalendáři jiným způsobem.
Uvažovali jsme o tom, že bychom rozšířili webový přístup do MS Outlooku
zvnějšku. Nechceme to ale udělat bez silné autentizace, kontroly přístupu a
šifrování.

Řešení SSL
S oběma uvedenými problémy na mysli jsme se rozhodli prozkoumat možnosti
použití SSL (Secure Sockets Layer) VPN. Tato technologie je používána již
nějaký čas a téměř každý webový prohlížeč na dnešním trhu podporuje SSL, známé
rovněž jako HTTPS, bezpečné HTTP či HTTP nad SSL.
VPN nad SSL téměř jistě vyřeší běžné problémy s přístupem, které naši
zaměstnanci někdy mají ve firmách zákazníků. Téměř každá společnost totiž
nechává své zaměstnance používat pro připojení odchozí port 80 (standardní
HTTP) a port 443 (bezpečný HTTP).
SSL VPN nám také dovolí rozšířit webový přístup vzdálených uživatelů k
Outlooku, ale existují tu další dva problémy. Za prvé, tento typ VPN je v první
řadě vhodný pro aplikace založené na webu. Zaměstnanci, kteří provozují
komplexní aplikace, jako je PeopleSoft či Oracle, nebo kteří potřebují
spravovat unixové systémy prostřednictvím terminálu, budou pravděpodobně
provozovat Cisco VPN klienta. To proto, že poskytuje bezpečné spojení mezi
jejich klientem a naší sítí, zatímco SSL VPN poskytuje bezpečné spojení mezi
klientem a aplikací. Takže budeme i nadále udržovat naši infrastrukturu Cisco
VPN a přidáme SSL VPN alternativu.
Druhý problém, který očekáváme, se týká uživatelů, kteří potřebují mít přístup
k vnitřním webovým zdrojům z kiosku. Mnoho z SSL VPN technologií totiž požaduje
stažení tenkého klienta na desktop, a to i přesto, že řada dodavatelů SSL VPN
tvrdí, že jejich produkty jsou bez klientů. I když to může být pravda pro čistě
webové aplikace, než může být spuštěna jakákoli specializovaná aplikace, musejí
být na desktop, do laptopu nebo do kiosku staženy aplikace v Javě či řídicí
objekt ActiveX. Problémem ovšem je, že na většině kiosků je nastavena taková
bezpečnostní politika, která uživatelům ve stahování nebo v instalování
softwaru brání. To znamená, že pro scénář kiosku musíme brát v úvahu
alternativní prostředky.

Další požadavky
Také chceme najít dodavatele, jenž poskytne bezpečný systém pro odhlášení
klienta, který z počítače vymaže všechny stopy uživatelovy aktivity. A to
včetně skrytých pověření, skrytých webových stránek, dočasných souborů a
cookies. A chceme nasadit SSL infrastrukturu, která bude umožňovat
dvoufaktorovou autentizaci konkrétně použití našich SecurID klíčů.
Uvedené požadavky samozřejmě způsobí dodatečné náklady na uživatele, jelikož
SecurID klíče, ať už softwarové nebo hardwarové, jsou relativně drahé. Navíc
nasazení SecurID klíčů v podniku není triviálním úkolem. Nicméně je to krok na
cestě k bezpečnosti, o které pojednáme v některém z příštích článků.
Pokud jde o SSL VPN, bereme v úvahu nabídky firem Cisco a Juniper Networks.
Firma Juniper nedávno získala firmu Neoteris, která byla dlouhodobým lídrem na
poli SSL.
U jakékoli nové technologie, kterou zavádíme, sestavujeme komplexní soubor
požadavků a provádíme přísné testování. Potřebujeme zajistit, abychom
nezapomněli na žádnou důležitou otázku týkající se oblasti jejího nasazení,
řízení, podpory a samozřejmě bezpečnosti.
Řešíte podobné problémy jako Mathias Thurman? Podělte se o svoje zkušenosti s
námi i se čtenáři Computerworldu. Můžete psát na adresu bezpecnost@idg.cz.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.