SSL VPN brány

Bezpečnost a snadné používání jsou příslibem technologie SSL VPN. Náš test sedmi SSL VPN bran (Secure Socket Layer V...


Bezpečnost a snadné používání jsou příslibem technologie SSL VPN. Náš test
sedmi SSL VPN bran (Secure Socket Layer Virtual Private Networks) od firem AEP,
F5 Networks, NetScreen Technologies, Netilla, Nokia, Symantec a Whale
Communications prověřilo, jak je každé z těchto zařízení vybaveno pro
poskytování bezpečného vzdáleného přístupu k firemním aplikacím. Dobrou zprávou
je, že několik jich je už je zralých k firemnímu nasazení.
Při testování SSL VPN jsme vycházeli ze základního předpokladu: tyto sítě
musejí zapadnout do stávajících síťových a aplikačních prostředí (viz Jak jsme
testovali). Proto jsme u každého testovaného zařízení prověřili
interoperabilitu za pomoci 20 podnikových aplikací. Produkty jsme testovali z
pohledu síťových a bezpečnostních odborníků, přičemž jsme se silně soustředili
na kontrolu přístupu a bezpečnostní funkce. Hodnotili jsme také v produktech
obsažené nástroje pro auditování, evidenci, podávání zpráv a vytváření záznamů.
Vyzkoušeli jsme rovněž skenery integrity klientů, které pomáhají zajistit, zda
antivirové programy a funkce firewallu jsou aktuální.

Aplikace jsou vším
Největším rozdílem mezi SSL VPN a tradičním vzdáleným přístupem přes IPsec (IP
Security) VPN je skutečnost, že IPsec standard vyžaduje instalaci klientského
softwaru na systémech koncových uživatelů, zatímco SSL VPN se soustřeďuje na
zpřístupnění aplikací prostřednictvím libovolného webového prohlížeče.
V určitých případech musejí SSL VPN poskytovat bezpečný přístup k aplikacím,
které jsou zpřístupněny na HTTP serverech ve formě statických stránek, avšak
příjem webového provozu na jednom portu a jeho odesílání na portu jiném není
tou oblastí, kde podobné produkty přinášejí největší hodnotu. SSL VPN jsou
nasazovány ze závažnějších důvodů, jako je komplexní překlad aplikací z
webových na e-mailové servery, firemní adresáře a plánovací systémy, aplikace
pro e-commerce, sdílení souborů či vzdálená správa systémů.
Co se týče funkcí proxy a překladu aplikací (viz SSL termíny a podmínky),
odhalili jsme mezi jednotlivými produkty velké rozdíly (viz tabulky na
následujících stranách). Produkty firem AEP a Whale jsou v této oblasti
nejslabší, podporují nejmenší počet překladačů a aplikačních proxy. Zařízení
firmy Nokia bylo jediné ze skupiny silnějších produktů, které nabízelo překlad
aplikací pro FTP, NFS (Network File System) a souborové servery založené na OS
Microsoftu. Každé z trojice zařízení firem F5, Netscreen a Symantec podporovalo
pouze část výše zmíněných funkcí. Netilla jako jediná nabízí produkt, který
zahrnuje podporu překladu Windows Terminal Services a rozsáhlé škály
terminálových emulátorů včetně telnetu, SSH (Secure Shell) a IBM 3270. S dobrým
výsledkem jsme odzkoušeli veškeré emulace kromě IBM 3270. Produkty firem F5 a
NetScreen zahrnovaly rovněž podporu terminálové emulace pro telnet a SSH, avšak
při testech neuspěly, neboť po více než čtvrtinu doby vyhrazené na testování
nefungovaly.
Jelikož testované produkty nabízejí tak široký rozsah možností, volba správné
brány pro vaši síť vyžaduje důkladné pochopení toho, pro které aplikace
potřebujete překlad. Rovněž musíte být schopni zhodnotit důležitost
jednotlivých aplikací. Například brány od společností Symantec a F5 nabízejí
aplikační překlad elektronické pošty. Uživatelé tak mohou číst a odesílat
e-maily prostřednictvím aplikace, které běží na bráně. Vestavěná funkce pro
webovou poštu u zařízení firmy Symantec bohužel nefungují, pokud máte ve
schránce velké množství e-mailů.
SSL VPN brány, které neobsahují vestavěný nástroj pro webovou poštu, umožňují
připojení k firemní messaging aplikaci, jako je např. Microsoft Outlook Web
Access, IBM iNotes nebo open source produktu SquirrelMail. Naše testy
interoperability naznačují, že tyto bohaté aplikace mají své vlastní problémy.
Může se vám tedy stát, že budete stát před obtížnou volbou, zda použít bohatší
webovou aplikaci, kterou nebude moci využívat každý, nebo slabší a na funkce
chudý webový poštovní systém, který se na druhou stranu chová přátelštěji k
méně rozšířeným nebo starším verzím tradičních prohlížečů.
Některé aplikace překládat nelze, proto SSL VPN brány nabízejí dva mechanismy
pro přímý přístup k síti: přesměrování portů (port forwarding) a rozšíření sítě
(network extension). Přesměrování portů nabízí ochranu pro "ukázněné" aplikace
na známých serverech, zatímco rozšíření sítě umožňuje širší přístup k celé síti
prostřednictvím tunelů.
Čím pokročíte dále v oblasti přímého přístupu, tím komplikovanější a
rizikovější však bude nasazení SSL VPN. Při realizaci přesměrování portů nebo
rozšíření sítě musejí SSL VPN brány "dotlačit" aplikaci na pracovní stanici
koncového uživatele. Při tom se objevují problémy s kompatibilitou prohlížečů,
operačních systémů a také problémy se zabezpečením. Například uživatel, který
má nastavenu vysokou úroveň zabezpečení v prohlížeči MS Internet Explorer,
nebude moci využívat žádnou z podobných funkcí. Bohužel není vždy možné provést
nastavení nižší úrovně zabezpečení prohlížeče.
Druhým problémem při přesměrování portů a rozšíření sítě je bezpečnost. Jednou
z propagovaných silných stránek SSL VPN je jejich schopnost sledovat provoz na
aplikační vrstvě a poskytnout správci sítě detailní kontrolu nad přístupem k
této síti. Pokud se ve hře objeví přesměrování portů nebo rozšíření sítě, SSL
VPN již nenabízejí takové možnosti kontroly, protože si pak neuvědomují
příslušnou základní aplikaci. Také pravidla na úrovni jednotlivých URL, která
jsou jednou z charakteristik SSL VPN technologie, nejsou při využití rozšíření
sítě a přesměrování portů k dispozici.
Všechny SSL brány kromě zařízení společností Netilla a AEP nabízejí určité
funkce pro přesměrování portů (viz tabulka výše). Avšak samotné přesměrování
není dostatečným řešením pro všechny typy aplikací. Dobrým příkladem je FTP,
které v rámci protokolu IP využívá adresy a čísla portů k identifikaci socketů
klienta a serveru sloužících k přenosu dat. Přesměrování portů nefunguje u
všech FTP klientů, pokud SSL VPN brána neví, že dochází k přesměrování FTP
provozu a nepřepisuje IP adresy uvnitř tohoto provozu.
Tento druh schopností k přesměrování portů přidávají (u skutečných firewallů
běžné) brány na aplikační úrovni (Application Level Gateways, ALG). Dodavatelé
SSL VPN bran se pokusili přidat ALG k forwardingu portů ve dvou oblastech:
Zaprvé k elektronické poště, přesněji řečeno MAPI (pro klienty Exchange), a
Notes jsou součástí bran firem NetScreen, Nokia a Symantec. Zadruhé ke
vzdáleným klientům využívajícím terminálové služby Citrix tuto funkci nabízejí
brány od Nokie a společnosti NetScreen.
Namísto toho, aby výrobci učinili přesměrování portů inteligentnějším pomocí
ALG, nabízejí mnohé SSL VPN brány funkci rozšíření sítě: připojení vzdáleného
uživatele systému k síti za SSL VPN bránou. Z testované skupiny produktů funkci
rozšíření sítě nabízejí všechna zařízení, vyjma těch od firem Nokia a Whale.
Práce s e-maily je pravděpodobně nejoblíbenější funkcí SSL bran, protože při
testování jsme zjistili i další způsob, s jehož pomocí některé produkty
e-mailovou komunikaci podporují. Výrobky firem AEP, NetScreen, Nokia i Symantec
obsahují proxy pro standardní poštovní protokoly SMTP (Simple Mail Transfer
Protocol), POP (Post Office Protocol) a IMAP (Internet Message Protocol).
Myšlenka spočívá v tom, že svého POP nebo IMAP poštovního klienta nasměrujete
na SSL VPN bránu, přičemž data mezi klientem a bránou jsou šifrována pomocí
standardního POP-over-SSL, IMAP-over-SSL a SMTP-over-SSL. E-mailové transakce
jsou tak zabezpečeny. Tato technika také umožňuje přidat podporu SSL pro starší
poštovní servery nebo zpřístupnit servery, které se nacházejí v privátním
rozsahu adres. Jejím přínosem je kompatibilita napříč všemi moderními
platformami a poštovními klienty, aniž by byl nutný speciální přístup k
operačnímu systému, jako je tomu v případě přesměrování portů a rozšíření sítě.

Problémy s interoperabilitou
Webových aplikací se dodavatelé bezpečnostních produktů děsí. Extrémní
shovívavost, s níž webové prohlížeče zobrazují neúplné webové stránky, chybné
JavaScripty a nečitelný Java kód, vedla k vytvoření generace aplikací, které z
hlediska vývoje softwaru téměř postrádají smysl, avšak zdá se, že fungují.
Vytvoření SSL VPN brány, která si s podobnými problémy poradí, je
nezáviděníhodným úkolem. V rámci našeho testu SSL VPN bran jsme vyzkoušeli
celkem 20 aplikací a sedm kombinací platforem a prohlížečů a zjistili rozsáhlé
odlišnosti v oblasti jejich funkčnosti.
Cílem našeho testu bylo ověření tvrzení výrobců, že tyto produkty se nastavují
a využívají snáze než IPsec VPN. Během testů jsme objevili řadu nedostatků:
užívání těchto produktů je jednodušší pro koncové uživatele, avšak jejich
údržba je mnohdy složitější pro správce sítě.
Začali jsme u pěti základních webových aplikací, z nichž některé obsahovaly
jednoduchý JavaScript. Jediným výrobcem, který podporoval všech pět aplikací na
sedmi platformách, se stala firma Nokia. Produkty firem F5 a NetScreen
nezvládly pouze jedinou aplikaci, Whale a Symantec tři či méně. Zařízení od
společnosti AEP neuspělo u dvou aplikací, z nichž jedna obsahovala JavaScript a
směřovala na webový server chráněný prostřednictvím SSL. AEP na rozdíl od všech
ostatních výrobců nepodporuje back-endové servery využívající SSL. Netilla také
přišla o body za ztrátu grafiky. Ačkoliv se nakonec každá stránka načetla
správně, pokud jsme dostatečně dlouho klikali na tlačítko Obnovit, hodnotili
jsme produkt této firmy pouze polovinou bodů u těch aplikací, které při prvním
načtení postrádaly velké množství grafiky.
Dále jsme vyzkoušeli dvě velké e-mailové aplikace: Outlook Web Access 2003 a
iNotes verzí 6.0 a 6.5. Nejblíže splnění úkolu byla firma Nokia, za ní
následují AEP a Symantec (přestože u zařízení Symantec došlo k pádu prohlížeče
Netscape při přístupu k iNotes). Nejnovější verze Outlooku 2003 představovala
pro SSL brány menší zatěžkávací zkoušku.
Je zcela zřejmé, že výrobci od těchto bran neočekávají, že by fungovaly bez
určitého vyladění. My sami jsme se omezili na výchozí konfiguraci, avšak u
většiny systémů bylo přidáno množství tlačítek a ovládacích prvků, které by
měly napomoci ke zvýšení kompatibility. Dobrým příkladem je produkt firmy
Netilla. Při definici aplikace lze například volit mezi "rychlým HTML
překladem" a "úplným HTML překladem". Jedinou větou v dokumentaci, která hovoří
o tom, kterou z možností zvolit, je nejasná poznámka "Rychlý překlad je vhodný
pro většinu stránek". Na druhé straně společnost Whale věnuje 75 stran
dokumentace vyladění zacházení s aplikacemi.
Třetí sada testů využívala trojice webových aplikací obsahujících Javu a různé
druhy flashe. Výsledky byly katastrofální. Produkty firem F5, NetScreen a
Symantec zvládly zprovoznit alespoň po určitou dobu jednu aplikaci, zbylá
zařízení v této fázi neuspěla vůbec. Jaké z toho plyne poučení: pokročilé
aplikace s nástroji, využívajícími Javu či flash, není snadné zprovoznit
prostřednictvím SSL VPN bran bez využití technologií, jako je přesměrování
portů nebo rozšíření sítě.
Čtvrtá série testů zkoumala, jak zařízení zvládnou souborové servery
Microsoftu, FTP a NFS pomocí překladu aplikací. Zde bylo hodnocení obtížnější,
jelikož ne každé zařízení podle údajů výrobce podporovalo všechny protokoly.
Elegantní nástroj pro procházení souborových serverů od firmy F5 nefungoval
správně s prohlížečem Safari, nástroj společnosti Netilla nefungoval s ničím
jiným než s Internet Explorerem na operačním systému Windows a firma Whale
nezvládala starší verze IE a Netscapu.
Problémy s kompatibilitou u FTP serveru jsme zjistili také u výrobků Nokie a
Symantecu. Při testování proti standardnímu unixovému FTP serveru fungovaly
bezvadně. Avšak jakmile jsme je nasměrovali na náš OpenVMS server, ani jeden si
s tím neporadil.
Poslední sada testů se zaměřila na přesměrování portů a funkce rozšíření sítě.
Uživatele počítačů Macintosh je třeba varovat: dokonce ani produkty, které o
sobě tvrdí, že fungují s Macintosh systémy (firmy NetScreen a Nokia uvádějí, že
přesměrování portů podporuje Mac OS X), nefungují dokonale. NetScreen zvládl
jeden ze tří prohlížečů pro Macintosh (Safari), zařízení firmy Nokia
nefungovalo vůbec. Co se týče uživatelů Windows, tam forwarding portů (pokud ho
výrobce podporuje) funguje velmi dobře. F5, Netscreen, Nokia a Symantec zvládly
přesměrování jedno a víceportových aplikací bez problémů. Firma Whale
zaškobrtla u prohlížeče Netscape, aplikace ne-fungovala a tvrdila, že uživatel
musí být členem skupiny "Power Users", aby mohl forwardingu využít. To by možná
bylo i rozumné, pokud bychom nebyli přihlášeni pod administrátorským účtem.
Rovněž u rozšíření sítě jsme se setkali s problémy. Zařízení fi-rem NetScreen a
Netilla fungovala bezchybně, zatímco AEP nepodporoval UDP (User Datagram
Protocol) aplikaci, kterou jsme vyzkoušeli. Zařízení F5 někdy fungovalo, ale
jindy jsme také dosáhli modré obrazovky operačního systému Windows 2000.
Produkt Symantecu měl také problémy, a to hlavně proto, že neexistuje žádná
dokumentace a žádný klientský nástroj.
Na základě testů interoperability lze učinit závěr, že dané produkty nesplňují
příslib univerzálnosti a snadno použitelnou branou pro podnikové aplikace.
Jednoduché webové stránky a základní JavaScripty fungují u lepších zařízení
velmi dobře, avšak zklamalo nás, že podpora Javy, flashe, souborových služeb,
přesměrování portů a rozšíření sítě byla nepředvídatelná, její zprovoznění
obtížné a chyběla interoperabilita.

Kontrola přístupu
Jakožto bezpečnostní zařízení musejí tyto produkty poskytovat detailní kontrolu
nad bezpečností aplikací.
Všechny SSL VPN brány nabízely možnost povolit nebo zakázat přístup k aplikacím
s využitím skupin. Na nejjednodušší části spektra se pohybují zařízení firem
AEP, F5 a Netilla. Netilla umožňuje správci definovat webovou aplikaci jako
sérii URL. Jakmile je aplikace definována, uživatelům a skupinám je poskytnut
či zamítnut přístup k této aplikaci. Produkt AEP obsahuje podobnou úroveň
kontroly.
Symantec dává přednost řízení přístupu pro jednotlivé uživatele a skupiny,
nikoliv pro aplikace. Můžete tedy stanovit, k čemu má určitá skupina přístup a
snadno spravovat mnoho skupin a přístupových práv. V hierarchickém modelu
Symantecu je snadné nastavit, že specialisté mohou číst a zapisovat soubory na
serveru, zatímco kontroloři kvality mají přístup pouze pro čtení. Zdá se to
jednoduché, přesto pouze Symantec a NetScreen vám dovolují uvažovat tímto
způsobem.
Dalším rozměrem řízení přístupu je stanovení práv nad rámec pouhé skupiny či
uživatele. V tomto ohledu nepochybně kraluje firma Nokia, i když také NetScreen
a Whale mají co nabídnout. U Nokie jdou provést nastavení na základě toho, k
jakým zdrojům máte přístup a co s nimi smíte dělat. Použijete-li "hrubá"
nastavení, lze volit mezi skupinami, které ke zdroji mají či nemají přístup.
Avšak úžasné možnosti se nacházejí pouze o jedno kliknutí myší dále. Je možné
například povolit přístup k určitému souboru, pokud se někdo přihlásil pomocí
LDAP (Lightweight Directory Access Protocol) serveru a jeho antivirový program
je aktuální.
Pokročilou funkcionalitu nabízí v oblasti kontroly přístupových práv také
Whale. Přestože obsahuje jednoduché řízení přístupu, síla tohoto produktu
spočívá ve firewallu na aplikační úrovni. Můžete rozčlenit jednotlivá URL a
nastavit vysokou úroveň kontroly chyb a ověřování. Například pro URL, které
odesílá data prostřednictvím formuláře, je produkt firmy Whale schopen ověřit,
že každý z atributů splňuje stanovenou délku, čímž se brání odesílání
poškozených údajů. Zdá se to zdlouhavé, komplikované a obtížně použitelné, ale
je tomu tak. Výrobce nabízí správcům sítě pomoc v podobě předem připravených
souborů pravidel. Bohužel pro aplikace, které jsme testovali (Outlook 2003 a
iNotes), nebyla žádná sada pravidel aktuální nebo správná. Jediným způsobem,
jak zmíněné aplikace zprovoznit, bylo vypnutí nabízených funkcí firewallu.
Výrobce v průběhu testování nabídl opravu sady pravidel a tvrdil, že totéž by
učinil u libovolného zákazníka a jakékoliv aplikace.
Velkým zklamáním je způsob, jakým SSL VPN brány řídí přístup k souborovým
serverům. Produkty firem Whale a Netilla mají nepřijatelně nedostačující
kontrolu přístupu. Pokud u těchto zařízení má uživatel přístup ke sdílenému
zdroji na Windows síti, brána nenabízí žádná další nastavení toho, co a kde smí
dělat. Oproti tomu produkty NetScreenu, Nokie a Symantecu umožňují definovat
práva pro čtení a pro zápis na úrovni jednotlivých souborů. Společnost F5 na
nás učinila dojem tím, že do produktu zahrnula antivirový program, který při
ukládání souborů kontroluje, zda nejsou infikovány.

Integrovaná autentizace
Identifikace uživatelů a jejich rozdělení do skupin je klíčovou součástí
libovolné SSL VPN. Při testování jsme se snažili vzít v úvahu velké firmy a
infrastrukturu, kterou již mají k dispozici. Zaměřili jsme se na LDAP a RADIUS
jakožto nejpravděpodobnější kandidáty pro ověřování a zjišťovali silné a slabé
stránky produktů.
RADIUS byl jasnou volbou vzhledem k široké dostupnosti RADIUS serverů a jeho
běžnému využívání k ověřování před Windows, Unixem a tokenovými systémy, jako
je RSA Security SecurID, avšak zjistili jsme, že někteří výrobci úkol
nezvládli. Všechny produkty jsme bez problémů propojili s RADIUS serverem,
avšak pouze zařízení firem Nokia a NetScreen byla dostatečně flexibilní k tomu,
aby z tohoto serveru získala údaje o skupinách. U dalších produktů je nutno
mapovat RADIUS uživatele do skupin pomocí jiné metody. Nejhorší situace je u
zařízení Whale a AEP, kde je mapování uživatelů do skupin nutné provést
manuálně.
U mnohých výrobců je nepodpora LDAP synonymem podpory Active Directory. U
produktů firem AEP, Symantec a Whale jsme měli tolik problémů, že jsme museli
nahradit stávající LDAP server za Active Directory server, aby zařízení
fungovala. Dokonce i poté jsme nadále měli potíže s tím, jak byla podpora LDAP
implementována firmou Symantec, a to včetně špatné konektivity a obskurních
chybových hlášení.
Využíváte-li LDAP v libovolné jiné formě, pak zvolte produkty firem F5,
NetScreen nebo Nokia. Podařilo se nám zmást NetScreen a najít LDAP konfiguraci,
kterou zařízení nezvládne, ale technická podpora nalezla opravu. Každý ze tří
uvedených produktů měl LDAP implementováno dostatečně obecně na to, aby mohlo
fungovat v celé řadě prostředí a schémat.
Jelikož SSL je obecně založeno na certifikátech, očekávali jsme, že testovaná
zařízení budou výborně podporovat PKI (Public-Key Infrastructure). Ale byli
jsme zklamáni, neboť pouze Nokia podporovala ověřování pomocí certifikátů (a
ani ona nepodporovala seznamy zneplatněných certifikátů, které jsou nutné pro
každou dobrou implementaci PKI).
Společnosti F5, NetScreen a Whale využívaly klientské certifikáty pro
doplňkovou autentizaci, nikoliv tedy jako primární metodu. Například Whale má
koncept tzv. "důvěryhodného koncového bodu", což je uživatel, který nejen ověří
svou totožnost, ale také předloží certifikát. Při definování přístupových práv
lze tak rozlišovat mezi uživateli, kteří certifikát mají a kteří nikoliv.
Myšlenka spočívá v tom, že uživatel se bude přihlašovat z domova, ze svého
počítače, na němž bude mít svůj certifikát. Jelikož je daný uživatel
důvěryhodný, lze mu povolit vyšší úroveň přístupu, než když se přihlásí z
počítače cizího nebo třeba z internetové kavárny, kde certifikát k dispozici
mít nebude. Také zařízení firem F5, NetScreen a Nokia nabízejí podobné
konfigurační možnosti.

Tvorba zpráv a záznamů
Od bezpečnostních zařízení, jako jsou SSL brány, očekáváme silné funkce pro
auditování, vytváření záznamů a zpráv. Chtěli jsme, aby byla auditována každá
změna konfigurace. Vyžadovali jsme údaje o připojení, které ukazují, kdy se
uživatelé přihlásili nebo odhlásili a jaké množství zdrojů spotřebovali. Stejně
tak jsme požadovali údaje o transakcích, každé webové stránce, která systémem
prošla, a evidenci sloužící přinejmenším pro odstraňování problémů a tvorbu
statistik.
Firma F5 naše očekávání předčila. Její brána byla dostatečně inteligentní na
to, aby uměla ukládat záznamy na jiném serveru pomocí FTP, SMTP nebo
zabezpečeného kopírování. Společnosti NetScreen, Nokia a Symantec také nabídly
přijatelnou úroveň záznamů a některá vylepšení. Nokia měla více než šest
subsystémů, u nichž bylo možno individuálně změnit úroveň záznamů nebo zvolit
uživatele a aplikace, u nichž je třeba vytvářet podrobnější záznamy za účelem
odstraňování problémů nebo třeba kvůli bližšímu dohledu nad systémem. To je
šikovná funkce pro firmy, kde může být nepraktické zapnout u produkčních
systémů vysokou úroveň logování pouze kvůli odhalení jednotlivého problému.
Získání souborů záznamů z SSL VPN brány je vždy poněkud obtížné. Zklamalo nás,
že žádný výrobce nenabízel evidenci RADIUS transakcí, přestože všichni tuto
technologii pro ověřování využívali. Některé systémy (např. NetScreen a
Symantec) chtěly ukládat záznamy pomocí syslogu. Bez pečlivého naplánování by
došlo k zahlcení běžného syslog serveru a smíchání chybových hlášení s
evidenčními údaji. Symantec nabízí dobré řešení: umožňuje zvolit různé syslog
hostitelské počítače pro různé služby. Správci sítě mohou dát přednost
jednoduchému získávání dat pomocí skriptu, tímto způsobem to řeší Nokia a
Whale. Přestože produkt firmy F5 v této oblasti exceloval, také Symantec si
vysloužil náš obdiv za grafické zpracování a úroveň zpráv, které ukazovaly
nejen údaje o přihlašování, ale také o vlastním výkonu systému. Tabulka, v níž
by se zobrazovalo více grafů současně, by byla šikovným doplňkem, nicméně
znalost zatížení procesoru, paměti a vstupu a výstupu je výborná pro každého
správce sítě, který se musí zabývat výkonností. Podobné grafy výkonu nabízí
firma Netilla. Zařízení firmy Whale nám způsobilo určité problémy, neboť jeho
informační nástroje nepracovaly správně v reálném čase. Dokonce i při mírné
zátěži během našich testů jsme zaznamenali vynechání zobrazení některých
událostí.

Který produkt zvolit
Je těžké najít favorita. Přestože jsme celkově nebyli nadšeni produkty firem
AEP, Netilla nebo Whale, každý z nich má své silné stránky. Whale nabízí
sofistikovaný aplikační firewall a Netilla má nejširší rozsah funkcí pro
překlad aplikací. Přesto tyto produkty působí spíše tak, že byly násilím
vklíněny do oblasti SSL VPN bran a jejich využití bude nejvhodnější v případě
specifických požadavků vzhledem ke konkrétním silným stránkám produktů.
F5 si zaslouží náš obdiv za snadno použitelné rozhraní. Jeho obzvláště slabou
stránkou je však kontrola přístupu, na jejímž vylepšení u dalších verzí výrobce
pracuje. Zařízení NetScreen, Nokia a Symantec ukazují, že jejich vývojáři se
vážně zamysleli nad problematickou SSL VPN bran od samotných základů, a tyto
produkty obsahují součásti, jež dokládají množství času věnovaného správnému
fungování a pochopení složitých problémů.

SSL VPN brány
NetScreen-SA 5000
Firmy NetScreen a Nokia jsou v čele rostoucí skupiny produktů, jejichž cílem je
zjednodušení bezpečného vzdáleného přístupu. V našich testech si nejvyšší
hodnocení vysloužila VPN SSL brána NetScreen-SA 5000, a to za vynikající
podporu aplikací, dobrý mechanismus kontroly přístupu a celkovou
interoperabilitu.

Jak jsme testovali
Testování SSL VPN se ukázalo být velmi složitým úkolem. Začali jsme vybudováním
testovací sítě složené z klientských systémů, SSL VPN zařízení a serverů, na
nichž běžely nejrůznější podnikové aplikace. Každé z SSL VPN zařízení bylo
využito při připojení klientských počítačů k serverům. Zde se objevily dva
problémy: jaké klienty a jaké servery použít. Provedli jsme proto analýzu logů
webového serveru za poslední měsíc a zjistili nejběžnější klienty. Jelikož
uživatelé SSL VPN nemusejí přistupovat k síti z firemních kontrolovaných
systémů, řídili jsme se obecným zastoupením internetových prohlížečů.
Analyzovali jsme zhruba 3 miliony unikátních návštěvníků, abychom zjistili,
které prohlížeče mají nejméně 1% zastoupení. Z analýzy vyvstalo pět prohlížečů:
Internet Explorer verzí 5 a 6, Netscape verzí 4.7 a 7 a prohlížeč Safari od
firmy Apple, které byly instalovány na různých verzích operačních systémů
Windows a Macintosh.
V rámci testovací infrastruktury jsme nainstalovali několik klientských Windows
systémů s operačním systémem Windows 2000, některé z nich s nejnovějšími
dostupnými opravami, jiné pouze se Service Packem 3. Na Windows běžely dvě
verze Internet Exploreru (verze 5 a aktualizovaná verze 6) a dvě verze Netscapu
(verze 4.7 a aktuální verze 7.1). Zapůjčili jsme si také Apple PowerBook G4 od
společnosti Apple a vyzkoušeli trojici prohlížečů pro Mac OS X (Internet
Explorer, Netscape a Safari). Na straně serveru jsme provozovali 20 typických
podnikových aplikací pro SSL VPN včetně jednoduchých webových aplikací v čistém
HTML, aplikací využívajících JavaScript, iNotes od IBM, Outlook Web Access od
Microsoftu, WhatsUp firmy Ipswitch, několik aplikací v Macromedia Flashi,
javové aplikace firmy Altio, Microsoft Terminal Services, Citrix Systems
MetaFrame XP, souborové servery Windows, NFS (Network File System) servery, FTP
servery, terminálovou emulaci pomocí telnetu a SSH, NetScreen Technologies
Global Pro Firewall management systém, a poštovní servery využívající
standardní POP, IMAP a SMTP protokoly. Přestože jsme chtěli vyzkoušet i několik
komplexnějších firemních aplikací, jako např. SAP, časová náročnost a náklady
na jejich instalaci byly nad možnosti našeho testovacího týmu.
Jako serverová platforma posloužil Windows 2000 Server, na němž běžel VMWare
GSX server s několika virtuálními stroji. Na každý z těchto různých strojů jsme
nainstalovali jednu aplikaci. Hostitelský počítač pro GSX server měl k
dispozici dva 2,4GHz procesory a 3 GB paměti, což pro účely našeho testu bohatě
dostačovalo, neboť jsme se nezajímali o výkon.
Na vnější síti, kde byly umístěny klientské počítače, jsme také nainstalovali
malý linuxový systém, který měl na starosti DNS a DHCP. Pro testy
interoperability jsme nastavili jednotlivá SSL VPN zařízení pro spojení
klientských a serverových sítí. Certifikáty jsme vytvořili pomocí vlastní
OpenSSL certifikační autority a nakonfigurovali obvyklé parametry pro úkoly,
jako je směrování, DNS či synchronizace času. Poté jsme vyzkoušeli u
jednotlivých zařízení přístup ke zmíněným aplikacím z jednotlivých klientů. U
každé SSL VPN brány jsme zjišťovali 140 údajů a hodnotili její interoperabilitu
a podporu aplikací.
Také jsme každé zařízení hodnotili s využitím 12 kritérií, která měli výrobci
předem k dispozici. Těmito kritérii se řídily naše testy a zbývající hodnocení
SSL VPN produktů.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.