SSL VPN zařízení typu appliance dospívají

Přístup obchodních partnerů a zaměstnanců na cestách k firemním serverům a podobným zdrojům byl doposud tradičně ...


Přístup obchodních partnerů a zaměstnanců na cestách k firemním serverům a
podobným zdrojům byl doposud tradičně řešen instalací VPN s podporou šifrování
IPsec. Pro komunikaci mezi jednotlivými pobočkami sice IPsec stále zůstává
jediným vhodným řešením, ale pro spojení mezi klientem a společností se v
současnosti stává stále méně oblíbenou volbou. Administrační režie spojená s
nasazením klientské části softwaru s podporou IPsec se vzhledem k neustále
rostoucímu počtu podporovaných klientů stává nezvládnutelnou. Rovněž existuje
možnost, že se neověřené zařízení dostane přes IPsec šifrované tunely do
firewallu a pak přímo do srdce sítě.

Zmíněné druhy problémů s IPsec jsou důvodem, proč se do hledáčku IT pracovníků
čím dál častěji dostávají VPN založené na protokolu SSL (SSL VPN). Při použití
SSL VPN není potřeba na klientský počítač instalovat žádný software, a ani jej
tedy následně udržovat. Nejen, že to snižuje objem administrátorské práce, ale
také to znamená, že vzdálení uživatelé nejsou omezeni na připojení z určitého
místa; lze tak použít jakékoli internetové stránky, pobočky partnerských firem,
zapůjčené laptopy apod.
Ještě důležitější je skutečnost, že při použití SSL VPN nevzniká žádný otevřený
tunel do sítě společnosti. Sítě SSL VPN uplatňují pravidla zabezpečení na
každém spojení, a tím umožňují přístup pouze ke zdrojům daným podle uživatele,
umístění a/nebo zařízení. A jako u každého správného bezpečnostního systému je
všechno zakázáno, dokud to administrátor nezmění.
Před rokem jsme v podobném přehledu v CW 15/2004 prozkoumali mechanismy SSL VPN
a vysvětlili, jak se tato zařízení typu appliance liší od svých bratranců s
podporou IPsec. Nyní naši američtí kolegové podrobili testu pět různých SSL VPN
appliances (z toho tři zařízení lze koupit v ČR), aby zjistili, jsou-li už
dostatečně vyspělé na to, aby mohly nahradit nasazení IPsec na podnikové úrovni.

Nacpané funkcemi
Vyspělost SSL VPN appliances mohutně narůstá s každým produktovým vývojovým
cyklem. Mnohá zařízení v tomto přehledu jsou ve své třetí generaci a dle našeho
názoru jde již po technologické stránce o plně vyspělé produkty. Mezi hlavními
vlastnostmi, které odlišují jednotlivá zařízení, se dotýkají způsobu, jakým
implementují bezpečnostní pravidla, jak nakládají se vzdálenými koncovými body
a jak srozumitelné je celkové používání pro koncového uživatele.
Jednou z oblastí, kde systémy SSL VPN opravdu vynikají, je jemnost nastavení
přístupových pravidel. Všechna zde testovaná řešení umožňují správcům
implementovat pravidla odvozená nejen od toho, kdo se přihlašuje, ale také
odkud se přihlašuje.
Navíc každá SSL appliance v tomto přehledu podporuje nějaký software pro
zabezpečení koncového bodu, přičemž jejich kvalita je různá. Software pro
koncový bod analyzuje klientské zařízení, určí úroveň důvěryhodnosti jeho
zabezpečení a použije přístupová práva založená na předdefinovaných "zónách
důvěryhodnosti". Například tento software může zjistit, že uživatelský notebook
má antivirový software a běží na něm osobní firewall, ale protože se s ním
snažíte připojit přes Wi-Fi někde z kavárny, systém mu povolí pouze
zprostředkovaný přístup namísto plného přístupu k síti přes tunel na vrstvě 3,
jako je tomu u IPsec. Momentálně neexistuje průmyslový standard pro řízení
bezpečnosti v koncovém bodě, ale společnosti jako Cisco nebo Microsoft už na
změně tohoto stavu pracují.
Kromě řízení přístupu nabízejí testovaná zařízení typu appliances další
bezpečnostní opatření. Všechny podporují prohlížeče pro "bezpečné surfování" po
webu, jako je Secure Desktop od firmy Sygate. Takoví klienti vytvářejí
virtuální sandboxy, ve kterých běží SSL relace. Pokud uživatel zavře
zabezpečený prohlížeč, jeho dočasné soubory a informace o relaci spadnou do
binární černé díry. Navíc většina výrobců SSL VPN zařízení dodává i software
pro čištění cache, jenž odstraní dočasné soubory, cookie a jiné informace o
relaci, a tak zahladí v prohlížeči po uživateli všechny stopy. Tato opatření
jsou velmi důležitá pro uživatele, kteří se připojují z veřejně dostupných PC,
ale nejsou tak efektivní jako používání bezpečného prohlížeče, poněvadž smazané
soubory lze často obnovovat.
Některé zázkazníky budou zajímat i jiné vlastnosti, jako například ty
zahrnující podporu VLAN a clusterování. VLAN umožňují oddělený provoz ve stejné
fyzické síti, což je vítaná funkce pro poskytovatele služeb nebo velké
společnosti. Clusterování dovoluje zařízením pro SSL VPN poskytovat tzv.
vysokou úroveň dostupnosti prostřednictvím automatického přepnutí při výpadku
(fail-over) a vyrovnáváním zátěže (load balancing), a lze tak rozšířit počet
souběžně pracujících uživatelů v zabezpečeném prostředí na tisíce. Vzhledem k
relativně stejnému výkonu námi testovaných produktů mohou tyto vlastnosti či
jiné speciální funkce být těmi, které nakonec u daného zákazníka nakloní
jazýček vah ve prospěch určitého produktu.

F5 Networks FirePass 4100
Mnoho funkcí zjištěných u systému FirePass 1000 firmy F5, jejž vloni testovali
naši američtí kolegové, je přeneseno do výkonnějšího zařízení FirePass 4100.
Verze 4100 také zahrnuje některé u systémů SSL VPN méně obvyklé funkce jako
filtrování obsahu a vyhledávání virů. Ty jsou přitom implementovány za použití
open source softwaru. FirePass dokáže dokonce ukončit IPsec tunel mezi dvěma
servery, přestože na ovládání komunikace IPsec mezi klientem a serverem není
vybaven.
FirePass nabízí standardní přístup na bázi portálu pro webové aplikace, k
aplikacím klient-server přistupuje prostřednictvím AppTunnels a konektoru na 3.
vrstvě zvaného jako Network Access. Umožňuje též tenkým klientům dostat se
prostřednictvím zvláštního spojovacího programu k čistě serverovým programům,
jako jsou Citrix MetaFrame, Microsoft Terminal Services, X Windows apod.
Zkoušeli jsme podporu Terminal Services proti jednomu z našich serverů s
nainstalovaným OS Windows 2000 Server a překvapilo nás, jak byl rychlý a jak
hladce fungoval. Tunely na 3. vrstvě nástroje FirePass 4100 umožňují jak plné,
tak rozdělené tunelování, zařízení také disponuje zabudovanou podporou VLAN.
Jednou z pozoruhodných funkcí zařízení FirePass 4100 je Desktop Access aplikace
určená pro vzdálený přístup do Windows. Ta běží prostřednictvím javovského
apletu nebo ActiveX ve webovém prohlížeči a může být v kterémkoli z těchto
provedení na požádání do vzdáleného klienta přidána.
FirePass nabízí až příliš mnoho přihlašovacích možností. Každá představitelná
věc, jež by zaznamenána mohla být, zaznamenána je a přidána je i podpora SNMP a
Syslogu. Dále jsou zabudovány grafické sumarizační nástroje, které usnadňují
okamžité monitorování. Autentizační služby ve FirePass 4100 zahrnují LDAP,
RADIUS, Active Directory, Vasco DigiPass, základní HTTP autentizaci, klientské
certifikáty a lokální databázi. Každé autorizační schéma je přitom přiřazeno
určité skupině zdrojů. Ve výchozím nastavení je pro Windows zdroje povolen
systém jediného přihlášení (SSO, single sign-on), který v našich testech
pracoval dobře ve všech případech.
Obzvlášť silná je u ve FirePass 4100 podpora clusterování. Spojením 10 nodů
dokáže systém obsloužit až 10 000 souběžných uživatelů, přičemž standardně je k
dispozici clusterování typu Active-Active i Active-Standby.
Administrační rozhraní FirePassu trpí přemírou hyperlinků, ale po nějakém čase
stráveném slíděním v myriádách voleb jsme si na jeho rozvržení zvykli. Nakonec
se dokonce ukázalo, že je dobře ovladatelné. Naleznete zde i několik zajímavých
funkčností. Například, aby se FirePass obešel zaznamenávače stisků kláves,
nabízí pro vkládání uživatelská jména i hesla virtuální grafickou klávesnici.
V jedné oblasti by FirePass potřeboval vylepšit v řízení bezpečnosti koncového
bodu. Na rozdíl od ostatních testovaných zařízení se FirePass namísto
spolupráce s jinou firmou spoléhá na svůj vlastní software. I když v něm
obsažená nabídka poskytuje možnost mazání cache a virtuální pracovní plochu
zvanou Protected Workspace, není tak výkonná jako engine On-Demand firmy
Sygate. Na druhou stranu však umí kontrolovat běžící procesy, záznamy v
registrech, service packy operačního systému a Internet Exploreru a přítomnost
antivirového nástroje McAfee VirusScan.

Juniper Networks NetScreen-SA 5000
Zařízení s označením NetScreen-SA 5000 vychází z produktu firmy Neoteris
(konkrétně jde o produkt Access Series SSL), kterou koupila firma Juniper. V
případě modelu SA 5000 již ale jde o nový a vylepšený hardware s vyspělejším
bezpečnostním mechanismem. Současná verze programu 4.2 však stále ještě trpí
poněkud nepohodlným grafickým rozhraním, ale celkově se toto řešení v našich
testech osvědčilo svou přizpůsobivostí a bezpečností. (Výrobce slibuje, že ve
verzi 5, která je těsně před uvolněním, je právě GUI výrazně vylepšeno.)
Vzdálení uživatelé se mohou autentizovat vůči Active Directory, LDAP, RADIUS,
NIS, RSA, dále pomocí digitálního certifikátu nebo přes lokální databázi a
každá ověřovací sféra (realm) může využívat několik autentizačních serverů.
Pomocí uživatelských rolí jsou pak přihlášení uživatelé rozděleni do
konkrétních skupin. Tyto skupiny definují, jaká forma vzdáleného přístupu byla
uživateli přiznána, spolu s dalšími podrobnostmi pracovní relace, jako je
největší povolená doba nečinnosti před automatickým odhlášením nebo zachováním
relace. Správce může například vytvořit roli zahrnující přístup na web, sdílení
souborů pod Windows a přístup ke službě Terminal Service a vedle něj jinou, jež
umožňuje pouze přístup na web.
NetScreen-SA 5000 poskytuje všechny standardní metody vzdáleného přístupu, a to
včetně přístupu na web, přístupu pro klient-server aplikace a přes 3. vrstvu.
Co se týká webových aplikací, je jemnost, se kterou může administrátor
definovat pravidla přístupu, jednoduše úžasná (s nastavováním řízení jakéhokoli
druhu funkcí od pravidel použití cache pro přepisování HTML až po komprimaci).
Přes všechnu tuto pochopitelnou složitost bylo definování webových pravidel
relativně jednoduché. Přístup k Windows přes webové rozhraní, prohlížení
Windows a unixových souborů a podpora SSH/telnetu jsou rovněž k dipozici.
Klient-server aplikace jsou směrovány přes Security Access Manager (SAM),
program, jenž je k dispozici pro Windows nebo Javu. SAM lze přitom nastavit
tak, aby se dle role přidělené uživateli spustil automaticky.
O tunelování na 3. vrstvě se stará Network Connect, software fungující jen pod
Windows, jenž na vzdálené PC nainstaluje virtuální adaptér. V již zmíněné verzi
5 přibude dle informací od výrobce i podpora Linuxu a Mac OS. Administrátoři
mohou klientům podsystému Network Connect přiřadit IP adresy ze soukromého DHCP
poolu. K mání je plné i rozdělené tunelování, jinými slovy lze určit, který
provoz půjde přes NC a který do lokální sítě, stejně jako uživatelské nastavení
DNS. Správci pro tunely nemají k dispozici tak jemně odstupňované řízení
přístupu, jako je tomu u ostatních služeb, ale to, co dostanou, je rozhodně
kvalitnější než to, co je k dispozici u IPsec. Mechanismus SA-500 pro
zabezpečení koncových bodů se nazývá JEDI (Junniper Endpoint Defense
Initiative) a spolupracuje s klientským softwarem společností InfoExpress,
McAfee, Sygate, Symantec, Zone Labs atd. Jediným omezením je, že JEDI běží
pouze pod Windows. Jeho součástí je i Host Checker, který dokáže ověřit
jednotlivé soubory, jejich stáří, MD5 podpis, dále dokáže zkontrolovat běžící
procesy i nastavení registry. Cache Cleaner pak umí odstranit veškeré dočasné
soubory vzniklé během spojení.
Administrátorské rozhraní vypadá na první pohled těžkopádně i kvůli obrovskému
množství možností a funkcí. Ve skutečnosti vás ale odkazy zohledňující kontext
rychle dovedou k odpovídající funkci. Protokolování (logging) a podávání zpráv
(reporting) je u tohoto řešení prvotřídní, a to včetně okamžitě a přehledně
zobrazovaných grafů vytížení.
Za zmínku stojí ještě podpora clusteringu a zařízení se dodává i v "provedení"
FIPS.

Nokia Secure Access System 3.0
Secure Access System společnosti Nokia (dále jen NSAS) vám poskytne vše, co
budete pro vzdálený zabezpečený přístup potřebovat, přičemž se nemusíte
zatěžovat jeho administračním uživatelským rozhraní. To podporuje webový
portál, sdílení souborů, dále zahrnuje podporu klient-server aplikací a
tunelování na 3. vrstvě. Přístup k webovým aplikacím je prvotřídní a snadno se
nastavuje i udržuje. Na rozdíl od ostatních testovaných zařízení přitom můžete
webové zdroje do portálu NSAS přidat pouhými několika klepnutími myši.
Dalším postatným rozdílem u Nokia Secure Access System je to, že autentizační
schémata definuje globálně a nedovoluje použití více virtuálních stránek,
přestože tato appliance více autentizačních schémat podporuje. Vzdálení
uživatelé se mohou autentizovat vůči LDAP, Active Directory, NTLM (NT LAN
Manager), RADIUS serveru, pomocí PKI certifikátů nebo lokální databáze
uživatelů. Pro vysokou úroveň dostupnosti může NSAS bez rozšíření jiným
hardwarem vytvořit cluster dvou serverů.
NSAS podporuje klient-server aplikace prostřednictvím pomocného programu v
Javě, ale celkové uživatelské rozhraní by dle našeho názoru potřebovalo značně
vylepšit. Abychom zjistili, na jakou adresu v místní smyčce (local loopback) se
má napojit, musí to uživatel zjistit na portálu, a to pro každý kontrétní
klientský program zvlášť. Všechna ostatní recenzovaná zařízení odvádějí v
oblasti skrývání toho procesu před koncovým uživatelem mnohem lepší práci.
Secure Connector technologie Nokie nahrazující IPsec je součástí zařízení a
podporuje plné i rozdělené tunelování. Secure Connector dovoluje
administrátorovi pro vzdálené uživatele vytvořit rezervu soukromých IP adres
tak, jak tomu je u Juniper NetScreen-SA 5000. NSAS pro vzdálené ovládání při
tunelování používá sadu povolovacích/zakazovacích pravidel, podobně jako u
firewallů. Správce může přitom definovat úseky adres, porty a protokoly pro
přístup k určitým zdrojům, a dokonce může odepřít přístup klientům, kteří
nesplňují požadavky antivirové ochrany. Secure Connector podporuje pouze
klienty Windows, přičemž ti ještě potřebují Internet Explorer.
Secure Workspace představuje virtuální sandbox, ale k dispozici je pouze pro
Windows a Internet Explorer. Stejně jako Secure Desktop firmy Sygate vymaže
také Secure Workspace všechny dočasné soubory, odstraní historii v prohlížeči a
zlikviduje všechny informace o relaci. Pohyblivá nástrojová lišta vám také
umožňuje přepínat mezi místní a zabezpečenou pracovní plochou.
Nokia Client Integrity Scan dále kontroluje vzdálený počítač PC, aby posoudilo
jeho stav před autentizací nebo po ní. Administrátoři nastavují vyhodnocování
pro tyto účely navrženým skriptovacím jazykem, což jim přináší značnou výhodu.
Mohou si vytvořit skripty podle svých konkrétních potřeb, je to ale dost časově
náročné.
Administrační uživatelské rozhraní NSAS se docela dobře ovladá, ale množství
protokolovacích a monitorovacích informací je podobně jako u zařízení FirePass
4100 téměř nezvládnutelné. Naštěstí je zde možnost použití filtrů, které
pomáhají vše udržet na zvládnutelné úrovni.
NSAS nenabízí žádnou podporu pro programy jiných firem, které by mohly
kontrolovat hosta (jako například od firem Sygate nebo WholeSecurity). Aby bylo
možno NSAS snáze integrovat do existujících klientských zabezpečených
infrastruktur, je nutné do něj tuto podporu implementovat a poskytnout
administrátorům bohatší správu na klientské straně, má-li se Nokia udržet v
konkurenci ostatních zařízení na trhu.

Připraveni k přechodu?
Popravdě řečeno, "vytrhávat" teď ze všech svých systémů existující instalace
IPsec a okamžitě je nahrazovat SSL technologií smysl moc nedává. V úvahu spíše
připadá postupný přechod z jedné platformy na druhou, přičemž IPsec a SSL mohou
po nějakou dobu existovat souběžně a vzájemně se doplňovat.
Migrace na SSL je dokonce ospraveditelná i u společností, které již do IPsec
investovaly mnoho prostředků. Náklady na podporu na jednoho klienta jsou u
IPsec totiž o tolik vyšší, že následné úspory vyváží cenu nového hardwaru.
Rovněž se dá říct, že z dlouhodobého hlediska je správa SSL VPN mnohem
jednodušší, protože vše je umístěno centrálně. Jakékoli úpravy pravidel nebo
změny apletů jsou přitom automaticky instalovány na stranu klienta už během
jeho dalšího připojení.
A co víc, systémy SSL VPN nabízejí lepší zabezpečení než nástroje IPsec.
Všechna spojení přes SSL VPN dokonce i spojení na 3.vrstvě po způsobu IPsec
mají přiřazena pravidla řízení přístupu. To umožňuje administrátorům povolit
přístup pouze k určitým zdrojům namísto otvírání celé sítě, jako je tomu u
IPsec. Každé zde recenzované zařízení SSL VPN typu appliances poskytuje
podivuhodný rozsah funkcí, které z nich činí důstojné konkurenty kteréhokoli
protějšku podporujícího technologii IPsec. Nejvyššího hodnocení dosáhl
NetScreen-SA 5000 od společnosti Juniper, a přestože není úplně dokonalý,
prošel každým naším testem jako nůž máslem a vždy skvěle vyhověl kladeným
požadavkům. Ale i tak žádný z jeho konkurentů v tomto srovnání není špatnou
volbou, přičemž nejvíce mu šlapalo na paty zařízení společnosti F5 Networks.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.