VPN: vzdálený přístup bez kompromisů (2)

Přes technická omezení uvedená výše stále více společností směřuje k vývoji specializovaného SSL klienta s plným síťovým přístupem který umožňuje flexibilní přístup do známého prostředí.


Pokračování 1. dílu

---Tento článek vyšel v tištěném SecurityWorldu 4/2008


Kombinované řešení: L2TP

Z mnoha důvodů je Layer 2 Tunneling Protocol (L2TP) kompromisním řešením, jenž kombinuje typické vlastnosti PPTP, jako je jednoduchá implementace a snadné použití, s nejvyššími bezpečnostními standardy, které jsou typické pro IPSec. Z toho důvodu existuje mnoho variant - od L2TP/IPSec-Transport a L2TP-over-IPSec po L2TP/IPSec.

Historicky je návrh protokolu odvozen od PPTP a Layer 2 Forwarding (L2F) který byl vyvinutý firmami Cisco Systems a Nortel. Technicky je založen na protokolu Point-to-Point Protocol (PPP) jenž používají telekomunikační operátoři a ISP pro vytvoření spojení mezi dvěma koncovými body, například pro zpřístupnění internetu přes modem nebo přes ISDN.

PPP protokol byly původně vyvinutý pro přenos dat protokoly jako IP, IPX, a NetBEUI. Jak název napovídá, L2TP protokol pracuje na druhé vrstvě OSI modelu - na této úrovni vytvoří komunikační tunel pro datový přenos protokoly PPTP nebo IPSec.

Jinak řečeno běží na síťové úrovni, třebaže podle definice patří do aplikační, nejvyšší vrstvy OSI modelu. L2TP má dvě výhody: Zaprvé umožňuje vytvořit několik spojení přes takzvaný přístupový koncentrátor - Access Concentrator (LAC)-, což znamená, že několik uživatelů se může připojit pomocí jednoho přístupového bodu. L2TP pak buď vytvoří přímé spojení na cílový server nebo přenese požadavek přes LAC podle příslušných požadavků.

Zadruhé L2TP pracuje společně s Network Address Translation (NAT). Tím je zajištěno spojení na cílový systém dokonce i přes routery nebo firewally. Toto kombinace funkcí předurčuje L2TP protokol pro řešení vzdáleného přístupu.

Hlavní nevýhoda L2TP je v jeho původním návrhu, který spočíval ve nepříliš dobrém způsobu šifrování datových paketů a různorodých autorizačních metod (PAP, CHAP, MS-CHAPv2, EAP). Tyto nedostatky byly na konci 90. let hlavním důvodem, aby Microsoft hledal jinou alternativu než stávající PPTP. Vývojový tým se rozhodl přidat potřebné funkce z IPSec protokolu, výsledkem byl L2TP/IPSec – varianta protokolu kombinující původní robustní návrh a směrovací schopnosti s rozšířenými bezpečnostními funkcemi.

Od uvedení Windows 2000 je L2TP klient trvalou součástí operačního systému Windows. V současné době je 90 % všech počítačů vybaveno klientem L2TP/IPSec. Na první pohled se tento protokol zdá být řešením pro mnoho problémů spojených s vytvořením bezpečného VPN spojení, ale L2TP má daleko k dokonalosti: stejně jako IPSec byl nutný komplexní implementační proces, který byl nezbytný pro správnou konfiguraci LAC a LNS.


Vzdálený přístup

Doposud představené protokoly mají jedno společné: spojení na cílový počítač nebo síť je vytvořeno klientským softwarem. Ten vyžaduje pravidelnou údržbu například při změně nastavení firewallu, routeru a operačního systému. Bez nastavení se nemohou zaměstnanci připojit na firemní síť nebo připojit na internet.

Dále existuje problém s různými operačními systémy jako je Linux/Unix a Mac OS X, takže některé důležité vlastnosti Windows VPN klientů je nutné nejprve implementovat i na těchto platformách. Především organizace s velkým množstvím mobilních pracovníků nebo zaměstnanci pracující z domácí kanceláře mohou mít problémy, pokud ti přistupují často k interním síťovým zdrojům.

Všichni hledají řešení pro vzdálený přístup, které se kdykoli a kdekoli snadno implementuje bez ohledu na používaný operační systém, s požadavkem na minimální paměťové nároky. Výsledkem je existující technologie bez klientského softwaru a SSL se zdá být zaklínadlem.


Od SSL k SSL VPN

SSL je jednou ze základních technologií internetu. Každé spojení https vytváří dvě aplikace – internetový prohlížeč s cílovým webovým serverem a šifrované datové spojení. SSL protokol vyžaduje silnou autorizaci mezi příslušným serverem a browserem, přičemž využívá důvěryhodné algoritmy jako RC4, DES, RSA a AES, přičemž pro šifrování a kontrolu integrity přenášených dat používá nejčastěji klíč dlouhý 128 bitů. Příležitostně je stále ještě možné použít klíče 40 a 56 bitů dlouhé, ale spojení s těmito klíči jsou nedůvěryhodné a neměly by být proto používány. Všechny procesy spojené s vytvořením spojení jsou víceméně skryté; uživatel musí pouze přijmout nebo odmítnout potenciálně nebezpečný certifikát.

SSL je nedílnou součástí již každého webové prohlížeče, což je největší výhoda protokolu, a to včetně řešení TLS (Transport Layer Security) dle definice v RFC 2246 a 4346, které je standardní součástí webových browserů od roku 1994/1995.

Pro vzdálený přístup k chráněným serverům, datům a aplikacím není nezbytný žádný další klientský software, který na prvním místě plní předpoklad snadného a účinného vzdáleného přístupového řešení. Obecně řečeno, SSL výhradně používá TCP port 443, což značně zjednodušuje konfiguraci firewallu.

Pokud jsou uživatelé autorizováni správně, měli by vždy získat potřebný síťový přístup. V neposlední řadě může být konfigurace sítě automaticky aktualizována, změny konfigurace VPN, DNS a WINS serverů nemusí být prováděny ručně.


Omezení SSL VPN

Existuje několik omezení pro SSL VPN, která byla odborníky před více než třemi až čtyřmi roky intenzivně diskutována. Umožňuje SSL opravdu vytvořit „reálnou“ VPN síť ? Diskuse započala, když několik společností příliš lpělo na představě představit SSL VPN jako plnohodnotnou alternativu pro existující řešení založená na protokolu IPSec.

Hlavním protiargumentem byl fakt, že SSL nepracuje na síťové, ale na aplikační úrovni. Což je stejná situace jako v případě PPTP a L2TP. Omezení vyplývající z doporučení a technologického návrhu jsou však daleko důležitější než akademická diskuze. Přirozeně, bezpečnostní aspekty jsou vždy v popředí. Skutečné SSL umožňuje vytvořit vzdálený přístup do firemní sítě z prakticky každého místa, ale to také zahrnuje potenciálně nebezpečné prostředí jako je internetová kavárna a Wi-Fi hotspot. V tomto prostředí nemá žádný administrátor plnou kontrolu nad bezpečností spojení, které může být vystavené útokům.

Další omezení souvisí s tím, že je možné používat pouze aplikace na bázi webového přístupu nebo založené na internetovém prohlížeči. Každý jiný scénář vyžaduje poměrně komplexní rozšíření například spuštěné na VPN bráně a překládající program do webové aplikace. Stinnou stránkou tohoto „překladového procesu“ je omezené použití, nižší výkon a nedostatečné technické parametry i rostoucí požadavky na výkon procesoru.

Další alternativou může být port forwarding, například applet na klientské straně, který řídí přenos dat přes SSL spojení. Nicméně v tom případě musí mít klient administrativní práva, jež musejí být aplikována manuálně, což by v nejhorším případě mohlo mít za následek snížení bezpečnosti.

Třetí alternativou je instalace agenta ActiveX - webový prohlížeč pak přenáší všechny data na příslušnou SSL bránu, čímž vytvoří efektivní rozhraní pro skutečný síťový přístup – třebaže omezený na počítače s Windows a Internet Explorerem. Hackeři však využívají ActiveX pro tzv. přístup backdoorem, takže tato technologie není považována za bezpečnou.


Zpět k softwarovému klientovi

Přes technická omezení uvedená výše stále více společností směřuje k vývoji specializovaného SSL klienta s plným síťovým přístupem který umožňuje flexibilní přístup do známého prostředí. Všeobecně vzato, SSL VPN řešení založené na klientském software nabízí plnohodnotnou alternativu k tradičnímu řešení vzdáleného přístupu. Faktory jako je nezávislost na platformě a plně transparentní přístup k datům a aplikacím vyrovnávají dodatečné požadavky na instalaci SSL VPN klienta.


 











Komentáře