VPN od firem Check Point a Nortel se v podnicích osvědčují

Pro mnohé společnosti bylo dříve nasazení IPsec klienta jedinou možností, jak seriózním obchodním partnerům zajisti...


Pro mnohé společnosti bylo dříve nasazení IPsec klienta jedinou možností, jak
seriózním obchodním partnerům zajistit potřebnou bezpečnost přístupu. V
současné době ale rychle se rozvíjející technologie SSL VPN nahrazuje
těžkopádné implementace IPsec.

Technologie SSL VPN poskytují snadný a na klientech nezávislý přístup k
firemním zdrojům a nevyžadují na každém vzdáleném počítači přístup tzv.
tlustého klienta. Vzdálení uživatelé se připojují pomocí webového prohlížeče a
mají k dispozici řízený přístup k webovým aplikacím, sdíleným souborům a
podobně.
V následujícím textu vám představíme dvě brány typu SSL VPN od tradičních
výrobců bezpečnostních řešení produkt Connectra 2.0 od firmy Check Point
Software Technologies a VPN Gateway 3050 od firmy Nortel Networks. Oba systémy
si dobře poradily s požadavky odpovídajícími podnikovému nasazení vzdáleného
přístupu, ale každý z nich měl svou malou, nicméně patrnou vadu na kráse.

Check Point Connectra 2.0
Connectra od firmy Check Point brána pro zabezpečení webu (Web Security
Gateway) se dá jednoduše začlenit do vaší současné síťové infrastruktury,
zejména pokud už produkty od tohoto výrobce vlastníte. Connectra 2.0 vám
poskytne přístup k webovým i TCP/IP aplikacím, dále aplikační firewall a systém
pro detekci škodlivých programů a nabídne lepší integraci pomocí řídicí
platformy Check Point SmartCenter. V rámci TCP/UDP (User Datagram Protocol)
však postrádá službu přesměrování portů (port forwarding), kterou disponují
konkurenční SSL VPN brány; dokáže to však obejít pomocí tunelu na třetí vrstvě.
Zařízení se nám podařilo nainstalovat bez potíží. Operační systém rozpoznal
hardware a sám se za necelou hodinku nainstaloval. Do systému Connectra jsme se
následně přihlásili pomocí prohlížeče Internet Explorer 6 (IE je jediný
podporovaný prohlížeč pro správu) a definovali autentizační servery a chráněné
zdroje.
Nabídka autentizačních zdrojů není u Connectry tak široká jako u jiných výrobců
SSL VPN zařízení, nicméně pro většinu situací budou LDAP, Active Directory přes
LDAP, RADIUS, lokální databáze a digitální certifikáty postačovat. V rámci
našeho testu jsme pro své uživatele vytvořili spojení s Active Directory, což
se neobešlo bez námahy. Ověřte si proto, zda znáte své kompletní LDAP
přihlašovací údaje.
Poté jsme pomocí Network Extenderu (služba 3. vrstvy) nadefinovali odkazy na
web a na zdroje souborů a také přístup k TCP/IP aplikacím. Network Extender
dovoluje granulární řízení provozu přes obousměrný TCP a UDP tunel 3. vrstvy.
Bohužel je služba dostupná jen pro uživatele používající prohlížeč Internet
Explorer.
Specifikace webových zdrojů a sdílení SMB souborů byly jednoduché. Ovšem
přístup ke sdíleným souborům vyžaduje Microsoft WebDAV, jenž vám poskytne
vzhled prohlížeče Windows a pocit jako při práci v něm. Opět jste ale omezeni
na jeden prohlížeč IE.
Produkt Connectra má jedinečnou funkci, která administrátorům umožňuje pro
vzdálené uživatele vytvářet poštovní služby. Podobně jako společnost Nortel u
produktu VPN Gateway 3050 i firma Check Point zařadila do OWA (Outlook Web
Access) šablony a standardy SMTP, POP3 a IMAP pro rychlé a snadné definování
zdrojů. Vytvořit odkazy na naše OWA servery nám přitom vůbec nečinilo potíže.
Produkt Connectra je výrazně zaměřen na bezpečnost sítí a koncových bodů a dává
k dispozici služby, které firmu chrání na úrovni sítí i aplikací. Produkt
představuje zlepšení zabezpečení na úrovni aplikací, protože za provozu
vyhledává známé červy a také prověřuje veškerý http provoz prostřednictvím
vlastní služby Web Intelligence. K tomu ještě administrátorům dovoluje vynutit
si určitou legalizaci http provozu jako odepření nebezpečných HTTP metod, ovšem
seznam dostupných voleb je nezřetelný a neumožňuje kombinování pravidel.
Přesto na nás v produktu Connectra učinila dojem zabudovaná ochrana aplikací. I
když je implementována na základní úrovni, mohou administrátoři volit prevenci
proti XXS (cross-site scriptingu), útokům SQL a "vstříknutí" příkazu (command
injection) a průnikům do adresářů (directory traversal). Tato ochrana není
taková, jakou poskytuje například aplikační firewall SecureSphere firmy
Impreva, ale rozhodně jde o krok správným směrem.
Celkově vzato je zabezpečení koncových bodů vyřešeno dobře, jakož i a správa
kontroly konfigurace klientů, předcházení zanecháváním firemních dokumentů v
cache browseru a stavu personálního firewallu. Pomocí Integrity Client less
Security (od firmy Check Point) může Connectra dále prověřovat rizika u
vzdálených počítačů, například škodlivé programy, ale jak tušíte, tato funkce
bude dostupná jen uživatelům IE.
Connectra 2.0 zasluhuje uznání, zejména ve srovnání s ostatními firemními
řešeními pro vzdálený přístup. Obsahuje všechny klíčové funkce a nabízí solidní
zabezpečení koncových bodů. Nelíbilo se nám však, že je příliš závislé na
Internet Exploreru. Rádi bychom měli také lepší kontrolu nad některými
bezpečnostními funkcemi, ale celkově se jedná o stabilní a schopný systém.

Nortel VPN Gateway 3050
Systém VPN Gateway 3050 od firmy Nortel se dobře škáluje a má vysoce
konfigurovatelné SSL parametry. Poskytuje veškeré služby technologie VPN SSL,
které bychom od brány tohoto typu očekávali, a vyniká nad produkty ostatních
dodavatelů tím, že zahrnuje i podporu IPsec VPN clientů. Zabezpečení koncových
bodů zajišťuje TunnelGuard prostřednictvím Java apletu, který si můžete na
vyžádání stáhnout.
VPN Gateway 3050 jsme testovali umístěním do testovací lokální sítě LAN, ze
které jsme předtím odstranili šest jiných zařízení SSL VPN (tento test jsme vám
představili v Computerworldu 16/2005). Po nastavení IP adresace naší sítě LAN
prostřednictvím lokálního sériového připojení jsme se přihlásili k zařízení
pomocí Firefoxu a dokončili konfiguraci administračním uživatelským rozhraním.
To nám přišlo dobře organizované.
V lokální uživatelské databázi jsme vytvořili pár testovacích uživatelských
účtů a přidali Active Directory jako zdroj autentizace uživatelů. VPN Gateway
3050 podporuje RADIUS, NTLM (NT LAN Manager), SiteMinder, LDAP a Active
Directory přes LDAP, však když jsme chtěli vytvořit spojení s Active Directory,
tak Stejně jako u Connectry jsme museli vypátrat syntaxi LDAP a provést zadání
manuálně, což nás trošku vyvedlo z míry. Ale jediný Nortel požaduje výpis
skupiny Active Directory a přehledu uživatelských atributů.
Jakmile to bylo hotovo, fungovala autentizace LDAP/Active Directory skvěle, a
dokonce se bylo možné dostat k tzv. mrtvým uživatelským účtům v Active
Directory a opravit je. Stejně jako u ostatních SSL VPN bran si může
administrátor i zde připravit různé autentizační služby s předem danou
prioritou pro flexibilní přihlašování uživatelů. Uživatel je tak například
nejprve autentizován vzhledem k lokální databázi uživatelů a poté, pokud v ní
nebude nalezen, pomocí další autentizační procedury např. vůči RADIUS serveru.
VPN Gateway 3050 poskytuje výbornou flexibilitu v poskytování vzdáleného
přístupu. Poskytovatelé služeb mohou bránu 3050 virtuálně rozdělit do mnoha
různých částí, z nichž každá může obsahovat vlastní autentizační schéma a
definice zdrojů. Zařízení Nortelu nabízí podobně jako Firepass od F5 podporu
sítí VLAN, a jakmile se rozdělí do clusterů, dá se dobře škálovat.
Stejně jako Connectra má i brána 3050 solidní, na prohlížeči založenou podporu,
ale prostřednictvím Java apletu (dá se podle potřeby stáhnout) může zacházet i
s aplikacemi TCP a UDP. Zařízení obsahuje předem připravené definice pro
Citrix, Telnet a SSH a také počítá s nativním spojením Outlooku (tlustý klient)
přes Internet. Nortel poskytuje RPC přes SSL bez potřeby jakýchkoliv změn na
vašem Exchange Serveru, což se spíše podobá nové službě RPC přes http, kterou
disponuje Exchange 2003.
Netdirect je úplný, na Active X založený tunel, určený pro ty, kteří potřebují
propojení na 3. vrstvě. Přestože je omezen na platformu Windows, umožňuje plný
obousměrný provoz TCP/IP a podporuje dělené i plné tunelování (split and full
tunneling).
VPN Gateway 3050 (na rozdíl od Connectry) administrátorům poskytuje obrovské
množství kontroly nad SSL implementací a http specifických nastavení, což
umožňuje granulární kontrolu nad položkami, jako je přepisování hlaviček SSL,
tzv. secure cookies a "cachování" obrazů, skriptů, dokumentů a ICA (Independent
Computing Architecture).
Řízení a správa koncových bodů se provádějí pomocí služby TunnelGuard. Jde o
javovskou utilitu, která kontroluje vzdálené stanice, avšak až poté, co se
uživatel autentizuje. Ta pak prověří jakýkoliv obsah disku i běžící proces a
provede digitální certifikaci souborů. I když je TunnelGuard komplexní, zdálo
se nám, že jeho správa je moc komplikovaná.
VPN Gateway 3050 je skvělý všestranný hráč, na kterém je pouze nutné odvést
malou práci na zlepšení zabezpečení koncových bodů. Nelíbilo se nám ale, že pro
svůj těžkopádný start potřebuje Internet Explorer, avšak tyto potíže kompenzuje
řízení SSL a podpora IPsec klienta.
Connectra se hodí tam, kde se prodávají hlavně produkty Check Pointu. Silná
integrace tohoto systému s produkty SmartCenter je výhodou. Produkt 3050 od
Nortelu je dobře škálovatelný a poskytuje individuální bezpečnost. Bude skvělou
volbou pro podniky, které už mají řadu instalací IPsec a chtějí elegantně
přejít na SSL. Oba systémy jsou příliš závislé na IE, ale celkově vzato oba
poskytují cenné bezpečnostní funkce.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.