Nejlepší mobilní VPN pro podniky

21. 9. 2019

Sdílet

 Autor: © Fenton - Fotolia.com
Jsou cloudové mobilní VPN (virtuální privátní sítě) vhodné i pro podniky? Mnoho firem odpovídá „ano“, ale při výběru mobilní VPN a jejího způsobu využívání je nutná opatrnost a pečlivost. Ukážeme vám, na co si dát pozor.

Virtuální privátní sítě (VPN) jsou nezbytnou ochranou ve světě internetu, který je ze své podstaty plný nebezpečí. Sítě VPN podnikové třídy jsou zde již dlouho a existuje mnoho dodavatelů, ze kterých si můžete vybrat.

Většina z nich vyžaduje specializované centrální zařízení (např. applianci, gateway, firewall, koncentrátor nebo server), ke kterým se všichni uživatelé VPN připojují.

Nyní však rostoucí nová třída dodavatelů VPN, zejména v oblasti malých firem a mobility, využívá sílu cloudu ke škálování svých decentralizovaných nabídek. Některé jsou dokonce zcela zdarma.

Mohla by být některá z těchto nových nabídek součástí vaší mobilní VPN strategie? V závislosti na vašich požadavcích může být odpověď ano.

 

Fungování mobilní VPN

Mobilní VPN umožňuje zařízením, jako jsou notebooky, smartphony a tablety, které používají zaměstnanci, využívat přístup šifrovaným ověřeným tunelem do podnikové sítě z libovolného místa.

VPN vyžaduje zařízení, jako je server, ke kterému se uživatelé mohou připojit, ačkoli u mobilní sítě VPN může být tento server součástí cloudové služby.

Tradiční VPN používají k zajištění stability IP adresu uživatele. Mobilní VPN se mohou přizpůsobit měnícím se adresám IP, když se uživatelé přesouvají a připojují z různých míst, řekněme například z hotelových sítí LAN a přístupových bodů Wi-Fi.

Je tomu tak proto, že mobilní VPN jsou vázané na logické adresy IP, zatímco tradiční sítě VPN vyžadují pevnou adresu. Logická adresa IP je svázaná se zařízením.

Společnost P&S Market Research vydala v roce 2017 zprávu, která předpokládá, že celosvětový trh s mobilními VPN poroste ročně o 21 procent a do roku 2022 dosáhne hodnoty 2,4 miliardy dolarů.

Sedm současných hlavních dodavatelů mobilních VPN pro podniky (Cisco, Columbiatech, IBM, Netmotion, Radio IP, Smith Micro a Techstep) bude čelit jako nikdy v minulosti nové a inovační konkurenci.

Noví hráči pravděpodobně nezvládnou ve většině firem kompletně nahradit dodavatele mobilních VPN podnikové třídy z různých důvodů včetně následujících vlastností VPN podnikové třídy:

  • Škálovatelnost umožňující obsloužit několik desítek až stovek tisíc souběžných připojení
  • Podpora více typů autentizace včetně vícefaktorové a podpora digitálních certifikátů
  • Zásady podmíněného přístupu
  • Podrobná konfigurace
  • Konzole a nástroje pro podnikovou správu
  • Integrace s dalším softwarem a zařízeními (např. UTM – jednotná správa hrozeb, přístupové body a firewally)
  • Hardwarová podpora šifrování pro lepší výkon
  • Prokazatelné spolehlivé výsledky

Když většina mobilních zařízení nabízí vestavěnou podporu VPN a mnoho nových konkurentů přichází s funkcemi, které se často v podnikových mobilních sítích VPN nenabízejí, začínají správci mobilních bezpečnostních systémů používat kombinaci systémů tradičních a nových, někdy dokonce i zdánlivě exotických řešení.

 

Rostoucí hodnota anonymity

Některá z méně známých řešení jsou jednoduše méně oblíbená a nabízejí stejné tradiční funkce, někdy i zdarma výměnou za sledování reklam.

Mnoho dalších, jako třeba NordVPN nebo HideMyAss!, slibuje vlastnosti, které tradiční sítě VPN prostě nemají, například lepší anonymitu.

Anonymita bývala považována za funkci vhodnou jen pro fanatické stoupence soukromí, ale začíná ji využívat stále více společností v důsledku růstu případů firemní špionáže a vládních zájmů. Google ohlásil více než 83 tisíc zákonných požadavků na informace jen během prvních šesti měsíců roku 2017.

VPN anonymitu lze zajistit mnoha způsoby včetně blokování skutečné IP adresy a informací o metadatech uživatele, náhodným přidělováním používané IP adresy a neprotokolováním žádných informací, které by bylo možné využít k identifikaci uživatelů.

Takže i kdyby obdržel poskytovatel sítě VPN požadavek k právní prohlídce, nemá nic, co by bylo pro orgány činné v trestním řízení či vládu užitečné.

Každý uživatel, který chce získat anonymitu, by ale měl být předem varován, že dokonalá anonymita je téměř nemožná, jak mnoho dřívějších přestupníků zákona pozdě zjistilo.

Orgány často posbíraly záznamy dodavatelů VPN o připojení, a přestože produkt VPN nijak nevyzrazuje identitu uživatele, další nastavení softwaru a konfigurace daného uživatele mohou informaci vedoucí k jeho identifikaci poskytnout.

Neočekávejte tedy, že by nějaká síť VPN dokázala dokonale skrýt vaši identitu navzdory tomu, co může reklamní kampaň slibovat.

Bez ohledu na to, zda je příčinou zájem o udržení soukromí či o zabezpečení, výsledkem je rozvoj trhu VPN – uživatelé přecházejí na VPN jako nikdy v minulosti.

Marketingový ředitel společnosti NordVPN Marty P. Kamden tvrdí, že „je na trhu rozhodně vidět obrovský zájem o soukromí a bezpečí na internetu“.

Podle něj se v důsledku nových předpisů, dohledu a nárůstu hackerských útoků stále více uživatelů registruje do sítí VPN. V minulém roce prý zaznamenali v USA a Velké Británii ztrojnásobení počtu uživatelů.“

Je to bezpečné?

Nejvýznamnějším společným faktorem těchto rostoucích řešení mobilních VPN je to, že namísto připojení k centrálnímu VPN koncentrátoru se klienti často připojují k prostředkům cloudu dodavatelů VPN a odtud případně do sítě své společnosti.

Mnoho dodavatelů se chlubí stovkami a stovkami globálně distribuovaných serverů se stovkami tisíc různých IP adres.

To je jeden z hlavních aspektů, které je třeba zvážit. Umožňuje přijetí rizik vaší společnosti, aby se vaši koncoví uživatelé připojovali a spoléhali na zařízení a sítě někoho jiného pro zajištění integrity a zabezpečení dat?

V dnešním cloudovém světě nemusí být tato otázka tak těžká jako kdysi, ale pokud pracujete s novou, distribuovanou mobilní VPN, budete chtít vše náležitě pečlivě přezkoumat a ověřit, zda dodavatel mobilní sítě VPN není jedním z mnoha, kteří dávají přemrštěné sliby nebo nezajišťují žádnou bezpečnost. Více o tom níže.

 

Placené mobilní VPN

Mnoho novějších řešení mobilních VPN se prodává za měsíční poplatek za každého uživatele, jako například VyprVPN a SaferVPN.

Ceny se často pohybují od méně než  dolaru měsíčně za uživatele až po několik dolarů měsíčně za jednoho uživatele, ale v mnoha případech se vyžaduje zaplacení na rok dopředu.

VyprVPN aktivně propaguje svou schopnost překonávat technologie blokování sítí VPN, které se například mohou používat v Číně, pomocí proprietární metody nazývané Chameleon.

Podle Sundaye Yokubaitise, prezidenta společnosti Golden Frog, Chameleon přeskupí metadata paketů OpenVPN, tak aby je nebylo možné rozpoznat pomocí technologie hloubkové inspekce paketů (DPI), a přitom zachovává rychlost a nezvyšuje objem přenosů.

Technologie Chameleonu používá nezměněný 256bitový protokol OpenVPN pro základní šifrování dat. Díky tomu dokážou uživatelé VyprVPN projít skrz Velkou zeď v Číně a získat otevřený přístup k internetu, aniž obětují osvědčenou bezpečnost, kterou OpenVPN již dlouho přináší.

„Naši čínští zákazníci mohou díky řešení Chameleon VPN trvale používat skutečně otevřený a necenzurovaný internet,“ dodává Yokubaitis.

VyprVPN také tvrdí, že spravuje 100 procent svých zařízení a nepoužívá třetí strany na rozdíl od většiny svých konkurentů. Teoreticky by tak řešení VyprVPN mělo umožnit lépe řídit a spravovat svá aktiva.

SaferVPN nabízí další skálopevnou síť VPN včetně zajištění automatického zapnutí SaferVPN, kdykoli se připojíte přes nezabezpečené připojení přes Wi-Fi. Nabízejí technickou podporu 24 x 7, kterou neposkytují všichni dodavatelé. Podporují více protokolů, starší i novější, přestože jeden protokol VPN upřednostňují před ostatními.

SaferVPN doporučuje, aby zákazníci, pokud mohou, používali OpenVPN (open source).

„Doporučujeme protokol OpenVPN, se kterým se naše služba spojuje automaticky. Důvodem je, že nabízí nejvyšší výkon pro maximální zabezpečení a rychlost. Chceme však poskytovat svým zákazníkům svobodu a flexibilitu při výběru, takže jim také umožňujeme ruční výběr mezi protokoly OpenVPN, L2TP přes IPSec, PPTP a IKeV2,“ vysvětluje firma.

Obecně platí, že mnoho sítí VPN založených na uživatelských poplatcích za uživatele propaguje svou globální přítomnost, on-line soukromí, výkon, podporu platformy a snadnost použití.

Většina umožňuje jednomu uživateli připojit více zařízení v rámci jedné licence – obvykle čtyři až šest zařízení. Nezapomeňte si zjistit, kolik zařízení lze připojit a jak jsou vázaná s licencí jednoho uživatele.

V některých případech lze sdílet licenci s dalšími uživateli, a to až do maximálního limitu, zatímco jiné jsou naopak specificky vázané na jednoho uživatele.

 

Bezplatné mobilní VPN

Nejpopulárnější bezplatné mobilní řešení VPN je pravděpodobně OpenVPN. Jak bylo uvedeno výše, řešení OpenVPN je open source, má licenci GNU a je velmi oblíbené pro svůj výkon a bezpečnost.

Používá OpenSSL, TLS a HTTPS spolu s dalším vlastním protokolem pro své VPN funkce. Lze ho používat na platformách Windows, Mac, Android, a dokonce i v některých směrovačích Wi-Fi.

Bezplatné aplikace VPN, jako jsou Hotspot Shield a TunnelBear, zajišťují svou podporu obvykle tak, že zobrazují reklamy nebo omezují datové přenosy.

Hotspot Shield uvádí, že má více než 500 milionů uživatelů, z nichž většina využívá verzi podporovanou reklamou. Uživatelé služby Hotspot Shield, kteří se chtějí zbavit reklamy, mohou ale přejít na komerční verze.

V minulosti existovalo více produktů VPN podporovaných reklamou, ale vypadá to, že postupně ubývají. Služba TunnelBear je zdarma až do 500 MB chráněných dat měsíčně a pro další data požaduje poplatky od 4,99 do 9,99 dolaru měsíčně.

Z důvodů, které nejsou úplně jasné, stojí komerční verze mnoha bezplatných produktů VPN výrazně více než modely založené výhradně na uživatelských poplatcích.

 

Mobilní VPN a BYOD

Mobilní sítě VPN nepatřící do podnikové třídy začínají rozhodně hrát v podnicích větší roli. Většina zde popsaných nabídek mobilních VPN uvádí desítky korporátních klientů.

Mnoho společností je považuje za řešení pro případy, kdy nemohou či nechtějí kupovat a spravovat drahé koncentrátory VPN.

Ve dnech, kdy zásady používání osobních zařízení pro firemní účely (BYOD) často vládnou podnikové sféře, vyžaduje mnoho správců zabezpečení, aby uživatelé připojující se k podnikové síti LAN používali síť VPN, ale nepožadují konkrétní VPN. Jiné společnosti naopak uvádějí seznam přijatelných sítí VPN, takže si zaměstnanci musejí vybrat jednu ze schválených možností.

Zaměstnanci, kteří se zajímají o své soukromí a bezpečnost, si často instalují mobilní VPN, které jsou zapnuté vždy, takže i přestože jejich společnost žádnou nevyžaduje, stále nějakou používají.

To je důležité, protože většina mobilních VPN nerozlišuje mezi podnikovými a nepodnikovými sítěmi, přestože se používá stejná ochrana.

Důvěryhodný zaměstnanec, který se připojí k vaší síti prostřednictvím mobilní VPN, bude stejně maskovaný jako záškodník, který udělá totéž. Přinejmenším nelze spoléhat na původní IP adresy a další informace z metadat pro účely autentizace a sledování.

 

Výběr mobilní VPN

Současně však platí, že VPN nespadající do podnikové třídy mohou mít vlastnosti a problémy, které jsou příčinou, proč do podnikové třídy nepatří.

Podniky musejí přinejmenším uvážit, jak nakládat s VPN, kterou nemají pod úplnou kontrolou. Je pro ně přijatelné, že má jiná společnost kontrolu nad VPN pro přístup zaměstnanců do firemní sítě?

Některé mobilní VPN nemusejí poskytovat vůbec žádné zabezpečení, nebo dokonce, což je ještě horší, mohou záměrně a tiše odposlouchávat data uživatelů.

Ve skutečnosti podle dokumentu Kalifornské univerzity v Berkeley, který se zaměřil na 283 mobilních VPN na platformě Android, ochrana a bezpečnost často neexistovaly.

Sedmdesát pět procent z nich používalo knihovny pro sledování od třetích stran, 38 % obsahovalo malware a 18 % ve skutečnosti nešifrovalo přenosy, které údajně měly být chráněné.

Pokud to neznamená nic dalšího, je jasné, že všichni uživatelé mobilních služeb VPN potřebují využívat důvěryhodného dodavatele a prověřit si jeho tvrzení. Nestačí přečíst si on-line záruku a věřit prohlášením.

Další věci, které je třeba uvážit:

  • Umožňuje mobilní řešení VPN dostatečné škálování, aby vyhovělo úrovním transakcí vašeho podniku?
  • Nabízí dodavatel mobilní VPN nástroj či konzoli pro podnikovou správu? Potřebujete něco takového?
  • Jak ovlivní užívání mobilní VPN vámi používaný bezpečnostní monitoring a sledování?
  • Jaké platformy podporují? Jaké protokoly (např. OpenVPN, L2TP, IPSEC, SSTP nebo PPTP)?
  • Nabízejí možnosti autentizace, které potřebujete, například vícefaktorové?
  • Je řešení podporované reklamou přijatelné?
  • Nabízejí podrobnou konfiguraci tak komplexní, jak potřebujete?
  • Jaké jsou zásady jejich technické podpory?

Mobilní VPN podnikové třídy všechny tyto odpovědi poskytují naprosto otevřeně. Byly dobře testované dlouhou dobu, aby poskytly zabezpečení pomocí autentizace a šifrování, které deklarují. Není to tak ale u mnoha nových řešení mobilních VPN.

 

Hodí se pro vás?

Všichni správci podnikové mobility by měli znát rostoucí třídu nepodnikových mobilních sítí VPN a její vliv na jejich prostředí, ať už by k němu docházelo v důsledku vlastní volby či jinak.

Mobilní sítě VPN nabízejí skvělou příležitost chránit informace a soukromí. Lze tedy něco takového integrovat do vašeho prostředí?

ICTS24

 

Tento příspěvek vyšel v Security Worldu 1/2018. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.