Úskalí vzdáleného přístupu

1. 2. 2003

Sdílet

V rámci našeho přehledu jsme oslovili přední prodejce VPN řešení, která pracují na bázi protokolu IPSec, aby nám p...
V rámci našeho přehledu jsme oslovili přední prodejce VPN řešení, která pracují
na bázi protokolu IPSec, aby nám poskytli své nejlepší produkty nabízející
vzdálený přístup na úrovni velkých korporací, tedy schopné pokrýt potřeby firmy
s tisíci uživateli. Testovali jsme celkem osm produktů od společností Avaya,
Check Point Software (používající hardwaru firmy Nokia), Cisco, Cylink,
NetScreen Technologies, Secure Computing, SonicWall a Symantec.
Namísto toho, abychom se zaměřovali na určitý model VPN serveru, jsme prodejce
vybízeli, aby nám představili celou sadu produktů, jež budou řešit vzdálený
přístup, včetně koncentrátorů, aplikací pro správu a hardwarové i softwarové
klienty (kompletní seznam produktů najdete v tabulce na str.14).
V testech (vzhledem k potřebné testovací infrastruktuře je prováděli kolegové v
americkém NetworkWorldu) si nejlépe vedly společnosti Cisco a Check Point. I
když v celkovém skóre produkt Cisco řešení Check Point o krůček předstihl.
Jakési čestné uznání nicméně zasluhují i společnosti NetScreen Technologies a
Avaya. I když ani jeden z těchto dvou produktů nedokáže nabídnout stejnou škálu
funkcí a flexibilitu jako dva předchozí vítězové, nabízejí tato řešení
specifické produktové detaily, které by jim mohly naklonit některé zákazníky.
Například produkt Avaya je vybaven podporou pro aplikace Voice-over-IP (VoIP),
která je lepší než u všech ostatních produktů.

Instalace
VPN klienti sestávají ze dvou částí: klientského softwaru a abstraktní
politiky, jež definuje způsob, kterým je šifrována komunikace. Instalace neboli
rozmístění v tomto případě znamená zprostředkovat informace o softwaru i
politice koncovému uživateli a obojí aktualizovat se změnami síťové konfigurace
a topologie.
V případě politiky někteří prodejci, například Secure Computing a Cylink, mají
soubor politiky (někdy nazývaný "policy blob") na každém klientu. To je ovšem
problematické, neboť pokud změníte konfiguraci své sítě nebo tunel IPSec,
budete nuceni vydat tento soubor pro všechny klienty. Ve firemním prostředí,
ale ne všichni mají stejnou VPN politiku.
Lepším firemním řešením je proto použít zvláštní tzv. policy server, jenž bude
komunikovat s klienty a zajišťovat, že budou vždy vybaveni aktuální politikou.
Spojení s klientem bude v tomto případě poněkud delší, neboť verze politiky je
nutno kontrolovat, nicméně koncoví uživatelé si zase nemusejí dělat starosti s
tím, zda mají její správnou verzi.
Avaya, Check Point, Cisco, NetScreen i Symantec zvládají tuto problematiku
čistě a elegantně prostřednictvím zmíněných serverů, nicméně pouze Avaya, Check
Point, Cisco a NetScreen umožňují používání několika uživatelských politik.
Symantec též podporuje jednotlivé uživatelské politiky, ovšem pouze v případě
uživatelů, kteří jsou individuálně vloženi do jeho vnitřní autentizační
databáze.
Klienti se rovněž musejí vypořádat s aktualizacemi, upgrady a záplatami. Check
Point, Cisco a do jisté míry i NetScreen řeší tento problém v kontextu
definované VPN politiky. Check Point má generický softwarový download, stejně
jako systém pro údržbu, zabudovány přímo do klienta, a to nejen pro VPN
software, nýbrž pro cokoli, co chcete na systémech vzdálených uživatelů
upgradovat. Správcům sítě, kteří se nechtějí učit všechny nuance vzdálené
klientské správy programu, nabízí Check Point zjednodušenou verzi, která dokáže
zajistit permanentní aktualizování klienta.
Stejná otázka instalace vyvstává v případě hardwarových VPN klientů. Hardwaroví
VPN klienti jsou malé krabičky se dvěma ethernetovými porty, umístěné před
jedním nebo více klientskými počítači a zajišťující "off-load" VPN připojení,
čímž se eliminuje potřeba stahování softwaru nebo politiky na koncový systém.
Avaya, Check Point, Cisco, NetScreen a SonicWall dodávají ke svým řešením také
hardwarové klienty, přičemž nejlepší způsob jejich správy nabízejí Cisco a
Avaya. Například klientu Cisco sdělíte IP adresu svého policy serveru,
uživatelské jméno a heslo pro ověření, a to je vše. Systémy za hardwarovými
klienty jsou šifrovány automaticky, jakmile se někdo pokusí o připojení k
systémům chráněným VPN. Klient si poté stahuje politiku podle potřeby. U
produktu, který nabízí Avaya, každý uživatel, jenž projde hardwarovým klientem,
je ověřován policy serverem individuálně, prostřednictvím webové stránky.
NetScreen a SonicWall jako hardwarové klienty používají své low-endové VPN
systémy. Ty je ale třeba nakonfigurovat odlišně od jejich původního použití
jednoduchého vzdáleného přístupu. Jde o to, že tito klienti jsou spravováni za
použití tzv. push techniky, namísto toho, aby na ně politika byla dodávána z
centrálního serveru. Zmíněná technika ovšem nenabízí dostatečnou škálovatelnost
ani výkon.
Dalším aspektem správy klientů pro vzdálený přístup je získání jisté kontroly
nad příbuznými částmi, které se nějak dostaly do produktů, zejména pak
firewally na straně klienta. V modelu Check Point je volitelný firewall na
klientské straně konfigurován prostřednictvím rozhraní, jež je velice podobné
tomu, jaké se používá pro diktování pravidel firemního firewallu. Miniaturní
verze inspekčního enginu pro firewall je nainstalována na klientovi, přičemž
konfigurace VPN i firewallu jsou zabaleny dohromady jako jeden jediný
politikový blob, který centrální manažer politiky automaticky aktualizuje a
kontroluje.
Pracovníkům odpovědným za bezpečnost se tak dostává možnosti intenzivně a
přesně kontrolovat to, co může klient dělat, když je součástí VPN.
Rovněž Cisco a NetScreen si vedou dobře v práci s firewally na straně klienta.
Rozhraní Cisco není sice tak elegantní jako u Check Pointu, nicméně umožňuje
nastavit primitivní paketové filtry naprogramované do klientského firewallu,
stejně jako nastavit jistá pojítka s dalšími centrálně řízenými produkty od
Zone Labs a Internet Security System.
Cisco a NetScreen rovněž nabízejí funkci posture assessment feature, jež vám
umožní blokovat VPN připojení v případě, že firewall není v daném okamžiku
aktivní.
Většina z ostatních řešení obsahuje osobní firewall u svého VPN klienta (Avaya
a Cylink jsou v tomto ohledu výjimkou), ale není zde žádná podpora pro
centrální řízení politiky a aktualizaci integrovanou s řízením VPN.

Pro firemní použití
Standardy IPSec prakticky ignorují téma vzdáleného přístupu. Proto za účelem
kompenzace většina prodejců tyto standardy hned v několika aspektech rozšířila.
Samozřejmě, že takový krok povede ke snížení interoperability a připoutá vás k
jednomu prodejci.
Jednou oblastí, kde se vzdálený přístup a IPSec přímo střetávají, je podpora
NAT a NAPT. Jedná se o techniky, které používají poskytovatelé internetových
služeb, zejména pak v širokopásmových prostředích, aby se vypořádali s
nedostatkem IP adres. Řešení, jež nepodporuje NAPT, nebude jednoduše fungovat,
a právě toto je jedním z důvodů, proč se vyhnout produktům jaký nabízí Secure
Computing.
Další nestandardní extenzí pro vzdálený přístup je interní addressing. Pro
síťové správce je nicméně velice výhodné kontrolovat IP adresy, z nichž klienti
přicházejí do firemní sítě. V komplexnějších síťových prostředích to pomáhá s
interním routingem, jelikož zde hraje významnou roli to, že pakety, které
přišly přes VPN, též stejnou cestou odcházejí. Navíc interní firewally dokáží
identifikovat podle adres, kteří uživatelé jsou uživateli VPN, což může
zjednodušit kontrolu přístupu a vynucování bezpečností politiky.
Cylink a SonicWall interní addressing vůbec nepodporují. NetScreen sice ano,
ovšem pouze tehdy, pokud spustíte L2TP jako tunelující protokol.
Check Point, Cisco a Secure Computing umožňují kontrolovat přidělování adres na
základě uživatelských skupin. Cisco se rovněž obrací pro získání adresy na DHCP
server.
Symantec provádí implementaci interního addressingu překladem adres VPN klientů
na straně centrální stanice. To je důmyslné řešení, které se vyhýbá
nestandardním IPSec, ovšem pokud máte aplikaci, kterou chcete spustit na VPN a
která se špatně překládá (například VoIP přes H.323) stojíte před závažným
problémem.

Autentizace
Jednou z nejobtížnějších částí nasazení produktů VPN je část identifikace,
jelikož standardy IPSec připouštějí pouze jeden druh: certifikáty založené na
PKI (Public Key Infrastructure) neboli infrastruktuře veřejného klíče.
NetScreen vyvinul pro VPN ověřovací proces, který kolem IPSec staví vlastní
protokol. Nejprve dojde k autentizaci na policy serveru za použití klienta
NetScreen, který vám dá kopii stávající politiky. Poté použijete standardní
funkce IPSec.
V našich testech jsme předpokládali, že všechny firmy by ověření prováděly
jedním ze dvou následujících způsobů: první používá stávající ověřovací systém,
který lze připojit k firemní síti za použití služby Remote Authentication
Dial-In User Device (RADIUS), v kombinaci s tokeny nebo dokonce se starší
databází uživatelského jména/hesla, jakou je například ověřovací databáze
Windows. Tou druhou jsou digitální certifikáty na bázi PKI obsažené na
paměťových kartách Smart Card. Oba tyto přístupy jsme podrobili testu.
Nejméně starostí nám působil RADIUS, až na jednu výjimku Cylink totiž ověření
na bázi RADIUS nepodporuje. Nicméně ne všichni se shodnou na tom, že je pro
ověření totožnosti nejlepší RADIUS. Symantec volí komunikaci s adresářem
Lightweight Directory Access Protocol a doménou Windows NT, nebo přímou
komunikaci se servery Cryptocard, SecurID, S/Key a Defender, u nichž si můžete
vybrat ověření pomocí tokenů.
Jedním z několika málo prodejců, kterým se podařilo integrovat VPN služby a
proces přihlášení přidělením tokenu každému uživateli, je Secure Computing.
Testování certifikátů bylo naší noční můrou, neboť prodejci VPN softwaru stojí
vůči nim v obtížné pozici. Microsoft podporu pro jejich správu (a příbuzných
technologií jako např. SmartCards) zabudoval do Windows 2000 (a XP). Pokud
používáte Cryptographic API (CAPI), pak automaticky podporujete téměř každou
čtečku digitálních karet a všechny formáty certifikátů, které existují. Nicméně
certifikační část CAPI není obsažena ve Windows 98 nebo NT. Chcete-li náležitou
podporu certifikátů, potřebujete dvě implementace svého produktu: jeden
podporující CAPI pro Windows 2000 nebo vyšší a druhý speciálně napsaný interní
pro všechny ostatní verze.
K našemu testování jsme používali certifikační autority Entrust PKI. Přihlásili
jsme naše uživatele a dali jim certifikáty, uložené s jejich osobními klíči na
Smart kartách Schlumberger.
Check Point nebyl zrovna favoritem, když podporoval pouze CAPI, nicméně
fungoval skvěle. SonicWall ani Cylink neměly podporu CAPI a tím pádem co se
certifikátů týče neměly šanci. Cisco teoreticky podporuje certifikáty, ovšem
naše certifikační autorita měla klíč delší, než je Ciscem podporované maximum 2
048 bitů.
Avaya a NetScreen certifikáty podporují, ovšem má to háček. Abyste se mohli
připojit k správci a získali svou politiku, potřebujete uživatelské jméno a
heslo. Takže pokud se rozhodnete pro autentizaci pomocí certifikátů, funguje to
jen potud, pokud nejprve použijete své uživatelské jméno a heslo. NetScreen
tento problém řeší celkem hezky, a to tak, že navrhuje uživatelské jméno/heslo.
To se v zásadě používá k tomu, aby se policy serveru sdělilo, ke které skupině
se chcete připojit. Jakmile svou politiku získáte, provede VPN ověření vašeho
certifikátu.

Reporting
Udržovat si přehled o tom, k jakým účelům je používána vaše VPN, se zdá být
věcí, kterou většina prodejců považuje za volitelnou. My nikoli. Pouze Cisco
nabízí základní výpis informací o VPN. Ostatní produkty nás nechávaly tápat v
temnotách. Navzdory všem těm řečem o potřebě nástrojů typu firewallů pro
kontrolu síťového přístupu, byl objem zpráv, které nám tyto nástroje podávaly,
dosti slabý.
Auditování, které je ve světě zabezpečení běžnou věcí, bylo těmito produkty
podporovány lépe. Všichni prodejci nabídli způsob, jak "vytáhnout" ze serveru
alespoň ty nejzákladnější informace, například seznam přihlášení. Nejlépe bylo
auditování provedeno produkty od Symantecu a Secure Computingu, které logovaly
nejen samotnou VPN session, ale též každé spojení s aplikací učiněné
prostřednictvím VPN tunelu.
Rovněž jsme se podívali na kontrolu VPN tunelu a otázky spojené s firewallem.
Chtěli jsme vědět, jakou míru kontroly můžete mít nad konkrétním VPN tunelem,
jakmile si jej pustíte do sítě. Produkty, které byly primárně vybaveny
firewally Check Point, Net Screen, Secure Computing, SonicWall a Symantec
nabízejí všechny celkem silné možnosti kontroly aktuálního dění, a to dokonce i
poté, co se tunel dostane do sítě. Systémy, které jsou primárně VPN
koncentrátory Avaya, Cisco a Cylink, neposkytují téměř žádnou, nebo jen velmi
malou dodatečnou kontrolu.

Provoz a správa v síti
Každý síťový správce chce odpověď na jednoduchou otázku: Kdo se loguje do VPN?
Pouze Cisco umožňoval sledovat, kdo je v danou chvíli nalogován, a v případě
potřeby jsme mohli uživatele odpojit. Avaya nám naopak umožnila sledovat, kdo
je připojen, ovšem nenabídla žádný nástroj, který by nám umožnil něco s tím
dělat.
Check Point měl v tomto ohledu problém. Hodnotili jsme jej v okamžiku, kdy
právě vycházel z fáze betatestování a odhalili jsme několik problémů týkajících
se stability rozhraní pro správu. Neměli jsme pražádný problém s vytvářením VPN
tunelů nebo unikáním paketů přes firewall. Nicméně nástroj, který nabídl Check
Point pro monitorování přístupu VPN uživatelů, se nám nepodařilo dokonce vůbec
rozběhnout, a tak jsme jej nemohli otestovat.
Cylink, NetScreen, Secure Computing a Symantec nám poskytli jen málo nebo skoro
žádné informace o uživatelích aktuálně přihlášených na VPN. Dobrá podpora pro
další funkce síťové integrace a správy, jako například správa šířky pásma podle
uživatele nebo skupiny a integrace routovacích protokolů, byla sporadická.
Cisco rovněž nabídlo hezkou škálu routovacích protokolů, možností a nástrojů
pro správu pásmové šířky, které byly zabudovány přímo do produktu. NetScreen
nabídl správu pásmové šířky ovšem bez routingu.
Check Point nabízí routing i správu pásmové šířky, ovšem nic z toho není
integrováno do VPN. V jeho případě je řešením přikoupit Floodgate, který nabízí
určité nástroje pro správu pásmové šířky. A i když platforma Nokia, na které
jsme Check Point testovali, měla řadu routovacích funkcí zabudovanou, žádná z
nich nekomunikovala přímo s VPN částí sítě. Avaya se představila s implementací
protokolu Routing Information, což rozhodně není ten nejvybranější routovací
protokol pro firemní sítě.

Který zvolit?
Vybrat produkt pro vzdálený přístup není příliš složité pokud jste si předtím
jasně definovali, co od takového řešení očekáváte.
Potřebujete hlavně vyřešit dle našeho názoru témata, jako je například správa
autentizací a uživatelské politiky.
Poté je třeba zvážit několik méně významných otázek: Potřebujete interní
addressing? Hardwarového klienta? Podporu pro Macintosh? Firewall na klientské
straně? Vysokou dostupnost? Podporu pro NAT? Tohle jsou všechno drobné detaily,
které byste při výběru neměli opomenout.
Ačkoli si řešení firem Cisco i CheckPoint v našem hodnocení vedly nejlépe, i
oba z těchto produktů mají svá omezení.

Jak jsme testovali
Abychom mohli náležitě ohodnotit jednotlivá VPN řešení, nechali jsme si od
každého prodejce zaslat VPN koncentrátor, systém pro správu a všechny dostupné
softwarové či hardwarové klienty. Nainstalovali jsme systémy pro správu a
grafická uživatelská rozhraní (tam, kde to bylo možné) na server Windows 2000
SP3. VPN koncentrátor byl nainstalován na veřejné síti Opus One.
Abychom mohli skutečně zhodnotit podporu pro typické autentizační systémy,
sáhli jsme po kombinaci Remote Authentication Dial-In User Service (RADIUS) a
infrastruktury veřejného klíče (PKI). Pro RADIUS jsme používali RADIUS server
Opus One, což je standardní řešení pro ověřování a podávání zpráv. Pro ověření
na bázi PKI jsme použili jako certifikační autority Entrust/PKI v6.0, společně
se SmartCards Schlumberger a čtečkami.
Jakmile jsme měli produkty nainstalované, hodnotili jsme celý balík řešení pro
vzdálený přístup z hlediska velkého firemního prostředí, dívali se na možnosti
správy a škálovatelnosti, a to v měřítku od tisíce do deseti tisíc simultánních
VPN uživatelů. Porovnali jsme funkce pro instalaci a správu, stejně jako
schopnost sítě se rozrůstat a podporovat vysoký počet uživatelů. Rovněž jsme se
dívali na flexibilitu, abychom mohli ohodnotit, jak dobře si navrhovaná VPN
řešení dokázala poradit s řadou různých internetových a firemních prostředí.
Nakonec jsme porovnávali produkty z hlediska jejich firemních funkcí, jakou je
například tolerance vůči chybě, integrovaný firewall, audit a reportování apod.