Do niedawna zapewnienie dostępu do firmowych serwerów i zasobów zdalnym pracownikom oraz partnerom biznesowym oznaczało wdrożenie VPN zgodnego z IPSec. W zastosowaniach typu site-to-site IPSec pozostaje nadal głównym rozgrywającym, natomiast dla połączeń do klientów końcowych coraz częściej stosuje się tunelowanie SSL. W marcowej edycji NetWorlda opisywaliśmy m.in. rozwiązania SSL VPN w wydaniu open source. Teraz przyjrzymy się ofercie komercyjnych SSL VPN-ów.

Czynności administracyjne związane z konfiguracją i utrzymywaniem programowego klienta IPSec są dosyć uciążliwe i pracochłonne, szczególnie przy dużej liczbie zdalnych użytkowników. Istnieje również ryzyko, że niepożądany komputer za pośrednictwem tunelu IPSec, poprzez stworzoną w zaporze dziurę, uzyska dostęp bezpośrednio do serca firmowej sieci. Niedogodności te sprawiły, że na radarze IT pojawiły się produkty SSL VPN. Większość z nich nie wymaga instalacji oddzielnego oprogramowania klienckiego. Zdalni użytkownicy SSL VPN mogą się łączyć z różnych miejsc i narzędzi: hoteli, pożyczonych laptopów, publicznych punktów dostępu itp. Mogą oni korzystać z firmowych aplikacji internetowych, współdzielonych plików, aplikacji biurowych...

Istotną cechą SSL VPN jest to, że nie tworzy się otwartego tunelu do sieci firmowej. Polityka bezpieczeństwa jest wymuszana dla każdego połączenia, umożliwiając dostęp jedynie do określonych zasobów, w zależności od użytkownika, zdalnego urządzenia i jego lokalizacji. Podobnie jak w regułach stosowanych w zaporze ogniowej wszystko jest domyślnie zabronione, chyba że zostało wyraźnie udostępnione przez administratora.

Dotychczas część produktów opartych na SSL była niedopracowana i nie w pełni funkcjonalna. Z każdą kolejną wersją stają się one jednak coraz bardziej zaawansowane. Celem tego testu jest sprawdzenie, czy oferowane rozwiązania SSL VPN są już na tyle dojrzałe, aby mogły konkurować z IPSec. Testowane produkty różnią się między sobą zaimplementowanymi mechanizmami bezpieczeństwa oraz sposobem obsługi zdalnych punktów końcowych. Polityka bezpieczeństwa zmienia się nie tylko w zależności od użytkownika, ale również od miejsca, z którego się on loguje.

Wiele z dostępnych obecnie rozwiązań oferuje oprogramowanie zabezpieczające punkty końcowe. Analizuje ono urządzenie klienckie, określa stopień poufności i przyznaje określone uprawnienia, zgodnie z predefiniowanymi strefami bezpieczeństwa. Przykładowo, oprogramowanie może wykryć, że na laptopie użytkownika działa program antywirusowy, osobista zapora, ale korzysta on z publicznego połączenia Wi-Fi. W takim przypadku klientowi zostanie udostępniony jedynie dostęp poprzez proxy, bez pełnego dostępu do sieci. Obecnie nie istnieje żaden powszechnie przyjęty standard przemysłowy w zakresie zabezpieczania punktów końcowych.

Poza kontrolą dostępu są oferowane dodatkowe mechanizmy, jak chociażby zabezpieczenie klienta webowego, np. Sygate Secure Desktop. Na potrzeby sesji SSL tworzona jest wirtualna przestrzeń na dysku. Po zamknięciu przeglądarki pliki tymczasowe oraz informacje o sesji trafiają do binarnej "czarnej dziury". Wiele rozwiązań oferuje również czyszczenie pamięci podręcznej z wszelkich danych tymczasowych, plików cookie oraz schowka.

Innymi funkcjami, które mogą zainteresować klientów, jest wsparcie sieci VLAN oraz łączenie urządzeń w klaster. Grupowanie zapewnia wysoką dostępność za sprawą automatycznego przełączania awaryjnego (failover), równoważenia obciążenia oraz może zwiększyć liczbę jednoczesnych połączeń do kilku tysięcy. Testowane urządzenia mają relatywnie zbliżoną wydajność, więc wybór może zależeć od oferowanych funkcji.

Check Point Connectra 2.0

Zapewnia bezpieczny dostęp poprzez tunele SSL zarówno do usług http, jak i aplikacji TCP/IP. Umożliwia szybką i łatwą implementację wirtualnej sieci prywatnej w już istniejącej infrastrukturze sieciowej. Zawiera aplikacyjny firewall oraz mechanizm wykrywania złośliwego oprogramowania. Zastosowane mechanizmy ochronne zabezpieczają przed m.in. takimi atakami, jak: przepełnienie bufora, skrypty Cross-Site, directory traversal, SQL injection czy robakami w protokole HTTP. Opcjonalnie może być przeprowadzane skanowanie zdalnych hostów, wykrywanie spyware, malware, czyszczenie pamięci podręcznej hosta. Brama ta może zostać zintegrowana z platformą zarządzania Check Point SmartCenter. Connectra nie oferuje usługi przekazywania portów (port-forwarding) TCP/UDP, dostępnej w konkurencyjnych produktach (obchodzi to przy wykorzystaniu tuneli warstwy 3).

Klienci Connectry mogą korzystać z przeglądarek: IE, Mozilla, Netscape oraz Safari. Producent deklaruje, że uwierzytelnianie może być realizowane za pomocą: Active Directory, LDAP, RADIUS, wewnętrznej bazy danych oraz certyfikatów cyfrowych - co powinno zadowolić większość administratorów. Niewątpliwie brakuje wsparcia dla OpenLDAP. Podczas testów wykorzystywano Active Directory, ale nie bez pewnego wysiłku.

Za pomocą Network Extender, będącego wtyczką ActiveX, można szczegółowo kontrolować ruch TCP i UDP przesyłany w obu kierunkach, poprzez tunel SSL. Niestety, jest on dostępny tylko dla użytkowników przeglądarki Internet Explorer.

Wyznaczenie zasobów webowych oraz plików współdzielonych przebiega bezproblemowo. Szczególną sympatią twórcy Connectry obdarzyli producenta oprogramowania z Redmond. Do współdzielenia plików wymagany jest Microsoft WebDAV. Korzystanie z tych zasobów wygląda podobnie jak w Explorerze Windows i jest dostępne również wyłącznie dla IE.

Connectra 2.0 dostępna jest w postaci samodzielnych urządzeń sprzętowych lub w wersji software'owej do zainstalowania na komputerach x86. Oferowana jest w 3 wersjach: 1000 (50, 100, 250 użytkowników), 2000 (100, 250, bez ograniczeń) oraz 6000 (250, 500, bez ograniczeń).

Ważną zaletą Connectry jest możliwość uruchamiania przez administratora usług pocztowych dla zdalnych użytkowników. Podobnie jak w VPN Gateway 3050 Nortela, Check Point zawiera szablony OWA (Outlook Web Access) oraz SMTP, POP3 i IMAP przyśpieszające definiowanie tych usług. Connectra skupia się mocno na sieci i bezpieczeństwie punktów końcowych, implementując mechanizmy chroniące sieć i zasoby. Produkt oferuje również bezpieczeństwo na warstwie aplikacji, sprawdzając przechodzący ruch pod kątem znanych robaków oraz dokonując inspekcji transmisji HTTP za pomocą usługi Web Intelligence. Dodatkowo zezwala administratorowi na wymuszenie walidacji ruchu http, np. odrzucenie niebezpiecznych metod http. Jednak lista dostępnych opcji jest niejasna.

Wbudowane aplikacje zabezpieczające wywołują pozytywne wrażenie. Administrator może włączyć zapobieganie wykonywaniu skryptów typu cross-site, dostępowi do niewłaściwych katalogów (directory traversal), wstrzykiwaniu (injection) komend lub zapytań SQL, tzn. wykorzystanie interfejsu użytkownika w celu wprowadzenia do aplikacji spreparowanego ciągu znaków. Nie dorównuje to wprawdzie aplikacyjnym zaporom, ale jest krokiem we właściwym kierunku.

Zabezpieczenie punktów końcowych obejmuje sprawdzenie zdalnej maszyny, kontrolę pamięci przeglądarki oraz weryfikację osobistego firewalla. Narzędzie Integrity Clientless Scan sprawdza występowanie złośliwego oprogramowania (malware), ale jedynie - jak można zgadnąć - dla użytkowników IE. Narzędzie to kontroluje także stan zapory Check Point Integrity, nie obsługując rozwiązań konkurencyjnych. Podobnie jak w przypadku bramy VPN Nortela nie można zdefiniować skanowania specyficznych wpisów rejestru ani procesów.

W lipcu została wydana nowa wersja - Connectra NGX. Została ona rozszerzona m.in. o obsługę systemu SSL Network Extender przez przeglądarki inne niż Internet Explorer oraz mechanizm pojedynczego logowania (Single Sign-On) przy korzystaniu z kolejnych aplikacji. Nowa wersja dostępna jest również na platformę Linux.

Connectra jest niewątpliwie warta rozważenia, szczególnie w porównaniu z innymi rozwiązaniami firmowego, zdalnego dostępu. Udostępnia wszystkie główne funkcje oraz solidne zabezpieczenie punktów końcowych. Sporą wadą jest ukierunkowanie na obsługę Internet Explorer oraz niedostateczna kontrola nad funkcjami bezpieczeństwa. Nadal jednak jest to stabilne i wydajne rozwiązanie.