Nawet w najmniejszych firmach trudno się dziś obejść bez bezpiecznego zdalnego dostępu. Zapewniają go sieci VPN, a technika wykorzystująca protokół Secure Socket Layer jest sposobem na szybką, niewymagającą instalowania oprogramowania klienta, ich realizację. Prezentujemy test trzech koncentratorów SSL VPN przeznaczonych dla małych i średnich firm.

Już dość dawno temu przyzwyczailiśmy się, że zdalny dostęp do sieci firmowej jest czymś tak naturalnym jak poczta elektroniczna, a co więcej dla wielu pracowników korzystanie z firmowych zasobów spoza firmy jest po prostu koniecznością. Oprócz poczty pracownicy często potrzebują dostępu do baz danych, czy też po prostu znajdujących się na serwerze firmy dokumentów.

Powstało wiele rozwiązań programowych i sprzętowych zapewniających bezpieczny i wydajny dostęp do sieci. Są to tzw. wirtualne sieci prywatne (VPN - Virtual Private Network) wykorzystujące architekturę IPSec. Rozwiązania te wymagają jednak na ogół zainstalowania oprogramowania klienckiego, co więcej, zdarza się, szczególnie w małych osiedlowych bądź hotelowych sieciach, że dostęp do Internetu ograniczony jest tylko do kilku usług, a protokoły związane z VPN nie są przepuszczane. Ale jeśli mamy w danej lokalizacji nawet bardzo ograniczony dostęp do Internetu, to najczęściej umożliwia on skorzystanie z przeglądarki internetowej.

Przyjrzyjmy się urządzeniom, które są w stanie zapewnić nam bezpieczny dostęp do zasobów firmy przy nawet tak okrojonym dostępie do Internetu. W ramach testów próbowaliśmy utworzyć dostęp do sieci korporacyjnej przez zainstalowane w strefie DMZ koncentratory VPN wykorzystujące SSL. Testy przeprowadziliśmy na trzech urządzeniach przeznaczonych dla małych i średnich firm.

Netgear - prosty i wydajny, ale działa tylko z ActiveX

Pierwszym testowanym urządzeniem był koncentrator SSL312 firmy Netgear (pełna nazwa produktu to ProSafe SSL VPN Concentrator 25).

Trzeba przyznać, że menu urządzenia jest bardzo przejrzyste i intuicyjne, zaś przy każdej konfigurowanej opcji towarzyszy nam bardzo staranny help. Jedyną informacją, po którą potrzebowaliśmy zajrzeć do instrukcji obsługi tego urządzenia, było domyślne konto i hasło administratora.

Oprócz lokalnej bazy użytkowników system oferuje także autoryzację w Microsoft Active Directory, LDAP i Radius. W naszych testach wykorzystywaliśmy lokalną bazę oraz Active Directory. Konfiguracja autoryzacji w Active Directory wymagała podania nazwy domeny oraz adresu jej kontrolera. Warto zaznaczyć, że domyślnie dajemy zdalny dostęp wszystkim użytkownikom, warto więc stworzyć domyślną politykę zabraniającą dostępu, następnie dodać tylko tych użytkowników, którym chcemy umożliwić zdalny dostęp.

Polityki dostępu można ustalać globalnie, dla grup (przy czym grupa oznacza tu sposób autoryzacji, czyli np. całą domenę bądź wszystkich, którzy się autoryzują przez serwer Radius) oraz dla pojedynczych użytkowników. W przypadku domeny AD wygodnie byłoby móc ustalać prawa na podstawie przynależności do grup, co niestety nie jest możliwe. Zabrakło też możliwości sprawdzenia zabezpieczeń maszyny klienckiej (tzw. endpoint security).

Po zalogowaniu użytkownik zobaczy portal, którego zawartość zależy od konfiguracji polityki dostępu. Standardowo do wyboru mamy zestawienie pełnego tunelu VPN, skorzystanie z aplikacji zainstalowanych w urządzeniu, bądź też tunelowanie poszczególnych portów lokalnego komputera do sieci.

Warto zwrócić szczególną uwagę na zakładkę Applications. Wybranie np. Worda spowoduje otwarcie okna RDP (Remote Desktop Protocol), połączenie z wybranym przez użytkownika serwerem i uruchomienie w tymże oknie programu MS Word. Użytkownik nie będzie miał możliwości uruchomienia jakiejkolwiek innej aplikacji w tym oknie terminala - zamknięcie programu spowoduje jednoczesne zakończenie sesji RDP. Dodatkowo jeśli serwer pracuje pod systemem Windows 2003, komponent automatycznie nas do niego zaloguje, wykorzystując dane użyte wcześniej przy logowaniu do SSL312, czyli po kliknięciu w ikonę aplikacji (i wybraniu serwera) pojawi się od razu okno z żądaną aplikacją. Niestety, producent nie przetestował należycie oprogramowania i applet odpowiedzialny za połączenia RDP nie funkcjonuje w systemie Windows XP, jeśli jest w nim zainstalowana (a zwykle jest) aktualizacja klienta podłączania pulpitu zdalnego (KB925876). Do czasu usunięcia problemu przez producenta jedyną szansą korzystania z tych funkcji jest odinstalowanie tej aktualizacji.

Należy pochwalić Netgeara za udostępnienie na zakładce Utilities użytecznych narzędzi, takich jak telnet, ssh oraz ftp, jednocześnie zaznaczając, że klient ssh obsługuje tylko pierwszą wersję protokołu. Ponieważ często serwery obsługują wyłącznie ssh v. 2, należy mieć nadzieję, że producent doda obsługę i tej wersji protokołu.

W zakładce Remote Access dostępny jest klient RDP oraz klient VNC. Funkcja Network Places daje nam możliwość bardzo wygodnego przeglądania otoczenia sieciowego i dostępu do plików. Ma jednak ona również pewne wady. Po załadowaniu pliku na serwer przeglądarka odświeży nam się nie na folderze, do którego plik został załadowany, tylko na całym otoczeniu sieciowym, więc warto zawczasu zrobić zakładkę (opcja bookmark) do tego folderu. Niestety, nie udało się nam za pomocą tego appletu utworzyć folderu ani usunąć pliku. Bardzo wygodnie zestawia się pełny tunel VPN. Wybranie tej funkcji tworzy wirtualny interfejs i od tej pory wszelkie żądania naszego komputera do maszyn zdalnej sieci są z punktu widzenia użytkownika kierowane, tak jakby był fizycznie przypięty do tejże sieci.

Wszystkie funkcje dostępowe koncentratora realizowane są przez komponenty ActiveX, co czyni je dostępnymi jedynie dla użytkowników przeglądarek obsługujących je, czyli praktycznie skazuje użytkownika na Internet Explorera. Urządzenie obsługuje do 25 jednoczesnych tuneli, zaś jego koszt netto to ok. 1400 zł.