SSL VPN rośnie w siłę

Z raportu Gartner Group ze stycznia br. wynika, że rozwiązania SSL VPN zaczynają wyprzedzać IPSec, gdy chodzi o wybór łatwej i bezpiecznej metody zdalnego dostępu mobilnych pracowników, partnerów biznesowych, czy zewnętrznych firm serwisowych. Raport przewiduje, że do 2008 r. SSL VPN będzie pierwszą metodą zdalnego łączenia się z firmą w większości działań biznesowych. Co oferuje ta technologia?

Z raportu Gartner Group ze stycznia br. wynika, że rozwiązania SSL VPN zaczynają wyprzedzać IPSec, gdy chodzi o wybór łatwej i bezpiecznej metody zdalnego dostępu mobilnych pracowników, partnerów biznesowych, czy zewnętrznych firm serwisowych. Raport przewiduje, że do 2008 r. SSL VPN będzie pierwszą metodą zdalnego łączenia się z firmą w większości działań biznesowych. Co oferuje ta technologia?

Bezpieczeństwo systemu informatycznego wymaga utrzymania poufności i integralności danych, a także zapewnienia ich niezakłóconej dostępności dla upoważnionych użytkowników. W biznesie szybki i niezawodny dostęp do informacji ma istotne znaczenie. Trudności w tym zakresie sprawia szczególnie zdalny dostęp pracowników do sieci firmowych.

Konwencjonalne rozwiązania zdalnego dostępu VPN oparte na protokole IPSec są często za mało elastyczne i posiadają ograniczone możliwości kontrolowania użytkowników i aplikacji. W ostatnich latach pojawiło się alternatywne dla IPSec rozwiązanie zdalnego dostępu określane jako SSL VPN. Nazwa pochodzi od wykorzystywanego protokołu Secure Socket Layer (SSL). Ten sam protokół jest od dawna stosowany do zabezpieczania poufności komunikacji w Internecie oraz aplikacjach intranetowych w sieciach wewnętrznych. Rozwiązania SSL VPN zostały zaprojektowane tak, aby w łatwy sposób udostępniać określone aplikacje i dane systemu informatycznego i jednocześnie zapewniać im wysoki poziom ochrony.

Problemy i ograniczenia konwencjonalnych sieci IPSec VPN

Technologia SSL VPN zyskała popularność głównie z powodu problemów i ograniczeń występujących w konwencjonalnych sieciach VPN. W tych ostatnich zabezpieczenie komunikacji odbywa się za pomocą protokołów IPSec (IP-50) oraz IKE (UDP-500). Protokół IPSec służy do ochrony transmisji danych. Za pomocą protokołu IKE odbywa się negocjowanie parametrów sieci VPN, tzn. ustalenie algorytmów oraz kluczy szyfrowania i uwierzytelniania danych.

W rzeczywistych warunkach Internetu komunikacja VPN napotyka wiele problemów, m.in.:

  • protokoły IP-50 i UDP-500 w typowych punktach dostępowych są blokowane (np. stanowiska dostępu do Internetu w hotelach, na lotniskach);
  • standardowo zestawiony tunel VPN nie funkcjonuje poprawnie, jeżeli na drodze VPN wykonywana jest translacja adresów NAT;
  • uwierzytelnianie za pomocą certyfikatów cyfrowych X.509 i przekazywanie list CRL prowadzi do fragmentacji pakietów w tunelu VPN, co skutkuje znacznym obniżeniem wydajności.

Pomimo że producenci dostarczają liczne rozszerzenia swoich implementacji VPN (np. mechanizm NAT-Traversal umożliwiający wykonywanie NAT na drodze VPN), nie wszystkie problemy udaje się rozwiązać. W rozwiązaniach opartych na IPSec VPN w praktyce wymagane jest zainstalowanie i skonfigurowanie oprogramowania klienta VPN, dostarczanego przez producenta urządzenia dostępowego VPN. Wykorzystanie klienta VPN zawartego w systemach operacyjnych (np. Microsoft Windows) sprawia wiele problemów w rzeczywistym środowisku Internetu, gdzie komputer użytkownika ma nadawany dynamicznie prywatny adres IP, a na drodze VPN wykonywana jest translacja adresów NAT. W takiej sytuacji działanie IPSec VPN jest możliwe tylko dzięki dodatkowej funkcjonalności zaimplementowanej przez producenta określonego rozwiązania VPN, np. NAT-Traversal, IKE over TCP.

Zasady działania i własności rozwiązań SSL VPN

SSL VPN rośnie w siłę

Zasady funkcjonowania zdalnego dostępu SSL VPN

Od wielu lat SSL jest najbardziej popularnym protokołem ochrony transmisji danych w Internecie. Wynika to przede wszystkim z faktu, że jest zaimplementowany w każdej przeglądarce internetowej i działa niezależnie od platformy sprzętowej i systemu operacyjnego.

Technologia SSL VPN wykorzystuje zalety protokołu SSL. Nie występują w niej opisane wcześniej problemy konwencjonalnych sieci IPSec VPN. Korzystanie z usług serwerów w sieci wewnętrznej odbywa się poprzez bramę dostępową, zwykle widzianą przez użytkowników jako portal aplikacyjny. Komunikacja odbywa się za pomocą popularnego protokołu SSL (TCP-443), który w większości sieci dostępowych jest dozwolony (np. stanowiska dostępu do Internetu w hotelach, na lotniskach itp.). Dla SSL nie stanowi problemu translacja adresów na drodze VPN, ani też nadawane dynamicznie adresy IP klasy prywatnej.

Dostęp do zasobów systemu informatycznego zwykle wymaga od użytkownika zalogowania się do portalu za pomocą przeglądarki internetowej. Korzystanie z zasobów może odbywać się przez wbudowane w bramę SSL VPN aplikacje klienckie (np. klient poczty, klient terminala Telnet/SSH, klient systemu plików MS Windows lub NFS), bądź też za pomocą typowych aplikacji systemu informatycznego na zasadach analogicznych jak w sieci lokalnej. W przypadku korzystania ze zwykłych aplikacji ich komunikacja sieciowa z serwerami jest tunelowana w sesjach SSL. Do tego celu z portalu aplikacyjnego SSL VPN zostaje uruchomiony na komputerze użytkownika specjalny moduł pośredniczący (Java lub ActiveX), który odpowiada za zestawianie sesji SSL i odpowiednie tunelowanie ruchu sieciowego.

Stosując portale SSL VPN, nie ma potrzeby instalowania klientów VPN na komputerach użytkowników. Nakłady firmy na wsparcie pracowników (tzw. help-desk) są dzięki temu niższe. Mogą wystąpić jednak pewne niedogodności, z których należy zdawać sobie sprawę, planując to rozwiązanie. Najważniejszym z nich jest potrzeba zalogowania na koncie administratora w celu uzyskania pełnej funkcjonalności portalu. W tym czasie na komputerze użytkownika przeglądarka pobiera i uruchamia komponenty, poprzez które odbywa się tunelowanie w sesjach SSL komunikacji sieciowej aplikacji innych niż HTTP, weryfikacja stanu bezpieczeństwa komputera użytkownika, czy usuwanie podręcznej pamięci przeglądarki. Dalsza praca z portalem zwykle może już odbywać się z konta nieuprzywilejowanego użytkownika.

Rozwiązania SSL VPN umożliwiają integrację z systemami aplikacji w zakresie jednokrotnego uwierzytelniania użytkowników Single-Sign On (SSO). Brama SSL VPN po dokonaniu uwierzytelniania tożsamości użytkownika może przekazać te dane do aplikacji, m.in. serwerów webowych czy serwerów plików. Dzięki temu rozwiązania te otwierają nowe możliwości budowania systemów handlu elektronicznego e-commerce. Jedno urządzenie zabezpieczeń może posłużyć do zapewnienia dostępu i ochrony dla wielu aplikacji i firm, np. sklepów internetowych. Klienci systemu e-commerce najpierw logują się w portalu SSL VPN i po pozytywnym uwierzytelnieniu uzyskują dostęp do usług systemu.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200