Być może nazwa SSL VPN już wkrótce zniknie z rynku i zostanie zastąpiona przez NAC.

W ogólności zastosowania SSL VPN (Virtual Private Network) i systemów NAC (Network Access Control) są różne. SSL VPN służy przede wszystkim do zabezpieczania zdalnego dostępu i transmisji danych, podczas gdy NAC ma szerszy zakres - jego zadaniem jest pełna kontrola dostępu do zasobów dotycząca również lokalnych komputerów i urządzeń bezprzewodowych. Ale nie ulega wątpliwości, że sukces wdrożenia systemu NAC w znacznym stopniu zależy od jego dobrej integracji z SSL VPN oraz opracowania jednolitej, spójnej polityki bezpieczeństwa.

Niestety dziś chyba żaden z dostawców produktów związanych z bezpieczeństwem IT nie oferuje jeszcze narzędzi umożliwiających łatwe tworzenie i zarządzanie jednolitymi zasadami zabezpieczeń zarówno dla systemów NAC, jak i SSL VPN.

Można jednak oczekiwać, że technologie te będą rozwijane w kierunku ich integracji. Potwierdzeniem tego typu opinii mogą być kryteria oceny jakości systemów NAC, bardzo podobne do tych, które są stosowane wobec SSL VPN - jak zauważa Joel Snyder z konsultingowej firmy Opus One. Czy więc już obecnie urządzenia SSL VPN można uznać za element niezbędny w zaawansowanym systemie NAC? Przedstawiciele Caymas Systems czy Juniper Networks, a więc firm, które należą do znanych producentów systemów SSL VPN, zdecydowanie potwierdziliby taką opinię. Dowodem na to są ich najnowsze modele SSL VPN wyposażone w zintegrowane funkcje kontroli i autoryzacji dostępu oraz analizy urządzeń klienckich pod kątem ich bezpieczeństwa. Funkcje te pasują jak ulał do ogólnego schematu opisującego podstawowe założenia, na których opiera się architektura systemów NAC.

Podobnie jak wcześniej producenci systemów IDS (Intrusion Detection System) umożliwiających detekcję włamań do sieci, w naturalny sposób zaczęli rozwijać technologię i oferować bardziej zaawansowane produkty klasy IPS (Intrusion Prevention System) - czyli systemy nie tylko wykrywające, ale aktywnie zapobiegające włamaniom. Wydaje się, że obecnie producenci SSL VPN są najlepiej przygotowani do rozszerzenia oferty właśnie o zaawansowane systemy klasy NAC.

Juniper już wszedł na rynek NAC, prezentując ostatnio nowej generacji urządzenia appliance SSL VPN UAC (Unified Access Controller) IC-4000. Ale niektórzy ze znanych producentów SSL VPN, jak choćby F5 Networks, przynajmniej w marketingu, wciąż unikają jasnego prezentowania się jako dostawcy systemów NAC.

Joel Snyder, który zajmował się m.in. testowaniem systemów NAC i opracowywaniem kryteriów ich oceny, uważa, że technologie SSL VPN pod względem funkcjonalności wyraźnie się do nich zbliżają. Dobrym tego przykładem może być urządzenie SSL VPN FirePass wprowadzone ostatnio przez F5 Networks.

Bliskie kryteria oceny

Pierwszym kryterium jakości systemu NAC jest duży zakres obsługiwanych mechanizmów autentykacji (identyfikacji) użytkowników, zarówno różnego rodzaju serwerów (FirePass współpracuje z ośmioma różnymi serwerami), jak i mechanizmów służących do przechowywania i wprowadzania danych identyfikacyjnych. W tym ostatnim przypadku systemy SSL VPN w ogólności mają z reguły ograniczoną funkcjonalność.

NAC powinien obsługiwać protokół 802.1X, a także różnego typu serwery autentykacyjne, podczas gdy klasyczny SSL VPN najczęściej współpracuje tylko z webowymi mechanizmami identyfikacji urządzeń klienckich. FirePass umożliwia identyfikację zarówno przy wykorzystaniu nazwy użytkownika i hasła, tak jak w typowych systemach webowych, jak i przy zastosowaniu certyfikatów cyfrowych.

Oprócz tego FirePass, podobnie jak niektóre wysokiej klasy urządzenia SSL VPN innych producentów, pozwala na integrację z bardziej zaawansowanymi systemami do autentykacji użytkowników, choć wymaga to wykorzystania dodatkowych, opcjonalnych narzędzi, zezwalających na zintegrowanie SSL VPN z sieciową warstwą IP w sposób podobny do mechanizmów stosowanych standardowo w systemach IPSec VPN.

Drugim kryterium oceny jakości NAC jest funkcjonalność mechanizmów skanowania i oceny poziomu zabezpieczeń urządzeń klienckich. Pod tym względem FirePass, wyposażony w zaawansowany zestaw narzędzi współpracujących z różnymi platformami, jak Windows i Mac OS, wyprzedza większość rozwiązań NAC, które najczęściej nie mogą pracować w systemach heterogenicznych.

Ocena bezpieczeństwa urządzeń klienckich przez SSL VPN zależy od możliwości przesłania i uruchomienia w przeglądarce internetowej odpowiedniego oprogramowania skanującego. W wypadku FirePass wymaga to możliwości uruchomienia komponentów ActiveX. Inni producenci, jak Juniper czy Cisco, preferują stosowanie programów agenckich zainstalowanych w urządzeniach klienckich. Urządzenia F5 Networks nie mają takiej opcji i pozwalają na kontrolę tylko przy wykorzystaniu usług portala webowego.

Oprócz tego w porównaniu z systemami NAC wyraźnie brakuje w FirePass możliwości integracji z popularnymi narzędziami do skanowania bezpieczeństwa i zarządzania poprawkami w systemach i aplikacjach zainstalowanych w urządzeniach klienckich - FirePass współpracuje tylko z pakietem Symantec WholeSecurity. Jeszcze jednym brakującym obecnie elementem są funkcje do bieżącej kontroli stanu urządzeń, a nie tylko skanowania ich bezpieczeństwa podczas procesu logowania.

Trzecie ważne kryterium to ocena funkcji kontroli dostępu systemu NAC. Pod tym względem FirePass zapewnia większą elastyczność, bo SSL VPN z zasady umożliwia kontrolę na poziomie adresów URL, która jest bardziej szczegółowa niż typowe rozwiązania NAC wykorzystujące mechanizm udostępniania wirtualnych segmentów sieci LAN.

Oprócz tego FirePass pozwala na filtrowanie pakietów. Natomiast tylko systemy NAC klasy high-end, np. oferowane przez Cisco czy Juniper, są wyposażone w zapory firewall i funkcje IDS/IPS do zapobiegania włamaniom, więc pod tym względem FirePass można porównywać właśnie z nimi.

Ostatnim, czwartym z podstawowych kryteriów jest analiza funkcji dotyczących zarządzania. W tym przypadku porównanie z produktami NAC jest trudniejsze i wymaga dość szczegółowych testów. Joel Snyder uważa jednak, że pod tym względem FirePass najprawdopodobniej wyprzedziłby Cisco Secure ACS, oferując funkcjonalność podobną do systemów Juniper UAC.