Test bram SSL VPN
- Patryk Królikowski,
- 15.06.2009
Od kilku lat rynek bram SSL VPN rozwija się dosyć dynamicznie. Dostawcy starają się wprowadzać dodatkowe funkcjonalności do swoich produktów, zwiększając ich atrakcyjność. Czasem nawet trudno powiedzieć, czy mamy do czynienia jeszcze z typowym koncentratorem VPN, czy też ze swego rodzaju UTM-em z elementami zapory ogniowej lub modułu NAC.
W rezultacie bramy SSL VPN stają się bardzo interesującą alternatywę dla koncentratorów IPSec. Od dawna też trwa debata nad wyższością jednego typu rozwiązań nad drugim. Każde ma swoich gorących orędowników i przeciwników.
Nie należy się jednak łudzić, że SSL VPN wyprze tradycyjne rozwiązania IPSec, co starają się nam wmówić niektórzy analitycy rynku i producenci rozwiązań SSL-owych. Owszem, bramy SSL VPN są bardzo dobrym pomysłem, ale przeznaczone są przede wszystkim do realizacji połączeń typu client-to-site, w środowiskach z dużą liczbą użytkowników mobilnych. IPSec jest bezkonkurencyjny w przypadku tuneli typu site-to-site. Może być też atrakcyjnym rozwiązaniem do zdalnego zarządzania zasobami przez administratorów. Ciężki klient jest też bardziej przydatny, jeżeli z zasobami korporacyjnymi łączymy się z jednej lokalizacji, z tego samego komputera i potrzebujemy pełnej łączności, od warstwy 3. wzwyż.
SSL VPN może rodzić pewne obawy u ekspertów ds. bezpieczeństwa. Fakt ten wykazał Michael Zusman na ubiegłorocznej konferencji Black Hat. Chodzi tutaj przede wszystkim o niebezpieczeństwo związane z kontrolkami ActiveX instalowanymi przez bramy SSL VPN. Niektóre z bram pozwalają na zautomatyzowanie procesu uruchamiania aplikacji klienckich na stacjach końcowych. Wygląda to tak, że użytkownik po połączeniu się do portalu VPN wybiera z listy aplikację, a klient VPN (kontrolka) uruchamia ją za niego. Jak mówi Zusman, zagrożenie tkwi w roli, jaką pełni kontrolka ActiveX - wyzwalacza uruchamiającego aplikację. Skoro może uruchomić aplikację, to może równie dobrze posłużyć do wywołania dowolnego kodu złośliwego. Zusman przeprowadził udany atak związany z wykorzystaniem klienta SSL VPN pochodzącego z produktu SonicWall. Poinformował jednocześnie producenta o podatności, a ten szybko ją poprawił. Nie oznacza to jednak, że podobne ataki nie byłyby możliwe przy wykorzystaniu innych produktów.
Naszym celem było sprawdzenie, czego możemy oczekiwać od tego typu rozwiązań. Skupiliśmy się na stronie funkcjonalnej, łatwości instalacji i późniejszej konfiguracji oraz wrażeniach użytkownika końcowego. Testom poddaliśmy dostęp do najpopularniejszych zasobów, tj. poczty - poprzez portal WWW (IMAP/SMTP), udziałów sieciowych zarówno CIFS jak i SAMBA, Outlook Web Access, oraz dostęp do serwera linuksowego po SSH dla administratorów i aplikacji CRM z własnym "ciężkim" klientem. Przy ocenie pod uwagę braliśmy także jakość i szczegółowość dokumentacji.