Fizyczne odseparowanie procesu logowania użytkowników i świadczenia usług stanowi duże wzmocnienie bezpieczeństwa. Intruzi nie mają bowiem możliwości bezpośredniego zaatakowania serwerów aplikacyjnych e-commerce. Dane identyfikujące i potwierdzające tożsamość użytkownika mogą zostać przekazane z urządzenia SSL VPN do webowych serwerów dostępowych aplikacji e-commerce, tak aby klienci nie musieli tego robić dwukrotnie. Istotną zaletą jest także odciążenie serwerów aplikacji z wykonywania operacji kryptograficznych SSL. Operacje te wykonywane są przez urządzenie dostępowe SSL VPN.

Analiza bezpieczeństwa zdalnego dostępu SSL VPN

Swoboda dostępu do informacji (np. z hoteli, kawiarenek internetowych) oraz fakt korzystania z przeglądarek budzą duże kontrowersje w kwestii bezpieczeństwa SSL VPN. Błędy występujące w przeglądarkach i potencjalne możliwości ich wykorzystania, np. do zainstalowania na komputerze użytkownika trojana czy spyware, sprawiają, że rozwiązania SSL VPN postrzegane są jako mniej bezpieczne od tradycyjnych systemów zdalnego dostępu opartych na IPSec. Z technicznego punktu widzenia jest to stwierdzenie całkowicie niesłuszne. SSL VPN jako kompletne rozwiązanie zdalnego dostępu oferuje wyższy poziom bezpieczeństwa od konwencjonalnych rozwiązań VPN.

Można także spotkać się z innymi negatywnymi opiniami nt. rozwiązań SSL VPN, dotyczącymi ograniczeń ich funkcjonalności, np. problemów z dostępem do aplikacji innych niż HTTP. Ograniczenia tego typu mogą występować jedynie w najprostszych rozwiązaniach SSL VPN.

Portale aplikacyjne SSL VPN oferują wysoki poziom ochrony danych przesyłanych w sieci. Transmisja danych jest zabezpieczona za pomocą sprawdzonych technik kryptograficznych, m.in. algorytmów szyfrowania i uwierzytelniania danych. Identyfikacja i uwierzytelnianie użytkowników odbywa się przy użyciu wiarygodnych metod kontroli tożsamości, m.in. certyfikatów cyfrowych, haseł dynamicznych RADIUS i SecureID.

Ponadto rozwiązania SSL VPN mają możliwość weryfikacji stanu bezpieczeństwa komputera użytkownika. Kontrola może odbywać się przed zestawieniem sesji VPN oraz w czasie jej trwania. Do tego celu służą zintegrowane z bramą SSL VPN moduły inspekcyjne, poddające weryfikacji zabezpieczenia osobistej zapory łączącego się komputera, działanie skanera antywirusowego i aktualizację jego bazy, środki ochrony antyspyware, zawartości rejestru, a także obecność w systemie określonych plików i procesów.

W portalu SSL VPN uprawnienia użytkowników mogą być ustalane w formie szczegółowej polityki dostępu do zasobów systemu informatycznego opartej na rolach (role-based policy). Użytkownicy przed uzyskaniem dostępu do zasobów systemu informatycznego logują się do portalu, gdzie widzą tylko te aplikacje, do których, zgodnie z ustalaną na bieżąco polityką bezpieczeństwa, posiadają uprawnienia. W portalu SSL VPN została zaimplementowana koncepcja adaptacyjnej polityki bezpieczeństwa, gdzie prawa dostępu określonego użytkownika są ustalane w zależności od wielu czynników, m.in.:

• uprawnień nadanych dla użytkowników i grup,
• aktualnego miejsca przebywania użytkownika,
• zastosowanej metody uwierzytelniania,
• stanu bezpieczeństwa komputera użytkownika.

Dzięki temu dostęp do zupełnie innych aplikacji może uzyskać ten sam pracownik, uwierzytelniając się za pomocą hasła statycznego, tokenu lub certyfikatu. Portal aplikacyjny SSL VPN umożliwia także dodatkowe podwyższenie wśród użytkowników świadomości istnienia środków nadzoru i konieczności przestrzegania zasad bezpieczeństwa, np. poprzez odpowiednio przygotowany układ interfejsu GUI oraz komunikaty i ostrzeżenia.

Podsumowanie

Mimo swoich zalet SSL VPN nie jest rozwiązaniem, które może zastąpić IPSec VPN we wszystkich zastosowaniach. Implementacje sieci VPN typu site-to-site (tzn. zabezpieczenie komunikacji pomiędzy sieciami odległych lokalizacji) będą bardziej efektywne, gdy wykorzysta się protokoły IPSec i IKE.

Niewątpliwą zaletą protokołu IPSec jest bezproblemowa obsługa dowolnych aplikacji TCP/IP. Działanie zabezpieczeń IPSec jest realizowane na niskim poziomie (tzn. w warstwie 3 modelu OSI) i dzięki temu jest przezroczyste dla aplikacji i użytkowników.

Rozwiązania SSL VPN są pod tym względem mniej uniwersalne. Funkcjonują niezawodnie dla aplikacji działających na stałych portach TCP i sesji inicjowanych po stronie użytkownika. Aplikacje korzystające z dynamicznie nadawanych portów (np. Microsoft Exchange) również mogą poprawnie funkcjonować, ale wymagają specjalnej obsługi zaimplementowanej w urządzeniu dostępowym SSL VPN.

Technologia SSL VPN lepiej sprawdza się w implementacjach sieci VPN typu client-to-site, gdzie indywidualni pracownicy uzyskują zdalny dostęp do sieci firmowych. SSL VPN umożliwia im bezpieczny dostęp do sieci nie tylko z komputera PC czy laptopa, ale także z małych urządzeń jak PDA i smartphone. W razie nagłej potrzeby zapewnienia dostępu poprzez SSL VPN jest to możliwe znacznie szybciej niż z wykorzystaniem IPSec VPN, gdzie wymagana jest wcześniej instalacja oprogramowania klienta VPN oraz jego konfiguracja i dostrojenie.

<hr>

Mariusz Stawowski Autor zajmuje się bezpieczeństwem IT zawodowo od 1996 r. Posiada certyfikat CISSP oraz najwyższe stopnie specjalizacji w zakresie wiodących technologii zabezpieczeń. Jest autorem książek o tematyce bezpieczeństwa. Obecnie jest dyrektorem działu usług profesjonalnych w firmie Clico sp. z o.o.