Zakaz wstępu z wirusami

Kolejny element to sprawdzenie poziomu zabezpieczeń stacji roboczej przed udzieleniem jej dostępu. Takie sprawdzenie powinno obejmować wykrycie obecności oraz aktualności zainstalowanego oprogramowania antywirusowego, przeskanowanie komputera pod kątem obecności szeregu zagrożeń (np. keyloggery, spyware, adware itp.), wykrycie obecności desktopowego firewalla, sprawdzenie kluczy w rejestrze, poziom aktualizacji systemu operacyjnego itp. Powinno również dawać możliwość naprawienia uchybień bezpieczeństwa w razie ich stwierdzenia - funkcja "remediation". Skądś to znamy… Sprawdzenia takie są przecież charakterystycznym elementem architektury NAC. Ale to właśnie SSL VPN dał im początek. Badanie bezpieczeństwa stacji roboczej realizowane jest najczęściej za pomocą apletu ładowanego podczas logowania do portalu. Istotnym elementem jest też zapewnienie powiązania pomiędzy poziomem bezpieczeństwa stacji a dostępem do określonych zasobów (o autoryzacji mówiliśmy wcześniej). Rozbieżności pomiędzy producentami są tutaj niestety duże.

Twardy jak skała

Skoro tak troszczymy się o poziom ochrony stacji roboczej, to z równie dużym zainteresowaniem powinniśmy spojrzeć na zabezpieczenia oferowane do ochrony samego koncentratora VPN. Jeżeli mamy do czynienia ze sprzętem (appliance), to w przypadku bram SSL VPN rozwiązanie będzie z pewnością oparte na specjalnie "utwardzonej" wersji Linuksa albo Windowsa, przy czym ten pierwszy jest bardziej prawdopodobny. Nie znaczy to, że będzie odporne na wszystkie zagrożenia. Niemniej jednak zdejmie z naszych barków żmudną pracę ręcznej konfiguracji systemu przeznaczonego pod koncentrator - konieczną, jeżeli wybierzemy rozwiązanie software'owe.

Sam hardening to niestety za mało. Koniecznością jest rezydentne oprogramowanie antywirusowe lub możliwość integracji z zewnętrznym serwerem AV. Oprócz tego część rozwiązań wyposażona jest w proste mechanizmy IPS, które skupiają się na ochronie konkretnych elementów systemu. Ciekawą technologią możliwą do wykorzystania w celu ochrony bramy SSL VPN jest zastosowanie tzw. śluzy powietrznej (Air Gap). Polega ona na użyciu dwóch urządzeń, z których jedno realizuje typowe funkcje koncentratora SSL VPN i otwarte jest na łączność z siecią LAN. Drugie jest dostępne z zewnątrz na standardowym porcie 443 i jedyne, co robi, to przechwytuje połączenia i kolekcjonuje ramki. Pomiędzy obydwoma urządzeniami funkcjonuje bank pamięci. Do niego urządzenie zewnętrzne przesyła zapytania, które otrzymuje ze świata. Następnie właściwa brama SSL VPN wewnątrz LAN sięga do tej pamięci i pobiera potrzebne informacje. Najciekawsze jest to, że nie jest możliwy jednoczesny dostęp do banku pamięci przez obydwa urządzenia. Nie ma więc połączenia pomiędzy Internetem a koncentratorem VPN. Air Gap niestety wymaga większych nakładów administracyjnych i finansowych. No, ale coś za coś. Nie można również zapominać o ochronie bramy także od strony sieci lokalnej. Powinny być tutaj zastosowane podobne do powyższych mechanizmy zabezpieczeń.

O wyższości świąt Wielkiej Nocy...

Mając już pojęcie o sprawach związanych z bezpieczeństwem SSL VPN, pozostaje jeszcze zwrócić uwagę na niezwykle ważny, z punktu widzenia administratora, aspekt - zarządzanie rozwiązaniem i monitorowanie jego pracy. Sposobów realizacji tej kwestii jest wiele. Większość producentów pozwala na zarządzanie bramą z poziomu przeglądarki WWW, część wymaga osobnej aplikacji, a jeszcze inni pozwalają na jedno i drugie. Ważne jest, żeby przed wyborem rozwiązania istniała możliwość "dotknięcia" konsoli. Więcej na ten temat nie ma potrzeby się rozpisywać.

A więc nie można lekceważyć SSL VPN. Nawet najbardziej zagorzali zwolennicy starego, dobrego IPSeca muszą przyznać, że nie wszędzie da się go zastosować. Z drugiej strony są obszary (np. tunele site-to-site), na których SSL VPN nie sprawdza się aż tak znakomicie, jak wystandaryzowany IPSec. Jednoznaczna odpowiedź na pytanie, co jest lepsze, nie jest możliwa. Każdy szanujący się konsultant bezpieczeństwa zamyśli się, popatrzy w dal i odpowie "to zależy". Faktem pozostaje, że trudno o bardziej uniwersalne i skalowane narzędzie realizujące podstawowe założenie zdalnego dostępu klienckiego - możliwość dostania się do informacji z dowolnego miejsca.