Pogodzić VPN z firewallem

Umiejscowienia serwera VPN w stosunku do serwera firewall można dokonać na kilka sposobów. Każdy z nich daje inny poziom bezpieczeństwa i szybkość pracy.

Umiejscowienia serwera VPN w stosunku do serwera firewall można dokonać na kilka sposobów. Każdy z nich daje inny poziom bezpieczeństwa i szybkość pracy.

Firewall jest często pierwszym i ostatnim zabezpieczeniem, jakie jest wykorzystywane w firmach podłączających swoje sieci do Internetu. Stosując podział na strefy publiczne, zdemilitaryzowane i prywatne, stosunkowo łatwo można zabezpieczyć sieć przed nie autoryzowanym dostępem (zakładając, że dostęp do stref prywatnych, w których działają np. poszczególnych działów firmy, jest ograniczony zestawem reguł). Problem zaczyna się wtedy, gdy konieczne jest dodatkowo wdrożenie serwera terminującego połączenia w ramach wirtualnych sieci VPN, za pośrednictwem którego (bądź których) dostęp do określonych zasobów sieci korporacyjnej uzyskiwaliby zdalni pracownicy, łączący się za pośrednictwem Internetu, a także partnerzy handlowi. Osoba odpowiedzialna za bezpieczeństwo sieci korporacyjnej ma kilka możliwości do wyboru: może umiejscowić serwer VPN przed firewallem, za nim, równolegle z nim (na dwa sposoby) lub zdecydować się na wdrożenie rozwiązania integrującego funkcjonalność serwera firewall i VPN. Przy implementacji dowolnego z tych scenariuszy należy pamiętać, że firewall i VPN są stosowane wspólnie w celu zwiększenia bezpieczeństwa transmisji - a nie odwrotnie.

Dobra idea

Pierwszym podstawowym sposobem na umieszczenie serwera VPN jest jego instalacja tuż za routerem internetowym, lecz przed firewallem, chroniącym sieć korporacyjną. Rozwiązanie to jest o tyle dobre, że serwer VPN najpierw otrzymuje pakiety nadsyłane z Internetu, rozszyfrowuje je (jeśli są one dostarczane w ramach sesji VPN) i przekazuje do firewalla, który może je poddać dalszej inspekcji, weryfikując, czy mają one prawo być wpuszczane do sieci lokalnej.

Rozwiązanie takie ma jednak wiele wad. Umiejscowienie serwera VPN w strefie nie chronionej jeszcze przez zaporę ogniową naraża VPN na ataki z Internetu. Jednocześnie, ze względu na fakt, że firewall i serwer VPN pracują niezależnie, użytkownik może być zmuszony do podwójnej identyfikacji (przez serwer VPN i firewall) każdorazowo, gdy próbuje uzyskać dostęp do sieci korporacyjnej. Jednocześnie zarządzanie taką rozproszoną infrastrukturą zabezpieczającą jest znacznie utrudnione, gdyż administrator musi dokonywać modyfikacji list dostępowych, identyfikatorów użytkowników i haseł na dwóch urządzeniach pochodzących zazwyczaj od różnych producentów (ci producenci, którzy oferują zarówno firewall, jak i serwer VPN, zazwyczaj je integrują).

Poziom komplikacji rozwiązania wzrasta, gdy firma zdecyduje się zastosować kilka serwerów VPN i firewall w celu zapewnienia ich pracy w trybie bezawaryjnym (awaria jednego z serwerów nie powoduje wyłączenia rozwiązań zabezpieczających).

Częściowe rozwiązanie problemu

Wydawać by się mogło, że problem częściowo można rozwiązać, ukrywając serwer VPN za firewallem, co zapewniłoby jego bezpieczeństwo i oddzieliło od Internetu dosyć szczelnym pancerzem. Rozwiązanie to wnosi jednak inne, nowe ograniczenia w zakresie bezpieczeństwa.

Jeśli serwer VPN będzie schowany za firewallem, to dla powodzenia transmisji VPN będzie konieczne otwarcie na firewallu dodatkowych portów komunikacyjnych, umożliwiających realizację połączeń w ramach sieci wirtualnych. Dla protokołu IPSec konieczne jest odblokowanie portów TCP 50 i 51 oraz umożliwienie komunikacji UDP na porcie 500 w celu wymiany komunikatów IKE. Jeśli VPN-y są budowane z wykorzystaniem protokołu PPTP (stosowany w rozwiązaniach Microsoftu), konieczne jest otwarcie portu TCP 1723 w komunikacji z docelowym serwerem oraz odblokowanie protokołu GRE (IP Protocol 47).

Jednocześnie firewall musi przepuszczać wszelkie transmisje na tych portach i nie ma możliwości rozpoznania, jakiego typu dane są nimi przesyłane. Przesyłane pakiety są bowiem zaszyfrowane, a ich odszyfrowanie następuje dopiero na serwerze VPN. Dzięki temu każdy użytkownik (pracownik firmy bądź też partner) uprawniony do korzystania z serwera VPN uzyskuje pełny dostęp do zasobów sieci lokalnej - nawet gdy reguły na firewallu ograniczają jego prawa tylko do określonych zasobów.

W zasadzie do zapewnienia należytego poziomu bezpieczeństwa w takim scenariuszu konfiguracyjnym byłoby konieczne zastosowanie drugiego serwera firewall - już za serwerem VPN.

Szybszy i mniej bezpieczny

Oba przedstawione scenariusze umiejscowienia serwerów firewall i VPN mają jeszcze jedną wadę - obydwa serwery wnoszą dodatkowe opóźnienia w realizowanych transmisjach. Wady tej nie ma kolejny scenariusz instalacji, w którym serwer VPN jest umiejscowiony równolegle z serwerem firewall, a co za tym idzie - transmisje szyfrowane są realizowane za pośrednictwem serwera VPN, a nie szyfrowane - obsługiwane przez firewall.

Rozwiązanie takie niesie jednak znacznie więcej zagrożeń niż dwa poprzednie modele. Przede wszystkim serwer VPN jest eksponowany w Internecie identycznie jak w pierwszym przedstawionym scenariuszu. Tu jednak złamanie jego zabezpieczeń nie powoduje wyłącznie przerwania pracy serwera VPN, ale może również dać włamywaczowi możliwość obejścia firewalla i dotarcie w ten sposób do zasobów sieci korporacyjnej. Podobnie jak w drugim scenariuszu, brakuje również dokładnej kontroli praw dostępu. Serwer VPN może bowiem zidentyfikować użytkownika, ale nie ograniczy liczby usług i zasobów, do jakich ma on dostęp - tak jak serwer firewall.

W przypadku zastosowania równoległego połączenia serwerów VPN i firewall znacznie komplikują się również zasady routingu informacji pomiędzy siecią korporacyjną a Internetem. Jeśli w sieci firmowej jest stosowana translacja adresów NAT (Network Address Translation), to oprócz serwera firewall, musi ją również obsługiwać serwer VPN, aby możliwa była dwukierunkowa komunikacja między zdalnym użytkownikiem a serwerami działającymi w translatowanej sieci.

Zupełnie bezpieczny

Najbardziej rozsądnym rozwiązaniem z punktu widzenia bezpieczeństwa transmisji wydaje się umiejscowienie serwera VPN w tzw. strefie zdemilitaryzowanej. Jest to możliwe w przypadku serwerów firewall obsługujących taką funkcję i udostępniających przynajmniej trzy interfejsy sieciowe (do jednego z nich podłączony jest router internetowy, do drugiego - strefa zdemilitaryzowana, w której pracują serwery widoczne w Internecie, do trzeciego - bezpieczna sieć lokalna).

W takim scenariuszu zaszyfrowane transmisje za pośrednictwem firewalla trafiają do serwera VPN w strefie zdemilitaryzowanej, który je odszyfrowuje i ponownie za pomocą serwera firewall przekazuje do strefy prywatnej, w której działają serwery obsługujące użytkowników sieci korporacyjnej. Firewall chroni zarówno serwer VPN przed atakiem, jak i nakłada określone reguły korzystania z zasobów sieci lokalnych na tych użytkowników, którzy zostali już autoryzowani przez serwer VPN.

Rozwiązanie to ma jednak wady. Ze względu na to, że pakiety sieciowe kilkakrotnie przechodzą przez serwer firewall, wprowadzane jest znaczące opóźnienie transmisji (istotne szczególnie w przypadku transmisji multimedialnych, realizowanych przez bezpieczne kanały VPN). W takim przypadku ważne jest więc zastosowanie zarówno bardzo wydajnego (najlepiej sprzętowego) serwera VPN, jak i serwera firewall.

Podobnie jak w pierwszym i drugim scenariuszu, użytkownik może być zmuszony do podwójnej autoryzacji - na serwerze VPN i firewallu. W przypadku stosowania translacji NAT problematyczne staje się również realizowanie transmisji multimedialnych, np. z wykorzystaniem aplikacji NetMeeting.

Najlepsze wyjście

Ostatnim z możliwych scenariuszy, jednocześnie umożliwiającym zniesienie wszystkich ograniczeń istniejących w opisanych wcześniej modelach, jest zastosowanie jednego rozwiązania integrującego funkcjonalność serwerów firewall i VPN. Rozwiązania takie, jeszcze przed dwoma laty niezbyt popularne, znajdują się obecnie w ofercie tych producentów, którzy dotychczas proponowali niezależnie zarówno serwery firewall, jak i VPN. Najpopularniejszym z nich jest produkt firmy Check Point Software - pakiet VPN-1/FireWall-1.

W rozwiązaniu zintegrowanym zostaje wyeliminowana potrzeba podwójnego logowania użytkownika, a jednocześnie moduł VPN jest dobrze zabezpieczony przed atakami przez moduł firewall. Ten ostatni może również sprawować kontrolę nad transmisją już po odszyfrowaniu jej przez moduł VPN.

Ponadto zaletami takiego zintegrowanego rozwiązania jest fakt, że obydwa moduły korzystają z jednej bazy danych, dotyczących użytkowników, oraz jednego zestawu reguł, określających zasady wykorzystania sieci i dostępnych w nich aplikacji poprzez poszczególnych użytkowników bądź ich grupy. Dzięki integracji obu rozwiązań zostają też wyeliminowane problemy z translacją NAT i złożonym konfigurowaniem routingu. Nie bez znaczenia jest również to, że administrator może otrzymywać jeden log dotyczący pracy obu modułów.

Kompromis

Wszystkie przedstawione rozwiązania, poza ostatnim, stanowią swego rodzaju kompromis, nie umożliwiając osiągnięcia maksymalnego poziomu bezpieczeństwa przy jednoczesnej maksymalnej szybkości obsługi transmisji. Jednak w przypadku firm, które zainwestowały już w rozwiązanie firewall, którego producent nie oferuje serwerów VPN, ekonomicznie nieuzasadnione byłoby pozbycie się stosowanego firewalla na rzecz nowego rozwiązania zintegrowanego. Dlatego takie firmy są zmuszone do samodzielnego integrowania pracujących niezależnie serwerów VPN i firewalli, uwzględniając specyfikę transmisji w ramach sieci wirtualnych. Jeśli bowiem firma ma za firewallem tylko jedną strefę prywatną, a jednocześnie jedynymi użytkownikami łączącymi się z siecią firmową poprzez VPN są pracownicy firmy, to nic nie stoi na przeszkodzie, by zastosować niezależne, szeregowo łączone serwery VPN i firewall.


TOP 200