Partnerzy podwyższonego ryzyka

Solidne zabezpieczenie zdalnego dostępu dla pracowników, choć trudne, wydaje się drobnostką w porównaniu z sytuacją, w której część aplikacji lub usług firmowej sieci trzeba udostępnić partnerom biznesowym lub klientom. Jeżeli w grę wchodzi udostępnianie jasno określonego zestawu danych, idealnym rozwiązaniem wydaje się portal. Jednak jego budowa to przedsięwzięcie czasochłonne i kosztowne, a ponadto nie wszystkie aplikacje da się w rozsądny sposób udostępnić w portalu. Bezpośredni dostęp jest czasem jedyną opcją i wtedy kluczowe staje się pewne uwierzytelnienie oraz precyzyjne zarządzanie uprawnieniami.

Innowacyjną metodę rozwiązania tego problemu opracowała amerykańska firma Trusted Network Technologies (TNT). Jej rozwiązanie o nazwie Identity zakłada uwierzytelnianie na poziomie każdej sesji TCP/IP, dzięki czemu osoba nieuprawniona nie jest nawet w stanie stwierdzić, że w sieci działają jakiekolwiek usługi czy aplikacje. Jeżeli do uwierzytelnienia dojdzie, zostają udostępnione jedynie ściśle określone usługi, bez możliwości podsłuchania lub przechwycenia sesji innych użytkowników. Ta ostatnia własność sprawia, że Identity wprost idealnie nadaje się do zabezpieczania dostępu do sieci WLAN dla gości - w firmowej sali konferencyjnej lub hotelu.

Działanie Identity opiera się na oprogramowaniu klienckim współpracującym ze sprzętowo-programową bramką działającą w trybie in-line i zlokalizowaną na obrzeżu sieci (w przypadku zdalnego dostępu) lub też na granicy segmentu sieci przeznaczonego dla serwerów. Na początku każdej sesji TCP/IP niewielki moduł programowy po stronie klienta (I-Host) na podstawie identyfikatora użytkownika oraz identyfikatora systemu tworzy w locie cyfrowy certyfikat PKI będący unikalnym podpisem sesji. Podpis jest następnie szyfrowany i kodowany steganograficznie. Powstały w wyniku kodowania niewielki "obrazek" jest osadzany w pakiecie IP i wysyłany w kierunku bramki, w której następują: dekodowanie, deszyfracja, odczyt klucza i uwierzytelnienie.

Pozytywne uwierzytelnienie powoduje przesłanie sesji dalej - do serwera docelowego, zaś nadesłanie nieprawidłowego klucza sesji sprawia, że pakiety sesji nie przepływają dalej. W takiej sytuacji I-Gateway nie odsyła do klienta żadnych pakietów, lecz jedynie loguje fakt próby nawiązania sesji. Efekt jest taki, że podanie nieprawidłowych danych uwierzytelniających uniemożliwia jakąkolwiek komunikację.

Na pozór wydaję się, że pomysł TNT nie odbiega - co do zasady - od mechanizmów zabezpieczeń w rodzaju EAP + RADIUS. Podobieństwo istnieje, ale jedynie ogólne, bo efekty działania obu rozwiązań różnią się pod względem rzeczywiście zapewnianego bezpieczeństwa. W przypadku klasycznego uwierzytelnienia z użyciem protokołu logowania opartego na hasłach, metodzie challenge-response czy certyfikatach PKI, uwierzytelnienie następuje ponad warstwą sieciową, co umożliwia wykorzystanie niedociągnięć konkretnej implementacji bibliotek sieciowych lub przedostanie się do sieci mimo wszystko. W rozwiązaniu TNT takiej możliwości nie ma, ponieważ klucz zmienia się z każdą sesją TCP/IP, których w ramach pojedynczego połączenia sieciowego odbywa się bardzo dużo. Nie ma też możliwości przejęcia sesji innego użytkownika - ani w sieci kablowej, ani bezprzewodowej.

Aplikacje w pojemnikach

Jednym z podstawowych problemów w sieciach WAN jest dystrybucja zmian konfiguracyjnych i aktualizacji. Wąskie pasmo sieci WAN to problem sam w sobie, ale nie jedyny. Każda nowa aplikacja, a także każda aktualizacja aplikacji już działającej powoduje zmiany w systemie Windows - podmieniane są biblioteki, zmieniane są wpisy w rejestrze itd. Dystrybucja każdej aplikacji lub aktualizacji stanowi więc ryzyko destabilizacji pracy firmy lub zwiększenie zagrożenia sieciowego, a w najlepszym razie lawinę zgłoszeń o wsparcie techniczne.

Ciekawą koncepcją rozwiązania problemu bezpiecznej dystrybucji oprogramowania dla platformy Windows oraz Citrix MetaFrame w sieciach WAN jest oprogramowanie opracowane przez firmę Softricity. Rozwiązanie o nazwie SoftGrid to platforma pozwalająca uruchamiać aplikacje klienckie wewnątrz odseparowanych od systemu operacyjnego i od siebie nawzajem maszyn wirtualnych. Podstawowa korzyść z jego zastosowania jest taka, że ewentualne problemy z aplikacjami klienckimi nie zaburzają standardowej konfiguracji systemu i nie wpływają na bezpieczeństwo i dostępność pozostałych programów.

Aby przygotować aplikację do działania na platformie SoftGrid, należy najpierw posłużyć się oprogramowaniem Sequencer. Rejestruje ono nazwy, wersje i konfiguracje plików INI, bibliotek DLL, kluczy rejestru Windows oraz wywołania systemowe wykorzystywane przez aplikację podczas normalnej pracy. Pliki i ustawienia są następnie kopiowane do środowiska SystemGuard - dedykowanej dla tej aplikacji maszynie wirtualnej. Spreparowana na potrzeby SoftGrid aplikacja nie jest nigdy instalowana w systemie. Wiele wersji tej samej aplikacji może działać w ramach równolegle działających maszyn wirtualnych w tym samym systemie operacyjnym.

Cały zabieg służy temu, aby odwołując się do ustawień bądź komponentów systemowych, aplikacja odwoływała się de facto do ich kopii i nie wchodziła w konflikty z innymi aplikacjami. Zanim aplikacja zostanie uruchomiona, Sequencer grupuje komponenty aplikacji w taki sposób, by oddzielić funkcje używane często od tych wywoływanych sporadycznie, a następnie kopiuje przygotowany plik z "obrazem" aplikacji na SoftGrid Application Server, skąd odbywać się będzie jej dystrybucja do użytkowników.

Uruchamiając klienta SoftGrid, użytkownik jest uwierzytelniany w Active Directory. Na podstawie zawartych w katalogu wpisów SoftGrid Application Server przesyła do klienta skróty do aplikacji, które użytkownik ma prawo uruchomić. Uruchomienie aplikacji powoduje pobranie jej obrazu, a w zasadzie jego części - reszta zostanie dosłana w razie potrzeby. Pobieranie aplikacji z sieci odbywa się oczywiście tylko za pierwszym razem - pliki są buforowane, a przy ponownym uruchomieniu klient SoftGrid sprawdza jedynie, czy nie należy podmienić niektórych plików na nowsze wersje.

Rozwiązanie firmy Softricity łączy elastyczność i bezpieczeństwo dystrybucji aplikacji i aktualizacji, oszczędność pasma sieci WAN oraz wysokie bezpieczeństwo. Aplikacje spreparowane dla platformy SoftGrid można uruchamiać za pośrednictwem komputerów desktop, notebooków oraz usług terminalowych (Windows 2000/2003 oraz Citrix MetaFrame).

Koło się toczy

Z biegiem czasu problemów w sieciach WAN będzie zapewne przybywać. Potrzeba jest matką wynalazku - na nowe problemy znajdą się więc zapewne nowe sposoby. Rozwiązania uważane dziś za nowinki będą za kilka lat obowiązkowym wyposażeniem w wielu instalacjach. Kto kilka lat temu sądził, że SSL VPN staną się aż tak popularne?