Rozwiązania SSL VPN
- Krystian Ryłko,
- 01.09.2005
Nortel VPN Gateway 3050
Nortel jest dobrze skalowalny, oferuje wszystkie potrzebne mechanizmy VPN oraz szczegółowe zabezpieczenia punktów końcowych. Jest rozsądnym wyborem dla firm posiadających już infrastrukturę IPSec i zamierzających bezboleśnie przejść na SSL VPN.
Podczas próbnego wdrożenia, po ustawieniu adresacji IP za pomocą łącza szeregowego, zalogowano się przez przeglądarkę Firefox i dokończono konfigurację przez panel administracyjny. Interfejs użytkownika jest starannie zaprojektowany, ale znalezienie szczegółowych opcji menu nie jest tak intuicyjne jak w Connectrze.
Dodawanie nowych użytkowników w panelu administracyjnym Nortela.
Uwierzytelnianie LDAP/Active Directory funkcjonuje poprawnie, a nawet umożliwia przenoszenie wygasłych kont użytkowników AD do powtórnego ustalenia haseł. Podobnie jak w innych bramach SSL, administrator może ustalić kolejność różnych metod uwierzytelniania. Przykładowo, istnienie danego użytkownika weryfikowane jest w lokalnej bazie danych, a jeżeli nie przyniesie to rezultatów, sprawdzany jest w inny sposób, np. poprzez RADIUS.
Interfejs apletu TunnelGuard, przeznaczonego dla obsługi użytkowników.
Podobnie jak Connectra oferuje silne wsparcie przeglądarek internetowych, a aplikacje TCP i UDP dostępne są po pobraniu appletu Javy. Zawiera gotowe definicje usług Citrix, Telnet, SSH oraz natywną obsługę MS Outlooka ("gruby" klient) przez Internet. Obsługuje RPC poprzez SSL bez potrzeby jakichkolwiek zmian w serwerze Exchange.
Dla zestawiania dwukierunkowych tuneli na warstwie trzeciej jest udostępniany Netdirect, napisany w ActiveX - czyli ograniczony do platformy Windows.
Edycja portalu użytkownika zdalnego.
Zarządzanie punktami końcowymi i ich kontrola realizowana jest przez aplikację Nortel TunnelGuard w Javie. Zdalny komputer jest sprawdzany dopiero po uwierzytelnieniu. Inspekcja obejmuje zawartość dysku, uruchomione procesy oraz certyfikaty cyfrowe. Nie kontroluje natomiast wpisów w rejestrze, wersji programu ani aktualnej daty, co uniemożliwia sprawdzenie aktualności programu antywirusowego. TunnelGuard, choć wszechstronny, to jednak zarządzanie nim jest nazbyt złożone.
Chociaż produkt Nortela pełnię możliwości oferuje użytkownikom IE, to na jego korzyść przemawia wielowątkowa kontrola SSL oraz obsługa klientów IPSec.
Juniper Networks NetScreen-SA 5000
NetScreen-SA 5000 dostarcza możliwość wyjątkowo szczegółowej kontroli, udostępnia wszystkie tryby zdalnego dostępu oraz solidnych usług uwierzytelniania. Współpracuje z szerokim gronem dostępnego na rynku oprogramowania do kontroli zdalnych PC.
Aplikacja Junipera współpracuje z oprogramowaniem zabezpieczającym zdalne komputery, pochodzącym od różnych producentów.
Aplikacje TCP są przesyłane za pośrednictwem SAM (Security Access Manager), dostępnego w wersji Windows i Java. Może on być pobierany automatycznie przez użytkownika.
Przypisywane użytkowników do różnych polityk bezpieczeństwa.
Interfejs aplikacji zarządzającej Juniper NetScreen.
Interfejs użytkownika wydaje się być nieporęczny i zagmatwany. Jest to jednak podyktowane liczbą dostępnych opcji. W praktyce kontekstowe odnośniki pozwalają szybko odnaleźć dane ustawienie. Sprawnie działa system raportowania i rejestracji.
W klaster można zgrupować do ośmiu urządzeń. NetScreen 5000 nie obsługuje sieci VLAN.
Nokia Secure Access System 3.0
Wprawdzie NSAS można uruchomić szybko, ale szczegółowe ustawienia interfejsu użytkownika wymagają pracy. Chociaż dostęp oparty na http jest sprawny, to już obsługa aplikacji "cienkiego" klienta TCP jest uciążliwa, a pisanie skryptów zabezpieczających punkty końcowe męczące. Wadą jest brak wsparcia dla oprogramowania innych producentów zabezpieczającego zdalne hosty.
W NSAS schematy uwierzytelniania definiowane są globalnie, nie umożliwiając tworzenia wielu wirtualnych lokalizacji. Obsługiwane są mechanizmy uwierzytelniania LDAP, Active Directory, NTLM (NT LAN Manager), RADIUS, certyfikaty PKI oraz lokalna baza użytkowników. Dwa węzły NSAS można łączyć w klaster.
Aplikacje TCP obsługiwane są za pomocą programu w Javie. Użytkownik musi uzyskiwać informacje o adresie zwrotnym dla każdej specyficznej aplikacji. Wszystkie pozostałe testowane systemy ukrywały te czynności przed użytkownikiem.
Secure Connector umożliwia zestawianie tuneli. Administrator, podobnie jak w NetScreen, może przydzielać zdalnym klientom adresy IP z puli prywatnej. Ustawienia kontroli dostępu podobne są do reguł firewalla, określając zakres adresów, portów i protokołów, które umożliwiają dostęp do danych zasobów. Oprogramowanie Secure Connector dostępne jest tylko dla Windows z IE.
Ocena rozwiązań SSL VPN
Aplikacja Client Integrity Scan sprawdza zdalny PC przed lub po uwierzytelnieniu. Administrator może zdefiniować mechanizm skanowania za pomocą indywidualnego skryptu, co jednak wymaga czasu.
Administracyjny interfejs użytkownika NSAS jest przejrzysty. Dostępna jest olbrzymia ilość informacji monitorujących i rejestrujących, które mogą być filtrowane.
Niestety, Nokia nie wspiera weryfikacji zdalnych hostów za pomocą oprogramowania firm trzecich, np. Sygate, WholeSecurity. Opcja taka pomogłaby w integracji z już istniejącą infrastrukturą zabezpieczającą klienta.