Rozwiązania SSL VPN

Nortel VPN Gateway 3050

Brama VPN Nortela jest dobrze skalowalna i oferuje wiele parametrów konfiguracji SSL. Wyposażona jest nie tylko we wszystkie usługi, których wymaga się od bramy SSL VPN, ale również zawiera wsparcie klientów IPSec. TunnelGuard zapewnia zabezpieczenie punktów końcowych i zarządzanie nimi za pomocą pobieranego na żądanie appletu Javy, który nie uruchamia się zbyt szybko. Niedopracowana jest również integracja z Active Directory.

Podczas próbnego wdrożenia, po ustawieniu adresacji IP za pomocą łącza szeregowego, zalogowano się przez przeglądarkę Firefox i dokończono konfigurację przez panel administracyjny. Interfejs użytkownika jest starannie zaprojektowany, ale znalezienie szczegółowych opcji menu nie jest tak intuicyjne jak w Connectrze.

Nortel VPN 3050 zawiera lokalną bazę użytkowników, jak również oferuje wsparcie dla RADIUS, NTLM (NT LAN Manager), SiteMinder, LDAP oraz Active Directory za pomocą protokołu LDAP. Jednak stworzenie połączenia do AD było dosyć uciążliwe. Podobnie do doświadczeń z Connectrą, należało wpisywać ręcznie całą składnię ustawień LDAP, a dodatkowo grupę AD i odwzorowanie atrybutów użytkownika.

Uwierzytelnianie LDAP/Active Directory funkcjonuje poprawnie, a nawet umożliwia przenoszenie wygasłych kont użytkowników AD do powtórnego ustalenia haseł. Podobnie jak w innych bramach SSL, administrator może ustalić kolejność różnych metod uwierzytelniania. Przykładowo, istnienie danego użytkownika weryfikowane jest w lokalnej bazie danych, a jeżeli nie przyniesie to rezultatów, sprawdzany jest w inny sposób, np. poprzez RADIUS.

Nortel 3050 oferuje elastyczne metody zdalnego dostępu. Można wirtualnie rozdzielić to urządzenie dla odmiennych lokalizacji, z własnymi metodami uwierzytelniania i różnymi zasobami. Produkt obsługuje sieci VLAN i może być łączony w klastry, w celu skalowania.

Podobnie jak Connectra oferuje silne wsparcie przeglądarek internetowych, a aplikacje TCP i UDP dostępne są po pobraniu appletu Javy. Zawiera gotowe definicje usług Citrix, Telnet, SSH oraz natywną obsługę MS Outlooka ("gruby" klient) przez Internet. Obsługuje RPC poprzez SSL bez potrzeby jakichkolwiek zmian w serwerze Exchange.

Dla zestawiania dwukierunkowych tuneli na warstwie trzeciej jest udostępniany Netdirect, napisany w ActiveX - czyli ograniczony do platformy Windows.

W przeciwieństwie do urządzenia Check Point, administrator 3050 ma dużą kontrolę nad implementacją SSL i parametrami HTTP. Możliwa jest szczegółowa kontrola takich elementów, jak nagłówki SSL, bezpieczne cookie, obrazy, skrypty, dokumenty oraz buforowanie ICA (Independent Computing Architecture). Opuszczono natomiast aplikacyjny firewall.

Zarządzanie punktami końcowymi i ich kontrola realizowana jest przez aplikację Nortel TunnelGuard w Javie. Zdalny komputer jest sprawdzany dopiero po uwierzytelnieniu. Inspekcja obejmuje zawartość dysku, uruchomione procesy oraz certyfikaty cyfrowe. Nie kontroluje natomiast wpisów w rejestrze, wersji programu ani aktualnej daty, co uniemożliwia sprawdzenie aktualności programu antywirusowego. TunnelGuard, choć wszechstronny, to jednak zarządzanie nim jest nazbyt złożone.

Chociaż produkt Nortela pełnię możliwości oferuje użytkownikom IE, to na jego korzyść przemawia wielowątkowa kontrola SSL oraz obsługa klientów IPSec.

Juniper Networks NetScreen-SA 5000

Zdalni użytkownicy mogą się uwierzytelniać poprzez Active Directory, LDAP, RADIUS, Netegrity, certyfikaty cyfrowe lub w lokalnej bazie, również przy wykorzystaniu kilku serwerów uwierzytelniania. W zależności od rodzaju uwierzytelnienia użytkowników można przydzielać do określonych grup. Grupy te określają, jaka forma zdalnego dostępu będzie przyznana oraz inne parametry sesji, np. dopuszczalny czas bezczynności. Przykładowo, jedna grupa może mieć prawo dostępu do WWW, współdzielenia plików oraz usług terminalowych, a inna tylko dostęp do stron.

NetScreen-SA 5000 oferuje wszystkie standardowe metody zdalnego dostępu oparte na http, TCP oraz warstwie trzeciej. Zdumiewająca jest szczegółowość, z jaką administrator może określać polityki dostępu dla aplikacji WWW, od pamięci podręcznej po kompresję. Dodatkowo zdefiniowanie tych zasad jest stosunkowo łatwe. Dostępne jest również współdzielenie plików Windows, Linux oraz dostęp Telnet.

Aplikacje TCP są przesyłane za pośrednictwem SAM (Security Access Manager), dostępnego w wersji Windows i Java. Może on być pobierany automatycznie przez użytkownika.

Tunelowanie warstwy trzeciej jest obsługiwane przez Network Connect, dostępny tylko pod Windows. Oprogramowanie to instaluje wirtualny adapter PPP na zdalnej maszynie. Administrator może przypisać klientom Network Connect adresy IP z prywatnej puli adresowej oraz oddzielne ustawienia DNS. Wprawdzie kontrola nad tworzonym tunelem nie jest tak szczegółowa jak dla innych usług, ale nadal pozostaje większa niż w przypadku IPSec. Juniper zapowiada dostępność Network Connect na platformę Linux i Mac OS X w kolejnej wersji systemu.

Aplikacja zabezpieczająca punkty końcowe JEDI (Juniper Endpoint Defense Initiative) współpracuje z oprogramowaniem klienckim Sygate, Zone Labs, McAfee i InfoExpress. Jej ujemną stroną jest to, że dostępna jest tylko dla Windows.

Interfejs użytkownika wydaje się być nieporęczny i zagmatwany. Jest to jednak podyktowane liczbą dostępnych opcji. W praktyce kontekstowe odnośniki pozwalają szybko odnaleźć dane ustawienie. Sprawnie działa system raportowania i rejestracji.

W klaster można zgrupować do ośmiu urządzeń. NetScreen 5000 nie obsługuje sieci VLAN.

Nokia Secure Access System 3.0

NSAS zapewnia wszystko, co jest wymagane, aby umożliwić bezpieczny zdalny dostęp, bez potrzeby nadmiernego zmagania się z czynnościami administracyjnymi. Obsługuje dostęp WWW, współdzielenie plików, wsparcie aplikacji TCP oraz tunelowanie warstwy trzeciej. Aplikacje http są łatwe w definiowaniu i utrzymaniu. Wystarczy parę kliknięć, aby dodać zasób WWW do portalu NSAS.

W NSAS schematy uwierzytelniania definiowane są globalnie, nie umożliwiając tworzenia wielu wirtualnych lokalizacji. Obsługiwane są mechanizmy uwierzytelniania LDAP, Active Directory, NTLM (NT LAN Manager), RADIUS, certyfikaty PKI oraz lokalna baza użytkowników. Dwa węzły NSAS można łączyć w klaster.

Aplikacje TCP obsługiwane są za pomocą programu w Javie. Użytkownik musi uzyskiwać informacje o adresie zwrotnym dla każdej specyficznej aplikacji. Wszystkie pozostałe testowane systemy ukrywały te czynności przed użytkownikiem.

Secure Connector umożliwia zestawianie tuneli. Administrator, podobnie jak w NetScreen, może przydzielać zdalnym klientom adresy IP z puli prywatnej. Ustawienia kontroli dostępu podobne są do reguł firewalla, określając zakres adresów, portów i protokołów, które umożliwiają dostęp do danych zasobów. Oprogramowanie Secure Connector dostępne jest tylko dla Windows z IE.

Podobnie tylko dla użytkowników IE oferowana jest aplikacja Secure Workspace, kasująca pliki tymczasowe, historię przeglądania oraz inne informacje o sesji. Pasek narzędziowy umożliwia przełączanie się pomiędzy lokalnym a bezpiecznym pulpitem.

Aplikacja Client Integrity Scan sprawdza zdalny PC przed lub po uwierzytelnieniu. Administrator może zdefiniować mechanizm skanowania za pomocą indywidualnego skryptu, co jednak wymaga czasu.

Administracyjny interfejs użytkownika NSAS jest przejrzysty. Dostępna jest olbrzymia ilość informacji monitorujących i rejestrujących, które mogą być filtrowane.

Niestety, Nokia nie wspiera weryfikacji zdalnych hostów za pomocą oprogramowania firm trzecich, np. Sygate, WholeSecurity. Opcja taka pomogłaby w integracji z już istniejącą infrastrukturą zabezpieczającą klienta.