Test bram SSL VPN

Ze względu na to, że testowane produkty zapewniają różne możliwości, przed wyborem konkretnego producenta należy dokonać analizy, dla jakich aplikacji ma być zapewniona translacja, oraz określić ich priorytety. Przykładowo, bramy Symantec i F5 oferują translację programów pocztowych, dzięki którym użytkownicy mogą czytać i wysyłać wiadomości, korzystając z aplikacji uruchomionych po stronie bramy SSL VPN. W przypadku Symanteca okazało się jednak, że przy dużej liczbie wiadomości w skrzynce pocztowej funkcja ta nie działa poprawnie.

Nawet jeżeli dany produkt SSL VPN nie ma wbudowanego narzędzia obsługi poczty przez WWW, to umożliwia połączenie się z firmowymi aplikacjami pocztowymi, takimi jak Microsoft Outlook Web Access, iNotes firmy IBM czy SquirrelMail (open source). Testy pokazały, że również te aplikacje przysparzają problemów. Należy dokonać wyboru, czy wdrożyć powyższe, mniej popularne wśród użytkowników końcowych aplikacje pocztowe, czy uboższą w możliwości translację poczty na format WWW.

Przekierowanie portów i rozszerzenie sieci

Dla aplikacji, które nie mogą być tłumaczone na WWW, są dwie metody bezpośredniego dostępu do nich: przekierowanie portów (port forwarding) lub rozszerzenie sieci. Translacja portów jest stosowana w odniesieniu do popularnych aplikacji, korzystających ze znanych portów. Rozszerzenie sieci natomiast umożliwia dostęp do całej sieci poprzez stworzenie tunelu. W tym celu brama musi dostarczyć maszynie klienckiej odpowiednie oprogramowanie. Zazwyczaj jest to aplet Javy (<100 kb) lub ActiveX. Może on jednak powodować problemy zgodności z przeglądarką, systemem operacyjnym i naruszać bezpieczeństwo. Przykładowo, użytkownik MS Internet Explorer z poziomem bezpieczeństwa ustawionym na wysoki nie będzie mógł korzystać z tych technik. Obniżenie poziomu bezpieczeństwa nie zawsze jest dopuszczalne.

Jedną z lansowanych zalet SSL VPN jest zdolność kontroli dostępu do określonych danych na poziomie warstwy aplikacji. Po wdrożeniu dwóch opisanych technik taka kontrola nie może być już prowadzona. Reguły bezpieczeństwa są wówczas ograniczone jedynie do kontroli adresu URL.

Zgodnie z dokumentacją wszyscy producenci, oprócz AEP i Netilla, zapewniają translację portów. Nie działa ono jednak poprawnie we wszystkich produktach i zależy od wykorzystywanej aplikacji. Dobrym przykładem jest protokół FTP, który wykorzystuje adresy IP i numery portów do identyfikacji serwera i utworzenia gniazda klienckiego (client socket) dla transferu danych. Translacja portów nie funkcjonuje z niektórymi klientami FTP, mimo że brama rozpoznaje transmisję FTP i dokonuje tłumaczenia nagłówków IP.

Przyjmuje się, że dla większości użytkowników poczta elektroniczna jest jedną z najczęściej wykorzystywanych aplikacji. Zgodnie z tym założeniem twórcy testowanych bram najwięcej uwagi poświęcili usługom pocztowym. Oprogramowanie AEP, NetScreen, Nokia i Symantec może pełnić rolę proxy dla standardowych protokołów pocztowych: SMTP, POP, IMAP. Mechanizm ten polega na wskazaniu aplikacji pocztowej po stronie bramy i przesyłaniu danych między klientem a bramą w postaci zaszyfrowanej - POP-over-SSL, IMAP-over-SSL lub SMTP-over-SSL. Technika ta pozwala stosować szyfrowanie SSL nawet w przypadku starszych serwerów pocztowych i tych, które znajdują się w prywatnej przestrzeni adresowej, nie wymagając przy tym mechanizmów translacji portów i rozszerzenia sieci.

Obsługa różnych formatów

Test bram SSL VPN

Obsługa różnych aplikacji

Podstawową funkcją wykonywaną przez każdą bramę SSL VPN jest rola proxy stron WWW. Polega ona na połączeniu się bramy z serwerem http, pobraniu strony i odesłaniu jej w postaci zaszyfrowanej SSL/TLS do przeglądarki klienta. Funkcja ta jest najczęściej realizowana poprawnie. Aby wykonać tylko i wyłącznie to zadanie, raczej nie powinniśmy inwestować w bramę SSL VPN. Równie dobrze może ono być realizowane przez zwykły serwer HTTP wraz z modułem SSL (np. mod_ssl, OpenSSL) i obsługującymi go skryptami. W przypadku większej liczby szyfrowanych połączeń wykonanie tego zadania można powierzyć dedykowanym akceleratorom SSL. Przewaga opisywanych bram ujawnia się w pozostałych funkcjach, takich jak translacja aplikacji, rozszerzenie sieci czy przekierowywanie portów. Jednak, jak pokazały testy, korzystanie z tych potencjalnych możliwości często bywa problematyczne.

Aplikacje internetowe są dla producentów bram SSL nie lada wyzwaniem. Ich rozwiązania muszą dokonać prezentacji niekompletnych stron WWW, niepoprawnych skryptów Java czy nieczytelnych programów w Javie. W teście sprawdzono dostęp do 20 aplikacji, korzystając z siedmiu kombinacji przeglądarka/system operacyjny. Jak pokazały wyniki, z tym zadaniem programiści poszczególnych firm poradzili sobie różnie.

Test bram SSL VPN
Jednym z celów testu było sprawdzenie tezy producentów, jakoby produkty SSL VPN były łatwiejsze we wdrożeniu i obsłudze niż IPSec VPN. Rozwiązania te są rzeczywiście łatwiejsze w obsłudze dla użytkownika końcowego, lecz czasami trudniejsze do utrzymania przez administratora sieci. W kilku przypadkach rozwiązaniem problemu było uaktualnienie oprogramowania klienta albo wybranie ukrytej lub nieudokumentowanej opcji.

F5 - FirePass Controller 4000

Za: obsługa dużego zakresu aplikacji i metod uwierzytelniania, ponadprzeciętne raportowanie i prowadzenie dzienników zdarzeń, skanowanie antywirusowe pobieranych danych

Przeciw: mało szczegółowa kontrola dostępu, skomplikowana konfiguracja grup


TOP 200