Zintegrowane uwierzytelnianie

Identyfikacja użytkownika i przypisanie go konkretnej grupie są dla systemu zdalnego dostępu SSL VPN zadaniami krytycznymi. W testach uwzględniono najczęściej występujące w dużych firmach mechanizmy uwierzytelniania: LDAP i RADIUS. RADIUS (Remote Authentication Dial-In User Service) jest często wykorzystywany w procesie uwierzytelniania z systemami Windows, Unix oraz w metodach opartych na żetonach, np. RSA SecurID. Wszystkie bramy bez problemów łączyły się z serwerem RADIUS, lecz tylko Nokia i NetScreen były w stanie pobrać z niego informacje o grupie. W innych przypadkach było konieczne przyporządkowanie użytkownika grupie w inny sposób. Najgorsze okazały się Whale i AEP, który wymagał ręcznego przypisania użytkowników.

Niestety, dla wielu producentów obsługa serwera LDAP oznacza wyłącznie wsparcie dla MS Active Directory. Symantec, AEP i Whale przy próbie współpracy z serwerem LDAP przysparzały tyle problemów, że zamieniono go na Active Directory. Nawet wówczas produkt Symanteca stwarzał trudności z połączeniem i wyświetlał niejasne komunikaty błędów. Jeżeli brama SSL VPN ma korzystać z serwera LDAP, najlepiej zdecydować się na F5, NetScreen lub rozwiązanie Nokii. Produkty te mają na tyle elastyczną obsługę LDAP, że mogą współpracować z różnymi wersjami i schematami LDAP.

SSL z założenia jest oparty na certyfikatach cyfrowych, dlatego należałoby oczekiwać niezawodnego wsparcia dla infrastruktury klucza publicznego PKI (Public-Key Infrastructure). Okazuje się, że jedynie produkt Nokii umożliwia potwierdzanie tożsamości na podstawie certyfikatów. Nie obsługuje on jednak listy odwołanych certyfikatów (Certificate Revocation Lists), która jest wymagana w poprawnej implementacji PKI.

F5, NetScreen i Whale wprawdzie mogą używać certyfikatów klienta w celu dodatkowej identyfikacji, lecz nie jako podstawowej metody uwierzytelniania. W rozwiązaniu Whale istnieje pojęcie "zaufanego punktu końcowego". Użytkownik nie tylko się uwierzytelnia, ale również przedstawia swój certyfikat. Podczas definiowania reguł kontroli dostępu można różnicować użytkowników w zależności od posiadania certyfikatu. Pracownik łączący się z domowego PC, mającego swój certyfikat, jest traktowany jako zaufany użytkownik i może uzyskać większe uprawnienia w dostępie do sieci korporacyjnej niż ktoś logujący się z komputerów publicznych (w kawiarence czy kiosku internetowym), niemających odpowiednich certyfikatów. Podobna idea jest realizowana przez F5, NetScreen oraz w Nokii.

Rejestrowanie zdarzeń

Od bram SSL VPN, odpowiedzialnych za bezpieczeństwo zdalnego dostępu, oczekuje się, aby oferowały rozbudowane funkcje audytu, raportowania i prowadzenia logów, zawierających informacje o zachodzących zdarzeniach. Powinny one dokumentować każdą zmianę konfiguracji, informować o przebiegu sesji, czasie logowania i opuszczania sieci, wykorzystanych zasobach, przesyłanych plikach oraz transakcjach przeprowadzanych na danych.

Produkt F5 okazał się pod tym względem rewelacyjny. Nie tylko spełniał wszystkie powyższe wymagania, ale także oferował automatyczne zapisywanie logów w inne miejsce sieci za pomocą FTP, SMTP lub wykonywanie ich kopii bezpieczeństwa. Zadowalający poziom raportowania oferują NetScreen, Nokia i Symantec. W rozwiązaniu Nokii można prowadzić szczegółowe monitorowanie dla wielu podsystemów lub wybrać poszczególnych użytkowników i aplikacje.

Żaden z testowanych produktów nie zapewniał księgowania operacji dokonywanych na serwerze RADIUS, chociaż każdy wykorzystywał go do uwierzytelniania. Niektóre systemy, jak NetScreen czy Symantec posługiwały się przy prowadzeniu dziennika zdarzeń serwerem SYSLOG. Nieostrożne rozplanowanie gromadzenia logów może się skończyć zasypaniem serwera SYSLOG komunikatami o błędach wymieszanymi z informacjami o zdarzeniach w systemie. Symantec oferuje wskazanie odmiennych serwerów SYSLOG dla różnych usług. Nokia i Whale za pomocą skryptów umożliwiają administratorowi samodzielne wydobywanie zaksięgowanych danych z bram SSL VPN.

Raportowanie w czasie rzeczywistym jest wykonywane celująco przez F5 i Symanteca. Na wyróżnienie zasługuje produkt Symanteca ze względu na wizualizację i informacje nie tylko o zalogowanych użytkownikach, ale też o stanach i obciążeniu systemu. Dane o obciążeniu CPU, pamięci czy I/O pozwalają na monitorowanie pracy systemu, a ich prezentowanie w formie graficznej może być pożytecznym dodatkiem. Obrazowanie wydajności oferuje również Netilla. Test produktu Whale pokazał, że podczas wyświetlania danych w czasie rzeczywistym niektóre zdarzenia są gubione.