Test bram SSL VPN

Idea SSL VPN opiera się na prostej zasadzie: wykorzystaniu mechanizmów szyfrowania i uwierzytelniania, wbudowanych w przeglądarkę internetową. W odróżnieniu od IPSec VPN użytkownik otrzymuje dostęp nie do całej sieci, lecz tylko do wybranych jej zasobów.

Idea SSL VPN opiera się na prostej zasadzie: wykorzystaniu mechanizmów szyfrowania i uwierzytelniania, wbudowanych w przeglądarkę internetową. W odróżnieniu od IPSec VPN użytkownik otrzymuje dostęp nie do całej sieci, lecz tylko do wybranych jej zasobów.

Zamieszanie, jakie w ostatnim czasie powstało wokół produktów SSL VPN, jest zrozumiałe. Producenci reklamują swoje produkty jako rewolucyjne rozwiązania zdalnego dostępu: tańsze od IPSec VPN, bezpieczne, łatwe we wdrożeniu i obsłudze, niewymagające dedykowanego oprogramowania klienckiego (clientless) i uniwersalne. Innymi podkreślanymi przez producentów cechami są: dostęp z dowolnego miejsca i każdej przeglądarki z obsługą SSL/TLS, a nawet za pośrednictwem różnych urządzeń: PC, PDA czy telefonów komórkowych. Prawie każdy dostawca albo już wprowadził, albo zapowiada premierę swojego rozwiązania tego typu. Pośpiech, który temu towarzyszy, niekorzystnie przekłada się na jakość oferowanych rozwiązań. Wiele spośród tych produktów nie wykonuje poprawnie większości zapowiadanych funkcji. Aby przybliżyć rzeczywiste możliwości bram SSL VPN, przedstawiamy wyniki testu siedmiu takich rozwiązań.

Na początku 2004 r. na świecie było dostępnych 19 różnych produktów SSL VPN. Bramy SSL VPN, jako dedykowane rozwiązania lub rozszerzenie istniejących produktów VPN, znajdują się w ofercie firm: AEP, Array Networks, Aspelle, Aventail, Citrix Systems, F5 Networks, Motivus, NetScreen (obecnie przejęta przez Juniper), Netilla Networks, Nokia, Novell, Nortel Networks, PortWise, Rainbow, Symantec (pierwotnie produkt SafeWeb) i Whale Communications. Niektóre z nich stanowią już ofertę polskich dystrybutorów. W artykule opisano nie tylko rozwiązania sprzedawane w Polsce, ale również produkty firm, niemających polskich przedstawicieli (Netilla, AEP i Whale). Każde prezentowane rozwiązanie różni się od innych pod względem zarówno funkcjonalności, jak i łatwości wdrożenia oraz poprawności i stabilności działania.

Test bram SSL VPN
Jedną z zasadniczych różnic między sieciami zdalnego dostępu VPN z IP Security a opartymi na SSL jest to, że te pierwsze wymagają instalacji i konfiguracji oprogramowania klienckiego w systemie zdalnego użytkownika. SSL VPN korzysta jedynie z przeglądarki webowej. Chociaż SSL może być wykorzystywany w połączeniach HTTP, FTP, SMTP czy telnet, to standardowo jest on wbudowany tylko w przeglądarki HTTP. Ponadto do połączeń SSL VPN klient standardowo potrzebuje otwartego portu 443.

NetScreen - SA 5000

Za: rozbudowane możliwości kontroli dostępu oraz solidnie realizowane uwierzytelnianie, wiele opcji "cienkiego klienta" dla użytkowników różnych systemów, innowacyjne uwierzytelnianie przesyłanych wiadomości, dobra kontrola ustawień bezpieczeństwa SSL, wygodny mechanizm rozszerzania sieci

Przeciw: słabe raportowanie, brak wsparcia FTP

Urządzenia SSL VPN obsługują protokoły FTP i CIFS wykorzystywane przez serwery plików. Wewnętrzny protokół aplikacji jest tłumaczony przez bramę na zewnątrz jako HTTP i HTML. Dla użytkownika końcowego serwer plików jest widziany jako serwer HTTP. Translacja aplikacji funkcjonuje nie w każdym przypadku. Niektóre programy, takie jak MS Outlook lub inne typu instant-messaging (np. Gadu-Gadu, AIM), mają indywidualny wygląd, który jest zmieniany po przetłumaczeniu na HTML. Powoduje to pewien dyskomfort użytkowników. Rozwiązaniem jest zastosowanie przekierowania portów. Wymaga ono pobrania niewielkiego programu działającego po stronie klienta, zwykle w Javie lub ActiveX. Nasłuchuje on na porcie zdefiniowanym dla konkretnej aplikacji. Pakiet przychodzący na ten port jest przesyłany w tunelu SSL przez sieć zewnętrzną do bramy SSL VPN, która go rozszyfrowuje i przekazuje do rzeczywistego serwera aplikacji. Chociaż przekazywanie portów jest techniką efektywną, to ma ograniczenia. Obsługiwana aplikacja powinna funkcjonować stabilnie i mieć znaną strukturę połączeń sieciowych. Mimo że część programów klienckich jest napisana w Javie, działają one różnie, w zależności od systemu.

Test bram SSL VPN

Niektórzy producenci wzbogacają swoje produkty w funkcję rozszerzenia sieci. Zdalny użytkownik uzyskuje bezpośrednie połączenie z siecią korporacyjną, a kontrola dostępu opiera się jedynie na informacjach z warstwy sieci - adresach IP i numerach portów.

Nokia Secure Access System

Za: znakomite mechanizmy kontroli dostępu, poprawne realizowanie uwierzytelniania z obsługą certyfikatów i przyporządkowaniem użytkownika grupie

Przeciw: dwa interfejsy zarządzania mogą wprowadzać zamieszanie, brak kontekstowej pomocy, skąpy GUI

Translacja aplikacji

Test bram SSL VPN

Translacja portów i rozszerzenie sieci

Zadania, jakie powinna realizować brama SSL VPN, nie ograniczają się jedynie do pełnienia roli proxy dla statycznych stron umieszczonych na firmowym serwerze HTTP. Powinna ona zapewniać też kompleksową translację wiadomości z serwera poczty elektronicznej na format WWW, umożliwiać obsługę aplikacji e-commerce, programów zarządzających informacją osobistą PIM (Personal Information Management) i systemu zdalnego zarządzania. Pracownicy zdalni często chcą mieć dostęp do firmowych katalogów i plików znajdujących się na wewnętrznych serwerach plików.

Test bram SSL VPN

Translacja aplikacji do formatu WWW

Funkcja translacji aplikacji do formatu WWW i pełnienie roli proxy są wykonywane przez testowane produkty w różnym stopniu (zob. tabela). Słabo pod tym względem wypadają bramy AEP i Whale, które obsługują najmniejszą liczbę aplikacji. Obsługę protokołów transportowych FTP, NFS (Network File System) i serwerów plików Microsoft (protokół CIFS/SMB) najlepiej realizuje produkt Nokii. F5, NetScreen i Symantec przedstawiają w tym zakresie mniejszą funkcjonalność. Z kolei Netilla jest jedynym producentem oferującym translację zarówno usług terminalowych Windows: RDP (Remote Desktop Protocol), jak i szeroki zakres emulatorów terminali: telnet, SSH, 5250 dla IBM AS/400, 3270 dla aplikacji mainframe oraz X-11 dla X Windows. NetScreen i F5 oferują wsparcie dla emulatorów terminali telnet i SSH.


TOP 200