VPN kolejny rozdział

Bezpieczeństwo sieci jest dla administratorów sieciowych sprawą priorytetową zwłaszcza wtedy, kiedy stykają się z problemami ochrony komunikacji między zewnętrznym użytkownikiem a siecią lokalną przedsiębiorstwa. Jest to zagadnienie dosyć skomplikowane, bo jak w gruncie rzeczy tworzyć raporty, a ponadto zarządzać i nadzorować setkami, jeśli nie tysiącami klientów VPN (Virtual Private Networks)?

Bezpieczeństwo sieci jest dla administratorów sieciowych sprawą priorytetową zwłaszcza wtedy, kiedy stykają się z problemami ochrony komunikacji między zewnętrznym użytkownikiem a siecią lokalną przedsiębiorstwa. Jest to zagadnienie dosyć skomplikowane, bo jak w gruncie rzeczy tworzyć raporty, a ponadto zarządzać i nadzorować setkami, jeśli nie tysiącami klientów VPN (Virtual Private Networks)?

W artykule zostały przedyskutowane wyniki testów porównawczych 11 produktów łączących użytkownika z punktem VPN. Wielu producentów takich systemów specjalizuje się także w systemach łączących ze sobą sieci lokalne. Kilka miesięcy temu była o tym mowa na łamach "NetWorlda".

Jak się okazało, wiele z testowanych produktów odznaczyło się dobrą niezawodnością i wydajnością, a przy tym charakteryzowało się cechami zapewniającymi skuteczne zarządzanie. W wyrównanej stawce - wśród 11 produktów aż 8 dzielił niecały 1 pkt. - na szczególne uznanie zasłużył Permit Enterprise 1.2, z uwagi na to, że był doskonałym narzędziem zarządzającym.

Identyfikacja

Skoncentrowano się tu na sposobach dostarczania przez każdy produkt informacji identyfikujących dla każdego klienta VPN, konfiguracji oprogramowania klient i ustalaniu stosownej polityki bezpieczeństwa.

Jednym z problemów tworzenia VPN jest bezpieczeństwo. Certyfikaty z kluczem publicznym, zapewniające bezpieczeństwo najlepiej, są długie i niewygodne. Co ważniejsze, prywatna część klucza publicznego nie powinna przechodzić przez sieć, a raczej być tworzona u klienta i - rzecz zrozumiała - tam przechowywana.

Żaden z producentów nie zaimponował w tej dziedzinie. Większość z nich używała prostszej, a zarazem mniej bezpiecznej metody identyfikującej, w której użytkownikowi przyporządkowuje się hasło i nazwę. Kilku producentów stosuje także cyfrowe certyfikaty z kluczem publicznym oparte na standardowych lub własnych urzędach certyfikujących.

TimeStep pokazał najlepsze: cyfrowy certyfikat i schemat świadectw certyfikujących w swoim Permit Enterprise. Firma korzysta z usług urzędu certyfikującego Entrust i w pakiecie zarządzającym ma zaimplementowany katalog X.500, dzięki czemu potencjalny użytkownik jest dobrze wyposażony. Połączenie usług urzędu certyfikującego i katalogowej bazy danych umożliwia skalowanie konfiguracji od dziesiątek do tysięcy użytkowników.

Podczas tworzenia całego systemu zarządzania, zabezpieczania i unieważniania cyfrowych certyfikatów wchodzi się w dziedzinę PKI (Public Key Infrastructure) - infrastruktury kluczy publicznych. Termin "infrastruktura" należy traktować z całą powagą, gdyż instalowanie PKI może być tak trudne, jak każdej innej części sieciowej struktury. Właściwa instalacja PKI wymaga, ażeby administratorzy sieciowi oraz pozostały personel przedsiębiorstwa, odpowiedzialny za bezpieczeństwo, razem określali cały pakiet polityk i procedur niezbędnych do identyfikowania użytkowników sieci. Właściwy sposób tworzenia PKI jest dużą sztuką i - trzeba przyznać - jeszcze niewystarczająco opanowaną przez większość producentów. Powyższą uwagę można stosować do wszystkich testowanych produktów, może z wyjątkiem TimeStep.

W trakcie testów badano także, w jaki sposób polityka oraz informacje konfiguracyjne prezentują się w każdym produkcie. Pod tym względem wyróżniły się: F-Secure VPN firmy Data Fellows, RiverWorks Enterprise VPN spółki Indus River, VPN Gateway Plus Intela i VPNWare VPNet. Wszystkie te produkty wprowadzały reguły ochrony do klienta za pośrednictwem sieci.

Wszyscy pozostali producenci stosowali bardziej tradycyjne podejście. Trzeba wyposażyć się w zestaw rozwojowy. Kiedy taki zestaw jest już dostarczony, użytkownicy końcowi, instalujący oprogramowanie klient VPN, otrzymują w tym samym czasie także zasady polityki bezpieczeństwa charakterystyczne dla danego przedsiębiorstwa.

VPN kolejny rozdział

Wyniki porównania systemów VPN

VPN Gateway Plus i VPNware wprowadzają do stacji klienta reguły ochrony w czasie instalacji, dając szansę zdefiniowania sieciowych zasad bezpieczeństwa, nazywanych czasem politykami bezpieczeństwa. F-Secure VPN i RiverWorks idą dalej, umożliwiając automatyczną aktualizację tych zasad w chwili, kiedy klient skończył już początkową konfigurację. Serwer zarządzający konfiguruje oprogramowanie i ma pieczę nad wszystkimi zmianami w polityce klienta. Przy kolejnym połączeniu wszelkie zmiany wprowadza się do stacji klient z komputera nadrzędnego. Jeżeli używa się pełnego pakietu Data Fellows, zawierającego program antywirusowy i narzędzia szyfrowania plików, wtedy menedżer używany w F-Secure VPN koordynuje aktualizacje, wprowadza cechy charakterystyczne wirusów oraz informacje o polityce bezpieczeństwa. Jest to nietuzinkowe podejście, ale wymaga środowiska sieciowego Windows.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200