Zdalne dylematy
-
- 16.12.2002
Idea VPN miała początki w rozwijanych na początku lat 70. technologiach HDLC (X.25), SDLC (SNA) oraz protokole SDNS, który z biegiem czasu przekształcił się w najpopularniejszy w obecnych rozwiązaniach VPN protokół IPsec. Równolegle, wraz z rozwojem komputerów PC, powstały protokoły tunelujące transmisję w drugiej warstwie modelu OSI: PPTP i L2TP używane jeszcze w niektórych rozwiązaniach VPN.
Rozwiązania VPN wymagają dedykowanego oprogramowania klienckiego i dedykowanego serwera, na którym bezpieczne połączenia są terminowane. Taka konstrukcja pozwala na tunelowanie dowolnej komunikacji i elastyczność w budowaniu rozwiązań: zarówno punkt-punkt, jak i przezroczystych tuneli agregujących ruch z wielu urządzeń.
Technologia SSL powstała w Netscape Communications z myślą o zabezpieczaniu komunikacji między przeglądarką a serwerem WWW. Z czasem SSL stał się powszechnie stosowanym standardem i dziś umożliwia zabezpieczanie praktycznie dowolnego protokołu warstwy trzeciej i wyższych. Wciąż jednak nadaje się przede wszystkim dla rozwiązań typu punkt-punkt. Dopóki zdalny dostęp ogranicza się do korzystania z poczty SMTP/POP3 za pomocą programu Outlook Express, intranetu czy portalu korporacyjnego lub aplikacji klienckich w formie apletów Javy działających w środowisku przeglądarki, dopóty SSL działa "prosto z pudełka".
Chcąc zastosować SSL do zabezpieczania innych aplikacji, konieczne jest oprogramowanie części komunikacyjnej za pomocą dedykowanych - komercyjnych lub darmowych (np. OpenSSL) - bibliotek. W obu przypadkach jest to zadanie nietrywialne. SSL można wykorzystać do tunelowania ruchu, wymaga to jednak zestawienia stałych kanałów - VPN oparty na IPsec jest pod tym względem znacznie wygodniejszy.
Dyskusja o tym, które z powyższych rozwiązań jest lepsze, nie wydaje się celowa - każde z nich ma bowiem określony zakres zastosowań. Próby zastępowania rozwiązań VPN rozwiązaniami wykorzystującymi SSL są w praktyce mało sensowne. Również działanie odwrotne nie ma zwykle uzasadnienia.
VPN i problemy
Technologia VPN, choć bardzo elastyczna, może sprawiać problemy. Jednym z nich jest np. sposób terminowania połączeń po stronie firmy. Często popełnianym błędem jest ustawianie serwera VPN "za" systemem zaporowym, wynikające z założenia, że serwer dostępowy należy chronić przed atakami. Rozwiązanie to ma jednak usprawiedliwienie jedynie wtedy, gdy cały ruch wchodzący do firmy przez bramę VPN jest dodatkowo filtrowany przez kolejny firewall, system antywirusowy i ewentualnie system wykrywania włamań. Tylko wtedy można sprawdzić, czy kanał VPN nie jest wykorzystywany do ataku.
Inny problem pojawia się, gdy połączenie VPN jest inicjowane z komputera działającego w obcej sieci lokalnej, na której obrzeżu odbywa się translacja adresów (NAT), np. po wpięciu komputera do sieci w kawiarence internetowej. Rodzimy serwer VPN w większości przypadków będzie w takiej sytuacji odrzucać połączenie, stwierdzając niezgodność między rzeczywistym a zawartym w pakiecie adresem IP przyznanym przez serwer DHCP. Rozwiązanie tego typu problemów wymaga rekonfiguracji zdalnej sieci, co nie zawsze jest możliwe.
Zastosowanie połączeń VPN jest szczególnie uzasadnione w przypadku tych technologii transportowych, które mogą być podatne na ataki ze względu na braki w ich standardowych mechanizmach zabezpieczających. Do takich rozwiązań należy zaliczyć sieci bezprzewodowe 802.11 korzystające z technologii WEP. Dopiero wprowadzenie dodatkowej warstwy zabezpieczającej (szyfrowanego kanału VPN) gwarantuje, że nawet po złamaniu zabezpieczeń WEP włamywacz nie będzie mógł uzyskać dostępu do danych bądź podszywać się pod użytkownika.
Ostatecznym rozwiązaniem problemu bezpieczeństwa zdalnego dostępu ma być koncepcja REPS (Remote End-Point Security). Według jej założeń przed dopuszczeniem zdalnego komputera do połączenia z siecią firmową poprzez kanał VPN systemy bezpieczeństwa w centrali firmy powinny się upewnić, że nie stanowi on potencjalnego zagrożenia. Chodzi głównie o sprawdzenie, czy od ostatniego połączenia nie nastąpiły zmiany sum kontrolnych kluczowych plików, czy komputer ma najświeższe
definicje wirusów i filtry treści, czy - jeżeli ma system typu personal firewall - jest on aktywny i czy ma wdrożoną właściwą politykę bezpieczeństwa. Podstawowe z punktu widzenia bezpieczeństwa rozwiązań VPN jest upewnienie się, czy zdalne urządzenie nie zostało zainfekowane przez program typu koń trojański. Zagrożenie polega na tym, że taki program może stworzyć swego rodzaju pomost między połączeniem VPN a połączeniem z siecią publiczną, co umożliwia intruzowi zdalne sterowanie włamaniem do sieci wewnętrznej poprzez sesję poprawnie uwierzytelnionego użytkownika. Mechanizm ten został wykorzystany w znanym swego czasu włamaniu na serwery Microsoftu, podczas którego rzekomo wykradziono część kodów źródłowych systemu Windows.
REPS nie jest czymś odkrywczym. Pewne elementy tej koncepcji funkcjonują już od dłuższego czasu w ogólnie dostępnych produktach VPN czy systemach antywirusowych. Jej znaczenie i siła wynikają jednak z kompleksowego podejścia do bezpieczeństwa, łączącego wszystkie znane metody ochrony: firewall, skanery antywirusowe, skanery zabezpieczeń i system wykrywania włamań. REPS jest też zapowiedzią ułatwienia pracy administratorom poprzez jednolite zarządzanie wszystkimi obszarami bezpieczeństwa zdalnych komputerów. Firma analityczna The Aberdeen Group ocenia, że rynek systemów bezpieczeństwa zgodnych z koncepcją REPS w 2001 r. był wart ok. 20 mln USD, a w ciągu najbliższych czterech lat jego wartość wzrośnie do ćwierć miliarda dolarów.
