Zdalnie i bezpiecznie

Konieczność wspierania instalacji i konfiguracji oprogramowania na zdalnych maszynach może podnosić koszty funkcjonowania zdalnego dostępu. Dlatego w ofercie niektórych producentów znajduje się sprzętowy klient IPSec VPN (np. Cisco VPN 3002).

Niewątpliwą zaletą technologii SSL VPN jest możliwość współpracy ze standardowymi przeglądarkami internetowymi. Znika występujący w IPSec problem instalacji oprogramowania klienckiego na zdalnej maszynie. Brak dedykowanego klienta ogranicza jednak możliwość współpracy tylko do niektórych aplikacji. Ponadto praca w trybie "cienkiego" klienta, klient-serwer lub z aplikacjami niewspółpracującymi z przeglądarkami wymaga pobrania i uruchomienia agenta: apletu Java, kontrolki ActiveX itp. Rozszerzenia te mogą obniżać poziom bezpieczeństwa. Ograniczenia mogą sprawiać, że SSL VPN nie będzie spełniać wszystkich wymagań użytkowników przyzwyczajonych do pełnego dostępu do zasobów sieci i aplikacji.

Rozwiązania IPSec VPN firm Avaya, Cisco, Check Point, NetScreen oferują centralny system zarządzania regułami bezpieczeństwa, nadzorujący dostęp do zasobów sieci, czas "życia" certyfikatów, algorytmy kryptograficzne, klucze. W SSL VPN funkcję tę pełni brama SSL lub SSL Proxy.

W momencie zestawienia połączenia IPSec VPN zdalny komputer staje się częścią sieci prywatnej. Z tego powodu wdrożenie rozwiązania IPSec jest większym wyzwaniem. Należy zapewnić sprawny przydział adresów (np. DHCP) i ruting, z uwzględnieniem zdalnych maszyn. W połączeniach IPSec są wykorzystywane dwa adresy IP: zewnętrzny - funkcjonujący w sieci operatora oraz wewnętrzny - funkcjonujący wewnątrz sieci prywatnej. Konieczne są: wyznaczenie uprawnień dla określonych grup zdalnych użytkowników oraz przyporządkowanie im dostępnych zasobów: katalogów, serwerów, portów.

Problem ten nie istnieje przy protokole SSL, gdyż funkcjonuje on powyżej warstwy IP. Pozwala to również uniknąć problemów przy przejściu przez występujące po drodze serwery NAT (Network Address Translation) i PAT (Port Address Translation).

Ze względu na to, że brama SSL VPN znajduje się zazwyczaj za zaporą sieciową, konieczne jest zapewnienie dodatkowej ochrony sieci prywatnej. Jeżeli pozwala na to budżet firmy, dobrym rozwiązaniem jest umieszczenie bram IPSec i SSL w strefie zdemilitaryzowanej DMZ (DeMilitarized Zone). Wiele rozwiązań sprzętowych łączy bramę VPN i zaporę ogniową.

SSL VPN następnej generacji

Obecnie wprowadzane na rynek sieci SSL VPN oferują większą funkcjonalność i poprawę bezpieczeństwa w porównaniu z wcześniejszymi rozwiązaniami. Spełniają one wymagania współczesnej firmy, oferując: elastyczność (dostęp z dowolnego miejsca i różnych urządzeń: laptopów, PDA, telefonów komórkowych), niskie koszty, bezpieczeństwo sieci przedsiębiorstwa, prostotę wdrożenia. W sieciach SSL VPN jest wykorzystywany protokół SSLv3 lub nowszy TLSv1 (Transport Layer Security).

Według raportu firmy Frost & Sullivan w 2003 r. światowy rynek produktów służących dostępowi zdalnemu opartemu na technologii SSL VPN dynamicznie wzrastał, osiągając obroty 89,7 mln USD. Według tego samego raportu w 2005 r. rynek ten osiągnie wartość 364 mln USD.

Obecne serwery SSL VPN zapewniają duże możliwości przewodowego i bezprzewodowego zdalnego dostępu do sieci przedsiębiorstwa (ERA - Enterprise Remote Access). Niektóre produkty (np. Motivus ERA) zapewniają translację plików, a nawet zawartości desktopu do formatu HTML. Umożliwia to przeglądanie i edycję dokumentów bez konieczności ich pobierania i zapisywania na zdalnym komputerze.

Dodatkowo zwiększa bezpieczeństwo to, że użytkownicy mający łatwy dostęp do sieci firmowej zaprzestają przenoszenia dokumentów na wymiennych dyskach, laptopach, przesyłania jako załączniki do poczty itp.

W modelu SSL VPN, dla zapewnienia wysokiej poufności danych, brama VPN może przesyłać zdalnemu użytkownikowi tylko zrzut ekranu aplikacji.

Często firmowy intranet wykorzystuje wewnętrzny DNS, niedostępny z zewnątrz. Zdalni użytkownicy mogą mieć dostęp do niego poprzez serwer reverse-proxy. Funkcjonuje on pomiędzy zdalnym użytkownikiem a stronami firmowymi. Sieć firmowa pozostaje bezpieczna za zaporą sieciową.

Dostęp do aplikacji typu klient-serwer może być zapewniony poprzez stworzenie tunelu SSL. W tym celu użytkownik musi pobrać i zainstalować oprogramowanie klienckie - wirtualny adapter.

Brama SSL VPN zapewnia dodatkową ochronę, pośrednicząc pomiędzy żądaniami zdalnego klienta a serwerem aplikacji. Zdalne połączenie dociera tylko do bramy, tam jest kończone, a zadanie jest przetwarzane, autoryzowane i tłumaczone na właściwe protokoły, tj. ICA (Independent Computing Architecture), RDP (Remote Desktop Protocol) dla serwera terminali Windows, X-11 - aplikacji pod kontrolą Linux lub Unix, HTTP lub HTTPS - serwerów WWW, 3270 lub 5250 dla aplikacji mainframe i AS/400. Następnie żądanie jest przesyłane poprzez nowo zestawione połączenie do serwera aplikacji back-end.

Możliwe jest wdrożenie 3-stopniowej polityki dostępu do dokumentów:

  • użytkownik może przeglądać pliki oraz kopiować je w obrębie sieci firmowej;

  • możliwa jest edycja i zapisywanie, ale wyłącznie w lokalizacji źródłowej;

  • dozwolone jest kopiowanie na maszynę kliencką, co jest rejestrowane przez system monitoringu.
Modele sprzętowych klientów Cisco VPN 3002
Cisco VPN 3002 jest przeznaczone dla oddziałów, w których z VPN korzysta wielu użytkowników - do 253 stacji. Tworzy ono pojedynczy tunel do oddziału głównego i oferuje szyfrowanie VPN (3DES) z szybkością do 2,2 Mb/s. Dodatkowo urządzenie to może pełnić funkcję serwera DHCP do obsługi sieci wewnętrznej oraz umożliwia translacjię adresów NAT i PAT.


TOP 200