Artykuły
Test bram SSL VPN
15 czerwca 2009,
Patryk Królikowski
Od kilku lat rynek bram SSL VPN rozwija się dosyć dynamicznie. Dostawcy starają się wprowadzać dodatkowe funkcjonalności do swoich produktów, zwiększając ich atrakcyjność. Czasem nawet trudno powiedzieć, czy mamy do czynienia jeszcze z typowym koncentratorem VPN, czy też ze swego rodzaju UTM-em z elementami zapory ogniowej lub modułu NAC.
W rezultacie bramy SSL VPN stają się bardzo interesującą alternatywę dla koncentratorów IPSec. Od dawna też trwa debata nad wyższością jednego typu rozwiązań nad drugim. Każde ma swoich gorących orędowników i przeciwników.
Nie należy się jednak łudzić, że SSL VPN wyprze tradycyjne rozwiązania IPSec, co starają się nam wmówić niektórzy analitycy rynku i producenci rozwiązań SSL-owych. Owszem, bramy SSL VPN są bardzo dobrym pomysłem, ale przeznaczone są przede wszystkim do realizacji połączeń typu client-to-site, w środowiskach z dużą liczbą użytkowników mobilnych. IPSec jest bezkonkurencyjny w przypadku tuneli typu site-to-site. Może być też atrakcyjnym rozwiązaniem do zdalnego zarządzania zasobami przez administratorów. Ciężki klient jest też bardziej przydatny, jeżeli z zasobami korporacyjnymi łączymy się z jednej lokalizacji, z tego samego komputera i potrzebujemy pełnej łączności, od warstwy 3. wzwyż.
· Łatwy dostęp. Nie ma problemów z uzyskiwaniem połączenia do zasobów korporacyjnych. W przeciwieństwie do IPSec, jedynym wymaganym portem do ustanowienia komunikacji jest TCP 443, a ten z reguły jest "przepuszczany" bez względu na miejsce, w którym się znajdujemy.
· Szybka propagacja zmian. Bramy SSL VPN są rozwiązaniami niezwykle dynamicznymi. Dodanie kolejnej aplikacji, zmiana wyglądu interfejsu użytkownika czy uruchomienie nowej funkcjonalności - są realizowane znacznie szybciej niż w rozwiązaniach IPSec.
· W zasadzie brak ograniczeń odnośnie do systemu operacyjnego, z którego będziemy chcieli dostać się do zasobów firmy.
· Dodatkowe możliwości wykraczające poza typowe cechy bramy VPN - np. wirtualny, szyfrowany pulpit, środowisko typu live meeting, możliwość wykonania sprawdzenia konfiguracji stacji roboczej przed zezwoleniem jej na dostęp.
SSL VPN może rodzić pewne obawy u ekspertów ds. bezpieczeństwa. Fakt ten wykazał Michael Zusman na ubiegłorocznej konferencji Black Hat. Chodzi tutaj przede wszystkim o niebezpieczeństwo związane z kontrolkami ActiveX instalowanymi przez bramy SSL VPN. Niektóre z bram pozwalają na zautomatyzowanie procesu uruchamiania aplikacji klienckich na stacjach końcowych. Wygląda to tak, że użytkownik po połączeniu się do portalu VPN wybiera z listy aplikację, a klient VPN (kontrolka) uruchamia ją za niego. Jak mówi Zusman, zagrożenie tkwi w roli, jaką pełni kontrolka ActiveX - wyzwalacza uruchamiającego aplikację. Skoro może uruchomić aplikację, to może równie dobrze posłużyć do wywołania dowolnego kodu złośliwego. Zusman przeprowadził udany atak związany z wykorzystaniem klienta SSL VPN pochodzącego z produktu SonicWall. Poinformował jednocześnie producenta o podatności, a ten szybko ją poprawił. Nie oznacza to jednak, że podobne ataki nie byłyby możliwe przy wykorzystaniu innych produktów.
Connectra 9072 - największy z koncentratorów SSL VPN firmy Check Point - zdolny obsłużyć do 10 tys. jednoczesnych sesji SSL Na rynku dostępnych jest wiele dedykowanych rozwiązań SSL VPN. Postanowiliśmy sprawdzić, jakie możliwości oferują trzy z nich. Testom poddano: Connectra (w wersji R66) firmy Check Point, IVE firmy Juniper (w wersji IVE 6.4) oraz SonicWall Aventail serii E (E-Class) 10.0.1 firmy SonicWall.
Naszym celem było sprawdzenie, czego możemy oczekiwać od tego typu rozwiązań. Skupiliśmy się na stronie funkcjonalnej, łatwości instalacji i późniejszej konfiguracji oraz wrażeniach użytkownika końcowego. Testom poddaliśmy dostęp do najpopularniejszych zasobów, tj. poczty - poprzez portal WWW (IMAP/SMTP), udziałów sieciowych zarówno CIFS jak i SAMBA, Outlook Web Access, oraz dostęp do serwera linuksowego po SSH dla administratorów i aplikacji CRM z własnym "ciężkim" klientem. Przy ocenie pod uwagę braliśmy także jakość i szczegółowość dokumentacji.
Nie należy się jednak łudzić, że SSL VPN wyprze tradycyjne rozwiązania IPSec, co starają się nam wmówić niektórzy analitycy rynku i producenci rozwiązań SSL-owych. Owszem, bramy SSL VPN są bardzo dobrym pomysłem, ale przeznaczone są przede wszystkim do realizacji połączeń typu client-to-site, w środowiskach z dużą liczbą użytkowników mobilnych. IPSec jest bezkonkurencyjny w przypadku tuneli typu site-to-site. Może być też atrakcyjnym rozwiązaniem do zdalnego zarządzania zasobami przez administratorów. Ciężki klient jest też bardziej przydatny, jeżeli z zasobami korporacyjnymi łączymy się z jednej lokalizacji, z tego samego komputera i potrzebujemy pełnej łączności, od warstwy 3. wzwyż.
Zalety SSL VPN
· Brak konieczności instalacji i konfiguracji ciężkiego klienta. Istotny plus z punktu widzenia utrzymywania rozwiązania, nakładu prac typu Help Desk i - co za tym idzie - także kosztów. Wdrożenie bramy SSL VPN sprowadza się zatem jedynie do jej konfiguracji w centrali. Czas uruchomienia takiego rozwiązania jest nieporównywalnie krótszy niż rozwiązań IPSec, gdzie trzeba dodatkowo zadbać o dystrybucję agentów.
· Łatwy dostęp. Nie ma problemów z uzyskiwaniem połączenia do zasobów korporacyjnych. W przeciwieństwie do IPSec, jedynym wymaganym portem do ustanowienia komunikacji jest TCP 443, a ten z reguły jest "przepuszczany" bez względu na miejsce, w którym się znajdujemy.
· Szybka propagacja zmian. Bramy SSL VPN są rozwiązaniami niezwykle dynamicznymi. Dodanie kolejnej aplikacji, zmiana wyglądu interfejsu użytkownika czy uruchomienie nowej funkcjonalności - są realizowane znacznie szybciej niż w rozwiązaniach IPSec.
· W zasadzie brak ograniczeń odnośnie do systemu operacyjnego, z którego będziemy chcieli dostać się do zasobów firmy.
· Dodatkowe możliwości wykraczające poza typowe cechy bramy VPN - np. wirtualny, szyfrowany pulpit, środowisko typu live meeting, możliwość wykonania sprawdzenia konfiguracji stacji roboczej przed zezwoleniem jej na dostęp.
SSL VPN może rodzić pewne obawy u ekspertów ds. bezpieczeństwa. Fakt ten wykazał Michael Zusman na ubiegłorocznej konferencji Black Hat. Chodzi tutaj przede wszystkim o niebezpieczeństwo związane z kontrolkami ActiveX instalowanymi przez bramy SSL VPN. Niektóre z bram pozwalają na zautomatyzowanie procesu uruchamiania aplikacji klienckich na stacjach końcowych. Wygląda to tak, że użytkownik po połączeniu się do portalu VPN wybiera z listy aplikację, a klient VPN (kontrolka) uruchamia ją za niego. Jak mówi Zusman, zagrożenie tkwi w roli, jaką pełni kontrolka ActiveX - wyzwalacza uruchamiającego aplikację. Skoro może uruchomić aplikację, to może równie dobrze posłużyć do wywołania dowolnego kodu złośliwego. Zusman przeprowadził udany atak związany z wykorzystaniem klienta SSL VPN pochodzącego z produktu SonicWall. Poinformował jednocześnie producenta o podatności, a ten szybko ją poprawił. Nie oznacza to jednak, że podobne ataki nie byłyby możliwe przy wykorzystaniu innych produktów.
Connectra 9072 - największy z koncentratorów SSL VPN firmy Check Point - zdolny obsłużyć do 10 tys. jednoczesnych sesji SSL Na rynku dostępnych jest wiele dedykowanych rozwiązań SSL VPN. Postanowiliśmy sprawdzić, jakie możliwości oferują trzy z nich. Testom poddano: Connectra (w wersji R66) firmy Check Point, IVE firmy Juniper (w wersji IVE 6.4) oraz SonicWall Aventail serii E (E-Class) 10.0.1 firmy SonicWall.
Naszym celem było sprawdzenie, czego możemy oczekiwać od tego typu rozwiązań. Skupiliśmy się na stronie funkcjonalnej, łatwości instalacji i późniejszej konfiguracji oraz wrażeniach użytkownika końcowego. Testom poddaliśmy dostęp do najpopularniejszych zasobów, tj. poczty - poprzez portal WWW (IMAP/SMTP), udziałów sieciowych zarówno CIFS jak i SAMBA, Outlook Web Access, oraz dostęp do serwera linuksowego po SSH dla administratorów i aplikacji CRM z własnym "ciężkim" klientem. Przy ocenie pod uwagę braliśmy także jakość i szczegółowość dokumentacji.
Komentarze (0)
Polecane
Utwardzać system czy nie utwardzać?
Hardening wydaje się naturalnym i oczywistym sposobem poprawy bezpieczeństwa systemu. Roger Grimes, ekspert...
Cisco i rosnąca konkurencja
Światowy gigant z San Jose (USA) od lat piastuje pozycję lidera wśród dostawców rozwiązań sieciowych dla firm....