Úskalí vzdáleného přístupu

V rámci našeho přehledu jsme oslovili přední prodejce VPN řešení, která pracují

na bázi protokolu IPSec, aby nám poskytli své nejlepší produkty nabízející

vzdálený přístup na úrovni velkých korporací, tedy schopné pokrýt potřeby firmy

s tisíci uživateli. Testovali jsme celkem osm produktů od společností Avaya,

Check Point Software (používající hardwaru firmy Nokia), Cisco, Cylink,

NetScreen Technologies, Secure Computing, SonicWall a Symantec.

Namísto toho, abychom se zaměřovali na určitý model VPN serveru, jsme prodejce

vybízeli, aby nám představili celou sadu produktů, jež budou řešit vzdálený

přístup, včetně koncentrátorů, aplikací pro správu a hardwarové i softwarové

klienty (kompletní seznam produktů najdete v tabulce na str.14).

V testech (vzhledem k potřebné testovací infrastruktuře je prováděli kolegové v

americkém NetworkWorldu) si nejlépe vedly společnosti Cisco a Check Point. I

když v celkovém skóre produkt Cisco řešení Check Point o krůček předstihl.

Jakési čestné uznání nicméně zasluhují i společnosti NetScreen Technologies a

Avaya. I když ani jeden z těchto dvou produktů nedokáže nabídnout stejnou škálu

funkcí a flexibilitu jako dva předchozí vítězové, nabízejí tato řešení

specifické produktové detaily, které by jim mohly naklonit některé zákazníky.

Například produkt Avaya je vybaven podporou pro aplikace Voice-over-IP (VoIP),

která je lepší než u všech ostatních produktů.



Instalace

VPN klienti sestávají ze dvou částí: klientského softwaru a abstraktní

politiky, jež definuje způsob, kterým je šifrována komunikace. Instalace neboli

rozmístění v tomto případě znamená zprostředkovat informace o softwaru i

politice koncovému uživateli a obojí aktualizovat se změnami síťové konfigurace

a topologie.

V případě politiky někteří prodejci, například Secure Computing a Cylink, mají

soubor politiky (někdy nazývaný „policy blob“) na každém klientu. To je ovšem

problematické, neboť pokud změníte konfiguraci své sítě nebo tunel IPSec,

budete nuceni vydat tento soubor pro všechny klienty. Ve firemním prostředí,

ale ne všichni mají stejnou VPN politiku.

Lepším firemním řešením je proto použít zvláštní tzv. policy server, jenž bude

komunikovat s klienty a zajišťovat, že budou vždy vybaveni aktuální politikou.

Spojení s klientem bude v tomto případě poněkud delší, neboť verze politiky je

nutno kontrolovat, nicméně koncoví uživatelé si zase nemusejí dělat starosti s

tím, zda mají její správnou verzi.

Avaya, Check Point, Cisco, NetScreen i Symantec zvládají tuto problematiku

čistě a elegantně prostřednictvím zmíněných serverů, nicméně pouze Avaya, Check

Point, Cisco a NetScreen umožňují používání několika uživatelských politik.

Symantec též podporuje jednotlivé uživatelské politiky, ovšem pouze v případě

uživatelů, kteří jsou individuálně vloženi do jeho vnitřní autentizační

databáze.

Klienti se rovněž musejí vypořádat s aktualizacemi, upgrady a záplatami. Check

Point, Cisco a do jisté míry i NetScreen řeší tento problém v kontextu

definované VPN politiky. Check Point má generický softwarový download, stejně

jako systém pro údržbu, zabudovány přímo do klienta, a to nejen pro VPN

software, nýbrž pro cokoli, co chcete na systémech vzdálených uživatelů

upgradovat. Správcům sítě, kteří se nechtějí učit všechny nuance vzdálené

klientské správy programu, nabízí Check Point zjednodušenou verzi, která dokáže

zajistit permanentní aktualizování klienta.

Stejná otázka instalace vyvstává v případě hardwarových VPN klientů. Hardwaroví

VPN klienti jsou malé krabičky se dvěma ethernetovými porty, umístěné před

jedním nebo více klientskými počítači a zajišťující „off-load“ VPN připojení,

čímž se eliminuje potřeba stahování softwaru nebo politiky na koncový systém.

Avaya, Check Point, Cisco, NetScreen a SonicWall dodávají ke svým řešením také

hardwarové klienty, přičemž nejlepší způsob jejich správy nabízejí Cisco a

Avaya. Například klientu Cisco sdělíte IP adresu svého policy serveru,

uživatelské jméno a heslo pro ověření, a to je vše. Systémy za hardwarovými

klienty jsou šifrovány automaticky, jakmile se někdo pokusí o připojení k

systémům chráněným VPN. Klient si poté stahuje politiku podle potřeby. U

produktu, který nabízí Avaya, každý uživatel, jenž projde hardwarovým klientem,

je ověřován policy serverem individuálně, prostřednictvím webové stránky.

NetScreen a SonicWall jako hardwarové klienty používají své low-endové VPN

systémy. Ty je ale třeba nakonfigurovat odlišně od jejich původního použití

jednoduchého vzdáleného přístupu. Jde o to, že tito klienti jsou spravováni za

použití tzv. push techniky, namísto toho, aby na ně politika byla dodávána z

centrálního serveru. Zmíněná technika ovšem nenabízí dostatečnou škálovatelnost

ani výkon.

Dalším aspektem správy klientů pro vzdálený přístup je získání jisté kontroly

nad příbuznými částmi, které se nějak dostaly do produktů, zejména pak

firewally na straně klienta. V modelu Check Point je volitelný firewall na

klientské straně konfigurován prostřednictvím rozhraní, jež je velice podobné

tomu, jaké se používá pro diktování pravidel firemního firewallu. Miniaturní

verze inspekčního enginu pro firewall je nainstalována na klientovi, přičemž

konfigurace VPN i firewallu jsou zabaleny dohromady jako jeden jediný

politikový blob, který centrální manažer politiky automaticky aktualizuje a

kontroluje.

Pracovníkům odpovědným za bezpečnost se tak dostává možnosti intenzivně a

přesně kontrolovat to, co může klient dělat, když je součástí VPN.

Rovněž Cisco a NetScreen si vedou dobře v práci s firewally na straně klienta.

Rozhraní Cisco není sice tak elegantní jako u Check Pointu, nicméně umožňuje

nastavit primitivní paketové filtry naprogramované do klientského firewallu,

stejně jako nastavit jistá pojítka s dalšími centrálně řízenými produkty od

Zone Labs a Internet Security System.

Cisco a NetScreen rovněž nabízejí funkci posture assessment feature, jež vám

umožní blokovat VPN připojení v případě, že firewall není v daném okamžiku

aktivní.

Většina z ostatních řešení obsahuje osobní firewall u svého VPN klienta (Avaya

a Cylink jsou v tomto ohledu výjimkou), ale není zde žádná podpora pro

centrální řízení politiky a aktualizaci integrovanou s řízením VPN.



Pro firemní použití

Standardy IPSec prakticky ignorují téma vzdáleného přístupu. Proto za účelem

kompenzace většina prodejců tyto standardy hned v několika aspektech rozšířila.

Samozřejmě, že takový krok povede ke snížení interoperability a připoutá vás k

jednomu prodejci.

Jednou oblastí, kde se vzdálený přístup a IPSec přímo střetávají, je podpora

NAT a NAPT. Jedná se o techniky, které používají poskytovatelé internetových

služeb, zejména pak v širokopásmových prostředích, aby se vypořádali s

nedostatkem IP adres. Řešení, jež nepodporuje NAPT, nebude jednoduše fungovat,

a právě toto je jedním z důvodů, proč se vyhnout produktům jaký nabízí Secure

Computing.

Další nestandardní extenzí pro vzdálený přístup je interní addressing. Pro

síťové správce je nicméně velice výhodné kontrolovat IP adresy, z nichž klienti

přicházejí do firemní sítě. V komplexnějších síťových prostředích to pomáhá s

interním routingem, jelikož zde hraje významnou roli to, že pakety, které

přišly přes VPN, též stejnou cestou odcházejí. Navíc interní firewally dokáží

identifikovat podle adres, kteří uživatelé jsou uživateli VPN, což může

zjednodušit kontrolu přístupu a vynucování bezpečností politiky.

Cylink a SonicWall interní addressing vůbec nepodporují. NetScreen sice ano,

ovšem pouze tehdy, pokud spustíte L2TP jako tunelující protokol.

Check Point, Cisco a Secure Computing umožňují kontrolovat přidělování adres na

základě uživatelských skupin. Cisco se rovněž obrací pro získání adresy na DHCP

server.

Symantec provádí implementaci interního addressingu překladem adres VPN klientů

na straně centrální stanice. To je důmyslné řešení, které se vyhýbá

nestandardním IPSec, ovšem pokud máte aplikaci, kterou chcete spustit na VPN a

která se špatně překládá (například VoIP přes H.323) stojíte před závažným

problémem.



Autentizace

Jednou z nejobtížnějších částí nasazení produktů VPN je část identifikace,

jelikož standardy IPSec připouštějí pouze jeden druh: certifikáty založené na

PKI (Public Key Infrastructure) neboli infrastruktuře veřejného klíče.

NetScreen vyvinul pro VPN ověřovací proces, který kolem IPSec staví vlastní

protokol. Nejprve dojde k autentizaci na policy serveru za použití klienta

NetScreen, který vám dá kopii stávající politiky. Poté použijete standardní

funkce IPSec.

V našich testech jsme předpokládali, že všechny firmy by ověření prováděly

jedním ze dvou následujících způsobů: první používá stávající ověřovací systém,

který lze připojit k firemní síti za použití služby Remote Authentication

Dial-In User Device (RADIUS), v kombinaci s tokeny nebo dokonce se starší

databází uživatelského jména/hesla, jakou je například ověřovací databáze

Windows. Tou druhou jsou digitální certifikáty na bázi PKI obsažené na

paměťových kartách Smart Card. Oba tyto přístupy jsme podrobili testu.

Nejméně starostí nám působil RADIUS, až na jednu výjimku Cylink totiž ověření

na bázi RADIUS nepodporuje. Nicméně ne všichni se shodnou na tom, že je pro

ověření totožnosti nejlepší RADIUS. Symantec volí komunikaci s adresářem

Lightweight Directory Access Protocol a doménou Windows NT, nebo přímou

komunikaci se servery Cryptocard, SecurID, S/Key a Defender, u nichž si můžete

vybrat ověření pomocí tokenů.

Jedním z několika málo prodejců, kterým se podařilo integrovat VPN služby a

proces přihlášení přidělením tokenu každému uživateli, je Secure Computing.

Testování certifikátů bylo naší noční můrou, neboť prodejci VPN softwaru stojí

vůči nim v obtížné pozici. Microsoft podporu pro jejich správu (a příbuzných

technologií jako např. SmartCards) zabudoval do Windows 2000 (a XP). Pokud

používáte Cryptographic API (CAPI), pak automaticky podporujete téměř každou

čtečku digitálních karet a všechny formáty certifikátů, které existují. Nicméně

certifikační část CAPI není obsažena ve Windows 98 nebo NT. Chcete-li náležitou

podporu certifikátů, potřebujete dvě implementace svého produktu: jeden

podporující CAPI pro Windows 2000 nebo vyšší a druhý speciálně napsaný interní

pro všechny ostatní verze.

K našemu testování jsme používali certifikační autority Entrust PKI. Přihlásili

jsme naše uživatele a dali jim certifikáty, uložené s jejich osobními klíči na

Smart kartách Schlumberger.

Check Point nebyl zrovna favoritem, když podporoval pouze CAPI, nicméně

fungoval skvěle. SonicWall ani Cylink neměly podporu CAPI a tím pádem co se

certifikátů týče neměly šanci. Cisco teoreticky podporuje certifikáty, ovšem

naše certifikační autorita měla klíč delší, než je Ciscem podporované maximum 2

048 bitů.

Avaya a NetScreen certifikáty podporují, ovšem má to háček. Abyste se mohli

připojit k správci a získali svou politiku, potřebujete uživatelské jméno a

heslo. Takže pokud se rozhodnete pro autentizaci pomocí certifikátů, funguje to

jen potud, pokud nejprve použijete své uživatelské jméno a heslo. NetScreen

tento problém řeší celkem hezky, a to tak, že navrhuje uživatelské jméno/heslo.

To se v zásadě používá k tomu, aby se policy serveru sdělilo, ke které skupině

se chcete připojit. Jakmile svou politiku získáte, provede VPN ověření vašeho

certifikátu.



Reporting

Udržovat si přehled o tom, k jakým účelům je používána vaše VPN, se zdá být

věcí, kterou většina prodejců považuje za volitelnou. My nikoli. Pouze Cisco

nabízí základní výpis informací o VPN. Ostatní produkty nás nechávaly tápat v

temnotách. Navzdory všem těm řečem o potřebě nástrojů typu firewallů pro

kontrolu síťového přístupu, byl objem zpráv, které nám tyto nástroje podávaly,

dosti slabý.

Auditování, které je ve světě zabezpečení běžnou věcí, bylo těmito produkty

podporovány lépe. Všichni prodejci nabídli způsob, jak „vytáhnout“ ze serveru

alespoň ty nejzákladnější informace, například seznam přihlášení. Nejlépe bylo

auditování provedeno produkty od Symantecu a Secure Computingu, které logovaly

nejen samotnou VPN session, ale též každé spojení s aplikací učiněné

prostřednictvím VPN tunelu.

Rovněž jsme se podívali na kontrolu VPN tunelu a otázky spojené s firewallem.

Chtěli jsme vědět, jakou míru kontroly můžete mít nad konkrétním VPN tunelem,

jakmile si jej pustíte do sítě. Produkty, které byly primárně vybaveny

firewally Check Point, Net Screen, Secure Computing, SonicWall a Symantec

nabízejí všechny celkem silné možnosti kontroly aktuálního dění, a to dokonce i

poté, co se tunel dostane do sítě. Systémy, které jsou primárně VPN

koncentrátory Avaya, Cisco a Cylink, neposkytují téměř žádnou, nebo jen velmi

malou dodatečnou kontrolu.



Provoz a správa v síti

Každý síťový správce chce odpověď na jednoduchou otázku: Kdo se loguje do VPN?

Pouze Cisco umožňoval sledovat, kdo je v danou chvíli nalogován, a v případě

potřeby jsme mohli uživatele odpojit. Avaya nám naopak umožnila sledovat, kdo

je připojen, ovšem nenabídla žádný nástroj, který by nám umožnil něco s tím

dělat.

Check Point měl v tomto ohledu problém. Hodnotili jsme jej v okamžiku, kdy

právě vycházel z fáze betatestování a odhalili jsme několik problémů týkajících

se stability rozhraní pro správu. Neměli jsme pražádný problém s vytvářením VPN

tunelů nebo unikáním paketů přes firewall. Nicméně nástroj, který nabídl Check

Point pro monitorování přístupu VPN uživatelů, se nám nepodařilo dokonce vůbec

rozběhnout, a tak jsme jej nemohli otestovat.

Cylink, NetScreen, Secure Computing a Symantec nám poskytli jen málo nebo skoro

žádné informace o uživatelích aktuálně přihlášených na VPN. Dobrá podpora pro

další funkce síťové integrace a správy, jako například správa šířky pásma podle

uživatele nebo skupiny a integrace routovacích protokolů, byla sporadická.

Cisco rovněž nabídlo hezkou škálu routovacích protokolů, možností a nástrojů

pro správu pásmové šířky, které byly zabudovány přímo do produktu. NetScreen

nabídl správu pásmové šířky ovšem bez routingu.

Check Point nabízí routing i správu pásmové šířky, ovšem nic z toho není

integrováno do VPN. V jeho případě je řešením přikoupit Floodgate, který nabízí

určité nástroje pro správu pásmové šířky. A i když platforma Nokia, na které

jsme Check Point testovali, měla řadu routovacích funkcí zabudovanou, žádná z

nich nekomunikovala přímo s VPN částí sítě. Avaya se představila s implementací

protokolu Routing Information, což rozhodně není ten nejvybranější routovací

protokol pro firemní sítě.



Který zvolit?

Vybrat produkt pro vzdálený přístup není příliš složité pokud jste si předtím

jasně definovali, co od takového řešení očekáváte.

Potřebujete hlavně vyřešit dle našeho názoru témata, jako je například správa

autentizací a uživatelské politiky.

Poté je třeba zvážit několik méně významných otázek: Potřebujete interní

addressing? Hardwarového klienta? Podporu pro Macintosh? Firewall na klientské

straně? Vysokou dostupnost? Podporu pro NAT? Tohle jsou všechno drobné detaily,

které byste při výběru neměli opomenout.

Ačkoli si řešení firem Cisco i CheckPoint v našem hodnocení vedly nejlépe, i

oba z těchto produktů mají svá omezení.



Jak jsme testovali

Abychom mohli náležitě ohodnotit jednotlivá VPN řešení, nechali jsme si od

každého prodejce zaslat VPN koncentrátor, systém pro správu a všechny dostupné

softwarové či hardwarové klienty. Nainstalovali jsme systémy pro správu a

grafická uživatelská rozhraní (tam, kde to bylo možné) na server Windows 2000

SP3. VPN koncentrátor byl nainstalován na veřejné síti Opus One.

Abychom mohli skutečně zhodnotit podporu pro typické autentizační systémy,

sáhli jsme po kombinaci Remote Authentication Dial-In User Service (RADIUS) a

infrastruktury veřejného klíče (PKI). Pro RADIUS jsme používali RADIUS server

Opus One, což je standardní řešení pro ověřování a podávání zpráv. Pro ověření

na bázi PKI jsme použili jako certifikační autority Entrust/PKI v6.0, společně

se SmartCards Schlumberger a čtečkami.

Jakmile jsme měli produkty nainstalované, hodnotili jsme celý balík řešení pro

vzdálený přístup z hlediska velkého firemního prostředí, dívali se na možnosti

správy a škálovatelnosti, a to v měřítku od tisíce do deseti tisíc simultánních

VPN uživatelů. Porovnali jsme funkce pro instalaci a správu, stejně jako

schopnost sítě se rozrůstat a podporovat vysoký počet uživatelů. Rovněž jsme se

dívali na flexibilitu, abychom mohli ohodnotit, jak dobře si navrhovaná VPN

řešení dokázala poradit s řadou různých internetových a firemních prostředí.

Nakonec jsme porovnávali produkty z hlediska jejich firemních funkcí, jakou je

například tolerance vůči chybě, integrovaný firewall, audit a reportování apod.