Технология VPN возникла как сложная замена специализированным фирменным вариантам передачи данных между удаленными сетями. Целью разработчиков было избавиться от дорогостоящих услуг телекоммуникационных компаний и обеспечить возможность пересылки частных данных через виртуальные туннели по Интернету. Безопасность туннелей, обеспечиваемая шифрованием, почти столь же высока, как у выделенных каналов при практически полном отсутствии текущих затрат. Такая экономия компенсирует существенные усилия, необходимые для организации VPN, требующей дорогостоящего оборудования, утомительной настройки и согласования специализированных IP-протоколов VPN с брандмауэром компании.
Сегодня сети VPN стали фактическим стандартом для взаимосвязанных корпоративных сетей. Они очень удачно применяются в межсетевых соединениях. К сожалению, сложность традиционной технологии VPN со временем повышается, поскольку разработчики VPN-продуктов пытаются обслуживать другие приложения, в том числе пользователей коммутируемых, широкополосных и беспроводных соединений. Количество настраиваемых параметров стремительно растет, и в результате настройка VPN превращается в испытание даже для опытных сетевых инженеров. Индивидуальные удаленные пользователи должны установить специальную клиентскую программу, которая порой мешает обычной работе сети и достаточно сложна в настройке и эксплуатации. Положение усугубляется тем, что некоторые Интернет-провайдеры блокируют протоколы VPN, такие как Cisco Generic Routing Encapsulation (GRE) и Layer 2 Tunneling Protocol (L2TP), взимая дополнительную плату за их использование.
В конце концов поставщики VPN придумали обходной прием: VPN на основе SSL. На самом простом уровне для подключения SSL VPN пользователю требуется лишь браузер. VPN функционирует через стандартный порт SSL-порт 443, отлично приспособленный для работы с брандмауэрами и Интернет-провайдерами без особых настроек и дополнительной платы. Тем не менее, передовые продукты SSL VPN обеспечивают почти полную функциональность IPSec VPN и даже более детализированное управление политиками. У всех продуктов SSL VPN есть одна отличительная черта — простота установки и обслуживания, за что вам будет особенно благодарен персонал службы поддержки.
Чтобы понять, как использовать сети SSL VPN вместо IPSec-разновидности, необходимо знать спектр продуктов и различные реализованные в них наборы функций. Список продуктов данной категории приведен в таблице «Основные участники рынка SSL VPN». Одни продукты SSL VPN функционируют совсем без клиентов, а в других используются небольшие апплеты Java или модули ActiveX, автоматически загружаемые из Web. В ряде продуктов применяется простая проверка подлинности с идентификатором пользователя/паролем; в других же используются очень надежные цифровые сертификаты и/или двухфакторная проверка подлинности. В некоторых продуктах подключенным пользователям предоставляется полный доступ к сети; в других доступ можно ограничить только ресурсами, определенными политиками. Такова картина на рынке.
Принципы действия
Чтобы разобраться в принципах действия SSL VPN, рассмотрим основы IPsec для индивидуальных удаленных пользователей, для которых хост-компьютер выглядит напрямую подключенным к частной сети за брандмауэром компании. В IPsec этот эффект достигается благодаря созданию виртуального интерфейса сети непосредственно на компьютере конечного пользователя, связанного туннелем со шлюзом IPsec (автономным устройством или встроенным в брандмауэр компании). Поведение и вид этого виртуального интерфейса похоже на любой другой адаптер локальной или распределенной сети; в действительности, большинство IPSec VPN выглядят как Ethernet-платы с собственным IP-адресом и записями в таблице маршрутов. После того, как установлен туннель IPSec, удаленные пользователи могут свободно обращаться ко всем сетевым ресурсам на другом конце туннеля с использованием своих частных IP-адресов.
В отличие от традиционных VPN, сети SSL VPN не обязательно создают виртуальный интерфейс сети. Удаленный пользователь инициирует соединение SSL VPN, направляя браузер на шлюз SSL VPN, который может быть специализированным устройством или сервером с программой SSL VPN, такой как Microsoft Forefront Unified Access Gateway (UAG) 2010. Соединение шифруется с использованием протокола SSL/TLS, и в результате могут применяться различные механизмы проверки подлинности, поддерживаемые SSL. Проверка подлинности пользователей в SSL VPN может выполняться через существующую инфраструктуру каталогов, будь то Active Directory (AD) или открытый стандарт Lightweight Directory Access Protocol (LDAP). В результате пользователям не приходится запоминать дополнительный пароль и исключается одна из точек входа, добавление/удаление которой нужно отслеживать.
После того как пользователь начинает сеанс браузера SSL VPN, шлюз SSL VPN играет роль посредника для трафика HTTP и HTTP Secure (HTTPS), поступающего в сеть компании. Возможности веб-доступа SSL VPN удивят администраторов, привычных к традиционному SSL веб-серверов. Вместо того чтобы просто подключать пользователей к единственному SSL-совместимому веб-серверу, шлюз SSL VPN обеспечивает маршрутизацию пользователей к любому веб-приложению внутренней сети, даже если сами эти приложения не предназначены для применения с SSL. Этим и ограничиваются потребности многих пользователей в удаленном доступе.
Если бы этим ограничивались и возможности SSL VPN, этого было бы достаточно. Но они шире. В отличие от базовых IPsec VPN, через которые удаленные пользователи подключаются напрямую к локальной сети компании с немногими ограничениями или без них, шлюз SSL VPN обеспечивает возможность управления тем, к каким внутренним серверам может подключиться каждый пользователь. С помощью некоторых шлюзов можно даже управлять доступом на уровне URL-адресов, определяя части приложений, доступные удаленным пользователям. Такая точность управления недоступна в продуктах IPsec VPN с любой ценой.
Если пользователям требуется полный дистанционный доступ на сетевом уровне, то применение виртуального сетевого интерфейса, подобного созданному традиционной VPN, и локальных для компании IP-адресов позволяет добиться этого через специфический для каждого продукта приложения-коннектора «виртуальный IPsec». Эти приложения взаимодействуют с операционной системой пользователя таким же образом, как IPsec, путем создания виртуального сетевого интерфейса. Но в отличие от IPsec, этим приложениям не требуется сложная настройка, так как пользователю не предоставляются параметры для выбора. Администратор шлюза SSL VPN выполняет все настройки, назначая различные политики доступа для шлюза. Таким образом, можно предоставить одному пользователю доступ по протоколу FTP к серверу финансового отдела, другому — возможность отправлять почту SMTP и третьему запретить оба этих действия.
Расширенные возможности SSL VPN зависят от поставщика, но, поскольку пользователям не нужно устанавливать никаких программ, проблем совместимости не возникает. Требуется лишь выяснить, поддерживает ли поставщик операционные системы, с которыми работают пользователи. Не все продукты совместимы со всеми операционными системами, но все поддерживают Windows и Internet Explorer (IE), пользователи которых формируют основной спрос на SSL VPN. Но кроме совместимости с операционной системой необходимо учитывать основные категории, на которые делятся продукты SSL VPN: простые, гибридные, многофункциональные и многофункциональные гибридные.
Разновидности SSL VPN
На первый взгляд категории кажутся сложными, но их легко понять, зная функциональные особенности SSL VPN.
Простой шлюз. Простой шлюз обеспечивает минимальный набор функций SSL VPN, который в действительности достаточно широк: proxy HTTP и HTTPS, детальное управления доступом на уровне IP-адресов, проверка подлинности с использованием пароля и сертификата, учет доступа и управление аудитом. Пользователь почти любого браузера может обратиться к простому шлюзу, так как не применяется никаких приложений или элементов управления ActiveX. Простой шлюз размещается за брандмауэром компании, в локальной сети или демилитаризованной зоне, а трафик следует через порт 443. Простой шлюз не предназначен для функционирования в качестве брандмауэра и во многих случаях подключается к одному порту Ethernet, обслуживающему как сеансы SSL VPN, исходящие из глобальной сети, так и направляемый в локальную сеть пользовательский трафик.
Существенное преимущество простого шлюза перед базовым подключением IPSec заключается в том, что внутренняя сеть не открыта для разнообразных протоколов конечных пользователей. Это обеспечивает уровень защиты от вирусов и атак хакеров. Однако есть одна проблема безопасности, связанная с простыми шлюзами, как будет показано в следующем разделе.
Гибридный шлюз. Гибридный шлюз поддерживает как SSL, так и IPsec VPN, обеспечивая единую точку управления всем удаленным доступом. Он не располагает дополнительной функциональностью, но возможности SSL VPN часто можно получить путем модернизации шлюза IPsec. Обладателям шлюза IPsec следует в первую очередь подумать о приобретении SSL VPN у данного поставщика, так как в большинстве случаев проще иметь дело с одним поставщиком, чем с двумя.
Многофункциональный шлюз. Многофункциональный шлюз поддерживает не просто службу VPN. Он может служить пограничным брандмауэром, использоваться для размещения веб-портала компании, обнаруживать и предотвращать попытки несанкционированного доступа, фильтровать вирусный трафик и выполнять другие функции. Нет четких критериев многофункционального шлюза, как и веской причины для их существования, помимо удобства приобретения и администрирования. Возможно, разумнее отделить SSL VPN от других процессов безопасности сети; при этом сохраняется свобода выбора продукта в будущем и упрощается начальное развертывание и диагностика SSL VPN.
Многофункционально-гибридный шлюз. В многофункционально-гибридных продуктах сочетаются характеристики гибридных и многофункциональных шлюзов. Их разносторонние возможности могут быть полезны для крупных компаний, но, скорее всего, лягут тяжелой ношей на плечи рядового сетевого администратора. Поэтому будьте осторожны, выбирая эти универсальные продукты.
Известные уязвимые места
Легко поверить, что с установкой любого VPN-подключения немедленно решаются все проблемы безопасности для удаленных пользователей. Но, как хорошо известно пользователям IPsec, это не всегда так. От неправильно развернутой VPN может исходить такая же опасность, как от локальной сети, подключенной к Интернету без брандмауэра. Если удаленная сеть или конечный пользователь скомпрометированы (вирусом, шпионской программой или взломщиком), то VPN (традиционная или SSL) может стать каналом для проникновения вредоносных агентов во внутреннюю сеть компании.
В этом отношении SSL VPN менее опасны, так как в них автоматически применяются политики доступа, специфические для конечных точек, а в большинстве действуют также политики доступа для приложений. Если не активизировать истинный интерфейс виртуальной сети, соединения SSL VPN будут предназначены для отдельных приложений, что существенно снижает уязвимость для атаки. Возможность ограничить взаимодействия пользователей на уровне URL-адресов обеспечивает еще более детальное управление с применением политик. Но, как и в традиционных VPN, детальные политики принесут пользу, только если позаботиться об их настройке.
Однако у SSL VPN есть несколько уязвимых мест, которых нет в традиционных VPN. Простота, с которой пользователи могут установить соединение SSL VPN (только через браузер), вызывает соблазн подключаться из опасных мест, например с незащищенных ноутбуков и настольных компьютеров и даже из общедоступных интернет-киосков. Это опасно, так как компьютер может быть заражен программой, перехватывающей нажатия на клавиши или снимки экрана. Несмотря на более строгие политики, злоумышленник сможет увидеть и сделать все, что видит и делает конечный пользователь на скомпрометированной рабочей станции.
Большинство шлюзов SSL VPN автоматически отключают удаленных пользователей от общедоступного Интернета, пока активен туннель VPN, вынуждая пользователей обращаться в Интернет через него. Таким образом удается избежать атак типа split-network, в ходе которых взломщик получает доступ в реальном времени к локальной сети компании через туннель VPN. В SSL VPN для защиты от подобных угроз все обращения к браузеру просто направляются через VPN, а другие Интернет-протоколы блокированы. Но split-network — лишь одна из угроз.
Вторая угроза еще более коварна. На сегодня для нее не существует противоядия, известен только обходной прием. В результате взломщик может полностью завладеть компьютером пользователя; причина в неудачной реализации программы, устанавливаемой многими продуктами в начале сеанса SSL VPN. Если в приложении Java или Active X есть функция для запуска на компьютере пользователя локальной программы, например клиентского приложения, то взломщик сможет запустить вредную программу, в частности простой (но очень опасный) регистратор нажатий на клавиши. В целом эта функция удобна для конечных пользователей: автоматический запуск локальной программы, например для ввода заказов, упростит работу пользователя. Чтобы обойти эту проблему, необходимо отключить функцию запуска приложений.
Третий класс угроз — заражение вирусами и шпионскими программами, что может привести к внедрению опасных программ за брандмауэром. Вредные программы могут проникнуть вместе с вложенными файлами электронной почты и пересылаемыми файлами или (если используются коннекторы протоколов SSL VPN) через любой протокол TCP/IP. Такие угрозы иногда называют пассивными, так как они не направлены на конкретную цель и просто пытаются распространиться на все доступные компьютеры в сети. Благодаря SSL уязвимых мест становится меньше, но они не исчезают.
В действительности от двух последних угроз существует лишь одна защита: строгий контроль компьютеров, используемых для доступа к VPN. Для этого необходимо регулярно выполнять поиск вирусов и шпионских программ, запретить использование удаленных компьютеров в незащищенных сетях и объяснить пользователям риски, связанные с попытками обхода политик безопасности. В некоторых шлюзах SSL VPN для защиты от вредных программ применяются программы, которые проверяют целостность системы пользователя до подключения к сети, обнаруживают попытки несанкционированного доступа и запрещают удаленный трафик.
В дополнение к обычной односторонней проверке подлинности SSL следует назначить двустороннюю проверку как удаленного пользователя, так и VPN назначения. Проще всего сделать это с помощью цифровых сертификатов, распространяемых из инфраструктуры PKI. К счастью, все, кроме простейших шлюзов и SSL VPN, поддерживают такую проверку подлинности. Еще одно заслуживающее внимания средство безопасности — двухфакторная проверка подлинности. Наряду с обычным именем пользователя и паролем для регистрации требуется пароль второго уровня, вводимый через особое устройство или USB-накопитель или по специализированному каналу связи. Очень удачная разновидность последнего — шлюз, который передает на сотовый телефон удаленного пользователя SMS-сообщение, содержащее разовый пароль, который пользователь должен ввести, чтобы получить доступ.
Пакет SSL VPN
Подавляющее большинство шлюзов SSL VPN представляют собой специализированные устройства, но есть и программные продукты для серверов UNIX или Windows. Цена как аппаратных, так и программных продуктов определяется в основном количеством пользователей. В аппаратных устройствах это ограничение может зависеть от характеристик оборудования или строго заданного предельного числа пользователей. Для программных продуктов, в том числе Microsoft Forefront UAG, часто требуется отдельно покупать лицензии каждому пользователю.
Во многих аппаратных брандмауэрах имеются расширенные функции SSL VPN, которые можно получить, приобретая дополнительную лицензию, обычно с 30?дневным пробным периодом. Учтите, что процессы шифрования SSL VPN могут создать существенную нагрузку на брандмауэр компании, если в устройстве нет специализированного блока аппаратного шифрования. Даже в этом случае трафик SSL VPN может мешать незашифрованному трафику, например VoIP, поэтому может быть предпочтительно реализовать SSL VPN на отдельном устройстве или сервере. Как и в случае с телевизорами со встроенными функциями видеозаписи, встраивание SSL VPN может осложнить попытки модернизации в будущем как брандмауэра, так и компонента SSL VPN шлюзового устройства.
Наконец, рассматривая исключительно программные SSL VPN, помните, что без специальных устройств шифрования эти продукты обслуживают ограниченное количество пользователей. Приобретение лицензий из расчета на одного пользователя часто привлекательно при закупке продукта для 200 и более рабочих мест, а услуги SSL VPN иногда предоставляются по условиям существующей лицензии, но немногие готовые серверы обеспечивают даже часть такого числа одновременных VPN-туннелей.
Сначала пробуй, затем покупай
Вооружившись пониманием различий между традиционными VPN и SSL VPN и знанием преимуществ простоты использования, можно приступать к выбору шлюза SSL VPN. Обязательно учитывайте потребности пользователей и выбирайте продукт с достаточными возможностями для защиты от угроз, возникающих перед сообществом пользователей. Большинство VPN-продуктов, в том числе аппаратных устройств, предоставляются в недорогих вариантах ценой всего несколько сотен долларов. Их можно опробовать, прежде чем потратить деньги на полноценное решение для компании. Очень хорошо, что у продуктов SSL VPN нет проблемы совместимости с инфраструктурой, поэтому приступить к тестированию можно безотлагательно.
Мел Бекман (mbeckman@penton.com) — старший технический редактор System iNEWS. Президент компании Beckman Software Engineering, специализирующейся на техническом консалтинге в области высокомасштабируемых широкополосных сетей