Post on 08-Feb-2018
Sieci VPN – SSL czy IPSec?
Powody zastosowania sieci VPN:
• Geograficzne rozproszenie oraz duŜa mobilność pracowników i klientów przedsiębiorstw i instytucji,
• Konieczność przesyłania przez Internet danych o charakterze poufnym.
Dostępne rozwiązania:
• Wirtualna sieć prywatna IPSec VPN – umoŜliwia implementację pełnej gamy protokołów i usług sieciowych,
• Wirtualna sieć prywatna SSL VPN - zwana równieŜ siecią VPN „bez klienta” (ang. „clientless” VPN).
Wybór konkretnego typu sieci VPN zaleŜny jest od specyficznych wymagań. Często stosuje się oba rozwiązania z uwagi na uzupełnianie się właściwości dostępu SSL oraz IPSec. Bezpieczeństwo połączenia generalnie zapewniają mechanizmy:
• Kontroli dostępu,
• Firewalling,
• Sieci prywatne VPN.
Sieć IPSec VPN:
• Składa się zwykle, z co najmniej jednej bramy VPN, słuŜącej do terminowania szyfrowanych połączeń IP, zestawionych między siecią Internet a siecią lokalną,
• Odpowiednie oprogramowania klienta musi być zainstalowane na kaŜdym komputerze będącym zdalnym punktem dostępowym (klient IPSec VPN moŜe być konfigurowany manualnie lub automatycznie).
• Konfiguracja klienta definiuje:
o Typ pakietów, które będą szyfrowane,
o Parametry bramy uŜywanej do zestawienia tunelu VPN.
• W przypadku sieci VPN typu „site-to-site” moŜliwa jest współpraca rozwiązań od róŜnych dostawców sprzętu.
• VPN IPSec moŜna stosować takŜe w architekturze „klient - serwer”, co jednak utrudnia kooperację rozwiązań od róŜnych dostawców z uwagi na liczne rozszerzenia standardu IPSec, wspierające m.in. translację adresów IP - NAT.
• IPSec to stabilny i dobrze rozpowszechniony standard, zapewniający bardzo silne szyfrowanie oraz ochronę integralności danych.
• Funkcjonuje w warstwie sieciowej (III w. ISO/OSI), zatem działa niezaleŜnie od wykorzystującej go aplikacji.
• IPSec hermetyzuje oryginalny pakiet IP za pomocą własnego pakietu (enkapsulacja), ukrywając w ten sposób wszelkie informacje protokołu aplikacji.
• Tunel IPSec umoŜliwia obsługę dowolnej ilości róŜnych połączeń (HTTP, FTP, SMTP/POP, VoIP etc.) przechodzących przez bramę VPN.
Sieć SSL VPN:
• SSL to bezpieczny protokół transportowy, wykorzystywany szeroko do zapewnienia poufności i bezpieczeństwa transakcji (bankowość, e-commerce etc.)
• Powszechnie stosowany w połączeniu z protokołem HTTP – jako HTTPS. MoŜe być jednak takŜe implementowany razem z FTP, SMTP, POP i innymi znanymi protokołami usług sieciowych, uŜywając do transportu protokołu TCP.
• Sieci SSL VPN nazywane są (nieprecyzyjnie) sieciami „bez klienta” (ang. ‘clientless’), gdyŜ do pracy z protokołem HTTPS uŜywa się zwykłych przeglądarek internetowych, które powszechnie obsługują protokół SSL bez konieczności instalacji dodatkowych plugin-ów czy oprogramowania klienckiego (inaczej niŜ w IPSec).
• W sieciach SSL VPN moŜna takŜe stosować rozwiązania umoŜliwiające zdalnemu komputerowi tunelowanie ruchu pochodzącego za pomocą tzw. wtyczki (ang. „plug-in”) do przeglądarki internetowej (zamiast dedykowanego oprogramowania). Po uwierzytelnieniu uŜytkownika na portalu WWW - bramie sieci SSL VPN – i pobraniu wtyczki (formantu ActiveX’a lub agenta Java’y), ruch między klientem a serwerem jest tunelowany
przez protokół SSL. Rozwiązania te róŜnią się zakresem obsługiwanych aplikacji (wada).
• We wstępnej fazie połączenia (przed nawiązaniem połączenia właściwego) negocjowane i weryfikowane są:
o Uwierzytelnienie serwera przez klienta i odwrotnie (opcjonalnie) za pomocą certyfikatów cyfrowych,
o Bezpieczne wygenerowanie kluczy sesji do szyfrowania oraz weryfikacji integralności danych.
• Protokół SSL moŜe uŜywać róŜnych algorytmów:
o Generowania kluczy publicznych (RSA, DSA),
o Generowania symetrycznych kluczy, słuŜących do szyfrowania połączenia właściwego (DES, 3DES, RC4),
o Algorytmów kontroli integralności danych (MD5, SHA-1).
• WdroŜenie bezpiecznego dostępu SSL moŜe zostać zrealizowane z zastosowaniem:
o Serwerów bezpośrednio wykorzystujących oprogramowanie SSL (samodzielnie terminują tunele IPSec do zdalnych uŜytkowników).
o Bram VPN, terminujących tunele IPSec zdalnych uŜytkowników i przekazując informacje dalej do serwerów w sieci lokalnej w postaci niezaszyfrowanej.
Porównanie IPSec VPN oraz SSL VPN:
Właściwość VPN IPSec SSL
Dostępność aplikacji
Wszystkie aplikacje IP Głównie WWW (HTTPS)
Wymagane oprogramowanie
Klient IPSec Przeglądarka internetowa
Udostępnianie informacji
Tylko komputery z odpowiednim oprogramowaniem i konfiguracją
Dostęp z dowolnego komputera (mało bezpieczne)
Poziom bezpieczeństwa
Dość wysokie (zaleŜnie od oprogramowania i konfiguracji)
Średnie (wymaga dedykowanego oprogramowania u klienta)
Skalowalność Wysoka Wysoka Metody
uwierzytelniania Wiele - takŜe infrastruktura
klucza publicznego (PKI) Wiele - takŜe PKI
Dodatkowe aspekty
MoŜe podnosić bezpieczeństwo stacji po zastosowaniu osobistego firewall'a.
Ograniczona kontrola dostępu do informacji, dobre przy dostępie do
mniej poufnych informacji Rekomendacja Bezpieczny dostęp dla
pracowników zdalnych i odległych segmentów logicznie
wspólnej sieci
Bezpieczny dostęp zewnętrznych klientów za pomocą przeglądarki
WWW
Obsługa wszystkich usług i protokołów opartych o IP
Zintegrowany ze wszystkimi przeglądarkami
To samo rozwiązanie dla połączeń:
client-to-site, site-to-site,
client-to-client.
Popularne klienty i serwery pocztowe obsługują SSL
Klient IPSec umoŜliwia uŜycie innych funkcji bezpieczeństwa
(osobisty firewall, kontrola konfiguracji)
Przezroczysty dla proxy, NAT i zapór przepuszczających SSL
Zalety
Bramy VPN standardowo integrowane z profesjonalnymi
zaporami sieciowymi
Rozszerzenia przeglądarki umoŜliwiają aplikacjom klient-serwer łączność z uŜyciem SSL
Konieczna instalacja aplikacji klienckiej, dedykowanej dla
danego OS
Obsługuje jedynie podstawowe usługi TCP (HTTP, SMTP/POP3)
Firewall'e i inne urządzenia między klientami i bramą VPN
mogą uniemoŜliwiać zestawianie połączeń
Wymaga od bramy uŜycia większej ilości zasobów obliczeniowych
MoŜliwe trudności we współpracy: klient-brama od
róŜnych dostawców
Klient (przeglądarka, poczta) nie posiada dedykowanego
oprogramowania (zapora, kontrola integralności), co moŜe ograniczać
bezpieczeństwo
Wady
Sesje SSL nie terminowane na poziomie firewall'a wymagają tworzenia "dziur" w zaporach,
przez które przechodzi tunel, co uniemoŜliwia kontrolę danych w
połączeniach HTTPS
Rozszerzenia przeglądarek mogą obsługiwać ograniczoną liczbę aplikacji (kompatybilność) lub
wymagać uprawnień administratora
Brak moŜliwości implementacji sieci "site-to-site VPN"
(standardowo uŜywany IPSec)