Sieci VPN – SSL czy IPSec?

Sieci VPN – SSL czy IPSec?
Powody zastosowania sieci VPN:
•
Geograficzne rozproszenie oraz duŜa mobilność pracowników i
klientów przedsiębiorstw i instytucji,
•
Konieczność
poufnym.
przesyłania
przez
Internet
danych
o
charakterze
Dostępne rozwiązania:
•
Wirtualna sieć prywatna IPSec VPN – umoŜliwia implementację
pełnej gamy protokołów i usług sieciowych,
•
Wirtualna sieć prywatna SSL VPN - zwana równieŜ siecią VPN „bez
klienta” (ang. „clientless” VPN).
Wybór konkretnego typu sieci VPN zaleŜny jest od specyficznych
wymagań. Często stosuje się oba rozwiązania z uwagi na uzupełnianie się
właściwości dostępu SSL oraz IPSec. Bezpieczeństwo połączenia
generalnie zapewniają mechanizmy:
•
Kontroli dostępu,
•
Firewalling,
•
Sieci prywatne VPN.
Sieć IPSec VPN:
•
Składa się zwykle, z co najmniej jednej bramy VPN, słuŜącej do
terminowania szyfrowanych połączeń IP, zestawionych między siecią
Internet a siecią lokalną,
•
Odpowiednie oprogramowania klienta musi być zainstalowane na
kaŜdym komputerze będącym zdalnym punktem dostępowym (klient
IPSec VPN moŜe być konfigurowany manualnie lub automatycznie).
•
Konfiguracja klienta definiuje:
o Typ pakietów, które będą szyfrowane,
o Parametry bramy uŜywanej do zestawienia tunelu VPN.
•
W przypadku sieci VPN typu „site-to-site” moŜliwa jest współpraca
rozwiązań od róŜnych dostawców sprzętu.
•
VPN IPSec moŜna stosować takŜe w architekturze „klient - serwer”,
co jednak utrudnia kooperację rozwiązań od róŜnych dostawców z
uwagi na liczne rozszerzenia standardu IPSec, wspierające m.in.
translację adresów IP - NAT.
•
IPSec to stabilny i dobrze rozpowszechniony standard, zapewniający
bardzo silne szyfrowanie oraz ochronę integralności danych.
•
Funkcjonuje w warstwie sieciowej (III w. ISO/OSI), zatem działa
niezaleŜnie od wykorzystującej go aplikacji.
•
IPSec hermetyzuje oryginalny pakiet IP za pomocą własnego pakietu
(enkapsulacja), ukrywając w ten sposób wszelkie informacje
protokołu aplikacji.
•
Tunel IPSec umoŜliwia obsługę dowolnej ilości róŜnych połączeń
(HTTP, FTP, SMTP/POP, VoIP etc.) przechodzących przez bramę
VPN.
Sieć SSL VPN:
•
SSL to bezpieczny protokół transportowy, wykorzystywany szeroko
do zapewnienia poufności i bezpieczeństwa transakcji (bankowość,
e-commerce etc.)
•
Powszechnie stosowany w połączeniu z protokołem HTTP – jako
HTTPS. MoŜe być jednak takŜe implementowany razem z FTP,
SMTP, POP i innymi znanymi protokołami usług sieciowych,
uŜywając do transportu protokołu TCP.
•
Sieci SSL VPN nazywane są (nieprecyzyjnie) sieciami „bez klienta”
(ang. ‘clientless’), gdyŜ do pracy z protokołem HTTPS uŜywa się
zwykłych przeglądarek internetowych, które powszechnie obsługują
protokół SSL bez konieczności instalacji dodatkowych plugin-ów czy
oprogramowania klienckiego (inaczej niŜ w IPSec).
•
W sieciach SSL VPN moŜna takŜe stosować rozwiązania
umoŜliwiające
zdalnemu
komputerowi
tunelowanie
ruchu
pochodzącego za pomocą tzw. wtyczki (ang. „plug-in”) do
przeglądarki
internetowej
(zamiast
dedykowanego
oprogramowania). Po uwierzytelnieniu uŜytkownika na portalu WWW
- bramie sieci SSL VPN – i pobraniu wtyczki (formantu ActiveX’a lub
agenta Java’y), ruch między klientem a serwerem jest tunelowany
przez protokół SSL. Rozwiązania
obsługiwanych aplikacji (wada).
•
te
róŜnią
się
zakresem
We wstępnej fazie połączenia (przed nawiązaniem
właściwego) negocjowane i weryfikowane są:
połączenia
o Uwierzytelnienie
serwera
przez
klienta
i
(opcjonalnie) za pomocą certyfikatów cyfrowych,
odwrotnie
o Bezpieczne wygenerowanie kluczy sesji do szyfrowania oraz
weryfikacji integralności danych.
•
Protokół SSL moŜe uŜywać róŜnych algorytmów:
o Generowania kluczy publicznych (RSA, DSA),
o Generowania symetrycznych kluczy, słuŜących do szyfrowania
połączenia właściwego (DES, 3DES, RC4),
o Algorytmów kontroli integralności danych (MD5, SHA-1).
•
WdroŜenie bezpiecznego dostępu SSL moŜe zostać zrealizowane z
zastosowaniem:
o Serwerów bezpośrednio wykorzystujących oprogramowanie
SSL (samodzielnie terminują tunele IPSec do zdalnych
uŜytkowników).
o Bram VPN, terminujących tunele IPSec zdalnych uŜytkowników
i przekazując informacje dalej do serwerów w sieci lokalnej w
postaci niezaszyfrowanej.
Porównanie IPSec VPN oraz SSL VPN:
Właściwość VPN
IPSec
SSL
Dostępność
Wszystkie aplikacje IP
Głównie WWW (HTTPS)
aplikacji
Wymagane
Klient IPSec
Przeglądarka internetowa
oprogramowanie
Udostępnianie
Tylko komputery z odpowiednim
Dostęp z dowolnego komputera
informacji
oprogramowaniem i konfiguracją
(mało bezpieczne)
Poziom
Dość wysokie (zaleŜnie od
Średnie (wymaga dedykowanego
bezpieczeństwa oprogramowania i konfiguracji)
oprogramowania u klienta)
Skalowalność
Wysoka
Wysoka
Metody
Wiele - takŜe infrastruktura
Wiele - takŜe PKI
uwierzytelniania
klucza publicznego (PKI)
Dodatkowe
MoŜe podnosić bezpieczeństwo
Ograniczona kontrola dostępu do
aspekty
stacji po zastosowaniu
informacji, dobre przy dostępie do
osobistego firewall'a.
mniej poufnych informacji
Rekomendacja
Bezpieczny dostęp dla
Bezpieczny dostęp zewnętrznych
pracowników zdalnych i
klientów za pomocą przeglądarki
odległych segmentów logicznie
WWW
wspólnej sieci
Zalety
Wady
Obsługa wszystkich usług i
protokołów opartych o IP
To samo rozwiązanie dla
połączeń:
client-to-site,
site-to-site,
client-to-client.
Zintegrowany ze wszystkimi
przeglądarkami
Popularne klienty i serwery
pocztowe obsługują SSL
Klient IPSec umoŜliwia uŜycie
innych funkcji bezpieczeństwa
(osobisty firewall, kontrola
konfiguracji)
Przezroczysty dla proxy, NAT i
zapór przepuszczających SSL
Bramy VPN standardowo
Rozszerzenia przeglądarki
integrowane z profesjonalnymi
umoŜliwiają aplikacjom klientzaporami sieciowymi
serwer łączność z uŜyciem SSL
Konieczna instalacja aplikacji
Obsługuje jedynie podstawowe
klienckiej, dedykowanej dla
usługi TCP (HTTP, SMTP/POP3)
danego OS
Firewall'e i inne urządzenia
Wymaga od bramy uŜycia większej
między klientami i bramą VPN
ilości zasobów obliczeniowych
mogą uniemoŜliwiać zestawianie
połączeń
MoŜliwe trudności we
współpracy: klient-brama od
róŜnych dostawców
Klient (przeglądarka, poczta) nie
posiada dedykowanego
oprogramowania (zapora, kontrola
integralności), co moŜe ograniczać
bezpieczeństwo
Sesje SSL nie terminowane na
poziomie firewall'a wymagają
tworzenia "dziur" w zaporach,
przez które przechodzi tunel, co
uniemoŜliwia kontrolę danych w
połączeniach HTTPS
Rozszerzenia przeglądarek mogą
obsługiwać ograniczoną liczbę
aplikacji (kompatybilność) lub
wymagać uprawnień
administratora
Brak moŜliwości implementacji
sieci "site-to-site VPN"
(standardowo uŜywany IPSec)