Sieci VPN – SSL czy IPSec?
Transkrypt
Sieci VPN – SSL czy IPSec?
Sieci VPN – SSL czy IPSec? Powody zastosowania sieci VPN: • Geograficzne rozproszenie oraz duŜa mobilność pracowników i klientów przedsiębiorstw i instytucji, • Konieczność poufnym. przesyłania przez Internet danych o charakterze Dostępne rozwiązania: • Wirtualna sieć prywatna IPSec VPN – umoŜliwia implementację pełnej gamy protokołów i usług sieciowych, • Wirtualna sieć prywatna SSL VPN - zwana równieŜ siecią VPN „bez klienta” (ang. „clientless” VPN). Wybór konkretnego typu sieci VPN zaleŜny jest od specyficznych wymagań. Często stosuje się oba rozwiązania z uwagi na uzupełnianie się właściwości dostępu SSL oraz IPSec. Bezpieczeństwo połączenia generalnie zapewniają mechanizmy: • Kontroli dostępu, • Firewalling, • Sieci prywatne VPN. Sieć IPSec VPN: • Składa się zwykle, z co najmniej jednej bramy VPN, słuŜącej do terminowania szyfrowanych połączeń IP, zestawionych między siecią Internet a siecią lokalną, • Odpowiednie oprogramowania klienta musi być zainstalowane na kaŜdym komputerze będącym zdalnym punktem dostępowym (klient IPSec VPN moŜe być konfigurowany manualnie lub automatycznie). • Konfiguracja klienta definiuje: o Typ pakietów, które będą szyfrowane, o Parametry bramy uŜywanej do zestawienia tunelu VPN. • W przypadku sieci VPN typu „site-to-site” moŜliwa jest współpraca rozwiązań od róŜnych dostawców sprzętu. • VPN IPSec moŜna stosować takŜe w architekturze „klient - serwer”, co jednak utrudnia kooperację rozwiązań od róŜnych dostawców z uwagi na liczne rozszerzenia standardu IPSec, wspierające m.in. translację adresów IP - NAT. • IPSec to stabilny i dobrze rozpowszechniony standard, zapewniający bardzo silne szyfrowanie oraz ochronę integralności danych. • Funkcjonuje w warstwie sieciowej (III w. ISO/OSI), zatem działa niezaleŜnie od wykorzystującej go aplikacji. • IPSec hermetyzuje oryginalny pakiet IP za pomocą własnego pakietu (enkapsulacja), ukrywając w ten sposób wszelkie informacje protokołu aplikacji. • Tunel IPSec umoŜliwia obsługę dowolnej ilości róŜnych połączeń (HTTP, FTP, SMTP/POP, VoIP etc.) przechodzących przez bramę VPN. Sieć SSL VPN: • SSL to bezpieczny protokół transportowy, wykorzystywany szeroko do zapewnienia poufności i bezpieczeństwa transakcji (bankowość, e-commerce etc.) • Powszechnie stosowany w połączeniu z protokołem HTTP – jako HTTPS. MoŜe być jednak takŜe implementowany razem z FTP, SMTP, POP i innymi znanymi protokołami usług sieciowych, uŜywając do transportu protokołu TCP. • Sieci SSL VPN nazywane są (nieprecyzyjnie) sieciami „bez klienta” (ang. ‘clientless’), gdyŜ do pracy z protokołem HTTPS uŜywa się zwykłych przeglądarek internetowych, które powszechnie obsługują protokół SSL bez konieczności instalacji dodatkowych plugin-ów czy oprogramowania klienckiego (inaczej niŜ w IPSec). • W sieciach SSL VPN moŜna takŜe stosować rozwiązania umoŜliwiające zdalnemu komputerowi tunelowanie ruchu pochodzącego za pomocą tzw. wtyczki (ang. „plug-in”) do przeglądarki internetowej (zamiast dedykowanego oprogramowania). Po uwierzytelnieniu uŜytkownika na portalu WWW - bramie sieci SSL VPN – i pobraniu wtyczki (formantu ActiveX’a lub agenta Java’y), ruch między klientem a serwerem jest tunelowany przez protokół SSL. Rozwiązania obsługiwanych aplikacji (wada). • te róŜnią się zakresem We wstępnej fazie połączenia (przed nawiązaniem właściwego) negocjowane i weryfikowane są: połączenia o Uwierzytelnienie serwera przez klienta i (opcjonalnie) za pomocą certyfikatów cyfrowych, odwrotnie o Bezpieczne wygenerowanie kluczy sesji do szyfrowania oraz weryfikacji integralności danych. • Protokół SSL moŜe uŜywać róŜnych algorytmów: o Generowania kluczy publicznych (RSA, DSA), o Generowania symetrycznych kluczy, słuŜących do szyfrowania połączenia właściwego (DES, 3DES, RC4), o Algorytmów kontroli integralności danych (MD5, SHA-1). • WdroŜenie bezpiecznego dostępu SSL moŜe zostać zrealizowane z zastosowaniem: o Serwerów bezpośrednio wykorzystujących oprogramowanie SSL (samodzielnie terminują tunele IPSec do zdalnych uŜytkowników). o Bram VPN, terminujących tunele IPSec zdalnych uŜytkowników i przekazując informacje dalej do serwerów w sieci lokalnej w postaci niezaszyfrowanej. Porównanie IPSec VPN oraz SSL VPN: Właściwość VPN IPSec SSL Dostępność Wszystkie aplikacje IP Głównie WWW (HTTPS) aplikacji Wymagane Klient IPSec Przeglądarka internetowa oprogramowanie Udostępnianie Tylko komputery z odpowiednim Dostęp z dowolnego komputera informacji oprogramowaniem i konfiguracją (mało bezpieczne) Poziom Dość wysokie (zaleŜnie od Średnie (wymaga dedykowanego bezpieczeństwa oprogramowania i konfiguracji) oprogramowania u klienta) Skalowalność Wysoka Wysoka Metody Wiele - takŜe infrastruktura Wiele - takŜe PKI uwierzytelniania klucza publicznego (PKI) Dodatkowe MoŜe podnosić bezpieczeństwo Ograniczona kontrola dostępu do aspekty stacji po zastosowaniu informacji, dobre przy dostępie do osobistego firewall'a. mniej poufnych informacji Rekomendacja Bezpieczny dostęp dla Bezpieczny dostęp zewnętrznych pracowników zdalnych i klientów za pomocą przeglądarki odległych segmentów logicznie WWW wspólnej sieci Zalety Wady Obsługa wszystkich usług i protokołów opartych o IP To samo rozwiązanie dla połączeń: client-to-site, site-to-site, client-to-client. Zintegrowany ze wszystkimi przeglądarkami Popularne klienty i serwery pocztowe obsługują SSL Klient IPSec umoŜliwia uŜycie innych funkcji bezpieczeństwa (osobisty firewall, kontrola konfiguracji) Przezroczysty dla proxy, NAT i zapór przepuszczających SSL Bramy VPN standardowo Rozszerzenia przeglądarki integrowane z profesjonalnymi umoŜliwiają aplikacjom klientzaporami sieciowymi serwer łączność z uŜyciem SSL Konieczna instalacja aplikacji Obsługuje jedynie podstawowe klienckiej, dedykowanej dla usługi TCP (HTTP, SMTP/POP3) danego OS Firewall'e i inne urządzenia Wymaga od bramy uŜycia większej między klientami i bramą VPN ilości zasobów obliczeniowych mogą uniemoŜliwiać zestawianie połączeń MoŜliwe trudności we współpracy: klient-brama od róŜnych dostawców Klient (przeglądarka, poczta) nie posiada dedykowanego oprogramowania (zapora, kontrola integralności), co moŜe ograniczać bezpieczeństwo Sesje SSL nie terminowane na poziomie firewall'a wymagają tworzenia "dziur" w zaporach, przez które przechodzi tunel, co uniemoŜliwia kontrolę danych w połączeniach HTTPS Rozszerzenia przeglądarek mogą obsługiwać ograniczoną liczbę aplikacji (kompatybilność) lub wymagać uprawnień administratora Brak moŜliwości implementacji sieci "site-to-site VPN" (standardowo uŜywany IPSec)