Az SSL VPN-ről ZyXEL szemmel

A számítógépes távmunkát végző alkalmazottak számára ma már rendelkezésre áll jó néhány - biztonságos, vagy kevésbé biztonságos - csatlakozási mód, hogy a központi telephely erőforrásaihoz, alkalmazásaihoz hozzáférhessenek. A leggyakoribb módszer a routerben, tűzfalban a Windows távoli asztalának portját (TCP 3389) nyitja meg. Az olyan módszer, ami a VNC (5900) portot nyitja ki, igen meggondolatlan. Az így csatlakozott felhasználók ráébredhetnek arra, hogy a gép előtt dolgozva nem mindig ők saját egérkurzorainak mozgatói. Akik adnak a biztonságra, és nem szeretnek nyugtalanul aludni, a VPN valamelyik vállfaját alkalmazzák.

Mi tehát az a Virtual Private Network (VPN)? Röviden, a VPN ugyanolyan hálózati hozzáférést biztosít a távoli felhasználóknak egy publikus hálózaton keresztül (pl. Internet), mint amilyet a helyi hálózatban kapnának, ha fizikailag ott csatlakoznának fel.

Alapvetően kétfajta VPN-t különböztetünk meg:

  • Távoli elérés
    • Mobil, vagy otthoni dolgozók számára nyújt biztonságos hozzáférést a a céges erőforrásokhoz, a szolgáltató hálózatán.
  • Site-to-site
    • LAN-to-LAN VPN-nek is nevezik, legjellemzőbb példája az intranet és az extranet. Előbbi a céges telephelyek belső hálózatait köti össze publikus hálózaton, utóbbi a partnereknek biztosít korlátozottabb információhoz jutási lehetőséget a cég védett oldalain.

A megbízható VPN-ek nem használnak titkosított csatornát, egy - a szolgáltató által biztosított - titkosítás védi az adatfolyamot. Ezek közül említést érdemel az MPLS, és az L2TP, előbbi QoS szolgáltatást is rejt, míg utóbbi a Cisco L2F és a Microsoft cseppet sem biztonságos PPPTP protokolljának elegyét használja. A titkosított VPN-ek tipikus képviselői az IPSec, az OpenVPN, az L2TPv3 és az SSL/TLS.

Nézzük milyen előnyöket is rejt magában az SSL VPN, és ahogy a ZyXEL alkalmazza!

Az SSL egy biztonsági keretrendszer, amelyet gyakran az e-kereskedelemmel hoznak összefüggésbe. Tény, hogy az egyik legjelentősebb előnye, hogy olyan hálózatokból, ahol kizárólag ilyen protokollt engednek ki az Internetre, csak ilyen módszerrel lehet távolról bejelentkezni a céges hálózatba, hiszen az IPSec alkalmazása járhatatlan. Ráadásul az IPSec kliens-szoftvert is igényel, így olyan helyeken ahol nem áll rendelkezésre képzett munkaerő ezek telepítésére, beállítására igen körülményes. Az SSL VPN ehhez képest gyerekjáték, hiszen nincs szükség semmiféle szoftveres kliensre (egy Web-oldalon keresztül zajlik az összes kommunikáció) és - bár ebből nem következik feltétlenül - platform független is. Mindazonáltal sajnos számos gyártói implementáció csak Windows-környezetben használható komponensekkel (pl. ActiveX ) operál, ami egyéb, (pl. Apple, vagy Linux) rendszereken használhatatlan. A ZyXEL megoldása kikerüli ezt a hiányosságot is, és az összes berendezése mely SSL VPN-t kezel, Java környezetet használ, így teremtve meg a valósi platform-függetlenséget.

  • Bárhol, bármikor használható.
  • Kizárólag egy böngészőre van szükségünk.
  • Olyan mint az IPSec, csak nem igényel szoftvert, és beállítást sem.
  • SSL titkosítást használ.
  • Felhasználói vagy alkalmazás-szinten testreszabható házirendek.
  • Dinamikusan letöltődő komponensek.

Már két olyan eszköz is megtalálható a ZyXEL termékpalettáján ami SSL VPN-t kezel. Ezek közül most a ZyWALL SSL10 terméket mutatjuk be, ami arculatát tekintve illeszkedik a piacon régóta jelen lévő ZyWALL család tagjai közé. Ugyanakkora méretekkel rendelkezik mint a ZyWALL 5 UTM és a legfeljebb 50 alkalmazottat foglalkoztató cégek számára lett optimalizálva. Az alapkiépítés 10 SSL VPN egyidejű használatát engedi meg, de ez licence vásárlással 25-re bővíthető. Fizikai kiépítése 1 WAN-, és 4 db LAN portot takar, illetve egy soros konzolt is. Az eszközben a vadonatúj ZLD operációs rendszer fut, nem a ZyNOS ami az UTM tűzfalakban volt.

A gyártó két fajta topológiát ajánl, attó függően, hogy a cég rendelkezik-e már valamilyen (esetleg UTM) tűzfallal, vagy teljesen új installációról van szó. Az első esetben a meglévő tűzfal DMZ lábára kell kötni az SSL 10-et, az alábbi ábrán szemléltetett módon:

Ennek a felállásnak az az előnye, hogy ilyenkor az SSL 10 előtt lévő tűzfal végzi az antivírus esetleg IDP szűrést (amennyiben képes rá) az SSL forgalomra is.
Olyankor, amikor az SSL 10 a gateway szerepét is átveszi, picit egyszerűsödik a felállás, így a topológia az alábbiak szerint fest:

Az erőforrások elérése, az IPSec VPN-nel ellentétben, másképpen történik. Egy böngészőből indítjuk a kapcsolatot, és felépüléséig ott is zajlik a kommunikáció. Jogosan merül fel a kérdés, hogy akkor hogyan érhetők el a szerveren lévő fájlok, hogyan lehet megnézni az intraneten lévő oldalakat, hogyan használható a VNC, esetleg a távoli asztal az SSL VPN-en keresztül?

Egyszerűen. Definiálni kell az összes ilyen hozzáférés-típust a tűzfalunkban, hozzárendeljük őket felhasználókhoz, csoportokhoz, házirendet hozunk létre, melyben megadjuk mikor is férhet hozzá megadott csoport, vagy felhasználó ezekhez az objektumokhoz, és ezek után készen is vagyunk.

Aki valaha is próbált már IPSec VPN-t konfigurálni, annak ez nemcsak könnyed játék lesz, hanem felüdülés is, hiszen annyira granulárisan leoszthatóak a hozzáférési jogok, mint egy file-szerver esetében.

A műveletsor a bejelentkezéssel indul, az SSL alap IP-címe a 192.168.1.1, a felhasználói név admin, jelszó: 1234. Használjuk a varázslót, mert az gyorsan létrehozza az alapbeállításokat, és utána már csak finomítani kell!
A One-Time Password mezőt nem kell kitölteni, hiszen az csak akkor él, ha időszinkronizációs, szerverrel kombinált tokeneket használunk, mint az alábbi képen látható példány.

Amint említettem két implementációból is választhatunk. Az elsőnél feltételezzük, hogy egy már meglévő UTM tűzfal DMZ portjára kötjük az SSL 10-et, így az SSL forgalom is átesik az antivírus-, IDP-, illetve antispam szűrésen.
A második szituációban egy teljesen új gateway-ként, egyedüli eszközként telepíthetjük. Mi az egyszerűség kedvéért, most ez utóbbit demonstráljuk, képekkel illusztrálva az installálás menetét.
A következő oldalon megadjuk az internet-hozzáférés paramétereit, amennyiben kábeles internetünk van, akkor a regisztrált MAC-cím klónozását is itt kell beállítani.
Következik a belső hálózat beállítása, amennyiben változtatni akarunk az alapértelmezett subnet azonosítón, akkor azt itt tegyük meg!
Ezután létrehozhatunk egy felhasználót, aki az alap házirendhez lesz csatolva, később ezt még módosíthatjuk, de újat is készíthetünk.
A negyedik lépés a legfontosabb, hiszen itt adjuk meg az elérni kívánt VPN hálózatot, illetve azt a virtuális IP-tartományt, amelyből az eszköz csatlakozáskor IP-címet oszt a bejelentkező gépnek. Nagyon fontos, hogy itt egy teljesen más tartományt adjunk meg, amely még sehol sem szerepel a topológiában, ne törődjünk azzal, hogyan route-olja ezt majd az SSL 10!
Ezzel nagyjából készen is vagyunk, most már a finomhangolásra kell koncentrálni.
Fontos megjegyezni, hogy amikor az adminisztrátori névvel jelentkezik be valaki, akkor egy teljesen más porton keresztül (8443) az admin felületre jut, hiszen a 443 port a felhasználói felületé marad.
Nos tehát akkor hozzuk létre a fennmaradó felhasználókat a USER/GROUP menüben.
A Group fülnél csoportokba sorolhatjuk őket, így más és más házirendet rendelhetünk hozzá csoportonként, de egyedi felhasználókra is megtehetjük ezt.


Ha ez megtörtént, akkor menjünk tovább az SSL Application menüpontra! Itt hozzuk létre azokat az objektumokat, amelyeket, majd hozzárendelhetjük a felhasználókhoz/csoportokhoz. Példánk esetében ez egy file-, vagy könyvtármegosztás, amelyet előzőleg a célgépen létrehoztunk és meg is osztottunk.




Ilyen objektumból egyébként rengeteg van, a VNC-től kezdve az FTP-n át.
Ha létrehoztuk az összes objektumot, akkor ezeket hozzá is kell rendelni a megfelelő csoportokhoz, úgy hogy házirendeket kell gyártanunk.
Menjünk be az SSL menübe, és hozzunk létre egy policy-t! Itt, azon kívül, hogy a csoport/felhasználó összerendeléseket tudjuk megtenni, végezhetünk végpont- ellenőrzést, is. Mindez azt jelenti, hogy csatlakozás előtt az SSL 10 megvizsgálja a kliens gépet, hogy milyen operációs rendszert futtat, van-e rajta a megadott service pack, tűzfal, antivírus, az automata frissítés be van-e kapcsolva, stb.
Végső pontként engedélyezhető a bejelentkező felhasználóknak, hogy elérjék az egész hálózatot, vagy csak az SSL alkalmazásokat, amelyeket hozzárendeltünk a nevükhöz. Ez a VPN-SecuExtender funkció.
Ha szeretnénk napi szintre lebontva engedélyezni a felhasználók bejelentkezését, akkor ezt az SSL/Acces Control/policy menüben lehet elvégezni.

Ezután jelentkezzünk be egy másik vonalról a tűzfalba és próbáljuk ki hogyan működik a hozzáférés!

Először - az adott felhasználóhoz hozzárendelet - alkalmazás-lista jelenik meg.



Ezúttal nem úgy működik az FTP elérése, hogy a névre kattintunk, hanem ha fölé visszük az egérkurzort, akkor kiírja, hogy milyen címen érjük ezt el, a saját FTP szoftverünket használva.

Ugyanakkor a File Sharing gombra kattintva, a megosztást ugyanebből az ablakból kezelhetjük.















Összességében elmondható, hogy a technológia nagyon jól használható és rengeteg előnye van az IPSec-kel szemben. Hátránya azonban, hogy az SSL hagyományos tűzfal-funkciókat nem tartalmaz, ezért belső hálózati gépek védelmét, korlátozását egyéb módon kell megoldani. Érdemes egy UTM tűzfalat is beszerezni tehát. Ha valakinek azonban volt már dolga IPSEC VPN-nel az bizonyára értékelni fogja, hogy mindig mindenhol eléri a céges hálózatot, hiszen csak egy böngésző kérdése az egész.

Mit is mondhatnék végszóként?

Jó SSL-t!



----------------
Cseh Levente



ZyXEL Hungary
Budapest, 1025 Zöldlomb u. 48.
T.: +36-1-336-1646
F.: +36-1-325-9100
info@zyxel.hu
www.zyxel.hu