SSL VPN: технология работы и перспективы развития

Павел Ерошкин,
инженер департамента информационной безопасности, "ТехноСерв А/С"

Задача обеспечения безопасности Интернет-коммуникаций, в частности шифрование трафика между филиалом и локальной сетью предприятия, успешно и надежно реализована на основе стандартов IPsec. Современные реализации защищенных каналов по стандарту IPsec способны решить практически все задачи, в том числе и задачу подключения удаленных пользователей, однако здесь возникает ряд минусов.

Во-первых, для построения IPsec-канала необходимы специфические протоколы и порты - ip50/51, UDP 500 и UDP 4500. Не всегда пользователю, желающему получить доступ к корпоративному ресурсу из Wi-Fi-сети аэропорта, будут доступны перечисленные порты и протоколы. Примеры подобных ситуаций можно долго перечислять: это может быть Интернет-кафе, доступ через GPRS, использование арендуемого офисного пространства с ограниченными возможностями применения сети Интернет и т.п.

Во-вторых, могут возникнуть проблемы построения защищенного канала в случае, если один из VPN-шлюзов находится за NAT-устройством и соответственно не имеет реального IP-адреса в сети Интернет.

Последней, но одной из самых важных проблем является необходимость установки VPN-клиента на рабочую станцию пользователя, что порождает проблемы совместимости с ОС (далеко не все VPN-клиенты могут работать на Мае ОС), а также возможность конфликта с другими приложениями.

В качестве альтернативы стандарту IPsec была разработана технология SSL VPN, предназначенная исключительно для подключения удаленных пользователей.

SSL VPN лишена большинства вышеуказанных проблем, так как для работы используется только ТСР-порт 443, доступный пользователю в большинстве случаев, и вместо VPN-клиента используется уже имеющийся на станции браузер.

О перспективности и бурном развитии технологии SSL VPN говорят цифры. По данным независимой экспертной группы Frost & Sullivan, в 2002 г. продажи SSL VPN возросли с 20 до 80 миллионов долларов, удваивались в 2003 и 2004 гг. В 2008 г. ожидается, что эта цифра перевалит за миллиард и к 2009 г. достигнет полутора миллиардов.

Примерное описание технологии и ее место в КСИБ предприятия

Схему работы удаленного пользователя и процесс получения доступа к приложениям в корпоративной сети можно представить следующими этапами:

• пользователь, применяя любой Интернет-браузер, поддерживающий протокол HTTPS, открывает корпоративный SSL VPN-портал, где он выбирает метод аутентификации;
• после успешной аутентификации выполняется проверка соответствия ОС пользователя заданной политике безопасности (это могут быть требования наличия критических обновлений операционной системы, антивирусного ПО, персонального межсетевого экрана, а также загрузка и запуск на машине пользователя приложения, выполняющего перечисленные функции, и т.п.);
• после успешного прохождения всех проверок открывается персональный пользовательский портал, непосредственно с которого будут доступны все разрешенные данному пользователю корпоративные ресурсы;
• выбрав необходимый ресурс, пользователь получает доступ к нему, проходя уже стандартную процедуру авторизации, предусмотренную непосредственно на целевом ресурсе; пользовательский трафик в корпоративную сеть, начиная с данного этапа, перенаправляется в шифрованный туннель, построенный между машиной пользователя и SSL VPN-шлюзом.

Прохождение пользователем поверок

Предоставление доступа к корпоративным ресурсам посредством технологии SSL VPN с любых (в том числе не контролируемых пользователем) точек доступа к сети (например, Интернет-кафе) требует повышенного контроля уровня безопасности. Для этого пользователь проходит массу проверок, которых не существует в обычном IPsec VPN:

1.  Методы аутентификации.

К ним можно отнести:

• обычный пароль, передаваемый в открытом виде;
• методы с защитой от клавиатурных и прочих шпионов (плавающая виртуальная клавиатура);
• методы с использованием внешних служб аутентификации (например, TACACS+ или RADIUS);
• использование пользовательских сертификатов;
• генерация одноразовых паролей с отсылкой SMS-сообщения, содержащего очередной сгенерированный пароль, на мобильный телефон;
• использование различных видов носителей ключевой информации и т.п.

Такое разнообразие позволяет гибко выбирать наиболее подходящие методы аутентификации, исходя из степени специфики задачи.

Следует отметить, что доступ к публикуемому ресурсу возможно привязать к методу аутентификации, выбранному пользователем, поскольку подход к его выбору индивидуален и определяется требованиями безопасности к каждому конкретному ресурсу.

2.    Инспекция клиентского оборудования. На этом этапе загруженное на клиентскую машину Java-приложение может проверить наличие актуальных и критических обновлений операционной системы, а также наличие персонального межсетевого экрана и антивирусного модуля.

3.  Уничтожение рабочей информации на машине пользователя по окончании сеанса работы. Вся рабочая информация, сохраненная в виде кэши-рованного контента, скаченных или модифицированных файлов на рабочей станции клиента, может быть отслежена с возможностью последующего удаления.

4.  Усиленный аудит. Важным моментом на всех этапах работы удаленного пользователя является работа системы мониторинга событий, чтобы на основе собранных данных существовала возможность отследить все действия пользователя.

Очевидно, что применение всего перечисленного функционала создает большую нагрузку на аппаратные ресурсы SSL VPN-шлюза, а тот факт, что настройка проверок для каждого пользователя может быть индивидуальной, в совокупности обосновывает оценку производительности SSL VPN-шлюзов исходя из количества пользователей,  одновременно работающих в системе. Это одна из причин, по которой прямое сравнение производительности SSL VPN-шлюза с производительностью межсетевого экрана с функционалом IPsec VPN не совсем корректно.

SSL VPN является удобным и гибким решением для предоставления защищенного и контролируемого удаленного доступа к информационным ресурсам предприятия для сотрудников, заказчиков и партнеров с учетом возможных ограничений доступа к сети Интернет, позволяя организовать полный контроль доступа удаленного пользователя к ресурсам предприятия. Доступ к различным приложениям может быть основан на методах аутентификации, разграничения доступа на основе адресации удаленного пользователя и на основе уровня доступа удаленного пользователя. Технология SSL VPN является дополнением технологии IPsec VPN, применение которой позволяет использовать практически любую существующую в компании систему аутентификации и гибко осуществлять разделение доступа к ресурсам.

Перспективы развития

Стоит в очередной раз отметить, что технология SSL VPN не призвана конкурировать с IPsec VPN, развивается она параллельно, и перспектив вытеснить IPsec VPN в ближайшем будущем мало, поскольку назначение SSL VPN весьма отчетливо разнится с назначением IPsec VPN. Само устройство разворачивается в качестве дополнения к существующей сетевой инфраструктуре предприятия и не влияет на логику построения системы защиты периметра.

Технологию удобно использовать для открытия доступа сотрудникам, имеющим ограниченный доступ в Интернет и специфическую аппаратную платформу мобильного устройства (КПК, мобильные телефоны), для организации работы с партнером или заказчиком. Кроме того, это удобный и безопасный вариант организации удаленного рабочего места для сотрудника.

С точки зрения пользователя, технология SSL VPN прозрачна, что является очевидным преимуществом: нет необходимости обеспечения конфиденциальности ключевой информации, хранящейся на жестком диске, и нет необходимости устанавливать специфический VPN-клиент, достаточно лишь наличия Интернет-браузера, поддерживающего необходимые технологии (как правило, это Java или ActiveX). Таким образом, вся сложность открытия защищенного соединения сводится к выбору закладки, сохраненной в браузере.

Технология SSL VPN удачно вписывается в существующее направление развития информационных технологий, в виртуализацию ресурсов. С использованием SSL VPN граница между внутренними и внешними пользователями компании делается более прозрачной. Кроме того, данная технология, безусловно, удобна. Этот фактор и обеспечивает столь стремительное развитие SSL VPN.