Sieci VPN SSL czy IPSec? Powody zastosowania sieci VPN: Geograficzne rozproszenie oraz duŝa mobilność pracowników i klientów przedsiębiorstw i instytucji, Konieczność przesyłania przez Internet danych o charakterze poufnym. Dostępne rozwiązania: Wirtualna sieć prywatna IPSec VPN umoŝliwia implementację pełnej gamy protokołów i usług sieciowych, Wirtualna sieć prywatna SSL VPN - zwana równieŝ siecią VPN bez klienta (ang. clientless VPN). Wybór konkretnego typu sieci VPN zaleŝny jest od specyficznych wymagań. Często stosuje się oba rozwiązania z uwagi na uzupełnianie się właściwości dostępu SSL oraz IPSec. Bezpieczeństwo połączenia generalnie zapewniają mechanizmy: Kontroli dostępu, Firewalling, Sieci prywatne VPN. Sieć IPSec VPN: Składa się zwykle, z co najmniej jednej bramy VPN, słuŝącej do terminowania szyfrowanych połączeń IP, zestawionych między siecią Internet a siecią lokalną, Odpowiednie oprogramowania klienta musi być zainstalowane na kaŝdym komputerze będącym zdalnym punktem dostępowym (klient IPSec VPN moŝe być konfigurowany manualnie lub automatycznie). Konfiguracja klienta definiuje: o Typ pakietów, które będą szyfrowane, o Parametry bramy uŝywanej do zestawienia tunelu VPN.
W przypadku sieci VPN typu site-to-site moŝliwa jest współpraca rozwiązań od róŝnych dostawców sprzętu. VPN IPSec moŝna stosować takŝe w architekturze klient - serwer, co jednak utrudnia kooperację rozwiązań od róŝnych dostawców z uwagi na liczne rozszerzenia standardu IPSec, wspierające m.in. translację adresów IP - NAT. IPSec to stabilny i dobrze rozpowszechniony standard, zapewniający bardzo silne szyfrowanie oraz ochronę integralności danych. Funkcjonuje w warstwie sieciowej (III w. ISO/OSI), zatem działa niezaleŝnie od wykorzystującej go aplikacji. IPSec hermetyzuje oryginalny pakiet IP za pomocą własnego pakietu (enkapsulacja), ukrywając w ten sposób wszelkie informacje protokołu aplikacji. Tunel IPSec umoŝliwia obsługę dowolnej ilości róŝnych połączeń (HTTP, FTP, SMTP/POP, VoIP etc.) przechodzących przez bramę VPN. Sieć SSL VPN: SSL to bezpieczny protokół transportowy, wykorzystywany szeroko do zapewnienia poufności i bezpieczeństwa transakcji (bankowość, e-commerce etc.) Powszechnie stosowany w połączeniu z protokołem HTTP jako HTTPS. MoŜe być jednak takŝe implementowany razem z FTP, SMTP, POP i innymi znanymi protokołami usług sieciowych, uŝywając do transportu protokołu TCP. Sieci SSL VPN nazywane są (nieprecyzyjnie) sieciami bez klienta (ang. clientless ), gdyŝ do pracy z protokołem HTTPS uŝywa się zwykłych przeglądarek internetowych, które powszechnie obsługują protokół SSL bez konieczności instalacji dodatkowych plugin-ów czy oprogramowania klienckiego (inaczej niŝ w IPSec). W sieciach SSL VPN moŝna takŝe stosować rozwiązania umoŝliwiające zdalnemu komputerowi tunelowanie ruchu pochodzącego za pomocą tzw. wtyczki (ang. plug-in ) do przeglądarki internetowej (zamiast dedykowanego oprogramowania). Po uwierzytelnieniu uŝytkownika na portalu WWW - bramie sieci SSL VPN i pobraniu wtyczki (formantu ActiveX a lub agenta Java y), ruch między klientem a serwerem jest tunelowany
przez protokół SSL. Rozwiązania te róŝnią się zakresem obsługiwanych aplikacji (wada). We wstępnej fazie połączenia (przed nawiązaniem połączenia właściwego) negocjowane i weryfikowane są: o Uwierzytelnienie serwera przez klienta i odwrotnie (opcjonalnie) za pomocą certyfikatów cyfrowych, o Bezpieczne wygenerowanie kluczy sesji do szyfrowania oraz weryfikacji integralności danych. Protokół SSL moŝe uŝywać róŝnych algorytmów: o Generowania kluczy publicznych (RSA, DSA), o Generowania symetrycznych kluczy, słuŝących do szyfrowania połączenia właściwego (DES, 3DES, RC4), o Algorytmów kontroli integralności danych (MD5, SHA-1). WdroŜenie bezpiecznego dostępu SSL moŝe zostać zrealizowane z zastosowaniem: o Serwerów bezpośrednio wykorzystujących oprogramowanie SSL (samodzielnie terminują tunele IPSec do zdalnych uŝytkowników). o Bram VPN, terminujących tunele IPSec zdalnych uŝytkowników i przekazując informacje dalej do serwerów w sieci lokalnej w postaci niezaszyfrowanej.
Porównanie IPSec VPN oraz SSL VPN: Właściwość VPN IPSec SSL Dostępność Wszystkie aplikacje IP Głównie WWW (HTTPS) aplikacji Wymagane Klient IPSec Przeglądarka internetowa oprogramowanie Udostępnianie informacji Tylko komputery z odpowiednim oprogramowaniem i konfiguracją Dostęp z dowolnego komputera (mało bezpieczne) Poziom bezpieczeństwa Dość wysokie (zaleŝnie od oprogramowania i konfiguracji) Średnie (wymaga dedykowanego oprogramowania u klienta) Skalowalność Wysoka Wysoka Metody Wiele - takŝe infrastruktura Wiele - takŝe PKI uwierzytelniania klucza publicznego (PKI) Dodatkowe aspekty Rekomendacja Zalety Wady MoŜe podnosić bezpieczeństwo stacji po zastosowaniu osobistego firewall'a. Bezpieczny dostęp dla pracowników zdalnych i odległych segmentów logicznie wspólnej sieci Obsługa wszystkich usług i protokołów opartych o IP To samo rozwiązanie dla połączeń: client-to-site, site-to-site, client-to-client. Klient IPSec umoŝliwia uŝycie innych funkcji bezpieczeństwa (osobisty firewall, kontrola konfiguracji) Bramy VPN standardowo integrowane z profesjonalnymi zaporami sieciowymi Konieczna instalacja aplikacji klienckiej, dedykowanej dla danego OS Firewall'e i inne urządzenia między klientami i bramą VPN mogą uniemoŝliwiać zestawianie połączeń MoŜliwe trudności we współpracy: klient-brama od róŝnych dostawców Ograniczona kontrola dostępu do informacji, dobre przy dostępie do mniej poufnych informacji Bezpieczny dostęp zewnętrznych klientów za pomocą przeglądarki WWW Zintegrowany ze wszystkimi przeglądarkami Popularne klienty i serwery pocztowe obsługują SSL Przezroczysty dla proxy, NAT i zapór przepuszczających SSL Rozszerzenia przeglądarki umoŝliwiają aplikacjom klientserwer łączność z uŝyciem SSL Obsługuje jedynie podstawowe usługi TCP (HTTP, SMTP/POP3) Wymaga od bramy uŝycia większej ilości zasobów obliczeniowych Klient (przeglądarka, poczta) nie posiada dedykowanego oprogramowania (zapora, kontrola integralności), co moŝe ograniczać bezpieczeństwo Sesje SSL nie terminowane na poziomie firewall'a wymagają tworzenia "dziur" w zaporach, przez które przechodzi tunel, co uniemoŝliwia kontrolę danych w połączeniach HTTPS
Rozszerzenia przeglądarek mogą obsługiwać ograniczoną liczbę aplikacji (kompatybilność) lub wymagać uprawnień administratora Brak moŝliwości implementacji sieci "site-to-site VPN" (standardowo uŝywany IPSec)