iThome

隨著企業需求的增加,連帶使得具備SSL VPN功能的設備也相對普遍,從早期僅見的單一功能設備,一直到最近幾年,甚至成為多數UTM標準的內建功能,以iThome報導過的產品來說,價格2萬元左右的網路設備即有提供SSL VPN的連接功能,使得IT預算不多的中、小型企業,也有機會採用。

有別於我們這次測試的5款單一功能SSL VPN閘道器,內建於UTM的SSL VPN服務,大多僅提供較為陽春的連線功能,而且因為設備需求同時提供多種網路服務,連線的通道數也會因而受限,不過對於使用需求不高、連線人數不多的企業來說,這樣的建置方式也還算夠用,填補了過去單一功能設備較少跨足的中、小型企業環境。

在這種情況下,企業對於SSL VPN的需求看似飽和,短期之內,難以採購新的設備做為替代。然而,隨著iPhone這類型的智慧型手機,及平板電腦等行動裝置的普及,並成為使用者處理日常工作的平臺,而現有的SSL VPN閘道器,是否可以支援這些裝置連入內部,是值得企業關注的一項重點。

另外,有鑒於使用者透過VPN連線的過程中,可能發生的惡意攻擊(例如植入病毒,或者是網頁攻擊),及機密資料的外洩,端點檢查的功能已經成為許多SSL VPN閘道器的基本功能,而一些這類型的設備,也開始提供網頁應用程式防火牆(WAF)的功能,開放存取之餘,也過濾不正常的連線;而虛擬桌面的功能也愈形普遍,以避免使用者任意將存取過的機密資料攜出。

SSL VPN不僅容易使用,而且可以透過強大的加密機制確保連線安全

在SSL VPN尚未普及之前,PPTP、IPsec是企業最為主要的VPN連線方式,但兩者的使用,卻因為本身的功能設計,及環境因素而存在一些顯而易見的問題,使得SSL VPN漸漸成為許多企業所需要的一項連線服務。

就PPTP來說,它可以透過Windows、Linux等系統內建的撥號程式連線,因此成為以往使用者從外部連入的常用方式,然而,PPTP本身也被證實有安全性的問題,加上使用者在外部撥號時,當地的閘道設備可能關閉,或者不支援PPTP的連線透通,而造成連線的障礙,因此近年推出的許多網路設備已經不再提供這項功能,改以IPsec,或者SSL VPN做為替代,另外,微軟也在Windows Server 2008推出之際,內建SSTP的新功能,透過SSL的管道,傳送PPTP的資料,使得連線得以輕易穿透閘道設備,就某種程度而言,這也算是SSL VPN的做法之一,只要個人端電腦的系統版本高於Vista,就可以透過它連線,不僅如此,連微軟新版的軟體防火牆產品Forefront Threat Management Gateway(TMG) 2010,及我們這次測試到的Forefront Unified Access Gateway(UAG)2010也支援這種的連線方式。

至於IPsec,雖然較PPTP來得安全,不過,它必須在個人端電腦安裝軟體才能連線,而多數廠商是以付費的型式提供套件。另外,這項功能的連線設定較PPTP複雜,使用者不容易自行設定,需由IT人員先行完成,因此使用上存在一定程度的門檻,較為常見的連線方式是連接另外一臺設備,建立2地之間的Site to Site存取通道。

相較於PPTP、IPsec,SSL VPN僅需以瀏覽器登入設備,就可以連線,使用者不需在外部電腦事先完成任何設定,是最大的便利之處。

另外,SSL VPN所使用的RSA演算法,是一般人極難破解的加密方式,就安全性而言,是PPTP、IPse所難以企及的。對於大多數的企業來說,常見的1024位元長度憑證已經足夠使用,不過,網路設備商也已開始支援時下最為強健的2048位元憑證,使得連線的安全得以進一步的提升,不過,另一方面,網路設備也必須使用更多的硬體資源,處理資料的加、解密,網路設備廠商F5即表示,根據他們的經驗,使用2048位元的憑證,大約會提高6倍的硬體資源使用。

SSL VPN早期的用途,主要是提供使用者建立Client to Site的連線,然而,隨著技術的時日俱進,現今在2臺SSL VPN閘道器之間,也能以Site to Site的方式相互連線。就iThome測試過的產品來說,像是這次所借測的Array SPX 2800、盛達電業BiGuard S6000,及透過OpenVPN連線的Untangle 8.0、Astaro Security Gateway 220等2款UTM套件,皆能透過這種架構,建置2地之間的VPN連線,這對於需要在某些架設VPN閘道器的企業來說,是相當實用的一項功能。

可以整合其他功能,提高連線的防護

除了透過強大的加密,提高連線安全之外,SSL VPN還能整合多種其他的功能,提供使用者連線的防護。舉例來說,企業採用SSL VPN的主要原因之一,就是希望減少惡意程式流入內部的機會,在反向代理的模式下,使用者電腦僅能透過特定的管道,與內部網路的電腦連線,因此不容易將程式植入,感染到周圍的其他電腦。

另外,在個人端電腦登入SSL VPN的服務之前,許多廠牌的閘道器皆有提供端點檢查的功能,透過在個人端的電腦安裝軟體的方式,收集防毒軟體等項目的運作資訊,在安全狀態符合企業規定的情況下,才能連線到內部。

對於企業來說,開放使用者透過VPN連入內部,雖然提高工作的效率與便利性,不過也相對增加機密資料外流的可能性,有鑒於此,像是F5、Juniper推出的SSL VPN閘道器,便內建虛擬桌面的功能,在使用者連入SSL VPN之後,電腦桌面即被切換到隔離的環境,讓所有使用過的重要資料皆封存於此,無法任意以郵件,或者儲存到本機硬碟、或者隨身碟的方式攜出 ,增加使用者盜取資料的難度。

資安廠商Check Point在2010年推出的Abra,是一款進一步延伸SSL VPN與虛擬桌面應用的硬體裝置,由於裝置的硬體是一支4到8GB不等容量的隨身碟,在連線完畢之後,所有使用的資料都會寫入於此,以便讓使用者在任何一臺電腦繼續使用原先在虛擬桌面環境所建立的檔案。

當Abra連接電腦的USB埠之後,連線程式就會自行啟動,輸入帳號、密碼完成驗證,電腦就會與遠端的Check Point防火牆建立SSL VPN的連線,並切換到虛擬桌面的環境;而當使用者連線失敗到達一定次數之後,設備即會自行鎖定,之後就只能透過派發裝置的管理者解鎖,或者透過內建程式將裝置格式化之後,才能再繼續使用。

不僅如此,有鑒於網頁攻擊在企業環境發生的比例仍舊居高不下,讓SSL VPN在提供使用者存取內部的網頁伺服器之餘,也具備網頁應用程式防火牆(WAF)的功能,以阻絕SQL Injection、XSS(Cross-site scripting),及緩衝溢位等惡意的攻擊手法,避免內部的其他電腦被植入程式,或者造成資料的外洩。

提供專屬軟體,使得行動裝置的連線更為容易

對於行動裝置的使用者來說,透過內建的瀏覽器,就能以反向代理的模式存取網頁伺服器、檔案共享等服務,然而,實際連線時,使用者必須不停地縮、放瀏覽器的視窗,及移動顯示區域,造成操作的不便,特別是螢幕尺寸較小的智慧型手機更是如此,為此,許多SSL VPN設備的相關廠商都有提供專屬的軟體,降低使用者連線的複雜度,像是F5的BIG-IP Edge Portal,及Juniper的Junos Pulse都是其中之一。

另外,像是遠端桌面的功能,現有的多數SSL VPN閘道器僅支援PC瀏覽器的環境,透過Active X、Java安裝外掛程式之後,以瀏覽器的視窗連線,而行動裝置的瀏覽器,由於不能安裝外掛程式,因此在登入設備之後,這些不能連線的項目就會隱藏起來。

除此之外,開放行動裝置以通道模式建立連線的SSL VPN閘道器也不多見,因此也不容易在通道建立之後,改以裝置安裝的應用程式開啟遠端桌面的連線,成為使用上的一大侷限之處。

特別像是UTM等在原有網路服務之外,加入SSL VPN存取的設備,在這種情況下,原先建置完成的SSL VPN服務就顯得不敷使用,只能期待廠商在日後改版時,納入這一方面的支援,或者改以他牌的方案做為替代。

另外,也有一些專用於行動裝置的SSL VPN套件,是為了特定的功能而提供的,像是iThome測試過的Array Desktop Direct就是其中一種,開啟軟體之後,使用者在建立SSL VPN的連線之餘,也能載入可供連線的電腦清單,開啟微軟的遠端桌面連線。

 

3種不同功能的SSL VPN行動裝置套件

由左至右是我們這次安裝於iPhone實測的3套行動裝置專用的連線程式,分別適用於不同場合的連線環境,操作也十分簡單。而使用者可從軟體商店下載的程式類型,以提供反向代理,及通道模式功能的軟體居多,Array的Desktop Direct,則是一款為存取伺服器遠端桌面打造的軟體,建立連線之後,即可直接在軟體介面操作內部電腦的視窗介面,而不需借助於其他的連線工具。

 

反向代理

F5 BIG-IP Edge Portal

 

通道模式

F5 BIG-IP Edge Client

 

應用程式連線

Array Desktop Direct

 


相關報導請參考「SSL VPN閘道器採購大特輯


Advertisement

更多 iThome相關內容