You are here: TUTWiki>Tietoturva/Tutkielmat>VajarantaM?>2006-25

Jarkko Sillanpää:

SSL-VPN

1. Johdanto

Tutkielman tarkoituksena on esitellä Tietokone-lehdessä 14/2005 ollut artikkeli aiheesta SSL-VPN. Aluksi pääasiassa referoin kyseistä artikkelia ja selostan sitä kautta SSL-VPN:n tilannetta. Eräs yleisimmistä toteutustavoista on VPN-ohjelmiston ja IPSec salauksen yhdistelmä. Tätä yhdistelmää käytetään useaan otteeseen vertailukohtana ja sitä kautta yritetään selittää eräs tarve SSL-VPN:lle.

2. VPN lyhyesti

“A virtual private network (VPN) is a private data network that makes use of the public telecommunication infrastructure, maintaining privacy through the use of a tunneling protocol and security procedures.” [VPNC]

Ennen julkisten verkkojen hyödyntämistä yksi tapa toteuttaa kahden verkon liittäminen toisiinsa, oli asennuttaa tai vuokrata oma yksityinen kaapeli. Vaikka näin saatiin yleensä varsin nopea liittymä oli se kuitenkin kallis toteuttaa ellei jopa mahdotonta, kun verkot sijaitsivat eri puolilla maapalloa. Tästä seuraava askel oli vuokrata kapasiteettia julkisesta puhelinverkosta. Kun verkko-operaattorilta vuokrataan piirikytkentäisesti julkisesta verkosta oma linjansa jota muut eivät saisi käyttää, voidaan siitä käyttää nimitystä luotettu VPN. Takeita tietoturvasta ei kuitenkaan ole kuin operaattorin lupaus siitä, että muut eivät kyseisiä piirejä saisi käyttää. On kuitenkin selvää, että jokainen piiri on varsin haavoittuvainen, jos joku todellakin haluaa liikennettä seurata. Tällaisia tekniikoita nykyisinkin ovat esimerkiksi ATM ja Frame Relay.

Internetin yleistyessä tärkeänä tiedon valtaväylänä ympäri maailmaa ja erityisesti yritysmaailmaa todettiin, että tarvittaisiin parempi suojaus verkkojen välille. Alettiin kehitellä protokollia, joiden avulla tietoa voitaisiin salata yksityisen verkon reunareitittimellä, siirtää julkisen verkon läpi salattuna ja purkaa jälleen kohdeverkon reunareitittimellä. Näin syntyi eräänlainen näennäinen tunneli julkisen verkon läpi. Ulkopuolinen urkkija siinä välillä voi liikenteen havaita, mutta sisältöä ei voi lukea ilman salauksessa käytettyä avainta. Erilaisten tarkistussummien ansiosta sisältöä ei voi muokata ilman, että vastaanottopää huomaisi käpistelyn ja näin hylkäisi paketin. Tätä tapaa voidaan kutsua salatuksi VPN:ksi. [VPNC]

Erilaisista salausmenetelmistä suurimman suosion salausmenetelmänä saavutti IPSec, kuten jo aiemmin tuli mainittua.

3. IPSec-salauksen ongelmista

IPSec-salaus tekee sen mikä on tarkoituskin eli luo salatun tunnelin yhdistäen kaksi eri verkkoa toisiinsa virtuaalisesti yhdeksi verkoksi. IPSec:n käytössä on kuitenkin heikkoutensakin. Etäkäyttöä varten IPSec-salaus vaatii erillisen etäkäyttöohjelmiston asennuksen. Toimiakseen ohjelmiston on oltava säädetty juuri oikein haluttua VPN-verkkoa varten. Erillinen ohjelmisto osaltaan lisää tietoturvallisuutta, mutta samalla kasvattaa kustannuksia. Pääteohjelmistojen ohjelmistolisenssien ylläpito useille kymmenille tai sadoille työasemille jo yksistään kasvattaa kustannuksia. [IPSSECvsSSL] Saatavilla on myös ilmaisia pääteohjelmia, kuten esimerkiksi Microsoftin Windows-ympäristöön kehittämä L2TP?/IPSeciä yhdistelmää käyttävä ohjelmisto. Tässä yhdistelmässä IPSec tarjoaa turvatun kanavan turvaamattoman IP-verkon ylitse. Kun IPSec puretaan sisäverkkojen reunareitittimillä paljastuu sisältä L2TP?-protokollaa käyttävä siirtotason kehystys sisäverkon resurssille. Näin ollen sisäverkon rakenteesta ei näy tietoa pakettien liikkuessa turvaamattomassa verkossa eikä palomuuriin tarvitse erikseen avata L2TP?-protokollan käyttämää UDP-porttia 1701. Sanotaankin että IPSec tarjoaa turvatun kanavan, jonka sisällä on L2TP?-tunneli. [Wiki A]

Kustannukset kasvavat myös johtuen IT-ammattilaisten työmäärästä näiden asentaessa ja päivittäessä ohjelmistoja. Etäyhteys ei myöskään välttämättä toimi kaikkialta kuten esimerkiksi NAT saattaa aiheuttaa ongelmia, joten siitä aiheutuvat tukipyynnöt lisäävät työtä. IPSec-salaus toimii OSI-mallin kolmannella eli verkkotasolla, joka osittain saattaa aiheuttaa tietoturvauhan varomattomassa käytössä. Etäkone yhdistetään yrityksen verkkoon niin kiinteästi, että etäyhteys voi tarjota suoran putken viruksille ja madoille. [Tietokone-lehti]

4. Ongelmista kehitykseen

Käytettävyyden parantamiseksi haluttiin eroon hankalasta ja yleensä kalliista asiakasohjelmasta. Tästä ajatuksesta sai alkunsa idea soveltaa verkkoselainten jo valmiiksi käyttämää SSL-salausta (Secure Sockets Layer). Enää tarvittiin keino muuntaa sisäverkon sovellukset verkkoselaimen ymmärtämään muotoon. Kehitystä alkoi tapahtua monella alueella. [Tietokone-lehti]

Tarkastellaanpa hieman niitä neljää tekniikkaa, jotka mahdollistivat SSL:n käytön hyvänä VPN:n toteutustapana.

4.1 Sovellussilta-tekniikka (proxy)

Kehitys alkoi sovellussilta-tekniikasta. Näin sisäverkon portaali vietiin SSL-salattuna etäkäyttäjälle. Laitteita jotka käyttävät sovellussilta-tekniikkaa kutsutaan myös nimellä Application Layer Gateway (ALG) eli sovellustason yhdyskäytävä. Siinä etäkäyttäjä lähettää pyynnön proxylle, joka uudelleenkirjoittaa sen ja välittää palvelimelle. Viestitys toiseen suuntaan toimii samaan tapaan. Tämä toteutustapa on hieman hidas.

4.2 Sovelluksen kääntö web-muotoon (webification, application translation)

Siltaus sai jatkoa, kun alettiin kehittää tekniikoita tärkeimpien sovellusten kääntämiseksi selaimen ymmärtämään muotoon. On kuitenkin huomattava, että käytön aikana kääntämisen ja ohjelman käyttelyn suorittaa käytettävä VPN-palvelin. Prosessi on varsin raskas ja kyykyttää heikommat laitteet helposti, kun yhdenaikaisia yhteyksiä on useita. Tietenkin rahalla saa aina parempaa ja tehokkaampaa. Tämä tekniikka on erityisen hyödyllinen esimerkiksi tilanteissa, kun etäkäytön työasemana toimii vaikka nettikahvila, jolta ei löydy asennettuna haluttua sovellusta (ks. sovellusporttien ohjaus). [Tietokone-lehti]

4.3 Sovellusporttien uudelleenohjaus (port-forwarding)

Seuraavaksi astuu mukaan kuvioihin sovellusporttien uudelleenohjaus ja sen myötä Javan ja ActiveX?:n hyödyntäminen. Uudelleenohjaus nimittäin tarvitsee jo hieman asiakaspäässä ajettavaa ohjelmakoodia. Uudelleenohjauksessa esimerkiksi Outlookin tai pikaviestimien liikenne ohjataan kulkemaan avatun SSL-tunnelin kautta. ActiveX?- tai Java-komponenttien avulla liikenne ohjataan SSL-tunnelista alkuperäiseen sovelluksen porttiin. [Tietokone-lehti]

Tässä kohtaa voisi sanoa, että kyseessä ei ole enää asiakasohjelmaton VPN-ratkaisu, joka on periaatteessa ihan totta. Käyttäjän ja ylläpidon kannalta tilanne tosin on vielä hyvä, sillä ajettavaa ohjelmakoodia ei tarvitse aina asentaa, säädellä ja päivitellä. Tämä tosin olettaen, että työasemalla on jo valmiiksi asennettuna Javaa tai ActiveX?. ActiveX?:n vaativa toteutus ei esimerkiksi onnistu Linux-koneelta tai Firefoxilla. Lisäksi käytettävät ohjelmistot pitää olla asennettuna myös työasemalla.

4.4 Täysyhteys (Network extension)

Sovellusporttien uudelleenohjauskaan ei ollut tarpeeksi, sillä se ei toiminut kuin joidenkin sovellusten kohdalla. Tähän mennessä esitellyt kolme toteutustapaa eivät olleet edes puhtaasti VPN-verkkoja, sillä ne eivät luoneet täyttä yhteyttä aliverkkoon tehden työasemasta osan sisäverkkoa. Soveltamalla Java- ja ActiveX?-komponentteja hieman enemmän havaittiin, että niiden avulla voitaisiinkin avata täysyhteys esimerkiksi virtuaalisen verkkokortin muodossa. Tähän oivallukseen perustuu Tietokone-lehden mukaan SSL-VPN:n menestys. Käyttöönotto nopeutui ja helpottui asiakaspäässä sekä saatiin tuki kaikille sovelluksille. [Tietokone-lehti]

5. SSL-VPN:n edut

Hyödyt SSL-VPN:ssa katsottiin olevan varsin selkeät. Se toimii lähes kaikilla verkkoselaimilla, joissa vain löytyy SSL-tuki ja Java tai ActiveX?. Näin liikuteltavuus ja käytettävyys paranevat, kun yhteyden voi ottaa vaikka yleisessä käytössä olevalta koneelta. Tekniikkaan liittyy myös tarkempi pääsynvalvonta, jonka avulla osaltaan voi parantaa tietoturvaa. Sen avulla voidaan antaa käyttöoikeus vain tiettyihin resursseihin. Lisäksi virusten ja matojen etenemistä voidaan näin rajoittaa. Yritys voi myös vaikkapa antaa yhteistyökumppaneilleen käyttöoikeuden osaan sisäverkon palveluista näin helpottaen yhteistyötä.

SSL-VPN-laitteiden valmistus rykäisi itsensä liikkeelle varsin nopeasti, kun tajuttiin että tässä on tulevaisuus. Vuonna 2003 harvemmat olivat edes kuulleet SSL-VPN-tekniikasta. Vuonna 2005 markkinat olivat jo täydessä vauhdissa ja Synergy Researchin ennusteen mukaan kauppaa SSL-VPN:llä oli noin 200 miljoonaa euroa. [Tietokone-lehti]

6. Tietoturvan huomiointi

“Your VPN--IPSec or SSL--is only as secure as the laptops, PCs or PDAs connected to it.” [Phifer03]

SSL:n helppous ja salattu yhteys voivat luoda helposti tunteen turvallisuudesta jopa julkisia koneita käytettäessä. Parasta turvaa saadaan käyttämällä kertakäyttösalasanoja julkisilla koneilla, sillä nappien painallukset tallentava ohjelma voi tallettaa pysyvän salasanasi muutoin. [Tietokone-lehti]

Jotkin SSL-VPN ratkaisut tarjoavat erilaisia käytettävän päätteen turvatarkastuksia. Tarkistuksissa voidaan tutkia esimerkiksi rekisterin tietoja, asennettuja ja käynnissä olevia ohjelmia. Näin voidaan tarkistaa onko koneeseen asennettuna palomuuri, virustorjuntaohjelmisto ja viimeisimmät turvapäivitykset. Tarkistuksissa voidaan myös skannata kone erilaisten haittaohjelmien, kuten juuri keyloggereiden tai matojen varalta. Parhaan tietoturvan saavuttamiseksi tarkistukset tehdään tietysti ennen käyttäjätunnusten ja salasanojen kirjoittamista. Mikäli tietoturvaohjelmistoissa on puutteita, saattaa olla tarjolla myös ladattavat ohjelmistot SSL-VPN-reitittimeltä suoraan. Käytön jälkeen VPN-yhteys katkaistaessa osaavat SSL-VPN-laitteet yleensä puhdistaa asiakaskoneelta jäljet käytöstä. Windowsissa kaikkien jälkien pyyhkiminen on kuitenkin joskus hieman hankalaa.

SSL-VPN:n yhteydessä on mahdollista käyttää dynaamista käyttöoikeuksien muuttamista. Käyttöoikeuksia voidaan rajoittaa esimerkiksi kolmeen ryhmään näin:

  • Käytössä on turvattu tietokone ja verkko on turvattu esimerkiksi yrityksen oma sisäverkko. Tässä tapauksessa halutaan antaa todennäköisesti eniten käyttöoikeuksia.
  • Käytössä on turvattu tietokone, mutta käytössä on julkinen turvaamaton tietoverkko. Käyttöoikeuksia rajoitetaan jonkin verran.
  • Käytössä on julkinen kone julkisessa verkossa, kuten nettikahvilat ja vastaavat. Käyttöoikeuksia rajoitetaan huomattavasti.

7. SSL-VPN markkinoista nyt

Forrester Researchin tuottaman tutkimuksen mukaan tämän hetken SSL-VPN sovellusten tuottajien huippua edustavat Juniper Networksin ja Aventail. [Forrester] Maailmanlaajuista SSL-VPN tuotteiden myynnin arvellaan ylittäneen 250M USD vuonna 2006. Tästä suurinta markkinaosuutta hallitsee Juniper Networks 25,9 prosentilla. Juniperista seuraavina tulevat Citrix 13,4%, F5 12,2%, Cisco 11,2% ja Aventail 9,9%. Arvoiden mukaan markkinat tulevat ylittämään vuoteen 2009 mennessä 350M USD. [SynResearch]

8. Päätelmät

Aiheesta riittäisi tarkempaa ja yksityiskohtaisempaa tietoa runsaasti, mutta pitäydyin enemmän pintapuolisessa katsauksessa. Tarkoitus ei ollut tehdä tästä SSL vs IPSec tutkimusta vaikka ajoittain siltä ehkä vaikuttaakin. Internetin laajaa tietotarjontaa tutkiessani oli selvästi havaittavissa, että IPSec:iä ja SSL:ää hyväksikäyttävät VPN ratkaisut ovat tällä hetkellä suurimmassa kehityksessä yrityksillä. L2TP?/IPSec yhdistelmää jotkin tahot sanovat kaikkein turvallisimmaksi yhdistelmäksi.

Eräs SSL-salausta hyväksikäyttävä ilmainen ohjelmisto on OpenVPN?, josta on tehty vuonna 2005 vastaavanlainen tutkielma. Sivustot OpenVPN?:lle löytävät osoitteesta http://openvpn.net/.

Kyse on kuitenkin pääasiassa sovelluskohteesta, sillä SSL ja IPSec ovat molemmat toimivia ratkaisuja. SSL-VPN soveltuu hyvin ellei parhaiten yksittäisten liikkuvien etäkäyttäjien yhdistämiseen sisäverkkoon, lähes koneelta kuin koneelta. IPSec soveltuu parhaiten yhdistettäessä sisäverkkoja toisiinsa eli vaikkapa hajautettua yritysverkkoa luotaessa.

9. Lisätietoa ja kehitysideoita

Eräs hyvä SSL-VPN:ää havainnollistava flash-esitys löytyy Juniper Networksin sivuilta http://www.juniper.net/products/ssl/demo/index.html. Suosittelen demon katsomista vaikkakin nähdäksesi sen joudut rekisteröitymään sivuille. Kommenteissa oli hyviä kehitysideoita. Tila ja aika ovat kuitenkin rajallisia, joten jouduin rajan vetämään tähän. Kehitystä voisi tehdä lisäämällä tarkempaa ja yksityiskohtaisempaa tietoa etenkin palvelinpään toteutuksesta. Kysymys tuli myös liittyen tarkemmin IPSec vs SSL vertailussa kernel ja usermode järjestelmien eroihin, joista en tässä puhunut lainkaan.

10. Lähteet

-- MarkkuVajaranta? - 18 Sep 2009
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r2 - 18 Sep 2009 - 13:08:46 - MarkkuVajaranta
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback