The Sports Authority 的 VPN 經驗－給我安全網路 其餘免談

UNIX小組的管理人員Joseph Girodo說：「The Sports Authority的入口網站變得愈來愈龐大複雜，而我們需要取出更多的資訊給業務單位！就如同我們增大了網站規模，存取需求量也就跟著大起來是一樣的道理。」 Girodo以F5 Network公司Fire Pass 4100 SSL VPN產品解決了一大串的網路連線難題──Telnet連線安全性、IPSec連線不穩定性，還有那些掛在機器上卻不願丟掉的檔案，這些問題統統都消失不見了！
「IPSec對我可從沒這麼體貼過？」，Girodo繼續說，「所以，我們轉向SSL的懷抱去了！」
「我真的不想在每台PC都裝上一套用戶端軟體，然後再去作升級維護的工作！」，Girodo接著又說，「現在最重要的就是，SSL可以讓我依個人和群組需要，在連線存取和控制選單上作調整！」
愈來愈多的情況報導顯示，SSL VPN正快速進展成為IPSec的近親。而企業主們會轉換到SSL VPN，是為了要解決在應用層的遠端連線問題，同樣地，這也能改善連線安全和降低經常性的維護費用。另外，銷售資安產品的業者也以改良SSL VPN的實作方式來呼應這些企業需求，並加入一些互補的功能，比方像是在端點上進行安全查核。
在SSL VPN採取一連串地猛攻之後，最終，這將會使得IPSec VPN下場休息嗎？
風水輪流轉
不過，IPSec在技術面顯然是成熟多了！可是，這件事同樣代表著，在技術層面上要再達到創新的可能性幾乎是微乎其微。雖然如此，SSL VPN依舊蓄勢待發，其市場產值在今年預估可達3億美元！
「我們目前正面臨轉換的階段！」，Forrester Research分析專家Rob Whiteley接著說，「我們樂見更多採行SSL的部署方式，直到IPSec變成只有特定需求才要的服務。」
IPSec是採行TCP/IP協定組中第三層──網路層的協定，它會在遠端網路和企業網路之間建立起一個安全通道。不過，IPSec在中央控制端和客服端主機的硬體設施所費不貲，而且持續不斷地維護組態設定和管理帳戶更是一項沈重的負擔。另外，用戶在IPSec VPN之下可以使用所有提供的功能，但在存取方面卻少有級別上的差異；意即對絕大多數所分享出來的網路資源，通常不是允許就是拒絕兩種權限而已。
而SSL VPN則是在TCP/IP協定組中的第七層──應用層底下工作，用戶端並不需要下載其他東西，遠端連線只要藉由Web式的瀏覽器或者Java、ActiveX此類的代理程式便可運作！另一方面，資安控管人員亦可為每個用戶端和軟體指派各別的存取方式，如此一來，用戶端的管理問題也就一掃而空！
「採行SSL的方式，讓我們的網路變得更加安全，個人用戶和群組用戶可以存取特別限定的資源，而且除了在這個網路上之外，哪兒都不能去。」，Girodo繼續說，「每樣事物都可以被規範的好好的！」
對The Sports Authority的員工，還有主管階層和合作夥伴來講，安全的遠端連線可說是再重要不過了！比方業務單位需要存取e-mail和檔案伺服器，而較高層的管理階級則是需要觀看業務相關資料，另外，企業夥伴則是需要藉由企業間網路來存取資料和應用程式。但這些處在The Sports Authority之中的人，都不應該對啟用IPSec的網路擁有完全的自主權。
維護IPSec用戶端的軟體，對The Sports Authority而言，是一項重大的財政負擔，而且The Sports Authority的技術支援還得包含負責遠端機器的軟體安裝以及組態設定。
Girodo又說，「SSL VPN在管理上所要花費的時間會比較少一點，並且它能為每個用戶量身訂作適合的使用環境以及保障資料在傳輸上面的安全。況且，絕大多數的更新和修補程序只要在同一個地方就可以搞定了！」
然而，The Sports Authority舊有的撥接網路還真是安全上的一個夢魘，Girodo補充道。這些安裝在遠端PC或者是筆記型電腦上的軟體程式，會給予包含員工、合作夥伴甚至是其他廠商在內的人有相等層級的網路存取權限。而儲存在伺服器上面的各類檔案和資料訊息就一視同仁地被隨意取用。
所以，SSL的能力就是將存取控制細分，這樣就能避免這種情形。而IPSec的部署則只針對power user就行了，也就是那些可以從遠端登入的員工，像是使用既存應用程式的管理人員，或者是現場應用工程師。另外，SSL VPN原先是設計成要提供e-mail、ERP，甚至是CRM的存取所用的；而如今又開了一道門，讓網路可以藉由Java或是ActiveX代理程式的方式進行存取。也因此，SSL VPN保留了比較好的選擇空間──授予在家工作者可以透過SSL VPN使用e-mail，並且也准許合作夥伴進行企業間網路的存取。 「安全是備受關注的焦點！對我們而言，可以連線到特定的位置就是一項重大的勝利了！」Girodo說。

難道IPSec和SSL不能並肩作戰？
VPN的特點就是全程加密，以保障資料在兩個端點間傳輸的安全性！
IPSec VPN安全傳輸會使用到二項協定：一個是用來認證使用者身份的驗證標頭（AH﹐Authentication Header），另一個則是用來加密資料的加密承載標頭（ESP﹐Encapsulating Security Payload）。IPSec VPN使用雙向認證來源後，接著再透過3DES演算法加密傳送。如此一來，便無懼攻擊者藉由網路來竄改資料封包！
但是，IPSec的組態設定實在是太複雜，而且也得親自動手操作才行。所以，在面對成千上百的企業用戶，光是管理帳戶和調整組態設定，就更加深了複雜程度。
相反地，SSL只在軟體溝通作交換時才加密資料。典型是採用RC4 128-bit加密以保障資料和數位電子證書的安全，而且對於已經過認證使用者的軟體，才會建立起代理連結，這樣會使得從公眾網路（如公共資訊站kiosk、合作夥伴的電腦或是家中的PC）連線進來的用戶，在使用上會變得稍微安全一點！
然而，SSL並無法連結到沒有Web組態的應用程式，通常透過Web就表示不再需要昂貴地客製化軟體以及管理程序。許多比較老舊的應用程式無法透過這種方式運作，所以多數的廠商會再提供API以便可以透過SSL VPN存取既有應用系統和大型主機！
「或許採用clientless的方式聽起來相當不賴，但是，接下來你會發覺以這種方式只能運作在一小部分的軟體上。」，Forrester的Whiteley繼續說，「要是你是使用完全Web式的應用程式，那麼這一切就不會有任何問題了！」
雖然如此，這個缺陷並不影響SSL VPN受歡迎的程度。
「我認為SSL基本上還蠻強大的。SSL帶來好處是，它可以只藉由SSL瀏覽器就能夠存取在Internet上的任何裝置！不管使用者身處何地都無所謂，這也就是SSL無遠弗屆的力量。」，任職於紐約Buffalo公司Catholic Health Systems部門的IT主管Doug Torre說，「但要是使用IPSec VPN，使用者有可能要在公開場合使用某特定應用程式，如此一來，就會產生是否有他人在『背後』窺視的疑慮。」
「SSL將網路隔絕起來，你不是使用network-to-network方式來連結，它只運作在TCP/IP協定組中的應用層。」，Torre補充說，「它能存取的，既不是企業網路也不是埠，就只有所連結的應用程式而已。對於此點，SSL VPN可說是表現的相當稱職，它可以將網路的曝露指數降至最低！」
Catholic Health Systems部門是使用Juniper Network公司NetScreen系列的SSL VPN應用程式（最先是由Neoteris開始發展的）。依照Torre的看法，這套SSL馬上就可以配合地相當良好；另外，它也支援RSA SecurID識別裝置，並採行多合一認證方法，以達到HIPAA的水準要求──這對一個訴求健康的組織來說，可是件很重要的大事！
「處在資訊世界裡頭，如果要管好整個資訊建設，其複雜程度會是一個關鍵要素。而身為工程師，也當了快20年的IT主管，我很訝異竟然會有像SSL這樣的產品和解決方案可以辦到所有的事，這可是很少見的情況啊！」
從事資訊安全和網路管理的人員會在其管理的資訊架構之下，找到屬於SSL和IPSec的一片天地。IDC去年的報告指出：「大約44.1%的企業正使用IPSec VPN，而有29%則是二者並用。」
但Whiteley聲稱，多數企業對於IPSec用戶端要作更進一步的部署，極有可能就此打住，而會轉向與SSL共舞。到目前為止，SSL也為全面的更新鋪好了一條路──只有最積極進取的企業會大刀闊斧的做世代交替。
Whiteley建議企業應評估目前所使用的應用程式，確保可以與自身的VPN政策可以相容。另外，對SSL VPN評估也應詳實力行，而將IPSec用來維護某些特定非Web式的應用程式。「SSL VPN不久之後，就能與IPSec在功能面上並駕齊驅！」Whiteley說。
在同時，The Sports Authority的Girodo大概不會去懷念內部系統一直連不上去的日子，我想：「也聽不到The Sports Authority員工再抱怨無法存取檔案的聲音了吧？」
「身為公司的一份子，安全的遠端存取這件事一直是充滿挑戰。有幸遇到SSL，如此一來，我們在管理上會比較容易得多！」Girodo說。
MICHAEL S. MIMOSO是Information Security雜誌資深編輯，對本文有任何批評指教，歡迎來信至iseditor@asmag.com。