SSL VPN實測報告- Not So Simple

企業在管理複雜的SSL VPN時，經常花了比預期更多的時間。為此《Information Security》雜誌與美國史丹佛大學合作，依企業需求的水準檢測了五項知名產品。

　　企業們開始採用SSL VPN，建置更簡單的架構支援行動工作者（roaming user）的需求：使用者不需限定在特定作業系統或特定軟體上才能使用，並讓IT部門掌握每一台端點使用者的電腦需求。使用者僅需網頁瀏覽器，就可以安全地連線到內部網路。

　　實際的狀況卻未如想像中簡單。事實上，許多組織的IT部門已經開始縮小SSL VPN的使用範圍，因為他們發現用戶端的最小需求不如想像中少，尤其在支援異質網路環境的情況，依據五項知名品牌產品所進行的資安檢測，證明SSL產品依然需要花大量的心力去管理、設定、以及產品支援。測試品包括四項硬體：Aventail的ST EX-2500、Cisco Systems的ASA 5540、F5 Networks的Firepass 4100、Juniper Networks的Secure Access （SA）6000 SP及一項軟體產品Check Point Software Technologies的Connectra NGX R61 。

　　以上產品委託史丹佛大學加州校區內特定實驗室進行，而這個實驗室主要是藉骨幹網路群組的協助，測試產品在史丹佛大學主要資料中心以及校區內網路基礎架構維運的情況。過程針對「企業管理和控制」、「用戶端支援」、「應用程式支援」以及「認證和存取控制」這幾個項目的能力進行分析和分級。

企業管理和控制

　　佈署SSL VPN要花一段長時間習慣它的管理介面。SSL VPN產品在這個階段面臨的問題是：SSL VPN必須連接到網路上許多不同的地點，管理上必須指派多人、分配不同角色的工作才能完成。測試結果，Juniper及F5較能勝任這個狀況。

　　SSL VPN產品上，許多設定必須被調整，但調整設定時也最容易犯下嚴重的錯誤。管理者很容易不小心打開特定畫面並點選錯誤的選項，導致整個系統失效。舉例來說，滑鼠按鍵只要不小心點選錯誤，經過幾次費心建構的端點安全子系統就會毀損，或者中斷認證連線。

　　另外，這些設備能否讓多重使用者（multiple user）同時進行設備管理，並提供個別的功能，對大範圍網路的佈署很重要：可增加多名使用者、更改存取策略、並設立獨立的入口頁面。經過測試F5的介面可以針對每個管理者給予特定的功能表單。在管理範疇（Administrative Realms）的頁面提供完整的細項指派－指定特定的管理權限，在不同子集合中，讓不同的人完成不同的功能－相對的，Check Point及Cisco同一時間僅允許單一管理者進行登入。Aventail則採折衷方式，提供三個預設的管理樣板，讓多位管理者使用一些小功能來管理。每個人對表單設計的感受是很主觀的，但Juniper產品設計非常合乎邏輯，使用時可以很快地完成工作。也最容易透過清楚的功能表來控制Linux、麥金塔以及Windows用戶端，簡單完成管理者工作。F5豐富多元的功能及表單，讓F5的管理介面在五項產品中略勝一籌。它的介面編排清晰且位置適當，雖然部份表單的選項有點難懂，但絕大部分讓您輕鬆地增加政策（policies）和設定應用程式。Cisco ADSM的管理介面不易操作，而且和Cisco支援工程師一起進行檢視的時候也發生很多問題，最常發生的問題就是他們無法快速地找出正確畫面。ADSM多重階層設計讓表單之下還有表單，這讓使用者容易在幾次表單的點選後，不確定自己使用的到底是哪一項功能。

　　這些產品的除錯工具（debugging tools）都應該再改進，尤其在認證伺服器的設定上。F5產品的管理者，直接進入組態操作介面更改設定。其他產品在管理者和一般使用者身份的切換上則稍顯得麻煩。

用戶端支援

　　SSL VPN產品最重要的部份就是如何支援使用者的環境。我們在不同作業系統上使用Firefox、Internet Explorer及麥金塔的Safari進行測試，測試每項產品的終端安全（endpoint security）檢查以及矯正程序。

　　測試發現，他們都支援Windows XP/2000以及最新版本Internet Explorer連線到他們的閘道器，Aventail以外的產品，也提供支援Firefox。所有的產品都為Windows以及IE提供了網路延伸用戶端（network extension client），但並未完全地支援Windows 98或者麥金塔作業系統。6月我們進行測試時，只有Aventail有支援Intel為基礎的麥金塔。Aventail的麥金塔網路延伸到用戶端還是有一個小問題，就是使用者必須進行兩次認證的動作，一次在網頁瀏覽器中認証，另一次是在用戶端軟體偏好中認證。Juniper擁有最佳的整體用戶端支援，包含對Windows 98最佳的支援，可以在最新版本上的Internet Explorer上執行。不過也不是所有的應用程式都可以支援，像是Java-based的SSH用戶端就無法提供支援。

　　這些產品都會要求以使用管理者權限來存取用戶端的主機，初始安裝他們的網路延伸用戶端。而這樣的運作方式對於那些會限制、鎖定使用者主機上登入行為以及不允許使用者自行安裝軟體的企業可能會造成問題。談到用戶端主機的鎖定，對用戶端支援而言，終端安全（endpoint security）已經成為越來越重要的一部份了。也是各項產品努力的方向，像Check Point將終端安全當成一項額外添購的選項，其他產品則和協力廠商合作提供終端安全的健康評估（health assessment）與矯正。在防毒產品的支援上，F5和Juniper使用的都是OPSWAT資料庫，Cisco對於防毒產品的支援則最多，而其他的產品只有小部分的防毒產品支援。這些產品也會依據登入前後、針對各式各樣端點狀況提供不一樣程度的控制。Juniper以及Check Point提供最詳細的作業系統以及狀況類型，像是指定哪些防毒軟體、防火牆以及阻擋其他惡意程式。舉例來說，Juniper的矯正機制包含刪除特定檔案、終止特定程序、執行客製化腳本程式。習慣建立防火牆規則的管理者會發現，建立端點安全政策的過程是非常相似的。我們特別喜歡F5的政策編輯器，其運作方式很類似流程圖，並提供額外像是檢查IE版本以及支援Google桌面索引引擎的功能，不過也因為有太多選擇可以勾選，在政策的測試以及佈署相對困難。

　　所有廠商都提供「sandbox」桌面模式，這環境下的Wi n d ows使用者（不支援麥金塔或者Linux）可以登入到一個被保護的工作環境，防範使用者儲存檔案到本機，之後還要清除，所以它不會留下任何的檔案以及cookies證據。在網咖店或公用電腦等不安全的環境中，「sandbox」桌面模式就非常的有用。Juniper在此提供較詳細的控制，可以管制使用者哪些行為是允許的、而哪些是不允許的、存取到印表機的權限、Windows控制台的更改、或者允許使用特定加密金鑰強度的IE瀏覽器。

應用程式支援

　　企業的VPN管理者必須小心地檢查每一個應用程式，並測試該應用程式在用戶端或精簡用戶可以運作。這通常也是SSL VPN最大的弱點：因為IPSec擁有整個協定推疊（protocol stack），所以IPSec產品可以在沒有任何組態設定下支援龐大的應用程式。測試幾個簡單及幾個複雜的應用程式，看看他們運作的情況。嘗試連線到區域網路中Windows分享出來的檔案，FTP、SSH伺服器及防火牆後方的各種網站伺服器。也執行Outlook Web Access並透過IP連線到Java-based的Avocent KVM。用戶端使用瀏覽器，連線到特定入口網站上，存放連線到每一應用程式的超連結，當然我們也會測試每個產品所提供的網路延伸用戶端。

　　Juniper的支援最廣，並在入口組態畫面中提供URL除錯的能力。較令人驚訝的是，連線到Windows檔案伺服器的分享磁碟時反而遭遇到較大問題，除了Juniper以及Aventail之外，都無法正常的連線。某些像是透過IP連線的Avocent KVM等複雜的網站應用程式也會造成SSL VPN連線上的問題。Aventail是唯一可以在瀏覽器中支援Avocent KVM連線的產品，但僅能使用IE進行連線。其他的SSL VPN產品則要求網路延伸用戶端進行VPN連線時，要開啟遠端桌面瀏覽功能。CheckPoint以及F5在支援的應用程式數量上沒有Juniper多。

認證和存取控制

　　在史丹佛網路中測試那些有提供RADIUS以及LDAP伺服器的產品，並以RSA SecurID測試雙因素認證（two-factor authentication） 的情況。

　　受測的這五項產品需要經過一些調整，才能啟動這些伺服器，不過這五項產品能夠使用以上三項伺服器。為此，也檢視每一項產品對於存取階級的設定可以到多細微，像是限制使用者僅能在特定日子的某段時間內進行登入，或者使用者僅能夠透過特定的來源IP才能進行登入。除了Check Point，都有設定使用者存取時間以及來源IP位址的功能。每一項產品要設定連上史丹佛LDAP伺服器時遭遇不少麻煩，這出於設定參數錯誤，像是伺服器要正確進入IP的位址時，這些產品都欠缺主動告知錯誤的偵錯工具。Juniper提供語法範例，讓你可以輸入正確的字串，而Aventail則針對你所需要的資訊提供最清楚的畫面。而其它產品也完全支援RSA SecurID ACE，因此設定這些產品連線變得相對簡單。針對Aventail則需透過RADIUS協定連線到ACE伺服器，Cisco、Aventail以及Juniper在網站登入頁面時，就對使用者群組進行認證領域（authentication realm）區分，可較簡單地了解每一個領域是否運作正確。

　　每項產品都有兩個網路介面進行雙介面（dual-homed）組態設定－一個介面用來連線到公眾網路，另一個介面連線到內部網路來存取受到保護的資源－在SSL VPN必須與外部網路資源協同運作的網路架構下，無法連線到Juniper及Aventail的產品，這兩項產品假設認證伺服器應存放在內部網路，而測試環境卻將RADIUS以及LDAP伺服器放在一般未保護的校園網路中。使用兩張網路卡或將認證用的伺服器放在內部網路中都是不錯的規劃，但是如果你無法透過VPN存取到該伺服器時。只能將Juniper以及Aventail在單一網路介面模式下運作，雖然這樣可能違背許多企業的運作狀況，常見的辦法是企業啟用三階層（three layer）防火牆，隔開重要應用程式以及伺服器。

未來的工作方向

　　這些產品都要適當地調整才能運作，因此需要一組資訊基礎架構上不同領域的人員共組團隊進行佈署。如果您使用異質網路環境或者大量客製化的企業應用程式，將要花一段長時間的測試以及佈署。

　　事實上，在實際佈署SSL VPN之後，有可能才發現這些產品根本無法完成期望中的工作。Juniper的SA 6000 SP在可用性、功能性以及運作的彈性上，測試表現最佳。F5 Firepass第二，它提供仔細地端點使用者檢查程序及支援大量的防毒軟體，並有視覺化的政策編輯器，任何人都能按流程圖完成工作。Aventail的EX-2500則是有趣的對照。它提供一些尖端的功能，卻忽略一些基本功能，它是唯一不支援native RSA SecurID ACE的產品，卻提供了一些設定LDAD伺服器時很好用的除錯工具。

　　Cisco VPN閘道器不易察覺是否缺乏任何功能，而這就是問題。Cisco的管理者介面過於複雜，雖然它能在同一個閘道器上執行IPSec以及SSL VPN用戶端，但管理人員一旦完成極端複雜設定並運作後，就不敢再修改使用者以及群組政策。而Check Point Connectra最大的問題在缺乏權責區分，它以部門作管理角色的區分，在認證伺服器以及使用者用戶端支援也最差。另一方面來說，如果使用Check Point其他像是防火牆、IPSec的產品，可以透過單一介面來管理所有產品。