SSL VPN Access
אולי זה מגיע מעט מאוחר , אולי אני קצת מקדים את הזמן בכתיבה על נושא זה, אך מה שבטוח הוא שנושא הגישה מרחוק לרשתות ארגוניות אינו פוחת אלא עולה בצורה משמעותית. אם בעבר יכול היה ארגון להסתפק בכך שהעובדים וההנהלה יבצעו את הפעולות הנדרשות לתפעול העסק מתוך המשרדים , ומשתמשים מרוחקים יוכלו להגיע עם המחשב למשרד לצורך סנכרון, הרי שהיום אין זה כך.
הדרישה היום למערכות המתעדכנות בReal Time הן תמצית הישרדותם של עסקים רבים , בין אם מדובר בחברות משלוחים אשר צריכות לעדכן את הבלדרים הניידים , בין אם אותו איש מכירות צריך לעדכן מחירים או להגיע הצעה למשרד כשהוא בחול. אפילו אנשי IT אשר מהווים את ליבת הקיום של הארגון במקרים רבים נאלצים לתת מענה לתקלות מערכתיות בזמן תגובה אפסי אשר לא יתאפשר ללא גישה מרחוק.
פתרונות הגישה מרחוק בצורה מאובטחת תמיד היוו מטרד לנו אנשי הIS. אבל עם הזמן פתרונות כגון RAS החלו לרדת מהפרק. מערכות שבידינו יודעות היום לאתר מודמים אשר מחוברים לקווים ולכן להשבית אותם. כלומר כעת בידינו הברירה איזה פתרון לתת לארגון לגישה מרחוק.
הפתרון המוכר ביותר לגישה מוצפנת ( ולכן לא אדבר כאן על PPTP ועל יישומים שלו למרות שחלקם אף כוללים הצפנה ) יהיה להשתמש בפרוטוקול אשר יעטוף את התצורה הרגילה לגישה בפרוטוקול מוצפן ( למשל RDP OVER SSH ) ובכך יאפשר גישה בטוחה. הדרך המוכרת ביותר לבצע זאת היא על ידי IPSec , הצפנת התווך בין שתי נקודות או בין נקודה לרשת.
בשנים האחרונות אנו רואים מספר אלמנטים של שימוש בSSL לצורך הקמת אותו תווך מוצפן, מדובר למעשה בשימוש בSSLv3 ( שהוא בעצם TLS המוגדר בRFC2246 ). למי שלא מכיר - SSL עובד בשכבת הSESSION והומצא על ידי NETSCAPE לפני מספר שנים שלא זכור לי לנקודה זו. ובכן המטרה בשכבת הSESSION הייתה לאפשר לעבוד עם SESSION COOKIES בדפדפנים ( שכן פרוטוקול HTTP אינו תומך בSESSION כלל ) . ובכן , על מנת לאפשר לאפליקציות רשתיות לרוץ על התשתית המוצפנת , עלינו לרדת כמובן שכבה, לכן הומצא הTLS שהוא Transport Layer Security שמאפשר לנו להצפין בשכבה הרביעית .
על ידי כך שהSSL מאפשר כעת לעבוד ברמה הרשתית ולא רק ברמת הWEB BROWSER , אנו יכולים כעת לקיים קישורים מרוחקים מאובטחים ( אפשר להתווכח על זה ) אשר מאפשרים גישה ללא הצורך בהתקנת תוכנת קצה ( לכל מחשב סטנדרטי יש היום דפדפן אשר תומך בSSL ) ולכן מוריד את הOVERHEAD האדיר שפתרונות הACCESS בדרך כלל יוצרים על מחלקות הIT השונות.
למעשה , משתמש מרוחק יכול להתחבר מכל מקום בעולם , ללא התקנה של כל תוכנה , ולהתחבר לארגון בצורה בטוחה ולעבוד מרחוק.
ישנו נושא אחד שנפגע עצם השימוש בSSL כיום, שהוא תצורת האימפלמנטציה של ההצפנה. אך זה נושא שמאוד מותנה בצורך ובאופן השימוש, שכן איני רואה לנכון ארגון יוצר קישור בין אתרים במיקומים מרוחקים על ידי קישור בהצפנה פחותה מAES256 ( למרות שקיימות כבר אימפלמנטציות של AES OVER TLS ). אך יכול להתאים בצורה מופלאה וקלה ביותר ליישום לצורך מתן מענה לעבודה מרחוק בסביבות אשר מוגדרות סביבות מזוהמות - אינטרנט קפה הוא דוגמא מצויינת לנקודת גישה אשר כל מזיק , וירוס וקוד זדוני פשוט מחכים בה.
מובן שלכל פתרון יש היתרונות והחסרונות שלו , ומאוד תלוי איך אותו VENDOR בוחר ליישם את פתרון הSSL-VPN שלו. מנסיוני אין פתרון אחד שמתאים לכל ארגון , בסביבות מונחות יצרן אחד ספציפי יתכן שיתאים פיתרון אחד , בעוד לארגון אחר אשר דורש ניקוי בAV לתשתית הSSL שלו יתאים פתרון אחר. ישנם פתרונות המהווים PROXY מלא בין נקודת הגישה לאתר עצמו, ישנם פתרונות אשר מסוגלים לבצע בדיקות UTM וניקוי של מזיקים מהתווך המוצפן, וישנם אף פתרונות שמקימים סביבה נפרדת חד פעמית מוצפנת אשר אינה יושבת על הIO אלא בSANDBOX ייעודי. אין כאן כללים מנחים ויש לשקול כל פתרון לגופו.
לפי דעתי , בהמשך הדרך נראה את עולם הACCESS מתפתח לעוד הרבה כיוונים , כבר היום יש דיבורים על גישה מאובטחת דרך מעגלי הטלוויזיה והחשמל ועוד דרכים רבות לראות את הכיוון הזה. מובן שתמיד תהיה מעורבת הצפנה , ולכן האנשים האהובים עליי בעולם שהם המתמטיקאים שעוסקים במדע הקריפטוגרפיה ימשיכו לאכול טוב ליד שולחן שישי. אני בעד.
** שימו לב , ישנו המשך שעיקרו טכני בתגובות למאמר זה.
הדרישה היום למערכות המתעדכנות בReal Time הן תמצית הישרדותם של עסקים רבים , בין אם מדובר בחברות משלוחים אשר צריכות לעדכן את הבלדרים הניידים , בין אם אותו איש מכירות צריך לעדכן מחירים או להגיע הצעה למשרד כשהוא בחול. אפילו אנשי IT אשר מהווים את ליבת הקיום של הארגון במקרים רבים נאלצים לתת מענה לתקלות מערכתיות בזמן תגובה אפסי אשר לא יתאפשר ללא גישה מרחוק.
פתרונות הגישה מרחוק בצורה מאובטחת תמיד היוו מטרד לנו אנשי הIS. אבל עם הזמן פתרונות כגון RAS החלו לרדת מהפרק. מערכות שבידינו יודעות היום לאתר מודמים אשר מחוברים לקווים ולכן להשבית אותם. כלומר כעת בידינו הברירה איזה פתרון לתת לארגון לגישה מרחוק.
הפתרון המוכר ביותר לגישה מוצפנת ( ולכן לא אדבר כאן על PPTP ועל יישומים שלו למרות שחלקם אף כוללים הצפנה ) יהיה להשתמש בפרוטוקול אשר יעטוף את התצורה הרגילה לגישה בפרוטוקול מוצפן ( למשל RDP OVER SSH ) ובכך יאפשר גישה בטוחה. הדרך המוכרת ביותר לבצע זאת היא על ידי IPSec , הצפנת התווך בין שתי נקודות או בין נקודה לרשת.
בשנים האחרונות אנו רואים מספר אלמנטים של שימוש בSSL לצורך הקמת אותו תווך מוצפן, מדובר למעשה בשימוש בSSLv3 ( שהוא בעצם TLS המוגדר בRFC2246 ). למי שלא מכיר - SSL עובד בשכבת הSESSION והומצא על ידי NETSCAPE לפני מספר שנים שלא זכור לי לנקודה זו. ובכן המטרה בשכבת הSESSION הייתה לאפשר לעבוד עם SESSION COOKIES בדפדפנים ( שכן פרוטוקול HTTP אינו תומך בSESSION כלל ) . ובכן , על מנת לאפשר לאפליקציות רשתיות לרוץ על התשתית המוצפנת , עלינו לרדת כמובן שכבה, לכן הומצא הTLS שהוא Transport Layer Security שמאפשר לנו להצפין בשכבה הרביעית .
על ידי כך שהSSL מאפשר כעת לעבוד ברמה הרשתית ולא רק ברמת הWEB BROWSER , אנו יכולים כעת לקיים קישורים מרוחקים מאובטחים ( אפשר להתווכח על זה ) אשר מאפשרים גישה ללא הצורך בהתקנת תוכנת קצה ( לכל מחשב סטנדרטי יש היום דפדפן אשר תומך בSSL ) ולכן מוריד את הOVERHEAD האדיר שפתרונות הACCESS בדרך כלל יוצרים על מחלקות הIT השונות.
למעשה , משתמש מרוחק יכול להתחבר מכל מקום בעולם , ללא התקנה של כל תוכנה , ולהתחבר לארגון בצורה בטוחה ולעבוד מרחוק.
ישנו נושא אחד שנפגע עצם השימוש בSSL כיום, שהוא תצורת האימפלמנטציה של ההצפנה. אך זה נושא שמאוד מותנה בצורך ובאופן השימוש, שכן איני רואה לנכון ארגון יוצר קישור בין אתרים במיקומים מרוחקים על ידי קישור בהצפנה פחותה מAES256 ( למרות שקיימות כבר אימפלמנטציות של AES OVER TLS ). אך יכול להתאים בצורה מופלאה וקלה ביותר ליישום לצורך מתן מענה לעבודה מרחוק בסביבות אשר מוגדרות סביבות מזוהמות - אינטרנט קפה הוא דוגמא מצויינת לנקודת גישה אשר כל מזיק , וירוס וקוד זדוני פשוט מחכים בה.
מובן שלכל פתרון יש היתרונות והחסרונות שלו , ומאוד תלוי איך אותו VENDOR בוחר ליישם את פתרון הSSL-VPN שלו. מנסיוני אין פתרון אחד שמתאים לכל ארגון , בסביבות מונחות יצרן אחד ספציפי יתכן שיתאים פיתרון אחד , בעוד לארגון אחר אשר דורש ניקוי בAV לתשתית הSSL שלו יתאים פתרון אחר. ישנם פתרונות המהווים PROXY מלא בין נקודת הגישה לאתר עצמו, ישנם פתרונות אשר מסוגלים לבצע בדיקות UTM וניקוי של מזיקים מהתווך המוצפן, וישנם אף פתרונות שמקימים סביבה נפרדת חד פעמית מוצפנת אשר אינה יושבת על הIO אלא בSANDBOX ייעודי. אין כאן כללים מנחים ויש לשקול כל פתרון לגופו.
לפי דעתי , בהמשך הדרך נראה את עולם הACCESS מתפתח לעוד הרבה כיוונים , כבר היום יש דיבורים על גישה מאובטחת דרך מעגלי הטלוויזיה והחשמל ועוד דרכים רבות לראות את הכיוון הזה. מובן שתמיד תהיה מעורבת הצפנה , ולכן האנשים האהובים עליי בעולם שהם המתמטיקאים שעוסקים במדע הקריפטוגרפיה ימשיכו לאכול טוב ליד שולחן שישי. אני בעד.
** שימו לב , ישנו המשך שעיקרו טכני בתגובות למאמר זה.
Labels: access, ssl, technology, vpn
| Link 
מדוע אתה חושב שישנה בעיה עם רמת ההצפנה המסופקת על ידי SSL?
Posted by
Anonymous |
5:08 PM
ובכן , רמת ההצפנה אינה הבעיה בעיני. זאת מכיוון שניתן לבצע הצפנה על ידי אלגוריתמים שונים כגון :
AES/3DES/RC4 ברמות של עד 256BIT ( לאלו המאפשרים זאת )
אך עם זאת , האימפלמנטציה עצמה בד"כ חלשה יחסית .
מכמה וכמה סיבות :
1. אנו חושפים מכונה לעולם שאליה יש לכולם גישה , וזאת בשל הצורך להתחבר מכל מקום בעולם ( בIPSEC יכולנו להחביא את העובדה הזו ).
2. הCIPHER מבוסס על CERTIFICATE שאינו מחייב CA כלשהו .
3. הKEYLIFE של הSSL אינו אקראי , אלא נדרש להגדרה מראש - מה שלא נדרש באימפלמנטציה סטנדרטית של SSL OVER HTTP.
אגב, קראתי את הבלוג שלך , מרשים מאוד.
Posted by
barry |
5:16 PM
תיקנתי את המאמר בהתאם לתגובתך , תודה.
Posted by
barry |
5:18 PM
תודה רבה.
אשמח אם תוכל לפרט מעט ביחס לסיבות שציינת.
לגבי העובדה שמדובר במכונה מכל העולם, מדוע זה קשור לסוגיית ההצפנה? אלא אם אתה מדבר על כך שמדובר בתחנות מודבקות בהן נעשה שינוי של מנגנוני ה-SSL בתחנת הקצה באופן שאינו ניתן לגילוי (מה שנשמע לי יותר בדיוני ממעשי.
לגבי הצופן שאינו מחייב CA, אני לא מבין על מה מדובר. באופן כלשהו הצדדים צריכים להכיר זה את זה, או לפחות אחד הצדדים, אחרת אתה חשוף לחלוטין ל-man in the middle. אבל לא נראה לי שלזה אתה מכוון.
לגבי ה-keylife של הSSL - במה מדובר?
נראה לי שאתה נוגע בנקודות חשובות, אך אני לא בדיוק מבין אותן (מן הסתם חוסר ידע מצדי) ואשמח אם תוכל לפרט.
Posted by
Anonymous |
6:52 PM
ראשית , העובדה שלמכונות SSLVPN קיים פורטל נגיש מכל נקודה בעולם ( מחוסר ברירה של יישום של הטכנולוגיה ) כל אחד יכול להגיע לאותו פורטל. מאחר וכל זר יכול להגיע לפורטל הSSLVPN הארגוני שלנו, השלב הראשון בהתקפה שלו הושלם. אפשר להרחיב לכיוון הBRUTEFORCE וכדומה, אבל אני מניח שהנושא ברור.
לגבי הCA. כל מכונות הSSLVPN היום מאפשרות להתקין עליהן SELF SIGNED CERTIFICATE שהוא לא מוסכם על ידי שום CA. ולכן כמו שאמרת בעצמך , אני חשוף לMAN IN THE MIDDLE. מובן שיש פיתרון על ידי התקנת CERTIFICATE חתום תחת CA, אבל ברוב האימפלמנטציות שאני לפחות ראיתי , זה לא התבצע.
לגבי הKEYLIFE . ישנה הגדרה כאשר בונים SESSION של SSL אשר אומרת לכמה זמן יהיה המפתח VALID . כלומר, לאחר כמה זמן יהיה צורך לבצע החלפת מפתחות מחדש. בעוד בIPSEC אין לנו בעיה כי ניתן להגדיר PFS ולהחליף מפתחות באופן יזום בכל פרק זמן מסויים, בSSL לא ניתן לבצע זאת ולכן יש לדרוש שינוי מפתח הצפנה בכל זמן מסויים. אותו מפתח או הIV אשר על גביו מתבצעת קביעת מפתח ההצפנה.
אני חייב לציין פה שאחת המגבלות של SSL , הוא שיש סיכוי שיהיה PACKET שיחזור על עצמו , ולכן חשוב להחליף מפתחות.
האם חסרים עוד פרטים ?
Posted by
barry |
7:05 PM