od wersji w2k8 jest nowy, ‘wbudowany’ typ VPN – Secure Socket Tunneling Protocol, czyli Microsoftowa implementacja SSL VPN dla Windows. ogólnie świetny pomysł – świat sieci generalnie zmierza w kierunku ‘all-over-443’, pojedynczy otwarty port, nie ma konieczności obsługi GRE na brzegu czy innych protokołów wspierających, czyli łatwość działania w fajerłolowanych środowiskach (;

no więc przestawiać się w pełni na SSTP czy pozostać przy starym dobrym L2TP? pomimo, iż od wprowadzenia SSTP minęło już kilka lat, ma niestety zbyt wiele wad beniaminka:

  • natywnie wspierany tylko przez systemy Vista SP1+
    • szczęśliwie są aplikacje firm 3cich, obsługujące SSTP dla Linux i Windows XP.
  • wymaga certyfikatu serwera – nie jest to problem w środowisku domenowym, gdzie cert CA jest dystrybuowany via GPO jednak robiąc VPN dla osób ‘z zewnątrz’ trzeba pamiętać aby przesłać im cały cert chain do zaimportowania, ew. mieć wykupiony cert podpisany przez komercyjny CA
  • dodatkowym warunkiem są dostępne listy CRL. zazwyczaj wewnętrzne CA mają skonfigurowane AIA i CRL wyłącznie z wewnętrznymi adresami. ciężko powiedzieć czy to błąd czy nie – zależnie od założeń, ale dla VPN to krytyczne. VPN zestawia się zazwyczaj z Internetu, a to oznacza, że nie będzie dostępu do CRL i AIA. standardowo SSTP VPN weryfikuje CRL i nie mogąc ich sprawdzić odrzuci połączenie. są opcje:
    • albo poprawi się certyfikaty, umieszczając CRL dostępny z Internetu – co może być dość pracochłonne w ‘żywym’ PKI
    • albo wyłączy się weryfikację CRL dla SSTP VPN. to również może być dość upierdliwe – zarówno dla własnych klientów jak zewnętrznych
    • to, czego nie testowałem, to czy całość zadziała z jakimś certyfikatem self-signed z pustym CRL. to by ułatwiło, ale nie wiem czy jest wykonalne.
  • brak klientów dla urządzeń mobilnych – nawet na Windows Phone. być może będzie klient dla Android – ale to tryb przypuszczający w czasie przyszłym /:

w efekcie: standardowo – jeśli nie wiadomo która opcja, najlepiej użyć obu na raz i włączyć zarówno L2TP jak SSTP. dzięki temu, przy prawidłowej konfiguracji [zwłaszcza w kwestii certyfikatów] klienci firmowi z w7 będą mieli dostęp do sieci LAN nawet będąc gdzieś gdzie są puszczone tylko 80/443, a pracownicy zewnętrzni oraz userzy z XP będą mieli protezę w postaci standardowego L2TP.

eN.

Spread the love

Comments (5)

  1. gt

    Odpowiedz

    Myślisz po staremu… ;) VPN powstał po to, żeby ludzie z IT w awaryjnej sytuacji mogli zdalnie sięgnąć do wnętrza firmy. Potem pojawiły się łamańce “uprzyjemniające” jego użycie zwykłym ludziom, ale to dalej rzeźba i proteza.
    Po nowemu, jeżeli mam coś (certyfikat) i/lub wiem coś (hasło domenowe), to skoro mam dostęp do świata, to mam i do firmy. Po co mam w tym celu klikać na jakiejś ikonce. Nie lepiej zupełnie przeźroczyście przetunelować to co trzeba i tam gdzie trzeba? Po co użytkownikom dostarczać magiczne doznanie “łączenia się z bazą”. Mają firmowego laptopa i zalogowali się na firmowe konto to mają dostęp do firmowych danych. A cała reszta to tylko implementacyjne detale ;)

  2. Odpowiedz

    piszesz o direct access? ponoć sporo się zmieniło w w8 – jeszcze nie czytałem. konfiguracja dla w7/w2k8 wymagała całkiem sporego ogarnięcia. wspieram trochę firemek SOHO/SME i nikogo nie stać na taką implementację a i wiekszych firmach ludzie się boją IPv6 i NPSa.
    poza tym dochodzą kwestie bezpieczeństwa – nie każdy chce, żeby laptop poza firmą był tak z automatu laptopem “w firmie”

  3. gt

    Odpowiedz

    > dochodzą kwestie bezpieczeństwa – nie każdy chce, żeby laptop poza firmą był tak z automatu laptopem “w firmie”
    A co wspólnego z bezpieczeństwem ma przerzucenie na usera decyzji kiedy jest a kiedy nie jest? To ja już wolę wiedzieć, że zawsze jest… Przynajmniej mogę zdalnie próbować coś naprawić.

  4. Odpowiedz

    Ty tak wolisz, ale jest wiele miejsc, gdzie woli się zmusić do świadomego połączenia z SFA w postaci tokena czy czegoś tam. ludzie korzystają z firmowych lapsów w domu jak z domowego kompa. jak przeglądają sobie allegro, porno czy facebooka – po kiego wałka mają być wtedy połączeni z firmą? możesz powiedzieć – powinni przechodzić przez firmowe proxy/FW i mieć taką funkcjonalność wyłączoną albo dodatkowo filtrowaną… można się tak przepychać..

    ja też wiem jak powinien wyglądać ideał – wdrożony NAP i direct access, pełny automat sprawdzający wszystkie warunki, zawsze aktualny AV i prawidłowo skonfigurowany FW, stacja robocza powinna być stacją roboczą – narzędziem pracy a nie zabawy, polityka firmy powinna szczegółowo regulować dostępy .. i tak dalej… tylko jakoś nie mam wiele okazji zobaczyć takich środowisk q:

  5. gt

    Odpowiedz

    Tak jak piszesz kwestia raczej filozoficzna niż techniczna. Ale generalnie, bardziej wierzę automatom niż userom i to raczej w tę stronę się kieruję kiedy tylko mam wybór. Nawet, jeżeli wymaga to stałego połączenia z firmą.

Zostaw komentarz

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

Time limit is exhausted. Please reload CAPTCHA.