1 februari 2007 09:26

F5 FirePass SSL VPN Controller

Webgebaseerde VPN-verbindingen (kortweg webVPN, of soms ook SSL VPN genoemd) zijn onmiskenbaar hot. Ze vallen onder de categorie van remote access VPN’s: software die je laptop of thuiscomputer over het internet via een geëncrypteerde tunnel met het kantoor verbindt. De traditionele VPN clients hebben verschillende nadelen: het is extra te installeren en onderhouden software, die bovendien kan conflicteren met nieuwere versies van het besturingssysteem. Soms raken de onderliggende netwerkprotocols (IPSEC, L2PT of PPTP) zelfs niet doorheen tussenliggende fi rewalls. WebVPN’s daarentegen, vereisen geen aparte software behalve een Java- of ActiveXplugin die automatisch wordt afgehaald. En als netwerkprotocol gebruiken ze SSL (secure sockets layer), dat wel probleemloos doorheen fi rewalls en routers geraakt.

De SSL VPN-technologie wordt stilaan door zowat alle grote fi rewallfabrikanten geïntegreerd in hun gamma. Wie een moderne Check Point fi rewall heeft komt zo bij SSL Network Extender terecht. Maar wie voor een losstaande applicatie gaat, kan het beste uit de markt kiezen.

Cisco integreert webVPN in de recentste versies van zijn IOS en Juniper Networks levert speciale SSL VPN-appliances, maar voor deze test kozen wij voor de FirePass-controllers van netwerkfabrikant F5 Networks. Deze appliances werden speciaal ontwikkeld voor webVPN, en dat merk je aan de rijke set van mogelijkheden. Verleden jaar plaatste Gartner hen nog als enige appliance in het leadersegment van hun magische kwadrant.

De FirePass controllers komen in twee uitvoeringen: de FirePass 1200 en de 4100. De eerste reeks kan tien tot honderd gelijktijdige gebruikers aan (afhankelijk van de licentie), terwijl de FirePass 4100 tot tweeduizend gelijktijdige sessies aankan. Beide toestellen zijn gebaseerd op dezelfde firmware, die ondertussen aan versie 6.0 toe is.

Een praktijktest bevestigt de uitgebreide mogelijkheden van de appliances. Ze brengen moeiteloos elke webgebaseerde applicatie beveiligd op het internet. Maar ze kunnen ook niet-webgebaseerde toepassingen zoals fi le servers, klassieke e-mail, Citrix, Terminal Servers en mainframetoepassingen omzetten naar een beveiligde webtoepassing. Recent verkreeg F5 nog enkele patenten rond het automatisch herkennen en tunnelen van dynamische poorten, om zo niet-standaard of bedrijfsspecifi eke applicaties te kunnen aanbieden. Dienstverlenende bedrijven kunnen per klant een portaal op maat maken met een aparte naam, logo en certificaat.

Een van de meest indrukwekkende functies is de mogelijkheid om doorheen dit apparaat een netwerktunnel op te starten. Daarmee krijgt je pc een tweede IP-adres op het bedrijfsnetwerk, en kan je nagenoeg elke applicatie opstarten alsof je op kantoor bent. Jammer genoeg lukt dat laatste voorlopig alleen voor de pc’s met Windows erop.

Bij externe toestellen ligt de nadruk sterk op beveiliging. De FirePass verzorgt authenticatie, autorisatie en accounting van alle gebruikers, of werkt desgewenst samen met externe authenticatieservers zoals RADIUS, Active Directory of LDAP. Ook hardware tokens worden ondersteund, net als clientcertifi caten, die het toestel bovendien zelf kan uitdelen. Daarnaast kan de controller ook controleren of de computer over een actieve virusscanner of persoonlijke fi rewall beschikt, en of het besturingssysteem up-to-date is met de nieuwste patches. Afhankelijk daarvan krijgt de gebruiker meer of minder toegang tot interne resources.

Bij F5 probeert men ook om het gebruik veilig te maken op potentieel gevaarlijke computers zoals in een hotel of cybercafé. Dat komt naar boven in mogelijkheden zoals het virtuele toetsenbord om paswoorden in te geven (dat belet dat keyboard loggers je paswoord achterhalen) of de functie om de tijdelijke internetbestanden automatisch te verwijderen bij het afsluiten. Alhoewel deze appliances sterk zijn in webVPN, ondersteunen ze ook site-to-site VPN om twee of meer vestigingen met elkaar te verbinden. De functionaliteit is daarbij wel erg beperkt – het is duidelijk dat dit een leuk extraatje is maar niet de hoofdbedoeling van deze toestellen.

De F5 FirePass is uiteindelijk een zeer rijke en mature webVPN appliance. Hij biedt bedrijven een snelle en gebruiksvriendelijke manier om niet-webgebaseerde toepassingen toch veilig over internet aan te bieden.