Kan du ge några punkter för en VPN-checklista som sträcker sig från beslut om att använda VPN till val, installation och underhåll av VPN?
Svar:
IPSEC – det verkliga IPSEC som det finns idag – utvecklas fortfarande, men inte så mycket att det inte bör användas som grund för en VPN.
Du kan alltså ha:
- IPSEC-kompatibelt (inklusive ISAKMP/Oakley).
- Interoperabilitet med andra leverantörer som är IPSEC-kompatibla.
- Lång nyckellängd, stark kryptering.
Kommer VPN-lösningen att fungera tillsammans med brandväggen om den inte är en del av brandväggen, vilket är bra?
Fungerar VPN-tjänsten med och utan förtroende? (Kom ihåg att den behöver ett nära samarbete med brandväggen).
Fungerar en ”tilläggs-VPN” tillsammans med brandväggen eller går den bara förbi brandväggen? (Jag säger inte att den ena tekniken är bättre än den andra, men det kan vara något som säkerhetschefen är bekymrad över och lösningen bör vara känd).
Är det möjligt för VPN att automatiskt skapa VPN-tjänster på användarnivå (för mobila användare)? I ett stort företag vill systemadministratören förmodligen slippa att manuellt konfigurera VPN-konton för varje användare.
Är VPN-tjänsten ackrediterad av en välrenommerad organisation? (ICSA har en VPN-certifiering och ett VPN-testförfarande.) Det finns troligen också andra.)
Fråga 2: Vilka är Vpn:s orimliga förväntningar?
Svar: Vad är de förväntade förväntningarna på Vpn?
Vi har gått från att en mycket liten andel säkerhetsmedvetna företag använde sig av verkliga brandväggar till att brandväggar är ett ”måste” på en checklista. Att ha en brandvägg har dock kommit att förknippas med ”alla mina bekymmer med Internetsäkerheten är lösta!”. VPN och IPSEC började på samma sätt. Det har talats mycket om att ”när vi väl har IPSEC på skrivbordet behöver vi inga brandväggar”. Detta är absurt. VPN-tjänster kan inte upprätthålla säkerhetsbestämmelser, identifiera missbruk eller fel eller begränsa tillgången. VPN-tjänster kan utföra det som de är avsedda för: att skydda kommunikationen.
3. Vad är rimliga förväntningar på en vpn?
Svar:
Från början till slut råder fullständig integritet. I allmänhet är den kryptografi som används utmärkt. Allt du utför som är krypterat är väl dolt från internetsniffare. Allt som inte är krypterat kan du skrika ut från hustaken eller lägga ut på din webbplats.
Fråga 4: Vilka resurser krävs för att införa, använda och underhålla VPN?
Svar:
VPN-tjänster betraktas i allmänhet som ytterligare ett jobb av nätverks- eller systemadministratörer. Den som i dag hanterar brandväggen kan helt enkelt lägga till VPN-administrationen till sin uppgift, eftersom när en VPN väl är installerad finns det i de flesta fall inget mer att göra.
5. Vilka brandväggsfrågor är viktiga för val och implementering av VPN?
Svar:
De säkerhetsutmaningar som beskrivs ovan bör tillsammans med en brandvägg ge möjlighet att välja en VPN med eller utan förtroende. Jag skulle till exempel vilja att alla sessioner mellan min brandvägg och mina kunder och affärspartner är krypterade – att de är VPN. Men jag vill att alla ska kollidera med min brandvägg om de försöker göra något annat än vad jag tillåter. Om jag å andra sidan ringer in från konferensens talarrum vill jag ha en privat (dvs. krypterad) anslutning som också ser ut och känns som en virtuell ”inomhus”-anslutning, som om jag satt på kontoret.
Fråga 6: Vad är kopplingen mellan VPN och brandväggar?
Svar:
VPN var tidigare tillgängliga för brandväggar genom krypterade modem och routrar, men de blev populära när de användes på eller vid sidan av brandväggar. De flesta konsumenter förväntar sig numera att en tillverkare av brandväggar ska ha ett VPN-alternativ. (Även om de flesta människor inte använder VPN numera.) De vill också att det ska hanteras med hjälp av samma hanteringsgränssnitt för brandväggen. Dagens kunder verkar dock vilja ha praktiskt taget allt på brandväggen: e-postserver, namnserver, HTTP-proxyserver, FTP-server, katalogserver och så vidare. Det är illa, och det är ett ämne i sig självt.
Fråga 7. Finns det några tillämpningar eller miljöer där VPN-tjänster kan vara skadliga?
Svar:
Endast den information som du vill att alla ska kunna lyssna på. I allmänhet ”nej”, men om en VPN används för att koppla ett system under en brandvägg till ett system utanför brandväggen kan brandväggen inte upprätthålla en organisations säkerhetspolicy utöver anslutningsrestriktioner.
Fråga 8: Används VPN-tjänster endast i särskilda tillämpningar eller miljöer? Om så är fallet, vilka är några exempel på var och varför VPN-tjänster kan användas?
Svar:
VPN bör användas för alla dataöverföringar. Jag vill inte behöva ”gå krypterad” när jag skickar något känsligt. Allt måste vara krypterat. Det borde vara lika vanligt som att privatpersoner skickar brev i förseglade kuvert. Den kommer också att kontrollera om VPN-mekanismen fungerar.
Vilka kryptofrågor är viktiga i Vpn-sammanhang?
Svar:
Företag som förstår användningen av krypto för sekretess i elektroniska dokument inser också behovet av dataåterställning i nödsituationer.
Det är välkänt att det krävs någon mekanism för att återskapa krypterade filer som ägs av en enskild person, av individen, eller av ett företag, av företaget, i affärs- eller brottsbekämpande syfte, oavsett om detta sker genom att lagra en enskild persons privata nyckelinformation, kryptera den med en betrodd tredje parts nyckel eller lagra alla nycklar som använts för att kryptera alla dokument.
Genomförandet av förordningen kräver återvinning av sessionsnycklar som används för att kryptera en nätverksanslutning. VPN-tjänster måste använda den bästa kryptering som är tillgänglig och praktiskt genomförbar med tanke på driftsmaskinen. Svag kryptografi (t.ex. en nyckellängd på 40 bitar) måste undvikas till varje pris.
Fråga 10: Vilken typ av prestandaproblem ger Vpn upphov till?
Svar:
Kryptering kräver mer processorkraft än överföring av klartext. Det märks mest på mobila datorer som levererar stora mängder data, t.ex. en PowerPoint-presentation, via en uppringd telefonförbindelse. Kryptomotorer för maskinvara bör användas i brandväggar och andra serversystem. Det finns inga prestandaproblem med dem. Denna funktion för mobila datorer kommer, tror jag, att överföras till PC-kort med kryptomotorer. När kommer detta att ske? Under de kommande 18 månaderna.
Fråga 11: Vilka är marknadens viktigaste aktörer?
Svar:
Aventail är marknadsledande inom denna kategori. Alla de viktigaste tillverkarna av brandväggar och routrar är också inblandade. Timestep och V-ONE är populära bland kunderna.
Fråga 12: Vilka är några svåra frågor att ställa till leverantörer av Vpn-produkter?
Svar:
Många leverantörer hävdar att de är IPSEC-kompatibla. Det verkliga kriteriet bör vara ”lista de ytterligare objekt som ni kan kommunicera med”. En konsument bör också vara medveten om hur automatiserad nyckelutbytesmetoden är. Den skulle vara automatiserad i en idealisk värld – i en IPSEC-värld.
Hur mycket störningar orsakar det den typiska nätverksaktiviteten från en mobil dator?
