Introduzione
| Uno sguardo veloce |
| Prodotto |
Sonicwall SSL-VPN-200 (SSL-VPN 200)
|
| Sommario |
Gateway SSL VPN Entry Level con supporto a proxy SSL e connessioni tramite tunnel IPsec.
|
| Pro |
- Funziona sia con Internet Explorer che con Firefox
- Nessuna licenza per-utente
- Il client VPN supporta Vista
|
| Contro |
- Diverso throughput tra Locale > Remoto e Remoto > Locale
- Dopo 90 giorni bisogna aderire a un piano di supporto (a pagamento) per ottenere gli aggiornamenti del firmware
|
|
Abbiamo già dimostrato come la costruzione di una vostra VPN SSL e l'SSL-312 di Netgear rappresentino due soluzioni economiche per tutti quegli utenti SOHO / SMB che vogliono esplorare le alternative ai gateway VPN IPsec. Questa volta esamineremo un nuovo dispositivo, l'SSL-VPN 200 di Sonicwall.
Il 200 rappresenta il modello di base dei gateway SLL di Sonicwall, in grado di gestire al massimo dieci utenze collegate in contemporanea ma esistono anche le versioni 2000 e 4000 per gestirne rispettivamente 50 e 200. Diversamente dal solito metodo Sonicwall di gestione delle licenze per-utente, tutte le VPN SSL vengono distribuite con licenze per utenti illimitati. Se quindi volete spingervi oltre il limite specificato dalla casa madre siete liberi di farlo. Come vedremo più avanti, però, i limiti dichiarati sono ragionevoli se non addirittura un pochino ottimisti.
Questo dispositivo fornisce accessi remoti sicuri tramite due principali metodologie. Supporta Proxy per HTTP, HTTPS, FTP, SSH (V1 o V2), Telnet, RDP (tramite controllo ActiveX o applet Java), VNC e Windows File Sharing (Windows SMB/CIFS). I proxy forniscono accessi remoti a quei servizi tramite IE o Firefox, in esecuzione su qualsiasi sistema operativo. Per altre applicazioni basate su TCP/IP, è possibile utilizzare quello che Sonicwall chiama NetExtender e che descrive così:
NetExtender è un client SSL-VPN di Sonicwall che permette agli utenti di eseguire, sulla rete aziendale, applicazioni basate su TCP/IP in sicurezza. Si può scaricare liberamente e utilizza un'istanza Point-to-Point Protocol (PPP) per negoziare controlli ActiveX.
NetExtender controlla prima se il componente ActiveX è presente e, in caso contrario, permette all'utente di scaricarlo e installarlo. Successivamente, consente di stabilire una connessione alla rete remota tramite tunnel e di accedervi virtualmente per poterne montare i drive, caricare o scaricare file e accedere alle risorse così come se fossero sulla rete locale.
La custodia metallica del 200 è disegnata per il massimo della praticità, la parte inferiore è provvista di scanalature per il montaggio e ogni lato presenta molte aperture per l'aerazione. La Figura 1 mostra il posizionamento di indicatori e connettori.
Figura 1: SSL-VPN 200 - Pannello Frontale e Posteriore
La Figura 2 mostra come il 200 sia basato su una CPU proprietaria Sonicwall, aggiunta a una scheda Cavium XL Security Acceleration Board (il link apre un file pdf). La scheda tecnica delle specifiche Cavium dichiara una velocità di "prestazioni IPsec" pari a 200 Mbps e 1750 (1024 bit exp) SSL TPS (Transazioni Per Secondo). Anche se questi numeri sembrano impressionanti, tra poco vedremo come le prestazioni reali non siano così vicine a quelle dichiarate.
La pagina dello stato del 200 riporta 128 MB di RAM e 16 MB di Flash, dati uguali a quelli dichiarati per l'SSL-312 di Netgear. Tutte e cinque le porte Ethernet vengono gestite dal chip Micrel KSZ8995XA. Notate l'assenza di dissipatori che sembrano non necessari al raffreddamento dell'unità.
Figura 2: SSL-VPN-200 - Scheda interna (Cliccate sull'immagine per ingrandirla)
Installazione e configurazione
Fondamentalmente il 200 è configurato per una connessione "monca" (Figura 3): diversamente da un router che è dotato di porte WAN e LAN separate, il traffico scorre dentro e fuori l'unica porta X0, da collegare direttamente allo switch della LAN. Le quattro porte X1 esistono principalmente perchè lo stesso telaio viene utilizzato da Sonicwall anche per il firewall TZ150. É comunque possibile costituire una subnet separata dietro il 200 utilizzando queste porte e collegandoci client che potranno essere raggiunti solamente tramite l'applicazione.
Il 200 esce dalla fabbrica con l'indirizzo IP 192.168.200.1, quindi sarà necessario modificare l'indirizzo del computer che dovrà accedere alla sua interfaccia web di amministrazione (HTTPS).
Figura 3: SSL-VPN-200 - Schema delle connessioni
Dopo il login, comparirà la schermata System > Status (Figura 4). Navigando il manu System si potranno trovare opzioni per il server NTP (Time), per il salvataggio e il caricamento delle impostazioni di sistema e l'aggiornamento del firewall (Settings), l'elenco dei tentativi di accesso falliti (Administration), la generazione dei certificati di sicurezza (Certificates) e relativa gestione, vari strumenti di diagnostica (Diagnostics) e il riavvio dell'unità (Restart).
Figura 4: SSL-VPN-200 - Stato del Sistema (Cliccate sull'immagine per ingrandirla)
Una delle nostre prime fermate riguarderà la pagina Network > Interfaces, dalla quale si può cambiare l'indirizzo IP della porta X0 per farla combaciare alla LAN, come abbiamo fatto nella Figura 5.
Figura 5: SSL-VPN-200 - Interfacce di rete
Una sosta va anche fatta nelle pagine DNS e Routes, per poter configurare gli indirizzi IP del server DNS e del Gateway della nostra LAN. Non ci siamo preoccupati di definire gli host in Host Resolution, quindi abbiamo lasciato il valore pre-esistente "sslvpn". La schermata Network Objects permette di definire le combinazioni di servizi e indirizzi IP che potrebbero risultare comode più tardi, nel momento in cui si dovranno definire le policy di accesso. Dato che le nostre necessità sono semplici, non abbiamo modificato alcun parametro in questa pagina.
Ora tutto è pronto per l'aggiunta di un nuovo utente tramite la pagina Users > Local Users (Figura 6). Ci sono numerevoli opzioni a disposizione dell'amministratore per il controllo di ciò che può essere visto e fatto dagli utenti tramite il 200, e anche per il come e da dove è possibile autenticarsi nel sistema. Le opzioni includono definizioni di timeout, possibilità di aggiungere, modificare e cancellare i "Bookmarks" (di cui parleremo a breve) e la possibilità di permettere/negare policies basate su utenti, indirizzi IP, gruppi di indirizzi IP e altro ancora.
Da notare che le stesse opzioni di configurazione sono disponibili anche per i gruppi (Groups) e che inoltre, sia utenti che gruppi hanno policies globali, che possono essere modificate, aggiunte o cancellate ma non temporaneamente disabilitate.
Figura 6: SSL-VPN-200 - Utenze > Utenti Locali
Date un'occhiata a questa presentazione per vedere altre opzioni di configurazione del 200.
Una volta terminata la fase di definizione degli utenti, sarà possibile vedere il 200 in azione. Prima di poter accedere al 200 dall'esterno della LAN però, è necessario instradare la porta 443 (HTTPS) dal router verso l'indirizzo IP del 200 stesso, così come si farebbe per accedere a qualche server da Internet. Se volete usare il ridirezionamento automatico da HTTP a HTTPs, fate un forward anche della porta 80 (HTTP). Contrariamente alla descrizione contenuta nella Guida dell'Amministratore, nessuna di queste porte può essere cambiata per il 200.
In uso - Modalità Proxy
Cliccate su Log Out, la finestra del browser purtroppo si chiuderà, quindi riapritene un'altra e collegatevi al 200 utilizzando l'account user. Se tutto andrà bene, vi si presenterà la schermata "Virtual Office", riportata nella Figura 7. Virtual Office è un portale al quale gli utenti possono collegarsi per create e accedere a bookmark, file condivisi e sessioni NetExtender.
Figura 7: Pagina principale di Virtual Office (Cliccate sull'immagine per ingrandirla)
Sia il login che la pagina di apertura di Virtual Office possono essere personalizzate con un'immagine e un testo di vostro piacimento. É anche possibile decfinire cosa far apparire nella pagina principale, includendo proxy per la condivisione dei file, bookmarks o il link a NetExtender.
Molti servizi proxy sono accessibili tramite i "Bookmark" creati dagli amministratori e dagli utenti stessi (dipendentemente dalle policy definite precedentemente). Il collegamento a "putti", visto nella Figura 7, consiste nell'indirizzo IP di un sistema presente sulla nostra LAN e in un servizio proxy per la condivisione di file (SMB/CIFS). Cliccando sul bookmark si avrà accesso alla schermata mostrata nella Figura 8, contenente tutte le condivisioni presenti su quella macchina.
Figura 8: Collegamento in Virtual Office per 'putti' (Cliccate sull'immagine per ingrandirla)
Se volete un esempio migliore di ciò che è possibile fare coi bookmark, date un'occhiata a questo sito, contiene una demo dell'interfaccia SSL-VPN di Sonicwall (Figura 9); pazientate un pò però, perchè alcuni dei bookmark definiti nella demo hanno tempi di caricamento non proprio brevi. Consigliamo di aprire il sito utilizzando IE invece che Firefox, quest'ultimo infatti si blocca al lancio di molti collegamenti. Notate, infine, che l'opzione Citrix non è disponibile.
Figura 9: Sito della demo di SSL-VPN
NetExtender e altre funzionalità
Se le vostre necessità di accesso remoto sicuro non sono soddisfatte dall'uso di proxy e state usando Windows 2000 Professional, XP Home, Professional o 2000/2003 Server, potete provare NetExtender. Sonicwall lo dichiara compatibile anche con Vista se abbinato a IE 7 e se si accede al 200 come Amministratore (su dispositivi con firmware 2.0.X). La versione 2.1 del firmware, che dovrebbe vedere la luce nel secondo quadrimestre 2007, dovrebbe consentire l'installazione di NetExtender anche ai non-amministratori. A questo indirizzo troverete una FAQ con ulteriori informazioni per Vista.
Figura 10: Client NetExtender
Una volta collegati con NetExtender, verranno automaticamente assegnati al client un indirizzo IP e le informazioni di routing definite nella sezione NetExtender delle pagine di configurazione del 200. Il client remoto sarà quindi collegato alla LAN del 200 in sicurezza, proprio come sarebbe successo tramite un normale tunnel IPsec o PPTP. Notate le sessioni NetExtender attive possano essere esaminate dalla schermata NetExtender > Status, non è possibile terminarle manualmente.
Dato il risalto che Sonicwall ha dato alla funzione "One Time Password" nel materiale informativo che ci hanno mandato, abbiamo pensato di analizzane il funzionamento. Le nostre prove si sono però fermate nel momento in cui è stato richiesto di introdurre informazioni relative al server SMTP. Non ci è piaciuto il fatto di dover inserire l'indirizzo IP sel server invece del suo nome, ma il vero motivo per cui ci siamo dovuti fermare è la mancanza di qualsiasi sistema di autenticazione e, dato che al giorno d'oggi molti server di posta richiedono un minimo di autenticazione, riteniamo si tratti di una grave mancanza. Ci sarebbe anche piaciuto vedere un pulsante "verifica email", già presente in tanti altri dispositivi.
Le altre due caratteristiche di cui non abbiamo parlato molto sono la Log e l'Help Online. Le informazioni della Log sono limitate alla registrazione dei login e logout degli utenti e alle attivazioni di NetExtender e dei proxy integrati. Gli ultimi messaggi vengono inseriti nella parte superiore della pagina di log ed è possibile inviare l'intero contenuto del file ad un server syslog oppure ad un normale indirizzo email (premesso che possiate sistemare i problemi legati all'autenticazione su server SMTP). In questa presentazione troverete un esempio della schermata di log. L'Help Online è sensibile al contesto e abbastanza esauriente, ma richiede una connessione al sito help.sonicwall.com.
Prestazioni e conclusioni
Per misurare il throughput del 200 abbiamo utilizzato IxChariot, ma dato che non è supportato da nessun proxy, le misurazioni sono state misurate con NetExtender. Abbiamo testato la modalità consigliata "monca", con la singola porta x0 connessa allo switch della nostra LAN e un client collegato tramite NetExtender.
Dato che al client viene assegnato un indirizzo IP diverso rispetto ai normali indirizzi assegnati alla rete LAN, possiamo affermare con sicurezza che le prestazioni misurate riguardano il traffico che attraversa il 200 e non quello diretto da client a client. La Figura 11 riassume i risultati ottenuti dai test Locale > Remoto e Remoto > Locale.
Figura 11: SSL-VPN 200 - Throughput con NetExtender (Cliccate sull'immagine per ingrandirla)
Le prove sono state effettuate utilizzando lo script Throughput.scr di IxChariot, configurato per TCP/IP e trasmissione di file da 100.000 Byte; il risultato finale semba abbastanza variabile, con una media misurata di 4.1 Mbps. Eseguendo il test sul traffico in ciascuna direzione si ottengono risultati simili. Ci sembra strano vedere così grandi differenze tra il throughput in uscita e in ingresso, perciò abbiamo eseguito un'altra prova col client "Locale" collegato a una delle porte x1, ma i risultati non sono cambiati. Confrontando i nostri risultati con quelli ottenuti da Sonicwall, nonostante non abbiano avuto IxChariot a disposizione, si scopre che anche il metodo FTP da loro usato ha evidenziato una notevole differenza tra i throughput delle due direzioni.
Da notare che l'SSL312 di Netgear aveva un throughput migliore, di circa 6 Mbps e, più significativamente, offriva valori di throughput simili tra loro, sia in ingresso che in uscita.
Tirando le somme, ci aspettavamo che il 200 e l'SSL312 di Netgear fossero molto più simili che diversi. Nonostante entrambi supportino proxy e connessioni remote sicure, simili a VPN, ognuno ha i suoi punti di forza e le sue debolezze. Sonicwall ha un punto a suo favore nel suo client NetExtender, scaricabile con Mozilla, Firefox, Opera e Safari oltre che IE, mentre il download del client Netgear funziona solo con IE. Sonicwall è un altro passo avanti rispetto a Netgear anche per il supporto di Vista.
Il throughput troppo sbilanciato, gli alti costi e l'obbligo di sottoscrivere un servizio di supporto dopo i primi 90 giorni di utilizzo del dispositivo, potrebbero riequilibrare il match tra Sonicwall e Netgear (o qualsiasi altro concorrente), specialmente agli occhi di quei clienti non ancora pronti per il passaggio a Vista e che non hanno problemi ad utilizzare IE per lanciare tunnel VPN. (Il supporto "Dynamic 8x5" costa 105$ per 1 anno). Nessuno dei due prodotti è esente da difetti, la vostra scelta quindi, dipenderà essenzialmente da quali compromessi siete disposti ad accettare.
Guardate la presentazione.