近段时间以来,收到反馈想让我讲讲接入技术的呼声一直很高,而且确实随着政策、疫情、攻防演练、业务发展、安全态势等多方面的影响,企业对于接入安全也越来越重视。
而安全业界而言,零信任理念近几年受多方加持越来越火热,不论各家的零信任如何包装粉饰,接入技术也是其无论如何也跳脱不开的基本线。
RemoteAccessTech系列不会讨论零信任理念本身,但是会尝试将远程接入技术拆开来尽量给大家讲清楚。
3.6、SSL VPN3.6.1、The King of Point-to-Site书接上文:
如果将时间点放到今天,我们可以毫不犹豫作出如下说明:
1)、IPSec从问世至今,在Site-to-Site组网场景中,已经很好地证明了自身的价值。但是IPSEC在Point-to-Site场景中,实际应用并不广泛。
2)、那么在Point-to-Site场景中,当之无愧的VPN王者是谁呢?
答案是:SSL VPN,The King of Point-to-Site。
3.6.2、什么是SSL VPN可参考:https://fr.wikipedia.org/wiki/SSL_VPN 上的定义,SSL VPN(安全套接字层虚拟专用网络)是一种在传输层安全性[1](TLS)之上工作的VPN[2],可通过Web浏览器[3]或重型客户端[4](OpenVPN[5],AnyConnect[6])访问,允许https[7]登录。它允许用户使用正确的Web浏览器或客户端从任何计算机建立与Intranet[8]的安全连接。
简而言之,所有通过SSL协议进行加密传输的VPN即可称之为SSL VPN,这也是它显著有别于 GRE、IPSEC等VPN关键特征点。
最初的SSL VPN,其实是指纯web、免客户端(clIEntless)的VPN,其实现原理为HTTPS反向代理,主打是避免繁琐的客户端安装过程。
在清华大学出版社于2005年出版的《网络安全: 技术与实践(第1版)》一书中,曾如此描述SSL VPN:大多数SSL VPN都是HTTP反向代理,这使得它们非常适合于具有web功能的应用,只要通过web浏览器即可访问。 如下图:
那么问题来了,IPSEC VPN设计之初,同时考虑了Site-to-Site和Point-to-Site两大场景。
但是IPSEC VPN缘何败走Point-to-Site呢?
如果将时间点放到今天,或许我们会很容易地基于IPSEC和SSL VPN的差异对比,给出一些原因,比如:
1)、相比IPSEC,SSL VPN支持良好的权限管理、支持良好的用户身份对接,可基于RBAC权限模型,实现细粒度、灵活的权限管理
2)、相比IPSEC,SSL VPN认证对接能力更多样、能力更强,体验更好,更适合于多种接入人员身份的不同安全要求和体验要求
3)、IPSEC在复杂网络环境下,比如NAT环境适应性较差,而SSL VPN适用于各种复杂网络环境。
4)、IPSEC客户端安装复杂,体验差;而SSL和浏览器兼容较好,访问web时无需客户端,只有访问复杂CS应用时才需要下载客户端。
但很不幸的是,上述其实并不是真正的原因,这只是多年发展后的结果而已。
简单分析:
1)、IPSEC为什么不支持细粒度、灵活的权限管理?是因为Point-to-Site终端远程接入场景下,各厂商的IPSEC都已经躺平了,明确IPSEC主要用于Site-to-Site组网场景,用不着。并不是不能做,而是没有必要、没有动力去做。
2)、IPSEC为什么认证对接能力相比稍弱?和上面一条是同样的原因,Site-to-Site场景用不着太多样。
这就像是两个小车厂同时造客货两用的车(比如说面包车),随着两个车厂的多年发展,最后A车厂发展成了货车厂,服务于货运行业;B车厂发展成了小汽车厂,服务于家用。
然后现在对比,为什么货车不适用于家用出行?显然不适合,因为两者核心定位不同啊。
非不能也,实不为也。
这让人不禁感叹:懒惰的人类啊,我们如果不多加思考,就容易步入以果为因的陷阱。
那又是什么原因,导致IPSEC在Point-to-Site逐步走向躺平、不为,然后产生当前结果的呢?
以笔者浅见,大致有如下原因:
1)、早期阶段,体验有落差:标准的IPSEC VPN可以通过操作系统内置的client进行接入,但配置步骤非常复杂。后续多数厂商会通过推送厂商独有的client来实现接入,但是安装体验仍然较差。
而SSL VPN主打的是WEB资源,以浏览器为端,实现无端(clientless),所以早期入口抢占上,SSL VPN胜。
2)、IPSEC VPN基于IP层设计过于底层,修改不易且早期网络适应性差:由于IPSEC是基于IP层的VPN协议,过于底层,在早期协议设计上,对于NAT、多层NAT等环境均不适应,后续才慢慢补充NAT支持;另一方面,是IP层协议对底层网络设备依赖严重,修改协议相对困难
3)、IPSEC VPN受RFC强标准桎梏:上面提到,本身基于IP过于底层,修改困难;同时又受RFC强标准牵制,反应慢一拍,错过了黄金发展时期。
3.6.3.1、IPSEC VPN的PC端连接配置体验展示1)、使用windows 7内置IPSEC客户端的连接配置体验
可参考 https://service.tp-link.com.cn/detail_article_725.html , 在windows7上配置,共需要超过9个UI界面,选择、配置超过10个。可以看出,内置ipsec client并非一个良好的连接体验。
