SSL-VPN oli aikoinaan mainio keksintö ja helpotti etäyhteyksien käyttöä. Nyt parikymmentä vuotta myöhemmin SSL-VPN-tuotteet ovat täynnä haavoittuvuuksia ja jatkuvien hyökkäysten kohteena. SSL-VPN on huono tekniikka ja turha riski, joka pitää poistaa käytöstä. Parempia vaihtoehtoja onneksi löytyy.
VPN-tekniikat kehitettiin 1990-luvulla internetin yleistymisen myötä. Ensimmäinen protokolla oli Microsoftin PPTP ja sitä seurasi kehittyneempi L2TP. IPv6-protokollan kehityksen yhteydessä määriteltiin IP-yhteyksien salaukseen ja autentikointiin IPsec-protokollaperhe, joka sisälsi useita menetelmiä ja kerroksia luottamuksellisuuden ja yhtenäisyyden varmistamiseksi. IPsec otti paikkansa nimenomaan yrityskäytössä, ja se on pitänyt pintansa lähes 30 vuotta. Vain parametreja ja ominaisuuksia on viilattu matkan varrella vastaamaan ajan tarpeita. Suosion salaisuus lienee hyvä standardointi, muokattavuus ja yhteensopivuus eri laitteiden ja valmistajien välillä.
2000-luvun alun IPsec-yhteydet olivat kömpelöitä käyttää ja konfiguroida. Maailma oli menossa selaimen päälle ja niinpä keksittiin, että liikenteen voisi tunneloida SSL-istunnon sisään. Lisäksi https-liikenne meni tehokkaasti läpi verkkojen palomuureista ja helpotti käyttöä missä päin tahansa. Etäyhteys voitiin tarjota selaimella käytettynä sovelluskohtaisesti portaalin kautta, mutta myös perinteinen verkkojen välinen tunnelointi toimi edelleen clientin avulla.
SSL-VPN:n synty ja tuho
2001 James Yonan kehitti oman avoimen koodin VPN-protokollan OpenVPN:n, kun tarvitsi yhteyttä kotiin matkallaan Aasiassa. Se hyödynsi TCP/UDP-yhteyksiä ja SSL-salausta, mutta vaati clientin. Samoihin aikoihin Neoteris kehitti IVE-tuotteen, joka muodosti VPN-yhteyden pelkän SSL:n ja selaimen avulla. Eipä aikaakaan, kun Netscreen oivalsi markkinaraon ja osti Neoteriksen 2003. Neoteriksesta alkoi SSL-VPN:n tunnetuin tarina, joka johtaa lukuisten yrityskauppojen kautta Juniperilta Pulse Secureen ja nykyiseen Ivantiin. Pulse Secure oli 2010-luvun suurin ja mahtavin SSL-VPN-tuote. Vuonna 2021 Pulse Secure myytiin nykyiselle omistajalle Ivantille.
Sijoitusyhtiöiden omistuksessa Pulse Securesta tuli huonosti ylläpidetty tuote ja varoittava esimerkki ohjelmistokehityksen laiminlyönneistä. Kiinalaiset hyökkäsivät Pulsen nollapäivähaavoittuvuuden kautta USA:n ja Euroopan valtionhallinnon organisaatioihin kesällä 2020. Se jälkeen SSL-VPN ja Ivanti onkin ollut jatkuvasti uutisissa uusista vakavista haavoittuvuuksista ja niiden kautta tapahtuneista kyberhyökkäyksistä. Ivantin SSL-VPN:ssä on ollut haavoittuvuus keskimäärin joka toinen kuukausi parin viime vuoden ajan.
Ongelmat kasaantuvat
Sama ongelma on ollut muillakin SSL-VPN-valmistajilla. Fortinet ja Citrix ovat olleet usein esillä, samoin Palo Alto, Cisco, F5, Sonicwall, Zyxel jne. Miksi kaikilla on niin paljon ongelmia juuri tässä teknologiassa? Yksi syy on se, että SSL-VPN on valmistajakohtainen toteutus, joka ei perustu mihinkään standardeihin. Valmistajat käyttävät koodissaan eri kirjastoja, joista osa on haavoittuvampia kuin toiset. Valmistajien välillä on myös eroja, miten hallintaliittymää paljastetaan internet-rajapintaan. Reverse-proxy-toiminto, ja yleensäkin prosessi, joka pyörii laitteen muistissa internetiin kytkettynä, on aina altis hyväksikäytölle. Koodin pitäminen kunnossa monimutkaisen SSL-VPN-komponentin kanssa näyttää olevan kaikille enemmän tai vähemmän ongelmallista.
Fortinet onkin hyväksynyt todellisuuden ja suosittelee nyt siirtymistä IPsec-VPN:ään. SSL-VPN on myös sen verran resurssisyöppö, että se poistetaan Fortinetin pienemmän pään muurien ominaisuuksista kokonaan. Varoituksia ja suosituksia on annettu jo paljon aiemminkin. CISA suositteli 2021 siirtymistä IPsec:iin tai vähintään koventamaan SSL-VPN-konfiguraatiota kunnolla. Norjan kyberturvallisuuskeskus antoi viime syksynä ohjeen luopua SSL-VPN:stä tämän vuoden loppuun mennessä. Samaan viestiin yhtyvät muiden maiden viranomaiset.
Mitä tilalle?
SSL-VPN on ollut kiva ja näppärä käyttää, mutta konepellin alta se on ollut pahasti ruosteessa. SSL-VPN:n on nyt aika jäädä historiaan. Tilalle on tullut Zero Trust -mallin mukainen verkkopääsyteknologia ZTNA, joka kuuluu yhtenä olennaisena toimintona SASE-pakettiin. ZTNA-palvelu toimii ylemmällä kerroksella irti verkosta välittäen sovellusyhteyden käyttäjälle. Verkkoyhteys ei muodostu ennen kuin käyttäjä on autentikoitunut. Yhteyksiä ei myöskään avata sisäänpäin, joten uhkapinta-ala pysyy pienenä. ZTNA tuo paljon uusia toimintoja käyttäjän, päätelaitteen ja käyttöoikeuksien jatkuvaan tarkistamiseen ja valvontaan monella tasolla, mikä lisää kontrollin tarkkuutta, yhteyden turvallisuutta ja käytön joustavuutta.
Toinen vaihtoehto on pysyä perinteisessä IPsec:ssä, jolloin ympyrä sulkeutuu siihen, mistä aikoinaan lähdettiin. IPsec-client on edelleen toimiva, joskin hiukan kömpelö, ratkaisu. Edellytyksenä on, että jollain muulla tavalla vahvistetaan etäkäyttäjien pääsy- ja käyttöoikeuksien tarkistusta ja käytön valvontaa. Omat VPN-gatewayt sisältävät aina haavoittuvuuksien ja hyväksikäytön riskin, joten niiden ohjelmisto pitää pystyä päivittämään nopeasti, kun haavoittuvuuksia ilmenee. SASE-pilvessä päivitys on valmistajan vastuulla ja luultavasti nopeammin tehty kuin itse ylläpidetyssä ympäristössä.
Onko ZTNA:n myötä sitten mikään on oikeasti muuttunut? Tekniikka on kehittyneempää ja hienostuneempaa, kontrolli tarkempaa ja sen voi ostaa SaaS-palveluna. ZTNA-ratkaisussa on kuitenkin samoja piirteitä kuin SSL-VPN:ssä aikoinaan. Aika näyttää miten SASE:n ja ZTNA-komponentin sovelluskoodi kestää aikaa. Kokonaan pyörää ei ole keksitty uudelleen, sillä edelleen sama vanha IPsec on modernien SD-WAN- ja SASE-teknologioidenkin takana yhdistämässä verkkoja toisiinsa turvallisesti.
Blogin kirjoittaja
PS. Haluaisitko sähköpostiisi tietoa ajankohtaisista aiheista? Kiinnostaako turvallisuusratkaisut tai AI & data vai kenties digitaaliset palvelut? Voit tilata uutiskirjeen juuri sinua kiinnostavista teemoista. Meidän uutiskirjeessä on Loihdetta!
