Защитни алтернативи на VPN

Networkworld България - брой 1, 2003 г. / Съдържание

Корпоративните потребители, които търсят бърз и сигурен начин да се свържат с отдалечени служители и бизнес партньори, откриват, че има различни начини да се избегнат традиционните IP Security базирани VPN и вместо това инсталират продукти и услуги, използващи технологията Secure Sockets Layer (SSL). Дали наистина SSL заменя IP Security не подлежи на дебат, казват експерти, тъй като SSL е много добро допълнение към IPSec при отдалечения достъп. Затова въпросът е как да прецените дали SSL достъпът ще задоволи вашите конкретни потребности. Първата отправна точка е да определите какви точно са нуждите ви. Ако имате малко на брой крайни клиенти, които просто се нуждаят от достъп до Web базирани приложения или до програми с Web интерфейси, повечето SSL продукти ще се справят. Ако имате хиляди крайни станции, на които им трябва достъп до клиент/сървър приложения, които нямат Web интерфейс, тогава внимавайте с избора. В зависимост от това дали нараства търсенето на пълен достъп до мрежовите ви ресурси, може да се наложи да отидете и към IPSec VPN. Играчите Има доста SSL алтернативи, от които да избирате. Сред тях са Netilla, Neoteris, Aventail, Rainbow Technologies, OpenReach, Ingrian, Aspelle, SafeWeb. Въпреки това, според Infonetics Research, продажбата на подобно оборудване през последното тримесечие не надхвърля $5 млн. Но Gartner прогнозира, че до 2004 60% от корпоративните потребители ще ползват SSL за отдалечен достъп, поне за даден период от време. SSL алтернативата е привлекателна, тъй като не изисква отдалечен клиент, а само стандартен Web браузър, който вече е зареден на компютъра. По този начин отпада необходимостта да инсталира, управлява и поддържа клиентски софтуер. Простотата на SSL води до лесна инсталация и спестени в дългосрочен аспект разходи, тъй като поддръжката е много лесна. Но браузърът и неговите SSL възможности само осигуряват достъп до Web базирани приложения. Тези програми и Web интерфейсите за по-старите приложения вече преобладават в корпоративните ИС. Клиентите, които искат достъп до друг софтуер обаче, няма да се справят само с браузър. За да решат проблема, производителите на SSL отдалечен достъп пишат интерфейси между старите приложения и SSL.В някои случаи това изисква зареждане на SSL клиент на отдалечената машина, който да изпълни тази интеграция. Aventail например е създала банка от не-Web приложения, които се поддържат през нейния Connect клиент. Други като Neoteris изпращат Java аплети, които се стартират като локално прокси между приложението клиент на отдалеченото PC и SSL. Това може да изисква от потребителите да проверят дали производителят на SSL отдалечен достъп поддържа Java софтуер на своите отдалечени PC-та. Ако не, аплет клиентите няма да работят. Check Point Software и Nortel, два от големите IPSec производители, наскоро обявиха навлизането си на SSL пазара. Според експерт по сигурността обаче, ще мине известно време, преди компаниите да успеят да поддържат и не-Web приложения. Зареждането на аплети отнема време и може да забави сесията за отдалечен достъп и дори да отложи отделен SSL обмен, докато се стартира аплетът. Реверсното прокси изисква голяма компютърна мощ, но благодарение на новите по-бързи процесори това забавяне ще става все по-незабележимо. Управляващи клиенти Някои потребители не мислят да добавят SSL прокси клиент към своите отдалечени машини, ако някой друг ги управлява. Deloitte Consulting например използва SSL услугата на Aventail, тъй като тя осигурява отдалечен достъп до стари приложения, без да се налага Deloitte да внедрява, обновява и управлява клиентите. Освен поддръжка на приложенията потребителите могат да поискат сигурна автентификация на клиентите, които получават достъп до корпоративната мрежа през SSL. Сигурността е критичен фактор, например при достъп до банкови БД, медицински картони и др., а освен това в много страни правителствата задължават компаниите да вземат всички мерки тези данни да останат конфиденциални. Автентифициращи методи Производителите предлагат широк набор от технологии за автентификация от потребителско име и парола до т.нар. токъни (tokens - устройства за генериране на еднократни пароли), някои работят и с биометрични системи за сигурност. Заради повсеместното вграждане на SSL в браузърите, потребителите трябва да са сигурни, че те ползват надежден автентифциращ метод, смята консултантът Кент Далас. Според него минимално условие е клиентите да измислят трудноразгадаеми пароли. Според аналитик от Meta Group потребителите трябва да видят колко едновременни SSL сесии поддържа продуктът. Много компании заявяват, че предлагат хиляди до десетки хиляди сесии, но клиентът трябва да се увери дали купува кутия с достатъчно "конски сили". Проверете също какво се разбира под думата сесия. За някои това е сесия на отдалечен клиент с приложение, защитавано от SSL, което обаче може да включва няколко индивидуални SSL сесии. За други това е броят на SSL сесиите, които са пуснати във всеки момент, независимо колко потребителя поддържат. Вторият метод дава по-голямо число. Отговорете си на тези въпроси, преди да се втурнете да опитвате SSL базирани схеми за отдалечен достъп.

Приложения :	Поддържа ли производителят не-Web приложения, до които вие искате да имате достъп?
Клиент:	Изисква ли не-Web достъпът клиентски софтуер или подобна програма, осигуряваща всяка сесия през Java?
Сигурност:	Използва ли производителят предимствата на SSL да ограничава за какви ресурси се оторизира потребителят по-добре, отколкото го прави IPSec?
Оторизация:	Може ли продуктът да проверява съществуващите директории и сървъри за автентифициране на потребители, вместо да се разчита на отделни списъци?
Мащабиране:	Поддържа ли устройството достатъчно на брой едновременни SSL сесии, така че да посрещне изискванията на клиентите?
Управление:	Ще управлява ли доставчикът вашето SSL устройство?
Стабилност:	Финансово стабилна ли е компанията в дългосрочен аспект?

SSL респектира IPSec доставчиците Един от големите производители на VPN продукти Check Point Software обяви, че ще поддържа тази технология, разчитаща на стандартни браузъри. Компанията заяви, че софтуерният пакет, пуснат през септември, ще осигурява отдалечен достъп както през браузъри, така и чрез IP Security (IPSec) и ще изисква само един отдалечен шлюз за достъп вместо два за тези бизнес поделения, които искат да предложат различен начин за достъп до своите мрежи. SSL отдалеченият достъп е алтернативен начин за използване на вградената в повечето Web браузъри SSL поддръжка, с чиято помощ се създават криптирани сесии между отдалечено PC, свързани към Интернет, и сървър зад корпоративна защитна стена. Технологията премахва необходимостта да се инсталира отделен софтуерен клиент на отдалеченото PC, какъвто е случаят при IPSec VPN. Браузърът изпълнява ролята на клиент. При някои компании като Check Point например, SSL осигурява достъп само до Web-съвместими приложения и файлови трансфери. Други като Neoteris поддържат и приложения, които не са "готови" за Web. "Тези продукти не правят просто Web прокси, те правят прокси на всеки TCP или UDP порт, обяснява анализатор от The Yankee Group. Доставките в света на устройства за SSL отдалечен достъп са на обща стойност под $1 млн. за първото тримесечие на 2002 г., но Infonetics прогнозира, че към края на 2002 г. този пазар е достигнал над $60 млн. Според компанията 143% е средногодишният ръст на продажбите през следващите 4 години. Check Point наричат новата си SSL функция "Clientless" VPN. Тя е вградена във версията Service Pack 3 на нейния сървърен софтуер. Check Point добави също и поддръжка за Microsoft VPN клиент, доставян заедно със стандартния софтуер на Microsoft за настолни компютри. Тъй като Microsoft VPN поддръжката се базира на IPSec и Layer 2 Tunneling Protocol, а не на SSL, функцията е подобна на браузър базирания отдалечен достъп и не изисква инсталиране на допълнителни програми на отдалеченото PC. Ако машината има Windows ОС, тя вече поддържа и VPN. Nortel ускорява SSL, подсигурява VoIP и WLAN Като част от обединената платформа за сигурност Nortel представи два нови продукта - Alteon SSL 410 за SSL екстранет мрежи и Contivity Secure IP Services Gateways за рутиране на "чист" текст. Alteon SSL 410 генерира SSL екстранет чрез управление на потребителски SSL сесии и прокси приложения. Продуктът е насочен към средни и големи предприятия като алтернатива на традиционните IP VPN. SSL 410 е по-ефективен от други варианти като Apache Web сървър например, който обслужва страници през SSL, твърдят от Nortel. SSL 410 може да извърши по 2000 транзакции в секунда, като поддържа 16 000 текущи сесии, всички чрез фоново криптиране. Alteon SSL 410 също осигурява автентификация на потребителите и усъвършенствано филтриране, което може да бъде използвано за екстранет мрежи и контрол на достъпа до приложения, като инициира SSL сесии с отдалечени потребители. Устройството "пасва" на широк кръг от бизнес клиенти, включително за е-търговия, информационни центрове и оператори. Корпоративните потребители печелят от подобрената сигурност и по-голямата гъвкавост, казват от Nortel. Alteon SSL 410 може да консолидира ключове и сертификати, което улеснява управлението и конфигурирането, а интранет приложенията работят с безжични устройства като Web съвместими мобилни телефони и джобни компютри.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!