Rozmyślania w tunelu

Tematem przewodnim kongresu Nokia Enterprise był zdalny dostęp do sieci korporacyjnych.

Tematem przewodnim kongresu Nokia Enterprise był zdalny dostęp do sieci korporacyjnych.

Nokia specjalizująca się dotychczas głównie w infrastrukturze dla sieci komórkowych coraz bardziej dywersyfikuje ofertę. W Warszawie odbył się kongres Nokia Enterprise, zorganizowany przez stosunkowo nowy, ale prężnie rozwijający się dział firmy, którego oferta jest skierowana do przedsiębiorstw. Pierwsza edycja była imprezą kameralną - pojawiło się na niej 50-60 osób. Współorganizatorem imprezy był Veracomp, dystrybutor produktów Nokii.

Uroki nowej platformy

Tematem przewodnim spotkania był zdalny dostęp do sieci korporacyjnych. Nokia od kilku lat produkuje specjalizowane rozwiązania sprzętowo-systemowe, na których są uruchamiane zapory firewall i bramy VPN, w tym przede wszystkim produkty firmy Check Point Software Technologies. Na kongresie Nokia oficjalnie zaprezentowała jednak kilka własnych rozwiązań. Najważniejsze z nich to samodzielnie opracowany serwer dostępowy o nazwie Nokia Secure Access System (NSAS), który jesienią ub.r. przechodził jeszcze testy Beta.

NSAS to rozwiązanie sprzętowo-programowe tunelujące ruch przy użyciu protokołu SSL, a nie IPsec, jak w typowych rozwiązaniach VPN. Nie jest to jednak jedynie prosta brama - Nokia poszła w kierunku rozwiązań typu port forwarding. W skrócie polega to na tym, że po stronie zdalnego klienta jest uruchamiany aplet Java, który nawiązuje bezpieczną komunikację z serwerem NSAS. Aplikacje działające na zdalnej stacji są tak konfigurowane, jakby wszelka komunikacja odbywała się za pośrednictwem portów lokalnych. Rolą apletu Java jest przechwytywanie tych wywołań i bezpieczne przekazywanie ich do serwera.

Nokia deklaruje, że NSAS może współpracować z dowolną aplikacją stale wykorzystującą te same porty TCP lub UDP. Oznacza to równocześnie, że NSAS nie nadaje się do zdalnego dostępu do systemów telefonii IP, one bowiem równolegle wykorzystują wiele różnych portów UDP.

Dylematy do rozstrzygnięcia

Koncepcja zdalnego dostępu do firmowych sieci za pośrednictwem tuneli SSL zdobywa popularność, mimo faktu, że rozwiązania oparte na IPsec są architektonicznie lepiej przygotowane do tego celu - działają na niższej warstwie OSI, mają mniejsze opóźnienia, pozwalają na łatwy dostęp do zasobów, nie mają ograniczeń na poziomie portów itd. Co zatem skłania użytkowników do zainteresowania rozwiązaniami SSL?

W rozmowach kuluarowych uczestnicy kongresu mówili, że IPsec działa dobrze w teorii. W praktyce zapewnienie bezpieczeństwa zdalnym użytkownikom i sieci firmowej bywa problematyczne. Jedna z uczestniczek, prosząca o zachowanie anonimowości, stwierdziła, że IPsec to rozwiązanie dla informatyków, a nie dla zwykłych użytkowników informatyki. "Problemy piętrzą się, gdy na jednej stacji roboczej trzeba zainstalować więcej niż jedną aplikację kliencką IPsec - w naszym przypadku Check Point i Nortel Net-works. Obie najwyraźniej sobie przeszkadzają, zarząd zaś twierdzi, że nie interesuje go wieczne rozwiązywanie problemów z komputerem. Właśnie dlatego SSL to dla nas potencjalnie użyteczne rozwiązanie" - mówi.

Inny uczestnik stwierdził, że jakkolwiek rozwiązanie Nokii bardzo mu odpowiada od strony funkcjonalnej, to ten sam poziom bezpieczeństwa można z powodzeniem osiągnąć za pomocą narzędzi open source. "Rozwiązanie bazujące na open source można dodatkowo wzmocnić mechanizmami kryptograficznymi, np. w postaci tokenów - na tym akurat nie warto oszczędzać" - twierdzi z przekonaniem.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200