Rozproszone problemy
- 06.09.2004
Ze względu na swoją naturę sieci rozległe zawsze będą wyzwaniem dla architektów i administratorów systemów informatycznych. Dzięki coraz to nowym innowacjom niektóre z problemów można będzie wkrótce rozwiązać łatwiej niż dotychczas.
Ze względu na swoją naturę sieci rozległe zawsze będą wyzwaniem dla architektów i administratorów systemów informatycznych. Dzięki coraz to nowym innowacjom niektóre z problemów można będzie wkrótce rozwiązać łatwiej niż dotychczas.
Współczesne problemy z sieciami WAN koncentrują się w dużej mierze na sprawach związanych z bezpieczeństwem. Zagadnienia, które zaprzątają sporą część czasu administratorów sieci WAN, to m.in. bezpieczeństwo zdalnego dostępu pracowników do firmowych zasobów, bezpieczeństwo wymiany danych pomiędzy centralą firmy a oddziałami terenowymi, a coraz częściej także bezpieczeństwo wymiany danych z partnerami biznesowymi.
Drugim obszarem problemów jest optymalizacja wykorzystania firmowej infrastruktury WAN, na której utrzymanie firmy wydają zazwyczaj więcej niżby sobie życzyły. W pojęciu optymalizacja mieści się wiele różnych zagadnień. Nie tylko zarządzanie pasmem i priorytetami, ale wszystkie kwestie mające wpływ na koszty, a więc architektura i sposób dystrybucji aplikacji oraz oczywiście zabezpieczanie danych.
Ku uniwersalnej platformie
Wiele problemów z komunikacją w ogóle, a później także z bezpieczeństwem sieci miało swoje źródło w ograniczonej współpracy pomiędzy poszczególnymi warstwami protokołów. Nie mogło jednak być inaczej, bo poszczególne warstwy komunikacji były zarządzane przez oddzielne aplikacje działające na oddzielnych i słabo, jeśli w ogóle, współpracujących ze sobą urządzeniach. Budowa sieci WAN dla bardziej wymagających aplikacji jest w takich warunkach utrudniona - ustalone "na sztywno" priorytety na poziomie TCP/IP niekoniecznie muszą być zgodne z priorytetami na poziomie protokołów aplikacyjnych. Potrzebna jest koordynacja.
Najlepiej nadają się wielofunkcyjne urządzenia spełniające rolę przełączników dla wszystkich warstw jednocześnie - od ramek MAC po komunikaty aplikacyjne i routing treści. Im więcej warstw urządzenie jest w stanie "inteligentnie" obsłużyć, tym większa elastyczność dla administratora i tym mniej kłopotów pojawia się podczas wdrażania w sieci kolejnych usług i aplikacji. Postęp w miniaturyzacji załatwia problem wydajności. Rozwiązania sieciowe obsługujące transmisję i sterowanie jakością usług w wielu warstwach jednocześnie oferuje coraz więcej firm i wkrótce staną się one standardem. Przy najbliższej rozbudowie sieci WAN warto sprawdzić, czy dotychczasowych kłopotów nie da się przypadkiem rozwiązać kompleksowo.
Trend, który rysuje się w dziedzinie zarządzania transmisją, widać także w dziedzinie zabezpieczeń sieciowych. Zapory działające jedynie w warstwie trzeciej odchodzą powoli w niebyt, a jeżeli są wdrażane, integrowane są z pozostałymi systemami zabezpieczeń jak systemy IDS/IPS czy zapory aplikacyjne. Nie ulega wątpliwości, że wszystkie te rozwiązania dążą do integracji w ramach jednej uniwersalnej platformy - tylko wtedy można mówić o rzeczywistych korzyściach funkcjonalnych w postaci kompleksowej analizy bezpieczeństwa - jednoczesnej analizy ramek MAC i wywołań ARP/DHCP, nagłówków protokołów TCP/IP oraz przenoszonych przez nie treści.
Komasowanie wielu rozwiązań w ramach jednej platformy sprzyja wydajności i niskim kosztom utrzymania. Takie argumenty słyszą od swoich klientów i w różnym stopniu implementują w swoich rozwiązaniach wszystkie firmy zajmujące się sprzętem i zabezpieczeniami sieciowymi.
Hybrydowe bezpieczeństwo
Dyskusja o zaletach, wadach dwóch popularnych metod bezpiecznego tunelowania ruchu sieciowego: IPsec oraz SSL/TLS trwa od wielu lat. Być może jednak wkrótce wcale nie trzeba będzie wybierać - pojawiła się bowiem firma łącząca zalety obu technologii w jednym spójnym rozwiązaniu. Dla porządku: rozwiązanie Hybrid VPN firmy Net6 nie jest złożeniem komponentów odpowiedzialnych za tunelowanie IPsec i SSL/TLS uruchamianych zamiennie - w zależności od potrzeby. Jego działanie opiera się na zachowaniu inicjacji połączeń za pośrednictwem TCP/IP, a następnie tunelowaniu ich w szyfrowanym kanale SSL. Efekty takiego połączenia są nadzwyczaj interesujące i należy oczekiwać, że podobne systemy zaprezentuje wkrótce więcej firm.
Inicjacja połączenia w warstwie TCP/IP umożliwia zdalny dostęp do dowolnej aplikacji bez konieczności wykonywania w niej jakichkolwiek zmian. Do tej pory był to jeden z koronnych argumentów na rzecz IPsec. IPsec jest jednak problematyczny - w wielu firmach, hotelach itd. sieci skonfigurowane są w taki sposób, by uniemożliwiać nawiązywanie połączeń IPsec do zdalnych sieci. Ponadto w wielu przypadkach pomiędzy klientem IPsec a serwerem VPN znajduje się zbyt wiele urządzeń, zwłaszcza zapór IP, których działanie praktycznie uniemożliwia nawiązanie stabilnego połączenia - nawet jeżeli nie jest to wbrew lokalnej polityce bezpieczeństwa. W przypadku łączenia się z sieci niegodnej zaufania oznacza to praktycznie brak poufności w komunikacji.
Rozwiązanie Net6 jest interesujące z jeszcze jednego powodu - instalacja klienta (lub nowej wersji) wymaga jedynie kliknięcia na łącze URL.