1. Czy MPLS (Multi-protocol Label Switching) jest dobrym kierunkiem?

Dla wielu sieci korporacyjnych odpowiedź będzie brzmiała - zdecydowanie tak. VPNy oparte o MPLS od dawna odbierają rynek technologii frame relay, a wg Vertical Systems Group w przeciągu następnych 18 miesięcy połączeń MPLS będzie znacznie więcej, niż frame relay (przynajmniej w USA). Do roku 2011 liczba MPLS'ów przekroczy milion. To z kolei oznacza, że rozbudowujące się organizacje w wielu przypadkach zachęcane przez swoich dostawców będą kupowały połączenia MPLS do przyłączania nowych lokalizacji. Jak mówi Rosemary Cochran, analityk z Vertical Systems Group, wiele firm trochę zmusza się do migracji z frame relay, ponieważ dostawcy usług internetowych przechodzą na MPLS. To powoduje, że liczba łączy frame relay stopniowo maleje. W skali świata, przychody z usług MPLS osiągnęły poziom 13 miliardów dolarów, co wg firmy Infonetics stanowi 20% wzrost.

Powodów takiego stanu rzeczy jest kilka. VPN'y MPLS oferują połączenia typu "mesh", a więc każda lokalizacja może połączyć się z każdą inną. Osiągnięcie tego samego rezultatu we frame relay oznacza poniesienie wysokich kosztów na wprowadzenie wirtualnych obwodów. MPLS pozwala klientom zmniejszyć poziom skomplikowania instalacji oraz ograniczyć koszty. MPLS oferuje także QoS (Quality of Service) na wielu różnych poziomach. Dzięki temu klienci w zależności od krytyczności ruchu mogą wykupić tańsze lub droższe połączenia.

Sprint (amerykański operator) ogłosił niedawno, że rozpoczął instalację 40Gb optycznej sieci szkieletowej, aby sprostać zapotrzebowaniu na pasmo wynikające z rosnącej popularności usług MPLS i ruchu internetowego.

2. Czy VPN'y MPLS pozwolą mi zaoszczędzić wydatków?

Prawdopodobnie nie. Jak mówi Cochran, jeżeli frame relay zostanie wymienione na MPLS koszt linii może faktycznie spaść, ale nie cena usługi: "Kiedy firmy dokonują takiej transformacji cena usługi może się nie być niższa, za to wzrosną możliwości połączenia większej liczby lokalizacji oraz elastyczność zarządzania siecią. Nie obserwujemy jakiegoś radykalnego obniżenia kosztów po przejściu na MPLS, ponieważ wykorzystane zostają połączenia T-1 i zaczynamy dokładać kolejne funkcjonalności jak bezpieczeństwo, zarządzanie, głos."

Według Nemertes Research koszt łącza T-1 w USA to ok. 435 dolarów miesięcznie, ale wykorzystanie innych metod dostępu może sprawić, że cena ta zdecydowanie spadnie. Dla przykładu New Edge Networks oferuje usługę DSL jako nośnik dla MPLS proponując pięć poziomów QoS oraz SLA klasy biznes już za 240 dolarów miesięcznie. Gwarancja czasów naprawy oraz symetryczność przemawiają, co prawda za łączami T-1, ale różnica w cenie może być warta rozważenia takiego kompromisu.

Jak mówi główny analityk firmy Infonetics Michael Howard, firmy lubią takie usługi, ponieważ w stosunku do swoich konkurentów takich jak frame relay czy ATM, oferują szersze pasmo nie powodując wzrostu wydatków na łącze WAN. To zachęca klientów do poszerzania pasma kupowanego pod kątem MLPS VPN ponad możliwości oferowane przez T-1.

Według Rosemary Cochran klienci starają się oszczędzać stałe miesięczne wydatki budując własne VPN'y MLPS i szukając przepustowości za godziwą cenę: "Firmy nie są ograniczone do jednego dostawcy i mogą wykupić różne łącza dla każdej ze swoich lokalizacji, a następnie zestawić połączenia w oparciu o swój własny sprzęt i oprogramowanie".

3. Czy mam budować własny VPN?

Wiele firm udziela odpowiedzi "tak", ale wówczas trzeba być przygotowanym na poświęcenie czasu no i posiadać odpowiedni poziom wiedzy eksperckiej.Według pani Cochran, znacznie więcej połączeń WAN budowanych jest w oparciu o samodzielnie zestawione kanały VPN, niż o usługi MPLS VPN. Firmy kupują własny sprzęt i podpinają go do łącza pochodzącego od dowolnego dostawcy. Może się więc zdarzyć, że we własnym zakresie w każdej lokalizacji instalowany jest i konfigurowany sprzęt MPLS, choć jest to podejście dosyć kosztowne. Znacznie częściej wykorzystywany jest sprzęt zgodny z IPsec często pełniący jeszcze dodatkowe funkcje (jak np. zapora ogniowa).

Tak, jak mówiliśmy podejście "zrób to sam" wymaga czasu, wiedzy, a więc także nakładów na szkolenia. Bez tego późniejsza diagnoza problemów, których przecież nie da się uniknąć będzie koszmarem. Może się też zdarzyć, że nie będziemy w stanie samodzielnie rozwiązać problemu - co stawia pod znakiem zapytania sensowność takiego podejścia.

4. Jaką technologię wybrać do nawiązywania połączeń VPN przez pracowników zdalnych - SSL czy IPSec?

SSL. Niemalże we wszystkich przypadkach SSL VPN może być zestawiony w taki sposób, aby świadczyć dostęp o poziomie analogicznym do oferowanego przez IPsec. SSL oferuje także więcej możliwości. SSL VPN oferuje bezpieczny dostęp na poziomie aplikacji korzystając z funkcji dostępnych w większości przeglądarek internetowych. To oznacza, że nie ma potrzeby dystrybucji oraz utrzymywania oprogramowania klienckiego. Ograniczeniem jest to, że przeglądarki mają dostęp jedynie do aplikacji webowych. Ale i na to jest recepta. Możliwe jest przesłanie do klienta (wszystko z poziomu przeglądarki) odpowiedniego pluginu w postaci apletu Javy lub kontrolki ActiveX, który zatroszczy się o utworzenie połączenia na poziomie sieci o właściwościach zbliżonych do IPsec. Cały czas nie wymaga to ręcznej dystrybucji specjalizowanego oprogramowania klienckiego - applet/kontrolka nie wymaga od użytkownika podejmowania dodatkowych działań.

SSL pozwala także na znacznie bardziej szczegółowe określenie zasobów, do których użytkownik będzie miał dostęp. Podczas, gdy IPsec daje pełen dostęp do sieci, SSL potrafi go ograniczyć do określonych aplikacji. Jeżeli użytkownik potrzebuje dostępu jedynie do aplikacji webowych, wówczas jedynym oprogramowaniem, które musi być zainstalowane na stacji jest przeglądarka. To oznacza, że może się łączyć z domu, komputera kolegi czy kawiarni internetowej.

Według analityka firmy Garnter Johna Girarda rozwiązania SSL VPN wypierają IPsec'a ponieważ są prostsze w użyciu zarówno dla pracowników, partnerów biznesowych, jak i kontraktorów czy emerytowanych wspólników. Sprzedaż rozwiązań SSL VPN pomiędzy połową 2006 i połową 2007 roku wzrosła o 43% osiągając wynik 340 milionów dolarów. Szacuje się, że ten wzrost będzie się utrzymywał, choć nie na takim poziomie. Inne badania prowadzone przez IDC mówią, że przychody ze sprzedaży rozwiązać IPSec VPN w roku 2007 spadły o 9,8%. Jednocześnie sprzedaż SSL VPN w tym samym czasie wzrosła o 18,2%.

Klienci najczęściej jednak korzystają z obydwu technologii. Sprzedaż rozwiązań hybrydowych SSL/IPsec jest co prawda niższa, ale rośnie szybciej niż sprzedaż dedykowanych rozwiązań IPsec czy SSL. Według IDC patrząc na rynek topowych sprzedawców zintegrowanych rozwiązań VPN (tzw. appliance'ów) kolejność przedstawia się następująco: Cisco, Juniper, Nokia, Safenet oraz Alcatel-Lucent.

5. Czy VPNy nadają się do VoIP?

Tak. VPN'y MPLS mogą zapewnić odpowiednio wysoką jakość usług, a co za tym idzie są w stanie dostarczyć pakiety VoIP bez opóźnień. MPLS bardzo dobrze się skaluje. Nie powinno być więc problemu z nawiązywaniem połączeń VoIP pomiędzy poszczególnymi placówkami. Magazyn Network World przeprowadził testy, które wykazały, że stosowanie SSL VPN do obsługi ruchu VoIP over TCP faktycznie podnosi jakość głosu. Dzięki temu, że TCP porządkuje pakiety i przesyła ponownie te, które zostały zagubione możliwa jest poprawa jakości połączeń. Jeżeli tylko szerokość pasma jest odpowiednia aby pomieścić kanał VoIP oraz ponownie transmitowane pakiety, to jakość powinna być wyższa.

Wykorzystanie VPN rozpościera także parasol bezpieczeństwa nad VoIPem przy połączeniach realizowanych po łączach zarówno bezprzewodowych, jak i tradycyjnych. Uniemożliwia to podsłuchiwanie rozmów. VPNy stosuje się także do ochrony przesyłu danych ze smartphone'ów czy PDA, włączywszy w to iPhone'a - chociaż zarządzanie taką konfiguracją w dalszym ciągu pozostawia wiele do życzenia.

6. Czy mogę wykorzystywać VPN'y w środowiskach wirtualnych?

Zdecydowanie tak. Co więcej, stosowanie takiego rozwiązania może przyczynić się do podniesienia poziomu bezpieczeństwa VPN'ów.

Wielu dostawców ma ofercie specjalne wersje oprogramowania VPN przeznaczonego właśnie do uruchamiania na serwerach wirtualnych. Z biznesowego punktu widzenia takie podejście jest jak najbardziej uzasadnione - wirtualizacja serwerów pozwala przecież na zmniejszenie liczby urządzeń, a co za tym idzie zmniejszenie poboru energii.

Według firmy VMware stosowanie maszyn wirtualnych do ustanawiania połączeń VPN przez komputery zdalne może podnieść poziom bezpieczeństwa VPN'ów. Użytkownicy mogą konfigurować zdalne pulpity wirtualne w taki sposób, że muszą uzyskiwać dostęp do zasobów korporacyjnych poprzez bramę VPN. W tym samym czasie maszyna fizyczna, na której pracuje wirtualny pulpit może być odcięta od dostępu do tego kanału.

A zatem to maszyna wirtualna jest jednostką, która nawiązuje połączenie. To sprawia, że np. kod złośliwy kompromitujący maszynę fizyczną pozostaje na niej i nie może przedostać się do sieci korporacyjnej kanałem VPN. Polityki maszyn wirtualnych mogą ograniczać wirtualne pulpity tak, że mają one dostęp jedynie do VPN'a, co odcina je od ataków pochodzących spoza środowiska VPN. VMware mówi, że izolujemy maszynę wirtualną od wszystkiego, poza korporacyjnym serwerem VPN.

Co więcej, polityki maszyn wirtualnych mogą wymuszać szyfrowanie danych w wirtualnej maszynie i blokować wydostanie się danych poza nią. Według VMware'a polityki wygasania (expiration policies) również mogą wpłynąć na poziom bezpieczeństwa VPN'ów. Jeżeli np. kontraktor ma dostęp VPN do zasobów korporacyjnych poprzez wirtualny pulpit na swojej własnej maszynie, to maszyna wirtualna może być skonfigurowana tak, żeby po upływie określonego czasu dostęp został odcięty.

***

Na podstawie materiałów IDG.