Do firmy jak po sznurku

Rozwój technologii teleinformatycznych daje nowe możliwości komunikacji. Warto z nich skorzystać, bowiem w dzisiejszych czasach dostęp do informacji jest szczególnie istotny dla rozwoju firmy.

Rozwój technologii teleinformatycznych daje nowe możliwości komunikacji. Warto z nich skorzystać, bowiem w dzisiejszych czasach dostęp do informacji jest szczególnie istotny dla rozwoju firmy.

O ile w siedzibie przedsiębiorstwa informacja przetwarzana elektronicznie jest łatwo dostępna, o tyle poza siecią lokalną jest to z natury utrudnione. Historycznie pierwszym sposobem zdalnego połączenia było bezpośrednie połączenie modemowe. Obecnie łącza do Internetu są łatwo dostępne za rozsądne pieniądze i technika modemowego połączenia wdzwanianego coraz szybciej odchodzi do lamusa.

Dostęp wdzwaniany pozostaje w użyciu głównie do obsługi starszych central, zdalnego dostępu o szczególnym znaczeniu, a także do połączeń awaryjnych, które muszą działać także w razie awarii łącza internetowego. Do pozostałych zadań wykorzystuje się łącze do Internetu, zaś połączenie do sieci przedsiębiorstwa realizuje się poprzez Internet za pomocą różnych technologii wykorzystujących protokół TCP/IP.

Tunelem do firmy

Sun Secure Global Desktop łączy ze sobą różne technologie - wyświetlając aplikacje z wielu platform na jednym wirtualnym pulpicie

Sun Secure Global Desktop łączy ze sobą różne technologie - wyświetlając aplikacje z wielu platform na jednym wirtualnym pulpicie

Do sieci przedsiębiorstwa można się dostać za pomocą wirtualnych sieci prywatnych. Lwia część tuneli między sieciami jest realizowana za pomocą protokołu IPSec, który jest dość dobrze dopracowany i w większości przypadków zdaje egzamin. Typowe rozwiązanie zakłada instalację routerów obsługujących IPSec po obu stronach i skonfigurowanie tunelu między sieciami lokalnymi albo instalację stosownego klienta IPSec na kliencie mobilnym łączącym się z koncentratorem VPN w centrali firmy. Standardem stały się realizacje firm: Cisco, Check Point, NetScreen i Avaya. Są to bardzo dopracowane rozwiązania, przystosowane do wykorzystywania w dużych instalacjach. Oferują własne bądź współpracują z zewnętrznymi serwerami polis, dzięki czemu można nimi łatwo zarządzać. Niestety, są kosztowne.

Niskobudżetowe zapory, jak choćby firmy D-Link czy popularne za granicą tunele ActiveLane, są przystosowane do połączeń za pomocą PPTP i L2TP i sprawują się całkiem nieźle - pomijając wady typowe dla tych protokołów. D-Link posiada także komercyjnego klienta IPSec, znacznie prostszego i tańszego niż wymienione powyżej, ale działającego dość dobrze. Drugim co do popularności tunelem są połączenia SSL VPN, w których do szyfrowania używa się protokołu SSL lub TLS. Technologia ta jest powszechnie stosowana w połączeniach przeglądarek internetowych, jest dopracowana i sprawia mniej kłopotów mobilnym użytkownikom niż IPSec. Najczęściej używane w Polsce tunele SSL VPN to są rozwiązania firm Nokia, Juniper, a także wieloplatformowa aplikacja open source OpenVPN.

Tunel VPN jest dość prostym rozwiązaniem, możliwym do szybkiego wdrożenia w większości przypadków. Na rynku są dostępne rozwiązania darmowe (np. OpenVPN), są także takie, które wymagają po stronie klienta zaledwie przeglądarki internetowej (Nokia, Juniper, SSL-Explorer). Łącze VPN jest korzystne dla mobilnych użytkowników, bowiem komputery przenośne mogą posiadać tę samą konfigurację co w biurze.

Podstawowa zaleta łącza VPN (komputer połączony wirtualną siecią prywatną staje się częścią podsieci firmy) jest jednocześnie jego najpoważniejszą wadą, gdyż konieczne jest zapewnienie naprawdę solidnych zabezpieczeń połączenia oraz samego klienta. Zastosowanie restrykcji na zaporze jest niezbędne, zaś dwustopniowe uwierzytelnienie (np. tokenem) - wysoce pożądane.

Najczęstszymi problemami VPN są konflikty adresów IP między tunelem a siecią lokalną, z której właśnie korzysta użytkownik mobilny. Oprócz nich występuje trudna translacja niektórych realizacji VPN na zaporach sieciowych i częste blokowanie takich połączeń. SSL VPN wykorzystujący pojedyncze połączenie TCP/IP na stały port jest lepszy, gdyż nie ma problemów z NAT. Niekiedy niezastąpione są rozwiązania komercyjne z użyciem przeglądarki, a także OpenVPN (ze względu na elastyczność konfiguracji).

Szyfrowanie ruchu jest koniecznością, ale powoduje znaczące obciążenie po obu stronach tunelu. W niektórych realizacjach powoduje to także spore opóźnienia, zaś przy stratach pakietów w łączu pojawiają się bardzo dokuczliwe zrywania tunelu. Aplikacje klienckie VPN są przeznaczone głównie dla komputerów klasy PC - wersje VPN dla telefonów komórkowych czy PDA są często kłopotliwe i niestabilne. Niektóre mają słabe zabezpieczenia, inne pracują tylko w obrębie rozwiązań jednego producenta. Jedynym znanym mi godnym polecenia pakietem VPN dla PDA jest MovianVPN firmy Certicom.

Okienka po drucie

Zupełnie innym podejściem jest zastosowanie serwera terminalowego - wtedy wszelkie aplikacje są uruchamiane zdalnie, do klienta przekierowany jest tylko ekran, klawiatura, myszka, drukowanie, dyski lokalne i czasami porty szeregowe. Przy typowej pracy biurowej zapotrzebowanie na pasmo jest stosunkowo niewielkie, 20 kB/s przy małych opóźnieniach daje całkiem rozsądną pracę. Można pracować przy połączeniu GPRS przez telefon komórkowy, chociaż nie jest to komfortowe ze względu na opóźnienia.

Najbardziej dokuczliwe w pracy terminalowej przy wolnych łączach są programy wyświetlające wielokolorowe winietki zawierające wiele szczegółów, a także aplikacje korzystające z plików na lokalnych dyskach klienta. Aplikacje z prostym graficznie interfejsem, napisane na przykład za pomocą narzędzi Oracle Forms, działają szybko i sprawnie. Serwer terminalowy jest według mnie podstawowym rozwiązaniem do szybkiego usprawnienia pracy przedsiębiorstwa. Umożliwia bardzo łatwe centralizowanie wszelkich aplikacji, dzięki czemu zarządzanie nimi jest znacznie łatwiejsze, podobnie jak pomoc techniczna.

Utrzymanie bezpieczeństwa klienta też nie nastręcza tylu problemów, co przy wielu maszynach zawierających komplet oprogramowania jest ważne. To samo dotyczy dwustopniowego uwierzytelnienia. Gros aplikacji poprawnie pracuje w środowisku terminalowym, jedynymi wyjątkami są programy wykorzystujące własne plikowe motory bazodanowe. Większość realizacji serwera terminalowego umożliwia użycie jako klienta dostosowanej minidystrybucji systemu Linux (czasami uruchamianej przez sieć wprost z lokalnego serwera). Jest to dobry pomysł, który dowiódł w niejednej firmie swojej skuteczności, odporności na wirusy i inne zagrożenia.

Na rynku dostępnych jest wiele rozwiązań terminalowych. Najpopularniejsze z nich to usługi terminalowe wbudowane w serwery Windows 2000/2003 oraz Citrix Presentation Server. Do nich należy gros rynku. Bardzo dobrą alternatywą dla nich jest wielokrotnie opisywane na łamach CW rozwiązanie Jetro. Ma wiele zalet, z których najważniejsze jest to, że nie ingeruje w jądro systemu operacyjnego ani w żadne ważne jego elementy tak bardzo jak Citrix. Nie wymaga instalacji sterowników do wszystkich nowych drukarek (jak w przypadku usług terminalowych Windows).

Notabene, rzadko spotyka się serwer terminalowy dla Windows, który potrafi wydrukować dokument na dowolnej drukarce, nawet na takiej, do której nie ma sterowników dla systemów opartych na Windows NT. Tę zaletę mają oprócz Jetro tylko aplikacje webowe udostępnione za pomocą systemu-pośrednika. Warto tu dodać, że terminal graficzny zwiększa mobilność bardziej niż VPN, gdyż są już dostępne aplikacje klienckie zdalnego pulpitu także dla niektórych telefonów komórkowych, np. program tsmobiles, zaś dla Pocket PC klient terminalowy istnieje od dawna, w tym dedykowany dla rozwiązań Citrix.

Od niedawna przybyło kilka nowych rozwiązań terminalowych, z których najciekawszymi są Go-Global firmy Graphon oraz WinConnect XP Server firmy Thinsoft. Są to jedne z niewielu rozwiązań, które do swojej pracy nie wymagają kosztownych licencji na usługi terminalowe Microsoftu. Są też takie, które nawet nie wymagają wersji serwerowej Windows oraz takie, które pracują w środowisku maszyn typu Unix.

Go-Global można uruchomić nawet na Windows 2000 Professional (i w systemach typu Unix), zaś popularny WinConnect XP, pracując w środowisku Windows XP Professional na szybkiej maszynie, z powodzeniem obsłuży 15 użytkowników jednocześnie. To wystarczająca skalowalność na potrzeby małej firmy i znaczące obniżenie kosztów. Oba te produkty są sporo tańsze niż wersja serwerowa Windows wraz z licencjami na usługi terminalowe.

Usługi terminalowe mogą łączyć ze sobą różne technologie i platformy. Sun Secure Global Desktop, czyli następca popularnej Tarantelli, umożliwia coś, co na pozór wydaje się niemożliwe do wykonania - uruchamianie aplikacji z wielu różnych platform na jednym . Jest możliwe pracowanie jednocześnie z aplikacjami dla systemów Unix oraz Windows, przy czym każda z nich jest uruchomiona w swoim środowisku. Klientem może być dowolna przeglądarka internetowa posiadająca motor języka Java. Całość działa szybko i sprawnie.

Poważnym minusem serwerów terminalowych jest możliwość dostępu do dużej ilości danych na jednej maszynie - dlatego należy zapewnić jej wysoki poziom bezpieczeństwa. Błąd przepełnienia bufora na serwerze może skutkować zagrożeniem dla wszystkich zasobów, do których terminal ma dostęp. Bardzo dobrą praktyką jest zatem tunelowanie połączenia do terminala uwierzytelnionego tokenami wewnątrz przeznaczonego tylko do tego celu VPN.


TOP 200