Dojrzewanie sieci VPN
- NetWorld,
- 06.01.2003
Wdrożenie
Klient VPN składa się z dwóch części: oprogramowania klienta i reguł definiujących, jak szyfrowana jest komunikacja. Wdrożenie oznacza więc dostarczenie oprogramowania i informacji związanych z regułami do użytkownika końcowego oraz uaktualnianie obu tych elementów podczas zmieniania zarówno konfiguracji, jak i topologii sieci.
Instalowanie oprogramowania klienta jest na ogół proste. Secure Computing zakłada utrzymanie pliku reguł na kliencie. Stanowi to pewien problem, ponieważ zmiana w konfiguracji lub tunelu OPSec wymaga przekazania nowych reguł do każdego klienta. W środowisku sieci przedsiębiorstwa, gdzie nie każdy stosuje te same reguły związane z VPN, problem jest poważniejszy, bo każdemu klientowi trzeba dostarczyć odpowiedni zestaw reguł.
Lepszym rozwiązaniem jest użycie serwera reguł (polityk), który współpracuje z klientami, dbając o stałą aktualność reguł. Co prawda, połączenie z klientem będzie trwało trochę dłużej (z powodu kontroli wersji reguł), ale użytkownik nie musi się martwić o to, czy jego wersja jest poprawna.
Producent: Avaya
Zalety: automatyczne uaktualnianie reguł dla wielu grup, dobra obsługa RADIUS, łatwe instalowanie systemu zarządzającego, prosty klient sprzętowy
Wady: brak rzeczywistej zapory ogniowej poza filtrowaniem pakietów, klient sprzętowy mało elastyczny
* na zdjęciu
Dla zarządców sieci, którzy nie mają zamiaru czytać o wszystkich niuansach zarządzania zdalnym klientem, Check Point przygotował wersję uproszczoną.
Producent: Check Point Software i Nokia
Zalety: automatyczne uaktualnianie reguł dla wielu grup, obsługa wielobramowa, dobra zapora ogniowa po stronie klienckiej, wieloplatformowość
Wady: brak zarządzania klientem sprzętowym
* na zdjęciach
Inny problem związany z wdrażaniem pojawia się w przypadku sprzętowych klientów VPN. To niewielkie skrzynki z podwójnym portem Ethernet - umieszczane na froncie maszyn klienckich i przejmujące połączenia VPN. Eliminują potrzebę ładowania oprogramowania lub reguł do systemu końcowego. Ponieważ klient sprzętowy jest generalnie pozbawiony dobrych mechanizmów zarządzania, uzyskanie uaktualnień reguł to szczególny problem.
Klientów sprzętowych dostarczają: Avaya, Check Point, Cisco, NetScreen i SonicWall, przy czym Cisco i Avaya oferują najbardziej klarowne zarządzanie nimi.
W przypadku klienta Cisco wystarczy podać adres IP serwera reguł, nazwę użytkownika i hasło. Systemy poza klientem sprzętowym są szyfrowane automatycznie, gdy próbują podłączyć się do systemów chronionych przez VPN. Klient sprzętowy sprowadza reguły w miarę potrzeb. W modelu Avaya każdy użytkownik, który korzysta z klienta sprzętowego, wymaga indywidualnego uwierzytelniania przez serwer reguł, za pośrednictwem strony WWW.