Wdrożenie

Klient VPN składa się z dwóch części: oprogramowania klienta i reguł definiujących, jak szyfrowana jest komunikacja. Wdrożenie oznacza więc dostarczenie oprogramowania i informacji związanych z regułami do użytkownika końcowego oraz uaktualnianie obu tych elementów podczas zmieniania zarówno konfiguracji, jak i topologii sieci.

Instalowanie oprogramowania klienta jest na ogół proste. Secure Computing zakłada utrzymanie pliku reguł na kliencie. Stanowi to pewien problem, ponieważ zmiana w konfiguracji lub tunelu OPSec wymaga przekazania nowych reguł do każdego klienta. W środowisku sieci przedsiębiorstwa, gdzie nie każdy stosuje te same reguły związane z VPN, problem jest poważniejszy, bo każdemu klientowi trzeba dostarczyć odpowiedni zestaw reguł.

Lepszym rozwiązaniem jest użycie serwera reguł (polityk), który współpracuje z klientami, dbając o stałą aktualność reguł. Co prawda, połączenie z klientem będzie trwało trochę dłużej (z powodu kontroli wersji reguł), ale użytkownik nie musi się martwić o to, czy jego wersja jest poprawna.

Serwer reguł stosują: Avaya, Check Point, Cisco, NetScreen i Symantec. Rozwiązania czterech pierwszych umożliwiają utrzymywanie różnych reguł dla poszczególnych użytkowników. Symantec też obsługuje indywidualne reguły dla poszczególnych użytkowników, ale jedynie wprowadzonych do wewnętrznej bazy danych uwierzytelniania, co wyklucza możliwość używania tego mechanizmu w wypadku zewnętrznych serwerów uwierzytelniania.

Także klient jest przedmiotem uaktualniania. Check Point, Cisco i - w pewnym zakresie - NetScreen radzą sobie z tym problemem w ramach definiowania reguł VPN. Check Point ma własne mechanizmy sprowadzania oprogramowania i system utrzymywania wbudowany w klienta - nie tylko do oprogramowania VPN, ale do wszystkiego, co można uaktualniać na kliencie.

Dla zarządców sieci, którzy nie mają zamiaru czytać o wszystkich niuansach zarządzania zdalnym klientem, Check Point przygotował wersję uproszczoną.

Inny problem związany z wdrażaniem pojawia się w przypadku sprzętowych klientów VPN. To niewielkie skrzynki z podwójnym portem Ethernet - umieszczane na froncie maszyn klienckich i przejmujące połączenia VPN. Eliminują potrzebę ładowania oprogramowania lub reguł do systemu końcowego. Ponieważ klient sprzętowy jest generalnie pozbawiony dobrych mechanizmów zarządzania, uzyskanie uaktualnień reguł to szczególny problem.

Klientów sprzętowych dostarczają: Avaya, Check Point, Cisco, NetScreen i SonicWall, przy czym Cisco i Avaya oferują najbardziej klarowne zarządzanie nimi.

W przypadku klienta Cisco wystarczy podać adres IP serwera reguł, nazwę użytkownika i hasło. Systemy poza klientem sprzętowym są szyfrowane automatycznie, gdy próbują podłączyć się do systemów chronionych przez VPN. Klient sprzętowy sprowadza reguły w miarę potrzeb. W modelu Avaya każdy użytkownik, który korzysta z klienta sprzętowego, wymaga indywidualnego uwierzytelniania przez serwer reguł, za pośrednictwem strony WWW.