Dojrzewanie sieci VPN
- NetWorld,
- 06.01.2003
Check Point, Cisco i Secure Computing pozwalają na kontrolowanie przydziału adresów na podstawie grup użytkowników. Cisco korzysta także z serwera DHCP.
Wewnętrzne adresowanie jest jednym z bardziej przydatnych mechanizmów w korporacyjnych VPN. Jeżeli jednak implementacja adresacji wewnętrznej nie jest kompatybilna z architekturą wdrażanego VPN, to wszystko może się rozsypać.
Symantec implementuje wewnętrzną adresację, wykonując translacje adresów klientów VPN po stronie centralnego ośrodka. Jest to rozsądne rozwiązanie, unikające niestandardowego IPSec, ale w wypadku aplikacji pracującej za pośrednictwem VPN trudność może sprawić właściwa translacja (taka jak VoIP via H.323) lub brak jej obsługi w kodzie Symantec NAT.
Uwierzytelnianie
Jednym z najtrudniejszych elementów wdrożenia zdalnego dostępu VPN jest uwierzytelnianie, ponieważ standard IPSec zakłada tylko jeden jego typ: certyfikaty oparte na PKI (Public Key Infrastructure). Bardzo mało firm ma rozwiniętą infrastrukturę PKI do uwierzytelniania, co w praktyce oznacza, że jedynym sposobem zbudowania działającego zdalnego dostępu VPN opartego na IPSec jest ominięcie standardów.
Producent: NetScreen Technologies
Zalety: automatyczne uaktualnianie reguł dla wielu grup, dobra obsługa wielobramowa, dobra zapora ogniowa po stronie klienckiej
Wady: pełny system zarządzania trudny do instalacji
* na zdjęciach
W ocenie funkcji uwierzytelniania przyjęto dwa podejścia. Pierwsze to użycie istniejącego systemu uwierzytelniania, którym może być usługa RADIUS (Remote Authentication Dial-In User Service), połączona opcjonalnie z tokenami lub nawet starszą bazą danych identyfikatorów użytkowników i ich haseł, taką jak baza danych uwierzytelniania Windows. Drugie to certyfikaty cyfrowe oparte na PKI, zaprojektowane do wielu aplikacji i przechowywane w Smart Cards.
RADIUS nie sprawia większych kłopotów. Rozwiązanie Symantec komunikuje się z katalogiem LDAP, domenami Windows NT i bezpośrednio z serwerami Cryptocard, SecurID, S/Key i Defender w wypadku uwierzytelniania z tokenem.
Producent: Secure Computing
Zalety: łatwa integracja z systemem uwierzytelniania tokenem, dobra kontrola ochrony
Wady: tylko elementarne zarządzanie, słaba implementacja NAT/NAPT
Certyfikaty to sprawa bardziej skomplikowana. Infrastrukturę do zarządzania certyfikatami i technologiami powiązanymi (takimi jak Smart Cards) zapewnił Microsoft w Windows 2000 (i XP). Jeżeli używany jest Cryptographic API (CAPI), wtedy automatycznie uzyskuje się obsługę prawie wszystkich czytników kart i formatów certyfikowania funkcjonujących na świecie. Jednakże certyfikacyjna część CAPI nie jest dostępna w Windows 98 czy NT. Do własnej obsługi certyfikatów są potrzebne dwie implementacje takiego produktu: jedna zgodna z CAPI do Windows 2000 (i wyższych) oraz druga, napisana przez użytkownika, do wszystkich innych wersji.
Check Point obsługuje CAPI w sposób prosty, ale pracuje bez zarzutu. SonicWall nie obsługuje CAPI. Cisco obsługuje certyfikaty, ale nie obsługuje kluczy dłuższych niż 2048 bitów.
Avaya i NetScreen obsługują certyfikaty, ale konieczne jest logowanie do menedżera reguł - przy użyciu nazwy użytkownika i hasła - w celu uzyskania tych reguł. NetScreen obchodzi problem, sugerując grupy z identyfikatorem i hasłem. Jest to stosowane do powiadomienia serwera reguł o tym, która grupa chce się z nim łączyć.