Dojrzewanie sieci VPN

Metody oparte na IPSecurity okazują się niewystarczające, a brak postępu prac standaryzacyjnych zmusza dostawców do stosowania własnych rozwiązań. Daje się też zauważyć wyraźną tendencję do integrowania technologii VPN w różnych urządzeniach, zwłaszcza zaporach ogniowych. Nadal jednak brakuje dobrych mechanizmów ułatwiających centralne zarządzanie.

Metody oparte na IPSecurity okazują się niewystarczające, a brak postępu prac standaryzacyjnych zmusza dostawców do stosowania własnych rozwiązań. Daje się też zauważyć wyraźną tendencję do integrowania technologii VPN w różnych urządzeniach, zwłaszcza zaporach ogniowych. Nadal jednak brakuje dobrych mechanizmów ułatwiających centralne zarządzanie.

Od pewnego czasu granica pomiędzy zaporą ogniową i urządzeniem VPN powoli się zaciera. W ten sposób znika w praktyce kategoria "dedykowane urządzenia VPN". W ciągu ostatnich dwóch lat znikły z rynku ostatnie urządzenia jedynie z funkcjami VPN - takie jak seria CryptoCluster Nokii czy Cisco 5000.

Połączenie zapór ogniowych i VPN jest dla zarządców sieci korporacyjnych korzystne z dwóch powodów. Po pierwsze, umożliwia wdrożenie technologii VPN bez ingerowania w podstawy projektowe sieci, po drugie, zmniejsza koszty rozwiązania.

Zaniedbane zarządzanie

Centralne zarządzanie VPN nadal jest problemem. Dostawcy na ogół nie poświęcają mu dostatecznej uwagi, choćby przez pozostawianie furtek umożliwiających wdrażanie sieci VPN od różnych dostawców. Współdziałanie różnych VPN jest możliwe, ale zarządzanie nimi z jednego stanowiska - nadal wykluczone.

Niewielu dostawców troszczy się też o to, jak konfigurować i utrzymywać sieci VPN z więcej niż kilkunastoma własnymi węzłami, kiedy zmiany w topologii sieci zdarzają się częściej niż raz w roku. Cisco niedawno wprowadziło platformę CiscoWorks VPN/Security Management Solution Version 2, co - według firmy - ma wytyczyć drogę centralnego zarządzania. Check Point Software włączyła rozszerzone funkcje zarządzania do Feature Pack 2 zapory ogniowej NG, wydanego w kwietniu 2002 roku. Jednak w obu wypadkach dostawcy zapewniają zarządzanie jedynie swoim urządzeniom.

Dostawcy niezależni również zaniedbują tę sprawę. Niektórzy dostarczają narzędzia do administrowania VPN, ale nie widać znaczących wysiłków, by udostępnić zarządcom sieci korporacyjnych narzędzia do łączenia różnych produktów VPN w jedną spójną sieć.

Niestandardowe standardy

IPSec jest dużo częściej używany do zabezpieczania połączeń VPN niż SSL (Secure Sockets Layer), ale nie w pełni odpowiada wymaganiom związanym ze zdalnym dostępem. Nieporozumienia wewnątrz IETF (Internet Engineering Task Force) zaowocowały specyfikacją, która nie spełnia wymagań nawet skromnych wdrożeń zdalnego dostępu - w zakresie uwierzytelniania, wewnętrznej adresacji i przejść NAT (Network Address Translation)/NAPT (Network Address and Port Translator). Bardziej zaawansowane wymagania, obejmujące rozliczanie i reguły zarządzania, są w standardzie IPSec całkowicie pominięte.

Jeszcze bardziej rozczarowuje zaawansowanie Internet Key Exchange Version 2, protokołu używanego do ustawiania bezpiecznych powiązań IPSec, z uwzględnieniem uwierzytelniania i przydziału adresów. Chociaż grupa robocza IETF dyskutuje nad wieloma najdrobniejszymi szczegółami, to jednak większość istotnych problemów zdalnego dostępu pozostaje nierozwiązana.

Technologia VPN jest obecnie wbudowywana w produkty o rozmaitych funkcjach. Oferowane są oparte na układach Intela urządzenia VPN z Linuksem, zaporą ogniową, IPSec i graficznym, webowym interfejsem użytkownika. Urządzenia te mają niską cenę, ale brak im certyfikatów bezpieczeństwa.

Dostawcy są więc zmuszeni do wprowadzania niestandardowych mechanizmów obsługujących bezpieczny zdalny dostęp w dużych sieciach. Sytuacja staje się poważna w miarę dojrzewania rynku VPN - dotychczas własne rozszerzenia nie były zbyt częste, teraz masowo odchodzi się od standardów.

Potencjalni nabywcy powinni wiedzieć, że prawdopodobnie lepsze są te produkty do obsługi zdalnego dostępu, które oparto na rozwiązaniach jednego dostawcy. Najlepsze zaś okazują się w praktyce produkty radykalnie odchodzące od standardu IPSec oraz te, które mają ograniczone współdziałanie z klientem innym niż dostarczany przez dostawcę.

Przegląd rozwiązań

Prezentujemy produkty oparte na IPSec i przeznaczone do obsługi zdalnego dostępu VPN. Są to rozwiązania firm Avaya, Check Point Software (i Nokia), Cisco, NetScreen Technologies, Secure Computing, Sonic Wall i Symantec. Skupimy się na obciążeniu wdrażaniem i obsługą serwisową, zarządzaniu, dopasowaniu do potrzeb sieci przedsiębiorstw i możliwościach raportowania. Skoncentrujemy się nie na poszczególnych modelach produktów VPN, ale na rozwiązaniach proponowanych przez dostawców w całych zestawach urządzeń do obsługi zdalnego dostępu VPN: koncentratorach, aplikacjach zarządzających oraz klientach sprzętowych i programowych. Zaprezentujemy też wyniki testu tych zestawów.


TOP 200