Praktyczne aspekty wirtualnych sieci prywatnych

Check Point, VPNet i Internet Dynamics są jedynymi producentami, którzy wspomagają administratorów sieciowych w pracy z tunelem szyfrowanym VPN, a nie z dwoma oddzielnymi punktami końcowymi. Conclave firmy Internet Dynamics wydawał się najlepszy, gdyż łącząc zaporę ogniową z VPN, pozwalał myśleć administratorowi sieciowemu w kategoriach bezpieczeństwa, a więc np. jak zabezpieczyć ruch idący z jednego punktu do drugiego.

Politykę określa użytkownik. Conclave - buduje VPN między systemami i zapewnia bezpieczeństwo, a gdyby nie mógł tego zrobić, to nie pozwoli przepłynąć strumieniowi danych. Interfejs zarządzający Internet Dynamics zdecydowanie przerasta inne.

Z powodu skomplikowanego szyfrowania i konfigurowania VPN, dobra dokumentacja jest decydującym czynnikiem przy podejmowaniu decyzji, gdyż niezrozumienie kluczowego terminu może spowodować całkowite odsłonięcie danych. Najczęściej dokumentacja nie przedstawia niczego istotnego, czego nie ma w skromnej pomocy (helpie) interfejsu użytkownika. Ale można znaleźć dokumentację, która bez przesady jest białą księgą bezpieczeństwa VPN.

Takim przykładem jest dokumentacja Time Step, która zawiera m.in. najbardziej czytelne objaśnienia IPSec, jakie można znaleźć w piśmiennictwie anglosaskim. Na przeciwnym biegunie wypada usadowić dokumentacje Novella i Compatible Systems, których lepiej żeby w ogóle nie było.

Co najważniejsze?

Kiedy administrator sieciowy przygląda się rozwiązaniom VPN, wybiega zazwyczaj myślą w stronę już zainstalowanych urządzeń. Jeśli na przykład trzeba zintegrować VPN z istniejącym w sieci routerem 3Com lub zaporą ogniową Axent, to wybór jest dosyć łatwy: dodanie nowych funkcji do istniejącego sprzętu. To najprostsze rozstrzygnięcie jest jednak rzadko trafne. Kiedy router lub zapora ogniowa są już obciążone pracami, to dodanie usług VPN sprawi, że osiągną one granice swoich możliwości.

Podczas planowania zastosowań VPN w relacjach klient-LAN lub LAN-LAN trzeba koniecznie zdać sobie sprawę z faktu, że zdolność do zarządzania tysiącami tuneli VPN jest wtedy krytyczna. Ogólnie rzecz ujmując, systemy producentów oprogramowań - Microsoftu, Novella, Internet Dynamics, Axent czy Data Fellows - bardziej ograniczają użytkowników i oferują mniejsze możliwości niż urządzenia oferowane przez ich konkurentów. Niemniej jednak są tańsze, co ma znaczenie przy niedostatkach budżetowych przedsiębiorstwa. Jeśli jednak firma nie jest związana na stałe z określonym dostawcą, a co za tym idzie - można sobie pozwolić na urozmaicone zakupy - administrator sieciowy powinien zastanowić się nad kilkoma innymi cechami, takimi jak:

  • Szyfrowanie selektywne. Nie każda organizacja troszczy się o nie, ale jeżeli istnieje potrzeba zintegrowania VPN z zaporą ogniową, to wtedy można szyfrować tylko pewne podzbiory ruchu. W takiej sytuacji stosuje się szyfrowanie tylko do ochrony pakietów pochodzących np. z systemu zawierającego dane personalne, a nie do opuszczających serwer przedsiębiorstwa plików GIF.
  • Topologia. Wiele sprzętowych produktów VPN dostarcza się z dwoma interfejsami: Ethernet 10 Mb/s lub 10/100 Mb/s. Najbogatszą ofertę interfejsów LAN i WAN przedstawiają producenci popularnych sieciowych systemów operacyjnych - Windows NT, NetWare lub Unix. Niektórzy producenci sprzętu, jak 3Com, Lucent Technologies czy RADguard, także oferują w swoich produktach więcej niż dwa interfejsy LAN.
  • Wsparcie świadectw certyfikacji. Zdolność do pracy z certyfikatami, dostarczanymi przez producentów VPN lub przez firmy trzecie, jest kluczowa w sytuacji, kiedy trzeba zarządzać więcej niż tylko kilkoma tunelami szyfrowanymi.
  • Rejestrowanie. Kiedyś spotykało się nieliczne produkty oferujące rejestrację. Jeżeli dysponuje się scentralizowanym systemem rejestrowania, to trzeba od razu rozstrzygnąć, czy VPN będzie z nim zintegrowany. Pozostaje jeszcze SNMP (Simple Network Management Protocol). Baza danych VPN MIB (Management Information Base) nie została jeszcze zdefiniowana, ale można zliczać pakiety stosując stację zarządzającą SNMP, co może pomóc w określeniu stanu sieci VPN.
  • Moduły zarządzające. Stacje zarządzające są bardzo ważne z ekonomicznego punktu widzenia - mogą one wpłynąć bardzo znacząco na budżet przedsiębiorstwa. Tak na przykład sprzęt Lucent Technologies kosztuje dodatkowo 12 tys. USD za stację zarządzającą. Implementacja infrastruktury zarządzającej takich dostawców, jak: VPNet, RADguard, Lucent i Check Point, znajduje uzasadnienie, kiedy przedsiębiorstwo zamierza łączyć ze sobą większą liczbę punktów. Dla mniejszych firm, których potrzeby ograniczają się do połączeń tylko dwu lub trzech punktów, stacja zarządzająca jest mało opłacalna.

Przed określeniem strategii VPN trzeba rozważyć wiele czynników, jak kompatybilność z istniejącym sprzętem, zarządzanie czy inne dodatkowe cechy, ważne dla przedsiębiorstwa. Zaleca się poświęcić nieco czasu na przetestowanie produktów przed ich zakupem, nawet jeśli pochodzą one od renomowanych producentów. Na pierwszym miejscu stoi zawsze bezpieczeństwo.


IBM Think Digital Summit Poland, 16-17 września 2020
TOP 200