Koncentratory SSL VPN przestały być prostymi urządzeniami. Aby pełnić swoją rolę, zaprzęgają do pracy kilka różnych rozwiązań. Spotkamy się tutaj z kilkoma wiodącymi technologiami: translacją aplikacji, proxy webowym, port fowarderem oraz modułem sieciowym. Wszystkie testowane produkty wykorzystywały każdą z nich, choć niekiedy ich nazwy marketingowe były dość enigmatyczne, np. JSAM (Java Secure Application Manager) w rozwiązaniu Juniper to port forwader.
Jedno z urządzeń SonicWall Aventail serii E (E-Class)
Translator aplikacyjny przekształca natywny protokół aplikacji na taki, który może być przedstawiony przez przeglądarkę. Translacja umożliwia dodatkowe zabezpieczenie ruchu HTTP poprzez dodanie ochrony w postaci protokołu SSL lub TLS w warstwie transportowej. To z kolei pozwala na zaszycie informacji, które spływają z warstw wyższych - także z warstwy 7. Najpoważniejszym problemem tego trybu, to konieczność "przepisania" aplikacji, np. udziału sieciowego na postać webową. W przypadku niektórych, bardziej złożonych aplikacji zawierających dodatkowe elementy dynamiczne, przepisanie może nie być wcale takie proste, a czasem jest wręcz niemożliwe. Zaletą translacji jest to, że użytkownik nie musi pobierać aplikacji na swoją stację klienta, a korzysta z niej wprost z przeglądarki.
Proxy webowe to najprostszy z możliwych scenariuszy - polega na zaprezentowaniu w portalu SSL VPN aplikacji webowej. Niby nic skomplikowanego, ale niektóre portale wcale nie poddają się temu zabiegowi tak łatwo. Kolejna technologia - port forwarding - została stworzona, aby umożliwić użytkownikom uzyskanie połączenia sieciowego z aplikacjami, które nie mają postaci webowej. Instalowany jest wirtualny adapter (poprzez kontrolkę ActiveX lub aplet Javy), który nasłuchuje na określonym porcie (typowym dla danej aplikacji). Ruch z aplikacji przekazywany jest do koncentratora, a ten "przepakowuje" go i przesyła do właściwego serwera. Port forwarding nadaje się w zasadzie tylko do obsługi dobrze znanych aplikacji. Każdy z produktów dawał możliwość uruchomienia port forwardera w tej lub innej postaci.
Juniper Secure Access 2500
Na końcu łańcucha znajduje się moduł sieciowy, który sprawia, że klient SSL VPN zachowuje się w sposób znany z rozwiązań IPSec. Stacji przyznawany jest adres IP (z określonej na koncentratorze puli), a użytkownik może uzyskać dostęp do określonych zasobów na poziomie sieciowym. W większości przypadków możemy skonfigurować Split Tunneling. Po zakończeniu sesji adapter może zostać zdeinstalowany. U Check Pointa ta funkcjonalność to SSL Network Extender, w SonicWall - NetExtender, a w Juniper - Network Connect. Każde z testowanych rozwiązań umożliwiało pracę w wymienionych trybach. Wadą tego modułu jest to, że użytkownik, aby go zainstalować musi mieć uprawnienia administratora lokalnego. To bywa problematyczne w przypadku użytkowników korporacyjnych. W takiej sytuacji moduł sieciowy musi zostać wcześniej zainstalowany (najczęściej przez Help Desk), co przeczy trochę obrazowi rozwiązania bezagentowego.
Nie samym VPN-em SSL VPN stoi
Jak już wspomnieliśmy, bramy SSL VPN dawno przestały pełnić swoją podstawową rolę. Czego zatem spodziewać się w nowoczesnych produktach tej klasy?
Connectra - wynik sprawdzenia integralności stacji pod kątem obecności oprogramowania AV
Oprócz funkcji VPN’a, rozwiązania SSL VPN powoli stają się elementem koncepcji tzw. bezpiecznej stacji roboczej. Niektóre koncentratory pozwalają na sprawdzenie konfiguracji stacji roboczej pod kątem obecności np. aktualnego oprogramowania antywirusowego, modułu zapory ogniowej czy określonej poprawki systemowej. W zależności od wyniku sprawdzenia, stacja może otrzymać prawo korzystania z niektórych tylko zasobów lub zostać przekierowana do strefy kwarantanny, skąd pobierze potrzebne aktualizacje. Funkcjonalność tą zapewniają wszystkie trzy produkty. W module Check Point - co godne pochwały - możliwe jest uruchomienie skanowania stacji w poszukiwaniu kodu złośliwego - Spyware scan. Skanowanie takie trwa od kilkunastu do kilkudziesięciu sekund. Ani SonicWall, ani Juniper nie "dają" takiego modułu. W przypadku niektórych sprawdzeń integralności stacji (np. obecności oprogramowania AV), możemy również rozróżnić systemy operacyjne, których sprawdzenia te będą dotyczyć (np. Linux, Windows, Mac, Pocket PC). Tutaj bryluje Juniper SA (Secure Access), oferując "z pudełka" pokaźną listę aplikacji, które mogą posłużyć do budowania polityki sprawdzania stacji roboczej. Daje także szerokie możliwości tworzenia sprawdzeń niestandardowych, na przykład, czy na stacji otwarty jest określony port lub weryfikacja certyfikatu komputera. SonicWall również prezentuje wystarczającą liczbę sprawdzeń. Możliwe jest rozszerzenie modułu kontroli stacji (EPC) także o sprawdzenie obecności określonego modułu AV, firewall czy antyspyware - w niektórych modelach urządzeń, wiąże się to z koniecznością wykupienia dodatkowej licencji. Biorąc pod uwagę liczbę dostępnych sprawdzeń na różnych platformach sprzętowych, najmniej możliwości daje Connectra.
