Test bram VPN

Windows 2000 Server Microsoftu, ze swoją wbudowaną usługą VPN, i Access Point Lucenta wspierały certyfikaty, ale miały problemy z komunikowaniem się z produktami wspierającymi inne certyfikaty. Na przykład podczas testu trzeba było powrócić do systemu nazwanego preshared secrets (w wolnym tłumaczeniu: "współdzielone tajemnice") - który był bardziej kompatybilnym, ale mniej pożądanym systemem identyfikowania przy komunikowaniu się z systemami firm Nokia czy Avaya. Ponadto produkt Lucenta zawiódł w trakcie komunikacji z PIX Cisco, kiedy ustanowiono właściwą politykę testowania.

Produkt Hewlett-Packarda także miał problemy przy konfrontowaniu go z obcymi wymaganiami konfiguracyjnymi w swojej implementacji IPSec. HP albo chce zawsze inicjować bezpieczne połączenie IPSec, albo go nigdy nie inicjuje. W ten sposób obsługa bezpiecznego połączenia HP nastręcza wiele pracy - z powodu kolizji przy zmianie klucza.

WatchGuard i RapidStream także miały słabe rezultaty w testach kompatybilności. Nie dająca się zmienić domyślna polityka bezpieczeństwa WatchGuarda była niepewna, ponieważ używa szyfrowania DES zamiast Triple-DES i Diffie-Hellman Group1. W efekcie zespół testujący musiał stworzyć specyficzny przypadek konfiguracji wszystkich innych produktów, aby dopasować się do nieelastycznego WatchGuarda. Natomiast RapidStream 2000 bywał nierówny: czasem przyjmował SA (Security Association), by je psuć po przejściu ruchu, a czasem pracował perfekcyjnie.

Zarządzanie w przedsiębiorstwie

Implementowanie, konfigurowanie i zarządzanie dziesiątkami, a nawet setkami urządzeń VPN jest sporym wyzwaniem. W teście jedynie produkty trzech firm - Avaya, Check Pointa i Nokia - miały GUI odpowiedni do wielopunktowego zarządzania urządzeniami wielu producentów. Dokładnie zbadano, jak te narzędzia nadzorowały pracę urządzeń określonych producentów i jak każde z nich sprawdzało się w testowych scenariuszach kompatybilności.

Produkty Avaya i Nokia znalazły się na szczycie pod względem szybkości ustawienia konfiguracji VPN przedsiębiorstwa. Obydwa narzędzia zarządzania używają bloków do zdefiniowania topologii sieci wirtualnej. Dzięki tym narzędziom można było łatwo tworzyć, modyfikować i zarządzać konfiguracjami VPN wielu producentów. GUI Policy Manager VPN Nokii umożliwia utworzenie skomplikowanych topologii: kombinacje zwane hub-and-spoke (czyli topologia łącząca wiele elementów końcowych bezpośrednio ze wspólnym elementem sterującym), siatka czy indywidualne tunele między dwoma dowolnymi systemami. Z kolei GUI firmy Avaya oferuje mniejsze urozmaicenie pod względem topologii, ale ma silniejsze zaplecze: zbudowany na szczycie serwera LDAP produkt daje wielu menedżerom sieciowym możliwość przeglądania, edycji i dokonywania zmian z wielu punktów dużej sieci. GUI VPN Manager ma także wbudowane, rozwijane i zarządzane przez klienta, narzędzie zdalnego dostępu do VPN. Contivity 1600 Nortela ma wbudowane narzędzie o podobnym potencjale, ale jego zakres nie przekracza jednej bramy bezpieczeństwa VPN.

Test bram VPN

GUI Policy Editor bramy Check Point VPN-1 radzi sobie z dużą liczbą scenariuszy

Dokonano też oceny ostatniej wersji VPN-1, produktu Check Point. Firma ta zrobiła znaczny postęp, jeśli chodzi o możliwości konfigurowania VPN oraz o zarządzanie. Taką korzystną ocenę wystawia zespół, który egzaminował poprzednio GUI V4.1. GUI Policy Editor Check Point radzi sobie z większą niż poprzednio liczbą scenariuszy. Chociaż wykryto kilka błędów w nowym oprogramowaniu, to jednak ogólne wrażenie jest takie, że Check Point skupia się bardziej na szerokich sieciach VPN. GUI Check Point może łatwo generować siatkowe topologie VPN - to znaczny postęp w stosunku do GUI V4.1, który mocno ograniczał elastyczność VPN w wyborze parametrów operacyjnych.

Narzędzie zarządzające Check Point umożliwia także integrację zapory ogniowej i VPN. Chociaż produkt Check Point nie wspiera pełnej macierzy protokołów i cech (jak np. Access Point Lucenta, dający użytkownikowi stos zapór ogniowych i tuneli VPN w praktycznie dowolnej konfiguracji), ale radzi sobie z 90 proc. (a może nawet więcej) konfiguracji, które mogliby sobie wyobrazić administratorzy. Zdolność do szybkiego filtrowania przez zaporę ogniową i tunelowania VPN w tej samej regule jest głównym elementem przy łączeniu VPN z zaporą ogniową.

Kilka narzędzi zarządzania VPN okazało się niezbyt użytecznymi w testach zgodności. Doskonałe narzędzie Optivity Nortela jest przydatne przede wszystkim do urządzeń Contivity, kiedy nie ma potrzeby łączenia ich, ale nie zaleca się go w konfiguracji VPN typu punkt-punkt nawet wtedy, kiedy są to tylko systemy Nortela. Jest to niefortunne, gdyż element zarządzania (przez lokalny serwer webowy do systemu Contivity) tej renomowanej firmy był najlepszym narzędziem zarządzania systemowego podczas testów produktów. Używając nomenklatury sportowej - gdyby Nortel mógł rozszerzyć zarządzanie na wiele systemów, wtedy byłby zwycięzcą przez KO.


TOP 200