Także ideologia centralnego systemu zarządzania, choć na pewno ułatwiająca życie, stanowi sama w sobie zagrożenie. Po przechwyceniu jednego hasła można zarządzać całą siecią. Czy to rozsądne? Wszyscy wiedzą, że zastosowanie podwójnych haseł albo najlepiej tokenów z hasłami losowymi jest znacznie bezpieczniejsze, ale ta wiedza nie skłania ich do zakupu i wdrożenia - na to decydują się głównie większe firmy, ale nie wszystkie. Błędem okazuje się często zaufanie w stosunku do użytkownika. Trzeba natomiast pochwalić dostawców tych rozwiązań za zastosowanie dobrze kodowanych tuneli VPN, z implementacją IPsec i najnowszych systemów kryptograficznych.

Są za, są przeciw

Gdy tylko na witrynie projektu open source, takiego jak iptables, pojawi się nowa wersja, dostawca systemu firewall prawie na pewno zjawi się u nas z nową broszurką. Oczywiście, będzie utrzymywać, że jest to "jego nowe rozwiązanie" i zostanie przyjęte z otwartymi rękami. Zapewne powie, że chodzi o nowy system zarządzania zawierający nowe opcje, tak naprawdę natomiast będzie to aktualizacja rdzenia systemu. Wiemy więc, że płacimy za rozwiązania dostępne de facto za darmo, które dostawca ubrał w nieco lepszy garnitur i dodał markowy krawat, ale... czy mamy jakieś inne wyjście?

Systemy korporacyjne mają jednak zalety. Na uwagę zasługuje integracja wielu z nich z systemem Windows, która, jak w przypadku Check Point VPN-1 Secure Client, pozwala się połączyć z zasobami firmy poprzez bardzo dobrze kodowany tunel z praktycznie dowolnego urządzenia. To bardzo ważny aspekt techniczny, ponieważ większość rozwiązań open source nie umożliwia tunelowania HTTP - do tego potrzebne są dodatkowe programy, a tu otrzymujemy na tacy gotowe, proste w użyciu oprogramowanie.

Check Point VPN-1 posiada także wbudowaną zaporę, która bardzo dobrze wyłapuje cały niepożądany ruch, niezgodny z polityką firmową i przesyła odpowiednie logi do centrali. Takich opcji nie można mieć, wyznając zasadę "tylko open source". Nie bez znaczenia jest i to, że informatycy nie muszą szkolić się tygodniami - wystarczy prosty kurs administracji i dobre wsparcie w trybie 24/7.

Ale znów: tego nie oferują wszyscy dostawcy, ponieważ dobre wsparcie jest - bo musi być - pochodną ceny licencji i opłat za wsparcie.

Można się zastanawiać, co jest lepsze: zatrudnienie drogiego specjalisty pobierającego co miesiąc pensję odbiegającą istotnie od średniej krajowej, czy też opłata w wysokości kilkuset do kilku tysięcy dolarów za jedną instalację rocznie - z uwzględnieniem faktu, że nowa funkcjonalność w pierwszym przypadku pojawi się bez dodatkowych opłat, w drugim zaś każda większa zmiana funkcjonalności w postaci nowego modułu będzie kosztować konkretne kwoty za każdą instalację (oczywiście, jeśli mowa o instalacji w miarę szybkiej, a nie w rok po wykryciu zagrożeń).

Bez uogólniania

Takie rozważania są prowadzone w każdej firmie. Specjalista może odejść i pozostawić firmę bez właściwej dokumentacji. Oprogramowanie firmowane nie jest idealne, ale jest kogo pociągnąć do odpowiedzialności. W przypadku open source wsparcie jest trudniej dostępne, ale darmowe i często bardzo fachowe, co nie zawsze da się powiedzieć o wsparciu produktów komercyjnych. Produkty komercyjne, nawet oparte na najlepszych założeniach, potrafią mieć zasadnicze błędy i wady, a z drugiej strony, ludzie obdarzeni zaufaniem potrafią je zawieść.

Wszystkie te argumenty są na swój sposób mocne, a jednocześnie słabe, ponieważ w konkretnych sytuacjach dają się obalić. I tak naprawdę ta konkretna sytuacja, splot okoliczności, powinna być wyznacznikiem wyboru drogi - która zresztą może być drogą mieszaną. O wszystkim ostatecznie przesądzą: lokalna mieszanka wiedzy technicznej, skala organizacji, skłonność zarządu do ryzyka, rozeznania w realiach działania lokalnych dostawców i oczywiście pieniądze.