Bezpośredni dostęp budzi poważne obawy o bezpieczeństwo, dlatego sprawą pierwszorzędną staje się ochrona zdalnego komputera przed niepowołanym dostępem, włamaniem czy zainfekowaniem, np. wirusem lub koniem trojańskim. Na zdalnym komputerze powinny działać: skaner antywirusowy i system zaporowy o parametrach nie gorszych niż te, które mają systemy zabezpieczające firmowe serwery.

Firmowy komputer podłączony do sieci kablowej, a nawet za pośrednictwem zwykłego modemu to prawdziwa gratka dla włamywacza. Ponieważ komputer "pojawia się" w sieci w miarę regularnie, stanowi to ułatwienie dla atakującego do umieszczenia w nim konia trojańskiego. Gdy nieświadomy użytkownik uwierzytelni się przed wszystkimi firmowymi zaporami i zostanie dopuszczony do jej zasobów, koń trojański może samodzielnie połączyć się z komputerem włamywacza i umożliwić mu buszowanie w firmowej sieci na prawach przysługujących prawowitemu użytkownikowi. Taki atak, określany mianem split tunneling, to jedno z największych zagrożeń związanych ze zdalnym dostępem. Można mu zaradzić na kilka sposobów, jednak każdy z nich jest związany z ograniczeniem swobody użytkownika lub zwiększeniem kosztów stosowanego rozwiązania.

Zwodniczy kompromis

Można powrócić do koncepcji udostępniania aplikacji za pośrednictwem serwera WWW lub zainwestować w nowoczesne systemy ochronne wyposażone w funkcje centralnego zarządzania polityką bezpieczeństwa. Chodzi o to, aby, po pierwsze, nikt poza administratorem nie mógł wyłączyć zabezpieczeń działających na zdalnym komputerze. Po drugie, aby przed przyznaniem dostępu do zasobów sieciowych, a więc jeszcze w czasie logowania na serwerze VPN, centralny system bezpieczeństwa mógł sprawdzić, czy zabezpieczenia są włączone i skonfigurowane zgodnie z aktualną polityką bezpieczeństwa.

Czy to wystarczy? Bardziej zapobiegliwi zechcą wyposażać zdalne komputery w systemy wykrywania włamań. Konieczność uruchomienia na jednym komputerze trzech czy czterech systemów bezpieczeństwa działających w czasie rzeczywistym równolegle z aplikacjami biznesowymi, zwiększa wymagania co do wydajności. Potrzeba większej mocy obliczeniowej i więcej pamięci.

Najprostszą metodą ograniczenia zagrożeń zdalnego dostępu jest uniemożliwienie użytkownikom połączeń z innymi niż firmowe numerami dostępowymi i automatyczne wyłączanie obsługi sieci, jeżeli nie jest to sieć firmowa. Wdzwanianie się do sieci firmowej z innego miasta czy kraju jest kosztowne. Wydatki na łączność rosną również dlatego że zdalni użytkownicy są zmuszeni korzystać z firmowego łącza do Internetu, które w związku z tym musi mieć większą przepustowość. W USA w takich przypadkach popularne jest stosowanie filtrów treści, uniemożliwiających użytkownikom korzystanie z serwisów, zawierających treści nie związane z wykonywaną pracą. Filtry są jednak kosztowne - płaci się nie tylko za licencje, ale także za okresowe uaktualnianie bazy wpisów.

Prostota i bezpieczeństwo

Zdalny dostęp można zorganizować inaczej, nie rezygnując ani z elastyczności, ani z bezpieczeństwa. Wystarczy wdrożyć system terminali graficznych, np. Citrix Meta Frame lub Tarantella. Ten jednorazowy wydatek pozwoli uporządkować i zabezpieczyć nie tylko zdalny, ale również lokalny dostęp do aplikacji. Uporządkować oznacza w tym przypadku bardzo dużo, m.in. obniżyć koszty na administrowanie systemami, znacznie zmniejszyć wydatki na wsparcie użytkowników, wydłużyć cykl wymiany sprzętu komputerowego, zasadniczo ograniczyć ruch w firmowej sieci, obniżyć rachunki za łącza WAN itd.

Dzięki zastosowaniu technologii terminalowej zdalni użytkownicy będą mogli korzystać z firmowych aplikacji przy użyciu domowych komputerów, bez konieczności ich dodatkowego zabezpieczania przed włamaniem. Zagrożenie typu split tunneling nie ma tu żadnego znaczenia, włamanie się do komputera wyposażonego w klienta terminalowego na nic się nie zda. Oprogramowanie terminalowe wymienia z serwerem jedynie informacje o zmianach w wyglądzie ekranu, ruchach kursora oraz danych wprowadzanych za pomocą klawiatury. Z tych samych powodów nie ma sensu podsłuchiwać transmisji, która notabene jest dodatkowo szyfrowana. Jedynym punktem zaczepienia dla włamywacza mógłby być podsłuch klawiatury.

W przypadku użytkowników notebooków administrator może zdefiniować w systemie dwa odrębne profile sprzętowe: online i offline. W pierwszym, system udostępni użytkownikowi jedynie klienta terminalowego, w drugim zaś kilka podstawowych aplikacji biurowych do pracy offline. Rezultaty pracy wykonywanej lokalnie można przesłać do firmy pocztą elektroniczną, co nie wiąże się z bezpośrednim dostępem do sieci firmowej. W związku z tym, że system może być uruchomiony tylko w jednym z trybów pracy, nie ma konieczności kupowania podwójnych licencji, np. na oprogramowanie biurowe.