1. Pierwszą jest możliwość uzyskania dostępu do zasobów korporacyjnych z "dowolnego" urządzenia połączonego z Internetem i wyposażonego jedynie w przeglądarkę (telefony, PDA, laptopy) za pośrednictwem protokołu HTTPS.

2. Drugą - bardziej granularna kontrola dostępu do zasobów, bo IPSec zapewnia dostęp do określonych sieci lub podsieci, a SSL VPN do aplikacji.

Nie oznacza to, że jedna czy druga technologia jest bardziej lub mniej bezpieczna. Wszystko zależy od sposobu implementacji.

Zacznijmy więc od zalety nr 1. Najprościej można zrealizować ją poprzez implementację technologii reverse proxy. Polega ona na tym, że zapytania klienta trafiają do koncentratora, który z kolei przekazuje je do właściwego punktu docelowego, działając jako pośrednik. Reverse proxy w tradycyjnym podejściu nie jest jednak stworzone do pośredniczenia w komunikacji SSL i musiało zostać odpowiednio zmodyfikowane, aby sprostać wymogom SSL VPN. W przypadku proxy użytkownik za pomocą przeglądarki otwiera wystawiany przez portal SSL VPN link do aplikacji webowej. Następnie koncentrator transluje URL i przekazuje zapytanie do serwera, oczekując na odpowiedź. Po jej otrzymaniu "przepisuje" zawartość (nie tylko http, ale również Javascript, XML itp.) i przesyła dalej użytkownikowi.

Gdyby chodziło tylko i wyłącznie o aplikacje webowe, sprawa byłaby stosunkowo prosta (choć nie do końca, o czym za chwilę). Niestety wyzwania, przed którymi stają projektanci współczesnych rozwiązań sprawiają, że konieczne jest zapewnienie dostępu do innych aplikacji, w tym tych działających na dynamicznie zmieniających się portach, do drukarek, plików, systemów kalendarzowych itp. Wreszcie dochodzi problem zapewnienia łączności z częścią zasobów korporacyjnych na poziomie sieci. Tutaj reverse proxy już nie wystarczy i producenci oferujący SSL VPN musieli znaleźć metody na pokonanie tych przeszkód. Dorzućmy jeszcze kilka innych haczyków, takich jak: problem poziomu zabezpieczeń stacji klienckiej w momencie łączenia się do zasobów, uwierzytelnianie użytkowników i dywersyfikacja uprawnień w zależności od warunków otoczenia, ochrona koncentratora VPN przed zagrożeniami czy spójne zarządzanie… Ale nie wszystko od razu. Przyjrzyjmy się, w jaki sposób w SSL VPN rozwiązywane są problemy związane z poszczególnymi wymaganiami.

WWW.SSL.VPN

Najprostszym - jak by się mogło wydawać - celem do osiągnięcia jest przekierowywanie ruchu webowego. Pierwsze schody pojawiają się już na poziomie obsługiwanych przeglądarek. Jedyną i słuszną, z którą działa wszystko, jest niestety tylko Internet Explorer. Co prawda liczba rozwiązań wspierających Firefoxa i Operę rośnie, ale już np. z linuksowym Konquerorem nie będzie różowo.

Do "przemiału" ruchu webowego stosuje się wspomniane już proxy. Faktycznie, zadanie to jest banalne, ale tylko wtedy, kiedy aplikacja opiera się na prostych mechanizmach (np. html, php). Jeżeli są one bardziej skomplikowane, dość szybko okaże się, że nowo zakupiony koncentrator nie może prawidłowo obsługiwać krytycznej aplikacji, co z resztą zdarzyło się autorowi. Przykładem takiej sytuacji są linki wewnątrz JavaScriptów, kontrolek ActiveX, apletów Javy czy obiektów Flash. Linki takie mogą zawierać odniesienia, które wbudowane w kod nie są tłumaczone przez koncentrator. Efektem tego jest choćby niewyświetlane menu nawigacyjne portalu lub niedziałające przyciski. Dlatego też przed wyborem rozwiązania należy koniecznie sprawdzić, czy dostawca gwarantuje obsługę konkretnej aplikacji, lub też samemu przetestować produkt. Na szczęście popularne aplikacje, takie jak Outlook Web Access czy Lotus iNotes, w większości przypadków spisują się bez zarzutu. Gorzej z resztą.

Chcę swoją aplikację!

Jeżeli okaże się, że mimo swojego webowego rodowodu aplikacja nie działa, albo mamy "zwyczajną" aplikację bez interfejsu WWW, pozostaje jeszcze podjęcie próby przepuszczenia jej w inny sposób. W przypadku nietypowych aplikacji webowych, z punktu widzenia bezpieczeństwa, nie jest to podejście zalecane. W przypadku aplikacji WWW do ich obsługi powinny być stosowane tradycyjne mechanizmy translacji. Co innego jeżeli pojawia się konieczność uruchomienia aplikacji niewebowej. Tutaj dopiero pojawiają się schody. W celu rozwiązania problemu przekazywania ruchu aplikacyjnego, dostępu do zasobów sieciowych czy drukarek, koncentratory SSL VPN wykorzystują - w zależności od producenta i specyfiki aplikacji - kilka różnych technik. Im bardziej skomplikowana budowa i sposób porozumiewania się aplikacji, tym większy problem. Jedną z podstawowych technik jest port forwarding, która ma już dosyć długą historię.

SSL Explorer w 15 minut