Zdalny dostęp do sieci

Pytanie: Chcę połączyć oddział firmy oraz zdalnych pracowników do sieci centralnej. Połączenie musi być bezpieczne i dostępne przez całą dobę. Powinienem użyć VPN, ale zastanawiam się, w jakiej odmianie? IPSec jest bardzo rozsądnym rozwiązaniem, lecz w ostatnim czasie na popularności zyskuje SSL VPN. Czy istnieją jeszcze inne możliwości?

Pytanie: Chcę połączyć oddział firmy oraz zdalnych pracowników do sieci centralnej. Połączenie musi być bezpieczne i dostępne przez całą dobę. Powinienem użyć VPN, ale zastanawiam się, w jakiej odmianie? IPSec jest bardzo rozsądnym rozwiązaniem, lecz w ostatnim czasie na popularności zyskuje SSL VPN. Czy istnieją jeszcze inne możliwości?

Odpowiedź: Wybór rozwiązania zależy od wielu czynników. Z całą pewnością możemy jednak założyć, że często trzeba wykorzystać kilka typów VPN, aby spełnić wszystkie wymagania użytkowników. Spróbujmy porównać dostępne rozwiązania.

SSL

VPN SSL tworzy bezpieczną sesję pomiędzy przeglądarką użytkownika PC a serwerem aplikacji. Połączenie realizowane jest najczęściej bezpośrednio do . W nielicznych przypadkach połączenia zestawiane są do końcowej aplikacji. Należy pamiętać, że przy wykorzystaniu szyfrowania SSL w relacji "od końca do końca" zapora ogniowa czy system wykrywania intruzów (IDS) nie będą kontrolować połączenia. Może to spowodować konieczność analizy i przebudowy aktualnej polityki bezpieczeństwa. Zaletą połączenia VPN SSL jest wykorzystanie w typowej sesji wyłącznie przeglądarki internetowej oraz dostępu do Internetu. Nie ma konieczności używania specyficznego oprogramowania, a dostęp do sieci korporacyjnej możliwy jest z dowolnego miejsca na świecie. VPN SSL jest typowym ruchem http/https, więc nie można zapomnieć o innych aplikacjach (np. ftp, telnet), które nie opierają się na interfejsie www. Będą one wymagały odpowiedniego przystosowania, tj. poprzez zastosowanie apletów.

IPSec

IPSec ustanawia tunel pomiędzy zdalną lokalizacją a użytkownikiem z oprogramowaniem klienta lub urządzeniem sieciowym, obsługującym sesje użytkowników w oddziale firmy. W czasie połączenia mamy taki dostęp do aplikacji jak użytkownicy firmowej sieci lokalnej. Jak wskazuje nazwa, protokół IPSec stworzono dla ruchu IP. Jeżeli zamierzamy transportować ruch nie-IP, konieczna będzie konfiguracja tunelu GRE, który będzie umożliwiał przesłanie dowolnego ruchu poprzez IPSec.

MPLS

Omawiając rozwiązania VPN, nie sposób nie wspomnieć o protokole MPLS. Nie jest to jednak rozwiązanie zdalnego dostępu dla indywidualnych użytkowników. Cała praca protokołu dokonuje się w warstwie sieciowej - użytkownicy zauważą standardowe połączenie sieciowe - i jest to najbardziej elastyczna oraz skalowalna opcja dla połączeń punkt-punkt. Warto zaznaczyć, że w przypadku MPLS są obsługiwane QoS oraz ruch multicast. Rozwiązuje to wiele problemów z udostępnianiem aplikacji. MPLS jest jednak rozwiązaniem trudnym do wdrożenia oraz kosztownym.

Rozwiązanie dla zdalnych użytkowników

Dla indywidualnych użytkowników, którzy wiele podróżują, a jednocześnie z każdego miejsca powinni mieć dostęp do firmowych zasobów sieciowych, bardzo dobrym rozwiązaniem jest IPSec. O ile mamy kontrolę nad komputerami użytkowników i możemy zarządzać instalacją oraz uaktualnieniami klientów VPN. Protokół ten jest całkiem dobrze skalowalny, a koncentratory VPN w centralnych lokalizacjach ułatwiają zarządzanie.

SSL można wykorzystać do dostępu użytkowników spoza korporacyjnej sieci, np. klientów czy partnerów firmy. Technologię można także zastosować w przypadku, gdy nie ma możliwości korzystania z oprogramowania klienckiego. Jeżeli użytkownik potrzebuje dostępu tylko dla aplikacji opartych na www, może to być szybkie i tanie rozwiązanie. Kierujemy się w tym przypadku prostą zasadą - jeżeli masz dostęp do Internetu, masz dostęp do swoich danych. Metoda nie zawsze sprosta oczekiwaniom, ze względu na ograniczenia związane z udostępnianiem aplikacji.

Rozwiązanie dla zdalnych oddziałów firmy

W przypadku wielu użytkowników w pojedynczej lokalizacji SSL nie będzie dobrym rozwiązaniem. Bardziej efektywną metodą jest stworzenie jednego bezpiecznego połączenia ze zdalnej lokalizacji do centrali firmy. Użytkownicy nie muszą martwić się o oprogramowanie klienckie, ponieważ aplikacje dostępne są bezpośrednio w sieci.

W przypadku gdy oddziały komunikują się ze sobą bezpośrednio bez pośrednictwa centrali, budowanie architektury typu "mesh" może być naprawdę trudnym zadaniem, zwłaszcza w razie potrzeby konfiguracji tuneli GRE dla ruchu nie-IP lub multicast. Połączenie jest tworzone przez Internet, co dodatkowo wiąże się z brakiem parametrów QoS, natomiast SLA może nie być wystarczające do zastosowań biznesowych. Dla dużych grup użytkowników z wymaganiami odnośnie do jakości połączenia lub QoS, najlepszym rozwiązaniem jest MPLS VPN.

Poszczególne typy VPN zaspokajają potrzeby różnych grup użytkowników. Nie należy wdrażać tylko jednej metody dostępu, ponieważ utrudni to pracę. Warto zdefiniować kilka kategorii użytkowników, dla każdej grupy dobrać technologię najbardziej odpowiednią, tak aby znaleźć złoty środek w zaspokojeniu większości potrzeb.


TOP 200