Механизмы построения виртуальных частных сетей (VPN) на базе протокола IP Security пользуются достаточно большой популярностью и уже успели закрепиться на рынке, однако альтернативные решения, использующие технологию Secure Sockets Layer, также начинают набирать силу.
Некоторые эксперты, знакомые с вопросами безопасности сетей, считают, что в виртуальных частных сетях будущего SSL полностью вытеснит IPSec. Однако большая часть сторонников SSL склонны все же избегать крайностей. Тем не менее они заявляют, что решения на базе этой технологии обходятся гораздо дешевле. Кроме того, развертывание подобных систем проще в тех ситуациях, когда сотрудникам нужен удаленный доступ к приложениям Web, электронной почте или к программным приложениям корпоративных сетей. И сегодня производители традиционных механизмов VPN на базе IPSec спешно оснащают свои продукты средствами поддержки SSL, пытаясь удовлетворить растущий спрос со стороны клиентов.
Продукты для создания виртуальных частных сетей на основе технологии SSL отличаются от механизмов построения VPN на базе протокола IPSec тем, что не требуют от пользователей установки клиентского программного обеспечения на удаленных устройствах. Пользователи, имеющие возможность зарегистрироваться в корпоративной сети, могут установить безопасное соединение с любого портативного или настольного компьютера при помощи браузера. Поскольку порты межсетевого SSL-экрана в общем случае остаются открытыми, производить настройку его конфигурации для обеспечения доступа согласно политике безопасности не требуется.
В то же время в виртуальных частных сетях, построенных на основе протокола IPSec, на каждом удаленном устройстве должно выполняться клиентское программное обеспечение, которое по мере необходимости нужно обновлять. Кроме того, проводить настройку конфигурации межсетевых экранов и устройств IPSec следует согласованно. Лишь в этом случае пользователи получат доступ к необходимым сетевым ресурсам.
Положение SSL на рынке
В течение ближайших нескольких лет аналитики прогнозируют увеличение продаж средств построения виртуальных частных сетей на основе SSL. Специалисты компании Infonetics Research ожидают, что объемы продаж увеличатся с 56 млн долл. в 2002 году до 840 млн. долл. в 2005 году. Однако продукты IPSec по-прежнему будут широко представлены на рынке. По оценкам аналитиков Infonetics, общий объем продаж механизмов VPN на базе IPSec и оборудования межсетевых экранов вырастет с 1,5 млрд долл. в 2002 до 2,5 млрд долл. в 2005 году.
Однако широкое распространение приложений, созданных на основе технологий Web, и рост потребностей в удаленной работе с информационными системами делает поддержку средств SSL весьма актуальной и заставляет разработчиков традиционных продуктов VPN встраивать в свои модули соответствующие компоненты.
Представители компании Check Point Software Technologies, выпустившей в июле прошлого года механизм построения виртуальной частной сети без клиентской части на базе SSL, заявили, что этот протокол идеально подходит для компаний, которые хотели бы обмениваться информацией со своими партнерами по Internet, но не желают при этом устанавливать клиентскую часть систем VPN. С ними солидарны специалисты корпораций Nortel Networks и SonicWall, также занимающихся разработкой механизмов VPN на основе IPSec. Компания Nortel в сентябре 2002 года представила устройство Alteon, поддерживающее SSL, а SonicWall начала предлагать продукты SSL еще два года назад, после приобретения фирмы Phobos. Руководство компании NetScreen Technologies заявило, что рассматривает возможность выпуска механизмов SSL в случае заключения партнерских соглашений с другими производителями.
Прочие разработчики механизмов для построения виртуальных частных сетей, использующие сегодня протокол IPSec (в частности, корпорация Symantec), все еще думают о том, как интегрировать средства поддержки SSL в уже имеющиеся продукты. Одной из причин их колебаний и неуверенности является то, что SSL в той или иной степени рассматривается в качестве технологии, конкурирующей с популярными решениями.
Среди мелких производителей, которые осознали необходимость выпуска SSL-совместимых продуктов, можно отметить компании Aspelle, Aventail, Neoteris и Whale Communications.
Конструктивные решения
Некоторые клиенты считают, что им нужны виртуальные частные сети с поддержкой как SSL, так и IPSec. Компания Quad/Graphics, специализирующаяся на предоставлении полиграфических услуг, поддерживает связь с рядом сотрудников, которым нужен доступ к производственным системам и другим приложениям, не имеющим Web-интерфейса, с помощью VPN-шлюзов на базе IPSec, разработанных корпорацией Cisco Systems. Однако основной части служащих удаленный доступ к корпоративной сети и электронной почте предоставляется с помощью оборудования e-Gap Remote Access Appliance компании Whale, в которое встроена поддержка SSL.
Еще четыре месяца назад (до установки данного продукта) большая часть служащих этой компании вовсе не имела возможности пользоваться удаленным доступом. «Примерно 10 тыс. сотрудников хотели бы обращаться к интересующим их ресурсам из дома или находясь в пути, но мы не можем позволить себе установить 10 тыс. клиентов виртуальной частной сети, — пояснил директор технической службы Quad/Graphics Дамиан Дрюик. — В этом случае техническая поддержка безопасности системы станет сущим кошмаром».
Оборудование SSL Whale установлено на сервере в корпоративном центре данных. Выбрав решение без клиентской части, компания получила возможность предоставлять своим сотрудникам безопасные соединения, не переписывая приложения с учетом индивидуальных особенностей нескольких тысяч конечных устройств.
Компания Deloitte Consulting также отдала предпочтение комбинированной виртуальной частной сети с поддержкой как SSL, так и IPSec. Большая часть сотрудников получает удаленный доступ к сети при помощи механизма VPN фирмы Aventail, использующего SSL. В Deloitte даже введены ограничения на подключение к виртуальной частной сети через средства IPSec, которая построена с использованием оборудования Nortel. Этой сетью разрешено пользоваться только тем сотрудникам, которым нужно работать с приложениями, функционирующими в четырех центрах данных компании.
Директору информационной службы Deloitte Ларри Квинлану виртуальная частная сеть с поддержкой SSL нравится благодаря возможности использования межсетевых экранов без повторной настройки их конфигурации. «Это имеет очень важное значение, поскольку служба безопасности не слишком охотно соглашается осуществлять повторную настройку устройств», — пояснил он.
К недостаткам SSL-средств следует отнести прежде всего типичные для Web-приложений ограничения. Однако и у IPSec также имеются свои отрицательные моменты. В частности, процедура технического сопровождения некоторых межсетевых экранов оказывается чересчур сложной, в результате чего у мобильных сотрудников, находящихся в гостиницах и офисах клиентов, возникают затруднения с получением доступа.
Ограничения SSL, характерные для приложений Web, привели к тому, что некоторые клиенты и по сей день предпочитают занимать выжидательную позицию. Компания Divine для выполнения большей части своих рабочих процессов использует механизм виртуальной частной сети NetScreen Technologies, созданный на базе IPSec. «Дело в том, что многие из наших удаленных сотрудников являются консультантами, которым нужен доступ к широкому спектру приложений», — пояснил директор сетевых служб Divine Чак Хорват.
Divine не ощущает потребности в построении виртуальной частной сети на основе SSL. Ряд технических решений базируется на Web-интерфейсе приложений и встроенных средствах шифрования SSL. В качестве примера можно привести приложение Microsoft Outlook. Удаленные пользователи регистрируются в системе под своими идентификаторами и паролями, получая доступ к электронной почте и корпоративному каталогу.
Какая судьба уготована SSL?
Многие сегодня утверждают, что технология SSL придет на смену IPSec в виртуальных частных сетях, поддерживающих функционирование приложений Web, однако большинство специалистов сходится на том, что оба типа виртуальных частных сетей вполне могут мирно ужиться друг с другом. В данном случае на рынке хватит места для всех. «Обе технологии будут работать бок о бок и способствовать расширению рынка средств организации безопасного удаленного доступа», — подвел итог Уилсон.
Боб Вайолино (bviolino@optonline.net) — независимый автор, освещающий актуальные темы развития бизнеса и технологий