Сравнительные характеристики 18 решений

Отсутствие доступа к сети и приложениям компании значительно затрудняет работу сотрудников, выезжающих в командировки и работающих дома. Однако существуют разнообразные решения этой проблемы. При передаче по каналам VPN данные шифруются, и пользователи могут безопасно подключаться к офисной сети через Internet. Клиенты удаленного доступа устанавливают соединение с VPN-шлюзом корпоративной сети. В данном обзоре рассматривается Secure Sockets Layer (SSL) VPN, особый тип технологии удаленного доступа. Она дополняет защищенные шлюзы и сетевую VPN-технологию, которые уже применяются в большинстве компаний. Но не все продукты SSL VPN обеспечивают такой же уровень доступа, как традиционная VPN, а между функциональностью различных моделей и поставщиков SSL VPN существуют заметные различия. Однако благодаря ряду преимуществ SSL VPN перед другими решениями, технология представляет собой приемлемую альтернативу традиционным VPN. В предлагаемом обзоре описаны функции дистанционного доступа SSL VPN, а также некоторые другие важные характеристики.

Преимущества SSL VPN

У продуктов SSL VPN, традиционных брандмауэров и других сетевых решений VPN есть общие элементы безопасности и настройки, поэтому SSL VPN не покажутся администраторам незнакомыми. Но SSL VPN располагают и дополнительными возможностями. Большинство брандмауэров обеспечивают публикацию Web-приложений в Internet через порты, трансляцию сетевых адресов (Network Address Translation, NAT) и сетевую маршрутизацию, но не шифруют данные сверх уровня, обеспечиваемого (не всегда) приложениями. Пользователи VPN на базе PPTP и IP Security (IPSec) могут установить связь с удаленной сетью так же, как при прямом подключении к локальной сети; при этом шифруются все данные, передаваемые между клиентом и VPN-сервером. Однако для большинства VPN требуется специальная клиентская программа. В SSL VPN браузер используется для доступа удаленных сотрудников не только к внутренним Web-узлам, но и к приложениям и файл-серверам.

В SSL VPN применяются протоколы шифрования на базе Web, такие как SSL и Transport Layer Security (TLS), которые обеспечивают доступ в Internet через TCP-порт 443, используемый шифрованными Web-страницами. Через тот же порт пересылается шифрованный Web-трафик (например, HTTP Secure, HTTPS), и многие администраторы брандмауэров оставляют этот порт открытым, поэтому для организации SSL VPN не требуется принимать специальных мер. При работе с SSL VPN отсутствуют проблемы NAT, иногда возникающие при использовании IPSec и PPTP. По этим причинам многим удаленным пользователям удобнее работать с SSL VPN, чем с традиционными VPN.

Типы доступа

Многие продукты SSL VPN обеспечивают два типа клиентского доступа: простой браузер для доступа к Web-контенту и специализированную клиентскую программу для доступа к файл-серверам и приложениям, которые размещаются вне Web. В других продуктах браузер используется для доступа как к Web-контенту, так и к внутренним ресурсам, например файл-серверам с Common Internet File System (CIFS)/Server Message Block (SMB). Более мощные шлюзы SSL VPN обеспечивают дополнительные возможности доступа к сети через загружаемые компоненты ActiveX, утилиты Java и приложения Win32. Благодаря этим расширениям удаленные пользователи могут обращаться к множеству программ, в том числе Citrix MetaFrame, Microsoft Outlook, NFS, Remote Desktop, Secure Shell (SSH) и Telnet. Однако не все продукты SSL VPN совместимы со всеми приложениями.

Следует обратить внимание на типы сетевого трафика, поддерживаемые различными продуктами. Одни поставщики заявляют о совместимости их продуктов с конкретными приложениями, другие говорят о поддержке любого сетевого трафика, но в действительности их продукты работают только с приложениями UDP и TCP, а не со всеми протоколами, совместимыми с традиционными VPN (например, Internet Control Message Protocol, ICMP). Как правило, SSL VPN совместимы с кроссплатформенными браузерами и работают с наиболее распространенными браузерами, такими как Safari компании Apple Computer, Microsoft Internet Explorer (IE), Firefox компании Mozilla Foundation и Netscape. Однако технология ActiveX совместима только с IE.

Другие важные характеристики

SSL VPN располагает обширным набором методов и протоколов аутентификации, таких как Active Directory (AD), Lightweight Directory Access Protocol (LDAP), Windows NT LAN Manager (NTLM), Remote Authentication Dial-In User Service (RADIUS) и RSA ACE/Server и RSA SecurID компании RSA Security. Во многих SSL VPN применяется унифицированный метод регистрации (single sign-on, SSO). Еще один важный фактор — время активности сеанса SSL VPN. Некоторые продукты завершают сеанс по истечении определенного периода неактивности; другие разрывают соединение только после того, как будет закрыт браузер.

Доступный инструмент

SSL VPN — полезный метод доступа извне к внутренней сети компании. Как правило, возможности доступа на сетевом уровне ниже, чем у традиционных VPN, но технология обеспечивает доступ к разнообразным приложениям через широко распространенный инструмент — браузер.


Директор по информационной безопасности компании Quantive. Автор книги IT Administrator?s Top 10 Introductory Scripts for Windows (издательство Charles River Media (jeff@blackstatic.com)