SSL VPN – шаг вперед в технологии VPN сетей

VPN сети вошли в нашу жизнь очень серьезно, и я думаю, надолго. Данная технология используется как в организациях для объединения офисов в единую подсеть или для обеспечения доступа к внутренней информации мобильных пользователей, так и дома при выходе в интернет через провайдера. Можно с уверенностью сказать, что каждый из администраторов обязательно занимался настройкой VPN, как и каждый пользователь компьютера с выходом в интернет использовал данную технологию.

Фактически, в настоящий момент, очень сильно распространена технология IPSec VPN. Про нее написано много различных статей как технических, так и обзорно-аналитических. Но сравнительно недавно появилась технология SSL VPN, которая сейчас очень популярна в западных компаниях, но в России на нее пока не обратили пристального внимания. В этой статье я постараюсь описать, чем отличается IPSec VPN от SSL VPN и какие преимущества дает применение SSL VPN в рамках организации.

IPSec VPN - его преимущества и недостатки

В первую очередь хотелось бы обратить внимание на определение VPN, наиболее распространенное – «VPN - это технология, которая объединяет доверенные сети, узлы и пользователей через открытые сети, которым нет доверия» (©Check Point Software Technologies).

И действительно, в случае доверенных узлов применение IPsec VPN – это наиболее экономичный путь. Например, для соединения сетей удаленных офисов в единую корпоративную сеть не требуется прокладка или аренда выделенных линий, а используется сеть Интернет. В результате построения защищенных туннелей между доверяемыми сетями образуется единое IP-пространство.

А вот при организации удаленного доступа сотрудников IPsec-решения используются для ограниченного количества только доверенных устройств, например для ноутбуков корпоративных пользователей. Для применения IPsec VPN ИТ-служба должна установить и настроить на каждое доверенное устройство (с которого требуется обеспечить удаленный доступ) VPN-клиент, и поддерживать работу этого приложения. При инсталляции IPsec-решений необходимо учитывать их «скрытую» стоимость, связанную с поддержкой и сопровождением, так как для каждого типа мобильного клиента (ноутбук, PDA и др.) и каждого типа сетевого окружения (доступ через интернет-провайдера, доступ из сети компании-клиента, доступ с использованием адресной трансляции) требуется оригинальная конфигурация IPsec-клиента.

Помимо поддержки есть несколько очень важных проблем:

  • Не для всех доверенных мобильных устройств, используемых в компании есть VPN клиенты;
  • В различных подсетях, из которых производится доступ (например, корпоративная сеть партнера или заказчика) необходимые порты могут быть закрыты и требуется дополнительное согласование их открытия.

Таких проблем не возникает при использовании SSL VPN.

SSL VPN – алгоритм работы пользователя

Чтобы нетехническому специалисту было интересно читать дальше, опишу процесс использования SSL VPN обычным пользователем.

Предположим, вы находитесь в командировке, в вашей компании вам не смогли предоставить на время командировки ноутбук. Но вам необходимо:

  • Во время вашего отсутствия в офисе не выпадать из рабочего процесса;
  • Передавать и получать электронную почту;
  • Использовать данные из каких-либо бизнес систем, которые функционирую в вашей компании.

У вас под рукой в лучшем случае компьютер в сети организации, куда вы приехали в командировку, с доступом в Интернет только по протоколу http/https, в худшем случае – обычное Интернет-кафе в вашей гостинице.

SSL VPN успешно решает все эти задачи, причем уровень обеспечения безопасности будет достаточным, для работы с критичной информацией из Интернет кафе…
Фактически вы выполняете следующие действия:

  • Вам нужен только Интернет-обозреватель (Internet Explorer, FireFox и т.п.);
  • В Интернет-обозревателе набираете адрес SSL VPN устройства;
  • Далее автоматически скачивается и запускается Java апплет или ActiveX компонент, который предлагает вам аутентифицироваться;
  • После аутентификации автоматически применяются соответствующие политики безопасности:
    • выполняется проверка на вредоносный код (в случае обнаружения который блокируется);
    • создается замкнутая среда обработки информации – все данные (включая временные файлы), переданные из внутренней сети, после завершения сеанса будут удалены с компьютера, с которого осуществлялся доступ;
    • Также в процессе сеанса используются дополнительные средства защиты и контроля;
  • После успешного прохождения процедур безопасности вам становятся доступны все необходимые ссылки «в один клик мышкой»:
    • Доступ к файловым серверам с возможностью передачи файлов на сервер;
    • Доступ к Web-приложениям компании (например, внутренний портал, Outlook Web Access и т.п.);
    • Терминальный доступ (MS, Citrix);
    • Инструменты для администраторов (например, ssh консоль);
    • И, конечно, возможность полноценного VPN через https протокол (без необходимости предварительной установки и настройки VPN клиента) – конфигурация передается напрямую из офиса, в соответствии с аутентификационными данными.

 

Таким образом, применение SSL VPN решает несколько задач:

  • Значительное упрощение процесса администрирования и поддержки пользователей;
  • Организация защищенного доступа к критичной информации с недоверенных узлов;
  • Возможность применения на любых мобильных устройствах, а так же на любых компьютерах (включая интернет киоски) с выходом в Интернет (без предварительных установок и настроек специального программного обеспечения).

SSL VPN – производители и возможности

На рынке SSL VPN доминируют аппаратные решения. Среди поставщиков решений SSL VPN – все известные производители активного сетевого оборудования:

  • Cisco
  • Huawai
  • Juniper
  • Nokia
  • И т.д.

Среди программных реализаций специалисты компании «Алатус» выделяют решение на базе SSL Explorer компании 3SP Ltd, которое наиболее точно соответствует требованиям заказчиков.

Так же хотелось бы привести таблицу сравнения возможностей IPSec VPN и SSL VPN:

Характеристика

IPSec VPN

SSL VPN

Поддержка приложений

Поддержка бизнес приложений

+

+

Поддержка HTTP приложений

+

+

Поддержка доступа к файловым серверам

+

+

Поддержка терминального доступа

+

+

Сетевая архитектура

Корпоративный ПК

+

+

Мобильный ПК

+

+

Работа из сторонней сети (за межсетевым экраном)

-
(Требует открытия портов)

+
(Работа через https)

Публичный компьютер (интернет-кафе)

-
(Требует установки клиента)

+

КПК, коммуникатор

-+
(Для устройства должен быть VPN клиент)

+

Обеспечение защиты

Возможность строгой аутентификации

+ (В большинстве случаев)

+

Централизованная авторизация

+

+

Web single sign-on

-
(Требует дополнительных решений)

+

Автоматическое применение политик безопасности в зависимости от типа объекта и пользователя

-
(Требует дополнительных решений)

+

Дополнительно

Безклиентная технология

-

+
(достаточно Internet Explorer)

Легкость внедрения

Зависит от решения

+

Легкость конфигурирования

Зависит от решения

+

Легкость поддержки

Зависит от решения

+

SSL VPN в России

На сегодняшний день в России уже реализовано достаточно большое количество проектов, по внедрению в компаниях удаленного доступа на базе технологии SSL VPN. Но как уже говорилось ранее, пока данная технология в России не набрала своей популярности, в то время как производители данных решений сообщают об очень высоком спросе на них среди западных компаний.

 

Автор: Николай Терещенко
Технический директор компании Алатус
www.alatus.ru

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru