За последние несколько лет требования предприятий и их сотрудников, предъявляемые к решениям удаленного доступа, существенно изменились. В начале текущего десятилетия, до поистине всеохватывающего распространения Internet, основное внимание удлялось удаленному доступу к сети предприятия, прежде всего, для чтения электронной почты. Обычно для этого было достаточно модема или карты ISDN, посредством которых набирался номер центрального пула и обеспечивался переход из общественной телефонной сети в локальную сеть предприятия.

В то время главная проблема мобильных сотрудников заключалась именно в самой возможности установить соединение между ноутбуком и телефонной сетью. Отвертки, зажимы-крокодилы и многочисленные адаптеры — таково было базовое снаряжение каждого, кто желал одолеть сопротивление даже самых строптивых телефонных розеток
в гостиничных номерах (см. врезку «Связь против безопасности»).

РАСТУЩИЕ ПОТРЕБНОСТИ И СНИЖАЮЩИЕСЯ ЗАТРАТЫ

К счастью, эти трудные времена и вынужденное изобретательство остались позади, по крайней мере, для путешествующих по экономически развитым регионам. Выгодные безлимитные тарифы для передачи данных (Data Flat Rate), предлагаемые операторами мобильной связи, практически повсеместные точки доступа WLAN или розетки RJ45 позволяют легко подключаться к Internet. Путешественники получают выгодный доступ к корпоративной сети по широкополосному соединению и VPN, вытеснившим дорогие узкополосные коммутируемые соединения.

В 1943 г. американский психолог Авраам Маслоу опубликовал в своем труде «A Theory of Human Motivation» («Теория человеческой мотивации») модель, описывающую мотивацию людей. Согласно этой теории, потребности человека образуют ступени пирамиды (иерархия потребностей Маслоу). Иначе говоря, человек сначала пытается удовлетворить потребности низших уровней, прежде чем следующие ступени приобретут для него значение.

Эта модель применима и к потребностям мобильных сотрудников в отношении удаленного доступа.

БЕЗОПАСНОСТЬ ЛИШЬ НА ВТОРОМ МЕСТЕ

В самом низу такой пирамиды располагается собственно доступ к коммуникационным сетям (см. Рисунок 1). Как уже говорилось, раньше самым большим препятствием оказывалась именно проблема установления соединения, сейчас она повсеместно решена. Следующий уровень пирамиды — потребность предприятий в безопасности. При коммутируемом доступе через модем желаемый уровень был еще относительно низким, и администраторы ограничивались идентификацией пользователя на сервере удаленного доступа посредством имени и пароля. Как правило, последующее шифрование данных не производилось, поскольку связь осуществлялась через выделенные соединения, считающиеся защищенными. Ситуация кардинально изменилась, когда доступ к сети предприятия стал выполняться через общедоступную сеть Internet. Тогда возникла необходимость в шифровании передаваемых данных для обеспечения конфиденциальности информации.

Рисунок 1. Пирамида потребностей для удаленного доступа.

ПУТЬ К НАДЕЖНОМУ УСТРОЙСТВУ ДОСТУПА

В связи с использованием Internet возросла угроза со стороны вирусов, шпионских программ, спама и фишинга, поэтому пользователям понадобились соответствующие средства защиты для их конечных устройств. Предприятия отрасли ИТ быстро отреагировали на эти запросы и предоставили многочисленные приложения — вирусные сканеры, локальные фильтры Web, средства шифрования для жестких дисков и инструменты контроля интерфейсов ПК. Сейчас можно быть уверенным, что при надлежащих настройках ПК смогут противостоять большинству атак.

Как только защищенный доступ к предприятию, в том числе и через Internet, стал частью стандартных обязанностей администратора ИТ, у пользователей появилась потребность следующего, более высокого, порядка, обозначаемая специальным термином — «готовность». Она может характеризоваться двумя аспектами: временным, т.е. в идеале сеть должна быть доступна круглосуточно, и прикладным, поскольку большинству современных сотрудников одного лишь доступа к электронной почте уже недостаточно. Сейчас они и в пути хотят иметь доступ ко всем приложениям, которые используются ими в офисе. Это желание технически реализуется с помощью VPN на основе IPSec или SSL, но в результате возникает четвертая, последняя, потребность — скорость.

УСКОРЕНИЕ КАК ОСНОВНАЯ ПОТРЕБНОСТЬ

Как известно, даже несмотря на возможности WLAN, UMTS или DSL, стандартная пропускная способность соединения VPN мобильного сотрудника составляет, как правило, лишь долю того, что всегда имеется в его распоряжении на рабочем месте.

Через это иголочное ушко осуществляется передача таких протоколов, как CIFS или MAPI, разработанных для использования в локальной сети, поэтому их неэффективность особенно заметна на узкополосных участках. Ко всему прочему, расстояния, которые приходится преодолевать пакету данных между мобильным сотрудником и центральным офисом, намного протяженнее, что, в свою очередь, опять же приводит к более высоким задержкам. Производители продуктов для «доставки приложений по глобальной сети» (WAN Application Delivery) пытаются с этим бороться.

РАЗЛИЧНЫЕ ПУТИ ПОДХОДА К УСКОРЕНИЮ

По аналогии с моделью OSI, представленные на рынке решения делают ставку на разные уровни: на сетевом (третьем уровне OSI) поток данных можно ускорить, к примеру, с помощью Packet QoS, создания очередей, задания приоритетов или кэширования на уровне пакетов. Для обеспечения безопасности здесь применяется IPSec.

А на транспортном уровне (четвертый уровень OSI) разработчики пытаются улучшить производительность и надежность TCP/IP. Усилия направляются, прежде всего, на оптимизацию алгоритмов масштабирования окон TCP/IP, распознавание и контролирование возникновения заторов или задержек, а также подтверждение пакетов (Packet Acknowledgement) и контроль повторной передачи. Для ускорения передачи данных на этом уровне используются, кроме прочего, сжатие и кэширование. О безопасности снова заботится SSL.

Несколько выше, на прикладном уровне (седьмой уровень OSI), оптимизация протоколов нацелена на устранение недостатков распространенных протоколов, к примеру, «болтливости» MAPI и CIFS. Что касается безопасности, то фильтры URL могут блокировать доступ к нежелательному содержимому. Помимо семи уровней модели OSI, так называемый уровень содержимого (Content Layer) отвечает за то, чтобы нижележащие уровни ускоряли только желательное содержимое (см. Рисунок 2). Это особенно важно ввиду все большего количества приложений на базе Web, поскольку модель OSI на седьмом уровне не делает никаких различий между личными корпоративными нежелательными данными, а их следует сортировать — блокировать, передавать или же при необходимости ускорять.

Рисунок 2. Клиенты удаленного доступа, обладающие интеллектом на уровне контента (Content Layer), способны ускорять на нижележащих уровнях передачу только важного содержимого.

НОВЫЕ МОДЕЛИ ДЛЯ ПРАКТИЧЕСКОГО ПРИМЕНЕНИЯ

Сегодня в центральных офисах на смену классическим шлюзам удаленного доступа приходят устройства для оптимизации глобальных сетей. При этом доступ к сети предприятия по-прежнему осуществляется через Internet. Безопасность обеспечивается посредством IPSec или SSL. Новые решения гарантируют мобильному пользователю доступность всех важных приложений, равно как и адекватную скорость, даже при передаче на значительные расстояния при небольшой пропускной способности. Однако ноутбуки мобильных пользователей должны быть оснащены соответствующим клиентским ПО для решения задач на различных уровнях.

С точки зрения административных и финансовых затрат желательно применять и администрировать как можно меньше разнородных клиентов. Иначе говоря, при выборе решения для удаленного доступа следует внимательно изучить архитектуру клиента и выяснить, реализованы ли в нем все необходимые функции, к примеру, возможно ли ускорение приложений, размещенных на внешних хостах и защищенных SSL.

«ЧУЖИЕ» УСТРОЙСТВА ДОСТУПА

Помимо прочего, всеобъемлющее решение для удаленного доступа должно включать поддержку конечных устройств, находящихся вне зоны влияния системного администратора предприятия. Сюда можно отнести ПК, установленные у сотрудников дома или те, что они приносят в офис, а также общедоступные терминалы доступа в Internet, частные КПК и даже личные ноутбуки с выходом в Internet. В таких случаях клиенты «по требованию» могут сделать возможным надежный доступ к приложениям предприятия действительно в любое время.


Михаэль Хартманн — руководитель отдела продаж по регионам Германия/Австрия/Швейцария и Восточная Европа компании Blue Coat Systems.


© AWi Verlag


Связь против безопасности

Мхаэль Хартманн совершенно прав, ссылаясь (в связи с аспектами безопасности) на историю развития соединений удаленного доступа и напоминая о том, что еще в 90-е гг. «главная проблема» для мобильных сотрудников заключалась «в самой возможности установить соединение между ноутбуком и телефонной сетью». Ее отголоски ощущаются и по сей день. В то время я частенько менял род своей деятельности и рабочие места, поэтому мне приходилось таскать с собой по разным съемным и служебным квартирам не только старый ПК и ЭЛТ-монитор, но также разъемы-крокодилы и самодельную распределительную плату, чтобы подключать модем к различным типам телефонных сетей. О безопасности тогда я не задумывался.

Затем пришла пора дальних журналистских командировок с ноутбуком, который в то время не так просто было подключить к сети. Приходилось надеяться на то, что в телефонной книге отеля отыщется номер местного провайдера. Затем требовалось настроить модем в соответствии с тональным набором, принятым в стране пребывания, а также учесть особенности местной телефонной станции. Ноутбуки часто снабжались громоздкими штепсельными вилками Schuko, которые не подходили к стандартным дорожным сетевым адаптерам. На фотографии запечатлены результаты ночных бдений в Кремниевой долине примерно в 1999 г. Прямо в ночь прибытия первым делом пришлось найти кусачки, чтобы обработать пластик адаптера (если присмотреться внимательно, видно «надгрызанные» части). Безопасность? Разве что защита от вирусов, но не более того.

Несколько лет спустя, снова в Кремниевой долине, я впервые оказался без модема или сетевого кабеля, зато с бесплатным WLAN. Решение: покупка самой дешевой карты WLAN в первом попавшемся магазине техники. После ее установки выяснилось, что система безопасности компьютера не ладила с новым устройством. Вы бы стали тратить часы на поиск правильных настроек? Конечно нет, лучше их вообще отключить и поскорее подсоединиться к Internet через незашифрованный WLAN. Пикантная подробность: мне надо было отправить в редакцию информацию о последних достижениях в сфере безопасности ИТ.

Как раз в этом-то и кроется главная причина того, что и сейчас безопасность мобильных пользователей является проблемой: нехватка времени и ожидание, что любой сотрудник всегда и везде может быть на линии, порой уничтожают все успехи в области обеспечения безопасного доступа. Единственное решение: убеждать себя в том, что в сомнительных случаях следует предпочесть более надежный путь самому быстрому.


Д-р Йоханнес Виле — редактор журнала LANline

Поделитесь материалом с коллегами и друзьями

Купить номер с этой статьей в PDF