Термином «бесклиентские виртуальные частные сети» все чаще характеризуют решения, альтернативные традиционным сетям VPN на базе протоколов IP Security. Они начали появляться, когда поддержка виртуальных частных сетей на основе протокола IPSec стала требовать слишком высоких накладных расходов. Дело в том, что у VPN появилось слишком много нестандартных расширений, а присущие им технические ограничения не позволяли удовлетворять нужды заказчиков. Выяснилось, что при помощи IPSec практически невозможно организовать управление виртуальными частными сетями, которые должны объединять сотни или даже тысячи клиентов и множество филиалов компании.

Некоторые производители, в том числе Aventail, Neoteris, Netilla Networks, SafeWeb и TrueDisk.com, уже представили сетевые VPN-шлюзы, в которых используется технология Secure Sockets Layer (SSL). А компании Check Point Software Technologies и Nortel Networks интегрировали службы VPN на базе SSL в свои комплексные продукты для организации VPN.

Ключевым для виртуальной частной сети на базе протокола SSL является Web-браузер — клиентское приложение, устанавливаемое почти на любом компьютере. Конечный пользователь запускает Web-браузер и подключается к шлюзу безопасности SSL. Идентифицировав пользователя, он передоверяет соединение (как правило, основанное на протоколе http) Web-серверу, который находится внутри корпоративной сети.

Типичным примером прикладной программы в данном случае является приложение Web-почты, например ПО Outlook Web Access (OWA), представляющее собой клиентскую часть популярной почтовой системы Microsoft Exchange. Размещая сервер VPN-SSL перед Web-сервером OWA, сетевой администратор может добавить средства шифрования, аутентификации и управления без увеличения нагрузки непосредственно на сервер OWA.

Виртуальные частные сети на основе SSL не только шифруют трафик, проходящий через Internet, но и препятствуют поступлению нефильтрованной информации на Internet Information Server. Некоторые производители развивают идею создания виртуальных частных сетей на базе технологии SSL, встраивая в свои продукты трансляторы протоколов. Фактически они представляют собой шлюзы между клиентской частью HTTP-over-SSL и другими внутренними протоколами. Все это позволяет пользователю, к примеру, получать доступ к файловой системе с помощью средств VPN-SSL.

Однако при использовании в виртуальных частных сетях протокола SSL уровень защиты оказывается гораздо более низким, чем поддерживаемый аналогичными решениями на основе IPSec. В данном случае используемые криптографические средства заметно слабее, а аутентификация не столь надежна. Соответственно, возникает масса возможностей для проведения атак извне. Кроме того, многие приложения не могут работать в виртуальных частных сетях на базе SSL.

В то же время существует немало приложений, для которых виртуальные частные сети на основе SSL обеспечивают достаточно высокий уровень безопасности. При этом управление ими не вызывает у персонала такой же головной боли, как управление системами удаленного доступа, в которых используется протокол IPSec.

Поделитесь материалом с коллегами и друзьями