В шестом номере журнала "Информационная безопасность": SSL VPN - технология работы и перспективы развития
22.10.2008
Задача обеспечения безопасности Интернет-коммуникаций, в частности, шифрование трафика между филиалом и локальной сетью предприятия, успешно и надежно реализована на основе стандартов IPsec. Современные реализации защищенных каналов по стандарту IPsec способны решить практически все задачи, в том числе и задачу подключения удаленных пользователей, однако здесь возникает ряд минусов.
Во-первых, для построения IPsec-канала необходимы специфические протоколы и порты - ip50/51, UDP 500 и UDP 4500. Не всегда пользователю, желающему получить доступ к корпоративному ресурсу из Wi-Fi-сети аэропорта, будут доступны перечисленные порты и протоколы. Примеры подобных ситуаций можно долго перечислять: это может быть Интернет-кафе, доступ через GPRS, использование арендуемого офисного пространства с ограниченными возможностями использования сети Интернет и т.п.
Во-вторых, могут возникнуть проблемы построения защищенного канала в случае, если один из VPN-шлюзов находится за NAT-устройством и соответственно не имеет реального IP-адреса в сети Интернет, а также доступа, к которому осуществляется путем трансляции адресов.
Последней, но одной из самых важных проблем, является необходимость установки VPN-клиента на рабочую станцию пользователя, что порождает проблемы совместимости с ОС (далеко не все VPN-клиенты могут работать на Mac ОС), а также возможность конфликта с другими приложениями.
В качестве альтернативы стандарту IPsec была разработана технология SSL VPN, предназначенная исключительно для подключения удаленных пользователей.
SSL VPN лишен большинства вышеуказанных проблем, так как для работы используется только TCP-порт 443, доступный пользователю в большинстве случаев, и вместо VPN-клиента используется уже имеющийся на станции броузер.
Подробнее о SSL VPN и ее месте в КСИБ предприятия читайте в статье Павла Ерошкина, инженера Департамента информационной безопасности, "Техносерв А/С".
