Во-первых, для построения IPsec-канала необходимы специфические протоколы и порты - ip50/51, UDP 500 и UDP 4500. Не всегда пользователю, желающему получить доступ к корпоративному ресурсу из Wi-Fi-сети аэропорта, будут доступны перечисленные порты и протоколы. Примеры подобных ситуаций можно долго перечислять: это может быть Интернет-кафе, доступ через GPRS, использование арендуемого офисного пространства с ограниченными возможностями использования сети Интернет и т.п.
Во-вторых, могут возникнуть проблемы построения защищенного канала в случае, если один из VPN-шлюзов находится за NAT-устройством и соответственно не имеет реального IP-адреса в сети Интернет, а также доступа, к которому осуществляется путем трансляции адресов.
Последней, но одной из самых важных проблем, является необходимость установки VPN-клиента на рабочую станцию пользователя, что порождает проблемы совместимости с ОС (далеко не все VPN-клиенты могут работать на Mac ОС), а также возможность конфликта с другими приложениями.
В качестве альтернативы стандарту IPsec была разработана технология SSL VPN, предназначенная исключительно для подключения удаленных пользователей.
SSL VPN лишен большинства вышеуказанных проблем, так как для работы используется только TCP-порт 443, доступный пользователю в большинстве случаев, и вместо VPN-клиента используется уже имеющийся на станции броузер.
Подробнее о SSL VPN и ее месте в КСИБ предприятия читайте в статье Павла Ерошкина, инженера Департамента информационной безопасности, "Техносерв А/С".
Вы хотите прокомментировать статью? Есть вопросы к автору? Хотите поделиться своей точкой зрения на рассматриваемую проблему? Пишите главному редактору журнала "Information Security/Информационная безопасность" Марии Калугиной (kalugina@groteck.ru)
По вопросам размещения рекламных материалов в журнале обращайтесь к руководителю проекта "Информационная безопасность" Наталье Рохмистровой (rohmistrova@groteck.ru). Тел.: (495) 609 32 31.
На фото - Павел Ерошкин