Сравнение технологий IPsec и SSL VPN

Статья рассматривает принципы выбора между технологиями IPsec и SSL VPN, какая технология более подходит бизнесу и какие VPN решения эффективно противостоят тем или иным угрозам.

Сегодня, пользователи должны иметь доступ к различным корпоративным приложениям с разных типов устройств. Работает ли пользователь в удаленном офисе, гостиничном номере или дома, использует ноутбук, карманное устройство или компьютер в Интернет-кафе, он должен иметь простой доступ к корпоративным ресурсам для выполнения своих задач, не теряя производительности. Кроме того, все чаще деловые партнеры или клиенты нуждаются в доступе к актуальным ресурсам и приложениям компании.

В начале 1990-х годов были ограничены возможности расширения доступности данных предприятия за пределы локальной корпоративной сети, главным образом из-за чрезвычайно дорогостоящих выделенных линий и негибких частных сетей. По мере распространения и роста значимости Интернета, возникла концепция виртуальных частных сетей, которая выступила в качестве альтернативы выделенных линий. Это решение нашло применение в открытых магистральных транспортных протоколах IP – надежный протокол IPSec обеспечивал более гибкое, экономически выгодное решение для безопасного доступа. Сети, построенные на принципе IPsec VPN, эффективно выполняют требования фиксированных, сайт-сайт, сетевых подключениях. Однако, для мобильных пользователей они часто слишком дорогие, их применение невозможно для деловых партнеров или клиентов, так как требуется установленное и настроенное программное обеспечение на каждой конечной точке.

Поэтому для предоставления доступа удаленным и мобильным пользователям была разработана технология SSL VPN. При этом клиенты получают защищенный доступ только к тем ресурсам, которые считаются необходимыми для этого пользователя, даже если доступ производится с общедоступной машины, которая находятся вне контроля предприятия, не соответствуют корпоративной политике безопасности и рассматривается как "ненадежная".

Сети VPN на основе IPSec

VPN-соединение на основе протокола IPsec может предложить предприятиям простой и экономически эффективный способ маршрутизации пакетов между точками, обеспечивая возможность установления прочной связи и отказоустойчивости для соответствия потребностям самых требовательных сетевых сред. Такая альтернатива аренды частных линий позволяет предприятиям использовать инфраструктуру Интернета для быстрого расширения сети географически удаленных мест.

Технически по Интернет сетям проходит информация, в том числе критичные данные в незашифрованном виде. Соединение виртуальной частной сети обеспечивает сочетание функций шифрования и туннелирования для решения задачи безопасности. Компании используют такие протоколы передачи данных, как IPsec, для инкапсуляции данных, которые передаются в IP пакетах в сети Интернет. Шлюз VPN получает такие инкапсулированные данные, расшифровывает их и направляет получателю. Трафик, поступающий от шлюза VPN, обрабатывается таким образом, как если бы он пришел от пользователя местной локальной сети. В результате такого VPN соединения пользователь получает полный, постоянный доступ к сети. Это идеальный вариант для обслуживания постоянных соединений и совместного использования ресурсов среди пользователей в географически распределенных офисах в целях повышения производительности масштабных предприятий.

В некоторых случаях этот уровень доступа может оказаться ненужным или невозможным. Например, мобильному пользователю, которому просто необходимо проверить электронную почту или получить документы из интрасети, не нужна выделенная линия для доступа ко всем ресурсам. Кроме того, такой уровень доступа может представлять угрозу безопасности, если конечная точка, с которой заходит пользователь, небезопасна или может быть легко скомпрометирована. Использование IPsec VPN в таком случае представляет собой открытую дверь в локальную сеть, поэтому устройству, которое не подчиняется корпоративной политике безопасности, должно быть отказано в подключении.

Другой момент, который должен быть учтен при рассмотрении протокола IPsec, является управление ресурсами, необходимыми для его внедрения и обслуживания. Как уже отмечалось, удаленные точки должны иметь предустановленное и настроенное программное обеспечение. Для организаций, предоставляющих удаленный доступ сотням или тысячам мобильных пользователей, процесс установки, обновления, настройки и управления всеми клиентами может быть очень длительным и дорогостоящим. Также небезопасно использовать принцип "всегда на связи" мобильным сотрудникам, которые пользуются личными ноутбуками, КПК (отсутствие настроек соединения для такого типа устройств) или клиентам компании.

Именно в такой среде технология SSL VPN нашла широкое применение для решения проблемы удаленного доступа мобильных пользователей или клиентов.

Приложения протокола SSL VPN

Термин "SSL VPN" используется для обозначения категории быстро развивающихся продуктов, включающих в себя различные технологии. Чтобы понять какие решения сюда относятся, начнем с самого подхода VPN. VPN – способ передачи частной информации по средствам сети общего пользования (как правило, Интернет). Вплоть до 2001 года большинство инфраструктур не использовало в своих сетях VPN дескриптор, потому что почти все виртуальные частные сети на тот момент использовали какой-либо тип протокола сетевого уровня. Сначала это был стандарт IPsec в пространстве VPN, хотя некоторые производители уже использовали и другие методы, в том числе туннельный протокол 2-го уровня (Layer 2 Tunneling Protocol = L2TP), и протокол туннелирования точка-точка (Point-to-Point Tunneling Protocol  = PPTP).

Сети, построенные на  SSL VPN, используют другую методологию для передачи частных данных через Интернет. Вместо того чтобы полагаться на сетевые настройки и безопасность на конечных точках, SSL VPN использует протокол HTTPS, который доступен во всех стандартных веб-браузерах в качестве безопасного механизма доставки без необходимости дополнительного программного обеспечения. За счет SSL VPN связь между мобильным пользователем и внутренними ресурсами происходит через сетевое подключение на уровне приложений, в отличие от открытого "туннельного" подключения IPSec VPN на сетевом уровне.

Большинство пользователей сталкивались с SSL, даже не подозревая об этом. Технология SSL установлена на любом устройстве с выходом в сеть, которое использует стандартный веб-браузер, причем его настройка не требуется. SSL работает на прикладном уровне, независимо от операционной системы. Особенностью подключения SSL VPN является четко разграниченный контроль доступа к приложениям на основе аутентификации пользователя, сети, из которой он подключается, и уровня безопасности устройства, что делает SSL идеальным инструментом для мобильных сотрудников и пользователей неконтролируемых точек.

SSL VPN также предоставляет возможность подробного аудита, что позволяет предприятиям и сервис-провайдерам соответствовать многим стандартам, таким как HIPAA, Sarbanes-Oxley, Payment Card Industry Data Security Standard (PCI DSS) и так далее. Хотя IPsec VPN обеспечивает аутентификацию пользователей, данный протокол не может обеспечить четкий контроль именно того, что пользователь просматривает или к чему имеет доступ, чего требуют стандарты. В отличие от сетевого уровня IPSec VPN, в SSL VPN, который работает на уровне приложений, присутствует возможность обеспечить разграниченный доступ и представить отчеты посещений в соответствии с требованиями различных регламентов.

Технология SSL VPN используется в различных типах соединений динамически загружаемых агентов. Такое преимущество позволяет использовать SSL VPN для поддержки клиент-серверных приложений, где создается полное туннельное сетевое подключение, которое доставляет настройки по принципу традиционных IPsec VPN сетей. Такая динамическая доставка облегчает использование агента при установке и настройке программного обеспечения каждого клиента.

Другим преимуществом SSL VPN является гарантия безопасности конечной точки. Если в сетях IPSec VPN требуется заведомо определенный уровень безопасности конечных точек, SSL VPN осуществляет динамические проверки безопасности конечной точки перед началом сессии или/и периодически во время нее.

Заключение

Заострять свое внимание при выборе решения не стоит только на технических аспектах или только принципах использования. На самом деле, IPsec и SSL не являются взаимоисключающими технологиями. Очень часто в компаниях используются как тот, так и другой метод. Учитывая стоимость и преимущества каждого типа, а также задачи, под которые каждая технология была разработана, выбор внедряемого решения становится более очевидным.

Тип приложения

Тип конечного устройства

Сетевая безопасность удаленной точки

Тип соединения

Тип VPN

Удаленный офис/офис филиала

Корпоративный

Управляемая, доверенная среда

Фиксированное сайт-сайт соединение

IPsec

Мобильный сотрудник

Корпоративный/некорпоративный

Неуправляемая, недоверенная среда

Мобильный

SSL VPN

Партнер/клиент из внешней сети

Некорпоративный

Неуправляемая, недоверенная среда

Мобильный

SSL VPN

Сотрудник с удаленным доступом

Корпоративный/некорпоративный

Управляемая, доверенная среда

Мобильный

SSL VPN