Web-технологии предлагают удаленным пользователям и сотрудникам, не имеющим постоянного рабочего места, простейший способ связи с головным офисом. Но так ли безопасно и просто, как кажется на первый взгляд, плавать в водах большой Сети или ее малой корпоративной родственницы?
Администраторы ИС, заботящиеся о пребывании удаленных и мобильных пользователей в корпоративной сети, постоянно балансируют на краю пропасти. Каждую минуту им приходится выбирать между простотой доступа на основе браузера через Internet и безопасностью более старых методов.
В пользу доступа с помощью браузера, безусловно, говорит его простота. Удаленным пользователям, имеющим на своих машинах браузеры, достаточно сделать локальный звонок через Internet. Установив соединение, они вводят с клавиатуры URL-адрес или щелкают мышью на закладке, соответствующей адресу их корпорации. Если после этого пользователь введет правильный пароль, он получит доступ к базам данных, электронной почте и приложениям, т. е. к тем же ресурсам, к которым имеют доступ его коллеги, работающие в офисе.
Поскольку сейчас многие корпорации "Web'ифицируют" традиционные источники данных, доступ к корпоративной информации для удаленных пользователей становится еще проще. Пользователи ценят, когда компании предоставляют для своих баз данных ориентированные на Web клиенты. До появления Web работа со средствами формирования запросов и генерации отчетов превращалась в сложную процедуру обработки интерактивных транзакций.
Вместе с другими пользователями простоту нового подхода оценили и работники сферы торговли. Теперь они получили возможность, не отходя от прилавка, связаться по интрасети со складом или бухгалтерией и выяснить, есть ли нужный товар и сколько он стоит.
Возникает вопрос: а можно ли пускать такую информацию в более или менее свободное плавание по Internet? Но как ей миновать Сеть, если для доступа в интрасеть пользователь предпочитает браузер, а не старый добрый способ в виде непосредственного подключения к шлюзу локальной сети! "Подсоединяя кабель к Internet, вы сразу становитесь возможным объектом злонамеренных действий, - предупреждает Джон Телфорд, глава компании Infomax Consulting. - Строго говоря, иметь такой удаленный доступ - вовсе не столь уж великое благо, если речь идет о защите".
Возможности Internet неизбежно влекут за собой недостаток защиты. Когда звонки по телефонному номеру осуществляются по общедоступной линии, они попадают непосредственно на сервер корпорации, не проходя через целую толпу всевозможных серверов и маршрутизаторов, как это происходит при удаленном доступе по Internet.
Ловушка популярности
Что и говорить, далеко не всем администраторам, занимающимся организацией удаленного доступа, удается не сорваться в пропасть. Но, согласно исследованию Gartner Group, к 2002 г. более 108 млн сотрудников по всему миру будут работать вне офисных помещений. Это означает, что сотрудники, находящиеся далеко от офисов, не должны лишаться доступа к находящейся там информации.
Администраторы ИС не видят единого решения, позволяющего гарантировать безопасный доступ, хотя согласны, что можно найти несколько удовлетворительных методов на первое (и довольно продолжительное) время.
Так, в компании Chanel, центральный офис которой находится, разумеется, в Париже, для организации связи с сотрудниками многочисленных торговых представительств компании развернута сеть extranet. В своих офисах Chanel использует RemoteWare Express компании ХcelleNet. Информация о заказах из торговых точек направляется по сети в головные офисы; средствами сети осуществляется и подтверждение подлинности этой информации. Доступ на основе браузера представляется сотрудникам магазинов очень простым, для навигации они используют гиперссылки. Связь осуществляется через сервер удаленного доступа на базе Windows NT.
По словам старшего программиста компании Джоя Слаттера, предоставив продавцам интерфейс на основе браузера, компания добилась существенного упрощения работы пользователей и администраторов. В руках у продавцов оказались данные, которые они не смогли бы получить, пользуясь старыми средствами удаленного доступа.
Кроме того, Chanel тестирует RemoteWare Express Software Manager, который служит для безопасной рассылки модернизированного ПО удаленным и мобильным пользователям при любом их обращении в extranet. Компания изучает схемы работы и характер доступа для выработки улучшенных методов рассылки данных и модернизированных программных средств удаленным пользователям.
Подобно ХcelleNet, производители средств удаленного доступа переоценивают и переделывают свои системы, с тем чтобы Internet стала наилучшей сетью для передачи, а Web - самой желательной инфраструктурой. Как только пользователи смогут входить в корпоративные локальные сети через интрасеть, станут ненужными многочисленные модемы, до сих пор применяемые для доступа к серверам удаленного доступа по телефонным каналам. Более не придется поддерживать многочисленные точки присутствия (points of presence), поскольку каждый пользователь сможет выполнять локальные звонки в Internet.
В традиционных конфигурациях серверы удаленного доступа, игравшие роль привратников локальной сети, выполняли функции как защиты, так и подтверждения полномочий. Именно с этими функциями меньше всего хотят расстаться администраторы ИС, поэтому некоторые компании сохраняют такие серверы, но добавляют к ним коммутатор, обеспечивающий доступ через extranet. Коммутатор располагается между Internet и виртуальной частной сетью (VPN), ведущей в интрасеть.
В коммутаторах доступа для extranet функции обеспечения сетевых коммуникаций объединены с функциями маршрутизации, аутентификации, управления полосой пропускания и взаимодействия с корпоративным брандмауэром. Такой коммутатор (NOC 4000) производит, к примеру, New Oak Communications.
Есть и другие способы сохранить сервер удаленного доступа, пользуясь благами связи через Internet. Так, компания Funk Software недавно расширила свой комплект Remote Access Communication Suite, добавив в него шлюз Internet, работающий как защищенный маршрутизатор. Он обеспечивает доступ с помощью браузера к серверам IntranetWare компании Novell. Даже компания, не имеющая непосредственного выхода в Internet, может связаться с провайдером доступа через порт сервера удаленного доступа.
Переход в "воображаемое"
"Мы считаем, что в 1998 г. проявится устойчивая тенденция к развертыванию VPN с помощью провайдера услуг", - уверен Бред Болдуин, директор подразделения, занимающегося вопросами удаленного доступа в компании IDC. Большинство основных провайдеров (среди которых -AT&T, MCI Communications, Sprint) и более мелких компаний (таких как IBM Global Services и GE Information Services) предлагают услуги VPN. Многие владельцы средств связи применяют протоколы туннелирования для обеспечения безопасности частных данных в своих магистралях.
ПО туннелирования помещает IP-пакеты в зашифрованные пакеты, которые и передаются по временному соединению точка-точка. Брандмауэр отправителя выполняет шифрование и упаковку отсылаемых данных; по прибытии на место назначения они открываются, определяется подлинность отправителя, после чего данные расшифровываются.
"Происходит то же самое, что при роуминге или связи по extranet с бизнес-партнерами", - поясняет аналитик Джулия Борт, занимающаяся вопросами разработки стандартов защиты. Например, главный бухгалтер должен знать, как извлекать информацию о продажах из центрального хранилища, - часто с помощью интерфейса браузера к унаследованной базе данных, "на лету" формирующего отчеты в формате HTML. Если он находится в отъезде, то может получить ту же информацию по VPN с гарантией безопасности.
Как полагает Телфорд, когда речь идет о больших расстояниях, VPN, безусловно, представляет собой наилучшее решение. Такую схему он предложил клиентам, офисы которых располагаются в разных концах земного шара и которые прежде пользовались выделенными каналами, чья оплата выливалась в поистине астрономические суммы.
Однако принять принципиальное решение о работе через VPN проще всего. Дальше все становится сложнее, поскольку приходится выбирать из нескольких конкурирующих протоколов туннелирования. Наиболее часто администраторы останавливаются на протоколах Point-to-Point Tunneling Protocol (PPTP) компании Microsoft и IP Security (IPSec), предлагаемых комитетом IETF (Internet Engineering Task Force).
Типичный сценарий, по которому работает PPTP, предусматривает наличие удаленного клиента под Windows и сервера Windows NT, где развернуты службы proxy и маршрутизации. Удаленный пользователь устанавливает локальное соединение с Internet и вводит Web-адрес корпоративной сети extranet. Клиент посылает идентификатор пользователя и пароль провайдеру Internet и на сервер удаленного доступа, который распознает их и разрешает прием пакетов от этого пользователя. Для подтверждения подлинности сервер способен послать удаленной программе идентификатор.
Правда, Борт опасается, что PPTP может оказаться недолговечным, даже несмотря на отличную поддержку. Дело в том, что Microsoft уже работает над "последователем" этого протокола - Layer 2 Tunneling Protocol (L2TP).
IPSec поддерживает много алгоритмов шифрования, в том числе разновидности DES (Data Encryption Standard), благодаря чему обеспечивает более надежное шифрование, нежели PPTP. Кроме того, он применяется в туннелях, включающих в себя брандмауэры и маршрутизаторы, и размещается как на сервере, так и на клиенте.
По словам Борт, на худой конец, компании, предоставляющие своим сотрудникам удаленный доступ через Internet, должны применять стандарт Secure Sockets Layer (SSL). Этот стандарт был разработан Netscape Communications и широко поддерживается серверами и браузерами.
Если же администраторов интрасетей не устраивает уровень защиты, который обеспечивается для доступа через Internet, они могут потребовать от пользователей "дозваниваться" непосредственно до сервера удаленного доступа, но разрешить им при этом работать с интерфейсом браузера. Они имеют возможность пользоваться теми же паролями и даже средствами шифрования, однако должны избегать общедоступных сетей.
Удаленный доступ ведет в Web
Независимые компании совершенствуют свои средства удаленного доступа, ориентированные на работу с Web. Так, фирма Traveling Software, выпустившая известную программу разделения файлов LapLink, сейчас поставляет программу Point B Remote Net-Accelerator.
Размещаемое на клиенте, основанном на браузере, и сервере удаленного доступа, это ПО ускоряет обмен информацией с удаленными пользователями за счет кэширования. Оно кэширует данные клиента, потом сравнивает их с содержимым сервера и пересылает лишь то, что изменилось. "Point B может служить промежуточным ПО для любого решения на базе PPTP или VPN", - уверен менеджер по продукту Клеменс Батц.
Производители средств доступа к хост-системам особенно заинтересованы в сотрудничестве при разработке средств связи через Web. Удаленный доступ к хосту (при котором удаленному пользователю предоставляются те же полномочия для работы с корпоративными базами данных, что и находящемуся в офисе) вызывает ряд серьезных опасений, касающихся безопасности. Тем не менее основные производители таких средств добавили в свои продукты поддержку браузеров. Они добавляют поддержку Java, ActiveX и других технологий Web, а также объединяются с производителями серверов удаленного доступа и коммутаторов, дабы гарантировать безопасность приложений хост-компьютеров, доступ к которым осуществляется через интрасеть или extranet.
Что же нас ожидает? По мнению Болдуина, более быстрая связь через кабельные модемы и технологии цифровых абонентских линий позволят создавать более защищенные VPN. Возможности интрасетей представляются ему безграничными.