Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 13. februar 2004.
Med en SSL VPN-boks bag firewall'en slipper man for at installere software på de bærbare, der skal kommunikere via sikre tunneller på internettet. Den nye teknologi giver store besparelser i forhold til traditionel VPN.
Der er både penge og besvær at spare ved at indføre ny teknologi til beskyttet fjernadgang til it-systemerne via internettet. Deutsche Bank regner således med at spare 36 procent på udgiften til fjernadgang, når en bruger skifter over den nye type, der kaldes SSL VPN (Secure Sockets Layer, Virtual Private Network). Tidligere skete fjernadgangen kun via den "klassiske" VPN-teknologi.
VPN-teknologi skaber en slags private tunneller på det ellers offentligt tilgængelige internet og krypterer desuden informationerne, der sendes igennem tunnellerne.
Bag påstanden om Deutsche Banks store besparelser står en leverandør, og det er NetScreen, der har leveret udstyret til den tyske storbank. Men leverandøren, repræsenteret ved direktøren for Europa, Paul Donovan, synes at have analysefirmaerne i ryggen, når han roser den type teknologi.
Gartner kalder det således en "enklere, lettere og billigere" teknologi end den "gamle" VPN. Og konsulenthuset Frost & Sullivan spår, at SSL VPN-markedet, der i 2003 var 90 millioner dollars værd, vokser til over 200 millioner i indeværende år. I år 2010 ventes det at ligge på 1,4 milliarder dollar.
En stor ulempe ved den "klassiske" VPN-løsning er, at der skal installeres særlig VPN-software på enheden, som man vil koble sig op via, hvad enten det er en bærbar computer, en håndpc eller en mobiltelefon. Der skal desuden lirkes i firewall'en og måske i netværksinstallationen.
Løsningen kan give problemer, når man kobler sig op for eksempel på hoteller eller andre steder, hvor ens egen virksomhed ikke selv står for it-infrastrukturen.
Mellemserver
SSL VPN-løsningen omfatter blot en boks - en slags mellemserver - der placeres bag firewall'en - mellem firewall'en og de bagvedliggende systemer. Enheden håndterer forskellige niveauer af adgangskontrol til programmer og data. Visse brugere skal have adgang til alt, som var de på kontoret, mens andre måske kun skal have fuld adgang til mail-systemet og det kunderettede CRM-system (Customer Relationship Management) fra hotelværelset.
En lang række sikkerhedsleverandører tilbyder nu SSL-produkter, men i flere tilfælde er produktet kommet i hus gennem opkøb af et mindre teknologifirma.
Symantec købte således SafeWeb, og NetScreen købte Neoteris.
Jim Clark scorede
Det køb gjorde en rig og berømt investor, endnu rigere. Jim Clark, der stod bag Netscape, som erobrede browsermarkedet, før Microsoft havde fået søvnen ud af øjnene, havde skudt penge i Neoteris. Investeringen skulle han efter sigende have fået mere end tifold igen.
Da NetScreen i oktober annoncerede det forestående køb, lå prislappen på 1,7 milliarder kroner. Kæmpebeløbet for et lille, lovende firma gav ligefrem mindelser om de overophedede dotcom-dage.
Hos Deutsche Bank har omkring en tredjedel af de 78.000 ansatte ret til fjernadgang. Oprindeligt var det som nævnt kun via VPN, men alene det forhold, at der med SSL VPN ikke skal installeres og ajourføres software på de tusinder af bærbare pc'er, giver pæne besparelser.
Extranet-alternativ
Ifølge NetScreens Paul Donovan, der kom fra Neoteris-siden, er den nye teknologi også et alternativ til opbygningen af et extranet (et net bygget på internetstandarderne, men hvor der foruden de interne brugere også er adgang for udvalgte eksterne brugere, såsom visse leverandører og kunder.)
- Neoteris skabte, hvad der kan kaldes et øjeblikkeligt virtuelt extranet. Det tager kun tre timer at få teknologien i drift, sagde Paul Donovan, da han i slutningen af januar talte i London på en sikkerhedskonference.
Arrangøren var Reed Exibition, der brugte konferencen som en appetizer for sikkerhedsmessen Infosecurity Europe 2004 i London i april.
Neoteris-teknologien har modtaget en mængde priser fra it-magasiner og særlig omtale fra analytikerfirmaer. Gartner placerer således firmaet højt i sin såkaldt magiske kvadrant, hvor det handler om, hvem der er mest visionær, og hvem der er bedst til at eksekvere visionen.
NetScreens Neoteris scorer højest, når det gælder udførelse, siger Gartner, mens Aventail, der er et ældre firma, og som derfor også kan tilbyde lidt bredere funktionalitet, betegnes som den mest visionære. Kvadranten vedrørte 2003.
Californiske Netscreen er repræsenteret flere steder i Europa, herunder i Stockholm, men ikke i Danmark. En anden spiller er imidlertid på vej. På sikkerhedskonferencen i London oplyste selskabet Netilla, at man var i færd med at afslutte forhandlinger om distrubution i Danmark. Blandt Netillas europæiske kunder ses Rolls Royce og det hollandske transportministerium.
Lover for meget
Ifølge markedsføringsmateriale fra firmaerne er det relativt enkelt at få adgang til både web-applikationer og client/server-applikationerne, men en test i amerikanske Network World viser, at det ikke er tilfældet.
Magasinet testede syv SSL VPN produkter. Leverandørerne var Nokia, Netilla, NetScreen (Neoteris-produktet), AEP, F5 Networks og Whale Communications. Aventail var altså ikke med.
Der blev blandt andet testet mod rene webapplikationer, webapplikationer med Java og Flash, mod store e-mailssystemer og mod bagvedliggende applikationer. Den samlede testvinder blev NetScreen.
Graf: Konsulenthuset Frost & Sullivan spår, at SSL VPN-markedet, der i 2003 var 90 millioner dollars værd, vokser til over 200
millioner i indeværende år. I år 2010 ventes det at ligge på 1,4 milliarder dollar.
Boks:
SSL VPN bør ikke betragtes som en erstatning for de traditionelle virtuelle private netværk (IPsec VPN), men som et supplement, skriver det amerikanske tidsskrift CIO. SSL-versionen rummer nemlig visse svagheder. Gælder det kommunikation mellem mennesket og specifikke webbaserede applikationer, er der intet problem. Men involveres for eksempel kommunikation mellem applikationer, såsom webservices, åbnes for sårbarheder.
Den kommunikation sker i det såkaldte netværkslag, der ikke krypteres med SSL-baserede løsninger. Derfor skal den systemansvarlige sørge for, at der sættes ind med ekstra sikkerhedsforanstaltninger, hvis det totale system indeholder netværkskommunikation applikationer imellem. toft/JOSS
