Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den CTO d. 3. februar 2006.
SSL-Baseret VPN EDC-mæglerne har adgang til deres centrale systemer fra enhver browser takket være et virtuelt privat net, der bygger på SSL-standarden.
Ejendomsmæglerne i EDC-kæden har det seneste års tid kunnet få adgang til en del af deres fælles applikationer, hvis de blot har adgang til en pc med en browser. I denne måned udvides funktionen med fjernstyring af skrivebordet.
Teknologien, som EDC anvender, hedder SSL-baseret VPN (virtuelt privat netværk). Traditionelle VPN-løsninger kræver, at man installerer klientsoftware på brugerens pc. Dette stykke software sørger for at kryptere forbindelsen over internettet frem til det centrale it-system.
Med et SSL-VPN er klienten ikke nødvendig. I stedet bruger man den indbyggede krypteringsmulighed ved hjælp af SSL (Secure Sockets Layer), der findes i stort set alle webbrowsere.
- Det er en ganske billig løsning, der er meget nem at betjene, siger it-chef Jeppe Degnbol fra EDC-gruppen.
EDC's traditionelle it-løsninger indbyder ikke til fjernopkobling. Virksomheden har udviklet en række decentrale applikationer, der kører ude på pc'er hos den enkelte ejendomsmægler og kommunikerer med en lokal filserver. Men organisationen er i gang med en større centraliseringsopgave, hvor alle applikationer efterhånden skrives om til webplatformen. Samtidig er alle mæglerne koblet sammen i et MPLS-netværk, som TDC har leveret.
Foreløbig er to applikationer gjort centrale: Mail med kalender, der kører på en Microsoft Exchange Server-platform, og intranettet, der giver adgang til alle funktioner inden for sagsstyring. Det kører på Microsofts web-serverprogram IIS (Internet Information Services).
- Oprindelig havde vi planlagt at sikre adgangen til de to applikationer på systemerne selv. Både Exchange og IIS understøtter SSL-kryptering, og autentifikationen ville vi sikre med et tokensystem. Så skulle brugerne få udleveret tokens med skiftende adgangskoder. Men så ville ansvaret for sikkerheden i vores intranet ligge i IIS og i programmørernes evne til at overholde nogle retningslinjer, fortæller Jeppe Degnbol.
Det sidste punkt uddyber han med, at en programmør kunne komme til at lægge et link ind, der ikke var krypteret. Det er der ikke noget system til at opdage. Derfor ville der blive behov for mere kvalitetskontrol. Men det passer dårligt til en branche, hvor man har tradition for hurtigt at sende nye produkter på markedet.
I stedet kontaktede han nogle folk hos leverandøren IPnett, som han kendte i forvejen fra tidligere samarbejder. De hjalp EDC med at udvælge produkter til SSL-baseret VPN, som så blev vurderet nærmere.
- Vi kiggede blandt andet på Cisco, der havde en udmærket løsning. Men da vi sammenlignede den med Junipers løsning, kunne vi se, at vi fik flere funktioner der, siger han.
De ekstra funktioner handler især om indkapsling. Et SSL-VPN opbygges ved, at man sætter en særlig web-server op. Al kommunikation med den server er krypteret med SSL. Serveren fungerer som en proxy, der optræder som web-klient i forhold til de systemer, den skal give adgang til.
Men den kan ikke nøjes med at kryptere siderne og sende dem ud til browseren. Det kan nemlig medføre, at indlejrede links ikke længere virker, fordi URL'erne skal ændres. Derfor skal SSL-VPN-boksen omskrive siderne, før de bliver sendt videre.
- De fleste systemer kan uden problemer give adgang til Outlook Web Access og lignende standardsystemer. Problemerne opstår, når man selv har udviklet web-applikationer. Og vi har rigtig mange egenudviklede og indkøbte tredjepartskomponenter i vores intranet, fortæller Jeppe Degnbol.
IPnett sørgede for, at Juniper stillede en boks til rådighed for EDC. Igennem to dage udsatte EDC's it-folk den for alle de mest besværlige opgaver, de kunne finde. Og der var kun mindre skønhedsfejl på indkapslingen af EDC's applikationer, hvor nogle af de andre leverandører slet ikke kunne være med, oplyser Jeppe Degnbol.
EDC's SSL-VPN har nu været i drift i knap et år. Det giver adgang til mail, kalender og intranet. Derudover har brugeren også adgang til sine lokale netværksdrev på serveren, der står hos ejendomsmægleren. Der er mulighed for at køre centrale applikationer via en Citrix-løsning. Og i denne måned åbnes for fjernstyring af skrivebordet. Alt sammen uden anden klientsoftware end den, som browseren kan installere.
Jeppe Degnbol venter, at fjernskrivebordet vil en blive meget populær funktion. Det giver adgang til de systemer, som endnu ikke er centraliseret - har man adgang fra sit normale skrivebord, har man også adgang via fjernskrivebordet. Men på længere sigt skal den funktion gerne blive overflødig, efterhånden som alle applikationer flyttes over på web-platformen.
Når en pc prøver at forbinde sig til VPN'et, downloader SSL-VPN-boksen først et program til den, som tjekker pc'ens sikkerhedsmæssige tilstand. Det kan for eksempel undersøge, om der er installeret et opdateret antivirusprogram, og om bestemte softwareopdateringer er på plads.
- Sikkerhedsmæssigt kan vores brugere være forskellige steder. Måske forbinder de sig til nettet fra en af vores samarbejdspartnere. Der vil der som regel være godt styr på sikkerheden. Omvendt kan de være på en netcafe i udlandet, hvor det ikke engang er muligt at downloade det program, der tjekker helbredstilstanden, siger Jeppe Degnbol.
Til det formål har EDC opdelt brugerne i tre kategorier ud fra, hvor de kobler op fra. Hvis man kobler op fra en pc, der ikke kan køre helbredstjekket, får man således meget begrænsede beføjelser: Man kan se sine netværksdrev, men ikke gemme på dem eller overføre dokumenter til systemet. Der er kun mulighed for at læse sager, sende mails og oprette aftaler i kalenderen. Systemet er skræddersyet til EDC.
- Det er en stor fordel sikkerhedsmæssigt. For det gør, at sikkerheden nu ligger i SSL-VPN-systemet, i stedet for at vi skal lægge den ind i de enkelte applikationer. Vi skal som udviklere ikke tænke på, at vores system har ekstern adgang, siger Jeppe Degnbol.
Spørger man Jeppe Degnbol om ulemper ved systemet, fremhæver han især en:
- Man har ikke samme styr over brugerne, som man ville have med et token-system. Hvis nogen giver et brugernavn og password videre, kan andre misbruge det. Men det vil stadig kun give adgang til den enkelte mæglers data, siger han.
Hvis det bliver et problem, kan systemet i øvrigt kombineres med en token-baseret løsning. Brugerne administreres via Active Directory, som EDC i forvejen anvender, så i det daglige er der meget lidt administration af SSL-VPN-systemet.
Han regner med, at SSL-VPN-systemet vil kunne erstatte flere af de MPLS-opkoblinger, som mæglerne anvender i dag. Det vil typisk være de opkoblinger, der bruges til hjemmearbejdspladser. Men samtidig understreger han, at SSL-VPN'et ikke er tænkt som en afløsning for MPLS-netværket. Han anbefaler ikke brugerne at droppe MPLS-opkoblingen fra deres primære arbejdspladser, da man ikke kan garantere noget over en tilfældig opkobling til internettet.
Billedtekst:
prøv før du køber - SSL-VPN bygger på en avanceret teknologi, så det er vigtigt at købe det hos en integrator, der er fortrolig med den. Og så skal man prøve det i praksis, før man køber, lyder rådet fra it-chef Jeppe Degnbol, EDC-gruppen.
Boks:
Et godt råd
Hvis en virksomhed overvejer at indføre et SSL-VPN, har EDC's it-chef Jeppe Degnbol dette råd til dem:
- Sørg for at afklare, hvordan I har det med, at jeres brugere bliver en mere flydende størrelse. Nu kan de koble på fra ethvert sted, hvor der står en pc med internetadgang. Det medfører også overvejelser om, hvordan man håndterer det, når sikkerheden bliver kompromitteret, siger han.
Han understreger, at EDC's løsning er den rette til en virksomhed med mange egenudviklede webapplikationer. Har man i stedet primært standard-software, man vil give krypteret adgang til, er der billigere løsninger på markedet.
