Neste trend: Klientfri VPN over SSL

Alle nettlesere har SSL-kryptering. Egenskapen kan utnyttes til enklere virtuelle private nett.

Ifølge Computer Business Review står Cisco klar til å lansere en strategi innen SSL-baserte virtuelle private nett (VPN) over Internett. Andre VPN-leverandører, blant dem Check Point og Symantec, har allerede lagt fram strategier for VPN under SSL ("Secure Sockets Layer"), enten ved å snekre dem sammen selv, eller gjennom oppkjøp.

VPN innebærer at man utnytter en åpen infrastruktur, for eksempel Internett, til å bære et samband som skal være lukket for uvedkommende. Per i dag bruker man en egen klient på PC-en som kommuniserer mot en VPN-tjeneste på en server bak brannmuren, og derfra får tilgang til alle tjenestene bak brannmuren som om man var på innsiden. Sambandet mellom VPN-klient og -server krypteres. To protokoller er i bruk i dag, PPTP-protokollen som benyttes blant annet av VPN-ordningen i Windows, og L2TP (Layer 2 Tunneling Protocol) som benyttes av blant andre Cisco. PPTP bruker SSL-kryptering, mens L2TP suppleres med IPsec-kryptering.

Klient-basert VPN er sikker, men vanskelig å administrere, i likhet med alle løsninger som krever en egen klient hos brukeren. Det er dessuten ofte problematisk å samordne spesielt IPsec VPN med bedriftens brannmur, og det kan også være komplisert å håndtere midlertidige IP-adresser. Slike problemer øker belastningen på IT-avdelingen, og fordyrer driften.

Ved å bygge VPN direkte på SSL-håndteringen i PC-ens nettleser skal man slippe slike problemer. Man trenger ikke fordele og vedlikeholde en egen brukerklient. Man unngår en direkte forbindelse mellom bruker og nettverk, og autentisering og aksess ordnes i stedet direkte til den enkelte applikasjonen. All trafikken gjennom brannmuren går over port 443 som er spesielt avsatt til SSL. Midlertidige IP-adresser medfører ikke problemer.

SSL-baserte VPN tenkes etablert gjennom portnere, gjerne etablert på dedikerte servere ("SSL VPN appliance"), som fungerer som mellomlag mellom klientene utenfor brannmuren og applikasjonene på innsiden. Der applikasjoner ikke kan leveres direkte i nettleseren, kan VPN-portneren levere en Java-snutt som ordner grensesnittet mot serverapplikasjonen.

Til toppen