Хостинг > Статьи > Сравнение с альтернативными решениями

Сравнение с альтернативными решениями

Попробуем сравнить наше решение с другими VPN-решениями, которые используются для организации безопасного удаленного доступа клиентов в локальную сеть организации. Наиболее популярной технологией, используемой в коммерческих решениях VPN. является IPsec. Она обеспечивает самый высокий уровень безопасности VPN.

Однако, на мой взгляд, больше подходит для организации шифрованных туннелей через Интернет именно между сетями, так как возникают трудности при подключении клиентов из-за NAT (NATT все еще сырая технология). Даже при нормальной работе NATT в том случае, если мы используем для аутентификации SSL-сертификаты, которые из-за размера не могут быть переданы в одном пакете, существует проблема фрагментации пакетов IKE (протокол обмена ключами и согласования параметров в IPSec). При этом не все пакетные фильтры и трансляторы сетевых адресов на маршруте от клиента до VPN-шлюза будут корректно работать с фрагментированными пакетами и пропускать их. И если фрагментированный пакет не дойдет до места назначения, параметры безопасности IPsec не будут установлены, подключение к VPN не состоится.

Ради справедливости хочу заметить, что при использовании РРТР тоже могут возникнуть проблемы с NAT, если NAT но умоет анализировать поле Call ID в пакетах GRE. Эти проблемы решаются с помощью дополнительных «подсистем», как например conntrack в Linux, однако надо помнить, что шлюзы, через которые будут выходить в Интернет ваши клиенты, не находятся под вашим контролем, следовательно, далеко не всегда вы сможете решать подобного рода проблемы. Один из вариантов решения такой проблемы это покупка прямого IP-адреса.

Однако Microsoft не использует эту технологию, и никто не может гарантировать, что в следующем сервисном пакете для ХР или в Windows Vista не будут содержаться такие исправления или новшества, после которых OpenVPN перестанет работать. А ведь такое уже было после выхода SP2 для ХР.

Еще один недостаток OpenVPN по сравнению с РРТР - это необходимость установки дополнительного клиентского ПО и отсутствие его автоматического обновления. Притом что в OpenVPN часто находят уязви уязвимости, а пользователи обычно не любят обновлять ПО, это существенный минус.

Мое мнение, что OpenVPN - это наиболее перспективный проект в своей области, но для использования в корпоративной среде, где подавляющее большинство клиентских машин работает под управлением Windows, он не подходит.

 

Хостинг
Home


www.ost-host.ru