¿SSL versus IPSec?
Dos rivales llamados a entenderse
En los últimos meses ha cobrado fuerza en el mundo del networking un nuevo concepto “mágico”, capaz de levantar de inmediato odios y pasiones: SSL VPN. Tras un intenso debate sobre las bondades y maldades de la nueva propuesta como sustituto de las más complejas VPN IPSec, los expertos acercan posiciones reconociendo que una y otra son en realidad respuestas diferentes a problemas igualmente diferentes.
Si todavía alguien cuestionaba el potencial del emergente mercado de las redes privadas virtuales (VPN) sobre protocolo Secure Socket Layer (SSL), seguro que habrá visto como sus dudas se disipaban dado el interés por este negocio de dos gigantes del networking como Cisco Systems y Nortel Networks. Ambas firmas anunciaban el mes pasado que ofrecerían funcionalidades VPN SSL a sus clientes. Con anterioridad, se habían venido produciendo de forma acelerada desde el verano otros movimientos que auguraban la transformación de este segmento, todavía incipiente y que hasta hace poco sólo había desperado el interés de pequeñas compañías, como Neoteris, uRoam, Aventail, Aspelle, Neoteris, Netilla, SafeWeb o Whale Communications; todas ellas con un enfoque muy específico en la tecnología SSL como medio de proporcionar acceso remoto seguro en entornos VPN.
El feroz apetito por un mercado que hasta entonces parecía pasar desapercibido se ha materializado en una ola de fusiones y adquisiciones que comenzó en julio de 2003 cuando F5 Networks anunció la compra por 25 millones de dólares del suministrador de acceso remoto SSL uRoam; tres meses más tarde presentaba FirePass, el primer producto nacido de esta adquisición. En octubre, coincidiendo prácticamente en el tiempo con el anuncio de FirePass, NetScreen compraba Neoteris Technologies en una operación valorada en unos 265 millones de dólares. De nuevo, a los pocos días se producía una muestra más del creciente interés que el mercado SSL VPN estaba despertando entre la industria: Symantec se hacía con SafeWeb por 26 millones de dólares. El colofón lo ponían a principios de noviembre Nortel Networks y Cisco Systems, tradicionales proveedores de IPSec, dando a conocer su compromiso con la nueva propuesta de VPN, no nuevo del todo en el primer caso.
“Clientless”
Con el auge de las nuevas propuestas, se ha generado en los últimos meses una intensa polémica entre partidarios de IPSec y de SSL como protocolos VPN. Sin embargo, en estos momentos, la mayoría de los expertos, y, como muestra el soporte de ambas alternativas en sus catálogos, también de suministradores, tienden a considerar que, más que de tecnologías en competencia, se trata de propuestas complementarias. De hecho, según argumentan los que adoptan esta actitud conciliadora, la creciente popularidad de las redes privadas virtuales SSL tendría como motivo su capacidad para cubrir de una forma sencilla y económica una necesidad que IPSec nunca ha podido satisfacer adecuadamente: el acceso remoto, específicamente en el área de las aplicaciones extranet. Según reconocen los expertos, a la hora de brindar este acceso “universal”, el protocolo IPSec, tradicionalmente utilizado en las conexiones sitio a sitio vía VPN, presentaba importantes inconvenientes.
El secreto de la idoneidad de SSL para este tipo de aplicaciones no es otro que su naturaleza “clientless”. La principal ventaja de las SSL VPN es el hecho de que, a diferencia de las redes IPSec VPN, no exigen el despliegue de agentes software permanentes sobre los dispositivos a los que se facilita acceso a las aplicaciones corporativas. De esta forma, se reduce significativamente la carga de soporte asociada a las redes IPSec, simplificando la gestión y el mantenimiento, y reduciendo al mismo tiempo el coste de la solución. También se hace posible extender el acceso remoto a través de Internet a un número mucho mayor de usuarios, dado que soporta la conexión a los recursos corporativos desde cualquier sistema dotado de navegador Web, incluido en la práctica totalidad de los dispositivo de usuario. Los agentes VPN SSL son descargados a los PC remotos, sean estos cuales sean y estén ubicados donde estén, una vez que el usuario se haya autenticado en una appliance SSL, instalada de forma similar a un proxy entre Internet y la red corporativa. El acceso se independiza así de un determinado dispositivo o ubicación, pasando a estar vinculado al usuario.
El acceso puede distribuirse, de una forma tremendamente sencilla, a más personas, lugares, y dispositivos que con IPSec, reduciendo al mismo tiempo los costes de despliegue y soporte. Una solución mágica para muchas empresas. Además, según han subrayado repetidamente los promotores de SSL VPN, al trabajar a nivel de aplicación, esta alternativa permite un control más preciso de los recursos a los que un determinado usuario está autorizado a acceder, proporcionándole a través del proxy SSL, los privilegios corporativos según su perfil.
Avanzando hacia el consenso
Frente a toda esta sencillez, el acceso remoto IPSec resulta, en el mejor de los casos, difícil de desplegar cuando existen grandes cantidades de usuarios o si hay múltiples empresas y gateways implicados, algo inevitable en entornos extranet. No obstante, IPSec, cuyo funcionamiento se produce en el Nivel de Red, presenta importantes ventajas cuando de lo que se trata es de realizar conexiones sitio a sitio a este Nivel, permitiendo que la experiencia del usuario sea la misma que si estuviera ubicado en la propia LAN a la que accede. Además, sus restricciones respecto de los dispositivos cliente soportados, un inconveniente para proporcionar un acceso remoto más abierto, supone una ventaja en determinados aplicaciones, al elevar en cierto modo la seguridad del acceso. Así, el hecho de que sobre los dispositivos sea necesario desplegar un agente específico de forma permanente, limita los accesos a aquellos sistemas gestionados corporativamente, evitando de antemano potenciales brechas en la seguridad de la red corporativa, que pueden abrirse, por ejemplo, cuando los usuarios trabajan desde estaciones de uso público (kioskos Internet).
Entre las ventajas de IPSec también se encuentra su capacidad de trabajar con todo tipo de aplicaciones y recursos de la empresa, incluidos los heredados, sin necesidad de instalar soluciones adicionales. SSL VPN, por sí mismo, sólo brinda acceso a aquellos dotados de soporte Web, aunque puede extenderse a cualquier recurso a través de productos “añadidos”. Tampoco permite el acceso a estaciones de trabajo, ni soporta tráfico de voz ni streaming. Teniendo en cuenta estas limitaciones de SSL, IPSec, debido a su capacidad de distribuir conectividad completa a Nivel de Red, se convierte, según los expertos, en la mejor alternativa para conectar múltiples redes privadas. Resulta tambien especialmente indicada cuando se trata de programas que requieren una comunicación automatizada “two way” (en ambos sentidos).
Como se ha dicho, existe ya un cierto consenso en conceder a cada alternativa un hueco en la empresa por derecho propio, dejando en manos de las IPSec VPN las conexiones sitio a sitio y en las de SSL VPN el acceso remoto a través de Internet. Zanjando de alguna forma la polémica, dada la influencia de sus acciones, Nortel y Cisco han asumido enfoques estratégicos que demuestran su coincidencia con la idea de que en la empresa existe un espacio para cada una de estas tecnologías: los dos fabricantes incorporar&
Si todavía alguien cuestionaba el potencial del emergente mercado de las redes privadas virtuales (VPN) sobre protocolo Secure Socket Layer (SSL), seguro que habrá visto como sus dudas se disipaban dado el interés por este negocio de dos gigantes del networking como Cisco Systems y Nortel Networks. Ambas firmas anunciaban el mes pasado que ofrecerían funcionalidades VPN SSL a sus clientes. Con anterioridad, se habían venido produciendo de forma acelerada desde el verano otros movimientos que auguraban la transformación de este segmento, todavía incipiente y que hasta hace poco sólo había desperado el interés de pequeñas compañías, como Neoteris, uRoam, Aventail, Aspelle, Neoteris, Netilla, SafeWeb o Whale Communications; todas ellas con un enfoque muy específico en la tecnología SSL como medio de proporcionar acceso remoto seguro en entornos VPN.
El feroz apetito por un mercado que hasta entonces parecía pasar desapercibido se ha materializado en una ola de fusiones y adquisiciones que comenzó en julio de 2003 cuando F5 Networks anunció la compra por 25 millones de dólares del suministrador de acceso remoto SSL uRoam; tres meses más tarde presentaba FirePass, el primer producto nacido de esta adquisición. En octubre, coincidiendo prácticamente en el tiempo con el anuncio de FirePass, NetScreen compraba Neoteris Technologies en una operación valorada en unos 265 millones de dólares. De nuevo, a los pocos días se producía una muestra más del creciente interés que el mercado SSL VPN estaba despertando entre la industria: Symantec se hacía con SafeWeb por 26 millones de dólares. El colofón lo ponían a principios de noviembre Nortel Networks y Cisco Systems, tradicionales proveedores de IPSec, dando a conocer su compromiso con la nueva propuesta de VPN, no nuevo del todo en el primer caso.
“Clientless”
Con el auge de las nuevas propuestas, se ha generado en los últimos meses una intensa polémica entre partidarios de IPSec y de SSL como protocolos VPN. Sin embargo, en estos momentos, la mayoría de los expertos, y, como muestra el soporte de ambas alternativas en sus catálogos, también de suministradores, tienden a considerar que, más que de tecnologías en competencia, se trata de propuestas complementarias. De hecho, según argumentan los que adoptan esta actitud conciliadora, la creciente popularidad de las redes privadas virtuales SSL tendría como motivo su capacidad para cubrir de una forma sencilla y económica una necesidad que IPSec nunca ha podido satisfacer adecuadamente: el acceso remoto, específicamente en el área de las aplicaciones extranet. Según reconocen los expertos, a la hora de brindar este acceso “universal”, el protocolo IPSec, tradicionalmente utilizado en las conexiones sitio a sitio vía VPN, presentaba importantes inconvenientes.
El secreto de la idoneidad de SSL para este tipo de aplicaciones no es otro que su naturaleza “clientless”. La principal ventaja de las SSL VPN es el hecho de que, a diferencia de las redes IPSec VPN, no exigen el despliegue de agentes software permanentes sobre los dispositivos a los que se facilita acceso a las aplicaciones corporativas. De esta forma, se reduce significativamente la carga de soporte asociada a las redes IPSec, simplificando la gestión y el mantenimiento, y reduciendo al mismo tiempo el coste de la solución. También se hace posible extender el acceso remoto a través de Internet a un número mucho mayor de usuarios, dado que soporta la conexión a los recursos corporativos desde cualquier sistema dotado de navegador Web, incluido en la práctica totalidad de los dispositivo de usuario. Los agentes VPN SSL son descargados a los PC remotos, sean estos cuales sean y estén ubicados donde estén, una vez que el usuario se haya autenticado en una appliance SSL, instalada de forma similar a un proxy entre Internet y la red corporativa. El acceso se independiza así de un determinado dispositivo o ubicación, pasando a estar vinculado al usuario.
El acceso puede distribuirse, de una forma tremendamente sencilla, a más personas, lugares, y dispositivos que con IPSec, reduciendo al mismo tiempo los costes de despliegue y soporte. Una solución mágica para muchas empresas. Además, según han subrayado repetidamente los promotores de SSL VPN, al trabajar a nivel de aplicación, esta alternativa permite un control más preciso de los recursos a los que un determinado usuario está autorizado a acceder, proporcionándole a través del proxy SSL, los privilegios corporativos según su perfil.
Avanzando hacia el consenso
Frente a toda esta sencillez, el acceso remoto IPSec resulta, en el mejor de los casos, difícil de desplegar cuando existen grandes cantidades de usuarios o si hay múltiples empresas y gateways implicados, algo inevitable en entornos extranet. No obstante, IPSec, cuyo funcionamiento se produce en el Nivel de Red, presenta importantes ventajas cuando de lo que se trata es de realizar conexiones sitio a sitio a este Nivel, permitiendo que la experiencia del usuario sea la misma que si estuviera ubicado en la propia LAN a la que accede. Además, sus restricciones respecto de los dispositivos cliente soportados, un inconveniente para proporcionar un acceso remoto más abierto, supone una ventaja en determinados aplicaciones, al elevar en cierto modo la seguridad del acceso. Así, el hecho de que sobre los dispositivos sea necesario desplegar un agente específico de forma permanente, limita los accesos a aquellos sistemas gestionados corporativamente, evitando de antemano potenciales brechas en la seguridad de la red corporativa, que pueden abrirse, por ejemplo, cuando los usuarios trabajan desde estaciones de uso público (kioskos Internet).
Entre las ventajas de IPSec también se encuentra su capacidad de trabajar con todo tipo de aplicaciones y recursos de la empresa, incluidos los heredados, sin necesidad de instalar soluciones adicionales. SSL VPN, por sí mismo, sólo brinda acceso a aquellos dotados de soporte Web, aunque puede extenderse a cualquier recurso a través de productos “añadidos”. Tampoco permite el acceso a estaciones de trabajo, ni soporta tráfico de voz ni streaming. Teniendo en cuenta estas limitaciones de SSL, IPSec, debido a su capacidad de distribuir conectividad completa a Nivel de Red, se convierte, según los expertos, en la mejor alternativa para conectar múltiples redes privadas. Resulta tambien especialmente indicada cuando se trata de programas que requieren una comunicación automatizada “two way” (en ambos sentidos).
Como se ha dicho, existe ya un cierto consenso en conceder a cada alternativa un hueco en la empresa por derecho propio, dejando en manos de las IPSec VPN las conexiones sitio a sitio y en las de SSL VPN el acceso remoto a través de Internet. Zanjando de alguna forma la polémica, dada la influencia de sus acciones, Nortel y Cisco han asumido enfoques estratégicos que demuestran su coincidencia con la idea de que en la empresa existe un espacio para cada una de estas tecnologías: los dos fabricantes incorporar&
