Bäst teknik för tunneln hem
VPN-tunnel

Testade produkter
  • Cisco ASA 5505
  • Microsoft Forefront UAG 2010
  • Astaro Security Gateway version 8.


Missa inte!
Vill du veta hur säkert det är att jobba hemifrån kan ni läsa vår tidigare artikel här:
 Så säkert jobbar du hemma med vpn

Missa heller inte vår lista av andra lösningar för distansarbete:
Jobba hemma – här är de bästa lösningarna

Det är omöjligt att undvika: när man väljer mellan olika produkter – eller protokoll för den delen – så måste man alltid göra olika kompromisser. Eftersom vårt tänkta företag dessutom har en it-miljö sedan tidigare som bara ska kompletteras med vpn-funktioner, finns det ännu fler kompromisser att göra än om vi hade börjat från noll. Är det viktigare med en ”lan-nära” upplevelse än att kunna nå företagets servrar från vilken dator som helst? Vilket protokoll är bäst att använda?

Många faktorer spelar in när vi vill besvara de frågorna, men den viktigaste är förmodligen varifrån man har tänkt sig att ansluta. På fasta anslutningar till internet brukar det aldrig vara något problem. Där kan du köra vilket protokoll du vill: ipsec, l2tp eller ssl.

För fjärranslutna klienter stöter vi på en rad hinder. Surfzoner blockerar vpn-protokoll. Adressöversättning sätter också stopp. På ett hotell gör krav på att logga in för att få komma åt internet också att du inte kan försöka ansluta innan du har startat en webbläsare.

I slutändan innebär alla sådana här små begränsningar att valet ofta faller på ssl-vpn – port 443 går ju nästan alltid att nå så länge vi har internetkontakt. Vi har möjlighet att använda antingen lokalt installerade vpn-klienter som ansluter från företagets bärbara datorer eller att använda webbläsare för att använda andra datorer. Protokollet är standardiserat och säkerheten är tillräcklig för de flesta.


Inte alltid optimalt
Tillverkarna av vpn-produkter verkar också lägga minst lika mycket energi på ssl-vpn som på de andra protokollen. Men ssl-vpn är inte optimalt för alla tjänster, och det finns dessutom stora skillnader beroende på vilken vpn-produkt vi använder.
Vi har valt att testa tre olika lösningar för visa exempel på hur man kan hantera fjärrinloggning:

Cisco ASA 5505, den minsta brandväggsboxen i nätverksjättens sortiment, som kör samma avancerade mjukvara som de största modellerna.
Microsoft Forefront UAG 2010, en vpn-produkt som ska fungera extra bra i en Windowsmiljö.
Astaro Security Gateway version 8. Linuxbaserad färdigpaketerad mjukvara där allt som behövs finns med. Tyska Astaro köptes nyligen upp av antivirusjätten Sophos.

Ciscon och Astaron är kompletta brandväggar och vid installationen av Forefront UAG följer brandväggen Forefront TMG med. Här fokuserar vi enbart på vpn-funktionerna.


Scenario

Ett företag behöver en vpn-lösning för att ge sina 200 anställda möjlighet att jobba när de är ute och reser. Tjänsterna man vill publicera är bland annat affärssystem och intranät, några applikationer på terminalservrar (Remote Desktop) samt crm-systemet som är en lokalt installerad ”fet” klient. Man uppskattar att upp till ungefär 25 personer kommer att behöva vara inloggade samtidigt.