H Microsoft πηδάει τα Firewall

…με την καλή έννοια!

Λίγο ως πολύ έχουμε ακουστά το ακρωνύμιο VPN (Virtual Private Netwrok). Τελευταία μάλιστα, γίνονται αναφορές και παρουσιάσεις των πρωτοκόλλων του στον Ειδικό Τύπο. Για τους μη ειδικούς, το VPN αποτελλεί ενα δίκτυο υψηλής ασφάλειας που δημιουργείται μέσα σε ενα άλλο δίκτυο, συνήθως χαμηλής ασφάλειας. Για να γίνω πιο κατανοητός, θα δώσω ενα παράδειγμα. Θεωρούμε το Internet ως ενα δίκτυο χαμηλής ασφάλειας. Θέλουμε να συνδέσουμε λοιπόν δυο υπολογιστές μεταξύ τους (ένας στην Αθήνα και ενας στην Θεσαλλονίκη) για το Λογιστήριο μας. Αν και το μέσο για να το κάνουμε υπάρχει (Internet), είναι χαμηλής ασφαλείας. Έτσι, με τη χρήση ειδικών πρωτοκόλλων ασφαλείας και κρυπτοργράφησης (IPsec, L2TP, PPTP) δημιουργούμε ενα ιδιαίτερα ασφαλές τούνελ δεδομένων μεταξύ των δύο υπολογιστών. Το tunnel αυτό φαίνεται στους δυο συμμετέχοντες υπολογιστές σαν «καλώδιο δικτύου». Δηλαδή σαν να τους είχαμε στο ίδιο δωμάτιο και συνδεδεμένους με UTP καλώδιο. Τα θετικά των VPNs λοιπόν γίνονται άμμεσα αντιληπτά (διαμοιρασμός αρχείων, εκτυπωτών, applications κ.α.)

Ενα μικρό πρόβλημα που υπάρχει σε όλες τις υλοποιήσεις όμως, είναι πως ο χρήστης πρέπει να «πειράζει» το router του. Δηλαδή στην παραπάνω περίπτωση θα έπρεπε να γίνουν port forward κάποιες ports, να επιλέξουμε πως επιθυμούμε το VPN tunneling και διάφορες άλλες τεχνικές λεπτομέρειες. Εάν ανάγουμε τα παραπάνω σε πολλούς χρήστες (υπάλληλοι μιας εταιρίας που θέλουν να συνδέονται στο VPN των Κεντρικών απο παντού) τότε θα αντιληφθούμε πως θα υπάρχει πρόβλημα. Για παράδειγμα δεν μπορείς να πας στον network administrator των Starbucks και να του ζητήσεις να σου ρυθμίσει το router του καταστήματος για να συνδεθείς με τα κεντρικά..Θα μπορούσα να δίνω παραδείγματα προβλημάτων για πολλές σελίδες…

Η εποχή του remote worker έχει φθάσει. Οπότε, τα εργαστήρια της Microsoft αποφάσισαν να λύσουν το πρόβλημα αυτό μια για πάντα. Έκαναν χρήση μιας πολύ απλής ιδέας που όλοι οι network administrators είχαν απο καιρό στο μυαλό τους. Όλα τα routers (οικιακά και όχι μόνο) και firewalls έχουν δυο πόρτες (δυο πόρτες έχει η ζωή – άσχετο) που επιτρέπουν εξ ορισμού την διακίνηση δεδομένων απο κάθε συνδεδεμένο χρήστη. Καλά καταλάβατε. Είναι οι 80 και 443. Η πρώτη χρησιμοποιείται απο το πρωτόκολλο HTTP και η δεύτερη απο το SSL HTTP (HTTPS). Αποφάσισαν λοιπόν οι μηχανικοί να «περάσουν» την κίνηση του VPN μέσα απο μια «πάντα ελεύθερη» πόρτα, την 443.

Ξεχνάμε λοιπόν τα περίργα ακρωνύμια και περνάμε στο SSTP (Secure Sockets Tunneling Protocol). Τα ωφέλη του πρωτοκόλου θα τα ζήσουμε στην έκδοση Windows Vista Service Pack 1 και βέβαι στα Windows Longhorn Server. H Microsoft δήλωσε πως θα προσφέρει το συγκεκριμένο πρωτόκολλο και σε άλλες συσκευές (φαντάζομαι smartphones, pdas).

Ένα ελλάτωμα του SSTP είναι πως λειτουργεί μόνο ως tunneling και η ασφάλεια που θα προσφέρει, αν και ιδιαίτερα καλή, δεν θα είναι εφάμμιλη αυτής του IPSec. Επίσης η χρήση του θα είναι για Remote Access και όχι για site-to-site VPN (ιδεατά δίκτυα μεταξύ δικτύων και όχι μεμονωμένων υπολογιστών). Το επίπεδο ασφάλειας θα είναι SSL 3.0 με 64bit encoding.

Πολύ καλά νέα για όσους επιθυμούν να συνδέονται εύκολα και γρήγορα με το PC στο σπίτι απο τη δουλειά ή το ανάποδο. Εννοείται και για τους Network admins.