Diario informal de K-nábora

El segmento del networking se ve abordado por un nuevo concepto que desata todo tipo de pasiones enfrentadas. Unos los tratan como un nuevo paradigma, mientras que otros tratan de quitarle importancia. Nos referimos a SSL VPN.

Tras un intenso debate sobre las bondades y maldades de la nueva propuesta como sustituto de las más complejas VPN IPSec, los expertos acercan posiciones reconociendo que una y otra son en realidad respuestas diferentes a problemas igualmente diferentes. Si todavía alguien cuestionaba el potencial del emergente mercado de las redes privadas virtuales (VPN) sobre protocolo Secure Socket Layer (SSL), seguro que habrá visto como sus dudas se disipaban dado el interés por este negocio de dos gigantes del networking como Cisco Systems y Nortel Networks. Ambas firmas anunciaban el mes pasado que ofrecerían funcionalidades VPN SSL a sus clientes.

Con anterioridad, se habían venido produciendo de forma acelerada desde el verano otros movimientos que auguraban la transformación de este segmento, todavía incipiente y que hasta hace poco sólo había desperado el interés de pequeñas compañías, como Neoteris, uRoam, Aventail, Aspelle, Neoteris, Netilla, SafeWeb o Whale Communications; todas ellas con un enfoque muy específico en la tecnología SSL como medio de proporcionar acceso remoto seguro en entornos VPN.

El feroz apetito por un mercado que hasta entonces parecía pasar desapercibido se ha materializado en una ola de fusiones y adquisiciones que comenzó en julio de 2003 cuando F5 Networks anunció la compra por 25 millones de dólares del suministrador de acceso remoto SSL uRoam; tres meses más tarde presentaba FirePass, el primer producto nacido de esta adquisición. En octubre, coincidiendo prácticamente en el tiempo con el anuncio de FirePass, NetScreen compraba Neoteris Technologies en una operación valorada en unos 265 millones de dólares. De nuevo, a los pocos días se producía una muestra más del creciente interés que el mercado SSL VPN estaba despertando entre la industria: Symantec se hacía con SafeWeb por 26 millones de dólares. El colofón lo ponían a principios de noviembre Nortel Networks y Cisco Systems, tradicionales proveedores de IPSec, dando a conocer su compromiso con la nueva propuesta de VPN, no nuevo del todo en el primer caso. “Clientless” Con el auge de las nuevas propuestas, se ha generado en los últimos meses una intensa polémica entre partidarios de IPSec y de SSL como protocolos VPN.

Sin embargo, en estos momentos, la mayoría de los expertos, y, como muestra el soporte de ambas alternativas en sus catálogos, también de suministradores, tienden a considerar que, más que de tecnologías en competencia, se trata de propuestas complementarias.

De hecho, según argumentan los que adoptan esta actitud conciliadora, la creciente popularidad de las redes privadas virtuales SSL tendría como motivo su capacidad para cubrir de una forma sencilla y económica una necesidad que IPSec nunca ha podido satisfacer adecuadamente: el acceso remoto, específicamente en el área de las aplicaciones extranet.

Según reconocen los expertos, a la hora de brindar este acceso “universal”, el protocolo IPSec, tradicionalmente utilizado en las conexiones sitio a sitio vía VPN, presentaba importantes inconvenientes. El secreto de la idoneidad de SSL para este tipo de aplicaciones no es otro que su naturaleza “clientless”.

La principal ventaja de las SSL VPN es el hecho de que, a diferencia de las redes IPSec VPN, no exigen el despliegue de agentes software permanentes sobre los dispositivos a los que se facilita acceso a las aplicaciones corporativas.

De esta forma, se reduce significativamente la carga de soporte asociada a las redes IPSec, simplificando la gestión y el mantenimiento, y reduciendo al mismo tiempo el coste de la solución. También se hace posible extender el acceso remoto a través de Internet a un número mucho mayor de usuarios, dado que soporta la conexión a los recursos corporativos desde cualquier sistema dotado de navegador Web, incluido en la práctica totalidad de los dispositivo de usuario.

Los agentes VPN SSL son descargados a los PC remotos, sean estos cuales sean y estén ubicados donde estén, una vez que el usuario se haya autenticado en una appliance SSL, instalada de forma similar a un proxy entre Internet y la red corporativa. El acceso se independiza así de un determinado dispositivo o ubicación, pasando a estar vinculado al usuario. El acceso puede distribuirse, de una forma tremendamente sencilla, a más personas, lugares, y dispositivos que con IPSec, reduciendo al mismo tiempo los costes de despliegue y soporte.

Una solución mágica para muchas empresas. Además, según han subrayado repetidamente los promotores de SSL VPN, al trabajar a nivel de aplicación, esta alternativa permite un control más preciso de los recursos a los que un determinado usuario está autorizado a acceder, proporcionándole a través del proxy SSL, los privilegios corporativos según su perfil.

Avanzando hacia el consenso Frente a toda esta sencillez, el acceso remoto IPSec resulta, en el mejor de los casos, difícil de desplegar cuando existen grandes cantidades de usuarios o si hay múltiples empresas y gateways implicados, algo inevitable en entornos extranet.

No obstante, IPSec, cuyo funcionamiento se produce en el Nivel de Red, presenta importantes ventajas cuando de lo que se trata es de realizar conexiones sitio a sitio a este Nivel, permitiendo que la experiencia del usuario sea la misma que si estuviera ubicado en la propia LAN a la que accede. Además, sus restricciones respecto de los dispositivos cliente soportados, un inconveniente para proporcionar un acceso remoto más abierto, supone una ventaja en determinados aplicaciones, al elevar en cierto modo la seguridad del acceso.

Así, el hecho de que sobre los dispositivos sea necesario desplegar un agente específico de forma permanente, limita los accesos a aquellos sistemas gestionados corporativamente, evitando de antemano potenciales brechas en la seguridad de la red corporativa, que pueden abrirse, por ejemplo, cuando los usuarios trabajan desde estaciones de uso público (kioskos Internet). Entre las ventajas de IPSec también se encuentra su capacidad de trabajar con todo tipo de aplicaciones y recursos de la empresa, incluidos los heredados, sin necesidad de instalar soluciones adicionales. SSL VPN, por sí mismo, sólo brinda acceso a aquellos dotados de soporte Web, aunque puede extenderse a cualquier recurso a través de productos “añadidos”.

Tampoco permite el acceso a estaciones de trabajo, ni soporta tráfico de voz ni streaming. Teniendo en cuenta estas limitaciones de SSL, IPSec, debido a su capacidad de distribuir conectividad completa a Nivel de Red, se convierte, según los expertos, en la mejor alternativa para conectar múltiples redes privadas. Resulta tambien especialmente indicada cuando se trata de programas que requieren una comunicación automatizada “two way” (en ambos sentidos).

Como se ha dicho, existe ya un cierto consenso en conceder a cada alternativa un hueco en la empresa por derecho propio, dejando en manos de las IPSec VPN las conexiones sitio a sitio y en las de SSL VPN el acceso remoto a través de Internet. Zanjando de alguna forma la polémica, dada la influencia de sus acciones, Nortel y Cisco han asumido enfoques estratégicos que demuestran su coincidencia con la idea de que en la empresa existe un espacio para cada una de estas tecnologías: los dos fabricantes incorporarán ambas alternativas en su oferta. Pero surgen ahora nuevos interrogantes y divergencias. ¿”Todo en uno” o dispositivos independientes? Tras los movimientos iniciales dirigidos a introducirse en el dinámico segmento SSL VPN, los nuevos agentes empiezan a configurar sus estrategias de aproximación al mercado. Los productos en que se materializan estas estrategias son diversos, y siguen una de dos distintas tendencias.

Mientras unos apuestan por plataformas híbridas, como Cisco, Nortel y Symantec, otros prefieren proporcionar ambas tecnologías pero a través de plataformas diferentes; tal es el caso de firmas como NetScreen o SafeNet. F5 Networks es de momento el único suministrador que se resiste a ser incluido en una de estas categorías, dado que su plataforma FirePass soporta únicamente SSL VPN. Cisco ha anunciado que en junio añadirá funcionalidad SSL con el nombre Web VPN a su plataforma VPN 3000 IPSec Concentrator, mediante una actualización gratuita de software para sus actuales clientes.

Y, con el tiempo, incorporará SSL en el sistema operativo IOS, extendiendo así la capacidad a otros dispositivos, incluidos sus routers y conmutadores. Nortel Networks, por su parte, presentará este mismo mes VPN Gateway 3050, una nueva plataforma hardware de acceso remoto SSL. Más tarde, en el segundo trimestre de 2004 añadirá también soporte IPSec VPN al producto. Sus planes también contemplan incluir SSL en Contivity IPSec VPN durante el segundo trimestre del próximo año. Aunque Nortel incorporaba ya tecnología SSL en su conmutador de balanceo de carga Alteon, no disponía de productos duales.

En cuanto a Symantec, añadirá funcionalidades SSL de acceso remoto a su pasarela de seguridad, que integra diversas aplicaciones, incluido soporte de IPSec el próximo año. No hay una sola respuesta Quizá, para muchos clientes disponer de ambas funcionalidades en un único dispositivo represente una ventaja, dado que ello simplificaría la arquitectura de red, pero existen otros factores a tener en cuenta.

Uno de ellos es la posibilidad de que en determinados entornos, IPSec VPN no sea una funcionalidad necesaria, y si disponer de ella supone un aumento de costes, seguramente en estos casos será preferible optar por un producto SSL VPN puro. Por otra parte, algunos usuarios de plataformas IPSec de Cisco han manifestado ya que, antes de lanzarse por uno u otros suministrador de SSL VPN, preferirán esperar a comprobar el impacto de la incorporación de esta tecnología en VPN 3000 IPSec.

Pudiera ser, por ejemplo, que ralentice el rendimiento de la plataforma en el manejo de tráfico IPSec, o que las prestaciones SSL no sean las mismas que las proporcionadas por otros fabricantes que, aunque de tamaño significativamente menor, cuentan con una mayor experiencia en este terreno. De hecho, algunos expertos señalan que los desarrollos de Cisco y Nortel ofrecen lo que sus ahora competidores suministraban hace nueve meses, o un 80% aproximadamente de la funcionalidad ya disponible en el mercado.

El otro enfoque se materializa en las estrategias seguidas por NetScreen y SafeNet, recientemente fusionada con el proveedor de acceso remoto SSL Rainbow Technologies.

NetScreen, tradicional suministrador de appliances que incluyen IPSec VPN, pretende ofrecer el equipamiento conseguido a través de la compra de Neoteris como una oferta independiente de su plataforma previa, argumentando que sus clientes prefieren mantener la función de acceso remoto SSL separada de la conectividad sitio a sitio IPSec. Tampoco SafeNet tiene planes de incorporar la tecnología SSL de Rainbow en una más amplia plataforma de seguridad.

Esta compañía sigue un enfoque discreto, por el que las diversas funcionalidades se proporcionan mediante una variedad de hardware y software, incluidos clientes IPSec VPN y software de encriptación. En caso de que realmente existan mercados diferentes para las plataformas de seguridad “todo en uno” y para las soluciones de función única, ambos grupos de fabricantes SSL VPN sobrevivirán. Y todo hace prever que así será, siempre que las propuestas SSL puras se mantengan a precios significativamente inferiores a los de las plataformas híbridas.

No obstante, todos los suministradores mencionados contaban ya con tecnología IPSec; especialmente interesante será comprobar la reacción de firmas como F5 Networks, que sólo cuentan con capacidades SSL, una vez parece clara la coincidencia del mercado en la idea de que esta alternativa no constituye un sustituto adecuado de IPSec, al menos en todas las aplicaciones.

Uno de los movimientos más llamativos en el ajetreado mercado de las redes privadas virtuales ha sido la decisión de Cisco Systems de incluir funcionalidad SSL sin cargo adicional en su plataforma IPSec VPN 3000 Series.

Con total seguridad, esta estrategia causará un fuerte impacto en el todavía inmaduro mercado SSL VPN, forzando a la baja el precio de los productos de todos los suministradores; especialmente, teniendo en cuenta el poder del protagonista de esta acción.

De momento, con su estrategia de soluciones híbridas, ya ha dejado claro que aunque se disponga de acceso remoto SSL, IPSec continúa siendo imprescindible. Si, además, como se espera, Cisco continúa introduciendo soporte SSL VPN a través de IOS en sus routers y conmutadores, podría hacerse rápidamente también con el dominio del mercado. Dominio, base instalada, Windows, Explorer...; el tiempo dirá si esta casi inevitable asociación de ideas tiene fundamento. En cualquier caso, es indudable que mermará las ventas de soluciones SSL en entornos donde es necesario IPSec: pocas empresas decidirán comprar un producto VPN SSL si dispone ya de esta capacidad gratuita, aunque la funcionalidad sea algo inferior.

Determinantes para la futura configuración del mercado serán en todo caso los precios de las plataformas IPSec e híbridas respecto a las propuestas SSL puras. A modo de referencia, sirvan algunos datos.

El precio de lista de Cisco VPN 3000 Series Concentrator parte de 2.995 dolares, pero puede alcanzar los 44.995 dolares para configuraciones redundantes de altas prestaciones. En el caso de Nortel, su primer producto IPSec/SSL costará alrededor de 11.000 dólares, un tercio menos que el conmutador con balanceo de carga Alteon equivalente, que ya incluía SSL. Las empresas con un enfoque específico en SSL VPN venían vendiendo sus productos con precios que oscilaban entre los 3.000 y los 10.000 dólares.

idg.es