Tunneli etätyöläisen suojaksi
Pertti Hämäläinen • Mittaukset: Tero Mäkikangas • Aloituskuva: Timo Simpanen • Kuvat: Mikko Hannula
Tunneli etätyöläisen suojaksi
Käyttäjille voi tarjota turvallisia etäyhteyksiä joko yleisesti kaikkeen verkkokäyttöön tai valikoidusti tuetuille sovelluksille. Ssl vpn sopii molempiin tarkoituksiin.
Mukana vertailussa:
• AEP Networks Netilla SSL VPN 2000
• Citrix Access Gateway, Standard Edition
• F5 Firepass 1200
• Nortel SSL VPN 3050
• Sonicwall SSL-VPN 2000
• Zyxel Zywall SSL-10
Vuosikymmenen alkuvuosina ssl vpn rynnisti markkinoille uutena tekniikkana. Koska se ratkoi monia ongelmia, joista aiempi salattujen tunnelien itsevaltias ipsec vpn oli kärsinyt vuosikausia, monet ennakoivat uuden tekniikan valtaavan kentän suvereenisti. Laitevalmistajat julkaisivat jopa siirtymäoppaita.
Toisin kuitenkin kävi. Vaikka molemmat tekniikat ratkaisevat päältä katsoen saman ongelman, kumpikin on löytänyt markkinoilta oman lokeronsa. Ssl vpn loistaa, kun etäkäyttäjien oikeuksia halutaan rajoittaa tehtäväkohtaisesti, ipsec vpn taas tekee etäkäyttäjästä verkon täysivaltaisen jäsenen.
Helposti selaimella
Verkkokerroksella toimiva ipsec vpn on lyömätön kahden pisteen välisillä yhteyksillä, esimerkiksi yhdistettäessä kaksi lähiverkkoa toisiinsa internetin yli. Myös etätoimipisteiden lähiverkkojen yhdistäminen pääkonttorin verkkoon on järkevää toteuttaa ipsec vpn:llä.
Monissa reitittimissä, palomuureissa ja utm-laitteissa on ipsec vpn -toiminnallisuus valmiina tai optiona, ja toteutukset ovat usein tehokkaita. Standardeihin pohjaavan tekniikan saa yleensä myös toimimaan, vaikka käytössä olisi kahden eri toimittajan laitteita. Verkkojen yhdistäminen onkin tiukasti ipsec vpn:n tonttia, jolle ssl vpn ei edes pyri.
Kun yksittäiseltä työasemalta halutaan yhteys yrityksen verkkoon internetin kautta, tilanne on toinen. Ipsec vpn vaatii työasemaan oman asiakasohjelmansa, kun taas ssl vpn toimii selaimella. Ero on tuntuva niin käyttäjän kuin ylläpitäjänkin kannalta.
Ipsec vpn on ehtinyt yleistyä tavattoman laajasti. Työasemaan voi valita joko reitittävän palomuurin valmistajan, kaupallisen ohjelmistotalon tai vapaan lähdekoodin ipsec-sovelluksen. Jopa mobiililaitteisiin on kehitetty laadukkaita ipsec-pinoja.
Reititinvalmistajan toteutus on siinä mielessä paras, että molempien päiden parametrit ovat yleensä valmiiksi sovitetut yhteen. Vaikka ipsec on standardointimielessä kypsää tekniikkaa, eri ohjelmistojen salaus- ja kättelyparametrien oletusarvot poikkeavat toisistaan. Erityisesti palomuurien ja osoitemuunnosten vaatimissa asetteluissa voi tuhrautua ikävän paljon aikaa, ennen kuin yhteydet syntyvät luotettavasti. Työasemissa kannattaa standardoitua mahdollisimman vähiin asiakasohjelmiin.
Ssl vpn:ssä työaseman komponenttina on selain ja siihen mahdollisesti ladattavat lisäosat. Esiasennusta ei tarvita lainkaan, joskin useimmissa tuotteissa lisäosien asennus vaatii työaseman pääkäyttäjäoikeudet. Palomuurien ja osoitemuunnosten läpäisy ei tuota päänvaivaa, joten käyttäjä voi helposti avata yhteyksiä yrityksen ulkopuolisista verkoista.
Kaksi perustekniikkaa
Kaikki ssl vpn -yhdyskäytävätuotteet tarjoavat kaksi perusmenetelmää sovellusten tarjoamiseen käyttäjille.
Kun alkuperäisenä tavoitteena oli mahdollisuus tuoda sovellukset käytettäväksi selaimella, http-käännös oli luonnollinen tapa toimia. Yhdyskäytävä toimii sovellustasolla toimittaen sovelluksen käyttöliittymän työasemalle https-käytännöllä. Helpointa tämä on valmiiksi http-muodossa olevilla intranetsivustoilla, mutta valmistajat ovat kääntäneet muitakin perussovelluksia http:lle. Käyttöliittymiä on saatettu jopa sovittaa mobiilipäätelaitteiden piskuisille näytöille.
Menettelyn etuna on, että työasemassa ei tarvita muita sovelluksia kuin selain. Haittapuolena taas on, että yhdyskäytävään on toteutettava käytettävien sovellusten asiakaskomponentin koko toiminnallisuus. Vakiintuneet yleissovellukset ovat turvallisia, mutta valmistajakohtaiset sovellukset alituisine versionvaihtoineen sitoisivat valmistajan jatkuvaan ylläpitovelvoitteeseen.
Toinen vaihtoehto on sovelluskohtaisesti määriteltyjen porttien uudelleenohjaus. Tässä vaihtoehdossa edellytetään asiakaskomponentin käyttöä työasemassa. Sovelluksen liikenteen ohjaa ssl-tunneliin yleensä selaimeen asentuva activex- tai java-lisäosa, toisinaan selaimen kautta ladattava erillinen ohjelma.
Koska sovelluksen käyttämät portit harvemmin vaihtuvat versiosta toiseen, tämä vaihtoehto on yhdyskäytävän toimittajalle turvallisempi kuin http-käännös. Valmistajat eivät kuitenkaan ole laajentaneet porttiohjauksella tuettujen sovellusten määrää kovin laajaksi, vaan antavat mieluummin pääkäyttäjälle mahdollisuuden määritellä yrityksen käyttämien sovellusten portit itse.
Joidenkin sovellusten tapa käyttää dynaamisia sovellusportteja tekee niiden tukemisesta vaikeaa. Jotkin ssl vpn -yhdyskäytävävalmistajat ovat toteuttaneet dynaamisen porttiohjauksen, joka avaa portteja sovelluksen niitä tarvitessa. Tavallisempi on täyden verkkoyhteyden nimellä tunnettu toiminto, joka ohjaa kaiken etäverkkoon osoitetun liikenteen portista riippumatta ssl-tunneliin. Toiminnallisuudeltaan ssl vpn on tällöin samanarvoinen ipsec-tunnelin kanssa.
Riittävätkö oikeudet?
Selaimen lisäosien asennukset vaativat työaseman käyttäjältä yleensä pääkäyttäjäoikeuksia. Täyden verkkoyhteyden avaaminen esimerkiksi kirjaston tai internetkahvilan vierastyöasemaan ei silloin välttämättä onnistu. Tietoturvan kannalta tämä on todennäköisesti pelkästään hyvä asia.
Http-käännös onkin turvallisin ja varmimmin toimiva tapa etäkäyttöön sellaiselta työasemalta, joka ei ole yrityksen tietohallinnon täydessä kontrollissa. Helpoin tapa järjestää tietoturvallinen pääsy yrityssovelluksiin on tarjota ne selainkäyttöisinä web-portaalin ja ssl vpn:n kautta.
Ssl vpn -ohjelmissa on myös eritasoisia työaseman tietoturvallisuuden tarkastustoimintoja. Monia nac-laitteista (network access control) tuttuja toimintoja on toteutettu myös ssl vpn -tuotteisiin, jotta etäkäyttäjä ei tupsahtaisi yrityksen verkkoon saastuneella koneella. Selainkäytössä vaara ei ole suuri, mutta täyttä verkkoyhteyttä avattaessa on paikallaan tarkastaa, että työaseman virustutka on ajan tasalla ja palomuuri paikallaan.
Käytön jälkeen on varsinkin vierastyöasemasta syytä puhdistaa syntyneet työtiedostot ja rekisteriasetukset. Järkevää on jopa poistaa kaikki yhteyden aikana asentuneet komponentit. Joillakin tuotteilla siivous jää näkyvimpien pölyjen pyyhkimiseen.
Ssl vpn:n rajoitukset
Ssl vpn tuskin korvaa ipsec vpn -ratkaisuja yrityksissä kokonaan. Verkkokerroksella toimiva ipsec on jo teoriassakin tehokkaampi kuin sovelluskerroksella toimiva ssl vpn, ja käytännön mittaukset ovat yleensä vahvistaneet teorian.
Ssl vpn -yhdyskäytävien sovellusvalikoima on vakiintunut yleisimmin käytettäviin perustoimintoihin, kuten tiedostojakoihin, telnetiin sekä pop- ja imap-sähköpostiin, ja Microsoft Outlook on yleisenä sovelluksena usein tuettu. Erilaiset etäkäyttötyyppiset sovellukset, kuten Windows Terminal services, Citrix, ssh, rdp ja vnc ovat myös yleisiä.
Lisää sovelluksia voi määritellä monella tuotteella porttiohjauksen kautta. Usein kuitenkin joudutaan avaamaan täysi verkkoyhteys, kun sovelluksia on liikaa tai niitä ei saada toimimaan teknisen tietämyksen puuttuessa.
Vaikka useimmat tuotteet lupaavat tukea Windowsin lisäksi myös Linuxille ja Macintoshille, jälkimmäisten tuki on usein käytännössä rajoittuneempi. Toiminnallisuudessa on eroja myös selaimen suhteen: java-pohjaiset toteutukset ovat yleiskäyttöisempiä kuin tiukasti Internet Exploreriin ja sen activex-komponentteihin perustuvat.
Tunnelinrakentajan muistilista
1. Laadi tietoturvapolitiikka. Selvitä käyttäjäryhmät, näiden tarvitsemat sovellukset ja erilaiset käyttötilanteet. Yrityksen verkossa oleva työasema on turvallisempi kuin työntekijän matkamikro tai kotikone, jotka ovat turvallisempia kuin vieraskoneet. Tietylle käyttäjälle voidaan myöntää pääsy joihinkin sovelluksiin vain yrityksen verkosta ja omalta, laitevarmenteella tunnistettavalta matkamikrolta, mutta ei muualta. Jotkin sovellukset taas voidaan julkaista nettiin ilman rajoituksia.
2. Suunnittele käyttäjien tunnistus. Etäkäyttö vaatii usein vahvempia tunnistusmenetelmiä kuin yrityksen omissa tiloissa usein riittävä salasana, sillä julkisissa tiloissa salasanan syöttöä voidaan helposti vakoilla. Monet tuotteet tarjoavat kertakirjautumistoiminnon esimerkiksi Windowsin toimialueen käyttäjätunnuksella, mutta kaikilla sovellusten käyttäjillä ei välttämättä ole tunnusta yrityksen verkkoon. Ssl vpn tarjoaa hyvän tavan julkaista sovelluksia konsulteille ja muille sidosryhmille, eikä kaksivaiheinen tunnistus ole aina välttämättä pelkästään paha asia.
3. Valitse tuote. Tämä vaihe vaatii monestakin syystä käytännön testauksia. Yrityksen sovellusten käyttäytymistä ei useinkaan tunneta etukäteen kovin tarkoin. Sovelluksia saatetaan haluta julkaista myös sellaisille työasematyypeille, joita ei yrityksessä ole ennestään käytössä.
4. Toteuta ratkaisu tietoturvapolitiikan mukaisesti. Tämä vaihe vaatii myös julkaistavien sovellusten kokoamista portaaliin ja käyttäjien kouluttamista. Mitä harvemmille käyttäjille joudutaan avaamaan täysiä verkkoyhteyksiä, sitä vähemmällä tekninen tuki pääsee.
5. Seuraa tilannetta ja kehitä käyttöä. Mikäli käytössä on edelleen ipsec vpn -yhdyskäytävä, jota osa etäkäyttäjistä käyttää, kannattaa aika ajoin selvittää voiko näitä käyttäjiä siirtää ssl vpn:n käyttäjiksi. Täyttä verkkoyhteyttä vaativia sovelluksia kannattaa kehittää selainkäyttöisinä julkaistaviksi esimerkiksi versionvaihdosten yhteydessä. Sovellusten ja työpöytien virtualisointitrendi tukee ssl vpn:ään siirtymistä.
Kirjavia toteutuksia
Valitsimme vertailuun eri toimittajilta yrityskäyttöön tarkoitettujen ssl vpn -yhdyskäytävien kevyempää mallistoa. Testilaitteen toimitusvaikeuksien takia vertailusta jäivät puuttumaan muun muassa Checkpoint, Juniper ja Stonesoft.
Tuotteistus vaihteli melko lailla valmistajasta toiseen, mutta ratkaisuja arvioitaessa keskityttiin pelkästään ssl vpn -toiminnallisuuteen. F5 ja Nortel olivat pakanneet mukaan myös ipsec vpn:än, mutta tämä toiminto sivuutettiin vertailussa. Samaten jätettiin tutkimatta Zyxelin ja AEP:n tarjoamat reititys- ja palomuuritoiminnot.
Eri tuotteiden tapa tukea sovelluksia vaihteli suuresti. Intranetin web-sivustojen välitys ssl-suojattuna löytyi luonnollisesti kaikista tuotteista, samaten kaikkia sovelluksia tukeva täysi verkkoyhteys.
Tavallisimpia sovelluksia tuettiin erikseen joko http-käännöksenä tai porttien uudelleenohjauksella, joskus molemmilla tavoilla. Jälkimmäistä tapaa käytettiin myös silloin, kun pääkäyttäjälle annettiin mahdollisuus valita välitettävät portit oman tai listalta puuttuvan sovelluksen tukemista varten.
Http-käännökset ovat yleensä käytettävissä selaimella kuin selaimella. Porttiohjaukset ja täysi verkkoyhteys on toteutettu lisäosilla, jotka ovat usein selain-,
versio- tai käyttöjärjestelmäsidonnaisia.
Työkalut etätyöläiselle
Sovellustuki on tärkeä arviointikriteeri. Mitä tarkemmin yrityksen käyttämät sovellukset saadaan lueteltua etäkäyttöportaalissa, sitä harvemmin tarvitaan täyttä tunnelia, joka avaa kaikki portit mahdollisille haittaohjelmille.
Kiitettävän arvoisia olivat tässä suhteessa F5 ja Nortel. Sonicwallin työasemariippumattomat http-käännökset riittävät monelle peruskäyttäjälle, kun taas AEP:hen saa viriteltyä sovelluksen kuin sovelluksen varsinkin Windows-käyttäjän saataville. Peränpitäjäksi jää vain Windowsiin rajoittuva Zyxel, jonka valmis valikoima on vertailun suppein.
Etäkäyttökokemuksen pisteytykseen vaikuttivat portaalin selkeys ja muokattavuus sekä työasemaan ladattavien selaimen lisäosien toteutus. Viimeistellyimmiltä tuotteilta vaikuttivat F5, Nortel ja Sonicwall, kun taas Citrixin kioskimoodi ja Zyxelin tylyt ilmoitukset verottivat pisteitä.
Hallintaa ja käyttöönottoa pisteytettäessä otettiin huomioon sekä tuotteen oppimisen että käyttämisen vaikeus suhteutettuna tuotteen ominaisuuksien määrään. Kiitettävään arvosanaan ei yltänyt kukaan, koska monipuolisissa tuotteissa hallintakäyttöliittymä ja dokumentointi eivät yltäneet ominaisuuksien tasalle, eivätkä rajoittuneetkaan tuotteet olleet mitenkään itsestään selviä. Ssl vpn -yhdyskäytävän pääkäyttäjältä sopii kuitenkin odottaa sen verran ammattitaitoa, että näiden tuotteiden kanssa pärjää.
Suorituskykyä mitattiin kuormittamalla palvelinta Netbench-testiohjelmalla täyden tunnelin mahdollistavan salatun verkkoyhteyden läpi. Kuormittavien työasemien määrää kasvatettiin, kunnes tulos ei enää parantunut, vaan yhdyskäytävä muodostui pullonkaulaksi. Tässä testissä lähes sata megabittiä sekunnissa välittänyt Citrix selviytyi voittajaksi. Nortel jäi Citrixistä vajaan kymmenyksen. Selvän kakkosryhmän muodostivat AEP ja F5, joilla läpäisykyky jäi 70 ja 80 megabitin välimaastoon.
Kevytsarjalaisista Sonicwall suoriutui erinomaisesti läpäisten yli 50 megabittiä sekunnissa, kun taas Zyxel jäi runsaaseen kolmeen megabittiin.
Virrankulutus heijasteli melko tarkoin suorituskykyä. Kun kulutusta maksimikuormituksella verrataan laitteen välityskykyyn, nähdään kulutus siirrettyä megabittiä kohti. Pisteitä annettaessa on otettu huomioon myös kulutus joutokäynnillä, koska laitteet ovat tyypillisesti aina päällä.
Zyxel on ylimalkaan peräti pieniruokainen, mutta Sonicwall syö kuormitettuna vähiten virtaa siirrettyä bittiä kohti. F5 on myös varsin taloudellinen sekä joutokäynnillä että kuormitettuna.
AEP, Citrix ja Nortel hukkasivat joutokäynnillä virtaa sadan watin molemmin puolin, ja tiedonsiirto nosti kulutusta kolmanneksen kahden puolen. Niukasti virtasyöpöimmäksi osoittautui AEP, joka oli näistä kolmesta kuitenkin hitain.
Toimituksen valinta
• F5 Firepass 1200
• Sonicwall SSL-VPN 2000
F5 Firepass 1200 on oikea ratkaisu suurelle yritykselle tai palveluntarjoajalle, joka joutuu tukemaan suurta joukkoa erityyppisiä käyttäjiä erilaisine tarpeineen.
Sonicwall SSL-VPN 2000 tarjoaa monille pienille ja keskisuurille yrityksille riittävän toimintojoukon helposti omaksuttavana pakettina.
F5 Firepass 1200
Toimintoja joka lähtöön
+ Monipuolisuus, käyttäjäkokemus
– Hinta, hallinnan oppimiskynnys
Arvosana: 8,6 Toimituksen valinta
Hinta: 12 810€
Kuormantasaimistaan tunnetun F5:n ssl vpn -yhdyskäytävä on epäilemättä vertailun pisimmälle kehitetty ratkaisu. Käyttäjien ryhmittely, pääsy palveluihin ja käyttöoikeuksien rajoitukset voidaan määritellä monella tasolla ja tavalla.
Useimpiin tuettuihin sovelluksiin on tarjolla sekä http-käännös että porttiohjaus, joka on toteutettu työasemalle avattavaa ssh-tunnelia rajaamalla. Selkeää portaalia voi muokata helposti.
Työaseman esitarkastukset ovat ehkä vertailun parhaat, ja Firepass lähentelee jo nac-ratkaisua. Protected workspace -toiminto luo työasemaan virtuaalikoneen, joka voidaan istunnon lopuksi hävittää jäljettömiin. Linux-työaseman tuki on vertailun parhaasta päästä, muttei tässäkään aivan Windowsin tasolla.
Firepass 1200 ei ole keskiverron pk-yrityksen ratkaisu. Suuryritysten ohella se soveltuu parhaiten verkkopalveluiden tarjoajalle, joka voi rakentaa jokaiselle asiakasyritykselle oman portaalin halutuin pääsyin. Tekniikka tuskin rajoittaa palvelusopimusten sisältöä.
Toimintojen rikkaus nostaa kuitenkin myös oppimiskynnystä. Monitasoisen hallintakäyttöliittymän sisäistämiseen menee päiväkausia, eikä käyttöönottoa helpottamaan ole tehty edes asennusvelhoja. Toiminnot on osattu myös hinnoitella, eikä laite loista hinta-suorituskykysuhteellaan.
Hinta on laskettu 50 käyttäjälle.
Nortel SSL VPN 3050
Viimeisteltyä laatua
+ Sovellustuki, käyttäjäkokemus
– Epävarma tulevaisuus
Arvosana: 8,2
Hinta: 5 870€
Yrityssaneeraukseen talvella ajautuneen kanadalaisen Nortelin vaikeudet eivät selvästikään johdu yhtiön ip-tuotteiden tasosta. Nortel SSL VPN 3050 sijoittuu vertailun kärkipäähän, ja sen toiminnallisuudesta on vaikea osoittaa varsinaisia puutteita.
Isoihinkin ympäristöihin skaalautuvan tuotteen selainhallinta on kohtalaisen loogisesti toteutettu, mutta käyttöliittymässä jokaisen sivun muutokset pitää erikseen vahvistaa. Hallinnan Java-komponentit hidastelivat testissä välillä ikävästi.
Asetusten tekoa varten on tehty joukko käteviä määrittelyvelhoja, joita ei kuitenkaan pääse ajamaan, ennen kuin perusasetukset on saatu kohdalleen. Velhojen valikoimaa ja sisältöä voisi vielä kehittää: esimerkiksi tunnelien määrittelyvelho kyselee sekä ssl- että ipsec-määrittelyjä, vaikka molempia ei tarvittaisikaan.
Portaali on selkeä ja sen editointi on helppoa, ja http-käännösten käyttöliittymät ovat esimerkillisiä. Työaseman käyttökokemus oli hyvä myös Linuxissa.
Työaseman esitarkastukset tekevälle Tunnelguardille voi määritellä omia sääntöjä hiukan vanhahtavan valmissetin lisäksi. Tarkastukset toimivat kuitenkin vain Windowsissa. Työaseman siivoamiseen yhteyden katkaisun jälkeen tarvitaan erillinen Secure portable office -optio.
Hinta on 50 käyttäjälle.
Sonicwall SSL-VPN 2000
Pk-yrityksen tarpeisiin
+ Http-käännökset, selkeys
– Työaseman tarkastusten puute
Arvosana: 8,0
Hinta: 2 311€
Sonicwallin SSL VPN 2000 on kevyt ratkaisu, joka on selvästi suunniteltu pk-yrityksen tarpeisiin.
Sovellustuki on toteutettu pelkästään http-käännöksen keinoin, joten tarjotut sovellukset toimivat käyttöjärjestelmästä riippumatta selaimella. Sovellusvalikoima kattaa perustarpeet varsin hyvin. Selkeää portaalisivua voi muokata rajoitetusti, mutta muokkauksesta puuttuu esikatselutoiminto, joten muutokset joutuu ärsyttävästi testaamaan käyttäjänä.
Sovelluskohtaisia porttien uudelleenohjauksia ei ole tarjolla. Jos http-käännösten sovellusvalikoima ei riitä, on turvauduttava täyteen verkkoyhteyteen. Tätä varten etäkoneeseen asennetaan Netextender-ohjelma, joka luo ppp-yhteyden yrityksen verkkoon.
Laite tallentaa Windowsin aktiivihakemistosta käyttäjätunnusten kopiot muistiinsa. Tunnistuksen vahventamiseksi halutuille käyttäjäryhmille se osaa generoida kertakäyttösalasanoja ja lähettää niitä sähköpostitse vaikka käyttäjän puhelimeen.
Työasemalle ei tehdä mitään ennakkotarkastuksia, mutta välimuistin voi tyhjentää ja Netextenderin poistaa koneesta yhteyden päätteeksi.
Hallintakäyttöliittymä voisi olla loogisemminkin jäsennelty, mutta pääkäyttäjä oppii suppean valikkorakenteen nopeasti. Opasteet ovat kehnoja, mutta käsikirja hyvä.
Hinta on 50 käyttäjälle.
AEP Networks NetillaSSL VPN 2000
Perinteikäs yritysratkaisu
+ Laaja sovellustuki, Citrix-tuki
– Hallinnan oppimiskynnys, tunneliajurin poiston vaikeus
Arvosana: 7,4
Hinta: 4 270€
AEP Networksin vuonna 2004 ostama Netilla demonstroi ssl vpn -tekniikkaa jo vuonna 2001. Pitkä kehityshistoria ja keskittyminen yritysten tarpeisiin näkyvät esimerkiksi tukena 3270- ja Ericom-pääte-emulointiohjelmille.
Laajaksi paisuneesta toimintojoukosta muodostuu hiukan hankalasti hahmottuva kokonaisuus. Dokumentointi ei ole juuri opastavaa, ja eksoottiset akronyymit ja termit nostavat oppimiskynnystä.
Käyttäjien tunnistus, pääsy- ja rajoitussäännöt sekä työasemien tarkastukset voidaan ryhmitellä joustavasti. Monipuolista todennusmenetelmien valikoimaa täydentää yhdyskäytävään integroitu, erikseen lisensoitava Vasco Digipass -kertakäyttösalasanapalvelin.
Citrixin asiakkaita Netilla hemmottelee sisäänrakennetulla Ica-käyttöliittymällä, jonka ansiosta käyttäjä pääsee selaimella Citrixin kautta tarjottuihin sovelluksiin. Muuten selainkäyttö on rajoittunutta; portaalin muokkaus on työlästä, mutta oman http-sivun voi tuoda pohjaksi.
Yksittäisten sovellusten tukeminen onnistuu rajoittamalla vain Windowsissa toimivan, täyden verkkoyhteyden avaavan tunnelin käyttöä tiettyihin portteihin. Tunneliajuri on tehty Javalla, mutta tuore Java-versio vaati kikkailua.
Laitteen lisensointi ei rajaa käyttäjämäärää, mutta testattua mallia suositellaan enintään 50 yhtäaikaiselle käyttäjälle.
Citrix Access Gateway, Standard Edition
Kokonaisratkaisun osa
+ Tunnelimoodin suorituskyky, Citrix-tuki
– Työaseman tarkastus ja siivous
Arvosana: 7,4
Hinta: 8 013€
Citrix Access Gatewayn testissä käynyt versio edustaa yhtiön tuotepaletissa rajoittuneinta ja jo vanhahtavaa päätä. Tuote sopii parhaiten laajan Citrix-pohjaisen kokonaisratkaisun osaksi.
Http-käännökset tarjoavassa kioskimoodissa selaimella otetaan yhteys yhdyskäytävässä toimivaan virtuaalikoneeseen, jossa pyydettyjä sovelluksia ajetaan. Vanhan Java-version vaativa toiminto on poistumassa, koska yhtiö on siirtymässä Xen-pohjaiseen tekniikkaan sovellustentoimitustuotteissa.
Täyden verkkoyhteyden tarjoava Listener-agentti on laitteen suositeltu pääkäyttötapa. Sitä ei oteta käyttöön selaimen lisäosana, vaan suorittamalla erillinen exe-tiedosto. Se ei tee näkyviä muutoksia työaseman ip-pinoon tai reititystauluun, vaan asentaa työasemaan agentin, joka ohjaa liikenteen tunneliin.
Työaseman tyypin ja ohjelmistojen tarkastuksia voi itse viritellä työläästi, mutta istunnon jälkiä ei voi mitenkään poistaa työasemasta.
Citrixin käyttäjä voi jakaa työpöytänsä verkossa, Sonicwalliin saa tekniselle tuelle optiona työaseman etäkäyttötoiminnon. Tällaisia toimintoja ei löydy vertailun muista tuotteista.
Hinta on 50 käyttäjälle.
Zyxel Zywall SSL-10
Kun vain hinta ratkaisee
+ Hinta, virrankulutus
– Suorituskyky, toiminnot
Arvosana: 6,3
Hinta: 545€
Vertailun kaikin puolin köykäisin laite on taiwanilaisen Zyxelin valmistama Zywall SSL-10. Pieni koko ja halpa hinta kulkevat käsi kädessä suorituskyvyn kanssa: Laite soveltuu lähinnä pienen toimiston dsl-liittymän kylkeen. Peruslisenssissä käyttäjämäärä onkin vain kymmenen.
Arkkitehtuuriltaan Zywall SSL-10 on kuin mikä tahansa pientoimiston internet-reititin: yksi wan-portti ja neliporttinen lähiverkkokytkin sisäverkon ja palvelinten liittämistä varten. Laitteen voi asentaa nat-reitittimeksi tai varsinaisen internet-reitittimen oheen demilitarisoidulle vyöhykkeelle, ja hallinta on helppoa Zyxelin entuudestaan tunteville.
Tuote on parhaimmillaan Windows-ympäristössä. Käyttäjien tunnistukseen on tarjolla Windows-verkoissa käytetyt menetelmät aktiivihakemistosta Radiukseen. Tunnistusta voidaan vahventaa kertakäyttösalasanoilla Zyxelin oman otp-ratkaisun avulla.
Selaimella käytettävien sovellusten tuki on peräti vaatimaton: vain Windowsin tiedostojaot saadaan listaksi selaimelle. Porttien uudelleenohjaus on tehty valmiiksi muutamalle sovellukselle, ja lisää voi määritellä itse. Täysi verkkoyhteys saadaan Secuextender-ohjelmalla, joka toimii vain Windows-koneilla.
Hinta on 25 käyttäjälle.
