Nell’ultimo paio d’anni si è verificato un grande interesse e relativo sviluppo tecnico delle modalità di accesso VPN di tipo remote access per il mondo enterprise.

In particolar modo vi è stato un grande impulso all’accesso sfruttando la tecnologia SSL/TLS. Motivazioni di pura innovazione, semplificata connettività, migliori performance e caratteristiche di sicurezza aggiuntive assieme a considerazioni geopolitiche hanno fatto delle VPN SSL una tecnologia emergente in grande crescita.

Quasi tutti i grandi vendor che propongono apparati di sicurezza per l’accesso remoto hanno sviluppato una loro particolare versione della tecnologia SSL, abilitata direttamente sui router/firewall perimetrali oppure usando server/concentratori interni alle reti aziendali.

Un buon punto di partenza per individuare i differenti vendor è quello proposto da Gartner nel suo Magic Quadrant, qui riportato nella sua ultima versione datata Dicembre 2010. Il grafico rappresenta il rapporto di forza tra i maggiori vendor sulla tecnologia VPN SSL a livello enterprise. Da un lato viene valutata la tecnologia nel suo insieme mentre dall’altro viene evidenziata l’abilità di fornire il servizio, anche considerando il lato puramente commerciale. Tale quadrante riflette in maniera qualitativa una serie molto vasta di parametri quantitativi e fornisce, tanto all’utilizzatore finale che all’integrato di sistemi, il posizionamento attuale e il trend di mercato dei vari vendor in competizione in un mercato molto promettente.

Pur fornendo una prodotto similare, ogni soluzione è unica nelle sue caratteristiche e andrebbe valutata per esteso prima di essere applicata o anche solo proposta. Normalmente però questa operazione non viene effettuata perché altamente dispendiosa e costosa in termini temporali. Spesso si preferisce concentrare gli sforzi restringendo l’attenzione alle soluzioni proposte da quei vendor  principali presenti nei quadranti dei leaders, challengers e visionaries.

Tra i leaders di questo mercato le soluzioni  proposte  da Cisco Systems per la connettività perimetrale VPN SSL di tipo remote access  sono tra le più interessanti dell’intero lotto.

Dall’introduzione del firewall Adaptive Security Appliance (ASA) la visione di Cisco prevede per questi apparati la funzione preferenziale di terminatore delle connessioni VPN di tipo remote access prima con tecnologia IPSec e poi SSL. La decisione di sostituire progressivamente i vecchi firewall PIX e i VPN 3000 Concentrator con gli ASA rinforza questa visione, lasciando in pratica alle varie linee dei router il compito principale di terminare le connessioni VPN di tipo Lan-to-Lan.

La connettività VPN SSL di Cisco Systems, inizialmente basata su semplice software scaricabile come plug-in dal portale web, ha ormai raggiunto una maturità tale da prevedere l’accesso alla rete enterprise mediante semplice browser, integrando estensioni java, oppure mediante software proprietario client denominato AnyConnect, attualmente alla versione 2.5.

Tale software è disponibile per i maggiori sistemi operativi e permette, attraverso il controllo dei sotto-sistemi delle interfacce di rete, l’instaurazione di un tunnel VPN client di tipo remote access tra il dispositivo remoto e il terminatore VPN aziendale usando la tecnologia SSL per l’interscambio delle chiavi e sistema di cifratura avanzata come RC4, 3DES o AES per fornire la parte di cifratura dei dati interscambiati.

All’interno di questa semplice descrizione di base sono presenti innumerevoli caratteristiche avanzate aggiuntive proprietarie Cisco tali da rendere l’intera soluzione proposta molto sofisticata se confrontata con altri vendor. Tutte le caratteristiche aggiuntive sono abilitabili in configurazione del firewall/terminatore come Cisco Secure Desktop (caratteristicha di HostScan e pre-posture) o Dynamic Access Policies pensate appositamente per funzionare in concerto con la modalità VPN SSL.

Tutte le caratteristiche e le licenze vengono gestite dal sistema operativo del terminatore  VPN (predefinito il  firewall Cisco ASA) e seguono nel loro aggiornamento e miglioramento continuo il trend di sviluppo pensato da Cisco e implementato nelle varie versioni dell’Adaptive Security Algorithm.

Con la versione ASA 8.22 di fine 2009 sono state finalmente introdotte riviste e introdotte nuove  licenze che aumentano l’offerta di connettività remote access disponibili per soddisfare le sempre differenti richieste del mercato VPN SSL. E’ stato finalmente rivista la modalità di conteggio licenze per cercare di soddisfare i clienti entry level, visto l’alto costo delle licenze standard, caratteristica poco gradevole per un’espansione di mercato.

1. Licenza AnyConnect Essentials
   • Singola licenza abilitata direttamente sul dispositivo terminatore di VPN(Firewall Cisco ASA) ad un costo nominale molto basso, almeno per gli standard Cisco Systems.
   • Abilita la connessione VPN ti tipo SSL Remote Access attraverso solo client software AnyConnect disponibile per le maggiori piattaforme OS (non mobile) e permette l’instaurazione di tunnel cifrati ad alta sicurezza con caratteristiche di authentication e confidentiality di livello enterprise.
2. Licenza AnyConnect Premium
   • Permette l’utilizzo della connettività VPN SSL di tipo Remote Access clientless, attraverso portale web assieme alle caratteristiche client presenti nella licenza Essential.
   • Prevede l’utilizzo del modulo Cisco Secure Desktop per verifica dell’host, in grado di fornire una pre-posture assessment.
   • Licenza fornita in base al numero di utenti contemporaneamente attivi.
3. Licenza AnyConnect Mobile
   • Abilita la compatibilità  con dispositivi mobili, come ad esempio Apple iOS 4 abilitato a dialogare in VPN SSL da metà 2010.
   • Licenza fornita in base al numero di dispositivi in aggiunta ad una licrenza di tipo  Essentials or Premium.