El dispositivo VPN Gateway 3050 de Nortel se escala bien y tiene parámetros SSL altamente configurables. Viene con todos los servicios SSL VPN que he esperado en un portal y hace una mejora de los SSL VPN de otros distribuidores incluyendo soporte de cliente IPSec VPN. TunnelGuard proporciona la seguridad de punto final y la pieza de administración a través de un applet de descarga en demanda, pero toma algo de tiempo en “despertar” y ejecutarse. Además la integración con Active Directory es un poco incompleta. Probé el 3050 instalándolo en mi LAN de prueba, que había sido recientemente desocupada por otras seis aplicaciones SSL VPN. Después de configurar la dirección IP para mi LAN a través de una conexión serial local, me conecté con Firefox y terminé la configuración usando la interfaz de usuario administrativa. Encontré la interfaz de usuario bastante bien organizada, pero encontrar menús de opciones específicas no era tan intuitivo como en Connectra. Creé un par de cuentas de usuario de prueba en la base de datos local y agregué Active Directory como mi fuente de autentificaciones de usuario. El 3050 viene con soporte para RADIUS, NTLM (NT LAN Manager), SiteMinder, LDAP, y Active Directory a través de LDAP, pero crear una conexión a Active Directory casi me deja perplejo. Similar a mi experiencia con Connectra, tuve que investigar a fondo la sintaxis de LDAP e ingresarla manualmente, pero es exclusivo de Nortel el requerimiento de también listar el grupo de Active Directory y los mapeos de atributos de usuario. Una vez instalado, la autentificación LDAP/Active Directory funcionó excelentemente y hasta me permitió el paso para corrección de contraseña de cuentas de usuario Active Directory expiradas. Al igual que otros portales SSL VPN, los administradores pueden apilar diferentes servicios de autentificación con prioridad predeterminada para permitir autentificaciones de usuario flexibles. Por ejemplo, un usuario será buscado en la base de datos local, y, cuando no sea localizado, será buscado en el siguiente servicio de autentificación -RADIUS, por ejemplo. El 3050 ofrece gran flexibilidad en cuanto a la manera en que provee el acceso remoto. Los proveedores de servicio pueden prácticamente partir el 3050 en varios sitios distintos, cada uno con sus propios esquemas de autentificación y definiciones de recursos. Como el Firepass de F5, el 3050 viene con soporte VLAN, y cuando se agrupa, se escala muy bien. Al igual que Connectra, el 3050 tiene un sólido soporte basado en el navegador pero continúa manejando aplicaciones TCP y UDP a través de un applet Java de descarga en demanda. El 3050 también viene con definiciones enlatadas para Citrix, Telnet, y SSH; también permite conexiones nativas Outlook (cliente gordo) a través de Internet. Nortel provee RPC a través de SSL sin necesidad de cambios a tu servidor de intercambio, muy parecido al nuevo servicio de Exchange 2003 de RPC a través de HTTP. Netdirect es el tunel completo basado en ActiveX para aquellos que necesitan una conexión capa 3. Aunque está limitada a plataformas Windows, Netdirect te permite tráfico TCP/IP completamente bidireccional y soporta tuneleo dividido y completo. Me gusta que el adaptador virtual se quite silenciosamente al desconectarte sin dejar huellas duraderas en la PC. A diferencia de Connectra, los administradores que ejecutan 3050 tienen un enorme control sobre la implementación SSL así como las características HTTP específicas, lo que permite un control granular sobre detalles como reescribir el encabezado SSL, asegurar los cookies, y cacheo de imagen, script, documentos e ICA (Arquitectura de computo independiente). Pero falta algún tipo de firewall de aplicación. La administración de punto final y el control son manejados por el servicio TunnelGuard de Nortel, una utilidad basada en Java que revisa que una PC remota cumpla con las políticas, pero sólo después de que el usuario se autentifica. Además revisa cualquier contenido de un disco, procesos ejecutándose, y certificados digitales de los archivos. No realizará la revisión del registro, versión del programa, o fecha, lo que previene que la utilidad busque antivirus actualizados. Aunque es integral, encuentro la administración de TunnelGuard compleja. VPN Gateway 3050 es un programa muy versátil que requiere un poco de trabajo en la seguridad de punto final. No me gusta que requiera Internet Explorer, pero el control SSL y el soporte de clientes IPSec ayudan a disfrazar estas deficiencias. El Connectra se ajustará bien en establecimientos que invirtieron en productos Check Point. Su fuerte integración con SmartCenter es una gran ventaja. El 3050 de Nortel es escalable y viene con seguridad muy granular. Es una gran opción para empresas que tienen una pesada base IPSec instalada y quieren una migración hacia SSL. Ambos sistemas dependen mucho de Internet Explorer, pero en general, son valiosas soluciones de seguridad.