Сегодня, в условиях глобальной конкуренции, использование информационных технологий является одним из основных факторов успеха при построении полностью автоматизированных предприятий. При этом ключевая роль отводится корпоративным сетям — своего рода нервной системе организации. Вряд ли стоит напоминать, что такие сети должны быть надлежащим образом защищены от непредвиденных сбоев или преднамеренных угроз.

Очевидно, обеспечение безопасности не должно ограничиваться лишь установкой специализированного оборудования (брандмауэров или систем для унифицированного управления угрозами — Unified Threat Management, UTM), поскольку оно позволяет защитить только внешний периметр сети. Сеть должна быть устойчива к любым целенаправленным или случайным действиям, совершаемым пользователями внутри сети по невнимательности, из-за незнания внутренних регламентов или умышленного игнорирования сложных и часто запутанных процедур доступа.

Взять, к примеру, пароли. Чем сложнее процедуры управления доступом и строже политика в отношении паролей, тем выше вероятность того, что пользователи будут записывать свои пароли на клочках бумаги, оставляя их на своих рабочих местах, или хранить их в мобильных телефонах. С точки зрения безопасности это равнозначно хранению ключа от дома под ковриком или в цветочном горшке рядом с дверью. И уже не важно, насколько крепка эта дверь.

Для обеспечения высокого уровня безопасности не следует полагаться исключительно на программные или аппаратные решения или их комбинацию. При этом не имеет особого значения, насколько сложные и развитые системы используются. Безопасность — это в первую очередь отношение и свойство, которые должны пронизывать всю сеть. Такое состояние достигается посредством целого ряда унифицированных механизмов, которые должны быть простыми при внедрении, обслуживании, тестировании и эксплуатации.

Простота, ясность, оперативность — вот основные принципы, в соответствии с которыми следует реализовать сетевую инфраструктуру, чтобы она была действительно надежной и защищенной.

Для начала рассмотрим проблему отказоустойчивости. Избыточная сетевая архитектура, где широко применяется многоуровневый подход в виде комбинации протоколов Ethernet/IP, таких как Spanning Tree (в различных модификациях), VRRP/HSRP и протоколов маршрутизации (OSPF, RIP, ISIS), требует централизованного планирования и подразумевает чрезвычайно сложную конфигурацию сетевых механизмов. При этом процесс устранения неисправностей в подобной сети является не менее сложным и весьма трудоемким. Ситуация практически выходит из-под контроля, когда в сети организуются VLAN и VPN.

В противовес этому, инфраструктура второго уровня, охватывающая всю территорию предприятия, сочетает в себе простую и понятную архитектуру с удобной настройкой и механизмами выявления сбоев и неполадок. Отказоустойчивость в ней достигается с помощью механизмов агрегирования каналов (Link Aggregation) и защитного коммутирующего кольца (Ethernet Protection Switching Ring, EPSR). В такой архитектуре отсутствует потребность в координации протоколов, трафик передается сбалансированно по двум или более параллельным маршрутам, а виртуализация достигается благодаря применению VLAN, которые могут быть агрегированы на магистральном уровне при помощи механизмов VLAN in VLAN.

Такая сетевая инфраструктура является отказоустойчивой и масштабируемой благодаря поддержке технологий Ethernet Protected Switched Ring и Link Aggregation. В случае сбоя протокол EPSR позволяет восстановить работоспособность сети в течение 50 мс, а стандарт IEEE 802.3ad Link Aggregation (LAG) дает возможность расширить ее пропускную способность путем добавления дополнительных физических каналов. При этом изменения в конфигурации минимальные: достаточно добавить дополнительные идентификаторы портов к существующим сценариям агрегирования.

Если такую конфигурацию дополнить парой коммутаторов, соединенных в виртуальный стек (VCStack), то при пожаре сеть останется работоспособной, даже если устройства будут физически разделены огнеупорной перегородкой (см. Рисунок 1). Подобную конфигурацию невозможно реализовать даже при использовании избыточного шасси.

 

Рисунок 1. Технология виртуального стека VCStack позволяет объединить в один стек физически разнесенные коммутаторы и тем повысить устойчивость сети.
Рисунок 1. Технология виртуального стека VCStack позволяет объединить в один стек физически разнесенные коммутаторы и тем повысить устойчивость сети.

 

Одной лишь устойчивой архитектуры недостаточно для обеспечения работоспособности сети, если основные критически важные сетевые протоколы не защищены от умышленных или непредумышленных действий рядовых пользователей. Прежде всего на всех коммутаторах доступа необходимо реализовать механизмы обнаружения и защиты от петель. Без таких средств защиты подключение кабеля, небольшого коммутатора или обычного маршрутизатора потребительского уровня между двумя портами привело бы к «шторму» пакетов и в конечном итоге к отказу всей сети. Аналогичным образом маршрутизатор (например, с модемом ADSL), подключенный к корпоративной сети через один из своих локальных портов, может отвечать на запросы DHCP от сетевых устройств и выдавать IP-адреса, противоречащие принятой системе адресации, в результате чего взаимодействие устройств в сети будет нарушено. Поэтому все коммутаторы доступа должны реализовать защиту DHCP и верификацию IP-адресов, благодаря которым на портах можно использовать только официально назначенные IP-адреса.

Инфраструктура защиты может быть дополнена технологией тройной аутентификации (tri-authentication). Такая технология, реализованная на всех портах, не позволит подключить к сети новое оборудование до тех пор, пока оно не будет идентифицировано при помощи одного из трех методов аутентификации: посредством протокола IEEE 802.1x, Web-аутентификации или аутентификации по MAC-адресу.

Такой механизм должен быть интегрирован в корпоративную инфраструктуру безопасности и управления доступом, построенную на базе либо сервера RADIUS, либо стандартных отраслевых решений для управления и защиты сетевого доступа (Network Access Control/ Protection), предлагаемых компаниями Symantec и Microsoft. После прохождения процедуры аутентификации, как только пользователи осуществят обычную процедуру входа в сеть, оборудование автоматически помещается в соответствующую сеть VLAN.

Простота, отказоустойчивость и масштабируемость — именно в этом заключается действенный подход, который позволит не только быстро и эффективно решать возникающие проблемы, но и исключить возможность их появления.

Рино Интриери — вице-президент Allied Telesis по маркетингу, сервису и технической поддержке в регионе EMEA и CSA.