апрель    2024

Пн	Вт	Ср	Чт	Пт	Сб	Вс
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

показать все 

22.04.2024

Сообщество цифровых управленцев «я-ИТ-ы» проводит ЗАКРЫТУЮ встречу в рамках выставки «Связь-2024»!

Читать далее 

18.04.2024

Ассоциация разработчиков «Отечественный софт» отметила 15-летие

Читать далее 

17.04.2024

РДТЕХ представил Технологическую карту российского ПО 2023

Читать далее 

16.04.2024

RAMAX Group получила партнерский статус уровня Gold по продукту Tarantool

Читать далее 

показать все 

18.04.2024

5 способов повысить безопасность электронной подписи

Читать далее 

18.04.2024

Как искусственный интеллект изменит экономику

Читать далее 

18.04.2024

Неочевидный САПР: выход ПО за рамки конструкторской деятельности

Читать далее 

18.04.2024

Скоро некому будет делать сайты и заниматься версткой

Читать далее 

18.04.2024

Цифровая трансформация в энергетике: как запустить проект с максимальным финансовым эффектом?

Читать далее 

05.04.2024

Мотивируй, не то проиграешь!

Читать далее 

22.03.2024

В 2024 году в России и мире вырастут объемы применения AR/VR 

Читать далее 

25.02.2024

Цифровые технологии: надежды и риски

Читать далее 

05.02.2024

Будут ли востребованы услуги технической поддержки софта Oracle в России в ближайшие годы?  

Читать далее 

31.01.2024

Здания с признаками интеллекта. Как Сергей Провалихин автоматизирует дома и производства

Читать далее 

показать все 

Главная / Архив номеров / 2014 / Выпуск №8 (41) / Эффективное и безопасное построение сетей для объединения офисов

Рубрика: Безопасность

Андрей Бирюков, системный архитектор, ЗАО «НИП Информзащита»

Эффективное и безопасное построение сетей
для объединения офисов

Обслуживание сетевых каналов связи с филиалами часто создает массу проблем для ИТ-отдела. Можно ли их избежать?

Средние и крупные компании, как правило, имеют географически распределенную сеть филиалов, между которыми необходимо обеспечивать защищенную связь. Существует несколько вариантов решения данной задачи. В своей статье ярассмотрю достоинства и недостатки каждого из них с точки зрения экономической эффективности. Однако прежде чем приступать к описанию вариантов подключения, поговорим о том, какие критерии нам потребуются прирассмотрении тех или иных вариантов. Экономическая эффективность является важным, но не единственным показателем, по которому нужно выбирать варианты подключения. Конечно, отношение пропускной способности каналов к их стоимости – это важный критерий, но еще есть требования российских регуляторов, которые также определяют особенности передачи данных по каналам связи.

Не все шифры одинаково полезны

Многие мои статьи, так или иначе, содержат упоминание о российском Федеральном законе №152 «О персональных данных» и соответствующих нормативных актах. На практике почти все аспекты информационной безопасности длячастных компаний в России связаны с этим законом. Поэтому упомянуть о нем придется и сейчас. Большинство обрабатывает персональные данные (ПДн), такие как контактная информация физических лиц, адреса и телефоны поставщиков и прочее. В случае если организация имеет географически распределенную сеть филиалов, то, как правило, обработка ПДн ведется во всех филиалах. Следовательно, компания обязана защищать сеть каждого из них.

В качестве сетевых средств защиты обычно используются межсетевые экраны, средства защиты каналов связи и системы обнаружения вторжений. Главной сложностью является необходимость использования сертифицированных ФСТЭКи ФСБ средств защиты. И здесь может возникнуть ряд проблем, о которых мы и поговорим далее.

Кто как подключается

Поговорим о том, кто как организует свою сеть связи с филиалами. Крупные компании, располагающие значительными средствами, могут себе позволить аренду каналов связи непосредственно у провайдеров. При этом они могут вообщене использовать VPN. Вместо этого создается географически распределенная внутренняя сеть организации, по которой осуществляется передача принадлежащей компании информации. При этом вероятность прослушивания сети серьезно снижается, так как трафик перемещается только по сетям, принадлежащим определенным провайдерам. Конечно, физическая безопасность каналов связи при этом не полностью обеспечивается. Однако при этом многие заказчики считают,что, если у них используются оптические каналы связи, то сетевые угрозы для них неактуальны. Объясняется обычно это тем, что с оптики крайне трудно снять сигнал, проще говоря, нельзя прослушать трафик.

В общем случае такой подход не является правильным хотя бы потому, что с точки зрения российских регуляторов для защиты каналов связи должно применяться шифрование, причем использующее сертифицированный ФСБ ГОСТ 28147-89.

Но многие компании вместо этого заменяют шифрование трафика между офисами использованием технологии плотного спектрального уплотнения DWDM Dense Wavelength Division Multiplexing. Данная технология использует принцип «смешивания» сигналов разной частоты, передаваемых по данному оптическому каналу связи, т.е. по одному волокну можно передавать более сотни стандартных каналов. При этом перемешивание этих стандартных каналов производитсяпо определенному математическому закону. И, не зная этот закон, крайне сложно восстановить исходный сигнал. Поэтому в принципе DWDM может быть некоторым средством защиты трафика в оптическом канале, но не с точки зрения российских регуляторов.

Еще один нюанс при создании каналов связи с филиалами – подключение по оптике на небольшие расстояния, порядка нескольких километров. Дело в том, что в соответствии с базовой моделью угроз российских регуляторов оптический канал связи является доверенным в случае, если при передаче не используют средства коммутации и сегментации. Проще говоря, если у нас один конец оптоволокна подключен к конвертеру на территории одного офиса, а другой конец – кконвертеру на второй площадке и кабель физически представляет собой единый отрезок, который нигде не прерывается никакими повторителями или коммутаторами. Естественно, в силу специфики технологии передачи сигнала пооптическим каналам связи такое взаимодействие возможно только на небольших расстояниях.

Например, одному моему заказчику удалось избежать использования шифрования для защиты канала между двумя площадками, которые находились в одном здании – одна на первом, а вторая на одном из верхних этажей. Оптический канал между двумя помещениями проходил по недоверенной зоне, которая не контролировалась данной организацией. В качестве обоснования для модели угроз было использовано то обстоятельство, что оптический кабель не использует повторителей при передаче сигнала и, следовательно, прослушивание трафика техническими средствами практически невозможно.

Итак, я привел те случаи, когда можно избежать шифрования при передаче трафика между офисами. Ну а во всех остальных случаях нам придется защищать канал. Поговорим о том, как это лучше сделать.

Очевидно, что для защиты канала связи необходимо использовать шифрование. При передаче трафика через Интернет используется технология виртуальных частных сетей VPN. Но и здесь есть ряд нюансов. Дело в том, что во многих давно существующих компаниях уже сложилась инфраструктура VPN, то есть используется определенное оборудование Cisco, Checkpoint и т.д. И применяются определенные алгоритмы шифрования, например, AES. При этом в VPN-туннеле шифруется весь трафик независимо от используемых протоколов. Все это замечательно работает, при этом пропускной способности канала в целом хватает, но загружен он постоянно не менее чем на 90 процентов.

Но тут возникают требования закона о персональных данных, о которых я уже упоминал ранее. И компания понимает, что их алгоритм AES для шифрования не подходит. Проблема заключается в том, что, во-первых, необходимо приобретать новое оборудование, поддерживающее сертифицированный алгоритм ГОСТ. А во-вторых, в канале возникает необходимость в использовании второго VPN-туннеля, что, в свою очередь, создает дополнительную нагрузку. Первую проблему заказчикам приходится воспринимать как данность, то есть закладывать расходы на покупку нового оборудования. Вот со второй проблемой все не так просто. Дело в том, что увеличить пропускную способность канала, особенно в регионах, можно далеко не всегда даже за значительную доплату.

Прежде всего необходимо постараться оптимизировать пропускную способность канала связи. Очень часто доступ в Интернет для филиалов организуется через центральный офис. То есть сотрудник филиала в Хабаровске будет подключаться к Google через московский прокси. Такую топологию обычно используют для того, чтобы контролировать весь обмен трафиком с глобальной сетью. Например, на центральном прокси-сервере развернута DLP-система, отвечающая за предотвращение утечек информации. Возможно, лучшим решением будет изменение топологии, при котором филиал станет осуществлять доступ в Интернет через местного провайдера, а контроль трафика будет также развернут в сети филиала.

Еще одним тривиальным решением по сокращению загрузки каналов является запрет доступа к определенным сайтам. Например, вряд ли сотрудникам регионального филиала нужен доступ к сайту «ВКонтакте», доступ на YouTube.com тоже может быть лишним. Таким очевидным способом можно существенно снизить загрузку каналов.

Если оптимизировать пропускную способность каналов уже не представляется возможным, доступ берется у местного провайдера, а пользователям заблокировано в глобальной сети все, что только можно, однако местная «медь» все равно загружена более чем на 90 процентов.

В таком случае нам придется менять политики шифрования трафика. А так как мы договорились ранее, у нас устоявшаяся сеть, в которой весь трафик между филиалами шифруется несертифицированным алгоритмом. Как вариант – можно полностью заменить туннелирование на сертифицированный ГОСТ, установив соответствующие устройства. Однако многие ИТ-специалисты не очень хотят менять высокопроизводительную, но не сертифицированную Cisco на«Континент» или ViРNet. Опасаются проблем с производительностью.

Как альтернативу можно использовать ГОСТ для шифрования только того трафика, который подпадает под действие требования закона о персональных данных. В соответствии с требованиями упомянутого нормативного акта проводится обследование, в результате которого выявляется, какие информационные системы обрабатывают персональные данные. В частности, выявляется, какие протоколы используют соответствующие приложения. Например, внутренний портал может использовать порт 443 для передачи HTTPS-трафика. Или если осуществляется подключение к БД Oracle, то используется порт 1521. Соответственно именно этот трафик между нужными сегментами необходимо шифровать сертифицированными алгоритмами. А для всего остального трафика можно использовать старый VPN-канал.

И вообще не лишним будет задуматься над тем, нужно ли вообще шифровать весь трафик. Ведь при туннелировании каждый пакет увеличивается на несколько десятков байт. В среднем трафик может увеличиться до 30 процентов. Поэтому стоит задуматься над тем, надо ли шифровать, к примеру, http.

Кто есть на рынке

На российском рынке средств ИБ в части сертифицированного шифрования каналов связи выбор не слишком большой. Здесь основными решениями являются аппаратно-программные комплексы шифрования «Континент» производства компании «Код безопасности» [1], программно-аппаратный комплекс ViPNet, разработанный компанией «ИнфоТеКС» [2], и решения S-Terra [3], имеющие особую популярность в тех компаниях, где используют оборудование Cisco.

В линейке каждого из приведенных решений можно подобрать устройства, подходящие для филиалов любого размера: от нескольких человек до нескольких сотен пользователей.

С учетом нынешней политической обстановки немаловажным фактором является то, что все эти компании являются российскими разработчиками.

Не шифром единым

Продолжая тему защиты филиалов, напомню, что, помимо средств шифрования, по требованиям регуляторов необходимо также использовать сертифицированные межсетевые экраны и средства обнаружения вторжений. С первыми особых проблем на российском рынке нет. Необходимые сертифицированные устройства можно найти в линейке большинства крупных разработчиков сетевого оборудования, присутствующих на российском рынке. Впрочем, необязательно приобретать аппаратные решения. Для небольших филиалов вполне подойдут программные межсетевые экраны, устанавливаемые на сервер.

Со средствами обнаружения вторжений ситуация в целом схожая. На рынке также имеется некоторое количество сертифицированных решений, которых хотя и несколько меньше, чем межсетевых экранов, но также есть из чего выбрать.

Но тут есть ряд технических сложностей, о которых необходимо помнить. Дело в том, что системам обнаружения вторжений для работы необходимо осуществлять мониторинг всего проходящего трафика. Это делается обычно с помощью зеркалирования трафика с порта коммутатора. Однако мы говорим о защите каналов связи с филиалами, следовательно, нам необходимо производить мониторинг всего трафика, идущего из филиалов. В случае если все бизнес-приложения размещены в центральном офисе и доступ в Интернет ведется через него, а также если связь филиалов друг с другом возможна только через сеть центрального офиса, тогда все достаточно просто. В таком случае в центральном офисе устанавливается высокопроизводительная система обнаружения вторжений и на нее зеркалируется весь проходящий трафик. Но, как я уже упоминал ранее, с точки зрения нагрузки на каналы связи такая топология не всегда удобна. Вслучае когда трафик необходимо просматривать непосредственно в сети филиала, можно воспользоваться программными реализациями средств обнаружения вторжений в качестве альтернативы закупке большого количества аппаратных решений для каждого филиала. Например, можно развернуть ПО Security Studio Endpoint Protection от «Кода безопасности». Данный продукт является сертифицированным антивирусом, межсетевым экраном и средством обнаружения вторжений. Необходимо установить агентов SSEP на каждую рабочую станцию в филиале. Правда, программное средство обнаружения вторжений не производит мониторинг трафика, а просматривает журналы событий, однако с точки зрения регуляторов такого средства будет достаточно для предотвращения вторжений. Кроме того, программными агентами можно управлять из сети центрального офиса, что также удобно.

Отказоустойчивость – наше все

До этого момента мы говорили преимущественно о безопасности, однако теперь рассмотрим такое важное понятие, как резервирование каналов связи. Дело в том, что многие компании в целях экономии арендуют только один канал связис Интернетом. Естественно, в случае его обрыва время простоя может составить от нескольких часов до нескольких дней. Все это время филиалу будут недоступны ресурсы центральной сети, что крайне негативно скажется на его производительности.

Поэтому при подключении нового офиса необходимо сразу задуматься об аренде резервного канала связи. Возможны различные варианты оплаты. Например, помегабайтная оплата, когда для резервного канала оплачивается только входящий трафик. Также некоторые провайдеры предлагают резервные каналы за небольшую арендную плату. В случае если данный канал становится основным, некоторое количество трафика будет уже включено в оплаченную сумму, авсе, что свыше, уже оплачивается помегабайтно. Так что заказчик может выбрать, какой тариф ему наиболее выгоден.

***

На этом я завершаю свою статью, посвященную построению сетей для объединения офисов. Я рассмотрел некоторые аспекты сетевого взаимодействия, связанные с обеспечением безопасной и бесперебойной работы каналов связи, атакже привел возможные способы решения возникающих проблем.

1. Сайт компании «Код безопасности» – http://www.securitycode.ru.
2. Сайт компании «ИнфоТеКС» – http://www.infotecs.ru.
3. Сайт компании «S-Terra» – http://www.s-terra.com.

В начало⇑

Комментарии отсутствуют

Комментарии могут отставлять только зарегистрированные пользователи