Следуя вектору развития информационных технологий, компании из всех сфер деятельности во всем мире преобразуют свои корпоративные сети в интрасети (intranets), основанные на стандартах и технологиях Internet. В этой статье рассмотрены вопросы, связанные с организацией интрасетей, - технологии, которые позволяют повысить защищенность и производительность сети, а также сократить расходы на ее содержание.
Использование Internet в качестве информационной магистрали для интрасетей может обеспечить компаниям такие преимущества, как более тесный контакт с удаленными служащими, заказчиками, и поставщиками - надежным и экономичным образом. Поскольку корпоративные сети имеют средства управления и механизмы, обеспечивающие защиту важной информации, а Internet нет, вопросы подключения к Internet должны рассматриваться серьезно и включаться в общий процесс планирования компании. Только в этом случае подключенная к Internet интрасеть может считаться безопасным бизнес-ресурсом организации.
Интрасети и Internet: разрыв в
производительности
Существующие технические различия между корпоративными интрасетями и Internet тормозят процесс подключения многих организаций к Internet. С точки зрения пользователя, при работе с Internet происходит заметное снижение производительности и ухудшение качества по сравнению с корпоративными интрасетями. Локальные сети (ЛВС), например, имеют полосу пропускания в пределах от 10 до 100 Мбит/c. А пропускная способность каналов связи с Internet обычно колеблется в диапазоне от 9,6 Кбит/c до 1,5 Мбит/c. Этот разрыв в производительности усугубляется тем фактом, что и количество и размер файлов в системе World Wide Web растут очень быстро - особенно из-за использования графики и потоковой передачи аудио- и видеоданных.
Поскольку компании все больше нуждаются в надежном доступе к Internet, многие поставщики предлагают для реализации этого доступа различные продукты - главным образом на уровне браузеров и серверов Web. Однако организация доступа в Internet через корпоративные Web-серверы и пользовательские ПК является лишь первым и относительно простым шагом. Задачи же обеспечения приемлемой производительности, защиты и администрирования сетей, использующих Web-технологию, могут и должны решаться с помощью продуктов другого уровня, работающих на границе между интрасетью и Internet.
Безопасность - не частная проблема
Недавно проведенное исследование (источник: "Компьютерные преступления и безопасность" — совместное исследование Института компьютерный безопасности (ИКБ) и ФБР, 1996 г. ) показало, что 42% опрошенных компаний сталкивались с несанкционированным использованием их компьютерных систем в течение последних 12 месяцев. Только 37% респондентов сообщили, что их сети не подвергались нападениям злоумышленников, а 21% опрошенных ответили, что не знают, подвергались ли их системы вторжениям извне. Менее 17% респондентов, испытавших компьютерные вторжения, сообщили об этом правоохранительным органам.
Тысячи компаний буквально рвутся в Internet по одной простой причине - она имеет миллионы и миллионы пользователей. И, конечно, по той же самой причине сеть Internet гораздо хуже защищена, чем любая частная сеть. Во многих компаниях, которые используют в своих сетях технологии Internet, производительность труда повышается. Браузеры и серверы Web обеспечивают быстрый, простой и почти универсальный доступ пользователей к информации; но с теми же самыми программными средствами связаны и потенциальные проблемы безопасности. При наличии огромного выбора средств для работы с Web, технологий и информации, которые одинаково легко доступны как "друзьям" (поставщикам и партнерам), так и "противникам" (хакерам), всегда найдется кто-нибудь, кто попытается открыть (или взломать) вашу электронную дверь. Впрочем, не надо далеко ходить. В Беларуси уже достаточно примеров попыток взлома банковских сетей.
Модели Internet и интрасетей
различаются как ночь и день
Internet основана на модели максимальной доступности информации, неограниченного доступа и бесплатного использования. Модель корпоративной интрасети отличается весьма значительно: во главу угла поставлены безопасность, управляемый глобальный доступ к информации и службам. Это несоответствие между корпоративными сетями и Internet становилось все более очевидным по мере того, как Internet превращалась из академической и исследовательской сети в сеть деловую и коммерческую.
Растущие потребности в соединении корпоративных сетей с Internet обуславливают необходимость применения специальных решений, способных сгладить различия между Internet и интрасетями в уровнях безопасности, управляемости и производительности. Эффективное решение для доступа в Internet должно обеспечивать:
- Интегрированный подход к решению проблем защиты и управления
- Надежную, управляемую систему защиты
- Простое управление и администрирование
- Повышение продуктивности работы пользователей благодаря более быстрому доступу к большим объемам информации
- Поддержку существующей сетевой инфраструктуры
- Возможность реализации виртуальных частных сетей
- Поддержку открытых стандартов
- Повышение сетевой производительности.
Обеспечение интегрированного
решения
Средства защиты интрасети
Решение для доступа в Internet должно обеспечивать безупречную защиту в обоих направлениях - для входящих и исходящих коммуникаций. Защита входящих коммуникаций позволяет обезопасить интрасеть от несанкционированного доступа из Internet. Защита исходящих коммуникаций дает возможность управлять доступом к ресурсам Internet внутренних пользователей. Это решение должно реализовывать стандартную трехуровневую модель брандмауэра Internet, включающую в себя фильтры пакетов, посредников (proxy) сеансового уровня и посредников прикладного уровня.
Для достижения максимальной эффективности система защиты должна обеспечивать несколько уровней управления доступом, включая:
- Управление на уровне хост-компьютеров, позволяющее определить, к каким хостам может осуществляться доступ.
- Управление на уровне приложений, позволяющее определить, к каким приложениям может осуществляться доступ (например, пользователям может быть предоставлен доступ к приложениям WWW и FTP и запрещен доступ к приложениям групп новостей).
- Управление на уровне содержания информации, обеспечивающее контроль над тем, к каким сетевым файлам и документам может осуществляться доступ (самая высокая степень детализации правил доступа).
Кроме того, администратор сети должен иметь возможность приспосабливать каждый из этих уровней к потребностям конкретных пользователей и их групп.
Защита должна также обеспечивать службы аутентификации, в которых предусмотрены различные уровни авторизации в зависимости от способа подключения пользователя к сети - локальная рабочая станция, Internet или коммутируемое соединение. Службы аутентификации должны поддерживать ведущие стандарты для виртуальных сетей и электронной коммерции. К ним относится, например, протокол Point-to-Point Tunneling Protocol (PPTP), обеспечивающий защищенную передачу данных для удаленных пользователей, обращающихся к ресурсам интрасети через коммутируемое соединение с Internet.
В дополнение к многоуровневому управлению доступом и аутентификации система защиты должна обеспечивать сквозное (end-to-end) шифрование информации. Это требование особенно важно для виртуальных частных сетей (VPN) и онлайновых транзакций. Механизм шифрования должен поддерживать ведущие стандарты шифрования (например, IP SEC) для виртуальных сетей и электронной коммерции.
Защита соединения интрасети с Internet должна быть гибкой и легко адаптируемой к принятой в организации политике безопасности. Сетевой администратор должен иметь возможность управлять защитой из центральной точки, чтобы уменьшить риск возникновения лазеек в системе защиты. Кроме того, администратор должен иметь возможность конфигурировать систему защиты один раз для всей сети и использовать единую процедуру настройки для всех средств, используемых в системе защиты. И, наконец, система защиты должна обезопасить сеть от вирусов, враждебных приложений, информационных "бомб" и других видов нападения.
Ускорение доступа к данным
Из-за растущего объема графической информации и других больших файлов, таких как потоковые аудио- и видеоданные, трафик в Internet стремительно увеличивается, замедляя общую производительность этой сети. Для организации эффективного соединения интрасети с Internet особенно важным становится использование современных технологий ускорения доступа, позволяющих сократить разницу в производительности между интрасетями и Internet.
Использование кэш-посредников позволяет перемещать информацию, к которой часто обращаются пользователи (например, Web-страницы), из Internet на "границу" между корпоративной интрасетью и Internet, т.е. ближе к пользователям, которые в ней нуждаются. При таком подходе минимизируется трафик в Internet и на первичном Web-сервере и уменьшается число узлов, через которые информация должна проходить на пути к пользователю.
Добавление некоторого "интеллекта" к кэш-посреднику может еще больше сократить задержки в передаче данных. Примером может служить иерархическая система кэширования, в которой каждому кэш-серверу известно содержимое всех других кэш-серверов. Если запрошенная информация отсутствует в локальном кэше или если пользователь запрашивает ее в первый раз, кэш-сервер перенаправляет запрос к ближайшему кэш-серверу, который содержит запрошенные данные.
Многоуровневое управление доступом - еще один фактор, способный повысить производительность благодаря исключению трафика, вызванного использованием неавторизованных или несущественных приложений и "путешествиями" пользователей по Web-узлам, не имеющим отношения к их работе.
Возможность реализации
виртуальных частных сетей
Организация выделенного сетевого соединения с удаленным офисом, поставщиком, заказчиком или работающими дома сотрудниками позволяет создавать защищенную частную компьютерную сеть. Однако такая связь обходится очень дорого. Виртуальные частные сети (VPN) позволяют устанавливать защищенные шифрованные соединения через дешевые общедоступные каналы Internet. Кроме того, сети VPN, установленные с использованием "пограничных служб", не требуют применения специализированного ПО на компьютерах мобильных и удаленных пользователей. Чтобы обеспечить возможность организации гибких и надежных сетей VPN, решение для интрасети должно:
- Допускать конфигурирование нескольких сетей VPN в пределах одной корпоративной сети.
- Обеспечивать административный контроль над тем, кто работает в каждой сети VPN.
- Давать возможность посылать защищенные данные через общедоступную сеть.
- Предотвращать вторжение в интрасеть неавторизованных пользователей, скрывая ее топологию от всех, кроме пользователей VPN.
Рис. 1. Проблема компьютерной безопасности |
Александр АПАНАСИК,
компания "БЕЛАНА",
т. 210-56-59,
e-mail apanasik@belana.minsk.by
P.S. Вопросы, затронутые в этой статье, становятся, как это ни странно, все более актуальными. Все больше компаний подключаются к Интернет, организуют Интрасети, все больше администраторов задумываются о безопасности и эффективности этих мероприятий. Следующая часть статьи будет посвящена тому, как это можно сделать. Полагаю, у читателей есть свои взгляды на эти вопросы, поэтому приглашаю их высказаться по поводу рассмотренных проблем на страницах "Компьютерных Вестей".
Горячие темы