|
|
  |
Главная страница / Архитектура отрасли Маршрутизация для рынка SOHOПо мере развития сетевой инфраструктуры малого бизнеса, что особенно актуально в российских условиях, первостепенное значение приобретает правильный выбор оборудования для развертывания небольших локальных сетей. От этого в конечном итоге зависит не только производительность сети, но и ее защищенность от внешнего несанкционированного вторжения. Ведь не секрет, что успешное ведение бизнеса в сегодняшних условиях просто немыслимо без доступа в глобальную Сеть, которая, с одной стороны, предоставляет эффективную информационную среду, но, с другой стороны, именно эта информационная среда при несоблюдении мер предосторожности может просто-напросто уничтожить ваш бизнес на корню. Конечно, самый эффективный способ защиты от «непрошенных гостей» заключается в том, чтобы вообще не использовать Интернет. Но в этом случае говорить об эффективности бизнеса вряд ли вообще возможно. Собственно, сегодня бизнес в принципе нельзя отделять от Интернета, вопрос только в том, как обезопасить себя от посягательств извне. Несмотря на наличие огромного разнообразия программных средств защиты от различного рода атак на локальную сеть извне, все эти пакеты имеют один серьезный недостаток. Для того чтобы реализовать такого рода защиту, необходимо выделить отдельный сервер, на котором устанавливается и настраивается специализированное ПО. Если речь идет о достаточно крупной сети, насчитывающей не менее сотни ПК, то такое решение вполне оправданно, но если мы говорим о небольших сетях класса SOHO, то выделение отдельного сервера для организации защиты сети может оказаться достаточно накладно. Кроме того, необходимо помнить, что стоимость профессиональных пакетов, реализующих защиту сети, достаточно высока, и для сегмента SOHO имеет смысл обратиться к альтернативным решениям. И такая альтернатива существует. Мы выбираем – нас выбирают? На российском рынке представлен огромный ассортимент маршрутизаторов, ориентированных именно на SOHO-рынок. Практически все компании, специализирующиеся на выпуске сетевого оборудования, предлагают достаточно широкий спектр такой продукции. Естественно, в таких условиях перед любым системным администратором (или человеком, который в силу сложившихся обстоятельств, отвечает за работоспособность Сети) встает вопрос – а что именно выбрать? Ответ на этот вопрос отнюдь не тривиален. Ведь маршрутизаторы, даже для SOHO-рынка, значительно отличаются друг от друга не только стоимостью, но и своими функциональными возможностями. В конечном итоге, все зависит от того, какие именно задачи предполагается возложить на маршрутизатор. Вообще стоит отметить, что современные маршрутизаторы давно уже перестали быть просто маршрутизаторами, в «классическом» смысле слова. Это скорее многофункциональные устройства, которые, в зависимости от модели, могут объединять в себе, кроме собственно маршрутизатораауэр, и беспроводную точку доступа. Поэтому прежде всего стоит рассмотреть функциональные возможности современных SOHO-маршрутизаторов. Конструкция маршрутизаторов Поскольку маршрутизаторы являются пограничными сетевыми устройствами, то есть устанавливаются на границе между двумя сетями или между локальной сетью и Интернетом (таким образом, выполняют роль сетевого шлюза), то они должны иметь как минимум два порта (рис.). К одному из этих портов подключается локальная сеть, и этот порт называется внутренним LAN-портом. Ко второму порту, называемому внешним WAN-портом, подключается внешняя сеть (Интернет). Как правило, маршрутизаторы класса SOHO имеют один WAN-порт и несколько (от одного до четырех) внутренних LAN-портов, которые объединяются в коммутатор. В большинстве случаев WAN-порт коммутатора имеет интерфейс 10/100Base-TX, и к нему может подключаться xDSL-модем с соответствующим интерфейсом либо сетевой Ethernet-кабель. В некоторых моделях маршрутизаторов кроме WAN-порта есть последовательный порт для подключения аналогового модема. Этот порт предназначен для создания резервного низкоскоростного соединения по коммутируемой линии с провайдером. На SOHO-рынке широкое распространение получили так называемые беспроводные маршрутизаторы (Broadband Routers). Эти устройства кроме классического маршрутизатора с WAN- и LAN-портами содержат интегрированную точку беспроводного доступа, поддерживающую протоколы беспроводной связи IEEE 802.11a/b/g. Беспроводной сегмент сети (WLAN-сеть), который позволяет организовать точка доступа, с точки зрения маршрутизатора относится к внутренней сети, и в этом смысле компьютеры, подключаемые к маршрутизатору беспроводным образом, ничем не отличаются от компьютеров сети, подключенных к LAN-порту. Функции защиты внутренней сети Поскольку маршрутизатор выполняет функцию шлюза между локальной сетью и Интернетом, было бы логично наделить его такой функцией, как защита внутренней сети от несанкционированного доступа. Поэтому практически все современные маршрутизаторы класса SOHO наделяются функциями, в той или иной степени реализующими защиту внутренней сети от несанкционированного доступа, в частности: • поддержка NAT-протокола; • встроенный аппаратный брандмауэр; • организация VPN-сетей. Протокол NAT Практически все современные маршрутизаторы поддерживают протокол NAT (Network Address Translation), следовательно, могут рассматриваться как NAT-устройство. Протокол NAT представляет собой протокол трансляции сетевых адресов и позволяет реализовать множественный доступ компьютеров внутренней локальной сети в Интернет, используя всего один внешний IP-адрес WAN-порта маршрутизатора. При этом все компьютеры во внутренней локальной сети становятся невидимыми извне, но для каждого из них внешняя сеть является доступной. Протокол NAT пропускает в сеть только те омпьютера из внутренней локальной сети. Часто протокол NAT путают с брандмауэром либо полагают, что протокол NAT обеспечивает достаточно высокий уровень безопасности и использование дополнительных средств защиты излишне. Конечно, протокол NAT является важным элементом безопасности, однако он не подменяет собой брандмауэр, а лишь дополняет его. Кроме того, во многих случаях протокол NAT оказывается несовместимым с используемыми в сети приложениями, поэтому его приходится частично обходить, что, по сути, представляет собой дополнительную «брешь» в организации защиты. Практически все маршрутизаторы имеют функции, позволяющие наложить ограничения на использование протокола NAT, чтобы сделать отдельный сервер внутренней сети прозрачным для протокола NAT (такой сервер называют виртуальным). Прозрачным может быть не весь сервер, а лишь определенные приложения, запускаемые на нем. Для того чтобы реализовать виртуальный сервер во внутренней сети, на маршрутизаторе применяется технология статического или динамического перенаправления портов, а также создается DMZ-зона. Статическое перенаправление портов подразумевает задание соответствия между IP-адресом виртуального сервера и разрешенным портом приложения на нем. Оно позволяет лишь отчасти решить проблему доступа из внешней сети к сервисам локальной сети, защищаемой NAT-устройством. Однако существует и обратная задача — обеспечить пользователям локальной сети доступ во внешнюю сеть через NAT-устройство. Дело в том, что некоторые приложения (например, интернет-игры, видеоконференции, интернет-телефония и др.) несовместимы с NAT-технологией. Для решения этой задачи используется так называемое динамическое перенаправление портов, которое задается на уровне отдельных сетевых приложений. При активации динамического перенаправления портов маршрутизатор следит за исходящим трафиком из внутренней сети и запоминает IP-адрес компьютера, от которого этот трафик исходит. При поступлении данных обратно в локальный сегмент включается перенаправление портов, и данные пропускаются внутрь. Динамическое перенаправление портов используется в основном для служб, предусматривающих кратковременные запросы и передачу данных, поскольку если один компьютер применяет перенаправление данного порта, то другой в это время перенаправление того же порта использовать не может. Если нужно настроить работу приложений, которым необходим постоянный поток данных и которые занимают порт на длительное время, то динамическое перенаправление неэффективно. Однако и в этом случае проблема может быть решена – путем использования демилитаризованной зоны. Демилитаризованная зона (DMZ-зона) — еще один способ перенаправления портов. Данную возможность предоставляет большинство современных маршрутизаторов. При размещении в зоне DMZ компьютер внутренней локальной сети становится прозрачным для протокола NAT. Фактически, это означает, что компьютер внутренней сети виртуально располагается до брандмауэра DMZ-зоне, осуществляется перенаправление всех портов на один внутренний IP-адрес, что позволяет организовать передачу данных из внешней сети во внутреннюю. Брандмауэры (Firewall) Практически все современные маршрутизаторы имеют встроенные аппаратные брандмауэры, называемые также сетевыми экранами, или Firewall. Возможности аппаратных брандмауэров зависят от того, на каком уровне эталонной модели OSI они функционируют. Чем выше уровень OSI, тем выше обеспечиваемый брандмауэром уровень защиты. Все брандмауэры можно условно разделить на четыре категории: • пакетный фильтр (packet filter); • шлюз сеансового уровня (circuit-level gateway); • шлюз прикладного уровня (application-level gateway); • Stateful Packet Inspection. Пакетные фильтры Это самые простые типы пакетных фильтров, которые присутствуют в каждом маршрутизаторе. В таких брандмауэрах каждый пакет, прежде чем быть переданным, анализируется на предмет соответствия критериям передачи или блокировки передачи. Критерии, или правила, передачи пакетов могут формироваться на основе IP-адресов источника и получателя, номеров портов источника и получателя и используемых протоколов. Преимуществом пакетных фильтров является их низкая стоимость. Кроме того, они практически не влияют на скорость маршрутизации. Шлюзы сеансового уровня Шлюзы сеансового уровня — это брандмауэры, работающие на сеансовом уровне модели OSI или на уровне TCP (Transport Control Protocol) стека протоколов TCP/IP. Они отслеживают процесс установления TCP-соединения и позволяют определить, является ли данный сеанс связи разрешенным. Данные, передаваемые к удаленному компьютеру во внешней сети через шлюз на сеансовом уровне, не содержат информации об источнике передачи. Все брандмауэры на основе NAT-протокола являются шлюзами сеансового уровня. К преимуществам таких шлюзов относится их низкая стоимость, к тому же они не оказывают существенного влияния на скорость маршрутизации. Однако они не способны осуществлять фильтрацию отдельных пакетов. Шлюзы прикладного уровня Шлюзы прикладного уровня (proxy-сервер) функционируют на прикладном уровне модели OSI, отвечающем за доступ приложений в сеть и могут реализовывать блокировку доступа к определенным сервисам. Поскольку данные брандмауэры анализируют пакеты на прикладном уровне, они способны осуществлять фильтрацию специфических команд. Эта функция недоступна ни пакетным фильтрам, ни шлюзам сеансового уровня. Данные брандмауэры предлагают более надежный способ защиты сетей по сравнению со шлюзами сеансового уровня и пакетными фильтрами, однако существенно снижают скорость маршрутизации. SPI-брандмауэры Брандмауэы типа Stateful Packet Inspection (SPI) объединяют в себе преимущества пакетных фильтров, шлюзов сеансового уровня и шлюзов прикладного уровня. Фактически это многоуровневые брандмауэры, которые работают одновременно на сетевом, сеансовом и прикладном уровняхются во многих современных маршрутизаторах. Виртуальные сети VPN Большинство маршрутизаторов в той или иной степени поддерживают возможность создания виртуальных частных сетей (Virtual Private Networking, VPN), что позволяет организовывать защищенное соединение с локальной (внутренней) сетью извне. Существуют два режима функционирования VPN: сквозной (Pass Through) и активный. В первом случае маршрутизатор без вмешательства передает входящий и исходящий VPN-трафики, пропуская через себя инкапсулированные пакеты данных без просмотра их содержимого. Если маршрутизатор поддерживает режим VPN Pass Through, то необходимо только настроить соединение на VPN-клиентах (компьютеры во внутренней сети) таким образом, чтобы клиенты из внутренней сети могли свободно подключаться к серверу VPN снаружи. Однако при совместном использовании NAT- и VPN-туннелей могут возникнуть проблемы. В активном режиме маршрутизатор выступает в роли сервера и может устанавливать VPN-соединение с узлом локальной сети, с другими шлюзами и маршрутизаторами или же в обоих направлениях. *** Конечно, в данной статье мы рассмотрели лишь наиболее распространенные функции современных маршрутизаторов класса SOHO. Многие модели поддерживают и другие функции, которые, несмотря на различное название, имеют одно и то же назначение (например, блокирование определенных URL, запрет отклика на сканирование командой Рing, перевод маршрутизатора в режим Stealth, при котором он становится невидимым из внешней сети, и др.). При правильной настройке маршрутизатор вполне способен обеспечить надежную защиту внутренней сети. К тому же его использование в этом качестве экономически более выгодно, чем маршрутизатора персонального компьютера (если, конечно, учесть стоимость необходимого ПО). МНЕНИЕ СПЕЦИАЛИСТА Василий МУХИН, руководитель департамента сетевых решений, ЗАО «Энвижн Груп» Думаю, что в основе выбора оборудования масштаба сети SOHO должны лежать те же принципы, что и при построении более крупных решений. Наиболее существенными при этом являются бюджетные ограничения. Скажем, установка специализированных брандмауэров и детекторов сетевых атак для контроля и управления доступом в сети из двух десятков рабочих мест может показаться неразумной. Однако с точки зрения риска убытков, которые может понести предприятие в результате злонамеренного повреждения или несанкционированного доступа к его информационным ресурсам, подобная мера не кажется излишней. При выборе такого решения необходимо четко определиться с функционалом. На рынке сегодня достаточно устройств, которые, выполняя роль, например, пограничных маршрутизаторов, обладают необходимым функционалом в отношении организации сетевой безопасности. Кроме того, больших накладных расходов, связанных с эксплуатацией системы сетевой безопамасштаба SOHO можно избежать. Устройства, предназначенные для их защиты, наделены определенным интеллектом и в большинстве случаев не будут требовать сложной настройки. Чтобы свести расходы к легко предсказуемой фиксированной величине за год, можно воспользоваться сервисной поддержкой, предлагаемой многими системными интеграторами. В заключение отмечу, что сегодня вопроса – стоит ли использовать средства сетевой защиты – уже не существует. Однозначно – стоит. Павел КОВАЛЕВ, руководитель направления информационной безопасности, компания Netwell На мой взгляд, определяющими факторами при выборе сетевого оборудования класса SOHO являются, прежде всего, простота использования, широкий набор функций, высокий уровень сервисной поддержки производителя и, конечно, привлекательная цена. Как правило, штатным расписанием небольших организаций не предусмотрено наличие сетевых администраторов. В такой ситуации больше подходит вариант, при котором не нужно тратить значительные усилия на подключение и конфигурирование оборудования. Простота настройки и использования подразумевают наличие интуитивного графического интерфейса, позволяющего полностью реализовать функционал устройства. Если рассматривать, например, шлюз доступа небольшой сети в Интернет, то он, помимо своего прямого назначения, должен еще играть роль межсетевого экрана, концентратора виртуальных частных сетей, системы предотвращения вторжений, антивирусного сканера, а также обладать возможностью эффективной передачи мультимедийного трафика (голос, видео). Плюсом является поддержка протоколов динамической маршрутизации. Немаловажным аргументом при выборе оборудования служит наличие эффективной сервисной поддержки производителя – возможность оперативной замены вышедшего из строя устройства, а также высокий уровень профессионализма технического персонала сервисного центра. В итоге все определяет бюджет, а он, как показывает статистика, составляет для небольших компаний ничтожно малую величину. Критерием здесь, как правило, является следующее положение: стоимость сетевого устройства не должна превышать стоимости обычного компьютера. Ведь зачастую трудно объяснить руководству необходимость приобретения маршрутизатора вместо PC, на который в принципе можно возложить решение аналогичных задач. Главная страница / Архитектура отрасли |