Когда ответственный за информационные технологии после недавней атаки «червя» или появления «дыры» в системе безопасности требует повышения уровня защищенности, в разговоре неизбежно возникает тема предотвращения. С самого начала сеть можно спланировать таким образом, что атаки или неосторожность пользователей не повлекут за собой какого-то ущерба. Важную роль при этом играют интеллектуальные пограничные коммутаторы.
Ведущие производители сетевых устройств все чаще отдают предпочтение такой архитектуре, где функции обеспечения безопасности и управления реализуются не в ядре сети, как раньше, а непосредственно на пограничных коммутаторах. Граница — это область сети, где пользователи входят в систему. По большей части она состоит из коммутаторов в распределительных шкафах, которые, с одной стороны, передают информацию непосредственно пользователю, а с другой — имеют интерфейсы в Internet. Эти сетевые устройства больше не могут оставаться неинтеллектуальными — они обязаны и могут — брать на себя активную роль при обеспечении безопасности благодаря интегрированным интеллектуальным функциям. В зависимости от реализованной функциональности они распознают переполнения буфера, отражают атаки «червей» и вирусов, изолируют неизвестные или ненадежные клиенты и поддерживают распределение заплат. Проникшие в сеть, а также инфицированные файлы и клиенты в таком случае совсем не получат доступ в сеть и не сумеют распространиться и нанести вред.
РАЗЛИЧНЫЕ ПОДХОДЫ
Даже если основная идея одинакова, производители все равно придерживаются разных подходов. Некоторые в реализации этой защитной функции частично делают ставку на собственные решения, другие предпочитают открытые стандарты безопасности и управления. Именно последние рано или поздно должны создать базис для реализации по возможности широкого и независимого от производителя контроля.
Во всех подходах главным является то, что решение на границе сети принимается исходя из личности пользователя. Права доступа он получает централизованно от управляющего программного обеспечения и баз данных или служб каталогов в соответствии с должностными обязанностями. При регистрации пограничное устройство на основании этого профиля предоставляет индивидуальную рабочую среду. Таким образом, администратору приходится задавать права лишь один раз. После чего их соблюдение контролируется пограничными коммутаторами во всех точках подключения пользователя к сети.
МНОГООБРАЗИЕ ФУНКЦИЙ
Транспорт на втором уровне посредством Ethernet на большинстве предприятий традиционно является предпочтительной технологией для доступа к локальной сети. Многие производители уже наделили свои пограничные коммутаторы рядом функций второго—четвертого уровней для обеспечения безопасности и управления. Теперь они могут контролировать IP-адреса (третий уровень) и уровень TCP/IP (четвертый уровень) входящего и исходящего трафика. Кроме того, многие коммутаторы второго уровня обладают функциями для управления и дальнейшей обработки пакетов на основе содержащихся в них данных второго, третьего и четвертого уровней: например, поддерживают более высокое качество услуг (Quality of Service, QoS), администрирование на базе правил и функции безопасности.
К наиболее распространенным функциям безопасности относятся списки контроля доступа (Access Control List, ACL), которые используют информацию третьего и четвертого уровней для блокирования или разрешения доступа к сети на основе IP-адреса сервера или клиента. Дополнительно администраторы при помощи ACL могут назначать пользователям роли в зависимости от необходимых им ресурсов и разрешать доступ к определенным приложениям, подсетям и серверам. ACL обеспечивают весьма детализированное управление доступом, однако требуют тщательного обращения для поддержания их в актуальном состоянии. Особенно часто ACL для контроля доступа на МАС-уровне используются в беспроводных сетях. Если пограничные коммутаторы, к которым подключены точки беспроводного доступа, обладают интегрированными функциями безопасности ACL, то они в состоянии перехватить попытку проникновения в сеть непосредственно на краю сети.
Еще одной технологией, используемой на многих коммутаторах локальных сетей, являются виртуальные локальные сети (Virtual Local Area Network, VLAN) в соответствии со стандартом IEEE 802.1Q. Они предусматривают разделение пользователей на группы, члены которой получают доступ к определенной VLAN. В пределах «своей» виртуальной сети им предоставляется доступ к тем ресурсам, которые действительно необходимы. Таким образом, администраторы в пределах одной локальной сети могут создавать изолированные друг от друга виртуальные сети для решения специальных задач. Такие критичные подразделения, как отдел исследований и разработок, могут быть отделены от областей сети, предоставляемых в распоряжение клиентов и партнеров, к примеру информационных терминалов или беспроводных сетей в приемной. Без дальнейшей авторизации доступ из одной VLAN в другую невозможен, а значит, корпоративная информация оказывается лучше защищена.
Многие коммутаторы поддерживают и аутентификацию 802.1х. Вместе с виртуальными сетями это позволяет обеспечить очень эффективную защиту доступа. 802.1х осуществляет стандартизованный контроль доступа на базе портов: при входе в систему пользователя обязуют аутентифицироваться до того, как тот сможет обратиться к устройствам или услугам. Тем самым предотвращается вход неавторизованных клиентов в сеть через общедоступные порты. Аутентификация проводится, как правило, при помощи сервера RADIUS. Он проверяет соответствующие мандаты (регистрационные данные) и лишь после этого разрешает доступ. 802.1х заменяет аутентификацию в службе каталогов, к примеру Microsoft Active Directory или Novell eDirectory. Преимущество 802.1х с точки зрения обеспечения безопасности заключается в том, что в случае отрицательного результата аутентификации коммутатор полностью откажет в доступе или разрешит соединение только с общедоступной виртуальной сетью. Клиентам, которые в службе каталогов аутентифицировались некорректно, часто все же предоставляется доступ к отдельным сетевым ресурсам: к принтерам, незащищенным каталогам и файлам или Internet.
Некоторые предприятия относились к введению 802.1х скептически. Причина в том, что протокол изначально предназначался для клиентов Microsoft Windows XP, а пользователям других операционных систем двери в сеть были закрыты. Поэтому производители стали предлагать на своих сетевых устройствах дополнительную аутентификацию на базе браузера в целях обеспечения беспроблемной регистрации для клиентов, не поддерживающих 802.1х. Таким образом, вместе с дополнительными функциями — блокировкой МАС-адресов или фильтрацией по портам отправителя для всех клиентов — имеется всеобъемлющий пакет обеспечения безопасности.
ЗАЩИТА ИНФРАСТРУКТУРЫ
Функции обеспечения безопасности на базе пользователей и клиентов — это лишь одна сторона медали. Дополнительно предприятие обязано защитить и сетевую инфраструктуру, чтобы злоумышленник не мог обойти функции безопасности. Для этого дополнительными функциями должны обладать и пограничные коммутаторы. Тогда только авторизованные сетевые администраторы будут вправе изменять конфигурацию сети. Этого можно добиться разными путями: к примеру, путем сохранения в зашифрованной базе данных во флэш-памяти коммутатора пользовательских имен и паролей администраторов с правами управления и администраторов только с полномочиями оперативного доступа. Дополнительно предусматривается опция аутентификации администраторов во второй, внешней, базе данных для достижения еще более высокого уровня безопасности.
Для защиты коммуникации между коммутатором и консолью управления большинство производителей делают ставку на открытые стандарты. Протокол защищенной оболочки (Secure Shell, SSH) распространен достаточно широко. Кроме того, предлагаемые многими производителями клиенты Web используют для администрирования протокол защищенных сокетов (Secure Sockets Layer, SSL), обеспечивающий шифрование трафика данных от коммутатора и к нему. Так можно предотвратить перехват паролей.
Кроме того, простым и эффективным средством для предотвращения неправомерного использования собственной сети является ограничение пропускной способности для отдельных пользователей или пользовательских групп. Эту функцию предлагает все большее количество сетевых устройств. Администратор назначает каждому сотруднику или группе определенную пропускную способность в соответствии с их ролями. Особенно полезна подобная функция в сетях, где загружаются очень большие объемы данных, например в университетах. Администратор сети может изначально ограничить или заблокировать определенные виды трафика — данные одноранговых приложений или соответствующие определенному шаблону, типичному для атак по типу «отказ в обслуживании».
БУДУЩЕЕ ПОГРАНИЧНЫХ КОММУТАТОРОВ
Рисунок 3. При помощи интеллектуальных пограничных коммутаторов серии ProCurve компания HP собирается перевернуть рынок коммутаторов. |
Перемещение высокоуровневых сетевых функций на границу сети лишь только начинается. Этот процесс продолжится, и многообразие функций непосредственно на краю сети значительно расширится. Дальнейшее развитие приведет к постепенному вытеснению современных централизованных сетевых архитектур, так что магистральные маршрутизаторы или маршрутизирующие коммутаторы в конце концов исчезнут. Их место займут интеллектуальные пограничные сети, устройства в которых будут взаимодействовать по межсоединениям с высокопроизводительной пограничной коммутирующей структурой (ячеистые соединения между пограничными коммутаторами). Простая магистраль с высокой пропускной способностью в ядре заменит сегодняшние сложные сети и маршрутизаторы ядра. Пограничные коммутаторы станут предлагать широкий выбор услуг и функций непосредственно на своих портах. К ним относятся очевидные сетевые службы и службы безопасности — шифрование и глубокая инспекция пакетов непосредственно самим коммутатором. Но, кроме того, на краю сети будут предоставляться и функции повышения производительности, в частности балансировка нагрузки и кэширование.
Еще одно преимущество заключается в улучшенной масштабируемости интеллектуальных пограничных коммутаторов. Масштабируемость традиционных маршрутизирующих коммутаторов в ядре сети ограничена максимальной пропускной способностью шины их процессора. Интеллектуальные коммутаторы пограничной коммутирующей инфраструктуры, напротив, не нуждаются в полной функциональности традиционных магистральных коммутаторов, поскольку эти функции уже предоставляются на краю сети. И если администратор добавляет сюда новые коммутаторы, то они уже обладают необходимыми функциями. Таким образом, модернизация в ядре сети не требуется.
Высокий интеллект и производительность сетевой инфраструктуры послужат мощным стимулом для развития распределенных приложений: специальные функции будут отвечать, к примеру, за балансировку нагрузки для приложений на краю сети. Другой областью применения является борьба с вирусами и «червями», которые в результате даже не попадут в сеть и не причинят вреда. Подключающегося к сети пользователя зараженного ноутбука пограничный коммутатор изолирует в специальной карантинной области локальной сети, после чего вирус не будет иметь возможности для дальнейшего распространения, а владельцу компьютера автоматически предоставляется решение проблемы, к примеру обновленная версия антивирусного программного обеспечения. В этом и состоят первоочередные цели самых разных производителей. Новое поколение устройств будет предлагать куда больше возможностей, а возросшая производительность приведет к развитию мобильных приложений и совершенствованию маршрутизации голоса и мультимедиа.
НАПРАВЛЕНИЕ РАЗВИТИЯ
Благодаря заметно расширившейся функциональности пограничные коммутаторы становятся все более многофункциональными устройствами, которые на каждом порту формируют регулярную среду для хостинга приложений. Наряду с необходимыми сетевыми и транспортными службами коммутаторы, благодаря интеллектуальному управлению доступом, наделяются возможностью запускать непосредственно заданные службы или вызывать на клиенте определенные приложения. Сеть предоставляет эти услуги на индивидуальной основе в соответствии с личностью зарегистрировавшегося. Это достигается, в частности, путем аутентификации пользователей посредством 802.1х. Открывающиеся широчайшие возможности предоставляют предприятиям совершенно новые перспективы в плане организации сети. Централизованное управление директивами безопасности в комбинации с контролем на краю позволит реализовать более гибкую и экономичную работу — одновременно с повышением уровня защиты и удобства применения.
Штефен Роммель — менеджер по развитию бизнеса сетевого подразделения HP. С ним можно связаться по адресу: http://www.hp.de.
? AWi Verlag