Жертвами ботнетов, автоматизированных сценариев и других видов хакерских атак зачастую становятся случайные компьютеры. При этом преследуется единственная цель: как можно шире распространить вредоносный код по сети Интернет, и неважно, кто будет вовлечен в данный процесс — концерны, филиалы или частные пользователи. Предприятиям приходится находить способ надежного включения филиалов в свои корпоративные сети без чрезмерно больших расходов и усилий со стороны ИТ-администраторов и прочего персонала.

 

Решения для защиты филиалов, как правило, относительно недороги и доступны даже для небольших предприятий. Так, многофункциональный шлюз безопасности для коммерческих заказчиков стоит в среднем от 200 до 400 евро. Решения для частных лиц наверняка можно приобрести дешевле, но в них отсутствуют важные для обеспечения безопасности функции, в частности фильтры Web или системы предотвращения вторжений (Intrusion Prevention Systems, IPS), а также не поддерживается централизованное администрирование. Эти необходимые предприятиям функции требуют дополнительных расходов, поскольку подписку на такие инструменты, как антивирусные сканеры, необходимо ежегодно продлевать.

 

ФАКТОРЫ ЗАТРАТ

Однако приобретением дело не ограничивается, наибольшую часть затрат составляют настройка и обслуживание шлюзов безопасности, ведь филиалы предприятий розничной торговли, туристические агентства или АЗС обычно не имеют в своем штате специалистов по обслуживанию ИТ, и установкой оборудования, как правило, занимается сотрудник отдела ИТ из центрального офиса. При большом количестве филиалов эта задача может стать слишком затратной и трудоемкой. Многие администраторы, стремясь облегчить себе работу, самостоятельно пишут сценарии, например, для установки одной и той же базовой конфигурации. Но при необходимости очередных изменений (обновления программного обеспечения или изменения корпоративных правил в отношении использования доступа в Интернет в личных целях) снова требуется физическое присутствие администратора.

Гораздо проще и выгоднее, когда все системы безопасности настраиваются и администрируются дистанционно — из центрального офиса. Для этого многие производители шлюзов безопасности предлагают специализированные решения, которые, однако, часто оказываются чересчур дорогими и сложными в управлении.

 

ВИРТУАЛЬНЫЙ КАБЕЛЬ ETHERNET

C недавних пор появились инновационные решения безопасности, позволяющие решить эту проблему: они обеспечивают простое и надежное подключение филиалов к корпоративной инфраструктуре безопасности ИТ, не требуя личного присутствия сотрудников отдела ИТ. В этой модели реализуется «виртуальный кабель Ethernet», соединяющий центральный офис с филиалами. Все функции, которые обеспечивались посредством брандмауэра, соединений VPN, решений IPS, а также систем для защиты соединений Web и электронной почты на дорогостоящих устройствах в филиалах, теперь предоставляются посредством централизованного высокопроизводительного шлюза безопасности, который может располагаться в центральном офисе предприятия или у поставщика соответствующих услуг. В филиале устанавливается устройство для удаленного контроля Ethernet (Remote Ethernet Device), которое все данные отправляет по шифруемому туннелю на центральную станцию, где осуществляются сканирование и фильтрация всего трафика, направляемого в Интернет. Решение позволяет администратору управлять филиалами так, как если бы они были подключены к сети центрального офиса напрямую — с помощью очень длинного кабеля Ethernet.

При таком подходе локальным устройствам для удаленного контроля Ethernet не требуется никаких настроек (на этих приборах нет даже кнопок, не говоря уж о пользовательском интерфейсе). Эти устройства отправляются в филиалы без какой-либо предварительной настройки, а их последующая конфигурация выполняется через центральный шлюз (см. Рисунок 1). Единственное условие — предоставление соединения с Интернетом при помощи маршрутизатора или кабельного модема, у которого есть встроенный сервер DHCP.

 

 

Рисунок 1. Устройства для удаленного контроля Ethernet получают настройки от централизованного шлюза безопасности. Через него выполняется и их администрирование.

 

Сотрудник филиала должен распаковать устройство, сообщить его серийный номер в отдел ИТ центрального офиса, а затем подключить к интернет-маршрутизатору, компьютеру или коммутатору и розетке. Больше никаких специальных технических навыков от него не требуется. Отдел ИТ вводит идентификационный номер устройства и имя филиала на централизованном шлюзе безопасности, после чего автоматически создаются параметры конфигурации, отправляемые на центральный сервер инициализации (Provisioning Server). При включении устройство получает от локального маршрутизатора свой IP-адрес и создает соединение SSL с центральным сервером инициализации. Если на маршрутизаторе используется фильтр пакетов, то порт 3400 должен быть открыт.

После успешной аутентификации посредством сертификатов X.509 устройство удаленного контроля Ethernet автоматически загружает из центральной службы обеспечения (Provisioning Service) необходимые настройки, самостоятельно конфигурируется и создает защищенный шифрованием AES 256 туннель, соединяющий филиал с центральным офисом. Как и в случае с физически существующим кабелем Ethernet, этот туннель может использоваться для передачи протоколов второго уровня, например для виртуальных локальных сетей (Virtual LAN, VLAN), которые по соединению IP не передаются.

С помощью этой технологии можно подключить до сотни филиалов в течение одного рабочего дня. Весь трафик данных между филиалом и Интернетом проходит через центральный шлюз, где он сканируется и фильтруется с помощью полноценных функций унифицированного управления угрозами (Unified Threat Management, UTM). Устройство для удаленного контроля Ethernet функционирует так же, как «тонкий» клиент (Thin Client), а благодаря централизованной фильтрации не возникают дополнительные расходы на обновление средств защиты в филиалах.

 

ЦЕНТРАЛИЗОВАННОЕ АДМИНИСТРИРОВАНИЕ

Устройства для удаленного контроля Ethernet радикально упрощают настройку сетей и задание правил безопасности при организации работы филиалов. На центральном шлюзе безопасности создаются параметры глобальной конфигурации для серверов DHCP и DNS, которые затем передаются всем подключенным филиалам. Администратору требуется лишь единожды задать на центральном шлюзе безопасности глобальные правила для всех филиалов, а затем администрировать их. Протоколирование событий (Logging) и отчетность (Reporting) тоже предоставляются через центральный шлюз, что предотвращает возникновение дополнительных затрат на приобретение инструментов для централизованного администрирования и отчетности. Даже обновление программного обеспечения для устройств удаленного контроля Ethernet осуществляется автоматически. Таким образом, теперь можно без больших усилий обеспечить защиту удаленных филиалов.

Герт Хансен — вице-президент по управлению продукцией в компании Astaro.