Основные вопросы, которые вам придется решать, если вы соберетесь расширять свою интрасеть, подключая к ней своих деловых партнеров.
Хотите знать, что означает приставка "экстра" в слове "экстрасеть" (extranet)? В основе этого понятия лежит идея расширения интрасети, в результате которого к ней добавляются связи с вашими деловыми партнерами - клиентами, торговыми агентами, дистрибьюторами, поставщиками или подрядчиками. Преимущества экстрасети заключаются в той отдаче, которую вы можете получить с ее помощью, считает Мэри Кронин, профессор теории управления факультета стратегического управления и операций Бостонского колледжа. Возможно, самым значительным результатом, которого вы сможете добиться, вложив средства в создание экстрасети, будет изменение вашего стиля работы с деловыми партнерами.
Организация экстрасети обычно требует от сетевых администраторов большого объема работы, поскольку возникают разного рода опасности, так или иначе связанные с передачей деловой информации вашим партнерам. Предположим, что вы определили круг надежных деловых партнеров, с которыми хотите вести дела через сеть. Что же нужно сделать для создания экстрасети?
Все партнеры размещают на своих компьютерах основные прикладные программы, базы данных и документы. Обычно такая система характеризуется топологией связанных напрямую брандмауэров, что обеспечивает компаниям взаимный "туннельный" доступ к интрасетям друг друга через Internet (т. е. безопасный доступ к данным внутри некоторого сообщества пользователей благодаря шифрованию информационных пакетов в сети). Например, компания Countrywide Home Loans из г. Пасадена (шт. Калифорния) разработала для своей экстрасети приложение на базе Web-браузера. С помощью сервера Netscape и программ, обеспечивающих информационную безопасность, банковские и ипотечные посредники, сотрудничающие с компанией, получили возможность доступа к ее базам данных, в которых хранится финансовая информация и сведения о выданных кредитах. Прикладная программа, названная Platinum Lender Access, позволяет банкам составлять ипотечные заявки, проверять динамику счетов и процентных ставок, а также следить за прохождением кредитов.
Вполне возможно, что у вас уже есть если не все, то многие из составных частей, которые требуются для создания экстрасети: серверы Web, серверы-посредники и брандмауэры.
Сердце системы
Главным компонентом экстрасети является фонд деловой информации, доступ к которой вы открываете деловым партнерам. Например, можно предоставить клиентам доступ к вашей системе онлайновой продажи товаров, чтобы они могли следить за состоянием сделанных ими заказов, или открыть подрядчикам интерактивный доступ к спецификациям и чертежам, создаваемым в системе CAD/CAM. Иными словами, экстрасети - это чаще всего не вновь создаваемые физические сети, а просто логические конструкции, определяемые лишь привилегиями доступа и таблицами маршрутизации.
Однако для создания экстрасети одного Web-браузера еще недостаточно. Чаще всего экстрасети объединяют две (или более) существующие интрасети, каждая из которых может состоять из любого - очень малого или очень большого - количества узлов Web. По мере развития и углубления ваших деловых отношений с партнерами вы, вполне вероятно, сочтете целесообразным расширить возможности взаимного доступа к базам данных, документам и другим ресурсам в своих интрасетях. Эти ресурсы с многопользовательским доступом могут послужить основой для сотрудничества и координации действий между сотрудниками вашей фирмы и их коллегами из компаний-партнеров.
На этом этапе вам и вашим партнерам стоит подумать об организации единой среды для работы приложений на базе Web, например Domino компании Lotus Development, SiuteSpot компании Netscape или LiveLink компании OpenText. С помощью такой среды вы обретете возможность работать с распределенными библиотеками и электронными досками объявлений, с календарем и группами новостей, рассылать сообщения, управлять деловыми процессами, получать доступ к документам и базам данных. Едва ли можно создать жизнеспособную экстрасеть без достаточно мощных средств коллективной работы, поэтому вам следует всерьез изучить возможности, предлагаемые различными программами для групповой работы.
Серверы-посредники
По мере того как все больше информации начинает передаваться из вашей сети в экстрасеть, вы и ваши деловые партнеры можете счесть вполне разумным использовать серверы-посредники (proxy servers), называемые также шлюзами прикладного уровня. Серверы-посредники выпускают компании Netscape, Microsoft и другие поставщики программ для Internet . Эти узлы располагаются между интрасетью и экстрасетью, перехватывая и консолидируя запросы пользователей интрасети к страницам Web (например, к тем, которые располагаются на серверах ваших партнеров). Они сохраняют в своей оперативной памяти страницы, к которым пользователи обращаются наиболее часто, управляют исходящими запросами на уровне приложений, защищают экстрасеть от перегрузки, предотвращая повторную загрузку в нее файлов и сетевых страниц. Представляя вашу интрасеть в Internet единым IP-адресом, сервер-посредник помогает также защитить от хакеров серверы интрасети.
Серверы-посредники поддаются гибкой настройке и позволяют учитывать требования вашей экстрасети. Можно создать один централизованный сервер-посредник или по одному для каждой службы, например для служб HTTP, File Transfer Protocol, telnet, Secure Sockets Layer и Usenet/Network News Transfer Protocol, или по одному на каждый регион, или по одному для каждого из ваших деловых партнеров. Большинство выпускаемых браузеров позволяют пользователям направлять каждый тип трафика на различные серверы-посредники.
Брандмауэры
Чаще всего брандмауэры устанавливаются на внешнем периметре интрасети и вместе со своими "близкими родственниками", шифрующими маршрутизаторами, стоят на страже данных, играя роль безопасного шлюза в экстрасети и Internet. Серверы-посредники обычно располагаются между интрасетью и ее брандмауэром, поскольку их главная задача заключается не в фильтрации входящего трафика экстрасети, а в обслуживании внутренних пользователей.
Брандмауэры зачастую выполняют операции, свойственные серверам-посредникам прикладного уровня, однако их основная функция - фильтрация и задержание определенных пакетов на границе защищаемой сети. Брандмауэры определяют адреса отправителя и получателя каждого из информационных пакетов, тип запрашиваемой службы и, в соответствии с заданными правилами, разрешают или запрещают передачу пакета. Они не допускают случайных "посетителей" Internet или экстрасти к закрытой информации, разрешают авторизованным пользователям доступ только к определенным приложениям и базам данных, дают возможность администратору сети следить за исходящими сообщениями и ведут подробный журнал регистрации всех успешных и безуспешных попыток входа в сеть.
Одно из самых важных решений, которое вам предстоит принять при создании экстрасети, - определение объема информации, которую вы хотите открыть для своих партнеров. В идеальном случае этому решению должен предшествовать тщательный анализ возможного риска и оценка затрат и выгод, которые сулит защита ценной деловой информации, размещаемой вами за пределами интрасети.
Для того чтобы надежно обеспечивать интенсивный трафик в экстрасети, брандмауэр, маршрутизаторы, серверы Web и браузеры должны поддерживать службы безопасности двух типов - аутентификацию и шифрование сообщений.
Аутентификация
Первое правило экстрасетей - "доверяй, но проверяй". Предоставляя партнеру, пользующемуся вашим доверием, доступ в свою интрасеть, вы, тем не менее, должны иметь возможность проверять каждую его сетевую транзакцию: операции входа в сеть, установление сеансов связи, запросы ресурсов и электронные сообщения - словом, все его действия вплоть до анализа отдельных передаваемых пакетов.
Современные средства аутентификации позволяют компаниям создать в своих интрасетях надежную защиту от несанкционированного доступа; они используются для проверки источника запросов на ресурсы, файлов, сообщений, информационных пакетов, сеансов связи программных модулей и сетевых узлов. Идентификаторы безопасности, цифровые подписи, критерии сертификации, серверы мандатов, использование биометрической информации и другие современные методы аутентификации позволяют обезопасить интрасети и все сетевые информационные ресурсы от различных злоумышленников.
Все большее число компаний, производящих средства аутентификации, обеспечивают в своих продуктах поддержку открытых стандартов. Такие программы могут работать с брандмауэрами, шлюзами, приложениями и почтовыми системами третьих компаний. Во многих продуктах используется сочетание технологий шифрования с открытым ключом (например, Public Key Cryptography Standards компании RSA Data Security) и методов шифрования с секретным ключом (например, Data Encryption Standard, DES). Это позволяет не только производить аутентификацию пользователей, но и безопасным образом обмениваться шифрами и ключами, а также использовать службы защиты от подделок и проверки авторства информационных пакетов. Наиболее распространенные стандарты аутентификации перечислены во врезке "Кто на проводе?"
Многие современные средства аутентификации поддерживают также режим взаимного распознавания - очень важное средство защиты интра- и экстрасетей, которое позволяет модулям клиентского и серверного ПО (или двум Web-серверам экстрасети, устанавливающим связь друг с другом) производить взаимную аутентификацию прежде, чем между ними будет установлена связь.
Шифрование
Даже полностью доверяя своим деловым партнерам, вы все же можете опасаться передавать им важную деловую информацию через открытую сеть Internet; это обстоятельство делает шифрование данных неотъемлемой частью коммерческой деятельности в экстрасетях. Для шифрования разработано несколько технологий, о которых мы уже упоминали. Среди них можно выделить DES, Kerberos, SSL, S/MIME и SET. Возможно, пользователи экстрасети захотят применить несколько или даже все эти методы - в зависимости от того, какой вид информации они хотят зашифровать. Обычно стандарт DES используется для шифрования отдельных передаваемых по сети файлов. Служба Kerberos чаще всего применяется при шифровании сеанса связи между распределенными приложениями, имеющими архитектуру клиент-сервер. Стандарт SSL хорошо подходит для шифрования сеансов связи между браузерами и серверами Web. S/MIME шифрует содержимое электронных сообщений и присоединенных к ним файлов. Технология SET разработана для шифрования номеров кредитных карточек и другой важной информации, участвующей в транзакциях электронной коммерции.
Одним из специализированных типов шифрования, оказавшимся очень удобным для использования в экстрасетях, является туннелирование. Туннелирование обеспечивает такое шифрование информационных пакетов, которое позволяет передавать их конфиденциально по незащищенной виртуальной сети, например по участку сети Internet с протоколами TCP/IP. Этот метод дает возможность компаниям создавать безопасные виртуальные частные сети (VPN) в структуре Internet.
Среди конкурирующих между собой протоколов туннелирования пока нет явных лидеров (список наиболее популярных из них приведен во врезке "Наиболее распространенные туннельные протоколы"). Отсутствие широко распространенного стандарта туннелирования ограничивает возможности деловых партнеров при создании сетей VPN в Internet, объединяющих брандмауэры этих компаний.
Провайдеры услуг Internet
Безусловно, экстрасеть невозможно организовать без использования служб, которые предоставляют провайдеры услуг Internet. Идя навстречу потребностям своих клиентов, провайдеры предлагают пользователям безопасные каналы передачи данных, снабженные комбинацией туннельных и шифрующих маршрутизаторов, брандмауэров и браузеров.
Компания UUNET Technologies с недавних пор начала предлагать службу VPN, получившую название ExtraLink (поддерживает шифрование на уровне сети, обеспечиваемое шифрующими маршрутизаторами и Internetwork Operating System 11.2 компании Cisco), и службу безопасного удаленного коммутируемого доступа к сети из 845 точек, рассредоточенных по всему миру. "Благодаря службе безопасности, предоставляемой нашей компанией, весь трафик клиентов шифруется на каждом этапе передачи информации", - говорит Джей Джонкайт, вице-президент UUNET по службам для экстрасетей. Эта служба размещается на брандмауэрах, принадлежащих компании-клиенту. Аутентификация пользователей производится с помощью специальных защитных маркеров, работающих по принципу "запрос - пароль", которые выпускает, например, лидер по производству такого рода устройств компания Security Dynamics Technologies. Предлагая свои службы для экстрасетей, компания UUNET гарантирует не менее чем 99,9-процентную надежность для клиентов, которые имеют 12 и более сетевых узлов, обещая при этом, что задержка при передаче сообщения от отправителя к получателю не превысит 150 мс для территориально-распределенной сети. Счета за трафик, пересылаемый в экстрасети по линиям, обеспечиваемым UUNET, могут выставляться каждому из партнеров в отдельности.
Некоторые провайдеры услуг Internet идут еще дальше, предлагая свои сетевые узлы для размещения приложений и данных, к которым деловые партнеры организуют совместный доступ (см. врезку "Новинка шифрования").
Вообще говоря, не так уж важно, беретесь ли вы сами за решение задачи по расширению своей интрасети и подключению к ней ваших деловых партнеров или поручаете эту работу кому-то еще. Главное что надо понять: интрасеть следует использовать как платформу для организации сетевых связей с партнерами по бизнесу. Применение экстрасети может преобразить все прежние методы работы - от создания новых образцов продукции до составления планов маркетинга и организации поддержки клиентов. Иными словами, появление экстрасети способно кардинальным образом изменить способы ведения бизнеса. И это как раз то, что способно принести вам дополнительные выгоды.
Торговые партнеры компании Snap-On
На сетевой странице компании Netscape Communications приводится в качестве примера история создания экстрасети в компании Snap-On Tools, одного из лидеров в производстве и распространении инструментов и оборудования для мастерских.
Начиная с декабря 1996 г. Snap-On открыла партнерам доступ к своим торговым каталогам, данным о продвижении продукции на рынке, справочным материалам и дискуссионным группам. Эту информацию можно получить, используя браузер Web и введя соответствующий пароль. Прикладные программы работают под управлением серверов Enterprise Server, Proxy Server, News Server и Mail Server компании Netscape; все они установлены на серверах компании Snap-On в ее интрасети. Сейчас экстрасеть этой компании используется для распространения информации среди 4 тыс. ее торговых агентов, разбросанных по всей территории США. Благодаря созданию экстрасети Snap-On и ее региональные представители получили возможность обмениваться деловым опытом в области операций с наличностью и методов торговли, делиться своими замечаниями и предложениями.
На сетевой странице Netscape приводятся слова Боба Джинграса, специалиста по электронной коммерции из компании Snap-On: "Экстрасеть позволяет нам распространять необходимую информацию среди наших торговых агентов и представителей более быстрым и эффективным способом... Мы хотели создать для них надежный источник информации, который действует круглосуточно". До создания экстрасети компания поддерживала связь со своими партнерами посредством регулярной почтовой переписки.
Новинка шифрования
За последний год лидирующие разработчики ПО, системные интеграторы и провайдеры сетевых услуг начали предлагать для использования в экстрасетях продукты, ориентированные на Internet и интрасети. Netscape Communications включила протокол аутентификации Secure Sockets Layer и средства шифрования в свой браузер и серверы Web; этому примеру последовали и другие производители. В результате указанный протокол стал отраслевым стандартом де-факто. Главные производители маршрутизаторов и брандмауэров начинают поддерживать в своих продуктах новый промышленный стандарт - технологию туннелирования, т. е. шифрования и инкапсуляции информационных пакетов. Это дает возможность двум или более компаниям организовать на базе Internet безопасную виртуальную частную сеть.
Наиболее распространенные туннельные протоколы
Туннелирование позволяет организовать в структуре Internet безопасную виртуальную линию связи путем шифрования информационных пакетов. Ниже приводятся наиболее популярные методы туннелирования.
- IP Security (IPSes) - аутентификация на уровне сети; проверка целостности данных и шифрование встроены в версию протокола IP и описаны в проектах стандартов RFC 1826 и 1827.
- Point-to-Point Tunneling Protocol (PPTP) - расширение протокола PPP, разработанное Microsoft и ведущими производителями брандмауэров, маршрутизаторов и серверов удаленного доступа. Поддерживает туннелирование по протоколам IP, IPX и NETBEUI внутри IP-пакетов. Поддерживает туннелирование сервер-сервер и браузер-сервер на базе протокола аутентификации квитирования Challenge-Handshake Authentication Protocol и протокола аутентификации пароля.
- Layer 2 Tunneling Protocol (L2TP) - проект стандарта Internet, объединяющий технологию ретрансляции второго уровня, разработанную компанией Cisco, и протокол PPTP, предложенный Microsoft.
- Virtual Tunneling Protocol - проект стандарта Internet, использующий
протокол IPSec в качестве базового механизма информационной безопасности.
Имеется также целый ряд патентованных спецификаций, разработанных различными
производителями маршрутизаторов и брандмауэров, в том числе компаниями
Cisco, Check Point Software и Trusted Information Systems.
- Kerberos - служба аутентификации, разработанная в Массачусетском технологическом институте. В отличие от других систем, основанных на шифровании с открытым ключом, которые проверяют авторство сообщений и документов, эта служба использует шифры с секретным ключом и запросы на аутентификацию сетевых ресурсов.
- Сертификат с открытым ключом Х.509 - стандарт комитета ITU-T, определяющий службу аутентификации для каталогов Х.500 и синтаксис шифрования с открытым ключом.
- Secure Sockets Layer (SSL) - спецификация, разработанная компанией Netscape Communications для обеспечения аутентификации и конфиденциальности сеансов связи с помощью браузера Web по протоколам HTTP, File Transfer Protocol и telnet.
- Challenge-Handshake Authentication Protocol (CHAP) - метод аутентификации, определенный в проекте стандарта RFC 1334 и поддерживающий аутентифицированный удаленный и коммутируемый доступ пользователей к интра- и экстрасетям по протоколу PPP.
- Remote Authentication Dial-In User Service (RADIUS) - спецификация, разработанная компанией Livingston Enterprises для аутентификации, авторизации и учета доступа удаленных пользователей в средах с архитектурой клиент-сервер.
- Secure Multi-purpose Internet Mail Extensions (S/MIME) - стандарт группы IETF, который использует сертификаты с открытым ключом Х.509 и добавляет шифрование и аутентификацию посредством цифровых подписей к электронным сообщениям, передаваемым по протоколу MIME (описан в спецификации RFC 1521).
- Secure Electronic Transactions (SET) - спецификация, разрабатываемая
компаниями Mastercard International и Visa USA. Будет обеспечивать безопасность
денежных переводов благодаря электронным сертификатам аутентификации Х.509,
рассчитываемым на основе данных о номерах кредитных и дебитных карточек.
Кто на проводе?
Намереваясь открыть свою сеть для деловых партнеров, вы должны иметь возможность аутентификации каждого их действия. Ниже перечислены наиболее популярные стандарты аутентификации.
Сделать или купить?
Хотя многие компании рассматривают экстрасеть как расширение своей интрасети, в некоторых случаях оказывается вполне оправданным передать приложения и данные, предназначенные для общего использования всеми деловыми партнерами, на хранение третьей компании. Экстрасети, создаваемые с помощью независимой фирмы, используются в самых разнообразных ситуациях - от организации электронной коммерции до составления интерактивных каталогов и взаимного обмена данными. Компьютеры поставщика сетевых услуг остаются за пределами брандмауэров компаний-партнеров, сводя к минимуму вероятность несанкционированного доступа в сети этих компаний, искажения или кражи хранящейся там информации.
Кроме поставщиков Internet, на рынке сетевых услуг действуют и другие компании. Они предоставляют услуги по организации линий связи, непосредственно соединяющих деловых партнеров друг с другом. В число таких компаний входят Industry.Net, TradeCompass, TechnologyNet и Valu.Net. Эти фирмы предлагают в аренду линии для электронной коммерции в различных сегментах рынка, обеспечивают средства связи, с помощью которых поставщики и заказчики, возможно никогда не встречавшиеся лицом к лицу, могут заключать сделки через сеть.
Как отмечает Кен Льюис, руководитель отдела электронной коммерции компании EDS, одно из достоинств экстрасети, созданной при участии третьей фирмы, заключается в образовании "промежутка", т. е. в отсутствии прямой виртуальной или физической связи между интрасетями партнеров. Компания EDS предоставляет услуги консорциуму RAPID, объединяющему 40 производителей химической продукции для сельского хозяйства. С помощью экстрасети на базе Web эти компании производят электронный обмен данными, прямые безналичные расчеты, организуют продажу избытков продукции и следят за выполнением поставок.
InfoTEST экспериментирует
InfoTEST International - союз компаний, входящих в число 500 наиболее крупных фирм, и некоторых государственных организаций; его штаб-квартира находится в Денвере. Союз занимается созданием экспериментальной экстрасети, получившей название Enhanced Product Realization (EPR) и предназначенной для работы в области электронной коммерции, а также проведения операций по поставке продукции заказчикам. В текущем году организаторы InfoTEST - в их число входят Caterpillar, Hewlett-Packard, IBM, Sandia International Laboratories, Sprint и Texas Instruments - собираются объединить свои интрасети с использованием безопасного шифрования на базе протоколов IP. Когда такая сеть будет создана, она обеспечит членам InfoTEST безопасный доступ к общим информационным ресурсам, в том числе к сложной структурированной и неструктурированной информации.