04.04.2008

Организация безопасного доступа между офисами: типовое решение

Орешин Михаил, Совалов Роман, "CIO" №12 02.2008

Вопрос однородности ИT-инфраструктуры отнюдь не праздный — такую инфраструктуру проще поддерживать, наращивать и нанимать «под нее» специалистов. Кроме того, у большинства компаний имеются офисы в разных городах и регионах, с которыми нужно наладить постоянную и безопасную связь и в идеале управлять всем оборудованием и ПО из одной точки, так как содержать отдельного специалиста для небольшого офиса нецелесообразно.

Эффективный способ решения проблемы — организация VPN-туннелей между офисами. В последнее время, в связи с выходом указов об обеспечении безопасности данных о сотрудниках компании, многие компании стали задумываться о применении отечественных продуктов шифрования данных. Всем известно, что такое VPN-туннели и для чего они используются, однако мало кто задумывается, что данные, передаваемые по VPN-туннелям, шифруются с помощью несертифицированных алгоритмов.

Российская компания S-Terra, основанная несколько лет назад, заполнила нишу на этом рынке и представила ряд продуктов, осуществляющих шифрование трафика на основе ГОСТ-алгоритмов. Совместно с компанией Cisco Systems она разработала программно-аппаратное решение, которое позволяет шифровать трафик с использованием сертифицированных в России алгоритмов шифрования. Следует отметить, что применение ГОСТ-алгоритма — лишь один из факторов, которые следует учитывать при организации доступа между офисами. Предлагаемый вариант позволяет решить множество вопросов, возникающих у клиентов при построении ИТ-инфраструктуры.

Программно-аппаратное решение — это модуль расширения для оборудования Cisco, точнее, для двух серий маршрутизаторов — Cisco ISR 2800 и Cisco ISR 3800.

Функционально данный модуль представляет собой компьютер, работающий под управлением операционной системы семейства Linux независимо от IOS-маршрутизатора, что позволяет перезапускать или конфигурировать модуль, не затрагивая работоспособность маршрутизатора. Модуль оснащен процессором Intel Celeron M 1 ГГц, 512 Мб оперативной памяти, вместо жесткого диска используется Compact Flash (это исключает наличие в модуле каких-либо движущихся частей и, следовательно, повышает его надежность). Модуль подключается к маршрутизатору через шину на задней панели. Данная шина используется для диагностики и питания модуля. На передней панели модуля есть USB-порт. Кроме того, модуль содержит два равноправных интерфейса: внешний — Ethernet 10/100/1000 Мбит/с и внутренний — Gigabit Ethernet. Модуль может управляться через командную строку или через веб-интерфейс. Командная строка очень похожа на командную строку маршрутизаторов Cisco, что позволяет использовать модуль без специальной подготовки.

Рассмотрим несколько типовых сценариев использования модуля.

Предлагаемое нами типовое решение представлено на схеме. По умолчанию принимается, что все серверные ресурсы сгруппированы в головном офисе — в филиалах используются только ISR Cisco, рабочие станции и IP-телефоны. Это позволяет сократить не только затраты на оборудование, но и расходы на обслуживание офиса.

Рассмотрим «типовую» компанию, у которой есть центральный офис, где сосредоточены основные ресурсы компании, в том числе ИТ. Существует у нее и филиал в удаленной части нашей страны, хотя расстояние в данном случае значения не имеет. И, как в любой подвижной компании, в ней работают мобильные сотрудники, которые должны получать доступ к ИТ-ресурсам организации из любой точки планеты (рис. 2).

Следует обратить внимание, что между центральным офисом и филиалом существует два канала связи — основной и резервный. От их надежности зависит работоспособность филиала, так как все ИТ-ресурсы компании сосредоточены в центральном офисе, то при их недоступности деятельность филиала будет парализована.

Итак, в центральном офисе установлены: контроллеры домена; почтовый сервер Exchange; центр сертификации для выдачи сертификатов пользователям, авторизации в домене, подписи документов и шифрования почтовых сообщений; программный продукт Token Management System от компании Aladdin, предназначенный для управления жизненным циклом электронных ключей и смарт-карт; быстродействующее сетевое оборудование, на котором развернута

IP-телефония

В филиале располагаются рабочие станции пользователей и IP-телефоны. Мобильный пользователь обладает только ноутбуком, на котором установлен клиент IP-телефонии, и гарнитурой.

Во всей организации для входа в сеть используется двухфакторная аутентификация (в центральном офисе и филиале), и мобильные пользователи авторизуются в домене при помощи электронных ключей eToken. Выписка и запись сертификатов на ключ, учет, замена и утилизация ключей осуществляются с помощью Token Management System.

Связь между центральным офисом и филиалом обеспечивается посредством двух VPN-туннелей, зашифрованных с помощью ГОСТ-алгоритмов. Данную возможность нам обеспечивают два модуля NME-RVPN, установленные в обоих офисах. При падении основного канала связи весь трафик между офисами перенаправляется в резервный канал, и филиал продолжает работать.

Мобильный пользователь, находясь на большом расстоянии от офиса, должен иметь возможность доступа к внутренним сетевым ресурсам организации. Он подключается к сети организации с помощью VPN-туннеля, для этого используется программный VPN-клиент компании S-Terra. Авторизация пользователя на доступ в сеть также происходит по сертификату, который записан на ключ eToken, посредством которого пользователь после установки соединения входит в домен. Затем мобильный пользователь работает так, как будто он находится на своем рабочем месте в офисе. С помощью программного клиента IP-телефонии и гарнитуры он может совершать и принимать звонки, причем телефон будет частью внутриофисной телефонной сети.

Естественно, это не единственный вариант организации защищенного доступа между офисами компании. Но данное решение позволяет экономить бюджетные средства на закупку нового оборудования, если в компании уже стандарт на сетевое оборудование Cisco.

Орешин Михаил, Совалов Роман, Поликом Про