Сеть своей головой: основные принципы планирования сети и обеспечения ее безопасности
ВОЗМОЖНО, ЧИТАТЕЛЮ ПОКАЖЕТСЯ, ЧТО СТАТЬЮ ЦЕЛЕСООБРАЗНЕЕ БЫЛО БЫ НАЗВАТЬ «СЕТЬ
СВОИМИ РУКАМИ». ОДНАКО МЫ НЕ ЗРЯ ДАЛИ ЕЙ ТАКОЕ НЕТИПИЧНОЕ ИМЯ. ВО-ПЕРВЫХ, ФРАЗА
«СВОИМИ РУКАМИ» УЖЕ ДОСТАТОЧНО ПРИЕЛАСЬ. ВО-ВТОРЫХ, ТАКОЕ НАЗВАНИЕ НЕ ОТОБРАЗИЛО
БЫ ВСЕЙ СУТИ СТАТЬИ. ВЕДЬ ПРОСТО ПРОЛОЖИТЬ СЕТЬ СОВСЕМ НЕ ОЗНАЧАЕТ ЕЕ ПОСТРОИТЬ.
НУЖНО ТЩАТЕЛЬНО СПЛАНИРОВАТЬ СЕТЬ. КАК ВИДИТЕ, РУКИ ЗДЕСЬ НИ ПРИ ЧЕМ. СНАЧАЛА
НУЖНО ПОРАБОТАТЬ ГОЛОВОЙ, А ПОТОМ, КОГДА У НАС УЖЕ БУДЕТ ТОЧНЫЙ «ПЛАН ДЕЙСТВИЙ»,
ТОГДА БУДЕТ РАБОТА И ДЛЯ РУК.
1. Планирование сети
Вспомним старую русскую пословицу «семь раз отмерь, один раз отрежь». Она
очень хорошо подходит к нашей теме. Конечно, бытует мнение, что пока семь раз
будешь мерить, кто-то уже отрежет. Согласен, но не сейчас. Сейчас вы планируете
сеть, вы – главный, и вам никто не мешает. Очень важно продумать все нюансы,
связанные с построением сети. Ведь корпоративная сеть – это очень сложная
система, состоящая из десятков различных компонентов. Модель маршрутизатора,
которая была популярна в прошлом году, уже давно таковой не является – на ее
место пришла более новая, с более совершенными функциями, позволяющими более
эффективно использовать все устройство в целом. Поэтому прежде чем закупать
оборудование для сети, нужно ознакомиться с возможностями самых последних
моделей устройств, а также сравнить устройства других производителей. Вот
пример: всю жизнь вы считали, что устройства фирмы AAA (не хочется делать никому
никакой рекламы – ни хорошей, ни плохой) – лучшие, но вот всего полгода назад на
рынке появилась компания BBB, которая начала производство устройств, которые по
всем своим характеристикам превосходят устройства компании AAA. Вы привыкли к
компании AAA, поэтому всеми правдами и неправдами (мол, устройство от BBB еще не
проверены временем и т.д.) будете уговаривать себя же остановить выбор на
устройстве от AAA, хотя вы знаете, что устройство от BBB явно превосходит его по
характеристиками. С одной стороны, вы правы – проверенные временем, надежные
устройства обеспечивают безотказную работу сети. А с другой стороны – нет, ведь
уже через полгода все будут пользоваться принципиально новыми устройствами BBB,
а вы построили свою сеть на устаревшем оборудовании от AAA.
Интернет внес огромные изменения в корпоративную сеть. Сейчас по его каналам
можно передать любую информацию: если раньше преимущественно передавался текст,
графика и иногда звук, то сейчас видеоконференции онлайн – это норма. Кроме
этого, интернет можно использовать как компонент корпоративной сети –передавать
через Сеть корпоративную информацию, что существенно дешевле, чем прокладывать
свои линии связи.
1.1. Планирование, как основа безопасности
При планировании нужно учитывать еще и безопасность сети. Да, это нужно
делать именно при планировании, а не после того, как сеть уже построена. Поэтому
о безопасности – отдельный разговор.
Небольшой пример уже был приведен выше: использовать проверенные временем
решения или использовать новые решения? Это касается не только оборудования, но
и программного обеспечения, которое также является компонентом корпоративной
сети, причем очень важным компонентом. Нужно найти золотую середину между
надежными решениями и новыми разработками.
В предыдущем пункте мы начали говорить о влиянии интернета на корпоративную
сеть. По данным ISC (www.isc.org) в июле 2006 года (более новых данных пока нет,
поэтому будем считать, что это последние) насчитывалось более 439 миллионов (!)
узлов. Соответственно, сейчас их еще больше.
Вы видите, какими темпами развивается интернет – за полгода (с 1 января 2006
года по 1 июля 2006 года) появилось 45 миллионов узлов. Это целая армия
потенциальных клиентов вашей компании. Этим клиентам нужно предоставить
всевозможную рекламную (и не только) информацию о компании. Сейчас практически у
каждой компании есть собственный web-сайт. На сайте можно не только ознакомиться
с предлагаемым товаром, но приобрести его. Понятно, что в данном случае общение
с клиентом происходит с помощью интернета – по электронной почте, ICQ и так
далее. Общение с партнерами также происходит через Сеть.
Вот теперь мы подошли к самому главному. Ранее считалось, что 80% трафика
корпоративной сети будет внутренним, а только 20% - внешним. Сейчас ситуация в
корне изменилась. Точные цифры назвать нельзя, потому что они зависят от
специфики работы компании: у кого-то соотношение будет 50/50, а у кого-то 20/80,
но точно не 80/20. Как следствие, возрастает нагрузка на пограничные
маршрутизаторы и брандмауэры, которые уже не так эффективно справляются с
поставленными задачами. Поэтому, приобретая оборудование или программное
обеспечение, нужно думать о будущем и покупать с небольшим запасом, чтобы через
год-два не перестраивать всю сеть заново.
Развитие интернета несет в себе потенциальную угрозу для корпоративной сети:
чем больше пользователей, тем больше желающих взломать вашу сеть. К тому же,
нужно подумать о защите передаваемой по каналам интернета информации. На этапе
планирования нужно уяснить, какое программное обеспечение будет использоваться в
сети. Особое внимание следует уделить программам, с помощью которых пользователи
сети будут «общаться» с внешним миром. Оно должно поддерживать шифрование как
средство безопасной передачи данных. Также нужно регулярно следить за
обновлением программного обеспечения – ведь в новых версиях не только появляются
новые функции, но и устраняются ошибки старых версий.
Как показывает практика, средний срок устаревания IT-продуктов (аппаратное и
программное обеспечение) - в районе 3-5 лет. Неужели каждые 3 года нужно
перестраивать всю сеть? Понятно, что никто этим не будет заниматься, поскольку
на это нужные большие деньги. А сеть тем временем будет устаревать. Поэтому
нужно следить за основными тенденциями развития мира информационных технологий и
постепенно вносить изменения в существующую сеть – таким образом, ваша компания
всегда будет идти в ногу со временем.
1.2 Построение транспортной системы корпоративной сети
Естественно, что при работе с сетью никому не хочется ждать, - ни
пользователю сети, ни клиенту компании, который обращается к вашему web-серверу.
Чтобы сеть работала быстро, нужно продумать ее транспортную систему.
1.2.1. Транспортная инфраструктура
Все чаще возникает необходимость в повышении пропускной способности между
клиентами сети и серверами. Причины, думаю, ясны: «средняя» современная рабочая
станция по производительности мощнее «среднего» 5-летнего сервера. Мощные
компьютеры позволяют эффективно работать с мультимедиа и передавать
мультимедиа-информацию по корпоративной сети и интернету. Пять лет назад далеко
не каждый обычный пользователь мог выкачать из Сети фильм или посмотреть видео в
режиме реального времени. Интернет стал дешевле, качественнее, быстрее. Если
сеть была построена раньше, понятно, что ее транспортная инфраструктура не
выдерживает возросших нагрузок – отсюда и «эффект торможения» сети.
Построение транспортной системы – задача не из простых. Сложность заключается
в том, что требования к пропускной способности различных подсетей крупной
корпоративной сети неоднородны. Сомневаюсь, что все клиенты будут обмениваться
данными с внешними и внутренними серверами с одинаковой интенсивностью, поэтому
часть сегментов будет загружена больше, а часть – меньше. Понятно, что с
экономической точки зрения нужно предоставлять подсетям ту пропускную
способность, которая им требуется.
1.2.2. Магистраль для корпоративной сети
Магистраль – один из самых главных, а, следовательно, и самых дорогих
компонентов сети. Через магистраль проходит большая часть трафика сети, поэтому
она влияет на работу всей сети в целом. Решение о выборе магистрали является
одним из самых важных при планировании.
Кроме протокола, который будет использоваться магистралью, нужно еще учесть
структуру самой магистрали, которая потом будет положена в основу кабельной
системы. В некоторых сетях стоимость кабельной системы доходит до 20% от
стоимости всей сети, - сами понимаете, во что может стать неправильное решение.
Выбор магистрали – это всегда компромисс между скоростью и стоимостью. Можно
выбрать все самое быстродействующее и дорогое, но в некоторых случаях применение
такого оборудования не оправдывает себя. Все зависит от потребностей
пользователей (также не забываем и о завтрашнем дне): может самое дорогое и не
нужно.
На структуру длины влияет выбранная технология, поскольку она и только она
определяет максимальную длину сегмента, расстояния между рабочими станциями,
возможность использования резервных кабелей, и, конечно, типы самого кабеля.
Все это – тема для отдельного разговора, сейчас важно, чтобы вы понимали, на
что нужно обращать свое внимание при планировании сети.
1.2.3. Быстрый и экономичный доступ удаленных пользователей к сети компании
Иногда нужно обеспечить доступ удаленных пользователей к сети компании. Ранее
для доступа к корпоративной сети использовались так называемые dial-in серверы
(серверы входящих звонков). Сейчас такое решение нельзя назвать эффективным.
Во-первых, для организации сервера входящих звонков нужна многоканальная
телефонная линия и модемный пул, а все это стоит недешево. Во-вторых, сервер
входящих звонков рационально использовать, если удаленный абонент находится в
пределах города – междугородние и международные звонки дорогие. Поэтому нужно
найти что-то более доступное.
Намного дешевле, да и проще использовать для доступа к сети интернет. В этом
случае нам поможет Виртуальная Частная Сеть (Virtual Private Network, VPN).
Администратор настраивает VPN-сервер, который будет предоставлять доступ
пользователям к ресурсам корпоративной сети. В качестве «среды» передачи данных
будет использоваться интернет. Найти хот-спот с беспроводным доступом (Wi-fi)
проще, чем просить кого-то разрешить подключиться к его телефонной линии. Даже
если рядом нет точки беспроводного доступа, можно подключиться к Сети с помощью
мобильного телефона. Для компании же организация VPN-сервера обойдется намного
дешевле организации сервера входящих звонков: не нужна ни многоканальная
телефонная линия, ни модемный пул.
2. Обеспечение безопасности сети
2.1. Защита данных, передаваемых по публичным каналам связи
Сначала нужно определиться, какие данные будут передаваться по интернету и
какова степень их «секретности», а после этого выбрать способ защиты. В нашем
случае нам нужно защитить вот что: данные, передаваемые удаленными
пользователями, электронную почту, web-трафик и административный трафик.
Доступ удаленных клиентов будет защищен самим VPN-каналом – при передаче
данных по виртуальному каналу используется шифрование. Электронную почту, не
содержащую «коммерческую тайну» можно не шифровать, а вот при обмене информацией
с партнерами желательно использовать PGP. Коммерческий web-трафик (номера
кредитных карточек, например) целесообразно передавать с использованием
протокола HTTPS, а не обычного HTTP. Административный трафик (например, когда
администратор сети из дома получает доступ к серверу) тоже нужно шифровать. Тут
все зависит от типа доступа. Если информация идет через VPN, то все и так уже
зашифровано, а если VPN не используется, тогда нужно использовать SSH, но не
telnet.
2.2. Выдача IP адресов по рабочим местам
В больших компаниях принято назначать IP-адреса по рабочим местам
пользователей. Вот одна их схем:
10.<этаж>.<кабинет>.<номер_компьютера>
Например, IP-адрес 10.2.207.3 принадлежит компьютеру с номером 3, который
находится на втором этаже в комнате 207. Можно придумать и свою схему. К
безопасности особого отношения это не имеет, но вам будет удобнее управлять
сетью, когда IP-адреса будут назначены не хаотично, а упорядоченно.
2.3. Привязка IP->MAC
Представим, что вы ограничили определенным пользователям доступ к интернету в
целях экономии трафика, - зачем, например, он бухгалтерам? Поэтому вы решили
закрыть доступ к Сети всему третьему этажу, то есть всем адресам 10.3.*.*. Но
среди бухгалтеров нашелся один «продвинутый» пользователь, который додумался
изменить свой IP-адрес. Что в результате? В результате он получит доступ к
интернету. Чтобы такого не произошло, нужно выполнить привязку IP-адресов к
MAC-адресам сетевых адаптеров. MAC-адрес уникален – в мире нет двух сетевых
устройств с одинаковыми MAC-адресами. Если сервер сети обнаружит, что MAC-адрес
не соответствует IP-адресу, тогда доступ к сети не будет предоставлен.
Конечно, вам предстоит огромная работа – ведь нужно переписать MAC-адреса
всех компьютеров сети. В этом вам поможет программа, позволяющая просканировать
сеть и вывести MAC-адреса всех сетевых адаптеров сети. Одной из таких программ
является TCPNetView.
2.4 Антивирусные серверные решения
Вирусы чаще всего попадают в сеть из интернета, поэтому нужно обеспечить
контроль интернет-трафика (как HTTP, так и почтового). Ранее была возможность
проверять почтовый трафик собственного SMTP-сервера. Контролировать весь трафик
было накладно – уж очень сильно это замедляло работу сети. Сейчас это возможно.
Прочитать об этом можно по адресу
http://www.dkws.org.ua/index.php?page=show&file=a/servers/clam.
Также желательно настроить прокси-сервер корпоративной сети так, чтобы он
запрещал доступ пользователей к сомнительным ресурсам, которые потенциально
могут содержать вирусы. Прокси-сервер Squid в паре со SquidGuard вполне может
справиться с этой задачей.
2.5 Антивирусные клиентские решения
Но антивирус на сервере – это не панацея, ведь вирус может проникнуть в
компьютер пользователя со сменных носителей. Кто-то может специально или
непреднамеренно инфицировать компьютер, открыв зараженный файл с дискеты или
компакт-диска. Поэтому не нужно забывать и о клиентских антивирусных решениях.
Таких довольно много, поэтому, я думаю, что вы уже сделали выбор. Кроме
антивируса я бы порекомендовал установить на каждую рабочую станцию брандмауэр и
средство поиска spyware – шпионских программ.
2.6. Безопасность Windows XP: в двух словах
Также полезно отключить некоторые службы Windows – автоматическое обновление,
службу времени Windows, удаленный реестр, диспетчер сеанса справки для
удаленного рабочего стола, службу сообщений, telnet.
Кроме этого, желательно отключить удаленного помощника Windows XP, который
может использоваться для несанкционированного доступа к компьютеру (выполните
команду «Мой компьютер»-> «Свойства»-> «Удаленные сеансы»).
2.7. Необходим ли дежурный администратор?
Практически все компьютеры (кроме серверов) выключены, все пользователи
разошлись по домам. В здании осталась только охрана. Спрашивается, зачем нужен
дежурный администратор? Оказывается, он нужен. Представим, что ночью кто-то
решил взломать сеть предприятия. Если дежурного администратора нет, факт взлома
будет замечен только утром, а тогда может быть уже поздно. Поэтому на дежурном
администраторе экономить не нужно.
3. Человеческий фактор
Человеческий фактор оказывает огромное влияние на безопасность сети. Как
говорил один мой знакомый системный администратор: «Даже самая безопасная
система не в силах устоять против несанкционированного доступа, если пароль
пользователя написан на желтой бумажке, приклеенной к монитору».
3.1. Ограничение доступа
Понятно, что на пароль особо надеяться не нужно, даже если вы обойдете все
комнаты и лично убедитесь, что пароль не написан маркером на мониторе или
клавиатуре. Желательно кроме пароля проверять еще и IP-адрес (который, в свою
очередь, будет привязан к MAC-адресу), то есть разрешать доступ к тому или иному
ресурсу корпоративной сети по IP-адресу.
3.2. Как быть с обиженными или уволенными сотрудниками?
Все мы знаем, что такое месть. В ней нет ничего странного – так уж устроен
человек. Просто кто-то может перебороть это чувство, а кто-то – нет. Бывает два
типа недовольных сотрудников: просто обиженный или обиженный и уволенный. Более
опасен первый тип, поскольку второму можно закрыть доступ в сеть по причине его
увольнения. Что же делать с первым? Все зависит от его прав доступа. Если
администратор правильно распределил права доступа, тогда этот пользователь
сможет повредить только свои данные, за которые он сам и отвечает.
Намного сложнее обстоит дело, если увольняют одного из администраторов.
Администратор – это человек, который знает о сети все, и даже если он не оставил
«черный ход» в корпоративную сеть (это можно проверить), то его знания могут
быть использованы в не очень хороших целях. И даже не им самим, а конкурентами
компании. Ведь они только и ждут, пока руководство что-то не поделит с
администратором. А потом к администратору последует очень интересное
предложение, сами знаете чего. Поэтому в данном случае администратором уже
должны заниматься не IT-специалисты компании, а служба безопасности.
3.3. Принцип «правая рука не знает, что делает левая»
Все мы знакомы с этим принципом. Давайте применим его к предприятию.
Предположим, у нас есть отдел. Пусть это будет отдел IT. Есть задача, которую
нужно выполнить. Над ней должно работать, скажем, 3 человека. Но работать они
должны не вместе, а отдельно, то есть цель у всех общая, но каждый должен
подойти к ней своим путем. Получается, что в результате у нас будет не одно, а
три решения задачи, и нам останется выбрать оптимальное. Такой способ очень
эффективен: ведь если бы эти три человека работали вместе, тогда было бы всего
одно решение. Администратору же нужно организовать такой режим доступа, чтобы
эти три человека не могли получить доступ к файлам друг друга.
3.4. Планирование безопасности серверной комнаты/этажа
Серверное помещение – важнейшее помещение корпоративной сети. Для его защиты
желательно установить электронные замки (доступ по паролю или чип-карте), а
также систему видеонаблюдения, которая поможет определить время «миграции»
сотрудников (ведь кто-то может выйти, а кто-то - зайти, и все это будет
запечатлено с помощью видеокамеры). Иногда не будет лишней и охрана – все
зависит от важности данных. Помню, на одном из предприятий IT-отдел очень тесно
работал со службой безопасности: на территорию предприятия нельзя было занести
какой-либо носитель данных, не говоря о том, чтобы его вынести. IT-отдел
проверял такие носители, в случае, если кто-то пытался принести или вынести
какую-либо информацию. А как же ноутбуки? Их вообще запрещалось там
использовать! Да, похоже на паранойю, но в том случае безопасность была превыше
всего, и введенные меры себя оправдывали. Что побудило предприятие пойти на
такие меры? Кража информации, в результате которой предприятию был нанесен
огромный экономический ущерб.
Также не следует забывать об элементарных правилах пожарной безопасности –
все-таки компьютеров много, поэтому нужно приобрести пару огнетушителей.
4. Отдел системного администрирования и безопасности
4.1. Подбор персонала
В подборе персонала для отдела IT должны участвовать IT-менеджеры.
В идеале должна быть определенная система тестирования, разработанная
IT-специалистом (желательно посторонним, чтобы исключить субъективный
фактор).Дипломы и сертификаты - конечно, хорошо. Хотя бывает так, что у человека
нет даже высшего образования, а он знает больше, чем дипломированный специалист
(и тому есть немало живых примеров – прим. редактора). Вот для этого и нужна
система тестирования при приеме на работу, особенно учитывая нашу систему
образования, когда за определенную сумму диплом даже доставляют на дом. С
сертификатами дело обстоит чуть иначе. Онлайн-сертификатам (которые может
получить любой желающий в интернете) я бы не очень доверял – за «специалиста»
пройти тест может кто угодно. А вот сертификаты, выданные крупными компаниями,
например, Microsoft, порой говорят даже о большем, нежели дипломы о высшем
образовании.
4.2 Инструктаж отдела IT
Желательно, чтобы при приеме на работу сотрудник знал не только свою
должность, но свои права и обязанности. И чтобы каждый раз не рассказывать ему,
что он должен делать и какие результаты от него ожидаются, все оформляется в
служебную инструкцию, которую должен изучить сотрудник в первые дни работы. Вся
его дальнейшая деятельность должна проходить в рамках инструкции. Что должно
быть в инструкции? Прежде всего, общие положения, ожидаемые результаты
деятельности, права и обязанности сотрудника, правила взаимодействия с другими
службами предприятия, критерии оценки результатов, ответственность и
квалификационные требования. Этот документ должен разрабатываться опытным
IT-специалистом, который мог бы обосновать необходимость того или иного пункта
инструкции (ведь можно ее и из интернета «позаимствовать», а потом смотреть на
нее большими от удивления глазами).
4.3 Распределение задач и сфер ответственности
Задачи IT-сотрудников и сфера их ответственности должны быть четко
распределены. Кстати, для этого и пишется инструкция, в которой четко должно
быть сказано, кто что должен делать и кто за что отвечает.
4.4 Контроль работы и иерархия
Обычно иерархия того или иного подразделения изображается в виде
организационной или пирамидальной диаграммы. Лично мне больше нравится
последняя.
Руководство IT-отдела
среднее звено
специалисты.
К руководству относят следующие должности: директор департамента
информационных технологий (попросту говоря, начальник IT-отдела) и руководитель
проекта. Руководитель проекта – должность не обязательная, как правило, она есть
на предприятиях, занимающихся разработкой IT-продуктов.
Директор IT-департамента занимается разработкой и внедрением информационных
стратегий и созданием единой информационной структуры. Подчиняется он только
генеральному директору компании. Руководитель проекта подчиняется директору
IT-департамента, но задача у него своя – он руководит отделом, который входит в
структуру компании. В больших IT-компаниях может быть несколько IT-отделов,
каждый из которых будет работать в своем направлении, и у каждого IT-отдела
будет собственный руководитель проекта.
Теперь переходим к среднему звену. К нему могут относиться следующие
должности: IT-менеджер, менеджер автоматизации, менеджер по работе с клиентами.
Первый отвечает за бесперебойную работу всех информационных систем компании,
второй занимается автоматизацией деятельности компании и ее филиалов, третий,
как понятно из названия, работает с клиентами.
К специалистам относят следующие должности: системный администратор, главный
программист, программист. В больших компаниях роли системного администратора и
IT-менеджера четко разделены: системный администратор подчиняется IT-менеджеру и
исполняет его поручения. А в не очень больших компаниях системный администратор
частенько выполняет функции IT-менеджера. Главный программист руководит
программистами и отвечает за своевременное выполнение проекта.
5. Выводы
Приступая к построению сети нужно все спланировать до малейших мелочей: какая
будет использоваться технология, какое программное обеспечение, кто и какие
задачи будет выполнять, у кого какие права доступа и к каким объектам сети
будут, кто кому будет подчиняться и так далее.
|
Обсуждение статьи
|
|
|
|
RE: Сеть своей головой: основные принципы планирования сети и обеспечения ее безопасности
Автор - кретин. Присваивать IP-адреса согласно расположению компьютеров - идея прекрасная. А где всю эту кашу сводить? На каком маршрутизатора? А как обеспечить при таком раскладе работоспособность мастер-браузера, DNS? А если филиалов штук 10?...
Как можно отключать автоматические обновления Windows и говорить при этом о безопасности? Это взаимоисключающие вещи, чувак.
КГ/АМ. |
|
RE: Сеть своей головой: основные принципы планирования сети и обеспечения ее безопасности
Отключение службы обновлений? Есть решение от Microsoft - WSUS называется. На крайний случай для SQUID есть дополнительный модуль updates accelerator(точно не помню название, но идея что апдейты с сайта Microsoft кидает в отдельный кэш при первом запросе от клиента и потом раздает его всем остальным клиентам), если нет свободного лицензированного сервера для установки WSUS-a.
Кстати ни слова о лицензировании не написано. А не мешало бы. Ведь за нарушение могут штраф выписать. Впрочем и посадить тоже могут. |
|
|
Keywords: zPOSTz zSECURITYz z10014z
Для Авторов: edit  delete
Автор: Денис Колисниченко
Дата: 04.12.2008 15:01:47©
|
Архив номеров
