КПП на мрежата

Networkworld България - брой 3, 2005 г. / Съдържание

Когато след поредната атака от червей или появата на пробойна в системата за сигурност, отговарящият за информационните технологии призове за увеличаване на нивото на защита, неизбежно се повдига въпросът за превенцията. Още в началото мрежата може да бъде планирана така, че атаките или невниманието на потребителите да не предизвикат фатални щети, като особена роля в това начинание се пада на интелигентните периферни комутатори. Водещите производители на мрежови устройства все по-често обръщат поглед към архитектура, при която функциите за гарантиране на сигурността и управлението се реализират не в ядрото на мрежата, както досега, а в самите периферни комутатори. Границата е тази област от мрежата, където потребителите влизат в системата. В голямата си част тя се състои от комутатори в разпределителни шкафове, които, от една страна, предават информацията до самия потребител, като в същото време разполагат интерфейси в Интернет. Тези мрежови устройства вече не могат да си позволят да не са интелигентни. Те са длъжни и могат да играят активна роля в гарантирането на сигурността, благодарение на интегрираните интелигентни функции. В зависимост от реализираната функция те могат да разпознаят кога буферът се е препълнил, да отразяват атаки на „червеи” и вируси, да изолират неизвестни или ненадеждни клиенти и да поддържат разпределението на заплатите. В такъв случай проникналите в мрежата чужди файлове и клиенти, както и инфектираните няма да получат достъп и няма да успеят да се разпространят и да й навредят. Различни подходи Дори ако основната идея е една и съща, производителите следват различни подходи. Някои от тях отчасти залагат на собствени решения при реализирането на тази защитна функция. Други предпочитат отворените стандарти за сигурност и управление. Именно последните рано или късно ще трябва да създадат база за реализация на възможно най-широкия и независим от производителя контрол. Основното при всички подходи е, че решението на границата на мрежата се взима съобразно отделния потребител. Той получава права за достъп в зависимост от задълженията по длъжностна характеристика на централно ниво от управляващия програмното обезпечение и базите данни или директорийните услуги. При регистрация в базата на този профил периферното устройство предоставя индивидуална работна среда. Така администраторът трябва да задава права само веднъж, след което тяхното спазване се контролира от периферните комутатори във всички точки на включване на потребителя в мрежата. Разнообразните функции В повечето компании L2 Ethernet преносът е традиционно предпочитана технология за достъп до локалната мрежа. Много производители вече снабдиха своите периферни комутатори с редица функции от второ—четвърто ниво за гарантиране на сигурността и управлението. Сега те могат да контролират IP адреси (L3) и ниво TCP/IP (четвърто ниво) на входящия и изходящ трафик. Освен това много комутатори от второ ниво разполагат и с функции за управление и по-нататъшна обработка на пакети на базата на съдържащите се в тях данни от второ, трето и четвърто нива. Така например, те поддържат качество на услугите (Quality of Service, QoS), администриране на базата на правилата и функциите за сигурност. В категорията на най-разпространените функции за сигурност попадат списъците за контрол на достъпа (Access Control List, ACL), които използват информация от трето и четвърто ниво за блокиране или отваряне на достъпа до мрежата на базата на IP адреса на сървъра или клиента. Освен това с помощта на ACL администраторите могат да назначат на потребителите роли в зависимост от необходимите им ресурси и да им разрешат достъп до определени приложения, подмрежи и сървъри. ACL гарантират доста детайлизирано управление на достъпа, но изискват постоянна поддръжка на актуалното състояние. Често ACL за контрол на достъпа на МАС ниво се използват в безжичните мрежи. Ако периферните комутатори, към които са включени точките на безжичния достъп, имат интегрирани функции за сигурност ACL, то те спокойно могат да прихванат опитите за проникване в мрежата на самия й край. Друга технология, използвана в много комутатори в локалните мрежи, са виртуалните локални мрежи (Virtual Local Area Network, VLAN) в съответствие със стандарта IEEE 802.1Q. При тях се осъществява разделяне на потребителите на групи, чиито членове получават достъп до определена VLAN. В рамките на „своята” виртуална мрежа те имат достъп до онези ресурси, които наистина са им нужни. Така в пределите на една локална мрежа администраторите могат да създават изолирани една от друга виртуални мрежи за решаване на специални задачи. Важни подразделения, като отделът за изследвания и разработки, могат да се отделят от областите на мрежата, открити за достъп на клиентите и партньорите през информационните терминали или безжичните мрежи в приемната. Без по-нататъшна оторизация достъпът от една VLAN в друга е невъзможен, което пък означава, че корпоративната информация е по-добре защитена. Много комутатори поддържат и автентификация по стандарта 802.1х. Наред с виртуалните мрежи това дава възможност за по-добра ефективна защита на достъпа. 802.1х осъществява стандартен контрол на достъпа на базата на портове: при входа в системата потребителят е задължен да се автентифицира преди да получи достъп до устройствата или услугите. В същото време се предотвратява влизането на неоторизирани клиенти в мрежата през общодостъпни портове. Автентификацията традиционно става с помощта на сървъра RADIUS. Той проверява съответстващите мандати (регистрационни данни) и едва след това разрешава достъп. 802.1х заменя автентификацията в директорийната услуга на Microsoft Active Directory или Novell eDirectory. Предимството на 802.1х от гледна точка на сигурността е, че в случай на отрицателен резултат от автентификацията комутаторът изцяло ще откаже достъп или ще разреши само свързване с общодостъпната виртуална мрежа. Обикновено на клиентите, които са се автентифицирали неправилно, се предоставя достъп до отделни мрежови ресурси - принтери, незащитени директории и файлове или Интернет. Някои компании приеха доста скептично въвеждането на 802.1х. Причината е, че протоколът бе предназначен първоначално за клиенти на Microsoft Windows XP, а за потребителите на другите операционни системи портите към мрежата бяха затворени. Затова производителите започнаха да предлагат на своите мрежови устройства допълнителна автентификация през браузър с цел гарантиране на безпроблемна регистрация за клиентите, които не поддържат 802.1х. Така заедно с допълнителните функции — блокиране на МАС адреси или филтриране по портовете на подателя за всички клиенти — се предлага и цялостен пакет за гарантиране на сигурността. Защита на инфраструктурата Функциите за гарантиране на сигурността на базата на потребителите и клиентите е само едната страна на медала. Освен това компанията трябва да защити и мрежовата си инфраструктура, за да не може зложелателят да заобиколи функциите за сигурност. Затова с допълнителни функции трябва да разполагат и периферните комутатори. Тогава само оторизираните мрежови администратори ще имат права да променят конфигурацията на мрежата. Това може да стане по няколко начина. Например, чрез запазване на потребителските имена и паролите на администраторите с права за управление и на администраторите с права за оперативен достъп в шифрованата база данни във флаш паметта на комутатора. Предвидена е и опция за автентификация на администраторите във втората, външна база данни за постигане на още по-високо ниво на сигурност. За защита на комуникацията между комутатора и конзолата за управление повечето производители залагат на отворените стандарти. Протоколът на защитената обвивка (Secure Shell, SSH) е достатъчно широко разпространен. Освен това предлаганите от редица производители web клиенти използват за администриране протокола на защитените цокли (Secure Sockets Layer, SSL), гарантиращ шифроване на трафика от данни от комутатора и към него. Така може да се предотврати прихващане на пароли. Друго просто и ефективно средство за предотвратяване на неправомерното използване на собствената мрежа е ограничаване на пропускателната способност за отделни потребители или потребителски групи. Тази функция е налице във все повече мрежови устройства. В случая администраторът назначава определена пропускателна способност на всеки служител или група според ролите им. Тази функция е особено полезна в мрежи, където се качват огромни обеми данни, като университетите, например. Администраторът на мрежата може първоначално да ограничи или блокира определени видове трафик — данни от еднорангови приложения или съответстващи на определен шаблон, характерен за атаки от типа „отказ от обслужване” (DoS). Бъдещето на периферните комутатори



Фиг 3. Революция на пазара на комутатори се надява да предизвика HP с интелигентните периферни комутатори от серията ProCurve.

Прехвърлянето на мрежовите функции от високо ниво към границата на мрежата тепърва ще се разгръща и разнообразието от функции в периферията значително ще нарасне. В бъдеще това ще доведе до постепенно изчезване на съвременните централизирани мрежови архитектури, както и на магистралните маршрутизатори или маршрутизиращи комутатори. На тяхно място ще дойдат интелигентните периферни мрежи, в които устройствата ще си взаимодействат по междинните съединения с високопроизводителна периферна комутираща структура (клетъчни връзки между периферните комутатори). Обикновената магистрала с висока пропускателна способност в ядрото ще замени днешните сложни мрежи и опорни маршрутизатори. Периферните комутатори ще предлагат множество услуги и функции на самите портове. Към тях спадат очевидните мрежови услуги и услугите за сигурност като шифроване и задълбочено проучване на пакетите от самия комутатор. Освен това в периферията на мрежата ще се предоставят и функции за подобряване на производителността като баланс на натоварването и кеширане. Другото предимство произтича от подобрената мащабируемост на интелигентните периферни комутатори. Мащабируемостта на традиционните маршрутизиращи комутатори в ядрото на мрежата е ограничена от максималната пропускателна способност на шината на техния процесор. В същото време интелигентните комутатори от периферната комутираща инфраструктура нямат нужда от пълната функция на традиционните магистрални комутатори, тъй като тези функции вече са на края на мрежата. И ако администраторът добавя тук нови комутатори, то те вече имат нужните функции. Така отпада необходимостта от модернизация в ядрото на мрежата. Високият интелект и производителност на мрежовата инфраструктура ще дадат мощен стимул за развитие на разпределените приложения. Така например, специалните функции ще отговарят за разпределение на натоварването за приложения в периферията на мрежата. Друга сфера на приложение е борбата с вирусите и червеите, които дори няма да попаднат в мрежата и няма да успеят да навредят. Включващият се в мрежата потребител на заразен ноутбук ще бъде изолиран от периферния комутатор в специална карантинна област на локалната мрежа, след което вирусът няма да има възможност за по-нататъшно разпространение, а собственикът на компютъра ще има незабавно решение на проблема – обновена версия на антивирусен продукт, например. Това са и целите от първостепенно значение на различните производители. Новото поколение устройства ще предлага далеч повече възможности, а нарасналата производителност ще доведе до развитие на мобилните приложения и до усъвършенстване на маршрутизацията на глас и мултимедия. Насоките на развитие Благодарение на видимото обогатяване на функциите, периферните комутатори се превръщат във все по-многофункционални устройства, които на всеки порт формират среда за хостинг на приложения. Наред с необходимите мрежови и транспортни услуги, благодарение на интелигентното управление на достъпа комутаторите се обогатяват с възможността да стартират непосредствено зададени услуги или да извикват определени приложения. Мрежата предоставя тези услуги на индивидуална основа в зависимост от отделния регистриран. Това става чрез автентификация на потребителите чрез 802.1х. Откриващите се нови възможности предлагат на компаниите напълно нови перспективи за организиране на мрежата. Централизираното управление чрез директиви за сигурност в комбинация с контрол на края ще позволи реализирането на по-гъвкава и икономична работа — едновременно с увеличаване на нивото на защита и удобството на употреба. Фиг.1 В традиционната мрежа решенията за управление на трафика и сигурността се взимат в ядрото на мрежата. Фиг.2 В периферната област на мрежата интелигентните комутатори в нейния край поемат отговорността за решаването на задачите по сигурността, като в същото време разтоварват ядрото на мрежата.

Последни новини

• Двуобхватен маршрутизатор от новата серия amplifi обяви D-Link
• D-Link вдига HD оборотите с нов двулентов високопроизводителен рутер DIR-857
• Мултимедийните системи Aastra 400 обслужват комуникациите на СМБ
• Aastra обявява виртуализирана мултимедийна централа
• Vivacom обяви нови двойни пакети, подсилващи фиксираната телефония.

Активни теми във форума

• » Супер Боб
• » въпрос:Как да изградя мрежа
• » Закони за успех във високите доходи.
• » Сайт за гледане на онлайн телевизия
• » Ето едно саийче, за пари!