Построение корпоративной сети

Второй вариант - компания покупает выделенную линию связи у провайдера. Корпоративные сети связи, построенные на основе выделенных линий связи, позволяют организовать удаленный доступ к базам данных, построить корпоративную почтовую систему и корпоративную телефонную сеть. Для них характерны высокое качество услуг, однако, их организация — дело недешевое — в основном за счет высокой стоимости выделенных линий связи, хотя такой вариант в разы менее затратен, чем вариант с прокладкой кабеля своими силами.

Третий вариант - компания арендует выделенный канал связи у провайдера. Решение, основанное на аренде каналов, немногим отличается от решения с выделенными линиями связи. Основным отличием наложенных сетей является то, что арендатор получает в свое распоряжение не определенный канал, а ресурс сети с гарантированной пропускной способностью.

Арендуя канал у провайдера, мы экономим деньги компании, поскольку стоимость арендуемых ресурсов сети заметно ниже стоимости выделенных линий связи. Кроме того, мы получаем возможность создать сеть с интеграцией услуг передачи данных. Однако если оператор связи нарушит условия качества обслуживания, то возникнут сложности, связанные с поиском и устранением неисправностей.

Четвертый вариант - виртуальное соединение. Технология виртуальных сетей предусматривает построение корпоративной сети связи поверх сети Интернет либо любой другой сети общего пользования. При этом для защиты передаваемых данных от несанкционированного доступа осуществляется их шифрование с использованием специальных протоколов.

Сегодня популярность сетей такого вида растет не по дням, а по часам. И тому есть объективные причины. Сеть можно организовать чрезвычайно быстро. Стоимость ее создания и обслуживания сравнительно низка и она способна решить большинство текущих задач пользователя.

Таблица 1. Сравнение наиболее популярных технологий построения корпоративных сетей.

Теперь рассмотрим вопросы, связанные с построением локальных сетей в сегментах корпоративной сети. При выборе технологии, на основе которых планируется построить сеть, я сразу отбросил наименее распространенные и наименее используемые. Почему я так поступил: во-первых, чем реже используется технология, или, скорее, стандарт на основе определенной технологии, тем сложнее подобрать оборудование, для работы согласно этому стандарту и тем дороже оно обойдется; во-вторых, еще сложнее, чем оборудование, найти специалиста, который смог бы правильно настроить сеть в соответствии с заданными параметрами. Таким образом, остается несколько наиболее распространенных стандартов: 802.3(Ethernet), 802.11(Wi-Fi), 802.15(Bluetooth), 802.16(WMAN). Рассмотрим их подробнее, начиная с последних двух.

Bluetooth - позволяет устройствам сообщаться, когда они находятся в радиусе 10-100 метров друг от друга, при этом дальность очень сильно зависит от преград и помех. В версии Bluetooth 2.0 + EDR поддерживается скорость передачи данных 2.1 Мбит/с. В принципе, этого достаточно, чтобы обеспечить работу двух-трех компьютеров, находящихся недалеко друг от друга. Но помимо скорости и дальности существует еще ряд фактов, не позволяющих нам принять этот стандарт за основу нашей сети. Соединения по Bluetooth очень слабо защищены от взлома со стороны злоумышленников. В статье http://ru.wikipedia.org/wiki/Bluetooth#cite_ref-D0.92.D0.B8.D1.88.D0.BD.D0.B5

.D0.B2.D1.81.D0.BA.D0.B8.D0.B9_5-0 указано несколько способов взломать соединение на основе Bluetooth. Все эти недостатки проявляются из-за того, что Bluetooth просто не предназначен для организации сетей, а изначально создавался для связи между мобильными устройствами.

WMAN, а точнее наиболее распространенная технология этого стандарта Wi-Max, имеет радиус действия 1-10км и пропускную способность до 75 Мбит/с. Использование данного стандарта позволит полностью обеспечить доступом к сети практически любой по размеру и архитектуре офис, при этом сохранив достаточно высокую скорость передачи данных. Однако установка одного  Wi-Max ретранслятора обойдется предприятию в солидную сумму денег. Целесообразней использовать эту технологию для связи между отделениями предприятия, чем для объединения компьютеров в локальную сеть в отделениях предприятия.

Согласно 802.11 wi-fi поддерживает скорость передачи данных от 54 до 600Мбит/с (на реальном оборудовании не больше 300 Мбит/с) на расстоянии 45 -450 метров. Этого достаточно для покрытия офиса средних размеров. Кроме того цены на wi-fi оборудование вполне умеренные. Этот стандарт имеет смысл использовать для связи компьютеров в отделении.

Последний оставшийся стандарт 802.3 описывает технологию Ethernet, единственную из отобранных, которая использует кабельную систему для передачи данных. Длинна сегмента Ethernet зависит от технологии и от категории выбранного кабеля. Наиболее распространенными стандартами Ethernet на данный момент являются 802.3u и 802.3ab, дающими пропускную способность 100 Мбит/с и 1000Мбит/с соответственно. Наиболее часто используемые категории кабеля 5 и 6. Максимальная длинна сегмента Ethernet при использовании неэкранированного кабеля 5 категории -90 метров. этого достаточно для создания сети малого и среднего офиса.

Таблица 2. Сравнение наиболее популярных технологий построения локальных сетей.

Следует обратить внимание на еще одну технологию, которая не используется в чистом виде ни для создания локальных сетей, ни для объединения сетей. Это довольно узкоспециализированная технология, основное предназначение которой – передача голоса. Речь идет об обычной аналоговой телефонии. На сегодняшний день эта технология же уходит в прошлое, вытесняемая мобильной связью и альтернативными способами общения с использованием Internet. Но ряд факторов еще делает ее актуальной для использования в офисах: звонки по Москве по городской связи значительно дешевле. Этот вид связи позволяет реализовать:

• голосовую связь внутри офиса и за его пределами;
• возможность документооборота с использованием факса. Это метод передачи информации еще будет востребован, из-за большой инерционности систем передачи данных предприятий: еще очень многие офисы используют факс как основной инструмент документооборота.

Подводя итог этой главы можно сказать, что в ней были рассмотрены различные технологии,  на основе которых можно построить корпоративную компьютерную сеть. Критериями, на которых особенно акцентировалось внимание, были: пропускная способность, стоимость и радиус действия. Хотя эти данные и приблизительны (не описывают конкретное оборудование) они помогут нам лучше сориентироваться на начальном этапе проектирования сети. Однако, данная глава не дает нам представление о том, на сколько эти технологии соответствуют принятым в нашей стране стандартам сетевой безопасности.

Глава 2. Рассмотрение технологий с учетом стандарта безопасности ISO17799.

(таблица wi-fi устройств)

Ставя своей целью построение безопасной корпоративной сети необходимо не только понимать значение слова безопасность, но и знать критерии, по которым можно определить, является ли сеть безопасной или нет. Часть этих критериев можно найти в стандарте информационной безопасности ISO/IEC 17799. Этот документ содержит указания и рекомендации по управлению сетевой безопасностью. В основном он содержит указания, которые потребуются при разработке политики безопасности системы и настройки программного обеспечения. Некоторые из них можно учитывать еще на этапе выбора стандартов передачи данных и топологии сети. В основном это относится к пункту 7 данного документа – безопасность оборудования.

Согласно стандарту, необходимо обеспечить безопасность оборудования, чтобы уменьшить риск неавторизованного доступа к данным и защитить их от потери или повреждения. При этом необходимо принимать во внимание особенности, связанные с расположением оборудования и возможным его перемещением. Могут потребоваться специальные мероприятия для защиты от опасных воздействий среды и неавторизованного доступа. Следует отметить, что под авторизованным доступом в данном контексте подразумевается физический доступ, и авторизация, например, если надо пройти в серверную комнату охранник, у которого хранятся ключи от серверной комнаты, должен проверить по спискам, имеет ли человек право брать этот ключ и находиться в серверной комнате.

Рассмотрим выбранные ранее нами стандарты для построения корпоративных сетей, с точки зрения их реализации в соответствии с ГОСТ 17799.

Рассмотрим способ объединения отделений, при котором компания сама прокладывает кабельную сеть между отделениями. Согласно пункту 7.2.3:

А) коммуникационные лини должны быть по возможности подземными или обладать альтернативными мерами защиты;

Б) сетевой кабель должен быть защищен от неавторизованных подключений или повреждения, например, посредством использования специального кожуха и/или выбора маршрутов прокладки кабеля в обход общедоступных участков;

В) силовые кабели должны быть отделены от коммуникационных, чтобы исключить помехи;

Дополнительно можно: использовать оптико-волоконные линии связи; использовать проверку на подключение неавторизованных устройств к кабельной сети.

Следует так же заметить, что при использовании выделенного канала или линии связи, предоставляемых поставщиком, следует убедиться в их защищенности в соответствии с описанными выше рекомендациями. В принципе, следование указанным в стандарте рекомендациям, в большинстве случаев возможно, хотя и потребует значительных дополнительных затрат.

Рекомендации к использованию виртуальной частной сети(VPN- Virtual Private Network) не документированы в стандарте, поэтому вопрос о степени защищенности таких сетей нам придется рассматривать  самостоятельно. При использовании виртуальной частной сети, данные передаются по виртуальному каналу связи, что создает, как бы «линию связи внутри линий связи». Степень защищенности такой сети очень высокая, за счет использования нескольких уровней защиты соединения. В первую очередь стоит отметить, что данные в виртуальных частных сетях передаются в зашифрованном виде. Наиболее часто используемыми в VPN-решениях алгоритмами кодирования являются DES, Triple DES и различные реализации AES. Каждая из них подразумевает то, что прочитать зашифрованные данные может лишь обладатель ключа к шифру. Причем, помимо криптографических алгоритмов активно применяются специальные методы идентификации лиц и объектов, задействованных в VPN. Это гарантирует, что объект действительно является тем, за кого себя выдает. Плюс к этому имеют место специальные методы проверки целостности данных, отвечающие за то, чтобы информация дошла до адресата именно в том виде, в каком она была послана. Среди алгоритмов проверки целостности можно выделить два наиболее популярных - MD5 и SHA1.

Для построения защищенных туннелей между несколькими локальными сетями требуются специальные протоколы. Наибольшее распространение из  имеющихся получили: IPSec, PPTP, и L2TP. Разберемся с каждым по отдельности:

IPSec (Internet Protocol Security) - обеспечивает  защиту на сетевом уровне и  требует поддержки стандарта IPsec только от устанавливающих VPN-туннель  устройств. Все остальные устройства, расположенные между ними, отвечают лишь за транспорт IP-пакетов, в которых, в свою очередь, содержатся зашифрованные данные. На этапе подключения обе стороны заключают так называемое соглашение для обмена данными, которое определяет ряд очень важных параметров соединения. Таких, как IP-адреса отправителя и получателя, используемые алгоритмы шифрования и аутентификации, порядок обмена ключами, их размер и срок действия.

PPTP (Point-to-Point Tunneling Protocol) - совместная  разработка таких известных брэндов, как US Robotics, Microsoft, 3COM. PPTP поддерживает 40 и 128-битное кодирование, а для аутентификации используют обычные схемы РРР.

L2TP (Layer 2 Tunneling Protocol) - результат  кропотливой работы сотрудников  компании Cisco. Примечательно, что L2TP совместим  с IPSec.

Как можно убедится технология VPN поддерживает достаточный уровень безопасности, для того чтобы использовать ее как основу для создания корпоративной сети. Следует так же отметить, что при использовании любого другого варианта можно использовать VPN как дополнительный уровень защиты данных.