Академический Документы
Профессиональный Документы
Культура Документы
Архитектура корпоративных
сетей
Краткое руководство
Servers
Server
Room
Firewall
Switch Stack
VPN
Wireless LAN Distribution Routers WAN
Controller Switch
Firewall
Collapsed
LAN Core Internet
LAN Access
Access Switch
2
ОГЛАВЛЕНИЕ
Читателю................................................................................................................................. 4
Введение ................................................................................................................................. 5
Для кого это руководство ............................................................................................................ 5
Применение ............................................................................................................................. 5
1. Основы дизайна ................................................................................................................. 6
1.1. Принцип модульности ....................................................................................................... 7
2. Иерархическая модель сети .................................................................................................. 9
2.1. Уровень доступа (Access Layer) ........................................................................................... 9
2.1.1. Устройства .................................................................................................................. 9
2.1.2. Угрозы ...................................................................................................................... 10
2.1.3. Рекомендации по дизайну .............................................................................................. 11
2.1.4. Альтернативы ............................................................................................................. 12
2.2. Уровень распределения (Distribution Layer) ........................................................................... 12
2.2.1. Устройства ................................................................................................................. 13
2.2.2. Угрозы ...................................................................................................................... 14
2.2.3. Рекомендации по дизайну .............................................................................................. 14
2.2.4. Альтернативы ............................................................................................................. 16
2.3. Уровень Ядра (Core Layer) ................................................................................................. 17
2.3.1. Устройства ................................................................................................................. 19
2.3.2. Угрозы ...................................................................................................................... 19
2.3.3. Рекомендации по дизайну .............................................................................................. 19
2.3.4. Альтернативы ............................................................................................................. 20
3. Модули корпоративной сети ................................................................................................. 22
4. Модуль сети Интернет......................................................................................................... 23
4.1. Интернет подключение .................................................................................................... 24
4.2. Межсетевой экран ........................................................................................................... 25
4.2.1. Устройства ................................................................................................................. 25
4.2.2. Рекомендации по дизайну .............................................................................................. 27
4.2.3. Альтернативы ............................................................................................................. 30
4.3. Система предотвращения вторжений (IPS) ........................................................................... 33
4.3.1. Устройства ................................................................................................................. 33
4.3.2. Рекомендации по дизайну .............................................................................................. 34
4.3.3. Альтернативы ............................................................................................................. 37
4.4. Удаленный доступ ........................................................................................................... 39
4.4.1. Устройства ................................................................................................................. 39
4.4.2. О криптографии в России .............................................................................................. 40
3
ЧИТАТЕЛЮ
ВВЕДЕНИЕ
ПРИМЕНЕНИЕ
1. ОСНОВЫ ДИЗАЙНА
Уровень доступа является точкой входа в сеть для пользователей и сетевых устройств
(принтеры, сканеры, ip-телефоны и т.д.). Доступ как проводной, так и беспроводной. В более
ранней литературе данный уровень называется “Модуль доступа”.
2.1.1. УСТРОЙСТВА
Устройства уровня доступа это, как правило, коммутаторы второго уровня (L2) модели
OSI, т.е. без функции маршрутизации. Коммутаторы осуществляют первичное сегментирование
сети (технология VLAN). Однако в некоторых случаях могут применяться и устройства третьего
10
2.1.2. УГРОЗЫ
Поскольку уровень доступа является входной точкой в сеть для клиентских устройств он
в первую очередь должен обеспечивать защиту самих пользователей, корпоративных ресурсов
и сеть от вредоносных атак со стороны подключаемых клиентов/устройств (в случае их
заражения всевозможными вирусами) или хакеров, получивших доступ в локальную сеть.
Уровень доступа включает в себя следующие технологии защиты:
DHCP-snooping - защищает пользователей от получения адреса от неизвестного DHCP-
сервера, а так же не позволяет злоумышленнику захватить все ip-адреса.
IP Source guard - защита от IP spoofing-а, т.е. от подмены IP-адреса источника.
Port security - устанавливается ограничение на кол-во MAC адресов поступающих на порт
коммутатора. Защищает от подмены MAC адреса и от атак, направленных на
переполнение таблицы коммутации.
Dynamic ARP inspection - защита от ARP spoofing-а, т.е. от перехвата трафика между
компьютерами.
Более подробное рассмотрение технологий атак и защиты от них, выходит за рамки
данного руководства.
В случае если планируется подключение к сети таких устройств, как ip-телефоны, ip-
видеокамеры или беспроводные точки доступа, будет разумным использовать коммутаторы с
поддержкой технологии PoE (Power over Ethernet). Это существенно упростит и удешевит
внедрение вышеуказанных устройств (исключается необходимость в дополнительном питании
от электросети).
Наиболее экономичным решением являются коммутаторы Catalyst серии 2960. Решение
на основе этих коммутаторов предоставляет самую низкую стоимость за порт (подключенного
пользователя, сервера или какого-либо другого устройства), при этом обеспечивает весь
необходимый функционал для уровня доступа (сегментирование сети, QoS, PoE, и т.д.).
Использование коммутаторов уровня доступа позволяет существенно снизить затраты на
подключение пользователей и серверов. В настоящий момент в линейке появилась новая, более
производительная и современная модель Cisco Catalyst 2960-X, стоимость которой сопоставима
со стоимостью предыдущей модели. При проектировании сетей будет уместным использование
новых коммутаторов. Коммутаторы серии 3560, 3750, 4500 и 4507 применяются гораздо реже и
только в том случае, когда покупка отдельного коммутатора для уровня доступа является
нецелесообразной (малое количество пользователей). Данные коммутаторы больше подходят
для уровня распределения.
В случае установки нескольких коммутаторов уровня доступа, расположенных в
непосредственной близости (в одном серверном шкафу) рекомендуется использовать
технологию стекирования (Рис. 2.3).
Данная технология позволяет объединять оборудование в единое целое. Стек из трех 24-
х портовых коммутаторов используется как одно устройство, имеющее 72 порта. Это
существенно облегчает управление и конфигурирование, а так же реализует дополнительную
отказоустойчивость. Однако следует отметить, что данное решение будет существенно дороже,
т.к требует приобретения дополнительных модулей стекирования для коммутаторов серии 2960-
S и 2960-X.
Каждый коммутатор уровня доступа должен подключаться к коммутаторам уровня
распределения по агрегированному каналу (об этом чуть позже).
Коммутаторы уровня доступа должны располагаться не более чем в 90 метрах от
пользователей (коммутационный шкаф или серверная комната) для их подключения по
витой паре.
Если устройства уровня доступа находятся на расстоянии более чем 100 м от
коммутаторов уровня распределения, то используется оптоволоконное соединение. Это
стоит учитывать при проектировании и закладывать коммутаторы с поддержкой
оптоволоконных подключений (технология SFP, SFP+).
2.1.4. АЛЬТЕРНАТИВЫ
2.2.1. УСТРОЙСТВА
Устройства уровня распределения это, как правило, коммутаторы третьего уровня (L3)
модели OSI. Коммутаторы осуществляют маршрутизацию трафика между сегментами сети
(между различными VLAN), а так же реализуют систему безопасности и сетевые политики
(контроль доступа).
Оборудование которое может применяться в качестве уровня распределения:
Cisco Catalyst 6500 E-Series 6-Slot Chassis
Cisco Catalyst 6500 VSS Supervisor 2T with 2 ports 10GbE and PFC4
Cisco Catalyst 6500 16-port 10GbE Fiber Module w/DFC4
Cisco Catalyst 6500 24-port GbE SFP Fiber Module w/DFC4
Cisco Catalyst 6500 4-port 40GbE/16-port 10GbE Fiber Module w/DFC4
Cisco Catalyst 6500 4-port 10GbE SFP+ adapter for WX-X6904-40G module
14
2.2.2. УГРОЗЫ
2.2.4. АЛЬТЕРНАТИВЫ
2.3.1. УСТРОЙСТВА
2.3.2. УГРОЗЫ
Важно понимать, что объединение в единую сеть нескольких зданий возможно только с
использованием контролируемой зоны. Под контролируемой зоной понимается собственный
20
канал передачи данных (оптический канал, медный и т.д.). Т.е. если между двух зданий
соединение осуществляется по специальному выделенному каналу (который находится в
контролируемой зоне) то в этом случае можно организовывать Уровень ядра. Если же два здание
соединены по средствам Интернет канала, то в этом случае стоит применять специальный для
этого модуль - либо модуль Интернет (Internet Edge) либо модуль сети WAN (WAN area), о
которых мы поговорим позже.
К уровню ядра подключаются все модули сети (все коммутаторы уровня распределения).
В общем виде схема подключения представлена на рисунке 2.12.
2.3.4. АЛЬТЕРНАТИВЫ
сети (в маленьких сетях уровень ядра обычно отсутствует или же интегрирован с уровнем
распределения). Поэтому при выборе оборудования стоит обращать внимание на технологии
организации отказоустойчивости, резервирования питания. Лидерами среди коммутаторов
уровня ядра являются компании: Cisco, Juniper, HP, Brocade, Extreme Networks. Однако есть и
более дешевые решения уровня ядра от компании D-Link.
Модуль сети Интернет это точка, где локальная корпоративная сеть подключается к
глобальной сети Интернет. Это, так называемый периметр сети, граница между публичной сетью
и приватными ресурсами организации. Именно на этой границе должен находиться межсетевой
экран. Сети, подключенные к Интернет, постоянно подвержены угрозам в виде вирусов, червей,
троянских программ, направленных атак. Организации должны обеспечивать должный уровень
защищенности персональных данных и информации о клиентах.
Межсетевой экран является одним из главных блоков в защите корпоративной сети. МЭ
осуществляет контроль доступа между различными сегментами сети (сегмент Интернет, сегмент
Пользователей, сегмент Бухгалтерии, сегмент Серверов и т.д.), а так же фильтрует
нежелательный и вредоносный трафик. Межсетевой экран в большей степени предназначен для
защиты от проникновения угроз в локальную сеть из вне. В большинстве организаций МЭ
дополнительно реализует такие сервисы как NAT и удаленный доступ по VPN.
4.2.1. УСТРОЙСТВА
На момент написания книги серия межсетевых экранов Cisco ASA 5500 уже была объявлена
как end of life, т.е. устройства уже не производятся, а 2018 год объявлен как последний год
технической поддержки. Поэтому при выборе устройств стоит обратить внимание на новую
линейку Cisco ASA 5500-X. Это более производительная и современная серия межсетевых
экранов.
26
В таблице 4.2 приводится путь перехода на новую серию Cisco ASA 5500-X.
Таблица 4.2. Примерные эквиваленты межсетевых экранов
Устройство ASA 5500 Эквивалентное устройство ASA 5500-X
ASA 5510 Security Plus license ASA 5515 или ASA 5512 Security Plus license
При проектировании Модуля сети Интернет выбор устройств основывается прежде всего
на требуемой производительности. Мы должны учитывать следующие факторы:
Ширину канала сети Интернет;
Кол-во серверов находящихся в DMZ и требуемую для них пропускную способность сети
для комфортной работы пользователей;
Кол-во VPN подключений - удаленный доступ (RA VPN)
Ширину канала мы рассмотрели ранее в таблице 4.1. Рассматривая необходимую
пропускную способность для DMZ серверов стоит учитывать:
Трафик идущий из сети Интернет;
Трафик идущий из локальной сети от пользователей, которым требуются сервисы
предоставляемые DMZ серверами (Web сервер, ftp сервер, Email сервер и т.д.).
В таблице 4.3 представлена пропускная способность устройств для “реального трафика”
(похожий на обычный пользовательский трафик организаций).
Таблица 4.3. Пропускная способность межсетевых экранов
Модель Cisco ASA Пропускная способность реального трафика
Согласно документации Cisco SBA в дизайн Модуля сети Интернет должны входить
следующие компоненты:
Маршрутизатор;
Outside коммутаторы в отказоустойчивом исполнении (отказоустойчивость реализуется с
использованием технологии стекирования либо с помощью традиционной избыточной
модели);
Межсетевые экраны с функцией IPS в отказоустойчивом исполнении (отказоустойчивость
реализуется с помощью active/active failover либо active/standby failover);
28
В случае большого кол-ва VPN подключений (RA VPN) можно выделить отдельные МЭ для
данной задачи. Так же возможно подключение двух Интернет провайдеров для дополнительной
отказоустойчивости.
29
4.2.3. АЛЬТЕРНАТИВЫ
На рисунке 4.8 представлен отчет за 2013 год по продажам средств сетевой безопасности
в России.
32
Рис. 4.8. Отчет за 2013 год по продажам средств сетевой безопасности в России.
4.3.1. УСТРОЙСТВА
Как было сказано ранее, в новой серии ASA 5500-X функционал IPS активируется с
помощью лицензии, при этом не требуется установка дополнительного аппаратного модуля (в
старой серии были необходимы модули AIP-SSM).
МЭ с уже активированной функцией IPS:
Cisco ASA 5545-X IPS Edition - security appliance (ASA5545-IPS-K9)
Cisco ASA 5525-X IPS Edition - security appliance (ASA5525-IPS-K9)
Cisco ASA 5515-X IPS Edition - security appliance (ASA5515-IPS-K9)
Cisco ASA 5512-X IPS Edition - security appliance (ASA5512-IPS-K9)
Cisco ASA5512-X Security Plus license (ASA5512-SEC-PL)
Либо вы можете выбрать отдельно стоящие IPS устройства:
Cisco IPS 4520 (IPS-4520-K9)
Cisco IPS 4510 (IPS-4510-K9)
Cisco IPS 4360 (IPS-4360-K9)
Cisco IPS 4345 (IPS-4345-K9)
Следует учитывать, что в данном случае при отказе IPS весь трафик до DMZ серверов
прерывается. Если такая ситуация недопустима, то необходимо подбирать систему
предотвращения вторжений с поддержкой функции hardware bypass, которая позволяет
пропускать трафик даже через выключенное устройство.
На рисунке 4.11 представлен порядок обработки трафика в межсетевом экране с
включенной функцией IPS в inline режиме.
36
Так же IDS не видит одно-пакетные атаки (slammer worm over User Datagram Protocol). Для
блокировки требуется стороннее устройство (Cisco ASA, Cisco Router, Cisco Catalyst 6500).
Фактически в данном режиме IDS “слушает” сеть на предмет аномальной и вредоносной
активности и в случае обнаружения создает оповещение, делает запрос на блокировку
подозрительного устройства (к примеру если с компьютера пользователя осуществляется
сканирование сети) либо прерывает сессию по средствам функции tcp reset. Данный режим
больше подходит для сегмента пользователей и предполагает установку standalone устройства
(Distribution IDS), которое подключается к коммутатору уровня распределения.
4.3.3. АЛЬТЕРНАТИВЫ
4.4.1. УСТРОЙСТВА
Все межсетевые экраны Cisco ASA серии 5500-X поддерживают технологии удаленного
подключения (Remoute Access VPN), а именно:
1. Client SSL/IPSec IKEv2 VPN - удаленное подключение с использованием клиента Cisco
AnyConnect. Может интегрировать с Cisco Secure Desktop и Cisco Cloud Web Security.
2. Clientless SSL VPN - бесклиентный VPN. Пользователь подключается через браузер к WEB
порталу.
3. Тонкий клиент для браузера. Как правило это плагин для браузера, который пробрасывает
порты к установленным приложениям. Используется довольно редко.
Клиент Cisco AnyConnect рекомендуется как наиболее функциональное решение,
позволяющее реализовать полный доступ к корпоративным ресурсам.
Как упоминалось выше, любое устройство Cisco ASA из серии 5500-X позволяет
организовать защищенный удаленный доступ. Для примера рассмотрим самое экономичное
решение для организации удаленного доступа:
ASA5512-K9 ASA 5512-X with SW, 6GE Data, 1GE Mgmt, AC, 3DES/AES - $ 3,995.00
CON-SNT-A12K9 SMARTNET 8X5XNBD ASA 5512-X with SW, 12 Month(s) - $ 550.85
SF-ASA-X-9.1-K8 ASA 9.1 Software image for ASA 5500-X Series,5585-X & ASA-SM - $ 0.00
ASA-AC-E-5512 AnyConnect Essentials VPN License - ASA 5512-X (250 Users) - $ 150.00
ASA-AC-M-5512 AnyConnect Mobile - ASA 5512-X (req. Essentials or Premium) - $ 150.00
CAB-ACE AC Power Cord (Europe), C13, CEE 7, 1.5M - $ 0.00
ASA-VPN-CLNT-K9 Cisco VPN Client Software (Windows, Solaris, Linux, Mac) - $ 0.00
ASA5500-ENCR-K9 ASA 5500 Strong Encryption License (3DES/AES) - $ 0.00
ASA-ANYCONN-CSD-K9 AnyConnect Client + Cisco Security Desktop Software - $ 0.00
ASA5512-MB ASA 5512 IPS Part Number with which PCB Serial is associated - $ 0.00
Общее: $ 4,845.85 (цены указаны по GPL прайсу на 06.08.2014)
Где AnyConnect Essentials VPN License - дополнительные лицензии для 250 удаленных
пользователей AnyConnect. Так же в спецификацию включена лицензия AnyConnect Mobile,
позволяющая подключения с мобильных устройств.
Существует два вида лицензий, необходимых для использования Cisco AnyConnect:
AnyConnect Essential и AnyConnect Premium. Не вдаваясь в подробности, различия между ними
представлены на рисунке 14.
40
Все передаваемые данные через VPN подключение - шифруются. Для этого используются
криптографические алгоритмы шифрования. Здесь хотелось бы сделать небольшое отступление
и отметить некоторые факты об использовании “сильной криптографии” в России.
Под понятием “сильная криптография” подразумеваются симметричные алгоритмы
шифрования с длиной ключа более 56 бит, например 3des/aes. Использование подобных
алгоритмов для шифрования передаваемых данных на территории Российской Федерации без
специальной лицензии ФСБ - запрещено. Однако могут использоваться для управления
оборудованием (SSH).
Практически все западные средства защиты информации поставляются с встроенной
“сильной криптографией” на западных алгоритмах шифрования 3des, aes и т.д. Такие решения
должны ввозиться по лицензии Минпромторга России, которая выдается Центром по
лицензированию (т.е. ФСБ) в соответствии с существующим законодательством. Для не
государственной организации вероятность получить подобною лицензию довольно велика.
Однако, как правило это не делается и фактически происходит контрабанда.
В этом плане компания Cisco предоставляет выбор для поставляемого оборудования.
Существует три вида прошивок для сетевого оборудования Cisco:
1. K7 - говорит нам о наличии NPE прошивки. Т.е. нет шифрования передаваемых данных,
есть шифрование только управляющего трафика (SSH, SSL, HTTPS и SNMPv3). Данное
оборудование можно завозить без каких-либо дополнительных разрешений (категория
C2).
41
4.4.4. АЛЬТЕРНАТИВЫ
4.5.1. УСТРОЙСТВА
В 2007 года компания Cisco поглотила компанию IronPort после чего устройства
обеспечивающие безопасность электронной почты стали выпускаться под названием Cisco ESA.
Прежде чем выбирать устройство необходимо знать следующие параметры:
1. Кол-во почтовых ящиков
2. Среднее кол-во почтовых сообщений за 24 часа
3. Пиковое значение кол-ва почтовых сообщений
4. А так же необходимый функционал (антивирус, антиспам, шифрование и т.д.)
Компания Cisco предоставляет следующие рекомендации по выбору оборудования Cisco
ESA:
46
Устройство может быть подключено используя один интерфейс как для входящей почты,
так и для исходящей. В случае подключения двумя интерфейсами, один используется для
входящей почты, второй - для исходящей. Для простоты мы рассмотрим вариант с одним
интерфейсом.
Cisco ESA работает как Mail Transfer Agent (MTA) или, как его еще называют, mail relay.
Т.е. ESA выступает в качестве посредника между корпоративным почтовым сервером и сетью
Интернет. Публичная MX запись (DNS запись определяющая куда посылать письмо) указывает
на публичный IP адрес Cisco ESA. На рисунке 4.23 представлен алгоритм обработки входящего
письма.
48
4.5.3. АЛЬТЕРНАТИВЫ
4.6. ВЕБ-ЗАЩИТА
Cisco Web Security Appliance (WSA) объединяет в себе все функции необходимые для
обеспечения веб-защиты: контроль использования интернет ресурсов на основе категорий и
репутации, фильтрация вредоносного ПО и защита данных.
51
4.6.1. УСТРОЙСТВА
В 2007 года компания Cisco поглотила компанию IronPort после чего устройства
обеспечивающие безопасность веб-доступа стали выпускаться под названием Cisco WSA.
Устройства Cisco WSA по своей сути являются web proxy. Существует два режима
использования web proxy:
1. Явный (explicit) - данные режим подразумевает настройку клиентских приложений
(например веб-браузер) на использование HTTP прокси сервера. В этом случае
пользователь напрямую обращается к web proxy, т.е. к Cisco WSA. Однако, используя
явный режим, администратору приходится настраивать все клиентские компьютеры на
использование прокси сервера. При наличии сервера Microsoft Active Directory все
компьютеры, входящие в домен организации, могут быть настроены автоматически по
средствам групповых политик. Но следует учесть, что далеко не все программное
обеспечение поддерживает настройку явного прокси сервера.
2. Прозрачный (transparent) - не требует какой либо настройки на клиентских компьютерах.
Перенаправление пользовательского web трафика на Cisco WSA осуществляет межсетевой
экран (либо маршрутизатор) по средствам использования протокола Web Cache
Communication Protocol (WCCP).
Возможно одновременное использование обоих режимов. В данном руководстве мы
рассмотрим второй - прозрачный (transparent).
Cisco Web Security Appliance подключается одним интерфейсом к тому же коммутатору
уровня распределения (либо это может быть collapsed core) что и Cisco ASA и находится в том
же VLAN что и inside интерфейс межсетевого экрана.
4.6.3. АЛЬТЕРНАТИВЫ
Не следует забывать о производительности. При активации всех средств защиты (FW, IPS,
VPN, Proxy, Antispam и т.д.) производительность любого UTM решения уменьшается в десятки
раз. В этом плане традиционная модель с использованием автономных устройств является более
привлекательной, к примеру, загруженный IPS никаким образом не повлияет на
производительность межсетевого экрана.
Учитывая описанные плюсы и минусы UTM решений может возникнуть вопрос
относительно области применения. Традиционно считается, что устройства данного класса
подходят для малых и средних организаций, а так же для филиалов крупных компаний. Однако
в последнее время заметна тенденция использования многофункциональных устройств и в
сегменте крупных компаний, головных офисов, гос. учреждений. Связано это в первую очередь
с желанием унифицировать применяемые решения, а так же значительно упростить сетевую
топологию, ведь при использовании многофункциональных систем отпадает необходимость в
сложной физической коммутации между устройствами защиты, вся обработка трафика
происходит в одной “коробке”.
Резюмируя все выше сказанное можно с уверенностью сказать, что рынок UTM устройств
в России весьма популярен и эта популярность будет только расти. Есть все основания полагать,
что многофункциональные системы со временем полностью вытеснят традиционные
мультивендорные решения, ведь их появление является своего рода эволюцией в мире
информационной безопасности.
58
Прежде всего необходимо понять, что такое WAN. Если перевести дословно Wide Area
Network - глобальная сеть. Говоря простым языком, WAN это объединение нескольких локальных
сетей, географически разнесенных. Одним из примеров WAN сети является Internet,
объединяющий множество мелких сетей.
Большинство современных организаций имеют удаленные офисы, которые могут
находиться в других городах, странах и материках. При этом большинство информационных
ресурсов, необходимых для повседневных бизнес процессов, располагаются в головном офисе.
Удаленные площадки должны так же иметь к ним доступ, т.к. установка отдельных серверов в
каждом офисе не целесообразна ни экономически, ни логически. Таким образом возникает
необходимость в организации канала передачи данных между удаленным и головным офисом.
Естественно, что данное подключение должно быть защищенным, т.к. передаваемая
информация может являться конфиденциальной.
Существует несколько основных технологий организации WAN сетей:
1. MPLS WAN
2. Layer 2 WAN
3. Internet with VPN WAN
4. Internet 3G/4G with VPN WAN
Мы не будем подробно рассматривать все технологии, т.к. каждая из них заслуживает
отдельного руководства. Кратко рассмотрим способ Internet with VPN WAN в виду его простоты
и быстроты развертывания.
5.1. УСТРОЙСТВА
Головной офис (Head Office) имеет все необходимые средства защиты в модуле Internet
Edge (о его компонентах и дизайне мы говорили ранее):
1. Cisco ASA 5512-X IPS Edition - Межсетевой экран с функцией IPS.
2. Cisco Email Security Appliance C170 (C170-BUN-R-NA) - Защита электронной почты.
3. Cisco Web Security Appliance S170 S170-BUN-R-NA - Веб защита.
Удаленный офис подключается к сети Интернет. В качестве маршрутизатора
устанавливается Cisco CISCO2911-SEC/K9 2911 Security Bundle with sec License Pak с функцией
межсетевого экрана. Интернет в удаленном офисе выступает в качестве транспортной сети и
используется для организации Site-to-Site VPN подключения до центрального узла.
В головном офисе для построения Site-to-Site VPN может использоваться как основной
межсетевой экран, так и дополнительно установленный VPN маршрутизатор (рис. 5.1), который
помещается в DMZ сегмент. Используя для этих целей межсетевой экран снижаются затраты. В
случае использования выделенного VPN маршутизатора повышается производительность и
масштабируемость. В качестве маршрутизатора может использоваться любое устройство
поддерживающее Site-to-Site IPSec VPN (CISCO2911, CISCO2921, CISCO2951 и т.д.).
Следует понимать разницу между Site-to-Site VPN и Remote Access VPN.
Remote Access VPN предназначен для временного защищенного доступа удаленного
пользователя к корпоративным ресурсам, при этом у пользователя должно быть установлено
специально программное обеспечение - vpn клиент (Cisco AnyConnect). Соединение может
инициировать только сам пользователь.
Site-to-Site VPN предназначен для организации постоянного двустороннего канала между
двумя объектами (Рис. 5.2.). При этом пользователи не нуждаются в установке дополнительного
ПО.
60
5.3. АЛЬТЕРНАТИВЫ
Что касается бесплатных средств, то здесь как всегда существует большое кол-во
opensource решений. Один из наиболее известных представителей - OpenVPN. Это свободная,
кросплатформенная реализация VPN сервера с открытм исходным кодом. Данное ПО активно
развивается. В качестве аппаратной платформы можно выбрать стоечный сервер (hp, dell, ibm
и т.д.), обычный desktop или же виртуальную машину. Располагается VPN сервер как правило в
DMZ и имеет публичный (белый) ip-адрес.
62
6. СЕРВЕРНЫЙ МОДУЛЬ
Серверный модуль - это последний модуль который будет рассмотрен в рамках данного
руководства. Тема построения датацентра заслуживает отдельного подробного руководства,
автор же постарается описать основные принципы построения сетевой инфраструктуры для
подключения корпоративных серверов малых и средних организаций (до 1 000 человек).
На данный момент существует три подхода при построения серверной инфраструктуры:
1. Использование физических серверов. Практически для каждого сервиса используется
отдельный “железный” сервер. Иногда некоторые сервисы объединяют в рамках одного
сервера (AD+DNS+NTP+DHCP и т.д.).
2. Использование виртуальных серверов. Создаются виртуальные машины на сервере
виртуализации. В качестве платформы виртуализации может выступать один
высокопроизводительный сервер, либо несколько, которые объединяются в один ресурс
вычислительной мощности.
3. Гибридный подход. Используются как виртуальные так и физические сервера.
На тему преимуществ виртуализации перед традиционным подходом написано не мало
статей и книг. Экономия электроэнергии, снижение затрат на поддержку существующей
инфраструктуры, повышение коэффициента использования вычислительных ресурсов,
масштабируемость, скорость развертывания, упрощение администрирования - лишь немногие
преимущества виртуальных серверов. Согласно текущим тенденциям рынка виртуальные
решения полностью вытеснят физические сервера в ближайшие несколько лет.
6.1. УСТРОЙСТВА
Компания Cisco разработала замену встроенному коммутатору VMWare - Cisco Nexus 1000v.
Коммутатор Cisco Nexus 1000v доступен в двух версиях:
Рис. 6.3. Сравнение функций бесплатной и платной версии Cisco Nexus 1000v
Как видно из рисунка, все три виртуальные машины расположены в одном сегменте и
имеют ip-адреса из одной сети. Маршрутизируется данный сегмент на коммутаторе ядра или
коммутаторе уровня распределения. При данной топологии традиционные средства не
позволяют разграничивать доступ между виртуальными машинами. Для определения порядка
обработки трафика используется технология vPath, которая осуществляет инкапсуляцию
проходящих пакетов и перенаправляет трафик виртуальных машин в соответствии с
существующими политиками безопасности.
К примеру трафик между VM3 и VM2 разрешен без каких либо ограничений. Пакеты между
VM2 и VM1 должны сначала попасть на VSG и пройти пакетную фильтрацию. Трафик из “вне”
вынужден пройти межсетевой экран Cisco ASA 1000v, VSG и лишь затем попадет на VM3.
Соответствующие политики доступа формируются централизованно с помощью Cisco Virtual
Network Management Center (сейчас данный продукт известен как Cisco Prime Network Services
Controller). Следует отметить, что Cisco Prime Network Services Controller предоставляется
бесплатно для управления Nexus 1000v, VSG и ASA 1000v.
Используя технологию vPath мы получаем возможность маршрутизировать трафик в
виртуальной инфраструктуре на новом уровне.
Использование виртуального межсетевого экрана Cisco ASA 1000v позволяет оперативно
организовать защиту виртуальных машин не изменяя существующую топологию сети и не
требует больших финансовых вложений.
6.3. АЛЬТЕРНАТИВЫ
IPFire
Zentyal
и т.д.
Бесплатные системы предотвращения вторжений Snort и Suricata могут быть установлены
в качестве виртуальной машины.
Так же стоит обратить внимание на решение компании Mikrotik - RouterOS. Данная
операционная система может быть установлена в виртуальной инфраструктуре и выполнять
роль межсетевого экрана, прозрачного прокси сервера, vpn-концентратора и многое другое. Для
использования RouterOS требуется приобретение лицензии. Стоимость лицензии,
раскрывающей максимальный функционал, составляет порядка 5500 рублей.
Существуют альтернативы среди используемых гипервизоров. Компания VMWare имеет
несколько конкурентов, однако по прежнему сохраняет лидерство на рынке виртуализации. На
рис. 6.6. представлен магических квадрант Гартнера для инфраструктуры виртуализации x86
серверов.
Как видно из рисунка, VMWare с продуктом ESXi является лидером среди гипервизоров.
ESXi доступен в бесплатной версии с незначительными ограничениями и идеально подходит для
малого и среднего бизнеса. Платные версии обладают большим функционалом и внедряются в
крупных организациях.
Вторую позицию занимает компания Microsoft с продуктом Hyper-V. Фактически при
покупке Windows Server вы получаете бесплатно гипервизор Hyper-V. В случае если вы
приобретаете Windows Server Datacenter, то вы получаете возможность использования
неограниченного кол-ва виртуальных машин с Windows Serever.
70
7. ПРИМЕР
Quan- Selling
Product Description tity List Price ($) Price($)
ASA5512-IPS-K8 ASA 5512-X with IPS SW 6GE Data 1GE Mgmt AC DES 1 6495 6495
CON-SCIN-A12IPS8 SC IPS 8X5XNBD ASA 5512-X with IPS SW 6GE Data 1GE 1 861,35 861,35
ASA 9.1 Software image for ASA 5500-X Series5585-X & ASA-
SF-ASA-X-9.1-K8 SM 1 0 0
SF-ASAIPS64-7.1-K9 ASA 5500-X IPS Software 7.1 for IPS SSP 1 0 0
ASA-AC-E-5512 AnyConnect Essentials VPN License - ASA 5512-X (250 Users) 1 150 150
ASA5512-IPS-SSP ASA 5512-X IPS SSP License 1 0 0
ASA-AC-M-5512 AnyConnect Mobile - ASA 5512-X (req. Essentials or Premium) 1 150 150
CAB-ACE AC Power Cord (Europe) C13 CEE 7 1.5M 1 0 0
ASA5500-ENCR-K8 ASA 5500 Base Encryption Level (DES) 1 0 0
ASA5512-MB ASA 5512 IPS Part Number with which PCB Serial is associated 1 0 0
ESA-C170-K9 ESA C170 Email Security Appliance with Software 1 3950 3950
SMARTNET 8X5XNBD ESA C170 Email Security Appliance
CON-SNT-C170-K9 with SW 1 272,55 272,55
CAB-ACE AC Power Cord (Europe) C13 CEE 7 1.5M 1 0 0
SF-ESA-7.5.2-K9 ESA Async OS v7.5.2 1 0 0
CCS-HD-250GB- Content Sec 250 GB HD for ESA C170 SMA M170 WSA S170 2 0 0
IPS-4345-K9 IPS 4345 with SW 8 GE data + 1 GE mgmt AC Power 1 39995 39995
CON-SCIN-IPS4345 SC IPS 8X5XNBD IPS 4345 with SW 8 1 11958,85 11958,85
SF-IPS-4300-7.1-K9 IPS 4345 and 4360 Software Version 7.1 1 0 0
CAB-ACE AC Power Cord (Europe) C13 CEE 7 1.5M 1 0 0
WSA-WSE-LIC= Web Essentials SW Bundle (WREP+WUC) Licenses 100 0 0
WSA-WSE-3Y-S1 Web Essentials SW Bundle (WREP+WUC) 3YR 100-199 Users 100 72,59 7259
L-N1K-VLCPU-04= Nexus 1000V Adv Ed eDelivery Multi-Hypervisor License Qty4 1 2775 2775
CON-SCU1-VLCPU4 SC CORE SUP SAU Nexus 1000V eDelivery 1 0 0
L-N1K-VLCPU-01 Nexus 1000V Adv Ed eDelivery Multi-Hypervisor License Qty1 4 0 0
CON-SCU1-L-VLCPU SC CORE SUP SAU Nexus 1000V eDelivery 4 174 696
L-VSG-VL-CPU-01 VSG eDelivery CPU License Qty 1 4 0 0
L-VSG-VL-CPU-04 VSG eDelivery CPU License Qty 4 1 0 0
L-ASA1000V-04-PR= 4 ASA1000V / VNMC incremental promo licenses (eDelivery) 1 7945 7945
CON-SAU-A1V4PR SW APP SUPP + UPGR 4 ASA 1000V / VNMC i 1 1589 1589
L-ASA1000V-CPU-01 ASA 1000V K9 license for securing 1 CPU socket (eDelivery) 4 0 0
L-VNMC2X-ASA1K-01 VNMC 2.X ASA1000V management one CPU eDelivery 4 0 0
Итого: $108,791.20
ЗАКЛЮЧЕНИЕ
Как было написано в самом начале, данное руководство не является абсолютной истиной
и носит лишь рекомендательный характер. Все описанные решения основаны на личном опыте
автора, с учетом лучших практик от компании Cisco (Cisco SAFE, Cisco SBA).
В следующих версиях данного руководства планируется осветить такие темы как:
SIEM – системы;
Мониторинг информационно-вычислительной сети;
Централизованное управление сетевой инфраструктурой;
Построение сети в виртуальной инфраструктуре;
Актуализация ранее освещенных решений.
Автор искренне надеется, что данное руководство помогло читателям в структурировании
полученных и уже известных знаний в области сетевых технологий.