В современных условиях, когда крупные компании имеют множество различных филиалов и пользователей, не имеющих возможности прямого подключения к локальной сети предприятия, возникает проблема объединения филиалов в единую защищенную сеть.
Существует несколько способов решения этой проблемы: построение отдельного канала, аренда существующего канала у провайдера, установка специализированного оборудования и организация защищенного канала посредством Internet.
Построение отдельного канала применяется в тех случаях, когда возникает необходимость проложить канал между зданиями на предприятии с большой территорией. Также собственный канал используют провайдеры, у которых нет возможности арендовать канал у более крупных провайдеров. Шифрование в таком случае не нужно, так как канал не выходит за пределы территории одного предприятия. Этот способ организации подключения филиалов не всегда реализуем на практике из-за сложности монтажа кабельных систем и часто заменяется на другой: аренду канала у провайдера.
Аренда канала у провайдера является одним из самых оптимальных вариантов для объединения филиалов в разных городах. Провайдер гарантирует характеристики канала в некоторых пределах: пропускную способность, время отклика, доступность, джиттер (нежелательные фазовые и частотные случайные отклонения передаваемого сигнала). Однако данный способ может быть недоступен для небольших компаний из-за своей дороговизны.
При установке специализированного оборудования и организации VPN через Internet появляется несколько преимуществ: гибкая настройка сетевых устройств и более низкая цена по сравнению с арендой канала у провайдера. К тому же, может быть включено шифрование. С другой стороны имеется ряд недостатков: ручная настройка устройств в большинстве решений, постоянная поддержка и обновление программного обеспечения на всех устройствах, смена сертификатов. Для этого требуются квалифицированные сотрудники. Из-за совмещения функций приходится закупать более мощные устройства в филиалы, что сильно снижает общую производительность. Помимо этого, при организации VPN через Интернет не обеспечиваются постоянные характеристики канала, такие как: пропускная способность, время отклика, доступность.
Ввиду выявленных выше недостатков предлагается оптимальный способ защищенного соединения — подключение всех рабочих мест в филиалах к удаленному серверу, называемому «облаком». [1]
Рис. 1. Объединение нескольких подсетей с помощью Internet
Рис. 2. Объединение нескольких подсетей с использованием облачных технологий
Хранение и обработка данных в сети Интернет за счет ресурсов удаленных серверов, получивших название «облачных» сервисов, приобретают все большую популярность в отрасли безопасности. С одной стороны, вынос устройств записи/обработки данных, а также функций управления системами за пределы определенной территории позволяет клиенту сэкономить на приобретении аппаратных и программных средств, образующих систему безопасности, а также избежать лишних расходов на содержание персонала. С другой — острая конкуренция среди поставщиков облачных сервисов приводит к достаточно выгодным ценам на услуги. [2]
На рисунке 1 показан один из способов объединения нескольких подсетей филиалов в одну большую сеть с помощью Internet. Суть его такова: существует центральный офис, в котором находится центр обработки и хранения данных. К нему, при помощи маршрутизаторов, поддерживающих соединение через VPN, подключаются все отдельные подсети филиалов. Филиалы представляют собой офисы компании в разных городах. Они включают в себя также и отдельных пользователей — сотрудников компании, которые работают удаленно.
На рисунке 2 представлен способ объединения сетей с использованием облачных технологий. В этом случае компьютерные сети филиалов подключаются не к центральному офису, а к «облаку» с помощью маршрутизаторов, поддерживающих соединение VPN. Такой способ объединения сетей является простым и надежным. Простота заключается в выносе сетевых устройств и настроек их взаимодействия с устройствами из других филиалов за пределы определенной территории. Вся настройка защищенного канала и его мониторинг осуществляется из «облака». Все обновления, параметры самих туннелей, распространение сертификатов осуществляются автоматически облаком без участия пользователя. Появляется возможность экономить на найме квалифицированных сотрудников и на приобретении аппаратных и программных средств. Надежность заключается в обеспечении безопасного соединения с предоставлением таких дополнительных функций, как: Firewall, Intrusion Prevention System, Antivirus. В указанном случае не происходит перегрузка процессоров устройств в филиалах, что тоже является немаловажным преимуществом. Вместе с тем, удаленный сервер может гарантировать отдельным пользователям безопасное посещение различных веб-ресурсов в сети, а также служить WAN-акселератором за счет сжатия любого трафика.
В США такие услуги уже существуют: решение для серьезного среднего бизнеса — Meraki от Cisco, решение для мелкого бизнеса — ElephantVPN, а также MyVPNCloud.
Достоинствами облачного способа организации VPN для объединения сетей являются простота эксплуатации, низкая стоимость, отсутствие крупных вложений на первоначальном этапе, дополнительные услуги защиты по требованию без необходимости замены оборудования в филиалах, увеличение пропускной способности за счет сжатия.
Также существуют недостатки такого способа организации: нет гарантий характеристик канала, так как существует зависимость от Интернет-провайдера, а также данные услуги пока не предоставляются в России.
Компанией, предоставляющей данные услуги, также производится подбор оборудования для организации виртуальной частной сети, которое удовлетворяло бы следующим требованиям: возможность фильтрации сетевого трафика внутри vpn-туннеля (эта функция реализована далеко не во всех шлюзах), поддержка управления качеством Quality of Service (очень полезна при передаче голосового трафика между сетями), а также простота эксплуатации, низкая стоимость и высокая надежность.
Существует два варианта подбора устройств. Первый — это закупка универсального сетевого оборудования со стандартным набором функций. Второй вариант — это закупка оборудования с минимальными необходимыми системными требованиями и переустановка на них встроенного программного обеспечения таким образом, чтобы можно было выбрать нужные функции для оптимального решения поставленной задачи — объединения сетей филиалов между собой через защищенный канал.
Покупка оборудования со стандартным набором функций имеет следующее преимущество: имеется возможность использовать оборудование для многих целей, касающихся не только соединения нескольких сетей через защищенный канал. Например, такие устройства могут выступать в роли беспроводной точки доступа. Однако данный способ не всегда оправдан для организации связи между филиалами, так как для этого используются далеко не все реализованные в оборудовании функции, но часто за них приходится переплачивать.
Достоинством второго способа является возможность выбора только тех функций, которые необходимы для решения конкретно поставленной задачи — объединения сетей филиалов через защищенный канал, и отключения лишних функций в устройствах. Это существенно повышает производительность маршрутизаторов. К недостаткам можно отнести невозможность дальнейшего использования оборудования для других целей.
В дальнейшем будет разработан подход по организации защищенного канала между офисами предприятия и «облаком» на основе VPN. Для этого будет рассмотрен перечень устройств с минимальными системными требованиями для организации виртуальной частной сети и встроенное программное обеспечение, которое эти устройства поддерживают, а также будет показана реализация данного подхода.
Актуальность данной работы заключается в том, что в современных условиях большинство решений в сфере информационных технологий и телекоммуникаций переносятся в «облачные» сервисы. Внутри организации требуется настроить только сетевое оборудование для доступа к «облаку». Тем самым существенно упрощается администрирования сети компании, сокращаются расходы на привлечение высококвалифицированных специалистов для организации сети и поддержания ее работоспособности в дальнейшем, а также на покупку дорогостоящего специализированного сетевого оборудования. Все настройки и управление защищенным каналом происходят на удаленном сервере, называемым «облаком».
Данный подход по организации и настройке защищенной канала можно будет применять в филиалах предприятий для создания защищенного канала между ними.
Литература:
1. Облачный способ организации VPN для объединения сетей: Статья. — [Электронный ресурс]. — Режим доступа: http:/ /habrahabr.ru/post/182700/.
2. Облака, белокрылые лошадки. Интернет-сервисы завоёвывают мир: Статья «Security Focus». – [Электронный ресурс]. — Режим доступа: http:/ /www.secnews.ru/articles/#axzz3eMv5QocM.
