Обычно в течение дня студенты и профессорско-преподавательский состав работают в различных аудиториях на всей территории университетского городка. Ограничение физического доступа к сети несколькими точками подключения является не самым лучшим решением в подобном окружении – сеть должна быть мобильной. Многие годы основная задача сетевой безопасности на территории школ и университетов заключалась в том, чтобы защитить сеть от внешних угроз, например, от атак хакеров. Однако в действительности же, в результате роста числа мобильных компьютеров и повышения популярности устройств с поддержкой Ethernet, количество серьезных сетевых атак, порождаемых внутри сети, уже превышает число внешних угроз. Студенты, преподаватели и просто посетители могут свободно перемещаться по территории университета, и отследить действия всех этих пользователей не представляется возможным. Преподаватели должны иметь доступ к определенным сетевым ресурсам, например, доступ к некоторым сетевым дискам, на которых могут храниться оценки учащихся или какая-либо конфиденциальная информация. В то же время, студенты представляют постоянную угрозу для сетевой безопасности, в силу того, что они обладают достаточными знаниями, временем для подобных экспериментов, а, зачастую, и склонностью испытать на прочность локальные системы сетевой безопасности.
Как защитить сеть, обеспечив при этом высокую гибкость?
При подключении к сети в учебных аудиториях профессорско-преподавательский состав и административные работники должны получать доступ к учебным материалам и расписанию, и иметь возможность не только просматривать информацию, но и изменять ее. При этом доступ к части тех же учебных материалов необходимо обеспечить и студентам.
Один из способов добиться этого – это создать отдельные виртуальные локальные сети (VLAN) для "администрации" и для "учеников".
Виртуальная локальная сеть обладает теми же атрибутами, что и физическая локальная сеть, но при этом она позволяет группировать компьютеры пользователей, даже если они подключены к разным сетевым коммутаторам (и находятся в разных подсетях). Вместо физического перемещения устройств реконфигурация сети происходит на программном уровне.
Ко всем этим компьютерам предъявляются одинаковые требования с точки зрения безопасности, и при этом они могут взаимодействовать друг с другом, как если бы были подключены в один сегмент сети (broadcast domain), вне зависимости от точки их физического подключения. Виртуальная сеть для преподавателей и административных работников может быть защищена с помощью механизмов Stateful Packet Inspection, что позволит предотвратить несанкционированный доступ к конфиденциальным данным, например, к экзаменационным документам. Доступ к этим материалам должен осуществляться исключительно по имени пользователя и паролю, поэтому ученики не смогут свободно обращаться к административным ресурсам. Однако такой подход подразумевает необходимость в приложении, которое бы разграничивало локальную сеть на публичную и защищенную зоны, и предоставляло некоторым пользователям доступ к некоторым ресурсам в защищенной зоне.
На рисунке выше представлена структура идеальной сети для учебных заведений, обеспечивающая оптимальный уровень безопасности. В этой сети коммутатор объединяет две виртуальных локальных сети – ученическую и административную; кроме того, к нему подключен сервер аутентификации. Этот сервер, в зависимости от прав доступа пользователя, обеспечивает подключенным хостам доступ либо к учебной, либо к административной виртуальной локальной сети. Кроме того, коммутатор выступает в роли DHCP сервера (Dynamic Host Configuration Protocol) и присваивает подключающимся хостам IP адреса из соответствующего диапазона административной или учебной виртуальной локальной сети.
Компания Allied Telesis уже имеет опыт успешной реализации подобного проекта для обеспечения высокого уровня безопасности и гибкости в наиболее типичных учебных сетях.
Физически решение состоит из периферийных коммутаторов второго уровня, подключенных по оптоволокну к модульному коммутатору третьего уровня опорной сети. Основное преимущество подобного решения заключается в функциях, выполняемых этими коммутаторами. В частности, выполнение ключевых требований по одновременному обеспечению гибкости и безопасности достигаются за счет возможности аутентификации по протоколу 802.1x.
Аутентификация по протоколу 802.1x и динамическое создание виртуальных локальных сетей VLAN поможет предотвратить несанкционированный доступ в сеть, но при этом по-прежнему будут обеспечивать пользователям гибкий мобильный доступ к ресурсам сети, вне зависимости от того, где они физически к ней подключились. Благодаря аутентификации по протоколу 802.1x пользователи не смогут отправить даже пакет данных в сеть без предоставления корректных реквизитов для аутентификации. В то же время, благодаря динамическому созданию локальных сетей пользователи, успешно прошедшие аутентификацию, попадают в надлежащую виртуальную сеть, в зависимости от настройки своей учетной записи. Таким образом, пользователи попадают в "родное" сетевое окружение вне зависимости от точки физического подключения.
Еще одним немаловажным элементом решения является аппаратная фильтрация трафика, что позволяет гарантировать отсутствие утечки трафика между различными IP подсетями, без снижения пропускной способности сети.
Подводим итог
В последнее время школы и университеты все чаще используют в своих учебных процессах компьютерные сети. При этом для них жизненно необходимо обеспечить высокую пропускную способность сети, надежность, масштабируемость, а также гибкость и безопасность. Специфика защиты компьютерной сети в учебном окружении значительно отличается от специфики защиты корпоративной сети, поскольку обычно студенты не сидят на одном месте, а пользуются различными компьютерами, и вместе с тем и различными USB устройствами. Если при изначальном проектировании сети учитывать подобную специфику, и принимать соответствующие меры предосторожности, то, как правило, сеть будет оставаться защищенной как от внутренних, так и от внешних угроз.
© Галактика, 2008
© Издание 12NEWS (ИП Маринин А.Л.), 2008