MForum.ru
Школы и университеты ставят перед проектировщиками сетевых решений все новые и более сложные задачи. Ведь помимо обычных требований, предъявляемым пользователями к современным компьютерным сетям (высокая пропускная способность, надежность и масштабируемость), здесь остро встает вопрос, что предпочесть – безопасность, или гибкость.
Обычно в течение дня студенты и профессорско-преподавательский состав работают в различных аудиториях на всей территории университетского городка. Ограничение физического доступа к сети несколькими точками подключения является не самым лучшим решением в подобном окружении – сеть должна быть мобильной. Многие годы основная задача сетевой безопасности на территории школ и университетов заключалась в том, чтобы защитить сеть от внешних угроз, например, от атак хакеров. Однако в действительности же, в результате роста числа мобильных компьютеров и повышения популярности устройств с поддержкой Ethernet, количество серьезных сетевых атак, порождаемых внутри сети, уже превышает число внешних угроз. Студенты, преподаватели и просто посетители могут свободно перемещаться по территории университета, и отследить действия всех этих пользователей не представляется возможным. Преподаватели должны иметь доступ к определенным сетевым ресурсам, например, доступ к некоторым сетевым дискам, на которых могут храниться оценки учащихся или какая-либо конфиденциальная информация. В то же время, студенты представляют постоянную угрозу для сетевой безопасности, в силу того, что они обладают достаточными знаниями, временем для подобных экспериментов, а, зачастую, и склонностью испытать на прочность локальные системы сетевой безопасности.
Как защитить сеть, обеспечив при этом высокую гибкость?
При подключении к сети в учебных аудиториях профессорско-преподавательский состав и административные работники должны получать доступ к учебным материалам и расписанию, и иметь возможность не только просматривать информацию, но и изменять ее. При этом доступ к части тех же учебных материалов необходимо обеспечить и студентам.
Один из способов добиться этого – это создать отдельные виртуальные локальные сети (VLAN) для "администрации" и для "учеников". Вкладка: Виртуальная локальная сеть обладает теми же атрибутами, что и физическая локальная сеть, но при этом она позволяет группировать компьютеры пользователей, даже если они подключены к разным сетевым коммутаторам (и находятся в разных подсетях). Вместо физического перемещения устройств реконфигурация сети происходит на программном уровне.
Ко всем этим компьютерам предъявляются одинаковые требования с точки зрения безопасности, и при этом они могут взаимодействовать друг с другом, как если бы были подключены в один сегмент сети (broadcast domain), вне зависимости от точки их физического подключения. Виртуальная сеть для преподавателей и административных работников может быть защищена с помощью механизмов Stateful Packet Inspection, что позволит предотвратить несанкционированный доступ к конфиденциальным данным, например, к экзаменационным документам. Доступ к этим материалам должен осуществляться исключительно по имени пользователя и паролю, поэтому ученики не смогут свободно обращаться к административным ресурсам. Однако такой подход подразумевает необходимость в приложении, которое бы разграничивало локальную сеть на публичную и защищенную зоны, и предоставляло некоторым пользователям доступ к некоторым ресурсам в защищенной зоне.
На рисунке выше представлена структура идеальной сети для учебных заведений, обеспечивающая оптимальный уровень безопасности. В этой сети коммутатор объединяет две виртуальных локальных сети – ученическую и административную; кроме того, к нему подключен сервер аутентификации. Этот сервер, в зависимости от прав доступа пользователя, обеспечивает подключенным хостам доступ либо к учебной, либо к административной виртуальной локальной сети. Кроме того, коммутатор выступает в роли DHCP сервера (Dynamic Host Configuration Protocol) и присваивает подключающимся хостам IP адреса из соответствующего диапазона административной или учебной виртуальной локальной сети.
Компания Allied Telesis уже имеет опыт успешной реализации подобного проекта для обеспечения высокого уровня безопасности и гибкости в наиболее типичных учебных сетях.
Физически решение состоит из периферийных коммутаторов второго уровня, подключенных по оптоволокну к модульному коммутатору третьего уровня опорной сети. Основное преимущество подобного решения заключается в функциях, выполняемых этими коммутаторами. В частности, выполнение ключевых требований по одновременному обеспечению гибкости и безопасности достигаются за счет возможности аутентификации по протоколу 802.1x.
Аутентификация по протоколу 802.1x и динамическое создание виртуальных локальных сетей VLAN поможет предотвратить несанкционированный доступ в сеть, но при этом по-прежнему будут обеспечивать пользователям гибкий мобильный доступ к ресурсам сети, вне зависимости от того, где они физически к ней подключились. Благодаря аутентификации по протоколу 802.1x пользователи не смогут отправить даже пакет данных в сеть без предоставления корректных реквизитов для аутентификации. В то же время, благодаря динамическому созданию локальных сетей пользователи, успешно прошедшие аутентификацию, попадают в надлежащую виртуальную сеть, в зависимости от настройки своей учетной записи. Таким образом, пользователи попадают в "родное" сетевое окружение вне зависимости от точки физического подключения.
Еще одним немаловажным элементом решения является аппаратная фильтрация трафика, что позволяет гарантировать отсутствие утечки трафика между различными IP подсетями, без снижения пропускной способности сети.
Подводим итог
В последнее время школы и университеты все чаще используют в своих учебных процессах компьютерные сети. При этом для них жизненно необходимо обеспечить высокую пропускную способность сети, надежность, масштабируемость, а также гибкость и безопасность. Специфика защиты компьютерной сети в учебном окружении значительно отличается от специфики защиты корпоративной сети, поскольку обычно студенты не сидят на одном месте, а пользуются различными компьютерами, и вместе с тем и различными USB устройствами. Если при изначальном проектировании сети учитывать подобную специфику, и принимать соответствующие меры предосторожности, то, как правило, сеть будет оставаться защищенной как от внутренних, так и от внешних угроз.
О Allied Telesis
Основанная в 1987 году, компания Allied Telesis входит в холдинг Allied Telesis Group и является глобальным поставщиком защищенных сетевых решений на базе технологий IP/Ethernet. Компания занимает ведущее положение на рынке систем для развертывания сетей с услугами Triple Play поверх инфраструктур кабельного и оптоволоконного доступа. Интегрированные платформы мультисервисного доступа iMAP POTS-to-10G, интеллектуальные мультисервисные шлюзы iMG, а также передовые решения для коммутации, маршрутизации и совместимые с протоколом IPv6 сетевые транспортные решения, построенные на базе технологии WDM, позволяют операторам частных и общедоступных сетей, а также различным сервис-провайдерам развертывать масштабируемые сети операторского класса для оказания экономически выгодных услуг пакетной передачи данных, голоса и видео. Дополнительная информация представлена на
Статья предоставлена компанией Allied Telesis
22.05. [Новинки] Анонсы: Представлен игровой планшет Infinix Xpad GT с 13-дюймовым дисплеем 144 Гц и Snapdragon 888 / MForum.ru
22.05. [Новинки] Анонсы: Представлен Infinix GT 30 Pro с Dimensity 8350 Ultimate, экраном 144 Гц и триггерами GT / MForum.ru
21.05. [Новинки] Слухи: Infinix GT 30 Pro замечен на «живых» фото / MForum.ru
21.05. [Новинки] Слухи: Использование Snapdragon 8 Elite 2 в Xiaomi 16 подтверждено официально / MForum.ru
20.05. [Новинки] Анонсы: Huawei представила Nova 14 Ultra со спутниковой связью и HarmonyOS 5 / MForum.ru
20.05. [Новинки] Анонсы: Huawei Nova 14 и Nova 14 Pro представлены официально / MForum.ru
19.05. [Новинки] Слухи: 22 мая Xiaomi представит собственный мобильный чипсет Xring 01 / MForum.ru
19.05. [Новинки] Слухи: Раскрыты дата анонса Infinix XPad GT и его ключевые характеристики / MForum.ru
16.05. [Новинки] Анонсы: Vivo V50 Elite Edition в комплекте с Vivo TWS 3e Buds появился в Индии / MForum.ru
15.05. [Новинки] Компоненты: MediaTek Dimensity 9400e представлен официально / MForum.ru
15.05. [Новинки] Анонсы: Oppo Pad SE официально представлен в Малайзии / MForum.ru
14.05. [Новинки] Анонсы: ZTE Nubia Z70S Ultra выходит на международные рынки / MForum.ru
14.05. [Новинки] Слухи: Раскрыты подробности о Huawei Nova 14 Ultra / MForum.ru
13.05. [Новинки] Слухи: Vivo работает над S30 и S30 Pro mini / MForum.ru
13.05. [Новинки] Компоненты: MediaTek представил Helio G200 с немного более быстрым графическим процессором и лучшим HDR для видео / MForum.ru
13.05. [Новинки] Анонсы: Sony Xperia 1 VII с компонентами Walkman представлен официально / MForum.ru
12.05. [Новинки] Анонсы: Подтверждена дата глобального релиза Realme GT 7 / MForum.ru
12.05. [Новинки] Слухи: Infinix Xpad GT может получить чипсет Snapdragon 888 / MForum.ru
12.05. [Новинки] Слухи: Раскрыты подробности об экрана и чипсете OnePlus 15 / MForum.ru
07.05. [Новинки] Анонсы: Представлен концептуальный смартфон Realme GT с АКБ 10000 мАч / MForum.ru