Построение безопасной сети на Cisco Secure Network Foundation

Введение 

Построение безопасной сети основывается на разработанной компанией Cisco Systems архитектуре Cisco Secure Network Foundation (SNF). 

Данная архитектура, включает:

• Дизайн головного офиса компаний малого и среднего бизнеса
• Удаленные офисы, домашние офисы и мобильные пользователи, подключающиеся по VPN
• Организация безопасной сетевой инфраструктуры, характерная для сетей любого масштаба
• Гибкие возможности сетевых настроек, используя либо командную строку, либо графический интерфейс.

Несмотря на то, что данное решение охватывает пользователей распределенных по различным офисам, оно также применимо в случае одного единственного офиса. Внедрение в случае только одного офиса может начаться всего с одной службы, например, такой как подключение сотрудников к сети и выделение общих ресурсов, с базовым доступом в интернет. В дальнейшем данное решение может быть расширено путем добавления дополнительных функций, таких как поддержка мобильных пользователей, удаленные филиалы и/или домашние офисы. Такой модульный подход позволяет малому бизнесу начать с основной, необходимой функциональности, в тоже время, предоставляя гибкие возможности для дальнейшего расширения функциональности по мере развития бизнеса.

Соответственно, предлагается основной дизайн, с возможностью дальнейшего наращивания и улучшения с помощью модульной архитектуры. Базовое решение позволяет получить доступ к сетевым и общим ресурсам в ЛВС, а также доступ в интернет. Решение обеспечивает возможность добавления следующих дополнительных функциональных возможностей:

• Подключение домашних офисов по VPN
• Подключение мобильных пользователей по VPN
• Подключение удаленных офисов по VPN
• Серверы с общим доступом (такие как e-mail или Web) расположенные в безопасной зоне DMZ
• Обеспечение дополнительной безопасности для локальных бизнес серверов

Дизайн на основе архитектуры SNF обеспечивает передачу голоса и видео и поддерживает определенный уровень качества обслуживания QoS и технологии VPN, для возможности дальнейшего внедрения служб унифицированных коммуникаций, а также поддерживает направленную передачу данных видеонаблюдения. Решение также обеспечивает возможность развертывания беспроводной сети (WLAN).

Для поддержки данных служб архитектура SNF использует следующие технологии:

• Сетевая коммутация, включая протокол STP, и PoE для развертывания IP телефонии
• Статическая коммутация третьего уровня модели ОСИ (маршрутизация)
• Технология NAT, для использования частных IP адресов
• Качество обслуживания (QoS), обеспечивающее сетевую инфраструктуру возможностью передачи голоса и видеоинформации
• Безопасность, включающую сервисы файервола, демилитаризованную зону (DMZ), и безопасность инфраструктуры
• IPSec site-to-site VPNs связывающий головной офис и удаленные офисы
• IPSec удаленный доступ, используя Easy VPN, для подключения к домашнему офису
• SSL VPN или Easy VPN для подключения мобильных пользователей
• Предоставление, управление и мониторинг сетевой инфраструктуры, как из командной строки, так и с помощью пользовательского интерфейса.

Схема подключения

На Рисунке 1 представлена высокоуровневая сетевая диаграмма, иллюстрирующая различные типы бизнес подключений, которые поддерживает данная архитектура. На практике, малый бизнес может иметь только некоторые из этих подключений.

Рисунок 1 – SNF - Различные варианты подключения

Различные подразделения организации, представленные на рисунке, включают: 

• Центральный офис – головной офис, основное подразделение, предоставляющее большинство общих ресурсов и данных, таких как файлы, бизнес, вэб и e-mail серверы, также как и централизованные сетевые ресурсы. В тоже время, обычно, центральный офис это основное подразделение компании и в случае если малый бизнес имеет всего одно подразделение, то оно как раз и является головным офисом.
• Удаленные офисы – если малый бизнес имеет несколько удаленных офисов, расположенных отдельно от основного, то эти офисы называются удаленными офисами. Обычно, каждый удаленный офис подключается к основному посредством организации выделенного VPN канала проходящего по выделенной линии (leased line) либо по широкополосному соединению.
• Домашний офис – Домашний офис обычно частная сеть сотрудника, для подключения к основному офису используется маршрутизатор с IPSec и удаленное соединение по VPN (Easy VPN). В дополнение к маршрутизатору домашняя частная сеть может включать также другие сетевые устройства, например, такие как коммутаторы и т. д. Домашние офисы обычно используют широкополосный доступ в Интернет.
• Мобильные пользователи – мобильные сотрудники, которые получают безопасный доступ к центральному офису через интернет, устанавливая VPN соединение со своего ноутбука. VPN соединение обычно удаленный доступ по IPSec (Easy VPN) или SSL VPN подключение. Мобильный пользователь может использовать любой тип подключения к интернет - публичный или частный, например, такой, какой доступен в аэропортах, отелях, публичные точки доступа WiFi или же домашний интернет. 

Некоторые организации малого бизнеса относят контрактников к типу мобильных сотрудников, обычно с ограниченным доступом к сетевым ресурсам. Мобильный сотрудник устанавливает соединение напрямую с ноутбука, в то время как пользователь, работающий на дому, использует маршрутизатор. 

Основные характеристики  SNF

Данное решение охватывает внедрения в сегменте малого бизнеса, ориентируясь на такие преимущества как простота внедрения и поддержки. Решение включает 

• Ресурсы локальной вычислительной сети – Многоуровневая сетевая архитектура
• Базовый дизайн WAN – Доступ в интернет используя технологию разделения канала (split tunneling)
• Инфраструктура WAN - В процессе развертывания инфраструктуры WAN для расширения функциональности есть возможность инкрементно добавить следующие опции:  
  • VPN доступ для пользователей работающих из дома и мобильных пользователей 
  • Интернет доступ к локальным серверам, например, таким как Web и e-mail серверы
  • Дополнительные офисы, подключенные к основному офису по выделенному каналу VPN
• WAN подключение - WAN интерфейсы для подключения малого и среднего бизнеса, например, такие как выделенные линии T1/E1 (T3/E3), Ethernet, и также различные DSL подключения и подключения по широкополосным кабельным соединениям.
• NAT – Использование частных IP адресов в локальной сети и публичного IP адреса на WAN интерфейсе, а также общедоступные сервера находящиеся в DMZ  зоне.
• QoS – Постоянное качество обслуживания охватывающее, как локальные сети, так и глобальные. Гибкое разбиение трафика по классам. Дизайн QoS включает следующий минимум классов:
  • Голос
  • Передача сигналов
  • Маршрутизация
  • Трафик c гарантированной доставкой
• Безопасность – включает в себя следующую функциональность:
  • Особенности настройки безопасности на каждом сетевом устройстве (коммутатор, маршрутизатор)
  • Настройки файервола
  • Политики безопасности DMZ зоны
• Технологии VPN – Использование соответствующих VPN технологий для поддержки домашних офисов, мобильных пользователей и ограниченного числа удаленных офисов:
  • IPSec site-to-site VPN – Стандартные IPSec VPN подключения основного офиса к удаленным. Данный подход требует изменений настроек в основном офисе при каждом новом подключении удаленного офиса. Для небольшого количества таких подключений( до пяти) данный подход не связан с дополнительными сложностями.
  • Удаленный доступ по VPN - Easy VPN облегчает подключение домашних офисов и мобильных сотрудников
  • SSL VPN – альтернативный вариант подключения упрощающий подключение мобильных пользователей
• Встроенные функции для передачи голоса – включает поддержку PoE и соответствующих QoS функций на маршрутизаторах и коммутаторах.
• Управляемость – использование особенностей дизайна: возможность управления как из командной строки, так и из пользовательского интерфейса(такие как Cisco Configuration Professional (CCP) and Cisco Network Assistant (CNA)). 

Общая схема подключений в центральном офисе 

На Рисунке 2 представлена общая схема подключения сетевого оборудования в центральном офисе. Все оконечные устройства(рабочие станции пользователей, IP телефоны, сетевые принтеры и т.д.) подключаются к коммутаторам доступа (access switch). Коммутаторы доступа в свою очередь подключаются к  центральному коммутатору (aggregation switch). Центральный коммутатор для доступа в интернет подключается к маршрутизатору, который в зависимости от сценария(которые будут рассмотрены ниже) может выполнять различные роли по обеспечению безопасности, управлению голосовым трафиком и т.д. В качестве обеспечения дополнительных функций безопасности и распределения нагрузки между центральным коммутатором и маршрутизатором может быть установлено оборудование по обнаружению и предотвращению атак, оборудование фильтрующее спам и т.д. Для логического разделения подразделений организации, а также для обеспечения дополнительной безопасности необходимо использовать разбиение сети на  виртуальные частные сети VLAN. В общем случае, как представлено на данном рисунке, сеть разбита на четыре VLAN: для данных (DATA_VLAN), для голосового трафика(Voice_VLAN), виртуальная частная сеть для демилитаризованной зоны (DMZ VLAN) и для локальных сервисов (Local_services). Каждая виртуальная сеть заканчивается IP адресом на коммутаторе или маршрутизаторе, а для соединения между устройствами используются trunk порты (802.1q trunk)

Рисунок 2 - Общая схема подключений в центральном офисе

VPN для безопасного подключения домашних офисов 

Поскольку прямое подключение домашнего офиса к центральному через интернет предоставляет угрозу безопасности, то соединение устанавливается по VPN, используя шифрование данных. Cisco предлагает гибкие VPN решения, включая DMVPN, Easy VPN, GRE туннели, и стандартный IPSec site-to-site IPSec VPN. Каждая технология предлагает свои преимущества и применяется в зависимости от ситуации. Детальное сравнение можно различных VPN технологий доступно по ссылке:

Cisco (PDF)  

При выборе той или иной технологии важно учитывать политики безопасности компании, а также возможности оборудования по поддержке той или иной технологии. 

В данном решении мы рассматриваем Easy VPN в качестве VPN технологии для связывания центрального офиса с домашним офисом(Рисунок 3). Технология Easy VPN упрощает внедрение путем централизации управления всеми удаленными устройствами. Это позволяет удостовериться в том, что все политики являются консистентными и упрощает администрирование устройств домашних офисов. Easy VPN состоит из следующих компонентов: 

• Шлюз Easy VPN в центральном офисе
• Удаленные клиенты (маршрутизаторы в домашних офисах), устанавливающие VPN туннели со шлюзами 

Шлюз Easy VPN работает на WAN маршрутизаторе в центральном офисе и предоставляет такие преимущества как  VPN политики, минимизирует требования к конфигурированию в домашних офисах, и снижает вероятность ошибки при настройке. Маршрутизатор в домашнем офисе настраивается как клиент Easy VPN и указывает на публичный IP адрес головного офиса, в качестве шлюза VPN. На домашнем маршрутизаторе также настраивается ID группы пользователя, ID пользователя и пароль необходимый для установления туннеля Easy VPN. 

Рисунок 3 - VPN для подключения домашних офисов

Из других способов подключения не рассматриваемых в данном решении можно выделить: 

Easy VPN подключение используя Laptop/PC

SSL VPN подключение используя Laptop/PC

• Clientless SSL VPN— Пользователь использует браузер и подключается к основному WAN интерфейсу, после чего ему выдается список доступных служб. Данный список обычно минимален и состоит из службы https и файловой службы.
• SSL VPN с тонким клиентом— данная опция также работает на основе браузера, но также позволяет пользователю получить доступ к дополнительным службам, таким как e-mail. Тонкий клиент на основе Java прозрачно скачивается с помощью браузера.
• Полноценный клиент SSL VPN— При первой сессии SSL VPN клиентское ПО Any Connect автоматически скачивается и устанавливается. Таким образом, любой клиент получает доступ ко всем службам центрального офиса, точно также как и клиент Easy VPN.

Дизайн VPN удаленного офиса 

Данный дизайн походит для небольших офисов с количеством до пяти удаленных офисов (Рисунок 4). Структура удаленной сети схожа с построением головного офиса, которая включает маршрутизатор WAN, коммутатор уровня доступа (access switch) (или центральный коммутатор с множеством коммутаторов доступа) подключенных по той же схеме, что и в центральном офисе.  

В тоже время удаленная сеть отличается от центрального офиса по следующим параметрам: 

Удаленный офис обычно не поддерживает множество серверов, таким образом, отсутствует VLAN с локальными службами (Local_services) 

В удаленном офисе отсутствуют сервера входящие в зону DMZ, таким образом, отсутствует DMZ VLAN.   

Рисунок 4 - VPN для подключения удаленных офисов 

Также как и сеть центрального офиса, удаленная сеть поддерживает собственных мобильных пользователей. Каждая удаленная сеть подключается к центральному офису, используя site-to-site IPSec. 

Отличие удаленного офиса от домашнего офиса и мобильных пользователей состоит в том, что подсети с частными адресами, используемые в удаленном офисе( голосовые и подсети с данными) прописаны в настройках маршрутизатора центрального офиса, и таким образом центральный маршрутизатор может перенаправлять трафик от одного удаленного пользователя к другому в любой части сети. 

Сетевая топология удаленного офиса, дизайн LAN/WAN

Дизайн удаленного офиса схож с построением сети центрального офиса, за тем исключением, что нет необходимости в зонах для обеспечения безопасности DMZ и зоны Локальных служб (Local_services).  LAN дизайн также схож с дизайном центрального офиса и, соответственно, отсутствуют виртуальные частные сети Local_services VLAN и DMZ VLAN. Дизайн WAN подключения идентичен тому, что разворачивается в главном офисе. 

Основные компоненты решения

Данное решение основано на следующих сетевых компонентах:

WAN маршрутизатор – маршрутизаторы Cisco ISR/ISR 2

Коммутаторы LAN – коммутаторы серии Cisco Catalyst 2960. Также, при необходимости, можно использовать такие коммутаторы как Cisco Catalyst 3560 или 3750. Для построения сети изначально готовой к передаче голоса можно использовать коммутаторы с функциями питания через  Ethernet (PoE). 

Построение беспроводной сети(WiFi)

Как частный случай построения безопасной сети можно рассмотреть беспроводную сеть, которая строится на основе архитектуры SNF и более подробно рассматривается здесь .

Позвоните нам +7 812 703-30-60 
получите консультацию и расчет внедрения