Копания IT Land представила проект защиты компьютерной сети Торгово-промышленной палаты
Различные средства информационной безопасности все плотнее консолидируются между собой. Во многом это способствует устранению конфликтов программного и аппаратного защитного обеспечения и значительно упрощает администрирование. Учитывая сегодняшнюю нехватку квалифицированных ИТ-специалистов, такая консолидация особенно важна для небольших и средних компаний.
Структура сети ТППУ |
Предпосылки к внедрению
Через информационные каналы Торгово-промышленной палаты Украины (ТППУ) проходят данные множества организаций разной направленности, поэтому вопрос о повышении безопасности компьютерной сети всегда был для ее ИТ-отдела одним из самых острых.
Как и для подавляющего большинства организаций, для ТППУ интернет является основным источником деловой и коммерческой информации и средством коммуникации. 156 специалистов Палаты используют услуги электронной почты, оперативного доступа к веб-ресурсам деловой и коммерческой информации во всем мире. Объем ежемесячного трафика составляет: входящего — 120—140 ГБ, исходящего — 30 ГБ. Ежедневно в ТПП Украины поступает 10—12 тыс. электронных писем, из которых 95,5%, увы, составляет спам.
Основной целью ТППУ является поддержка предпринимательства и организация международных экономических и научно-технических мероприятий. В связи с этим Палата предоставляет услуги, информационное обеспечение которых связано с активным использованием веб-ресурсов достаточно широкого тематического спектра. К одной из самых востребованных услуг ТППУ относится информационная справка (предоставление информации о стоимости, адресно-номенклатурные справки и пр.) Кроме того, ТППУ регулярно организует и проводит выставки, в частности, для индустрии развлечений и игрового бизнеса. Менеджерам выставок приходится по роду службы посещать различные интернет-ресурсы, многие из которых с точки зрения безопасности относятся к группе риска, то есть могут заразить сеть шпионским ПО и вирусами. Сотрудники ТППУ также ведут активную деловую переписку, которую необходимо оградить от вирусных атак и очистить от спам-сообщений.
Структура сети
Вычислительные узлы сети Торгово-промышленной палаты разнесены по трем корпусам. Для доступа в интернет компания использует два выделенных DSL-канала с пропускной способностью 2 Мбит/с каждый. Один канал является основным и используется для доступа в сеть сотрудников Палаты (примерно 150 машин) и хозрасчетных организаций (около 16 компьютеров). Второй канал поначалу играл роль запасного, а затем стал использоваться для доступа в сеть арендующими помещения Палаты компаниями.
В группу серверного оборудования компании входят два сервера на базе FreeBSD для работы ряда сайтов и почтовой службы ТППУ, сервер Novell Open Enterprise и сервер на Windows Server 2003. Последний ранее использовался главным образом для функционирования системы «ЛIГА: Закон Елiт». Безусловно, в сети и ранее существовали элементы защиты от различных видов угроз, например, пакетная фильтрация, антивирусы на серверах и рабочих станциях, функции мониторинга (с помощью базовых команд FreeBSD) и анализа сетевой активности. ИТ-отдел установил и анализатор спама, однако его эффективность оказалась недостаточной. По заявлению представителей ТППУ, за время работы такой конфигурации неоднократно происходили заражения серверов и рабочих станций вирусами и шпионскими программами. И это стало основной причиной «укрепления обороны».
Решение
Подрядчиком и поставщиком решения выступила компания IT Land совместно с ИТ-отделом ТППУ. После анализа требований и проведения ряда тестов было принято решение о внедрении в систему устройства класса UTM — WatchGuard Firebox X750e. Основные его функции — межсетевое экранирование, системы обнаружения и предотвращения атак, антивирусная защита, спам-фильтр. Помимо этого, UTM обладает возможностями разграничения трафика по каналам в зависимости от заданного условия. Для ТППУ это оказалось актуальным, поскольку компания должна предоставлять арендаторам определенные полосы пропускания.
Сервер Microsoft Windows Server 2003 специалисты приспособили под нужды WatchGuard Firebox X750e, установив туда ПО для администрирования, управления и мониторинга, серверы карантина, отчетов и пр. Благодаря этому работа системного администратора сети намного упростилась, контроль за множеством функций осуществляется с единой панели.
В целом, посредством UTM-устройства реализуются основные требования заказчика: создание безопасного входа в периметр сети, защита почтового сервера от угроз, пользовательских ящиков от спама и вирусов, определение политик и агрегация двух каналов.
КОММЕНТАРИЙ ИНТЕГРАТОРА | |
Роман Сологуб, руководитель направления информационной безопасности компании IT Land: Одной из сильнейших сторон устройства является реализация VPN. Эта функция имеет три модификации: IPSec VPN, SSL VPN и PPTP. Устройство поддерживает серверы Native Active Directory, и пользователи могут проходить аутентификацию как посредством веб-интерфейса, так и прозрачно, с помощью специального клиента, который входит в стандартный пакет ПО WatchGuard. Клиент устанавливается на директорию, и все пользователи с созданными учетными записями в директории автоматически идентифицируются на шлюзе. Это значительно расширяет возможности построения политик. Подключения с мобильных устройств защищены посредством USB-ключа. На нем хранится RSA-сертификат, который зашифровывает такие соединения. Система WatchGuard отличается широкими возможностями модернизации. Так, благодаря легкости процесса перепрошивки, аппаратную часть можно использовать в течение длительного времени. |
КОММЕНТАРИЙ ЗАКАЗЧИКА | |
Владимир Лазнюк, начальник Центра компьютерных технологий ТППУ: Можно было бы «латать» появляющиеся бреши путем использования программных продуктов от одного или разных производителей (платных или бесплатных), но более логичным и эффективным мы посчитали внедрение системы интегрированной защиты на базе приобретающих все большую популярность UTM-устройств. Концепция UTM предполагает реализацию в одном устройстве всего комплекса мер по обеспечению полноценной защиты современной корпоративной сети: встроенного межсетевого экрана, VPN, системы предотвращения вторжений и защиты от вирусов, спама и нежелательного веб-контента. Использование этих устройств, построенных по принципу «все включено», дает следующие преимущества: Простота установки и использования. Развертывание системы с помощью мастеров, интуитивно понятный графический интерфейс конфигурирования и управления устройством, наглядная система отображения сетевой активности, ясная и лаконичная отчетность о всех событиях, связанных с безопасностью сети. Финансовая выгода. Стоимость UTM-устройства, как правило, меньше итоговой стоимости многоуровневой системы безопасности, построенной на базе отдельных программных и/или аппаратных средств. Уменьшаются также операционные расходы, поскольку работа администратора упрощается и снижаются требования к его квалификации. Наша организация по масштабу относится к SMB, поэтому мы ориентируемся на средний ценовой диапазон. Учитывая такой критерий, как соотношение цена/функциональность и эффективность, мы остановили свой выбор на UTM-устройствах серии Firebox X Core компании WatchGuard Technologies. У нас уже был опыт контактов с ООО IT Land. Цены на устройство WatchGuard Firebox X750e Core, которые нам предложили, оказались существенно ниже, чем у конкурирующей компании, что окончательно убедило нас в правильности принятого решения. Еще до поставки оборудования компания-интегратор предоставила ТППУ для ознакомления и тестирования аналогичное UTM-устройство. Процессу инсталляции UTM-устройства предшествовало обстоятельное и продолжительное обсуждение вопросов о месте Firebox X750e в структуре нашей сети и его функциональности. В этом обсуждении, принятии решения по реструктуризации сети Палаты и последующих работах по реализации проекта активное участие приняли и специалисты нашего интернет-провайдера ООО «ИЦ ЭлВисти». Специалисты IT Land оказывали нашей организации оперативные и квалифицированные консультации, выполняли действия по настройке и администрированию системы безопасности удаленно (такое право им было предоставлено) или непосредственно на нашей площадке. |