Select your location/language

Način dizajniranja, implementacija i životni cilus LAN, MAN i WAN mrežne infrastrukture predstavlja temeljnu okosnicu informacijsko-komunikacijskog sustava. Stoga smo s posebnom pozornošću pripremili sljedeće temeljne cjeline:

       LAN Dizajn

LAN topologija

LAN slojevi

LAN zone

LAN (Local Area Network) je infrastruktura koja se oslanja na strukturno kabliranje zgrada i kampusa unutar fizičkog prostora radijusa do 2.5 km (prema definiciji strukturnog kabliranja i dometa optičkog kabela). Dizajn aktivne opreme LAN treba osigurati svim korisnicima ponajprije međusobnu povezanost neovisnost o fizičkoj razmještaju i premještaju korisnika/servera te posjedovati sljedeće bitne karakteristike:

  • velike brzine prijenosa informacija
  • kvalitetu usluge
  • sigurnost (autentikacija, autorizacija i evidentiranje)
  • redundantnost i pouzdanost
  • nadzor i upravljanje mrežne opreme i servisa

LAN infrastruktura se temelji se na Ethernet (layer 2) i IP (layer 3) preklopnicima kao temeljnoj aktivnoj opremi. Može davati mnogobrojne servise kao što su DNS, Web, mail, poslovne servise i aplikacije, Internet i sl. Pojedini servisi mogu se grupirati u posebnu cjelinu zvanu serverska farma.

Neka od važnih pitanja vezana uz LAN cjelinu a tiči se same strategije dizajna su:

  • način administracije VLAN-ova
  • redundantnost na layeru 2 i 3
  • IP usmjeravanje i protokoli usmjeravanja
  • IP adresiranje i mrežne postavke
  • QoS: DiffService - barem 4 grupe servisa, 8 preporučljivo; definiranje prioriteta, minimalnog i maksimalnog propusnog pojasa (badwidth)
  • spojena na Internet preko vatrozidnog sustava (firewall)
  • povezanost sa drugim LAN-ovima putem WAN-a (TDM, E1, E3, kanalizirani E1/E3, IP preko SDH, iznajmljenim vodom, Frame Relay, ATM)
  • modemski (dialup) pristup Internetu, serverskoj farmi, poslovnom sustavu i drugim servisima sa i bez jake enkripcije i autentikacije
  • mogućnost sigurne bežične veze i pristupa
  • IP telefonija, povezanost na privatnu (PBX) ili javnu telefonsku mrežu  (PSTN)
  • sigurnost: autentikacija pristupa (802.1X, RADIUS), kontrola pristupa (ACL), evidentiranje (AAA arhitektura)
  • administracija korsnika, LDAP, PKI infrastruktura, CA

L2 Preklopnici - Specifikacija

  • Ethernet portovi: 10/100/1G/10G RJ-45 konektori za bakar, SC (MMF, SMF) za svjetlovod, GBIC
  • za gornje veze (uplink) preporučivo koristiti 100/1G/10G portove sa omjerom brzina uplinka/portova 1:2,4 do 1:1
  • Ne-blokirajuće preklapanje Ethernet paketa
  • VLAN-ovi na razini portova
  • IEEE 802.1Q VLAN tagging
  • IEEE GVRP (Generic VLAN Registration Protocol)
  • IEEE 802.1X i RADIUS podrška autorizacije
  • IEEE 802.3ad Link Aggregation Control Protocol (LACP)
  • IEEE 802.1D Spanning Tree Protocol (STP), IEEE 802.1w Rapid Spanning Tree Protocol, EAPS - Ethernet Automatic Protection Switching (RFC 3619) (preporučivo)
  • IEEE 802.1D - 1998 (802.1p) prioritizacija paketa
  • QoS 4 reda po portu (queues), 8 preporučivo
  • Port mirroring (monitoriranje)
  • PoE (Power over Ethernet) - napajanje za IP telefone (opcionalno)
  • SNMP v1/v2 (RFC 1157 i RFC 1907)
  • RMON 4 grupe: Stats, History, Alarms & Events (RFC 1757)
  • RMON2 (RFC 2021)
  • Denial of Services (DoS) zaštita - poželjno
  • Menadžment putem serijskog porta, Telneta i/ili Web i/ili GUI aplikacija, uz proporučivo korištenje enkripcije i autentikacije (Secure Shell 2 (SSH2), HTTPS ili slično)
  • Spremanje konfikuracije preko TFTP servera
  • 19” širina za montažu u komunikacijski ormar ormar

L3 Preklopnici - Specifikacija

Sve isto kao i kod L2 Preklopnika plus

  • Wire-speed ne-blokirajuće preklapanje IP paketa
  • Protokoli usmjeravanja: RIPv1/v2, OSPF, BGP4
  • Equal Cost Multi-Path podrška usmjeravanja
  • IP Multikast podrška usmjeravanja
  • Acces Control Lists (ACL) na svim L3 portovima (interfaces) bez narušavanja performansi
  • DiffServ Precedence, uključujući 4 razine (queues), 8 preporučivo po portu (Policy-Based QoS) - sklopovska implementacija
  • DiffServ Code Point (DSCP) markiranje paketa (ToS) na temelju L3/4 informacija
  • VRRP - Virtual Router Redundancy Protocol(RFC 2338)
  • BootP/DHCP server/relaying
  • Server Load Balancing i chashe redirekcija(opcionalno)
  • SNTP - Simple Network Time Protocol (RFC 2030)

       WAN Dizajn

WAN topologija

Centralna lok.

Regionalna lok.

Male i udaljene lokacije

WAN (Wide Area Network) predstavlja komunikacijsku kralježnicu (backbone) informacijskog sustava svake organizacije povezujući sve LAN-ove i periferne lokacije u jedinstvenu cjelinu.

Načini veze (spojnih putova) mogu biti: vlastite ili iznajmljene vodove svjetlovodne vodove, TDM linije (iznajmljeni vod - Leased Line, E1, E3, kanalizirani E1/E3), IP, preko SDH, IP preko DWDM, Frame Relay, ATM, ISDN. Nadalje veza može biti i bežična, radio relejna, satelitska ili bilo koja druga.

Neka od osnovnih pitanja koja treba riješiti WAN infrastruktura su:

  • topologija sustava, spojni putevi
  • redundantne veze, pričivne veze
  • redundantnu aktivnu opremu za velike i primarne (vitalne) lokacije
  • IP usmjeravanje, protokoli usmjeravanja, topologija zona, optimizacija usmjeravanja, IP adresiranje
  • osiguranje kvalitete usluga (QoS): integracija audio, video, rad u realnom vremenu, podataka, poslovnih procesa, streaming media,...
  • enkripcija spojnih puteva (VPN), autentikacija strana prilikom uspostave komunikacije (RADIUS, PKI certifikati)
  • povezanost na privatnu (PBX) ili javnu telefonsku mrežu (PSTN)
  • komprimiranje podataka: govora, video, podataka; potiskivanje tišine (silence suppression); kompresija IP zaglavlja
  • Maksimalna iskoristivost propusnost pojasa i veza: mjerenje prometa, iskoristivosti linija, nadziranje kvalitete usluge
  • minimizacija dugoročnih ukupnih troškova

Usmjerivači - Specifikacija

  • Ethernet portovi: 10/100/1G/10G RJ-45 konektori za bakar, SC (MMF, SMF) za svjetlovod, GBIC
  • Modularnost (broj mogućih modula prema potrebi)
  • Podrška za sve glavne WAN protokole i medije: TDM, E1/T1, kanalizirani E1/T1, E3/T3, xDSL, Lised Line, Frame Relay, ISDN, ATM, HSSI
  • Protokoli usmjeravanja: RIPv1/v2, OSPF, BGP4
  • Equal Cost Multi-Path podrška usmjeravanja
  • IP Multikast podrška usmjeravanja
  • IEEE 802.1D - 1998 (802.1p) prioritizacija paketa (za Ethernet portove)
  • DiffServ Precedence, uključujući 4 razine (queues), 8 ili više preporučivo po portu (Policy-Based QoS) - sklopovska implementacija
  • DiffServ Code Point (DSCP) označavanje paketa (ToS) na temelju L3/4 informacija
  • Usmjeravanje VLAN IEEE 802.1Q enkapsulacije
  • SNMP v1/v2 (RFC 1157 i RFC 1907)
  • RMON 4 grupe: Stats, History, Alarms & Events (RFC 1757)
  • RMON2 (RFC 2021)
  • Denial of Services (DoS) zaštita (poželjno)
  • Menadžment putem serijskog porta, Telneta i/ili Web i/ili GUI aplikacija, uz proporučivo korištenje enkripcije i autentikacije (Secure Shell 2 (SSH2), HTTPS ili slično)
  • Spremanje konfiguracije preko TFTP servera
  • 19” (inch) širina za montažu u komunikacijski ormar

       VPN & Enkripcija Spojnih Putova

VPN enkripcija spojnih putova

Mogući slojevi enkripcije

IPSec načini rada

Što je to VPN? U osnovi VPN (Virtual Private Networks) nastaje iz potrebe da se putem Interneta sigurno povežu mreže pojedinih lokacija uz iskorištenje posojećih Internet veza. Kasnije se pojam i primjena VPN proširila na WAN mreže, udaljeni pristup, mobilne mreže i drugo. Pod VPN-om se podrazumijeva sigurno povezivanje (autentikacija strana i enkripcija veza) više lokacija koje su tako međusobno povezane a da nitko drugi ne može vidjeti podatke koji se razmjenjuju, ometati njihov rad ili “upasti” u VPN mrežu.

Kako spojni putovi koji povezuju fizički udaljene lokacije ne bi ovisili o prijenosnom mediju niti davatelju prijenosnih usluga, potrebno je te putove kriptirati što je moguće jačom enkripcijom. Prije početka enkripcije potrebne je strane u komunikacije najprije autenticirati. Na taj način zadržava se visoka razina sigurnosti komunikacijskih kanala.

Koji protokol koristiti za autentikaciju i enkripciju prilikom realizacije VPN-a? S obzirom da je IP protokol trećeg sloja (Layer 3) komunikacijskog OSI modela transparentan za sve aplikacije, interoperabilnost različite opreme, integraciju i konvergenciju audia, videa i podataka, IPSec je postao “de facto” uniformni enkripcijski standard.

Što je to IPSec? To je otvoreni standard koji osigurava sigurnu komunikaciju na razini IP-a. Temeljen na IETF standardima (Internet Ingineering Task Force), IPSec osigurava tajnost, cjelovitost i autentifikaciju podatkovnih komunikacija kroz javnu ili nepouzdanu mrežu (područje). IPSec predstavlja nužnu komponentu, temeljenu na otvorenim standardima, fleksibilno rješenje primjene informacijske sigurnosne politike u širem smislu.

 Enkripcijske i autentikacijske kontrole mogu se primijeniti na nekoliko slojeva informacijske-komunikacijske infrastrukture (.):

  • aplikacijski sloj
  • mrežni sloj
  • fizički sloj i sloj veze

Primjena enkripcije na aplikacijskom sloju nije cjelokupno i generalno rješenje nego je specijalizirano samo za pojedini servis, npr. SSL (Secure Socket Layer) ostvaruje aplikacijsku enkripciju za Web pretraživače i druge servise, ali ne štiti podatke aplikacija koji ne koriste ili nemaju podršku za SSL.

Ukoliko enkripciju primjenimo na fizičkom sloju ili sloju veze (npr. modemske veze, LL, E1/E3 linije, Frame Ralay, ATM i sl.) sustav u cjelosti ima sljedeće nedostatke:

  • potrebno je na svakoj liniji imati kripto uređaje u paru
  • znatno povećanje broj kripto uređaja, posebice kod srednjih i velikih sustava
  • nema mogućnosti autorizaciju strana putem standardnih X.509 certifikata (PKI) ili RADIUS-a, jer su to servisi rtećeg sloja (IP)
  • povećanje kompleksnosti sustava kao i administracije
  • povećanje ukupnih i dugoročnih troškova

Primijenimo li enkripciju na mrežnom sloju (IP sloj - Layer 3) kao transparentnom moguće je kriptirati sve potrebne servise i aplikacije, znatno se pojednostavljuje sustav enkripcije, skalabilnost i interoperabilnost različite opreme je zagarantirana, te su i ukupni troškovi znatno manji, nego da se enkripcija ostvari na drugom sloju veze (Layer 2) ili na prvom fizičkom sloju (Layer 1).

Stoga  IPSec predstavlja snažan temelj u ostvarenju VPN sustava osiguravajući:

  • izvornu autentikaciju strana u komunikaciji
  • cjelovitost podataka
  • tajnost podataka
  • zaštitu od ponovnog emitiranja (slanja) podataka
  • automatiziran menadžment kriptografskih ključeva

 Osnovne komponente od kojih se sastoji IPSec su:

  • AH – Autentification Header (autentifikacijsko zaglavlje)
  • ESP – IP Encapsulating Security Payload (enkapsulacijski sigurnosni dodatak)
  • ISAKMP - Internet Security Association & Key Management Protocol (protokol menadžmenta enkripcijskih ključeva)

 Osnovni načini rada IPSec-a su:

  • transportni (bez enkripcije IP zaglavlja)
  • tunelirani (enkripcijom i IP zaglavlja uz dodavanje novog IP zaglavlja)

Načini autentikacije strana mogu biti:

  • unaprijed dodijeljen (postavljen) tajni ključ
  • RADIUS autentikacija
  • korištenje X.509 certifikata

Enkripcijski algoritmi (trenutno aktuelni i tržišno dostupni) su:

  • Triple DES (3DES) 168-bit
  • AES (Advenced Encription Standard) 128, 192, 256-bit

Prilikom razmjene ključeva tipično se koristi asimetrični Diffie- Hellman algiritam a za digitalne potpise DSA i SHA-1. Koju će autentikacijsku metodu, enkripcijksi algoritam, algoritam razmjene ključeva , način rada (transportni ili tunelirani) ovisi o sigurnosnoj politici, potrebama (i mogućnostima) pojedine organizacije.

Nadalje, VPN enkripcija treba unosti što je moguće manje povećanje paketa (overhead) kako bi efektivno iskorištenje propusnog pojasa bilo što veće, a kašnjenje koje unosi enkripcija/dekripcija treba biti reda veličine par ms ili manje od 1 ms, kako nebi imalo utjecaja na audio, video i slične aplikacije koje imaju zahtjeve na rad u realnom vremenu. Enkripcijski uređaji razlikuju se i enkripcijksoj propusnoj moći kao i ukupnom broju mogućih TCP/IP konekcija.

Kripto uređaji trebali bi imati biti certificiranu razinu sigurnosti (FIPS - razina 3 ili bolje, Common Criteria - razina EAL4 ili bolje) od neke za to ovlaštene institucije. Sam dizajn i kućište uređaja trebali bi biti dizajnirani tako da je otporan na vanjske prodore (tamper resistant).

       PBX Integracija, IP Telefonija & QoS

QoS i integracija servisa i usluga

Testiranje - PBX integracija, IP telefonija, VPN enkripcija

Centralna lokacija

Regionalne i udaljene lokacije

Integracija audio, video i podatkovnih servisa koje bi podržavao jedinstven protokol komercijalno dostupan, pouzdan i kompatibilan predstavlja davni informacijsko-komunikacijski izazov. Suvremenim razvojem IP tehnologije, ponajprije novih IP preklopnika i usmjerivača stvaraju se preduvjeti za ovakvu integraciju. Integracijom audio, video, podatkovnih i svih drugih potrebnih servisa i usluga, uključujući i zahtjeve za rad u realnom vremenu, jedna te ista transportna oprema i protokoli osiguravaju različite servise i usluge čime nestaje potreba za dvostrukim i višestrukim paralelnim komunikacijskim sustavima telefonije, videa, podataka i sl. što pojednostavljuje nadzor, upravljanje, sigurnosne mehanizme, administraciju i održavanje jedinstvenog informacijsko-komunikacijskog sustava znatno smanjujući sveukupne dugoročne troškove.

U ovakvoj konvergenciji i evoluciji k jedinstvenom informacijskom sustavu veoma važnu ulogu ima očuvanje postojećih investicija, ponajprije postojeće telefonije što uključuje postojeće analogne/digitalne telefonske centrale (PBX), telefone, fax uređaje, kao i telefonske linije i kabele.

U osnovi, integracija postojeće telefonije se ostvaruje pomoću tzv. medijskih pristupnika - Media Gateway-a koji osiguravaju sljedeće funkcionalnosti:

  • povezivanje postojećih PBX centrala i IP infrastrukture korištenjem E1/T1 ili ISDN PRI veze i standarde Q.SIG signalizacije,
  • veza između više Media Gateway-a ostvaruje se IP trunkom korištenjem standardnog H.323 protokola,
  • podrška za analogne, digitalne i ISDN telefonske linije,
  • komprimiranje govora (G.729 kodek, 8kHz) i potiskivanje tišine (silence suppression), uz smanjenje zauzeća propusnog pojasa za čak 300% (ušteda smanjenja brzine WAN linija),
  • primjena algoritama dvosmjernog otklanjanja odjeka (jeka, odzvanjanje) (full-duplex echo-canceling) osiguravajući odličnu kvalitetu zvuka,
  • Gateway i Gatekeeper za IP telefone,
  • puna funkcionalnost telefonskih servisa i usluga kao kod postojeće analogne/digitalne telefonije,
  • međusobna interoperabilnost sa Media Gateway-ima i IP telefonima različitih proizvođača koji koriste standardne protokole (Q.SIG, H.323 i dr.),
  • veza prema LDAP direktoriju korisnika i grupa i
  • centraliziran i/ili decentraliziran nadzor i upravljanje (nadziranje, konfiguriranje, menadžment analogne/digitalne i IP telefonije).

Ono što je analogni, digitalni ili ISDN telefon u javnoj telefonskoj mreži to je IP telefonon u IP okruženju. IP telefoni osiguravaju sljedeće funkcionalnosti:

  • vežu se na Media Gateway koji im osigurava potrebnu servisnu funkcionalnost,
  • komunikacija sa Media Gateway-om se ostvaruje standardnim H.323 protokolom čime se osigurava interoerabilnost IP telefona i Media Gateway-a različitih proizvođača,
  • komprimiranje govora korištenjem audio kodeka (G.729), potiskivanja tišine (silence suppression), otklanjanje odjeka (echo-canceling) čime se postiže vrhunska kvaliteta zvuka uz minimizaciju širine propusnog pojasa potrebnog za komunikaciju i do 300% što je veoma bitno za npr. WAN linije,
  • kriptiranje govorne komunikacije s kraja na kraj (između IP telefona),
  • podršku za LDAP protokol: ukoliko je Media Gateway povezan na LDAP direktorij mogće je pregledavati i pretraživati korisnike, brojeve telefona, grupe i sl.,
  • mogućnost napajanja direktno preko Etherneta (PoE - Power over Ethernet) ili putem zasebnog izvora,
  • jedan ili dva mrežna priključka (jedan je veza prema mrežnom uređaju a u drugi se spoji računalo te radno računalo i IP telefon koriste samo jedan mrežni priključak),
  • bolji modeli imaju veće ekrane (jednobojne, u boji), mogućnost pretraživanja korisnika, brojeva, grupa i dr., sustave izbornika, funkcionalne tipke, sistemske postavke, podešavanje parametara, analiza kašnjenja i kolebanja kašnjenja, broja izgubljenih paketa i sl. i
  • centralizirano automatsko ažuriranje (update) softvera preko Media Gateway-a.

Prelaskom na jedinstvenu IP infrastrukturu, ujedno se integriraju postojeće PBX centrale, IP telefonija i podatkovni promet. Primjenom enkripcije linija temeljenom na IPSec-u moguće je ujedno istim enkripcijskim sustavom enkriptirati i telefonske linije i podatkovnu mrežu. Ujedno se pojednostavljuje nadzor i upravljanje iskorištenjem postojećeg sustava nadziranja i upravljanja IP mreža.

       Pristup Internetu

Pristup Internetu sa DMZ-om

Pristup Internetu bez DMZ-a

Internet je danas postao nezamjenjiv medij od poslovnih, političkih, edukativnih, sve do zabavnih potreba. Informacije, podaci, mrežni poslovni procesi i servisi postaju temeljne vrijednosti svake pojedine organizacije, institucije ili pojedinca. Očuvanje sigurnosti informacija i informacijskih procesa postaje prioritetna za očuvanje poslovnih i svih drugih društvenih procesa. Stoga pristup Internetu kao svjetskom mediju treba dizajnirati, implementirati i održavati sa posebnom pozornošću je se njime informacijski sustav pojedine organizacije postaje povezan i dostupan putem cijelog svijeta tj. Interneta s kojeg svatko može pokušavati prodrijeti unutra. 

Pristup Internetu mora omogućiti slijedeće osnovne funkcije

  • pristup s interne mreže u javnu mrežu Internet
  • pristup udaljenim korisnicima (uključujući i mobilne) pristup Internetu, ukoliko za to postoji potreba i dozvoljava sigurnosna politika
  • VPN veze prema udaljenim lokacijama ili prema drugim organizacijama, tijelima, korisnicima i sl.

Organizacija može ostvariti pristup Internetu centralizirano zbog:

  • provedbe zajedničkih sigurnosnih mjera i kontrole pristupa,
  • pojednostavljenja kompleksnosti sustava i administracije i
  • ukupnog smanjenja troškova

ili može pristupati Internetu na više mjesta (lokacija, LAN-ova) zbog

  • smanjenja zauzeća WAN linija (a time i smanjenja troškova),
  • povećanja propusnosti prema Internetu pojedinih regija/lokacija,
  • redundantnosti veza prema Internetu.

Oba pristupa se mogu i kombinirati, pa tako tipično neka organizacija ima pristup Internetu za svaku svoju važniju regiju, a one manje regije i lokacije putem veza povezuju se na Internet preko svoje najbliže regije.

Sustav pristupa Internetu treba udovoljavati sljedećih zahtjeva:

  • pristup osnovnim Internet servisima kao što su DNS, WWW, FTP, mail, news i dr.
  • ako za to postoji potreba pružati servise prema Internetu i unutarnjoj strani: vanjski web poslužitelj, mail, DNS i dr.
  • zabrana bilo kakvog drugog pristupa sa Interneta prema unutrašnjoj mreži osim pristup samo danim servisima u DMZ-u (ako postoji) ili strogo i jako autenticiran (X.509 certifikati), autoriziran i enkriptiran pristup u unutrašnju mrežu (VPN)
  • posjedovanje sustava za detekciju upada (IDS - Intrusion Detection System)
  • otpornost na sprečavanja dostupnosti servisa (DoS - Denial of Service) bilo sa vanjske ili unutarnje strane
  • podrška audio, video i podatkovnih servisa i aplikacija kao i njihove zahtjeva za rad u realnom vremenu, enkripciju spojnih putova, podršku za VPNove (IPSec), autentifikaciju korisnika/grupa/uređaja putem X.509 certifikata (ako postoji PKI infrastruktura), mogućnost udaljenog spajanja na sustav
  • da je usklađen sa jedistvenim sustavom upravljanja i administriranja korisnika ili grupa. Ukoliko postoji PKI infrastruktura autentikaciju ostvariti X.509 certifikatima.
  • da mu se sve komponente mogu nadzirati i upravljati i da je usklađen sa cjelovitim rješenjem nadzora i upravljanja
  • da je sustav u pogonskom stanju u svako vrijeme nalazi na najvišem stupnju sigurnosti i da cjelokupni sustav i svaka pojedina komponenta što bolje ulazi u klasu EAL4 (prema CC mjerilima) ili bolje
  • podrška za LDAP direktorij gdje su pohranjene informacije o korisnicima, grupama, zaporkama, X.509 certifikatima i dr.
  • da se za svakog korisnika ili grupu (LDAP direktorij) može kontrolirati sadržaj prometa web, ftp, e-mail, news i sličnih servisa  (npr. mogućnost zabrane pregledavanja stranica pornografskog, kockarskog i sl. sadržaja, zabrana slanja neželjenih datoteka putem e-mail-a, mp3 datoteka u sl.) - kontrola prometa i definiranje sigurnosne politike
  • da se za svakog korisnika ili grupu (LDAP direktorij) može kontrolirati dodijeljen propusni pojas - kontrola propusnog pojasa

Propusna moć sustava, mora biti točno deklarirana uz točno navedene vrijednosti svih ograničenja (enkripcija, aplikacije u realnom vremenu, broj konekcija, stupanj sigurnost i sl.). Niti jedan drugi parametar sustava koji nije naveden kao ograničenje ne smije nikako narušavati performanse sustava.

U osnovi, sama realizacija može biti dizajnirana

  • sa demilitariziranom zonom (DMZ), ukoliko se nude vlastiti Internet servisi kao što su web, poslovanje putem Interneta (e-business), audio/video media streaming i sl. i
  • bez demilitarizirane, ukoliko se samo pristupa Internetu

Ukoliko je potrebna redundatnost i/ili veća propusnost moguće je

  • vezu prema Internetu osvariti putem 2 ili više linija, obično preko različitih davatelja usluga
  • postaviti redundatne usmjerivače, vatrozide, serviere (DMZ)
  • umnažati propusnosti (load balancing) vatroazida i/ili DMZ servera

       Polje Poslužitelja

Polje poslužitelja

(centralna lokacija)

Polje poslužitelja

(srednje i udaljene lokacije)

Polje poslužitelja (Server Farm) odvaja vitalne poslovnih servisa od korisnika iz sigurnosnih razloga. Server koji se nalazi u istoj mreži u kojoj su i korisnici vrlo je ranjiv jer je dostupan po svim portovima i te se vrlo lako može „probiti“ bilo da je operativni sustav Windows, UNIX, Linux, Solaris, AIX itd. Stoga nije čudo što mnoga statistička istraživanja pokazuju da se mnogo veći broj incidenata događa „iznutra“ oko 50-80%, nanoseći mnogo veće financijske štete po pojedinom incidentu nego od napada izvana.

  • sigurnost - osigurati provedbu sigurnosne politike i sigurnosnih obrambenih mhera i ostvariti visoku (željenu) raznu sigurnosti
  • redundantnost i potrebnu propusnu moć
  • obraniti se od prodora i DoS (Denial of Service) napada
  • pojednostaviti kompleksnost sustava i administraciju

smanjiti ukupne troškove i troškove održavanja

U ovisnosti o organizacijskoj sigurnosnoj politici polje poslužitelja treba osigurati neke ili sve osnovne funkcije:

  • svim za to ovlaštenim entitetima poslovne mreže mogući dostup potrebnim servisima
  • sprečavanje upada, dostupnosti servisa bilo sa vanjske ili unutarnje strane
  • autentikaciju, autorizaciju, evidentiranje pristupa
  • detekcija upada (IDS)
  • uz postojanje PKI infrastrukture, autorizaciju pristupa ostvariti putem X.509 certifikata kod svih servisa i aplikacija koje imaju podršku za PKI (PKI Enabled Applications)smanjiti ukupne troškove i troškove održavanja

S obzirom da je polje poslužitelja u stvari zaštićena sigurnosna zona u nju je poželjno smjestiti sljedeće vitalne servise:

  • DNS (primarni i sekundarni), Web
  • interni mail sustav (Lotus Domino, MS Exchange, ...)
  • sustav poslovanja, grupne aplikacije i razvoj
  • poslovni procesi, SAP i sl.
  • baze podataka, LDAP direktoriji
  • pohrana podataka, storage sustavi
  • RADIUS, AAA serveri
  • Antivirusna zaštita
  • PKI komponente (CA, RA, LDAP, X.509)
  • sustav nadzora i upravljanja (menadžmenta) cjelokupnog sustava
  • svi ostali vitalni servisi, aplikacijski serveri i sl.

Ovaj sustav treba biti skalabilan te se principijelan dizajn sustava mora moći prilagoditi različitim zahtjevima za sigurnostm propusnu moć, tipovima i karakteru aplikacija, broju konekcija, korisnika i sl. Stoga je sam dizajn pojedine serverske farme može tipično grupirati na velike (100 i više korisnika, srednje (20-100) i male (do 20 korisnika)

       Siguran Udaljeni Pristup

Siguran modemski udaljeni pristup

Siguran udaljeni pristup preko Interneta

Korisnici mogu imati potrebu pristupa informacijskom sustavu sa fiksnih uredskih lokacija koje nisu spojene WAN mrežom. Korisnici također mogu biti mobilni i putovati zemljom i svijetom i imati potrebu za istim spajanjem. Također, korisnici mogu imati potrebu pristupa Internetu iz svojih domova, ureda ili mogu biti mobilni. Sve ove potrebe ostvaruju se modemskim udaljenim pristupom (dialup access) čime se iskorištava dobro rasprostranjena i lako dostupna postojeća telefonska fiksna i mobilna mreža širom zemlje i svijeta.

U osnovi, udaljeni pristup se može podijeliti na

  • kriptiran (siguran pristup poslovnom sustavu, serverskoj farmi, internoj mreži, informacijama, servisima i sl.) i
  • nekriptiran (pristup otvorenim informacijama, servisima, Internetu i sl.).

Modemski pristupni uređaji se povezuju sa postojećom telefonskom centralom putem E1/T1 i/ili ISDN PRI linija i imaju minimalno podršku za IP usmjeravanje, RADIUS i ACL na ulaznim portovima: Najveće brzine veze su 50.6K i 128K za ISDN modeme. Ostvarivanje veze temelji se na PPP protokolu a autorizacija ostvaruje se pomoću korisničkog imena (login) i zaporke (password) korištenjem PAP ili CHAP protokola. Kontrola pristupa osigurava se primjenom ACL lista na pristupne ulazne portove. Korisnička baza može biti na RADIUS serveru ili LDAP direktoriju.

Ukoliko je potrebno ostvariti kriptirani pristup primjenom jake autentikacije i enkripcije potrebno je ostvariti VPN tunele između svakog pojedinačnog korisnika i mreže na koju se spojio. Autentikacija može biti preko RADIUS servera ili korištenjem X.509 certifikata, a enkripcija je IPSec sa tipičnim algoritmima 3DES, AES i dr. u ovisnosti o sigurnosnim potrebama i mogućnostima organizacije. Specijalizirani uređaji za prihvat zaštićenih tunela (autenticiranih i enkripctiranih) nazivaju VPN uređaji i tipično imaju i funkciju vatrozida.

Siguran udaljen pristup moguće je ostvariti ne samo modemski nego i putem Interneta kroz Internet vatrozid koji tada ima ulogu i VPN uređaja. Na ovaj način korisnici se mogu sigurno i autorizirano spojiti putem Interneta bilo gdje da se nalazili, dovoljno je samo da imaju Internet vezu.

Copyright ©2004  NETAKOD Company.  All rights reserved.