Mrežna povezanost omogućava pristup javnim mrežama i daje podršku mrežnim aplikacijama i metodama autentifikacije na unutrašnjoj mreži. U ovoj lekciji će biti reči o dizajnu rešenja bezbedne mrežne povezanosti za određenu organizaciju. Na početku se prikupljaju informacije o potrebama organizacije za povezanošću sa drugim mrežama i informacije o sigurnosnim zahtevima. Ove informacije imaju najveći uticaj na dizajn fizičke mreže.
Dok pravite mapu detalja lokalne mreže i dijagram spoljnih linkova fizičke mreže razmotrite postojeću povezanost i statistiku iskorišćenosti. Upotrebite ove informacije da biste odredili da li postojeće veze zadovoljavaju poslovne potrebe organizacije, uzimajući u obzir i eventualni rast organizacije. Još razmotrite poslovne potrebe organizacije za dostupnošću, performansama, sigurnošću i toleranciji na kvar.
Uzimajući u obzir poslovne potrebe organizacije, razmotrite sledeće tipove veza:
- Lokalne veze
- Udaljene veze - koje uključuju širokopojasne veze unutar organizacije, dial-up veze udaljenih korisnika i količina propusnog opsega određenog za autentifikaciju, replikaciju aktivnog direktorijuma i sl.
- Veze ka internetu - koje uključuju veze ka internetu sa svih pojedinačnih lokacija, VPN veze između lokacija i VPN veze korisnika koji trenutno nije u sistemu organizacijske mreže.
Slika 1. Zahtevi za povezanošću lokacija
Kada prikupljate podatke o mrežnim povezanostima, pratite sledeće smernice:
- Procenite postojeću mrežnu infrastrukturu i obrasce mrežnog saobraćaja. Odredite broj i tipove klijenata, tipove mrežnih aplikacija i zahtevane vrste povezanosti na svakoj lokaciji, između lokacija i veza sa udaljenim korisnicima.
- Pošto su sve organizacije jedinstvene, potrebno je odrediti specifične potrebe i zahteve organizacije za povezanošću.
- Procenite buduće potrebe organizacije za povezanošću, odnosno buduća očekivana proširenja organizacije u periodu od tri do pet godina.
- Odredite koje su i kolike moguće pretnje koje se odnose na povezanost mreža, odredite tipove mrežnog saobraćaja koje bi trebalo obezbediti i koji nivo sigurnosti je potrebno postići za svaku vrstu saobraćaja
Tip veze iskorišćen za povezivanje dve lokacije će uticati na sve aspekte mrežne komunikacije između tih lokacija.
- Postoje modemske veze koje uključuju Dial-up i ISDN (Integrated Services Digital Network) koje se uspostavljaju privremeno preko telekomunikacionog sistema, odnosno telefonske linije. Brzina protoka ostvarenog preko Dial-up modema iznosi maksimalno 56 Kb u sekundi, odnosno 33 Kb u sekundi u uslovima našeg realnog okruženja. ISDN brzine se kreću od 64 Kb u sekundi do 2048 Kb u sekundi, što zavisi od subjekta koji pruža telekomunikacione usluge.
- Iznajmljene linije su posebne veze koje obezbeđuju stalnu povezanost preko linija telekomunikacionog sistema i najčešće predstavljaju povezanost dve krajnje tačke. Ovakvo povezivanje može da se ostvari preko kablovske veze lokalnog TV provajdera koji pruža usluge povezivanja sa internetom manjoj poslovnici ili kancelariji. Brzine protoka se kreću od 1,5 do 3 Mb u sekundi. Ovakve veze su asinhrone tj. brzine dolaznog saobraćaja su daleko veće od brzine odlaznog. DSL (Digital Subscriber Line) pruža više opcija povezanosti ali ovakva veza nije dostupna na svim lokacijama zbog pojedinih ograničenja veza ili neimplementirane podrške za ovakav tip veza od strane davalaca telekomunikacionih usluga. Najraširenija opcija ove vrste veze je ADSL (Asynchronous Digital Subscriber Line) gde je dolazni saobraćaj brži od odlaznog. Postoje još IDSL, odnosno DSL preko ISDN linije, i SDSL (Synchronous Digital Subscriber Line), gde su brzine odlaznog i dolaznog saobraćaja jednake.
- Frejm relej predstavlja pouzdanu digitalnu konekciju posredstvom telefonskih linija i posebnih uređaja koji se najčešće povezuju na ruter lokacije i pomoću ovog rešenja se mogu povezati više lokacija različitim brzinama, koje su u opsegu od 56 Kb u sekundi do 1,544 Mb u sekundi.
- VPN (Virtual Private Network), odnosno virtualna privatna mreža zahteva postojanje povezanosti obe strane sa internetom odnosno javnom mrežom. VPN obično koristi metode enkripcije radi zaštite podataka koji prolaze kroz javnu mrežu. Brzina ovakvih veza je nešto manja od brzina koje se ostvaruju prema internetu na obe lokacije zbog dodatnog opterećenja održavanja VPN konekcije prouzrokovanog enkripcijom podataka.
Poslovni zahtevi imaju veliki uticaj na tip veze koji će biti upotrebljen.
- Brzina veze kojom organizacija pravi transakcije može biti od presudnog uticaja u određivanje tipa veze. Za nesmetano obavljanje poslovnih procesa trebalo bi proceniti potrebnu brzinu veze između lokacija jedne organizacije i brzinu veze između organizacije i poslovnih partnera.
- Potrebno je odrediti koje lokacije zahtevaju pojedinačnu ili višestruku povezanost sa drugim lokacijama i na osnovu toga odrediti da li će biti upotrebljena iznajmljena linija, Dial-up konekcija ili Frejm relej.
- Izbor tipa veze između lokacija može biti određen i na osnovu cene. Često je slučaj da je povoljnije izabrati VPN povezanost preko interneta nego preko iznajmljene linije.
- Potrebno je utvrditi posledice gubitka veze i njegove efekte na poslovanje organizacije. Preporuka je da na lokacijama gde je potrebna veća pouzdanost veza postoji i rezervna veza.
Koristite iznajmljene linije ili Frejm relej za širokopojasne veze preko kojih prolazi obiman saobraćaj. Ukoliko se planira samo povremena razmena podataka moguće je da će isplativije biti povezivanje preko ADSL-a ili Dial-up veze koje mogu biti korišćene i kao redudantne veze koje bi se koristile u slučaju prekida glavne veze i to samo u periodu dok se ne otkloni kvar.
Udaljene lokacije koje imaju stalan pristup internetu je često najisplativije povezati preko VPN konekcije, naročito ako se lokacije nalaze u različitim državama ili čak kontinentima. Loša strana ovog rešenja je to što u slučaju prekida veze ka internetu na bilo kojoj lokaciji dolazi do prekida svake veze ka toj lokaciji.
Za dizajn povezivanja lokacija organizacije trebalo bi detaljno odrediti broj i tipove veza koje su potrebne, poslovne funkcije na svakoj lokaciji i poslovne potrebe organizacije koje imaju uticaj na ovaj dizajn.
Potrebno je utvrditi kako su organizovani resursi u organizaciji i na osnovu toga proceniti broj potrebnih konekcija. Naprimer, ako se na jednoj lokaciji smešta rezervna kopija podataka sa svih servera organizacije, onda je potrebno na toj lokaciji predvideti vezu sa svakom od udaljenih lokacija. Poznati broj i vrste računara na svakoj lokaciji mogu da pomognu u određivanju brzine veze. U slučaju da na jednoj lokaciji postoji samo desetak radnih stanica koje retko imaju potrebu za pristupanjem podacima na centralnoj lokaciji, dovoljno je da ta lokacija bude povezana preko Dial-up ili ISDN veze.
Kada se utvrde broj i tipovi veza među lokacijama potrebno je odrediti kako će se te veze implementirati. Naprimer, ako se odluči da sve lokacije budu povezane VPN vezom, potrebno je odrediti da li će se to izvesti pomoću hardverskih VPN rešenja ili softverskih, kao što je recimo "ROUTING AND REMOTE ACCESS" servis Windows 2003 Servera.
Da bi se izbegli troškovi iznajmljivanja sopstvene linije za povezivanje sa organizacijskom mrežom, moguće je kreirati tzv. sigurnosni tunel kroz javnu mrežu - internet i na taj način formirati VPN. VPN je popularan u kompanijama u kojima zaposleni imaju potrebu za čestim putovanjima ili u kompanijama koje imaju potrebu za omogućavanjem pristupa kompanijskoj mreži kupcima, dobavljačima ili poslovnim partnerima. Sigurnost se postiže autentifikacijom i enkripcijom. Međutim, VPN rešenje može negativno da utiče na performanse, naročito sporih veza kao što su Dial-up ili ISDN zbog toga što će se pojaviti dodatno opterećenje koje je povezano sa Tunel protokolom.
Pre nego što se odluči o implementaciji VPN veze, potrebno je razmotriti prednosti i mane takve veze.
Prednosti su:
- Može se upotrebiti postojeća infrastruktura javne mreže - interneta za prenos tunelovanih podataka
- Ne zahteva dodatni trošak iznajmljivanja sopstvene linije za povezivanje uređaja
Mane su:
- Proces tunelovanja rezultuje povećanjem opterećenosti saobraćaja
- Obe strane treba da podražavaju identičan protokol (PPTP ili L2TP)
- Povećan je rizik od neovlašćenog uvida u pakete koji se prenose
Slika 2. Strategije za dizajn zaštitnih zidova
Intranet je privatna mreža koja se prostire kroz organizaciju. Sastoji se iz jednog ili više povezanih mrežnih segmenata. Sigurnost računara na lokalnoj mreži nije toliko stroga kao sigurnost onih računara koji su direktno izloženi internetu. Vrlo je važno da se intranet zaštiti od interneta pomoću zaštitnih zidova tzv. firewallova koji kontrolišu sav saobraćaj koji ulazi i onaj koji izlazi sa lokalne mreže. Microsoftovo softversko rešenje ovakvog zaštitnog zida je INTERNET SECURITY AND ACCELERATION (ISA) SERVER.
Postoje mnogi načini za konfigurisanje zaštitnih zidova, ali su najčešća tri načina konfigurisanja:
- Bedem - predstavlja jednu tačku kontakta između intraneta i interneta i važi za tipičnu implementaciju zaštitnog zida na manjim mrežama kao zaštita od napada na resurse lokalnoj mreži.
- Tri kraka - predstavljaju jedan uređaj sa tri mrežna adaptera u sebi. Jedan adapter je povezan na lokalnu privatnu mrežu, drugi je povezan na drugi deo lokalne mreže na kome se nalaze web, e-mail i ostali servisi koji će biti dostupni s interneta. Treći adapter je povezan na internet. Ovako konfigurisan zaštitni zid koristi različite filtere za kontrolu saobraćaja u zavisnosti od dela mreže na koji se odnosi.
- Dvostruki zid - koristi dva zaštitna zida, jedan kao zaštitu od interneta, a drugi kao način odvajanja od intraneta. Ovakav model se koristi za velike i složene mreže.
Svrha ekstraneta je da dozvoli poslovnim partnerima, kupcima, dobavljačima ili proizvođačima da imaju pristup jednom delu ili celoj organizacijskoj mreži. Pošto skoro nikada partneri nemaju iznajmljenu liniju do organizacijske mreže potrebno je pristup omogućiti putem interneta. Zbog očiglednog razloga nije dobra ideja povezati svoju organizacijsku mrežu direktno na internet bez bilo kog vida zaštite. Najopštiji principi zaštite ekstraneta su:
- Spoljni pristup unutrašnjoj mreži mora da bude ograničen samo na autorizovane korisnike
- Spoljni korisnici ne bi trebalo da imaju pristup podacima koje ne treba da vide
- Neautorizovani korisnici ne bi trebalo da imaju pristup bilo kojim podacima
Postoji nekoliko metoda za omogućavanje spoljnim korisnicima da pristupaju organizacijskim podacima:
- Postavljanje podataka na javni web server koji je dostupan svim korisnicima interneta. Ovaj metod može da se koristi samo za podatke koji mogu da budu objavljeni i dostupni svima.
- Postavljanjem podataka na web server koji zahteva autentifikaciju spoljnih korisnika pre nego što mogu da pristupe podacima. Zaštita prenosa podataka se vrši pomoću SSL enkripcije.
- Omogućavanje VPN veze spoljnom korisniku pomoću koje će imati pristup jednom delu ili celoj mreži kao da je prijavljen lokalno i da se nalazi na mreži organizacije.