Корпорация Hewlett-Packard возлагает большие надежды на недорогие коммутаторы, устанавливаемые на границе корпоративных сетей.
ТОЧКА ДОСТУПА для беспроводной сети от НР способна поддерживать механизм 802.1х |
В соответствии со стратегией, которую недавно представила HP, сеть можно защитить, а доступ пользователей к сетевым службам и ресурсам персонифицировать по всему ее периметру, включая точки подключения ПК и других клиентских устройств. Компании также смогут выполнять приоритизацию голосовых соединений, сеансов видеосвязи во всей сети с помощью оконечных коммутаторов HP, способных распознавать типы трафика и применять для него специальные правила обработки.
Такого рода функции традиционно поддерживаются устройствами, находящимися в центре локальной сети. Как подчеркнул Брис Кларк, директор HP по стратегии и планированию бизнеса, корпорация хочет предоставить компаниям возможность легко определять сетевые правила обработки внутрикорпоративного трафика и реализовывать их на аппаратном уровне.
Двумя основными компонентами реализации этой стратегии стали технология RADIUS (Remote Authentication Dial-In User Service), предназначенная для аутентификации пользователей, и стандарт IEEE 802.1x, описывающий процедуру контроля доступа отдельно по каждому порту.
Интеллектуальной составляющей такой архитектуры будет служить центральная база данных, содержащая информацию о том, к какой группе принадлежит пользователь и к каким ресурсам ему может быть разрешен доступ. При регистрации пользователя в сети, коммутатор будет получать из центральной базы данных информацию, которая затем преобразуется в конкретные сетевые команды, необходимые для конфигурирования портов.
HP уже предлагает сервер AAA (авторизация, аутентификация и учет услуг, потребляемых пользователем), который может использовать эти профайлы данных. Информация о каждом сотруднике при этом может помещаться, к примеру, в базу данных кадрового отдела. Такой подход может упростить изменение привилегий сотрудников в момент их приема на работу, перевода на другую должность или увольнения. Систему можно реализовать с помощью любой платформы СУБД, при условии, что она поддерживает протоколы RADIUS и 802.1x.
Поскольку сетевые привилегии сотрудников определяются для каждого конкретного порта, доступ пользователей, не имеющих необходимых прав, запрещается уже на границе корпоративной сети. Кроме того, системные администраторы получат возможность устанавливать специальные профайлы для партнеров или пользователей, которым необходимо работать в локальной сети, но не обязательно иметь доступ ко всем ее ресурсам.
Идеология защиты периметра сети, представленная HP, заключается в том, чтобы предоставлять пользователям права доступа вне зависимости от их местонахождения. То есть пользователю не нужно иметь «привязку» к определенном порту; он может предъявлять системе свои полномочия с любого удаленного терминала.
Виджай Бхагават, аналитик компании Forrester Research, подчеркнул, что коммутация в локальной сети становится все сложнее по мере того, как пользователям становится необходимо предоставлять защищенный доступ к корпоративным ресурсам из любой точки киберпространства.
«Средства защиты должны быть интегрированы в сетевую архитектуру еще на этапе проектирования системы, и лучше всего поддерживать эти функции на границе сети», — считает Бхагават. Прежде всего, контроль доступа по каждому конкретному порту помогает предотвратить атаки типа «отказ в обслуживании» (denial of service, DoS), поскольку он не позволит потоку несанкционированных пакетов засорять участок сети между портом входа и межсетевым экраном.
Пол Страусс, аналитик компании IDC, считает, что предложенная HP сетевая стратегия может оказаться полезной предприятиям среднего размера, которые получат таким образом цельную инфраструктуру для интеграции голосовых звонков в сеть передачи данных.
В некоторых продуктах, которые выпускает HP, модель пограничной сетевой защиты уже реализована. Администраторы, например, могут вручную назначить для конкретного пользователя виртуальную локальную сеть (WLAN), используя механизм 802.1x.
Продукты, рассчитанные на поддержку всей анонсированной стратегии в целом, планируется выпустить уже в этом году в несколько этапов. Первое поколение систем рассчитано на работу с одним-двумя типами баз данных, а в дальнейшем появятся более интероперабельные решения.
Корпорация HP недавно представила также точку доступа для беспроводной локальной сети, предусматривающую контроль доступа в соответствии со стандартом 802.1x. Система HP ProCurve Wireless Enterprise Access Point 520wl имеет два слота CardBus, которые могут применяться для самых разных технологий беспроводных локальных сетей. Новая система может быть оснащена устройством HP ProCurve Wireless 802.11b Access Point Card 150wl, но в нем имеется дополнительный разъем, который отведен для подключения модуля IEEE 802.11a, работающего на другой радиочастоте. Заказчики могут приобрести такую точку доступа для своих филиалов по всему миру и установить платы, соответствующие требованиям радиосвязи каждого конкретного региона.
Точка доступа, поддерживающая 802.1x, может увеличить уровень защиты корпоративных локальных сетей в холле или других местах, где доступ к беспроводной локальной сети предоставляется как собственным сотрудникам, так и посторонней публике. Отпускная цена производителя на устройство Access Point 520wl составляет 699 долл., а на Access Point Card 150wl — 119 долл.