InfoWorld, США
Компания HP выпускает новые продукты из линейки ProCurve
Сейчас стабильность сети означает нечто большее, чем работоспособность сетевых подключений и наличие маршрутизации между отдельными сегментами сети. Сбой даже на одном узле вследствие заражения вирусом или сетевым червем может ввергнуть в хаос всю сеть. Постоянные попытки распространить вредоносный код на ближайшие системы приводят к снижению доступной пропускной способности локальной сети, а затем и к деградации WAN-соединений.
Как правило, производители оборудования пытаются решить проблему управления доступом за счет использования средств аутентификации по протоколу 802.1x. При этом для подключения к сети необходима аутентификация в центральном хранилище данных. Такой метод существенно повышает уровень безопасности внутренней сети, но требует применения соответствующего оборудования и дополнительных организационных мер.
Для устранения проблемы HP создала коммутационное оборудование ProCurve, обеспечивающее, кроме прочего, функции активной антивирусной защиты и контроль над доступом на базе идентификационной информации. Решение реализовано преимущественно на аппаратном уровне и требует использования устройств HP в масштабах всей сети, хотя некоторые его элементы могут действовать совместно с оборудованием других поставщиков. Появление технологии ProCurve Access Control Security Solution можно расценивать как положительный знак для отрасли.
Кирпичик за кирпичиком
HP предоставила нам для тестирования целый коммутационный шкаф с оборудованием ProCurve, в том числе модульный коммутатор ProCurve 5300xl с интерфейсными картами Gigabit Ethernet и 10/100 PoE (Power over Ethernet), контроллер беспроводного доступа ProCurve 760wl, WAN-маршрутизатор ProCurve 7203dl и точку беспроводного доступа ProCurve 420wl. В коммутаторе 5300 располагались восемь слотов высотой 1/2 U для сетевых адаптеров, а еще один слот задействовался для управления серверами-лезвиями. Модуль 10/100 PoE в этих устройствах реализован достаточно необычно: для обеспечения работы сетевых портов требуется источник резервного электропитания ProCurve 600 RPS (Redundant Power Supply).
По-видимому, подать достаточную мощность электропитания для blade-сервера через шасси PoE оказалось невозможно, поэтому HP заполнила пустующий слот фронтальным разъемом электропитания EPS (External Power Supply). Решение работает, но не представляется особо привлекательным, поскольку оно может породить излишнюю головную боль у администраторов при управлении кабельными системами, особенно в случае полностью заполненного шасси.
Продукты серии 5300xl доступны в нескольких вариантах исполнения шасси. Мы тестировали модель 5304xl с четырьмя слотами, каждый из которых предназначен для установки разных модулей, например 24-портовых карт с интерфейсами 10/100 Ethernet или 4-портовых карт 10/100/1000 Ethernet.
Устройство было укомплектовано коммутационной матрицей с пропускной способностью 38,4 Гбит/с и пиковой производительностью 24 млн пакетов в секунду. Эти показатели недостаточно велики для коммутатора 3-го уровня, служащего для построения ядра сети. Да и количество лезвийных модулей невелико по сравнению с показателями коммутаторов на базе шасси, выпускаемыми конкурентами HP (например, оборудования серии 4500 или 6500 от Cisco или семейства BigIron компании Foundry Networks).
Беспроводной фрагмент сети был представлен контроллером ProCurve 760wl, обеспечивающим управление политиками безопасности и удаленную настройку точек доступа. Контроллер 760wl построен на базе ядра свободно распространяемой ОС FreeBSD и, по сути, является сервером со встроенным жестким диском. Такая архитектура стала «ахиллесовой пятой» решения с точки зрения поддержки отказоустойчивости, но 760wl можно использовать в резервируемой конфигурации с автоматическим переходом при необходимости на дублирующее устройство, что снижает риск выхода системы из строя. Настройка и управление выполняются посредством ПО ProCurve Manager, которое позволяет администраторам контролировать ситуацию в целом по сети.
Однако центральным компонентом Access Control Security Solution является сервер ProCurve SAMIDM (Secure Access Management/Identity Driven Management). HP реализовала аутентификацию 802.1x с помощью сервера RADIUS и облекла свою разработку в графический интерфейс Windows. ProCurve SAMIDM поддерживает создание и применение единых политик доступа на основе идентификационной информации, имеющейся в централизованном хранилище.
Вызываем антивирусную помощь
Первым тестированию подвергся блок антивирусной защиты, встроенной в 5300xl. Выяснилось, что проверка пакетов осуществляется на уровне маршрутизатора, а не оборудования коммутатора. Ядром решения является динамическая генерация списков контроля над доступом (ACL) на базе параметров использования сетевых ресурсов. Если в одном из сегментов сети компьютер начинает нарушать правила и пытается соединиться с сотнями хостов (что обычно происходит при заражении вирусом), маршрутизатор генерирует ACL, запрещающий передачу данных на IP-адрес этого компьютера, и блокирует зараженную систему. Затем коммутатор 5300xl посылает предупреждение администратору о необходимости восстановить работоспособность пораженной системы.
Порядок генерации ACL заслуживает отдельного внимания, так как получающиеся ACL-строки не представлены в настройках оборудования, а ссылки на заблокированные хосты доступны только через управляющее приложение. Однако списки доступа можно настраивать очень гибко. Политики антивирусной защиты, разрешающие или запрещающие доступ к определенным хостам и TCP-портам, устанавливает администратор. Они будут действовать, даже если коммутатор закроет доступ к системе. К примеру, сотруднику кадровой службы предоставляется доступ к внутренним приложениям и базам данных, даже когда коммутатор динамически заблокировал остальной трафик, идущий от пользовательской системы или к ней. Для поддержки данной возможности требуется, чтобы в ядре сети находился коммутатор 3-го уровня ProCurve 5300xl (остальное оборудование граничной коммутации может быть другого поставщика).
Сеть под замком
Управление доступом в предлагаемом решении основано на идентификационной информации. Администраторы могут задавать конкретные параметры использования сети на базе аутентификации пользователей с помощью атрибутов RADIUS и протокола 802.1x.
Как и для любой реализации 802.1x, основой информации об аутентификации и авторизации пользователя является RADIUS-сервер, подключенный к центральной базе данных. Поддерживаются версии IAS (Internet Authentication Service) корпорации Microsoft и Steel-Belted RADIUS от Funk Software. В этих инструментах настройка необходимых атрибутов 802.1x/RADIUS сведена к управлению сравнительно простым графическим интерфейсом. Такой механизм управления доступом был реализован достаточно давно, но интеграционные инструменты в решении HP существенно его облегчают.
Выпуск решения Access Control Security Solution свидетельствует о том, что HP всерьез занялась обеспечением высокого уровня безопасности и управления доступом на границах сети. Правда, если учесть ориентацию на конечное оборудование одного производителя (самой HP) и высокую стоимость решения, нельзя сказать, что эта задача решена в полной мере. Несомненно одно: сама инициатива создания защищенной инфраструктуры, основанной на открытых стандартах, заслуживает высокой оценки.