По мнению экспертов, сетям нового поколения понадобится существенно более высокий уровень безопасности. Учитывая последние веяния в области телекоммуникаций, производители программно-аппаратных средств постоянно совершенствуют свои решения.
Интеграторская компания TopS BI (российский партнер Check Point, IronPort Systems и Crossbeam) провела специальный семинар для заказчиков из сферы телекоммуникационного бизнеса. На нем были представлены новейшие технологии и продукты, призванные обеспечить безопасность операторов и их клиентов.
Как считает консультант по безопасности CheckPoint Антон Разумов, сетевые технологии достаточно развиты для того, чтобы интегрировать фиксированную и мобильную связь на конвергентной платформе. Но хотя архитектура подобных FMC-сетей и считается проработанной, в ней отсутствуют элементы, обеспечивающие должный уровень информационной безопасности. «Решение Check Point VPN-1 MASS может надежно защищать пользовательский и сигнальный трафик в сетях GSM и 3G», — утверждает Разумов. VPN-1 MASS — это защитный шлюз, который избавляет сетевое оборудование операторов связи от многих ресурсоемких вычислений. Он одновременно выполняет функции VPN-концентратора для мобильных клиентов и межсетевого экрана.
Другое решение Check Point также предназначено для телекоммуникационных компаний. VPN-1 VSX позволяет объединить на одной аппаратной платформе до 250 виртуальных межсетевых экранов, систем предотвращения вторжений (IPS) и VPN-концентраторов класса Enterprise. Кроме того, VSX может играть роль виртуальной платформы при создании и поддержке сложных сетевых сред, включающих в себя маршрутизаторы, VLAN-подсети и каналы.
Антон Разумов: «Сетевые технологии достаточно развиты для того, чтобы интегрировать фиксированную и мобильную связь» |
В сентябре специалисты TopS BI инсталлировали систему VPN-1 VSX в московском филиале «ВымпелКома». Сейчас большая часть трафика GPRS, следующего от абонентов столичной сети «Билайн», передается через систему виртуальных межсетевых экранов VSX. В ближайшем будущем планируется переключить на нее трафик MMS и принадлежащих оператору точек доступа Wi-Fi.
Все данные между узлами поддержки абонентов GPRS (Serving GPRS Support Node, SGSN) и узлами маршрутизации трафика от ядра GPRS-сети к внешним IP-сетям (GPRS Gateway Service Node, GGSN) передаются с помощью специального протокола GTP (GPRS Tunneling Protocol). Последний инкапсулирует в себя любые пользовательские протоколы, например HTTP, Telnet и FTP. По умолчанию GTP-трафик не шифруется, а следовательно, нуждается в защите. Неудивительно, что еще один доклад Разумова был посвящен решению Check Point, которое «закрывает бреши» протокола GTP, защищает инфраструктуру пакетной передачи данных, контролирует подключение к сети партнеров, проводит глубокий анализ и мониторинг трафика.
Все эти функции присущи последней версии Firewall-1 GX. «Что собой представляет традиционный межсетевой экран для IP-сетей? Это обычный фильтр для некоторых потоков данных и портов. Он не способен проверять инкапсулированные GTP-пакеты, протоколировать специфические GTP-события и блокировать атаки, основанные на технологии GTP», — говорит Разумов. Система Firewall-1 GX учитывает все особенности протокола GTP и позволяет оператору надежно защитить его сеть — прежде всего за счет проверки целостности пакетов данных, пересылаемых по этому протоколу.
Менеджер по развитию направления «Информационная безопасность» TopS BI Богдан Тоболь представил Check Point Security Management Portal — комплекс средств защиты абонентов ISP. Он позволяет быстро и эффективно управлять множеством клиентских шлюзов и оказывать дополнительные услуги. Комплексное решение для обеспечения информационной безопасности абонентов, предлагаемое TopS BI, основано на продуктах Check Point Safe@Office и Security Management Portal (SMP). Первый из них поддерживает межсетевое экранирование, организацию VPN, антивирусную защиту, Web-фильтрацию. Второй позволяет одному администратору управлять несколькими сотнями UTM-устройств (Unified Treat Management), размещенных в сети.
Safe@Office предназначен для защиты небольших и средних по размеру компаний. Стоимость разных версий Safe@Office варьируется от 300 до 1 тыс. долл., но инвестиции клиента в такую систему возвращаются уже через несколько месяцев. Для защиты сетей крупных фирм рекомендуется использовать продукты Check Point соответствующего класса. Для управления ими провайдер может применять более функциональный аналог SMP — решение Provider-1/SiteManager-1.
Схема развертывания услуг по обеспечению ИБ на базе решения Safe@Office |
Представитель Crossbeam Systems Томас Михаэли рассказал о высокопроизводительных платформах, основанных на архитектуре Blade-серверов и активном сетевом оборудовании. Они ориентированы на крупных операторов связи и владельцев мощных корпоративных сетей. Crossbeam X-Series представляют собой консолидированные пограничные устройства (Consolidated Perimeter Devices, CPD), которые объединяют в единую систему аппаратные и программные компоненты, ответственные за безопасность данных и другие функции. «За счет исключения дублирующих элементов решения CPD стоят дешевле набора схожих по функциональности автономных устройств, — утверждает Михаэли. — А продуманные средства управления делают их более удобными в эксплуатации». Crossbeam, по сути, является мультигигабитными консолидированными МЭ, но выполняет и массу других задач — от обнаружения вторжений до блокирования вирусов.
Впрочем, на российском рынке не иссяк интерес и к специализированным решениям. Мирко Шнейдер, специалист компании IronPort Systems, представил высокопроизводительное устройство, обеспечивающее безопасность почтовых служб телекоммуникационных операторов. Оно реализует многоуровневую защиту почтовых служб провайдера от спама и вирусов (на основе политик безопасности). Системы IronPort серий C и X поддерживают обе модели реагирования на сетевые угрозы (превентивную и реактивную), что позволяет блокировать до 80% спама прямо на шлюзе.