Cisco и за информационную безопасность

Еще одно событие, связанное с компанией Cisco, произошло на той же неделе, что и клуб Pro Cisco. Только в отличие от последнего, прошедшего в столице, оно напрямую коснулось Ростова-на-Дону, а точнее, одной из его аудитории - корпоративных ИТ-специалистов. Два дня, 20 и 21 июня Cisco и ростовская компания "Кредиткард.

Информационные технологии" проводили семинар, посвященный информационной безопасности. Ключевой темой на нем было представление южно-российским заказчикам модуля шифрования NME-RVPN, реализующего стандарты криптографической защиты для протоколов TCP/IP.

Необходимость создания модуля назрела сложившимся спросом, поскольку некоторым государственным и коммерческим организациям нужна именно поддержка российских криптографических стандартов шифрования. Впервые представленный на московской конференции CiscoExpo-2006, модуль явился результатом совместных усилий компаний Cisco и S-Terra CSP. С тех пор прошло несколько презентаций модуля заказчикам, но “вживую” представление его на территории ЮФО состоялось впервые именно в Ростове на прошедшем мероприятии.

Несмотря на то, что мероприятие продолжалось два дня, по причине проходящего параллельно клуба ProCisco, присутствовать на нем автор смог лишь во второй день, когда состоялось представление RVPN-модуля ограниченному числу представителей корпоративных заказчиков, сотрудничающих с компанией "Кредиткард". Там же мы смогли услышать небольшой, но насыщенный техническими подробностями доклад от менеджера по продуктам безопасности Алексея Афанасьева.

Продукт NME-RVPN, созданный компаниями Cisco и S-Terra CSP, представляет собой специализированный модуль, предназначенный для работы с маршрутизаторами серий 2800 и 3800 и обеспечивающий работу IPsec VPN-туннелей с российской криптографией на базе программного обеспечения, разработанного и сертифицированного в России. В отличие от известных VPN-ускорителей типа AIM-VPN/SSL-2, которые могут устанавливаться в маршрутизаторы, этот модуль имеет собственную операционную систему и собственную поддержку протокола IPsec, ориентированную на использование шифрования по алгоритмам ГОСТ. Таким образом, его можно представить как независимое устройство в маршрутизаторе, которое умеет обрабатывать пакеты и передавать их как через внешний, так и через внутренний интерфейсы Gigabit Ethernet. Кстати, наличие двух интерфейсов является большим плюсом при построении отказоустойчивых решений, т.к. позволяет строить независимые два туннеля от разных IP адресов. А при инсталляции двух модулей в маршрутизатор серии 3800 их число, таким образом, может достигнуть четырех.

Аппаратно вычислительная платформа построена на базе процессора Intel Celeron M с тактовой частотой 1 ГГц, имеются по 512 Мб DDR2-памяти и флеш-памяти (на карте формата Compact Flash, используемой как жесткий диск). Модуль работает полностью независимо от IOS маршрутизатора, используя программное обеспечение CSP VPN GATE v.2.1. компании С-Терра СиЭсПи. Настраивается модуль при помощи CLI-консоли, при этом командный интерфейс очень похож на используемый в Cisco IOS, удаленно модулем так же можно управлять при помощи графического интерфейса. Дополнительно можно воспользоваться разнообразными утилитами, ориентированными на управление и мониторинг. В любой момент система дает возможность получить всю необходимую информацию о функционировании системы, и Алексей Афанасьев, а также системный инженер Cisco Василий Гойса, неоднократно демонстрировали это для заинтересованных слушателей.

Большой интерес ростовских корпоративных заказчиков к RVPN-модулю подтверждает тот факт, что бизнес уже способен работать по принятым в нашей стране стандартам. И более того, вопросы безопасности ставятся компаниями на первые места - развитие бизнеса требует сохранения бизнес-процессов при любой, даже самой критической ситуации. Поэтому совершенно логичным выглядит тот факт, что в первый день на семинаре сотрудники Cisco уделили внимание не только стенду с RVPN-модулями, но и другим продуктам в области безопасности. А на эту тему Cisco рассказать есть что... тем более, что ввиду нашего отсутствия, на первом дне семинара нам дал информацию из первых уст Алексей Афанасьев.

Прежде всего, Алесей поведал про одно из интереснейших решений Cisco - технологию контроля доступа и проверки соответствия требованиям политики ИТ и безопасности NAC (Network Admission Control). Она родилась из потребности бизнеса в защите его от рисков, которые вносят в сеть пользователи и устройства, не соблюдающие правила безопасности.
Представьте себе ситуацию, что в вашу беспроводную сеть подключается новый ноутбук клиента, который не имеет необходимых средств защиты. Что в этом случае может случиться с сетью - рассказывать долго, наверное, не имеет смысла: все мы наслышаны про эпидемии вирусов и червей. Так вот, система NAC не позволит компьютерным системам войти во внутреннюю сеть, и максимум, что клиент сможет сделать - воспользоваться гостевым входом в Интернет. А вот системам, соответствующим всем политикам безопасности, система скажет "Добро пожаловать!". Разумное решение? Несомненно...

Еще один комплекс решений для защиты корпоративных сетей, на который стоит обратить внимание, - это серия Cisco ASA. Она представляет собой устройства, совмещающие в себе межсетевой экран (файрвол), VPN (клиентский или бесклиентский), антивирусную систему защиты или систему предотвращения вторжений. Как видно, множество устройств с различной функциональностью объединены в рамках одного решения, одной системы и одной "коробки". Все это дает возможность одномоментного управления всеми сервисами, что существенно сказывается на управляемости всей системой безопасности.

И наконец, еще одна система безопасности, о которой нам рассказал Алексей Афанасьев, -- это продукт Cisco MARS. С богом войны Древнего Рима он не связан никак, наоборот, он информационные войны и неприятности предотвращает. MARS расшифровывается как Monitoring, Analysis and Response System - система мониторинга, анализа и ответа. Система берет сведения из разнообразных источников, осуществляя мониторинг в реальном режиме времени, и преобразовывает данные в удобную для специалистов и начальника ИТ-отдела форму. В результате они имеют возможность оперативно получить информацию и в соответствии с ней выработать ответную стратегию. В связи с тем, что в последнее время наблюдается тенденция, что ИТ-директор не имеет ИТ-образование, данная система будет большим подспорьем в его работе. Ведь информация - это оружие. Только в данном случае -- направленное во благо.

Сергей Ванюков