Компания «Поликом Про» провела уникальный семинар «VPN-решения: Организация защищенного корпоративного взаимодействия с резервированием каналов»

09.10.2007

Компания «Поликом Про» провела уникальный семинар «VPN-решения: Организация защищенного корпоративного взаимодействия с резервированием каналов»

Михаил Орешин («Поликом Про»), Алексей Афанасьев (Cisco Systems), Алексей Комаров (Aladdin) и Василий Широков (S-Terra CSP) познакомили участиников семинара с передовыми VPN-решениями Cisco, Aladdin и S-Terra CSP в области безопасности – защиты сетевых ресурсов от несанкционированного доступа, методами быстрого и безошибочного выявления попыток проникновения и противодействия им, способами упростить и автоматизировать операции по управлению безопасностью, включая настройку, мониторинг, анализ и реагирование.

Участникам семинара была представлена уникальная демонстрация на специальном модельном стенде, построенном на базе продуктов компаний Cisco, S-Terra CSP и Aladdin. Стенд наглядно демонстрировал сценарий построения защищенного соединения между двумя офисами (головной офис и филиал) с резервированием каналов передачи данных. Решение модельного стенда построено на сетевом модуле NME-RVPN, интегрированном в маршрутизаторы Cisco ISR 2800 и 3800 и поддерживающем российские криптографические алгоритмы.

Для демонстрации была поставлена задача обеспечить защищенное соединение с центральным офисом через основной линк при условии, что в сети филиала имеются один маршрутизатор Cisco 28xx с модулем RVPN, основной линк в центральный офис (через MPLS сеть провайдера или выделенный канал) и дополнительный линк в Internet (с единственным реальным IP адресом на Ethernet). Кроме того, соединение с Internet использовать в качестве «backup», либо в режиме «load balancing» для разгрузки основного линка, при этом контролируемый выход пользователей в Internet предоставить через главный офис.

На стенде было продемонстрировано решение поставленной задачи пошагово. Масштабируемость решения была реализована за счет использования GRE over IPsec туннелей. Были настроены 2 туннеля – через основной и дополнительный линки соответственно – для резервирования или load balancing. Для «развязки» туннелей друг от друга были задействованы два интерфейса (IP-адреса) модуля: IPsec tunnel через Internet терминируется на внешнем интерфейсе модуля, а основной туннель – на внутреннем. ACL на внешнем интерфейсе, пропускающий только зашифрованные GRE пакеты от известных IP адресов, обеспечил защиту модуля (от Internet).

Кроме того, на стенде был показан функционал защищенного аппаратными ключами eToken клиентского доступа к корпоративным информационным ресурсам, как бизнес-приложения, электронная почта, IP-телефония, включая функционал, требующийся для мобильного и удаленного офиса.