Infrastruktura sieciowa dla międzynarodowego koncernu finansowego
Bezpieczna infrastruktura sieciowa dla międzynarodowej firmy działającej na rynku finansowym
Wyzwanie:
Dynamiczny rozwój firmy i coraz większe wymagania dotyczące bezpieczeństwa spowodowały konieczność rozbudowy istniejącej infrastruktury sieci lokalnej oraz poprawę bezpieczeństwa dostępu do usług sieciowych. Ze względu na charakter działalności klienta, dostęp do zasobów sieciowych należało zrealizować z zastosowaniem podwyższonych mechanizmów bezpieczeństwa oraz wysokiej dostępności i niezawodności.
Realizacja:
Przez specjalistów E-Direct Cloud Solutions została wdrożona bezpieczna infrastruktura sieciowa. W projekcie zastosowano urządzenia sieciowe i bezpieczeństwa renomowanej firmy Cisco Systems.
W roli przełącznika dostępowego użyto przełącznika Catalyst 3550, natomiast jako urządzenie szkieletowe wykorzystano przełącznik Catalyst 3650. Zastosowanie wydajnych przełączników znacząco przyspieszyło dostęp użytkowników do zasobów na serwerach aplikacyjnych. W celu zapewnienia bezpiecznego dostępu do internetu zastosowano firewall typu state full inspection Cisco ASA 5515x, wyposażony dodatkowo w moduł programowy IPS. Firewall ASA 5515x pełni też rolę koncentratora VPN do połączeń z dwiema lokalizacjami, a także dostępu do sieci dla połączeń VPN inicjowanych z komputerów wyposażonych w oprogramowanie Cisco IPSEC VPN Client.
Wdrożono funkcjonalność translacji adresów PAT oraz NAT na potrzeby dostępu do wybranych serwerów w sieci wewnętrznej. W ramach sieci lokalnej zostały zaimplementowane VLAN-y. W celu zapewnienia ciągłości dostępu do zasobów w sieci rozleglej została wykorzystana funkcjonalność automatycznego przełączania łącz w przypadku awarii dostępu przez łącze zapasowe. Funkcja ta umożliwia przełączenie urządzenia Firewall/IPS ASA 5515x na łącze zapasowe w celu zapewnienia dostępu do Internetu dla użytkowników sieci LAN. Zastosowano podwójne zasilanie w przełączniku Catalyst 3650 oraz podwójne lub zwielokrotnione połączenia typu EtherChannel do kart sieciowych serwerów aplikacji.
Wdrożone mechanizmy poprawiające bezpieczeństwo sieciowe:
- Kontrola stacji (komputerów) w sieci LAN. Do dostępu do sieci LAN wymagane są dane uwierzytelniające danego użytkownika w postaci nazwy i hasła oraz certyfikatu. Dostęp do infrastruktury sieciowej możliwy jest wyłącznie z użyciem protokołu uwierzytelniania 802.1x zintegrowanego z domeną Windows.
- Mechanizm dhcp snooping. Mechanizm polega na kontroli adresów IP i synchronizacji z serwerem DHCP. Zadaniem tego mechanizmu jest blokowanie nieuprawnionych stacji wpiętych do sieci LAN lub prób wykorzystania IP sąsiada.
- Kontrola sztormów ramek typu „broadcast” oraz „multicast” na wszystkich portach dostępowych w sieci LAN.
- Kontrola adresów MAC na portach o nazwie „Port Security”. Mechanizm polega na określeniu maksymalnej liczby różnych adresów MAC, jakie mogą się pojawić na porcie, akcji jaką switch ma podjąć w momencie przekroczenia tej liczby lub przyklejania pierwszego nauczonego MAC itp.
- Ochrona przed pętlami, nieuprawnionym przejęciem przez obcego switcha . Ochrona przed tymi zjawiskami została wprowadzona z przez użycie mechanizmów „BPDU Guard”, „Loopguard” i „Root Guard”.
Osiągnięty cel:
Zastosowane rozwiązanie wykonane w oparciu o urządzenia sieciowe i bezpieczeństwa firmy Cisco Systems pozwoliło osiągnąć zamierzony cel jakim była rozbudowa istniejącej infrastruktury lokalnej przy jednoczesnym podniesieniu bezpieczeństwa dostępu do usług sieciowych. Połączenia elementów sieci zostały skonfigurowane w taki sposób, aby ich wykorzystanie było pełne tzn. wszystkie połączenia są aktywne i przenoszą ruch pomiędzy urządzeniami sieciowymi, a także serwerami aplikacyjnymi. Sieć klienta została w bezpieczny sposób odizolowana od nieuprawnionych użytkowników przy jednoczesnym dostępie do usług typu serwer pocztowy, Citrix Gateway.
Funkcja automatycznego przełączania łącza, zaimplementowana w urządzeniu Firewall/IPS ASA 5515x, umożliwia przełączenie na łącze zapasowe w celu zapewnienia dostępu do Internetu dla użytkowników sieci LAN. Skonfigurowano również bezpieczne połączenia site to site IPSEC do 2 odległych lokalizacji. Zastosowanie wysokowydajnych przełączników oraz zwielokrotnionych połączeń pomiędzy urządzeniami sieciowymi i serwerami aplikacji poprawiło znacząco prędkość dostępu do serwerów aplikacji.
