Obecny układ sieci lokalnej

Średnio statystycznie, sieć lokalna w małej firmie wygląda tak, jak na załączonym schemacie. Jako punkt styku z internetem wykorzystany jest typowy router dostępny w każdym sklepie komputerowym. Najczęściej jest to rozwiązanie zawierające w sobie nadajnik sieci WIFI.

 

 

W takiej sieci nikt nie kontroluje niczego. Jakość zabezpieczeń sieci WIFI w popularnych rozwiązaniach pozostawia wiele do życzenia. Osoba postronna, której uda się złamać zabezpieczenia sieci bezprzewodowej, otrzymuje fizyczny dostęp do sieci lokalnej i może swobodnie próbować dostać się do wszystkich zasobów informatycznych naszej firmy. Kolejnym elementem nad którym nie mamy w takiej sieci kontroli jest pracownik, który z racji swojego stanowiska powinien mieć dostęp do wybranych zasobów czy też usług sieciowych. 

 

Proponowane rozwiązanie po zastosowaniu NETASQ UTM U70

Jeżeli zdecydujemy się na zastosowanie nowoczesnych rozwiązań klasy UTM, to w tym wypadku możemy zastosować w takiej sieci model NETASQ U70. Nasz sieć lokalna może wyglądać tak, jak na poniższym schemacie. 

 

 

NETASQ UTM U70 jest wyposażony w 6 fizycznych interfejsów, które możemy dowolnie konfigurować pod kątem naszych specyficznych potrzeb. Porty mogą być użyte jako porty WAN lub LAN. W naszym przykładzie mamy jedno łącze  internetowe ale gdy nasze potrzeby wzrosną, to nic nie stoi na przeszkodzie aby jeden z dostępnych portów skonfigurować jako dodatkowy WAN. Pozostałe porty wykorzystamy na podział sieci lokalnej i wydzielenie strefy DMZ, czyli strefy ograniczonego zaufania, nie należący ani do sieci wewnętrznej ani do sieci zewnętrznej.

 

Nasza przykładowa sieć lokalna ma wydzielone cztery sieci wewnętrzne i nie jest to podział logiczny ale całkowicie fizyczny. Każda z tych sieci ma własną adresację i standardowo nie ma miedzy tymi sieciami żadnego routingu, który musimy dopiero zdefiniować zgodnie z zasadami polityki bezpieczeństwa.

 

Podstawową i główną siecią jest LAN BIURO do której są podłączone stacje robocze pracowników biurowych. Dla tej sieci możemy zdefiniować zasadę, że każdy pracownik ma dostęp do podstawowych zasobów, a np. dostęp do internetu jest możliwy dopiero po autoryzacji.

 

Kolejną siecią biurową jest WIFI BIURO, czyli sieć dla pracowników korzystających z laptopów ale z przeznaczeniem podobnym do sieci LAN BIURO. Poza standardowymi zabezpieczeniami stosowanymi w sieciach bezprzewodowych, powinna posiadać mechanizm dodatkowej autoryzacji polegającej na rozwiązaniu opartym na Captive Portal.  Po poprawnej autoryzacji pracownik może mieć w tej sieci podobne uprawnienia do tych ustalonych dla sieci kablowej.

 

Dodatkową siecią jaką dla przykładu wydzieliliśmy jest WIFI SALA KONFERENCYJNA. Możemy określić typ tej sieci jako tzw. sieć z dostępem publicznym. Może nie do końca udostępnimy ją bez ograniczeń ale może to być sieć, którą przeznaczymy dla naszych gości. Definiując zasady użytkowania tej sieci możemy przyjąć, że po poprawnym wpisaniu klucza sieci na poziomie zabezpieczeń AP użytkownik dostaje dostęp do Internetu w zakresie usług HTTP, POP3 i SMTP a pozostałe usługi są zablokowane.

 

Ostatnią wydzieloną siecią są SERWERY, czyli zasoby pod specjalnym nadzorem. W standardowej konfiguracji zasoby serwerowe mogą być również częścią sieci LAN BIURO, bo i przy takiej konfiguracji mamy możliwość nadzorowania dostępu do poszczególnych zakresów jednej sieci.

 

Należy również pamiętać, że wszystkie rozwiązania klasy UTM firmy NETASQ poza zaprezentowanymi możliwościami zawierają jeszcze wiele innych rozwiązań wpływających na bezpieczeństwo sieci. W skład systemu UTM wchodzą moduły: Firewall, moduł wykrywania i zapobiegania włamaniom tzw. IPS, moduł umożliwiający kontrolowanie w czasie rzeczywistym stanu połączeń, obciążeń interfejsów, liczby wykrytych i wyeliminowanych zagrożeń, kanały VPN oraz rozwiązania antywirusowe i antyspamowe