Описание ИТ-инфраструктуры предприятия

Территориальная структура предприятия

НПО «Ассоциация К» имеет следующую территориально-распределенную структуру (рисунок 17).

Рисунок 17. Территориальная структура предприятия.

• 1. Центральный офис — расположен на принадлежащей компании территории промышленной зоны в деревне Машково Московской области и представляет собой несколько офисных зданий. Здесь же располагается химическое производство огнезащитных составов, красок и пропиток. Территория огорожена по периметру и имеет круглосуточную охрану (сотрудники охраны, пропускной режим, система видеонаблюдения и контроля доступа, охранно-пожарная сигнализация). Вход и выход сотрудников предприятия осуществляется через систему контроля доступа с использованием именных электромагнитных пропусков. Проезд автотранспорта на территорию осуществляется через автоматические ворота. Электропитание на территорию подается по двум независимым линиям, основной и резервной, переключение между которыми осуществляется в ручном режиме в течение регламентированного времени (10 минут). Подключение к Интернету организовано по двум независимым каналам связи от разных провайдеров Интернета (основной канал — оптико-волоконная линия, резервный — направленный Wi-Fi). Переключение между ними в случае аварии осуществляется автоматическим способом. Доступ в серверные комнаты, а также в некоторые закрытые помещения осуществляется с использованием электронной системы контроля доступа с последующим дублированием механическими замками. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверных комнатах, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Офисные здания и производственные цеха соединены между собой оптико-волоконной линией связи. Количество рабочих мест (компьютер/ноутбук) в офисе — около 250.
• 2. Представительский офис в г. Москва — расположен на территории двухэтажного арендуемого здания и примыкающей к нему огороженной автомобильной стоянкой. Имеет два выхода из здания, один на городскую улицу, второй во внутренний двор со стоянкой, въезд и выезд с которой производится через автоматические ворота. Офис имеет круглосуточную охрану (сотрудники охраны, пропускной режим, система видеонаблюдения и контроля доступа, охранно-пожарная сигнализация). Вход и выход сотрудников предприятия осуществляется через систему контроля доступа с использованием именных электромагнитных пропусков. Аналогично центральному офису доступ в серверную комнату и другие критически важные объекты осуществляется с помощью системы контроля доступа. Резервного электропитания в офисе нет, но имеется в наличие дизель-генератор, время на ввод в эксплуатацию которого составляет около 1-го часа. Подключение офиса к Интернету организовано по двум каналам связи, основному — по витой паре, и резервному — по технологии ADSL. Переключение осуществляется автоматическим способом. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверных комнатах, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса. Количество рабочих мест (компьютер/ноутбук) в офисе — около 50.
• 3. Региональный офис — расположен в г. Алексин Тульской области. Представляет собой огороженную территорию, на которой располагаются офисное здание и цех по производству противопожарных изделий и оборудования. Охрана и контроль доступа в офисе обеспечиваются по той же схеме, как и в центральном офисе. Есть резерв электропитания, два интернет-канала (основной — оптико-волоконный, резервный — ADSL). Серверная комната совмещена (смежное расположение) с кабинетом системного администратора, доступ в кабинет осуществляется только по электронным пропускам. Все серверы и сетевое оборудование уровней ядра и распределения расположены в серверной комнате, сетевое оборудование уровня доступа — в открытом доступе в помещениях офиса. Количество рабочих мест (компьютер/ноутбук) в офисе — около 70.
• 4. Представительство в г. Санкт-Петербург — располагается в нежилых (коммерческих) помещениях многоквартирного дома. Количество рабочих мест сотрудников представительства — около 10. Офис оборудован домофоном для обеспечения контроля доступа посторонних лиц, в нерабочее время закрывается на ключ и ставится под охрану. Электропитание подается от сети многоквартирного дома, Интернет проводной по выделенной линии, резерва нет. Серверное оборудование отсутствует.
• 5. Представительство в г. Сочи — располагается на территории офисного центра. Численный состав сотрудников представительства — 5 человек. Офис в нерабочее время закрывается на ключ, охраняется службой охраны бизнес-центра. Резерва электропитания и Интернета нет. Серверное оборудование отсутствует.
• 6. Филиалы в районах расположения объектов строительства. Представляют собой арендованные помещения или строительные «вагончики» с числом сотрудников от 1 до 5. Как правило, обеспечиваются мобильным интернетом, но может присутствовать и проводное подключение к Интернету (со статическим IP-адресом) для обеспечения IP-телефонией и программным VPN-туннелем с центральным офисом.

Весь информационный обмен между территориальными структурами холдинга производится через глобальные сети посредством защищенных VPN-туннелей, обеспечивающих инкапсуляцию, проверку подлинности и шифрование данных [9]. Помимо этого в каждом подразделение развернута аналоговая телефония (количество линий зависит от размера филиала), обеспечивающая резервную телефонную связь между ними в случае возникновения проблем с Интернетом.

Корпоративная сеть центрального офиса.

На рисунке 18 представлена топология корпоративной сети центрального офиса НПО «Ассоциация К».

Все серверы и сетевое оборудование верхних уровней распределены по двум серверным комнатам, в целях безопасности расположенных в различных офисных зданиях, но при этом соединенных между собой волоконно-оптической линией с использованием высокопроизводительных серверных коммутаторов.

Доступ в Интернет

Как уже упоминалось выше, локальная вычислительная сеть (ЛВС) центрального офиса подключена к Интернету по двум независимым линиям связи от разных провайдеров, одна из линий — это волоконно-оптическая линия (оптика), другая — направленный сигнал Wi-Fi. Внутри здания сигнал от обоих провайдеров конвертируется в Ethernet, который имеет две точки входа в сеть. Первая точка входа: сервер-шлюз на операционной системе CentOS, где каждая из линий подключается к отдельной сетевой карте сервера. Вторая точка входа: маршрутизатор Mikrotik, где каждая из линий подключается на отдельный WAN-порт.

Рисунок 18. Схема корпоративной сети центрального офиса В конкретный момент времени всегда активна линия только одного провайдера (основной канал), в случае перерыва связи (обрыв линии, техническая неисправность на стороне провайдера и т. д.) на обеих точках входа происходит программное переключение на альтернативного провайдера с перестройкой таблиц маршрутизации. Переключение является прозрачным для пользователей интернет-услуг за исключением передачи голоса и потокового видео.

IP-телефония

Подключение к Интернету через маршрутизатор Mikrotik, расположенный в серверной № 2, обусловлено требованиями IP АТС (сервер IP-телефонии) к «прямому» доступу в глобальную сеть. Маршрутизатор пробрасывает SIP-пакеты (голосовой трафик) на один из сетевых адаптеров сервера без каких-либо манипуляций с ними. Вторая причина, по которой это подключение присутствует — необходимость в наличии административного доступа в Интернет для сотрудников Департамента ИТ. Списки контроля доступа (ACL) на маршрутизаторе настроены таким образом, чтобы пропускать только SIP-трафик на IP АТС и обеспечивать доступ в Интернет только конкретным устройствам (по IP и MAC-адресам).

Сервер IP-телефонии представляет собой программное VoIP (Voice over IP) решение Asterisk, развернутое на операционной системе CentOS. Поскольку сервер имеет прямое (без использования NAT) подключение к Интернету, то для его защиты используются цепочки правил встроенного в операционную систему межсетевого экрана Netfilter (утилита Iptables). Эти правила настраиваются таким образом, чтобы пропускать только SIP-трафик и только от конкретных IP-адресов провайдеров IP-телефонии либо удаленных абонентов (IP-телефонов и смартфонов). Ранее уже упоминалось, что некоторые филиалы обеспечиваются интернет-подключением со статическим IP-адресом. Этот адрес как раз необходим для внесения в правила межсетевого экрана. Другой сетевой картой IP АТС «смотрит» в локальную сеть, где нет никаких ограничений по трафику, а доступ к тем или иным подсетям определяется таблицей маршрутизации операционной системы и правилами межсетевого экрана. В целях безопасности административный доступ к серверу со стороны глобальной сети закрыт, даже по протоколу SSH.

Помимо сервера IP-телефонии на предприятии используются цифровая телефонная станция Panasonic, позволяющая работать с классическими телефонными линиями. Эта станция имеет встроенную возможность коммутации с аналогичной телефонной станцией, находящейся в представительском офисе в г. Москва по протоколу IP. Обмен голосовым трафиком между двумя офисами производится через VPN-туннель.

Сервер-шлюз

Основной для организации точкой выхода в Интернет является подключение через сервер-шлюз, расположенный в серверной № 1. Сервер-шлюз совмещает в себе функции шлюза доступа в Интернет, почтового сервера, прокси-сервера, VPN-концентратора и межсетевого экрана. Весь необходимый функционал реализуется посредством операционной системы CentOS и дополнительных установленных пакетов приложений.

Весь проходящий через сервер трафик инспектируется межсетевым экраном Netfilter, обрабатывающим его согласно строго определенным цепочкам правил. Прокси-сервер Squid позволяет гибко управлять контролем доступа пользователей к определенным интернет-ресурсам. Почтовый сервер имеет «самообучаемую» защиту от спама и настроен на работу по протоколу IMAP, позволяющему использовать авторизацию пользователей через службу каталогов (Active Directory) контроллера домена.

Функции VPN-концентратора выполняет программный пакет KAME IPSec-Tools, который формирует VPN-туннели с представительствами и филиалами компании, а также с конечными пользователями, которым предоставляется удаленный доступ к сети предприятия. Данное программное обеспечение позволяет реализовать возможность автоматического перезапуска VPN-туннелей в случае недоступности одного из провайдеров Интернета. Оборудование представительского офиса в г. Москва позволяет распознать смену провайдера на стороне сервера центрального офиса и инициализировать пересоздание туннеля. Аналогично работает и сервер в центральном офисе. Это позволяет постоянно поддерживать стабильный VPN-туннель между центральным и представительским офисом (время переключения не более 5 минут). Оборудование в других филиалах требует ручного пересоздания туннеля с резервным провайдером, однако на стороне сервера-шлюза в центральном офисе никаких операций производить не нужно.

Через VPN-туннели с представительствами и филиалами компании производится обмен данными, почтой, голосовым трафиком, производится репликация серверов, работа удаленных пользователей на терминальном сервере. Это позволяет обеспечить защиту передаваемых данных.

Сервер-шлюз имеет выделенный интерфейс для подключения к сети управления, настроен на подключение только по протоколу SSH с изменением портов по умолчанию и строгим перечислением администраторов, имеющих доступ. Выполнены базовые рекомендации по настройке Linux-подобных операционных систем. Антивирусное программное обеспечение не установлено. Операционная система регулярно обновляется. Хранилище электронной почты на сервере шифруется.

Файловый сервер

Все файлы и данные предприятия хранятся на файловом сервере, который развернут на платформе Samba операционной системы CentOS. Платформа позволяет работать с сетевыми хранилищами по протоколу SMB/CIFS [21]. Контроль доступа к данным по сети осуществляется с помощью функций авторизации посредством доменных учетных записей Active Directory (AD).

Доступ к управлению сервером есть у ограниченного числа администраторов, осуществим либо через локальную консоль, либо через SSH-доступ, используется сеть управления.

В целях безопасности все данные на сервере шифруются, используется зеркалирование. Антивирусное ПО не установлено.

Сервер 1С Предприятие и SQL-сервер

В качестве базовой ERP-системы для организации НПО «Ассоциация К» используется технологическая платформа «1С Предприятие 8». Здесь содержится большая часть конфиденциальной информации предприятия. Платформа развернута на двух серверах, где один выполняет функции хранения и обработки базы данных (SQL-сервер), а другой реализует прикладной функционал (Сервер 1С). Оба сервера работают на операционной системе Microsoft Windows Server 2008 SP2, настроена регулярная установка обновлений c внутреннего сервера WSUS (Windows Server Update Services) .

Брандмауэр (встроенный в операционную систему) SQL-сервера настроен таким образом, чтобы пропускать трафик только от сервера 1С на строго определенные порты и административный трафик. Доступ к серверу обеспечивается авторизацией в AD. В целях экономии ресурсов антивирусное программное обеспечение не установлено. Все базы данных SQL-сервера шифруются для обеспечения высокого уровня конфиденциальности.

Брандмауэр сервера 1С настроен на пропуск трафика только на порты, используемые платформой 1С Предприятие и на административный трафик. Аналогично SQL-серверу контроль доступа регулируется с помощью доменных служб.

Клиенты сервера 1С Предприятия установлены на рабочих местах пользователей и позволяют войти в систему только с учетными данными пользователей, предварительно зарегистрированных в ней администратором 1С. Контроль доступа к данным внутри системы обеспечивается встроенными средствами конфигураций 1С Предприятия. Доступ к тем или иным функциональным блокам регламентирован.

Контроллер домена

Сервер с функциями контроллера домена хранит данные службы каталогов (AD) и управляет взаимодействием пользователей в домене, включая процессы входа пользователя в систему, проверку подлинности и поиск в каталоге. Контроллер домена является важнейшим звеном в обеспечении информационной безопасности. В случае выхода из строя этого сервера из-за отсутствия корректной авторизации нарушается работоспособность практически всех ИТ-систем предприятия. Чтобы избежать такой ситуации, производится дублирование функционала контроллера домена на другом сервере (на рассматриваемом предприятии резервный контроллер домена создан на базе виртуальной машины на одном из физических серверов предприятия).

Операционная система сервера — Microsoft Windows Server 2008 SP2. Для управления объектами каталога Active Directory используются групповые политики, позволяющие создать эффективную и легко управляемую компьютерную рабочую среду, а также являются важным элементом информационной безопасности. Политики централизованно применяются ко всем рабочим станциям корпоративной сети и позволяют единообразно настроить такие правила, как сложность пароля для пользователей, блокировка экрана, разрешение на запуск тех или иных программ и большую часть других политик безопасности, применяемых к рабочим станциям пользователей, серверам, и остальным членам домена.

Контроллер домена также позволяет обеспечивать контроль доступа пользователей к тем или иным ресурсам сети предприятия. Например, администраторы смогут иметь доступ к серверам, а пользователи только к компьютерам.

Сервер выполняет также функцию DNS-сервера предприятия, при этом разрешая запросы от внутренней сети и перенаправляя внешние запросы на сервер-шлюз. Защита сервера DNS обеспечивается ограничением IP-адресов прослушивания, отключением рекурсии для сетевых клиентов и указанием корневых ссылок на внешние DNS-серверы.

Для обеспечения безопасности контроллера домена применяются следующие процедуры:

• 1) установка последних обновлений безопасности;
• 2) создание резервных копий службы каталогов и системных разделов;
• 3) регулярные антивирусные проверки;
• 4) отключение анонимного доступа к AD;
• 5) включение политика аудита;
• 6) фильтрация SID.

Терминальный сервер (сервер терминалов)

Этот сервер предоставляет удаленные рабочие столы пользователям 1С Предприятие и прикладных программ сервера приложений. Сервер терминалов необходим для предоставления доступа к локальным ресурсам клиентов с низкой производительностью и удаленных пользователей, подключаемых к сети через VPN.

Авторизация пользователей на терминальном сервере обеспечивается службами Active Directory и позволяет предоставить доступ к серверу только строго определенным клиентам.

Безопасность сервера терминалов обеспечивается встроенными в операционную систему Microsoft Windows Server 2008 SP2 механизмами защиты, такими как Network Level Authentication (NLA), SSL-шифрование, изменение порта RDP, используемого по умолчанию и проверка совместимости с RDP клиентами.

Антивирусное программное обеспечение не установлено.

Сервер приложений

Сервер приложений представляет среду для развертывания и выполнения пользовательских серверных бизнес-приложений. Эти приложения реагируют на запросы, поступающие по сети от клиентских компьютеров или других приложений. Развернут на операционной системе Microsoft Windows Server 2008 SP2.

Безопасность сервера обеспечивается брандмауэром операционной системы, который гибко настраивается на фильтрацию трафика приложений таким образом, чтобы запросы на порты проходили только с доверенных клиентов, а также авторизацией в AD. Антивирусное программное обеспечение позволяет проводить регулярную проверку системы и обеспечивает своевременный контроль запуска любых программ сервера.

Сервер резервного копирования (Backup-сервер)

Для обеспечения доступности данных, хранимых и обрабатываемых серверами предприятия, используются процедуры регулярного резервного копирования. Своевременное выполнение этих процедур обеспечивает сервер резервного копирования, развернутый на операционной системе CentOS и использующий кроссплатформенное программное обеспечение Bacula. Bacula — это сетевая клиент-серверная программа для резервного копирования, архивирования и восстановления [19]. Клиенты устанавливаются на каждом из серверов предприятия и обеспечивают передачу данных на сервер согласно расписанию. Защита информации при резервном копировании обеспечивается следующими механизмами:

• 1) все сервисы авторизуются с использованием алгоритма аутентификации CRAM-MD5;
• 2) MD5, SHA1 сигнатуры для каждого файла в архиве;
• 3) контрольная CRC сумма для каждого блока, записанного на том хранения;
• 4) использование ACL для управляющей консоли;
• 5) шифрование обмена с помощью TLS;
• 6) шифрование данных с помощью PKI;
• 7) проверка данных, похожая на систему обнаружения атак.

Сервер резервного копирования имеет выделенный интерфейс для подключения к сети управления, настроен на подключение только по протоколу SSH с изменением портов по умолчанию и строгим перечислением администраторов, имеющих доступ. Выполнены базовые рекомендации по настройке Linux-подобных операционных систем. Антивирусное программное обеспечение не установлено. Операционная система регулярно обновляется. Хранилище резервных копий на сервере шифруется.

Сервер регистрации событий и мониторинга (Syslog-сервер)

Этот сервер реализует функции контроля за состоянием ИТ-систем предприятия. Сюда стекается вся регистрационная информация с серверного и активного сетевого оборудования, и здесь же производится наблюдение за их физическим состоянием, климатом в серверных комнатах, доступными системными ресурсами, состоянием каналов передачи данных и т. д.

Syslog-сервер развернут на операционной системе CentOS, безопасность сервера обеспечивается механизмами, аналогичными для ранее описанных серверов этого типа. Используется Zabbix — система мониторинга и отслеживания статусов ИТ-сервисов [23].

Обмен регистрационными данными производится по общей сети.

Сетевое оборудование

Обмен данными между серверами и конечными хостами (компьютерами, телефонами и т. д.) обеспечивается применением высокопроизводительных серверных коммутаторов и коммутаторов уровня ядра и распределения. Это сетевое оборудование 3-го уровня имеет базовые настройки безопасности, такие как контроль административного доступа, управление через выделенные порты и т. д. Технология VLAN в настоящий момент не задействована.

Маршрутизатор беспроводного доступа обеспечивает подключение к сети клиентов через Wi-Fi. Для этого используется выделенная подсеть и списки доступа на маршрутизаторе, позволяющие фильтровать трафик мобильных пользователей. Для беспроводных подключений используются следующие элементы управления безопасностью:

• 1) изменение заданного (по умолчанию) сетевого имени (SSID) в точках доступа;
• 2) включение защищенного доступа Wi-Fi (WPA/WPA2);
• 3) включение аппаратных ограничений MAC-адреса;
• 4) подключение точки доступа к сети за пределами межсетевого экрана или в отдельном сегменте из проводной локальной сети.

Доступ к корпоративной сети рабочих мест пользователей, IP-телефонов, оргтехники осуществляется через коммутаторы уровня доступа, которые располагаются в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Для целей безопасности все неиспользуемые порты этих коммутаторов отключены.

Корпоративная сеть представительского офиса.

На рисунке 19 представлена схема корпоративной сети представительского офиса в г. Москва НПО «Ассоциация К».

Рисунок 19. Схема корпоративной сети представительского офиса Аналогично сети центрального офиса, доступ в Интернет производится через два интернет-канала от разных провайдеров. Основная линия — это проводной интернет по технологии Ethernet, резервная линия — низкоскоростной ADSL-канал. Имеются две точки входа в сеть: первая — сервер-шлюз аналогичной установленному в центральном офисе серверу конфигурации, вторая — маршрутизатор Mikrotik, необходимый для административного выхода в Интернет.

Сервер-шлюз, как и маршрутизатор Mikrotik обеспечивают автоматическое переключение между основной и резервной линией связи.

АТС Panasonic аналогична установленной станции в центральном офисе, за исключением количества доступных абонентов. Она обеспечивает цифровую телефонную связь между офисами через VPNтуннель.

Сервер контроллера домена виртуализирован и реплицируется с сервером в центральном офисе и хранит аналогичную конфигурацию службы каталогов, позволяя управлять доменной средой из единого центра.

Конфигурации и методы защиты остальных серверов представительского офиса полностью соответствуют серверам в центральном офисе. Локальный сервер приложений необходим для работы с программами представительского офиса, требующими установки серверных частей в локальной сети (например, ряд программ по расчету пожарных рисков).

Все остальные сервисы, развернутые в центральном офисе доступны для пользователей представительского офиса через VPN-туннель. Межсетевые экраны на обеих сторонах туннеля пропускают только строго определенный трафик, требующийся тем или иным приложениям и сервисам.

Доступ к беспроводной сети осуществляется по аналогии с центральным офисом.

Доступ к корпоративной сети рабочих мест пользователей, IP-телефонов, оргтехники осуществляется через коммутаторы уровня доступа, которые располагаются в открытом доступе в помещениях офиса (как правило, в одном из помещений этажа на стене). Для целей безопасности все неиспользуемые порты этих коммутаторов отключены.

Корпоративная сеть регионального офиса.

На рисунке 20 представлена схема корпоративной сети регионального офиса в г. Алексин НПО «Ассоциация К».

Все серверы и сетевое оборудование верхних уровней расположено в серверной комнате, совмещенной с кабинетом системного администратора и оборудованной системой контроля доступа.

Корпоративная сеть имеют единую точку выхода в Интернет через маршрутизатор (межсетевой экран) D-Link NetDefend UTM Firewall, позволяющий подключить к нему две WAN-линии от различных интернет провайдеров и имеющий возможность организации VPN-туннеля. Основная линия Интернет — оптико-волоконная, резервная — ADSL.

Маршрутизатор D-Link NetDefend UTM имеет всестороннюю защиту от вирусных атак, от несанкционированного доступа и нежелательного контента, обеспечивает автоматическое резервирование интернет-каналов. При этом отсутствует возможность автоматически «пересобрать» VPN-туннель в случае разрыва соединения. В случае возникновения такой ситуации системный администратор регионального офиса имеет четкую инструкцию по переконфигурированию туннеля.

Рисунок 20. Схема корпоративной сети регионального офиса Аналогично офису в г. Москва, контроллер домена реплицируется с сервером в центральном офисе, позволяя управлять доменной средой из единого центра.

В качестве прокси-сервера используется программное решение Kerio Control, развернутое на сервере с операционной системой Microsoft Windows Server 2008 SP2. Безопасность сервера обеспечивается средствами операционной системы, а также самозащитой программного прокси-сервера.

Локальный сервер приложений необходим для работы с программами регионального офиса, требующими установки серверных частей в локальной сети (технологические производственные программы).

Доступ к беспроводной сети осуществляется по аналогии с центральным офисом.

АТС в региональном офисе — аналоговая, она изолирована от корпоративной сети предприятия.

Доступ к сервисам центрального офиса осуществляется через VPN-туннель.

Остальные серверы имеют аналогичную серверам в центральном офисе конфигурации, их безопасность обеспечивается описанными выше средствами защиты.

Коммутаторы уровня доступа регионального офиса установлены в произвольном порядке, многие из них не имеют встроенного функционала по обеспечению безопасности.

Корпоративная сеть представительств в г. Санкт-Петербург и в г. Сочи Локальная сеть представительств компании НПО «Ассоциация К» (рисунок 21) представляет собой небольшой сегмент, состоящий из маршрутизатора D-Link NetDefend UTM Firewall, точки доступа к беспроводной сети, пользовательских компьютеров, IP-телефонов и сетевых МФУ.

Маршрутизатор обеспечивает подключение к проводному Интернету по единственной линии связи и позволяет поддерживать VPN-туннель с центральным офисом. В случае перехода на резервную линию Интернета в центральном офисе, маршрутизатор конфигурируется удаленно на резервного провайдера.

Пользовательское оборудование работает в сети с динамическим IP-адресом, получаемым от маршрутизатора. Это сделано для того, чтобы сотрудники офиса самостоятельно (без привлечения ИТ-специалистов) могли осуществлять подключение компьютеров и других устройств к локальной сети.

Администраторы из центрального офиса производят настройку пользовательского оборудования с помощью программ удаленного администрирования.

Пользователи локальной сети представительств не имеют доступа к маршрутизатору.

Корпоративная сеть филиала.

Как правило, филиал организации (небольшое помещение на строительных или иных объектах) обеспечивается одним (или более) компьютером и одним (или более) IP-телефоном, подключаемым к Wi-Fi маршрутизатору домашнего (или сегмента малого бизнеса) уровня, устанавливаемому на месте сотрудниками филиала (рисунок 22).

Рисунок 22. Схема корпоративной сети филиала Ввиду отсутствия VPN-соединения с центральным офисом используется два механизма, обеспечивающих защиту передаваемых данных.

• 1. Подключение к Интернету осуществляется с использованием статического IP-адреса. Это позволяет обеспечить создание четких правил межсетевого экрана центрального офиса с целью разрешения трафика только от конкретного филиала. Данный функционал строго необходим при использовании IP-телефонов, поскольку для безопасности сервера IP-телефонии межсетевой экран разрешает соединения по протоколу SIP только с конкретных IP-адресов.
• 2. Для доступа к ресурсам сети центрального офиса с филиальных компьютеров используется программный VPN-туннель между пользовательским рабочим местом и шлюзовым сервером. Для создания такого туннеля используется программное обеспечение с реализацией на технологии OpenVPN. Для обеспечения безопасности управляющего канала и потока данных OpenVPN использует библиотеку OpenSSL [20]. Это позволяет задействовать весь набор алгоритмов шифрования, доступных в данной библиотеке.

В случае отсутствия технической возможности доступа к проводному Интернету, в филиалах вместо маршрутизатора могут использоваться модемы для подключения мобильного интернета. При такой реализации отсутствует возможность размещения IP-телефона, но использование OpenVPN клиента допустимо.