Наверх
Меню
Новости
Статьи
twitter
Сети и коммуникации
16 сентября 2007
4421
  Азбука сисадмина 9: Организация работы с удалёнными площадками  
 
Защита информации от внешних угроз, рассмотренная нами в предыдущем материале цикла, порой заметно осложняется наличием удалённых от головного офиса площадок — торговых точек, складов, филиалов и так далее. Кроме того, они своим существованием порождают дополнительно довольно много других проблем, главные из которых — организация обмена информацией и обслуживание малым штатом при большом территориальном разбросе.

Проще всего эти проблемы решаются в случае покрытия зоны расположения удалённых площадок радиусом действия ЛВС. Поэтому рассматривать такой вариант не будем, просто предположив, что это маленький численно, но большой по занимаемой площади офис с той же малой сетью, об обслуживании которой мы и говорим. Единственной особенностью будет большая сложность организации среды передачи данных, или кабельного хозяйства. Проходящий по «чужой» территории кабель нужно защитить или спрятать, а лучше и то, и другое. Иначе рано или поздно он станет точкой входа для атаки на сеть на физическом уровне путём подмены клиента, бороться с которой очень сложно. Или будет повреждён детьми, животными или злоумышленниками, порой интересующимися не информацией, а цветными металлами.

Альтернативных вариантов достаточно много, включая дальнобойные беспроводные оптические и радиоканалы, физический кабель в кабельном канале провайдера услуг телефонии или другие варианты. Сразу в голову ничего не приходит, но это достаточно динамичная область. Применяются такие вот физические соединения без использования общедоступных сетей передачи данных широко и спрос на них только растёт. Потому что это удобно — включить филиал в общую ЛВС, не внося никаких новых приёмов в систему управления данными и не создавая дополнительных угроз безопасности. Но не всегда возможно, и поэтому рассмотрим другие варианты, от простых к удобным.

Автономное подразделение

Ну совсем простой способ организации взаимодействия. Практически оно настолько незначительно, что, казалось бы, и организовывать-то особо ничего не надо. Работает себе филиал в своей собственной копии основной программы, в базе данных головного подразделения его текучка вообще не дублируется, а только необходимые для отчётности сведения вносятся, достаточно редко. Надо просто предусмотреть в основной программе возможность такого экспорта и импорта. И ещё текущие документы ходят в обоих направлениях. Как правило на сменных носителях или по электронной почте.

Возникает несколько неудобств. Надо обеспечить сохранность данных на удалённой площадке. Правильно будет поставить туда сервер и т.д., ну а если там всего одна машина? Придётся что-то придумывать для резервирования информации на месте.

Далее — если нужен доступ в интернет, то надо организовать его безопасность, что тоже проще сделать посредством серверных решений. Ну и наконец никакой возможности дистанционного контроля и обслуживания такого ПК у системного администратора не будет, для решения всех текущих проблем придётся после долгой задушевной беседы с пользователем по телефону выезжать на место. Если таких точек много, то нагрузка возрастает очень существенно.

Общие рекомендации таковы.

  • Использовать на удалённых площадках самую надёжную технику
  • Применять проверенные и обкатанные решения
  • Не устанавливать на такие машины ничего лишнего и строго регламентировать права пользователя
  • Не пожалеть времени на максимально подробный инструктаж оператора, включая не только повседневную работу, но и распространённые нештатные ситуации.

    В принципе, эти правила работают при любой организации распределённой сети.

    Периодическое подключение к головной сети

    Если уже в прошлом пункте мы упомянули электронную почту, то оптимальным при наличии подключения к глобальной сети будет такая организация процесса обмена данными, когда возможно не только использование стандартных публичных сервисов, но и прямое подключение удалённого компьютера к ЛВС офиса. Да, интернет-революция сейчас в разгаре, и постоянный вход в сеть становится всё доступнее и дешевле. Однако не везде. Ещё очень много таких мест, где нет альтернативы аналоговому модему, и как раз там может и быть филиал.

    В таком случае надо за короткий период времени обменяться достаточно большим объёмом разнообразных данных. Для этого необходимо выработать процедуру подготовки к сеансу связи, автоматически запускаемую в определённое время или по запросу. К примеру такую: выполнить экспорт из основной программы, собрать новые документы, упаковать всё архиватором, отправить в головной офис, принять пакет данных, распаковать, распределить по типу данных, выполнить импорт при необходимости. Ну и на другой стороне тоже должна выполняться соответствующая процедура. Частота сеансов и объём информации определяется исключительно на стадии организации рабочего процесса и по ходу корректируется.

    Кроме того, для не очень штатных ситуаций желательно предусмотреть возможность контроля удалённой машины посредством к примеру программы RAdmin.

    «Взламывать» модемные подключения злоумышленникам сейчас не очень интересно, их больше занимают мощные ПК с широким каналом связи, но конкуренты не дремлют, и атака на такое соединение может быть организована по заказу. Потому пренебрегать его безопасностью не стоит. Простейший и достаточно надёжный способ её обеспечения применяется уже очень давно — прямое модемное соединение с выполнением обратного вызова после авторизации. И за интернет платить не надо. А использовать подключение к нему только для работы с глобальными ресурсами. Мне известны примеры достаточно активного обмена данными с достаточно обширной филиальной сетью по такой схеме. Работа с большой клиентской сетью также может протекать по такой схеме. Всё, то сказано о безопасности и сохранности данных в прошлом пункте, здесь остаётся в силе.

    Постоянное подключение удалённой площадки к головной ЛВС по публичному каналу

    Этот вариант набирает в последнее время всё большую популярность в связи с расширением зоны покрытия цифровыми каналами связи и снижением оплаты за трафик. Реализуется он обычно в настоящий момент подключением ADSL модема в каждом филиале и головном офисе. Есть и другие варианты связи, но для небольших предприятий наиболее актуален этот.

    Здесь сразу возникает такой термин, как VPN — Virtual Private Network, виртуальная частная сеть. То есть сетевой трафик предприятия шифруется и передаётся поверх общедоступных каналов связи. Кроме шифрования трафика возникает вопрос авторизации удалённых пользователей на сервере. Решений существует очень много, но все они делают примерно одно и то же. Удалённый клиент запрашивает сервер доступа в ЛВС об этом самом доступе, между ними происходит некая процедура авторизации, обмена тайными сообщениями, после чего устанавливается канал связи. До прекращения соединения такой клиент работает в локальной сети так же, как и находящиеся в офисе машины. Порой даже без ощутимой разницы в скорости обмена данными.

    Снова надо обратить внимание на правильный выбор провайдера. Зона покрытия должна охватывать все удалённые точки, он должен поддерживать технологии, необходимые для организации VPN. У многих крупных провайдеров внутрисетевой трафик бесплатен, и поэтому вложения в постоянный доступ к выносным площадкам не так уж и велики. Плюсы же огромны.

  • Прямая работа в общей базе основной программы
  • Быстрый документооборот
  • Возможность удаленного управления аппаратными средствами филиала, даже в случае краха ОС (через IP-KVM)
  • Возможность централизованного резервного копирования информации
  • Организация единой системы голосовой связи на основе IP-телефонии
  • Возможность централизованного доступа к внешним ресурсам интернет через единый защищённый шлюз центрального офиса для всех филиалов, что кстати полезно и для контроля и управления трафиком.

    Примерно по таким принципам работают всемирные «ЛВС» крупных транснациональных корпораций. Теперь эти технологии становятся доступны и небольшим предприятиям.

    По-хорошему строятся они на основе многофункциональных маршрутизаторов Cisco, для которых защита информации и организация туннеля — основная задача. Но в связи с популяризацией этого подхода технологии идут в массы и внедряются во всё более и более дешёвые устройства от динамичных азиатских производителей. Давать советы остерегусь, описания модемов с функциональностью VPN есть в соответствующем разделе сайта.

    От задачи к решению

    Вовсе не следует строить всю систему взаимодействия с филиалами по единому принципу, напротив, если их много, то могут одновременно сосуществовать все четыре подхода. Определяющая роль в выборе модели в каждом конкретном случае за доступностью и стоимостью того или иного подключения. Нельзя сбрасывать со счетов и экономический эффект от более быстрого взаимодействия с подразделениями, который может окупить и начальные вложения, и абонентскую плату.

    Напротив, существуют ситуации, в которых не нужно «городить огород вокруг единственной пасущейся козы». Вполне возможно, что оптимально будет раз в неделю-другую привозить информацию на флэш-драйве, а локально делать резервные копии на DVD диски. Здесь надо исходить из особенностей организации бизнес-процесса и планируемой экономической отдачи от вложенных средств. Тем не менее при принятии решения надо представлять себе весь спектр возможностей, и заглядывать вперёд хотя бы на год.

    Почти в любом случае дешевле получится сразу сделать хорошо и дорого, чем сначала совсем за небольшие деньги, потом за немного большие, а потом уже как надо. Хотя и здесь всё не так однозначно — высвобождающуюся технику начального уровня можно передавать во вновь открываемые представительства по мере повышения статуса существующих. В общем, универсальных рецептов нет.

    Далее рассмотрим принципы организации общения внутри небольшой организации.

    Данный материал можно и нужно критиковать в конференции, НО только предметно и конструктивно. По результатам обсуждения он может быть переработан и дополнен.


  •   Источник: ixbt.com
     



    Поделиться с друзьями:


    Другие новости по теме
     
    Вы не авторизованный пользователь. Чтобы воспользоваться всеми возможностями сайта, зарегистрируйтесь.
     

    Комментарии

    Добавление комментария
    Ваше имя
    Ваш Email
    Код Включите эту картинку для отображения кода безопасности
    обновить код
    Введите код