Азбука сисадмина 9:Организация работы с удалёнными площадками

Для начинающих администраторов малых ЛВС
E pluribus unum.

 

Защита информации от внешних угроз, рассмотренная нами в предыдущем материале цикла, порой заметно осложняется наличием удалённых от головного офиса площадок — торговых точек, складов, филиалов и так далее. Кроме того, они своим существованием порождают дополнительно довольно много других проблем, главные из которых — организация обмена информацией и обслуживание малым штатом при большом территориальном разбросе.

Проще всего эти проблемы решаются в случае покрытия зоны расположения удалённых площадок радиусом действия ЛВС. Поэтому рассматривать такой вариант не будем, просто предположив, что это маленький численно, но большой по занимаемой площади офис с той же малой сетью, об обслуживании которой мы и говорим. Единственной особенностью будет бо́льшая сложность организации среды передачи данных, или кабельного хозяйства. Проходящий по «чужой» территории кабель нужно защитить или спрятать, а лучше и то, и другое. Иначе рано или поздно он станет точкой входа для атаки на сеть на физическом уровне путём подмены клиента, бороться с которой очень сложно. Или будет повреждён детьми, животными или злоумышленниками, порой интересующимися не информацией, а цветными металлами.

Альтернативных вариантов достаточно много, включая дальнобойные беспроводные оптические и радиоканалы, физический кабель в кабельном канале провайдера услуг телефонии или другие варианты. Сразу в голову ничего не приходит, но это достаточно динамичная область. Применяются такие вот физические соединения без использования общедоступных сетей передачи данных широко и спрос на них только растёт. Потому что это удобно — включить филиал в общую ЛВС, не внося никаких новых приёмов в систему управления данными и не создавая дополнительных угроз безопасности. Но не всегда возможно, и поэтому рассмотрим другие варианты, от простых к удобным.

Автономное подразделение

Ну совсем простой способ организации взаимодействия. Практически оно настолько незначительно, что, казалось бы, и организовывать-то особо ничего не надо. Работает себе филиал в своей собственной копии основной программы, в базе данных головного подразделения его текучка вообще не дублируется, а только необходимые для отчётности сведения вносятся, достаточно редко. Надо просто предусмотреть в основной программе возможность такого экспорта и импорта. И ещё текущие документы ходят в обоих направлениях. Как правило на сменных носителях или по электронной почте.

Возникает несколько неудобств. Надо обеспечить сохранность данных на удалённой площадке. Правильно будет поставить туда сервер и т. д., ну а если там всего одна машина? Придётся что-то придумывать для резервирования информации на месте.

Далее — если нужен доступ в интернет, то надо организовать его безопасность, что тоже проще сделать посредством серверных решений. Ну и наконец никакой возможности дистанционного контроля и обслуживания такого ПК у системного администратора не будет, для решения всех текущих проблем придётся после долгой задушевной беседы с пользователем по телефону выезжать на место. Если таких точек много, то нагрузка возрастает очень существенно.

Общие рекомендации таковы.

  • Использовать на удалённых площадках самую надёжную технику
  • Применять проверенные и обкатанные решения
  • Не устанавливать на такие машины ничего лишнего и строго регламентировать права пользователя
  • Не пожалеть времени на максимально подробный инструктаж оператора, включая не только повседневную работу, но и распространённые нештатные ситуации.

В принципе, эти правила работают при любой организации распределённой сети.

Периодическое подключение к головной сети

Если уже в прошлом пункте мы упомянули электронную почту, то оптимальным при наличии подключения к глобальной сети будет такая организация процесса обмена данными, когда возможно не только использование стандартных публичных сервисов, но и прямое подключение удалённого компьютера к ЛВС офиса. Да, интернет-революция сейчас в разгаре, и постоянный вход в сеть становится всё доступнее и дешевле. Однако не везде. Ещё очень много таких мест, где нет альтернативы аналоговому модему, и как раз там может и быть филиал.

В таком случае надо за короткий период времени обменяться достаточно большим объёмом разнообразных данных. Для этого необходимо выработать процедуру подготовки к сеансу связи, автоматически запускаемую в определённое время или по запросу. К примеру такую: выполнить экспорт из основной программы, собрать новые документы, упаковать всё архиватором, отправить в головной офис, принять пакет данных, распаковать, распределить по типу данных, выполнить импорт при необходимости. Ну и на другой стороне тоже должна выполняться соответствующая процедура. Частота сеансов и объём информации определяется исключительно на стадии организации рабочего процесса и по ходу корректируется.

Кроме того, для не очень штатных ситуаций желательно предусмотреть возможность контроля удалённой машины посредством к примеру программы RAdmin.

«Взламывать» модемные подключения злоумышленникам сейчас не очень интересно, их больше занимают мощные ПК с широким каналом связи, но конкуренты не дремлют, и атака на такое соединение может быть организована по заказу. Потому пренебрегать его безопасностью не стоит. Простейший и достаточно надёжный способ её обеспечения применяется уже очень давно — прямое модемное соединение с выполнением обратного вызова после авторизации. И за интернет платить не надо. А использовать подключение к нему только для работы с глобальными ресурсами. Мне известны примеры достаточно активного обмена данными с достаточно обширной филиальной сетью по такой схеме. Работа с большой клиентской сетью также может протекать по такой схеме. Всё, то сказано о безопасности и сохранности данных в прошлом пункте, здесь остаётся в силе.

Постоянное подключение удалённой площадки к головной ЛВС по публичному каналу

Этот вариант набирает в последнее время всё большую популярность в связи с расширением зоны покрытия цифровыми каналами связи и снижением оплаты за трафик. Реализуется он обычно в настоящий момент подключением ADSL модема в каждом филиале и головном офисе. Есть и другие варианты связи, но для небольших предприятий наиболее актуален этот.

Здесь сразу возникает такой термин, как VPN — Virtual Private Network, виртуальная частная сеть. То есть сетевой трафик предприятия шифруется и передаётся поверх общедоступных каналов связи. Кроме шифрования трафика возникает вопрос авторизации удалённых пользователей на сервере. Решений существует очень много, но все они делают примерно одно и то же. Удалённый клиент запрашивает сервер доступа в ЛВС об этом самом доступе, между ними происходит некая процедура авторизации, обмена тайными сообщениями, после чего устанавливается канал связи. До прекращения соединения такой клиент работает в локальной сети так же, как и находящиеся в офисе машины. Порой даже без ощутимой разницы в скорости обмена данными.

Снова надо обратить внимание на правильный выбор провайдера. Зона покрытия должна охватывать все удалённые точки, он должен поддерживать технологии, необходимые для организации VPN. У многих крупных провайдеров внутрисетевой трафик бесплатен, и поэтому вложения в постоянный доступ к выносным площадкам не так уж и велики. Плюсы же огромны.

  • Прямая работа в общей базе основной программы
  • Быстрый документооборот
  • Возможность удаленного управления аппаратными средствами филиала, даже в случае краха ОС (через IP-KVM)
  • Возможность централизованного резервного копирования информации
  • Организация единой системы голосовой связи на основе IP-телефонии
  • Возможность централизованного доступа к внешним ресурсам интернет через единый защищённый шлюз центрального офиса для всех филиалов, что кстати полезно и для контроля и управления трафиком.

Примерно по таким принципам работают всемирные «ЛВС» крупных транснациональных корпораций. Теперь эти технологии становятся доступны и небольшим предприятиям.

По-хорошему строятся они на основе многофункциональных маршрутизаторов Cisco, для которых защита информации и организация туннеля — основная задача. Но в связи с популяризацией этого подхода технологии идут в массы и внедряются во всё более и более дешёвые устройства от динамичных азиатских производителей. Давать советы остерегусь, описания модемов с функциональностью VPN есть в соответствующем разделе сайта.

От задачи к решению

Вовсе не следует строить всю систему взаимодействия с филиалами по единому принципу, напротив, если их много, то могут одновременно сосуществовать все четыре подхода. Определяющая роль в выборе модели в каждом конкретном случае за доступностью и стоимостью того или иного подключения. Нельзя сбрасывать со счетов и экономический эффект от более быстрого взаимодействия с подразделениями, который может окупить и начальные вложения, и абонентскую плату.

Напротив, существуют ситуации, в которых не нужно «городить огород вокруг единственной пасущейся козы». Вполне возможно, что оптимально будет раз в неделю-другую привозить информацию на флэш-драйве, а локально делать резервные копии на DVD-диски. Здесь надо исходить из особенностей организации бизнес-процесса и планируемой экономической отдачи от вложенных средств. Тем не менее при принятии решения надо представлять себе весь спектр возможностей, и заглядывать вперёд хотя бы на год.

Почти в любом случае дешевле получится сразу сделать хорошо и дорого, чем сначала совсем за небольшие деньги, потом за немного большие, а потом уже как надо. Хотя и здесь всё не так однозначно — высвобождающуюся технику начального уровня можно передавать во вновь открываемые представительства по мере повышения статуса существующих. В общем, универсальных рецептов нет.

Далее рассмотрим принципы организации общения внутри небольшой организации.

Данный материал можно и нужно критиковать в конференции, НО только предметно и конструктивно. По результатам обсуждения он может быть переработан и дополнен.

Продолжение следует…




8 августа 2007 Г.

9:

E pluribus unum.

 

, , — , , . , , — .

. , , , , . ́ , . «» , , . , . , , , .

, , . , . . — , . , , .

. , , , - . , , , . . . .

. . . ., ? - .

— , , . , . , .

.

  • , , .

, .

, , , . , - , . . , , .

. , . : , , , , , , , . . .

, RAdmin.

«» , , , . . — . . . . . , , .

. ADSL . , .

, VPN — Virtual Private Network, . . . , . , , , . , . .

. , , VPN. , . .

  • , ( IP-KVM)
  • IP-
  • , .

«» . .

- Cisco, — . . , VPN .

, , , . . , , .

, , « ». , - -, DVD-. - . , .

, , , . — . , .

.

, . .