БЕЗОПАСНОСТЬ

Лорен Гибсон Пол

Расположенный в Далласе университет Southern Methodist University (SMU), как и множество других вузов США, раньше довольствовался программами с открытым кодом. Не секрет, что учебные заведения на ИТ выделяют не так уж много ресурсов, поэтому во главу угла здесь зачастую ставится стоимость. На протяжении многих лет университет полагался на систему сетевой регистрации NetReg (с открытыми кодами, естественно), которая идентифицировала входящих в студенческую сеть университета пользователей. Особым богатством функций она, правда, не отличалась, но зато была бесплатной.

Так, может быть, продолжалось бы и поныне, если бы три года назад на сеть университетского городка не обрушился вирус Mydoom. Это произошло в августе, когда студенты возвращались с каникул и готовились приступить к занятиям. Вот тогда-то сетевой инженер Джордж Финни и понял, что настала пора раскошелиться. "Слишком уж сильно пострадала студенческая сеть, - вспоминает он. - Зараза передавалась от студента к студенту".

Но вирусы, черви и шпионское ПО - это лишь одна грань проблемы. Студентов, как известно, поджидает в Интернете множество соблазнов. Им трудно, скажем, удержаться от того, чтобы не скачать музыку или не уйти с головой в сетевую многопользовательскую игру с ее неуемным аппетитом к трафику. Система же NetReg, как ни хорошо она справлялась с регистрационными задачами, таким опасностям ничего противопоставить не могла. И Финни решил: университету необходимо нечто такое, что позволит и надежно опознавать пользователей, и контролировать работу на отдельных машинах, и следить за соблюдением правил пользования ими.

Прежде всего Финни установил аппаратно-программный комплекс обнаружения и предотвращения попыток взлома, предлагаемый фирмой Juniper Networks IDP. Это сразу же защитило сеть от вирусов - самой большой угрозы для студенческой сети (она полностью отделена от основной сети университета). Кроме того, было приобретено специализированное устройство управления приложениями PacketShaper компании Packeteer, что, по словам Финни, позволило контролировать полосу пропускания каждого пользователя и каждого порта. Результат не заставил себя ждать: масштабы запрещенного обмена файлами резко пошли на убыль. "Мы свели все не имеющие отношения к учебному процессу программы в одну группу и выделили для каждой из них всего 10 кбит/с, - рассказывает он. - Это позволяло студентам скачивать музыку, но дело шло так медленно, что они волей-неволей начинали заниматься другими, более полезными вещами".

В марте 2005 г. университет полностью обновил все оборудование своей студенческой сети на 2000 пользователей. Здесь появились коммутаторы Cisco Systems и Hewlett-Packard, маршрутизаторы Nortel Networks и точки беспроводного доступа Aruba Networks. На таком фоне вполне естественной выглядела и замена Net-Reg. Однако Финни решил не только расширить функциональность системы, но и заручиться технической поддержкой производителя.

Модернизация сети отняла так много времени, что на выбор системы управления доступом его уже почти не оставалось. К счастью, он регулярно посещал онлайновые сообщества университетских ИТ и на одном из них услыхал о Campus Manager - аппаратно-программном комплексе фирмы Bradford Networks, специально предназначенном для управления доступом в сеть. Эта система понравилась Финни по нескольким причинам, в частности потому, что могла работать в тандеме с оборудованием множества производителей сетевых устройств, включая HP, Cisco и Nortel. Кроме того, комплект Campus Manager поддерживал разнообразные программные средства борьбы со шпионскими программами и вирусами. Значение этого было трудно переоценить, поскольку некоторые студенты предпочитали пользоваться не стандартным для университета ПО McAffee, а другими программами такого типа. Еще одним достоинством Campus Manager было то, что его развертывание не требовало отключения сети. И наконец, этот комплекс обеспечивал работу с разными ОС, включая Windows, Mac OS X и Linux.

По отношению к сети Campus Manager - решение внешнее, благодаря чему легко интегрируется в уже развернутые сети. Это, как отмечает вице-президент по маркетингу фирмы Bradford Джерри Скурла, особенно важно в университетских средах. "Нашу систему нетрудно включить в уже хорошо отлаженную высокопроизводительную сеть. Для этого не нужно ни отключать ее, ни тем более перестраивать, - поясняет он. - В сетях большинства университетов используются средства разных производителей, а наши решения поддерживают самый широкий спектр инфраструктурного оборудования. Именно это университетам и нужно. Они не хотят менять свои сети, им нужно лишь сделать их безопаснее".

В мае 2005 г. Финни решил приобрести комплект Campus Manager, состоящий из сервера управления и отдельного сервера, предназначенного исключительно для контроля и регистрации. Как только студенты разъехались на летние каникулы, он пригласил на неделю специалистов из Bradford, и они помогли развернуть Campus Ma-nager. Можно было, конечно, воспользоваться услугами системных интеграторов, с которыми активно сотрудничает Bradford, но Финни решил обратиться непосредственно к производителю, поскольку тот вне всяких сомнений знает свою систему лучше кого-либо другого. Одновременно в университет были приглашены и инструкторы Bradford для подготовки сотрудников службы компьютерной помощи университета.

Развертывание Campus Manager Финни разделил на два этапа: летом 2005-го было решено ввести в действие базовые функции управления идентификацией, а летом нынешнего года - обеспечить проверку системы на соответствие требованиям.

В самом начале развертывания возникла довольно серьезная проблема: Финни и его команде пришлось искать путь, позволяющий подключить Campus Manager сразу и к сети общежития, и к общедоступной университетской сети. "На стандартном сервере Bradford просто не хватало интерфейсов, чтобы подвести к нему все необходимые подключения", - пояснил Финни. Но через неделю-другую активных контактов с фирмой-производителем все было улажено. По словам Финни, добиться этого оказалось не так уж сложно.

Самой же масштабной задачей стала подготовка документации для учащихся, поясняющей суть системы управления доступом и порядок работы с ней. Нужно было быть готовым к тому, что осенью после приезда в университет студенты первым делом начнут регистрировать свои ноутбуки, настольные компьютеры и другие устройства в Campus Manager, и все здесь должно пройти без сучка и задоринки. Так оно в конце концов и случилось.

Нынешним летом в университете завершился второй этап развертывания ПО, после которого система раз в семестр автоматически проверяет актуальность установленных на машинах средств борьбы с вирусами и программами-шпионами.

Особенно его команду поразило то, что все 2000 студентов зарегистрировались и получили доступ в Интернет всего через пару недель после приезда, тогда как раньше на это уходило вдвое, а то и втрое больше времени. Программные средства McAffee используются в университете на основе единой лицензии, и Финни опасался проблем с их деинсталляцией на машинах тех студентов, кто предпочтет работать с Norton AntiVirus корпорации Symantec или другой подобной утилитой. Но волнения оказались напрасными. "Все прошло спокойно, - рассказал он. - Помогать пришлось не более чем десяти пользователям".

Краткая справка: университет Southern Methodist University, Даллас, шт. Техас.

Общая характеристика. Частный университет гуманитарной направленности, где обучается примерно 11 000 студентов, около 2500 из которых живут в университетском городке.

Задача. Прекратить нелегальную загрузку ПО, наладить контроль над игровыми устройствами, обнаруживать украденные компьютеры, идентифицировать нелегальные серверы и защитить доступ в сеть по беспроводным каналам.

Технический партнер. Для защиты студенческих сетей в университете использовано решение Campus Manager фирмы Bradford Networks, предоставляющее вход в сеть только после идентификации пользователя и проверки конфигурации его компьютера на соответствие предъявляемым требованиям.

Решение. Bradford Campus Manager постоянно следит за соблюдением политики безопасности и регистрирует данные о работе пользователей в сети, которые позволяют документировать доступ студентов, а также готовить отчеты с анализом угроз безопасности и выполнения пользователями действующих правил.

Источник: материалы eWeek.

Сегодня, когда студенческая сеть университета находится под защитой мощной системы управления доступом из комплекта Campus Manager, Финни чувствует себя намного спокойнее. При необходимости ему ничто не мешает проводить сканирование клиентских машин даже пару раз в неделю. "Такую возможность мы всегда имеем в виду, и если захотим защитить сеть еще лучше, ею будет нетрудно воспользоваться", - уверен он.

Версия для печати