Szyfrowana droga

Sieć rozległa Banku Gospodarki Żywnościowej SA jest największą, w pełni szyfrowaną siecią WAN w Polsce i jedną z największych w Europie. Każde z jej łączy - zarówno podstawowych, jak i awaryjnych - jest szyfrowane za pomocą IPSec.

Sieć rozległa Banku Gospodarki Żywnościowej SA jest największą, w pełni szyfrowaną siecią WAN w Polsce i jedną z największych w Europie. Każde z jej łączy - zarówno podstawowych, jak i awaryjnych - jest szyfrowane za pomocą IPSec.

Szyfrowana droga

Piotr Michalak, zastępca dyrektora Departamentu Informatyki, BGŻ SA

BGŻ SA jest w trakcie realizacji wdrożenia scentralizowanego systemu bankowego Eurobank, które ma się zakończyć pod koniec przyszłego roku (tydzień temu osiągnięto kolejny krok milowy - konwersję do systemu scentralizowanego przeprowadzono w 45 oddziałach Integrum). Zanim jednak rozpoczęto wdrożenie Eurobanku, konieczna była budowa nowej sieci rozległej łączącej kilkaset oddziałów i placówek BGŻ SA. Miała ona ujednolicić zarządzanie całą infrastrukturą, umożliwiać dynamicznie zarządzanie dostępną przepustowością wg priorytetów poszczególnych transmisji, a także oferować wysoki poziom bezpieczeństwa. Ostatni warunek był podyktowany wymaganiami uchwalonej pod koniec 1999 r. Ustawy o ochronie danych osobowych i informacji niejawnych.

Wybór dostawcy

Przetarg na rozbudowę infrastruktury WAN rozpisano pod koniec 1999 r. W tym czasie bank miał trójpoziomową strukturę sieci WAN składającą się z centrali, połączonych z nią ok. 100 oddziałów i ok. 250 filii i punktów obsługi klienta, komunikujących się z oddziałami (w tym czasie BGŻ SA nie posiadał sieci placówek Integ-rum). Do przesyłania danych wykorzystywano wówczas różne media: łącza dzierżawione, a także komunikację satelitarną VSAT o przepustowości ograniczonej do 9600 b/s i 19 200 b/s. "Byliśmy świadomi, że musimy zminimalizować wykorzystanie infrastruktury satelitarnej, a także znacząco podnieść przepustowość łączy. Już pierwsza aplikacja scentralizowana, jaką była Teta Personel, wymagała, by placówki z oddziałami były połączone z wyższą przepustowością" - mówi Tadeusz Rubin, dyrektor Departamentu Informatyki BGŻ SA.

Firmom przystępującym do przetargu postawiono kilka istotnych warunków. Oprócz koncepcji budowy sieci spełniającej wysokie wymagania pod względem bezpieczeństwa oferenci musieli zadeklarować, w jaki sposób wykorzystają istniejącą infrastrukturę WAN (nie zamortyzowane urządzenia Cisco, które musiały być wykorzystane w nowej sieci lub przejęte przez dostawcę). Jednocześnie wszelkie prace przy konwersji do nowej struktury sieci rozległej musiały być przeprowadzone bez zakłócenia pracy banku. "Ostatecznie wybraliśmy ofertę budowy sieci WAN opartej na urządzeniach Cisco Systems wykorzystujących protokół IPSec do szyfrowania transmisji" - wyjaśnia Tadeusz Rubin.

Informatycy bankowi musieli zdecydować, jak ma wyglądać docelowa struktura sieci - czy będzie ona zrealizowana w całości w modelu scentralizowanym (centrala i komunikujące się z nią bezpośrednio oddziały i placówki) czy też oprócz centrali powinny istnieć regionalne centra danych, odpowiadające za agregację ruchu z podległych im placówek. "Ostatecznie zdecydowaliśmy, że model jednego centrum agregującego cały ruch i odpowiedzialnego za terminowanie wszystkich szyfrowanych połączeń jest najbardziej odpowiedni dla BGŻ SA. Jest to również oszczędniejsze rozwiązanie ze względu na utrzymywanie krytycznego sprzętu i personelu w jednym miejscu" - twierdzi Tadeusz Rubin.

Młody z przyszłością

W roku 2000 wybrany przez BGŻ jako podstawa transmisji w sieci WAN protokół IPSec był jeszcze "niedoj-rzałym" standardem i jego pierwsi użytkownicy musieli borykać się z typowymi dla nowych rozwiązań prob-lemami technicznymi. "Charakte- rystyczne było to, że już na etapie wdrożenia pilotażowego spotkaliśmy się z problemami i błędami technologicznymi, których ze względu na wielkość instalacji Cisco nie było w stanie odtworzyć w swoim laboratorium" - ocenia Piotr Michalak, zastępca dyrektora Departamentu Informatyki BGŻ SA. Jednym z takich problemów była wielkość pakietów (MTU) przesyłanych połączeniami szyfrowanymi. Okazało się, że wielkość pakietów IP generowanych przez niektóre aplikacje, po ich zaszyfrowaniu przekracza dopuszczalną wielkość MTU obsługiwaną przez wybrane typy interfejsów routerów, co było przyczyną problemów komunikacyjnych. "Problemy w implementacji IPSec we wczesnej wersji w połączeniu ze skalą przedsięwzięcia doprowadziły do tego, że Cisco w USA opracowywało specjalną wersję oprogramowania do routerów przeznaczoną dla BGŻ" - mówi Piotr Michalak.

Bezpieczeństwo transmisji realizowanych w sieci rozległej BGŻ jest weryfikowane na bieżąco. Wszystkie uczestniczące w komunikacji urządzenia zestawiające szyfrowane kanały komunikacyjne muszą się co pewien czas ponownie uwierzytelniać w sieci. Jeśli operacja ta nie zakończy się powodzeniem, połączenie jest zrywane. Za generowanie i dystrybuowanie kluczy wykorzystywanych przez routery odpowiada własne, dedykowane centrum certyfikacji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200