Dwie firmy jedna sieć

Biznesowa potrzeba lub konieczność polegająca na wykorzystaniu sieci innej firmy rodzi nietypowe problemy i często wymaga modyfikacji polityki bezpieczeństwa.

Biznesowa potrzeba lub konieczność polegająca na wykorzystaniu sieci innej firmy rodzi nietypowe problemy i często wymaga modyfikacji polityki bezpieczeństwa.

Coraz częściej zdarza się, że dwie lub więcej firm współpracuje ze sobą wymieniając dane, a nawet integrując swoje systemy informatyczne, np. w łańcuchu dostaw, w ramach grupy kapitałowej. Znacznie częściej zdarza się, że jedna firma korzysta z infrastruktury sieciowej innej firmy tylko dlatego, że ta po prostu już istnieje i taniej jest ją rozbudować, niż budować równoległą do niej nową infrastrukturę. Naturalną konsekwencją takiego zabiegu będą konflikty w dziedzinie polityki bezpieczeństwa. W dziedzinie tak kluczowej firmy lubią zachowywać samodzielność, co jest zrozumiałe. Chęć połączenia dwóch różnie skonfigurowanych sieci to jednak spore wyzwanie, jeśli zakładać, że ostateczny efekt nie powinien przysparzać żadnej z firm kłopotów czy też narażać jej na dodatkowe niebezpieczeństwo.

Weźmy pod uwagę następujące przypadki: (1) występuje pełna rozdzielność segmentów, wspólne jest jedynie wyjście do Internetu na jednym zewnętrznym adresie IP; (2) wykorzystanie sieci drugiej firmy polega na przyznaniu jej jednego adresu IP z puli prywatnej w celu udostępnienia jej Internetu; (3) podsieci fizyczne jednej sieci są łączone ze sobą przy wykorzystaniu tuneli (IPsec, openVPN), ale firma korzysta z własnego łącza - sieć drugiej firmy służy jedynie do połączenia segmentów; (4) firmy wykorzystują wspólną sieć LAN, lecz serwery i stacje robocze każdej z nich zarządzane są osobno; (5) wspólna jest całość infrastruktury; jedna z firm dodatkowo korzysta z innych usług, ale nie udostępnia ich pozostałym firmom współdzielącym infrastrukturę.

Segment na własność

Pierwszy przypadek jest najbezpieczniejszy i szczególnie godny polecenia firmom, które chciałyby zachować całkowitą niezależność przy definiowaniu polityki bezpieczeństwa. Biorąc pod uwagę ograniczenia konstrukcyjne, polityka bezpieczeństwa wewnątrz sieci lokalnej może być w zasadzie dowolna. Jedyne ograniczenia mogą wystąpić wtedy, gdy firma dzierżawiąca łącze od ISP posiada politykę ograniczającą dostęp do i z Internetu.

Restrykcje mogą polegać np. na zakazie umieszczania serwerów innych firm w strefie DMZ albo blokowaniu dostępu do konkretnych portów, a nawet zakazu wykorzystywania usług sieciowych przyjmujących połączenia przychodzące. Tak restrykcyjna polityka może jednak poważnie utrudniać pracę, np. uniemożliwiając eksploatację na terenie drugiej firmy serwera poczty internetowej, łączy VPN, a nawet oprogramowania antywirusowego - niektóre pakiety wymagają na potrzeby aktualizacji możliwości połączenia przychodzącego na port 8080. Przy projektowaniu polityki bezpieczeństwa należy to wziąć pod uwagę.

Jeśli istnieje zagrożenie konfliktami wynikającymi z podziału kompetencji, należy przed zakończeniem projektu rozważyć całkowitą blokadę połączeń od serwerów jednej sieci - do serwerów drugiej. Jedynym wyjątkiem jest wymiana poczty elektronicznej i przeglądanie stron WWW . Zalecam administracyjne zablokowanie wszelkiej komunikacji od sieci A do serwerów sieci B (i odwrotnie) poza wymianą poczty elektronicznej i przeglądaniem publicznych stron WWW .

Gdy obie firmy wyrażają wolę współpracy, zachowując jednocześnie separację sieci logicznych, często wykonują sieci w tej samej technologii, z wykorzystaniem takich samych elementów aktywnych i pasywnych. Jednolitość zastosowanych rozwiązań bardzo ułatwia serwis, zaś dzięki całkowitej rozdzielności sieci lokalnych unika się wszelkich konfliktów sprzętowych, programowych oraz sporów kompetencyjnych między administratorami sieci. Jeśli to tylko możliwe, warto zastosować te same rozwiązania, gdyż to oszczędza czas i pieniądze. Separacja logiczna ułatwia utrzymanie sieci w ruchu.

Okno na świat

Niekiedy firma potrzebuje skorzystać jedynie z łącza do Internetu, zaś blisko niej jest dostępna sieć LAN drugiej firmy, np. firmy-siostry. Najprościej byłoby podłączyć się do niej, by za jej pośrednictwem uzyskać dostęp do Internetu. W praktyce polega to najczęściej na instalacji routera wyposażonego w zaporę na styku obu sieci lokalnych. Niewiele firm zgodzi się na takie połączenie, niemniej przy dobrej konfiguracji, prawidłowej polityce bezpieczeństwa oraz dobrej współpracy administratoraów to dostatecznie bezpieczne rozwiązanie.

W takim scenariuszu polityki bezpieczeństwa obu firm muszą być dość restrykcyjne, trzeba jednak kierować się zdrowym rozsądkiem, by nie popaść w przesadę. Jeśli np. firma udostępniająca łącze wymaga korzystania z konkretnego oprogramowania antywirusowego, najkorzystniej jest taki program kupić i wykorzystywać. Gdy standard zakłada wyposażenie stacji roboczych w konkretną wersję systemu operacyjnego, czasami korzystniej jest spełnić te standardy i korzystać z łącza, niż samodzielnie budować infrastrukturę.

Kluczowym zagadnieniem będą oczywiście szczegółowe ustawienia zapory między sieciami, w szczególności zaś ustalenia odnośnie wzajemnie dostępnych portów, typów połączeń, protokołów i usług. Warto zastosować skrajnie restrykcyjne ustawienia zapory, aby uniemożliwić połączenia wychodzące na adresy inne niż do Internetu. Takie podejście ucina podejrzenia i zabezpiecza obie strony na różne ewentualności.

Poważnym minusem tego rozwiązania jest brak możliwości obsłużenia połączeń przychodzących, chyba że polityka bezpieczeństwa firmy udostępniającej Internet zezwala na coś takiego jak port forwarding, oraz jeśli istnieją po temu możliwości techniczne. Być może najprostszym rozwiązaniem takiej sytuacji jest włączenie firmy do sieci LAN wykonanej jako oddzielny segment VLAN.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200