Интеллект - в массы 20.01.2004 Георгий Башилов
Агрегат на 100 кВт У межсетевых экранов появляется еще одна «оборонная» задача — обнаружение вторжений в локальную сеть уже не извне, из «страшной и ужасной» глобальной сети, а из внутренней. Причем это не выдумка, это реальный случай, имевший место в моей квартирной (sic!) сети: вирус был принесен домой вместе с ноутбуком. Сразу после включения компьютера встроенный в маршрутизатор6 межсетевой экран обнаружил, что с ноутбука производится сканирование открытых портов во всем доступном адресном пространстве (последовательным перебором из ряда 192.168.0.1, 0.2 и т. д.), и просто отключил WAN-интерфейс, вернее возможность Интернет-доступа7. Слава богу, просмотр журнала событий маршрутизатора позволил выявить (и подавить) источник заражения. Даже примитивные межсетевые экраны, встроенные в устройства нижней ценовой категории, могут обнаруживать случаи подстановки IP-адресов (один из способов «воровства» трафика) и атаки класса «отказ в обслуживании» (DoS)8. К сожалению, обнаружением все, как правило, и заканчивается: данных, протоколированных в журнале событий, чаще всего недостаточно даже для конструктивного разговора с оператором. Жаль, что нет мониторов, позволяющих собирать диагностику с маршрутизаторов с помощью Tmeter. Такая возможность предусмотрена в программе Netup — но это уже полноценная биллинговая система операторского класса со всеми вытекающими — приставленными к ней на постоянной основе сисадминами и ценой. То есть для полноты картины требуется более развернутая диагностика и, в идеале, несколько интерфейсов управления: один операторский, с дополнительными возможностями управления и мониторинга по защищенному протоколу (например, SSH), и абонентский — по локальной сети, для экспресс-диагностики. Появление подобных специализированных устройств, в частности, позволило бы оператору ограничивать скорость «прямо на абоненте» (перенося весь интеллект и средства диагностики на периферию сети и максимально используя на магистралях и в ядре сети прекрасно масштабируемые Ethernet-решения) и легко решать проблемы неуправляемого локального трафика, ограничивая нежелательную активность непосредственно на абонентском уровне. Небольшая цена таких маршрутизаторов (от 50 до 200 долларов, в зависимости от встроенной функциональности и числа и типов локальных сетевых интерфейсов — разница в цене с неуправляемым коммутатором не превышает 30–40 долларов) в принципе позволяет сделать их использование обязательным и даже включать в стоимость контракта на подключение к городской сети. Дополнительное (и очень важное!) преимущество такого подхода — возможность постоянного мониторинга всей сети и быстрый поиск и обнаружение неисправностей. Не менее важна и потенциальная возможность генерации и поддержания тарифных планов9 (оператором или даже самим абонентом) на абонентских устройствах доступа. - До сих пор реальной — и востребованной — альтернативой широкополосному постоянному доступу в Интернет остается в нашей стране коммутируемый доступ. То есть конкурентоспособной альтернативой модемному доступу могут стать плоские тарифные планы начиная, скажем, с гарантированных полнодуплексных 32 кбит/с (более чем достаточных для IP-телефонии). Заметной части абонентов больше и не надо — а вот свободная телефонная линия и время, сэкономленное на дозвоне, нужны; Более того, такая аппаратная платформа предоставляет оператору средства прямого (а не опосредованного) контроля работоспособности и пропускной способности сети и является основой для предоставления наложенных услуг — IP-телефонии, сетевого видео, etc. Заложенные в эту платформу вычислительные возможности можно использовать (централизованно, силами самого оператора) для ограничения скорости абонентских подключений и генерации необходимого числа плоских тарифных планов непосредственно на абонентском оборудовании, снижая нагрузку на городские Ethernet и Интернет-сети и позволяя с минимальными затратами обеспечить высокое качество услуг даже на недорогом сетевом оборудовании (по крайней мере, на уровне агрегации трафика). 6 SMC2804WBR.
|