«Сладкий» шифрованный VPN траффик или Как мы «защищали» мороженное



История создания компании «Ласунка» началась с января 1997 года, с производства обычного мороженого — пломбира в вафельном стаканчике и эскимо, на маленькой фабрике в предместье Днепропетровска. Сейчас это ведущий производитель мороженого в Украине.

Предприятие «Ласунка» включает в себя несколько торговых марок, «Белая береза», «Ласка», «Ласунка», основное производство – мороженное. По стратегии развития компании «Ласунка» основные вложения направляются в развитие инфраструктуры и в поддержание высоких стандартов качества.

Торговых филиалов предприятия на данный момент – 26, и компания планирует расширяться. Производство находится в Тернополе и в Кировограде, главный офис – в Днепропетровске. ИТ-инфраструктура такого предприятия сложная и требует безопасного обмена информацией между офисами предприятия.

В начале этого года на предприятии начали устанавливаться шлюзы Fortinet, мы решили узнать, как работает это решение у клиента.

Собственно, спрашивать отзывы о работе оборудования нужно у главного айтишника предприятия – говорит ИТ-директор ТМ «Ласунка», Евгений:

UPD:
Дисклеймер
Клиент делится своим личным опытом, по понятным причинам он не может вообще все рассказать о том, как устроенна его сеть, ведь он делится опытом и рассказывает о том, как у него и что работает, не для того чтобы его в следующий раз точно взломали. Комментарий-отзыв записан со слов клиента максимально приближенно, можем предоставить запись если нужно. ИТ-директор рассказал максимально подробно обо всем, что можно было сказать в этом отзыве, больше — нельзя, так как это небезопасно.


— Вся бизнес-информация находится в Днепропетровске, в главном офисе. Большинство сотрудников удаленных офисов работают через терминальные сервера, и для этого нам необходимы стабильные работающие каналы. Наши интернет каналы построены на скорости 100Mbit/s. Причем в центральном офисе 2 канала – 1 канала имеет скорость 1Gbit/s, второй резервный 100Mbit/s, в случае каких-то сбоев, они переключаются автоматически, и помогают избежать проблем со связью.

У нас стояли шлюзы одного вендора, они хорошо работали, но с ростом нагрузки на внутренний VPN-трафик, стали подвисать, и мы уперлись в потолок роста – 40 Mbit/s (хоть на сайте вендора заявлена скорость в 130Mbit/s ) – и все, дальше — никак, нам этой скорости стало не хватать.

Сначала мы не очень хотели, но потом, партнер Smartnet посоветовал нам попробовать оборудование Fortinet, мы попробовали, спасибо дистрибьютору, что дали оборудование на тест – еще не каждый дистрибьютор дает на тест оборудование – и, по результатам испытаний, нас все устроило. Теперь это решение четко и надежно держит 100 Mbit/s (как и обещает сайт FortiNet) VPN трафика.


Такие шлюзы FortiGate 60C, а также другие модели шлюзов из семейства FortiGate для построения защищенных соединений (VPN соединений) стоят в каждом торговом представительстве-офисе предприятия.

Вначале мы поставили несколько шлюзов для шифрованного траффика, чтобы посмотреть как будет работать, теперь это оборудование стоит в каждой нашем офисе. Наши региональные офисы и производства соединяется с главным офисом по защищенным каналам в которых и передаются данные терминальных сессий, и, естественно, критично важно, чтобы связь не прерывалась, так как от этого зависит непрерывность бизнес процесса, ведь часто это нужно и в 2 часа ночи – работа на производстве не прекращается ночью. И если шлюз зависает ночью, то недовольны этим все, в первую очередь мои админы:), которым нужно срочно восстанавливать связь. С Fortinet, таких проблем у нас не возникает.

Шифрованный VPN-трафик, и голосовой трафик в ИТ-инфраструктуре занимает около 90%,. Терминальных сессий единовременно может быть до 400 – никаких проблем с каналом нет.



— Как часто происходят какие-то сторонние вмешательства в вашу сеть?

У нас регулярно происходят DDoS-атаки, спам-атаки на почтовый сервер и прочие атаки, то ли конкуренты, то ли кто-то ради спортивного интереса пытается залезть в нашу сеть — со всем этим шлюзы Fortinet прекрасно справляются.

В нашем главном офисе стоит главный маршрутизатор тоже другого вендора, мы планируем и там его заменить на Fortinet. И вот сейчас я совсем скоро поеду настраивать сеть в новооткрывшемся филиале предприятия в другой стране, и там тоже будет стоять шлюз Fortinet.

Я ничего не хочу сказать плохого об оборудовании, которое у нас было до Fortinet, эти решения хорошие, но мы из них выросли. И с Fortinet, помимо решения насущных проблем инфраструктуры, у нас еще есть очень хороший запас на будущее.

Да, справедливости ради, нужно сказать, что оборудование Fortinet — дороже, но в данном случае это очень выгодная инвестиция. Мы считаем, что нельзя экономить на ИТ-инфраструктуре, так как от качества ИТ зависит связь, а сегодня в любом бизнесе: качественная и безопасная связь — решает все.



Как я уже сказал, оборудования, которое у нас было, нам стало не хватать, и для того чтобы в следующем году нам не пришлось еще что-то менять, мы не стали ждать, когда будет не хватать пропускной способности канала для траффика, и решили искать альтернативное и долгосрочное решение, которого бы нам хватило на 5, а лучше на 10 лет, мы выбрали решение уже с хорошим запасом – Fortinet — по всем параметрам, которые могут быть актуальны в будущем

Ведь перед нашим ИТ-отделом, постоянно ставятся новые задачи. И мы, как айтишники, можем предположить какие новые задачи могут нам прийти от нашего бизнеса через год-два, (я работаю ИТ директором здесь уже 17 лет) — поэтому и готовимся быть готовыми:) ко всему. И мы считаем, что если мы поставим Fortinet и в центральном офисе, мы делаем очень хороший запас всего: в первую очередь для расширения сети, расширения предприятия.

Нужно еще сказать о том, что на фазе теста мы брали оборудование еще одного сетевого вендора, в таком же ценовом сегменте как и Fortinet. Да, там есть свои плюсы, но Fortinet нам гораздо больше понравился, он гораздо лучше встраивается в сеть предприятия, а по производительности в некоторых вещах он даже превосходит своих конкурентов по функционалу и производительности.

Если сравнивать что было и что сейчас. Fortinet очень обрадовал нас своими широкими настройками, в нем есть много ответвлений настроек, которые позволяют очень гибко и более точно настроить все потоки трафика. То, что нельзя настроить на другом оборудовании — на Fortinet — запросто. То есть Fortinet не монолитно подходит к трафику в ИТ-инфраструктуре, а понимает, что корпоративный трафик может быть очень и очень разным, и для всего нужны свои отдельные настройки, которые можно настраивать под себя, что тут скажешь – очень удобно!

По результатам: мы получили прирост скорости и стабильность каналов. Теперь производственные предприятия мы переводим на Fortinet, вот Кировоград мы уже перевели, планируем Тернополь и Днепропетровск. Теперь все новые подразделения мы уже сразу строим сеть на решениях Fortinet, и планируем дальше также делать.

Производственное предприятия, везде, где есть большой объем трафика, большие нагрузки, где необходимо резервирование каналов – Fortinet — отличное решение, мы очень довольны!

Как и в любой компании всегда стоит вопрос относительно безопасности и ограничения веб-контента, в нашей сети весь трафик со всех филиалов заворачивается в центральный офис, и уже здесь ставятся ограничения и в этом нам очень помогает FortiGate, настройка фильтрации очень гибкая, так же он свободно справляется с https трафиком, торрент сетями и т.д.

Гибкость настройки FortiGate можно сравнить с линуксом, так же стоит отметить и управление, так как с многими задачами может справится и служба тех поддержки, и им не обязательно предоставлять полный доступ к роутерам, достаточно определенной секции настроек и с этим FortiNet так же отлично справляется.

Можно еще много говорить и рассказывать, но лучше пробовать!
Одним словом – мороженное под защитой:)



Техническая информация об оборудовании



FortiGate — устройство комплексной сетевой безопасности. Содержит в себе функционал L2/L3 маршрутизатора, межсетевого экрана, VPN-концентратора, антивируса, антиспам-фильтра, web/content фильтра, системы обнаружения вторжений (IPS), а также дополнительно функции авторизации пользователей, виртуализации и обеспечения отказоустойчивости решений.

Маршрутизация – устройство поддерживает статическую, динамическую маршрутизацию (RIP, OSPF, BGP), маршрутизацию по требованию (policy-based routing), а также маршрутизацию multicast-трафика.

Межсетевой экран (Firewall) – на основе политик, которые могут гибко настраиваться персонально под каждого пользователя в сети в зависимости от направления движения трафика.

Аутентификация пользователей – устройство поддерживает функционал аутентификации пользователей перед предоставлением сетевых сервисов. Поддерживается локальная база пользователей, взаимодействие с внешними системами аутентификации по протоколам LDAP, RADIUS, TACACS+. При наличии в инфраструктуре серверов аутентификации пользователей (таких, как контроллер домена Windows Active Directory и Novell eDirectory), с помощью технологии Fortinet Single Sign-On, FortiGate имеет возможность выполнять одноразовую аутентификацию пользователей при их доступе к корпоративным ресурсам сети и/или сети Интернет (например, сервера приложений, разграничение доступа к ресурсам Интернет).

VPN-концентратор – позволяет устанавливать защищённые соединения между сетевыми локациями с использованием протоколов IPSec (Site-to-site, Hub-and-spoke, Dialup client), SSL (web-portal mode, tunnel mode), PPTP, L2TP. Поддерживаются алгоритмы шифрования DES, 3DES, AES.

Антивирус и противодействие вредоносному и шпионящему ПО – позволяет в режиме реального времени проверять на наличие вирусов и вредоносного кода: веб-трафик (HTTP, HTTPS), FTP, электронную почту (SMTP, POP3, IMAP), протоколы обмена мгновенными сообщениями (ICQ, AIM, MSN, Yahoo и др.), P2P, протокол передачи новостей (NNTP), и всё это с поддержкой большинства популярных форматов сжатых файлов. Антивирусные сигнатуры обновляются автоматически с серверов Fortinet (существует PUSH механизм оповещения о выходе новых сигнатур). Есть механизм эвристического анализа (поиск неизвестных вирусов).

Антиспам* – проверка электронной почты (SMTP, POP3, IMAP) на наличие СПАМа. Эффективное тестирование различных параметров электронной корреспонденции, белый/черный листы IP-адресов и e-mail адресов отправителей/получателей. Предотвращение утечки информации (список запрещенных фраз). Проверка репутации отправителя в глобальной базе репутаций Fortinet. Сигнатурный анализ корреспонденции.

Система предотвращения вторжений (IPS) – система обнаружения и предотвращения вторжений на базе собственной службы FortiGuard Intrusion Prevention Service. Сигнатурный анализ трафика, отслеживание и анализ аномалий трафика, возможность создания собственных сигнатур, определение новых вторжений, на которые сигнатуры ещё не созданы, автоматическое обновление базы данных сигнатур.

WEB/контент фильтр* – обеспечение корпоративной политики использования интернет пользователями компании (аналитика сайтов с помощью глобальной базы данных классификации и репутации интернет сайтов FortiGuard Web Filtering service), проверка заголовков и содержимого WEB-трафика, управление Java-апплетами, ActiveX-компонентами, Cookies.

Контроль приложений – FortiGate имеет функционал контроля Web 2.0 и персональных приложений (веб-почта, программы обмена мгновенными сообщениями (IM), бесплатные VoIP-звонки, P2P, панели инструментов браузеров, обмен файлами, а также различные социальные медиа-ресурсы), протоколов передачи голоса поверх IP (H.323, SIP, SCCP). Базы данных идентификации приложений FortiGate в настоящее время содержат более 1500 сигнатур для приложений и протоколов по 18 категориям.

Traffic shaping – устройство имеет функции управления потоком трафика (гарантирование / лимитирование / приоритетность полосы пропускания).

NAT и балансировка нагрузки – поддерживаются развитые функции преобразования адресов (динамический и статический NAT, policy-based NAT, SIP/H.323 NAT-Traversal), также есть функции балансировки нагрузки между несколькими серверами.

Protection profile – позволяет назначить (включить) набор сервисов безопасности персонально для каждого типа трафика или пользователя в сети.

VDOM (Virtual Domain) – виртуализация устройства. Создание нескольких виртуальных устройств с независимым управлением, политиками безопасности, таблицами маршрутизации для каждого. Активировано 10 VDOM-лицензий в базовой поставке, возможно расширение количества лицензий.

HA (high availability) – режим совместной работы двух устройств для повышения отказоустойчивости сети. Поддерживаются Active/Active, Active/Passive, VRRP режимы.

IPv6 – продукт поддерживает протокол IPv6.

VLAN – поддерживаются VLAN 802.1q.

3G – устройство работает с внешними 3G или CDMA модемами в форм-факторе USB.

Управление и мониторинг может осуществляться через WEB-интерфейс, CLI (ssh, telnet), консоль, а централизованное управление – с помощью устройства FortiManager. Предусмотрено ролевое управление несколькими администраторами, разграничение прав доступа, использование VDOM для управления виртуальными устройствами. Устройство поддерживает протоколы syslog, SNMP, может информировать о событиях на e-mail. Сбор, ведение журналов и формирование отчётов о событиях сети тесно интегрировано с FortiAnalyzer.
Помимо аппаратного исполнения, платформа FortiGate представлена в виде Виртуального приложения – FortiGate-VM. Приложение FortiGate Virtual Appliances предназначено для защиты виртуальной инфраструктуры, построенной на решениях VMware. FortiGate-VMвключает в себя полный набор средств защиты традиционных устройств FortiGate.

Модельный ряд FortiGate-VM состоит из следующих устройств:

Свойства
FortiGate-VM00
FortiGate-VM01
FortiGate-VM02
FortiGate-VM04
FortiGate-VM08
Поддерживаемые Hypervisors
VMware ESXi/ESX v3.5/v4.0/v4.1/v5.0,
Citrix XenServer v5.6 SP2/v6.0, Open Source Xen v3.4.3/v4.1,
Hyper-V, KVM platform
Количество поддерживаемых вирт. процессоров (max)
1
1
2
4
8
Количество поддерживаемых сетевых интерфейсов (min/max) (10 GbE, 1 GbE)
2/10
2/10
2/10
2/10
2/10
Необходимое количество памяти (min/max)
512/512 Mb
512/1024 Mb
512/3072 Mb
512/4096 Mb
512/12288 Mb
Необходимый объем жесткого диска (min/max)
30/2048 GB
30/2048 GB
30/2048 GB
30/2048 GB
30/2048 GB
Макс. пропускная способность МСЭ, Mbps
500
1000
1600
2000
4000 2
Пропускная способность IPS, Mbps
200
400
600
800
1000
Пропускная способность IPsec (AES256+SHA1), Mbps
100
125
150
175
200
Антивирус, Mbps
100
200
350
500
600
Максимальное количество одновременных сессий
500 тыс.
1 млн.
2,5 млн.
3,5 млн.
8,0 млн.
Количество новых сессий/сек
10 тыс.
20 тыс.
25 тыс.
75 тыс.
100 тыс.
Количество FortiAP
32
256
512
512
1024
Виртуальный домен (по умолчанию/макс.)
1/1
10/10
10/25
10/50
10/250

Примечание: количество поддерживаемых пользователей не ограничено и зависит только от аппаратной платформы.
Актуальная производительность зависит от загрузки трафика и системной конфигурации.
1 Показания производительности тестированы на платформе Dell PowerEdge R715 server (AMD Opteron Processor 6128 CPU 2 GHz, 4 physical 1 GBe interfaces — 2 in / 2 out) под управлением ESXi v4.1 update 1 с максимальным возможным объёмом vRAM для каждого из FortiGate virtual appliance.
2 Протестировано на платформе Dell M910 (Intel Xeon Processor E7-4830 CPU 2.13 GHz, 2 physical 10 GBe interfaces).



Дистрибуция решений Fortinet в Украине, Армении, Грузии, Казахстане, Азербайджане, Кыргызстане, Таджикистане, Туркменистане, Узбекистане, странах СНГ.

Интегратором данного решения Fortinet выступила компания Smartnet (Fortinet Platinum Partner)

МУК-Сервис — все виды ИТ ремонта: гарантийный, не гарантийный ремонт, продажа запасных частей, контрактное обслуживание



UPD по холивару в комментах. Клиент делится своим личным опытом, по понятным причинам он не может вообще ВСЕ рассказать о том, как устроенна его сеть, зачем? чтобы в следующий раз точно взломали? Комментарий-отзыв записан со слов клиента максимально приближенно, можем предоставить запись если нужно. Сожалеем, что публикация была воспринята как рекламная, такой задумки не было.
МУК
Компания
Реклама
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее

Комментарии 11

    +4
    Громкий заголовок и гора рекламы внутри :(

    Да место такому, скорее, на гиктаймсе
      0
      Клиент делится своим личным опытом, по понятным причинам он не может вообще все рассказать о том, как устроенна его сеть, зачем? чтобы в следующий раз точно взломали? Комментарий-отзыв записан со слов клиента максимально приближенно, можем предоставить запись если нужно. Сожалеем, что публикация была воспринята как рекламная, такой задумки не было.

      А насчет Гиктаймса вообще несогласны, это же не гаджеты.
      –2
      … Проверка репутации отправителя в глобальной базе репутаций Fortinet
      … глобальной базы данных классификации и репутации интернет сайтов FortiGuard Web Filtering service

      Тобеж оно немношк ласково зондирует веб трафик и почточку завода. И при этом:
      … оборудование Fortinet — дороже
        +10
        Нужно еще сказать о том, что на фазе тестав чем суть? мы брали оборудование еще одного сетевого вендоракакого?, в таком же ценовом сегменте как и Fortinet. Да, там есть свои плюсыкакие?, но Fortinet нам гораздо больше понравилсячем?, он гораздо лучше встраивается в сеть предприятияв чем разница?, а по производительностикак мерялось? в некоторых вещахв каких? он даже превосходитнасколько? своих конкурентов по функционалукакой? и производительностикаким образом?.
          –4
          Этого не дала сказать цензура, к сожалению. Мы можем все назвать — только в личке.
            +4
            Цензура не позволила указать никаких технических подробностей проведенных тестов? Окей, скиньте мне в личку, а я перепощу комментарием.

            Без технических подробностей это просто хвалебная статья, в которую можно подставить любое название продукта и суть не поменяется.
          0
          Ну вообще, если вас прям так непрерывно атакуют, то часть козырей вы уже дали в руки атакующим. Сбор информации о защите один из этапов направленных атак. )
            –2
            Нас и в комментариях тоже атакуют:)
              +2
              в комментариях вам указали чем статья на техническом ресурсе отличается от маркетиногого булшита.
              Ваша статья — полный булшит, если вы понимаете о чём я ;)
            0
            Вот как, оказывается, от DDoS надо защищаться :-)
              0
              Ctrl+F, «Forti» => 62 раза :)

              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

              Самое читаемое