Интернет на предприятии: Организация доступа в Интернет на предприятиях::Журнал СА 5.2003

Содержание

Как и зачем защищать доступ в Интернет на предприятии — часть 1 / Хабр

Сегодня мы с вами цинично поговорим о старой-доброй задаче – защите сотрудников и их рабочих станций при доступе к Интернет-ресурсам. В статье мы рассмотрим распространённые мифы, современные угрозы и типовые требования организаций по защите веб-трафика.

Если из всей статьи вы запомните всего один факт, то знайте – на сайтах для взрослых шанс подцепить зловреда в десятки раз меньше, чем на обычных Интернет-ресурсах.



На сегодняшний день большинство российских компаний уже предоставляют сотрудникам доступ в Интернет с рабочих компьютеров. Отстают в этом плане обычно государственные организации, силовые ведомства и компании, обрабатывающие большой объём персональных данных. Но даже в таких организациях всегда есть отдельные сетевые сегменты или рабочие станции, подключенные к Интернет.

Не предоставлять сотрудникам доступ в Интернет давно считается дурным тоном. Около трети кандидатов просто не придут к вам работать, узнав, что у вас отсутствует или сильно ограничен доступ в Интернет, так как считают его такой же необходимостью как чистая вода и вентиляция. Особенно это актуально для сегодняшнего поколения 20-25 летних, которые со школьной скамьи привыкли что любую информацию можно оперативно найти в поисковике, а обновления в социальных сетях следует проверять никак не реже чем в полчаса.

Довольно вступлений, переходим к мифам.

Миф #1 Если не ходить по сайтам для взрослых, то всё будет в порядке

Как бы не так. Согласно отчёту

Symantec’s Internet Security Threat Report

всего 2.4% сайтов для взрослых распространяют зловредов, что в разы меньше по сравнению с блогами, новостными порталами и интернет-магазинами.

Достаточно вспомнить примеры со взломом сайтов New York Times, NBC, РЖД, портала «Ведомости», сайтов грузинского правительства, TechCrunch Europe и других, со страниц которых распространялись вирусы и осуществлялись фишинговые атаки.

С другой стороны — вы как ответственный сотрудник можете принять волевое решение не посещать сайты скользкой тематики, но смогут ли устоять ваши коллеги? Совладают ли они с соблазном кликнуть по ссылке в «нигерийском письме» или нажать на баннер с сообщением о выигрыше 100500 тысяч долларов?

Миф #2 Даже если я и попаду на заражённый сайт, то антивирус меня спасёт

Шанс есть, но он очень мал. Перед выходом в свет создатели зловредов проверяют, что их творения не обнаруживаются текущими версиями антивирусов. После обнаружения первых версий зловреда у антивирусных аналитиков уходит от 6 до 24 часов на его исследование и разработку сигнатуры. Скорость распространения сигнатур и патчей для уязвимого ПО зависит исключительно от вашей инфраструктуры, но счёт как правило идёт на дни и недели. Всё это время пользователи уязвимы.

Миф #3 Решение по защите хостов умеет фильтровать категории сайтов по рискам и этого достаточно

Обратите внимание что сами же антивирусные вендоры предлагают выделенные специализированные решения по защите веб-трафика. Хостовые решения возможно и обладают базовым функционалом по фильтрации веб-сайтов по категориям и рискам, но им не под силу хранить локально базу вредоносных сайтов и динамически обновлять её без ущерба производительности. Хостовый подход к решению задачи также не применим для компаний, в которых не все рабочие станции включены в домен и/или не управляются централизованно.

Миф #4 Если подцепить вирус, то ничего страшного не произойдёт

Современные зловреды действительно более гуманны по сравнению со своими собратьями из 90-х – чаще всего они стараются минимально влиять на жертву, планомерно получая команды от мастера, рассылая спам, атакуя веб-сайты и крадя ваши пароли от банк-клиентов. Кроме них есть и более агрессивные виды – криптолокеры, шифрующие всё содержимое жёсткого диска и требующие выкуп, «порнобаннеры», показывающие непотребства и требующие отправки очень дорогой СМС, сетевые черви, выводящие сеть из строя, не говоря уже про целенаправленные атаки.

Представьте, что всё это может произойти с любым компьютером или сервером вашей организации. Согласитесь, неприятно потерять или допустить утечку всех данных с компьютера юриста, главного бухгалтера или директора. Даже выход из строя отдельных узлов вашей инфраструктуры на время лечения или перезаливки рабочей станции может нанести ущерб бизнесу.

Надеюсь, что краски достаточно сгустились и самое время перейти к описанию типовых задач и требований к идеальному решению по защите веб-трафика. Пока я намеренно не употребляю названия продуктов или устройств так как задачу можно решить различными способами.

Требования к техническим решениям


Фильтрация Интернет-ресурсов по репутации

Решение должно предоставлять возможность блокировки доступа к заведомо вредоносным веб-сайтам или их отдельным разделам. При этом информация об уровне риска подтягивается из облачного центра аналитики и динамически обновляется раз в несколько минут. В случае если сайт недавно появился, то решение должно иметь возможность самостоятельно проанализировать контент и принять решение о степени опасности.

Администратору остаётся только определить допустимый уровень риска и, к примеру, блокировать все сайты с репутацией меньше шести по шкале от -10 до +10.

По категориям и репутации должны разбиваться не только сайты, но и их подразделы и отдельные элементы страниц. К примеру, на самом популярном сайте с прогнозами погоды есть ссылки на сомнительные ресурсы, предлагающие похудеть, перестав есть всего один продукт, или узнать, как Пугачёва родила двойню. В данном случае сотрудникам следует оставить доступ к основному сайту и блокировать отображение сомнительных частей веб-страницы.

Фильтрация Интернет-ресурсов по категориям (URL-фильтрация)

Должна быть возможность заблокировать доступ к отдельным категориям сайтов, к примеру, к файлообменникам, онлайн-казино и хакерским форумам. Информация о категориях также должна подтягиваться из облачного центра аналитики. Чем больше категорий понимает устройство и чем достоверней они определены, тем лучше.

Также стоит обратить внимание на скорость реагирования центра аналитики на ваши запросы по изменению категорий веб-сайтов. Сайты, которые в рабочих целях используют ваши сотрудники, могут быть неправильно отнесены в заблокированную категорию. Возможна и обратная ситуация, когда сайт не отнесён в заблокированную категорию. Данные трудности можно решать и вручную, добавляя отдельные ресурсы в white list или black list, но такой подход неприменим если придётся делать это каждый день, да ещё и на нескольких устройствах.

Отдельного внимания заслуживает тема поддержки кириллицы и правильности классификации русскоязычных сайтов. Как правило западные вендоры не уделяют им должного внимания. К счастью подразделения компании Ironport, разрабатывавшей решения по защите веб-трафика и приобретенной компанией Cisco располагаются в/на Украине, так что озвученные выше проблемы отсутствуют.

Сканирование загружаемых файлов

Должна быть возможность сканировать потенциально опасные файлы антивирусными движками перед тем как отдавать их конечным пользователям. В случае если таких движков несколько, то это несколько повышает шансы обнаружения зловредов. Также вы реализуете принцип эшелонированной обороны и снижаете шансы заражения в случае если на конечном хосте антивирус отключен, не обновлён или попросту отсутствует.

Верхом совершенства по анализу потенциальных зловредов является использование движка Advanced Malware Protection (AMP) или аналогов для защиты от целенаправленных атак. В таких атаках вредоносные файлы разработаны специально для нескольких организаций, не распространены в Интернете и как правило ещё не попали в ловушки антивирусных вендоров. Центры аналитики VRT Sourcefire и SIO Cisco проверяют встречался ли ранее именно этот файл в ходе атаки в другой организации, и если нет, то тестирует его в песочнице, анализируя выполняемые действия. Ранее мы писали про AMP на Хабре

Полезной также будет возможность фильтровать файлы по расширениям и заголовкам, запрещая исполняемые файлы, зашифрованные архивы, аудио и видеофайлы, файлы .torrent, magnet-ссылки и т.п.

Понимание приложений и их компонентов

Традиционные списки контроля доступа на межсетевых экранах уже практически не спасают. Десять и более лет можно было быть относительно уверенными что порты TCP 80 и 443 используются только для доступа в Интернет через веб-браузер, а TCP 25 для отправки электронной почты. Сегодня же по протоколу HTTP и 80 порту работают Skype, Dropbox, TeamViewer, torrent-клиенты и тысячи других приложений. Англоязычные коллеги называют эту ситуацию «HTTP is new TCP». Многие из этих приложений можно использовать для передачи конфиденциальных файлов, видеопотоков и даже удалённого управления рабочими станциями. Естественно это не те виды активности, которые мы рады видеть в корпоративной сети.

Здесь нам может помочь решение, ограничивающее использование приложений и их отдельных компонентов. К примеру, разрешить Skype и Facebook, но запретить пересылку файлов и видео-звонки. Также будет полезно запретить как класс все приложения для p2p обмена файлами, анонимайзеры и утилиты для удалённого управления.

Определение приложений осуществляется на основе «сигнатур приложений», которые автоматически обновляются с сайта производителя. Огромным плюсом является возможность создавать «сигнатуры приложений» самостоятельно или подгружать их в открытом виде с сайта community. Многие производители разрабатывают «сигнатуры приложений» только своими собственными силами и зачастую не успевают следить за обновлениями российских приложений или просто ими не занимаются. Само собой, они вряд ли возьмутся за разработку сигнатур для отраслевых приложений или приложений собственной разработки.

Обнаружение заражённых хостов на основе устанавливаемых соединений

Как показывает практика многие компьютеры могут являться членами ботнетов на протяжении нескольких лет. Гонка вооружений вышла на такой уровень, что зловреды не только подтягивают обновления своих версий с центра управления, но и латают дыры в ОС и приложениях, через которые они попали на компьютер, чтобы предотвратить появление конкурентов. Далеко не все антивирусные решения способны установить факт заражения, учитывая, что такие зловреды работают на очень низком уровне, скрывают свои процессы, соединения и существования в целом от антивируса.

Здесь нам на помощь приходят решения, которые анализируют трафик от рабочих станций к центрам управления ботнетами в Интернете. Основным способом обнаружения является мониторинг подключений к серверам в «чёрных списках» — уже известным центрам управления ботнетами, «тёмным» зонам Интернета и т.п.

Если же это таргетированная атака или пока неизвестный ботнет, то обнаружение осуществляется с помощью поведенческого анализа. К примеру сессии «phone home» между зомби и мастером можно отличить по шифрованию содержимого, малому объёму переданных данных и длительному времени соединения.

Гибкие политики разграничения доступа

Практически все современные средства защиты имеют возможность назначать политики не только на основании IP-адресов, но и на основе учётных записей пользователей в AD и их членства в группах AD. Рассмотрим пример простейшей политики:

  • Доступ в Интернет получают все доменные пользователи с компьютеров, включённых в домен и корпоративных планшетов
  • За исключением пользователей, входящих в доменные группы «Операторы колл-центра» и «Без доступа в Интернет»
  • Со скоростью не более 512 Кбит на сотрудника
  • Всем сотрудникам запрещён доступ к категориям «Онлайн-казино», «Поиск работы» и «Сайты для взрослых»
  • За исключением группы «Руководство»
  • Всем сотрудникам запрещён доступ к сайтам с репутацией менее шести
  • Использование социальных сетей и сервисов потокового видео запрещено всем сотрудникам, за исключением группы «отдел маркетинга и связей с общественностью»
  • Просмотр видео ограничен по скорости до 128Кбит/с
  • Запрещено использование всех игровых приложений, за исключением игры, созданной компанией
  • Запрещено использование torrent-клиентов, интернет-мессенджеров и утилит для удалённого администрирования
  • Сканировать загружаемые файлы двумя из трёх антивирусных движков, за исключением файлов .AVI
  • Запретить загрузку файлов .mp3 и зашифрованных архивов

Как показывает практика во многих компаниях возникают организационные трудности, не позволяющие сразу же начать ограничивать доступ к Интернет-ресурсам. Формализованная политика или отсутствует или на практике для неё слишком много исключений в виде привилегированных сотрудников и их друзей. В таких случаях стоит действовать по принципу 80/20 и начать с минимальных ограничений, к примеру, заблокировать сайты с самым высоким уровнем риска, отдельные категории и сайты, заведомо не относящиеся к рабочим обязанностям. Также помогает установка решения в режиме мониторинга и предоставление отчётов по использованию Интернет-ресурсов руководству компании.

Перехват и проверка SSL трафика

Уже сегодня многие почтовые сервисы и социальные сети шифруют свой трафик по умолчанию, что не позволяет проанализировать передаваемую информацию. По данным

исследований

зашифрованный SSL-трафик в 2013 году составлял 25-35% от общего объёма передаваемых данных, и доля его будет только увеличиваться.

К счастью, SSL-трафик от пользователя к Интернет-ресурсам можно расшифровывать. Для этого мы подменяем сертификат сервера на сертификат устройства и терминируем соединение на нём. После того как запросы пользователя проанализированы и признаны легитимными – устройство устанавливает новое зашифрованное соединение с веб-сервером от своего имени.

Расшифровка трафика может осуществляться как на том же узле, что производит анализ и фильтрацию, так и на выделенном специализированном устройстве. При выполнении всех задач на одном узле производительность само собой снижается, иногда в разы.

Дополнительные требования

Для того чтобы проект по защите веб-трафика состоялся крайне полезно показать руководству и преимущества, не относящиеся напрямую к безопасности:


  • Квотирование трафика по времени и пользователю, к примеру, не более 1Гб трафика в месяц или не более двух часов в Интернете в день
  • Ограничение полосы пропускания для отдельных сайтов, их частей или приложений, например, ограничение в 100Кбит/с при загрузке потокового видео или аудио
  • Кэширование веб-трафика – позволит как ускорить скорость загрузки популярных сайтов, так и сэкономить трафик при многократной загрузки одних и тех же файлов
  • Шейпинг канала – равномерное распределение полосы пропускания и приоритезация между всеми пользователями

Крайне важно также понять подходит ли рассматриваемое решение именно для вашей организации, здесь стоит обратить внимание на:


  • Single sign on – прозрачная авторизация пользователей без дополнительного ввода логина/пароля, в том числе для смартфонов и планшетов
  • Поддержку нескольких способов интеграции в вашу существующую инфраструктуру
  • Возможность установки решения как в виде специализированных аппаратных устройств, так и виртуальных машин
  • Централизованное управление как самими устройствами, так и их политиками
  • Централизованная отчётность по всем устройствам с возможностью создания пользовательских отчётов
  • Возможность делегировать администрирование отдельных регионов, функций или политик другим администраторам
  • Производительность решения
  • Наличие штатной функциональности по журналированию соединений и предотвращению утечек (DLP) или возможность интеграции с внешними DLP-решениями
  • Возможность интеграции с SIEM-системами
  • Модель лицензирования – по пользователям или устройствам или IP-адресам или пропускной способности
  • Стоимость продления годовых подписок

Естественно невозможно рассказать про всё в одной статье и вот некоторые темы которые не были затронуты:


  • Проверка членства в домене, наличия антивируса и обновлений ОС перед предоставлением доступа в Интернет
  • Как защищать сотрудников, которые чаще бывают в командировках, чем в офисе
  • Какие сложности возникают при защите веб-трафика рабочих станций со сменными сотрудниками, виртуальных рабочих станций (VDI), планшетов и смартфонов
  • В каких случаях дешевле и удобнее использовать облачный сервис для фильтрации веб-трафика
  • Стоит ли пытаться реализовать аналогичную функциональность на базе Squid и других open source решений

В следующей статье планируется рассказать с помощью каких решений Cisco и как можно решить вышеперечисленные задачи.

Надеюсь, что статья была для вас полезна, буду рад услышать дополнения и пожелания по поводу новых тем в комментариях.

Stay tuned 😉

Ссылка на продолжение статьи

Планирование подключения сети предприятия к провайдеру интернет

1. Подключение сети предприятия к провайдеру

Современные корпоративные IP сети подключены к интернету и используют интернет как транспорт для передачи своих данных. Корпорации предоставляют различные услуги через интернет для своих покупателей и партнеров — системы на веб-серверах доступны отовсюду в мире.
Редки случаи, когда предприятию требуется подключение в интернет только для доступа с рабочих станций к серверам в интернете. 
Обычно, не только клиентам сети предприятия необходим доступ к внешним ресурсам, но и внешним клиентам необходим доступ к ресурсам в корпоративной сети.

Первый параметр, который надо определить, это количество публичных IP адресов , которые будут использоваться для трансляции частных адресов клиентов при доступе в интернет. Эти публичные адреса будут также использоваться для корпоративных сервером, к которым необходим доступ из интернета. Эти адреса будут либо назначены серверам напрямую, либо будут транслироваться из частных адресов корпорации.

Второй параметр – тип и скорость соединения, которые зависят от провайдера. Типы соединений бывают – выделенная линия, Ethernet по оптической или медной линии и xDSL. Полоса пропускания должна быть правильно выбрана в соответствии с требованиями предприятия.

Третий параметр – правильный выбор протокола маршрутизации. Обычно выбирают между статической и динамической маршрутизацией.

Четвертый параметр относится к избыточности подключения. Необходима оценка для определения типа избыточности, требуемого для подключения предприятия в провайдеру. Избыточность включает: избыточный маршрутизатор, избыточное соединение и избыточного провайдера, при котором предприятие подключается к нескольким провайдерам.

При оценке этих параметров следует учитывать, должна ли сеть предприятия быть независимой от выбранных провайдеров. Если независимость требуется, публичные IP адреса не должны быть из пула адресов провайдера, они должны быть приобретены у регионального представителя Интернета. Похожая независимость требуется и для автономных систем. Номер автономной системы должен быть публичным, а не частным номером из пула провайдера.


2. Обмен маршрутной информацией с провайдером

Соединение сети предприятия с провайдером требует обмена маршрутной информацией между ними. 

Для выбора способа обмена надо ответить на следующие вопросы:

— будет ли эта информация информировать провайдера об изменениях сетевой топологии?

— маршрутизация будет поддерживать одно или несколько подключений к провайдеру?

— требуется ли балансировка нагрузки между подключениями?

— будет ли сеть подключаться к нескольким провайдерам?

— должен ли провайдер предоставлять только транспортные возможности для соединения нескольких офисов предприятия с использованием технологий уровня 2?

— какой объем маршрутной информации необходим для обмена между сетью и провайдером?

— какие возможности маршрутизации предлагает провайдер?


Иногда абоненту требуется соединение второго уровня между двумя или более офисами. Следующие примеры показывают необходимость в соединении второго уровня:

— в местах расположения офисов могут находится ЦОДы с географически распределенными кластерами, которые требуют соединения второго уровня для правильного функционирования

— абонент находится в процессе миграции из одного офиса в другой и требует соединения второго уровня между старым и новым офисом

— абонент подключен к сети партнера и требует соединения второго уровня

 Соединение второго уровня обеспечивается многими технологиями: Ethernet, Frame Relay, PPP, HDLC, ATM. В некоторых случаях провайдеры предоставляют свои IP сети ядра, расширенные применением технологии MPLS, для таких соединений.

Такие соединения не требуют обмена маршрутной информацией между провайдером и абонентом. Со стороны абонента это выглядит как предоставление провайдером порта второго уровня. Со стороны провайдера – два порта, расположенные в разных местах, должны быть соединены вместе.

Статические маршруты — самый простой способ обмена маршрутной информацией между сетью предприятия и провайдером. Эти статические маршруты должны быть согласованы с провайдером до настройки маршрутизации и не должны меняться после настройки или, если изменения будут происходить, они не должны быть очень частыми. 

Статические маршруты обычно используются при подключении к провайдеру с использованием одного соединения. Абонент использует маршрут по умолчанию на провайдера, а провайдер должен прописать статический маршрут или маршруты для указания публичных сетей абонента. Провайдеры также обычно распространяют эту информацию в свой протокол BGP. 

Хотя статические маршруты являются простым решением, они также имеют ряд недостатков, особенно в вопросах гибкости и адаптивности. Например, если было произведено изменение сетевой топологии, после которого прямое соединение разорвалось, статический маршрут не сможет адаптироваться для решения этого вопроса. Для внедрения адаптивности необходимо статические маршруты комбинировать с функциональностью соглашения об уровне обслуживания (SLA), которая включит индикацию, что статический маршрут недоступен, или использовать динамическую маршрутизацию. Надо отметить, что использование IP SLA не сможет полностью заменить динамическую маршрутизацию, т.к. оно не сможет реагировать на все  изменения в сети интернета.


MPLS VPN используется, когда абонент имеет много мест подключения, которые должны быть соединены между собой, и не хочет использовать дорогие технологии второго уровня, такие как выделенная линия.

В MPLS VPN провайдер использует общую IP сеть ядра, расширенную технологией MPLS, для предоставления безопасных и управляемых соединений для подключения географически разнесенных филиалов абонентов. При этом трафик различных абонентов может передаваться по одной физической среде, но тегируется метками, с помощью которых он не перемешивается. 

Когда абоненты используют функциональность MPLS VPN? Маршрутизация между абонентом и провайдером необходима для обеспечения соединения между филиалами абонента. Маршрутизация может быть как статической, так и динамической, и использует следующие протоколы: RIP, OSPF, EIGRP> IS-IS и даже BGP, в зависимости от того, что предложит провайдер. Различные филиалы могут использовать различные протоколы, хотя такие ситуации обычно не случаются.

При развертывании MPLS VPN провайдер может предложить соединение  через одну и ту же сеть ядра или с использованием специального Интернет VPN, или с использованием глобальной таблицы маршрутизации. Для обмена маршрутной информацией интернета используется протокол BGP или маршруты по умолчанию.

Типичным вариантом, используемым для предоставления динамического обмена маршрутной информацией при соединении с интернетом, является протокол BGP. BGP динамически обменивается маршрутной информацией и, таким образом, реагирует на изменения топологии сети, включая разрыв соединения между абонентом и провайдером.
Исходя из перспектив маршрутизации, могут быть использованы три варианта:
— провайдер или несколько провайдеров анонсируют только маршрут по умолчанию. При использовании двух провайдеров одно соединение используется как основное, а второе — как резервное.

— провайдер или провайдеры анонсирует маршрут по умолчанию и набор интернет-маршрутов, обычно это их собственное адресное пространство. Это даст возможность использовать короткие пути к напрямую подключенным публичным сетям. Для публичных сетей, которые подключены не напрямую, один провайдер будет использоваться как основной, а второй – как резервный.

— провайдер или провайдеры анонсируют полную таблицу маршрутизации интернета. Кратчайший путь к сети назначения будет выбираться в соответствии с этой таблицей.


3. Определение типа подключения к провайдеру

При подключении корпоративной сети к провайдеру большую важность имеет избыточность. Избыточность может быть реализована следующим образом:

— развертывание избыточных подключений

— развертывание избыточного оборудования

— использование избыточности внутри одного маршрутизатора

Абонент может быть подключен к одному или к нескольким провайдерам.

При подключении к одному провайдеру избыточность может быть применена путем использования двух подключений к одному провайдеру. Если избыточность подключений не используется, абонент имеет одно подключение. Тогда при разрыве единственного соединения связь с интернетом прервется.

При подключении к нескольким провайдерам, избыточность уже вносится в дизайн сети, так как абонент имеет минимум два подключения к провайдерам, а также резервируется сам провайдер. Для увеличения избыточности абонент может использовать по два подключения к каждому из нескольких провайдеров.

Единственное подключение к одному провайдеру используется в случае, когда потеря соединения с интернетом не является критичным для абонента. Тип подключения зависит от предложения провайдера и может быть: выделенная линия, xDSL, Ethernet. Отсутствие соединения будет означать отсутствие интернета у абонента.
Доступ к одному провайдеру через одно соединение не требует использования BGP. Обычно используются статические маршруты. Если BGP используется, абонент, использующий его, анонсирует свои публичные сети провайдеру, а провайдер анонсирует только маршрут по умолчанию к абоненту, так как этого вполне достаточно для предоставления соединения через единственное подключение.

Когда абонент подключается к только к одному провайдеру, избыточность можно сделать путем развертывания второго подключения к тому же провайдеру. При использовании второго подключения  маршрутизация должна быть правильно настроена для использования каждого из подключений.

В зависимости от соглашения об уровне обслуживания (SLA), подписанного с провайдером, маршрутизация может решить следующие вопросы:

— функциональность основного и резервного соединения, где одно основное соединение используется для отправки и приема трафика от провайдера, а второе соединение используется только в случае отказа основного соединения

— балансировка нагрузки между соединениями с использованием коммутации Cisco Express Forwarding

В обоих случаях маршрутизация используется на основе или статических, или динамических маршрутов, из которых обычно используют BGP. 

Для увеличения избыточности два соединения могут приниматься двумя разными маршрутизаторами абонента.

Правильное резервирование достигается подключением к двум разным провайдерам. Преимущества от подключения к двум или более разным провайдерам следующие:
— резервирование отказа подключения к одному провайдеру
— распределение нагрузки для разных сетей назначения между провайдерами на основе близости сетей
— масштабирование решения при увеличении провайдеров более двух 
— достижение результата независимо от провайдера. Провайдер меняет требования к конфигурации маршрутизации или меняет соединения. А публичный адрес абонента остается неизменным.
Подключения к разным провайдерам можно принимать на один маршрутизатор или на разные маршрутизаторы для увеличения избыточности. Маршрутизация должна быть в состоянии реагировать на динамические изменения, и BGP обычно используется для достижения этой гибкости.

Мультиподключение имеет место, когда автономная система имеет больше одного подключения в интернет. Две основные причины для мультиподключений следующие:
— увеличение надежности подключения к интернету. Если одно соединение разорвется, второе останется доступным.
— увеличение производительности соединения. Для передачи данных в определенные сети назначения будут использоваться лучшие маршруты.
Преимущество BGP видны, когда автономная система имеет несколько внешних BGP соединений к одной или нескольким автономным системам. Наличие нескольких подключений позволяет организации иметь резервное соединение с интернетом, и в случае пропадания одного из подключений, второе остается работоспособным.

Интернет для офиса, предприятия или производства

Беспроводной 4G / 3G интернет все чаще выбирают для себя офисы и предприятия. И это в ту пору, когда кабельный способ подключения уже давно стал классикой жанра. Почему так? Наверное, потому, что столь же известной классикой в этой теме является и внезапное исчезновение кабельного интернета — именно тогда, когда он особенно необходим. Производство, склады, бухгалтерия оказываются парализованы, а собственники бизнеса теряют деньги.

Почему стационарный интернет имеет свойство “испаряться”? Повреждение проводов (случайное или в результате действий злоумышленников), несвоевременная оплата услуги, отключение электроэнергии. Как видим, каждая из этих причин может иметь место. Более того, “по закону подлости”, они могут случиться на отдельном объекте все вместе сразу.

Чтобы защитить свой бизнес от влияния внешних обстоятельств и оставаться на связи даже в критические моменты, о которых сказано выше, многие офисы и предприятия уже давно “завели” себе если не основной вариант беспроводного 4G / 3G интернета, то резервный — точно.

В чем преимущества подключения беспроводного 4G / 3G интернета для офиса, предприятия или производства?

  • Возможность обеспечить высокую скорость работы в Сети, даже если несколько десятков человек что-то скачивают, передают или общаются онлайн. Благодаря интеллектуальным решениям касательно грамотного многоканального распределения нагрузки на оборудование, которые внедряют специалисты в области подключения 4G / 3G интернета, это оказывается обычной, легко решаемой, задачей. И 4GStar внедрила множество таких решений.
  • Мобильность. Не вы будете ездить в поисках интернета, а интернет будет ездить за вами. В современных условиях это очень важно. Преимущество беспроводного подключения в том, что в любой момент вы можете взять оборудование с собой и отправиться работать в другое место, даже за пределы Украины. Не нужно думать, как быть с проводами или переживать по поводу того, что услуга была оплачена заранее по конкретному адресу.
  • Автономность. Правильно подобранный комплект, именно для нужд вашего офиса или предприятия, работает от встроенного аккумулятора до 40 часов, без необходимости получения энергии от сети. Да, вы не связаны никакими проводами.

Как правильно подобрать комплект для подключения беспроводного интернета?

Чтобы правильно подобрать комплект 4G / 3G интернета для вашего бизнеса, необходимо понимать, сколько человек будет стабильно пользоваться интернетом; какие задачи, в основном, будут выполняться; насколько устойчиво покрытие в месте размещения вашего офиса или предприятия; планируются ли выезды за пределы постоянного места дислокации.

В зависимости от этого, специалист предложит вам на выбор несколько вариантов решения вопроса. Это может быть портативный карманный роутер с зоной действия Wi-Fi до 15 метров, который возможно брать с собой куда угодно, хоть каждый день. Это может быть комплект оборудования: Wi-Fi роутер плюс модем или Wi-Fi роутер плюс модем плюс усиливающая антенна. Радиус зоны Wi-Fi в этих случаях уже достигает 50 метров и, соответственно, применяя такой подход, одновременно можно подключить к интернету гораздо больше сотрудников.

Какой вариант подойдет именно вам? Позвоните в 4GStar 0 (800) 210-295, и мы профессионально ответим вам на этот вопрос. Мы подберем комплект оборудования, а вы возьмете его на бесплатное тестирование в течение 30 дней. За это время вы сможете разобраться что к чему и, наконец, подключить именно тот беспроводной 4G / 3G интернет, который будет способствовать развитию и процветанию вашего бизнеса.

» Контроль над доступом в Интернет сотрудников предприятия