NASK zapewnia bezpieczny dostęp do szerokopasmowego Internetu dla 25 tys. szkół

W 1991 roku NASK (Naukowa i Akademicka Sieć Komputerowa) podłączył Polskę do Internetu. Dziś organizacja przełamuje cyfrową przepaść, która uniemożliwia polskim dzieciom mieszkającym na wsiach i w miasteczkach osiągnięcie pełnego potencjału naukowego. NASK zarządza Ogólnopolską Siecią Edukacyjną (OSE), która zapewnia szybki, bezpieczny i bezpłatny dostęp do Internetu ponad 5 milionom uczniów i nauczycieli.

"Dostarczamy łącza internetowe i usługi bezpieczeństwa do wszystkich szkół podstawowych i średnich w Polsce" - mówi Michał Mroczek, architekt OSE i starszy inżynier sieciowy w NASK.

Podobnie jak w wielu innych krajach, w Polsce występuje zjawisko cyfrowej przepaści między wsią a miastem. Około 40 procent ludzi, w tym około 1,5 miliona dzieci, mieszka na terenach wiejskich - w małych miastach, przysiółkach i na odległych farmach. OSE chce dać tym uczniom równe szanse w przyszłości.

"W dużych miastach Polski łączność z Internetem jest dobra" - mówi Mroczek. "Skupiamy się na małych miasteczkach i wsiach, gdzie szkoły mogą mieć słaby dostęp do Internetu lub nie mieć go wcale".

NASK wprowadził internet o przepustowości 100 Mb/s do 15 tys. polskich szkół, a do końca 2020 roku podłączone zostaną wszystkie 23 tys. szkół w całym kraju. Oprócz szerokopasmowego Internetu, OSE będzie również wspierać uczniów i nauczycieli w dostępie do treści i programów nauczania, aby rozwijać cyfrowe praktyki nauczania. Od momentu rozpoczęcia budowy sieci OSE, zużycie pasma w szkołach wzrosło dwukrotnie.

"Kiedy zaczynaliśmy dwa lata temu, jedna szkoła zużywała około 5 Mbps pasma internetowego" - mówi Mroczek. "Teraz szkoła zużywa 10 Mb/s. Jeśli dasz uczniom i nauczycielom więcej pasma internetowego, będą z niego korzystać częściej."

Projekt OSE powstał w celu zwiększenia dostępu do zasobów dydaktycznych online oraz wyeliminowania obszarów wykluczenia cyfrowego. Program został opracowany przez Ministerstwo Cyfryzacji we współpracy z Ministerstwem Edukacji Narodowej na podstawie ustawy o Ogólnopolskiej Sieci Edukacyjnej. W ustawie tej wskazano również NASK (Państwowy Instytut Badawczy) jako Operatora OSE, czyli organ zarządzający.

Zapewnienie bezpieczeństwa tak dużej sieci było przedsięwzięciem szczególnie złożonym. W założeniu OSE miała być publiczną siecią telekomunikacyjną opartą na istniejącej infrastrukturze szerokopasmowej wybudowanej w ramach inwestycji komercyjnej i dofinansowanej ze środków publicznych. Sieć miała zapewnić dostęp do szybkiego Internetu nauczycielom i uczniom w ponad 80 procentach polskich szkół. Wiązało się to z dużym zagęszczeniem ruchu z milionów punktów końcowych.

Wyzwanie

W fazie projektowej przeanalizowano różne scenariusze dostarczenia usług bezpieczeństwa do sieci OSE. Począwszy od modelu, w którym wszystkie funkcje bezpieczeństwa realizowane są na urządzeniach końcowych, przez dostarczenie ich na CPE, aż do scenariusza, w którym ruch analizowany jest w 16 węzłach rozlokowanych po całej Polsce. Po konsultacjach z rynkiem i miesiącach analiz wybrano ten ostatni model dokładając do niego 3 dodatkowe węzły szkieletowe do obsługi usług wystawianych przez sieć OSE do Internetu. Wybór tego modelu spowodował konieczność wyskalowania systemów bezpieczeństwa do poziomu umożliwiającego obsługę ruchu przekraczającego 1 Tbps. W trakcie dialogu technicznego rozpatrywano różne opcje obsługi takiego ruchu, ale wysoka jakość usług bezpieczeństwa, która jest jednym z priorytetów tego projektu powodowała, że wielu dostawców nie było w stanie sprostać przedstawionym wymaganiom. Jednak pomimo tego, konsekwentnie szukano rozwiązań umożliwiających połączenie wysokiej jakości usług ze skalą projektu.

Równolegle do prac projektowych prowadzono pilotaż umożliwiający poznanie charakterystyki ruchu sieciowego generowanego przez placówki edukacyjne. Zgodnie z przewidywaniami zespołu architektów, znaczną część ruchu sieciowego stanowiła komunikacja webowa realizowana w oparciu o protokoły HTTP / HTTPS. Zebrane statystyki pozwoliły zaobserwować, że udział ruchu szyfrowanego w projektowanej sieci stanowić będzie ponad 80 procent całości obsługiwanego ruchu.

Wyniki badań pokazały, że w związku ze znacznym udziałem ruchu szyfrowanego w projektowanej sieci, konieczne jest wykonanie intercepcji ruchu SSL/TLS. Jest to warunkiem wychwycenia zagrożeń, jak i właściwego filtrowania treści przy dostępie do Internetu, a przez to zapewnienia wysokiej jakości usług bezpieczeństwa dostarczanych dla sieci szkolnych. Deszyfracja wykonywana jest na ruchu przesyłanym w obu kierunkach, co pozwala na analizę zapytań i treści przesyłanych w sieci. Implementacja procesu deszyfracji w sieci operatora wiązała się z wieloma wyzwaniami technicznymi i organizacyjnymi. Największym wyzwaniem organizacyjnym była dystrybucja certyfikatów na wszystkie urządzenia podłączone do sieci OSE.

Skala ruchu podlegającego odszyfrowaniu

Największym wyzwaniem technicznym była skala ruchu, który miał być poddany deszyfracji oraz rozróżnienie treści, które nie powinny być analizowane, na przykład ruch do portali bankowych, medycznych i innych. Szacowana wielkość ruchu w ramach OSE, która miała zostać poddana analizie, wynosiła ponad 1 Tbps. Podstawowymi urządzeniami w ramach systemu bezpieczeństwa sieci były systemy Next Generation Firewall (NGFW) oraz Secure Web Gateway (SWG). Nie istnieją jednak na rynku tego rodzaju urządzenia, które potrafiłyby samodzielnie zaadresować tak dużą przepustowość w przypadku zastosowania wszystkich koniecznych mechanizmów bezpieczeństwa. Oznacza to, że trzeba wykorzystać dużą liczbę NGFW i SWG, aby odpowiednio deszyfrować, analizować i ponownie szyfrować ruch. To zwiększałoby skomplikowanie układu bezpieczeństwa, koszty jego zakupu i utrzymania.

Celem zaadresowania tego wyzwania rozważano dwa sposoby równoważenia obciążenia na urządzenia pracujące w ramach Infrastruktury bezpieczeństwa. Pierwszym z nich było wykorzystanie protokołu ECMP działającego na routerach rozlokowanych w sieci OSE. Niestety w trakcie rozmów z rynkiem ujawnione zostały znaczące różnice w implementacji tego protokołu przez dostawców sprzętu sieciowego. Niektóre z nich, takie jak np. brak powiązania ruchu przychodzącego i wychodzącego od/do danego użytkownika z konkretnym urządzeniem wykonującym deszyfracji ruchu SSL/TLS (brak widoczności pełnej sesji TCP), uniemożliwiały zapewnienie realizacji wszystkich usług bezpieczeństwa w sieci OSE. Podany przykład powoduje, że wskazane urządzenie nie jest w stanie wykonać intercepcji ruchu SSL/TLS, co było jednym z pryncypiów projektu opisanym powyżej.

Sam wymóg przeniesienia procesu intercepcji ruchu SSL/TLS z systemów klasy SWG i NGFW do zewnętrznych urządzeń, podyktowany był dążeniem do optymalizacji wykorzystania zasobów sprzętowych na systemach bezpieczeństwa. Ponadto, przy zastosowaniu zestawów NGFW i SWG, trzeba sterować przepływem danych do każdego urządzenia, czy innymi słowy dzielić ruch. Aby sterowanie było efektywne, potrzebna jest wiedza o bieżącym obciążeniu każdego urządzenia, a wiedzy tej routery nie były w stanie konsumować.

W związku z powyższymi przesłankami zrezygnowano z wykorzystania protokołu ECMP. Drugi model zakładał wprowadzenie do sieci OSE urządzeń klasy ADC (Application Delivery Controller). Po przeprowadzeniu analogicznej analizy, jak w poprzednim przypadku oceniono, że wszystkie wiodące produkty tej klasy umożliwiają realizację założeń architektonicznych i funkcjonalnych projektu sieci OSE. Ponad to produkty ADC dają elastyczność w inżynierii ruchu w sieci, co było dodatkowym atutem. ADC inteligentnie dzieli cały ruch przychodzący. Jest pierwszym urządzeniem
systemu zabezpieczeń i to on steruje dalszym rozłożeniem przepływu danych. Powyższe argumenty zdecydowały o wyborze niniejszego modelu.

Poniżej przedstawiono ostateczny kształt węzłów zawierających produkty Application Delivery Controllera, SSL Orchestratora oraz NGFW i SWG:

Rozwiązanie

Przedstawiona powyżej koncepcja doprowadziła do wyspecyfikowania wymagań funkcjonalnych na każdy z komponentów sieci OSE, a później do przetargu na infrastrukturę bezpieczeństwa obejmującego swym zakresem systemy klasy ADC, SSLO, NGFW i DNS Firewall. Po wyborze najkorzystniejszej oferty w postępowaniu konkurencyjnym, wybrano rozwiązania ADC i SSLO bazujące na technologii F5. Zostało to podyktowane następującymi przesłankami:

• najlepszy stosunek liczby transakcji SSL na sekundę (wydajności deszyfrowania i ponownego szyfrowania ruchu)
  do fizycznych rozmiarów urządzeń i co za tym idzie ich sumarycznej ilości. Węzły sieci OSE miały z góry określone
  maksymalne wartości, co do mocy (kW) i miejsca zajmowanego w szafie rack.
• wymagana wydajność Application Delivery Controllerów oraz możliwość sterowania ruchem dla przepustowości
  powyżej 200Gbps w węzłach regionalnych
• wymagana elastyczność urządzeń Application Delivery w sterowaniu ruchem zarówno deszyfrowanym, jaki
  nieszyfrowanym, w tym realizacja wykluczeń deszyfracji, które wynikają bądź z przepisów o ochronie danych osobowych,
  bądź z decyzji osób upoważnionych.
• kompleksowa ochrona aplikacji udostępnianych z sieci OSE przed atakami z zewnątrz realizowana z wykorzystaniem
  systemu Web Application Firewall
• umożliwienie bezpiecznego, zdalnego dostępu dla administratorów sieci OSE oraz zewnętrznych firm współpracujących
  wykorzystując technologię SSL VPN
• wymagana integracja ze środowiskiem utrzymaniowym
  

Zastosowanie Application Delivery Controllera oraz SSL Orchestratorów zwiększyło jednocześnie prostotę całego systemu bezpieczeństwa OSE i jego wydajność – mówi Krzysztof Chwedorczuk, Kierownik Zespołu Usług Bezpieczeństwa w NASK – rozwiązania F5 świetnie współgrają z pozostałymi elementami zabezpieczeń i stanowią jeden z podstawowych budulców sukcesu Ogólnopolskiej Sieci Edukacyjnej. Wdrożenie technologii F5 trwało 5 miesięcy, co przy tak złożonym projekcie jest świetnym wynikiem – dodaje Krzysztof Chwedorczuk – OSE cały czas się rozwija, ale dotychczas nie mamy i nie spodziewam się problemów z równoważeniem obciążenia w węzłach i analizą ruchu.