Rozwiązania Extreme Networks sprawdziły się w wielu placówkach ochrony zdrowia w Polsce i za granicą. Projektanci rozwiązań WLAN tego producenta duży nacisk kładą na aspekty bezpieczeństwa, wysoką dostępność i niezawodność, zwłaszcza w środowiskach o dużym zagęszczeniu terminali mobilnych. Punkty dostępowe z serii 3900 to nie są zwykłe pudełka zapewniające transmisję zgodną z drugą falą implementacji standardu IEEE 802.11ac. Spełniają wymogi wynikające z sąsiedztwa urządzeń medycznych, w tym normę EN 60?601-1-2.

Wyposażone zostały w rozwijany od lat, zaawansowany mechanizm WIPS, który zapewnia wykrywanie rozmaitych ataków na sieć bezprzewodową. Dodatkowo umożliwia przeciwdziałanie im, np. przez zablokowanie połączeń pomiędzy terminalami mobilnymi a fałszywym punktem dostępowym rozgłaszającym sieć o takiej samej nazwie jak sieć szpitalna. System ten dokonuje także analizy widmowej w poszukiwaniu zakłóceń pochodzących od innych urządzeń pracujących w tym samym paśmie co punkty bezprzewodowe WiFi. W miarę możliwości niweluje ich negatywny wpływ na wydajność transmisji za pomocą zmiany kanału czy zwiększenia mocy nadawczej.

Co ważne, funkcje te nie mają negatywnego wpływu na wydajność i niezawodność punktów dostępowych, które z powodzeniem obsługują nawet 500 użytkowników. Ważnym wyróżnikiem rozwiązań Extreme Networks jest to, że działają bazując na przepływach – zbiorach pakietów, które tworzą kompletną porcję informacji (np. zdjęć w formacie DICOM).

Ta właściwość pozwala bez negatywnego wpływu na działanie sieci monitorować odbywający się za jej pośrednictwem ruch dzięki wykorzystaniu protokołu NetFlow i systemu do analityki aplikacyjnej Purview. Administrator dysponuje wtedy dokładną wiedzą na ten temat, co może wykorzystać w procesie rozwiązywania problemów, optymalizacji pracy
sieci pod kątem obsługi rozwiązań medycznych lub też do wykrywania aplikacji niezgodnych z opracowaną polityką bezpieczeństwa (np. blokadą wysyłania plików do chmury, jak Dropbox czy Google Drive).

 
Spójna polityka bezpieczeństwa

W kontekście ochrony danych, jaką zapewniają rozwiązania Extreme Networks, bardzo ważne jest wykorzystywanie przez nie reguł polityki bezpieczeństwa. Zostały opracowane 15 lat temu przez firmę Enterasys, której portfolio w znakomitej większości wcielono do oferty Extreme Networks po akwizycji w 2013 r.  Polityki te uwzglądniają kilka mechanizmów, w tym najbardziej znane: VLAN, QoS i ACL.

Dzięki tym regułom oraz elastyczności tworzenia topologii sieci można określić różne metody obsługi ruchu użytkowników. Przykładowo, pakiety jednego użytkownika mogą być przesyłane lokalnie w jednej sieci VLAN, a drugiego dostarczane za pośrednictwem kontrolera do innej sieci VLAN. Co więcej, ruch jednej osoby korzystającej z sieci skierowany do kilku adresów oraz wysyłane przez nią pakiety w różnych protokołach mogą być odrębnie traktowane (różne VLAN-y, priorytety i ograniczenia). Polityki bezpieczeństwa są egzekwowane już na porcie przełącznika i na punkcie dostępowym, co daje realne zabezpieczenie na brzegu sieci.

 

Elastyczne zarządzanie dostępem użytkowników

Z polityką bezpieczeństwa powiązany jest system kontroli dostępu do sieci, czyli NAC. Pozwala nie tylko „na sztywno” zdefiniować reguły dostępu dla użytkownika na podstawie danych logowania, ale także dokładnie określić kto, w jakim czasie, z jakiego miejsca i urządzenia może mieć dostęp do określonych zasobów na podstawie roli przypisanej określonej osobie w przedsiębiorstwie. Administratorzy sieci, korzystając z dowolnego urządzenia i o dowolnej porze, mogą pracować nad utrzymaniem niezakłóconej pracy infrastruktury. Natomiast personel medyczny i pracownicy administracji – ze względów bezpieczeństwa – nie będą mieć dostępu do danych wrażliwych, gdy będą logować się do sieci z urządzeń innych niż służbowe.

Tomasz Sroczyński

konsultant ds. bezpieczeństwa sieci, Versim

Szpitale i przychodnie, modyfikując lub rozbudowując infrastrukturę IT, najczęściej skupiają się na dwóch kluczowych obszarach: infrastrukturze serwerowo-macierzowej oraz warstwie dostępowej sieci. Nieśmiało wkracza też trend wprowadzania mobilności w zakresie dostępu do elektronicznej dokumentacji medycznej, co ma stać się standardem w codziennych procedurach szpitala czy przychodni. Dlatego konieczne jest zrezygnowanie z sieci zapewniającej dostęp wyłącznie przewodowy oraz z komputerów stojących tylko w gabinetach.

 

Kolejna istotna funkcja związana jest z koniecznością zapewnienia bezpiecznego dostępu dla gości. Dzięki temu administrator bez trudu ukryje przed ich urządzeniami istnienie jakichkolwiek wrażliwych danych w sieci. Dostęp gościnny można obwarować dodatkowo koniecznością potwierdzenia tożsamości użytkownika, który wypełnił formularz rejestracyjny, przez uprawnioną osobę (tzw. sponsoring dostępu). Można też dokonywać weryfikacji gości za pomocą kodu PIN wysyłanego na telefon komórkowy. Pozyskane w ten sposób dane użytkownika mogą się przydać w celach dochodzeniowych.

 

Kontroler ułatwi nadzór

W sieci bezprzewodowej w dużych obiektach, a do takich niewątpliwie należy zaliczyć szpitale, punkty dostępowe WLAN nie mogą być niezależnymi urządzeniami. Takie podejście byłoby nieskalowalne – charakteryzowałoby się wysokim nakładem czasu potrzebnego do realizacji zadań utrzymaniowych (choćby aktualizacji firmware’u). Ponadto użytkownik – lekarz podczas obchodu – przemieszczając się między kolejnymi obszarami, doświadczałby zrywania połączenia i konieczności ponownego uwierzytelniania. Dlatego wszędzie tam, gdzie potrzebnych jest co najmniej kilka punktów dostępowych, zalecane jest korzystanie z infrastruktury WLAN bazującej na kontrolerze.

W takiej infrastrukturze centralny komponent odpowiada za spójny monitoring, aktualizację i rekonfigurację wszystkich punktów dostępowych i ma możliwość wykonywania operacji na wybranych grupach i modelach urządzeń lub w określonych obszarach budynku. Dzięki kontrolerowi możliwy jest także roaming między punktami dostępowymi likwidujący zjawisko rozłączania się terminala podczas poruszania się jego użytkownika po budynku.

Rozwiązania WLAN od Extreme Networks charakteryzuje jedna istotna cecha, która ma znaczenie zwłaszcza tam, gdzie infrastruktura IT rozciąga się na wiele budynków, także umiejscowionych daleko do siebie. W razie braku kontaktu z kontrolerem punkty dostępowe pracują zgodnie z ostatnią otrzymaną konfiguracją – nie stanowi to problemu, gdyż wszystkie niezbędne mechanizmy są zaimplementowane w tych urządzeniach. Dzięki temu użytkownicy nie tracą dostępu do usług w razie awarii samego kontrolera lub braku połączenia z nim.

 
Automatyzacja ułatwia zarządzanie

Bezpieczeństwo to aspekt, do którego trzeba przyłożyć dużą wagę przy projektowaniu jakiegokolwiek obszaru środowiska IT w nowoczesnej placówce medycznej. Nie można przy tym zapominać o administratorach i ich codziennych zmaganiach z utrzymywaniem tego środowiska w należytym stanie. Propozycją Extreme Networks w tym zakresie jest system zarządzania siecią NetSight. Zapewnia zarządzanie – za pomocą jednej konsoli – środowiskiem bezprzewodowym i przewodowym (także innych producentów). Zautomatyzowane tworzenie kopii zapasowych i aktualizacji firmware’u, bogaty konfigurator alarmów, raportów i planer działań umożliwiają zaoszczędzenie czasu przeznaczonego na regularne zadania utrzymaniowe.

Dla wygody i efektywności pracy administratora możliwe jest także tworzenie i wykonywanie skryptów na przełączniku bądź grupie urządzeń. Mapa geograficzna i plany budynku pozwolą graficznie zobrazować aktualny stan sieci oraz lokalizować urządzenia użytkowników i wykryć fakt ich przemieszczania się. Panel NetSight zapewnia też informacje o dołączonych do sieci urządzeniach (i systemach, w których pracują) wraz z przypisanymi regułami polityki bezpieczeństwa. W przypadku rozwiązywania problemów lub reagowania na niepożądane zachowania w sieci takie powiązanie w jednej bazie danych o urządzeniach, użytkownikach i aplikacjach zapewnia szybką oraz dogłębną analizę stanu infrastruktury. To z kolei prowadzi do sprawnego podejmowania akcji zmierzających do przywrócenia porządku w sieci.

Dodatkowe informacje:

Agnieszka Makowska,

dyrektor sprzedaży, Versim,

agnieszka.makowska@versim.pl

Artykuł powstał we współpracy z firmami Extreme Networks i Versim.