Despec România

Studiu de caz: Implementare ISA Server 2006

Cu ISA Server îmi dau imediat seama dacă cineva îmi accesează o resursă internă și nu are voie. Dar cu Linux îmi lua și o oră sau mai mult ca să aflu cine mă atacă... și cine știe ce se putea întâmpla... Iar dacă nu pot comunica pe e-mail, când trebuie să fac o comandă de 500.000 sau un milion de euro, ori dacă un client mare vrea să facă o comandă și nu poate să dea de noi exact atunci? Pierderile în asemenea situații sunt greu de calculat - Dan Câmpeanu, IT Manager, DESPEC România.

---

Despre organizație

DESPEC România este unul dintre cei mai importanți distribuitori din țară de echipamente, accesorii și consumabile pentru tot ceea ce, în industria IT&C, ar putea fi sintetizat în două cuvinte: printing & imaging. Compania s-a înființat în 1994, pornind la drum cu distribuția de consumabile: de la cartușe de cerneală pentru imprimante, riboane și tonere, până la CD-uri și DVD-uri - numai produse originale și de calitate. După câțiva ani de activitate, în 2000, a fuzionat cu un grup internațional specializat, de asemenea, pe distribuția de consumabile și accesorii, de care însă s-a desprins ulterior. DESPEC România a evoluat de-a lungul timpului, ajungând să distribuie la peste 4.000 de dealeri și revânzători produsele pe care le importă. În gama sa de produse sunt incluse peste 10.000 de repere – imprimante, camere digitale, consumabile și altele – ale unor furnizori binecunoscuți pe plan mondial: Hewlett-Packard, Canon, Epson, Xerox, Lexmark etc, adică aproape toate mărcile importante de pe piață.

În 2007, managerii companiei, astăzi din nou cu capital 100% românesc, au decis să își modernizeze sistemul IT&C, ca motor important al dezvoltării afacerii. Printre obiectivele acestei modernizări, un loc important l-a ocupat și asigurarea unei securități sporite a comunicării electronice: ISA Server 2006 a înlocuit vechiul firewall Linux.

Situația inițială

Primul computer din firmă a fost un 386-SX pe care se făceau facturi. DESPEC vindea pe atunci cutii de dischete și ceva cartușe aduse din Germania. Compania, fondată de 4 oameni care erau și acționari și angajați, a avut prima sa rețea, pe un cablu coaxial, între 4 computere, în 1996. Au urmat apoi, pas cu pas, toate celelalte. Dan Câmpeanu, IT manager la Despec, își amintește: Când a apărut prima dată internetul comercial, ne-am luat și noi primul server, un Microsoft Small Business Server, cu tot ce aveam nevoie la acea vreme, inclusiv cu Exchange 5.5 și ISA Server. Era important să ne lărgim orizontul, să găsim noi distribuitori, să ținem o legătură mai bună cu diverși furnizori. Era esențial să avem cea mai rapidă metodă de comunicație, e-mail-ul.

Compania a avut inițial un singur cont de e-mail, la 12 computere. Odată cu primul server, toate computerele au devenit clienți de e-mail. Apoi, pe măsură ce compania s-a dezvoltat, serverele s-au înmulțit, înlocuind soluția Microsoft inițială. La un moment dat s-a renunțat la tehnologia ISA Server din suita Microsoft în favoarea unei soluții firewall Open Source bazate pe Linux.

Un timp, ne-am tot schimbat sediul – povestește Dan Câmpeanu – și la fiecare schimbare am înlocuit și ce mai era prin computere și servere. La penultimul sediu aveam peste 30 de computere și vreo 8 servere... nici nu mai știai ce fel de computere erau și nici cu ce licențe... Totul trebuia repede, n-aveam niciodată timp de gândit în viitor, încercam să ținem pasul cu afacerea.

Instalarea unui firewall bazat pe Linux era o soluție naturală din perspectiva costului inițial. Cu timpul însă, au constatat că această soluție nu le satisface întru totul cerințele. Le asigura o protecție dinspre exterior înspre interior și se putea restricționa accesul general spre Internet. Dar nu și puterea de a controla detaliat accesul utilizatorilor numiți din rețea.

Cu Linux, IT-iștii de la DESPEC puteau doar să blocheze accesul tuturor la anumite resurse sau să dea acces liber oricui, oriunde. Dar era necesară și o legătură între baza de date de utilizatori și tehnologia de control al accesului la internet, pentru ca să poată da selectiv drepturi de acces, de a folosi alte programe (messenger, alte tipuri de conexiuni la internet) etc. Iar această soluție Linux nu putea fi integrată optim cu soluțiile Microsoft existente - în primul rând cu Active Directory.

În plus, și managerii începuseră să ducă dorul vechilor rapoarte de ISA, de dinainte..., spune Dan Câmpeanu, referindu-se la acele informații pe care le oferă ISA Server privind utilizarea internetului: care sunt cele mai vizitate site-uri, ce utilizatori au folosit diferite site-uri, cât din bandă au consumat și cât timp au stat pe un site etc... O mulțime de lucruri foarte utile, pentru că, la un moment dat, poți să ai nevoie să mărești banda de net, dar fără niște rapoarte exacte nu știi pentru ce îți trebuie o anume dimensiune de bandă și pe ce este consumată, subliniază Dan Câmpeanu.

Mai mult: chiar dacă probleme majore de străpungere a sistemului de securitate nu au fost nici cu vechea soluție, acesta nu mai putea oferi siguranța, liniștea că nimic rău nu se poate întâmpla. Am încercat să securizăm cât s-a putut serverele în interior în așa fel încât Linux să nu fie decât un pas în plus de trecut, dar fără să ne bazăm pe el în întregime. Era și foarte mult de lucru ca să facă tot ce vroiam noi; și pentru asta îți trebuie oameni care să știe foarte bine Linux și să se concentreze pe asta, zice Dan Câmpeanu.

După ce DESPEC s-a desprins de compania mamă, managerii săi au decis că este cazul să schimbe amalgamul clădit în timp și să reclădească sistemul IT pe o temelie stabilă. Era timpul să renunțe la vechiul firewall, pentru o soluție sigură și cu mai multe facilități: ISA Server 2006.

Soluția

Sistemul IT al DESPEC a fost reconfigurat cu sprijinul partenerului Microsoft, GeCad NET, într-un concept unitar la nivelul tehnologiilor de ultimă oră de la Microsoft: Exchange Server 2007, SharePoint Server 2007, SQL Server 2005 etc. Modalitatea de licențiere a fost OVS (Open Value Subscription), care oferă nu doar facilități financiare, dar și "abonament" pentru versiunile viitoare ale diferitelor aplicații. Alexandru Molodoi, Chief Technical Officer la GECAD NET zice: DESPEC a apelat la noi ca sa implementăm toate serverele Microsoft într-un mod bine definit, planificat și testat. Am upgradat într-o soluție coerentă serverele Microsoft pe care deja le aveau și le-am integrat cu ISA Server 2006. Au fost și unele probleme, deoarece o aplicație de-a lor de business nu trecea prin ISA, nu puteau să o publice. și atunci, am ales o soluție mixtă: cu un firewall de tip hardware în față și cu ISA în spate, pentru controlul accesului utilizatorilor la internet.

Dintre cei aproape 80 de utilizatori actuali de e-mail ai DESPEC, circa 20 fac parte dintr-o echipă mobilă, indispensabilă într-o companie de distribuție. Acești utilizatori trebuie să aibă acces de la distanță la căsuțele lor de e-mail și la diferite resurse ale companiei. Securitatea, în cazul unor astfel de conectări, este deosebit de importantă. Astăzi, avem acces la rețeaua internă și e-mail permanent, de oriunde și, cu Exchange 2007, folosim și telefoane mobile cu Windows Mobile. Iar ISA Server ne ajută foarte mult la publicarea serverelor Microsoft – care sunt acum interne, nu publice – și "scoatem la vedere" doar un anumit serviciu care trebuie accesat, explică Dan Câmpeanu. Așadar, acum există, "în fața" serverelor, un firewall cu reguli de acces presetate, care permite, foarte simplu, publicarea unui serviciu pentru clienții care sunt în afara rețelei.

Privind modul în care este folosit acum ISA Server 2006, Dan Câmpeanu mai spune: Ne dăm seama acum că planul inițial nu este suficient de ambițios pentru tot ce putem face cu ISA. Când am început proiectul, ne-am gândit doar la securizarea accesului dintre interior și exterior și la controlul traficului. Apoi, am decoperit că integrarea ISA cu celelalte servere Microsoft oferă mai mult și ne dorim să refacem configurația, astfel încât să protejăm rețeaua internă mult mai bine decât am crezut inițial că se poate. Inițial, planul era cu un DMZ (așa numita "zonă demilitarizată"), în care sunt serverele publice. Acum vrem să și separam serverele din firmă de rețeaua internă.

Conform acestui plan, accesul spre serverele din rețeaua internă ar urma să treacă tot prin ISA Server. Aceasta însemnă că vor putea să dea drepturi de acces la resurse, pe fiecare persoană în parte, să aibă un plus de control cunoscând permanent cine, când și ce anume accesează.

Beneficiile

Sistemul de licențiere OVS ales de DESPEC a înlesnit celor din această companie atât posibilitatea de unificare a licențelor cât și a unor upgradări viitoare, cu costuri minimale. Aceasta se traduce și prin costuri de achiziții IT mai ușor controlabile. Pe lângă acest beneficiu al achiziționării unei soluții complete Microsoft, apar și altele, deosebit de importante, legate direct de migrarea de la un firewall Open Source, la soluția Microsoft, ISA Server 2006.

Economii de mai multe mii de euro

Prima economie, la care se gândește imediat Dan Câmpeanu, este cea care a fost făcută la abonamentul de internet: Am descoperit că o mare parte din bandă era folosită pentru alte motive decât de business... și am limitat toate utilizările de bandă neautorizate. Banda folosită inutil (pentru descărcarea de fișiere personale, bancuri, filmulețe etc) era, din estimările noastre, cam de 1.200 euro/lună. Desigur, această limitare a accesului pe internet a dus și la o folosire mai eficientă a timpului de lucru al utilizatorilor. și, implicit, la o creștere a eficienței acestora.

Pe de altă parte, costurile de administrare a firewall-ului sunt mult mai mici pentru ISA Server 2006. Este mult mai ușor de folosit decât era vechiul Linux, iar oamenii din departamentul IT își pierd mai puțin timp cu operarea de modificări sau cu întreținerea firewall-ului. Deși pare dificil de estimat, Dan Câmpeanu se încumetă – bazându-se pe experiența sa anterioară – să aprecieze timpul economisit lunar la nivelul a cel puțin 5-6 zile-om.

Pierderile de sute de mii de euro pot fi evitate

În cazul unei suspiciuni privind un posibil atac asupra rețelei, sunt mult mai ușor de vizualizat cu ISA Server 2006 toate accesările din momentul respectiv și de blocat, punctual, un acces sau altul. Este un câștig de timp și de siguranță. Acum îmi dau imediat seama dacă este ceva suspect, dacă cineva îmi accesează o resursă internă și nu are voie. Înainte, nu era la fel de ușor. Iar atacatorii nu au program de lucru - ori îi respingi imediat, ori..., spune Dan Câmpeanu. Așadar, ISA Server aduce acum, practic vorbind, un câștig greu de estimat, prin limitarea unor pierderi ce ar putea fi incalculabile... Dan Câmpeanu recunoaște: Am avut mari probleme... La un moment dat, nu mai mergea netul în toată firma. Cred că am stat aproape o jumătate de zi să îi dăm de capăt. Pierderile într-o asemenea situație sunt greu de calculat. Dacă stă internetul, 50% din activitatea firmei noastre este paralizată. Dacă nu pot comunica pe e-mail când trebuie să fac o comandă de 500.000 de euro la un furnizor, asta poate să însemne și o săptămână în plus la livrare... O astfel de situație poate duce la pierderi de sute de mii de euro. și în relația cu clienții sunt greu de estimat pierderile posibile... Ce se întâmplă dacă un client mare vrea să facă o comandă și nu poate să dea de noi exact atunci sau comanda nu ajunge?...

Însă astfel de pierderi pot să provină nu doar din potențiale atacuri malițioase... Alexandru Molodoi, Chief Technical Officer la GECAD, explică: Cu produsele Open Source, fiecare face treaba care îi place. Eu instalez un Linux care îmi place mie, vine altcineva după mine - nu știe ce am făcut - și se apucă să refacă totul de la zero...

Costul ISA Server, comparativ ușor de recuperat, din exploatare...

Dan Câmpeanu își amintește că firewall-ul Open Source, descărcat gratis și pus pe un computer vechi, a costat mai nimic... Atunci, la achiziție... Dar nu s-a avut în vedere faptul că, pentru ca să lucreze măcar pe aproape de nivelul și capabilitățile unui firewall licențiat, el trebuia să fie dezvoltat și asta presupunea costuri suplimentare de timp și alte resurse. și nu este vorba numai despre salariul, adunat lună de lună, al dezvoltatorului specializat în Linux. Ci și despre resursele interne insuficient exploatate, până ce firewall-ul ar fi ajuns la capabilitățile unuia licențiat.

Mobilitate, flexibilitate, integrabilitate

Asigurarea accesului de la distanță a resurselor companiei, bine securizat cu ajutorul ISA Server 2006, a conferit un plus de mobilitate forței de vânzări, în condiții de control și securitate garantată. A însemnat și un plus de flexibilitate: Pentru mine este mult mai simplu acum să asigur asemenea drepturi de acces și să am un control unitar, spune Dan Câmpeanu.

Iar faptul că în companie se lucrează și cu aplicații non-Microsoft esențiale pentru afacere – un ERP, diferite aplicații ale furnizorilor pentru gestionarea comună a unor liste de prețuri, comenzi, confirmări etc – nu crează nici o problemă din punct de vedere al compatibilității.

Chiar dacă la implementarea noului sistem unitar IT, bazat pe tehnologia Microsoft, au apărut și o serie de dificultăți – cum apar întotdeauna la schimbarea unui sistem cu altul nou – problema unei alte variante de soluție decât Microsoft nu s-a mai pus: Așa am câștigat control, putem cunoaște ce se întâmplă de fapt în firmă. Ar fi fost ridicol să încercăm să integrăm soluția altora în sistemul asta. Cu ce costuri ? și cu ce efort? și până la urmă, pentru ce?, mai punctează Dan Câmpeanu.

Pe scurt...

Organizația

Unul dintre cei mai importanți distribuitori de echipamente, accesorii și consumabile pentru printing & imaging din țară.

Situația

Sporirea volumului comunicării din ultimii ani cerea o protecție mai performantă, un firewall care să controleze accesul din rețeaua internă la internet și din internet la rețeaua internă. Soluția Linux existentă nu putea satisface cerințele managerilor și, mai ales, nu permitea controlul accesului utilizatorilor în rețea.

Soluția

Întregul sistem IT al DESPEC a fost reconfigurat, cu sprijinul partenerului Microsoft, GeCad NET, într-un concept unitar la nivelul tehnologiilor cele mai recente de la Microsoft. Serverele, upgradate într-o soluție coerentă, au fost integrate cu ISA Server 2006, pentru controlul accesului utilizatorilor la internet și la resursele interne ale companiei.

Beneficii

• Controlul total al drepturilor de acces;
• Un posibil atac asupra rețelei este mult mai ușor de vizualizat și de blocat;
• Pot fi evitate situațiile în care se pierd afaceri din cauza blocării comunicării;
• Limitarea unor potențiale pierderi;
• Economii de zeci de mii euro prin limitarea accesului la internet doar în interesul afacerii;
• O folosire mai eficientă a timpului de lucru al utilizatorilor, o creștere a eficienței lor;
• Mai puțin timp consumat cu întreținerea firewall-ului – cel puțin 5-6 zile-om, pe lună;
• Costuri de administrare mult mai mici în cazul ISA comparativ cu Linux;
• Costul ISA Server este ușor de recuperat, din exploatare...
• Un plus de mobilitate pentru forța de vânzare, în condiții de control și securitate garantată;
• Integrabilitate și compatibilitate net superioare;
• Posibilitatea de unificare a licențelor și upgradări viitoare cu costuri minimale și mai ușor controlabile.

Software, servicii

• Servere:

  • Windows Server 2003 R2
  • Windows Server 2008
  • Windows Server 2008 Web Edition
  • SQL Server 2005 Standard Edition
  • Exchange Server 2007
  • ISA Server 2006 Standard Edition
  • Office SharePoint Server 2007
  • System Center Essentials 2007

• Clienți:

  • Windows XP Professional
  • Windows Vista Business sau Enterprise
  • Office Professional Plus 2003 și 2007

Parteneri

• GECAD NET

România Global | Hartă site