Infradata is nu Nomios. Ontdek onze nieuwe Europese merkidentiteit. Lees meer

Case study
NASK

NASK levert veilig breedband internettoegang aan 25.000 scholen

In 1991 verbond het NASK (Naukowa i Akademicka Siec Komputerowa of Onderzoek en Academisch Computernetwerk) Polen met het Internet. Vandaag de dag is de organisatie bezig de digitale kloof te dichten die Poolse kinderen in dorpen en steden ervan weerhoudt hun volledige academische potentieel te bereiken. Het NASK beheert het Poolse nationale onderwijsnetwerk (OSE), dat snelle, veilige en gratis internettoegang biedt aan meer dan 5 miljoen studenten en leraren.

"Wij leveren internetconnectiviteit en beveiligingsdiensten aan alle basis- en middelbare scholen in Polen," zegt Michal Mroczek, de architect van OSE en een senior netwerkingenieur bij het NASK.

Zoals veel landen heeft Polen een digitale kloof tussen het platteland en de steden. Ongeveer 40 procent van de mensen, waaronder ongeveer 1,5 miljoen kinderen, woont in plattelandsgebieden - kleine steden, piepkleine gehuchten en afgelegen boerderijen. OSE wil deze studenten een gelijkwaardige digitale basis voor de toekomst geven.

"In de grote steden van Polen is de internetverbinding goed," zegt Mroczek. "Onze focus ligt op de kleine steden en dorpen waar scholen slechte of helemaal geen internettoegang hebben."

NASK heeft 100 Mbps internet uitgerold naar 15.000 Poolse scholen, en alle 23.000 scholen in het hele land zullen aangesloten zijn tegen het einde van 2020. Naast breedbandinternet zal OSE ook studenten en leerkrachten ondersteunen met toegang tot inhoud en curricula om digitale leerpraktijken te bevorderen. Sinds de opbouw van het OSE-netwerk is begonnen, is het bandbreedtegebruik op scholen verdubbeld.

"Toen we twee jaar geleden begonnen, verbruikte een enkele school ongeveer 5 Mbps aan internetbandbreedte," zegt Mroczek. "Nu verbruikt een school 10 Mbps. Als je leerlingen en leraren meer internetbandbreedte geeft, zullen ze meer gebruiken."
Placeholder for Nask 001 960x640Nask 001 960x640

Het OSE-project is opgezet om de toegang tot online-onderwijsmiddelen te vergroten en gebieden van digitale uitsluiting te elimineren. Het programma is opgezet door het ministerie van Digitale Zaken in samenwerking met het ministerie van Onderwijs in het kader van de wet op het nationaal onderwijsnetwerk. De wet vermeldt ook het NASK (Nationaal Onderzoeksinstituut) als de OSE-exploitant, dat wil zeggen het beheersorgaan.

De beveiliging van een dergelijk groot netwerk was een bijzonder complex project. Het was de bedoeling dat de OSE een openbaar telecommunicatienetwerk zou worden op basis van de bestaande breedbandinfrastructuur, ontwikkeld in het kader van een commerciële investering en gesubsidieerd met overheidsmiddelen. Het netwerk moest leraren en leerlingen in meer dan 80% van de Poolse scholen toegang bieden tot hogesnelheidsinternet. Dit zou een hoge verkeersdichtheid van miljoenen eindpunten met zich meebrengen.

De uitdaging

Tijdens de ontwerpfase zijn verschillende scenario's voor de levering van security-diensten aan het OSE-netwerk geanalyseerd. Ze begonnen met een model waarbij alle security functies worden uitgevoerd op de endpoints met levering via CPE, naar een scenario waarbij het verkeer wordt geanalyseerd in een van de 16 nodes die zich in heel Polen bevinden. Na marktconsultaties en maanden van analyse werd het laatste model geselecteerd en werd het aangevuld met 3 extra backbone-nodes ter ondersteuning van de diensten die door het OSE-netwerk aan het internet worden aangeboden. De selectie van dit model heeft het noodzakelijk gemaakt de security systemen op te schalen naar een niveau dat verkeer van meer dan 1 Tbps mogelijk maakt. Tijdens de technische analyse zijn verschillende opties voor het onderhoud van dit verkeer in overweging genomen. Veel leveranciers waren echter niet in staat om te voldoen aan de eisen die worden gesteld aan de hoge kwaliteit van de beveiligingsdiensten, wat een van de prioriteiten van dit project is. Desondanks is consequent gezocht naar oplossingen om kwalitatief hoogwaardige diensten te combineren met de omvang van het project.

Parallel aan de ontwerpwerkzaamheden is een pilot-programma uitgevoerd om de kenmerken van het netwerkverkeer dat door de onderwijsinstellingen wordt gegenereerd in kaart te brengen. Volgens de prognoses van het architectenteam zou een aanzienlijk deel van het webverkeer bestaan uit webgebaseerde communicatie die wordt ondersteund door HTTP / HTTPS-protocollen. Op basis van de verzamelde statistieken kon worden vastgesteld dat het aandeel van het versleutelde verkeer over het geprojecteerde netwerk meer dan 80 procent van het totale verwerkte verkeer zou uitmaken.

Testresultaten toonden aan dat, vanwege het grote aandeel van gecodeerd verkeer over het voorgestelde netwerk, SSL/TLS-verkeer onderschept zou moeten worden. Dit is een voorwaarde voor het opsporen van bedreigingen en voor een goede filtering van de inhoud bij het betreden van het internet. En op die manier wordt de hoge kwaliteit van de veiligheidsdiensten die aan de schoolnetwerken worden geleverd, gewaarborgd. De decodering wordt uitgevoerd op het verkeer dat in beide richtingen wordt verstuurd, waardoor vragen en inhoud die via het netwerk worden verstuurd, kunnen worden geanalyseerd. De implementatie van het decoderingsproces via het netwerk van de exploitant is gepaard gegaan met tal van technische en organisatorische uitdagingen. De grootste organisatorische uitdaging was de verdeling van de certificaten over alle apparaten die op het OSE-netwerk zijn aangesloten.

Placeholder for Overview nask poland 1000x500Overview nask poland 1000x500

Omvang van het verkeer dat wordt ontsleuteld

De grootste technische uitdaging was de omvang van het verkeer dat zou worden gedecodeerd, evenals de differentiatie van de inhoud die niet moet worden geanalyseerd; bijvoorbeeld het verkeer naar bancaire, medische en andere portalen. Het geschatte volume van het OSE-verkeer dat moest worden geanalyseerd, bedroeg meer dan 1 Tbps. De basisuitrusting binnen het netwerkbeveiligingssysteem bestond uit een Next Generation Firewall (NGFW) systeem en een Secure Web Gateway (SWG). Er is echter geen apparatuur van dit type op de markt die onafhankelijk van elkaar zo'n grote bandbreedte zou kunnen aanpakken wanneer alle noodzakelijke beveiligingsmechanismen worden gebruikt. Dit wijst erop dat een groot aantal NGFW's en SWG's nodig zal zijn voor een goede decodering, analyse en hercodering van het verkeer. Dit zou de complexiteit van het beveiligingssysteem verhogen, evenals de kosten voor de aanschaf en het onderhoud ervan.

Om deze uitdaging aan te gaan, werden twee methoden overwogen om de belasting van de beveiligingsinfrastructuurapparatuur in evenwicht te brengen. De eerste methode was het gebruik van een ECMP-protocol dat draait op routers die zich op het gehele OSE-netwerk bevinden. Helaas hebben leveranciers van netwerkapparatuur tijdens gesprekken met de industrie aanzienlijke verschillen in de implementatie van dit protocol gesignaleerd. Sommige daarvan, zoals het ontbreken van een verbinding tussen inkomend en uitgaand verkeer naar/van een bepaalde gebruiker van een specifiek apparaat dat SSL/TLS-verkeersdecryptie uitvoert (geen volledige zichtbaarheid van TCP-sessies), verhinderden de levering van alle beveiligingsdiensten op het OSE-netwerk. Het gegeven voorbeeld zorgt ervoor dat het aangegeven apparaat niet in staat is om de SSL/TLS-verkeersinterceptie uit te voeren, wat een van de principes was van het hierboven beschreven project.

De feitelijke eis om het SSL/TLS-traffic-interceptieproces over te dragen van SWG- en NGFW-klassesystemen naar externe apparaten werd bepaald door de wens om het gebruik van de hardwaremiddelen in de beveiligingssystemen te optimaliseren. Bovendien is het bij gebruik van NGFW- en SWG-sets verplicht om de gegevensstroom naar elk apparaat te controleren, met andere woorden om het verkeer te delen. Om de controle effectief te laten zijn, is het noodzakelijk om de huidige belasting van elk apparaat te kennen en de routers waren niet in staat om deze kennis te consumeren.

Vanwege bovenstaande overwegingen is het gebruik van het ECMP-protocol verlaten. Het tweede model ging uit van de introductie van ADC-klasse apparaten (Application Delivery Controller) in het OSE-netwerk. Na het uitvoeren van een soortgelijke analyse als de vorige werd beoordeeld of alle toonaangevende producten in deze klasse in staat waren om te voldoen aan de architectonische en functionele doelstellingen van het OSE-netwerkproject. Bovendien bieden de ADC-producten flexibiliteit in de engineering van het netwerkverkeer, wat een extra voordeel was. Het ADC deelt al het inkomende verkeer op intelligente wijze. Het is het eerste apparaat in het beveiligingssysteem en regelt de verdere distributie van de gegevensstroom. De bovenstaande argumenten waren doorslaggevend bij de keuze van dit model.

Het volgende is de uiteindelijke vorm van de nodes die de Application Delivery Controller, SSL Orchestrator, NGFW en SWG producten bevatten.

Placeholder for Student home schoolingStudent home schooling

De oplossing

Het hierboven gepresenteerde concept heeft geleid tot de specificatie van de functionele eisen voor elk van de componenten van de OSE. En later tot een aanbesteding voor een beveiligingsinfrastructuur die ADC, SSLO, NGFW en DNS Firewall systemen omvat. Na selectie van de gunstigste offerte in de aanbestedingsprocedure werd gekozen voor ADC- en SSLO-oplossingen op basis van F5-technologie. Dit werd gedicteerd door de volgende uitgangspunten:

De beste verhouding van SSL-transacties per seconde (verkeersdecryptie en re-encryptieprestaties) met betrekking tot de fysieke afmetingen van de apparaten en dus hun totale aantal. De nodes van het OSE-netwerk hadden vooraf gedefinieerde maximale vermogenswaarden (kW) en rekruimte in de kast.

  • De vereiste prestaties van de Application Delivery Controllers en de mogelijkheid om het verkeer te controleren voor een bandbreedte van meer dan 200 Gbps in regionale nodes.
  • De vereiste flexibiliteit van de Application Delivery Controllers bij het regelen van zowel gedecodeerd als niet-gecodeerd verkeer, inclusief de implementatie van uitsluitingen van decodering die voortvloeien uit de regelgeving voor de bescherming van persoonsgegevens of uit een besluit van het geautoriseerde personeel.
  • Uitgebreide bescherming van OSE-netwerkapplicaties tegen externe aanvallen door het gebruik van een Web Application Firewall-systeem.
  • Veilige toegang op afstand mogelijk maken voor OSE-netwerkbeheerders of externe samenwerkende bedrijven met behulp van SSL- en VPN-technologieën.
  • De vereiste integratie in de onderhoudsomgeving.
"Het gebruik van de Application Delivery Controller en de SSL Orchestrators heeft de eenvoud van het gehele OSE-beveiligingssysteem en de efficiëntie ervan vergroot", aldus Krzysztof Chwedorczuk, hoofd van het NASK Security Services Team. "F5-oplossingen integreren goed met de andere beveiligingselementen en vormen een van de basisbouwstenen voor het succes van het Poolse nationale onderwijsnetwerk. De implementatie van de F5-technologie heeft 5 maanden geduurd, wat, gezien de complexiteit van het project, een prachtig resultaat is". Krzysztof Chwedorczuk toegevoegd. "Het OSE is voortdurend in ontwikkeling, maar tot nu toe hebben we nog geen problemen gehad, en verwachten we ook geen problemen met de load balancing binnen de knooppunten of met de verkeersanalyse".

Samenvatting

Industrie: Onderwijs

Zakelijke uitdaging: Het bieden van toegang tot veilig breedbandinternet voor meer dan 25.000 scholen op 19.500 locaties in heel Polen.

Technology solution:

  • F5 Local Traffic Manager
  • F5 Application Security Manager
  • F5 Access Policy Manager
  • F5 SSL Orchestrator
  • F5 VIPRION Series Platforms

Resultaat:

  • Beveiligde toegang op afstand voor OSE-netwerkbeheerders of externe samenwerkende bedrijven met behulp van SSL- en VPN-technologieën
  • Uitgebreide bescherming van OSE-netwerkapplicaties tegen aanvallen van buitenaf door middel van een Web Application Firewall-systeem.
Placeholder for City high rises poland 10676 1City high rises poland 10676 1

Neem contact op met onze expertsHeb je een project dat je wil bespreken?

Wij horen graag meer over jouw security project, uitdagingen op het gebied van IT-infrastructuur of andere vragen. Bel ons op of laat een bericht achter.

Placeholder for Portrait of ethnic man looking awayPortrait of ethnic man looking away

Laatste nieuws en blog