Ogólnopolska Sieć Edukacyjna (OSE) to program publicznej sieci telekomunikacyjnej, dającej szkołom w całym kraju dostęp do szybkiego, bezpłatnego i bezpiecznego internetu. Program powstał na mocy Ustawy o OSE i jest realizowany przez NASK Państwowy Instytut Badawczy pod nadzorem Kancelarii Prezesa Rady Ministrów.

W 2017 r. tylko 10% polskich szkół miało dostęp do internetu o parametrach, które umożliwiały wykorzystywanie go w procesie dydaktycznym. Program OSE stał się odpowiedzią na wyzwania współczesnej edukacji – powstał w celu zwiększenia dostępu do internetu oraz likwidacji obszarów wykluczenia i wyrównania szans wszystkich uczniów, niezależnie od miejsca zamieszkania. Dziś internet i usługi bezpieczeństwa dostarczane w ramach Ogólnopolskiej Sieci Edukacyjnej docierają do ponad 90% szkół. OSE obsługuje ruch na milionach urządzeń końcowych.

Spośród różnych scenariuszy dostarczenia usług bezpieczeństwa do sieci OSE wybrano model, w którym ruch analizowany jest w 16 węzłach rozlokowanych w kraju. Dodatkowe 3 węzły szkieletowe przeznaczone są do realizacji usług wystawianych przez sieć OSE do internetu.

Pilotaż charakterystyki ruchu wskazał, że znaczna część ruchu sieciowego pochodzi z komunikacji webowej realizowanej z wykorzystaniem protokołów HTTP/HTTPS. Zebrane statystyki wskazały, że udział ruchu szyfrowanego w projektowanej sieci stanowić będzie ponad 80% całości ruchu.

 

– Wdrożenie technologii F5 trwało 5 miesięcy, co przy tak złożonym projekcie jest świetnym wynikiem – mówi Krzysztof Chwedorczuk, Kierownik Zespołu Systemów Bezpieczeństwa w NASK. – OSE cały czas się rozwija, ale dotychczas nie mamy i nie spodziewamy się problemów z równoważeniem obciążenia w węzłach i analizą ruchu.

 

Analiza wskazała, że w związku ze znacznym udziałem ruchu szyfrowanego w projektowanej sieci konieczne jest wykonanie intercepcji ruchu SSL/TLS. Deszyfracja ruchu jest warunkiem znalezienia zagrożeń, złośliwego oprogramowania oraz właściwego filtrowania treści dla bezpieczeństwa uczniów.

Przyjęta deszyfracja wykonywana jest na ruchu przesyłanym w obu kierunkach, co pozwala na analizę zapytań i treści przesyłanych w sieci. Wyzwaniem była dystrybucja certyfikatów na wszystkie urządzenia w OSE oraz skala ruchu. Do obsługi ruchu wprowadzono do OSE urządzenia klasy ADC (Application Delivery Controller): inteligentnie sterujące i rozkładające ruch do wielu urządzeń, na których dopiero następuje deszyfracja.

 

– Zastosowanie Application Delivery Controllera oraz SSL Orchestratorów zwiększyło jednocześnie prostotę całego systemu bezpieczeństwa OSE i jego wydajność – dodaje Krzysztof Chwedorczuk. – Rozwiązania F5 współgrają z pozostałymi elementami zabezpieczeń i stanowią jeden z podstawowych budulców Ogólnopolskiej Sieci Edukacyjnej.

 

Wybór tego rozwiązania przyniósł znaczne korzyści dla OSE. Można wymienić wśród nich: najwyższą wydajność deszyfrowania oraz sterowalność ruchem sięgającym powyżej 200 Gbps w niektórych węzłach, rozpoznanie i realizację włączeń szyfrowania, ochronę udostępnianych z OSE aplikacji czy bezpieczny zdalny dostęp.